1、密級：敏感文檔編號:版本號：ISMS-A-01信息平安方針信息平安方針蘇州XXXXt限公司實施日期：保密說明:修訂頁日期版本號修訂說明修訂人審核人批準人2021-10-28新版發行目錄1. 目的和適用范圍52. 信息平安定義53. 信息平安方針54. 平安治理機構55. 責任66. 信息平安治理體系實施框架87. 重要原那么、標準和符合性要求88. 評審99. 相關文件91.目的和適用范圍信息平安治理體系方針指明了公司的信息平安目標和方向,并可以保證信息平安治理體系被充分理解和貫徹實施.為明確信息平安治理體系方針,特制定本文件.此外,本文件還描述了公司的信息平安治理體系的范圍.本文件適用于公司

2、信息平安治理體系涉及的所有人員和組織的全部重要信息資產及過程.2.信息平安定義信息平安是指保證信息的保密性、完整性、可用性；另外也可包括諸如真實性、可核查性、不可否認性和可靠性等特性.信息是對公司業務至關重要的一種資產,因此需要加以適當的保護.在業務環境互連日益增加的情況下這一點顯得尤為重要.信息平安可預防信息受到各種威脅,以保證業務連續性,是業務風險最小化,投資回報和商業機遇最大化.3.信息平安方針公司信息平安方針為：全員參與、限制風險；積極預防、持續改良；客戶信賴、永續經營4.平安治理機構根據ISO/IEC27001:2005的要求,為了保證信息平安工作有一個明確的方向和獲得可見的治理者支

3、持,公司設立以下不同級別的信息平安治理機構.信息平安治理委員會信息平安治理委員會是本公司信息平安治理工作的最高領導機構,承當以下方面的工作：1） 審批信息平安方針和總體責任；2） 審批信息平安的特殊方法和過程,如風險評估等；3） 審批增強信息平安的重大舉措；4） 提供所需要的足夠的資源；5） 協調本ISMS公司質量治理體系和公司其他規章制度之間的關系.信息平安委員會主席由總經理擔任,常務副主席由公司總經理任命治理者代表；信息安全治理委員會由相關部門的信息平安員組成.信息平安治理委員會主要工作為：在信息平安治理委員會主席/副主席的領導下,負責公司日常信息平安的治理與監督活動,并對相關部門提供指導

4、和對需要培訓的員工進行培訓.信息平安員相關部門指定一位兼職的信息平安員,參與/配合信息平安委員會的活動,指導本部門信息平安治理并實施對其本部門的日常信息平安監視和檢查工作.5.責任1公司領導責任公司領導應具有以下方面的責任：1制定信息平安方針；2向公司員工傳達滿足信息平安目標和符合信息平安方針、法律法規要求的重要性；3主持ISMS的治理評審；4提供開發、實施、運行和維護ISMS所需的足夠的資源；5決定可接受的風險級別.2部門領導責任部門領導主要是部門經理必須：1明確本部門所治理的包括本公司的和相關方提供的信息資產的類型,并進行資產登記和指定負責人.2對本部門所治理的關鍵信息資產進行風險評估,識

5、別其所受的威脅、機密級別密級信息按其所受的危險程度,可依次分為“絕密、“機密、“秘密、“敏感、“一般、風險級別資產按其所受的危險程度,可依次分為：“很高、“高、“一般、“低、脆弱性和潛在的影響,并制定與其相適應的限制舉措.3向信息平安治理委員會報告信息被危及的任何跡象,或信息可能被泄露或損毀的任何可疑活動和行為.3工程主管責任這里所說的工程主管是指在部門經理領導下主持某些領域工作的人員.他們必須：1向部門經理說明本領域特殊的信息平安要求；2按本領域特殊的信息平安要求,保護本領域的信息資產的平安；3聯系相關技術支持人員包括網絡維護員、網絡治理員和系統治理員等,保證其所屬的每一位員工的機器都安裝和

6、定期更新可靠的防殺病毒軟件,并及時安裝系統補丁軟件包.4員工責任1每一位員工或使用本公司信息的人員都要遵守本方針,都有保護公司信息資產、系統和根底設施平安的責任.2每一位員工都應采取適當的舉措包括設置密碼,保護其所負責的所有形式的機密信息在治理、使用、存儲、處理和傳輸中的平安.3員工外出工作需要攜帶設備時,必須獲得相關領導者的批準,并應采取相應的保護舉措,預防喪失,預防損毀,保證信息平安.如：設備必須設置密碼、不留在公共場所無人看管、不暴露于強電磁場等.4任何員工都有義務向其直接領導或信息平安治理委員會報告可能會危及密級信息平安的任何活動、行為和提出改良建議.5使用者責任這里所說的使用者是指訪

7、問本公司密級信息的人員.1使用者必須獲得授權、了解該信息的平安要求,并采取相應的平安保護舉措.2如果已授權的使用者不了解其所要訪問的信息的平安要求,那么他必須對該信息提供最高極限的保護.3使用者應小心保護其訪問信息的密碼、物理鑰匙和ID卡,一旦發生密碼泄露或鑰匙、ID卡喪失,應立即向其直接領導報告并承當相應責任.6 .信息平安治理體系實施框架公司要根據所要實現的信息平安目標選取適當的風險評估方法,并制定風險評估程序以持續適用于公司的信息平安治理體系.信息平安風險在被識別后,應進行分析和評價,根據其結果,選取適宜的限制舉措,以滿足風險評估和風險處理過程中所識別的需求.限制舉措的選擇還應考慮可接受

8、風險的準那么以及法律法規和合同要求.本公司風險接受準那么是：如果降低風險所付出的本錢大于風險所造成的損失,那么選擇接受風險.可接受的風險級別為：根據公司所采取的風險評估方法,風險共分4級,可接受風險級別為低風險和一般風險,或者治理者批準接受的風險；較高風險和高風險不能接受.7 .重要原那么、標準和符合性要求1法律法規和合同要求的符合性公司在建立和治理信息平安治理體系時,必須符合相關法律法規和合同的要求.2平安教育、培訓和意識要求所有分配有信息責任的人員必須具備執行所要求任務的水平,因此公司要確定這些人員所必要的水平,提供水平培訓,必要時,可聘用有水平的人員以滿足這些需求.同時要評價所提供的培訓和所采取的舉措的有效性,保持教育、培訓、技能、經歷和資格的記錄.另外,公司還要確保所有相關人員意識到其信息平安活動的適當性和重要性,以及如何為到達信息平安治理體系目標做出奉獻.3業務持續性治理為預防公司業務活動中斷,保護關鍵業務過程免受重大失誤或災難的影響,以及保證它們的及時恢復,業務持續性治理方案必須考慮信息和信息平安的需求,對能引起業務流程中斷的事態進行識別,連同這種中斷發生的概率和影響,以及它們對信息平安的后果也要進行識別,保證在關鍵業務過程中斷或失敗