信息安全策略变更履历*变化状态：C——创建，A——增加，M——修改，D——删除目录1. 目的和范围......................... 错误!未指定书签。

2. 术语和定义......................... 错误!未指定书签。

3. 引用文件........................... 错误!未指定书签。

4. 职责和权限......................... 错误!未指定书签。

5. 信息安全策略....................... 错误!未指定书签。

5.1. 信息系统安全组织............. 错误!未指定书签。

5.2. 资产管理..................... 错误!未指定书签。

5.3. 人员信息安全管理............. 错误!未指定书签。

5.4. 物理和环境安全............... 错误!未指定书签。

5.5. 通信和操作管理............... 错误!未指定书签。

5.6. 信息系统访问控制............. 错误!未指定书签。

5.7. 信息系统的获取、开发和维护安全错误!未指定书签。

5.8. 信息安全事故处理............. 错误!未指定书签。

5.9. 业务连续性管理............... 错误!未指定书签。

5.10. 符合性要求.................. 错误!未指定书签。

1附件............................... 错误!未指定书签。

1. 目的和范围1)本文档制定了的信息系统安全策略，作为信息安全的基本标准，是所有安全行为的指导方针，同时也是建立完整的安全管理体系最根本的基础。

2)信息安全策略是在信息安全现状调研的基础上，根据27001的最佳实践，结合现有规章制度制定而成的信息安全方针和策略文档。

本文档遵守政府制定的相关法律、法规、政策和标准。

本安全策略得到领导的认可，并在公司内强制实施。

3)建立信息安全策略的目的概括如下：a)在内部建立一套通用的、行之有效的安全机制；b)在的员工中树立起安全责任感；c)在中增强信息资产可用性、完整性和保密性；d)在中提高全体员工的信息安全意识和信息安全知识水平。

本安全策略适用于公司全体员工，自发布之日起执行。

2. 术语和定义1)解释2)词语使用3. 引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本标准。

1) 27001:2005 信息技术-安全技术-信息安全管理体系要求2) 17799:2005 信息技术-安全技术-信息安全管理实施细则4. 职责和权限信息安全管控委员会：负责对信息安全策略进行编写、评审，监督和检查公司全体员工执行情况。

5. 信息安全策略目标：为信息安全提供管理指导和支持，并与业务要求和相关的法律法规保持一致。

1)策略下发本策略必须得到管理层批准，并向所有员工和相关第三方公布传达，全体人员必须履行相关的义务，享受相应的权利，承担相关的责任。

2)策略维护本策略通过以下方式进行文档的维护工作：必须每年按照《风险评估管理程序》进行例行的风险评估，如遇以下情况必须及时进行风险评估：a)发生重大安全事故b)组织或技术基础结构发生重大变更c)安全管理小组认为应当进行风险评估的d)其他应当进行安全风险评估的情形风险评估之后根据需要进行安全策略条目修订，并在内公布传达。

3)策略评审每年必须参照《管理评审程序》执行公司管理评审。

4)适用范围适用范围是指本策略使用和涵盖的对象，包括现有的业务系统、硬件资产、软件资产、信息、通用服务、物理安全区域等。

对于即将投入使用和今后规划的信息系统项目也必须参照本策略执行。

5.1. 信息系统安全组织目标：在组织内部管理信息安全，保持可被外部组织访问、处理、沟通或管理的信息及信息处理设备的安全。

1)内部组织●公司的管理层对信息安全承担最终责任。

管理者职责参见《信息安全管理手册》。

●公司的信息系统安全管理工作采取信息安全管控委员会统一管理方式，其他相关部门配合执行。

公司的内部信息安全组织包括信息安全管理小组，小组的人员组成以及相关职责参见《公司信息安全组织结构图》。

●各个部门之间必须紧密配合共同进行信息安全系统的维护和建设。

相关部门岗位的分工与责任参见《信息安全管理手册》。

●任何新的信息系统处理设施必须经过管理授权的过程。

并更新至《信息资产列表》。

●信息系统内的每个重要的资产需要明确所有者、使用人员。

参见《信息资产列表》。

●凡是涉及重要信息、机密信息（相关定义参见《信息资产鉴别和分类管理办法》等信息的处理，相关的工作岗位员工以及第三方都必须签署保密协议。

●应当与政府机构保持必要的联系共同协调信息安全相关问题。

这些部门包括执法部门、消防部门、上级监管部门、电信供应商等提供公共服务的部门。

●应当与相关信息安全团体保持联系，以取得信息安全上必要的支持。

这些团体包括外部安全咨询商、独立的安全技术专家等。

●信息安全管理小组每年至少进行一次信息安全风险评估工作（参照《风险评估和风险管理程序》，并对安全策略进行复审。

信息安全领导小组每年对风险评估结果和安全策略的修改进行审批。

●每年或者发生重大信息安全变化时必须参照《内部审核管理程序》执行公司内部审核。

2)外部组织a)第三方访问是指非人员对信息系统的访问。

第三方至少包含如下人员：➢硬件及软件技术支持、维护人员；➢项目现场实施人员；➢外单位参观人员；➢合作单位人员；➢客户；➢清洁人员、送餐人员、快递、保安以及其它外包的支持服务人员；b)第三方的访问类型包括物理访问和逻辑访问。

➢物理访问：重点考虑安全要求较高区域的访问，包括计算机机房、重要办公区域和存放重要物品区域等；➢逻辑访问：◆主机系统◆网络系统◆数据库系统◆应用系统c)第三方访问需要进行以下的风险评估后方可对访问进行授权。

➢被访问资产是否会损坏或者带来安全隐患；➢客户是否与有商业利益冲突；➢是否已经完成了相关的权限设定，对访问加以控制；➢是否有过违反安全规定的记录；➢是否与法律法规有冲突，是否会涉及知识产权纠纷；d)第三方进行访问之前必须经过被访问系统的安全责任人的审核批准，包括物理访问的区域和逻辑访问的权限。

（详见《办公室基础设备和工作环境控制程序》）e)对于第三方参与的项目或提供的服务，必须在合同中明确规定人员的安全责任，必要时应当签署保密协议。

f)第三方必须遵守的信息安全策略以及《第三方和外包管理规定》，留对第三方的工作进行审核的权利。

5.2. 资产管理目标：通过及时更新的信息资产目录对信息资产进行适当的保护。

1)资产责任a)所有的信息资产必须登记入册，对于有形资产必须进行标识，同时资产信息应当及时更新。

每项信息资产在登记入册及更新时必须指定信息资产的安全责任人，信息资产的安全责任人必须负责该信息资产的安全。

b)所有员工和第三方都必须遵守关于信息设备安全管理的规定，以保护信息处理设备（包括移动设备和在非公共地点使用的设备）的安全。

2)信息分类a)必须明确确认每项信息资产及其责任人和安全分类，信息资产包括业务过程、硬件和设施资产、软件和系统资产、文档和数据信息资产、人员资产、服务和其他资产。

（详见《信息资产列表》）。

b)必须建立信息资产管理登记制度，至少详细记录信息资产的分类、名称、用途、资产所有者、使用人员等，便于查找和使用。

信息资产应当标明适用范围。

（详见《设备管理规定》）。

c)应当在每个有形信息资产上进行标识。

d)当信息资产进行拷贝、存储、传输（如邮递、传真、电子邮件以及语音传输（包括电话、语音邮件、应答机）等）或者销毁等信息处理时，应当参照《信息资产鉴别和分类管理办法》或者制定妥善的处理步骤并执行。

e)对重要的资料档案要妥善保管，以防丢失泄密，其废弃的打印纸及磁介质等，应按有关规定进行处理。

5.3. 人员信息安全管理目标：确保所有的员工、合同方和第三方用户了解信息安全威胁和相关事宜、明确并履行信息安全责任和义务，并在日常工作中支持的信息安全方针，减少人为错误的风险，减少盗窃、滥用或设施误用的风险。

1)人员雇佣a)员工必须了解相关的信息安全责任，必须遵守《职务说明书》。

b)对第三方访问人员和临时性员工，必须遵守《第三方和外包管理规定》。

c)涉及重要信息系统管理的员工、合同方及第三方应当进行相关技术背景调查和能力考评；d)涉及重要信息系统管理的员工、合同方及第三方应在合同中明确其信息安全责任并签署保密协议；e)重要岗位的人员在录用时应做重要岗位背景调查。

2)雇佣中a)管理层必须要求所有的员工、合同方及第三方用户执行信息安全的相关规定；b)应当设定信息安全的相关奖励措施，任何违反信息安全策略的行为都将收到惩戒，具体执行办法参见《信息安全奖惩规定》；c)将信息安全培训加入员工培训中，培训材料应当包括下列内容：➢信息安全策略➢信息安全制度➢相关奖惩办法d)应当按下列群体进行不同类型的信息安全培训：➢全体员工➢需要遵守信息安全策略、规章制度和各项操作流程的第三方人员e)信息安全培训必须至少每年举行一次，让不同部门的人员能受到适当的信息安全培训。

必须参加计算机信息安全培训的人员包括：➢计算机信息系统使用单位的安全管理责任人；➢重点单位或核心计算机信息系统的维护和管理人员；➢其他从事计算机信息系统安全保护工作的人员；➢能够接触到敏感数据或机密信息的关键用户。

3)人员信息安全管理原则a)员工录用时，人事部门或调入部门必须及时书面通知信息技术部门添加相关的口令、帐号及权限等并备案。

b)员工在岗位变动时，必须移交调出岗位的相关资料和有关文档，检查并归还在借出的重要信息。

人事部门或调入部门必须及时书面通知信息技术部门修改和删除相关的口令、帐号及权限等。

c)员工在调离时必须进行信息安全检查。

调离人员必须移交全部资料和有关文档，删除自己的文件、帐号，检查并归还在借出的保密信息。

由人事部门书面通知信息技术部门删除相关的口令、帐号、权限等信息。

d)必须每半年进行用户帐户使用情况的评审，凡是半年及半年以上未使用的帐号经相关部门确认后删除。

如有特殊情况，必须事先得到部门经理及安全责任人的批准。

e)对第三方访问人员和临时性员工，也必须执行相关规定。

5.4. 物理和环境安全1)安全区域目标：防止对工作场所和信息的非法访问、破坏和干扰。

a)必须明确划分安全区域。

安全区域至少包括各计算机机房、部门、财务、人事等部门。

所有可以进出安全区域的门必须能防止未经授权的访问，如使用控制装置、栅栏、监控和报警装备、锁等。