信息安全的策略.doc

PAGE 信息安全策略 批准人签字 审核人签字 制订人签字  变更履历 序号 版本编号或更改记录编号 变化 状态 * 简要说明(变更内容、变更位置、变更原因和变更范围) 变更日期 变更人 审核人 批准人 批准日期 1 1.0 C 创建，全页。 *变化状态：C——创建，A——增加，M——修改，D——删除 目 录 TOC \o 1-2 \h \z \u HYPERLINK \l _Toc219522496 1. 目的和范围 PAGEREF _Toc219522496 \h 4 HYPERLINK \l _Toc219522497 2. 术语和定义 PAGEREF _Toc219522497 \h 4 HYPERLINK \l _Toc219522498 3. 引用文件 PAGEREF _Toc219522498 \h 5 HYPERLINK \l _Toc219522499 4. 职责和权限 PAGEREF _Toc219522499 \h 6 HYPERLINK \l _Toc219522500 5. 信息安全策略 PAGEREF _Toc219522500 \h 6 HYPERLINK \l _Toc219522501 5.1. 信息系统安全组织 PAGEREF _Toc219522501 \h 6 HYPERLINK \l _Toc219522502 5.2. 资产管理 PAGEREF _Toc219522502 \h 8 HYPERLINK \l _Toc219522503 5.3. 人员信息安全管理 PAGEREF _Toc219522503 \h 9 HYPERLINK \l _Toc219522504 5.4. 物理和环境安全 PAGEREF _Toc219522504 \h 11 HYPERLINK \l _Toc219522505 5.5. 通信和操作管理 PAGEREF _Toc219522505 \h 13 HYPERLINK \l _Toc219522506 5.6. 信息系统访问控制 PAGEREF _Toc219522506 \h 17 HYPERLINK \l _Toc219522507 5.7. 信息系统的获取、开发和维护安全 PAGEREF _Toc219522507 \h 20 HYPERLINK \l _Toc219522508 5.8. 信息安全事故处理 PAGEREF _Toc219522508 \h 23 HYPERLINK \l _Toc219522509 5.9. 业务连续性管理 PAGEREF _Toc219522509 \h 24 HYPERLINK \l _Toc219522510 5.10. 符合性要求 PAGEREF _Toc219522510 \h 26 HYPERLINK \l _Toc219522511 1 附件 PAGEREF _Toc219522511 \h 27  目的和范围 本文档制定了的信息系统安全策略，作为信息安全的基本标准，是所有安全行为的指导方针，同时也是建立完整的安全管理体系最根本的基础。 信息安全策略是在信息安全现状调研的基础上，根据ISO27001的最佳实践，结合现有规章制度制定而成的信息安全方针和策略文档。本文档遵守政府制定的相关法律、法规、政策和标准。本安全策略得到领导的认可，并在公司内强制实施。 建立信息安全策略的目的概括如下： 在内部建立一套通用的、行之有效的安全机制； 在的员工中树立起安全责任感； 在中增强信息资产可用性、完整性和保密性； 在中提高全体员工的信息安全意识和信息安全知识水平。 本安全策略适用于公司全体员工，自发布之日起执行。 术语和定义 解释 信息安全 是指保护信息资产免受多种安全威胁，保证业务连续性，将安全事件造成的损失降至最小，同时最大限度地获得投资回报和商业机遇。 可用性 确保经过授权的用户在需要时可以访问信息并使用相关信息资产。 保密性 确保只有经过授权的人才能访问信息。 完整性 保护信息和信息的处理方法准确而完整。 保密信息 安全规章定义的密级信息。 信息安全策略 正确使用和管理IT信息资源并保护这些资源使得它们拥有更好的保密性、完整性、可用性的策略。 风险评估 评估信息安全漏洞对信息处理设备带来的威胁和影响及其发生的可能性。 风险管理 以可以接受的成本，确认、控制、排除可能影响信息系统的安全风险或将其带来的危害最小化的过程。 计算机机房 装有计算机主机、服务器和相关设备的，除了安装和维护的情况外，不允许人员在里边工作的专用房间。 员工 在系统内工作的正式员工、雇佣的临