栏目导航

信息安全方针

发布时间 : 星期四 文章信息安全方针更新完毕开始阅读

ISMS

密级:敏感

文档编号:ISMS-A-01信息安全方针 版本号:V1.0

信息安全方针 苏州XXXX有限公司

编制: 审核: 批准: 实施日期:

--------------------------------------------------------------------- 保密说明:。

受控文件 第 1 页

ISMS

修订页

日期 2011-10-28

版本号 V1.0 新版发行 修订说明 修订人 审核人 批准人

受控文件 第 2 页

ISMS

目录

1. 2. 3. 4. 5. 6. 7. 8. 9.

目的和使用范围 .......................................................................................................................................4 信息安全定义 ...........................................................................................................................................4 信息安全方针 ...........................................................................................................................................4 安全管理机构 ...........................................................................................................................................4 职责 ...........................................................................................................................................................5 信息安全管理体系实施框架 ...................................................................................................................6 重要原则、标准和符合性要求 ...............................................................................................................6 评审 ...........................................................................................................................................................7 相关文件 ...................................................................................................................................................7

受控文件 第 3 页

ISMS

1.

目的和适用范围

信息安全管理体系方针指明了公司的信息安全目标和方向,并可以确保信息安全管理体系被充分理解和贯彻实施。为明确信息安全管理体系方针,特制定本文件。此外,本文件还描述了公司的信息安全管理体系的范围。

本文件适用于公司信息安全管理体系涉及的所有人员和组织的全部重要信息资产及过程。

2.

信息安全定义

信息安全是指保证信息的保密性、完整性、可用性;另外也可包括诸如真实性、可核查性、不可否认性和可靠性等特性。

信息是对公司业务至关重要的一种资产,因此需要加以适当的保护。在业务环境互连日益增加的情况下这一点显得尤为重要。信息安全可防止信息受到各种威胁,以确保业务连续性,是业务风险最小化,投资回报和商业机遇最大化。 3.

信息安全方针

公司信息安全方针为:全员参与、控制风险;积极预防、持续改进;客户信赖、永续经营。

4.

安全管理机构

根据ISO/IEC 27001:2005的要求,为了确保信息安全工作有一个明确的方向和获得可见的管理者支持,公司设立以下不同级别的信息安全管理机构。 信息安全管理委员会

信息安全管理委员会是本公司信息安全管理工作的最高领导机构,承担以下方面的工作: 1) 审批信息安全方针和总体职责;

2) 审批信息安全的特殊方法和过程,如风险评估等; 3) 审批加强信息安全的重大举措; 4) 提供所需要的足够的资源;

5) 协调本ISMS、公司质量管理体系和公司其他规章制度之间的关系。

信息安全委员会主席由总经理担任,常务副主席由公司总经理任命(管理者代表);信息安全管理委员会由相关部门的信息安全员组成。信息安全管理委员会主要工作为:在信息安全管理委员会主席/副主席的领导下,负责公司日常信息安全的管理与监督活动,并对相关部门提供指导和对需要培训的员工进行培训。 信息安全员

相关部门指定一位兼职的信息安全员,参与/配合信息安全委员会的活动,指导本部门信息安全管理并实施对其本部门的日常信息安全监视和检查工作。

受控文件 第 4 页

下载:信息安全方针.doc

站内搜索

电脑版 关于南京廖华
联系合同范文客服:xxxxx#qq.com(#替换为@)