信息安全方針

ISMS受控文件第1頁密級：敏感文檔編號：ISMS-A-01信息安全方針版本號：V1.0信息安全方針蘇州XXXX有限公司編制：審核：批準：實施日期：保密說明：。日期版本號修訂說明修訂人審核人批準人201V1.0新版發(fā)行

防止丟失，防止損毀，確保信息安全。如：設備必須設置密碼、不留在公共場所無人看管、不暴露于強電磁場等。任何員工都有義務向其直接領導或信息安全管理委員會報告可能會危及密級信息安全的任何活動、行為和提出改進建議。使用者職責這里所說的使用者是指訪問本公司密級信息的人員。使用者必須獲得授權、了解該信息的安全要求，并采取相應的安全保護措施。如果已授權的使用者不了解其所要訪問的信息的安全要求，那么他必須對該信息提供最高極限的保護。使用者應小心保護其訪問信息的密碼、物理鑰匙和ID卡，一旦發(fā)生密碼泄露或鑰匙、ID卡丟失，應立即向其直接領導報告并承擔相應責任。信息安全管理體系實施框架公司要根據(jù)所要實現(xiàn)的信息安全目標選取適當?shù)娘L險評估方法，并制定風險評估程序以持續(xù)適用于公司的信息安全管理體系。信息安全風險在被識別后，應進行分析和評價，根據(jù)其結果，選取合適的控制措施，以滿足風險評估和風險處理過程中所識別的需求?？刂拼胧┑倪x擇還應考慮可接受風險的準則以及法律法規(guī)和合同要求。本公司風險接受準則是：如果降低風險所付出的成本大于風險所造成的損失，則選擇接受風險?？山邮艿娘L險級別為：按照公司所采取的風險評估方法，風險共分4級，可接受風險級別為低風險和一般風險，或者管理者批準接受的風險；較高風險和高風險不能接受。重要原則、標準和符合性要求法律法規(guī)和合同要求的符合性公司在建立和管理信息安全管理體系時，必須符合相關法律法規(guī)和合同的要求。安全教育、培訓和意識要求所有分配有信息職責的人員必須具備執(zhí)行所要求任務的能力，因此公司要確定這些人員所必要的能力，提供能力培訓，必要時，可聘用有能力的人員以滿足這些需求。同時要評價所提供的培訓和所采取的措施的有效性，保持教育、培訓、技能、經(jīng)歷和資格的記錄。另外，公司還要確保所有相關人員意識到其信息安全活動的適當性和重要性，以及如何為達到信息安全管理體系目標做出貢獻。業(yè)務持續(xù)性管理為防止公司業(yè)務活動中斷，保護關鍵業(yè)務過程免受重大失誤或災難的影響，以及確保它們的及時恢復，業(yè)務持續(xù)性管理計劃必須考慮信息和信息安全的需求，對能引起業(yè)務流程中斷的事態(tài)進行識別，連同這種中斷發(fā)生的概率和影響，以及它們對信息安全的后果也要進行識別，確保在關鍵業(yè)務過程中斷或失敗后能夠在要求的水平和要求的時間內(nèi)恢復信息的可用性。評審此文件需要在12個月內(nèi)定期通過管理評審等方式進行一次評審，當信息安全管理體系發(fā)生重大變化