上傳人：1***

認(rèn)證信息

認(rèn)證類型：個(gè)人認(rèn)證

認(rèn)證主體：鄒**（實(shí)名認(rèn)證）

IP屬地：山東

IP屬地：山東 上傳時(shí)間：2024-12-29 格式：DOCX 頁數(shù)：6 大?。?3.69KB 積分：12 舉報(bào) 版權(quán)申訴

【企業(yè)名稱】信息安全方針和信息安全目標(biāo)文檔信息文檔編號(hào)：ISM-4-6.2-01文檔名稱：信息安全方針和信息安全目標(biāo)起草人：審核人：批準(zhǔn)人：生效日期：2022.12.01發(fā)布范圍：內(nèi)部版本記錄版本號(hào)版本日期修改修改章節(jié)修改記錄A/02022.12.01創(chuàng)建新文檔信息安全方針：強(qiáng)化意識(shí)、積極防御、風(fēng)險(xiǎn)控制、持續(xù)改進(jìn)本公司信息安全管理方針包括內(nèi)容如下：一、信息安全管理機(jī)制公司采用系統(tǒng)的方法，按照ISO/IEC27001:2022建立信息安全管理體系，全面保護(hù)本公司的信息安全。二、信息安全管理小組公司總經(jīng)理對信息安全工作全面負(fù)責(zé)，負(fù)責(zé)批準(zhǔn)信息安全方針，確定信息安全要求，提供信息安全資源。公司總經(jīng)理任命管理者代表負(fù)責(zé)建立、實(shí)施、檢查、改進(jìn)信息安全管理體系，保證信息安全管理體系的持續(xù)適宜性和有效性。在公司內(nèi)部建立信息安全管理小組，保證信息安全管理體系的有效運(yùn)行。與上級(jí)部門、地方政府、相關(guān)專業(yè)部門建立定期經(jīng)常性的聯(lián)系，了解安全要求和發(fā)展動(dòng)態(tài)，獲得對信息安全管理的支持。三、人員安全信息安全需要全體員工的參與和支持，全體員工都有保護(hù)信息安全的職責(zé)，在勞動(dòng)合同、崗位職責(zé)中應(yīng)包含對信息安全的要求。特殊崗位的人員應(yīng)規(guī)定特別的安全責(zé)任。對崗位調(diào)動(dòng)或離職人員，應(yīng)及時(shí)調(diào)整安全職責(zé)和權(quán)限。對本公司的相關(guān)方，要明確安全要求和安全職責(zé)。定期對全體員工進(jìn)行信息安全相關(guān)教育，包括：技能、職責(zé)和意識(shí)。以提高安全意識(shí)。全體員工及相關(guān)方人員必須履行安全職責(zé)，執(zhí)行安全方針、程序和安全措施。四、識(shí)別法律、法規(guī)、合同中的安全及時(shí)識(shí)別顧客、合作方、相關(guān)方、法律法規(guī)對信息安全的要求，采取措施，保證滿足安全要求。五、風(fēng)險(xiǎn)評(píng)估根據(jù)本公司業(yè)務(wù)信息安全的特點(diǎn)、法律法規(guī)要求，建立風(fēng)險(xiǎn)評(píng)估程序，確定風(fēng)險(xiǎn)接受準(zhǔn)則。采用先進(jìn)的風(fēng)險(xiǎn)評(píng)估技術(shù)，定期進(jìn)行風(fēng)險(xiǎn)評(píng)估，以識(shí)別本公司風(fēng)險(xiǎn)的變化。本公司或環(huán)境發(fā)生重大變化時(shí)，隨時(shí)評(píng)估。應(yīng)根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，采取相應(yīng)措施，降低風(fēng)險(xiǎn)。六、報(bào)告安全事件公司建立報(bào)告信息安全事件的渠道和相應(yīng)的主管部門。全體員工有報(bào)告信息安全隱患、威脅、薄弱點(diǎn)、事故的責(zé)任，一旦發(fā)現(xiàn)信息安全事件，應(yīng)立即按照規(guī)定的途徑進(jìn)行報(bào)告。接受信息安全事件報(bào)告的主管部門應(yīng)記錄所有報(bào)告，及時(shí)做出相應(yīng)的處理，并向報(bào)告人員反饋處理結(jié)果。七、監(jiān)督檢查定期對信息安全進(jìn)行監(jiān)督檢查，包括：日常檢查、專項(xiàng)檢查、技術(shù)性檢查、內(nèi)部審核等。八、業(yè)務(wù)持續(xù)性公司根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，建立業(yè)務(wù)持續(xù)性計(jì)劃，抵消信息系統(tǒng)的中斷造成的影響，防止關(guān)鍵業(yè)務(wù)過程受嚴(yán)重的信息系統(tǒng)故障或者災(zāi)難的影響，并確保能夠及時(shí)恢復(fù)。定期對業(yè)務(wù)持續(xù)性計(jì)劃進(jìn)行測試和更新。九、違反信息安全要求的懲罰對違反信息安全方針、職責(zé)、程序和措施的人員，按規(guī)定進(jìn)行處理。信息安全目標(biāo)：目標(biāo)計(jì)算方法及依據(jù)受控信息泄露的事態(tài)發(fā)生≤1起；顧客保密性投訴的次數(shù)每年不超過1起信息安全培訓(xùn)率≥99%信息安全事件導(dǎo)致的故障/事態(tài)未能在規(guī)定時(shí)間內(nèi)恢復(fù)的次數(shù)0起/年目標(biāo)量化：可用性目標(biāo)確保本公司業(yè)務(wù)系統(tǒng)能有效率地運(yùn)轉(zhuǎn)并使所有授權(quán)用戶得到所需信息服務(wù)。完整性目標(biāo)確保本公司業(yè)務(wù)系統(tǒng)在存儲(chǔ)、處理和傳輸過程中不會(huì)以非授權(quán)方式更改數(shù)據(jù)；確保本公司業(yè)務(wù)系統(tǒng)不受非法操作干擾并以無損方式執(zhí)行預(yù)定功能。保密性目標(biāo)確保本公司業(yè)務(wù)系統(tǒng)在存儲(chǔ)、處理和傳輸過程中的數(shù)據(jù)不向非授權(quán)用戶暴露。信息安全公司目標(biāo)考核記錄最新評(píng)價(jià)日期：考核人：序號(hào)目標(biāo)量化指標(biāo)考核頻次上半年下半年目標(biāo)完成情況評(píng)價(jià)目標(biāo)完成情況評(píng)價(jià)1受控信息泄露的事態(tài)發(fā)生≤1起1次/半年未發(fā)生目標(biāo)考核符合要求2顧客保密性投訴的次數(shù)每年不超過≤1起未發(fā)生目標(biāo)考核符合要求3信息安全培訓(xùn)實(shí)施率≥99%100%目標(biāo)考核符合要求4信息安全事件導(dǎo)致的故障/事態(tài)未能在規(guī)定時(shí)間內(nèi)恢復(fù)的次數(shù)每年不超過0起0目標(biāo)考核符合要求信息安全部門目標(biāo)考核記錄最新評(píng)價(jià)日期：考核人：部門序號(hào)目標(biāo)量化指標(biāo)考核頻次上半年下半年目標(biāo)完成情況評(píng)價(jià)目標(biāo)完成情況評(píng)價(jià)管理運(yùn)營部1受控信息泄露的事態(tài)發(fā)生≤1起1次/半年未發(fā)生信息安全事件考核符合要求2顧客保密性投訴的次數(shù)每年不超過≤1起1次/半年未發(fā)生信息安全事件考核符合要求3信息安全事件導(dǎo)致的故障/事態(tài)未能在規(guī)定時(shí)間內(nèi)恢復(fù)的次數(shù)每年不超過0起1次/半年未發(fā)生信息安全事件考核符合要求智慧城市事業(yè)部1顧客保密性投訴的次數(shù)每年不超過≤1起1次/半年未發(fā)生信息安全事件考核符合要求2受控信息泄露的事態(tài)發(fā)生≤1起1次/半年未發(fā)生信息安全事件考核符合要求3機(jī)密信息泄露的事態(tài)不得發(fā)生0起1次/半年未發(fā)生信息安全事件考核符合要求4重要信息設(shè)備丟失每年0起1次/半年未發(fā)生信息安全事件考核符合要求5信息安全事件導(dǎo)致的故障/事態(tài)未能在規(guī)定時(shí)間內(nèi)恢復(fù)的次數(shù)每年不超過0起1次/半年未發(fā)生信息安全事件考核符合要求安全質(zhì)量部1受控信息泄露的事態(tài)發(fā)生≤1起1次/半年未發(fā)生信息安全事件考核符合要求2重要信息設(shè)備丟失0起1次/半年未發(fā)生信息安全事件考核符合要求人力資源部1信息安全培訓(xùn)實(shí)施率≥99%1次/半年100%考核符合要求2受控信息泄露的事態(tài)發(fā)生≤1起1次/半年未發(fā)生信息安全事件考核符合要求采購保障部1供方保密性投訴的次數(shù)每年不超過≤1起1次/半年未發(fā)生信息安全事件考核符合要求2受控信息泄露的事態(tài)發(fā)生≤1起1次/半年未發(fā)生信息安全事件考核符合要求財(cái)務(wù)資產(chǎn)部1財(cái)務(wù)數(shù)據(jù)泄露的事態(tài)不得發(fā)生0起1次/半年未發(fā)生信息安全事件考核符合要求2重要信息設(shè)備丟失0起1次/半年未發(fā)生信息安全事件考核符合要求考核要求