信息安全管理方针和策略.pdfVIP

1、信息安全管理方针(fāngzhēng)和策略

范围(fànwéi)

公司依据ISO/IEC27001:2013信息安全管理体系标准的要求(yāoqiú)编制《信息安全管理

手册》，并包括了风险评估及处置的要求。规定了公司的信息安全方针及管理目标，引用

了信息安全管理体系的内容。

1.1规范性引用(yǐnyòng)文件

下列参考文件的部分或整体在本文档中属于标准化引用，对于本文件的应用必不可少

(bìbùkěshǎo)。凡是注日期的引用文件，只有引用的版本适用于本标准；凡是不注日期的

引用文件，其最新版本（包括任何修改）适用于本标准。

ISO/IEC27000，信息技术——安全技术——信息安全管理体系——概述和词汇。

1.2术语和定义

ISO/IEC27000中的术语和定义适用于本文件。

1.3公司环境

1.3.1理解公司及其环境

公司确定与公司业务目标相关并影响实现信息安全管理体系预期结果的能力的外部和

内部问题，需考虑：

明确外部状况：

✓社会、文化、政治、法律法规、金融、技术、经济、自然和竞争环境，无论国

际、国内、区域，还是本地的；

✓影响组织目标的主要动力和趋势；

✓与外部利益相关方的关系，外部利益相关方的观点和价值观。

明确内部状况：

✓治理、组织结构、作用和责任；

✓方针、目标，为实现方针和目标制定的战略；

✓基于资源和知识理解的能力（如：资金、时间、人员、过程、系统和技术）；

✓与内部利益相关方的关系(guānxì)，内部利益相关方的观点和价值观；

✓组织(zǔzhī)的文化；

✓信息系统、信息流和决策过程(guòchéng)（正式与非正式）；

✓组织所采用的标准、指南(zhǐnán)和模式；

✓合同(hétong)关系的形式与范围。

明确风险管理过程状况：

✓确定风险管理活动的目标；

✓确定风险管理过程的职责；

✓确定所要开展的风险管理活动的范围以及深度、广度，包括具体的内涵和外延；

✓以时间和地点，界定活动、过程、职能、项目、产品、服务或资产；

✓界定组织特定项目、过程或活动与其他项目、过程或活动之间的关系；

✓确定风险评价的方法；

✓确定评价风险管理的绩效和有效性的方法；

✓识别和规定所必须要做出的决策；

✓确定所需的范围或框架性研究，它们的程度和目标，以及此种研究所需资源。

确定风险准则：

✓可以出现的致因和后果的性质和类别，以及如何予以测量；

✓可能性如何确定；

✓可能性和（或）后果的时间范围；

✓风险程度如何确定；

✓利益相关方的观点；

✓风险可接受或可容许的程度；

✓多种风险的组合是否予以考虑，如果是，如何考虑及哪种风险组合宜予以考虑。

1.3.2理解相关方的需求和期望

信息安全管理小组应确定信息安全管理体系的相关方及其信息安全要求，相关的信息

安全要求。对于利益相关方，可作为信息资产识别，并根据风险评估的结果，制定相应的

控制措施，实施必要的管理。相关方的要求可包括法律法规要求和合同义务。

1.3.3确定(quèdìng)信息安全管理体系范围

本公司(ɡōnɡsī)ISMS的范围包括

a)物理(wùlǐ)范围：

b)业务范围：计算机软件开发(kāifā)，计算机系统集成相关(xiāngguān)信息安全管

理活动。

c)内部管理结构：办公室、财务部、研发部、商务部、工程部、运维部。

d)外部接口：向公司提供各种服务的第三方

1.3.4信息安全管理体系

本公司按照ISO/IEC27001:2013标准的要求建立一个文件化的信息安全管理体系。同

时考虑该体系的实施、维持、持续改善，确保其有效性。ISMS体系所涉及的过程基于

PDCA模式。

1.4领导力

总经理应通过以下方式证明信息安全管理体系的领导力和承诺：

a)确保信息安全方针和信息安全目标已建立，并与公司战略方向一致；

b)确保将信息安全管理体系要求融合到日常管理过程中；

c)确保信息安全管理体系所需资源可用；

d)向公司内部传达有效的信息安全管理及符合信息安全管理体系要求的重要性；