信息安全管理方针目标
信息安全管理方针
XXX公司的信息安全管理方针是：
着眼于公司长期持续稳定的发展，合法保护公司自主知识产权，有效控制公司各类商务信息，
含义：
信息安全管理体系：由安全组织、安全管理流程和安全防护手段构成的企业信息安全内控体系，由“持续风险评估、安全体系规划建设、安全体系运行与完善”构成的持续改进体系。
企业安全文化氛围：人人关注信息安全，事事相关切身利益；保护公司知识产权就是保护自身劳动创造。
可信任企业：采取各项信息安全措施，信息安全管理变被动的事件导向为主动的风险导向，赢得客户信任。
信息安全管理目标指标
信息安全管理体系方针
信息安全管理体系目标
信息安全管理体系指标
责任部门
备注
信息安全政策宣贯
信息安全策略发布和变更时
信息安全管理委员会
通过文件、会议、PPT、知识竞赛等形式
指定或委派各信息安全相关部门管理者代表及成员
信息安全管理委员会
通过文件形式下发
定期评审信息安全策略文件
一年一次或安全策略发生变更时对策略进行评审工作的发起
信息安全管理委员会
依据变更流程
定期召开信息安全工作会议，讨论信息安全相关事项
每月一次
信息管理部
会议记录并上报信息安全管理委员会
定期对信息安全策略实施审计
每年一次或业务发生变更后
信息管理部
对审计结果上报信息安全管理委员会
净化办公环境，降低安全风险
采用集中部署杀毒软件形式统一管理
信息管理部
通过统一部署防病毒服务器监控
建立信息审计制度，保护核心信息资产
所有外发信息均纳入审计范围
信息管理部
通过审计实施监控
建立资产标识和资产分类
对资产在下发前按应用做重要性分级
信息管理部
对资产列表实施更新
普及安全意识，全员动员共建安全
每年不少于1次的信息安全相关培训
人力资源部及行政中心
以培训通知或培训登记表确认
加固创维大厦物理环境保护
关闭不必要的出口
人力资源部及行政中心
根据重要程度划分工作区域
对重要部门采取封闭式环境
人力资源部及行政中心
物理区间隔离
制定违反信息安全策略的惩戒措施
明确违反信息安全策略的惩戒性处罚制度
人力资源部及行政中心
在员工手册中明确相应责任
对公司有关业务用软件产生的法律问题作出规范要求
建立相应的符合性制度
知识产权部
形成公司级制度文件