此前说到,一个系统若没有有效的制度协助管理运营人员来管理,那么即便再好的系统和设备,不日也会逐渐臃肿直至瘫痪。公司也是一样,良好的公司制度有助于企业健康、快速的发展;本篇分享的公司信息安全方针与政策,可作为公司制度的一部分,合理应用将有效地保障企业的信息资产安全。以下内容来自于网络,众平稍作修改分享。


XX公司信息安全方针与政策

第一章 总则

第一条 本方针政策旨在为重庆众平科技有限公司(Chongqing Zhongping Technology Co., Ltd.,下同)及其所有子公司、分支机构及其他关联公司(以下简称 “公司”或“众平”)信息安全管理工作提供清晰的策略方向,阐明信息安全建设和维护的重要原则,为公司信息安全管理工作提供指引并促进其体系化、规范化,符合相关法律法规及上市公司内控要求,保护信息系统及其相关资产的机密性、完整性和可用性。

第二条 本方针政策是公司开展信息安全管理工作的依据,集团公司各部门及所属子公司都应该在遵守众平信息安全方针和政策的前提下,制定适合自己的信息保护规定和相关安全标准。若集团公司各部门或下属子公司被发现有不符合此信息安全方针和政策的情况,将被要求整改。违反信息安全方针政策及支持性安全要求的系统将会被隔离,直到风险被完全控制,并采取有效措施查找解决事件发生背后的根本原因和问题。

第二章 适用范围

第三条 本方针政策适用于众平公司范围内的信息安全管理工作,用于保护众平所有的信息资产,包括但不限于:

  1. 属于众平知识产权的技术资料、公司战略决策文件;
  2. 包括电子和纸质等各种介质的客户信息、产品信息、业务经营信息、供应商及合作伙伴信息、人事信息、财务信息、办公信息等;
  3. 物理设施及硬件设备,如机房、办公场所、电话系统、服务器、网络设备、存储设备、安全设备、桌面办公电脑、移动办公及外围设备等;
  4. 计算机软件及数据,如业务应用系统、操作系统、数据库、中间件平台、工具及管理软件等。

第三章 安全组织与职责

第四条 信息安全决策层:信息安全决策层成员由公司科技委员会组成,其职责包括明确公司信息安全战略、确定公司信息安全方针、审批信息安全政策及其它管理制度、审批信息安全审计报告,审阅信息安全部工作报告及其它重大信息安全事项的决策、评审和监督等。

第五条 业务安全中心:集团业务安全中心具体落实执行公司信息安全管理工作,主要职责包括建立并维护公司信息安全管理体系,制定信息安全政策标准,开展内外部安全威胁监控及风险评估,处理信息安全事件,执行信息安全检查及审计,组织员工安全教育及安全意识培训等。

第六条 公司员工:应遵守信息安全规章制度,遵循操作规范和流程; 履行岗位信息安全职责,执行信息安全工作任务; 作为信息资产使用者,妥善使用并保护工作所涉及的信息资产; 及时上报信息安全事件或隐患;参与信息安全教育和培训等。

第四章 信息安全目标与方针

第七条 第三方:外部供应商、合作伙伴及顾问等第三方人员应理解并遵守公司信息安全要求,遵守众平保密规定,签署正式保密协议,外包驻场人员办公电脑应安装安全软件,提高安全意识等。

第七条 众平信息安全目标是保护我们的客户,保护众平品牌,以风险评估为基础,实施符合成本效益原则的信息资产保护方法,以防止公司信息资产未经授权或意外的访问、修改、破坏和披露。这种保护是基于以下原则,即无论信息使用什么样的介质或技术、无论存储在哪里、无论由谁操作或处理,都必须确保这些信息的机密性、完整性和可用性。

第八条 为实现上述信息安全目标,众平确定其信息安全方针如下:

  1. 识别出公司业务流程及信息系统中存在的可能性高、业务的安全弱点,并进行风险评估;
  2. 监控并分析来自互联网及行业的外部安全威胁,采取必要措施控制其影响;
  3. 为公司管理层、业务及风控合规等职能部门分析安全弱点和安全威胁信息;
  4. 根据公司战略及合规指引,建立信息安全控制,并根据效益成本原则实施;
  5. 建立信息安全底线检查机制,确保公司业务操作和信息系统满足底线要求;
  6. 确保拥有适当的信息安全事件响应能力,以降低公司信息系统和数据资产遭受外部攻击的风险;
  7. 防止信息资产丢失或损害;
  8. 制定并发布多层级的书面安全管理制度,包括政策、管理办法、管理流程、技术标准与规范、指南及操作手册等;
  9. 在公司内部持续提升员工的信息安全意识;
  10. 制定客户信息使用和保护策略,确保满足合规及业务要求。

第五章 信息安全和隐私保护政策

第九条 员工安全政策:新员工入职时应签订劳动合同与保密协议;员工每年应参加信息安全意识教育培训;在职期间,必须遵守公司信息安全相关管理规定;离职时应及时交还公司相关信息资产,及时关闭系统账号权限等。具体内容参见《众平员工信息安全手册》。

第十条 信息安全风险评估及资产安全政策:公司每年开展一次信息安全风险评估工作,形成风险评估报告;各部门建立并维护本部门信息资产清单等。具体内容参见《众平信息安全风险评估及资产安全管理办法》。

第十一条 数据安全和备份政策:数据划分为绝密、机密、内部使用和公用四个等级,数据文件应标识密级;根据数据密级采取加密或其他手段保护存储、传输等过程的安全性。应用系统应制定数据备份策略并执行定期备份和恢复性测试。具体内容参见《众平数据安全管理办法》、《众平数据备份管理办法》、《众平敏感信息管理规范》、《众平加密及密钥安全管理办法》。

第十二条 访问控制政策:信息系统账号创建、权限变更及账号取消应遵守相关审批流程,密码设置应有一定强度并定期修改,禁止账号共享等,具体内容参见《众平系统账号权限管理办法》。

第十三条 物理环境和终端安全政策:员工办公电脑应加域并安装防病毒和数据防泄漏等安全软件,笔记本电脑应设置BIOS 密码,员工应遵守职场物理安全管理要求,机房建设维护符合国家相关标准等,具体内容参见《公司办公环境及职场安全管理制度》、《众平员工信息安全管理办法》、《众平计算机病毒防治管理办法》、《员工电脑管理办法》、《众平公司机房管理办法》。

第十四条 通讯及网络安全政策:众平网络系统安全安全级别和功能进行区域划分,各区域采用适当的安全防护措施;网络设备应按照最小授权和职责分离原则进行访问控制,禁用不必要的网络服务,根据业务需求和实际情况进行安全配置;员工通过OA申请并安装相应安全软件后方可使用VPN访问公司内网系统;使用爬虫技术应进行安全评估,使用电子邮件传输信息应遵守信息安全管理规定,防止病毒入侵等,具体内容参见《众平通讯及网络安全管理办法》、《众平电子邮件安全管理办法》。

第十五条 移动设备及移动存储介质安全政策:员工应妥善保管自己使用的移动设备,严禁安装与工作无关的软件;移动设备报废前,应拆除硬盘,统一做消磁处理,防止信息泄露;原则上公司办公电脑禁用 USB 端口等,具体内容参见《众平移动设备及移动介质管理办法》。

第十六条 信息系统建设安全政策:在信息系统需求分析和设计阶段应确定信息系统的信息安全需求,作为详细需求和技术方案的组成部分。信息系统的开发环境要相对独立,源代码应做好安全防护确保源代码的完整性,不被非授权获取、复制和传播。新系统上线前或发生重大变更(如功能模块调整)时应进行系统安全性验收,及时修复系统漏洞。日常应严格按照运维规程开展系统安全运维监控,系统变更应遵循变更发布规范。具体参见《众平信息系统建设安全管理办法》、《众平源代码安全管理条例》、《众平安全漏洞管理办法》、《众平IT变更管理流程》、《众平应用系统软件安全功能设计规范》、《众平公有云信息安全管理要求》、《众平应用系统安全开发标准》、《众平第三方SAASFAAS 服务安全评估标准》、《众平网络安全等级保护定级规范》等相关制度。

第十七条 信息安全事件处理政策:出现网络安全攻击事件时,应按照相关流程应急响应和处置;出现员工信息安全违规事件时,应由业务安全中心出具事件调查报告并给出风险定级,上报组织人才中心和风险管理中心进行违规处罚。具体参见《众平网络安全事件应急预案》和《众平信息安全违规行为处罚管理办法》。

第十八条 信息安全合规政策:业务安全中心识别信息安全相关法律法规并组织员工学习,具体参见《众平信息安全合规管理办法》。

第十九条 信息安全组织建设和管理体系运行政策:集团科技与变革委员会制定公司信息安全战略规划;集团业务安全中心负责组织制定公司各项信息安全制度、具体工作的组织协调和监督检查;各部门设置信息安全员配合推进本部门职责范围内的信息安全具体工作。业务安全中心每年组织开展信息安全有效性测量、内部审核和管理评审工作。具体内容参见《众平信息安全组织建设管理办法》、《众平信息安全体系运行管理办法》。

第二十条 供应商安全政策:业务安全中心协同集团行政中心采购部进行供应商前期调研并加强供应商信息安全管理,防范供应商活动引起的信息泄露、信息篡改、信息不可用、非法入侵、物理环境或设施遭受破坏等风险。具体内容参见《众平 IT 软硬件产品和服务供应商安全管理办法》、《外包人员管理制度》。

第二十一条 业务连续性管理政策:业务安全中心应组织定期开展业务连续性风险评估,制定业务恢复策略和业务连续性应急预案并组织演练,具体内容参见《众平业务连续性管理办法》、《众平突发事件应急管理总体预案》。

第二十二条 隐私保护政策:

  1. 隐私保护工作遵循以下法律法规要求:《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《ISO/IEC29151:2017 个人身份信息实践指南 》、《GB/T 35273 信息安全技术-个人信息安全规范》等
  2. 公司信息安全负责人同时兼任数据保护官,负责隐私保护治理工作,向集团管理层汇报。
  3. 面向客户的应用系统应制定隐私政策并在收集客户个人信息之前要求客户主动阅读并确认隐私政策。
  4. 隐私政策应明确告知客户收集个人信息的目的和范围,对客户信息处理和传输的业务场景,如何存储和保护个人信息;客户如何查询、修改个人信息或撤回同意收集信息;关于个人信息处理问题的投诉渠道。隐私政策根据业务变化应及时更新。
  5. 客户信息收集应限制在需求范围内并严格按规程操作,对于客户信息的处理遵循最小授权和知所必须原则,确保收集处理客户信息的准确性和完整性。
  6. 对于客户信息的查询、修改、报表导出等系统操作应记录操作日志,并由业务安全中心定期监控评审有无违规行为并提出补救措施。
  7. 涉及客户信息处理的应用系统按照隐私默认原则设计,并在上线前由业务安全中心进行检查,确保仅限于已确定的目的进行客户信息收集和处理。具体参见《众平敏感信息管理规范》。
  8. 对于客户信息仅在法律规定的时间内存储,无需留存的应使用适当的技术方法安全删除或去标识化。
  9. 对于收集到的客户信息如提供给合作伙伴协助处理的,应在合同中明确说明处理客户信息的类别和信息保护要求,合同应有保密条款。如合作伙伴需将客户信息提供给分包商处理或对外披露,也应在合同或其他书面协议中说明相关情况。
  10. 公司各项安全检查和评估中应涵盖客户隐私安全评估,审核对个人信息保护控制措施的有效性,并出具评估意见。
  11. 公司应定期对涉及客户信息处理的员工开展隐私保护培训。

第六章 附则

第二十三条 本方针由集团业务安全中心负责解释和修订。

第二十四条 本方针自发布之日起实施。

相关文章阅读:

  1. 网络安全管理制度
  2. 网络机房管理制度
  3. 监控中心管理制度
  4. 信息系统建设的安全机制建设
  5. 网络与信息安全管理制度(简版)

相关文章

  • 信息系统建设服务商安全管理

    信息系统建设服务商安全管理

    第一章 目的 第一条 为了规范重庆XX中学信息系统建设和运行过程中服务商的选择,按照信息安全等级保护要求进行服务商管理,特制定本管理规范。 第二章 范围 第二条 本办法适用于重庆XX中学在信息化建设和运行过程中服务商选择的安全管理。 第三章 职责 第三条 较小项目由网络安全办公室负责服务商选择, 较大项目的服务商选择,可通过招标方式由招标小组进行选择,但须遵循本管理办法的要求。 第四章 管理细则 第四条 系统集成商的要求:要有一个国家权威部门系统工程师及数据库认证工程师; 第五条 工商要求: 第…

  • 《信息安全与管理》专业社会调研报告、岗位调研

    《信息安全与管理》专业社会调研报告、岗位调研

    随着前几年《网络安全法》的正式发布,网络安全越来越受到政府、企事业单位的关注和重视,对应的信心安全人才也逐渐走俏,人才市场上有大量岗位空缺。于是,一大波网络安全厂商便向各个高效推出了校企合作的模式,对口培训、招收人才。各个厂商之间的方案或许都有不同,本文主要参考了启明星辰的方案,当然替换成其他品牌如奇安信、深信服、绿盟等都是可以的。 信息安全专业现状 信息已成为企业的重要资源之一,随着计算机技术应用的普及,各个组织机构的运行越来越依赖计算机,各种业务的运行架构于现代化的网络环境中。企业信息系统作…

  • 制造业客户数据安全解决方案(终端安全/文件加密/介质管理等)

    制造业客户数据安全解决方案(终端安全/文件加密/介质管理等)

    针对前文制造业客户数据安全解决方案(数据防泄密需求分析)提到的泄密风险,本文详细介绍一套完整、合理的解决方案,通过该方案构建公司数据安全防护边界,自动加密、全方位保护数据安全。 1. 电脑终端数据的保护 1.1 电脑图纸文件的自动加密,从源头保护数据 对于电脑终端核心数据文件会自动强制透明加密,比如通过 PRO/E,UG,CATIA 等软件从文档创建图纸文件开始即可自动加密保护。加密前后对于数据合法使用者无任何差异,不增加用户负担、不改变任何工作流程及使用习惯。文件的保存加密、打开解密完全由后台…

  • 账号口令和权限管理制度,密码管理条例

    账号口令和权限管理制度,密码管理条例

    为加强重庆XX中学信息系统账号和口令管理,通过控制用户口令、权限,实现控制访问权限分配,防止对重庆XX中学网络的非授权访问,特制订本管理办法。 第一章 目的 第一条 为加强重庆XX中学信息系统账号和口令管理,通过控制用户口令、权限,实现控制访问权限分配,防止对重庆XX中学网络的非授权访问,特制订本管理办法。 第二章 范围 第二条 所有使用重庆XX中学网络信息系统的人员。 第三章 职责 第三条 重庆XX中学所有使用信息系统的人员均需遵守本管理办法规定,网络安全办公室负责建立账号和口令管理的规范并推…

  • 关键岗位保密协议,信息安全管理岗位保密协议

    关键岗位保密协议,信息安全管理岗位保密协议

    甲方:重庆XX中学   法定代表人: 住所地: 乙方: 乙方因在甲方单位履行职务,已经(或将要)知悉甲方秘密信息。为了明确乙方的保密义务,甲、乙双方本着平等、自愿、公平和诚实信用的原则,订立本保密协议。 一、乙方应本着谨慎、诚实的态度,采取任何必要、合理的措施,维护其于任职期间知悉或者持有的任何属于甲方或者属于第三方但甲方承诺或负有保密义务的技术秘密或 其他秘密信息,以保持其机密性。具体范围包括但不限于以下内容: 二、除了履行职务需要之外,乙方承诺,不得刺探与本职工作或本身业…

  • PKI/CA 身份认证系统具备哪些功能

    PKI/CA 身份认证系统具备哪些功能

    PKI/CA 身份认证平台通过发放和维护数字证书来建立一套信任网络,在同一信任网络中的用户通过申请到的数字证书来完成身份认证和安全处理。PKI 从技术上解决了网络通信安全的种种障碍,CA 从运营、管理、规范、法律、人员等多个角度来解决了网络信任问题。 数据中心 PKI/CA 身份认证平台功能如下: 1. CA 系统 1、证书管理:包括证书申请、证书下载、证书更新、证书注销、证书冻结、证书解冻、证书查询、证书归档; 2、模板管理:包括通用证书模板、签名证书模板、加密证书模板、设备证书模板、SSL …

- 联 系 我 们 -

+86 186-2315-0440

在线咨询:点击这里给我发消息

电子邮箱:i@zzptech.com

工作时间:9:00~18:30,工作日

微信客服