此前说到,一个系统若没有有效的制度协助管理运营人员来管理,那么即便再好的系统和设备,不日也会逐渐臃肿直至瘫痪。公司也是一样,良好的公司制度有助于企业健康、快速的发展;本篇分享的公司信息安全方针与政策,可作为公司制度的一部分,合理应用将有效地保障企业的信息资产安全。以下内容来自于网络,众平稍作修改分享。


XX 公司信息安全方针与政策

第一章 总则

第一条 本方针政策旨在为重庆众平科技有限公司(Chongqing Zhongping Technology Co., Ltd.,下同)及其所有子公司、分支机构及其他关联公司(以下简称 “公司”或“众平”)信息安全管理工作提供清晰的策略方向,阐明信息安全建设和维护的重要原则,为公司信息安全管理工作提供指引并促进其体系化、规范化,符合相关法律法规及上市公司内控要求,保护信息系统及其相关资产的机密性、完整性和可用性。

第二条 本方针政策是公司开展信息安全管理工作的依据,集团公司各部门及所属子公司都应该在遵守众平信息安全方针和政策的前提下,制定适合自己的信息保护规定和相关安全标准。若集团公司各部门或下属子公司被发现有不符合此信息安全方针和政策的情况,将被要求整改。违反信息安全方针政策及支持性安全要求的系统将会被隔离,直到风险被完全控制,并采取有效措施查找解决事件发生背后的根本原因和问题。

第二章 适用范围

第三条 本方针政策适用于众平公司范围内的信息安全管理工作,用于保护众平所有的信息资产,包括但不限于:

  1. 属于众平知识产权的技术资料、公司战略决策文件;
  2. 包括电子和纸质等各种介质的客户信息、产品信息、业务经营信息、供应商及合作伙伴信息、人事信息、财务信息、办公信息等;
  3. 物理设施及硬件设备,如机房、办公场所、电话系统、服务器、网络设备、存储设备、安全设备、桌面办公电脑、移动办公及外围设备等;
  4. 计算机软件及数据,如业务应用系统、操作系统、数据库、中间件平台、工具及管理软件等。

第三章 安全组织与职责

第四条 信息安全决策层:信息安全决策层成员由公司科技委员会组成,其职责包括明确公司信息安全战略、确定公司信息安全方针、审批信息安全政策及其它管理制度、审批信息安全审计报告,审阅信息安全部工作报告及其它重大信息安全事项的决策、评审和监督等。

第五条 业务安全中心:集团业务安全中心具体落实执行公司信息安全管理工作,主要职责包括建立并维护公司信息安全管理体系,制定信息安全政策标准,开展内外部安全威胁监控及风险评估,处理信息安全事件,执行信息安全检查及审计,组织员工安全教育及安全意识培训等。

第六条 公司员工:应遵守信息安全规章制度,遵循操作规范和流程; 履行岗位信息安全职责,执行信息安全工作任务; 作为信息资产使用者,妥善使用并保护工作所涉及的信息资产; 及时上报信息安全事件或隐患;参与信息安全教育和培训等。

第四章 信息安全目标与方针

第七条 第三方:外部供应商、合作伙伴及顾问等第三方人员应理解并遵守公司信息安全要求,遵守众平保密规定,签署正式保密协议,外包驻场人员办公电脑应安装安全软件,提高安全意识等。

第七条 众平信息安全目标是保护我们的客户,保护众平品牌,以风险评估为基础,实施符合成本效益原则的信息资产保护方法,以防止公司信息资产未经授权或意外的访问、修改、破坏和披露。这种保护是基于以下原则,即无论信息使用什么样的介质或技术、无论存储在哪里、无论由谁操作或处理,都必须确保这些信息的机密性、完整性和可用性。

第八条 为实现上述信息安全目标,众平确定其信息安全方针如下:

  1. 识别出公司业务流程及信息系统中存在的可能性高、业务的安全弱点,并进行风险评估;
  2. 监控并分析来自互联网及行业的外部安全威胁,采取必要措施控制其影响;
  3. 为公司管理层、业务及风控合规等职能部门分析安全弱点和安全威胁信息;
  4. 根据公司战略及合规指引,建立信息安全控制,并根据效益成本原则实施;
  5. 建立信息安全底线检查机制,确保公司业务操作和信息系统满足底线要求;
  6. 确保拥有适当的信息安全事件响应能力,以降低公司信息系统和数据资产遭受外部攻击的风险;
  7. 防止信息资产丢失或损害;
  8. 制定并发布多层级的书面安全管理制度,包括政策、管理办法、管理流程、技术标准与规范、指南及操作手册等;
  9. 在公司内部持续提升员工的信息安全意识;
  10. 制定客户信息使用和保护策略,确保满足合规及业务要求。

第五章 信息安全和隐私保护政策

第九条 员工安全政策:新员工入职时应签订劳动合同与保密协议;员工每年应参加信息安全意识教育培训;在职期间,必须遵守公司信息安全相关管理规定;离职时应及时交还公司相关信息资产,及时关闭系统账号权限等。具体内容参见《众平员工信息安全手册》。

第十条 信息安全风险评估及资产安全政策:公司每年开展一次信息安全风险评估工作,形成风险评估报告;各部门建立并维护本部门信息资产清单等。具体内容参见《众平信息安全风险评估及资产安全管理办法》。

第十一条 数据安全和备份政策:数据划分为绝密、机密、内部使用和公用四个等级,数据文件应标识密级;根据数据密级采取加密或其他手段保护存储、传输等过程的安全性。应用系统应制定数据备份策略并执行定期备份和恢复性测试。具体内容参见《众平数据安全管理办法》、《众平数据备份管理办法》、《众平敏感信息管理规范》、《众平加密及密钥安全管理办法》。

第十二条 访问控制政策:信息系统账号创建、权限变更及账号取消应遵守相关审批流程,密码设置应有一定强度并定期修改,禁止账号共享等,具体内容参见《众平系统账号权限管理办法》。

第十三条 物理环境和终端安全政策:员工办公电脑应加域并安装防病毒和数据防泄漏等安全软件,笔记本电脑应设置 BIOS 密码,员工应遵守职场物理安全管理要求,机房建设维护符合国家相关标准等,具体内容参见《公司办公环境及职场安全管理制度》、《众平员工信息安全管理办法》、《众平计算机病毒防治管理办法》、《员工电脑管理办法》、《众平公司机房管理办法》。

第十四条 通讯及网络安全政策:众平网络系统安全安全级别和功能进行区域划分,各区域采用适当的安全防护措施;网络设备应按照最小授权和职责分离原则进行访问控制,禁用不必要的网络服务,根据业务需求和实际情况进行安全配置;员工通过 OA 申请并安装相应安全软件后方可使用 VPN 访问公司内网系统;使用爬虫技术应进行安全评估,使用电子邮件传输信息应遵守信息安全管理规定,防止病毒入侵等,具体内容参见《众平通讯及网络安全管理办法》、《众平电子邮件安全管理办法》。

第十五条 移动设备及移动存储介质安全政策:员工应妥善保管自己使用的移动设备,严禁安装与工作无关的软件;移动设备报废前,应拆除硬盘,统一做消磁处理,防止信息泄露;原则上公司办公电脑禁用 USB 端口等,具体内容参见《众平移动设备及移动介质管理办法》。

第十六条 信息系统建设安全政策:在信息系统需求分析和设计阶段应确定信息系统的信息安全需求,作为详细需求和技术方案的组成部分。信息系统的开发环境要相对独立,源代码应做好安全防护确保源代码的完整性,不被非授权获取、复制和传播。新系统上线前或发生重大变更(如功能模块调整)时应进行系统安全性验收,及时修复系统漏洞。日常应严格按照运维规程开展系统安全运维监控,系统变更应遵循变更发布规范。具体参见《众平信息系统建设安全管理办法》、《众平源代码安全管理条例》、《众平安全漏洞管理办法》、《众平 IT 变更管理流程》、《众平应用系统软件安全功能设计规范》、《众平公有云信息安全管理要求》、《众平应用系统安全开发标准》、《众平第三方 SAASFAAS 服务安全评估标准》、《众平网络安全等级保护定级规范》等相关制度。

第十七条 信息安全事件处理政策:出现网络安全攻击事件时,应按照相关流程应急响应和处置;出现员工信息安全违规事件时,应由业务安全中心出具事件调查报告并给出风险定级,上报组织人才中心和风险管理中心进行违规处罚。具体参见《众平网络安全事件应急预案》和《众平信息安全违规行为处罚管理办法》。

第十八条 信息安全合规政策:业务安全中心识别信息安全相关法律法规并组织员工学习,具体参见《众平信息安全合规管理办法》。

第十九条 信息安全组织建设和管理体系运行政策:集团科技与变革委员会制定公司信息安全战略规划;集团业务安全中心负责组织制定公司各项信息安全制度、具体工作的组织协调和监督检查;各部门设置信息安全员配合推进本部门职责范围内的信息安全具体工作。业务安全中心每年组织开展信息安全有效性测量、内部审核和管理评审工作。具体内容参见《众平信息安全组织建设管理办法》、《众平信息安全体系运行管理办法》。

第二十条 供应商安全政策:业务安全中心协同集团行政中心采购部进行供应商前期调研并加强供应商信息安全管理,防范供应商活动引起的信息泄露、信息篡改、信息不可用、非法入侵、物理环境或设施遭受破坏等风险。具体内容参见《众平 IT 软硬件产品和服务供应商安全管理办法》、《外包人员管理制度》。

第二十一条 业务连续性管理政策:业务安全中心应组织定期开展业务连续性风险评估,制定业务恢复策略和业务连续性应急预案并组织演练,具体内容参见《众平业务连续性管理办法》、《众平突发事件应急管理总体预案》。

第二十二条 隐私保护政策:

  1. 隐私保护工作遵循以下法律法规要求:《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《ISO/IEC29151:2017 个人身份信息实践指南 》、《GB/T 35273 信息安全技术-个人信息安全规范》等
  2. 公司信息安全负责人同时兼任数据保护官,负责隐私保护治理工作,向集团管理层汇报。
  3. 面向客户的应用系统应制定隐私政策并在收集客户个人信息之前要求客户主动阅读并确认隐私政策。
  4. 隐私政策应明确告知客户收集个人信息的目的和范围,对客户信息处理和传输的业务场景,如何存储和保护个人信息;客户如何查询、修改个人信息或撤回同意收集信息;关于个人信息处理问题的投诉渠道。隐私政策根据业务变化应及时更新。
  5. 客户信息收集应限制在需求范围内并严格按规程操作,对于客户信息的处理遵循最小授权和知所必须原则,确保收集处理客户信息的准确性和完整性。
  6. 对于客户信息的查询、修改、报表导出等系统操作应记录操作日志,并由业务安全中心定期监控评审有无违规行为并提出补救措施。
  7. 涉及客户信息处理的应用系统按照隐私默认原则设计,并在上线前由业务安全中心进行检查,确保仅限于已确定的目的进行客户信息收集和处理。具体参见《众平敏感信息管理规范》。
  8. 对于客户信息仅在法律规定的时间内存储,无需留存的应使用适当的技术方法安全删除或去标识化。
  9. 对于收集到的客户信息如提供给合作伙伴协助处理的,应在合同中明确说明处理客户信息的类别和信息保护要求,合同应有保密条款。如合作伙伴需将客户信息提供给分包商处理或对外披露,也应在合同或其他书面协议中说明相关情况。
  10. 公司各项安全检查和评估中应涵盖客户隐私安全评估,审核对个人信息保护控制措施的有效性,并出具评估意见。
  11. 公司应定期对涉及客户信息处理的员工开展隐私保护培训。

第六章 附则

第二十三条 本方针由集团业务安全中心负责解释和修订。

第二十四条 本方针自发布之日起实施。

相关文章阅读:

  1. 网络安全管理制度
  2. 网络机房管理制度
  3. 监控中心管理制度
  4. 信息系统建设的安全机制建设
  5. 网络与信息安全管理制度(简版)

相关文章

  • 账号口令和权限管理制度,密码管理条例

    账号口令和权限管理制度,密码管理条例

    为加强重庆 XX 中学信息系统账号和口令管理,通过控制用户口令、权限,实现控制访问权限分配,防止对重庆 XX 中学网络的非授权访问,特制订本管理办法。 第一章 目的 第一条 为加强重庆 XX 中学信息系统账号和口令管理,通过控制用户口令、权限,实现控制访问权限分配,防止对重庆 XX 中学网络的非授权访问,特制订本管理办法。 第二章 范围 第二条 所有使用重庆 XX 中学网络信息系统的人员。 第三章 职责 第三条 重庆 XX 中学所有使用信息系统的人员均需遵守本管理办法规定,网络安全办公室负责建立…

  • 信息安全领导机构组成与职责

    信息安全领导机构组成与职责

    本系列文章来自于此前的真实项目案例,是一个学校安全系统建设中部分服务的内容,是给该单位的一套《安全制度汇编》,本篇文章信息安全领导机构组成与职责,适用于一般单位的信息安全机构建立。原文档见附件。 第一章 目的 第一条 为更好的实现对重庆 XX 中学信息系统的安全管理,促进各项制度、措施的落实,经领导研究决定成立以信息安全领导小组为管理机构、信息安全工作小组为执行机构的组织架构,负责重庆 XX 中学信息安全建设及防护。 第二章 范围 第二条 本标准针对重庆 XX 中学信息安全组织建设相关事务,规定…

  • 数据中心与大数据安全系统建设的总体架构

    数据中心与大数据安全系统建设的总体架构

    展开文章目录 文章目录 1、边界安全防护 2、平台安全防护 3、业务安全防护 4、数据安全防护 针对数据中心与大数据安全威胁的多样化、体系化,防御体系利用先发优势,在各个层面进行纵深覆盖,实现风险分化、协同互补,构建一套环环相扣的威胁感知、边界安全防护、平台安全防护、业务安全防护、数据安全防护多重纵深防御体系。 从云端到终端、从业务到数据、从事前到事后,为数据中心提供无所不在的全方位保护,在大数据环境中为用户提供多层次、多维度、体系化纵深防御的解决方案,综合提升应对新型安全威胁的能力,真正做到看…

  • 信息安全检查和审核管理

    信息安全检查和审核管理

    为形成信息安全检查和审核长效机制,提高重 庆市城市照明管理局全体职工信息安全意识,特制订本规范。 第一章 目的 第一条  为形成信息安全检查和审核长效机制,提高重 庆市城市照明管理局全体职工信息安全意识,特制订本规范。 第二章 范围 第二条 本管理制度适用于重庆 XX 中学在信息安全管理过程中的周期信息安全检查和审核管理。 第三章 职责 第三条 网络安全办公室负责协调,网络安全办公室安全管理员负责常规的信息系统安全检查和记录。信息安全工作小组负责对重庆 XX 中学在信息系统安全抽查, …

  • 信息安全领导小组沟通与合作管理

    信息安全领导小组沟通与合作管理

    展开文章目录 文章目录 第一章  目的 第二章    范围 第三章    职责 第四章    管理细则 为加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通,加强与外部相关单位的沟通与合作,特制订本规范。 第一章  目的 第一条 为加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通,加强与外部相关单位的沟通与合作,特制订本规范。 第二章  …

  • 智慧城市建设与大数据安全问题研究

    智慧城市建设与大数据安全问题研究

    展开文章目录 文章目录 1 引言 2 智慧城市建设与大数据安全 2.1 智慧城市建设 2.2 大数据安全 3 大数据安全问题产生的原因 3.1 智慧城市建设中的大数据安全问题 3.2 大数据安全问题的原因分析 4 提升智慧城市大数据安全能力 4.1 强化智慧城市大数据安全管理能力 4.2 关注新兴技术,升级大数据安全保障工具箱 5 结束语 通过对智慧城市建设总体架构、大数据安全等内容进行研究,归纳整理了智慧城市建设过程中面临的大数据安全问题。通过分析大数据安全问题产生的原因,给出提升大数据安全能…

- 联 系 我 们 -

+86 186-2315-0440

在线咨询:点击这里给我发消息

电子邮箱:i@zzptech.com

工作时间:7*24h,全年无休

关注微信