信息安全策略.pdfVIP

DOCNO

QEMInformationSecurityPolicy文件编号QEM-XXX

一阶文件信息安全策略REV版本A0

PAGE页码1of12

1.目的

为了提高员工信息安全防范意识和操作技能，保障公司信息安全，制定信息安全策略。

2.范围

适用于公司（含分/子公司）资产、人力资源、环境、通信等信息安全管理。

3.定义（无）

4.权责

4.1IT部

4.1.1）负责本策略的制订、更新，定期对本管理策略进行适应性评估，并进行改进。

4.1.2）负责帐号开立，初始密码设置，密码强制更新，妥善保存各类密码等。

4.2信息安全执行组：指导与监督本策略在全公司内部执行与落实。

4.3信息安全管理员：定期或不定期对本策略的执行情况及效果进行审计，并提供改进建议。

4.4各部门负责人：负责监督与协助该策略在本部门的执行与落实。

4.5全体员工遵照执行本管理策略要求，并提供改进建议。

5.作业内容

5.1信息安全组织策略

5.1.1通过建立与本企业组织相关的以下二个安全策略，促进本企业建立合理的信息安全管理组织结构

与功能，以协调、监控安全目标的实现。与本企业组织有关的策略分内部组织和外部组织两部分来描述。

5.1.2策略一：在本企业建立信息安全管理架构

1）策略目标：在本企业内有效地管理信息安全。

2）策略内容：本企业应建立专门的信息安全组织体系，以管理信息安全事务，指导信息安全实践。

3）策略描述：通过建立信息安全管理组织，启动和控制本企业范围内的信息安全工作的实施，批准信息

安全方针与策略、确定安全工作分工和相应人员，以及协调和评审整个公司信息安全工作的实施。根据需

要，还可以在本企业范围内建立信息安全议题专家建议库，在本企业使用；建立与外部安全专家或组织（包

括相关权威人士）的联系，以便跟踪行业趋势、各类标准和评估方法；当处理信息安全事故时，提供合适

的联系人和联系方式，以快速及时地对安全事件进行响应；鼓励采用多学科方法来解决信息安全问题。

5.1.3策略二：对外部组织访问本企业信息资产进行管理

1）策略目标：确保被外部组织访问的信息资产得到了安全保护。

2）策略内容：本企业的信息处理设施和信息资产的安全不应由于客户、第三方的访问或引入外部各方的

产品或服务而降低。当任何外部各方需要对本企业信息处理设施的进行访问、对信息资产的进行处理和通

信时，本企业相关部门应当与外部各方签订协议，并采取有效的措施进行安全控制。

FP001-05C

DOCNO

QEMInformationSecurityPolicy文件编号QEM-XXX

一阶文件信息安全策略REV版本A0

PAGE页码2of12

3）策略说明：本企业不可避免地需要与外界进行业务往来与信息沟通，经常需要向外部组织开放其信息

和信息处理设施。因此，需要对外部组织访问本企业信息资产带来的安全风险进行评估，并根据风险水平，

在必要时与外部组织签订协议，向其声明本企业信息安全方针与策略，确定所需的安全控制措施。

5.2资产管理策略

5.2.1本企业要有效地控制安全风险，首先要识别信息资产，并进行科学而有效的分类，然后在各个管理

层面对资产落实责任，采用恰当的控制措施对信息资产进行风险管理，通过以下二个策略实施对信息资产

的有效管理。

5.2.2策略一：为信息资产建立问责制

1）策略目标：对本企业的信息资产建立问责制，