催收服务体系.pdfVIP

催收服务体系

（1）目的

信息安全策略奠定我公司为实施信息资产保护所使用原则的基

础。所有公司人员必须明了及遵循信息安全原则。

（2）适用范围

本策略适用于接触到公司信息资产的所有人员，包括但不限于

公司及其分公司的所有部门.内部正式员工.第三方人员（包括并不

限于外包公司人员.代理人.厂商工程师.咨询公司顾问等）。

（3）信息安全规范

信息安全的实施是以一系列的信息安全文档，有层次地确立信

息安全的原则.标准.基线.指引.守则及流程来指导公司人员进行构

建适当的信息安全措施来实现保护公司信息资产。

信息安全规范通过以下的层级来展示：

方针：奠定公司管理高层对信息资产保护的承诺及实施的指导。

策略：确立信息保护的原则及方向。

标准：详细说明各信息安全原则施行的要求，列出对于信息及

信息系统保护控制的细则。

基线：详述信息安全标准实施时的最低控制要求，通常应用于

科技系统（如平台.操作系统.应用系统.网络设备及传输）上。

指引.守则：详述信息安全标准实施时的规范，说明公司人员使

用公司信息.设备时所须遵循规则。

流程：制定在执行信息保护操作时的程序及步骤，公司人员必

须严格遵循流程，以确保达到信息保护的要求。

4.1信息安全规范的实施

所有信息安全规范说明“必须”的规则为强制执行的信息安全

要求，若不遵循是违反信息安全规范；而“建议”项是说明信息安

全应达到的最佳实践原则，并没有强制性，不依循并不是违反信息

安全规范，但实施方应能具体说明不遵照的原因。如信息安全规范

文档没有具体说明实施日期，新确立信息安全规范在正式发布时即

刻生效，对于因新规范的建立而引至不符合信息安全规则的，必须

在规范发布的一年内完成整改。在新信息安全规范发布时，各部门

及员工必须检查并制定整改计划，落实执行。对于未能按时符合新

信息安全规则的，必须遵照例外流程申请及审批。

4.2信息安全规范的评审

所有信息安全规范文档，必须在公司架构发生重大变化时及至

少在最近变更的一年内进行复审，确保规范的持续性.稳定性.充分

性及有效性。在许可的情况下，亦可透过独立的审查组织进行评审。

（5）信息安全原则

5.1资产分类及控制

5.1.1信息分类

所有信息资产，包括著述.口述.及电子信息，都应该根据其敏

感性.重要程度以及业务所要求的访问限制原则进行分类和标识。

5.1.2资产管理

所有与信息相关的重要资产都应该在资产清单中标出，并及时

维护更新。所有资产都应该被详细说明，必须指明具体的拥有者。

拥有者可以是个人，也可以是某个部门。若拥有者的身份是部门时，

该资产则由部门主管负责监护。

5.2人事管理

5.2.1人员安全

所有作业岗位必须有安全职责描述，并明确说明岗位的敏感性。

员工在入职前必须通过品格审查，并签订必威体育官网网址协议。人员岗位发生

变化或离司时，必须执行相关程序，确保信息资产保护不受影响。

违反公司信息安全规范的人员会按处罚规则处理。

5.2.2意识

所有员工必须通过接受信息安全教育.培训来提高信息安全意识。

目的是使所有员工认识到信息安全的主要元素.明白各信息安全标准

的必要性及了解自己所需承担的信息安全责任，并遵循公司信息安

全相关规则。

5.3物理及环境安全

5.3.1物理及环境安全

采取相应的物理安全防范，以防止公司信息资产及信息系统在

未经授权下受到物理访问.破坏或干扰。

设计和实施适当的物理环境保护措施，防范或减低火灾.水灾.

骚乱等天灾.意外或人为灾难对信息设备的影响。

5.4通讯及操作管理

5.4.1通讯

所有连接到公司网络的线路，必须采取适当的安全措施，以保

护内部网络.信息.信息系统.及传输中的信息，尤其是与公共网络及

非公司管理的网络的连接控制更为重要。

5.4.2办公环境安全

所有办公室环境.设备及其网络系统必须妥善控制，保护信息在

储存.处理.传输中信息的完整性及安全性。办公室系统包括复印机.

传真.内部邮件传递.档案柜等信息传输及储存设备。

5.4.3角色及责任

各部门.单位所担当的信息保护角色及其所负的责任