第 1 页共 6 页XXX 单位信息安全总体方制定:审核:批准:XXX 单位信息中心二 O—五年三月第一章总则第一条为规范 XXX单位信息系统的信息安全管理,促进信息安全工作体系化、规范化,提高信息和网络服务质量,提高信息系统管理人员、使用人员的整体安全素质和水平,特制定本方针。本方针目标是为 XXX单位信息安全管理提供清晰的第 2 页共 6 页策略方向,阐明信息安全建设和管理的重要原则,阐明信息安全建设和管理所需的支持和承诺。第二条本方针是指导 XXX 单位信息安全工作的基本依据,信息安全相关人员依据本方针,并根据工作实际情况,制定并遵守相应的安全标准、流程和安全制度及其实施细则,做好信息安全管理工作。第三条信息安全是 XXX 单位信息系统管理工作的重要内容。XXX 单位管理层非常重视,大力支持信息安全工作,并给予所需的人力物力资源。第四条本方针的适用人员包括所有与 XXX单位信息系统各方面相关联的人员,它适用于全部员工,集成商,软件开发商,产品提供商,顾问,临时工和使用 XXX 单位信息系统的其他第三方。第五条本方针适用范围包括 XXX 单位信息系统拥有的、控制和管理的所有计算机系统、数据和网络环境。第六条本方针主要依据国际标准 ISO17799,并遵照我国信息安全有关法律法规和相关标准。第二章信息安全管理的主要原则第七条管理与技术并重原则:信息安全不是单纯的技术问题,在采用安全技术和产品的同时,应重视管理,不断完善信息安全管理制度与管理规程,全面提高信息安全管理水平。第八条全过程原则:信息安全是一个系统工程,应将它落实在系统的计划组织、开发采购、实施交付、运行维护、废弃五个阶段的全生命周期管理过程中,信息安全建设管理应遵循与信息系统同步规划、同步建设、同步运行的原则。第九条风险管理和风险控制原则:应进行信息安全风险管理和风险控制,将信息安全风险减低、控制在可以接受的程度内,并将其带来的危害最小化。第十条分级保护原则:应根据信息资产的重要程度以及面临的风险大小等因素确定各类信息资产的安全保护级别。第 3 页共 6 页第十一条统一规划、分级管理原则:信息安全管理遵循统一规划、分级管理的原则。上级主管部门信息安全领导小组负责对 XXX单位信息安全管理工作进行统一规划,各级单位(部门)在上级主管部门信息安全领导小组的领导与监督下,负责本单位(部门)的信息安全管理工作。第十二条平衡原则:在 XXX单位信息安全管理过程中,应在安全性与投入成本...
