信息安全管理手册 0.4 信息安全方针 为保护公司的信息资产,以及软硬件设施、软件、数据、文件等信息的安全,使其免于因外在的威胁或者内部管理不善而遭受泄密、破坏或者遗失的风险,特制定信息安全方针。 公司的信息安全方针是: “高度重视、全面管理、积极预防、持续改进” 此信息安全方针适用于公司全体员工。 此方针由公司领导层和各部门负责人以会议或会签的形式讨论评审通过,并经总经理签字颁发,自颁发之日起开始生效。 此方针由管理层根据公司内、外环境的变化适时予以修订、调整并予以公告。公司全体员工以及相关各方应该随时关注信息安全方针的变化并按照最新的信息安全方针执行。 0.5、信息安全目标: 本公司信息安全目标: 1) 安全事件发生次数: 重大安全事件目标值:0 次/年 ,较大安全事件目标值:不大于 4 次/年,一般安全事件目标值:不大于8 次/年。 2) 信息泄密次数: 保证各种需要保密的资料(包括 电 子 文档 、光 盘 等)不被 泄密,确 保秘 密、机 密信息不泄漏 给 非 授 权 人员。 信息泄密次数目标值:0 次/年 各部门信息安全目标: 部 门 部门信息安全目标 统计方式 监测频率 综合部 1、人员招聘手续办理完成率100%; 2、人员教育或培训实施率100%; 3、人员离职手续办理完成率100%。 4、办公环境消防设施配置率100% 5、办公环境消防设施点检率100% 6、每年至少组织实施完成1次信息安全内审,且资料齐全; 7、每年至少组织实施完成1次信息安全管理评审,且资料齐全; 8、每年至少进行1 次信息安全体系文件评审及更新。 1、查看全部员工入职手续办理情况; 2、查看培训计划及培训实施情况; 3、查看实际人员离职及手续办理情况。 4、现场检查办公环境消防器材配备情况; 5、现场检查办公环境消防器材的检修情况. 6、按照信息安全内审计划执行内审及改进,及时整理信息安全内审资料; 7、按照信息安全管理评审计划执行评审及改进,及时整理信息安全管理评审资料; 8、每年集中对信息安全管理体系文件进行评审,必要时进行更新; 每年 技术部 1、每年至少组织实施完成1次风险评估; 2、网络非正常中断每月≤1次; 3、主机系统非正常中断每月≤1 次。 1、每年组织各相关部门进行风险评估回顾、对新增或发生变化的信息资产进行风险评估; 2、以每月的网络中断事件为依据; 3、以每月的主机系统中断事件为依据。 每年 其他部门 重要文档及数据...
