公司信息安全策略管理制度(试行) 第一章 总则 第一条 为提高公司信息安全管理水平,建立、健全信息安全管理体系,贯彻执行GB/T 22080-2008《信息安全管理体系·要求》(idt ISO/IEC27001:2005),保障公司信息系统业务的正常进行,防止由于信息安全事件导致的公司损失,确保全体员工理解信息安全的重要性,执行信息安全管理体系文件的要求,特制定本制度。 第二条 本制度是公司信息安全管理的纲领性文件,用于贯彻企业的信息安全管理方针、目标,是所有从事、涉及信息安全相关活动人员的行为准则,是向客户、向社会、向认证机构提供本公司信息安全管理保证能力的依据。 第三条 运营改善部在得到两化融合管理委员会批准的前提下负责本制度的更改和建立,运营改善部定期对其适用性、持续性、有效性进行评审,汇总更改需求和建议并上报。 第四条 本制度适用于公司所属各单位。 第二章 职责分工 第五条 公司信息安全管理工作由两化融合管理委员会指导和批准,委员会下设信息安全工作推进组,并设立信息安全顾问团。 第六条 信息安全工作推进组由运营改善部信息安全专业人员和公司各部门主管任命的信息化专业员组成。 第七条 信息安全顾问组由提供服务的外部安全产品公司或外聘的信息安全顾问组成。 第八条 信息安全工作推进组职责 (一) 建立信息安全管理方针、目标和策略; (二) 评估信息安全顾问组意见的可用性; (三) 确定公司信息资产风险准则和信息安全事件处置措施; (四) 组织并确保全公司信息安全教育活动的落实; (五) 监控公司的信息安全情况,监督检查信息安全活动的落实情况,并定期向两化融合管理委员会汇报; (六) 向两化融管理委员会提出实现信息安全目标和符合信息安全方针的改进需要,推行各项信息安全策略要求和控制措施; (七) 负责公司信息安全内部、外部评估的具体安排; (八) 推进组中各部门安全专员负责对本部门信息资产进行汇总上报,负责本部门信息安全事件的应急处理,收集、上报与本部门相关的信息安全管理方面的要求,同时负责在本部门内传达、落实公司信息安全管理策略的要求。 第九条 信息安全顾问组职责 (一) 提供信息安全相关产品的使用帮助和更新; (二) 负责为公司提供完整的信息安全管理咨询服务; (三) 提供信息安全管理方面的相关培训。 第三章 信息安全方针和目标 第十条 公司信息安全方针为: 全员参与、强化意识、规范行为、积极预防、快速响应 第十一条...
