三级等保-安全管理制度-信息安全管理策略

＊ 主办部门：系统运维部 执 笔 人: 审 核 人：XXXXX信息安全管理策略 V0。1XXX—XXX-XX—010012025 年 3 月 17 日［本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属 XXXXX 所有，受到有关产权及版权法保护.任何个人、机构未经 XXXXX 的书面授权许可，不得以任何方式复制或引用本文件的任何片断。］文件版本信息版本日期拟稿和修改说明V0。12025.3.17拟稿文件版本信息说明记录本文件提交时当前有效的版本控制信息，当前版本文件有效期将在新版本文档生效时自动结束。文件版本小于1。0 时，表示该版本文件为草案，仅可作为参照资料之目的。阅送范围内部发送部门：综合部、系统运维部目 录第一章 总则....................................................1第二章 信息安全方针 第三章 信息安全策略 第四章 附则 第一章 总则第一条 为法律规范 XXXXX 信息安全系统，确保业务系统安全、稳定和可靠的运行,提升服务质量，不断推动信息安全工作的健康进展.根据《中华人民共和国计算机信息系统安全保护条例》、《信息安全技术信息系统安全等级保护基本要求》（GB/T22239—2025）、《金融行业信息系统信息安全等级保护实施指引》（JR/T 0071-2025）、《金融行业信息系统信息安全等级保护测评指南》（JR/T 0072—2025），并结合 XXXXX 实际情况，特制定本策略。第二条 本策略为 XXXXX 信息安全管理的纲领性文件，明确提出 XXXXX 在信息安全管理方面的工作要求，指导信息安全管理工作。为信息安全管理制度文件提供指引，其它信息安全相关文件在制定时不得违反本策略中的规定。第三条 网络与信息安全工作领导小组负责制定信息安全管理策略.第二章 信息安全方针第四条 XXXXX 的信息安全方针为：安全第一、综合防范、预防为主、持续改进.（一）安全第一：信息安全为业务的可靠开展提供基础保障。把信息安全作为信息系统建设和业务经营的首要任务；（二）综合防范:管理措施和技术措施并重,建立有效的识别和预防信息安全风险机制，合理选择安全控制方式，使信息安全风险的发生概率降低到可接受水平;（三)预防为主:依据国家、行业监管机构相关规定和信息安全管理最佳实践，根据信息资产的重要性等级，对重要信息资产实行有效措施消除可能的隐患，降低信息安全事件的发生概率；（四）持续改进：建立全面覆盖信息安全各个管理域的，可度量的、可管理的管理机制，并在此基...