xxx 单位信息安全总体方针制定: 审核: 批准:xxx 单位信息中心二〇一五年三月第一章 总则第一条为法律规范 xxx 单位信息系统的信息安全管理,促进信息安全工作体系化、法律规范化,提高信息和网络服务质量,提高信息系统管理人员、使用人员的整体安全素养和水平,特制定本方针
本方针目标是为 xxx 单位信息安全管理提供清楚的策略方向,阐明信息安全建设和管理的重要原则,阐明信息安全建设和管理所需的支持和承诺
第二条本方针是指导 xxx 单位信息安全工作的基本依据,信息安全相关人员依据本方针,并根据工作实际情况,制定并遵守相应的安全标准、流程和安全制度及其实施细则,做好信息安全管理工作
第三条信息安全是 xxx 单位信息系统管理工作的重要内容
xxx 单位管理层非常重视,大力支持信息安全工作,并给予所需的人力物力资源
第四条本方针的适用人员包括所有与 xxx 单位信息系统各方面相关联的人员,它适用于全部员工,集成商,软件开发商,产品提供商,顾问,临时工和使用 xxx 单位信息系统的其他第三方
第五条本方针适用范围包括 xxx 单位信息系统拥有的、控制和管理的所有计算机系统、数据和网络环境
第六条本方针主要依据国际标准 ISO17799,并遵照我国信息安全有关法律法规和相关标准
第二章 信息安全管理的主要原则第七条管理与技术并重原则:信息安全不是单纯的技术问题,在采纳安全技术和产品的同时,应重视管理,不断完善信息安全管理制度与管理规程,全面提高信息安全管理水平
第八条全过程原则:信息安全是一个系统工程,应将它落实在系统的计划组织、开发采购、实施交付、运行维护、废弃五个阶段的全生命周期管理过程中,信息安全建设管理应遵循与信息系统同步规划、同步建设、同步运行的原则
第九条风险管理和风险控制原则:应进行信息安全风险管理和风险控制,将信息安全风险减低、控制在可以接受的程度内,并将其带来的
