XXX 公司信息安全总体方针和安全策略指引第一章总则第一条为了进一步深化贯彻落实国家政策文件要求,加强公司信息安全经管工作,切实提高公司信息系统安全保障能力,特制定本指引.第二条本指引适合于公司。第三条公司信息安全经管遵循如下原则:(一) 主要领导负责原则:公司主要领导负责信息安全经管工作,统筹规划信息安全经管目标和策略,建立信息安全保障队伍并合理配置资源;(二) 全员参加原则:公司全员参加信息系统的安全经管工作,将信息安全与本职工作相结合,相互协同工作,仔细落实信息安全经管要求,共同保障信息系统安全;(三) 合规性原则:信息安全经管制度遵循国际信息安全经管法律规范,以国家信息安全法律、法规、法律规范、法律规范为根本依据,全面符合相关主管部门和公司的各类要求。(四) 监督制约原则:信息系统安全经管组织结构、组织职责、岗位职责、工作流程层面、执行层面建立相互监督制约机制,降低因缺乏约束而产生的安全风险。(五) 法律规范化原则:通过建立法律规范化的工作流程,在执行层面对信息系统安全工作进行合理控制,降低由于工作随意性而产生的安全风险,同时提升信息安全经管制度的可操作性。(六) 持续改进原则:通过不断的持续改进,每年组织公司经管层对制度的全面性、适用性和有效性进行论证和审定,并进行版本修订。第四条本指引适用于公司全体人员.第二章信息安全保障框架及目标第五条参照国内外相关法律规范,并结合公司已有网络与信息安全体系建设的实际情况,最终形成依托于安全保护对象为基础,纵向建立安全经管体系、安全技术体系、安全运行体系和安全经管中心的“三个体系,一个中心,三重防护”的安全保障体系框架。(一) “三个体系”:信息安全经管体系、信息安全技术体系和信息安全运行体系,把信息安全法律规范的控制点和公司实际情况相结合形成相适应的体系结构框架;(二) “一个中心":信息安全经管中心,实现“自动、平台化”的安全工作经管、统一技术经管和安全运维经管;(三) “三重防护":安全计算环境防护措施、安全区域边界防护措施和安全网络通信防护措施,把安全技术控制措施与安全保护对象相结合。第六条公司安全保障框架:(一) 安全经管体系:信息安全经管体系重点落实安全经管制度、安全经管机构和人员安全经管的相关控制要求,并结合公司的实际情况形成符合行业和国家信息安全法律规范的信息安全经管体系框架。(二) 安全技术体系:通过安全技术在物理、网络、...
