XXX公司信息安全总体方案及安全策略.doc

XXX公司

信息安全总体方案及安全策略

XX部

第一章 总则

为加强XXX公司的信息安全管理,切实保护公司相关合法利益，特制定本制度。

本文件用于指导XXX公司建立并实施信息安全管理体系的行动准则，适用于公司信息安全的相关各项日常安全管理。

第二章 信息安全总体方针、总体目标、工作原则和体系框架

第一条 信息安全总体方针：

（一）在公司信息安全中心的领导下，全面贯彻国家关于信息安全工作的相关指导性文件精神，在公司内部建立可持续改进的信息安全管理体系。

（二）全员参与信息安全管理体系建设，落实信息安全管理责任制，建立和完善各项信息安全管理制度，使得信息安全管理有章可循。

（三）通过定期的信息安全宣传、教育与培训，不断提高公司所有人员的信息安全意识及能力。

（四）推行预防为主的信息安全积极防御理念，同时对所发生的信息安全事件进行快速、有序地响应。

（五）贯彻风险管理的理念，定期对信息系统进行风险评估和控制，将信息安全风险控制在可接受的水平。

（六）持续改进公司信息安全各项工作，保障网络系统安全畅通与可控，保障所开发和维护信息系统的安全稳定，为社会公众提供安全可靠的服务。

第二条 信息安全总体目标

（一）按照等级保护要求，对公司信息系统进行建设和运维。

（二）建立公司信息化资产目录（包括软件、硬件、数据信

息等）。

（三）建立健全并持续改进公司安全管理体系。

（四）编制完成公司网络和信息安全事件总体应急预案，并组织应急演练。

（五）每年至少开展一次由第三方机构主导的信息安全风险评估，同时公司内部定期进行自评估，保障信息系统的安全。

（六）每年至少组织一次全公司范围的信息安全管理制度宣传贯彻。

第三条 信息安全工作原则

（一）以自身为主，坚持技术与管理并重。

（二）正确处理安全与发展的关系，以安全保发展，在发展中求安全。

（三）统筹规划，突出重点，强化基础工作。