ISO27001--信息安全策略

信息安全策略

1.目的

本文档旨在确立公司的信息安全策略，以保护公司的信息资产免受未经授权的访问、使用、泄露、破坏等风险。

2.范围

该策略适用于公司的所有信息系统、网络、设备和人员，包括全职、兼职、临时员工、实生、合同工等。

3.职责与权限

公司的信息安全由全体员工共同负责，但具体职责和权限如下：

高层管理人员负责制定和审批信息安全，指导和监督信息安全工作。

信息安全管理员负责制定和实施信息安全管理制度，管理信息安全事件和漏洞。

各部门负责制定和执行本部门的信息安全管理制度，保障本部门的信息安全。

全体员工应当积极参与信息安全工作，遵守公司的信息安全规定，及时报告信息安全事件和漏洞。

4.相关文件

公司的信息安全管理制度包括以下文件：

信息安全

信息安全管理手册

信息安全事件管理办法

信息安全培训计划

5.术语定义

信息资产：指公司拥有的任何形式的信息，包括但不限于文档、数据、软件、硬件、网络和设备。

信息安全：指保护信息资产免受未经授权的访问、使用、泄露、破坏等风险的措施和方法。

信息安全事件：指可能导致信息资产受到损失或泄露的事件，包括但不限于黑客攻击、病毒感染、数据丢失等。

信息安全漏洞：指可能导致信息资产受到损失或泄露的系统漏洞、软件漏洞、人员漏洞等。

6.信息安全策略

公司的信息安全策略包括以下方面：

确立信息安全管理制度，包括信息安全、信息安全管理手册等文件。

确保信息资产的机密性、完整性和可用性，采取相应的技术和管理措施。

加强对信息安全事件和漏洞的管理和应对，及时发现、报告和处理问题。

加强员工的信息安全意识和培训，提高员工的信息安全素质。

定期评估和改进信息安全管理制度和措施，确保其有效性和适应性。

6.1 信息安全组织策略

信息安全组织策略是确保组织内部信息安全的基础。该策略应该明确规定信息安全管理的组织结构、职责和权限，确保信息安全管理工作的顺利实施。同时，该策略还应该制定信息安全管理的标准和规范，确保信息安全管理工作的合规性和规范性。

6.2 资产管理策略

资产管理策略是确保组织内部资产安全的基础。该策略应该明确规定资产管理的组织结构、职责和权限，确保资产管理工作的顺利实施。同时，该策略还应该制定资产管理的标准和规范，确保资产管理工作的合规性和规范性。

6.3 人力资源安全策略

人力资源安全策略是确保组织内部人力资源安全的基础。该策略应该明确规定人力资源管理的组织结构、职责和权限，确保人力资源管理工作的顺利实施。同时，该策略还应该制定人力资源管理的标准和规范，确保人力资源管理工作的合规性和规范性。

6.4 物理与环境安全策略

物理与环境安全策略是确保组织内部物理与环境安全的基础。该策略应该明确规定物理与环境安全管理的组织结构、职责和权限，确保物理与环境安全管理工作的顺利实施。同时，该策略还应该制定物理与环境安全管理的标准和规范，确保物理与环境安全管理工作的合规性和规范性。

6.5 通信与操作管理策略

通信与操作管理策略是确保组织内部通信与操作安全的基础。该策略应该明确规定通信与操作管理的组织结构、职责和权限，确保通信与操作管理工作的顺利实施。同时，该策略还应该制定通信与操作管理的标准和规范，确保通信与操作管理工作的合规性和规范性。

6.6 访问控制策略

访问控制策略是确保组织内部访问控制安全的基础。该策略应该明确规定访问控制管理的组织结构、职责和权限，确保访问控制管理工作的顺利实施。同时，该策略还应该制定访问控制管理的标准和规范，确保访问控制管理工作的合规性和规范性。

6.7 信息系统获取开发与维护策略

信息系统获取开发与维护策略是确保组织内部信息系统获取开发与维护安全的基础。该策略应该明确规定信息系统获取开发与维护管理的组织结构、职责和权限，确保信息系统获取开发与维护管理工作的顺利实施。同时，该策略还应该制定信息系统获取开发与维护管理的标准和规范，确保信息系统获取开发与维护管理工作的合规性和规范性。

6.8 信息安全事件管理策略

信息安全事件管理策略是确保组织内部信息安全事件管理的基础。该策略应该明确规定信息安全事件管理的组织结构、职责和权限，确保信息安全事件管理工作的顺利实施。同时，该策略还应该制定信息安全事件管理的标准和规范，确保信息安全事件管理工作的合规性和规范性。

6.9 业务连续性管理策略

业务连续性管理策略是确保组织内部业务连续性的基础。该策略应该明确规定业务连续性管理的组织结构、职责和权限，确保业务连续性管理工作的顺利实施。同时，该策略还应该制定业务连续性管理的标准和规范，确保业务连续性管理工作的合规性和规范性。

各方协商并明确安全要求，确保信息安全得到保护。

策略描述：

本企业应当建立与外部组织访问信息资产的管理机制，确保外部组织在访问

本企业信息资产时，遵守相关的安全要求和规定。在与外部组织进行合作或者

服务时，本企业应当明确安全责任和义务，确保信息资产得到保护。同时，本企

业应当建立信息安全审计制度，对外部组织的访问进行监控和审计，确保信息

安全得到持续的保护和改进。

6.2信息安全人员策略

6.2.1综述

通过建立与本企业人员相关的安全策略，促进本企业建立合理的信息安全人

员管理机制，以确保人员的安全意识和能力得到提升，为信息安全提供有效的

保障。

6.2.2策略一：建立信息安全人员管理机制

策略目标：

确保本企业的信息安全人员得到有效的管理和培训。

策略内容：

本企业应当建立信息安全人员管理机制，包括人员的招聘、培训、评估和

激励等方面，以提升人员的安全意识和能力。同时，本企业应当建立信息安全

人员的职责和权限，确保信息安全得到有效的保障。

策略描述：

本企业应当制定信息安全人员管理制度，明确人员的招聘、培训、评估和

激励等方面的要求和标准，确保信息安全人员的能力和素质得到提升。本企业

应当建立信息安全人员的职责和权限，确保信息安全得到有效的保障。本企业

应当建立信息安全人员的考核和评估机制，对信息安全人员的表现进行评估和

激励，以提升信息安全人员的积极性和工作效率。

6.2.3策略二：加强信息安全培训

策略目标：

提升本企业所有人员的安全意识和能力。

策略内容：

本企业应当加强信息安全培训，包括针对不同岗位的人员进行的专业培训。

以及定期的信息安全知识普及活动。通过加强信息安全培训，提升本企业所有

人员的安全意识和能力，为信息安全提供有效的保障。

策略描述：

本企业应当制定信息安全培训计划，根据不同岗位的人员需求，开展专业

培训和知识普及活动。本企业应当定期组织信息安全培训和考核，提升本企业

所有人员的安全意识和能力，确保信息安全得到有效的保障。本企业应当建立

信息安全培训档案，对信息安全培训的效果进行评估和改进，不断提升信息安

全培训的质量和水平。

在人员正式任用前，应当进行恰当的背景调查，以确保其符合安全要求，并明确其在岗位角色中所承担的安全责任。合同方人员和第三方也应当接受相应的安全培训和签署保密协议，以减少对信息资产的非授权使用和滥用的风险。

策略说明：

在人员任用前进行恰当筛选，可以减少对信息资产的非授权使用和滥用的风险。对于合同方人员和第三方，也应当明确其在岗位角色中所承担的安全责任，并签署保密协议，以确保信息资产的安全。

6.3.3策略二：在人员任用中进行安全培训

策略目标：

在人员任用中，要对其进行安全培训，以提高其安全意识和技能水平，确保其在工作中遵守安全规定和流程。

策略内容：

对新员工、合同方人员和第三方进行安全培训，包括信息安全方针、安全规定和流程、密码安全、网络安全等方面的内容。

策略说明：

通过对人员进行安全培训，可以提高其安全意识和技能水平，确保其在工作中遵守安全规定和流程，从而减少对信息资产的风险。

6.3.4策略三：在人员任用后进行管理和监督

策略目标：

在人员任用后，要对其进行管理和监督，确保其在工作中遵守安全规定和流程，防止信息资产的滥用和泄露。

策略内容：

建立有效的人员管理和监督机制，包括对员工行为的监控、安全审计和安全事件的处理等。

策略说明：

在人员任用后进行管理和监督，可以有效地防止信息资产的滥用和泄露，保障信息安全。

6.3.5策略四：在离职时进行安全处理

策略目标：

在员工离职时，要进行安全处理，包括收回其使用的设备和账号、取消其访问权限等，以防止信息资产的丢失和泄露。

策略内容：

建立有效的离职处理机制，包括对员工使用的设备和账号的收回、访问权限的取消、数据备份和清除等。

策略说明：

在员工离职时进行安全处理，可以有效地防止信息资产的丢失和泄露，保障信息安全。

主管或管理员来处理。在任用中止或变更时，要及时冻结或取消员工、合同方人员和第三方人员的使用权，以保护本企业的信息资产安全。同时，要及时删除其对本企业信息及信息系统的所有使用权，以避免信息泄露或其他安全问题的发生。对于职责发生变化的员工、合同方人员和第三方人员，也要及时做出相应变更，以确保信息资产的访问权限符合其职责。在实施此策略时，信息安全管理人员需要与人力资源管理人员协作，共同负责对员工及合同方人员的任用终止处理，并与合同方代表进行协作处理。其他情况下的用户可能由其主管或管理员来处理。

When there are changes in access and usage rights of assets。as well as XXX。XXX.

6.4 Physical and Environmental Security Strategy

6.4.1 Overview

XXX's n。n systems。and infrastructure from unauthorized physical access。natural disasters。and environmental hazards.

6.4.2 Strategy 1: n Physical Security Areas

Strategy Objective:

XXX access。damage。and XXX.

Strategy Content:

Important or sensitive n processing facilities should be placed in secure areas。and XXX.

Strategy XXX:

XXX's boundary and n processing facilities。XXX should be established for the security of important work areas。public access areas。XXX.

XXX an n Security Management System

6.4.3 Strategy 2: Ensure Physical and Environmental Security of n Equipment

Strategy Objective:

XXX.

Strategy Content:

XXX lost。interfered with。damaged。and harmed by environmental risks to avoid loss of n assets and n of business activities.

Strategy XXX:

XXX necessary to ce the risk of unauthorized access to n and to prevent loss or damage。The security of the n of equipment placement and disposal methods should also be XXX。water supply。sewage。XXX。and air ning)。and measures XXX fires。floods。earthquakes。ns。social unrest。and other forms of natural or man-made disasters.

6.5 n and n Management Strategy

6.5.1 Overview

XXX n processing facilities。developing appropriate operating and incident handling res。and cing the risk of unauthorized use and abuse of systems。XXX.

6.5.2 Strategy 1: XXX

Strategy Objective:

XXX and secure n of n processing facilities.

Strategy Content:

XXX should be established for all n processing facilities.

Strategy XXX:

System activities related to n processing and n facilities should have res that can be documented。such as backup。equipment maintenance。media handling。computer room management。mail disposal management。and physical security。Changes to n processing facilities and XXX.

策略说明：

在电子商务中，保护信息的安全至关重要，以防止欺诈、合同争议、未授权的泄漏和修改。同时，在公共可用系统（如公司网站）中，也应该保护信息的完整性，以防止未经授权的修改。为了达到这个目的，应该建立监测信息处理系统使用的策略与程序，定期评审监测活动的结果，记录信息安全事件，并使用操作员日志和故障日志以确保识别出信息系统的问题。同时，应该为用户访问规则的实施建立程序，确保只有授权用户才能访问系统，预防对信息系统的非授权访问。访问控制程序应涵盖用户访问生命周期内的各个阶段，从新用户初始注册、日常使用，到不再需要访问信息系统和服务时的用户帐号的最终撤销。应特别注意对特殊访问权的分配加以控制，因为用户可以修改或绕过系统的控制措施。

系统中，以确保系统在运行过程中不会出现故障，并防止用户数据的丢失、改动或者滥用。

策略说明：

在应用系统中建立安全措施是保证系统安全的重要手段之一。应用系统中的安全措施应该包括技术控制措施、查验追踪和活动日志等控制手段，以确保系统在运行过程中不会出现故障，并防止用户数据的丢失、改动或者滥用。此外，应用系统的安全措施还应该与组织的安全策略相一致，以确保系统的安全性得到有效保障。

6.7.4策略三：确保软件开发过程中的安全

策略目标：

在软件开发过程中引入安全控制措施，以确保软件开发过程中的安全。

策略内容：

在软件开发过程中引入安全控制措施，并将安全控制措施纳入软件开发流程中，以确保软件开发过程中的安全。

策略说明：

在软件开发过程中引入安全控制措施是保证软件安全的重要手段之一。这些安全控制措施应该包括代码审查、安全测试、安全评估等，以确保软件开发过程中的安全。此外，这些安全控制措施还应该与组织的安全策略相一致，以确保软件的安全性得到有效保障。

6.7.5策略四：保护信息系统的完整性

策略目标：

保护信息系统的完整性，防止信息系统被篡改、破坏或者损坏。

策略内容：

应该采取措施保护信息系统的完整性，防止信息系统被篡改、破坏或者损坏。

策略说明：

保护信息系统的完整性是保证信息系统安全的重要手段之一。为了保护信息系统的完整性，应该采取措施防止信息系统被篡改、破坏或者损坏。这些措施包括备份、恢复、加密等，以确保信息系统的完整性得到有效保障。

6.7.6策略五：保护信息系统的可用性

策略目标：

保护信息系统的可用性，确保信息系统能够按照预期的方式运行。

策略内容：

应该采取措施保护信息系统的可用性，确保信息系统能够按照预期的方式运行。

策略说明：

保护信息系统的可用性是保证信息系统安全的重要手段之一。为了保护信息系统的可用性，应该采取措施确保信息系统能够按照预期的方式运行。这些措施包括备份、恢复、容错等，以确保信息系统的可用性得到有效保障。

6.7.7策略六：保护信息系统的保密性

策略目标：

保护信息系统的保密性，确保信息不被未授权的用户访问。

策略内容：

应该采取措施保护信息系统的保密性，确保信息不被未授权的用户访问。

策略说明：

保护信息系统的保密性是保证信息系统安全的重要手段之一。为了保护信息系统的保密性，应该采取措施确保信息不被未授权的用户访问。这些措施包括访问控制、加密等，以确保信息系统的保密性得到有效保障。

为了减少灾难或安全事故带来的破坏，组织应该建立业务连续性管理过程，通过风险评估来识别关键业务活动，并制定计划以恢复和抵消非正常中断的影响。这个计划应该覆盖整个业务过程，而不仅仅是IT方面的服务。

为了更可靠、更有效地保护信息安全，组织应该遵守国家的法律、法规要求和行业规范，符合相关技术标准的要求，以及考虑信息审核时对信息安全的影响等因素。这些是信息安全的符合性要求，往往是强制性的。本章的三个策略旨在促进组织的合规性要求。

组织应该避免违反法律、法规、规章、合同的要求和其他的安全要求。信息系统的设计、运行、使用和管理都应该符合法律、法规及合同的要求。对于每一个信息系统和组织，所有相关的法律、法规和合同要求，以及为满足这些要求组织所采用的方法，都应该明确地定义、形成文件并保持更新。特定的法律要求方面的建议应该从组织的法律顾问或者合格的法律从业人员处获得。

为确保系统符合组织的安全策略及标准，组织应该定期对信息系统的安全进行合规性评审和技术评审，判断其是否符合适用的安全、实施标准和文件化的安全控制措施。管理人员应该对自己职责范围内的信息处理是否符合合适的安全策略、标准和任何其他安全要求进行定期评审。评审结果和管理人员采取的纠正措施应该被记录，且这些记录应该维护。技术符合性检查应该由有经验的系统工程师手动执行（如需要，利用合适的软件工具支持），或者由技术专家用自动工具来执行，此工具可生成供后续解释的技术报告。

在对信息系统进行安全检查期间，为保护检查工具的完整性和防止滥用检查工具，需要建立必要的控制措施，以免敏感信息的泄露或对信息系统造成损害。组织应该建立审慎检查的策略，并将安全检查工具的使用风险最小化。