信息安全策略示例模板

R EF ER EN C E G U I D E信息安全 B A C K E D BY一般指南注释:本样本政策不是法律建议 ， 也不是与合格法律顾问协商的替代。法律因国家而异。政策应在政策正面注明生效日期 ， 公司应保留早期版本的存档。除非有律师的建议 ， 否则本样本政策不应实施或执行。样本文本:概述公司有义务和责任保护其保管和控制下的信息。能够访问完整和准确的信息对于公司高效运营并成功地向客户提供产品和服务的能力至关重要。公司还收集 ， 存储 ， 使用和披露有关个人 ， 员工 ， 合作伙伴和供应商及其自身运营的机密和个人信息。公司有责任在处理这些信息时保护这些信息。本信息安全政策 （ “本政策 ” ） 通常与国际标准化组织 （ ISO ） 和国际电工委员会 （ EC ） 发布的信息安全管理系统标准一致，如 ISO 27001 和 27002 中更具体地规定的。因此，实施本政策将有助于公司遵守此类国际数据安全标准的各个方面。PURPOSE本政策的目的是 ：•保护公司的信息免遭丢失或盗窃、未经授权的访问、披露、复制、使用、修改或破坏 （ 每次都是 “信息安全事件 ” ）•描述并阐明有关信息的创建 ， 收集 ， 使用 ， 存储 ， 披露和销毁的角色和责任•在信息泄露或丢失时加强公司的业务连续性•加强公司对适用法律、法规和合同义务的遵守•确保公司的程序和流程优先保护以下方面的信息 ：»保密性 ， 以便信息只能由授权的个人访问»完整性 ， 使信息的准确性和完整性不受影响»可用性 ， 以便授权用户在需要时可以访问所有相关信息。范围本政策建立了公司内部信息安全管理的框架。本政策以及与之相关的程序、流程和其他措施适用于公司的所有董事、高级职员和员工 ， 以及公司的第三方承包商和代理人 ， 他们可以访问公司的信息或信息系统 （ 统称为 “个人用户 ” ） 。+ 1 866 297 0224 | INFO @ NAVEXGLOBAL. COM | WWW. NAVEXGLOBAL. COM 2© 2016 NAVEX GLOBAL, INC. 保留所有权利。政策和标准定义了流程标准信息安全政策部分基于内部认可的数据安全标准 ISO 27002政策信息安全政策管理公司的信息处理流程流程规定了如何根据政策和标准保护信息本政策适用于与公司运营相关的所有形式的信息 ， 包括 ：•口头交流•硬拷贝或电子形式的文件、记录和其他信息•通过邮寄 ， 快递 ， 传真 ， 电子邮件 ， 短信和其他方式传输的文件 ， 记录和其他信息•存储在公司服务器 ， 计算机 ， 笔记本电脑 ， 手机和其他信息系统中的信息•存储在任何类型的可移动介质上的信息 ， 包括记忆棒、数码相机、光盘和其他装置。结构本政策以 ISO 27002 为基础 ， 围绕其中规定的 11 个主要安全类别领域进行构建。本政策由旨在保护公司信息的各种控制措施支持和实施 ， 包括标准、流程、程序和其他措施中规定的控制措施 （ 见下文 ）流程通过程序进行操作程序程序包括有关如何操作流程的分步说明程序由工具和培训支持 工具工具是在公司内部实施程序的系统培训培训赋予公司人员遵循本程序的技能和知识 3© 2016 NAVEX GLOBAL, INC. 保留所有权利。风险未能遵守本政策及其实施的程序和流程可能会使信息面临信息安全事件的风险。信息安全事件可能导致广泛的负面后果，包括尴尬、财务损失、不遵守标准和法律以及对第三方的责任。信息安全事件可能发生在受影响信息的生命周期的任何时间点 (i 。Procedres.， 在其创建、收集、使用、处理、存储、披露、删除或销毁时) 。因此 ， 公司将定期进行风险评估 ， 以识别、量化和确定与其信息相关的风险 ， 并随后制定控制措施以减轻此类风险。公司将使用一致和系统的方法进行风险评估。安全政策本政策规定了公司管理信息安全的方法。本政策经管理层批准 ， 并传达给公司的所有员工、合同第三方和代理。公司的安全要求将至少每年由 IT 安全部门的负责人进行审查 ， 政策的任何变更应首先由董事会批准。信息安全组织IT 安全部门负责人将对安全政策 ， 政策标准 ， 指令 ， 程序 ， 事件管理和安全意识教育进行审查并提出建议。公司应在本政策及其信息安全流程和程序中纳入所有适用的法定、监管和合同要求。公司还将努力遵守 ISO 27000 标准 （ 信息安全国际标准 ） ， 包括 ：•发布关于什么构成信息安全事件的指南•实施流程和程序 ， 要求公司信息安全系统的所有已知或合理怀疑的信息安全事件和漏洞报告给 IT 安全部门 ， 并随后进行调查•制定、维护和测试业务连续性计划•酌情为所有个人用户准备和管理信息安全教育和培训•确保个人用户只能根据合法商业目的访问和使用公司信息•必要时获得专家外部建议 ， 以维护本政策以及本政策下的任何流程和程序 ， 以应对新的和正在出现的威胁和标准。本政策的要求应反映在公司的流程、程序和合同安排中。信息安全责任IT 安全部门负责人是本政策的指定所有者 ， 负责本政策及其下的流程和程序的维护和管理。公司部门负责人负责确保个人用户了解并遵守本政策及其下的流程和程序。公司的审计师应审查为保护公司信息而实施的控制措施的充分性 ， 并在发现缺陷时提出改进建议。所有个人用户都必须遵守本政策及其下的流程和程序。不遵守可能导致纪律处分 ， 包括终止雇佣 4© 2016 NAVEX GLOBAL, INC. 保留所有权利。原因 ， 合同终止 ， 以及民事处罚和 / 或刑事制裁 ， 视情况而定。资产管理所有公司资产 (数据、信息、软件、计算机和通信设备、公用事业和人员) 应入账 ， 并有所有者对其维护作出回应和保护。人力资源安全公司的信息和其他安全政策将传达给所有董事 ， 高级管理人员 ， 员工 ， 承包商和其他第三方 ， 以确保他们了解自己的责任。公司的工作描述和雇用条款和条件应包括相关的个人用户的安全责任。应对新的个人用户进行背景调查 ， 以确定是否可以识别任何特定的信息安全事件风险。物理和环境安全公司应使用适合其敏感性的合理物理和环境保护措施来存储公司信息。特别是 ， 公司存储公司信息的区域将由具有适当安全屏障和进入控制的定义的安全边界来保护。此外 ， 关键和敏感信息将受到物理保护 ， 免受未经授权的访问、损坏和干扰。通信和运营管理公司将定义责任 ， 并实施有关所有数据和信息处理设施的管理 ， 运营以及持续安全性和可用性的流程和程序。在适当的情况下 ， 公司应将职责分开 ， 并对运营流程和程序进行额外检查 ， 以降低疏忽或故意发生信息安全事件的风险。ACCESS CONTROL公司将控制个人用户对公司信息的访问。特别是 ， 个人用户对信息和信息系统的访问将根据公司的业务要求进行设置。员工、第三方和其他个人将根据其业务角色授予访问权限 ， 并且仅限于允许他们履行职责的必要范围。将实施一个程序来记录和更新个人对公司信息的访问权限。信息系统收购、开发、维护公司应在开发、实施或修改公司信息系统之前或期间 ， 确定相关信息安全要求 ， 并进行信息风险评估 ， 以便尽早解决信息安全风险。公司应实施合理和适当的控制措施 ， 以减轻已识别的任何风险。 信息安全事件管理受本政策约束的每个人都应尽快向 IT 安全部门报告公司信息系统的任何已知或合理怀疑的信息安全事件或漏洞。公司应确保所有董事、管理人员、员工、承包商和其他第三方都了解报告可能影响公司信息系统的不同类型的信息安全事件或漏洞的程序。公司应采取所有必要和适当的纠正措施 ， 以应对信息安全事件 ， 包括在适用法律要求时向隐私和数据保护监管机构以及受影响的个人提供任何通知。业务连续性管理公司将确定其关键业务流程 ， 并采取措施保护这些流程免受信息安全事件、自然灾害和其他信息系统重大故障 （ “重大中断 ” ） 的影响。特别是 ， 公司将实施企业范围内的业务连续性管理流程 ， 以最大程度地减少任何重大中断对公司的影响 ， 尽可能从损失中恢复信息资产 ， 并确保关键业务流程尽快恢复。如果发生重大中断 ， 公司应进行业务影响分析 ， 以评估该事件的后果。合规性公司应遵守影响其信息系统设计、运行、使用和管理的所有法定、监管和合同义务。本政策的责任The [[Board Of DIRECTORS] or [Committee] or [POSITION]] has overall resposibility for the effective operatio of this policy bt has delegated day - to - day resposibility for overseig its implemetatio to [POSITION].所有经理都有具体的责任，在本政策的范围内运作，采取有效措施，使所有员工了解他们预期的行为标准，并在行为低于其要求时采取行动。经理将接受培训，以便他们可以这样做。生效日期 ： [插入] 。关于贝克和麦肯齐Baker & McKenzie 成立于 1949 年 ， 通过我们在 47 个国家的 77 个办事处的 12, 000 名员工 ， 为世界上许多最具活力和成功的商业组织提供咨询。该公司以其全球视野、对当地语言和商业文化的深刻理解、对卓越的坚定承诺以及世界一流的客户服务而闻名。有关更多信息 ，访问 www. bakermckenzie. com.关于 NAVEX 全球NAVEX Global 全面的道德和合规软件、内容和服务套件可帮助组织保护其人员、声誉和底线。我们的解决方案受到全球最大的道德和合规社区的信任 ， 得到了财富 100 强中的 95 家和 12, 500 多家客户的信任。+44 (0) 20 8939 1650© 2016 NAVEX GLOBAL, INC. 保留所有权利。06