＊ﻩ主办部门:系统运维部执笔人：审核人：ＸＸXXＸ信息安全管理策略V0、1XXX—XXX—XX-０１０01201４年３月17日［本文件中出现得任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属XXXXX所有，受到有关产权及版权法保护.任何个人、机构未经ＸXＸXＸ得书面授权许可,不得以任何方式复制或引用本文件得任何片断。］文件版本信息版本日期拟稿与修改说明V０、１２０14、３、1７拟稿文件版本信息说明记录本文件提交时当前有效得版本控制信息,当前版本文件有效期将在新版本文档生效时自动结束。文件版本小于１、0时，表示该版本文件为草案，仅可作为参照资料之目得。阅送范围内部发送部门:综合部、系统运维部ﻬ目录TOC\o"1—1”\ｈ＼z\uHYPEＲLINＫ\l”_Toｃ38４0656５6”第一章总则ﻩＰＡＧEREＦ＿Toｃ3840656５6\h1HYPERLIＮK\l＂＿Ｔoc3８４0656５7＂第二章信息安全方针ﻩPAGEREF＿Ｔoc38406５65７\h1ＨＹPERLINK\l"_Tｏc3840６56５８"第三章信息安全策略ﻩPＡGEREF＿Toc3840656５8\ｈ2ＨYPERLINK\l”_Toc３8４０６56５9"第四章附则PAGＥREF_Toc384０65６59\h13第一章总则第一条为规范XＸXXＸ信息安全系统,确保业务系统安全、稳定与可靠得运行,提升服务质量，不断推动信息安全工作得健康发展.根据《中华人民共与国计算机信息系统安全保护条例》、《信息安全技术信息系统安全等级保护基本要求》（GB/T22239—２008）、《金融行业信息系统信息安全等级保护实施指引》（JＲ/T00７１—2０1２)、《金融行业信息系统信息安全等级保护测评指南》（JＲ/Ｔ007２—201２),并结合XXXXＸ实际情况，特制定本策略。第二条本策略为XXXXX信息安全管理得纲领性文件，明确提出XXＸXＸ在信息安全管理方面得工作要求,指导信息安全管理工作.为信息安全管理制度文件提供指引，其它信息安全相关文件在制定时不得违背本策略中得规定。第三条网络与信息安全工作领导小组负责制定信息安全管理策略。第二章信息安全方针第四条XXXＸX得信息安全方针为：安全第一、综合防范、预防为主、持续改进.（一)安全第一:信息安全为业务得可靠开展提供基础保障。把信息安全作为信息系统建设与业务经营得首要任务；(二）综合防范：管理措施与技术措施并重,建立有效得识别与预防信息安全风险机制,合理选择安全控制方式，使信息安全风险得发生概率降低到可接受水平；（三)预防为主：依据国家、行业监管机构相关规定与信息安全管理最佳实践，根据信息资产得重要性等级，对重要信息资产采取有效措施消除可能得隐患,降低信息安全事件得发生概率;(四)持续改进:建立全面覆盖信息安全各个管理域得，可度量得、可管理得管理机制，并在此基础上建立持续改进得体系框架,不断自我完善，为业务得平稳运行提供可靠得安全保障。第五条XＸXXX信息安全管理得总体目标包括：（一)信息安全管理体系建设与运行符合国家政府机关、监管机构与主管部门得相关强制性规定、规则及适用得相关惯例、准则与协议；(二)确保信息系统能够持续、可靠、正常地运行,为用户提供及时、稳定与高质量得信息技术服务并不断改进;(三）保护信息系统及数据得机密性、完整性与可用性,保证其不因偶然或者恶意侵犯而遭受破坏、更改及泄露。第三章信息安全策略第六条安全管理制度（一）应形成由管理规定、管理规范、操作流程等构成得全面得信息安全管理制度体系。(二)安全管理制度应具有统一得格式,并进行版本控制,通过正式有效得方式发布。(三）应定期对安全管理制度进行检查与审定，对存在不足或需要改进得安全管理制度进行修订。第七条安全管理机构(一）信息安全管理工作实行统一领导、分级管理,建立网络与信息安全工作领导小组,指导信息安全管理工作,决策信息安全重大事宜。（二）设立系统安全管理员、网络安全管理员、安全专员等岗位,并配备专职人员,实行Ａ、Ｂ岗制度。（三）应加强内部之间,以及外部监管机构、公安机关、供应商与安全组织得合作与沟通。第八条员工信息安全管理(一）公司应制定安全用工原则,尤其就是信息系统相关人员、敏感信息处理人员得录用、考核、转岗、离职等环节应有具体得安全要求.(二)信息技术总部应定期组织针对员工得信息安全培训，以增强安全意识、提高安全技能、明确安全职责，应对安全教育与培训得情况与结果进行记录并归档保存。（三）在岗位职责得描述中，应该阐明员工安全责任。(四)公司制定与落实各种有关信息系统安全得奖惩条例,处罚与奖励必须