信息安全风险管理框架

资讯保安政策

(I) Purpose
维护公司的整体信息安全环境,以 加强各种信息资产的安全管理,并以 以建立方便、安全的电子工作环境为目的 确保数据、系统、设备和网络的安全.

(II) Scope
公司的信息安全管理范围包括公司的各种信息资产(包括软件和硬件设备)和信息用户, 比如长期雇员,temporary employees, contract employees, 授权使用信息资产的外部供应商和其他人.

(三)信息安全目标
它全面考虑每项信息资产的重要性和价值,以及它对公司业务的影响和损害程度, 因不当使用公司的信息财产而造成的损失, data leakage, malicious tampering, damage, etc., 由于人为疏忽的风险, 故意或自然灾害等使其采取的安全管理措施, 与信息资产价值和成本效益相适应的操作和技术, i公司能够避免内外部人员对信息系统的不当使用或故意破坏,或在信息安全事件发生时能够迅速作出反应,减少因信息安全事件可能造成的经济损失和运营中断.

(四)信息安全管理措施

  1. 应根据《4008云顶集团》慎重处理个人资料.
  2. 应该创建密码, 应该安装杀毒软件 ,个人电脑和服务器都应该定期更新病毒模式.
  3. 个人电脑设备也应进行管理,以确保所安装的软件是合法授权的,符合有关知识产权的规定.
  4. 重要数据应进行备份,并定期检查备份数据的有效性.
  5. 规划灾难恢复计划,以便在发生信息安全事件时快速恢复系统操作.
  6. 定期开展信息安全意识宣传活动,加强同事的信息安全意识和法律观念.

具体管理方案

信息安全事件报告程序

信息安全管理资源投资

公司继续在信息安全和个人方面投入资源 数据保护相关事项,以及资源投资事项包括 要完善安全基础设施的治理和技术建设 加强信息安全防护装备和教育培训等.

公司还及时更新信息安全防护设备, such as firewall, IPS, anti-virus, etc. 针对近年来民营企业和公共部门信息安全事件频发,优化保护效果. 信息系统的安全性定期更新,本公司的 材料信息系统为脆弱性评估和 每年修补漏洞.

提高员工的资讯保安意识, meetings, bulletin boards, 利用公司内部网站向同事宣传信息安全意识, 还有可疑的数据和邮件, if any, 不应该随意打开以避免社会工程攻击.