*主辦部門：系統(tǒng)運維部執(zhí)筆人：審核人：XXXXX信息安全管理策略V0.1XXX-XXX-XX-010012014年3月17日［本文件中出現(xiàn)的任何文字敘述、文檔格式、插圖、照片、方法、過程等內(nèi)容，除另有特別注明，版權(quán)均屬XXXXX所有，受到有關(guān)產(chǎn)權(quán)及版權(quán)法保護。任何個人、機構(gòu)未經(jīng)XXXXX的書面授權(quán)許可，不得以任何方式復(fù)制或引用本文件的任何片斷。］文件版本信息版本日期擬稿和修改V0.12014.3.17擬稿文件版本信息說明記錄本文件提交時當前有效的版本控制信息，當前版本文件有效期將在新版本文檔生效時自動結(jié)束。文件版本小于1.0時表示該版本文件為草案，僅可作為參照資料之目的。閱送范圍內(nèi)部發(fā)送部門：綜合部、系統(tǒng)運維部TOC\o"1-5"\h\z第一章總則1第二章信息安全方針1第三章信息安全策略2第四章附則13第一章總則第一條為規(guī)范XXXXX信息安全系統(tǒng)，確保業(yè)務(wù)系統(tǒng)安全、穩(wěn)定和可靠的運行，提升服務(wù)質(zhì)量，不斷推動信息安全工作的健康發(fā)展。根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》(GB/T22239-2008)、《金融行業(yè)信息系統(tǒng)信息安全等級保護實施指引》(JR/T0071—2012)、《金融行業(yè)信息系統(tǒng)信息安全等級保護測評指南》(JR/T0072—2012)，并結(jié)合XXXXX實際情況，特制定本策略。第二條本策略為XXXXX信息安全管理的綱領(lǐng)性文件，明確提出XXXXX在信息安全管理方面的工作要求，指導(dǎo)信息安全管理工作。為信息安全管理制度文件提供指引，其它信息安全相關(guān)文件在制定時不得違背本策略中的規(guī)定。第三條網(wǎng)絡(luò)與信息安全工作領(lǐng)導(dǎo)小組負責制定信息安全管理策略。第二章信息安全方針第四條XXXXX的信息安全方針為：安全第一、綜合防范、預(yù)防為主、持續(xù)改進。安全第一：信息安全為業(yè)務(wù)的可靠開展提供基礎(chǔ)保障把信息安全作為信息系統(tǒng)建設(shè)和業(yè)務(wù)經(jīng)營的首要任務(wù)；（二）綜合防范：管理措施和技術(shù)措施并重，建立有效的識別和預(yù)防信息安全風(fēng)險機制，合理選擇安全控制方式，使信息安全風(fēng)險的發(fā)生概率降低到可接受水平；（三）預(yù)防為主：依據(jù)國家、行業(yè)監(jiān)管機構(gòu)相關(guān)規(guī)定和信息安全管理最佳實踐，根據(jù)信息資產(chǎn)的重要性等級，對重要信息資產(chǎn)采取有效措施消除可能的隱患，降低信息安全事件的發(fā)生概率；（四）持續(xù)改進：建立全面覆蓋信息安全各個管理域的，可度量的、可管理的管理機制，并在此基礎(chǔ)上建立持續(xù)改進的體系框架，不斷自我完善，為業(yè)務(wù)的平穩(wěn)運行提供可靠的安全保障。第五條XXXXX信息安全管理的總體目標包括：（一）信息安全管理體系建設(shè)和運行符合國家政府機關(guān)、監(jiān)管機構(gòu)和主管部門的相關(guān)強制性規(guī)定、規(guī)則及適用的相關(guān)慣例、準則和協(xié)議；（二）確保信息系統(tǒng)能夠持續(xù)、可靠、正常地運行，為用戶提供及時、穩(wěn)定和高質(zhì)量的信息技術(shù)服務(wù)并不斷改進；（三）保護信息系統(tǒng)及數(shù)據(jù)的機密性、完整性和可用性，保證其不因偶然或者惡意侵犯而遭受破壞