ISO27001 信息安全基本方針（實例）

Date07 7 月 2011

1.信息安全基本方針的宗旨
我們的經(jīng)營理念是“充分發(fā)揮每一位員工的個性和創(chuàng)造力，創(chuàng)造讓每位員工都能感受到自身價值的企業(yè)文化。在此基礎上，我們以先進的信息通信技術回報客戶的信賴和期待。為實現(xiàn)便捷舒適，繁榮豐富的社會貢獻自己的力量。”。
信息通信技術的飛速發(fā)展給經(jīng)營資源帶來的影響巨大，原來的“人力、物力、資金”再加上“信息”，這樣的“信息資產(chǎn)”是推進事業(yè)發(fā)展的重要資源。
在這樣的狀況之下，沖通信系統(tǒng)株式會社為了從各種危機中保護好 “信息資產(chǎn)”，從而制定了信息安全基本方針。
所有相關人員都必須在理解本宗旨的基礎上，遵守“信息安全基本方針”，按照“信息安全管理系統(tǒng)（下文中簡稱 ISMS）”，致力于相關工作的保持和推進。
2.目的
所謂信息安全就是指對“信息資產(chǎn)”進行保護，持續(xù)確保其機密性、完整性和可用性。而“信息資產(chǎn)”是指與本公司設計/開發(fā)/構(gòu)筑的信息通信系統(tǒng)以及軟件相關的客戶，關系企業(yè)以及本公司的電子數(shù)據(jù),紙質(zhì)數(shù)據(jù),文書,專業(yè)技術信息,知識,軟件,硬件,服務。這些都是本公司事業(yè)持續(xù)發(fā)展的重要資產(chǎn)，是為了使客戶的事業(yè)計劃,開發(fā)計劃相關信息以及借用信息,媒介物等為首的“信息資產(chǎn)”更安全而致力的對象。
具體來說，把推進以下項目的確實實施和持續(xù)改善做為方針。確立 ISMS，使“信息資產(chǎn)”更安全。
有關機密性，落實只有具有訪問權限的人才能訪問到信息。有關完整性，確保信息以及處理方法的正確以及完整。
有關可用性，落實只有具有訪問權限的人，在必要的情況下，才可以訪問信息以及相關資產(chǎn)。
持續(xù)對電腦病毒/蠕蟲實施對策。對從業(yè)人員以及合作公司的相關人員實施信息安全培訓。
3.遵紀守法
遵紀守法為了使“信息資產(chǎn)”更安全，遵守相關法律法規(guī)，公司規(guī)章制度以及合約上簽訂的安全事項。
4.確立推進體制并及時調(diào)整
為了確立并推進信息安全工作，設立有信息安全運營委員會。委員會對以此信息安全基本方針為基準的 ISMS 相關的各項規(guī)定進行制定，并定期進行管理評審，為充分發(fā)揮本公司 ISMS 的有效性進行評價和改版。
5.信息安全內(nèi)部審查
通過信息安全內(nèi)部審查，定期檢查是否時常遵守信息安全基本方針和 ISMS 手冊。
6.風險評估的確立
風險評估的確立為了確立本公司的 ISMS，有關風險評價基準進行明確，對評價的組織結(jié)構(gòu)進行確立，并持續(xù)進行更新。