横琴新区大数据平台项目(集成开发服务)大横琴科技发展有限公司信息安全主策略第一章总则第一条为了明确珠海大横琴科技发展有限公司(以下简称科技公司)的网络与安全目标,规范信息安全策略体系、组织体系、技术体系和运维体系,指导网络与信息安全建设,特制定本信息安全主策略。第二条本策略是网络与信息安全建设的基本依据,相关人员必须认真执行本策略,并根据工作实际情况,制定并遵守相应的安全实施细则和安全操作流程。第三条本策略及其相关的支持性策略覆盖了以下安全领域:安全目标、安全组织物理安全、资产管理、运行和维护安全、访问控制、信息系统开发、安全事故管理、业务连续性、符合性等。第二章适用范围第四条本策略适用于科技公司拥有的、控制和管理的所有信息系统、数据和网络环境。第五条本策略适用于科技公司所有工作人员,以及与科技公司有往来的公司和个人,包括但不限于合作伙伴、供应商、顾问、开发厂商、代维厂商等。第三章信息安全总体目标第六条在公司统一领导下,以自身业务需求为出发点,以全面风险管理为核心,坚持全公司统一规划、统一部署、积极防御、管理与技术并重的原则,不断优化网络与信息安全体系,持续满足业务需要和集团要求,为科技公司的信息化发展提供全方位安全保障。第四章组织和职责第七条科技公司应建立公司级别的网络与信息安全常设领导机构,全面负责科技公司的网络与信息安全工作。科技公司应设立专门的安全工作组织和1横琴新区大数据平台项目(集成开发服务)专职的安全运维队伍,从事具体的网络与信息安全工作。科技公司与外部安全专家和其他相关组织加强安全沟通与协作。第八条科技公司的关键岗位职责中应包含信息安全职责内容,并尽量实现职责分隔。科技公司的所有工作人员都应接受网络与信息安全培训。科技公司应实施人员信息安全考核制度。第九条第三方访问和外包服务必须受到控制,科技公司应事先进行风险评估,分析安全影响并制订相应措施。科技公司与第三方和外包服务机构签订的合同中应包含双方认可的安全条款,明确双方在网络与信息安全方面的权利与义务及违约责任。第五章物理安全第十条科技公司关键或敏感的网络与信息处理设施应被放置在安全区域内,由指定的安全边界予以保护。第十一条根据不同的安全需求,科技公司应划分不同的安全区域,例如:机房、办公区和第三方接入区。针对不同的安全区域,科技公司应采取不同等级的安全防护和访问控制措施。第十二条科技公司应制定机房...
