信息安全政策
目的
信息安全政策为BAUER GROUP所有信息技术系统、组件和流程的保护定义了框架。它是ISMS的最高指导方针,须经管理层批准发布。
保护目标
| 保护目标 | 定义 | 措施 |
|---|---|---|
| 保密性 | 信息仅供授权人员访问 | 访问控制、加密、分级 |
| 完整性 | 信息完整且未被篡改 | 哈希校验、版本控制、变更管理 |
| 可用性 | 系统和数据在需要时可访问 | 冗余、备份、监控 |
| 真实性 | 用户和系统的身份已验证 | MFA、证书、数字签名 |
适用范围
信息安全政策适用于:
- 所有员工、管理层以及具有系统访问权限的外部服务提供商
- 所有自行运营和第三方托管的信息技术系统
- 所有办公地点和远程工作场所
- 信息生命周期的所有阶段(创建、处理、存储、删除)
职责
| 角色 | 职责 |
|---|---|
| 管理层 | 批准政策、提供资源(§38 BSIG) |
| ISB(信息安全官) | 编制、维护和监督政策的遵守 |
| IT主管 | 技术层面的实施 |
| 全体员工 | 遵守政策、报告违规行为 |
审查周期
| 活动 | 频率 | 责任人 |
|---|---|---|
| 政策审查 | 每年 | ISB + 管理层 |
| 事件驱动审查 | 发生重大变更或事件时 | ISB |
| 批准 | 每次审查后 | 管理层 |
| 传达 | 批准后通知全体员工 | ISB |
分级方案
| 级别 | 描述 | 示例 | 措施 |
|---|---|---|---|
| 公开 | 无限制 | 营销材料、已发布的文档 | 无特殊措施 |
| 内部 | 仅限BAUER GROUP员工 | 内部流程、组织结构图 | 访问控制 |
| 机密 | 业务关键、限制访问 | 客户数据、合同、凭证 | 加密 + 访问控制 |
| 绝密 | 最高保护级别 | 密钥材料、安全架构 | 加密 + 最小知悉范围 + 审计追踪 |