More Related Content
Similar to 信息安全处理基本方针 (20)
信息安全处理基本方针
- 1. 信息安全基本方针
ŀ
文件编码: QI-1902
部 门: 企画部
版 本 号: A0
TPCS ISO9001:2008 质量体系认证
- 2. 东芝电脑网络(上海)
东芝电脑网络(上海)有限公司
文 件 标 题 部门 文件编码 发行日期 版本 页数
DOCUMENT TITLE DEPT. DOC. NO. ISSUE DATE REV. PAGE
信息安全基本方针 企画部 QI-1902 2009/10/25 A0 2/6
版本 日 期 文件变更 摘 要 说 明 作 者
Rev. Date DCN. No. Description Prepared
A0 10/25/2009 首次发布 潘志峰
编制 审核 批准
PREPARED BY CHECKED BY APPROVED BY
潘志峰 大野道朗 风间毛东夫
- 3. 东芝电脑网络(上海)
东芝电脑网络(上海)有限公司
文 件 标 题 部门 文件编码 发行日期 版本 页数
DOCUMENT TITLE DEPT. DOC. NO. ISSUE DATE REV. PAGE
信息安全基本方针 企画部 QI-1902 2009/10/25 A0 3/6
1. 目的
信息安全基本方针(以下简称“本方针” )是本公司信息处理和通信相关的基本
方针,是基于提高信息安全和统一信息安全基准的对策、管理、运用的方针。
东芝电脑网络(上海)有限公司(以下简称“TPCS”)为了深化以市场的要求和
客户的要求为轴心的「市场直通型经营」和将客户期待变成信赖,不断地追求革新的
动力,正在加速所有的组织和业务活动 IT 化进程。
为了这个目的,除了将风险显现化、定量化,挑战业务风险外,必须强化防患于
未然的敏感意识。不仅业务上的重要营业信息、技术信息的保护工作很重要,公司所
保存的客户提供的信息及秘密资料,以及客户和员工的个人信息也很重要。
对于为了确保信息资产的机密性、 完整性和可用性的信息安全的持续管理是以确
保本公司信息资产的保全为根本,以获得客户的信赖为目的所必须的工作。本方针是
为阐述一个与此目的相符合的安全对策而制定的。
2. 基本方针
TPCS 认识到公司信息安全的重要性,构建与之相适应的信息安全管理体系并持
续管理。
3. 定义
有关本方针中各种用语的定义,以下列表述为准。
员工:东芝员工以及其他与东芝有雇用关系的人员。
相关公司:无论国内、国外,原则上东芝的子公司(包括间接出资公司)以及其
它以东芝冠名的公司。
信息:电子化信息。
4. 适用范围
本方针的适用范围除 TPCS 以外,以下述定义为准
对于使用 TPCS 的信息通信系统的相关公司,以建立与 TPCS 同样等级的信息安
全系统为使用 TPCS 信息系统的必要条件。
对于上述以外的相关公司, 推荐其建立以 TPCS 为标准的信息安全体制。
相关公司以外的公司使用 TPCS 信息通信系统的,必须遵守 TPCS 的相关使用指
示。
5. 信息安全规定体系的构成
TPCS 以基本方针为基础,制定以下的信息安全标准及实施细则(信息安全标准
和本方针总称为信息安全方针)
信息安全标准
TPCS 以本方针为基础,制定与信息使用权限相应的必须遵守的共通规则的信息
安全标准(以下简称标准) 。
信息安全实施细则
TPCS 的信息通信系统的通用实施细则作为 IT 平台和手册由 IS 部门制定。
6. 管理体制和责任
本方针是为反映经营战略和保持强化企业竞争力,由信息安全负责人统一领导下
制定并且维持管理。并且伴随着经营环境和系统使用环境的变化,为维持本方针的水
准,以信息安全负责人为首设立信息安全委员会,进行监督、评价和改善。
- 4. 东芝电脑网络(上海)
东芝电脑网络(上海)有限公司
文 件 标 题 部门 文件编码 发行日期 版本 页数
DOCUMENT TITLE DEPT. DOC. NO. ISSUE DATE REV. PAGE
信息安全基本方针 企画部 QI-1902 2009/10/25 A0 4/6
信息安全委员会由
委 员 长:信息安全负责人 CRO
副委员长:COO,CFO
委 员:技术服务本部 GM,企划部部长,总务人事部部长,营业企划部部长,IS
部门长,使用者代表
构成,事务局由 IS 部门担当。
本方针的制定和修订废除由 IS 部门提案经本委员会审议,由信息安全负责人批
准。但是,伴随组织变更的少许组织名的修正除外。
7. 信息安全的教育
为体现本方针的实效性,以全体员工为对象,实施教育
信息安全相关教育,包括以下的时间内容,每年实施一次以上。
新人加入公司或人事变动时。
信息安全方针变更时。
有关信息安全发生重大事件或环境变化时。
8. 员工的义务
员工必须遵守信息安全方针,并且为对信息通信系统受到的妨害以及病毒、黑客
入侵等带来的威胁采取合适的对应措施而努力。
9. 使用的限制
员工不得擅自将公司的信息通信系统或信息机器设备用于私人目的。 为保证公司
信息通信系统的正确使用,并且作为信息安全对策的一环,公司有权对信息系统的使
用目的、对象及时间加以限制,并对使用的实际情况等必要信息进行收集。
10. 遵守义务与罚则
全体员工必须遵守本方针。
对于违反本方针的员工将在就业规则范围内给与惩戒。
11. 例外事项
当预期以外的威胁发生时,为减少增加安全风险的行为,如违反信息安全方针等
情况,信息安全负责人可免除其遵守义务。并且,在信息安全委员会的许可下,可设
定具有时限性质的例外处置。