HR法律网:它应当包含:
1、范围。它应当涉及企业内所有信息、系统、设施、程序、数据、网络、所有的技术用户,绝无例外。
2、信息分类。策略应当提供特定内容的定义而不是一般化的“机密”或“限制”。
3、在每种信息分类中安全信息处理的管理目标。例如,法律、法规、安全方面的合同义务等,这些都可以整合,并表述为通用的目标,如“客户的私密信息不应当以明文形式授权给除客户代表之外的任何人,并且仅能用于与客户交流的目的。”
4、其它管理要求和补充文档的策略布置(例如,它要由所有主管阶层的同意,所有的其它信息处理文档必须与其保持一致。)
5、用于参考的证明文件(例如,流程、技术标准、程序、指南等。)
6、对企业范围内行之有效的安全要求和规范的具体规定。(例如,对任何计算系统的所有访问都要求身份确认和验证,不能共享个人的认证机制)。
7、指明确切、具体的责任。(例如,技术部门是电信线路的唯一提供者。)
8、违反策略(不合规)时所面临的后果(例如,解聘或合同中止等)。
HR法律网(www.law-hr.com)十分乐意为您解答相关问题!若您的企事业单位需进一步帮助,请在本网查询更多信息,或直接在线咨询、拔打热线电话,我们将竭诚为您服务。
法律知识延伸阅读
HR法律网:信息安全策略是信息安全项目的基石。它应当反映一个企业的安全目标,以及企业为保障信息安全而制定的管理策略。因此,为了实施信息安全策略的后续措施,管理人员必须取得