信息安全政策

本组织的管理层认识到识别和保护组织信息资产的重要性。为此，组织将防止所有信息的破坏、泄露、修改和未经授权的使用，并承诺开发、实施、维护和持续改进信息安全管理体系。

组织管理层声明遵守与信息安全相关的现行法律和法规。

信息安全的特征在于维护以下方面：

a) 保密性：确保只有授权人员才能访问信息；

b) 完整性：确保信息及其处理方法的准确性和完整性；

c) 可用性：确保授权用户在需要时可以访问信息。

通过实施一套适当的控制措施（如政策、程序、组织结构、软件和基础设施），可以实现信息安全。这些控制措施必须根据组织的安全目标来建立。

组织将设立信息安全委员会，负责指导、实施和维护信息安全管理体系。

本信息安全政策必须为所有组织员工所知悉并遵守，无论其职位或合同关系。

组织的政策包括：

• 制定与信息安全相关的年度目标。
• 建立评估和处理安全风险的流程，并根据其结果实施相应的纠正和预防措施，同时制定和更新行动计划。
• 根据信息对组织的重要性以及适用法规，分类并保护信息。
• 遵守服务要求、法律或监管义务以及合同安全承诺。
• 为所有员工提供信息安全意识和培训。
• 规定所有员工有责任根据相关程序记录和报告已确认或疑似的安全事件。
• 建立必要的手段以确保组织运营的连续性。