XXXX公司
信息安全管理策略
制度编号：
二一五年六月文档变更历史
总则为明确XXXX公司
（以下简称
“XX”)的信息安全管理职责和管理策略
，依据《管理体系总纲》和《信息科技风险管理策略
》，特制定本办法
。信息安全
管理的主要目标是
控制信息安全风险，确保
XX信息的保密性、完整性和
可用性.适用范围
本策略适用于
XX组织安全、人力资源安全、
信息资产、
访问控制、密码、
物理和环境
安全、操作安全、网络和通讯安全、系统获取开发和维护安全、供应商安全、信息安全事件、业务连续性中的信息安全、以及合规
等方面的
管理。本策略适用于XX各部门，以及与XX合作的商业伙伴、
为XX提供服务的
服务提供商
及人员等。术语定义
本办法涉及的术语包括：
信息、信息安全
、信息安全管理体系
、风险、保密性、完整性、可用性、风险评估
、风险处置
、访问控制
、信息安全
事态、信息安全事件、业务连续性
。本办法涉及到术语
定义,参见《术语表》.职责定义XX负责本管理领域规章制度的设计、推广、监督和改进
。本办法涉及的角色包括：
信息安全保护领导小组
（以下简称“领导小组”）
、信息安全保护工作小组 ...