信息安全管理方针和目标

为了减少信息系统的中断、数据的丢失、敏感信息的泄密给公司和客户造成的损失，公司建立了信息安全管理体系，制订了信息安全方针，确定了信息安全目标。

信息安全管理方针

风险可控: 通过在公司内实施信息安全风险评估和安全检查，不断提高信息安全服务能力，降低客户的安全顾虑，控制风险；
数据安全: 通过各项安全措施的实施，风险得到有效控制，确保公司生产和应用数据的安全，利益不受损害；
积极预防: 信息安全工作采取各项主动预防措施，建立信息安全和操作风险防控体系，增强全员安全意识，完善应急机制，加强内部安全检查，做到防患于未然；
持续改进: 按照PDCA模型进行信息安全管理的持续改进，保证公司的信息系统在动态变化的过程中始终得到全面的保护。

为了保证各种信息资产的保密性、完整性、可用性，切实推行信息安全管理，积极预防风险，完善控制措施。依据ISO/IEC 27001:2022标准，建立信息安全管理体系，并承诺如下:

• 1) 各层次建立完整的信息安全管理组织机构，确定信息安全方针、安全目标和控制措施，明确信息安全的管理职责；
• 2) 识别并满足适用法律、法规和客户等相关方信息安全要求；
• 3) 应定期进行信息安全风险评估，ISMS评审，采取纠正预防措施，保证体系的持续有效性；
• 4) 采用先进有效的设施和技术，处理、传递、储存和保护各类信息；
• 5) 对全体员工进行持续的信息安全教育和培训，不断增强员工信息安全意识和能力；
• 6) 制定并保持完善的业务连续性计划，实现可持续发展。
• 7) 对于基本方针的适用性、充分性，结合实际状况定期评审，必要时予以修订。

信息安全目标下

信息安全方针目标的更新
为了保证信息安全方针与目标符合公司的战略目标，管理层应每年在管理评审会议上，对信息安全方针与目标进行评审，并由信息安全部根据评审的结果，对方针与目标进行更新并通过会议或电话等方式传达给相关人员。

信息安全目标的实现
为确保安全目标的实现，应首先进行风险评估，根据风险评估的结果和ISO27001：2022标准的要求建立体系程序文件，并设计相应的模板表单；
所有员工不得刻意违反信息安全相关的制度与规定，严格按照相关规定执行；
信息安全项目组负责在每年内审后，管理评审之前，对信息安全目标进行测量与评价，记录在管理体系有效性测量表中，并在管理评审会议时向管理层汇报年度信息安全目标达成情况。