01 信息安全总体方针和安全策略指引

时间:2019-05-15 07:24:43下载本文作者:会员上传
简介:写写帮文库小编为你整理了多篇相关的《01 信息安全总体方针和安全策略指引》,但愿对你工作学习有帮助,当然你在写写帮文库还可以找到更多《01 信息安全总体方针和安全策略指引》。

第一篇:01 信息安全总体方针和安全策略指引

XXX公司

信息安全总体方针和安全策略指引

第一章总则

第一条为了进一步深入贯彻落实国家政策文件要求,加强公司信息安全管理工作,切实提高公司信息系统安全保障能力,特制定本指引。第二条本指引适合于公司。

第三条公司信息安全管理遵循如下原则:

(一)主要领导负责原则:公司主要领导负责信息安全管理工作,统筹规划信息安全管理目标和策略,建立信息安全保障队伍并合理配置资源;

(二)全员参与原则:公司全员参与信息系统的安全管理工作,将信息安全与本职工作相结合,相互协同工作,认真落实信息安全管理要求,共同保障信息系统安全;

(三)合规性原则:信息安全管理制度遵循国际信息安全管理标准,以国家信息安全法律、法规、标准、规范为根本依据,全面符合相关主管部门和公司的各类要求。

(四)监督制约原则:信息系统安全管理组织结构、组织职责、岗位职责、工作流程层面、执行层面建立相互监督制约机制,降低因缺乏约束而产生的安全风险。

(五)规范化原则:通过建立规范化的工作流程,在执行层面对信息系统安全工作进行合理控制,降低由于工作随意性而产生的安全风险,同时提升信息安全管理制度的可操作性。

(六)持续改进原则:通过不断的持续改进,每年组织公司管理层对制度的全面性、适用性和有效性进行论证和审定,并进行版本修订。第四条本指引适用于公司全体人员。

第二章信息安全保障框架及目标

第五条参照国内外相关标准,并结合公司已有网络与信息安全体系建设的实际情况,最终形成依托于安全保护对象为基础,纵向建立安全管理体系、安全技术体系、安全运行体系和安全管理中心的“三个体系,一个中心,三重防护”的安全保障体系框架。

(一)“三个体系”:信息安全管理体系、信息安全技术体系和信息安全运行体系,把信息安全标准的控制点和公司实际情况相结合形成相适应的体系结构框架;

(二)“一个中心”:信息安全管理中心,实现“自动、平台化”的安全工作管理、统一技术管理和安全运维管理;

(三)“三重防护”:安全计算环境防护措施、安全区域边界防护措施和安全网络通信防护措施,把安全技术控制措施与安全保护对象相结合。

第六条公司安全保障框架:

(一)安全管理体系:信息安全管理体系重点落实安全管理制度、安全管理机构和人员安全管理的相关控制要求,并结合公司的实际情况形成符合行业和国家信息安全标准的信息安全管理体系框架。(二)安全技术体系:通过安全技术在物理、网络、主机、应用和数据各个层面的实施,建立与公司实际情况相结合的安全技术体系。同时与“安全计算环境、安全区域边界和安全网络通信”的保护对象相作用,形成依托于保护对象的安全技术体系控制措施。

(三)安全运行体系:信息安全运行体系重点落实系统建设管理和系统运维管理的相关控制要求,并与公司实际情况相结合,形成符合行业和国家信息安全标准的信息安全运行体系框架。

(四)安全管理中心:根据信息安全相关要求和安全设计技术要求的相关内容,信息安全管理中心通过“自动、平台化”的方式,对信息安全管理体系、信息安全技术体系以及信息安全运行体系的相关控制内容,结合公司的实际情况加以落实。

第七条公司信息安全总体目标是:依照业务信息系统的实际情况和现实问题为基础,参照国内、国际的安全标准和规范,充分利用成熟的信息安全理论成果,设计出整体性好、可操作性强,并且融组织、管理和技术为一体的设计方案,达到行业和国家信息安全标准的要求。

第三章安全策略

第八条建立信息安全领导小组,负责组织、落实国家信息安全相关政策、法规和标准要求,审核并制定公司信息安全的发展战略、规划、政策和管理制度,落实《公司信息安全组织及职责管理办法》。第九条保持与国家信息安全主管机构、监管机构、上级主管单位和支撑企业信息安全建设、运营单位的联络,制定完整的《公司常用信息安全组织机构信息表》,确保与外部机构的沟通畅通。

第十条加强公司内部人员在录用前、工作期间、调岗和离岗的人员安全管理,确保公司内部人员的背景、身份、专业资格和职能权限的安全性,要求信息安全人员签署保密协议,落实《公司内部人员信息安全管理办法》。

第十一条加强外部人员的安全管理,防范外部人员带来的安全风险,规范外部人员在公司各项与信息系统相关的活动所要遵守的行为准则,严格落实《公司外部人员信息安全管理办法》。

第十二条 每年组织开展全员信息安全教育或培训,提升公司全员的信息安全意识,确保公司信息安全目标和策略能够得到必要的宣贯。第十三条 建立信息安全管理制度制定、发布、审核和修订的管理要求,并满足国家法律、政策和规范的要求,确保信息安全管理制度持续改进,落实《公司信息安全制度管理办法》。

第十四条 确保信息化建设的项目立项、设计、实施、验收等各个环节与信息安全管理控制机制的有机结合,实现项目工程管理过程和内容安全可控,严格执行《公司信息系统建设安全管理办法》。第十五条 加强公司信息系统的物理环境和设施的信息安全规范性管理工作,确保物理环境、设施设备和进出访问控制安全,落实《公司机房环境安全管理办法》和《公司办公环境信息安全管理办法》。第十六条 加强对公司信息资产的安全管理,建立统一的信息资产分类、责任、授权和配置管理,明确公司硬件资产、软件资产和数据资产的信息安全管理工作,落实《公司信息资产安全管理办法》。第十七条 加强信息资产的运行维护管理工作,对系统的工作环境、安全运行、策略进行定期检查,记录信息系统运行的日志及状态,定期对信息资产进行清点,确保各系统的正常运行,落实《公司信息安全运行维护管理办法》。

第十八条 加强信息系统运行维护过程中的变更管理,确保公司信息系统的可核查性和可追溯性,合理控制信息系统变更产生的信息安全风险,结合日常信息系统的运行有关管理办法,落实《公司信息系统变更管理办法》。

第十九条 加强对信息安全事件的监控和管理,建立应急事件的报告、协调、处理机制。制定重要信息系统的应急响应预案,并进行演练和定期更新,确保信息系统的连续稳定运行,落实《公司应急管理办法》和《公司信息安全分类应急预案》。

第二十条 对磁带、磁盘、磁盘阵列、光盘、硬盘、纸质等各类移动存储介质进行的所有安全管理活动进行管理,介质使用必须要有授权,保证介质使用的安全。落实《公司介质安全管理办法》。第二十一条为规范管理员对网络设备的访问及操作行为,降低由于口令强度不够和设置不完善等造成的安全隐患和风险,应加强各信息系统的口令管理,落实《公司密码管理办法》。

第二十二条加强对网络系统的设计、规划、变更审批和运维监督,定期对网络中的系统进行漏洞扫描,对重要网段进行保护,落实《公司网络安全管理办法》。

第二十三条规范系统的使用,对系统的账户权限进行有效控制,及时的更新系统的补丁,有效的保护系统中的文件,对重要系统的文件进行保护,落实《公司系统安全管理办法》。第二十四条定期对网络中的应用系统、数据库进行备份,实现异地备份的方式,同时每年需要进行一次数据恢复演练,数据的保存周期至少为五年,合理的根据情况进行调整备份时间,落实《公司信息备份与恢复管理制度》。

第四章奖惩

第二十五条对长期认真贯彻公司信息安全管理办法,并因此而取得较好成绩的组织和个人给予必要的鼓励、宣传和奖励。

第二十六条对违反公司信息安全管理办法的组织、人员,根据其对公司造成的损害程度,给予必要的批评教育、通报批评、经济处罚、行政处分等惩罚;构成犯罪的,移交司法机关依法处理。

第五章附则

第二十七条 本指引由公司信息安全工作组制定,并负责解释和修订。

第二十八条本指引自发布之日起执行。

第二篇:信息安全工作总体方针和安全策略

1.总体目标

以满足业务运行要求,遵守行业规程,实施等级保护及风险管理,确保信息安全以及实现持续改进的目的等内容作为本单位信息安全工作的总体方针。以信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断为总体目标。

2.范围

本案适用于某单位信息安全整体工作。在全单位范围内给予执行,由某部门对该项工作的落实和执行进行监督,由某部门配合某部门对本案的有效性进行持续改进。

3.原则

以谁主管谁负责为原则(或者采用其他原则例如:“整体保护原则”、“适度保护的等级化原则”、“分域保护原则”、“动态保护原则”、“多级保护原则”、“深度保护原则”和“信息流向原则”等)。

4.策略框架

建立一套关于物理、主机、网络、应用、数据、建设和管理等六个方面的安全需求、控制措施及执行程序,并在关联制度文档中定义出相关的安全角色,并对其赋予管理职责。“以人为本”,通过对信息安全工作人员的安全意识培训等方法不断加强系统分布的合理性和有效性。4.1 物理方面

依据实际情况建立机房管理制度,明确机房的出入管理办法,机房介质存放方式,机房设备维护周期及维护方式,机房设备信息保密要求,机房温湿度控制

方式等等环境要求。通过明确机房责任人、建立机房管理相关办法、对维护和出入等过程建立记录等方式对机房安全进行保护。4.2网络方面

从技术角度实现网络的合理分布、网络设备的实施监控、网络访问策略的统一规划、网络安全扫描以及对网络配置文件等必要信息进行定期备份。从管理角度明确网络各个区域的安全责任人,建立网络维护方面相关操作办法并由某人或某部门监督执行看,确保各信息系统网络运行情况稳定、可靠、正常的运行。4.3主机方面

要求各类主机操作系统和数据库系统在满足各类业务系统的正常运行条件下,建立系统访问控制办法、划分系统使用权限、安装恶意代码防范软件并对恶意代码的检查过程进行记录。明确各类主机的责任人,对主机关键信息进行定期备份。4.4应用方面

从技术角度实现应用系统的操作可控、访问可控、通信可控。从管理角度实现各类控制办法的有效执行,建立完善的维护操作规程以及明确定期备份内容。4.5数据方面

对本单位或本部门的各类业务数据、设备配置信息、总体规划信息等等关键数据建立维护办法,并由某部门或某人监督、执行。通过汇报或存储方式实现关键数据的安全传输、存储和使用。4.6

建设和管理方面 4.6.1 信息安全管理机制

成立信息安全管理主要机构或部门,设立安全主管等主要安全角色,依据信

息安全等级保护三级标准(要求),建立信息系统的整体管理办法。4.6.2 信息安全管理组织

分别建立安全管理岗位和机构的职责文件,对机构和人员的职责进行明确。建立信息发布、变更、审批等流程和制度类文件,增强制度的有效性。建立安全审核和检查的相关制度及报告方式。4.6.3 人员安全管理要求

对人员的录用、离岗、考核、培训、安全意识教育等方面应通过制度和操作程序进行明确。

4.6.4 信息安全等级保护工作及风险评估要求

定期对已备案的信息系统进行等级保护测评,以保证信息系统运行风险维持在较低水平,不断增强系统的稳定性和安全性。4.6.5 报告安全事件要求

对突发安全事件建立应急预案管理制度和相关操作办法,并定期组织人员进行演练,以保证信息系统在面临突发事件时能够在较短时间内恢复正常的使用。4.6.6 业务持续性要求

根据对系统的等级测评、风险评估等间接问题挖掘,及时改进信息系统的各类弊端,包括业务弊端,应建立相关改进措施或改进办法,以保证对信息系统的业务持续性要求。

4.6.7 违反信息安全要求的惩罚

建立惩处办法,对违反信息安全总体方针、安全策略的、程序流程和管理措施的人员,依照问题的严重性进行惩罚。

5.相关文件

5.1 《信息安全各部门安全需求及控制措施》 5.2 《信息安全各部门安全工作执行程序》 5.3 《机房安全管理制度》 5.4 《网络安全管理制度》 5.5 《系统安全管理制度》 5.6 《设备操作规程》 5.7 《岗位职责文件》

5.8 《信息安全管理机构组成文件》 5.9 《人事管理制度》/《员工手册》 5.10 5.11 《应急预案管理制度》

《信息安全等级保护测评报告》/《信息安全风险评估报告》

第三篇:信息安全工作总体方针

信息安全工作总体方针

第一章 总则

第一条 为加强和规范省信息中心及直属直管各单位(以下简称“各单位”)信息系统安全工作,提高中心信息系统整体安全防护水平,实现信息安全的可控、能控、在控,依据国家有关法律、法规的要求,制定本文档。

第二条 本文档的目的是为中心信息系统安全管理提供一个总体的策略性架构文件,该文件将指导中心信息系统的安全管理体系的建立。安全管理体系的建立是为中心信息系统的安全管理工作提供参照,以实现中心统一的安全策略管理,提高整体的网络与信息安全水平,确保安全控制措施落实到位,保障网络通信畅通和业务系统的正常运营。

第三条 本文档适用于中心以中心下属各单位信息系统资产和信息技术人员的安全管理和指导,适用于指导中心信息系统安全策略的制定、安全方案的规划和安全建设的实施,适用于中心安全管理体系中安全管理措施的选择。

第四条 本办法所称信息系统指中心一体化企业级信息系统,主要包括一体化企业级信息集成平台(以下简称“一体化平台”)和八大业务应用。

“一体化平台”包含信息网络、数据交换、数据中心、应用集成和企业门户;“业务应用”包含财务(资金)管理、营销管理、安全生产管理、协同办公、人力资源管理、物资管理、项目管理、综合管理业务应用。

第五条 引用标准及参考文件

本文档的编制参照了以下国家、中心的标准和文件:

(一)《中华人民共和国计算机信息系统安全保护条例》

(二)《关于信息安全等级保护建设的实施指导意见》(信息运安〔2009〕27 号)

(三)《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239-2008)

(四)《信息安全技术 信息系统安全管理要求》(GB/T 20269—2006)

(五)《信息系统等级保护 安全建设技术方案设计要求》(报批稿)

(六)《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)

第二章 方针、目标和原则

第六条中心信息系统安全坚持“安全第一、预防为主,管理和技术并重,综合防范”的总体方针,实现信息系统安全可控、能控、在控。依照“分区、分级、分域”总体安全防护策略,执行信息系统安全等级保护制度。管理信息网络分为信息内网和信息外网,实现“双机双网”,信息内网定位为承载网络和内部办公网络,信息外网定位为对外业务网络和访问互联网用户终端网络。信息内、外网之间实施强逻辑隔离的措施。

第七条 信息系统安全总体目标是确保信息系统持续、稳定、可靠运行和确保信息内容的机密性、完整性、可用性,防止因信息系统本身故障导致信息系统不能正常使用和系统崩溃,抵御黑客、病毒、恶意代码等对信息系统发起的各类攻击和破坏,防止信息内容及数据丢失和失密,防止有害信息在网上传播,防止中心对外服务中断和由此造成的系统运行事故。

第八条 信息安全工作的总体原则

(1)基于安全需求原则

组织机构应根据其信息系统担负的使命,积累的信息资产的重要性,可能受到的威胁及面临的风险分析安全需求,按照信息系统等级保护要求确定相应的信息系统安全保护等级,遵从相应等级的规范要求,从全局上恰当地平衡安全投入与效果;

(2)主要领导负责原则

主要领导应确立其组织统一的信息安全保障的宗旨和政策,负责提高员工的安全意识,组织有效安全保障队伍,调动并优化配置必要的资源,协调安全管理工作与各部门工作的关系,并确保其落实、有效;

(3)全员参与原则

信息系统所有相关人员应普遍参与信息系统的安全管理,并与相关方面协同、协调,共同保障信息系统安全;

(4)系统方法原则

按照系统工程的要求,识别和理解信息安全保障相互关联的层面和过程,采用管理和技术结合的方法,提高实现安全保障的目标的有效性和效率;

(5)持续改进原则

安全管理是一种动态反馈过程,贯穿整个安全管理的生存周期,随着安全需求和系统脆弱性的时空分布变化,威胁程度的提高,系统环境的变化以及对系统安全认识的深化等,应及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级,维护和持续改进信息安全管理体系的有效性;

(6)依法管理原则

信息安全管理工作主要体现为管理行为,应保证信息系统安全管理主体合法、管理行为合法、管理内容合法、管理程序合法。对安全事件的处理,应由授权者适时发布准确一致的有关信息,避免带来不良的社会影响;

(7)分权和授权原则

对特定职能或责任领域的管理功能实施分离、独立审计等实行分权,避免权力过分集中所带来的隐患,以减小未授权的修改或滥用系统资源的机会。任何实体(如用户、管理员、进程、应用或系统)仅享有该实体需要完成其任务所必须的权限,不应享有任何多余权限;

(8)选用成熟技术原则

成熟的技术具有较好的可靠性和稳定性,采用新技术时要重视其成熟的程度,并应首先局部试点然后逐步推广,以减少或避免可能出现的失误;

(9)分级保护原则

按等级划分标准确定信息系统的安全保护等级,实行分级保护;对多个子系统构成的大型信息系统,确定系统的基本安全保护等级,并根据实际安全需求,分别确定各子系统的安全保护等级,实行多级安全保护;

(10)管理与技术并重原则

坚持积极防御和综合防范,全面提高信息系统安全防护能力,立足国情,采用管理与技术相结合,管理科学性和技术前瞻性结合的方法,保障信息系统的安全性达到所要求的目标;

(11)自保护和国家监管结合原则

对信息系统安全实行自保护和国家保护相结合。组织机构要对自己的信息系统安全保护负责,政府相关部门有责任对信息系统的安全进行指导、监督和检查,形成自管、自查、自评和国家监管相结合的管理模式,提高信息系统的安全保护

能力和水平,保障国家信息安全。

第九条 在规划和建设信息系统时,信息系统安全防护措施应按照“三 同步”原则,与信息系统建设同步规划、同步建设、同步投入运行。

第三章 总体安全策略

第十条 物理安全策略

(1)机房和办公室必须选择在经过防震、防火、防雷击验收合格的办公大楼内部,机房的窗户需要有防雨水渗透的能力;

(2)机房的位置不能是大楼的地下室、一楼房间或是大楼的顶层,机房的正上方不能是用水量大的房间;

(3)机房出入口必须有专人值守,对工作人员进行登记;

(4)进入机房的工作人员必须由安全管理员或机房管理员全程陪同;

(5)机房内部必须划分重要设备区、一般设备区、过渡区等区域,对不同区域分别进行管理,区域与区域之间进行物理隔离;

(6)机房内部必须部署基础防护系统和设备,如电子门禁系统、监控报警系统、防雷设备、消防灭火系统、防水监控系统、温湿度控制系统、UPS供电系统和电磁屏蔽设备。

第十一条 网络安全策略

(1)网络中必须部署路由器、交换机、防火墙、防毒墙、IPS设备和内网网络管理、补丁分发等系统

(2)网络设备除接入交换机之外,必须进行双机热备,除接入交换机链接工作终端的线路外,其他线路必须进行双线冗余;

(3)整体网络不能出现流量瓶颈,保证带宽充足;

(4)各部门必须划分不同网段的IP地址;

(5)划分网络带宽,突出优先级;

(6)网络边界处必须部署防火墙、IPS等安全设备;

(7)网络设备必须开启日志审计功能;

第十二条 主机安全策略

(1)登录操作系统和数据库系统的用户必须进行身份标识和鉴别;

(2)操作系统和数据库系统管理用户身份标识不能出现同名用户,口令应有复杂度要求并定期更换;

(3)操作系统和数据库系统必须启用登录失败处理功能;

(4)对服务器进行远程管理时,必须采取必要措施,防止鉴别信息在网络传输过程中被窃听;

(5)为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性,不能出重名情况;

(6)操作系统和数据库必须及时删除多余的、过期的账户,避免共享账户的存在;

(7)主机必须开启日志审计功能;

(8)主机必须安装防恶意代码产品,并进行统一管理;

第十三条 应用安全策略

(1)应用系统必须在登录时要求输入用户名和口令;

(2)登录应用系统必须进行两种或两种以上的复合身份验证(如用户名口令+Ukey或用户名口令+IP与MAC地址绑定方式);

(3)应用系统中设置的用户都必须是唯一用户,不能名称相同,且不能出现多人使用同一账户的情况;

(4)应用系统必须开启登录失败处理功能;

(5)应用系统必须开启登录连接超时自动退出等措施;

(6)应用系统必须开启身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数;

(7)应用系统必须开启日志审计功能;

(8)应用系统存储用户信息的设备在销毁、修理或转其他用途时,必须清楚内部存储的信息;

第十四条 数据安全策略

(1)业务应用数据和设备配置文档都必须进行备份,以便发生问题时进行恢复;

(2)数据备份至其他设备上时,必须使用专门的备份通道,保证数据传输的完整性;

(3)数据本机备份时应检测其完整性;

(4)数据备份时必须使用专业的备份设备和工具,在数据传输和数据存储时,都必须是加密传输和存储;

(5)数据进行异地备份时,必须利用通信网络将关键数据定时批量传送至备用场地。

第四章附则

第十五条本办法由中心信息领导委员会负责解释并督促执行。第十六条 各单位可根据本办法制定实施细则,报省中心备案。第十七条 本办法自印发之日起执行。

第四篇:信息安全策略

信息安全策略

是一个有效的信息安全项目的基础。从信息安全领域中发生的事件来看,信息安全策略的核心地位变得越来越明显。例如,没有安全策略,系统管理员将不能安全的安装防火墙。策略规定了所允许的访问控制、协议以及怎样记录与安全有关的事件。尽管信息安全策略是廉价的实施控制方式,但它们也是最难实施的。策略花费的仅仅是创建、批准、交流所用的时间和精力,以及员工把策略整合形成日常行为规范所用的时间和精力。即使是雇佣外部顾问来辅助制定策略,与其它控制方法(特别是技术控制)相比,其花费也是较小的。策略的制定需要达成下述目标:减少风险,遵从法律和规则,确保组织运作的连续性、信息完整性和机密性。

信息安全策略应主要依靠组织所处理和使用的信息特性推动制定。组织为高层主管、董事会成员、战略伙伴以及员工提供了内部信息系统,对信息系统中信息特性的理解,能为策略制定提供有用的依据。应当重视对信息系统了解深刻的员工,所提出的组织当前信息的主要特性,具体包括:什么信息是敏感的、什么信息是有价值的以及什么信息是关键的。

在制定一整套信息安全策略时,应当参考一份近期的风险评估或信息审计,以便清楚了解组织当前的信息安全需求。对曾出现的安全事件的总结,也是一份有价值的资料。也需要召开相关人员会议,比如首席信息官、物理安全主管、信息安全主管、内部审计主管和人力资源主管等。

为了确定哪些部分需要进一步注意,应收集组织当前所有相关的策略文件,例如计算机操作策略、应用系统开发策略、人力资源策略、物理安全策略。也可以参考国际标准、行业标准来获得指导。

资料收集阶段的工作非常重要,很多时候因为工作量和实施难度被简化操作。资料收集不全,调研不够充分会导致新建的信息安全策略无法与组织的真正需求一致。也无法确保策略中的要求与管理目标相一致。如果提出一套与组织文化明显不一致的策略,更是一件很尴尬的事情。

在制定策略之前,对现状进行彻底调研的另一个作用是要弄清楚内部信息系统体系结构。信息安全策略应当与已有的信息系统结构相一致,并对其完全支持。这一点不是针对信息安全体系结构,而是针对信息系统体系结构。信息安全策略一般在信息系统体系结构确立以后制定,以保障信息安全体系实施、运行。例如,互联网访问控制策略可使安全体系结构具体化,也有利于选择和实施恰当的防火墙产品。

收集完上面所提到的材料后,也就是调研阶段完成后,开始根据前期的调研资料制定信息安全策略文档初稿。初稿完成后,应当寻找直接相关人员对其进行小范围的评审。对反馈意见进行修改后,逐渐的扩大评审的范围。当所有的支持部门做出修改后,交由信息安全管理委员会评审。

信息安全策略的制定过程有很高的政策性和个性,反复的评审过程能够让策略更加清晰、简洁,更容易落地,为此在评审的过程中需要调动参与积极性,而不是抵触。

评审过程的最后一步一般由总经理、总裁、首席执行官签名。在人员合同中应当表明能予遵守并且这是继续雇佣的条件。也应当发放到内部服务器、网页以及一些宣传版面上的显眼位置,并附有高层管理者的签名,以表明信息安全策略文档

得到高层领导强有力的支持。如果让首席执行官签名不现实,由首席信息官签名也可以。要注意仅有信息安全部门主管或同级的部门主管签名,一般不足以表明高层管理者的同意和支持。虽然获得高层管理者的同意很难实施,但经验表明,高层的支持对策略的实施落地是非常重要的。

一般来说,在信息安全策略文件评审过程中,会得到组织内部各方多次评审和修订,其中最为重要的是信息安全管理委员会。信息安全委员会一般由信息部门人员组成,参与者一般包括以下部门的成员:信息安全、内部审计、物理安全、信息系统、人力资源、法律、财政和会计部。这样一个委员会本质上是监督信息安全部门的工作,负责筛选提炼已提交的策略,以便在整个组织内更好的实施落地。如果组织内还没有信息安全管理委员会,在制定信息安全策略的时候正是建立管理委员会的好时机,或由组织内已存在的同职能部门担任职责。

虽然制定了新的安全策略,还必须有一个适当的实施过程,如果这些策略不能得到实施,将起不到任何作用,不能得到执行的策略,可能比完全没有策略更糟糕,因为这样会教会员工作假和质疑组织内部执行力,这也可能麻痹管理者认为信息安全为题已经处理虽然现实是另外一回事。

管理层常以为员工行为当然以组织利益为重,这是一个欠考虑的想法。虽然策略不可能影响员工的个人价值观,但管理层可以运用策略给员工提供机会,引导他们和组织的利益一致。策略告诉员工组织对他们的期望是什么。

新策略发布前,应在内部信息技术部门或审计部门内讨论如果具体实施。新策略的执行可能会遇到多样化的问题。可以通过绩效评估和相应奖惩制度来保证策略的执行有效性。发现和惩罚违反策略的员工并不是目的。如果大量的人都不遵守,这就表明策略和相关的意识提升是无效的。在此情形下,需要寻找更有效的方式实施,或修改策略,以便更好的反映组织文化。

另有一些策略实施的建议:

在组织内部网站或一些媒体发布策略—新策略应发布在组织内部网站上,加入相关链接让用户能很快定位感兴趣的材料。

制定自我评估调查表—在新的策略实施时,制定评估表,填写实施情况,就能明确哪些部门没有遵守好、哪些地方需要额外加强控制。

制定遵守信息安全策略的员工协议表——应当编辑一个反映员工该如何遵守信息安全策略的法律协议表,或直接体现在员工合同中。

建立考察机制检查员工是否理解策略——调查员工是否理解安全策略文档中的重点。通过考试确定是否要增加培训和通告。

基础信息安全培训课程——培训课程通过录像或培训软件存档。不同策略对象可能要不同的培训课程。

分配策略落实负责人——按部门或实际情况分配负责人,落实责任。

第五篇:信息安全策略纲要

信息安全策略纲要

1范围

信息系统是技术密集的大型复杂的网络化人机系统,其面临的安全问题非常突出。为了保障海南电网信息通信分公司(以下简称“公司”)信息系统的安全可靠运行,依据《信息系统安全等级保护基本要求》等相关标准法规制定本策略纲要。本纲要适用于公司信息系统。总体目标

总体目标:保护公司信息系统的硬件、软件、业务信息和数据、通信网络设备等资源的安全,有效防范各类安全事故,合法合规发展各类信息系统,确保为社会提供高效稳定的电力服务。规范性引用文件

下列文件中的条款通过本标准的引用而成为本标准的条款。凡注明日期的引用文件,其随后所有的修改单或修订版均不适用于本标准(不包括勘误、通知单),然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡未注日期的引用文件,其最新版本适用于本标准

《信息安全技术 信息系统安全保障评估框架》(GB/T 20274.1-2006)《信息安全技术 信息系统安全管理要求》(GB/T 20269-2006)

《信息安全技术 信息系统安全等级保护基本要求》(GBT 22239-2008)本标准未涉及的管理内容,参照国家、电力行业、南方电网公司的有关标准和规定执行。总体方针

4.1组织与体制

构筑确保信息安全所必需的组织与体制,明确其责任与权限。

4.2 遵守法令法规

遵守与信息安全有关的法令法规,制定并遵守按基本方针所制定的信息安全相关的规定。

4.3信息资产的分类与管理

按照重要级别信息资产进行分类,并妥善管理。

4.4培训与教育

为使相关人员全面了解信息安全的重要性,适当开展针对性培训与教育教育活动。使他们充分认识信息安全的重要性以及掌握正确的管理方法。

4.5物理性保护

为避免非法入侵、干扰及破坏信息资产等事故的发生,对其保管场所与保管办法加以明确。

4.6技术性保护

为切实保护信息资产不受来自外部的非法入侵,对信息系统的登录方法、使用限制、网络管理等采取适当的措施。

4.7运用

为确保基本方针的实际成效,在对遵守情况进行监督的同时,对违反基本方针时的处置办法及针对来自外部的非法入侵等紧急事态采取的应对措施等加以规定。

4.8评价及复审

随着社会环境的变化、技术的进步等,应定期对基本方针与运用方式进行评价与复审安全策略

5.1安全管理制度

在信息安全中,最活跃的因素是人,对人的管理包括法律、法规与政策的约束、安全指南的帮助、安全意识的提高、安全技能的培训、人力资源管理措施以及企业文化的熏陶,这些功能的实现都是以完备的安全管理政策和制度为前提。安全管理制度包括信息安全工作的总体方针、策略、规范各种安全管理活动的管理制度以及管理人员或操作人员日常操作的操作规程。

安全管理制度重点关注管理制度、制定和发布、评审和修订三方面。

目的是根据系统的安全等级,依照国家相关法律法规及政策标准,建立信息安全的各项管理规范和技术标准,规范基础设施建设、系统和网络平台建设、应用系统开发、运行管理等重要环节,奠定信息安全的基础。

5.2安全管理机构

建立组织管理体系是为了建立自上而下的信息安全工作管理体系,确定安全管理组织机构的职责,统筹规划、专家决策,以推动信息安全工作的开展。

公司成立信息安全领导小组,是信息安全的最高决策机构,负责研究重大事件,落实方针政策,制定实施策略和原则,开展安全普及教育等。下设办公室负责信息安全领导小组的日常事务。

信息安全领导小组下设两个工作组:信息安全工作组、应急处理工作组。组长均由公司负责人担任。

5.3人员安全管理

通过建立安全岗位责任制,最大限度降低人为失误所造成的风险。人是决定性因素,人员安全管理的原则是:职责分离、有限授权、相互制约、任期审计。

人员安全管理的要素包括:安全管理人员配备、信息系统关键岗位、人员录用、人员离岗、人员考核与审查、第三方人员管理等。

信息安全人员的配备和变更情况,应向上一级单位报告、备案。

信息安全人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务。涉及公司业务核心技术的信息安全人员调离单位,必须进行离岗审计,并在规定的脱密期后,方可调离。

5.4系统建设管理

信息系统的安全管理贯穿系统的整个生命周期,系统建设管理主要关注的是生命周期中的前三个阶段(初始、采购、实施)中各项安全管理活动。

系统建设管理分别从工程实施建设前、建设过程以及建设完毕交付等三方面考虑,具体包括系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评和安全服务商选择十一个控制点。

5.5系统运维管理

目的是保障信息系统日常运行的安全稳定,对运行环境、技术支持、操作使用、病毒防范、备份措施、文档建立等全方位管理。包括用户管理、运行操作管理、运行维护管理、外包服务管理、有关安全机制保障、安全管理控制平台等方面的管理要素。

对运行过程的任何变化,数据、软件、物理设置等,都应实施技术监控和管理手段以确保其完整性,防止信息非法复制、篡改,任何查询和变更操作需经过授权和合法性验证。

应急管理也是运维的重要内容,目的是分析信息系统可能出现的紧急事件或灾难,建立一整套应急措施,以保障核心业务的快速恢复和持续稳定运行。应急计划包括应急处理和灾难恢复策略、应急计划、应急计划的实施保障等管理要素。

在海南省电网公司统一的应急规划下,针对信息系统面临的各种应急场景编制相应的应急预案,并经过测试演练修订,同时宣传普及。

5.6物理安全

目的是保护计算机设备、设施(含网络)以及信息系统免遭自然灾害和其他形式的破坏,保证信息系统的实体安全。

有关物理环境的选址和设计应遵照相关标准,配备防火、防水、防雷击、防静电、防鼠害等机房措施,维持系统不间断运行能力,确保信息系统运行的安全可靠。

对重要安全设备的选择,需符合国家相关标准规范,相关证书齐全。

严格确定设备的合法使用人,建立详细运行日志和维护记录。

5.7网络安全

目的是有效防范网络体系的安全风险,为业务应用系统提供安全、可靠、稳定的网络管理和技术平台。

对于依赖网络架构安全的业务应用系统,需根据其安全级别,实施相应的访问控制、身份认证、审计等安全服务机制;在网络边界处,需根据资源的保护等级,实施相应安全级别的防火墙、认证、审计、动态检测等技术,防范信息资源的非法访问、篡改和破坏。

5.8主机安全

主机安全包括服务器、终端/工作站等在内的计算机设备在操作系统及数据库系统层面的安全。终端/工作站是带外设的台式机与笔记本计算机,服务器则包括应用程序、网络、web、文件与通信等服务器。主机承载着各种应用,是保护信息安全的中坚力量。

主机安全需着重关注和加强身份鉴别、访问控制、恶意代码防范、安全审计、入侵防范几个方面,同时定期或不定期的进行安全评估(含渗透性测试)和加固,实时确保主机的健壮性。

5.9应用安全

应用安全成是信息系统整体防御的最后一道防线,目的是保障业务应用系统开发过程及最终产品的安全性。

在应用层面运行着信息系统的基于网络的应用以及特定业务应用。基于网络的应用是形成其他应用的基础,是基本的应用;业务应用采纳基本应用的功能以满足特定业务的要求;故最终是保护系统的各种业务应用程序的安全运行。

应用系统的总体需求计划阶段,应全面评估系统的安全风险,确定系统的访问控制、身份认证、审计跟踪等安全需求;总体架构设计阶段,应实施安全需求设计,确立安全服务机制、开发人员技术要求和操作规程;应用系统的实现阶段,应全程实施质量控制,防止程序后门,减少代码漏洞;在上线运行之前,应充分进行局部功能、整体功能、压力测试,以及系统安全性能、操作流程、应急方案的测试。5.10数据安全及备份恢复

信息系统处理的各种数据(用户数据、系统数据、业务数据等)在维持系统正常运行上起着至关重要的作用。由于信息系统的各个层面(网络、主机、应用等)都对各类数据进行传输、存储和处理等,因此,对数据的保护需要物理环境、网络、数据库和操作系统、应用程序等提供支持。

数据备份也是防止数据被破坏后无法恢复的重要手段,而硬件备份等更是保证系统可用的重要内容。附 则

 本标准由海南电网公司信息通信分公司负责解释。

 本标准自颁布之日起实行。

下载01 信息安全总体方针和安全策略指引word格式文档
下载01 信息安全总体方针和安全策略指引.doc
将本文档下载到自己电脑,方便修改和收藏,请勿使用迅雷等下载。
点此处下载文档

文档为doc格式


声明:本文内容由互联网用户自发贡献自行上传,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任。如果您发现有涉嫌版权的内容,欢迎发送邮件至:645879355@qq.com 进行举报,并提供相关证据,工作人员会在5个工作日内联系你,一经查实,本站将立刻删除涉嫌侵权内容。

相关范文推荐

    税务系统信息安全策略

    论文编号:6G21112101 税务系统信息安全策略 刘宏斌 李怀永 内容题要: 随着税收信息化程度不断提高,税收工作对信息系统的依赖性不断增大,税务信息安全显得更加重要。本文主要通......

    智慧城市信息安全保障体系与安全策略

    《智慧城市信息安全保障体系与安全策略》答案(87分) 一、单选 1、以下选项中,不属于信息安全保障体系模型的要素是(保障过程) 2、以下选项中,不属于业务协同面临的安全威胁和风险......

    企业网络信息安全策略(合集)

    企业网络信息安全策略 随着计算机技术和网络的快速发展,网络管理也越来越受到人们的重视,企业的发展更离不开网络,但是网络的质量又直接影响着企业的信息安全管理,因此,企业需要......

    金融机构信息安全管理指引

    附件 四川省银行业金融机构信息安全管理指引(试行) 第一章 总 则 第一条 为切实加强四川省银行业金融机构(以下简称银行机构)信息安全工作的管理和指导,进一步增强银行机构信息......

    安全方针、目标和计划

    安全方针、目标和计划为了贯彻落实|“安全第一,预防为主,综合治理”的方针,巩固项目部安全生产秩序,加强项目安全标准化的管理,落实安全生产责任制。特制定石厦村改造项目C座安全......

    安全生产方针和目标

    安全生产方针和目标 一、公司的安全方针: 安全第一,预防为主;全员参与,综合治理。安全方针的理解: 1、安全第一,预防为主 (1)在生产经营活动中,在处理保证安全与生......

    2018年度安全生产方针与总体、年度目标的通知

    关于印发2018年度安全生产方针与总体、年度目标的通知 各部门、车间: 一、指导思想 坚持“安全第一、预防为主、综合治理”的方针,加强安全生产基层、基础建设,强化责任落实,杜......

    安全生产方针和目标5篇

    编号:DH/JL-AW-033 安全生产方针和目标首先我们公司生存和可持续发展的重要保证是什么:那就是安全,安全工 作是企业的生命线,做好这项工作给企业带来的不仅只是避免安全事故的发......