第一篇:信息安全工作总体方针
信息安全工作总体方针
第一章 总则
第一条 为加强和规范省信息中心及直属直管各单位(以下简称“各单位”)信息系统安全工作,提高中心信息系统整体安全防护水平,实现信息安全的可控、能控、在控,依据国家有关法律、法规的要求,制定本文档。
第二条 本文档的目的是为中心信息系统安全管理提供一个总体的策略性架构文件,该文件将指导中心信息系统的安全管理体系的建立。安全管理体系的建立是为中心信息系统的安全管理工作提供参照,以实现中心统一的安全策略管理,提高整体的网络与信息安全水平,确保安全控制措施落实到位,保障网络通信畅通和业务系统的正常运营。
第三条 本文档适用于中心以中心下属各单位信息系统资产和信息技术人员的安全管理和指导,适用于指导中心信息系统安全策略的制定、安全方案的规划和安全建设的实施,适用于中心安全管理体系中安全管理措施的选择。
第四条 本办法所称信息系统指中心一体化企业级信息系统,主要包括一体化企业级信息集成平台(以下简称“一体化平台”)和八大业务应用。
“一体化平台”包含信息网络、数据交换、数据中心、应用集成和企业门户;“业务应用”包含财务(资金)管理、营销管理、安全生产管理、协同办公、人力资源管理、物资管理、项目管理、综合管理业务应用。
第五条 引用标准及参考文件
本文档的编制参照了以下国家、中心的标准和文件:
(一)《中华人民共和国计算机信息系统安全保护条例》
(二)《关于信息安全等级保护建设的实施指导意见》(信息运安〔2009〕27 号)
(三)《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239-2008)
(四)《信息安全技术 信息系统安全管理要求》(GB/T 20269—2006)
(五)《信息系统等级保护 安全建设技术方案设计要求》(报批稿)
(六)《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)
第二章 方针、目标和原则
第六条中心信息系统安全坚持“安全第一、预防为主,管理和技术并重,综合防范”的总体方针,实现信息系统安全可控、能控、在控。依照“分区、分级、分域”总体安全防护策略,执行信息系统安全等级保护制度。管理信息网络分为信息内网和信息外网,实现“双机双网”,信息内网定位为承载网络和内部办公网络,信息外网定位为对外业务网络和访问互联网用户终端网络。信息内、外网之间实施强逻辑隔离的措施。
第七条 信息系统安全总体目标是确保信息系统持续、稳定、可靠运行和确保信息内容的机密性、完整性、可用性,防止因信息系统本身故障导致信息系统不能正常使用和系统崩溃,抵御黑客、病毒、恶意代码等对信息系统发起的各类攻击和破坏,防止信息内容及数据丢失和失密,防止有害信息在网上传播,防止中心对外服务中断和由此造成的系统运行事故。
第八条 信息安全工作的总体原则
(1)基于安全需求原则
组织机构应根据其信息系统担负的使命,积累的信息资产的重要性,可能受到的威胁及面临的风险分析安全需求,按照信息系统等级保护要求确定相应的信息系统安全保护等级,遵从相应等级的规范要求,从全局上恰当地平衡安全投入与效果;
(2)主要领导负责原则
主要领导应确立其组织统一的信息安全保障的宗旨和政策,负责提高员工的安全意识,组织有效安全保障队伍,调动并优化配置必要的资源,协调安全管理工作与各部门工作的关系,并确保其落实、有效;
(3)全员参与原则
信息系统所有相关人员应普遍参与信息系统的安全管理,并与相关方面协同、协调,共同保障信息系统安全;
(4)系统方法原则
按照系统工程的要求,识别和理解信息安全保障相互关联的层面和过程,采用管理和技术结合的方法,提高实现安全保障的目标的有效性和效率;
(5)持续改进原则
安全管理是一种动态反馈过程,贯穿整个安全管理的生存周期,随着安全需求和系统脆弱性的时空分布变化,威胁程度的提高,系统环境的变化以及对系统安全认识的深化等,应及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级,维护和持续改进信息安全管理体系的有效性;
(6)依法管理原则
信息安全管理工作主要体现为管理行为,应保证信息系统安全管理主体合法、管理行为合法、管理内容合法、管理程序合法。对安全事件的处理,应由授权者适时发布准确一致的有关信息,避免带来不良的社会影响;
(7)分权和授权原则
对特定职能或责任领域的管理功能实施分离、独立审计等实行分权,避免权力过分集中所带来的隐患,以减小未授权的修改或滥用系统资源的机会。任何实体(如用户、管理员、进程、应用或系统)仅享有该实体需要完成其任务所必须的权限,不应享有任何多余权限;
(8)选用成熟技术原则
成熟的技术具有较好的可靠性和稳定性,采用新技术时要重视其成熟的程度,并应首先局部试点然后逐步推广,以减少或避免可能出现的失误;
(9)分级保护原则
按等级划分标准确定信息系统的安全保护等级,实行分级保护;对多个子系统构成的大型信息系统,确定系统的基本安全保护等级,并根据实际安全需求,分别确定各子系统的安全保护等级,实行多级安全保护;
(10)管理与技术并重原则
坚持积极防御和综合防范,全面提高信息系统安全防护能力,立足国情,采用管理与技术相结合,管理科学性和技术前瞻性结合的方法,保障信息系统的安全性达到所要求的目标;
(11)自保护和国家监管结合原则
对信息系统安全实行自保护和国家保护相结合。组织机构要对自己的信息系统安全保护负责,政府相关部门有责任对信息系统的安全进行指导、监督和检查,形成自管、自查、自评和国家监管相结合的管理模式,提高信息系统的安全保护
能力和水平,保障国家信息安全。
第九条 在规划和建设信息系统时,信息系统安全防护措施应按照“三 同步”原则,与信息系统建设同步规划、同步建设、同步投入运行。
第三章 总体安全策略
第十条 物理安全策略
(1)机房和办公室必须选择在经过防震、防火、防雷击验收合格的办公大楼内部,机房的窗户需要有防雨水渗透的能力;
(2)机房的位置不能是大楼的地下室、一楼房间或是大楼的顶层,机房的正上方不能是用水量大的房间;
(3)机房出入口必须有专人值守,对工作人员进行登记;
(4)进入机房的工作人员必须由安全管理员或机房管理员全程陪同;
(5)机房内部必须划分重要设备区、一般设备区、过渡区等区域,对不同区域分别进行管理,区域与区域之间进行物理隔离;
(6)机房内部必须部署基础防护系统和设备,如电子门禁系统、监控报警系统、防雷设备、消防灭火系统、防水监控系统、温湿度控制系统、UPS供电系统和电磁屏蔽设备。
第十一条 网络安全策略
(1)网络中必须部署路由器、交换机、防火墙、防毒墙、IPS设备和内网网络管理、补丁分发等系统
(2)网络设备除接入交换机之外,必须进行双机热备,除接入交换机链接工作终端的线路外,其他线路必须进行双线冗余;
(3)整体网络不能出现流量瓶颈,保证带宽充足;
(4)各部门必须划分不同网段的IP地址;
(5)划分网络带宽,突出优先级;
(6)网络边界处必须部署防火墙、IPS等安全设备;
(7)网络设备必须开启日志审计功能;
第十二条 主机安全策略
(1)登录操作系统和数据库系统的用户必须进行身份标识和鉴别;
(2)操作系统和数据库系统管理用户身份标识不能出现同名用户,口令应有复杂度要求并定期更换;
(3)操作系统和数据库系统必须启用登录失败处理功能;
(4)对服务器进行远程管理时,必须采取必要措施,防止鉴别信息在网络传输过程中被窃听;
(5)为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性,不能出重名情况;
(6)操作系统和数据库必须及时删除多余的、过期的账户,避免共享账户的存在;
(7)主机必须开启日志审计功能;
(8)主机必须安装防恶意代码产品,并进行统一管理;
第十三条 应用安全策略
(1)应用系统必须在登录时要求输入用户名和口令;
(2)登录应用系统必须进行两种或两种以上的复合身份验证(如用户名口令+Ukey或用户名口令+IP与MAC地址绑定方式);
(3)应用系统中设置的用户都必须是唯一用户,不能名称相同,且不能出现多人使用同一账户的情况;
(4)应用系统必须开启登录失败处理功能;
(5)应用系统必须开启登录连接超时自动退出等措施;
(6)应用系统必须开启身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数;
(7)应用系统必须开启日志审计功能;
(8)应用系统存储用户信息的设备在销毁、修理或转其他用途时,必须清楚内部存储的信息;
第十四条 数据安全策略
(1)业务应用数据和设备配置文档都必须进行备份,以便发生问题时进行恢复;
(2)数据备份至其他设备上时,必须使用专门的备份通道,保证数据传输的完整性;
(3)数据本机备份时应检测其完整性;
(4)数据备份时必须使用专业的备份设备和工具,在数据传输和数据存储时,都必须是加密传输和存储;
(5)数据进行异地备份时,必须利用通信网络将关键数据定时批量传送至备用场地。
第四章附则
第十五条本办法由中心信息领导委员会负责解释并督促执行。第十六条 各单位可根据本办法制定实施细则,报省中心备案。第十七条 本办法自印发之日起执行。
第二篇:信息安全总体方针
信息化服务中心
信息安全 总体 方针
项目名称
XXX 安全运维服务项目 客户名称
XXX 信息化服务中心 实施地点
XXX 信息化服务中心 实施单位
XXX 络安信息技术有限 实施时间
XXX 年 7 月 17 日星期二
文档修订情况
版本 修订记录 日期 修订 审核 批准 v1.0 制作文档 XXX-07-17 XXX
V2.0 修改信息安全管理委员会框架 XXX-07-20 XXX
目录
目的和适用范围......................................................................................................................................3
信息安全定义..........................................................................................................................................3
信息安全方针..........................................................................................................................................3
安全管理机构..........................................................................................................................................3
4.1 信息安全管理委员会......................................................................................................................................3
职责.........................................................................................................................................................4
信息安全管理体系实施框架...................................................................................................................4
重要原则、标准和符合性要求................................................................................................................5
评审.........................................................................................................................................................5
目的和 适用 范围 信息安全管理体系方针指明了 XXX 信息化服务中心的信息安全目标和方向,并可以确保信息安全管理体系被充分理解和贯彻实施。为明确信息安全管理体系方针,特制定本文件。此外,本文件还描述了 XXX 信息化服务中心的信息安全管理体系的范围。
本文件适用于 XXX 信息化服务中心信息安全管理体系涉及的所有人员和组织的全部重要信息资产及过程。信息安全定义 信息安全是指保证信息的保密性、完整性、可用性;另外也可包括诸如真实性、可核查性、不可否认性和可靠性等特性。
信息是对 XXX 信息化服务中心业务至关重要的一种资产,因此需要加以适当的保护。在业务环境互连日益增加的情况下这一点显得尤为重要。信息安全可防止信息受到各种威胁,以确保业务连续性,是业务风险最小化,投资回报和商业机遇最大化。信息安全方针 XXX 信息化服务中心信息安全方针为:统一规划建设、全面综合防御、技术管理并重、保障运营安全。安全管理机构 根据 ISO/IEC 27001:2005 的要求,为了确保信息安全工作有一个明确的方向和获得可见的管理者支持,XXX 信息化服务中心设立以下信息安全管理机构。
4.1 信息安全管理委员会 信息安全管理委员会是 XXX 信息化服务中心信息安全管理工作的最高领导机构,承担以下方面的工作:
1)审批信息安全方针和总体职责; 2)审批信息安全的特殊方法和过程,如风险评估等; 3)审批加强信息安全的重大举措; 4)提供所需要的足够的资源; 5)协调本 ISMS 和 XXX 信息化服务中心其他规章制度之间的关系。
信息安全委员会主席由 XXX 信息化服务中心负责人担任,常务副主席由 XXX 信息化服务中心任命(管理者代表);信息安全管理委员会由相关部门的信息安全员组成。信息安全管理委员会主要工作为:在信息安全管理委员会主席/副主席的领导下,负责 XXX 信息化服务中心日常信息安全的管理与监督活动,并对相关部门提供指导和对需要培训的员工进行培训。
图-信息安全管理委员会组织机构框架图 5 职责(1)领导职责 XXX 信息化服务中心领导应具有以下方面的职责:
制定信息安全方针; 向 XXX 信息化服务中心员工传达满足信息安全目标和符合信息安全方针、法律法规要求的重要性; 主持 ISMS 的管理评审; 提供开发、实施、运行和维护 ISMS 所需的足够的资源; 决定可接受的风险级别。
(2)员工职责 每一位员工或使用本 XXX 信息化服务中心信息的人员都要遵守本方针,都有保护XXX 信息化服务中心信息资产、系统和基础设施安全的职责。
每一位员工都应采取适当的措施(包括设置密码),保护其所负责的所有形式的机密信息在管理、使用、存储、处理和传输中的安全。
员工外出工作需要携带设备时,必须获得相关领导者的批准,并应采取相应的保护措施,防止丢失,防止损毁,确保信息安全。如:设备必须设置密码、不留在公共场所无人看管、不暴露于强电磁场等。
任何员工都有义务向其直接领导或信息安全管理委员会报告可能会危及密级信息安全的任何活动、行为和提出改进建议。
(3)使用者职责 这里所说的使用者是指访问本 XXX 信息化服务中心密级信息的人员。
使用者必须获得授权、了解该信息的安全要求,并采取相应的安全保护措施。
如果已授权的使用者不了解其所要访问的信息的安全要求,那么他必须对该信息提供最高极限的保护。
使用者应小心保护其访问信息的密码、物理钥匙和ID卡,一旦发生密码泄露或钥匙、ID 卡丢失,应立即向其直接领导报告并承担相应责任。信息安全管理体系实施框架
XXX 信息化服务中心要根据所要实现的信息安全目标选取适当的风险评估方法,并制定风险评估程序以持续适用于 XXX 信息化服务中心的信息安全管理体系。
信息安全风险在被识别后,应进行分析和评价,根据其结果,选取合适的控制措施,以满足风险评估和风险处理过程中所识别的需求。控制措施的选择还应考虑可接受风险的准则以及法律法规和合同要求。
本 XXX 信息化服务中心风险接受准则是:如果降低风险所付出的成本大于风险所造成的损失,则选择接受风险。
可接受的风险级别为:按照 XXX 信息化服务中心所采取的风险评估方法,风险共分 4级,可接受风险级别为低风险和一般风险,或者管理者批准接受的风险;较高风险和高风险不能接受。重要原则、标准和符合性要求 法律法规和合同要求的符合性 XXX 信息化服务中心在建立和管理信息安全管理体系时,必须符合相关法律法规和合同的要求。
安全教育、培训和意识要求 所有分配有信息职责的人员必须具备执行所要求任务的能力,因此 XXX 信息化服务中心要确定这些人员所必要的能力,提供能力培训,必要时,可聘用有能力的人员以满足这些需求。同时要评价所提供的培训和所采取的措施的有效性,保持教育、培训、技能、经历和资格的记录。另外,XXX 信息化服务中心还要确保所有相关人员意识到其信息安全活动的适当性和重要性,以及如何为达到信息安全管理体系目标做出贡献。
业务持续性管理 为防止 XXX 信息化服务中心业务活动中断,保护关键业务过程免受重大失误或灾难的影响,以及确保它们的及时恢复,业务持续性管理计划必须考虑信息和信息安全的需求,对能引起业务流程中断的事态进行识别,连同这种中断发生的概率和影响,以及它们对信息安全的后果也要进行识别,确保在关键业务过程中断或失败后能够在要求的水平和要求的时间内恢复信息的可用性。评审 此文件需要在 12 个月内定期通过管理评审等方式进行一次评审,当信息安全管理体系发生重大变化时,也应评审并根据评审结果适时更新,以维持其持续适用性。
第三篇:信息安全工作总体方针和安全策略
1.总体目标
以满足业务运行要求,遵守行业规程,实施等级保护及风险管理,确保信息安全以及实现持续改进的目的等内容作为本单位信息安全工作的总体方针。以信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断为总体目标。
2.范围
本案适用于某单位信息安全整体工作。在全单位范围内给予执行,由某部门对该项工作的落实和执行进行监督,由某部门配合某部门对本案的有效性进行持续改进。
3.原则
以谁主管谁负责为原则(或者采用其他原则例如:“整体保护原则”、“适度保护的等级化原则”、“分域保护原则”、“动态保护原则”、“多级保护原则”、“深度保护原则”和“信息流向原则”等)。
4.策略框架
建立一套关于物理、主机、网络、应用、数据、建设和管理等六个方面的安全需求、控制措施及执行程序,并在关联制度文档中定义出相关的安全角色,并对其赋予管理职责。“以人为本”,通过对信息安全工作人员的安全意识培训等方法不断加强系统分布的合理性和有效性。4.1 物理方面
依据实际情况建立机房管理制度,明确机房的出入管理办法,机房介质存放方式,机房设备维护周期及维护方式,机房设备信息保密要求,机房温湿度控制
方式等等环境要求。通过明确机房责任人、建立机房管理相关办法、对维护和出入等过程建立记录等方式对机房安全进行保护。4.2网络方面
从技术角度实现网络的合理分布、网络设备的实施监控、网络访问策略的统一规划、网络安全扫描以及对网络配置文件等必要信息进行定期备份。从管理角度明确网络各个区域的安全责任人,建立网络维护方面相关操作办法并由某人或某部门监督执行看,确保各信息系统网络运行情况稳定、可靠、正常的运行。4.3主机方面
要求各类主机操作系统和数据库系统在满足各类业务系统的正常运行条件下,建立系统访问控制办法、划分系统使用权限、安装恶意代码防范软件并对恶意代码的检查过程进行记录。明确各类主机的责任人,对主机关键信息进行定期备份。4.4应用方面
从技术角度实现应用系统的操作可控、访问可控、通信可控。从管理角度实现各类控制办法的有效执行,建立完善的维护操作规程以及明确定期备份内容。4.5数据方面
对本单位或本部门的各类业务数据、设备配置信息、总体规划信息等等关键数据建立维护办法,并由某部门或某人监督、执行。通过汇报或存储方式实现关键数据的安全传输、存储和使用。4.6
建设和管理方面 4.6.1 信息安全管理机制
成立信息安全管理主要机构或部门,设立安全主管等主要安全角色,依据信
息安全等级保护三级标准(要求),建立信息系统的整体管理办法。4.6.2 信息安全管理组织
分别建立安全管理岗位和机构的职责文件,对机构和人员的职责进行明确。建立信息发布、变更、审批等流程和制度类文件,增强制度的有效性。建立安全审核和检查的相关制度及报告方式。4.6.3 人员安全管理要求
对人员的录用、离岗、考核、培训、安全意识教育等方面应通过制度和操作程序进行明确。
4.6.4 信息安全等级保护工作及风险评估要求
定期对已备案的信息系统进行等级保护测评,以保证信息系统运行风险维持在较低水平,不断增强系统的稳定性和安全性。4.6.5 报告安全事件要求
对突发安全事件建立应急预案管理制度和相关操作办法,并定期组织人员进行演练,以保证信息系统在面临突发事件时能够在较短时间内恢复正常的使用。4.6.6 业务持续性要求
根据对系统的等级测评、风险评估等间接问题挖掘,及时改进信息系统的各类弊端,包括业务弊端,应建立相关改进措施或改进办法,以保证对信息系统的业务持续性要求。
4.6.7 违反信息安全要求的惩罚
建立惩处办法,对违反信息安全总体方针、安全策略的、程序流程和管理措施的人员,依照问题的严重性进行惩罚。
5.相关文件
5.1 《信息安全各部门安全需求及控制措施》 5.2 《信息安全各部门安全工作执行程序》 5.3 《机房安全管理制度》 5.4 《网络安全管理制度》 5.5 《系统安全管理制度》 5.6 《设备操作规程》 5.7 《岗位职责文件》
5.8 《信息安全管理机构组成文件》 5.9 《人事管理制度》/《员工手册》 5.10 5.11 《应急预案管理制度》
《信息安全等级保护测评报告》/《信息安全风险评估报告》
第四篇:01 信息安全总体方针和安全策略指引
XXX公司
信息安全总体方针和安全策略指引
第一章总则
第一条为了进一步深入贯彻落实国家政策文件要求,加强公司信息安全管理工作,切实提高公司信息系统安全保障能力,特制定本指引。第二条本指引适合于公司。
第三条公司信息安全管理遵循如下原则:
(一)主要领导负责原则:公司主要领导负责信息安全管理工作,统筹规划信息安全管理目标和策略,建立信息安全保障队伍并合理配置资源;
(二)全员参与原则:公司全员参与信息系统的安全管理工作,将信息安全与本职工作相结合,相互协同工作,认真落实信息安全管理要求,共同保障信息系统安全;
(三)合规性原则:信息安全管理制度遵循国际信息安全管理标准,以国家信息安全法律、法规、标准、规范为根本依据,全面符合相关主管部门和公司的各类要求。
(四)监督制约原则:信息系统安全管理组织结构、组织职责、岗位职责、工作流程层面、执行层面建立相互监督制约机制,降低因缺乏约束而产生的安全风险。
(五)规范化原则:通过建立规范化的工作流程,在执行层面对信息系统安全工作进行合理控制,降低由于工作随意性而产生的安全风险,同时提升信息安全管理制度的可操作性。
(六)持续改进原则:通过不断的持续改进,每年组织公司管理层对制度的全面性、适用性和有效性进行论证和审定,并进行版本修订。第四条本指引适用于公司全体人员。
第二章信息安全保障框架及目标
第五条参照国内外相关标准,并结合公司已有网络与信息安全体系建设的实际情况,最终形成依托于安全保护对象为基础,纵向建立安全管理体系、安全技术体系、安全运行体系和安全管理中心的“三个体系,一个中心,三重防护”的安全保障体系框架。
(一)“三个体系”:信息安全管理体系、信息安全技术体系和信息安全运行体系,把信息安全标准的控制点和公司实际情况相结合形成相适应的体系结构框架;
(二)“一个中心”:信息安全管理中心,实现“自动、平台化”的安全工作管理、统一技术管理和安全运维管理;
(三)“三重防护”:安全计算环境防护措施、安全区域边界防护措施和安全网络通信防护措施,把安全技术控制措施与安全保护对象相结合。
第六条公司安全保障框架:
(一)安全管理体系:信息安全管理体系重点落实安全管理制度、安全管理机构和人员安全管理的相关控制要求,并结合公司的实际情况形成符合行业和国家信息安全标准的信息安全管理体系框架。(二)安全技术体系:通过安全技术在物理、网络、主机、应用和数据各个层面的实施,建立与公司实际情况相结合的安全技术体系。同时与“安全计算环境、安全区域边界和安全网络通信”的保护对象相作用,形成依托于保护对象的安全技术体系控制措施。
(三)安全运行体系:信息安全运行体系重点落实系统建设管理和系统运维管理的相关控制要求,并与公司实际情况相结合,形成符合行业和国家信息安全标准的信息安全运行体系框架。
(四)安全管理中心:根据信息安全相关要求和安全设计技术要求的相关内容,信息安全管理中心通过“自动、平台化”的方式,对信息安全管理体系、信息安全技术体系以及信息安全运行体系的相关控制内容,结合公司的实际情况加以落实。
第七条公司信息安全总体目标是:依照业务信息系统的实际情况和现实问题为基础,参照国内、国际的安全标准和规范,充分利用成熟的信息安全理论成果,设计出整体性好、可操作性强,并且融组织、管理和技术为一体的设计方案,达到行业和国家信息安全标准的要求。
第三章安全策略
第八条建立信息安全领导小组,负责组织、落实国家信息安全相关政策、法规和标准要求,审核并制定公司信息安全的发展战略、规划、政策和管理制度,落实《公司信息安全组织及职责管理办法》。第九条保持与国家信息安全主管机构、监管机构、上级主管单位和支撑企业信息安全建设、运营单位的联络,制定完整的《公司常用信息安全组织机构信息表》,确保与外部机构的沟通畅通。
第十条加强公司内部人员在录用前、工作期间、调岗和离岗的人员安全管理,确保公司内部人员的背景、身份、专业资格和职能权限的安全性,要求信息安全人员签署保密协议,落实《公司内部人员信息安全管理办法》。
第十一条加强外部人员的安全管理,防范外部人员带来的安全风险,规范外部人员在公司各项与信息系统相关的活动所要遵守的行为准则,严格落实《公司外部人员信息安全管理办法》。
第十二条 每年组织开展全员信息安全教育或培训,提升公司全员的信息安全意识,确保公司信息安全目标和策略能够得到必要的宣贯。第十三条 建立信息安全管理制度制定、发布、审核和修订的管理要求,并满足国家法律、政策和规范的要求,确保信息安全管理制度持续改进,落实《公司信息安全制度管理办法》。
第十四条 确保信息化建设的项目立项、设计、实施、验收等各个环节与信息安全管理控制机制的有机结合,实现项目工程管理过程和内容安全可控,严格执行《公司信息系统建设安全管理办法》。第十五条 加强公司信息系统的物理环境和设施的信息安全规范性管理工作,确保物理环境、设施设备和进出访问控制安全,落实《公司机房环境安全管理办法》和《公司办公环境信息安全管理办法》。第十六条 加强对公司信息资产的安全管理,建立统一的信息资产分类、责任、授权和配置管理,明确公司硬件资产、软件资产和数据资产的信息安全管理工作,落实《公司信息资产安全管理办法》。第十七条 加强信息资产的运行维护管理工作,对系统的工作环境、安全运行、策略进行定期检查,记录信息系统运行的日志及状态,定期对信息资产进行清点,确保各系统的正常运行,落实《公司信息安全运行维护管理办法》。
第十八条 加强信息系统运行维护过程中的变更管理,确保公司信息系统的可核查性和可追溯性,合理控制信息系统变更产生的信息安全风险,结合日常信息系统的运行有关管理办法,落实《公司信息系统变更管理办法》。
第十九条 加强对信息安全事件的监控和管理,建立应急事件的报告、协调、处理机制。制定重要信息系统的应急响应预案,并进行演练和定期更新,确保信息系统的连续稳定运行,落实《公司应急管理办法》和《公司信息安全分类应急预案》。
第二十条 对磁带、磁盘、磁盘阵列、光盘、硬盘、纸质等各类移动存储介质进行的所有安全管理活动进行管理,介质使用必须要有授权,保证介质使用的安全。落实《公司介质安全管理办法》。第二十一条为规范管理员对网络设备的访问及操作行为,降低由于口令强度不够和设置不完善等造成的安全隐患和风险,应加强各信息系统的口令管理,落实《公司密码管理办法》。
第二十二条加强对网络系统的设计、规划、变更审批和运维监督,定期对网络中的系统进行漏洞扫描,对重要网段进行保护,落实《公司网络安全管理办法》。
第二十三条规范系统的使用,对系统的账户权限进行有效控制,及时的更新系统的补丁,有效的保护系统中的文件,对重要系统的文件进行保护,落实《公司系统安全管理办法》。第二十四条定期对网络中的应用系统、数据库进行备份,实现异地备份的方式,同时每年需要进行一次数据恢复演练,数据的保存周期至少为五年,合理的根据情况进行调整备份时间,落实《公司信息备份与恢复管理制度》。
第四章奖惩
第二十五条对长期认真贯彻公司信息安全管理办法,并因此而取得较好成绩的组织和个人给予必要的鼓励、宣传和奖励。
第二十六条对违反公司信息安全管理办法的组织、人员,根据其对公司造成的损害程度,给予必要的批评教育、通报批评、经济处罚、行政处分等惩罚;构成犯罪的,移交司法机关依法处理。
第五章附则
第二十七条 本指引由公司信息安全工作组制定,并负责解释和修订。
第二十八条本指引自发布之日起执行。
第五篇:信息安全总体策略
X XXX 信息化服务中心
信息安全 总体 策略
项目名称
XXX 安全运维服务项目 客户名称
XXX 信息化服务中心 实施地点
XXX 信息化服务中心 实施单位
XXX 信息技术有限 实施时间
XXX 年 7 月 20 日星期五
文档修订情况
版本 修订记录 日期 修订 审核 批准 v1.0 制作文档 XXX-07-17
目录
物理安全策略..........................................................................................................................................3
网 网 XXX 全策略.........................................................................................................................................3
系统安全策略..........................................................................................................................................4
病毒管理策略..........................................................................................................................................4
身份认证策略..........................................................................................................................................5
用户授权与访问控制策略.......................................................................................................................5
数据加密策略..........................................................................................................................................5
数据备份与灾难恢复..............................................................................................................................6
应急响应策略..........................................................................................................................................6
安全教育策略......................................................................................................................................7
物理安全策略 计算机机房的建设必须遵循国家在计算机机房场地选择、环境安全、布线施工方面的标准,保证物理环境安全。
关键应用系统的服务器主机和前置机服务器、主要的网络设备必须放置于计算机机房内部的适当位置,通过物理访问控制机制,保证这些设备自身的安全性。
应当建立人员出入访问控制机制,严格控制人员出入计算机机房和其它重要安全区域,访问控制机制还需要能够提供审计功能,便于检查和分析。
应当指定专门的部门和人员,负责计算机机房的建设和管理工作,建立 24 小时值班制度。
建立计算机机房管理制度,对设备安全管理、介质安全管理、人员出入访问控制管理等做出详细的规定。
管理机构应当定期对计算机机房各项安全措施和安全管理制度的有效性和实施状况进行检查,发现问题,进行改进。网 网 络安 全策略 必须对网络和信息系统进行安全域划分,建立隔离保护机制,并且在各安全域之间建立访问控制机制,杜绝发生未授权的非法访问现象,特别的,必须对生产网和办公网进行划分和隔离。
应当部署网络管理体系,管理网络资源和设备,实施监控网络系统的运行状态,降低网络故障带来的安全风险。
应当对关键的通信线路、网络设备提供冗余设计,防止关键线路和设备的单点故障造成通信服务中断。
应当在各安全域的边界,综合部署网 XXX 全访问措施,包括防火墙、入侵检测、VPN,建立多层次的,立体的网 XXX 全防护体系。
应当建立网络弱点分析机制,发现和弥补网络中存在的安全漏洞,及时进行自我完善。
应当建立远程访问机制,实现安全的远程办公和移动办公。
应当指定专门的部门和人员,负责网 XXX 全系统的规划、建设、管理维护。
应当建立网 XXX 全系统的建设标准和相关的运营维护管理规范,在范围内指导实际的系统建设和维护管理。
管理机构应当定期对网 XXX 全措施和安全管理制度的有效性和实施状况进行检查,发现问题,进行改进。系统安全策略 应当对关键服务器主机设备提供冗余设计,防止单点故障造成网络服务中断。
应当建立主机弱点分析机制,发现和弥补系统软件中存在的不当配置和安全漏洞,及时进行自我完善。
应当建立主机系统软件版本维护机制,及时升级系统版本和补丁程序版本,保持系统软件的最新状态。
应当建立主机系统软件备份和恢复机制,在灾难事件发生之后,能够快速实现系统恢复。
可以建立主机入侵检测机制,发现主机系统中的异常操作行为,以及对主机发起的攻击行为,并及时向管理员报警。
应当指定专门的部门和人员,负责主机系统的管理维护。
应当建立主机系统管理规范,包括系统软件版本管理、主机弱点分析、主机审计日志检查和分析、以及系统软件的备份和恢复等内容。
应当建立桌面系统使用管理规范,约束和指导用户使用桌面系统,并对其进行正确有效的配置和管理。
管理机构应当定期对各项系统安全管理制度的有效性和实施状况进行检查,发现问题,进行改进。病毒管理策略 应当建立全面网络病毒查杀机制,实现 XXX 信息化服务中心全网范围内的病毒防治,抑止病毒的传播。
所有内部网络上的计算机在联入内部网络之前,都应当安装和配置杀毒软件,并且通过管理中心进行更新,任何用户不能禁用病毒扫描和查杀功能。
所有内部网络上的计算机系统都应当定期进行完整的系统扫描。
从外部介质安装数据和程序之前,或安装下载的数据和程序之前,必须对其进行病毒扫描,以防止存在病毒感染操作系统和应用程序。
第三方数据和程序在安装到内部网络的系统之前,必须在隔离受控的模拟系统上进行病毒扫描测试。
任何内部用户不能故意制造、执行、传播、或引入任何可以自我复制、破坏或者影响计算机内存、存储介质、操作系统、应用程序的计算机代码
应当指定专门的部门和人员,负责网络病毒防治系统的管理维护。
应当建立网络病毒防治系统的管理规范,有效发挥病毒防治系统的安全效能。
应当建立桌面系统病毒防治管理规范,约束和指导用户在桌面系统上的操作行为,以及对杀毒软件的配置和管理,达到保护桌面系统、抑止病毒传播的目的。
管理机构应当定期对与病毒查杀有关安全管理制度的有效性和实施状况进行检查,发现问题,进行改进。身份认证策略 应当在范围内建立统一的用户身份管理基础设施,向应用系统提供集中的用户身份认证服务。
应当选择安全性高,投入收益比率较好,易管理维护的身份认证技术,建立身份管理基础设施。
每个内部员工具有范围内唯一的身份标识,用户在访问应用系统之前,必须提交身份标识,并对其进行认证;员工离职时,要撤销其在信息系统内部的合法身份。
应当对现有的应用系统进行技术改造,使用身份管理基础设施的安全服务。
应当建立专门的部门和岗位,负责用户身份的管理,以及身份管理基础设施的建设、运行、维护。
应当在范围内建立用户标识管理规范,对用户标识格式,产生和撤销流程进行统一规定。用户授权与访问控制策略 应当依托身份认证基础设施,将集中管理与分布式管理有机结合起来,建立分级的用户授权与访问控制管理机制。
每个内部员工在信息系统内部的操作行为必须被限定在合法授权的范围之内;员工离职时,要撤销其在信息系统内部的所有访问权限。
应当对现有的应用系统进行技术改造,使用授权与访问控制系统提供的安全服务。
应当建立专门岗位,负责用户权限管理,以及授权和访问控制系统的建设、运行、维护。
应当在范围内,建立包括用户权限的授予和撤销在内的一整套管理流程和制度。数据加密策略 加密技术的采用和加密机制的建立,应该符合国家有关的法律和规定。
应当建立内部信息系统的密级分级标准,判定信息系统在消息传输和数据存储过程中,是否需要采用加密机制。
应当建立密钥管理体制,保证密钥在产生、使用、存储、传输等环节中的安全性。
加密机制应当使用国际标准的密码算法,或者国内通过密码管理委员会审批的专用算法,其中对称密码算法的密钥长度不得低于 128 比特,公钥密码算法的密钥长度不得低于 1024 比特。
应当在物理上保证所有的硬件加密设备和软件加密程序,以及存储涉密数据的介质载体的安全。
应当指定专门的管理机构,负责本策略的维护,监督本策略的实施。
任何内部信息系统,都需要向管理机构提出申请,经管理机构审批,获得授权后,才能够使用加密机制。禁止任何内部信息系统和人员,在未授权的情况下,使用任何加密机制。
管理机构应当每年对加密算法的选择范围和密钥长度的最低要求进行一次复审和评估,使得本策略与加密技术的发展相适应。数据备份与灾难恢复 在业务系统主要应用服务器中采用硬件冗余技术,避免硬件的单点故障导致服务中断。
综合考虑性能和管理等因素,采用先进的系统和数据备份技术,在范围内建立统一的系统和数据备份机制,防止数据出现逻辑损坏。
对业务系统采取适当的异地备份机制,使得数据备份计划具备一定的容灾能力。
建立灾难恢复计划,提供灾难恢复手段,在灾难事件发生之后,快速对被破坏的信息系统进行恢复。
应当建立专门岗位,负责用户权限管理,以及授权和访问控制系统的建设、运行、维护。
建立日常数据备份管理制度,对备份周期和介质保管进行统一规定。
建立灾难恢复计划,对人员进行灾难恢复培训,定期进行灾难恢复的模拟演练。应急响应策略 应当建立应急响应中心,配置专门岗位,负责制定范围内的信息安全策略、完成计算机网络和系统安全事件的紧急响应、及时发布安全漏洞和补丁修补程序等安全公告、进行安全系统审计数据分析、以及提供安全教育和培训。
应当制定详细的安全事件的应急响应计划,包括安全事件的检测、报告、分析、追查、和系统恢复等内容。安全教育策略 应该建立专门的机构和岗位,负责安全教育与培训计划的制定和执行 应当制定详细的安全教育和培训计划,对信息安全技术和管理相关人员进行安全专业知识和技能培训,对普通用户进行安全基础知识、安全策略和管理制度培训,提高人员的整体安全意识和安全操作水平。
管理机构应当定期对安全教育和培训的成果进行抽查和考核,检验安全教育和培训活动的效果。
点击咨询 