第一篇:信息安全工作總體方針和安全策略
1.總體目標
以滿足業務運行要求,遵守行業規程,實施等級保護及風險管理,確保信息安全以及實現持續改進的目的等內容作為本單位信息安全工作的總體方針。以信息網絡的硬件、軟件及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,信息服務不中斷為總體目標。
2.范圍
本案適用于某單位信息安全整體工作。在全單位范圍內給予執行,由某部門對該項工作的落實和執行進行監督,由某部門配合某部門對本案的有效性進行持續改進。
3.原則
以誰主管誰負責為原則(或者采用其他原則例如:“整體保護原則”、“適度保護的等級化原則”、“分域保護原則”、“動態保護原則”、“多級保護原則”、“深度保護原則”和“信息流向原則”等)。
4.策略框架
建立一套關于物理、主機、網絡、應用、數據、建設和管理等六個方面的安全需求、控制措施及執行程序,并在關聯制度文檔中定義出相關的安全角色,并對其賦予管理職責。“以人為本”,通過對信息安全工作人員的安全意識培訓等方法不斷加強系統分布的合理性和有效性。4.1 物理方面
依據實際情況建立機房管理制度,明確機房的出入管理辦法,機房介質存放方式,機房設備維護周期及維護方式,機房設備信息保密要求,機房溫濕度控制
方式等等環境要求。通過明確機房責任人、建立機房管理相關辦法、對維護和出入等過程建立記錄等方式對機房安全進行保護。4.2網絡方面
從技術角度實現網絡的合理分布、網絡設備的實施監控、網絡訪問策略的統一規劃、網絡安全掃描以及對網絡配置文件等必要信息進行定期備份。從管理角度明確網絡各個區域的安全責任人,建立網絡維護方面相關操作辦法并由某人或某部門監督執行看,確保各信息系統網絡運行情況穩定、可靠、正常的運行。4.3主機方面
要求各類主機操作系統和數據庫系統在滿足各類業務系統的正常運行條件下,建立系統訪問控制辦法、劃分系統使用權限、安裝惡意代碼防范軟件并對惡意代碼的檢查過程進行記錄。明確各類主機的責任人,對主機關鍵信息進行定期備份。4.4應用方面
從技術角度實現應用系統的操作可控、訪問可控、通信可控。從管理角度實現各類控制辦法的有效執行,建立完善的維護操作規程以及明確定期備份內容。4.5數據方面
對本單位或本部門的各類業務數據、設備配置信息、總體規劃信息等等關鍵數據建立維護辦法,并由某部門或某人監督、執行。通過匯報或存儲方式實現關鍵數據的安全傳輸、存儲和使用。4.6
建設和管理方面 4.6.1 信息安全管理機制
成立信息安全管理主要機構或部門,設立安全主管等主要安全角色,依據信
息安全等級保護三級標準(要求),建立信息系統的整體管理辦法。4.6.2 信息安全管理組織
分別建立安全管理崗位和機構的職責文件,對機構和人員的職責進行明確。建立信息發布、變更、審批等流程和制度類文件,增強制度的有效性。建立安全審核和檢查的相關制度及報告方式。4.6.3 人員安全管理要求
對人員的錄用、離崗、考核、培訓、安全意識教育等方面應通過制度和操作程序進行明確。
4.6.4 信息安全等級保護工作及風險評估要求
定期對已備案的信息系統進行等級保護測評,以保證信息系統運行風險維持在較低水平,不斷增強系統的穩定性和安全性。4.6.5 報告安全事件要求
對突發安全事件建立應急預案管理制度和相關操作辦法,并定期組織人員進行演練,以保證信息系統在面臨突發事件時能夠在較短時間內恢復正常的使用。4.6.6 業務持續性要求
根據對系統的等級測評、風險評估等間接問題挖掘,及時改進信息系統的各類弊端,包括業務弊端,應建立相關改進措施或改進辦法,以保證對信息系統的業務持續性要求。
4.6.7 違反信息安全要求的懲罰
建立懲處辦法,對違反信息安全總體方針、安全策略的、程序流程和管理措施的人員,依照問題的嚴重性進行懲罰。
5.相關文件
5.1 《信息安全各部門安全需求及控制措施》 5.2 《信息安全各部門安全工作執行程序》 5.3 《機房安全管理制度》 5.4 《網絡安全管理制度》 5.5 《系統安全管理制度》 5.6 《設備操作規程》 5.7 《崗位職責文件》
5.8 《信息安全管理機構組成文件》 5.9 《人事管理制度》/《員工手冊》 5.10 5.11 《應急預案管理制度》
《信息安全等級保護測評報告》/《信息安全風險評估報告》
第二篇:01 信息安全總體方針和安全策略指引
XXX公司
信息安全總體方針和安全策略指引
第一章總則
第一條為了進一步深入貫徹落實國家政策文件要求,加強公司信息安全管理工作,切實提高公司信息系統安全保障能力,特制定本指引。第二條本指引適合于公司。
第三條公司信息安全管理遵循如下原則:
(一)主要領導負責原則:公司主要領導負責信息安全管理工作,統籌規劃信息安全管理目標和策略,建立信息安全保障隊伍并合理配置資源;
(二)全員參與原則:公司全員參與信息系統的安全管理工作,將信息安全與本職工作相結合,相互協同工作,認真落實信息安全管理要求,共同保障信息系統安全;
(三)合規性原則:信息安全管理制度遵循國際信息安全管理標準,以國家信息安全法律、法規、標準、規范為根本依據,全面符合相關主管部門和公司的各類要求。
(四)監督制約原則:信息系統安全管理組織結構、組織職責、崗位職責、工作流程層面、執行層面建立相互監督制約機制,降低因缺乏約束而產生的安全風險。
(五)規范化原則:通過建立規范化的工作流程,在執行層面對信息系統安全工作進行合理控制,降低由于工作隨意性而產生的安全風險,同時提升信息安全管理制度的可操作性。
(六)持續改進原則:通過不斷的持續改進,每年組織公司管理層對制度的全面性、適用性和有效性進行論證和審定,并進行版本修訂。第四條本指引適用于公司全體人員。
第二章信息安全保障框架及目標
第五條參照國內外相關標準,并結合公司已有網絡與信息安全體系建設的實際情況,最終形成依托于安全保護對象為基礎,縱向建立安全管理體系、安全技術體系、安全運行體系和安全管理中心的“三個體系,一個中心,三重防護”的安全保障體系框架。
(一)“三個體系”:信息安全管理體系、信息安全技術體系和信息安全運行體系,把信息安全標準的控制點和公司實際情況相結合形成相適應的體系結構框架;
(二)“一個中心”:信息安全管理中心,實現“自動、平臺化”的安全工作管理、統一技術管理和安全運維管理;
(三)“三重防護”:安全計算環境防護措施、安全區域邊界防護措施和安全網絡通信防護措施,把安全技術控制措施與安全保護對象相結合。
第六條公司安全保障框架:
(一)安全管理體系:信息安全管理體系重點落實安全管理制度、安全管理機構和人員安全管理的相關控制要求,并結合公司的實際情況形成符合行業和國家信息安全標準的信息安全管理體系框架。(二)安全技術體系:通過安全技術在物理、網絡、主機、應用和數據各個層面的實施,建立與公司實際情況相結合的安全技術體系。同時與“安全計算環境、安全區域邊界和安全網絡通信”的保護對象相作用,形成依托于保護對象的安全技術體系控制措施。
(三)安全運行體系:信息安全運行體系重點落實系統建設管理和系統運維管理的相關控制要求,并與公司實際情況相結合,形成符合行業和國家信息安全標準的信息安全運行體系框架。
(四)安全管理中心:根據信息安全相關要求和安全設計技術要求的相關內容,信息安全管理中心通過“自動、平臺化”的方式,對信息安全管理體系、信息安全技術體系以及信息安全運行體系的相關控制內容,結合公司的實際情況加以落實。
第七條公司信息安全總體目標是:依照業務信息系統的實際情況和現實問題為基礎,參照國內、國際的安全標準和規范,充分利用成熟的信息安全理論成果,設計出整體性好、可操作性強,并且融組織、管理和技術為一體的設計方案,達到行業和國家信息安全標準的要求。
第三章安全策略
第八條建立信息安全領導小組,負責組織、落實國家信息安全相關政策、法規和標準要求,審核并制定公司信息安全的發展戰略、規劃、政策和管理制度,落實《公司信息安全組織及職責管理辦法》。第九條保持與國家信息安全主管機構、監管機構、上級主管單位和支撐企業信息安全建設、運營單位的聯絡,制定完整的《公司常用信息安全組織機構信息表》,確保與外部機構的溝通暢通。
第十條加強公司內部人員在錄用前、工作期間、調崗和離崗的人員安全管理,確保公司內部人員的背景、身份、專業資格和職能權限的安全性,要求信息安全人員簽署保密協議,落實《公司內部人員信息安全管理辦法》。
第十一條加強外部人員的安全管理,防范外部人員帶來的安全風險,規范外部人員在公司各項與信息系統相關的活動所要遵守的行為準則,嚴格落實《公司外部人員信息安全管理辦法》。
第十二條 每年組織開展全員信息安全教育或培訓,提升公司全員的信息安全意識,確保公司信息安全目標和策略能夠得到必要的宣貫。第十三條 建立信息安全管理制度制定、發布、審核和修訂的管理要求,并滿足國家法律、政策和規范的要求,確保信息安全管理制度持續改進,落實《公司信息安全制度管理辦法》。
第十四條 確保信息化建設的項目立項、設計、實施、驗收等各個環節與信息安全管理控制機制的有機結合,實現項目工程管理過程和內容安全可控,嚴格執行《公司信息系統建設安全管理辦法》。第十五條 加強公司信息系統的物理環境和設施的信息安全規范性管理工作,確保物理環境、設施設備和進出訪問控制安全,落實《公司機房環境安全管理辦法》和《公司辦公環境信息安全管理辦法》。第十六條 加強對公司信息資產的安全管理,建立統一的信息資產分類、責任、授權和配置管理,明確公司硬件資產、軟件資產和數據資產的信息安全管理工作,落實《公司信息資產安全管理辦法》。第十七條 加強信息資產的運行維護管理工作,對系統的工作環境、安全運行、策略進行定期檢查,記錄信息系統運行的日志及狀態,定期對信息資產進行清點,確保各系統的正常運行,落實《公司信息安全運行維護管理辦法》。
第十八條 加強信息系統運行維護過程中的變更管理,確保公司信息系統的可核查性和可追溯性,合理控制信息系統變更產生的信息安全風險,結合日常信息系統的運行有關管理辦法,落實《公司信息系統變更管理辦法》。
第十九條 加強對信息安全事件的監控和管理,建立應急事件的報告、協調、處理機制。制定重要信息系統的應急響應預案,并進行演練和定期更新,確保信息系統的連續穩定運行,落實《公司應急管理辦法》和《公司信息安全分類應急預案》。
第二十條 對磁帶、磁盤、磁盤陣列、光盤、硬盤、紙質等各類移動存儲介質進行的所有安全管理活動進行管理,介質使用必須要有授權,保證介質使用的安全。落實《公司介質安全管理辦法》。第二十一條為規范管理員對網絡設備的訪問及操作行為,降低由于口令強度不夠和設置不完善等造成的安全隱患和風險,應加強各信息系統的口令管理,落實《公司密碼管理辦法》。
第二十二條加強對網絡系統的設計、規劃、變更審批和運維監督,定期對網絡中的系統進行漏洞掃描,對重要網段進行保護,落實《公司網絡安全管理辦法》。
第二十三條規范系統的使用,對系統的賬戶權限進行有效控制,及時的更新系統的補丁,有效的保護系統中的文件,對重要系統的文件進行保護,落實《公司系統安全管理辦法》。第二十四條定期對網絡中的應用系統、數據庫進行備份,實現異地備份的方式,同時每年需要進行一次數據恢復演練,數據的保存周期至少為五年,合理的根據情況進行調整備份時間,落實《公司信息備份與恢復管理制度》。
第四章獎懲
第二十五條對長期認真貫徹公司信息安全管理辦法,并因此而取得較好成績的組織和個人給予必要的鼓勵、宣傳和獎勵。
第二十六條對違反公司信息安全管理辦法的組織、人員,根據其對公司造成的損害程度,給予必要的批評教育、通報批評、經濟處罰、行政處分等懲罰;構成犯罪的,移交司法機關依法處理。
第五章附則
第二十七條 本指引由公司信息安全工作組制定,并負責解釋和修訂。
第二十八條本指引自發布之日起執行。
第三篇:信息安全工作總體方針
信息安全工作總體方針
第一章 總則
第一條 為加強和規范省信息中心及直屬直管各單位(以下簡稱“各單位”)信息系統安全工作,提高中心信息系統整體安全防護水平,實現信息安全的可控、能控、在控,依據國家有關法律、法規的要求,制定本文檔。
第二條 本文檔的目的是為中心信息系統安全管理提供一個總體的策略性架構文件,該文件將指導中心信息系統的安全管理體系的建立。安全管理體系的建立是為中心信息系統的安全管理工作提供參照,以實現中心統一的安全策略管理,提高整體的網絡與信息安全水平,確保安全控制措施落實到位,保障網絡通信暢通和業務系統的正常運營。
第三條 本文檔適用于中心以中心下屬各單位信息系統資產和信息技術人員的安全管理和指導,適用于指導中心信息系統安全策略的制定、安全方案的規劃和安全建設的實施,適用于中心安全管理體系中安全管理措施的選擇。
第四條 本辦法所稱信息系統指中心一體化企業級信息系統,主要包括一體化企業級信息集成平臺(以下簡稱“一體化平臺”)和八大業務應用。
“一體化平臺”包含信息網絡、數據交換、數據中心、應用集成和企業門戶;“業務應用”包含財務(資金)管理、營銷管理、安全生產管理、協同辦公、人力資源管理、物資管理、項目管理、綜合管理業務應用。
第五條 引用標準及參考文件
本文檔的編制參照了以下國家、中心的標準和文件:
(一)《中華人民共和國計算機信息系統安全保護條例》
(二)《關于信息安全等級保護建設的實施指導意見》(信息運安〔2009〕27 號)
(三)《信息安全技術 信息系統安全等級保護基本要求》(GB/T 22239-2008)
(四)《信息安全技術 信息系統安全管理要求》(GB/T 20269—2006)
(五)《信息系統等級保護 安全建設技術方案設計要求》(報批稿)
(六)《關于開展信息安全等級保護安全建設整改工作的指導意見》(公信安[2009]1429號)
第二章 方針、目標和原則
第六條中心信息系統安全堅持“安全第一、預防為主,管理和技術并重,綜合防范”的總體方針,實現信息系統安全可控、能控、在控。依照“分區、分級、分域”總體安全防護策略,執行信息系統安全等級保護制度。管理信息網絡分為信息內網和信息外網,實現“雙機雙網”,信息內網定位為承載網絡和內部辦公網絡,信息外網定位為對外業務網絡和訪問互聯網用戶終端網絡。信息內、外網之間實施強邏輯隔離的措施。
第七條 信息系統安全總體目標是確保信息系統持續、穩定、可靠運行和確保信息內容的機密性、完整性、可用性,防止因信息系統本身故障導致信息系統不能正常使用和系統崩潰,抵御黑客、病毒、惡意代碼等對信息系統發起的各類攻擊和破壞,防止信息內容及數據丟失和失密,防止有害信息在網上傳播,防止中心對外服務中斷和由此造成的系統運行事故。
第八條 信息安全工作的總體原則
(1)基于安全需求原則
組織機構應根據其信息系統擔負的使命,積累的信息資產的重要性,可能受到的威脅及面臨的風險分析安全需求,按照信息系統等級保護要求確定相應的信息系統安全保護等級,遵從相應等級的規范要求,從全局上恰當地平衡安全投入與效果;
(2)主要領導負責原則
主要領導應確立其組織統一的信息安全保障的宗旨和政策,負責提高員工的安全意識,組織有效安全保障隊伍,調動并優化配置必要的資源,協調安全管理工作與各部門工作的關系,并確保其落實、有效;
(3)全員參與原則
信息系統所有相關人員應普遍參與信息系統的安全管理,并與相關方面協同、協調,共同保障信息系統安全;
(4)系統方法原則
按照系統工程的要求,識別和理解信息安全保障相互關聯的層面和過程,采用管理和技術結合的方法,提高實現安全保障的目標的有效性和效率;
(5)持續改進原則
安全管理是一種動態反饋過程,貫穿整個安全管理的生存周期,隨著安全需求和系統脆弱性的時空分布變化,威脅程度的提高,系統環境的變化以及對系統安全認識的深化等,應及時地將現有的安全策略、風險接受程度和保護措施進行復查、修改、調整以至提升安全管理等級,維護和持續改進信息安全管理體系的有效性;
(6)依法管理原則
信息安全管理工作主要體現為管理行為,應保證信息系統安全管理主體合法、管理行為合法、管理內容合法、管理程序合法。對安全事件的處理,應由授權者適時發布準確一致的有關信息,避免帶來不良的社會影響;
(7)分權和授權原則
對特定職能或責任領域的管理功能實施分離、獨立審計等實行分權,避免權力過分集中所帶來的隱患,以減小未授權的修改或濫用系統資源的機會。任何實體(如用戶、管理員、進程、應用或系統)僅享有該實體需要完成其任務所必須的權限,不應享有任何多余權限;
(8)選用成熟技術原則
成熟的技術具有較好的可靠性和穩定性,采用新技術時要重視其成熟的程度,并應首先局部試點然后逐步推廣,以減少或避免可能出現的失誤;
(9)分級保護原則
按等級劃分標準確定信息系統的安全保護等級,實行分級保護;對多個子系統構成的大型信息系統,確定系統的基本安全保護等級,并根據實際安全需求,分別確定各子系統的安全保護等級,實行多級安全保護;
(10)管理與技術并重原則
堅持積極防御和綜合防范,全面提高信息系統安全防護能力,立足國情,采用管理與技術相結合,管理科學性和技術前瞻性結合的方法,保障信息系統的安全性達到所要求的目標;
(11)自保護和國家監管結合原則
對信息系統安全實行自保護和國家保護相結合。組織機構要對自己的信息系統安全保護負責,政府相關部門有責任對信息系統的安全進行指導、監督和檢查,形成自管、自查、自評和國家監管相結合的管理模式,提高信息系統的安全保護
能力和水平,保障國家信息安全。
第九條 在規劃和建設信息系統時,信息系統安全防護措施應按照“三 同步”原則,與信息系統建設同步規劃、同步建設、同步投入運行。
第三章 總體安全策略
第十條 物理安全策略
(1)機房和辦公室必須選擇在經過防震、防火、防雷擊驗收合格的辦公大樓內部,機房的窗戶需要有防雨水滲透的能力;
(2)機房的位置不能是大樓的地下室、一樓房間或是大樓的頂層,機房的正上方不能是用水量大的房間;
(3)機房出入口必須有專人值守,對工作人員進行登記;
(4)進入機房的工作人員必須由安全管理員或機房管理員全程陪同;
(5)機房內部必須劃分重要設備區、一般設備區、過渡區等區域,對不同區域分別進行管理,區域與區域之間進行物理隔離;
(6)機房內部必須部署基礎防護系統和設備,如電子門禁系統、監控報警系統、防雷設備、消防滅火系統、防水監控系統、溫濕度控制系統、UPS供電系統和電磁屏蔽設備。
第十一條 網絡安全策略
(1)網絡中必須部署路由器、交換機、防火墻、防毒墻、IPS設備和內網網絡管理、補丁分發等系統
(2)網絡設備除接入交換機之外,必須進行雙機熱備,除接入交換機鏈接工作終端的線路外,其他線路必須進行雙線冗余;
(3)整體網絡不能出現流量瓶頸,保證帶寬充足;
(4)各部門必須劃分不同網段的IP地址;
(5)劃分網絡帶寬,突出優先級;
(6)網絡邊界處必須部署防火墻、IPS等安全設備;
(7)網絡設備必須開啟日志審計功能;
第十二條 主機安全策略
(1)登錄操作系統和數據庫系統的用戶必須進行身份標識和鑒別;
(2)操作系統和數據庫系統管理用戶身份標識不能出現同名用戶,口令應有復雜度要求并定期更換;
(3)操作系統和數據庫系統必須啟用登錄失敗處理功能;
(4)對服務器進行遠程管理時,必須采取必要措施,防止鑒別信息在網絡傳輸過程中被竊聽;
(5)為操作系統和數據庫系統的不同用戶分配不同的用戶名,確保用戶名具有唯一性,不能出重名情況;
(6)操作系統和數據庫必須及時刪除多余的、過期的賬戶,避免共享賬戶的存在;
(7)主機必須開啟日志審計功能;
(8)主機必須安裝防惡意代碼產品,并進行統一管理;
第十三條 應用安全策略
(1)應用系統必須在登錄時要求輸入用戶名和口令;
(2)登錄應用系統必須進行兩種或兩種以上的復合身份驗證(如用戶名口令+Ukey或用戶名口令+IP與MAC地址綁定方式);
(3)應用系統中設置的用戶都必須是唯一用戶,不能名稱相同,且不能出現多人使用同一賬戶的情況;
(4)應用系統必須開啟登錄失敗處理功能;
(5)應用系統必須開啟登錄連接超時自動退出等措施;
(6)應用系統必須開啟身份鑒別、用戶身份標識唯一性檢查、用戶身份鑒別信息復雜度檢查以及登錄失敗處理功能,并根據安全策略配置相關參數;
(7)應用系統必須開啟日志審計功能;
(8)應用系統存儲用戶信息的設備在銷毀、修理或轉其他用途時,必須清楚內部存儲的信息;
第十四條 數據安全策略
(1)業務應用數據和設備配置文檔都必須進行備份,以便發生問題時進行恢復;
(2)數據備份至其他設備上時,必須使用專門的備份通道,保證數據傳輸的完整性;
(3)數據本機備份時應檢測其完整性;
(4)數據備份時必須使用專業的備份設備和工具,在數據傳輸和數據存儲時,都必須是加密傳輸和存儲;
(5)數據進行異地備份時,必須利用通信網絡將關鍵數據定時批量傳送至備用場地。
第四章附則
第十五條本辦法由中心信息領導委員會負責解釋并督促執行。第十六條 各單位可根據本辦法制定實施細則,報省中心備案。第十七條 本辦法自印發之日起執行。
第四篇:信息安全總體方針
信息化服務中心
信息安全 總體 方針
項目名稱
XXX 安全運維服務項目 客戶名稱
XXX 信息化服務中心 實施地點
XXX 信息化服務中心 實施單位
XXX 絡安信息技術有限 實施時間
XXX 年 7 月 17 日星期二
文檔修訂情況
版本 修訂記錄 日期 修訂 審核 批準 v1.0 制作文檔 XXX-07-17 XXX
V2.0 修改信息安全管理委員會框架 XXX-07-20 XXX
目錄
目的和適用范圍......................................................................................................................................3
信息安全定義..........................................................................................................................................3
信息安全方針..........................................................................................................................................3
安全管理機構..........................................................................................................................................3
4.1 信息安全管理委員會......................................................................................................................................3
職責.........................................................................................................................................................4
信息安全管理體系實施框架...................................................................................................................4
重要原則、標準和符合性要求................................................................................................................5
評審.........................................................................................................................................................5
目的和 適用 范圍 信息安全管理體系方針指明了 XXX 信息化服務中心的信息安全目標和方向,并可以確保信息安全管理體系被充分理解和貫徹實施。為明確信息安全管理體系方針,特制定本文件。此外,本文件還描述了 XXX 信息化服務中心的信息安全管理體系的范圍。
本文件適用于 XXX 信息化服務中心信息安全管理體系涉及的所有人員和組織的全部重要信息資產及過程。信息安全定義 信息安全是指保證信息的保密性、完整性、可用性;另外也可包括諸如真實性、可核查性、不可否認性和可靠性等特性。
信息是對 XXX 信息化服務中心業務至關重要的一種資產,因此需要加以適當的保護。在業務環境互連日益增加的情況下這一點顯得尤為重要。信息安全可防止信息受到各種威脅,以確保業務連續性,是業務風險最小化,投資回報和商業機遇最大化。信息安全方針 XXX 信息化服務中心信息安全方針為:統一規劃建設、全面綜合防御、技術管理并重、保障運營安全。安全管理機構 根據 ISO/IEC 27001:2005 的要求,為了確保信息安全工作有一個明確的方向和獲得可見的管理者支持,XXX 信息化服務中心設立以下信息安全管理機構。
4.1 信息安全管理委員會 信息安全管理委員會是 XXX 信息化服務中心信息安全管理工作的最高領導機構,承擔以下方面的工作:
1)審批信息安全方針和總體職責; 2)審批信息安全的特殊方法和過程,如風險評估等; 3)審批加強信息安全的重大舉措; 4)提供所需要的足夠的資源; 5)協調本 ISMS 和 XXX 信息化服務中心其他規章制度之間的關系。
信息安全委員會主席由 XXX 信息化服務中心負責人擔任,常務副主席由 XXX 信息化服務中心任命(管理者代表);信息安全管理委員會由相關部門的信息安全員組成。信息安全管理委員會主要工作為:在信息安全管理委員會主席/副主席的領導下,負責 XXX 信息化服務中心日常信息安全的管理與監督活動,并對相關部門提供指導和對需要培訓的員工進行培訓。
圖-信息安全管理委員會組織機構框架圖 5 職責(1)領導職責 XXX 信息化服務中心領導應具有以下方面的職責:
? 制定信息安全方針; ? 向 XXX 信息化服務中心員工傳達滿足信息安全目標和符合信息安全方針、法律法規要求的重要性; ? 主持 ISMS 的管理評審; ? 提供開發、實施、運行和維護 ISMS 所需的足夠的資源; ? 決定可接受的風險級別。
(2)員工職責 ? 每一位員工或使用本 XXX 信息化服務中心信息的人員都要遵守本方針,都有保護XXX 信息化服務中心信息資產、系統和基礎設施安全的職責。
? 每一位員工都應采取適當的措施(包括設置密碼),保護其所負責的所有形式的機密信息在管理、使用、存儲、處理和傳輸中的安全。
? 員工外出工作需要攜帶設備時,必須獲得相關領導者的批準,并應采取相應的保護措施,防止丟失,防止損毀,確保信息安全。如:設備必須設置密碼、不留在公共場所無人看管、不暴露于強電磁場等。
? 任何員工都有義務向其直接領導或信息安全管理委員會報告可能會危及密級信息安全的任何活動、行為和提出改進建議。
(3)使用者職責 這里所說的使用者是指訪問本 XXX 信息化服務中心密級信息的人員。
? 使用者必須獲得授權、了解該信息的安全要求,并采取相應的安全保護措施。
? 如果已授權的使用者不了解其所要訪問的信息的安全要求,那么他必須對該信息提供最高極限的保護。
? 使用者應小心保護其訪問信息的密碼、物理鑰匙和ID卡,一旦發生密碼泄露或鑰匙、ID 卡丟失,應立即向其直接領導報告并承擔相應責任。信息安全管理體系實施框架
XXX 信息化服務中心要根據所要實現的信息安全目標選取適當的風險評估方法,并制定風險評估程序以持續適用于 XXX 信息化服務中心的信息安全管理體系。
信息安全風險在被識別后,應進行分析和評價,根據其結果,選取合適的控制措施,以滿足風險評估和風險處理過程中所識別的需求。控制措施的選擇還應考慮可接受風險的準則以及法律法規和合同要求。
本 XXX 信息化服務中心風險接受準則是:如果降低風險所付出的成本大于風險所造成的損失,則選擇接受風險。
可接受的風險級別為:按照 XXX 信息化服務中心所采取的風險評估方法,風險共分 4級,可接受風險級別為低風險和一般風險,或者管理者批準接受的風險;較高風險和高風險不能接受。重要原則、標準和符合性要求 ? 法律法規和合同要求的符合性 XXX 信息化服務中心在建立和管理信息安全管理體系時,必須符合相關法律法規和合同的要求。
? 安全教育、培訓和意識要求 所有分配有信息職責的人員必須具備執行所要求任務的能力,因此 XXX 信息化服務中心要確定這些人員所必要的能力,提供能力培訓,必要時,可聘用有能力的人員以滿足這些需求。同時要評價所提供的培訓和所采取的措施的有效性,保持教育、培訓、技能、經歷和資格的記錄。另外,XXX 信息化服務中心還要確保所有相關人員意識到其信息安全活動的適當性和重要性,以及如何為達到信息安全管理體系目標做出貢獻。
? 業務持續性管理 為防止 XXX 信息化服務中心業務活動中斷,保護關鍵業務過程免受重大失誤或災難的影響,以及確保它們的及時恢復,業務持續性管理計劃必須考慮信息和信息安全的需求,對能引起業務流程中斷的事態進行識別,連同這種中斷發生的概率和影響,以及它們對信息安全的后果也要進行識別,確保在關鍵業務過程中斷或失敗后能夠在要求的水平和要求的時間內恢復信息的可用性。評審 此文件需要在 12 個月內定期通過管理評審等方式進行一次評審,當信息安全管理體系發生重大變化時,也應評審并根據評審結果適時更新,以維持其持續適用性。
第五篇:信息安全策略
信息安全策略
是一個有效的信息安全項目的基礎。從信息安全領域中發生的事件來看,信息安全策略的核心地位變得越來越明顯。例如,沒有安全策略,系統管理員將不能安全的安裝防火墻。策略規定了所允許的訪問控制、協議以及怎樣記錄與安全有關的事件。盡管信息安全策略是廉價的實施控制方式,但它們也是最難實施的。策略花費的僅僅是創建、批準、交流所用的時間和精力,以及員工把策略整合形成日常行為規范所用的時間和精力。即使是雇傭外部顧問來輔助制定策略,與其它控制方法(特別是技術控制)相比,其花費也是較小的。策略的制定需要達成下述目標:減少風險,遵從法律和規則,確保組織運作的連續性、信息完整性和機密性。
信息安全策略應主要依靠組織所處理和使用的信息特性推動制定。組織為高層主管、董事會成員、戰略伙伴以及員工提供了內部信息系統,對信息系統中信息特性的理解,能為策略制定提供有用的依據。應當重視對信息系統了解深刻的員工,所提出的組織當前信息的主要特性,具體包括:什么信息是敏感的、什么信息是有價值的以及什么信息是關鍵的。
在制定一整套信息安全策略時,應當參考一份近期的風險評估或信息審計,以便清楚了解組織當前的信息安全需求。對曾出現的安全事件的總結,也是一份有價值的資料。也需要召開相關人員會議,比如首席信息官、物理安全主管、信息安全主管、內部審計主管和人力資源主管等。
為了確定哪些部分需要進一步注意,應收集組織當前所有相關的策略文件,例如計算機操作策略、應用系統開發策略、人力資源策略、物理安全策略。也可以參考國際標準、行業標準來獲得指導。
資料收集階段的工作非常重要,很多時候因為工作量和實施難度被簡化操作。資料收集不全,調研不夠充分會導致新建的信息安全策略無法與組織的真正需求一致。也無法確保策略中的要求與管理目標相一致。如果提出一套與組織文化明顯不一致的策略,更是一件很尷尬的事情。
在制定策略之前,對現狀進行徹底調研的另一個作用是要弄清楚內部信息系統體系結構。信息安全策略應當與已有的信息系統結構相一致,并對其完全支持。這一點不是針對信息安全體系結構,而是針對信息系統體系結構。信息安全策略一般在信息系統體系結構確立以后制定,以保障信息安全體系實施、運行。例如,互聯網訪問控制策略可使安全體系結構具體化,也有利于選擇和實施恰當的防火墻產品。
收集完上面所提到的材料后,也就是調研階段完成后,開始根據前期的調研資料制定信息安全策略文檔初稿。初稿完成后,應當尋找直接相關人員對其進行小范圍的評審。對反饋意見進行修改后,逐漸的擴大評審的范圍。當所有的支持部門做出修改后,交由信息安全管理委員會評審。
信息安全策略的制定過程有很高的政策性和個性,反復的評審過程能夠讓策略更加清晰、簡潔,更容易落地,為此在評審的過程中需要調動參與積極性,而不是抵觸。
評審過程的最后一步一般由總經理、總裁、首席執行官簽名。在人員合同中應當表明能予遵守并且這是繼續雇傭的條件。也應當發放到內部服務器、網頁以及一些宣傳版面上的顯眼位置,并附有高層管理者的簽名,以表明信息安全策略文檔
得到高層領導強有力的支持。如果讓首席執行官簽名不現實,由首席信息官簽名也可以。要注意僅有信息安全部門主管或同級的部門主管簽名,一般不足以表明高層管理者的同意和支持。雖然獲得高層管理者的同意很難實施,但經驗表明,高層的支持對策略的實施落地是非常重要的。
一般來說,在信息安全策略文件評審過程中,會得到組織內部各方多次評審和修訂,其中最為重要的是信息安全管理委員會。信息安全委員會一般由信息部門人員組成,參與者一般包括以下部門的成員:信息安全、內部審計、物理安全、信息系統、人力資源、法律、財政和會計部。這樣一個委員會本質上是監督信息安全部門的工作,負責篩選提煉已提交的策略,以便在整個組織內更好的實施落地。如果組織內還沒有信息安全管理委員會,在制定信息安全策略的時候正是建立管理委員會的好時機,或由組織內已存在的同職能部門擔任職責。
雖然制定了新的安全策略,還必須有一個適當的實施過程,如果這些策略不能得到實施,將起不到任何作用,不能得到執行的策略,可能比完全沒有策略更糟糕,因為這樣會教會員工作假和質疑組織內部執行力,這也可能麻痹管理者認為信息安全為題已經處理雖然現實是另外一回事。
管理層常以為員工行為當然以組織利益為重,這是一個欠考慮的想法。雖然策略不可能影響員工的個人價值觀,但管理層可以運用策略給員工提供機會,引導他們和組織的利益一致。策略告訴員工組織對他們的期望是什么。
新策略發布前,應在內部信息技術部門或審計部門內討論如果具體實施。新策略的執行可能會遇到多樣化的問題。可以通過績效評估和相應獎懲制度來保證策略的執行有效性。發現和懲罰違反策略的員工并不是目的。如果大量的人都不遵守,這就表明策略和相關的意識提升是無效的。在此情形下,需要尋找更有效的方式實施,或修改策略,以便更好的反映組織文化。
另有一些策略實施的建議:
在組織內部網站或一些媒體發布策略—新策略應發布在組織內部網站上,加入相關鏈接讓用戶能很快定位感興趣的材料。
制定自我評估調查表—在新的策略實施時,制定評估表,填寫實施情況,就能明確哪些部門沒有遵守好、哪些地方需要額外加強控制。
制定遵守信息安全策略的員工協議表——應當編輯一個反映員工該如何遵守信息安全策略的法律協議表,或直接體現在員工合同中。
建立考察機制檢查員工是否理解策略——調查員工是否理解安全策略文檔中的重點。通過考試確定是否要增加培訓和通告。
基礎信息安全培訓課程——培訓課程通過錄像或培訓軟件存檔。不同策略對象可能要不同的培訓課程。
分配策略落實負責人——按部門或實際情況分配負責人,落實責任。
點擊咨詢 