第一篇:01 信息安全總體方針和安全策略指引
XXX公司
信息安全總體方針和安全策略指引
第一章總則
第一條為了進一步深入貫徹落實國家政策文件要求,加強公司信息安全管理工作,切實提高公司信息系統安全保障能力,特制定本指引。第二條本指引適合于公司。
第三條公司信息安全管理遵循如下原則:
(一)主要領導負責原則:公司主要領導負責信息安全管理工作,統籌規劃信息安全管理目標和策略,建立信息安全保障隊伍并合理配置資源;
(二)全員參與原則:公司全員參與信息系統的安全管理工作,將信息安全與本職工作相結合,相互協同工作,認真落實信息安全管理要求,共同保障信息系統安全;
(三)合規性原則:信息安全管理制度遵循國際信息安全管理標準,以國家信息安全法律、法規、標準、規范為根本依據,全面符合相關主管部門和公司的各類要求。
(四)監督制約原則:信息系統安全管理組織結構、組織職責、崗位職責、工作流程層面、執行層面建立相互監督制約機制,降低因缺乏約束而產生的安全風險。
(五)規范化原則:通過建立規范化的工作流程,在執行層面對信息系統安全工作進行合理控制,降低由于工作隨意性而產生的安全風險,同時提升信息安全管理制度的可操作性。
(六)持續改進原則:通過不斷的持續改進,每年組織公司管理層對制度的全面性、適用性和有效性進行論證和審定,并進行版本修訂。第四條本指引適用于公司全體人員。
第二章信息安全保障框架及目標
第五條參照國內外相關標準,并結合公司已有網絡與信息安全體系建設的實際情況,最終形成依托于安全保護對象為基礎,縱向建立安全管理體系、安全技術體系、安全運行體系和安全管理中心的“三個體系,一個中心,三重防護”的安全保障體系框架。
(一)“三個體系”:信息安全管理體系、信息安全技術體系和信息安全運行體系,把信息安全標準的控制點和公司實際情況相結合形成相適應的體系結構框架;
(二)“一個中心”:信息安全管理中心,實現“自動、平臺化”的安全工作管理、統一技術管理和安全運維管理;
(三)“三重防護”:安全計算環境防護措施、安全區域邊界防護措施和安全網絡通信防護措施,把安全技術控制措施與安全保護對象相結合。
第六條公司安全保障框架:
(一)安全管理體系:信息安全管理體系重點落實安全管理制度、安全管理機構和人員安全管理的相關控制要求,并結合公司的實際情況形成符合行業和國家信息安全標準的信息安全管理體系框架。(二)安全技術體系:通過安全技術在物理、網絡、主機、應用和數據各個層面的實施,建立與公司實際情況相結合的安全技術體系。同時與“安全計算環境、安全區域邊界和安全網絡通信”的保護對象相作用,形成依托于保護對象的安全技術體系控制措施。
(三)安全運行體系:信息安全運行體系重點落實系統建設管理和系統運維管理的相關控制要求,并與公司實際情況相結合,形成符合行業和國家信息安全標準的信息安全運行體系框架。
(四)安全管理中心:根據信息安全相關要求和安全設計技術要求的相關內容,信息安全管理中心通過“自動、平臺化”的方式,對信息安全管理體系、信息安全技術體系以及信息安全運行體系的相關控制內容,結合公司的實際情況加以落實。
第七條公司信息安全總體目標是:依照業務信息系統的實際情況和現實問題為基礎,參照國內、國際的安全標準和規范,充分利用成熟的信息安全理論成果,設計出整體性好、可操作性強,并且融組織、管理和技術為一體的設計方案,達到行業和國家信息安全標準的要求。
第三章安全策略
第八條建立信息安全領導小組,負責組織、落實國家信息安全相關政策、法規和標準要求,審核并制定公司信息安全的發展戰略、規劃、政策和管理制度,落實《公司信息安全組織及職責管理辦法》。第九條保持與國家信息安全主管機構、監管機構、上級主管單位和支撐企業信息安全建設、運營單位的聯絡,制定完整的《公司常用信息安全組織機構信息表》,確保與外部機構的溝通暢通。
第十條加強公司內部人員在錄用前、工作期間、調崗和離崗的人員安全管理,確保公司內部人員的背景、身份、專業資格和職能權限的安全性,要求信息安全人員簽署保密協議,落實《公司內部人員信息安全管理辦法》。
第十一條加強外部人員的安全管理,防范外部人員帶來的安全風險,規范外部人員在公司各項與信息系統相關的活動所要遵守的行為準則,嚴格落實《公司外部人員信息安全管理辦法》。
第十二條 每年組織開展全員信息安全教育或培訓,提升公司全員的信息安全意識,確保公司信息安全目標和策略能夠得到必要的宣貫。第十三條 建立信息安全管理制度制定、發布、審核和修訂的管理要求,并滿足國家法律、政策和規范的要求,確保信息安全管理制度持續改進,落實《公司信息安全制度管理辦法》。
第十四條 確保信息化建設的項目立項、設計、實施、驗收等各個環節與信息安全管理控制機制的有機結合,實現項目工程管理過程和內容安全可控,嚴格執行《公司信息系統建設安全管理辦法》。第十五條 加強公司信息系統的物理環境和設施的信息安全規范性管理工作,確保物理環境、設施設備和進出訪問控制安全,落實《公司機房環境安全管理辦法》和《公司辦公環境信息安全管理辦法》。第十六條 加強對公司信息資產的安全管理,建立統一的信息資產分類、責任、授權和配置管理,明確公司硬件資產、軟件資產和數據資產的信息安全管理工作,落實《公司信息資產安全管理辦法》。第十七條 加強信息資產的運行維護管理工作,對系統的工作環境、安全運行、策略進行定期檢查,記錄信息系統運行的日志及狀態,定期對信息資產進行清點,確保各系統的正常運行,落實《公司信息安全運行維護管理辦法》。
第十八條 加強信息系統運行維護過程中的變更管理,確保公司信息系統的可核查性和可追溯性,合理控制信息系統變更產生的信息安全風險,結合日常信息系統的運行有關管理辦法,落實《公司信息系統變更管理辦法》。
第十九條 加強對信息安全事件的監控和管理,建立應急事件的報告、協調、處理機制。制定重要信息系統的應急響應預案,并進行演練和定期更新,確保信息系統的連續穩定運行,落實《公司應急管理辦法》和《公司信息安全分類應急預案》。
第二十條 對磁帶、磁盤、磁盤陣列、光盤、硬盤、紙質等各類移動存儲介質進行的所有安全管理活動進行管理,介質使用必須要有授權,保證介質使用的安全。落實《公司介質安全管理辦法》。第二十一條為規范管理員對網絡設備的訪問及操作行為,降低由于口令強度不夠和設置不完善等造成的安全隱患和風險,應加強各信息系統的口令管理,落實《公司密碼管理辦法》。
第二十二條加強對網絡系統的設計、規劃、變更審批和運維監督,定期對網絡中的系統進行漏洞掃描,對重要網段進行保護,落實《公司網絡安全管理辦法》。
第二十三條規范系統的使用,對系統的賬戶權限進行有效控制,及時的更新系統的補丁,有效的保護系統中的文件,對重要系統的文件進行保護,落實《公司系統安全管理辦法》。第二十四條定期對網絡中的應用系統、數據庫進行備份,實現異地備份的方式,同時每年需要進行一次數據恢復演練,數據的保存周期至少為五年,合理的根據情況進行調整備份時間,落實《公司信息備份與恢復管理制度》。
第四章獎懲
第二十五條對長期認真貫徹公司信息安全管理辦法,并因此而取得較好成績的組織和個人給予必要的鼓勵、宣傳和獎勵。
第二十六條對違反公司信息安全管理辦法的組織、人員,根據其對公司造成的損害程度,給予必要的批評教育、通報批評、經濟處罰、行政處分等懲罰;構成犯罪的,移交司法機關依法處理。
第五章附則
第二十七條 本指引由公司信息安全工作組制定,并負責解釋和修訂。
第二十八條本指引自發布之日起執行。
第二篇:信息安全工作總體方針和安全策略
1.總體目標
以滿足業務運行要求,遵守行業規程,實施等級保護及風險管理,確保信息安全以及實現持續改進的目的等內容作為本單位信息安全工作的總體方針。以信息網絡的硬件、軟件及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,信息服務不中斷為總體目標。
2.范圍
本案適用于某單位信息安全整體工作。在全單位范圍內給予執行,由某部門對該項工作的落實和執行進行監督,由某部門配合某部門對本案的有效性進行持續改進。
3.原則
以誰主管誰負責為原則(或者采用其他原則例如:“整體保護原則”、“適度保護的等級化原則”、“分域保護原則”、“動態保護原則”、“多級保護原則”、“深度保護原則”和“信息流向原則”等)。
4.策略框架
建立一套關于物理、主機、網絡、應用、數據、建設和管理等六個方面的安全需求、控制措施及執行程序,并在關聯制度文檔中定義出相關的安全角色,并對其賦予管理職責。“以人為本”,通過對信息安全工作人員的安全意識培訓等方法不斷加強系統分布的合理性和有效性。4.1 物理方面
依據實際情況建立機房管理制度,明確機房的出入管理辦法,機房介質存放方式,機房設備維護周期及維護方式,機房設備信息保密要求,機房溫濕度控制
方式等等環境要求。通過明確機房責任人、建立機房管理相關辦法、對維護和出入等過程建立記錄等方式對機房安全進行保護。4.2網絡方面
從技術角度實現網絡的合理分布、網絡設備的實施監控、網絡訪問策略的統一規劃、網絡安全掃描以及對網絡配置文件等必要信息進行定期備份。從管理角度明確網絡各個區域的安全責任人,建立網絡維護方面相關操作辦法并由某人或某部門監督執行看,確保各信息系統網絡運行情況穩定、可靠、正常的運行。4.3主機方面
要求各類主機操作系統和數據庫系統在滿足各類業務系統的正常運行條件下,建立系統訪問控制辦法、劃分系統使用權限、安裝惡意代碼防范軟件并對惡意代碼的檢查過程進行記錄。明確各類主機的責任人,對主機關鍵信息進行定期備份。4.4應用方面
從技術角度實現應用系統的操作可控、訪問可控、通信可控。從管理角度實現各類控制辦法的有效執行,建立完善的維護操作規程以及明確定期備份內容。4.5數據方面
對本單位或本部門的各類業務數據、設備配置信息、總體規劃信息等等關鍵數據建立維護辦法,并由某部門或某人監督、執行。通過匯報或存儲方式實現關鍵數據的安全傳輸、存儲和使用。4.6
建設和管理方面 4.6.1 信息安全管理機制
成立信息安全管理主要機構或部門,設立安全主管等主要安全角色,依據信
息安全等級保護三級標準(要求),建立信息系統的整體管理辦法。4.6.2 信息安全管理組織
分別建立安全管理崗位和機構的職責文件,對機構和人員的職責進行明確。建立信息發布、變更、審批等流程和制度類文件,增強制度的有效性。建立安全審核和檢查的相關制度及報告方式。4.6.3 人員安全管理要求
對人員的錄用、離崗、考核、培訓、安全意識教育等方面應通過制度和操作程序進行明確。
4.6.4 信息安全等級保護工作及風險評估要求
定期對已備案的信息系統進行等級保護測評,以保證信息系統運行風險維持在較低水平,不斷增強系統的穩定性和安全性。4.6.5 報告安全事件要求
對突發安全事件建立應急預案管理制度和相關操作辦法,并定期組織人員進行演練,以保證信息系統在面臨突發事件時能夠在較短時間內恢復正常的使用。4.6.6 業務持續性要求
根據對系統的等級測評、風險評估等間接問題挖掘,及時改進信息系統的各類弊端,包括業務弊端,應建立相關改進措施或改進辦法,以保證對信息系統的業務持續性要求。
4.6.7 違反信息安全要求的懲罰
建立懲處辦法,對違反信息安全總體方針、安全策略的、程序流程和管理措施的人員,依照問題的嚴重性進行懲罰。
5.相關文件
5.1 《信息安全各部門安全需求及控制措施》 5.2 《信息安全各部門安全工作執行程序》 5.3 《機房安全管理制度》 5.4 《網絡安全管理制度》 5.5 《系統安全管理制度》 5.6 《設備操作規程》 5.7 《崗位職責文件》
5.8 《信息安全管理機構組成文件》 5.9 《人事管理制度》/《員工手冊》 5.10 5.11 《應急預案管理制度》
《信息安全等級保護測評報告》/《信息安全風險評估報告》
第三篇:信息安全工作總體方針
信息安全工作總體方針
第一章 總則
第一條 為加強和規范省信息中心及直屬直管各單位(以下簡稱“各單位”)信息系統安全工作,提高中心信息系統整體安全防護水平,實現信息安全的可控、能控、在控,依據國家有關法律、法規的要求,制定本文檔。
第二條 本文檔的目的是為中心信息系統安全管理提供一個總體的策略性架構文件,該文件將指導中心信息系統的安全管理體系的建立。安全管理體系的建立是為中心信息系統的安全管理工作提供參照,以實現中心統一的安全策略管理,提高整體的網絡與信息安全水平,確保安全控制措施落實到位,保障網絡通信暢通和業務系統的正常運營。
第三條 本文檔適用于中心以中心下屬各單位信息系統資產和信息技術人員的安全管理和指導,適用于指導中心信息系統安全策略的制定、安全方案的規劃和安全建設的實施,適用于中心安全管理體系中安全管理措施的選擇。
第四條 本辦法所稱信息系統指中心一體化企業級信息系統,主要包括一體化企業級信息集成平臺(以下簡稱“一體化平臺”)和八大業務應用。
“一體化平臺”包含信息網絡、數據交換、數據中心、應用集成和企業門戶;“業務應用”包含財務(資金)管理、營銷管理、安全生產管理、協同辦公、人力資源管理、物資管理、項目管理、綜合管理業務應用。
第五條 引用標準及參考文件
本文檔的編制參照了以下國家、中心的標準和文件:
(一)《中華人民共和國計算機信息系統安全保護條例》
(二)《關于信息安全等級保護建設的實施指導意見》(信息運安〔2009〕27 號)
(三)《信息安全技術 信息系統安全等級保護基本要求》(GB/T 22239-2008)
(四)《信息安全技術 信息系統安全管理要求》(GB/T 20269—2006)
(五)《信息系統等級保護 安全建設技術方案設計要求》(報批稿)
(六)《關于開展信息安全等級保護安全建設整改工作的指導意見》(公信安[2009]1429號)
第二章 方針、目標和原則
第六條中心信息系統安全堅持“安全第一、預防為主,管理和技術并重,綜合防范”的總體方針,實現信息系統安全可控、能控、在控。依照“分區、分級、分域”總體安全防護策略,執行信息系統安全等級保護制度。管理信息網絡分為信息內網和信息外網,實現“雙機雙網”,信息內網定位為承載網絡和內部辦公網絡,信息外網定位為對外業務網絡和訪問互聯網用戶終端網絡。信息內、外網之間實施強邏輯隔離的措施。
第七條 信息系統安全總體目標是確保信息系統持續、穩定、可靠運行和確保信息內容的機密性、完整性、可用性,防止因信息系統本身故障導致信息系統不能正常使用和系統崩潰,抵御黑客、病毒、惡意代碼等對信息系統發起的各類攻擊和破壞,防止信息內容及數據丟失和失密,防止有害信息在網上傳播,防止中心對外服務中斷和由此造成的系統運行事故。
第八條 信息安全工作的總體原則
(1)基于安全需求原則
組織機構應根據其信息系統擔負的使命,積累的信息資產的重要性,可能受到的威脅及面臨的風險分析安全需求,按照信息系統等級保護要求確定相應的信息系統安全保護等級,遵從相應等級的規范要求,從全局上恰當地平衡安全投入與效果;
(2)主要領導負責原則
主要領導應確立其組織統一的信息安全保障的宗旨和政策,負責提高員工的安全意識,組織有效安全保障隊伍,調動并優化配置必要的資源,協調安全管理工作與各部門工作的關系,并確保其落實、有效;
(3)全員參與原則
信息系統所有相關人員應普遍參與信息系統的安全管理,并與相關方面協同、協調,共同保障信息系統安全;
(4)系統方法原則
按照系統工程的要求,識別和理解信息安全保障相互關聯的層面和過程,采用管理和技術結合的方法,提高實現安全保障的目標的有效性和效率;
(5)持續改進原則
安全管理是一種動態反饋過程,貫穿整個安全管理的生存周期,隨著安全需求和系統脆弱性的時空分布變化,威脅程度的提高,系統環境的變化以及對系統安全認識的深化等,應及時地將現有的安全策略、風險接受程度和保護措施進行復查、修改、調整以至提升安全管理等級,維護和持續改進信息安全管理體系的有效性;
(6)依法管理原則
信息安全管理工作主要體現為管理行為,應保證信息系統安全管理主體合法、管理行為合法、管理內容合法、管理程序合法。對安全事件的處理,應由授權者適時發布準確一致的有關信息,避免帶來不良的社會影響;
(7)分權和授權原則
對特定職能或責任領域的管理功能實施分離、獨立審計等實行分權,避免權力過分集中所帶來的隱患,以減小未授權的修改或濫用系統資源的機會。任何實體(如用戶、管理員、進程、應用或系統)僅享有該實體需要完成其任務所必須的權限,不應享有任何多余權限;
(8)選用成熟技術原則
成熟的技術具有較好的可靠性和穩定性,采用新技術時要重視其成熟的程度,并應首先局部試點然后逐步推廣,以減少或避免可能出現的失誤;
(9)分級保護原則
按等級劃分標準確定信息系統的安全保護等級,實行分級保護;對多個子系統構成的大型信息系統,確定系統的基本安全保護等級,并根據實際安全需求,分別確定各子系統的安全保護等級,實行多級安全保護;
(10)管理與技術并重原則
堅持積極防御和綜合防范,全面提高信息系統安全防護能力,立足國情,采用管理與技術相結合,管理科學性和技術前瞻性結合的方法,保障信息系統的安全性達到所要求的目標;
(11)自保護和國家監管結合原則
對信息系統安全實行自保護和國家保護相結合。組織機構要對自己的信息系統安全保護負責,政府相關部門有責任對信息系統的安全進行指導、監督和檢查,形成自管、自查、自評和國家監管相結合的管理模式,提高信息系統的安全保護
能力和水平,保障國家信息安全。
第九條 在規劃和建設信息系統時,信息系統安全防護措施應按照“三 同步”原則,與信息系統建設同步規劃、同步建設、同步投入運行。
第三章 總體安全策略
第十條 物理安全策略
(1)機房和辦公室必須選擇在經過防震、防火、防雷擊驗收合格的辦公大樓內部,機房的窗戶需要有防雨水滲透的能力;
(2)機房的位置不能是大樓的地下室、一樓房間或是大樓的頂層,機房的正上方不能是用水量大的房間;
(3)機房出入口必須有專人值守,對工作人員進行登記;
(4)進入機房的工作人員必須由安全管理員或機房管理員全程陪同;
(5)機房內部必須劃分重要設備區、一般設備區、過渡區等區域,對不同區域分別進行管理,區域與區域之間進行物理隔離;
(6)機房內部必須部署基礎防護系統和設備,如電子門禁系統、監控報警系統、防雷設備、消防滅火系統、防水監控系統、溫濕度控制系統、UPS供電系統和電磁屏蔽設備。
第十一條 網絡安全策略
(1)網絡中必須部署路由器、交換機、防火墻、防毒墻、IPS設備和內網網絡管理、補丁分發等系統
(2)網絡設備除接入交換機之外,必須進行雙機熱備,除接入交換機鏈接工作終端的線路外,其他線路必須進行雙線冗余;
(3)整體網絡不能出現流量瓶頸,保證帶寬充足;
(4)各部門必須劃分不同網段的IP地址;
(5)劃分網絡帶寬,突出優先級;
(6)網絡邊界處必須部署防火墻、IPS等安全設備;
(7)網絡設備必須開啟日志審計功能;
第十二條 主機安全策略
(1)登錄操作系統和數據庫系統的用戶必須進行身份標識和鑒別;
(2)操作系統和數據庫系統管理用戶身份標識不能出現同名用戶,口令應有復雜度要求并定期更換;
(3)操作系統和數據庫系統必須啟用登錄失敗處理功能;
(4)對服務器進行遠程管理時,必須采取必要措施,防止鑒別信息在網絡傳輸過程中被竊聽;
(5)為操作系統和數據庫系統的不同用戶分配不同的用戶名,確保用戶名具有唯一性,不能出重名情況;
(6)操作系統和數據庫必須及時刪除多余的、過期的賬戶,避免共享賬戶的存在;
(7)主機必須開啟日志審計功能;
(8)主機必須安裝防惡意代碼產品,并進行統一管理;
第十三條 應用安全策略
(1)應用系統必須在登錄時要求輸入用戶名和口令;
(2)登錄應用系統必須進行兩種或兩種以上的復合身份驗證(如用戶名口令+Ukey或用戶名口令+IP與MAC地址綁定方式);
(3)應用系統中設置的用戶都必須是唯一用戶,不能名稱相同,且不能出現多人使用同一賬戶的情況;
(4)應用系統必須開啟登錄失敗處理功能;
(5)應用系統必須開啟登錄連接超時自動退出等措施;
(6)應用系統必須開啟身份鑒別、用戶身份標識唯一性檢查、用戶身份鑒別信息復雜度檢查以及登錄失敗處理功能,并根據安全策略配置相關參數;
(7)應用系統必須開啟日志審計功能;
(8)應用系統存儲用戶信息的設備在銷毀、修理或轉其他用途時,必須清楚內部存儲的信息;
第十四條 數據安全策略
(1)業務應用數據和設備配置文檔都必須進行備份,以便發生問題時進行恢復;
(2)數據備份至其他設備上時,必須使用專門的備份通道,保證數據傳輸的完整性;
(3)數據本機備份時應檢測其完整性;
(4)數據備份時必須使用專業的備份設備和工具,在數據傳輸和數據存儲時,都必須是加密傳輸和存儲;
(5)數據進行異地備份時,必須利用通信網絡將關鍵數據定時批量傳送至備用場地。
第四章附則
第十五條本辦法由中心信息領導委員會負責解釋并督促執行。第十六條 各單位可根據本辦法制定實施細則,報省中心備案。第十七條 本辦法自印發之日起執行。
第四篇:信息安全策略
信息安全策略
是一個有效的信息安全項目的基礎。從信息安全領域中發生的事件來看,信息安全策略的核心地位變得越來越明顯。例如,沒有安全策略,系統管理員將不能安全的安裝防火墻。策略規定了所允許的訪問控制、協議以及怎樣記錄與安全有關的事件。盡管信息安全策略是廉價的實施控制方式,但它們也是最難實施的。策略花費的僅僅是創建、批準、交流所用的時間和精力,以及員工把策略整合形成日常行為規范所用的時間和精力。即使是雇傭外部顧問來輔助制定策略,與其它控制方法(特別是技術控制)相比,其花費也是較小的。策略的制定需要達成下述目標:減少風險,遵從法律和規則,確保組織運作的連續性、信息完整性和機密性。
信息安全策略應主要依靠組織所處理和使用的信息特性推動制定。組織為高層主管、董事會成員、戰略伙伴以及員工提供了內部信息系統,對信息系統中信息特性的理解,能為策略制定提供有用的依據。應當重視對信息系統了解深刻的員工,所提出的組織當前信息的主要特性,具體包括:什么信息是敏感的、什么信息是有價值的以及什么信息是關鍵的。
在制定一整套信息安全策略時,應當參考一份近期的風險評估或信息審計,以便清楚了解組織當前的信息安全需求。對曾出現的安全事件的總結,也是一份有價值的資料。也需要召開相關人員會議,比如首席信息官、物理安全主管、信息安全主管、內部審計主管和人力資源主管等。
為了確定哪些部分需要進一步注意,應收集組織當前所有相關的策略文件,例如計算機操作策略、應用系統開發策略、人力資源策略、物理安全策略。也可以參考國際標準、行業標準來獲得指導。
資料收集階段的工作非常重要,很多時候因為工作量和實施難度被簡化操作。資料收集不全,調研不夠充分會導致新建的信息安全策略無法與組織的真正需求一致。也無法確保策略中的要求與管理目標相一致。如果提出一套與組織文化明顯不一致的策略,更是一件很尷尬的事情。
在制定策略之前,對現狀進行徹底調研的另一個作用是要弄清楚內部信息系統體系結構。信息安全策略應當與已有的信息系統結構相一致,并對其完全支持。這一點不是針對信息安全體系結構,而是針對信息系統體系結構。信息安全策略一般在信息系統體系結構確立以后制定,以保障信息安全體系實施、運行。例如,互聯網訪問控制策略可使安全體系結構具體化,也有利于選擇和實施恰當的防火墻產品。
收集完上面所提到的材料后,也就是調研階段完成后,開始根據前期的調研資料制定信息安全策略文檔初稿。初稿完成后,應當尋找直接相關人員對其進行小范圍的評審。對反饋意見進行修改后,逐漸的擴大評審的范圍。當所有的支持部門做出修改后,交由信息安全管理委員會評審。
信息安全策略的制定過程有很高的政策性和個性,反復的評審過程能夠讓策略更加清晰、簡潔,更容易落地,為此在評審的過程中需要調動參與積極性,而不是抵觸。
評審過程的最后一步一般由總經理、總裁、首席執行官簽名。在人員合同中應當表明能予遵守并且這是繼續雇傭的條件。也應當發放到內部服務器、網頁以及一些宣傳版面上的顯眼位置,并附有高層管理者的簽名,以表明信息安全策略文檔
得到高層領導強有力的支持。如果讓首席執行官簽名不現實,由首席信息官簽名也可以。要注意僅有信息安全部門主管或同級的部門主管簽名,一般不足以表明高層管理者的同意和支持。雖然獲得高層管理者的同意很難實施,但經驗表明,高層的支持對策略的實施落地是非常重要的。
一般來說,在信息安全策略文件評審過程中,會得到組織內部各方多次評審和修訂,其中最為重要的是信息安全管理委員會。信息安全委員會一般由信息部門人員組成,參與者一般包括以下部門的成員:信息安全、內部審計、物理安全、信息系統、人力資源、法律、財政和會計部。這樣一個委員會本質上是監督信息安全部門的工作,負責篩選提煉已提交的策略,以便在整個組織內更好的實施落地。如果組織內還沒有信息安全管理委員會,在制定信息安全策略的時候正是建立管理委員會的好時機,或由組織內已存在的同職能部門擔任職責。
雖然制定了新的安全策略,還必須有一個適當的實施過程,如果這些策略不能得到實施,將起不到任何作用,不能得到執行的策略,可能比完全沒有策略更糟糕,因為這樣會教會員工作假和質疑組織內部執行力,這也可能麻痹管理者認為信息安全為題已經處理雖然現實是另外一回事。
管理層常以為員工行為當然以組織利益為重,這是一個欠考慮的想法。雖然策略不可能影響員工的個人價值觀,但管理層可以運用策略給員工提供機會,引導他們和組織的利益一致。策略告訴員工組織對他們的期望是什么。
新策略發布前,應在內部信息技術部門或審計部門內討論如果具體實施。新策略的執行可能會遇到多樣化的問題。可以通過績效評估和相應獎懲制度來保證策略的執行有效性。發現和懲罰違反策略的員工并不是目的。如果大量的人都不遵守,這就表明策略和相關的意識提升是無效的。在此情形下,需要尋找更有效的方式實施,或修改策略,以便更好的反映組織文化。
另有一些策略實施的建議:
在組織內部網站或一些媒體發布策略—新策略應發布在組織內部網站上,加入相關鏈接讓用戶能很快定位感興趣的材料。
制定自我評估調查表—在新的策略實施時,制定評估表,填寫實施情況,就能明確哪些部門沒有遵守好、哪些地方需要額外加強控制。
制定遵守信息安全策略的員工協議表——應當編輯一個反映員工該如何遵守信息安全策略的法律協議表,或直接體現在員工合同中。
建立考察機制檢查員工是否理解策略——調查員工是否理解安全策略文檔中的重點。通過考試確定是否要增加培訓和通告。
基礎信息安全培訓課程——培訓課程通過錄像或培訓軟件存檔。不同策略對象可能要不同的培訓課程。
分配策略落實負責人——按部門或實際情況分配負責人,落實責任。
第五篇:信息安全策略綱要
信息安全策略綱要
1范圍
信息系統是技術密集的大型復雜的網絡化人機系統,其面臨的安全問題非常突出。為了保障海南電網信息通信分公司(以下簡稱“公司”)信息系統的安全可靠運行,依據《信息系統安全等級保護基本要求》等相關標準法規制定本策略綱要。本綱要適用于公司信息系統。總體目標
總體目標:保護公司信息系統的硬件、軟件、業務信息和數據、通信網絡設備等資源的安全,有效防范各類安全事故,合法合規發展各類信息系統,確保為社會提供高效穩定的電力服務。規范性引用文件
下列文件中的條款通過本標準的引用而成為本標準的條款。凡注明日期的引用文件,其隨后所有的修改單或修訂版均不適用于本標準(不包括勘誤、通知單),然而,鼓勵根據本標準達成協議的各方研究是否可使用這些文件的最新版本。凡未注日期的引用文件,其最新版本適用于本標準
《信息安全技術 信息系統安全保障評估框架》(GB/T 20274.1-2006)《信息安全技術 信息系統安全管理要求》(GB/T 20269-2006)
《信息安全技術 信息系統安全等級保護基本要求》(GBT 22239-2008)本標準未涉及的管理內容,參照國家、電力行業、南方電網公司的有關標準和規定執行。總體方針
4.1組織與體制
構筑確保信息安全所必需的組織與體制,明確其責任與權限。
4.2 遵守法令法規
遵守與信息安全有關的法令法規,制定并遵守按基本方針所制定的信息安全相關的規定。
4.3信息資產的分類與管理
按照重要級別信息資產進行分類,并妥善管理。
4.4培訓與教育
為使相關人員全面了解信息安全的重要性,適當開展針對性培訓與教育教育活動。使他們充分認識信息安全的重要性以及掌握正確的管理方法。
4.5物理性保護
為避免非法入侵、干擾及破壞信息資產等事故的發生,對其保管場所與保管辦法加以明確。
4.6技術性保護
為切實保護信息資產不受來自外部的非法入侵,對信息系統的登錄方法、使用限制、網絡管理等采取適當的措施。
4.7運用
為確保基本方針的實際成效,在對遵守情況進行監督的同時,對違反基本方針時的處置辦法及針對來自外部的非法入侵等緊急事態采取的應對措施等加以規定。
4.8評價及復審
隨著社會環境的變化、技術的進步等,應定期對基本方針與運用方式進行評價與復審安全策略
5.1安全管理制度
在信息安全中,最活躍的因素是人,對人的管理包括法律、法規與政策的約束、安全指南的幫助、安全意識的提高、安全技能的培訓、人力資源管理措施以及企業文化的熏陶,這些功能的實現都是以完備的安全管理政策和制度為前提。安全管理制度包括信息安全工作的總體方針、策略、規范各種安全管理活動的管理制度以及管理人員或操作人員日常操作的操作規程。
安全管理制度重點關注管理制度、制定和發布、評審和修訂三方面。
目的是根據系統的安全等級,依照國家相關法律法規及政策標準,建立信息安全的各項管理規范和技術標準,規范基礎設施建設、系統和網絡平臺建設、應用系統開發、運行管理等重要環節,奠定信息安全的基礎。
5.2安全管理機構
建立組織管理體系是為了建立自上而下的信息安全工作管理體系,確定安全管理組織機構的職責,統籌規劃、專家決策,以推動信息安全工作的開展。
公司成立信息安全領導小組,是信息安全的最高決策機構,負責研究重大事件,落實方針政策,制定實施策略和原則,開展安全普及教育等。下設辦公室負責信息安全領導小組的日常事務。
信息安全領導小組下設兩個工作組:信息安全工作組、應急處理工作組。組長均由公司負責人擔任。
5.3人員安全管理
通過建立安全崗位責任制,最大限度降低人為失誤所造成的風險。人是決定性因素,人員安全管理的原則是:職責分離、有限授權、相互制約、任期審計。
人員安全管理的要素包括:安全管理人員配備、信息系統關鍵崗位、人員錄用、人員離崗、人員考核與審查、第三方人員管理等。
信息安全人員的配備和變更情況,應向上一級單位報告、備案。
信息安全人員調離崗位,必須嚴格辦理調離手續,承諾其調離后的保密義務。涉及公司業務核心技術的信息安全人員調離單位,必須進行離崗審計,并在規定的脫密期后,方可調離。
5.4系統建設管理
信息系統的安全管理貫穿系統的整個生命周期,系統建設管理主要關注的是生命周期中的前三個階段(初始、采購、實施)中各項安全管理活動。
系統建設管理分別從工程實施建設前、建設過程以及建設完畢交付等三方面考慮,具體包括系統定級、安全方案設計、產品采購和使用、自行軟件開發、外包軟件開發、工程實施、測試驗收、系統交付、系統備案、等級測評和安全服務商選擇十一個控制點。
5.5系統運維管理
目的是保障信息系統日常運行的安全穩定,對運行環境、技術支持、操作使用、病毒防范、備份措施、文檔建立等全方位管理。包括用戶管理、運行操作管理、運行維護管理、外包服務管理、有關安全機制保障、安全管理控制平臺等方面的管理要素。
對運行過程的任何變化,數據、軟件、物理設置等,都應實施技術監控和管理手段以確保其完整性,防止信息非法復制、篡改,任何查詢和變更操作需經過授權和合法性驗證。
應急管理也是運維的重要內容,目的是分析信息系統可能出現的緊急事件或災難,建立一整套應急措施,以保障核心業務的快速恢復和持續穩定運行。應急計劃包括應急處理和災難恢復策略、應急計劃、應急計劃的實施保障等管理要素。
在海南省電網公司統一的應急規劃下,針對信息系統面臨的各種應急場景編制相應的應急預案,并經過測試演練修訂,同時宣傳普及。
5.6物理安全
目的是保護計算機設備、設施(含網絡)以及信息系統免遭自然災害和其他形式的破壞,保證信息系統的實體安全。
有關物理環境的選址和設計應遵照相關標準,配備防火、防水、防雷擊、防靜電、防鼠害等機房措施,維持系統不間斷運行能力,確保信息系統運行的安全可靠。
對重要安全設備的選擇,需符合國家相關標準規范,相關證書齊全。
嚴格確定設備的合法使用人,建立詳細運行日志和維護記錄。
5.7網絡安全
目的是有效防范網絡體系的安全風險,為業務應用系統提供安全、可靠、穩定的網絡管理和技術平臺。
對于依賴網絡架構安全的業務應用系統,需根據其安全級別,實施相應的訪問控制、身份認證、審計等安全服務機制;在網絡邊界處,需根據資源的保護等級,實施相應安全級別的防火墻、認證、審計、動態檢測等技術,防范信息資源的非法訪問、篡改和破壞。
5.8主機安全
主機安全包括服務器、終端/工作站等在內的計算機設備在操作系統及數據庫系統層面的安全。終端/工作站是帶外設的臺式機與筆記本計算機,服務器則包括應用程序、網絡、web、文件與通信等服務器。主機承載著各種應用,是保護信息安全的中堅力量。
主機安全需著重關注和加強身份鑒別、訪問控制、惡意代碼防范、安全審計、入侵防范幾個方面,同時定期或不定期的進行安全評估(含滲透性測試)和加固,實時確保主機的健壯性。
5.9應用安全
應用安全成是信息系統整體防御的最后一道防線,目的是保障業務應用系統開發過程及最終產品的安全性。
在應用層面運行著信息系統的基于網絡的應用以及特定業務應用。基于網絡的應用是形成其他應用的基礎,是基本的應用;業務應用采納基本應用的功能以滿足特定業務的要求;故最終是保護系統的各種業務應用程序的安全運行。
應用系統的總體需求計劃階段,應全面評估系統的安全風險,確定系統的訪問控制、身份認證、審計跟蹤等安全需求;總體架構設計階段,應實施安全需求設計,確立安全服務機制、開發人員技術要求和操作規程;應用系統的實現階段,應全程實施質量控制,防止程序后門,減少代碼漏洞;在上線運行之前,應充分進行局部功能、整體功能、壓力測試,以及系統安全性能、操作流程、應急方案的測試。5.10數據安全及備份恢復
信息系統處理的各種數據(用戶數據、系統數據、業務數據等)在維持系統正常運行上起著至關重要的作用。由于信息系統的各個層面(網絡、主機、應用等)都對各類數據進行傳輸、存儲和處理等,因此,對數據的保護需要物理環境、網絡、數據庫和操作系統、應用程序等提供支持。
數據備份也是防止數據被破壞后無法恢復的重要手段,而硬件備份等更是保證系統可用的重要內容。附 則
? 本標準由海南電網公司信息通信分公司負責解釋。
? 本標準自頒布之日起實行。
點擊咨詢 