第一篇:信息安全工作總體方針
信息安全工作總體方針
第一章 總則
第一條 為加強和規范省信息中心及直屬直管各單位(以下簡稱“各單位”)信息系統安全工作,提高中心信息系統整體安全防護水平,實現信息安全的可控、能控、在控,依據國家有關法律、法規的要求,制定本文檔。
第二條 本文檔的目的是為中心信息系統安全管理提供一個總體的策略性架構文件,該文件將指導中心信息系統的安全管理體系的建立。安全管理體系的建立是為中心信息系統的安全管理工作提供參照,以實現中心統一的安全策略管理,提高整體的網絡與信息安全水平,確保安全控制措施落實到位,保障網絡通信暢通和業務系統的正常運營。
第三條 本文檔適用于中心以中心下屬各單位信息系統資產和信息技術人員的安全管理和指導,適用于指導中心信息系統安全策略的制定、安全方案的規劃和安全建設的實施,適用于中心安全管理體系中安全管理措施的選擇。
第四條 本辦法所稱信息系統指中心一體化企業級信息系統,主要包括一體化企業級信息集成平臺(以下簡稱“一體化平臺”)和八大業務應用。
“一體化平臺”包含信息網絡、數據交換、數據中心、應用集成和企業門戶;“業務應用”包含財務(資金)管理、營銷管理、安全生產管理、協同辦公、人力資源管理、物資管理、項目管理、綜合管理業務應用。
第五條 引用標準及參考文件
本文檔的編制參照了以下國家、中心的標準和文件:
(一)《中華人民共和國計算機信息系統安全保護條例》
(二)《關于信息安全等級保護建設的實施指導意見》(信息運安〔2009〕27 號)
(三)《信息安全技術 信息系統安全等級保護基本要求》(GB/T 22239-2008)
(四)《信息安全技術 信息系統安全管理要求》(GB/T 20269—2006)
(五)《信息系統等級保護 安全建設技術方案設計要求》(報批稿)
(六)《關于開展信息安全等級保護安全建設整改工作的指導意見》(公信安[2009]1429號)
第二章 方針、目標和原則
第六條中心信息系統安全堅持“安全第一、預防為主,管理和技術并重,綜合防范”的總體方針,實現信息系統安全可控、能控、在控。依照“分區、分級、分域”總體安全防護策略,執行信息系統安全等級保護制度。管理信息網絡分為信息內網和信息外網,實現“雙機雙網”,信息內網定位為承載網絡和內部辦公網絡,信息外網定位為對外業務網絡和訪問互聯網用戶終端網絡。信息內、外網之間實施強邏輯隔離的措施。
第七條 信息系統安全總體目標是確保信息系統持續、穩定、可靠運行和確保信息內容的機密性、完整性、可用性,防止因信息系統本身故障導致信息系統不能正常使用和系統崩潰,抵御黑客、病毒、惡意代碼等對信息系統發起的各類攻擊和破壞,防止信息內容及數據丟失和失密,防止有害信息在網上傳播,防止中心對外服務中斷和由此造成的系統運行事故。
第八條 信息安全工作的總體原則
(1)基于安全需求原則
組織機構應根據其信息系統擔負的使命,積累的信息資產的重要性,可能受到的威脅及面臨的風險分析安全需求,按照信息系統等級保護要求確定相應的信息系統安全保護等級,遵從相應等級的規范要求,從全局上恰當地平衡安全投入與效果;
(2)主要領導負責原則
主要領導應確立其組織統一的信息安全保障的宗旨和政策,負責提高員工的安全意識,組織有效安全保障隊伍,調動并優化配置必要的資源,協調安全管理工作與各部門工作的關系,并確保其落實、有效;
(3)全員參與原則
信息系統所有相關人員應普遍參與信息系統的安全管理,并與相關方面協同、協調,共同保障信息系統安全;
(4)系統方法原則
按照系統工程的要求,識別和理解信息安全保障相互關聯的層面和過程,采用管理和技術結合的方法,提高實現安全保障的目標的有效性和效率;
(5)持續改進原則
安全管理是一種動態反饋過程,貫穿整個安全管理的生存周期,隨著安全需求和系統脆弱性的時空分布變化,威脅程度的提高,系統環境的變化以及對系統安全認識的深化等,應及時地將現有的安全策略、風險接受程度和保護措施進行復查、修改、調整以至提升安全管理等級,維護和持續改進信息安全管理體系的有效性;
(6)依法管理原則
信息安全管理工作主要體現為管理行為,應保證信息系統安全管理主體合法、管理行為合法、管理內容合法、管理程序合法。對安全事件的處理,應由授權者適時發布準確一致的有關信息,避免帶來不良的社會影響;
(7)分權和授權原則
對特定職能或責任領域的管理功能實施分離、獨立審計等實行分權,避免權力過分集中所帶來的隱患,以減小未授權的修改或濫用系統資源的機會。任何實體(如用戶、管理員、進程、應用或系統)僅享有該實體需要完成其任務所必須的權限,不應享有任何多余權限;
(8)選用成熟技術原則
成熟的技術具有較好的可靠性和穩定性,采用新技術時要重視其成熟的程度,并應首先局部試點然后逐步推廣,以減少或避免可能出現的失誤;
(9)分級保護原則
按等級劃分標準確定信息系統的安全保護等級,實行分級保護;對多個子系統構成的大型信息系統,確定系統的基本安全保護等級,并根據實際安全需求,分別確定各子系統的安全保護等級,實行多級安全保護;
(10)管理與技術并重原則
堅持積極防御和綜合防范,全面提高信息系統安全防護能力,立足國情,采用管理與技術相結合,管理科學性和技術前瞻性結合的方法,保障信息系統的安全性達到所要求的目標;
(11)自保護和國家監管結合原則
對信息系統安全實行自保護和國家保護相結合。組織機構要對自己的信息系統安全保護負責,政府相關部門有責任對信息系統的安全進行指導、監督和檢查,形成自管、自查、自評和國家監管相結合的管理模式,提高信息系統的安全保護
能力和水平,保障國家信息安全。
第九條 在規劃和建設信息系統時,信息系統安全防護措施應按照“三 同步”原則,與信息系統建設同步規劃、同步建設、同步投入運行。
第三章 總體安全策略
第十條 物理安全策略
(1)機房和辦公室必須選擇在經過防震、防火、防雷擊驗收合格的辦公大樓內部,機房的窗戶需要有防雨水滲透的能力;
(2)機房的位置不能是大樓的地下室、一樓房間或是大樓的頂層,機房的正上方不能是用水量大的房間;
(3)機房出入口必須有專人值守,對工作人員進行登記;
(4)進入機房的工作人員必須由安全管理員或機房管理員全程陪同;
(5)機房內部必須劃分重要設備區、一般設備區、過渡區等區域,對不同區域分別進行管理,區域與區域之間進行物理隔離;
(6)機房內部必須部署基礎防護系統和設備,如電子門禁系統、監控報警系統、防雷設備、消防滅火系統、防水監控系統、溫濕度控制系統、UPS供電系統和電磁屏蔽設備。
第十一條 網絡安全策略
(1)網絡中必須部署路由器、交換機、防火墻、防毒墻、IPS設備和內網網絡管理、補丁分發等系統
(2)網絡設備除接入交換機之外,必須進行雙機熱備,除接入交換機鏈接工作終端的線路外,其他線路必須進行雙線冗余;
(3)整體網絡不能出現流量瓶頸,保證帶寬充足;
(4)各部門必須劃分不同網段的IP地址;
(5)劃分網絡帶寬,突出優先級;
(6)網絡邊界處必須部署防火墻、IPS等安全設備;
(7)網絡設備必須開啟日志審計功能;
第十二條 主機安全策略
(1)登錄操作系統和數據庫系統的用戶必須進行身份標識和鑒別;
(2)操作系統和數據庫系統管理用戶身份標識不能出現同名用戶,口令應有復雜度要求并定期更換;
(3)操作系統和數據庫系統必須啟用登錄失敗處理功能;
(4)對服務器進行遠程管理時,必須采取必要措施,防止鑒別信息在網絡傳輸過程中被竊聽;
(5)為操作系統和數據庫系統的不同用戶分配不同的用戶名,確保用戶名具有唯一性,不能出重名情況;
(6)操作系統和數據庫必須及時刪除多余的、過期的賬戶,避免共享賬戶的存在;
(7)主機必須開啟日志審計功能;
(8)主機必須安裝防惡意代碼產品,并進行統一管理;
第十三條 應用安全策略
(1)應用系統必須在登錄時要求輸入用戶名和口令;
(2)登錄應用系統必須進行兩種或兩種以上的復合身份驗證(如用戶名口令+Ukey或用戶名口令+IP與MAC地址綁定方式);
(3)應用系統中設置的用戶都必須是唯一用戶,不能名稱相同,且不能出現多人使用同一賬戶的情況;
(4)應用系統必須開啟登錄失敗處理功能;
(5)應用系統必須開啟登錄連接超時自動退出等措施;
(6)應用系統必須開啟身份鑒別、用戶身份標識唯一性檢查、用戶身份鑒別信息復雜度檢查以及登錄失敗處理功能,并根據安全策略配置相關參數;
(7)應用系統必須開啟日志審計功能;
(8)應用系統存儲用戶信息的設備在銷毀、修理或轉其他用途時,必須清楚內部存儲的信息;
第十四條 數據安全策略
(1)業務應用數據和設備配置文檔都必須進行備份,以便發生問題時進行恢復;
(2)數據備份至其他設備上時,必須使用專門的備份通道,保證數據傳輸的完整性;
(3)數據本機備份時應檢測其完整性;
(4)數據備份時必須使用專業的備份設備和工具,在數據傳輸和數據存儲時,都必須是加密傳輸和存儲;
(5)數據進行異地備份時,必須利用通信網絡將關鍵數據定時批量傳送至備用場地。
第四章附則
第十五條本辦法由中心信息領導委員會負責解釋并督促執行。第十六條 各單位可根據本辦法制定實施細則,報省中心備案。第十七條 本辦法自印發之日起執行。
第二篇:信息安全總體方針
信息化服務中心
信息安全 總體 方針
項目名稱
XXX 安全運維服務項目 客戶名稱
XXX 信息化服務中心 實施地點
XXX 信息化服務中心 實施單位
XXX 絡安信息技術有限 實施時間
XXX 年 7 月 17 日星期二
文檔修訂情況
版本 修訂記錄 日期 修訂 審核 批準 v1.0 制作文檔 XXX-07-17 XXX
V2.0 修改信息安全管理委員會框架 XXX-07-20 XXX
目錄
目的和適用范圍......................................................................................................................................3
信息安全定義..........................................................................................................................................3
信息安全方針..........................................................................................................................................3
安全管理機構..........................................................................................................................................3
4.1 信息安全管理委員會......................................................................................................................................3
職責.........................................................................................................................................................4
信息安全管理體系實施框架...................................................................................................................4
重要原則、標準和符合性要求................................................................................................................5
評審.........................................................................................................................................................5
目的和 適用 范圍 信息安全管理體系方針指明了 XXX 信息化服務中心的信息安全目標和方向,并可以確保信息安全管理體系被充分理解和貫徹實施。為明確信息安全管理體系方針,特制定本文件。此外,本文件還描述了 XXX 信息化服務中心的信息安全管理體系的范圍。
本文件適用于 XXX 信息化服務中心信息安全管理體系涉及的所有人員和組織的全部重要信息資產及過程。信息安全定義 信息安全是指保證信息的保密性、完整性、可用性;另外也可包括諸如真實性、可核查性、不可否認性和可靠性等特性。
信息是對 XXX 信息化服務中心業務至關重要的一種資產,因此需要加以適當的保護。在業務環境互連日益增加的情況下這一點顯得尤為重要。信息安全可防止信息受到各種威脅,以確保業務連續性,是業務風險最小化,投資回報和商業機遇最大化。信息安全方針 XXX 信息化服務中心信息安全方針為:統一規劃建設、全面綜合防御、技術管理并重、保障運營安全。安全管理機構 根據 ISO/IEC 27001:2005 的要求,為了確保信息安全工作有一個明確的方向和獲得可見的管理者支持,XXX 信息化服務中心設立以下信息安全管理機構。
4.1 信息安全管理委員會 信息安全管理委員會是 XXX 信息化服務中心信息安全管理工作的最高領導機構,承擔以下方面的工作:
1)審批信息安全方針和總體職責; 2)審批信息安全的特殊方法和過程,如風險評估等; 3)審批加強信息安全的重大舉措; 4)提供所需要的足夠的資源; 5)協調本 ISMS 和 XXX 信息化服務中心其他規章制度之間的關系。
信息安全委員會主席由 XXX 信息化服務中心負責人擔任,常務副主席由 XXX 信息化服務中心任命(管理者代表);信息安全管理委員會由相關部門的信息安全員組成。信息安全管理委員會主要工作為:在信息安全管理委員會主席/副主席的領導下,負責 XXX 信息化服務中心日常信息安全的管理與監督活動,并對相關部門提供指導和對需要培訓的員工進行培訓。
圖-信息安全管理委員會組織機構框架圖 5 職責(1)領導職責 XXX 信息化服務中心領導應具有以下方面的職責:
? 制定信息安全方針; ? 向 XXX 信息化服務中心員工傳達滿足信息安全目標和符合信息安全方針、法律法規要求的重要性; ? 主持 ISMS 的管理評審; ? 提供開發、實施、運行和維護 ISMS 所需的足夠的資源; ? 決定可接受的風險級別。
(2)員工職責 ? 每一位員工或使用本 XXX 信息化服務中心信息的人員都要遵守本方針,都有保護XXX 信息化服務中心信息資產、系統和基礎設施安全的職責。
? 每一位員工都應采取適當的措施(包括設置密碼),保護其所負責的所有形式的機密信息在管理、使用、存儲、處理和傳輸中的安全。
? 員工外出工作需要攜帶設備時,必須獲得相關領導者的批準,并應采取相應的保護措施,防止丟失,防止損毀,確保信息安全。如:設備必須設置密碼、不留在公共場所無人看管、不暴露于強電磁場等。
? 任何員工都有義務向其直接領導或信息安全管理委員會報告可能會危及密級信息安全的任何活動、行為和提出改進建議。
(3)使用者職責 這里所說的使用者是指訪問本 XXX 信息化服務中心密級信息的人員。
? 使用者必須獲得授權、了解該信息的安全要求,并采取相應的安全保護措施。
? 如果已授權的使用者不了解其所要訪問的信息的安全要求,那么他必須對該信息提供最高極限的保護。
? 使用者應小心保護其訪問信息的密碼、物理鑰匙和ID卡,一旦發生密碼泄露或鑰匙、ID 卡丟失,應立即向其直接領導報告并承擔相應責任。信息安全管理體系實施框架
XXX 信息化服務中心要根據所要實現的信息安全目標選取適當的風險評估方法,并制定風險評估程序以持續適用于 XXX 信息化服務中心的信息安全管理體系。
信息安全風險在被識別后,應進行分析和評價,根據其結果,選取合適的控制措施,以滿足風險評估和風險處理過程中所識別的需求。控制措施的選擇還應考慮可接受風險的準則以及法律法規和合同要求。
本 XXX 信息化服務中心風險接受準則是:如果降低風險所付出的成本大于風險所造成的損失,則選擇接受風險。
可接受的風險級別為:按照 XXX 信息化服務中心所采取的風險評估方法,風險共分 4級,可接受風險級別為低風險和一般風險,或者管理者批準接受的風險;較高風險和高風險不能接受。重要原則、標準和符合性要求 ? 法律法規和合同要求的符合性 XXX 信息化服務中心在建立和管理信息安全管理體系時,必須符合相關法律法規和合同的要求。
? 安全教育、培訓和意識要求 所有分配有信息職責的人員必須具備執行所要求任務的能力,因此 XXX 信息化服務中心要確定這些人員所必要的能力,提供能力培訓,必要時,可聘用有能力的人員以滿足這些需求。同時要評價所提供的培訓和所采取的措施的有效性,保持教育、培訓、技能、經歷和資格的記錄。另外,XXX 信息化服務中心還要確保所有相關人員意識到其信息安全活動的適當性和重要性,以及如何為達到信息安全管理體系目標做出貢獻。
? 業務持續性管理 為防止 XXX 信息化服務中心業務活動中斷,保護關鍵業務過程免受重大失誤或災難的影響,以及確保它們的及時恢復,業務持續性管理計劃必須考慮信息和信息安全的需求,對能引起業務流程中斷的事態進行識別,連同這種中斷發生的概率和影響,以及它們對信息安全的后果也要進行識別,確保在關鍵業務過程中斷或失敗后能夠在要求的水平和要求的時間內恢復信息的可用性。評審 此文件需要在 12 個月內定期通過管理評審等方式進行一次評審,當信息安全管理體系發生重大變化時,也應評審并根據評審結果適時更新,以維持其持續適用性。
第三篇:信息安全工作總體方針和安全策略
1.總體目標
以滿足業務運行要求,遵守行業規程,實施等級保護及風險管理,確保信息安全以及實現持續改進的目的等內容作為本單位信息安全工作的總體方針。以信息網絡的硬件、軟件及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,信息服務不中斷為總體目標。
2.范圍
本案適用于某單位信息安全整體工作。在全單位范圍內給予執行,由某部門對該項工作的落實和執行進行監督,由某部門配合某部門對本案的有效性進行持續改進。
3.原則
以誰主管誰負責為原則(或者采用其他原則例如:“整體保護原則”、“適度保護的等級化原則”、“分域保護原則”、“動態保護原則”、“多級保護原則”、“深度保護原則”和“信息流向原則”等)。
4.策略框架
建立一套關于物理、主機、網絡、應用、數據、建設和管理等六個方面的安全需求、控制措施及執行程序,并在關聯制度文檔中定義出相關的安全角色,并對其賦予管理職責。“以人為本”,通過對信息安全工作人員的安全意識培訓等方法不斷加強系統分布的合理性和有效性。4.1 物理方面
依據實際情況建立機房管理制度,明確機房的出入管理辦法,機房介質存放方式,機房設備維護周期及維護方式,機房設備信息保密要求,機房溫濕度控制
方式等等環境要求。通過明確機房責任人、建立機房管理相關辦法、對維護和出入等過程建立記錄等方式對機房安全進行保護。4.2網絡方面
從技術角度實現網絡的合理分布、網絡設備的實施監控、網絡訪問策略的統一規劃、網絡安全掃描以及對網絡配置文件等必要信息進行定期備份。從管理角度明確網絡各個區域的安全責任人,建立網絡維護方面相關操作辦法并由某人或某部門監督執行看,確保各信息系統網絡運行情況穩定、可靠、正常的運行。4.3主機方面
要求各類主機操作系統和數據庫系統在滿足各類業務系統的正常運行條件下,建立系統訪問控制辦法、劃分系統使用權限、安裝惡意代碼防范軟件并對惡意代碼的檢查過程進行記錄。明確各類主機的責任人,對主機關鍵信息進行定期備份。4.4應用方面
從技術角度實現應用系統的操作可控、訪問可控、通信可控。從管理角度實現各類控制辦法的有效執行,建立完善的維護操作規程以及明確定期備份內容。4.5數據方面
對本單位或本部門的各類業務數據、設備配置信息、總體規劃信息等等關鍵數據建立維護辦法,并由某部門或某人監督、執行。通過匯報或存儲方式實現關鍵數據的安全傳輸、存儲和使用。4.6
建設和管理方面 4.6.1 信息安全管理機制
成立信息安全管理主要機構或部門,設立安全主管等主要安全角色,依據信
息安全等級保護三級標準(要求),建立信息系統的整體管理辦法。4.6.2 信息安全管理組織
分別建立安全管理崗位和機構的職責文件,對機構和人員的職責進行明確。建立信息發布、變更、審批等流程和制度類文件,增強制度的有效性。建立安全審核和檢查的相關制度及報告方式。4.6.3 人員安全管理要求
對人員的錄用、離崗、考核、培訓、安全意識教育等方面應通過制度和操作程序進行明確。
4.6.4 信息安全等級保護工作及風險評估要求
定期對已備案的信息系統進行等級保護測評,以保證信息系統運行風險維持在較低水平,不斷增強系統的穩定性和安全性。4.6.5 報告安全事件要求
對突發安全事件建立應急預案管理制度和相關操作辦法,并定期組織人員進行演練,以保證信息系統在面臨突發事件時能夠在較短時間內恢復正常的使用。4.6.6 業務持續性要求
根據對系統的等級測評、風險評估等間接問題挖掘,及時改進信息系統的各類弊端,包括業務弊端,應建立相關改進措施或改進辦法,以保證對信息系統的業務持續性要求。
4.6.7 違反信息安全要求的懲罰
建立懲處辦法,對違反信息安全總體方針、安全策略的、程序流程和管理措施的人員,依照問題的嚴重性進行懲罰。
5.相關文件
5.1 《信息安全各部門安全需求及控制措施》 5.2 《信息安全各部門安全工作執行程序》 5.3 《機房安全管理制度》 5.4 《網絡安全管理制度》 5.5 《系統安全管理制度》 5.6 《設備操作規程》 5.7 《崗位職責文件》
5.8 《信息安全管理機構組成文件》 5.9 《人事管理制度》/《員工手冊》 5.10 5.11 《應急預案管理制度》
《信息安全等級保護測評報告》/《信息安全風險評估報告》
第四篇:01 信息安全總體方針和安全策略指引
XXX公司
信息安全總體方針和安全策略指引
第一章總則
第一條為了進一步深入貫徹落實國家政策文件要求,加強公司信息安全管理工作,切實提高公司信息系統安全保障能力,特制定本指引。第二條本指引適合于公司。
第三條公司信息安全管理遵循如下原則:
(一)主要領導負責原則:公司主要領導負責信息安全管理工作,統籌規劃信息安全管理目標和策略,建立信息安全保障隊伍并合理配置資源;
(二)全員參與原則:公司全員參與信息系統的安全管理工作,將信息安全與本職工作相結合,相互協同工作,認真落實信息安全管理要求,共同保障信息系統安全;
(三)合規性原則:信息安全管理制度遵循國際信息安全管理標準,以國家信息安全法律、法規、標準、規范為根本依據,全面符合相關主管部門和公司的各類要求。
(四)監督制約原則:信息系統安全管理組織結構、組織職責、崗位職責、工作流程層面、執行層面建立相互監督制約機制,降低因缺乏約束而產生的安全風險。
(五)規范化原則:通過建立規范化的工作流程,在執行層面對信息系統安全工作進行合理控制,降低由于工作隨意性而產生的安全風險,同時提升信息安全管理制度的可操作性。
(六)持續改進原則:通過不斷的持續改進,每年組織公司管理層對制度的全面性、適用性和有效性進行論證和審定,并進行版本修訂。第四條本指引適用于公司全體人員。
第二章信息安全保障框架及目標
第五條參照國內外相關標準,并結合公司已有網絡與信息安全體系建設的實際情況,最終形成依托于安全保護對象為基礎,縱向建立安全管理體系、安全技術體系、安全運行體系和安全管理中心的“三個體系,一個中心,三重防護”的安全保障體系框架。
(一)“三個體系”:信息安全管理體系、信息安全技術體系和信息安全運行體系,把信息安全標準的控制點和公司實際情況相結合形成相適應的體系結構框架;
(二)“一個中心”:信息安全管理中心,實現“自動、平臺化”的安全工作管理、統一技術管理和安全運維管理;
(三)“三重防護”:安全計算環境防護措施、安全區域邊界防護措施和安全網絡通信防護措施,把安全技術控制措施與安全保護對象相結合。
第六條公司安全保障框架:
(一)安全管理體系:信息安全管理體系重點落實安全管理制度、安全管理機構和人員安全管理的相關控制要求,并結合公司的實際情況形成符合行業和國家信息安全標準的信息安全管理體系框架。(二)安全技術體系:通過安全技術在物理、網絡、主機、應用和數據各個層面的實施,建立與公司實際情況相結合的安全技術體系。同時與“安全計算環境、安全區域邊界和安全網絡通信”的保護對象相作用,形成依托于保護對象的安全技術體系控制措施。
(三)安全運行體系:信息安全運行體系重點落實系統建設管理和系統運維管理的相關控制要求,并與公司實際情況相結合,形成符合行業和國家信息安全標準的信息安全運行體系框架。
(四)安全管理中心:根據信息安全相關要求和安全設計技術要求的相關內容,信息安全管理中心通過“自動、平臺化”的方式,對信息安全管理體系、信息安全技術體系以及信息安全運行體系的相關控制內容,結合公司的實際情況加以落實。
第七條公司信息安全總體目標是:依照業務信息系統的實際情況和現實問題為基礎,參照國內、國際的安全標準和規范,充分利用成熟的信息安全理論成果,設計出整體性好、可操作性強,并且融組織、管理和技術為一體的設計方案,達到行業和國家信息安全標準的要求。
第三章安全策略
第八條建立信息安全領導小組,負責組織、落實國家信息安全相關政策、法規和標準要求,審核并制定公司信息安全的發展戰略、規劃、政策和管理制度,落實《公司信息安全組織及職責管理辦法》。第九條保持與國家信息安全主管機構、監管機構、上級主管單位和支撐企業信息安全建設、運營單位的聯絡,制定完整的《公司常用信息安全組織機構信息表》,確保與外部機構的溝通暢通。
第十條加強公司內部人員在錄用前、工作期間、調崗和離崗的人員安全管理,確保公司內部人員的背景、身份、專業資格和職能權限的安全性,要求信息安全人員簽署保密協議,落實《公司內部人員信息安全管理辦法》。
第十一條加強外部人員的安全管理,防范外部人員帶來的安全風險,規范外部人員在公司各項與信息系統相關的活動所要遵守的行為準則,嚴格落實《公司外部人員信息安全管理辦法》。
第十二條 每年組織開展全員信息安全教育或培訓,提升公司全員的信息安全意識,確保公司信息安全目標和策略能夠得到必要的宣貫。第十三條 建立信息安全管理制度制定、發布、審核和修訂的管理要求,并滿足國家法律、政策和規范的要求,確保信息安全管理制度持續改進,落實《公司信息安全制度管理辦法》。
第十四條 確保信息化建設的項目立項、設計、實施、驗收等各個環節與信息安全管理控制機制的有機結合,實現項目工程管理過程和內容安全可控,嚴格執行《公司信息系統建設安全管理辦法》。第十五條 加強公司信息系統的物理環境和設施的信息安全規范性管理工作,確保物理環境、設施設備和進出訪問控制安全,落實《公司機房環境安全管理辦法》和《公司辦公環境信息安全管理辦法》。第十六條 加強對公司信息資產的安全管理,建立統一的信息資產分類、責任、授權和配置管理,明確公司硬件資產、軟件資產和數據資產的信息安全管理工作,落實《公司信息資產安全管理辦法》。第十七條 加強信息資產的運行維護管理工作,對系統的工作環境、安全運行、策略進行定期檢查,記錄信息系統運行的日志及狀態,定期對信息資產進行清點,確保各系統的正常運行,落實《公司信息安全運行維護管理辦法》。
第十八條 加強信息系統運行維護過程中的變更管理,確保公司信息系統的可核查性和可追溯性,合理控制信息系統變更產生的信息安全風險,結合日常信息系統的運行有關管理辦法,落實《公司信息系統變更管理辦法》。
第十九條 加強對信息安全事件的監控和管理,建立應急事件的報告、協調、處理機制。制定重要信息系統的應急響應預案,并進行演練和定期更新,確保信息系統的連續穩定運行,落實《公司應急管理辦法》和《公司信息安全分類應急預案》。
第二十條 對磁帶、磁盤、磁盤陣列、光盤、硬盤、紙質等各類移動存儲介質進行的所有安全管理活動進行管理,介質使用必須要有授權,保證介質使用的安全。落實《公司介質安全管理辦法》。第二十一條為規范管理員對網絡設備的訪問及操作行為,降低由于口令強度不夠和設置不完善等造成的安全隱患和風險,應加強各信息系統的口令管理,落實《公司密碼管理辦法》。
第二十二條加強對網絡系統的設計、規劃、變更審批和運維監督,定期對網絡中的系統進行漏洞掃描,對重要網段進行保護,落實《公司網絡安全管理辦法》。
第二十三條規范系統的使用,對系統的賬戶權限進行有效控制,及時的更新系統的補丁,有效的保護系統中的文件,對重要系統的文件進行保護,落實《公司系統安全管理辦法》。第二十四條定期對網絡中的應用系統、數據庫進行備份,實現異地備份的方式,同時每年需要進行一次數據恢復演練,數據的保存周期至少為五年,合理的根據情況進行調整備份時間,落實《公司信息備份與恢復管理制度》。
第四章獎懲
第二十五條對長期認真貫徹公司信息安全管理辦法,并因此而取得較好成績的組織和個人給予必要的鼓勵、宣傳和獎勵。
第二十六條對違反公司信息安全管理辦法的組織、人員,根據其對公司造成的損害程度,給予必要的批評教育、通報批評、經濟處罰、行政處分等懲罰;構成犯罪的,移交司法機關依法處理。
第五章附則
第二十七條 本指引由公司信息安全工作組制定,并負責解釋和修訂。
第二十八條本指引自發布之日起執行。
第五篇:信息安全總體策略
X XXX 信息化服務中心
信息安全 總體 策略
項目名稱
XXX 安全運維服務項目 客戶名稱
XXX 信息化服務中心 實施地點
XXX 信息化服務中心 實施單位
XXX 信息技術有限 實施時間
XXX 年 7 月 20 日星期五
文檔修訂情況
版本 修訂記錄 日期 修訂 審核 批準 v1.0 制作文檔 XXX-07-17
目錄
物理安全策略..........................................................................................................................................3
網 網 XXX 全策略.........................................................................................................................................3
系統安全策略..........................................................................................................................................4
病毒管理策略..........................................................................................................................................4
身份認證策略..........................................................................................................................................5
用戶授權與訪問控制策略.......................................................................................................................5
數據加密策略..........................................................................................................................................5
數據備份與災難恢復..............................................................................................................................6
應急響應策略..........................................................................................................................................6
安全教育策略......................................................................................................................................7
物理安全策略 ? 計算機機房的建設必須遵循國家在計算機機房場地選擇、環境安全、布線施工方面的標準,保證物理環境安全。
? 關鍵應用系統的服務器主機和前置機服務器、主要的網絡設備必須放置于計算機機房內部的適當位置,通過物理訪問控制機制,保證這些設備自身的安全性。
? 應當建立人員出入訪問控制機制,嚴格控制人員出入計算機機房和其它重要安全區域,訪問控制機制還需要能夠提供審計功能,便于檢查和分析。
? 應當指定專門的部門和人員,負責計算機機房的建設和管理工作,建立 24 小時值班制度。
? 建立計算機機房管理制度,對設備安全管理、介質安全管理、人員出入訪問控制管理等做出詳細的規定。
? 管理機構應當定期對計算機機房各項安全措施和安全管理制度的有效性和實施狀況進行檢查,發現問題,進行改進。網 網 絡安 全策略 ? 必須對網絡和信息系統進行安全域劃分,建立隔離保護機制,并且在各安全域之間建立訪問控制機制,杜絕發生未授權的非法訪問現象,特別的,必須對生產網和辦公網進行劃分和隔離。
? 應當部署網絡管理體系,管理網絡資源和設備,實施監控網絡系統的運行狀態,降低網絡故障帶來的安全風險。
? 應當對關鍵的通信線路、網絡設備提供冗余設計,防止關鍵線路和設備的單點故障造成通信服務中斷。
? 應當在各安全域的邊界,綜合部署網 XXX 全訪問措施,包括防火墻、入侵檢測、VPN,建立多層次的,立體的網 XXX 全防護體系。
? 應當建立網絡弱點分析機制,發現和彌補網絡中存在的安全漏洞,及時進行自我完善。
? 應當建立遠程訪問機制,實現安全的遠程辦公和移動辦公。
? 應當指定專門的部門和人員,負責網 XXX 全系統的規劃、建設、管理維護。
? 應當建立網 XXX 全系統的建設標準和相關的運營維護管理規范,在范圍內指導實際的系統建設和維護管理。
? 管理機構應當定期對網 XXX 全措施和安全管理制度的有效性和實施狀況進行檢查,發現問題,進行改進。系統安全策略 ? 應當對關鍵服務器主機設備提供冗余設計,防止單點故障造成網絡服務中斷。
? 應當建立主機弱點分析機制,發現和彌補系統軟件中存在的不當配置和安全漏洞,及時進行自我完善。
? 應當建立主機系統軟件版本維護機制,及時升級系統版本和補丁程序版本,保持系統軟件的最新狀態。
? 應當建立主機系統軟件備份和恢復機制,在災難事件發生之后,能夠快速實現系統恢復。
? 可以建立主機入侵檢測機制,發現主機系統中的異常操作行為,以及對主機發起的攻擊行為,并及時向管理員報警。
? 應當指定專門的部門和人員,負責主機系統的管理維護。
? 應當建立主機系統管理規范,包括系統軟件版本管理、主機弱點分析、主機審計日志檢查和分析、以及系統軟件的備份和恢復等內容。
? 應當建立桌面系統使用管理規范,約束和指導用戶使用桌面系統,并對其進行正確有效的配置和管理。
? 管理機構應當定期對各項系統安全管理制度的有效性和實施狀況進行檢查,發現問題,進行改進。病毒管理策略 ? 應當建立全面網絡病毒查殺機制,實現 XXX 信息化服務中心全網范圍內的病毒防治,抑止病毒的傳播。
? 所有內部網絡上的計算機在聯入內部網絡之前,都應當安裝和配置殺毒軟件,并且通過管理中心進行更新,任何用戶不能禁用病毒掃描和查殺功能。
? 所有內部網絡上的計算機系統都應當定期進行完整的系統掃描。
? 從外部介質安裝數據和程序之前,或安裝下載的數據和程序之前,必須對其進行病毒掃描,以防止存在病毒感染操作系統和應用程序。
? 第三方數據和程序在安裝到內部網絡的系統之前,必須在隔離受控的模擬系統上進行病毒掃描測試。
? 任何內部用戶不能故意制造、執行、傳播、或引入任何可以自我復制、破壞或者影響計算機內存、存儲介質、操作系統、應用程序的計算機代碼
? 應當指定專門的部門和人員,負責網絡病毒防治系統的管理維護。
? 應當建立網絡病毒防治系統的管理規范,有效發揮病毒防治系統的安全效能。
? 應當建立桌面系統病毒防治管理規范,約束和指導用戶在桌面系統上的操作行為,以及對殺毒軟件的配置和管理,達到保護桌面系統、抑止病毒傳播的目的。
? 管理機構應當定期對與病毒查殺有關安全管理制度的有效性和實施狀況進行檢查,發現問題,進行改進。身份認證策略 ? 應當在范圍內建立統一的用戶身份管理基礎設施,向應用系統提供集中的用戶身份認證服務。
? 應當選擇安全性高,投入收益比率較好,易管理維護的身份認證技術,建立身份管理基礎設施。
? 每個內部員工具有范圍內唯一的身份標識,用戶在訪問應用系統之前,必須提交身份標識,并對其進行認證;員工離職時,要撤銷其在信息系統內部的合法身份。
? 應當對現有的應用系統進行技術改造,使用身份管理基礎設施的安全服務。
? 應當建立專門的部門和崗位,負責用戶身份的管理,以及身份管理基礎設施的建設、運行、維護。
? 應當在范圍內建立用戶標識管理規范,對用戶標識格式,產生和撤銷流程進行統一規定。用戶授權與訪問控制策略 ? 應當依托身份認證基礎設施,將集中管理與分布式管理有機結合起來,建立分級的用戶授權與訪問控制管理機制。
? 每個內部員工在信息系統內部的操作行為必須被限定在合法授權的范圍之內;員工離職時,要撤銷其在信息系統內部的所有訪問權限。
? 應當對現有的應用系統進行技術改造,使用授權與訪問控制系統提供的安全服務。
? 應當建立專門崗位,負責用戶權限管理,以及授權和訪問控制系統的建設、運行、維護。
? 應當在范圍內,建立包括用戶權限的授予和撤銷在內的一整套管理流程和制度。數據加密策略 ? 加密技術的采用和加密機制的建立,應該符合國家有關的法律和規定。
? 應當建立內部信息系統的密級分級標準,判定信息系統在消息傳輸和數據存儲過程中,是否需要采用加密機制。
? 應當建立密鑰管理體制,保證密鑰在產生、使用、存儲、傳輸等環節中的安全性。
? 加密機制應當使用國際標準的密碼算法,或者國內通過密碼管理委員會審批的專用算法,其中對稱密碼算法的密鑰長度不得低于 128 比特,公鑰密碼算法的密鑰長度不得低于 1024 比特。
? 應當在物理上保證所有的硬件加密設備和軟件加密程序,以及存儲涉密數據的介質載體的安全。
? 應當指定專門的管理機構,負責本策略的維護,監督本策略的實施。
? 任何內部信息系統,都需要向管理機構提出申請,經管理機構審批,獲得授權后,才能夠使用加密機制。禁止任何內部信息系統和人員,在未授權的情況下,使用任何加密機制。
? 管理機構應當每年對加密算法的選擇范圍和密鑰長度的最低要求進行一次復審和評估,使得本策略與加密技術的發展相適應。數據備份與災難恢復 ? 在業務系統主要應用服務器中采用硬件冗余技術,避免硬件的單點故障導致服務中斷。
? 綜合考慮性能和管理等因素,采用先進的系統和數據備份技術,在范圍內建立統一的系統和數據備份機制,防止數據出現邏輯損壞。
? 對業務系統采取適當的異地備份機制,使得數據備份計劃具備一定的容災能力。
? 建立災難恢復計劃,提供災難恢復手段,在災難事件發生之后,快速對被破壞的信息系統進行恢復。
? 應當建立專門崗位,負責用戶權限管理,以及授權和訪問控制系統的建設、運行、維護。
? 建立日常數據備份管理制度,對備份周期和介質保管進行統一規定。
? 建立災難恢復計劃,對人員進行災難恢復培訓,定期進行災難恢復的模擬演練。應急響應策略 ? 應當建立應急響應中心,配置專門崗位,負責制定范圍內的信息安全策略、完成計算機網絡和系統安全事件的緊急響應、及時發布安全漏洞和補丁修補程序等安全公告、進行安全系統審計數據分析、以及提供安全教育和培訓。
? 應當制定詳細的安全事件的應急響應計劃,包括安全事件的檢測、報告、分析、追查、和系統恢復等內容。安全教育策略 ? 應該建立專門的機構和崗位,負責安全教育與培訓計劃的制定和執行 ? 應當制定詳細的安全教育和培訓計劃,對信息安全技術和管理相關人員進行安全專業知識和技能培訓,對普通用戶進行安全基礎知識、安全策略和管理制度培訓,提高人員的整體安全意識和安全操作水平。
? 管理機構應當定期對安全教育和培訓的成果進行抽查和考核,檢驗安全教育和培訓活動的效果。
點擊咨詢 