第一篇：01 信息安全總體方針和安全策略指引

XXX公司

信息安全總體方針和安全策略指引

第一章總則

第一條為了進一步深入貫徹落實國家政策文件要求，加強公司信息安全管理工作，切實提高公司信息系統(tǒng)安全保障能力，特制定本指引。第二條本指引適合于公司。

第三條公司信息安全管理遵循如下原則：

(一)主要領(lǐng)導(dǎo)負(fù)責(zé)原則：公司主要領(lǐng)導(dǎo)負(fù)責(zé)信息安全管理工作，統(tǒng)籌規(guī)劃信息安全管理目標(biāo)和策略，建立信息安全保障隊伍并合理配置資源；

(二)全員參與原則：公司全員參與信息系統(tǒng)的安全管理工作，將信息安全與本職工作相結(jié)合，相互協(xié)同工作，認(rèn)真落實信息安全管理要求，共同保障信息系統(tǒng)安全；

(三)合規(guī)性原則：信息安全管理制度遵循國際信息安全管理標(biāo)準(zhǔn)，以國家信息安全法律、法規(guī)、標(biāo)準(zhǔn)、規(guī)范為根本依據(jù)，全面符合相關(guān)主管部門和公司的各類要求。

(四)監(jiān)督制約原則：信息系統(tǒng)安全管理組織結(jié)構(gòu)、組織職責(zé)、崗位職責(zé)、工作流程層面、執(zhí)行層面建立相互監(jiān)督制約機制，降低因缺乏約束而產(chǎn)生的安全風(fēng)險。

(五)規(guī)范化原則：通過建立規(guī)范化的工作流程，在執(zhí)行層面對信息系統(tǒng)安全工作進行合理控制，降低由于工作隨意性而產(chǎn)生的安全風(fēng)險，同時提升信息安全管理制度的可操作性。

(六)持續(xù)改進原則：通過不斷的持續(xù)改進，每年組織公司管理層對制度的全面性、適用性和有效性進行論證和審定，并進行版本修訂。第四條本指引適用于公司全體人員。

第二章信息安全保障框架及目標(biāo)

第五條參照國內(nèi)外相關(guān)標(biāo)準(zhǔn)，并結(jié)合公司已有網(wǎng)絡(luò)與信息安全體系建設(shè)的實際情況，最終形成依托于安全保護對象為基礎(chǔ)，縱向建立安全管理體系、安全技術(shù)體系、安全運行體系和安全管理中心的“三個體系，一個中心，三重防護”的安全保障體系框架。

(一)“三個體系”：信息安全管理體系、信息安全技術(shù)體系和信息安全運行體系，把信息安全標(biāo)準(zhǔn)的控制點和公司實際情況相結(jié)合形成相適應(yīng)的體系結(jié)構(gòu)框架；

(二)“一個中心”：信息安全管理中心，實現(xiàn)“自動、平臺化”的安全工作管理、統(tǒng)一技術(shù)管理和安全運維管理；

(三)“三重防護”：安全計算環(huán)境防護措施、安全區(qū)域邊界防護措施和安全網(wǎng)絡(luò)通信防護措施，把安全技術(shù)控制措施與安全保護對象相結(jié)合。

第六條公司安全保障框架：

(一)安全管理體系：信息安全管理體系重點落實安全管理制度、安全管理機構(gòu)和人員安全管理的相關(guān)控制要求，并結(jié)合公司的實際情況形成符合行業(yè)和國家信息安全標(biāo)準(zhǔn)的信息安全管理體系框架。(二)安全技術(shù)體系：通過安全技術(shù)在物理、網(wǎng)絡(luò)、主機、應(yīng)用和數(shù)據(jù)各個層面的實施，建立與公司實際情況相結(jié)合的安全技術(shù)體系。同時與“安全計算環(huán)境、安全區(qū)域邊界和安全網(wǎng)絡(luò)通信”的保護對象相作用，形成依托于保護對象的安全技術(shù)體系控制措施。

(三)安全運行體系：信息安全運行體系重點落實系統(tǒng)建設(shè)管理和系統(tǒng)運維管理的相關(guān)控制要求，并與公司實際情況相結(jié)合，形成符合行業(yè)和國家信息安全標(biāo)準(zhǔn)的信息安全運行體系框架。

(四)安全管理中心：根據(jù)信息安全相關(guān)要求和安全設(shè)計技術(shù)要求的相關(guān)內(nèi)容，信息安全管理中心通過“自動、平臺化”的方式，對信息安全管理體系、信息安全技術(shù)體系以及信息安全運行體系的相關(guān)控制內(nèi)容，結(jié)合公司的實際情況加以落實。

第七條公司信息安全總體目標(biāo)是：依照業(yè)務(wù)信息系統(tǒng)的實際情況和現(xiàn)實問題為基礎(chǔ)，參照國內(nèi)、國際的安全標(biāo)準(zhǔn)和規(guī)范，充分利用成熟的信息安全理論成果，設(shè)計出整體性好、可操作性強，并且融組織、管理和技術(shù)為一體的設(shè)計方案，達(dá)到行業(yè)和國家信息安全標(biāo)準(zhǔn)的要求。

第三章安全策略

第八條建立信息安全領(lǐng)導(dǎo)小組，負(fù)責(zé)組織、落實國家信息安全相關(guān)政策、法規(guī)和標(biāo)準(zhǔn)要求，審核并制定公司信息安全的發(fā)展戰(zhàn)略、規(guī)劃、政策和管理制度，落實《公司信息安全組織及職責(zé)管理辦法》。第九條保持與國家信息安全主管機構(gòu)、監(jiān)管機構(gòu)、上級主管單位和支撐企業(yè)信息安全建設(shè)、運營單位的聯(lián)絡(luò)，制定完整的《公司常用信息安全組織機構(gòu)信息表》，確保與外部機構(gòu)的溝通暢通。

第十條加強公司內(nèi)部人員在錄用前、工作期間、調(diào)崗和離崗的人員安全管理，確保公司內(nèi)部人員的背景、身份、專業(yè)資格和職能權(quán)限的安全性，要求信息安全人員簽署保密協(xié)議，落實《公司內(nèi)部人員信息安全管理辦法》。

第十一條加強外部人員的安全管理，防范外部人員帶來的安全風(fēng)險，規(guī)范外部人員在公司各項與信息系統(tǒng)相關(guān)的活動所要遵守的行為準(zhǔn)則，嚴(yán)格落實《公司外部人員信息安全管理辦法》。

第十二條 每年組織開展全員信息安全教育或培訓(xùn)，提升公司全員的信息安全意識，確保公司信息安全目標(biāo)和策略能夠得到必要的宣貫。第十三條 建立信息安全管理制度制定、發(fā)布、審核和修訂的管理要求，并滿足國家法律、政策和規(guī)范的要求，確保信息安全管理制度持續(xù)改進，落實《公司信息安全制度管理辦法》。

第十四條 確保信息化建設(shè)的項目立項、設(shè)計、實施、驗收等各個環(huán)節(jié)與信息安全管理控制機制的有機結(jié)合，實現(xiàn)項目工程管理過程和內(nèi)容安全可控，嚴(yán)格執(zhí)行《公司信息系統(tǒng)建設(shè)安全管理辦法》。第十五條 加強公司信息系統(tǒng)的物理環(huán)境和設(shè)施的信息安全規(guī)范性管理工作，確保物理環(huán)境、設(shè)施設(shè)備和進出訪問控制安全，落實《公司機房環(huán)境安全管理辦法》和《公司辦公環(huán)境信息安全管理辦法》。第十六條 加強對公司信息資產(chǎn)的安全管理，建立統(tǒng)一的信息資產(chǎn)分類、責(zé)任、授權(quán)和配置管理，明確公司硬件資產(chǎn)、軟件資產(chǎn)和數(shù)據(jù)資產(chǎn)的信息安全管理工作，落實《公司信息資產(chǎn)安全管理辦法》。第十七條 加強信息資產(chǎn)的運行維護管理工作，對系統(tǒng)的工作環(huán)境、安全運行、策略進行定期檢查，記錄信息系統(tǒng)運行的日志及狀態(tài)，定期對信息資產(chǎn)進行清點，確保各系統(tǒng)的正常運行，落實《公司信息安全運行維護管理辦法》。

第十八條 加強信息系統(tǒng)運行維護過程中的變更管理，確保公司信息系統(tǒng)的可核查性和可追溯性，合理控制信息系統(tǒng)變更產(chǎn)生的信息安全風(fēng)險，結(jié)合日常信息系統(tǒng)的運行有關(guān)管理辦法，落實《公司信息系統(tǒng)變更管理辦法》。

第十九條 加強對信息安全事件的監(jiān)控和管理，建立應(yīng)急事件的報告、協(xié)調(diào)、處理機制。制定重要信息系統(tǒng)的應(yīng)急響應(yīng)預(yù)案，并進行演練和定期更新，確保信息系統(tǒng)的連續(xù)穩(wěn)定運行，落實《公司應(yīng)急管理辦法》和《公司信息安全分類應(yīng)急預(yù)案》。

第二十條 對磁帶、磁盤、磁盤陣列、光盤、硬盤、紙質(zhì)等各類移動存儲介質(zhì)進行的所有安全管理活動進行管理，介質(zhì)使用必須要有授權(quán)，保證介質(zhì)使用的安全。落實《公司介質(zhì)安全管理辦法》。第二十一條為規(guī)范管理員對網(wǎng)絡(luò)設(shè)備的訪問及操作行為，降低由于口令強度不夠和設(shè)置不完善等造成的安全隱患和風(fēng)險，應(yīng)加強各信息系統(tǒng)的口令管理，落實《公司密碼管理辦法》。

第二十二條加強對網(wǎng)絡(luò)系統(tǒng)的設(shè)計、規(guī)劃、變更審批和運維監(jiān)督，定期對網(wǎng)絡(luò)中的系統(tǒng)進行漏洞掃描，對重要網(wǎng)段進行保護，落實《公司網(wǎng)絡(luò)安全管理辦法》。

第二十三條規(guī)范系統(tǒng)的使用，對系統(tǒng)的賬戶權(quán)限進行有效控制，及時的更新系統(tǒng)的補丁，有效的保護系統(tǒng)中的文件，對重要系統(tǒng)的文件進行保護，落實《公司系統(tǒng)安全管理辦法》。第二十四條定期對網(wǎng)絡(luò)中的應(yīng)用系統(tǒng)、數(shù)據(jù)庫進行備份，實現(xiàn)異地備份的方式，同時每年需要進行一次數(shù)據(jù)恢復(fù)演練，數(shù)據(jù)的保存周期至少為五年，合理的根據(jù)情況進行調(diào)整備份時間，落實《公司信息備份與恢復(fù)管理制度》。

第四章獎懲

第二十五條對長期認(rèn)真貫徹公司信息安全管理辦法，并因此而取得較好成績的組織和個人給予必要的鼓勵、宣傳和獎勵。

第二十六條對違反公司信息安全管理辦法的組織、人員，根據(jù)其對公司造成的損害程度，給予必要的批評教育、通報批評、經(jīng)濟處罰、行政處分等懲罰；構(gòu)成犯罪的，移交司法機關(guān)依法處理。

第五章附則

第二十七條 本指引由公司信息安全工作組制定，并負(fù)責(zé)解釋和修訂。

第二十八條本指引自發(fā)布之日起執(zhí)行。

第二篇：信息安全工作總體方針和安全策略

1.總體目標(biāo)

以滿足業(yè)務(wù)運行要求，遵守行業(yè)規(guī)程，實施等級保護及風(fēng)險管理，確保信息安全以及實現(xiàn)持續(xù)改進的目的等內(nèi)容作為本單位信息安全工作的總體方針。以信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，信息服務(wù)不中斷為總體目標(biāo)。

2.范圍

本案適用于某單位信息安全整體工作。在全單位范圍內(nèi)給予執(zhí)行，由某部門對該項工作的落實和執(zhí)行進行監(jiān)督，由某部門配合某部門對本案的有效性進行持續(xù)改進。

3.原則

以誰主管誰負(fù)責(zé)為原則（或者采用其他原則例如：“整體保護原則”、“適度保護的等級化原則”、“分域保護原則”、“動態(tài)保護原則”、“多級保護原則”、“深度保護原則”和“信息流向原則”等）。

4.策略框架

建立一套關(guān)于物理、主機、網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)、建設(shè)和管理等六個方面的安全需求、控制措施及執(zhí)行程序，并在關(guān)聯(lián)制度文檔中定義出相關(guān)的安全角色，并對其賦予管理職責(zé)?！耙匀藶楸尽保ㄟ^對信息安全工作人員的安全意識培訓(xùn)等方法不斷加強系統(tǒng)分布的合理性和有效性。4.1 物理方面

依據(jù)實際情況建立機房管理制度，明確機房的出入管理辦法，機房介質(zhì)存放方式，機房設(shè)備維護周期及維護方式，機房設(shè)備信息保密要求，機房溫濕度控制

方式等等環(huán)境要求。通過明確機房責(zé)任人、建立機房管理相關(guān)辦法、對維護和出入等過程建立記錄等方式對機房安全進行保護。4.2網(wǎng)絡(luò)方面

從技術(shù)角度實現(xiàn)網(wǎng)絡(luò)的合理分布、網(wǎng)絡(luò)設(shè)備的實施監(jiān)控、網(wǎng)絡(luò)訪問策略的統(tǒng)一規(guī)劃、網(wǎng)絡(luò)安全掃描以及對網(wǎng)絡(luò)配置文件等必要信息進行定期備份。從管理角度明確網(wǎng)絡(luò)各個區(qū)域的安全責(zé)任人，建立網(wǎng)絡(luò)維護方面相關(guān)操作辦法并由某人或某部門監(jiān)督執(zhí)行看，確保各信息系統(tǒng)網(wǎng)絡(luò)運行情況穩(wěn)定、可靠、正常的運行。4.3主機方面

要求各類主機操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)在滿足各類業(yè)務(wù)系統(tǒng)的正常運行條件下，建立系統(tǒng)訪問控制辦法、劃分系統(tǒng)使用權(quán)限、安裝惡意代碼防范軟件并對惡意代碼的檢查過程進行記錄。明確各類主機的責(zé)任人，對主機關(guān)鍵信息進行定期備份。4.4應(yīng)用方面

從技術(shù)角度實現(xiàn)應(yīng)用系統(tǒng)的操作可控、訪問可控、通信可控。從管理角度實現(xiàn)各類控制辦法的有效執(zhí)行，建立完善的維護操作規(guī)程以及明確定期備份內(nèi)容。4.5數(shù)據(jù)方面

對本單位或本部門的各類業(yè)務(wù)數(shù)據(jù)、設(shè)備配置信息、總體規(guī)劃信息等等關(guān)鍵數(shù)據(jù)建立維護辦法，并由某部門或某人監(jiān)督、執(zhí)行。通過匯報或存儲方式實現(xiàn)關(guān)鍵數(shù)據(jù)的安全傳輸、存儲和使用。4.6

建設(shè)和管理方面 4.6.1 信息安全管理機制

成立信息安全管理主要機構(gòu)或部門，設(shè)立安全主管等主要安全角色，依據(jù)信

息安全等級保護三級標(biāo)準(zhǔn)（要求），建立信息系統(tǒng)的整體管理辦法。4.6.2 信息安全管理組織

分別建立安全管理崗位和機構(gòu)的職責(zé)文件，對機構(gòu)和人員的職責(zé)進行明確。建立信息發(fā)布、變更、審批等流程和制度類文件，增強制度的有效性。建立安全審核和檢查的相關(guān)制度及報告方式。4.6.3 人員安全管理要求

對人員的錄用、離崗、考核、培訓(xùn)、安全意識教育等方面應(yīng)通過制度和操作程序進行明確。

4.6.4 信息安全等級保護工作及風(fēng)險評估要求

定期對已備案的信息系統(tǒng)進行等級保護測評，以保證信息系統(tǒng)運行風(fēng)險維持在較低水平，不斷增強系統(tǒng)的穩(wěn)定性和安全性。4.6.5 報告安全事件要求

對突發(fā)安全事件建立應(yīng)急預(yù)案管理制度和相關(guān)操作辦法，并定期組織人員進行演練，以保證信息系統(tǒng)在面臨突發(fā)事件時能夠在較短時間內(nèi)恢復(fù)正常的使用。4.6.6 業(yè)務(wù)持續(xù)性要求

根據(jù)對系統(tǒng)的等級測評、風(fēng)險評估等間接問題挖掘，及時改進信息系統(tǒng)的各類弊端，包括業(yè)務(wù)弊端，應(yīng)建立相關(guān)改進措施或改進辦法，以保證對信息系統(tǒng)的業(yè)務(wù)持續(xù)性要求。

4.6.7 違反信息安全要求的懲罰

建立懲處辦法，對違反信息安全總體方針、安全策略的、程序流程和管理措施的人員，依照問題的嚴(yán)重性進行懲罰。

5.相關(guān)文件

5.1 《信息安全各部門安全需求及控制措施》 5.2 《信息安全各部門安全工作執(zhí)行程序》 5.3 《機房安全管理制度》 5.4 《網(wǎng)絡(luò)安全管理制度》 5.5 《系統(tǒng)安全管理制度》 5.6 《設(shè)備操作規(guī)程》 5.7 《崗位職責(zé)文件》

5.8 《信息安全管理機構(gòu)組成文件》 5.9 《人事管理制度》/《員工手冊》 5.10 5.11 《應(yīng)急預(yù)案管理制度》

《信息安全等級保護測評報告》/《信息安全風(fēng)險評估報告》

第三篇：信息安全工作總體方針

信息安全工作總體方針

第一章 總則

第一條 為加強和規(guī)范省信息中心及直屬直管各單位（以下簡稱“各單位”）信息系統(tǒng)安全工作，提高中心信息系統(tǒng)整體安全防護水平，實現(xiàn)信息安全的可控、能控、在控，依據(jù)國家有關(guān)法律、法規(guī)的要求，制定本文檔。

第二條 本文檔的目的是為中心信息系統(tǒng)安全管理提供一個總體的策略性架構(gòu)文件，該文件將指導(dǎo)中心信息系統(tǒng)的安全管理體系的建立。安全管理體系的建立是為中心信息系統(tǒng)的安全管理工作提供參照，以實現(xiàn)中心統(tǒng)一的安全策略管理，提高整體的網(wǎng)絡(luò)與信息安全水平，確保安全控制措施落實到位，保障網(wǎng)絡(luò)通信暢通和業(yè)務(wù)系統(tǒng)的正常運營。

第三條 本文檔適用于中心以中心下屬各單位信息系統(tǒng)資產(chǎn)和信息技術(shù)人員的安全管理和指導(dǎo)，適用于指導(dǎo)中心信息系統(tǒng)安全策略的制定、安全方案的規(guī)劃和安全建設(shè)的實施，適用于中心安全管理體系中安全管理措施的選擇。

第四條 本辦法所稱信息系統(tǒng)指中心一體化企業(yè)級信息系統(tǒng)，主要包括一體化企業(yè)級信息集成平臺（以下簡稱“一體化平臺”）和八大業(yè)務(wù)應(yīng)用。

“一體化平臺”包含信息網(wǎng)絡(luò)、數(shù)據(jù)交換、數(shù)據(jù)中心、應(yīng)用集成和企業(yè)門戶；“業(yè)務(wù)應(yīng)用”包含財務(wù)（資金）管理、營銷管理、安全生產(chǎn)管理、協(xié)同辦公、人力資源管理、物資管理、項目管理、綜合管理業(yè)務(wù)應(yīng)用。

第五條 引用標(biāo)準(zhǔn)及參考文件

本文檔的編制參照了以下國家、中心的標(biāo)準(zhǔn)和文件：

（一）《中華人民共和國計算機信息系統(tǒng)安全保護條例》

（二）《關(guān)于信息安全等級保護建設(shè)的實施指導(dǎo)意見》（信息運安〔2009〕27 號）

（三）《信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求》（GB/T 22239-2008）

（四）《信息安全技術(shù) 信息系統(tǒng)安全管理要求》（GB/T 20269—2006）

（五）《信息系統(tǒng)等級保護 安全建設(shè)技術(shù)方案設(shè)計要求》（報批稿）

（六）《關(guān)于開展信息安全等級保護安全建設(shè)整改工作的指導(dǎo)意見》（公信安[2009]1429號）

第二章 方針、目標(biāo)和原則

第六條中心信息系統(tǒng)安全堅持“安全第一、預(yù)防為主，管理和技術(shù)并重，綜合防范”的總體方針，實現(xiàn)信息系統(tǒng)安全可控、能控、在控。依照“分區(qū)、分級、分域”總體安全防護策略，執(zhí)行信息系統(tǒng)安全等級保護制度。管理信息網(wǎng)絡(luò)分為信息內(nèi)網(wǎng)和信息外網(wǎng)，實現(xiàn)“雙機雙網(wǎng)”，信息內(nèi)網(wǎng)定位為承載網(wǎng)絡(luò)和內(nèi)部辦公網(wǎng)絡(luò)，信息外網(wǎng)定位為對外業(yè)務(wù)網(wǎng)絡(luò)和訪問互聯(lián)網(wǎng)用戶終端網(wǎng)絡(luò)。信息內(nèi)、外網(wǎng)之間實施強邏輯隔離的措施。

第七條 信息系統(tǒng)安全總體目標(biāo)是確保信息系統(tǒng)持續(xù)、穩(wěn)定、可靠運行和確保信息內(nèi)容的機密性、完整性、可用性，防止因信息系統(tǒng)本身故障導(dǎo)致信息系統(tǒng)不能正常使用和系統(tǒng)崩潰，抵御黑客、病毒、惡意代碼等對信息系統(tǒng)發(fā)起的各類攻擊和破壞，防止信息內(nèi)容及數(shù)據(jù)丟失和失密，防止有害信息在網(wǎng)上傳播，防止中心對外服務(wù)中斷和由此造成的系統(tǒng)運行事故。

第八條 信息安全工作的總體原則

（1）基于安全需求原則

組織機構(gòu)應(yīng)根據(jù)其信息系統(tǒng)擔(dān)負(fù)的使命，積累的信息資產(chǎn)的重要性，可能受到的威脅及面臨的風(fēng)險分析安全需求，按照信息系統(tǒng)等級保護要求確定相應(yīng)的信息系統(tǒng)安全保護等級，遵從相應(yīng)等級的規(guī)范要求，從全局上恰當(dāng)?shù)仄胶獍踩度肱c效果；

（2）主要領(lǐng)導(dǎo)負(fù)責(zé)原則

主要領(lǐng)導(dǎo)應(yīng)確立其組織統(tǒng)一的信息安全保障的宗旨和政策，負(fù)責(zé)提高員工的安全意識，組織有效安全保障隊伍，調(diào)動并優(yōu)化配置必要的資源，協(xié)調(diào)安全管理工作與各部門工作的關(guān)系，并確保其落實、有效；

（3）全員參與原則

信息系統(tǒng)所有相關(guān)人員應(yīng)普遍參與信息系統(tǒng)的安全管理，并與相關(guān)方面協(xié)同、協(xié)調(diào)，共同保障信息系統(tǒng)安全；

（4）系統(tǒng)方法原則

按照系統(tǒng)工程的要求，識別和理解信息安全保障相互關(guān)聯(lián)的層面和過程，采用管理和技術(shù)結(jié)合的方法，提高實現(xiàn)安全保障的目標(biāo)的有效性和效率；

（5）持續(xù)改進原則

安全管理是一種動態(tài)反饋過程，貫穿整個安全管理的生存周期，隨著安全需求和系統(tǒng)脆弱性的時空分布變化，威脅程度的提高，系統(tǒng)環(huán)境的變化以及對系統(tǒng)安全認(rèn)識的深化等，應(yīng)及時地將現(xiàn)有的安全策略、風(fēng)險接受程度和保護措施進行復(fù)查、修改、調(diào)整以至提升安全管理等級，維護和持續(xù)改進信息安全管理體系的有效性；

（6）依法管理原則

信息安全管理工作主要體現(xiàn)為管理行為，應(yīng)保證信息系統(tǒng)安全管理主體合法、管理行為合法、管理內(nèi)容合法、管理程序合法。對安全事件的處理，應(yīng)由授權(quán)者適時發(fā)布準(zhǔn)確一致的有關(guān)信息，避免帶來不良的社會影響；

（7）分權(quán)和授權(quán)原則

對特定職能或責(zé)任領(lǐng)域的管理功能實施分離、獨立審計等實行分權(quán)，避免權(quán)力過分集中所帶來的隱患，以減小未授權(quán)的修改或濫用系統(tǒng)資源的機會。任何實體（如用戶、管理員、進程、應(yīng)用或系統(tǒng)）僅享有該實體需要完成其任務(wù)所必須的權(quán)限，不應(yīng)享有任何多余權(quán)限；

（8）選用成熟技術(shù)原則

成熟的技術(shù)具有較好的可靠性和穩(wěn)定性，采用新技術(shù)時要重視其成熟的程度，并應(yīng)首先局部試點然后逐步推廣，以減少或避免可能出現(xiàn)的失誤；

（9）分級保護原則

按等級劃分標(biāo)準(zhǔn)確定信息系統(tǒng)的安全保護等級，實行分級保護；對多個子系統(tǒng)構(gòu)成的大型信息系統(tǒng)，確定系統(tǒng)的基本安全保護等級，并根據(jù)實際安全需求，分別確定各子系統(tǒng)的安全保護等級，實行多級安全保護；

（10）管理與技術(shù)并重原則

堅持積極防御和綜合防范，全面提高信息系統(tǒng)安全防護能力，立足國情，采用管理與技術(shù)相結(jié)合，管理科學(xué)性和技術(shù)前瞻性結(jié)合的方法，保障信息系統(tǒng)的安全性達(dá)到所要求的目標(biāo)；

（11）自保護和國家監(jiān)管結(jié)合原則

對信息系統(tǒng)安全實行自保護和國家保護相結(jié)合。組織機構(gòu)要對自己的信息系統(tǒng)安全保護負(fù)責(zé)，政府相關(guān)部門有責(zé)任對信息系統(tǒng)的安全進行指導(dǎo)、監(jiān)督和檢查，形成自管、自查、自評和國家監(jiān)管相結(jié)合的管理模式，提高信息系統(tǒng)的安全保護

能力和水平，保障國家信息安全。

第九條 在規(guī)劃和建設(shè)信息系統(tǒng)時，信息系統(tǒng)安全防護措施應(yīng)按照“三 同步”原則，與信息系統(tǒng)建設(shè)同步規(guī)劃、同步建設(shè)、同步投入運行。

第三章 總體安全策略

第十條 物理安全策略

（1）機房和辦公室必須選擇在經(jīng)過防震、防火、防雷擊驗收合格的辦公大樓內(nèi)部，機房的窗戶需要有防雨水滲透的能力；

（2）機房的位置不能是大樓的地下室、一樓房間或是大樓的頂層，機房的正上方不能是用水量大的房間；

（3）機房出入口必須有專人值守，對工作人員進行登記；

（4）進入機房的工作人員必須由安全管理員或機房管理員全程陪同；

（5）機房內(nèi)部必須劃分重要設(shè)備區(qū)、一般設(shè)備區(qū)、過渡區(qū)等區(qū)域，對不同區(qū)域分別進行管理，區(qū)域與區(qū)域之間進行物理隔離；

（6）機房內(nèi)部必須部署基礎(chǔ)防護系統(tǒng)和設(shè)備，如電子門禁系統(tǒng)、監(jiān)控報警系統(tǒng)、防雷設(shè)備、消防滅火系統(tǒng)、防水監(jiān)控系統(tǒng)、溫濕度控制系統(tǒng)、UPS供電系統(tǒng)和電磁屏蔽設(shè)備。

第十一條 網(wǎng)絡(luò)安全策略

（1）網(wǎng)絡(luò)中必須部署路由器、交換機、防火墻、防毒墻、IPS設(shè)備和內(nèi)網(wǎng)網(wǎng)絡(luò)管理、補丁分發(fā)等系統(tǒng)

（2）網(wǎng)絡(luò)設(shè)備除接入交換機之外，必須進行雙機熱備，除接入交換機鏈接工作終端的線路外，其他線路必須進行雙線冗余；

（3）整體網(wǎng)絡(luò)不能出現(xiàn)流量瓶頸，保證帶寬充足；

（4）各部門必須劃分不同網(wǎng)段的IP地址；

（5）劃分網(wǎng)絡(luò)帶寬，突出優(yōu)先級；

（6）網(wǎng)絡(luò)邊界處必須部署防火墻、IPS等安全設(shè)備；

（7）網(wǎng)絡(luò)設(shè)備必須開啟日志審計功能；

第十二條 主機安全策略

（1）登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶必須進行身份標(biāo)識和鑒別；

（2）操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標(biāo)識不能出現(xiàn)同名用戶，口令應(yīng)有復(fù)雜度要求并定期更換；

（3）操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)必須啟用登錄失敗處理功能；

（4）對服務(wù)器進行遠(yuǎn)程管理時，必須采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；

（5）為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性，不能出重名情況；

（6）操作系統(tǒng)和數(shù)據(jù)庫必須及時刪除多余的、過期的賬戶，避免共享賬戶的存在；

（7）主機必須開啟日志審計功能；

（8）主機必須安裝防惡意代碼產(chǎn)品，并進行統(tǒng)一管理；

第十三條 應(yīng)用安全策略

（1）應(yīng)用系統(tǒng)必須在登錄時要求輸入用戶名和口令；

（2）登錄應(yīng)用系統(tǒng)必須進行兩種或兩種以上的復(fù)合身份驗證（如用戶名口令+Ukey或用戶名口令+IP與MAC地址綁定方式）；

（3）應(yīng)用系統(tǒng)中設(shè)置的用戶都必須是唯一用戶，不能名稱相同，且不能出現(xiàn)多人使用同一賬戶的情況；

（4）應(yīng)用系統(tǒng)必須開啟登錄失敗處理功能；

（5）應(yīng)用系統(tǒng)必須開啟登錄連接超時自動退出等措施；

（6）應(yīng)用系統(tǒng)必須開啟身份鑒別、用戶身份標(biāo)識唯一性檢查、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處理功能，并根據(jù)安全策略配置相關(guān)參數(shù)；

（7）應(yīng)用系統(tǒng)必須開啟日志審計功能；

（8）應(yīng)用系統(tǒng)存儲用戶信息的設(shè)備在銷毀、修理或轉(zhuǎn)其他用途時，必須清楚內(nèi)部存儲的信息；

第十四條 數(shù)據(jù)安全策略

（1）業(yè)務(wù)應(yīng)用數(shù)據(jù)和設(shè)備配置文檔都必須進行備份，以便發(fā)生問題時進行恢復(fù)；

（2）數(shù)據(jù)備份至其他設(shè)備上時，必須使用專門的備份通道，保證數(shù)據(jù)傳輸?shù)耐暾裕?/p>

（3）數(shù)據(jù)本機備份時應(yīng)檢測其完整性；

（4）數(shù)據(jù)備份時必須使用專業(yè)的備份設(shè)備和工具，在數(shù)據(jù)傳輸和數(shù)據(jù)存儲時，都必須是加密傳輸和存儲；

（5）數(shù)據(jù)進行異地備份時，必須利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時批量傳送至備用場地。

第四章附則

第十五條本辦法由中心信息領(lǐng)導(dǎo)委員會負(fù)責(zé)解釋并督促執(zhí)行。第十六條 各單位可根據(jù)本辦法制定實施細(xì)則，報省中心備案。第十七條 本辦法自印發(fā)之日起執(zhí)行。

第四篇：信息安全策略

信息安全策略

是一個有效的信息安全項目的基礎(chǔ)。從信息安全領(lǐng)域中發(fā)生的事件來看，信息安全策略的核心地位變得越來越明顯。例如，沒有安全策略，系統(tǒng)管理員將不能安全的安裝防火墻。策略規(guī)定了所允許的訪問控制、協(xié)議以及怎樣記錄與安全有關(guān)的事件。盡管信息安全策略是廉價的實施控制方式，但它們也是最難實施的。策略花費的僅僅是創(chuàng)建、批準(zhǔn)、交流所用的時間和精力，以及員工把策略整合形成日常行為規(guī)范所用的時間和精力。即使是雇傭外部顧問來輔助制定策略，與其它控制方法（特別是技術(shù)控制）相比，其花費也是較小的。策略的制定需要達(dá)成下述目標(biāo)：減少風(fēng)險，遵從法律和規(guī)則，確保組織運作的連續(xù)性、信息完整性和機密性。

信息安全策略應(yīng)主要依靠組織所處理和使用的信息特性推動制定。組織為高層主管、董事會成員、戰(zhàn)略伙伴以及員工提供了內(nèi)部信息系統(tǒng)，對信息系統(tǒng)中信息特性的理解，能為策略制定提供有用的依據(jù)。應(yīng)當(dāng)重視對信息系統(tǒng)了解深刻的員工，所提出的組織當(dāng)前信息的主要特性，具體包括：什么信息是敏感的、什么信息是有價值的以及什么信息是關(guān)鍵的。

在制定一整套信息安全策略時，應(yīng)當(dāng)參考一份近期的風(fēng)險評估或信息審計，以便清楚了解組織當(dāng)前的信息安全需求。對曾出現(xiàn)的安全事件的總結(jié)，也是一份有價值的資料。也需要召開相關(guān)人員會議，比如首席信息官、物理安全主管、信息安全主管、內(nèi)部審計主管和人力資源主管等。

為了確定哪些部分需要進一步注意，應(yīng)收集組織當(dāng)前所有相關(guān)的策略文件，例如計算機操作策略、應(yīng)用系統(tǒng)開發(fā)策略、人力資源策略、物理安全策略。也可以參考國際標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)來獲得指導(dǎo)。

資料收集階段的工作非常重要，很多時候因為工作量和實施難度被簡化操作。資料收集不全，調(diào)研不夠充分會導(dǎo)致新建的信息安全策略無法與組織的真正需求一致。也無法確保策略中的要求與管理目標(biāo)相一致。如果提出一套與組織文化明顯不一致的策略，更是一件很尷尬的事情。

在制定策略之前，對現(xiàn)狀進行徹底調(diào)研的另一個作用是要弄清楚內(nèi)部信息系統(tǒng)體系結(jié)構(gòu)。信息安全策略應(yīng)當(dāng)與已有的信息系統(tǒng)結(jié)構(gòu)相一致，并對其完全支持。這一點不是針對信息安全體系結(jié)構(gòu)，而是針對信息系統(tǒng)體系結(jié)構(gòu)。信息安全策略一般在信息系統(tǒng)體系結(jié)構(gòu)確立以后制定，以保障信息安全體系實施、運行。例如，互聯(lián)網(wǎng)訪問控制策略可使安全體系結(jié)構(gòu)具體化，也有利于選擇和實施恰當(dāng)?shù)姆阑饓Ξa(chǎn)品。

收集完上面所提到的材料后，也就是調(diào)研階段完成后，開始根據(jù)前期的調(diào)研資料制定信息安全策略文檔初稿。初稿完成后，應(yīng)當(dāng)尋找直接相關(guān)人員對其進行小范圍的評審。對反饋意見進行修改后，逐漸的擴大評審的范圍。當(dāng)所有的支持部門做出修改后，交由信息安全管理委員會評審。

信息安全策略的制定過程有很高的政策性和個性，反復(fù)的評審過程能夠讓策略更加清晰、簡潔，更容易落地，為此在評審的過程中需要調(diào)動參與積極性，而不是抵觸。

評審過程的最后一步一般由總經(jīng)理、總裁、首席執(zhí)行官簽名。在人員合同中應(yīng)當(dāng)表明能予遵守并且這是繼續(xù)雇傭的條件。也應(yīng)當(dāng)發(fā)放到內(nèi)部服務(wù)器、網(wǎng)頁以及一些宣傳版面上的顯眼位置，并附有高層管理者的簽名，以表明信息安全策略文檔

得到高層領(lǐng)導(dǎo)強有力的支持。如果讓首席執(zhí)行官簽名不現(xiàn)實，由首席信息官簽名也可以。要注意僅有信息安全部門主管或同級的部門主管簽名，一般不足以表明高層管理者的同意和支持。雖然獲得高層管理者的同意很難實施，但經(jīng)驗表明，高層的支持對策略的實施落地是非常重要的。

一般來說，在信息安全策略文件評審過程中，會得到組織內(nèi)部各方多次評審和修訂，其中最為重要的是信息安全管理委員會。信息安全委員會一般由信息部門人員組成，參與者一般包括以下部門的成員：信息安全、內(nèi)部審計、物理安全、信息系統(tǒng)、人力資源、法律、財政和會計部。這樣一個委員會本質(zhì)上是監(jiān)督信息安全部門的工作，負(fù)責(zé)篩選提煉已提交的策略，以便在整個組織內(nèi)更好的實施落地。如果組織內(nèi)還沒有信息安全管理委員會，在制定信息安全策略的時候正是建立管理委員會的好時機，或由組織內(nèi)已存在的同職能部門擔(dān)任職責(zé)。

雖然制定了新的安全策略，還必須有一個適當(dāng)?shù)膶嵤┻^程，如果這些策略不能得到實施，將起不到任何作用，不能得到執(zhí)行的策略，可能比完全沒有策略更糟糕，因為這樣會教會員工作假和質(zhì)疑組織內(nèi)部執(zhí)行力，這也可能麻痹管理者認(rèn)為信息安全為題已經(jīng)處理雖然現(xiàn)實是另外一回事。

管理層常以為員工行為當(dāng)然以組織利益為重，這是一個欠考慮的想法。雖然策略不可能影響員工的個人價值觀，但管理層可以運用策略給員工提供機會，引導(dǎo)他們和組織的利益一致。策略告訴員工組織對他們的期望是什么。

新策略發(fā)布前，應(yīng)在內(nèi)部信息技術(shù)部門或?qū)徲嫴块T內(nèi)討論如果具體實施。新策略的執(zhí)行可能會遇到多樣化的問題?？梢酝ㄟ^績效評估和相應(yīng)獎懲制度來保證策略的執(zhí)行有效性。發(fā)現(xiàn)和懲罰違反策略的員工并不是目的。如果大量的人都不遵守，這就表明策略和相關(guān)的意識提升是無效的。在此情形下，需要尋找更有效的方式實施，或修改策略，以便更好的反映組織文化。

另有一些策略實施的建議：

在組織內(nèi)部網(wǎng)站或一些媒體發(fā)布策略—新策略應(yīng)發(fā)布在組織內(nèi)部網(wǎng)站上，加入相關(guān)鏈接讓用戶能很快定位感興趣的材料。

制定自我評估調(diào)查表—在新的策略實施時，制定評估表，填寫實施情況，就能明確哪些部門沒有遵守好、哪些地方需要額外加強控制。

制定遵守信息安全策略的員工協(xié)議表——應(yīng)當(dāng)編輯一個反映員工該如何遵守信息安全策略的法律協(xié)議表，或直接體現(xiàn)在員工合同中。

建立考察機制檢查員工是否理解策略——調(diào)查員工是否理解安全策略文檔中的重點。通過考試確定是否要增加培訓(xùn)和通告。

基礎(chǔ)信息安全培訓(xùn)課程——培訓(xùn)課程通過錄像或培訓(xùn)軟件存檔。不同策略對象可能要不同的培訓(xùn)課程。

分配策略落實負(fù)責(zé)人——按部門或?qū)嶋H情況分配負(fù)責(zé)人，落實責(zé)任。

第五篇：信息安全策略綱要

信息安全策略綱要

1范圍

信息系統(tǒng)是技術(shù)密集的大型復(fù)雜的網(wǎng)絡(luò)化人機系統(tǒng)，其面臨的安全問題非常突出。為了保障海南電網(wǎng)信息通信分公司（以下簡稱“公司”）信息系統(tǒng)的安全可靠運行，依據(jù)《信息系統(tǒng)安全等級保護基本要求》等相關(guān)標(biāo)準(zhǔn)法規(guī)制定本策略綱要。本綱要適用于公司信息系統(tǒng)。總體目標(biāo)

總體目標(biāo)：保護公司信息系統(tǒng)的硬件、軟件、業(yè)務(wù)信息和數(shù)據(jù)、通信網(wǎng)絡(luò)設(shè)備等資源的安全，有效防范各類安全事故，合法合規(guī)發(fā)展各類信息系統(tǒng)，確保為社會提供高效穩(wěn)定的電力服務(wù)。規(guī)范性引用文件

下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡注明日期的引用文件，其隨后所有的修改單或修訂版均不適用于本標(biāo)準(zhǔn)（不包括勘誤、通知單），然而，鼓勵根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究是否可使用這些文件的最新版本。凡未注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)

《信息安全技術(shù) 信息系統(tǒng)安全保障評估框架》（GB/T 20274.1-2006）《信息安全技術(shù) 信息系統(tǒng)安全管理要求》（GB/T 20269-2006）

《信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求》（GBT 22239-2008）本標(biāo)準(zhǔn)未涉及的管理內(nèi)容，參照國家、電力行業(yè)、南方電網(wǎng)公司的有關(guān)標(biāo)準(zhǔn)和規(guī)定執(zhí)行?？傮w方針

4.1組織與體制

構(gòu)筑確保信息安全所必需的組織與體制，明確其責(zé)任與權(quán)限。

4.2 遵守法令法規(guī)

遵守與信息安全有關(guān)的法令法規(guī)，制定并遵守按基本方針?biāo)贫ǖ男畔踩嚓P(guān)的規(guī)定。

4.3信息資產(chǎn)的分類與管理

按照重要級別信息資產(chǎn)進行分類，并妥善管理。

4.4培訓(xùn)與教育

為使相關(guān)人員全面了解信息安全的重要性，適當(dāng)開展針對性培訓(xùn)與教育教育活動。使他們充分認(rèn)識信息安全的重要性以及掌握正確的管理方法。

4.5物理性保護

為避免非法入侵、干擾及破壞信息資產(chǎn)等事故的發(fā)生，對其保管場所與保管辦法加以明確。

4.6技術(shù)性保護

為切實保護信息資產(chǎn)不受來自外部的非法入侵，對信息系統(tǒng)的登錄方法、使用限制、網(wǎng)絡(luò)管理等采取適當(dāng)?shù)拇胧?/p>

4.7運用

為確保基本方針的實際成效，在對遵守情況進行監(jiān)督的同時，對違反基本方針時的處置辦法及針對來自外部的非法入侵等緊急事態(tài)采取的應(yīng)對措施等加以規(guī)定。

4.8評價及復(fù)審

隨著社會環(huán)境的變化、技術(shù)的進步等，應(yīng)定期對基本方針與運用方式進行評價與復(fù)審安全策略

5.1安全管理制度

在信息安全中，最活躍的因素是人，對人的管理包括法律、法規(guī)與政策的約束、安全指南的幫助、安全意識的提高、安全技能的培訓(xùn)、人力資源管理措施以及企業(yè)文化的熏陶，這些功能的實現(xiàn)都是以完備的安全管理政策和制度為前提。安全管理制度包括信息安全工作的總體方針、策略、規(guī)范各種安全管理活動的管理制度以及管理人員或操作人員日常操作的操作規(guī)程。

安全管理制度重點關(guān)注管理制度、制定和發(fā)布、評審和修訂三方面。

目的是根據(jù)系統(tǒng)的安全等級，依照國家相關(guān)法律法規(guī)及政策標(biāo)準(zhǔn)，建立信息安全的各項管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，規(guī)范基礎(chǔ)設(shè)施建設(shè)、系統(tǒng)和網(wǎng)絡(luò)平臺建設(shè)、應(yīng)用系統(tǒng)開發(fā)、運行管理等重要環(huán)節(jié)，奠定信息安全的基礎(chǔ)。

5.2安全管理機構(gòu)

建立組織管理體系是為了建立自上而下的信息安全工作管理體系，確定安全管理組織機構(gòu)的職責(zé)，統(tǒng)籌規(guī)劃、專家決策，以推動信息安全工作的開展。

公司成立信息安全領(lǐng)導(dǎo)小組，是信息安全的最高決策機構(gòu)，負(fù)責(zé)研究重大事件，落實方針政策，制定實施策略和原則，開展安全普及教育等。下設(shè)辦公室負(fù)責(zé)信息安全領(lǐng)導(dǎo)小組的日常事務(wù)。

信息安全領(lǐng)導(dǎo)小組下設(shè)兩個工作組：信息安全工作組、應(yīng)急處理工作組。組長均由公司負(fù)責(zé)人擔(dān)任。

5.3人員安全管理

通過建立安全崗位責(zé)任制，最大限度降低人為失誤所造成的風(fēng)險。人是決定性因素，人員安全管理的原則是：職責(zé)分離、有限授權(quán)、相互制約、任期審計。

人員安全管理的要素包括：安全管理人員配備、信息系統(tǒng)關(guān)鍵崗位、人員錄用、人員離崗、人員考核與審查、第三方人員管理等。

信息安全人員的配備和變更情況，應(yīng)向上一級單位報告、備案。

信息安全人員調(diào)離崗位，必須嚴(yán)格辦理調(diào)離手續(xù)，承諾其調(diào)離后的保密義務(wù)。涉及公司業(yè)務(wù)核心技術(shù)的信息安全人員調(diào)離單位，必須進行離崗審計，并在規(guī)定的脫密期后，方可調(diào)離。

5.4系統(tǒng)建設(shè)管理

信息系統(tǒng)的安全管理貫穿系統(tǒng)的整個生命周期，系統(tǒng)建設(shè)管理主要關(guān)注的是生命周期中的前三個階段（初始、采購、實施）中各項安全管理活動。

系統(tǒng)建設(shè)管理分別從工程實施建設(shè)前、建設(shè)過程以及建設(shè)完畢交付等三方面考慮，具體包括系統(tǒng)定級、安全方案設(shè)計、產(chǎn)品采購和使用、自行軟件開發(fā)、外包軟件開發(fā)、工程實施、測試驗收、系統(tǒng)交付、系統(tǒng)備案、等級測評和安全服務(wù)商選擇十一個控制點。

5.5系統(tǒng)運維管理

目的是保障信息系統(tǒng)日常運行的安全穩(wěn)定，對運行環(huán)境、技術(shù)支持、操作使用、病毒防范、備份措施、文檔建立等全方位管理。包括用戶管理、運行操作管理、運行維護管理、外包服務(wù)管理、有關(guān)安全機制保障、安全管理控制平臺等方面的管理要素。

對運行過程的任何變化，數(shù)據(jù)、軟件、物理設(shè)置等，都應(yīng)實施技術(shù)監(jiān)控和管理手段以確保其完整性，防止信息非法復(fù)制、篡改，任何查詢和變更操作需經(jīng)過授權(quán)和合法性驗證。

應(yīng)急管理也是運維的重要內(nèi)容，目的是分析信息系統(tǒng)可能出現(xiàn)的緊急事件或災(zāi)難，建立一整套應(yīng)急措施，以保障核心業(yè)務(wù)的快速恢復(fù)和持續(xù)穩(wěn)定運行。應(yīng)急計劃包括應(yīng)急處理和災(zāi)難恢復(fù)策略、應(yīng)急計劃、應(yīng)急計劃的實施保障等管理要素。

在海南省電網(wǎng)公司統(tǒng)一的應(yīng)急規(guī)劃下，針對信息系統(tǒng)面臨的各種應(yīng)急場景編制相應(yīng)的應(yīng)急預(yù)案，并經(jīng)過測試演練修訂，同時宣傳普及。

5.6物理安全

目的是保護計算機設(shè)備、設(shè)施（含網(wǎng)絡(luò)）以及信息系統(tǒng)免遭自然災(zāi)害和其他形式的破壞，保證信息系統(tǒng)的實體安全。

有關(guān)物理環(huán)境的選址和設(shè)計應(yīng)遵照相關(guān)標(biāo)準(zhǔn)，配備防火、防水、防雷擊、防靜電、防鼠害等機房措施，維持系統(tǒng)不間斷運行能力，確保信息系統(tǒng)運行的安全可靠。

對重要安全設(shè)備的選擇，需符合國家相關(guān)標(biāo)準(zhǔn)規(guī)范，相關(guān)證書齊全。

嚴(yán)格確定設(shè)備的合法使用人，建立詳細(xì)運行日志和維護記錄。

5.7網(wǎng)絡(luò)安全

目的是有效防范網(wǎng)絡(luò)體系的安全風(fēng)險，為業(yè)務(wù)應(yīng)用系統(tǒng)提供安全、可靠、穩(wěn)定的網(wǎng)絡(luò)管理和技術(shù)平臺。

對于依賴網(wǎng)絡(luò)架構(gòu)安全的業(yè)務(wù)應(yīng)用系統(tǒng)，需根據(jù)其安全級別，實施相應(yīng)的訪問控制、身份認(rèn)證、審計等安全服務(wù)機制；在網(wǎng)絡(luò)邊界處，需根據(jù)資源的保護等級，實施相應(yīng)安全級別的防火墻、認(rèn)證、審計、動態(tài)檢測等技術(shù)，防范信息資源的非法訪問、篡改和破壞。

5.8主機安全

主機安全包括服務(wù)器、終端/工作站等在內(nèi)的計算機設(shè)備在操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng)層面的安全。終端/工作站是帶外設(shè)的臺式機與筆記本計算機，服務(wù)器則包括應(yīng)用程序、網(wǎng)絡(luò)、web、文件與通信等服務(wù)器。主機承載著各種應(yīng)用，是保護信息安全的中堅力量。

主機安全需著重關(guān)注和加強身份鑒別、訪問控制、惡意代碼防范、安全審計、入侵防范幾個方面，同時定期或不定期的進行安全評估（含滲透性測試）和加固，實時確保主機的健壯性。

5.9應(yīng)用安全

應(yīng)用安全成是信息系統(tǒng)整體防御的最后一道防線，目的是保障業(yè)務(wù)應(yīng)用系統(tǒng)開發(fā)過程及最終產(chǎn)品的安全性。

在應(yīng)用層面運行著信息系統(tǒng)的基于網(wǎng)絡(luò)的應(yīng)用以及特定業(yè)務(wù)應(yīng)用?；诰W(wǎng)絡(luò)的應(yīng)用是形成其他應(yīng)用的基礎(chǔ)，是基本的應(yīng)用；業(yè)務(wù)應(yīng)用采納基本應(yīng)用的功能以滿足特定業(yè)務(wù)的要求；故最終是保護系統(tǒng)的各種業(yè)務(wù)應(yīng)用程序的安全運行。

應(yīng)用系統(tǒng)的總體需求計劃階段，應(yīng)全面評估系統(tǒng)的安全風(fēng)險，確定系統(tǒng)的訪問控制、身份認(rèn)證、審計跟蹤等安全需求；總體架構(gòu)設(shè)計階段，應(yīng)實施安全需求設(shè)計，確立安全服務(wù)機制、開發(fā)人員技術(shù)要求和操作規(guī)程；應(yīng)用系統(tǒng)的實現(xiàn)階段，應(yīng)全程實施質(zhì)量控制，防止程序后門，減少代碼漏洞；在上線運行之前，應(yīng)充分進行局部功能、整體功能、壓力測試，以及系統(tǒng)安全性能、操作流程、應(yīng)急方案的測試。5.10數(shù)據(jù)安全及備份恢復(fù)

信息系統(tǒng)處理的各種數(shù)據(jù)（用戶數(shù)據(jù)、系統(tǒng)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)等）在維持系統(tǒng)正常運行上起著至關(guān)重要的作用。由于信息系統(tǒng)的各個層面（網(wǎng)絡(luò)、主機、應(yīng)用等）都對各類數(shù)據(jù)進行傳輸、存儲和處理等，因此，對數(shù)據(jù)的保護需要物理環(huán)境、網(wǎng)絡(luò)、數(shù)據(jù)庫和操作系統(tǒng)、應(yīng)用程序等提供支持。

數(shù)據(jù)備份也是防止數(shù)據(jù)被破壞后無法恢復(fù)的重要手段，而硬件備份等更是保證系統(tǒng)可用的重要內(nèi)容。附 則

? 本標(biāo)準(zhǔn)由海南電網(wǎng)公司信息通信分公司負(fù)責(zé)解釋。

? 本標(biāo)準(zhǔn)自頒布之日起實行。