第一篇:信息安全工作總體方針
信息安全工作總體方針
第一章 總則
第一條 為加強(qiáng)和規(guī)范省信息中心及直屬直管各單位(以下簡(jiǎn)稱“各單位”)信息系統(tǒng)安全工作,提高中心信息系統(tǒng)整體安全防護(hù)水平,實(shí)現(xiàn)信息安全的可控、能控、在控,依據(jù)國(guó)家有關(guān)法律、法規(guī)的要求,制定本文檔。
第二條 本文檔的目的是為中心信息系統(tǒng)安全管理提供一個(gè)總體的策略性架構(gòu)文件,該文件將指導(dǎo)中心信息系統(tǒng)的安全管理體系的建立。安全管理體系的建立是為中心信息系統(tǒng)的安全管理工作提供參照,以實(shí)現(xiàn)中心統(tǒng)一的安全策略管理,提高整體的網(wǎng)絡(luò)與信息安全水平,確保安全控制措施落實(shí)到位,保障網(wǎng)絡(luò)通信暢通和業(yè)務(wù)系統(tǒng)的正常運(yùn)營(yíng)。
第三條 本文檔適用于中心以中心下屬各單位信息系統(tǒng)資產(chǎn)和信息技術(shù)人員的安全管理和指導(dǎo),適用于指導(dǎo)中心信息系統(tǒng)安全策略的制定、安全方案的規(guī)劃和安全建設(shè)的實(shí)施,適用于中心安全管理體系中安全管理措施的選擇。
第四條 本辦法所稱信息系統(tǒng)指中心一體化企業(yè)級(jí)信息系統(tǒng),主要包括一體化企業(yè)級(jí)信息集成平臺(tái)(以下簡(jiǎn)稱“一體化平臺(tái)”)和八大業(yè)務(wù)應(yīng)用。
“一體化平臺(tái)”包含信息網(wǎng)絡(luò)、數(shù)據(jù)交換、數(shù)據(jù)中心、應(yīng)用集成和企業(yè)門戶;“業(yè)務(wù)應(yīng)用”包含財(cái)務(wù)(資金)管理、營(yíng)銷管理、安全生產(chǎn)管理、協(xié)同辦公、人力資源管理、物資管理、項(xiàng)目管理、綜合管理業(yè)務(wù)應(yīng)用。
第五條 引用標(biāo)準(zhǔn)及參考文件
本文檔的編制參照了以下國(guó)家、中心的標(biāo)準(zhǔn)和文件:
(一)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》
(二)《關(guān)于信息安全等級(jí)保護(hù)建設(shè)的實(shí)施指導(dǎo)意見(jiàn)》(信息運(yùn)安〔2009〕27 號(hào))
(三)《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(GB/T 22239-2008)
(四)《信息安全技術(shù) 信息系統(tǒng)安全管理要求》(GB/T 20269—2006)
(五)《信息系統(tǒng)等級(jí)保護(hù) 安全建設(shè)技術(shù)方案設(shè)計(jì)要求》(報(bào)批稿)
(六)《關(guān)于開(kāi)展信息安全等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見(jiàn)》(公信安[2009]1429號(hào))
第二章 方針、目標(biāo)和原則
第六條中心信息系統(tǒng)安全堅(jiān)持“安全第一、預(yù)防為主,管理和技術(shù)并重,綜合防范”的總體方針,實(shí)現(xiàn)信息系統(tǒng)安全可控、能控、在控。依照“分區(qū)、分級(jí)、分域”總體安全防護(hù)策略,執(zhí)行信息系統(tǒng)安全等級(jí)保護(hù)制度。管理信息網(wǎng)絡(luò)分為信息內(nèi)網(wǎng)和信息外網(wǎng),實(shí)現(xiàn)“雙機(jī)雙網(wǎng)”,信息內(nèi)網(wǎng)定位為承載網(wǎng)絡(luò)和內(nèi)部辦公網(wǎng)絡(luò),信息外網(wǎng)定位為對(duì)外業(yè)務(wù)網(wǎng)絡(luò)和訪問(wèn)互聯(lián)網(wǎng)用戶終端網(wǎng)絡(luò)。信息內(nèi)、外網(wǎng)之間實(shí)施強(qiáng)邏輯隔離的措施。
第七條 信息系統(tǒng)安全總體目標(biāo)是確保信息系統(tǒng)持續(xù)、穩(wěn)定、可靠運(yùn)行和確保信息內(nèi)容的機(jī)密性、完整性、可用性,防止因信息系統(tǒng)本身故障導(dǎo)致信息系統(tǒng)不能正常使用和系統(tǒng)崩潰,抵御黑客、病毒、惡意代碼等對(duì)信息系統(tǒng)發(fā)起的各類攻擊和破壞,防止信息內(nèi)容及數(shù)據(jù)丟失和失密,防止有害信息在網(wǎng)上傳播,防止中心對(duì)外服務(wù)中斷和由此造成的系統(tǒng)運(yùn)行事故。
第八條 信息安全工作的總體原則
(1)基于安全需求原則
組織機(jī)構(gòu)應(yīng)根據(jù)其信息系統(tǒng)擔(dān)負(fù)的使命,積累的信息資產(chǎn)的重要性,可能受到的威脅及面臨的風(fēng)險(xiǎn)分析安全需求,按照信息系統(tǒng)等級(jí)保護(hù)要求確定相應(yīng)的信息系統(tǒng)安全保護(hù)等級(jí),遵從相應(yīng)等級(jí)的規(guī)范要求,從全局上恰當(dāng)?shù)仄胶獍踩度肱c效果;
(2)主要領(lǐng)導(dǎo)負(fù)責(zé)原則
主要領(lǐng)導(dǎo)應(yīng)確立其組織統(tǒng)一的信息安全保障的宗旨和政策,負(fù)責(zé)提高員工的安全意識(shí),組織有效安全保障隊(duì)伍,調(diào)動(dòng)并優(yōu)化配置必要的資源,協(xié)調(diào)安全管理工作與各部門工作的關(guān)系,并確保其落實(shí)、有效;
(3)全員參與原則
信息系統(tǒng)所有相關(guān)人員應(yīng)普遍參與信息系統(tǒng)的安全管理,并與相關(guān)方面協(xié)同、協(xié)調(diào),共同保障信息系統(tǒng)安全;
(4)系統(tǒng)方法原則
按照系統(tǒng)工程的要求,識(shí)別和理解信息安全保障相互關(guān)聯(lián)的層面和過(guò)程,采用管理和技術(shù)結(jié)合的方法,提高實(shí)現(xiàn)安全保障的目標(biāo)的有效性和效率;
(5)持續(xù)改進(jìn)原則
安全管理是一種動(dòng)態(tài)反饋過(guò)程,貫穿整個(gè)安全管理的生存周期,隨著安全需求和系統(tǒng)脆弱性的時(shí)空分布變化,威脅程度的提高,系統(tǒng)環(huán)境的變化以及對(duì)系統(tǒng)安全認(rèn)識(shí)的深化等,應(yīng)及時(shí)地將現(xiàn)有的安全策略、風(fēng)險(xiǎn)接受程度和保護(hù)措施進(jìn)行復(fù)查、修改、調(diào)整以至提升安全管理等級(jí),維護(hù)和持續(xù)改進(jìn)信息安全管理體系的有效性;
(6)依法管理原則
信息安全管理工作主要體現(xiàn)為管理行為,應(yīng)保證信息系統(tǒng)安全管理主體合法、管理行為合法、管理內(nèi)容合法、管理程序合法。對(duì)安全事件的處理,應(yīng)由授權(quán)者適時(shí)發(fā)布準(zhǔn)確一致的有關(guān)信息,避免帶來(lái)不良的社會(huì)影響;
(7)分權(quán)和授權(quán)原則
對(duì)特定職能或責(zé)任領(lǐng)域的管理功能實(shí)施分離、獨(dú)立審計(jì)等實(shí)行分權(quán),避免權(quán)力過(guò)分集中所帶來(lái)的隱患,以減小未授權(quán)的修改或?yàn)E用系統(tǒng)資源的機(jī)會(huì)。任何實(shí)體(如用戶、管理員、進(jìn)程、應(yīng)用或系統(tǒng))僅享有該實(shí)體需要完成其任務(wù)所必須的權(quán)限,不應(yīng)享有任何多余權(quán)限;
(8)選用成熟技術(shù)原則
成熟的技術(shù)具有較好的可靠性和穩(wěn)定性,采用新技術(shù)時(shí)要重視其成熟的程度,并應(yīng)首先局部試點(diǎn)然后逐步推廣,以減少或避免可能出現(xiàn)的失誤;
(9)分級(jí)保護(hù)原則
按等級(jí)劃分標(biāo)準(zhǔn)確定信息系統(tǒng)的安全保護(hù)等級(jí),實(shí)行分級(jí)保護(hù);對(duì)多個(gè)子系統(tǒng)構(gòu)成的大型信息系統(tǒng),確定系統(tǒng)的基本安全保護(hù)等級(jí),并根據(jù)實(shí)際安全需求,分別確定各子系統(tǒng)的安全保護(hù)等級(jí),實(shí)行多級(jí)安全保護(hù);
(10)管理與技術(shù)并重原則
堅(jiān)持積極防御和綜合防范,全面提高信息系統(tǒng)安全防護(hù)能力,立足國(guó)情,采用管理與技術(shù)相結(jié)合,管理科學(xué)性和技術(shù)前瞻性結(jié)合的方法,保障信息系統(tǒng)的安全性達(dá)到所要求的目標(biāo);
(11)自保護(hù)和國(guó)家監(jiān)管結(jié)合原則
對(duì)信息系統(tǒng)安全實(shí)行自保護(hù)和國(guó)家保護(hù)相結(jié)合。組織機(jī)構(gòu)要對(duì)自己的信息系統(tǒng)安全保護(hù)負(fù)責(zé),政府相關(guān)部門有責(zé)任對(duì)信息系統(tǒng)的安全進(jìn)行指導(dǎo)、監(jiān)督和檢查,形成自管、自查、自評(píng)和國(guó)家監(jiān)管相結(jié)合的管理模式,提高信息系統(tǒng)的安全保護(hù)
能力和水平,保障國(guó)家信息安全。
第九條 在規(guī)劃和建設(shè)信息系統(tǒng)時(shí),信息系統(tǒng)安全防護(hù)措施應(yīng)按照“三 同步”原則,與信息系統(tǒng)建設(shè)同步規(guī)劃、同步建設(shè)、同步投入運(yùn)行。
第三章 總體安全策略
第十條 物理安全策略
(1)機(jī)房和辦公室必須選擇在經(jīng)過(guò)防震、防火、防雷擊驗(yàn)收合格的辦公大樓內(nèi)部,機(jī)房的窗戶需要有防雨水滲透的能力;
(2)機(jī)房的位置不能是大樓的地下室、一樓房間或是大樓的頂層,機(jī)房的正上方不能是用水量大的房間;
(3)機(jī)房出入口必須有專人值守,對(duì)工作人員進(jìn)行登記;
(4)進(jìn)入機(jī)房的工作人員必須由安全管理員或機(jī)房管理員全程陪同;
(5)機(jī)房?jī)?nèi)部必須劃分重要設(shè)備區(qū)、一般設(shè)備區(qū)、過(guò)渡區(qū)等區(qū)域,對(duì)不同區(qū)域分別進(jìn)行管理,區(qū)域與區(qū)域之間進(jìn)行物理隔離;
(6)機(jī)房?jī)?nèi)部必須部署基礎(chǔ)防護(hù)系統(tǒng)和設(shè)備,如電子門禁系統(tǒng)、監(jiān)控報(bào)警系統(tǒng)、防雷設(shè)備、消防滅火系統(tǒng)、防水監(jiān)控系統(tǒng)、溫濕度控制系統(tǒng)、UPS供電系統(tǒng)和電磁屏蔽設(shè)備。
第十一條 網(wǎng)絡(luò)安全策略
(1)網(wǎng)絡(luò)中必須部署路由器、交換機(jī)、防火墻、防毒墻、IPS設(shè)備和內(nèi)網(wǎng)網(wǎng)絡(luò)管理、補(bǔ)丁分發(fā)等系統(tǒng)
(2)網(wǎng)絡(luò)設(shè)備除接入交換機(jī)之外,必須進(jìn)行雙機(jī)熱備,除接入交換機(jī)鏈接工作終端的線路外,其他線路必須進(jìn)行雙線冗余;
(3)整體網(wǎng)絡(luò)不能出現(xiàn)流量瓶頸,保證帶寬充足;
(4)各部門必須劃分不同網(wǎng)段的IP地址;
(5)劃分網(wǎng)絡(luò)帶寬,突出優(yōu)先級(jí);
(6)網(wǎng)絡(luò)邊界處必須部署防火墻、IPS等安全設(shè)備;
(7)網(wǎng)絡(luò)設(shè)備必須開(kāi)啟日志審計(jì)功能;
第十二條 主機(jī)安全策略
(1)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶必須進(jìn)行身份標(biāo)識(shí)和鑒別;
(2)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管理用戶身份標(biāo)識(shí)不能出現(xiàn)同名用戶,口令應(yīng)有復(fù)雜度要求并定期更換;
(3)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)必須啟用登錄失敗處理功能;
(4)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí),必須采取必要措施,防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng);
(5)為操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的不同用戶分配不同的用戶名,確保用戶名具有唯一性,不能出重名情況;
(6)操作系統(tǒng)和數(shù)據(jù)庫(kù)必須及時(shí)刪除多余的、過(guò)期的賬戶,避免共享賬戶的存在;
(7)主機(jī)必須開(kāi)啟日志審計(jì)功能;
(8)主機(jī)必須安裝防惡意代碼產(chǎn)品,并進(jìn)行統(tǒng)一管理;
第十三條 應(yīng)用安全策略
(1)應(yīng)用系統(tǒng)必須在登錄時(shí)要求輸入用戶名和口令;
(2)登錄應(yīng)用系統(tǒng)必須進(jìn)行兩種或兩種以上的復(fù)合身份驗(yàn)證(如用戶名口令+Ukey或用戶名口令+IP與MAC地址綁定方式);
(3)應(yīng)用系統(tǒng)中設(shè)置的用戶都必須是唯一用戶,不能名稱相同,且不能出現(xiàn)多人使用同一賬戶的情況;
(4)應(yīng)用系統(tǒng)必須開(kāi)啟登錄失敗處理功能;
(5)應(yīng)用系統(tǒng)必須開(kāi)啟登錄連接超時(shí)自動(dòng)退出等措施;
(6)應(yīng)用系統(tǒng)必須開(kāi)啟身份鑒別、用戶身份標(biāo)識(shí)唯一性檢查、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處理功能,并根據(jù)安全策略配置相關(guān)參數(shù);
(7)應(yīng)用系統(tǒng)必須開(kāi)啟日志審計(jì)功能;
(8)應(yīng)用系統(tǒng)存儲(chǔ)用戶信息的設(shè)備在銷毀、修理或轉(zhuǎn)其他用途時(shí),必須清楚內(nèi)部存儲(chǔ)的信息;
第十四條 數(shù)據(jù)安全策略
(1)業(yè)務(wù)應(yīng)用數(shù)據(jù)和設(shè)備配置文檔都必須進(jìn)行備份,以便發(fā)生問(wèn)題時(shí)進(jìn)行恢復(fù);
(2)數(shù)據(jù)備份至其他設(shè)備上時(shí),必須使用專門的備份通道,保證數(shù)據(jù)傳輸?shù)耐暾裕?/p>
(3)數(shù)據(jù)本機(jī)備份時(shí)應(yīng)檢測(cè)其完整性;
(4)數(shù)據(jù)備份時(shí)必須使用專業(yè)的備份設(shè)備和工具,在數(shù)據(jù)傳輸和數(shù)據(jù)存儲(chǔ)時(shí),都必須是加密傳輸和存儲(chǔ);
(5)數(shù)據(jù)進(jìn)行異地備份時(shí),必須利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時(shí)批量傳送至備用場(chǎng)地。
第四章附則
第十五條本辦法由中心信息領(lǐng)導(dǎo)委員會(huì)負(fù)責(zé)解釋并督促執(zhí)行。第十六條 各單位可根據(jù)本辦法制定實(shí)施細(xì)則,報(bào)省中心備案。第十七條 本辦法自印發(fā)之日起執(zhí)行。
第二篇:信息安全總體方針
信息化服務(wù)中心
信息安全 總體 方針
項(xiàng)目名稱
XXX 安全運(yùn)維服務(wù)項(xiàng)目 客戶名稱
XXX 信息化服務(wù)中心 實(shí)施地點(diǎn)
XXX 信息化服務(wù)中心 實(shí)施單位
XXX 絡(luò)安信息技術(shù)有限 實(shí)施時(shí)間
XXX 年 7 月 17 日星期二
文檔修訂情況
版本 修訂記錄 日期 修訂 審核 批準(zhǔn) v1.0 制作文檔 XXX-07-17 XXX
V2.0 修改信息安全管理委員會(huì)框架 XXX-07-20 XXX
目錄
目的和適用范圍......................................................................................................................................3
信息安全定義..........................................................................................................................................3
信息安全方針..........................................................................................................................................3
安全管理機(jī)構(gòu)..........................................................................................................................................3
4.1 信息安全管理委員會(huì)......................................................................................................................................3
職責(zé).........................................................................................................................................................4
信息安全管理體系實(shí)施框架...................................................................................................................4
重要原則、標(biāo)準(zhǔn)和符合性要求................................................................................................................5
評(píng)審.........................................................................................................................................................5
目的和 適用 范圍 信息安全管理體系方針指明了 XXX 信息化服務(wù)中心的信息安全目標(biāo)和方向,并可以確保信息安全管理體系被充分理解和貫徹實(shí)施。為明確信息安全管理體系方針,特制定本文件。此外,本文件還描述了 XXX 信息化服務(wù)中心的信息安全管理體系的范圍。
本文件適用于 XXX 信息化服務(wù)中心信息安全管理體系涉及的所有人員和組織的全部重要信息資產(chǎn)及過(guò)程。信息安全定義 信息安全是指保證信息的保密性、完整性、可用性;另外也可包括諸如真實(shí)性、可核查性、不可否認(rèn)性和可靠性等特性。
信息是對(duì) XXX 信息化服務(wù)中心業(yè)務(wù)至關(guān)重要的一種資產(chǎn),因此需要加以適當(dāng)?shù)谋Wo(hù)。在業(yè)務(wù)環(huán)境互連日益增加的情況下這一點(diǎn)顯得尤為重要。信息安全可防止信息受到各種威脅,以確保業(yè)務(wù)連續(xù)性,是業(yè)務(wù)風(fēng)險(xiǎn)最小化,投資回報(bào)和商業(yè)機(jī)遇最大化。信息安全方針 XXX 信息化服務(wù)中心信息安全方針為:統(tǒng)一規(guī)劃建設(shè)、全面綜合防御、技術(shù)管理并重、保障運(yùn)營(yíng)安全。安全管理機(jī)構(gòu) 根據(jù) ISO/IEC 27001:2005 的要求,為了確保信息安全工作有一個(gè)明確的方向和獲得可見(jiàn)的管理者支持,XXX 信息化服務(wù)中心設(shè)立以下信息安全管理機(jī)構(gòu)。
4.1 信息安全管理委員會(huì) 信息安全管理委員會(huì)是 XXX 信息化服務(wù)中心信息安全管理工作的最高領(lǐng)導(dǎo)機(jī)構(gòu),承擔(dān)以下方面的工作:
1)審批信息安全方針和總體職責(zé); 2)審批信息安全的特殊方法和過(guò)程,如風(fēng)險(xiǎn)評(píng)估等; 3)審批加強(qiáng)信息安全的重大舉措; 4)提供所需要的足夠的資源; 5)協(xié)調(diào)本 ISMS 和 XXX 信息化服務(wù)中心其他規(guī)章制度之間的關(guān)系。
信息安全委員會(huì)主席由 XXX 信息化服務(wù)中心負(fù)責(zé)人擔(dān)任,常務(wù)副主席由 XXX 信息化服務(wù)中心任命(管理者代表);信息安全管理委員會(huì)由相關(guān)部門的信息安全員組成。信息安全管理委員會(huì)主要工作為:在信息安全管理委員會(huì)主席/副主席的領(lǐng)導(dǎo)下,負(fù)責(zé) XXX 信息化服務(wù)中心日常信息安全的管理與監(jiān)督活動(dòng),并對(duì)相關(guān)部門提供指導(dǎo)和對(duì)需要培訓(xùn)的員工進(jìn)行培訓(xùn)。
圖-信息安全管理委員會(huì)組織機(jī)構(gòu)框架圖 5 職責(zé)(1)領(lǐng)導(dǎo)職責(zé) XXX 信息化服務(wù)中心領(lǐng)導(dǎo)應(yīng)具有以下方面的職責(zé):
? 制定信息安全方針; ? 向 XXX 信息化服務(wù)中心員工傳達(dá)滿足信息安全目標(biāo)和符合信息安全方針、法律法規(guī)要求的重要性; ? 主持 ISMS 的管理評(píng)審; ? 提供開(kāi)發(fā)、實(shí)施、運(yùn)行和維護(hù) ISMS 所需的足夠的資源; ? 決定可接受的風(fēng)險(xiǎn)級(jí)別。
(2)員工職責(zé) ? 每一位員工或使用本 XXX 信息化服務(wù)中心信息的人員都要遵守本方針,都有保護(hù)XXX 信息化服務(wù)中心信息資產(chǎn)、系統(tǒng)和基礎(chǔ)設(shè)施安全的職責(zé)。
? 每一位員工都應(yīng)采取適當(dāng)?shù)拇胧òㄔO(shè)置密碼),保護(hù)其所負(fù)責(zé)的所有形式的機(jī)密信息在管理、使用、存儲(chǔ)、處理和傳輸中的安全。
? 員工外出工作需要攜帶設(shè)備時(shí),必須獲得相關(guān)領(lǐng)導(dǎo)者的批準(zhǔn),并應(yīng)采取相應(yīng)的保護(hù)措施,防止丟失,防止損毀,確保信息安全。如:設(shè)備必須設(shè)置密碼、不留在公共場(chǎng)所無(wú)人看管、不暴露于強(qiáng)電磁場(chǎng)等。
? 任何員工都有義務(wù)向其直接領(lǐng)導(dǎo)或信息安全管理委員會(huì)報(bào)告可能會(huì)危及密級(jí)信息安全的任何活動(dòng)、行為和提出改進(jìn)建議。
(3)使用者職責(zé) 這里所說(shuō)的使用者是指訪問(wèn)本 XXX 信息化服務(wù)中心密級(jí)信息的人員。
? 使用者必須獲得授權(quán)、了解該信息的安全要求,并采取相應(yīng)的安全保護(hù)措施。
? 如果已授權(quán)的使用者不了解其所要訪問(wèn)的信息的安全要求,那么他必須對(duì)該信息提供最高極限的保護(hù)。
? 使用者應(yīng)小心保護(hù)其訪問(wèn)信息的密碼、物理鑰匙和ID卡,一旦發(fā)生密碼泄露或鑰匙、ID 卡丟失,應(yīng)立即向其直接領(lǐng)導(dǎo)報(bào)告并承擔(dān)相應(yīng)責(zé)任。信息安全管理體系實(shí)施框架
XXX 信息化服務(wù)中心要根據(jù)所要實(shí)現(xiàn)的信息安全目標(biāo)選取適當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估方法,并制定風(fēng)險(xiǎn)評(píng)估程序以持續(xù)適用于 XXX 信息化服務(wù)中心的信息安全管理體系。
信息安全風(fēng)險(xiǎn)在被識(shí)別后,應(yīng)進(jìn)行分析和評(píng)價(jià),根據(jù)其結(jié)果,選取合適的控制措施,以滿足風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理過(guò)程中所識(shí)別的需求??刂拼胧┑倪x擇還應(yīng)考慮可接受風(fēng)險(xiǎn)的準(zhǔn)則以及法律法規(guī)和合同要求。
本 XXX 信息化服務(wù)中心風(fēng)險(xiǎn)接受準(zhǔn)則是:如果降低風(fēng)險(xiǎn)所付出的成本大于風(fēng)險(xiǎn)所造成的損失,則選擇接受風(fēng)險(xiǎn)。
可接受的風(fēng)險(xiǎn)級(jí)別為:按照 XXX 信息化服務(wù)中心所采取的風(fēng)險(xiǎn)評(píng)估方法,風(fēng)險(xiǎn)共分 4級(jí),可接受風(fēng)險(xiǎn)級(jí)別為低風(fēng)險(xiǎn)和一般風(fēng)險(xiǎn),或者管理者批準(zhǔn)接受的風(fēng)險(xiǎn);較高風(fēng)險(xiǎn)和高風(fēng)險(xiǎn)不能接受。重要原則、標(biāo)準(zhǔn)和符合性要求 ? 法律法規(guī)和合同要求的符合性 XXX 信息化服務(wù)中心在建立和管理信息安全管理體系時(shí),必須符合相關(guān)法律法規(guī)和合同的要求。
? 安全教育、培訓(xùn)和意識(shí)要求 所有分配有信息職責(zé)的人員必須具備執(zhí)行所要求任務(wù)的能力,因此 XXX 信息化服務(wù)中心要確定這些人員所必要的能力,提供能力培訓(xùn),必要時(shí),可聘用有能力的人員以滿足這些需求。同時(shí)要評(píng)價(jià)所提供的培訓(xùn)和所采取的措施的有效性,保持教育、培訓(xùn)、技能、經(jīng)歷和資格的記錄。另外,XXX 信息化服務(wù)中心還要確保所有相關(guān)人員意識(shí)到其信息安全活動(dòng)的適當(dāng)性和重要性,以及如何為達(dá)到信息安全管理體系目標(biāo)做出貢獻(xiàn)。
? 業(yè)務(wù)持續(xù)性管理 為防止 XXX 信息化服務(wù)中心業(yè)務(wù)活動(dòng)中斷,保護(hù)關(guān)鍵業(yè)務(wù)過(guò)程免受重大失誤或?yàn)?zāi)難的影響,以及確保它們的及時(shí)恢復(fù),業(yè)務(wù)持續(xù)性管理計(jì)劃必須考慮信息和信息安全的需求,對(duì)能引起業(yè)務(wù)流程中斷的事態(tài)進(jìn)行識(shí)別,連同這種中斷發(fā)生的概率和影響,以及它們對(duì)信息安全的后果也要進(jìn)行識(shí)別,確保在關(guān)鍵業(yè)務(wù)過(guò)程中斷或失敗后能夠在要求的水平和要求的時(shí)間內(nèi)恢復(fù)信息的可用性。評(píng)審 此文件需要在 12 個(gè)月內(nèi)定期通過(guò)管理評(píng)審等方式進(jìn)行一次評(píng)審,當(dāng)信息安全管理體系發(fā)生重大變化時(shí),也應(yīng)評(píng)審并根據(jù)評(píng)審結(jié)果適時(shí)更新,以維持其持續(xù)適用性。
第三篇:信息安全工作總體方針和安全策略
1.總體目標(biāo)
以滿足業(yè)務(wù)運(yùn)行要求,遵守行業(yè)規(guī)程,實(shí)施等級(jí)保護(hù)及風(fēng)險(xiǎn)管理,確保信息安全以及實(shí)現(xiàn)持續(xù)改進(jìn)的目的等內(nèi)容作為本單位信息安全工作的總體方針。以信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運(yùn)行,信息服務(wù)不中斷為總體目標(biāo)。
2.范圍
本案適用于某單位信息安全整體工作。在全單位范圍內(nèi)給予執(zhí)行,由某部門對(duì)該項(xiàng)工作的落實(shí)和執(zhí)行進(jìn)行監(jiān)督,由某部門配合某部門對(duì)本案的有效性進(jìn)行持續(xù)改進(jìn)。
3.原則
以誰(shuí)主管誰(shuí)負(fù)責(zé)為原則(或者采用其他原則例如:“整體保護(hù)原則”、“適度保護(hù)的等級(jí)化原則”、“分域保護(hù)原則”、“動(dòng)態(tài)保護(hù)原則”、“多級(jí)保護(hù)原則”、“深度保護(hù)原則”和“信息流向原則”等)。
4.策略框架
建立一套關(guān)于物理、主機(jī)、網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)、建設(shè)和管理等六個(gè)方面的安全需求、控制措施及執(zhí)行程序,并在關(guān)聯(lián)制度文檔中定義出相關(guān)的安全角色,并對(duì)其賦予管理職責(zé)?!耙匀藶楸尽保ㄟ^(guò)對(duì)信息安全工作人員的安全意識(shí)培訓(xùn)等方法不斷加強(qiáng)系統(tǒng)分布的合理性和有效性。4.1 物理方面
依據(jù)實(shí)際情況建立機(jī)房管理制度,明確機(jī)房的出入管理辦法,機(jī)房介質(zhì)存放方式,機(jī)房設(shè)備維護(hù)周期及維護(hù)方式,機(jī)房設(shè)備信息保密要求,機(jī)房溫濕度控制
方式等等環(huán)境要求。通過(guò)明確機(jī)房責(zé)任人、建立機(jī)房管理相關(guān)辦法、對(duì)維護(hù)和出入等過(guò)程建立記錄等方式對(duì)機(jī)房安全進(jìn)行保護(hù)。4.2網(wǎng)絡(luò)方面
從技術(shù)角度實(shí)現(xiàn)網(wǎng)絡(luò)的合理分布、網(wǎng)絡(luò)設(shè)備的實(shí)施監(jiān)控、網(wǎng)絡(luò)訪問(wèn)策略的統(tǒng)一規(guī)劃、網(wǎng)絡(luò)安全掃描以及對(duì)網(wǎng)絡(luò)配置文件等必要信息進(jìn)行定期備份。從管理角度明確網(wǎng)絡(luò)各個(gè)區(qū)域的安全責(zé)任人,建立網(wǎng)絡(luò)維護(hù)方面相關(guān)操作辦法并由某人或某部門監(jiān)督執(zhí)行看,確保各信息系統(tǒng)網(wǎng)絡(luò)運(yùn)行情況穩(wěn)定、可靠、正常的運(yùn)行。4.3主機(jī)方面
要求各類主機(jī)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)在滿足各類業(yè)務(wù)系統(tǒng)的正常運(yùn)行條件下,建立系統(tǒng)訪問(wèn)控制辦法、劃分系統(tǒng)使用權(quán)限、安裝惡意代碼防范軟件并對(duì)惡意代碼的檢查過(guò)程進(jìn)行記錄。明確各類主機(jī)的責(zé)任人,對(duì)主機(jī)關(guān)鍵信息進(jìn)行定期備份。4.4應(yīng)用方面
從技術(shù)角度實(shí)現(xiàn)應(yīng)用系統(tǒng)的操作可控、訪問(wèn)可控、通信可控。從管理角度實(shí)現(xiàn)各類控制辦法的有效執(zhí)行,建立完善的維護(hù)操作規(guī)程以及明確定期備份內(nèi)容。4.5數(shù)據(jù)方面
對(duì)本單位或本部門的各類業(yè)務(wù)數(shù)據(jù)、設(shè)備配置信息、總體規(guī)劃信息等等關(guān)鍵數(shù)據(jù)建立維護(hù)辦法,并由某部門或某人監(jiān)督、執(zhí)行。通過(guò)匯報(bào)或存儲(chǔ)方式實(shí)現(xiàn)關(guān)鍵數(shù)據(jù)的安全傳輸、存儲(chǔ)和使用。4.6
建設(shè)和管理方面 4.6.1 信息安全管理機(jī)制
成立信息安全管理主要機(jī)構(gòu)或部門,設(shè)立安全主管等主要安全角色,依據(jù)信
息安全等級(jí)保護(hù)三級(jí)標(biāo)準(zhǔn)(要求),建立信息系統(tǒng)的整體管理辦法。4.6.2 信息安全管理組織
分別建立安全管理崗位和機(jī)構(gòu)的職責(zé)文件,對(duì)機(jī)構(gòu)和人員的職責(zé)進(jìn)行明確。建立信息發(fā)布、變更、審批等流程和制度類文件,增強(qiáng)制度的有效性。建立安全審核和檢查的相關(guān)制度及報(bào)告方式。4.6.3 人員安全管理要求
對(duì)人員的錄用、離崗、考核、培訓(xùn)、安全意識(shí)教育等方面應(yīng)通過(guò)制度和操作程序進(jìn)行明確。
4.6.4 信息安全等級(jí)保護(hù)工作及風(fēng)險(xiǎn)評(píng)估要求
定期對(duì)已備案的信息系統(tǒng)進(jìn)行等級(jí)保護(hù)測(cè)評(píng),以保證信息系統(tǒng)運(yùn)行風(fēng)險(xiǎn)維持在較低水平,不斷增強(qiáng)系統(tǒng)的穩(wěn)定性和安全性。4.6.5 報(bào)告安全事件要求
對(duì)突發(fā)安全事件建立應(yīng)急預(yù)案管理制度和相關(guān)操作辦法,并定期組織人員進(jìn)行演練,以保證信息系統(tǒng)在面臨突發(fā)事件時(shí)能夠在較短時(shí)間內(nèi)恢復(fù)正常的使用。4.6.6 業(yè)務(wù)持續(xù)性要求
根據(jù)對(duì)系統(tǒng)的等級(jí)測(cè)評(píng)、風(fēng)險(xiǎn)評(píng)估等間接問(wèn)題挖掘,及時(shí)改進(jìn)信息系統(tǒng)的各類弊端,包括業(yè)務(wù)弊端,應(yīng)建立相關(guān)改進(jìn)措施或改進(jìn)辦法,以保證對(duì)信息系統(tǒng)的業(yè)務(wù)持續(xù)性要求。
4.6.7 違反信息安全要求的懲罰
建立懲處辦法,對(duì)違反信息安全總體方針、安全策略的、程序流程和管理措施的人員,依照問(wèn)題的嚴(yán)重性進(jìn)行懲罰。
5.相關(guān)文件
5.1 《信息安全各部門安全需求及控制措施》 5.2 《信息安全各部門安全工作執(zhí)行程序》 5.3 《機(jī)房安全管理制度》 5.4 《網(wǎng)絡(luò)安全管理制度》 5.5 《系統(tǒng)安全管理制度》 5.6 《設(shè)備操作規(guī)程》 5.7 《崗位職責(zé)文件》
5.8 《信息安全管理機(jī)構(gòu)組成文件》 5.9 《人事管理制度》/《員工手冊(cè)》 5.10 5.11 《應(yīng)急預(yù)案管理制度》
《信息安全等級(jí)保護(hù)測(cè)評(píng)報(bào)告》/《信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告》
第四篇:01 信息安全總體方針和安全策略指引
XXX公司
信息安全總體方針和安全策略指引
第一章總則
第一條為了進(jìn)一步深入貫徹落實(shí)國(guó)家政策文件要求,加強(qiáng)公司信息安全管理工作,切實(shí)提高公司信息系統(tǒng)安全保障能力,特制定本指引。第二條本指引適合于公司。
第三條公司信息安全管理遵循如下原則:
(一)主要領(lǐng)導(dǎo)負(fù)責(zé)原則:公司主要領(lǐng)導(dǎo)負(fù)責(zé)信息安全管理工作,統(tǒng)籌規(guī)劃信息安全管理目標(biāo)和策略,建立信息安全保障隊(duì)伍并合理配置資源;
(二)全員參與原則:公司全員參與信息系統(tǒng)的安全管理工作,將信息安全與本職工作相結(jié)合,相互協(xié)同工作,認(rèn)真落實(shí)信息安全管理要求,共同保障信息系統(tǒng)安全;
(三)合規(guī)性原則:信息安全管理制度遵循國(guó)際信息安全管理標(biāo)準(zhǔn),以國(guó)家信息安全法律、法規(guī)、標(biāo)準(zhǔn)、規(guī)范為根本依據(jù),全面符合相關(guān)主管部門和公司的各類要求。
(四)監(jiān)督制約原則:信息系統(tǒng)安全管理組織結(jié)構(gòu)、組織職責(zé)、崗位職責(zé)、工作流程層面、執(zhí)行層面建立相互監(jiān)督制約機(jī)制,降低因缺乏約束而產(chǎn)生的安全風(fēng)險(xiǎn)。
(五)規(guī)范化原則:通過(guò)建立規(guī)范化的工作流程,在執(zhí)行層面對(duì)信息系統(tǒng)安全工作進(jìn)行合理控制,降低由于工作隨意性而產(chǎn)生的安全風(fēng)險(xiǎn),同時(shí)提升信息安全管理制度的可操作性。
(六)持續(xù)改進(jìn)原則:通過(guò)不斷的持續(xù)改進(jìn),每年組織公司管理層對(duì)制度的全面性、適用性和有效性進(jìn)行論證和審定,并進(jìn)行版本修訂。第四條本指引適用于公司全體人員。
第二章信息安全保障框架及目標(biāo)
第五條參照國(guó)內(nèi)外相關(guān)標(biāo)準(zhǔn),并結(jié)合公司已有網(wǎng)絡(luò)與信息安全體系建設(shè)的實(shí)際情況,最終形成依托于安全保護(hù)對(duì)象為基礎(chǔ),縱向建立安全管理體系、安全技術(shù)體系、安全運(yùn)行體系和安全管理中心的“三個(gè)體系,一個(gè)中心,三重防護(hù)”的安全保障體系框架。
(一)“三個(gè)體系”:信息安全管理體系、信息安全技術(shù)體系和信息安全運(yùn)行體系,把信息安全標(biāo)準(zhǔn)的控制點(diǎn)和公司實(shí)際情況相結(jié)合形成相適應(yīng)的體系結(jié)構(gòu)框架;
(二)“一個(gè)中心”:信息安全管理中心,實(shí)現(xiàn)“自動(dòng)、平臺(tái)化”的安全工作管理、統(tǒng)一技術(shù)管理和安全運(yùn)維管理;
(三)“三重防護(hù)”:安全計(jì)算環(huán)境防護(hù)措施、安全區(qū)域邊界防護(hù)措施和安全網(wǎng)絡(luò)通信防護(hù)措施,把安全技術(shù)控制措施與安全保護(hù)對(duì)象相結(jié)合。
第六條公司安全保障框架:
(一)安全管理體系:信息安全管理體系重點(diǎn)落實(shí)安全管理制度、安全管理機(jī)構(gòu)和人員安全管理的相關(guān)控制要求,并結(jié)合公司的實(shí)際情況形成符合行業(yè)和國(guó)家信息安全標(biāo)準(zhǔn)的信息安全管理體系框架。(二)安全技術(shù)體系:通過(guò)安全技術(shù)在物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用和數(shù)據(jù)各個(gè)層面的實(shí)施,建立與公司實(shí)際情況相結(jié)合的安全技術(shù)體系。同時(shí)與“安全計(jì)算環(huán)境、安全區(qū)域邊界和安全網(wǎng)絡(luò)通信”的保護(hù)對(duì)象相作用,形成依托于保護(hù)對(duì)象的安全技術(shù)體系控制措施。
(三)安全運(yùn)行體系:信息安全運(yùn)行體系重點(diǎn)落實(shí)系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理的相關(guān)控制要求,并與公司實(shí)際情況相結(jié)合,形成符合行業(yè)和國(guó)家信息安全標(biāo)準(zhǔn)的信息安全運(yùn)行體系框架。
(四)安全管理中心:根據(jù)信息安全相關(guān)要求和安全設(shè)計(jì)技術(shù)要求的相關(guān)內(nèi)容,信息安全管理中心通過(guò)“自動(dòng)、平臺(tái)化”的方式,對(duì)信息安全管理體系、信息安全技術(shù)體系以及信息安全運(yùn)行體系的相關(guān)控制內(nèi)容,結(jié)合公司的實(shí)際情況加以落實(shí)。
第七條公司信息安全總體目標(biāo)是:依照業(yè)務(wù)信息系統(tǒng)的實(shí)際情況和現(xiàn)實(shí)問(wèn)題為基礎(chǔ),參照國(guó)內(nèi)、國(guó)際的安全標(biāo)準(zhǔn)和規(guī)范,充分利用成熟的信息安全理論成果,設(shè)計(jì)出整體性好、可操作性強(qiáng),并且融組織、管理和技術(shù)為一體的設(shè)計(jì)方案,達(dá)到行業(yè)和國(guó)家信息安全標(biāo)準(zhǔn)的要求。
第三章安全策略
第八條建立信息安全領(lǐng)導(dǎo)小組,負(fù)責(zé)組織、落實(shí)國(guó)家信息安全相關(guān)政策、法規(guī)和標(biāo)準(zhǔn)要求,審核并制定公司信息安全的發(fā)展戰(zhàn)略、規(guī)劃、政策和管理制度,落實(shí)《公司信息安全組織及職責(zé)管理辦法》。第九條保持與國(guó)家信息安全主管機(jī)構(gòu)、監(jiān)管機(jī)構(gòu)、上級(jí)主管單位和支撐企業(yè)信息安全建設(shè)、運(yùn)營(yíng)單位的聯(lián)絡(luò),制定完整的《公司常用信息安全組織機(jī)構(gòu)信息表》,確保與外部機(jī)構(gòu)的溝通暢通。
第十條加強(qiáng)公司內(nèi)部人員在錄用前、工作期間、調(diào)崗和離崗的人員安全管理,確保公司內(nèi)部人員的背景、身份、專業(yè)資格和職能權(quán)限的安全性,要求信息安全人員簽署保密協(xié)議,落實(shí)《公司內(nèi)部人員信息安全管理辦法》。
第十一條加強(qiáng)外部人員的安全管理,防范外部人員帶來(lái)的安全風(fēng)險(xiǎn),規(guī)范外部人員在公司各項(xiàng)與信息系統(tǒng)相關(guān)的活動(dòng)所要遵守的行為準(zhǔn)則,嚴(yán)格落實(shí)《公司外部人員信息安全管理辦法》。
第十二條 每年組織開(kāi)展全員信息安全教育或培訓(xùn),提升公司全員的信息安全意識(shí),確保公司信息安全目標(biāo)和策略能夠得到必要的宣貫。第十三條 建立信息安全管理制度制定、發(fā)布、審核和修訂的管理要求,并滿足國(guó)家法律、政策和規(guī)范的要求,確保信息安全管理制度持續(xù)改進(jìn),落實(shí)《公司信息安全制度管理辦法》。
第十四條 確保信息化建設(shè)的項(xiàng)目立項(xiàng)、設(shè)計(jì)、實(shí)施、驗(yàn)收等各個(gè)環(huán)節(jié)與信息安全管理控制機(jī)制的有機(jī)結(jié)合,實(shí)現(xiàn)項(xiàng)目工程管理過(guò)程和內(nèi)容安全可控,嚴(yán)格執(zhí)行《公司信息系統(tǒng)建設(shè)安全管理辦法》。第十五條 加強(qiáng)公司信息系統(tǒng)的物理環(huán)境和設(shè)施的信息安全規(guī)范性管理工作,確保物理環(huán)境、設(shè)施設(shè)備和進(jìn)出訪問(wèn)控制安全,落實(shí)《公司機(jī)房環(huán)境安全管理辦法》和《公司辦公環(huán)境信息安全管理辦法》。第十六條 加強(qiáng)對(duì)公司信息資產(chǎn)的安全管理,建立統(tǒng)一的信息資產(chǎn)分類、責(zé)任、授權(quán)和配置管理,明確公司硬件資產(chǎn)、軟件資產(chǎn)和數(shù)據(jù)資產(chǎn)的信息安全管理工作,落實(shí)《公司信息資產(chǎn)安全管理辦法》。第十七條 加強(qiáng)信息資產(chǎn)的運(yùn)行維護(hù)管理工作,對(duì)系統(tǒng)的工作環(huán)境、安全運(yùn)行、策略進(jìn)行定期檢查,記錄信息系統(tǒng)運(yùn)行的日志及狀態(tài),定期對(duì)信息資產(chǎn)進(jìn)行清點(diǎn),確保各系統(tǒng)的正常運(yùn)行,落實(shí)《公司信息安全運(yùn)行維護(hù)管理辦法》。
第十八條 加強(qiáng)信息系統(tǒng)運(yùn)行維護(hù)過(guò)程中的變更管理,確保公司信息系統(tǒng)的可核查性和可追溯性,合理控制信息系統(tǒng)變更產(chǎn)生的信息安全風(fēng)險(xiǎn),結(jié)合日常信息系統(tǒng)的運(yùn)行有關(guān)管理辦法,落實(shí)《公司信息系統(tǒng)變更管理辦法》。
第十九條 加強(qiáng)對(duì)信息安全事件的監(jiān)控和管理,建立應(yīng)急事件的報(bào)告、協(xié)調(diào)、處理機(jī)制。制定重要信息系統(tǒng)的應(yīng)急響應(yīng)預(yù)案,并進(jìn)行演練和定期更新,確保信息系統(tǒng)的連續(xù)穩(wěn)定運(yùn)行,落實(shí)《公司應(yīng)急管理辦法》和《公司信息安全分類應(yīng)急預(yù)案》。
第二十條 對(duì)磁帶、磁盤、磁盤陣列、光盤、硬盤、紙質(zhì)等各類移動(dòng)存儲(chǔ)介質(zhì)進(jìn)行的所有安全管理活動(dòng)進(jìn)行管理,介質(zhì)使用必須要有授權(quán),保證介質(zhì)使用的安全。落實(shí)《公司介質(zhì)安全管理辦法》。第二十一條為規(guī)范管理員對(duì)網(wǎng)絡(luò)設(shè)備的訪問(wèn)及操作行為,降低由于口令強(qiáng)度不夠和設(shè)置不完善等造成的安全隱患和風(fēng)險(xiǎn),應(yīng)加強(qiáng)各信息系統(tǒng)的口令管理,落實(shí)《公司密碼管理辦法》。
第二十二條加強(qiáng)對(duì)網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)、規(guī)劃、變更審批和運(yùn)維監(jiān)督,定期對(duì)網(wǎng)絡(luò)中的系統(tǒng)進(jìn)行漏洞掃描,對(duì)重要網(wǎng)段進(jìn)行保護(hù),落實(shí)《公司網(wǎng)絡(luò)安全管理辦法》。
第二十三條規(guī)范系統(tǒng)的使用,對(duì)系統(tǒng)的賬戶權(quán)限進(jìn)行有效控制,及時(shí)的更新系統(tǒng)的補(bǔ)丁,有效的保護(hù)系統(tǒng)中的文件,對(duì)重要系統(tǒng)的文件進(jìn)行保護(hù),落實(shí)《公司系統(tǒng)安全管理辦法》。第二十四條定期對(duì)網(wǎng)絡(luò)中的應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)進(jìn)行備份,實(shí)現(xiàn)異地備份的方式,同時(shí)每年需要進(jìn)行一次數(shù)據(jù)恢復(fù)演練,數(shù)據(jù)的保存周期至少為五年,合理的根據(jù)情況進(jìn)行調(diào)整備份時(shí)間,落實(shí)《公司信息備份與恢復(fù)管理制度》。
第四章獎(jiǎng)懲
第二十五條對(duì)長(zhǎng)期認(rèn)真貫徹公司信息安全管理辦法,并因此而取得較好成績(jī)的組織和個(gè)人給予必要的鼓勵(lì)、宣傳和獎(jiǎng)勵(lì)。
第二十六條對(duì)違反公司信息安全管理辦法的組織、人員,根據(jù)其對(duì)公司造成的損害程度,給予必要的批評(píng)教育、通報(bào)批評(píng)、經(jīng)濟(jì)處罰、行政處分等懲罰;構(gòu)成犯罪的,移交司法機(jī)關(guān)依法處理。
第五章附則
第二十七條 本指引由公司信息安全工作組制定,并負(fù)責(zé)解釋和修訂。
第二十八條本指引自發(fā)布之日起執(zhí)行。
第五篇:信息安全總體策略
X XXX 信息化服務(wù)中心
信息安全 總體 策略
項(xiàng)目名稱
XXX 安全運(yùn)維服務(wù)項(xiàng)目 客戶名稱
XXX 信息化服務(wù)中心 實(shí)施地點(diǎn)
XXX 信息化服務(wù)中心 實(shí)施單位
XXX 信息技術(shù)有限 實(shí)施時(shí)間
XXX 年 7 月 20 日星期五
文檔修訂情況
版本 修訂記錄 日期 修訂 審核 批準(zhǔn) v1.0 制作文檔 XXX-07-17
目錄
物理安全策略..........................................................................................................................................3
網(wǎng) 網(wǎng) XXX 全策略.........................................................................................................................................3
系統(tǒng)安全策略..........................................................................................................................................4
病毒管理策略..........................................................................................................................................4
身份認(rèn)證策略..........................................................................................................................................5
用戶授權(quán)與訪問(wèn)控制策略.......................................................................................................................5
數(shù)據(jù)加密策略..........................................................................................................................................5
數(shù)據(jù)備份與災(zāi)難恢復(fù)..............................................................................................................................6
應(yīng)急響應(yīng)策略..........................................................................................................................................6
安全教育策略......................................................................................................................................7
物理安全策略 ? 計(jì)算機(jī)機(jī)房的建設(shè)必須遵循國(guó)家在計(jì)算機(jī)機(jī)房場(chǎng)地選擇、環(huán)境安全、布線施工方面的標(biāo)準(zhǔn),保證物理環(huán)境安全。
? 關(guān)鍵應(yīng)用系統(tǒng)的服務(wù)器主機(jī)和前置機(jī)服務(wù)器、主要的網(wǎng)絡(luò)設(shè)備必須放置于計(jì)算機(jī)機(jī)房?jī)?nèi)部的適當(dāng)位置,通過(guò)物理訪問(wèn)控制機(jī)制,保證這些設(shè)備自身的安全性。
? 應(yīng)當(dāng)建立人員出入訪問(wèn)控制機(jī)制,嚴(yán)格控制人員出入計(jì)算機(jī)機(jī)房和其它重要安全區(qū)域,訪問(wèn)控制機(jī)制還需要能夠提供審計(jì)功能,便于檢查和分析。
? 應(yīng)當(dāng)指定專門的部門和人員,負(fù)責(zé)計(jì)算機(jī)機(jī)房的建設(shè)和管理工作,建立 24 小時(shí)值班制度。
? 建立計(jì)算機(jī)機(jī)房管理制度,對(duì)設(shè)備安全管理、介質(zhì)安全管理、人員出入訪問(wèn)控制管理等做出詳細(xì)的規(guī)定。
? 管理機(jī)構(gòu)應(yīng)當(dāng)定期對(duì)計(jì)算機(jī)機(jī)房各項(xiàng)安全措施和安全管理制度的有效性和實(shí)施狀況進(jìn)行檢查,發(fā)現(xiàn)問(wèn)題,進(jìn)行改進(jìn)。網(wǎng) 網(wǎng) 絡(luò)安 全策略 ? 必須對(duì)網(wǎng)絡(luò)和信息系統(tǒng)進(jìn)行安全域劃分,建立隔離保護(hù)機(jī)制,并且在各安全域之間建立訪問(wèn)控制機(jī)制,杜絕發(fā)生未授權(quán)的非法訪問(wèn)現(xiàn)象,特別的,必須對(duì)生產(chǎn)網(wǎng)和辦公網(wǎng)進(jìn)行劃分和隔離。
? 應(yīng)當(dāng)部署網(wǎng)絡(luò)管理體系,管理網(wǎng)絡(luò)資源和設(shè)備,實(shí)施監(jiān)控網(wǎng)絡(luò)系統(tǒng)的運(yùn)行狀態(tài),降低網(wǎng)絡(luò)故障帶來(lái)的安全風(fēng)險(xiǎn)。
? 應(yīng)當(dāng)對(duì)關(guān)鍵的通信線路、網(wǎng)絡(luò)設(shè)備提供冗余設(shè)計(jì),防止關(guān)鍵線路和設(shè)備的單點(diǎn)故障造成通信服務(wù)中斷。
? 應(yīng)當(dāng)在各安全域的邊界,綜合部署網(wǎng) XXX 全訪問(wèn)措施,包括防火墻、入侵檢測(cè)、VPN,建立多層次的,立體的網(wǎng) XXX 全防護(hù)體系。
? 應(yīng)當(dāng)建立網(wǎng)絡(luò)弱點(diǎn)分析機(jī)制,發(fā)現(xiàn)和彌補(bǔ)網(wǎng)絡(luò)中存在的安全漏洞,及時(shí)進(jìn)行自我完善。
? 應(yīng)當(dāng)建立遠(yuǎn)程訪問(wèn)機(jī)制,實(shí)現(xiàn)安全的遠(yuǎn)程辦公和移動(dòng)辦公。
? 應(yīng)當(dāng)指定專門的部門和人員,負(fù)責(zé)網(wǎng) XXX 全系統(tǒng)的規(guī)劃、建設(shè)、管理維護(hù)。
? 應(yīng)當(dāng)建立網(wǎng) XXX 全系統(tǒng)的建設(shè)標(biāo)準(zhǔn)和相關(guān)的運(yùn)營(yíng)維護(hù)管理規(guī)范,在范圍內(nèi)指導(dǎo)實(shí)際的系統(tǒng)建設(shè)和維護(hù)管理。
? 管理機(jī)構(gòu)應(yīng)當(dāng)定期對(duì)網(wǎng) XXX 全措施和安全管理制度的有效性和實(shí)施狀況進(jìn)行檢查,發(fā)現(xiàn)問(wèn)題,進(jìn)行改進(jìn)。系統(tǒng)安全策略 ? 應(yīng)當(dāng)對(duì)關(guān)鍵服務(wù)器主機(jī)設(shè)備提供冗余設(shè)計(jì),防止單點(diǎn)故障造成網(wǎng)絡(luò)服務(wù)中斷。
? 應(yīng)當(dāng)建立主機(jī)弱點(diǎn)分析機(jī)制,發(fā)現(xiàn)和彌補(bǔ)系統(tǒng)軟件中存在的不當(dāng)配置和安全漏洞,及時(shí)進(jìn)行自我完善。
? 應(yīng)當(dāng)建立主機(jī)系統(tǒng)軟件版本維護(hù)機(jī)制,及時(shí)升級(jí)系統(tǒng)版本和補(bǔ)丁程序版本,保持系統(tǒng)軟件的最新?tīng)顟B(tài)。
? 應(yīng)當(dāng)建立主機(jī)系統(tǒng)軟件備份和恢復(fù)機(jī)制,在災(zāi)難事件發(fā)生之后,能夠快速實(shí)現(xiàn)系統(tǒng)恢復(fù)。
? 可以建立主機(jī)入侵檢測(cè)機(jī)制,發(fā)現(xiàn)主機(jī)系統(tǒng)中的異常操作行為,以及對(duì)主機(jī)發(fā)起的攻擊行為,并及時(shí)向管理員報(bào)警。
? 應(yīng)當(dāng)指定專門的部門和人員,負(fù)責(zé)主機(jī)系統(tǒng)的管理維護(hù)。
? 應(yīng)當(dāng)建立主機(jī)系統(tǒng)管理規(guī)范,包括系統(tǒng)軟件版本管理、主機(jī)弱點(diǎn)分析、主機(jī)審計(jì)日志檢查和分析、以及系統(tǒng)軟件的備份和恢復(fù)等內(nèi)容。
? 應(yīng)當(dāng)建立桌面系統(tǒng)使用管理規(guī)范,約束和指導(dǎo)用戶使用桌面系統(tǒng),并對(duì)其進(jìn)行正確有效的配置和管理。
? 管理機(jī)構(gòu)應(yīng)當(dāng)定期對(duì)各項(xiàng)系統(tǒng)安全管理制度的有效性和實(shí)施狀況進(jìn)行檢查,發(fā)現(xiàn)問(wèn)題,進(jìn)行改進(jìn)。病毒管理策略 ? 應(yīng)當(dāng)建立全面網(wǎng)絡(luò)病毒查殺機(jī)制,實(shí)現(xiàn) XXX 信息化服務(wù)中心全網(wǎng)范圍內(nèi)的病毒防治,抑止病毒的傳播。
? 所有內(nèi)部網(wǎng)絡(luò)上的計(jì)算機(jī)在聯(lián)入內(nèi)部網(wǎng)絡(luò)之前,都應(yīng)當(dāng)安裝和配置殺毒軟件,并且通過(guò)管理中心進(jìn)行更新,任何用戶不能禁用病毒掃描和查殺功能。
? 所有內(nèi)部網(wǎng)絡(luò)上的計(jì)算機(jī)系統(tǒng)都應(yīng)當(dāng)定期進(jìn)行完整的系統(tǒng)掃描。
? 從外部介質(zhì)安裝數(shù)據(jù)和程序之前,或安裝下載的數(shù)據(jù)和程序之前,必須對(duì)其進(jìn)行病毒掃描,以防止存在病毒感染操作系統(tǒng)和應(yīng)用程序。
? 第三方數(shù)據(jù)和程序在安裝到內(nèi)部網(wǎng)絡(luò)的系統(tǒng)之前,必須在隔離受控的模擬系統(tǒng)上進(jìn)行病毒掃描測(cè)試。
? 任何內(nèi)部用戶不能故意制造、執(zhí)行、傳播、或引入任何可以自我復(fù)制、破壞或者影響計(jì)算機(jī)內(nèi)存、存儲(chǔ)介質(zhì)、操作系統(tǒng)、應(yīng)用程序的計(jì)算機(jī)代碼
? 應(yīng)當(dāng)指定專門的部門和人員,負(fù)責(zé)網(wǎng)絡(luò)病毒防治系統(tǒng)的管理維護(hù)。
? 應(yīng)當(dāng)建立網(wǎng)絡(luò)病毒防治系統(tǒng)的管理規(guī)范,有效發(fā)揮病毒防治系統(tǒng)的安全效能。
? 應(yīng)當(dāng)建立桌面系統(tǒng)病毒防治管理規(guī)范,約束和指導(dǎo)用戶在桌面系統(tǒng)上的操作行為,以及對(duì)殺毒軟件的配置和管理,達(dá)到保護(hù)桌面系統(tǒng)、抑止病毒傳播的目的。
? 管理機(jī)構(gòu)應(yīng)當(dāng)定期對(duì)與病毒查殺有關(guān)安全管理制度的有效性和實(shí)施狀況進(jìn)行檢查,發(fā)現(xiàn)問(wèn)題,進(jìn)行改進(jìn)。身份認(rèn)證策略 ? 應(yīng)當(dāng)在范圍內(nèi)建立統(tǒng)一的用戶身份管理基礎(chǔ)設(shè)施,向應(yīng)用系統(tǒng)提供集中的用戶身份認(rèn)證服務(wù)。
? 應(yīng)當(dāng)選擇安全性高,投入收益比率較好,易管理維護(hù)的身份認(rèn)證技術(shù),建立身份管理基礎(chǔ)設(shè)施。
? 每個(gè)內(nèi)部員工具有范圍內(nèi)唯一的身份標(biāo)識(shí),用戶在訪問(wèn)應(yīng)用系統(tǒng)之前,必須提交身份標(biāo)識(shí),并對(duì)其進(jìn)行認(rèn)證;員工離職時(shí),要撤銷其在信息系統(tǒng)內(nèi)部的合法身份。
? 應(yīng)當(dāng)對(duì)現(xiàn)有的應(yīng)用系統(tǒng)進(jìn)行技術(shù)改造,使用身份管理基礎(chǔ)設(shè)施的安全服務(wù)。
? 應(yīng)當(dāng)建立專門的部門和崗位,負(fù)責(zé)用戶身份的管理,以及身份管理基礎(chǔ)設(shè)施的建設(shè)、運(yùn)行、維護(hù)。
? 應(yīng)當(dāng)在范圍內(nèi)建立用戶標(biāo)識(shí)管理規(guī)范,對(duì)用戶標(biāo)識(shí)格式,產(chǎn)生和撤銷流程進(jìn)行統(tǒng)一規(guī)定。用戶授權(quán)與訪問(wèn)控制策略 ? 應(yīng)當(dāng)依托身份認(rèn)證基礎(chǔ)設(shè)施,將集中管理與分布式管理有機(jī)結(jié)合起來(lái),建立分級(jí)的用戶授權(quán)與訪問(wèn)控制管理機(jī)制。
? 每個(gè)內(nèi)部員工在信息系統(tǒng)內(nèi)部的操作行為必須被限定在合法授權(quán)的范圍之內(nèi);員工離職時(shí),要撤銷其在信息系統(tǒng)內(nèi)部的所有訪問(wèn)權(quán)限。
? 應(yīng)當(dāng)對(duì)現(xiàn)有的應(yīng)用系統(tǒng)進(jìn)行技術(shù)改造,使用授權(quán)與訪問(wèn)控制系統(tǒng)提供的安全服務(wù)。
? 應(yīng)當(dāng)建立專門崗位,負(fù)責(zé)用戶權(quán)限管理,以及授權(quán)和訪問(wèn)控制系統(tǒng)的建設(shè)、運(yùn)行、維護(hù)。
? 應(yīng)當(dāng)在范圍內(nèi),建立包括用戶權(quán)限的授予和撤銷在內(nèi)的一整套管理流程和制度。數(shù)據(jù)加密策略 ? 加密技術(shù)的采用和加密機(jī)制的建立,應(yīng)該符合國(guó)家有關(guān)的法律和規(guī)定。
? 應(yīng)當(dāng)建立內(nèi)部信息系統(tǒng)的密級(jí)分級(jí)標(biāo)準(zhǔn),判定信息系統(tǒng)在消息傳輸和數(shù)據(jù)存儲(chǔ)過(guò)程中,是否需要采用加密機(jī)制。
? 應(yīng)當(dāng)建立密鑰管理體制,保證密鑰在產(chǎn)生、使用、存儲(chǔ)、傳輸?shù)拳h(huán)節(jié)中的安全性。
? 加密機(jī)制應(yīng)當(dāng)使用國(guó)際標(biāo)準(zhǔn)的密碼算法,或者國(guó)內(nèi)通過(guò)密碼管理委員會(huì)審批的專用算法,其中對(duì)稱密碼算法的密鑰長(zhǎng)度不得低于 128 比特,公鑰密碼算法的密鑰長(zhǎng)度不得低于 1024 比特。
? 應(yīng)當(dāng)在物理上保證所有的硬件加密設(shè)備和軟件加密程序,以及存儲(chǔ)涉密數(shù)據(jù)的介質(zhì)載體的安全。
? 應(yīng)當(dāng)指定專門的管理機(jī)構(gòu),負(fù)責(zé)本策略的維護(hù),監(jiān)督本策略的實(shí)施。
? 任何內(nèi)部信息系統(tǒng),都需要向管理機(jī)構(gòu)提出申請(qǐng),經(jīng)管理機(jī)構(gòu)審批,獲得授權(quán)后,才能夠使用加密機(jī)制。禁止任何內(nèi)部信息系統(tǒng)和人員,在未授權(quán)的情況下,使用任何加密機(jī)制。
? 管理機(jī)構(gòu)應(yīng)當(dāng)每年對(duì)加密算法的選擇范圍和密鑰長(zhǎng)度的最低要求進(jìn)行一次復(fù)審和評(píng)估,使得本策略與加密技術(shù)的發(fā)展相適應(yīng)。數(shù)據(jù)備份與災(zāi)難恢復(fù) ? 在業(yè)務(wù)系統(tǒng)主要應(yīng)用服務(wù)器中采用硬件冗余技術(shù),避免硬件的單點(diǎn)故障導(dǎo)致服務(wù)中斷。
? 綜合考慮性能和管理等因素,采用先進(jìn)的系統(tǒng)和數(shù)據(jù)備份技術(shù),在范圍內(nèi)建立統(tǒng)一的系統(tǒng)和數(shù)據(jù)備份機(jī)制,防止數(shù)據(jù)出現(xiàn)邏輯損壞。
? 對(duì)業(yè)務(wù)系統(tǒng)采取適當(dāng)?shù)漠惖貍浞輽C(jī)制,使得數(shù)據(jù)備份計(jì)劃具備一定的容災(zāi)能力。
? 建立災(zāi)難恢復(fù)計(jì)劃,提供災(zāi)難恢復(fù)手段,在災(zāi)難事件發(fā)生之后,快速對(duì)被破壞的信息系統(tǒng)進(jìn)行恢復(fù)。
? 應(yīng)當(dāng)建立專門崗位,負(fù)責(zé)用戶權(quán)限管理,以及授權(quán)和訪問(wèn)控制系統(tǒng)的建設(shè)、運(yùn)行、維護(hù)。
? 建立日常數(shù)據(jù)備份管理制度,對(duì)備份周期和介質(zhì)保管進(jìn)行統(tǒng)一規(guī)定。
? 建立災(zāi)難恢復(fù)計(jì)劃,對(duì)人員進(jìn)行災(zāi)難恢復(fù)培訓(xùn),定期進(jìn)行災(zāi)難恢復(fù)的模擬演練。應(yīng)急響應(yīng)策略 ? 應(yīng)當(dāng)建立應(yīng)急響應(yīng)中心,配置專門崗位,負(fù)責(zé)制定范圍內(nèi)的信息安全策略、完成計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)安全事件的緊急響應(yīng)、及時(shí)發(fā)布安全漏洞和補(bǔ)丁修補(bǔ)程序等安全公告、進(jìn)行安全系統(tǒng)審計(jì)數(shù)據(jù)分析、以及提供安全教育和培訓(xùn)。
? 應(yīng)當(dāng)制定詳細(xì)的安全事件的應(yīng)急響應(yīng)計(jì)劃,包括安全事件的檢測(cè)、報(bào)告、分析、追查、和系統(tǒng)恢復(fù)等內(nèi)容。安全教育策略 ? 應(yīng)該建立專門的機(jī)構(gòu)和崗位,負(fù)責(zé)安全教育與培訓(xùn)計(jì)劃的制定和執(zhí)行 ? 應(yīng)當(dāng)制定詳細(xì)的安全教育和培訓(xùn)計(jì)劃,對(duì)信息安全技術(shù)和管理相關(guān)人員進(jìn)行安全專業(yè)知識(shí)和技能培訓(xùn),對(duì)普通用戶進(jìn)行安全基礎(chǔ)知識(shí)、安全策略和管理制度培訓(xùn),提高人員的整體安全意識(shí)和安全操作水平。
? 管理機(jī)構(gòu)應(yīng)當(dāng)定期對(duì)安全教育和培訓(xùn)的成果進(jìn)行抽查和考核,檢驗(yàn)安全教育和培訓(xùn)活動(dòng)的效果。