第一篇：信息安全工作總體方針

信息安全工作總體方針

第一章 總則

第一條 為加強和規(guī)范省信息中心及直屬直管各單位（以下簡稱“各單位”）信息系統(tǒng)安全工作，提高中心信息系統(tǒng)整體安全防護水平，實現(xiàn)信息安全的可控、能控、在控，依據(jù)國家有關(guān)法律、法規(guī)的要求，制定本文檔。

第二條 本文檔的目的是為中心信息系統(tǒng)安全管理提供一個總體的策略性架構(gòu)文件，該文件將指導(dǎo)中心信息系統(tǒng)的安全管理體系的建立。安全管理體系的建立是為中心信息系統(tǒng)的安全管理工作提供參照，以實現(xiàn)中心統(tǒng)一的安全策略管理，提高整體的網(wǎng)絡(luò)與信息安全水平，確保安全控制措施落實到位，保障網(wǎng)絡(luò)通信暢通和業(yè)務(wù)系統(tǒng)的正常運營。

第三條 本文檔適用于中心以中心下屬各單位信息系統(tǒng)資產(chǎn)和信息技術(shù)人員的安全管理和指導(dǎo)，適用于指導(dǎo)中心信息系統(tǒng)安全策略的制定、安全方案的規(guī)劃和安全建設(shè)的實施，適用于中心安全管理體系中安全管理措施的選擇。

第四條 本辦法所稱信息系統(tǒng)指中心一體化企業(yè)級信息系統(tǒng)，主要包括一體化企業(yè)級信息集成平臺（以下簡稱“一體化平臺”）和八大業(yè)務(wù)應(yīng)用。

“一體化平臺”包含信息網(wǎng)絡(luò)、數(shù)據(jù)交換、數(shù)據(jù)中心、應(yīng)用集成和企業(yè)門戶；“業(yè)務(wù)應(yīng)用”包含財務(wù)（資金）管理、營銷管理、安全生產(chǎn)管理、協(xié)同辦公、人力資源管理、物資管理、項目管理、綜合管理業(yè)務(wù)應(yīng)用。

第五條 引用標準及參考文件

本文檔的編制參照了以下國家、中心的標準和文件：

（一）《中華人民共和國計算機信息系統(tǒng)安全保護條例》

（二）《關(guān)于信息安全等級保護建設(shè)的實施指導(dǎo)意見》（信息運安〔2009〕27 號）

（三）《信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求》（GB/T 22239-2008）

（四）《信息安全技術(shù) 信息系統(tǒng)安全管理要求》（GB/T 20269—2006）

（五）《信息系統(tǒng)等級保護 安全建設(shè)技術(shù)方案設(shè)計要求》（報批稿）

（六）《關(guān)于開展信息安全等級保護安全建設(shè)整改工作的指導(dǎo)意見》（公信安[2009]1429號）

第二章 方針、目標和原則

第六條中心信息系統(tǒng)安全堅持“安全第一、預(yù)防為主，管理和技術(shù)并重，綜合防范”的總體方針，實現(xiàn)信息系統(tǒng)安全可控、能控、在控。依照“分區(qū)、分級、分域”總體安全防護策略，執(zhí)行信息系統(tǒng)安全等級保護制度。管理信息網(wǎng)絡(luò)分為信息內(nèi)網(wǎng)和信息外網(wǎng)，實現(xiàn)“雙機雙網(wǎng)”，信息內(nèi)網(wǎng)定位為承載網(wǎng)絡(luò)和內(nèi)部辦公網(wǎng)絡(luò)，信息外網(wǎng)定位為對外業(yè)務(wù)網(wǎng)絡(luò)和訪問互聯(lián)網(wǎng)用戶終端網(wǎng)絡(luò)。信息內(nèi)、外網(wǎng)之間實施強邏輯隔離的措施。

第七條 信息系統(tǒng)安全總體目標是確保信息系統(tǒng)持續(xù)、穩(wěn)定、可靠運行和確保信息內(nèi)容的機密性、完整性、可用性，防止因信息系統(tǒng)本身故障導(dǎo)致信息系統(tǒng)不能正常使用和系統(tǒng)崩潰，抵御黑客、病毒、惡意代碼等對信息系統(tǒng)發(fā)起的各類攻擊和破壞，防止信息內(nèi)容及數(shù)據(jù)丟失和失密，防止有害信息在網(wǎng)上傳播，防止中心對外服務(wù)中斷和由此造成的系統(tǒng)運行事故。

第八條 信息安全工作的總體原則

（1）基于安全需求原則

組織機構(gòu)應(yīng)根據(jù)其信息系統(tǒng)擔負的使命，積累的信息資產(chǎn)的重要性，可能受到的威脅及面臨的風險分析安全需求，按照信息系統(tǒng)等級保護要求確定相應(yīng)的信息系統(tǒng)安全保護等級，遵從相應(yīng)等級的規(guī)范要求，從全局上恰當?shù)仄胶獍踩度肱c效果；

（2）主要領(lǐng)導(dǎo)負責原則

主要領(lǐng)導(dǎo)應(yīng)確立其組織統(tǒng)一的信息安全保障的宗旨和政策，負責提高員工的安全意識，組織有效安全保障隊伍，調(diào)動并優(yōu)化配置必要的資源，協(xié)調(diào)安全管理工作與各部門工作的關(guān)系，并確保其落實、有效；

（3）全員參與原則

信息系統(tǒng)所有相關(guān)人員應(yīng)普遍參與信息系統(tǒng)的安全管理，并與相關(guān)方面協(xié)同、協(xié)調(diào)，共同保障信息系統(tǒng)安全；

（4）系統(tǒng)方法原則

按照系統(tǒng)工程的要求，識別和理解信息安全保障相互關(guān)聯(lián)的層面和過程，采用管理和技術(shù)結(jié)合的方法，提高實現(xiàn)安全保障的目標的有效性和效率；

（5）持續(xù)改進原則

安全管理是一種動態(tài)反饋過程，貫穿整個安全管理的生存周期，隨著安全需求和系統(tǒng)脆弱性的時空分布變化，威脅程度的提高，系統(tǒng)環(huán)境的變化以及對系統(tǒng)安全認識的深化等，應(yīng)及時地將現(xiàn)有的安全策略、風險接受程度和保護措施進行復(fù)查、修改、調(diào)整以至提升安全管理等級，維護和持續(xù)改進信息安全管理體系的有效性；

（6）依法管理原則

信息安全管理工作主要體現(xiàn)為管理行為，應(yīng)保證信息系統(tǒng)安全管理主體合法、管理行為合法、管理內(nèi)容合法、管理程序合法。對安全事件的處理，應(yīng)由授權(quán)者適時發(fā)布準確一致的有關(guān)信息，避免帶來不良的社會影響；

（7）分權(quán)和授權(quán)原則

對特定職能或責任領(lǐng)域的管理功能實施分離、獨立審計等實行分權(quán)，避免權(quán)力過分集中所帶來的隱患，以減小未授權(quán)的修改或濫用系統(tǒng)資源的機會。任何實體（如用戶、管理員、進程、應(yīng)用或系統(tǒng)）僅享有該實體需要完成其任務(wù)所必須的權(quán)限，不應(yīng)享有任何多余權(quán)限；

（8）選用成熟技術(shù)原則

成熟的技術(shù)具有較好的可靠性和穩(wěn)定性，采用新技術(shù)時要重視其成熟的程度，并應(yīng)首先局部試點然后逐步推廣，以減少或避免可能出現(xiàn)的失誤；

（9）分級保護原則

按等級劃分標準確定信息系統(tǒng)的安全保護等級，實行分級保護；對多個子系統(tǒng)構(gòu)成的大型信息系統(tǒng)，確定系統(tǒng)的基本安全保護等級，并根據(jù)實際安全需求，分別確定各子系統(tǒng)的安全保護等級，實行多級安全保護；

（10）管理與技術(shù)并重原則

堅持積極防御和綜合防范，全面提高信息系統(tǒng)安全防護能力，立足國情，采用管理與技術(shù)相結(jié)合，管理科學(xué)性和技術(shù)前瞻性結(jié)合的方法，保障信息系統(tǒng)的安全性達到所要求的目標；

（11）自保護和國家監(jiān)管結(jié)合原則

對信息系統(tǒng)安全實行自保護和國家保護相結(jié)合。組織機構(gòu)要對自己的信息系統(tǒng)安全保護負責，政府相關(guān)部門有責任對信息系統(tǒng)的安全進行指導(dǎo)、監(jiān)督和檢查，形成自管、自查、自評和國家監(jiān)管相結(jié)合的管理模式，提高信息系統(tǒng)的安全保護

能力和水平，保障國家信息安全。

第九條 在規(guī)劃和建設(shè)信息系統(tǒng)時，信息系統(tǒng)安全防護措施應(yīng)按照“三 同步”原則，與信息系統(tǒng)建設(shè)同步規(guī)劃、同步建設(shè)、同步投入運行。

第三章 總體安全策略

第十條 物理安全策略

（1）機房和辦公室必須選擇在經(jīng)過防震、防火、防雷擊驗收合格的辦公大樓內(nèi)部，機房的窗戶需要有防雨水滲透的能力；

（2）機房的位置不能是大樓的地下室、一樓房間或是大樓的頂層，機房的正上方不能是用水量大的房間；

（3）機房出入口必須有專人值守，對工作人員進行登記；

（4）進入機房的工作人員必須由安全管理員或機房管理員全程陪同；

（5）機房內(nèi)部必須劃分重要設(shè)備區(qū)、一般設(shè)備區(qū)、過渡區(qū)等區(qū)域，對不同區(qū)域分別進行管理，區(qū)域與區(qū)域之間進行物理隔離；

（6）機房內(nèi)部必須部署基礎(chǔ)防護系統(tǒng)和設(shè)備，如電子門禁系統(tǒng)、監(jiān)控報警系統(tǒng)、防雷設(shè)備、消防滅火系統(tǒng)、防水監(jiān)控系統(tǒng)、溫濕度控制系統(tǒng)、UPS供電系統(tǒng)和電磁屏蔽設(shè)備。

第十一條 網(wǎng)絡(luò)安全策略

（1）網(wǎng)絡(luò)中必須部署路由器、交換機、防火墻、防毒墻、IPS設(shè)備和內(nèi)網(wǎng)網(wǎng)絡(luò)管理、補丁分發(fā)等系統(tǒng)

（2）網(wǎng)絡(luò)設(shè)備除接入交換機之外，必須進行雙機熱備，除接入交換機鏈接工作終端的線路外，其他線路必須進行雙線冗余；

（3）整體網(wǎng)絡(luò)不能出現(xiàn)流量瓶頸，保證帶寬充足；

（4）各部門必須劃分不同網(wǎng)段的IP地址；

（5）劃分網(wǎng)絡(luò)帶寬，突出優(yōu)先級；

（6）網(wǎng)絡(luò)邊界處必須部署防火墻、IPS等安全設(shè)備；

（7）網(wǎng)絡(luò)設(shè)備必須開啟日志審計功能；

第十二條 主機安全策略

（1）登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶必須進行身份標識和鑒別；

（2）操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標識不能出現(xiàn)同名用戶，口令應(yīng)有復(fù)雜度要求并定期更換；

（3）操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)必須啟用登錄失敗處理功能；

（4）對服務(wù)器進行遠程管理時，必須采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；

（5）為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性，不能出重名情況；

（6）操作系統(tǒng)和數(shù)據(jù)庫必須及時刪除多余的、過期的賬戶，避免共享賬戶的存在；

（7）主機必須開啟日志審計功能；

（8）主機必須安裝防惡意代碼產(chǎn)品，并進行統(tǒng)一管理；

第十三條 應(yīng)用安全策略

（1）應(yīng)用系統(tǒng)必須在登錄時要求輸入用戶名和口令；

（2）登錄應(yīng)用系統(tǒng)必須進行兩種或兩種以上的復(fù)合身份驗證（如用戶名口令+Ukey或用戶名口令+IP與MAC地址綁定方式）；

（3）應(yīng)用系統(tǒng)中設(shè)置的用戶都必須是唯一用戶，不能名稱相同，且不能出現(xiàn)多人使用同一賬戶的情況；

（4）應(yīng)用系統(tǒng)必須開啟登錄失敗處理功能；

（5）應(yīng)用系統(tǒng)必須開啟登錄連接超時自動退出等措施；

（6）應(yīng)用系統(tǒng)必須開啟身份鑒別、用戶身份標識唯一性檢查、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處理功能，并根據(jù)安全策略配置相關(guān)參數(shù)；

（7）應(yīng)用系統(tǒng)必須開啟日志審計功能；

（8）應(yīng)用系統(tǒng)存儲用戶信息的設(shè)備在銷毀、修理或轉(zhuǎn)其他用途時，必須清楚內(nèi)部存儲的信息；

第十四條 數(shù)據(jù)安全策略

（1）業(yè)務(wù)應(yīng)用數(shù)據(jù)和設(shè)備配置文檔都必須進行備份，以便發(fā)生問題時進行恢復(fù)；

（2）數(shù)據(jù)備份至其他設(shè)備上時，必須使用專門的備份通道，保證數(shù)據(jù)傳輸?shù)耐暾裕?/p>

（3）數(shù)據(jù)本機備份時應(yīng)檢測其完整性；

（4）數(shù)據(jù)備份時必須使用專業(yè)的備份設(shè)備和工具，在數(shù)據(jù)傳輸和數(shù)據(jù)存儲時，都必須是加密傳輸和存儲；

（5）數(shù)據(jù)進行異地備份時，必須利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時批量傳送至備用場地。

第四章附則

第十五條本辦法由中心信息領(lǐng)導(dǎo)委員會負責解釋并督促執(zhí)行。第十六條 各單位可根據(jù)本辦法制定實施細則，報省中心備案。第十七條 本辦法自印發(fā)之日起執(zhí)行。

第二篇：信息安全總體方針

信息化服務(wù)中心

信息安全 總體 方針

項目名稱

XXX 安全運維服務(wù)項目 客戶名稱

XXX 信息化服務(wù)中心 實施地點

XXX 信息化服務(wù)中心 實施單位

XXX 絡(luò)安信息技術(shù)有限 實施時間

XXX 年 7 月 17 日星期二

文檔修訂情況

版本 修訂記錄 日期 修訂 審核 批準 v1.0 制作文檔 XXX-07-17 XXX

V2.0 修改信息安全管理委員會框架 XXX-07-20 XXX

目錄

目的和適用范圍......................................................................................................................................3

信息安全定義..........................................................................................................................................3

信息安全方針..........................................................................................................................................3

安全管理機構(gòu)..........................................................................................................................................3

4.1 信息安全管理委員會......................................................................................................................................3

職責.........................................................................................................................................................4

信息安全管理體系實施框架...................................................................................................................4

重要原則、標準和符合性要求................................................................................................................5

評審.........................................................................................................................................................5

目的和 適用 范圍 信息安全管理體系方針指明了 XXX 信息化服務(wù)中心的信息安全目標和方向，并可以確保信息安全管理體系被充分理解和貫徹實施。為明確信息安全管理體系方針，特制定本文件。此外，本文件還描述了 XXX 信息化服務(wù)中心的信息安全管理體系的范圍。

本文件適用于 XXX 信息化服務(wù)中心信息安全管理體系涉及的所有人員和組織的全部重要信息資產(chǎn)及過程。信息安全定義 信息安全是指保證信息的保密性、完整性、可用性；另外也可包括諸如真實性、可核查性、不可否認性和可靠性等特性。

信息是對 XXX 信息化服務(wù)中心業(yè)務(wù)至關(guān)重要的一種資產(chǎn)，因此需要加以適當?shù)谋Ｗo。在業(yè)務(wù)環(huán)境互連日益增加的情況下這一點顯得尤為重要。信息安全可防止信息受到各種威脅，以確保業(yè)務(wù)連續(xù)性，是業(yè)務(wù)風險最小化，投資回報和商業(yè)機遇最大化。信息安全方針 XXX 信息化服務(wù)中心信息安全方針為：統(tǒng)一規(guī)劃建設(shè)、全面綜合防御、技術(shù)管理并重、保障運營安全。安全管理機構(gòu) 根據(jù) ISO/IEC 27001:2005 的要求，為了確保信息安全工作有一個明確的方向和獲得可見的管理者支持，XXX 信息化服務(wù)中心設(shè)立以下信息安全管理機構(gòu)。

4.1 信息安全管理委員會 信息安全管理委員會是 XXX 信息化服務(wù)中心信息安全管理工作的最高領(lǐng)導(dǎo)機構(gòu)，承擔以下方面的工作：

1)審批信息安全方針和總體職責； 2)審批信息安全的特殊方法和過程，如風險評估等； 3)審批加強信息安全的重大舉措； 4)提供所需要的足夠的資源； 5)協(xié)調(diào)本 ISMS 和 XXX 信息化服務(wù)中心其他規(guī)章制度之間的關(guān)系。

信息安全委員會主席由 XXX 信息化服務(wù)中心負責人擔任，常務(wù)副主席由 XXX 信息化服務(wù)中心任命（管理者代表）；信息安全管理委員會由相關(guān)部門的信息安全員組成。信息安全管理委員會主要工作為：在信息安全管理委員會主席/副主席的領(lǐng)導(dǎo)下，負責 XXX 信息化服務(wù)中心日常信息安全的管理與監(jiān)督活動，并對相關(guān)部門提供指導(dǎo)和對需要培訓(xùn)的員工進行培訓(xùn)。

圖-信息安全管理委員會組織機構(gòu)框架圖 5 職責(1)領(lǐng)導(dǎo)職責 XXX 信息化服務(wù)中心領(lǐng)導(dǎo)應(yīng)具有以下方面的職責：

? 制定信息安全方針； ? 向 XXX 信息化服務(wù)中心員工傳達滿足信息安全目標和符合信息安全方針、法律法規(guī)要求的重要性； ? 主持 ISMS 的管理評審； ? 提供開發(fā)、實施、運行和維護 ISMS 所需的足夠的資源； ? 決定可接受的風險級別。

(2)員工職責 ? 每一位員工或使用本 XXX 信息化服務(wù)中心信息的人員都要遵守本方針，都有保護XXX 信息化服務(wù)中心信息資產(chǎn)、系統(tǒng)和基礎(chǔ)設(shè)施安全的職責。

? 每一位員工都應(yīng)采取適當?shù)拇胧òㄔO(shè)置密碼），保護其所負責的所有形式的機密信息在管理、使用、存儲、處理和傳輸中的安全。

? 員工外出工作需要攜帶設(shè)備時，必須獲得相關(guān)領(lǐng)導(dǎo)者的批準，并應(yīng)采取相應(yīng)的保護措施，防止丟失，防止損毀，確保信息安全。如：設(shè)備必須設(shè)置密碼、不留在公共場所無人看管、不暴露于強電磁場等。

? 任何員工都有義務(wù)向其直接領(lǐng)導(dǎo)或信息安全管理委員會報告可能會危及密級信息安全的任何活動、行為和提出改進建議。

(3)使用者職責 這里所說的使用者是指訪問本 XXX 信息化服務(wù)中心密級信息的人員。

? 使用者必須獲得授權(quán)、了解該信息的安全要求，并采取相應(yīng)的安全保護措施。

? 如果已授權(quán)的使用者不了解其所要訪問的信息的安全要求，那么他必須對該信息提供最高極限的保護。

? 使用者應(yīng)小心保護其訪問信息的密碼、物理鑰匙和ID卡，一旦發(fā)生密碼泄露或鑰匙、ID 卡丟失，應(yīng)立即向其直接領(lǐng)導(dǎo)報告并承擔相應(yīng)責任。信息安全管理體系實施框架

XXX 信息化服務(wù)中心要根據(jù)所要實現(xiàn)的信息安全目標選取適當?shù)娘L險評估方法，并制定風險評估程序以持續(xù)適用于 XXX 信息化服務(wù)中心的信息安全管理體系。

信息安全風險在被識別后，應(yīng)進行分析和評價，根據(jù)其結(jié)果，選取合適的控制措施，以滿足風險評估和風險處理過程中所識別的需求?？刂拼胧┑倪x擇還應(yīng)考慮可接受風險的準則以及法律法規(guī)和合同要求。

本 XXX 信息化服務(wù)中心風險接受準則是：如果降低風險所付出的成本大于風險所造成的損失，則選擇接受風險。

可接受的風險級別為：按照 XXX 信息化服務(wù)中心所采取的風險評估方法，風險共分 4級，可接受風險級別為低風險和一般風險，或者管理者批準接受的風險；較高風險和高風險不能接受。重要原則、標準和符合性要求 ? 法律法規(guī)和合同要求的符合性 XXX 信息化服務(wù)中心在建立和管理信息安全管理體系時，必須符合相關(guān)法律法規(guī)和合同的要求。

? 安全教育、培訓(xùn)和意識要求 所有分配有信息職責的人員必須具備執(zhí)行所要求任務(wù)的能力，因此 XXX 信息化服務(wù)中心要確定這些人員所必要的能力，提供能力培訓(xùn)，必要時，可聘用有能力的人員以滿足這些需求。同時要評價所提供的培訓(xùn)和所采取的措施的有效性，保持教育、培訓(xùn)、技能、經(jīng)歷和資格的記錄。另外，XXX 信息化服務(wù)中心還要確保所有相關(guān)人員意識到其信息安全活動的適當性和重要性，以及如何為達到信息安全管理體系目標做出貢獻。

? 業(yè)務(wù)持續(xù)性管理 為防止 XXX 信息化服務(wù)中心業(yè)務(wù)活動中斷，保護關(guān)鍵業(yè)務(wù)過程免受重大失誤或災(zāi)難的影響，以及確保它們的及時恢復(fù)，業(yè)務(wù)持續(xù)性管理計劃必須考慮信息和信息安全的需求，對能引起業(yè)務(wù)流程中斷的事態(tài)進行識別，連同這種中斷發(fā)生的概率和影響，以及它們對信息安全的后果也要進行識別，確保在關(guān)鍵業(yè)務(wù)過程中斷或失敗后能夠在要求的水平和要求的時間內(nèi)恢復(fù)信息的可用性。評審 此文件需要在 12 個月內(nèi)定期通過管理評審等方式進行一次評審，當信息安全管理體系發(fā)生重大變化時，也應(yīng)評審并根據(jù)評審結(jié)果適時更新，以維持其持續(xù)適用性。

第三篇：信息安全工作總體方針和安全策略

1.總體目標

以滿足業(yè)務(wù)運行要求，遵守行業(yè)規(guī)程，實施等級保護及風險管理，確保信息安全以及實現(xiàn)持續(xù)改進的目的等內(nèi)容作為本單位信息安全工作的總體方針。以信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，信息服務(wù)不中斷為總體目標。

2.范圍

本案適用于某單位信息安全整體工作。在全單位范圍內(nèi)給予執(zhí)行，由某部門對該項工作的落實和執(zhí)行進行監(jiān)督，由某部門配合某部門對本案的有效性進行持續(xù)改進。

3.原則

以誰主管誰負責為原則（或者采用其他原則例如：“整體保護原則”、“適度保護的等級化原則”、“分域保護原則”、“動態(tài)保護原則”、“多級保護原則”、“深度保護原則”和“信息流向原則”等）。

4.策略框架

建立一套關(guān)于物理、主機、網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)、建設(shè)和管理等六個方面的安全需求、控制措施及執(zhí)行程序，并在關(guān)聯(lián)制度文檔中定義出相關(guān)的安全角色，并對其賦予管理職責?！耙匀藶楸尽?，通過對信息安全工作人員的安全意識培訓(xùn)等方法不斷加強系統(tǒng)分布的合理性和有效性。4.1 物理方面

依據(jù)實際情況建立機房管理制度，明確機房的出入管理辦法，機房介質(zhì)存放方式，機房設(shè)備維護周期及維護方式，機房設(shè)備信息保密要求，機房溫濕度控制

方式等等環(huán)境要求。通過明確機房責任人、建立機房管理相關(guān)辦法、對維護和出入等過程建立記錄等方式對機房安全進行保護。4.2網(wǎng)絡(luò)方面

從技術(shù)角度實現(xiàn)網(wǎng)絡(luò)的合理分布、網(wǎng)絡(luò)設(shè)備的實施監(jiān)控、網(wǎng)絡(luò)訪問策略的統(tǒng)一規(guī)劃、網(wǎng)絡(luò)安全掃描以及對網(wǎng)絡(luò)配置文件等必要信息進行定期備份。從管理角度明確網(wǎng)絡(luò)各個區(qū)域的安全責任人，建立網(wǎng)絡(luò)維護方面相關(guān)操作辦法并由某人或某部門監(jiān)督執(zhí)行看，確保各信息系統(tǒng)網(wǎng)絡(luò)運行情況穩(wěn)定、可靠、正常的運行。4.3主機方面

要求各類主機操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)在滿足各類業(yè)務(wù)系統(tǒng)的正常運行條件下，建立系統(tǒng)訪問控制辦法、劃分系統(tǒng)使用權(quán)限、安裝惡意代碼防范軟件并對惡意代碼的檢查過程進行記錄。明確各類主機的責任人，對主機關(guān)鍵信息進行定期備份。4.4應(yīng)用方面

從技術(shù)角度實現(xiàn)應(yīng)用系統(tǒng)的操作可控、訪問可控、通信可控。從管理角度實現(xiàn)各類控制辦法的有效執(zhí)行，建立完善的維護操作規(guī)程以及明確定期備份內(nèi)容。4.5數(shù)據(jù)方面

對本單位或本部門的各類業(yè)務(wù)數(shù)據(jù)、設(shè)備配置信息、總體規(guī)劃信息等等關(guān)鍵數(shù)據(jù)建立維護辦法，并由某部門或某人監(jiān)督、執(zhí)行。通過匯報或存儲方式實現(xiàn)關(guān)鍵數(shù)據(jù)的安全傳輸、存儲和使用。4.6

建設(shè)和管理方面 4.6.1 信息安全管理機制

成立信息安全管理主要機構(gòu)或部門，設(shè)立安全主管等主要安全角色，依據(jù)信

息安全等級保護三級標準（要求），建立信息系統(tǒng)的整體管理辦法。4.6.2 信息安全管理組織

分別建立安全管理崗位和機構(gòu)的職責文件，對機構(gòu)和人員的職責進行明確。建立信息發(fā)布、變更、審批等流程和制度類文件，增強制度的有效性。建立安全審核和檢查的相關(guān)制度及報告方式。4.6.3 人員安全管理要求

對人員的錄用、離崗、考核、培訓(xùn)、安全意識教育等方面應(yīng)通過制度和操作程序進行明確。

4.6.4 信息安全等級保護工作及風險評估要求

定期對已備案的信息系統(tǒng)進行等級保護測評，以保證信息系統(tǒng)運行風險維持在較低水平，不斷增強系統(tǒng)的穩(wěn)定性和安全性。4.6.5 報告安全事件要求

對突發(fā)安全事件建立應(yīng)急預(yù)案管理制度和相關(guān)操作辦法，并定期組織人員進行演練，以保證信息系統(tǒng)在面臨突發(fā)事件時能夠在較短時間內(nèi)恢復(fù)正常的使用。4.6.6 業(yè)務(wù)持續(xù)性要求

根據(jù)對系統(tǒng)的等級測評、風險評估等間接問題挖掘，及時改進信息系統(tǒng)的各類弊端，包括業(yè)務(wù)弊端，應(yīng)建立相關(guān)改進措施或改進辦法，以保證對信息系統(tǒng)的業(yè)務(wù)持續(xù)性要求。

4.6.7 違反信息安全要求的懲罰

建立懲處辦法，對違反信息安全總體方針、安全策略的、程序流程和管理措施的人員，依照問題的嚴重性進行懲罰。

5.相關(guān)文件

5.1 《信息安全各部門安全需求及控制措施》 5.2 《信息安全各部門安全工作執(zhí)行程序》 5.3 《機房安全管理制度》 5.4 《網(wǎng)絡(luò)安全管理制度》 5.5 《系統(tǒng)安全管理制度》 5.6 《設(shè)備操作規(guī)程》 5.7 《崗位職責文件》

5.8 《信息安全管理機構(gòu)組成文件》 5.9 《人事管理制度》/《員工手冊》 5.10 5.11 《應(yīng)急預(yù)案管理制度》

《信息安全等級保護測評報告》/《信息安全風險評估報告》

第四篇：01 信息安全總體方針和安全策略指引

XXX公司

信息安全總體方針和安全策略指引

第一章總則

第一條為了進一步深入貫徹落實國家政策文件要求，加強公司信息安全管理工作，切實提高公司信息系統(tǒng)安全保障能力，特制定本指引。第二條本指引適合于公司。

第三條公司信息安全管理遵循如下原則：

(一)主要領(lǐng)導(dǎo)負責原則：公司主要領(lǐng)導(dǎo)負責信息安全管理工作，統(tǒng)籌規(guī)劃信息安全管理目標和策略，建立信息安全保障隊伍并合理配置資源；

(二)全員參與原則：公司全員參與信息系統(tǒng)的安全管理工作，將信息安全與本職工作相結(jié)合，相互協(xié)同工作，認真落實信息安全管理要求，共同保障信息系統(tǒng)安全；

(三)合規(guī)性原則：信息安全管理制度遵循國際信息安全管理標準，以國家信息安全法律、法規(guī)、標準、規(guī)范為根本依據(jù)，全面符合相關(guān)主管部門和公司的各類要求。

(四)監(jiān)督制約原則：信息系統(tǒng)安全管理組織結(jié)構(gòu)、組織職責、崗位職責、工作流程層面、執(zhí)行層面建立相互監(jiān)督制約機制，降低因缺乏約束而產(chǎn)生的安全風險。

(五)規(guī)范化原則：通過建立規(guī)范化的工作流程，在執(zhí)行層面對信息系統(tǒng)安全工作進行合理控制，降低由于工作隨意性而產(chǎn)生的安全風險，同時提升信息安全管理制度的可操作性。

(六)持續(xù)改進原則：通過不斷的持續(xù)改進，每年組織公司管理層對制度的全面性、適用性和有效性進行論證和審定，并進行版本修訂。第四條本指引適用于公司全體人員。

第二章信息安全保障框架及目標

第五條參照國內(nèi)外相關(guān)標準，并結(jié)合公司已有網(wǎng)絡(luò)與信息安全體系建設(shè)的實際情況，最終形成依托于安全保護對象為基礎(chǔ)，縱向建立安全管理體系、安全技術(shù)體系、安全運行體系和安全管理中心的“三個體系，一個中心，三重防護”的安全保障體系框架。

(一)“三個體系”：信息安全管理體系、信息安全技術(shù)體系和信息安全運行體系，把信息安全標準的控制點和公司實際情況相結(jié)合形成相適應(yīng)的體系結(jié)構(gòu)框架；

(二)“一個中心”：信息安全管理中心，實現(xiàn)“自動、平臺化”的安全工作管理、統(tǒng)一技術(shù)管理和安全運維管理；

(三)“三重防護”：安全計算環(huán)境防護措施、安全區(qū)域邊界防護措施和安全網(wǎng)絡(luò)通信防護措施，把安全技術(shù)控制措施與安全保護對象相結(jié)合。

第六條公司安全保障框架：

(一)安全管理體系：信息安全管理體系重點落實安全管理制度、安全管理機構(gòu)和人員安全管理的相關(guān)控制要求，并結(jié)合公司的實際情況形成符合行業(yè)和國家信息安全標準的信息安全管理體系框架。(二)安全技術(shù)體系：通過安全技術(shù)在物理、網(wǎng)絡(luò)、主機、應(yīng)用和數(shù)據(jù)各個層面的實施，建立與公司實際情況相結(jié)合的安全技術(shù)體系。同時與“安全計算環(huán)境、安全區(qū)域邊界和安全網(wǎng)絡(luò)通信”的保護對象相作用，形成依托于保護對象的安全技術(shù)體系控制措施。

(三)安全運行體系：信息安全運行體系重點落實系統(tǒng)建設(shè)管理和系統(tǒng)運維管理的相關(guān)控制要求，并與公司實際情況相結(jié)合，形成符合行業(yè)和國家信息安全標準的信息安全運行體系框架。

(四)安全管理中心：根據(jù)信息安全相關(guān)要求和安全設(shè)計技術(shù)要求的相關(guān)內(nèi)容，信息安全管理中心通過“自動、平臺化”的方式，對信息安全管理體系、信息安全技術(shù)體系以及信息安全運行體系的相關(guān)控制內(nèi)容，結(jié)合公司的實際情況加以落實。

第七條公司信息安全總體目標是：依照業(yè)務(wù)信息系統(tǒng)的實際情況和現(xiàn)實問題為基礎(chǔ)，參照國內(nèi)、國際的安全標準和規(guī)范，充分利用成熟的信息安全理論成果，設(shè)計出整體性好、可操作性強，并且融組織、管理和技術(shù)為一體的設(shè)計方案，達到行業(yè)和國家信息安全標準的要求。

第三章安全策略

第八條建立信息安全領(lǐng)導(dǎo)小組，負責組織、落實國家信息安全相關(guān)政策、法規(guī)和標準要求，審核并制定公司信息安全的發(fā)展戰(zhàn)略、規(guī)劃、政策和管理制度，落實《公司信息安全組織及職責管理辦法》。第九條保持與國家信息安全主管機構(gòu)、監(jiān)管機構(gòu)、上級主管單位和支撐企業(yè)信息安全建設(shè)、運營單位的聯(lián)絡(luò)，制定完整的《公司常用信息安全組織機構(gòu)信息表》，確保與外部機構(gòu)的溝通暢通。

第十條加強公司內(nèi)部人員在錄用前、工作期間、調(diào)崗和離崗的人員安全管理，確保公司內(nèi)部人員的背景、身份、專業(yè)資格和職能權(quán)限的安全性，要求信息安全人員簽署保密協(xié)議，落實《公司內(nèi)部人員信息安全管理辦法》。

第十一條加強外部人員的安全管理，防范外部人員帶來的安全風險，規(guī)范外部人員在公司各項與信息系統(tǒng)相關(guān)的活動所要遵守的行為準則，嚴格落實《公司外部人員信息安全管理辦法》。

第十二條 每年組織開展全員信息安全教育或培訓(xùn)，提升公司全員的信息安全意識，確保公司信息安全目標和策略能夠得到必要的宣貫。第十三條 建立信息安全管理制度制定、發(fā)布、審核和修訂的管理要求，并滿足國家法律、政策和規(guī)范的要求，確保信息安全管理制度持續(xù)改進，落實《公司信息安全制度管理辦法》。

第十四條 確保信息化建設(shè)的項目立項、設(shè)計、實施、驗收等各個環(huán)節(jié)與信息安全管理控制機制的有機結(jié)合，實現(xiàn)項目工程管理過程和內(nèi)容安全可控，嚴格執(zhí)行《公司信息系統(tǒng)建設(shè)安全管理辦法》。第十五條 加強公司信息系統(tǒng)的物理環(huán)境和設(shè)施的信息安全規(guī)范性管理工作，確保物理環(huán)境、設(shè)施設(shè)備和進出訪問控制安全，落實《公司機房環(huán)境安全管理辦法》和《公司辦公環(huán)境信息安全管理辦法》。第十六條 加強對公司信息資產(chǎn)的安全管理，建立統(tǒng)一的信息資產(chǎn)分類、責任、授權(quán)和配置管理，明確公司硬件資產(chǎn)、軟件資產(chǎn)和數(shù)據(jù)資產(chǎn)的信息安全管理工作，落實《公司信息資產(chǎn)安全管理辦法》。第十七條 加強信息資產(chǎn)的運行維護管理工作，對系統(tǒng)的工作環(huán)境、安全運行、策略進行定期檢查，記錄信息系統(tǒng)運行的日志及狀態(tài)，定期對信息資產(chǎn)進行清點，確保各系統(tǒng)的正常運行，落實《公司信息安全運行維護管理辦法》。

第十八條 加強信息系統(tǒng)運行維護過程中的變更管理，確保公司信息系統(tǒng)的可核查性和可追溯性，合理控制信息系統(tǒng)變更產(chǎn)生的信息安全風險，結(jié)合日常信息系統(tǒng)的運行有關(guān)管理辦法，落實《公司信息系統(tǒng)變更管理辦法》。

第十九條 加強對信息安全事件的監(jiān)控和管理，建立應(yīng)急事件的報告、協(xié)調(diào)、處理機制。制定重要信息系統(tǒng)的應(yīng)急響應(yīng)預(yù)案，并進行演練和定期更新，確保信息系統(tǒng)的連續(xù)穩(wěn)定運行，落實《公司應(yīng)急管理辦法》和《公司信息安全分類應(yīng)急預(yù)案》。

第二十條 對磁帶、磁盤、磁盤陣列、光盤、硬盤、紙質(zhì)等各類移動存儲介質(zhì)進行的所有安全管理活動進行管理，介質(zhì)使用必須要有授權(quán)，保證介質(zhì)使用的安全。落實《公司介質(zhì)安全管理辦法》。第二十一條為規(guī)范管理員對網(wǎng)絡(luò)設(shè)備的訪問及操作行為，降低由于口令強度不夠和設(shè)置不完善等造成的安全隱患和風險，應(yīng)加強各信息系統(tǒng)的口令管理，落實《公司密碼管理辦法》。

第二十二條加強對網(wǎng)絡(luò)系統(tǒng)的設(shè)計、規(guī)劃、變更審批和運維監(jiān)督，定期對網(wǎng)絡(luò)中的系統(tǒng)進行漏洞掃描，對重要網(wǎng)段進行保護，落實《公司網(wǎng)絡(luò)安全管理辦法》。

第二十三條規(guī)范系統(tǒng)的使用，對系統(tǒng)的賬戶權(quán)限進行有效控制，及時的更新系統(tǒng)的補丁，有效的保護系統(tǒng)中的文件，對重要系統(tǒng)的文件進行保護，落實《公司系統(tǒng)安全管理辦法》。第二十四條定期對網(wǎng)絡(luò)中的應(yīng)用系統(tǒng)、數(shù)據(jù)庫進行備份，實現(xiàn)異地備份的方式，同時每年需要進行一次數(shù)據(jù)恢復(fù)演練，數(shù)據(jù)的保存周期至少為五年，合理的根據(jù)情況進行調(diào)整備份時間，落實《公司信息備份與恢復(fù)管理制度》。

第四章獎懲

第二十五條對長期認真貫徹公司信息安全管理辦法，并因此而取得較好成績的組織和個人給予必要的鼓勵、宣傳和獎勵。

第二十六條對違反公司信息安全管理辦法的組織、人員，根據(jù)其對公司造成的損害程度，給予必要的批評教育、通報批評、經(jīng)濟處罰、行政處分等懲罰；構(gòu)成犯罪的，移交司法機關(guān)依法處理。

第五章附則

第二十七條 本指引由公司信息安全工作組制定，并負責解釋和修訂。

第二十八條本指引自發(fā)布之日起執(zhí)行。

第五篇：信息安全總體策略

X XXX 信息化服務(wù)中心

信息安全 總體 策略

項目名稱

XXX 安全運維服務(wù)項目 客戶名稱

XXX 信息化服務(wù)中心 實施地點

XXX 信息化服務(wù)中心 實施單位

XXX 信息技術(shù)有限 實施時間

XXX 年 7 月 20 日星期五

文檔修訂情況

版本 修訂記錄 日期 修訂 審核 批準 v1.0 制作文檔 XXX-07-17

目錄

物理安全策略..........................................................................................................................................3

網(wǎng) 網(wǎng) XXX 全策略.........................................................................................................................................3

系統(tǒng)安全策略..........................................................................................................................................4

病毒管理策略..........................................................................................................................................4

身份認證策略..........................................................................................................................................5

用戶授權(quán)與訪問控制策略.......................................................................................................................5

數(shù)據(jù)加密策略..........................................................................................................................................5

數(shù)據(jù)備份與災(zāi)難恢復(fù)..............................................................................................................................6

應(yīng)急響應(yīng)策略..........................................................................................................................................6

安全教育策略......................................................................................................................................7

物理安全策略 ? 計算機機房的建設(shè)必須遵循國家在計算機機房場地選擇、環(huán)境安全、布線施工方面的標準，保證物理環(huán)境安全。

? 關(guān)鍵應(yīng)用系統(tǒng)的服務(wù)器主機和前置機服務(wù)器、主要的網(wǎng)絡(luò)設(shè)備必須放置于計算機機房內(nèi)部的適當位置，通過物理訪問控制機制，保證這些設(shè)備自身的安全性。

? 應(yīng)當建立人員出入訪問控制機制，嚴格控制人員出入計算機機房和其它重要安全區(qū)域，訪問控制機制還需要能夠提供審計功能，便于檢查和分析。

? 應(yīng)當指定專門的部門和人員，負責計算機機房的建設(shè)和管理工作，建立 24 小時值班制度。

? 建立計算機機房管理制度，對設(shè)備安全管理、介質(zhì)安全管理、人員出入訪問控制管理等做出詳細的規(guī)定。

? 管理機構(gòu)應(yīng)當定期對計算機機房各項安全措施和安全管理制度的有效性和實施狀況進行檢查，發(fā)現(xiàn)問題，進行改進。網(wǎng) 網(wǎng) 絡(luò)安 全策略 ? 必須對網(wǎng)絡(luò)和信息系統(tǒng)進行安全域劃分，建立隔離保護機制，并且在各安全域之間建立訪問控制機制，杜絕發(fā)生未授權(quán)的非法訪問現(xiàn)象，特別的，必須對生產(chǎn)網(wǎng)和辦公網(wǎng)進行劃分和隔離。

? 應(yīng)當部署網(wǎng)絡(luò)管理體系，管理網(wǎng)絡(luò)資源和設(shè)備，實施監(jiān)控網(wǎng)絡(luò)系統(tǒng)的運行狀態(tài)，降低網(wǎng)絡(luò)故障帶來的安全風險。

? 應(yīng)當對關(guān)鍵的通信線路、網(wǎng)絡(luò)設(shè)備提供冗余設(shè)計，防止關(guān)鍵線路和設(shè)備的單點故障造成通信服務(wù)中斷。

? 應(yīng)當在各安全域的邊界，綜合部署網(wǎng) XXX 全訪問措施，包括防火墻、入侵檢測、VPN，建立多層次的，立體的網(wǎng) XXX 全防護體系。

? 應(yīng)當建立網(wǎng)絡(luò)弱點分析機制，發(fā)現(xiàn)和彌補網(wǎng)絡(luò)中存在的安全漏洞，及時進行自我完善。

? 應(yīng)當建立遠程訪問機制，實現(xiàn)安全的遠程辦公和移動辦公。

? 應(yīng)當指定專門的部門和人員，負責網(wǎng) XXX 全系統(tǒng)的規(guī)劃、建設(shè)、管理維護。

? 應(yīng)當建立網(wǎng) XXX 全系統(tǒng)的建設(shè)標準和相關(guān)的運營維護管理規(guī)范，在范圍內(nèi)指導(dǎo)實際的系統(tǒng)建設(shè)和維護管理。

? 管理機構(gòu)應(yīng)當定期對網(wǎng) XXX 全措施和安全管理制度的有效性和實施狀況進行檢查，發(fā)現(xiàn)問題，進行改進。系統(tǒng)安全策略 ? 應(yīng)當對關(guān)鍵服務(wù)器主機設(shè)備提供冗余設(shè)計，防止單點故障造成網(wǎng)絡(luò)服務(wù)中斷。

? 應(yīng)當建立主機弱點分析機制，發(fā)現(xiàn)和彌補系統(tǒng)軟件中存在的不當配置和安全漏洞，及時進行自我完善。

? 應(yīng)當建立主機系統(tǒng)軟件版本維護機制，及時升級系統(tǒng)版本和補丁程序版本，保持系統(tǒng)軟件的最新狀態(tài)。

? 應(yīng)當建立主機系統(tǒng)軟件備份和恢復(fù)機制，在災(zāi)難事件發(fā)生之后，能夠快速實現(xiàn)系統(tǒng)恢復(fù)。

? 可以建立主機入侵檢測機制，發(fā)現(xiàn)主機系統(tǒng)中的異常操作行為，以及對主機發(fā)起的攻擊行為，并及時向管理員報警。

? 應(yīng)當指定專門的部門和人員，負責主機系統(tǒng)的管理維護。

? 應(yīng)當建立主機系統(tǒng)管理規(guī)范，包括系統(tǒng)軟件版本管理、主機弱點分析、主機審計日志檢查和分析、以及系統(tǒng)軟件的備份和恢復(fù)等內(nèi)容。

? 應(yīng)當建立桌面系統(tǒng)使用管理規(guī)范，約束和指導(dǎo)用戶使用桌面系統(tǒng)，并對其進行正確有效的配置和管理。

? 管理機構(gòu)應(yīng)當定期對各項系統(tǒng)安全管理制度的有效性和實施狀況進行檢查，發(fā)現(xiàn)問題，進行改進。病毒管理策略 ? 應(yīng)當建立全面網(wǎng)絡(luò)病毒查殺機制，實現(xiàn) XXX 信息化服務(wù)中心全網(wǎng)范圍內(nèi)的病毒防治，抑止病毒的傳播。

? 所有內(nèi)部網(wǎng)絡(luò)上的計算機在聯(lián)入內(nèi)部網(wǎng)絡(luò)之前，都應(yīng)當安裝和配置殺毒軟件，并且通過管理中心進行更新，任何用戶不能禁用病毒掃描和查殺功能。

? 所有內(nèi)部網(wǎng)絡(luò)上的計算機系統(tǒng)都應(yīng)當定期進行完整的系統(tǒng)掃描。

? 從外部介質(zhì)安裝數(shù)據(jù)和程序之前，或安裝下載的數(shù)據(jù)和程序之前，必須對其進行病毒掃描，以防止存在病毒感染操作系統(tǒng)和應(yīng)用程序。

? 第三方數(shù)據(jù)和程序在安裝到內(nèi)部網(wǎng)絡(luò)的系統(tǒng)之前，必須在隔離受控的模擬系統(tǒng)上進行病毒掃描測試。

? 任何內(nèi)部用戶不能故意制造、執(zhí)行、傳播、或引入任何可以自我復(fù)制、破壞或者影響計算機內(nèi)存、存儲介質(zhì)、操作系統(tǒng)、應(yīng)用程序的計算機代碼

? 應(yīng)當指定專門的部門和人員，負責網(wǎng)絡(luò)病毒防治系統(tǒng)的管理維護。

? 應(yīng)當建立網(wǎng)絡(luò)病毒防治系統(tǒng)的管理規(guī)范，有效發(fā)揮病毒防治系統(tǒng)的安全效能。

? 應(yīng)當建立桌面系統(tǒng)病毒防治管理規(guī)范，約束和指導(dǎo)用戶在桌面系統(tǒng)上的操作行為，以及對殺毒軟件的配置和管理，達到保護桌面系統(tǒng)、抑止病毒傳播的目的。

? 管理機構(gòu)應(yīng)當定期對與病毒查殺有關(guān)安全管理制度的有效性和實施狀況進行檢查，發(fā)現(xiàn)問題，進行改進。身份認證策略 ? 應(yīng)當在范圍內(nèi)建立統(tǒng)一的用戶身份管理基礎(chǔ)設(shè)施，向應(yīng)用系統(tǒng)提供集中的用戶身份認證服務(wù)。

? 應(yīng)當選擇安全性高，投入收益比率較好，易管理維護的身份認證技術(shù)，建立身份管理基礎(chǔ)設(shè)施。

? 每個內(nèi)部員工具有范圍內(nèi)唯一的身份標識，用戶在訪問應(yīng)用系統(tǒng)之前，必須提交身份標識，并對其進行認證；員工離職時，要撤銷其在信息系統(tǒng)內(nèi)部的合法身份。

? 應(yīng)當對現(xiàn)有的應(yīng)用系統(tǒng)進行技術(shù)改造，使用身份管理基礎(chǔ)設(shè)施的安全服務(wù)。

? 應(yīng)當建立專門的部門和崗位，負責用戶身份的管理，以及身份管理基礎(chǔ)設(shè)施的建設(shè)、運行、維護。

? 應(yīng)當在范圍內(nèi)建立用戶標識管理規(guī)范，對用戶標識格式，產(chǎn)生和撤銷流程進行統(tǒng)一規(guī)定。用戶授權(quán)與訪問控制策略 ? 應(yīng)當依托身份認證基礎(chǔ)設(shè)施，將集中管理與分布式管理有機結(jié)合起來，建立分級的用戶授權(quán)與訪問控制管理機制。

? 每個內(nèi)部員工在信息系統(tǒng)內(nèi)部的操作行為必須被限定在合法授權(quán)的范圍之內(nèi)；員工離職時，要撤銷其在信息系統(tǒng)內(nèi)部的所有訪問權(quán)限。

? 應(yīng)當對現(xiàn)有的應(yīng)用系統(tǒng)進行技術(shù)改造，使用授權(quán)與訪問控制系統(tǒng)提供的安全服務(wù)。

? 應(yīng)當建立專門崗位，負責用戶權(quán)限管理，以及授權(quán)和訪問控制系統(tǒng)的建設(shè)、運行、維護。

? 應(yīng)當在范圍內(nèi)，建立包括用戶權(quán)限的授予和撤銷在內(nèi)的一整套管理流程和制度。數(shù)據(jù)加密策略 ? 加密技術(shù)的采用和加密機制的建立，應(yīng)該符合國家有關(guān)的法律和規(guī)定。

? 應(yīng)當建立內(nèi)部信息系統(tǒng)的密級分級標準，判定信息系統(tǒng)在消息傳輸和數(shù)據(jù)存儲過程中，是否需要采用加密機制。

? 應(yīng)當建立密鑰管理體制，保證密鑰在產(chǎn)生、使用、存儲、傳輸?shù)拳h(huán)節(jié)中的安全性。

? 加密機制應(yīng)當使用國際標準的密碼算法，或者國內(nèi)通過密碼管理委員會審批的專用算法，其中對稱密碼算法的密鑰長度不得低于 128 比特，公鑰密碼算法的密鑰長度不得低于 1024 比特。

? 應(yīng)當在物理上保證所有的硬件加密設(shè)備和軟件加密程序，以及存儲涉密數(shù)據(jù)的介質(zhì)載體的安全。

? 應(yīng)當指定專門的管理機構(gòu)，負責本策略的維護，監(jiān)督本策略的實施。

? 任何內(nèi)部信息系統(tǒng)，都需要向管理機構(gòu)提出申請，經(jīng)管理機構(gòu)審批，獲得授權(quán)后，才能夠使用加密機制。禁止任何內(nèi)部信息系統(tǒng)和人員，在未授權(quán)的情況下，使用任何加密機制。

? 管理機構(gòu)應(yīng)當每年對加密算法的選擇范圍和密鑰長度的最低要求進行一次復(fù)審和評估，使得本策略與加密技術(shù)的發(fā)展相適應(yīng)。數(shù)據(jù)備份與災(zāi)難恢復(fù) ? 在業(yè)務(wù)系統(tǒng)主要應(yīng)用服務(wù)器中采用硬件冗余技術(shù)，避免硬件的單點故障導(dǎo)致服務(wù)中斷。

? 綜合考慮性能和管理等因素，采用先進的系統(tǒng)和數(shù)據(jù)備份技術(shù)，在范圍內(nèi)建立統(tǒng)一的系統(tǒng)和數(shù)據(jù)備份機制，防止數(shù)據(jù)出現(xiàn)邏輯損壞。

? 對業(yè)務(wù)系統(tǒng)采取適當?shù)漠惖貍浞輽C制，使得數(shù)據(jù)備份計劃具備一定的容災(zāi)能力。

? 建立災(zāi)難恢復(fù)計劃，提供災(zāi)難恢復(fù)手段，在災(zāi)難事件發(fā)生之后，快速對被破壞的信息系統(tǒng)進行恢復(fù)。

? 應(yīng)當建立專門崗位，負責用戶權(quán)限管理，以及授權(quán)和訪問控制系統(tǒng)的建設(shè)、運行、維護。

? 建立日常數(shù)據(jù)備份管理制度，對備份周期和介質(zhì)保管進行統(tǒng)一規(guī)定。

? 建立災(zāi)難恢復(fù)計劃，對人員進行災(zāi)難恢復(fù)培訓(xùn)，定期進行災(zāi)難恢復(fù)的模擬演練。應(yīng)急響應(yīng)策略 ? 應(yīng)當建立應(yīng)急響應(yīng)中心，配置專門崗位，負責制定范圍內(nèi)的信息安全策略、完成計算機網(wǎng)絡(luò)和系統(tǒng)安全事件的緊急響應(yīng)、及時發(fā)布安全漏洞和補丁修補程序等安全公告、進行安全系統(tǒng)審計數(shù)據(jù)分析、以及提供安全教育和培訓(xùn)。

? 應(yīng)當制定詳細的安全事件的應(yīng)急響應(yīng)計劃，包括安全事件的檢測、報告、分析、追查、和系統(tǒng)恢復(fù)等內(nèi)容。安全教育策略 ? 應(yīng)該建立專門的機構(gòu)和崗位，負責安全教育與培訓(xùn)計劃的制定和執(zhí)行 ? 應(yīng)當制定詳細的安全教育和培訓(xùn)計劃，對信息安全技術(shù)和管理相關(guān)人員進行安全專業(yè)知識和技能培訓(xùn)，對普通用戶進行安全基礎(chǔ)知識、安全策略和管理制度培訓(xùn)，提高人員的整體安全意識和安全操作水平。

? 管理機構(gòu)應(yīng)當定期對安全教育和培訓(xùn)的成果進行抽查和考核，檢驗安全教育和培訓(xùn)活動的效果。