01 信息安全总体方针和安全策略指引
第一篇:01信息安全总体方针和安全策略指引xxx公司
信息安全总体方针和安全策略指引
第一章总则
第一条为了进一步深入贯彻落实国家政策文件要求,加强公司信息安全管理工作,切实提高公司信息系统安全保障能力,特制定本指引。第二条本指引适合于公司。
第三条公司信息安全管理遵循如下原则:
(一)主要领导负责原则:公司主要领导负责信息安全管理工作,统筹规划信息安全管理目标和策略,建立信息安全保障队伍并合理配置资源;
(二)全员参与原则:公司全员参与信息系统的安全管理工作,将信息安全与本职工作相结合,相互协同工作,认真落实信息安全管理要求,共同保障信息系统安全;
(三)合规性原则。信息安全管理制度遵循国际信息安全管理标准,以国家信息安全法律、法规、标准、规范为根本依据,全面符合相关主管部门和公司的各类要求。
(四)监督制约原则。信息系统安全管理组织结构、组织职责、岗位职责、工作流程层面、执行层面建立相互监督制约机制,降低因缺乏约束而产生的安全风险。
(五)规范化原则。通过建立规范化的工作流程,在执行层面对信息系统安全工作进行合理控制,降低由于工作随意性而产生的安全风险,同时提升信息安全管理制度的可操作性。
(六)持续改进原则。通过不断的持续改进,每年组织公司管理层对制度的全面性、适用性和有效性进行论证和审定,并进行版本修订。第四条本指引适用于公司全体人员。
第二章信息安全保障框架及目标
第五条参照国内外相关标准,并结合公司已有网络与信息安全体系建设的实际情况,最终形成依托于安全保护对象为基础,纵向建立安全管理体系、安全技术体系、安全运行体系和安全管理中心的“三个体系,一个中心,三重防护”的安全保障体系框架。
(一)“三个体系”:信息安全管理体系、信息安全技术体系和信息安全运行体系,把信息安全标准的控制点和公司实际情况相结合形成相适应的体系结构框架;
(二)“一个中心”:信息安全管理中心,实现“自动、平台化”的安全工作管理、统一技术管理和安全运维管理;
(三)“三重防护”。安全计算环境防护措施、安全区域边界防护措施和安全网络通信防护措施,把安全技术控制措施与安全保护对象相结合。
第六条公司安全保障框架:
(一)安全管理体系。信息安全管理体系重点落实安全管理制度、安全管理机构和人员安全管理的相关控制要求,并结合公司的实际情况形成符合行业和国家信息安全标准的信息安全管理体系框架。
(二)安全技术体系。通过安全技术在物理、网络、主机、应用和数据各个层面的实施,建立与公司实际情况相结合的安全技术体系。同时与“安全计算环境、安全区域边界和安全网络通信”的保护对象相作用,形成依托于保护对象的安全技术体系控制措施。
(三)安全运行体系。信息安全运行体系重点落实系统建设管理和系统运维管理的相关控制要求,并与公司实际情况相结合,形成符合行业和国家信息安全标准的信息安全运行体系框架。
(四)安全管理中心。根据信息安全相关要求和安全设计技术要求的相关内容,信息安全管理中心通过“自动、平台化”的方式,对信息安全管理体系、信息安全技术体系以及信息安全运行体系的相关控制内容,结合公司的实际情况加以落实。
第七条公司信息安全总体目标是。依照业务信息系统的实际情况和现实问题为基础,参照国内、国际的安全标准和规范,充分利用成熟的信息安全理论成果,设计出整体性好、可操作性强,并且融组织、管理和技术为一体的设计方案,达到行业和国家信息安全标准的要求。
第三章安全策略
第八条建立信息安全领导小组,负责组织、落实国家信息安全相关政策、法规和标准要求,审核并制定公司信息安全的发展战略、规划、政策和管理制度,落实《公司信息安全组织及职责管理办法》。第九条保持与国家信息安全主管机构、监管机构、上级主管单位和支撑企业信息安全建设、运营单位的联络,制定完整的《公司常用信息安全组织机构信息表》,确保与外部机构的沟通畅通。
第十条加强公司内部人员在录用前、工作期间、调岗和离岗的人员安全管理,确保公司内部人员的背景、身份、专业资格和职能权限的安全性,要求信息安全人员签署保密协议,落实《公司内部人员信息安全管理办法》。
第十一条加强外部人员的安全管理,防范外部人员带来的安全风险,规范外部人员在公司各项与信息系统相关的活动所要遵守的行为准则,严格落实《公司外部人员信息安全管理办法》。
第十二条每年组织开展全员信息安全教育或培训,提升公司全员的信息安全意识,确保公司信息安全目标和策略能够得到必要的宣贯。第十三条建立信息安全管理制度制定、发布、审核和修订的管理要求,并满足国家法律、政策和规范的要求,确保信息安全管理制度持续改进,落实《公司信息安全制度管理办法》。
第十四条确保信息化建设的项目立项、设计、实施、验收等各个环节与信息安全管理控制机制的有机结合,实现项目工程管理过程和内容安全可控,严格执行《公司信息系统建设安全管理办法》。第十五条加强公司信息系统的物理环境和设施的信息安全规范性管理工作,确保物理环境、设施设备和进出访问控制安全,落实《公司机房环境安全管理办法》和《公司办公环境信息安全管理办法》。第十六条加强对公司信息资产的安全管理,建立统一的信息资产分类、责任、授权和配置管理,明确公司硬件资产、软件资产和数据资产的信息安全管理工作,落实《公司信息资产安全管理办法》。第十七条加强信息资产的运行维护管理工作,对系统的工作环境、安全运行、策略进行定期检查,记录信息系统运行的日志及状态,定期对信息资产进行清点,确保各系统的正常运行,落实《公司信息安全运行维护管理办法》。
第十八条加强信息系统运行维护过程中的变更管理,确保公司信息系统的可核查性和可追溯性,合理控制信息系统变更产生的信息安全风险,结合日常信息系统的运行有关管理办法,落实《公司信息系统变更管理办法》。
第十九条加强对信息安全事件的监控和管理,建立应急事件的报告、协调、处理机制。制定重要信息系统的应急响应预案,并进行演练和定期更新,确保信息系统的连续稳定运行,落实《公司应急管理办法》和《公司信息安全分类应急预案》。
第二十条对磁带、磁盘、磁盘阵列、光盘、硬盘、纸质等各类移动存储介质进行的所有安全管理活动进行管理,介质使用必须要有授权,保证介质使用的安全。落实《公司介质安全管理办法》。第二十一条为规范管理员对网络设备的访问及操作行为,降低由于口令强度不够和设置不完善等造成的安全隐患和风险,应加强各信息系统的口令管理,落实《公司密码管理办法》。
第二十二条加强对网络系统的设计、规划、变更审批和运维监督,定期对网络中的系统进行漏洞扫描,对重要网段进行保护,落实《公司网络安全管理办法》。
第二十三条规范系统的使用,对系统的账户权限进行有效控制,及时的更新系统的补丁,有效的保护系统中的文件,对重要系统的文件进行保护,落实《公司系统安全管理办法》。第二十四条定期对网络中的应用系统、数据库进行备份,实现异地备份的方式,同时每年需要进行一次数据恢复演练,数据的保存周期至少为五年,合理的根据情况进行调整备份时间,落实《公司信息备份与恢复管理制度》。
第四章奖惩
第二十五条对长期认真贯彻公司信息安全管理办法,并因此而取得较好成绩的组织和个人给予必要的鼓励、宣传和奖励。
第二十六条对违反公司信息安全管理办法的组织、人员,根据其对公司造成的损害程度,给予必要的批评教育、通报批评、经济处罚、行政处分等惩罚;构成犯罪的,移交司法机关依法处理。
第五章附则
第二十七条本指引由公司信息安全工作组制定,并负责解释和修订。
第二十八条本指引自发布之日起执行。
第二篇:信息安全工作总体方针和安全策略1.总体目标
以满足业务运行要求,遵守行业规程,实施等级保护及风险管理,确保信息安全以及实现持续改进的目的等内容作为本单位信息安全工作的总体方针。以信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断为总体目标。
2.范围
本案适用于某单位信息安全整体工作。在全单位范围内给予执行,由某部门对该项工作的落实和执行进行监督,由某部门配合某部门对本案的有效性进行持续改进。
3.
原则
以谁主管谁负责为原则(或者采用其他原则例如。“整体保护原则”、“适度保护的等级化原则”、“分域保护原则”、“动态保护原则”、“多级保护原则”、“深度保护原则”和“信息流向原则”等)。
4.策略框架
建立一套关于物理、主机、网络、应用、数据、建设和管理等六个方面的安全需求、控制措施及执行程序,并在关联制度文档中定义出相关的安全角色,并对其赋予管理职责。“以人为本”,通过对信息安全工作人员的安全意识培训等方法不断加强系统分布的合理性和有效性。
4.1物理方面
依据实际情况建立机房管理制度,明确机房的出入管理办法,机房介质存放方式,机房设备维护周期及维护方式,机房设备信息保密要求,机房温湿度控制
方式等等环境要求。通过明确机房责任人、建立机房管理相关办法、对维护和出入等过程建立记录等方式对机房安全进行保护。
4.
2网络方面
从技术角度实现网络的合理分布、网络设备的实施监控、网络访问策略的统一规划、网络安全扫描以及对网络配置文件等必要信息进行定期备份。从管理角度明确网络各个区域的安全责任人,建立网络维护方面相关操作办法并由某人或某部门监督执行看,确保各信息系统网络运行情况稳定、可靠、正常的运行。
4.
3主机方面
要求各类主机操作系统和数据库系统在满足各类业务系统的正常运行条件下,建立系统访问控制办法、划分系统使用权限、安装恶意代码防范软件并对恶意代码的检查过程进行记录。明确各类主机的责任人,对主机关键信息进行定期备份。
4.
4应用方面
从技术角度实现应用系统的操作可控、访问可控、通信可控。从管理角度实现各类控制办法的有效执行,建立完善的维护操作规程以及明确定期备份内容。
4.
5数据方面
对本单位或本部门的各类业务数据、设备配置信息、总体规划信息等等关键数据建立维护办法,并由某部门或某人监督、执行。通过汇报或存储方式实现关键数据的安全传输、存储和使用。
4.6
建设和管理方面4.6.1信息安全管理机制
成立信息安全管理主要机构或部门,设立安全主管等主要安全角色,依据信
息安全等级保护三级标准(要求),建立信息系统的整体管理办法。
4.6.2信息安全管理组织
分别建立安全管理岗位和机构的职责文件,对机构和人员的职责进行明确。建立信息发布、变更、审批等流程和制度类文件,增强制度的有效性。建立安全审核和检查的相关制度及报告方式。
4.6.3人员安全管理要求
对人员的录用、离岗、考核、培训、安全意识教育等方面应通过制度和操作程序进行明确。
4.6.4信息安全等级保护工作及风险评估要求
定期对已备案的信息系统进行等级保护测评,以保证信息系统运行风险维持在较低水平,不断增强系统的稳定性和安全性。
4.6.5报告安全事件要求
对突发安全事件建立应急预案管理制度和相关操作办法,并定期组织人员进行演练,以保证信息系统在面临突发事件时能够在较短时间内恢复正常的使用。
4.6.6业务持续性要求
根据对系统的等级测评、风险评估等间接问题挖掘,及时改进信息系统的各类弊端,包括业务弊端,应建立相关改进措施或改进办法,以保证对信息系统的业务持续性要求。
4.6.7违反信息安全要求的惩罚
建立惩处办法,对违反信息安全总体方针、安全策略的、程序流程和管理措施的人员,依照问题的严重性进行惩罚。
5.相关文件
5.1《信息安全各部门安全需求及控制措施》5.2《信息安全各部门安全工作执行程序》5.3《机房安全管理制度》5.4《网络安全管理制度》5.5《系统安全管理制度》5.6《设备操作规程》5.7《岗位职责文件》
5.8《信息安全管理机构组成文件》5.9《人事管理制度》/《员工手册》5.105.11《应急预案管理制度》
《信息安全等级保护测评报告》/《信息安全风险评估报告》
第三篇:信息安全工作总体方针信息安全工作总体方针
第一章总则
第一条为加强和规范省信息中心及直属直管各单位(以下简称“各单位”)信息系统安全工作,提高中心信息系统整体安全防护水平,实现信息安全的可控、能控、在控,依据国家有关法律、法规的要求,制定本文档。
第二条本文档的目的是为中心信息系统安全管理提供一个总体的策略性架构文件,该文件将指导中心信息系统的安全管理体系的建立。安全管理体系的建立是为中心信息系统的安全管理工作提供参照,以实现中心统一的安全策略管理,提高整体的网络与信息安全水平,确保安全控制措施落实到位,保障网络通信畅通和业务系统的正常运营。
第三条本文档适用于中心以中心下属各单位信息系统资产和信息技术人员的安全管理和指导,适用于指导中心信息系统安全策略的制定、安全方案的规划和安全建设的实施,适用于中心安全管理体系中安全管理措施的选择。
第四条本办法所称信息系统指中心一体化企业级信息系统,主要包括一体化企业级信息集成平台(以下简称“一体化平台”)和八大业务应用。
“一体化平台”包含信息网络、数据交换、数据中心、应用集成和企业门户;“业务应用”包含财务(资金)管理、营销管理、安全生产管理、协同办公、人力资源管理、物资管理、项目管理、综合管理业务应用。
第五条引用标准及参考文件
本文档的编制参照了以下国家、中心的标准和文件:
(一)《中华人民共和国计算机信息系统安全保护条例》
(二)《关于信息安全等级保护建设的实施指导意见》(信息运安〔2009〕27号)
(三)《信息安全技术信息系统安全等级保护基本要求》(gb/t22239-2008)
(四)《信息安全技术信息系统安全管理要求》(gb/t20269—2006)
(五)《信息系统等级保护安全建设技术方案设计要求》(报批稿)
(六)《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)
第二章方针、目标和原则
第六条中心信息系统安全坚持“安全第
一、预防为主,管理和技术并重,综合防范”的总体方针,实现信息系统安全可控、能控、在控。依照“分区、分级、分域”总体安全防护策略,执行信息系统安全等级保护制度。管理信息网络分为信息内网和信息外网,实现“双机双网”,信息内网定位为承载网络和内部办公网络,信息外网定位为对外业务网络和访问互联网用户终端网络。信息内、外网之间实施强逻辑隔离的措施。
第七条信息系统安全总体目标是确保信息系统持续、稳定、可靠运行和确保信息内容的机密性、完整性、可用性,防止因信息系统本身故障导致信息系统不能正常使用和系统崩溃,抵御黑客、病毒、恶意代码等对信息系统发起的各类攻击和破坏,防止信息内容及数据丢失和失密,防止有害信息在网上传播,防止中心对外服务中断和由此造成的系统运行事故。
第八条信息安全工作的总体原则
(1)基于安全需求原则
组织机构应根据其信息系统担负的使命,积累的信息资产的重要性,可能受到的威胁及面临的风险分析安全需求,按照信息系统等级保护要求确定相应的信息系统安全保护等级,遵从相应等级的规范要求,从全局上恰当地平衡安全投入与效果;
(2)主要领导负责原则
主要领导应确立其组织统一的信息安全保障的宗旨和政策,负责提高员工的安全意识,组织有效安全保障队伍,调动并优化配置必要的资源,协调安全管理工作与各部门工作的关系,并确保其落实、有效;
(3)全员参与原则
信息系统所有相关人员应普遍参与信息系统的安全管理,并与相关方面协同、协调,共同保障信息系统安全;
(4)系统方法原则
按照系统工程的要求,识别和理解信息安全保障相互关联的层面和过程,采用管理和技术结合的方法,提高实现安全保障的目标的有效性和效率;
(5)持续改进原则
安全管理是一种动态反馈过程,贯穿整个安全管理的生存周期,随着安全需求和系统脆弱性的时空分布变化,威胁程度的提高,系统环境的变化以及对系统安全认识的深化等,应及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级,维护和持续改进信息安全管理体系的有效性;
(6)依法管理原则
信息安全管理工作主要体现为管理行为,应保证信息系统安全管理主体合法、管理行为合法、管理内容合法、管理程序合法。对安全事件的处理,应由授权者适时发布准确一致的有关信息,避免带来不良的社会影响;
(7)分权和授权原则
对特定职能或责任领域的管理功能实施分离、独立审计等实行分权,避免权力过分集中所带来的隐患,以减小未授权的修改或滥用系统资源的机会。任何实体(如用户、管理员、进程、应用或系统)仅享有该实体需要完成其任务所必须的权限,不应享有任何多余权限;
(8)选用成熟技术原则
成熟的技术具有较好的可靠性和稳定性,采用新技术时要重视其成熟的程度,并应首先局部试点然后逐步推广,以减少或避免可能出现的失误;
(9)分级保护原则
此处内容需要权限查看
会员免费查看5.2.7实施方案
1)公司安委会2
4)保障措施在具体的实施过程中,安委会和各责任单位应适时进行绩效考核,发现偏差,及时纠正,保证措施落实的进度和质量。