《信息安全方针及安全策略制度.docx》由会员分享,可在线阅读,更多相关《信息安全方针及安全策略制度.docx(6页珍藏版)》请在第一文库网上搜索。
1、信息安全方针及安全策略制度目录1 .适用范围12 .信息安全总体方针13 .信息安全总体目标14 .信息安全工作原则25 .信息安全体系框架26 .主要安全策略2L适用范围作为网络系统信息安全管理的纲领性文件,本文件用于指导建立并实施信息 安全管理体系的行动准则,适用于网络系统的相关各项日常安全管理。2.信息安全总体方针“积极参与明确责任 预防为主快速响应 风险管控持续改进”是的信息 安全总体方针。具体阐述如下:(1)在技术部的领导下,全面贯彻国家关于信息安全工作的相关指导性文 件精神,在内部建立可持续改进的信息安全管理体系。(2)全员参与信息安全管理体系建设,落实信息安全管理责任制,建立和
2、完善各项信息安全管理制度,使得信息安全管理有章可循。(3)通过定期的信息安全宣传、教育与培训,不断提高所有人员的信息安 全意识及能力。(4)推行预防为主的信息安全积极防御理念,同时对所发生的信息安全事 件进行快速、有序地响应。(5)贯彻风险管理的理念,定期对系统进行风险评估和控制,将信息安全 风险控制在可接受的水平。(6)持续改进信息安全各项工作,保障网络系统安全畅通与可控,保障所 开发和维护信息系统的安全稳定,为社会公众提供安全可靠的招投标比选服务。3.信息安全总体目标(1)按照等级保护三级要求,对生产网系统进行建设和运维。(2)建立信息化资产目录(包括软件、硬件、数据信息等)。(3)建立健
3、全并持续改进安全管理体系。(4)编制完成网络和信息安全事件总体应急预案,并组织应急演练。(5)每年至少开展一次由第三方机构主导的信息安全风险评估,同时单位 内部定期进行自评估,保障信息系统的安全。(6)每年至少组织一次全范围的信息安全管理制度宣传贯彻。4 .信息安全工作原则结合实际情况,信息安全工作的开展过程中,基本工作原则为:(1)以自身为主,坚持技术与管理并重。(2)正确处理安全与发展的关系,以安全保发展,在发展中求安全。(3)统筹规划,突出重点,强化基础工作。(4)明确各角色的责任和义务,充分发挥各方面的积极性,共同构筑信息 安全保障体系。5 .信息安全体系框架应用安全(应用软件安全、支
4、撑软件安全、工具软件安全等)安 全 管 理 应用管理系统管理 网络管理物理管理系统安全(操作系统安全、数据库管理系统安全)网络安全(网络软件安全、网络协议安全和网络数据传输安全)物理安全(计算机硬件安全、网络硬件安全及其环境安全)6.主要安全策略(1)按照国家等级保护有关要求,系统信息安全等级确定为三级,按照国 家等级保护三级有关要求进行实施、保护。(2)建立信息安全管理组织机构,明确安全管理员、网络管理员、应用系 统管理员、审计管理员、资产管理员等各类安全管理相关岗位及职责,建立健全 信息安全管理责任制,使得信息安全各项职责落实到人。(3)对信息安全管理体系进行定期得内审和管理评审,对各项安
5、全控制措 施实施后的有效性进行测量,并实施相应的纠正和预防措施,以保证信息安全管 理体系持续的充分性、适宜性、有效性。(4)对系统中所存在的安全风险应进行有计划的评估和管理。定期对信息 系统实施信息安全风险评估,根据评估结果选择适当的安全策略和控制措施,将 安全风险控制在可接受的水平。风险评估至少每年一次,在信息系统发生重大改 变后,也应进行风险评估。(5)规范系统信息资产(包括硬件、软件、服务等)管理流程,建立信息 资产管理台帐,明确资产所有者、使用者与维护者,对所有信息资产进行标记, 实现对信息资产购买、使用、变更、报废整个周期的安全管理。(6)加强人员管理,对内部人员及各类外来人员进行安
6、全管理,明确岗位 安全职责,制定针对违规的惩戒措施,落实人员聘用、在岗和离岗时的安全控制, 与敏感岗位人员签署保密协议。(7)通过正式的信息安全培训,以及网站、简报、会议、讲座等各种形式 的信息安全教育活动,不断加强内部人员的信息安全意识,提高信息安全技能。(8)保障关键区域的物理与环境安全,严格实施关键区域人员及设备的出 入管理。由指派相关人员对托管于电信机房的生产网系统进行定期巡检。(9)加强对信息系统外包业务与外包方的管理,在与信息系统外包方签署 的服务协议中,对信息系统安全加以要求。通过审批、访问控制、监控、签署保 密协议等措施,加强外部方对比选网络平台的访问管理,防止外部方危害信息系
7、 统安全。(10)对的各重要信息系统(包括基础设施、网络和服务器设备、系统、应 用等)应有文档化的操作和维护规程,使得各相关人员能够采用规范化的形式对 系统进行操作,降低和避免因误操作所引发信息安全事件的可能性。(11)在范围内统一部署网络防恶意代码软件,并进行恶意代码库的统一更 新,防范恶意代码、木马等恶意代码对信息系统的影响。强化恶意代码防范的管 理措施,如加强介质管理,严禁擅自安装软件,加强人员安全意识教育,定期进 行恶意代码检测等,提高信息系统对恶意代码的防范能力。(12)对重要的信息和信息系统进行备份,并对备份介质进行安全地保存。 定期对备份数据进行备份测试验证,保证各种备份信息的保
8、密性、完整性和可用 性,确保所有重要信息系统和重要数据在故障、灾难后及其它特定要求下进行可 靠的恢复。(13)采用技术和管理两方面的控制措施,加强对信息系统安全控制,实施 网络访问控制等技术防范措施,不断提高网络的安全性和稳定性。对外部用户, 通过相关安全设备、安全策略进行安全控制,防止外部攻击;对内部用户,加强 使用安全管理,加强对内部人员的安全培训和教育,确保信息系统的安全。(14)加强信息安全日常管理,包括系统口令管理、无人值守设备管理、屏 幕保护、便携机管理等,促使每位员工的日常工作符合信息安全策略和制度要求。(15)通过功能和技术配置,对重要信息系统、数据等实施访问控制。关键 管理人
9、员必须配备数字证书,同时制定安全的授权管理制度,并落实授权责任人。 对系统特殊权限和系统实用工具的使用进行严格的审批和监管。(16)重视软件开发安全。在系统立项和审批过程中,同步考虑信息安全需 求和目标。对系统设计、开发过程的安全应加以保证,重点加强对软件代码安全 性的管理。属于外包软件开发的,应与服务提供商签署保密协议。系统开发完成 后,应要求通过第三方安全机构对软件安全性的测评。(17)在符合国家密码管理相关规定的条件下,合理使用密码技术和密码设 备,严格密钥生成、分发、保存等方面的安全管理,保障密码技术使用的安全性。(18)重视对IT服务连续性的管理,建立对各类信息安全事件的预防、预 警、响应、处置、恢复机制,编制应急预案,并定期进行测试和演练,在信息系 统发生故障或事故时,能迅速、有序地进行应急处置,最大限度地降低因信息系 统突发事件或意外灾害给信息系统所带来的影响。(19)对所适用的国家信息安全相关法律法规进行定期的识别、记录和更新, 并定期对信息安全管理现状与法律法规的符合性进行检查,确保各项信息安全工 作符合国家信息安全相关法律法规要求