《信息安全方针及安全策略制度.docx》由会员分享,可在线阅读,更多相关《信息安全方针及安全策略制度.docx(6页珍藏版)》请在优知文库上搜索。
1、信息安全方针及安全策略制度目录1 .适用范围12 .信息安全总体方针13 .信息安全总体目标14 .信息安全工作原则25 .信息安全体系框架26 .主要安全策略2L适用范围作为网络系统信息安全管理的纲领性文件,本文件用于指导建立并实施信息安全管理体系的行动准则,适用于网络系统的相关各项日常安全管理。2.信息安全总体方针“积极参与明确责任预防为主快速响应风险管控持续改进”是的信息安全总体方针。具体阐述如下:(1)在技术部的领导下,全面贯彻国家关于信息安全工作的相关指导性文件精神,在内部建立可持续改进的信息安全管理体系。(2)全员参与信息安全管理体系建设,落实信息安全管理责任制,建立和完善各项信息
2、安全管理制度,使得信息安全管理有章可循。(3)通过定期的信息安全宣传、教育与培训,不断提高所有人员的信息安全意识及能力。(4)推行预防为主的信息安全积极防御理念,同时对所发生的信息安全事件进行快速、有序地响应。(5)贯彻风险管理的理念,定期对系统进行风险评估和控制,将信息安全风险控制在可接受的水平。(6)持续改进信息安全各项工作,保障网络系统安全畅通与可控,保障所开发和维护信息系统的安全稳定,为社会公众提供安全可靠的招投标比选服务。3.信息安全总体目标(1)按照等级保护三级要求,对生产网系统进行建设和运维。(2)建立信息化资产目录(包括软件、硬件、数据信息等)。(3)建立健全并持续改进安全管理
3、体系。(4)编制完成网络和信息安全事件总体应急预案,并组织应急演练。(5)每年至少开展一次由第三方机构主导的信息安全风险评估,同时单位内部定期进行自评估,保障信息系统的安全。(6)每年至少组织一次全范围的信息安全管理制度宣传贯彻。4 .信息安全工作原则结合实际情况,信息安全工作的开展过程中,基本工作原则为:(1)以自身为主,坚持技术与管理并重。(2)正确处理安全与发展的关系,以安全保发展,在发展中求安全。(3)统筹规划,突出重点,强化基础工作。(4)明确各角色的责任和义务,充分发挥各方面的积极性,共同构筑信息安全保障体系。5 .信息安全体系框架应用安全(应用软件安全、支撑软件安全、工具软件安全
4、等)安全管理应用管理系统管理网络管理物理管理系统安全(操作系统安全、数据库管理系统安全)网络安全(网络软件安全、网络协议安全和网络数据传输安全)物理安全(计算机硬件安全、网络硬件安全及其环境安全)6.主要安全策略(1)按照国家等级保护有关要求,系统信息安全等级确定为三级,按照国家等级保护三级有关要求进行实施、保护。(2)建立信息安全管理组织机构,明确安全管理员、网络管理员、应用系统管理员、审计管理员、资产管理员等各类安全管理相关岗位及职责,建立健全信息安全管理责任制,使得信息安全各项职责落实到人。(3)对信息安全管理体系进行定期得内审和管理评审,对各项安全控制措施实施后的有效性进行测量,并实施
5、相应的纠正和预防措施,以保证信息安全管理体系持续的充分性、适宜性、有效性。(4)对系统中所存在的安全风险应进行有计划的评估和管理。定期对信息系统实施信息安全风险评估,根据评估结果选择适当的安全策略和控制措施,将安全风险控制在可接受的水平。风险评估至少每年一次,在信息系统发生重大改变后,也应进行风险评估。(5)规范系统信息资产(包括硬件、软件、服务等)管理流程,建立信息资产管理台帐,明确资产所有者、使用者与维护者,对所有信息资产进行标记,实现对信息资产购买、使用、变更、报废整个周期的安全管理。(6)加强人员管理,对内部人员及各类外来人员进行安全管理,明确岗位安全职责,制定针对违规的惩戒措施,落实
6、人员聘用、在岗和离岗时的安全控制,与敏感岗位人员签署保密协议。(7)通过正式的信息安全培训,以及网站、简报、会议、讲座等各种形式的信息安全教育活动,不断加强内部人员的信息安全意识,提高信息安全技能。(8)保障关键区域的物理与环境安全,严格实施关键区域人员及设备的出入管理。由指派相关人员对托管于电信机房的生产网系统进行定期巡检。(9)加强对信息系统外包业务与外包方的管理,在与信息系统外包方签署的服务协议中,对信息系统安全加以要求。通过审批、访问控制、监控、签署保密协议等措施,加强外部方对比选网络平台的访问管理,防止外部方危害信息系统安全。(10)对的各重要信息系统(包括基础设施、网络和服务器设备
7、、系统、应用等)应有文档化的操作和维护规程,使得各相关人员能够采用规范化的形式对系统进行操作,降低和避免因误操作所引发信息安全事件的可能性。(11)在范围内统一部署网络防恶意代码软件,并进行恶意代码库的统一更新,防范恶意代码、木马等恶意代码对信息系统的影响。强化恶意代码防范的管理措施,如加强介质管理,严禁擅自安装软件,加强人员安全意识教育,定期进行恶意代码检测等,提高信息系统对恶意代码的防范能力。(12)对重要的信息和信息系统进行备份,并对备份介质进行安全地保存。定期对备份数据进行备份测试验证,保证各种备份信息的保密性、完整性和可用性,确保所有重要信息系统和重要数据在故障、灾难后及其它特定要求
8、下进行可靠的恢复。(13)采用技术和管理两方面的控制措施,加强对信息系统安全控制,实施网络访问控制等技术防范措施,不断提高网络的安全性和稳定性。对外部用户,通过相关安全设备、安全策略进行安全控制,防止外部攻击;对内部用户,加强使用安全管理,加强对内部人员的安全培训和教育,确保信息系统的安全。(14)加强信息安全日常管理,包括系统口令管理、无人值守设备管理、屏幕保护、便携机管理等,促使每位员工的日常工作符合信息安全策略和制度要求。(15)通过功能和技术配置,对重要信息系统、数据等实施访问控制。关键管理人员必须配备数字证书,同时制定安全的授权管理制度,并落实授权责任人。对系统特殊权限和系统实用工具
9、的使用进行严格的审批和监管。(16)重视软件开发安全。在系统立项和审批过程中,同步考虑信息安全需求和目标。对系统设计、开发过程的安全应加以保证,重点加强对软件代码安全性的管理。属于外包软件开发的,应与服务提供商签署保密协议。系统开发完成后,应要求通过第三方安全机构对软件安全性的测评。(17)在符合国家密码管理相关规定的条件下,合理使用密码技术和密码设备,严格密钥生成、分发、保存等方面的安全管理,保障密码技术使用的安全性。(18)重视对IT服务连续性的管理,建立对各类信息安全事件的预防、预警、响应、处置、恢复机制,编制应急预案,并定期进行测试和演练,在信息系统发生故障或事故时,能迅速、有序地进行应急处置,最大限度地降低因信息系统突发事件或意外灾害给信息系统所带来的影响。(19)对所适用的国家信息安全相关法律法规进行定期的识别、记录和更新,并定期对信息安全管理现状与法律法规的符合性进行检查,确保各项信息安全工作符合国家信息安全相关法律法规要求