01-信息安全總體方針和安全策略指引

1、XXX公司 信息安全總體方針和安全策略指引 第一章 總 則 第一條 為了進(jìn)一步深入貫徹落實(shí)國(guó)家政策文件要求，加強(qiáng)公司信息 安全管理工作，切實(shí)提高公司信息系統(tǒng)安全保障能力， 特制定本指引 第二條 本指引適合于公司。 第三條 公司信息安全管理遵循如下原則： （ 一） 主要領(lǐng)導(dǎo)負(fù)責(zé)原則：公司主要領(lǐng)導(dǎo)負(fù)責(zé)信息安全管理工作，統(tǒng) 籌規(guī)劃信息安全管理目標(biāo)和策略， 建立信息安全保障隊(duì)伍并合理配置 資源； （ 二 ） 全員參與原則：公司全員參與信息系統(tǒng)的安全管理工作，將信 息安全與本職工作相結(jié)合， 相互協(xié)同工作， 認(rèn)真落實(shí)信息安全管理要 求，共同保障信息系統(tǒng)安全； （ 三 ） 合規(guī)性原則：信息安全管理制度遵循國(guó)

2、際信息安全管理標(biāo)準(zhǔn)， 以國(guó)家信息安全法律、法規(guī)、標(biāo)準(zhǔn)、規(guī)范為根本依據(jù)，全面符合相關(guān) 主管部門和公司的各類要求。 （ 四） 監(jiān)督制約原則：信息系統(tǒng)安全管理組織結(jié)構(gòu)、組織職責(zé)、崗位 職責(zé)、工作流程層面、執(zhí)行層面建立相互監(jiān)督制約機(jī)制，降低因缺乏 約束而產(chǎn)生的安全風(fēng)險(xiǎn)。 （ 五） 規(guī)范化原則：通過建立規(guī)范化的工作流程，在執(zhí)行層面對(duì)信息 系統(tǒng)安全工作進(jìn)行合理控制，降低由于工作隨意性而產(chǎn)生的安全風(fēng) 險(xiǎn)，同時(shí)提升信息安全管理制度的可操作性。 （ 六） 持續(xù)改進(jìn)原則：通過不斷的持續(xù)改進(jìn)，每年組織公司管理層對(duì) 制度的全面性、適用性和有效性進(jìn)行論證和審定，并進(jìn)行版本修訂。 第四條 本指引適用于公司全體人員。 第二

3、章 信息安全保障框架及目標(biāo) 第五條 參照國(guó)內(nèi)外相關(guān)標(biāo)準(zhǔn)，并結(jié)合公司已有網(wǎng)絡(luò)與信息安全體系 建設(shè)的實(shí)際情況， 最終形成依托于安全保護(hù)對(duì)象為基礎(chǔ)， 縱向建立安 全管理體系、安全技術(shù)體系、安全運(yùn)行體系和安全管理中心的“三個(gè) 體系，一個(gè)中心，三重防護(hù)”的安全保障體系框架。 （ 一 ） “三個(gè)體系”：信息安全管理體系、信息安全技術(shù)體系和信息安 全運(yùn)行體系，把信息安全標(biāo)準(zhǔn)的控制點(diǎn)和公司實(shí)際情況相結(jié)合形成相 適應(yīng)的體系結(jié)構(gòu)框架； （ 二） “一個(gè)中心”：信息安全管理中心，實(shí)現(xiàn)“自動(dòng)、平臺(tái)化”的安 全工作管理、統(tǒng)一技術(shù)管理和安全運(yùn)維管理； （ 三） “三重防護(hù)”：安全計(jì)算環(huán)境防護(hù)措施、安全區(qū)域邊界防護(hù)措施 和

4、安全網(wǎng)絡(luò)通信防護(hù)措施， 把安全技術(shù)控制措施與安全保護(hù)對(duì)象相結(jié) 合。 第六條 公司安全保障框架： （ 一） 安全管理體系：信息安全管理體系重點(diǎn)落實(shí)安全管理制度、安 全管理機(jī)構(gòu)和人員安全管理的相關(guān)控制要求， 并結(jié)合公司的實(shí)際情況 形成符合行業(yè)和國(guó)家信息安全標(biāo)準(zhǔn)的信息安全管理體系框架。 （ 二） 安全技術(shù)體系：通過安全技術(shù)在物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用和數(shù) 據(jù)各個(gè)層面的實(shí)施， 建立與公司實(shí)際情況相結(jié)合的安全技術(shù)體系。 同 時(shí)與“安全計(jì)算環(huán)境、安全區(qū)域邊界和安全網(wǎng)絡(luò)通信”的保護(hù)對(duì)象相 作用，形成依托于保護(hù)對(duì)象的安全技術(shù)體系控制措施。 （ 三） 安全運(yùn)行體系：信息安全運(yùn)行體系重點(diǎn)落實(shí)系統(tǒng)建設(shè)管理和系 統(tǒng)運(yùn)維管

5、理的相關(guān)控制要求， 并與公司實(shí)際情況相結(jié)合， 形成符合行 業(yè)和國(guó)家信息安全標(biāo)準(zhǔn)的信息安全運(yùn)行體系框架。 （ 四 ） 安全管理中心：根據(jù)信息安全相關(guān)要求和安全設(shè)計(jì)技術(shù)要求的 相關(guān)內(nèi)容，信息安全管理中心通過“自動(dòng)、平臺(tái)化”的方式，對(duì)信息 安全管理體系、 信息安全技術(shù)體系以及信息安全運(yùn)行體系的相關(guān)控制 內(nèi)容，結(jié)合公司的實(shí)際情況加以落實(shí)。 第七條 公司信息安全總體目標(biāo)是：依照業(yè)務(wù)信息系統(tǒng)的實(shí)際情況和 現(xiàn)實(shí)問題為基礎(chǔ)，參照國(guó)內(nèi)、國(guó)際的安全標(biāo)準(zhǔn)和規(guī)范，充分利用成熟 的信息安全理論成果，設(shè)計(jì)出整體性好、可操作性強(qiáng)，并且融組織、 管理和技術(shù)為一體的設(shè)計(jì)方案，達(dá)到行業(yè)和國(guó)家信息安全標(biāo)準(zhǔn)的要 求。 第三章 安全策

6、略 第八條 建立信息安全領(lǐng)導(dǎo)小組，負(fù)責(zé)組織、落實(shí)國(guó)家信息安全相關(guān) 政策、法規(guī)和標(biāo)準(zhǔn)要求， 審核并制定公司信息安全的發(fā)展戰(zhàn)略、 規(guī)劃、 政策和管理制度，落實(shí)公司信息安全組織及職責(zé)管理辦法 。 第九條 保持與國(guó)家信息安全主管機(jī)構(gòu)、監(jiān)管機(jī)構(gòu)、上級(jí)主管單位和 支撐企業(yè)信息安全建設(shè)、運(yùn)營(yíng)單位的聯(lián)絡(luò)，制定完整的公司常用信 息安全組織機(jī)構(gòu)信息表 ，確保與外部機(jī)構(gòu)的溝通暢通。 第十條 加強(qiáng)公司內(nèi)部人員在錄用前、工作期間、調(diào)崗和離崗的人員 安全管理，確保公司內(nèi)部人員的背景、身份、專業(yè)資格和職能權(quán)限的 安全性，要求信息安全人員簽署保密協(xié)議，落實(shí)公司內(nèi)部人員信息 安全管理辦法。 第十一條 加強(qiáng)外部人員的安全管理，防

7、范外部人員帶來的安全風(fēng)險(xiǎn), 規(guī)范外部人員在公司各項(xiàng)與信息系統(tǒng)相關(guān)的活動(dòng)所要遵守的行為準(zhǔn) 則，嚴(yán)格落實(shí)公司外部人員信息安全管理辦法。 第十二條 每年組織開展全員信息安全教育或培訓(xùn)，提升公司全員的 信息安全意識(shí)，確保公司信息安全目標(biāo)和策略能夠得到必要的宣貫。 第十三條 建立信息安全管理制度制定、發(fā)布、審核和修訂的管理要 求，并滿足國(guó)家法律、政策和規(guī)范的要求，確保信息安全管理制度持 續(xù)改進(jìn)，落實(shí)公司信息安全制度管理辦法。 第十四條 確保信息化建設(shè)的項(xiàng)目立項(xiàng)、設(shè)計(jì)、實(shí)施、驗(yàn)收等各個(gè)環(huán) 節(jié)與信息安全管理控制機(jī)制的有機(jī)結(jié)合，實(shí)現(xiàn)項(xiàng)目工程管理過程和內(nèi) 容安全可控，嚴(yán)格執(zhí)行公司信息系統(tǒng)建設(shè)安全管理辦法。 第十

8、五條加強(qiáng)公司信息系統(tǒng)的物理環(huán)境和設(shè)施的信息安全規(guī)范性管 理工作，確保物理環(huán)境、設(shè)施設(shè)備和進(jìn)出訪問控制安全，落實(shí)公司 機(jī)房環(huán)境安全管理辦法和公司辦公環(huán)境信息安全管理辦法 。 第十六條加強(qiáng)對(duì)公司信息資產(chǎn)的安全管理，建立統(tǒng)一的信息資產(chǎn)分 類、責(zé)任、授權(quán)和配置管理，明確公司硬件資產(chǎn)、軟件資產(chǎn)和數(shù)據(jù)資 產(chǎn)的信息安全管理工作，落實(shí)公司信息資產(chǎn)安全管理辦法 。 第十七條 加強(qiáng)信息資產(chǎn)的運(yùn)行維護(hù)管理工作，對(duì)系統(tǒng)的工作環(huán)境、 安全運(yùn)行、策略進(jìn)行定期檢查，記錄信息系統(tǒng)運(yùn)行的日志及狀態(tài)，定 期對(duì)信息資產(chǎn)進(jìn)行清點(diǎn)，確保各系統(tǒng)的正常運(yùn)行，落實(shí)公司信息安 全運(yùn)行維護(hù)管理辦法。 第十八條 加強(qiáng)信息系統(tǒng)運(yùn)行維護(hù)過程中的變更管

9、理，確保公司信息 系統(tǒng)的可核查性和可追溯性，合理控制信息系統(tǒng)變更產(chǎn)生的信息安全 風(fēng)險(xiǎn)，結(jié)合日常信息系統(tǒng)的運(yùn)行有關(guān)管理辦法，落實(shí)公司信息系統(tǒng) 變更管理辦法。 第十九條 加強(qiáng)對(duì)信息安全事件的監(jiān)控和管理，建立應(yīng)急事件的報(bào)告、 協(xié)調(diào)、處理機(jī)制。制定重要信息系統(tǒng)的應(yīng)急響應(yīng)預(yù)案，并進(jìn)行演練和 定期更新，確保信息系統(tǒng)的連續(xù)穩(wěn)定運(yùn)行，落實(shí)公司應(yīng)急管理辦法 和公司信息安全分類應(yīng)急預(yù)案。 第二十條 對(duì)磁帶、磁盤、磁盤陣列、光盤、硬盤、紙質(zhì)等各類移動(dòng) 存儲(chǔ)介質(zhì)進(jìn)行的所有安全管理活動(dòng)進(jìn)行管理，介質(zhì)使用必須要有授 權(quán)，保證介質(zhì)使用的安全。落實(shí)公司介質(zhì)安全管理辦法。 第二條 為規(guī)范管理員對(duì)網(wǎng)絡(luò)設(shè)備的訪問及操作行為，降低由

10、于 口令強(qiáng)度不夠和設(shè)置不完善等造成的安全隱患和風(fēng)險(xiǎn)，應(yīng)加強(qiáng)各信息 系統(tǒng)的口令管理，落實(shí)公司密碼管理辦法。 第二十二條 加強(qiáng)對(duì)網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)、規(guī)劃、變更審批和運(yùn)維監(jiān)督， 定期對(duì)網(wǎng)絡(luò)中的系統(tǒng)進(jìn)行漏洞掃描，對(duì)重要網(wǎng)段進(jìn)行保護(hù)，落實(shí)公 司網(wǎng)絡(luò)安全管理辦法。 第二十三條 規(guī)范系統(tǒng)的使用，對(duì)系統(tǒng)的賬戶權(quán)限進(jìn)行有效控制，及 時(shí)的更新系統(tǒng)的補(bǔ)丁，有效的保護(hù)系統(tǒng)中的文件，對(duì)重要系統(tǒng)的文件 進(jìn)行保護(hù)，落實(shí)公司系統(tǒng)安全管理辦法。 第二十四條 定期對(duì)網(wǎng)絡(luò)中的應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)進(jìn)行備份，實(shí)現(xiàn)異地 備份的方式，同時(shí)每年需要進(jìn)行一次數(shù)據(jù)恢復(fù)演練， 數(shù)據(jù)的保存周期 至少為五年，合理的根據(jù)情況進(jìn)行調(diào)整備份時(shí)間，落實(shí)公司信息備 份與恢復(fù)管理制度。 第四章獎(jiǎng)懲 第二十五條對(duì)長(zhǎng)期認(rèn)真貫徹公司信息安全管理辦法，并因此而取得 較好成績(jī)的組織和