信息安全總體方針

1、xxx 單位信息安全總體方針制定：審核：批準：xxx 單位信息中心二一五年三月第一條第一章 總則為規(guī)范 xxx 單位信息系統(tǒng)的信息安全管理，促進信息安全工作體系化、規(guī)范化，提高信息和網(wǎng)絡(luò)服務(wù)質(zhì)量，提高信息系統(tǒng)管理人員、使用人員的 整體安全素質(zhì)和水平，特制定本方針。本方針目標是為 xxx 單位信息安全管理提 供清晰的策略方向，闡明信息安全建設(shè)和管理的重要原則，闡明信息安全建設(shè)和 管理所需的支持和承諾。第二條本方針是指導(dǎo) xxx 單位信息安全工作的基本依據(jù)，信息安全相關(guān)人員依據(jù)本方針，并根據(jù)工作實際情況，制定并遵守相應(yīng)的安全標準、流程和安 全制度及其實施細則，做好信息安全管理工作。第三條信息安全是

2、 xxx 單位信息系統(tǒng)管理工作的重要內(nèi)容。xxx 單位管理層非常重視，大力支持信息安全工作，并給予所需的人力物力資源。第四條本方針的適用人員包括所有與 xxx 單位信息系統(tǒng)各方面相關(guān)聯(lián)的人員，它適用于全部員工，集成商，軟件開發(fā)商，產(chǎn)品提供商，顧問，臨時工 和使用 xxx 單位信息系統(tǒng)的其他第三方。第五條本方針適用范圍包括 xxx 單位信息系統(tǒng)擁有的、控制和管理的所有計算機系統(tǒng)、數(shù)據(jù)和網(wǎng)絡(luò)環(huán)境。第六條本方針主要依據(jù)國際標準 iso17799, 并遵照我國信息安全有關(guān)法律法規(guī)和相關(guān)標準。第七條第二章 信息安全管理的主要原則管理與技術(shù)并重原則：信息安全不是單純的技術(shù)問題，在采用安全技術(shù)和產(chǎn)品的同時，

3、應(yīng)重視管理，不斷完善信息安全管理制度與管理規(guī)程，全 面提高信息安全管理水平。第八條全過程原則：信息安全是一個系統(tǒng)工程，應(yīng)將它落實在系統(tǒng)的計劃組織、開發(fā)采購、實施交付、運行維護、廢棄五個階段的全生命周期管理過程 中，信息安全建設(shè)管理應(yīng)遵循與信息系統(tǒng)同步規(guī)劃、同步建設(shè)、同步運行的原則。第九條風(fēng)險管理和風(fēng)險控制原則：應(yīng)進行信息安全風(fēng)險管理和風(fēng)險控制，將信息安全風(fēng)險減低、控制在可以接受的程度內(nèi)，并將其帶來的危害最小化。第十條分級保護原則：應(yīng)根據(jù)信息資產(chǎn)的重要程度以及面臨的風(fēng)險大小等因素確定各類信息資產(chǎn)的安全保護級別。第十一條 統(tǒng)一規(guī)劃、分級管理原則：信息安全管理遵循統(tǒng)一規(guī)劃、分級管 理的原則。上級主管

4、部門信息安全領(lǐng)導(dǎo)小組負責(zé)對 xxx 單位信息安全管理工作進 行統(tǒng)一規(guī)劃，各級單位（部門）在上級主管部門信息安全領(lǐng)導(dǎo)小組的領(lǐng)導(dǎo)與監(jiān)督 下，負責(zé)本單位（部門）的信息安全管理工作。第十二條 平衡原則：在 xxx 單位信息安全管理過程中，應(yīng)在安全性與投入 成本、安全性和操作便利性之間找到最佳的平衡點。第十三條 動態(tài)管理原則：在 xxx 單位信息安全管理過程中，應(yīng)遵循動態(tài)管 理原則，針對信息系統(tǒng)環(huán)境的變動情況及時調(diào)整管理辦法。第三章 信息安全管理組織與職責(zé)第十四條 建立和健全信息安全管理組織，設(shè)立由高層領(lǐng)導(dǎo)組成的信息安全 領(lǐng)導(dǎo)小組，對于信息安全方面的重大問題做出決策，支持并推動信息安全管理工 作在整個

5、xxx 單位范圍內(nèi)的實施。第十五條 xxx 單位信息系統(tǒng)應(yīng)該設(shè)置相應(yīng)的信息安全管理機構(gòu)，在信息安 全領(lǐng)導(dǎo)小組的領(lǐng)導(dǎo)下，負責(zé) xxx 單位的信息安全管理工作。第十六條 xxx 單位信息安全管理機構(gòu)職責(zé)如下：1)根據(jù)本方針制定信息系統(tǒng)的信息安全管理制度、管理標準規(guī)范和執(zhí)行程序；2)3)組織和監(jiān)督信息安全工作的貫徹和實施；考核和檢查信息系統(tǒng)的安全管理情況，定期進行安全風(fēng)險評估，并對出現(xiàn)的安全問題提出解決方案；4)5)負責(zé)安全管理員的選用和監(jiān)督；參與信息系統(tǒng)新工程建設(shè)和新業(yè)務(wù)開展的方案論證，并提出相應(yīng)的安全方面的建議；6)在信息系統(tǒng)工程驗收時，對信息安全方面的驗收測試方案進行審查并參與驗收。第四章 信

6、息系統(tǒng)安全運行管理第十七條 信息資產(chǎn)鑒別和分類是整個 xxx 單位信息安全管理工作的基礎(chǔ)。第十八條 制定信息資產(chǎn)鑒別和分類制度，鑒別信息資產(chǎn)的價值和等級，建 立并維護信息資產(chǎn)清單。第十九條 建立機密信息分類方法和制度，根據(jù)機密程度和重要程度對數(shù)據(jù) 和信息進行分類管理。第二十條 安全運行管理是整個信息安全管理工作的日常體現(xiàn)和執(zhí)行環(huán)節(jié)。 應(yīng)該在本方針的指導(dǎo)下，建立并執(zhí)行信息安全管理制度與信息安全操作規(guī)程。第二十一條定期開展信息安全風(fēng)險評估工作，通過對整個信息系統(tǒng)進行信息安全風(fēng)險評估，確定信息系統(tǒng)所存在的安全隱患和安全風(fēng)險，了解信息系統(tǒng) 安全現(xiàn)狀與信息系統(tǒng)安全需求之間的差異。第二十二條第二十三條進行

7、物理安全和環(huán)境安全的管理，建立機房管理制度。對于 xxx 單位信息系統(tǒng)中重要業(yè)務(wù)系統(tǒng)、服務(wù)器和網(wǎng)絡(luò)、安全設(shè)備，制定安全配置標準及規(guī)定，規(guī)范安全配置管理工作，建立系統(tǒng)變更管理 制度，并進行定期的審計和檢查。第二十四條對于外包開發(fā)的業(yè)務(wù)系統(tǒng)軟件，應(yīng)制定業(yè)務(wù)軟件安全標準來進行規(guī)范，要求有完善的鑒別和認證、訪問控制、日志審計功能和數(shù)據(jù)驗證功能， 杜絕木馬和后門。建立源代碼控制和軟件版本控制機制。第二十五條建立第三方安全管理的制度和規(guī)范，嚴格控制第三方對 xxx單位信息系統(tǒng)的訪問，并在合同中規(guī)定其安全責(zé)任和安全控制要求，以維護第三 方訪問的安全性。第二十六條應(yīng)該實施業(yè)務(wù)連續(xù)性管理程序，預(yù)防和恢復(fù)控制相結(jié)

8、合，將災(zāi)難和安全故障（可能是由于自然災(zāi)害、事故、設(shè)備故障和蓄意破壞等引起）造 成的影響降低到可以接受的水平，以防止業(yè)務(wù)活動中斷，保證重要業(yè)務(wù)流程不受 重大故障和災(zāi)難的影響。第二十七條應(yīng)該分析災(zāi)難、安全故障和服務(wù)損失的后果。制定并實施應(yīng)急管理計劃，確保能夠在要求的時間內(nèi)恢復(fù)業(yè)務(wù)流程。第二十八條對于意外、災(zāi)難和入侵的處理，建立包含事件鑒別、事件恢復(fù)、犯罪取證、攻擊者追蹤的安全事件緊急響應(yīng)機制，制定并遵照正確的安全事 件處理流程，盡量減小安全事件造成的損失，監(jiān)督此類事件并從中總結(jié)經(jīng)驗。第二十九條 安全技能的培訓(xùn)。制定并實施安全培訓(xùn)和教育計劃，進行信息安全意識及信息第五章 信息安全技術(shù)體系建設(shè)第三十條 xxx 單位信息系統(tǒng)應(yīng)加強信息安全技術(shù)體系建設(shè)，包含鑒別認 證，訪問控制，審計和跟蹤，響應(yīng)和恢復(fù)，內(nèi)容安全等五個方面的安全技術(shù)要素。第三十一條 和標準。第三十二條建立鑒別和認證的標準和機制，建立用戶和口令管理的制度建立完善的信息系統(tǒng)的訪問控制標準和機制，加強權(quán)限管理，進行網(wǎng)段隔離，嚴格控制互聯(lián)網(wǎng)出入口，嚴格管理遠程訪問和遠程維護。第三十三條建立有效的審計和跟蹤機制，建立日志存儲、管理和分析機制，提高對安全事件的審計和事后追查能力。第三十四條建立有效的機制和技術(shù)手段來發(fā)現(xiàn)、監(jiān)控、分析和處理信息安