1-信息安全工作總體方針和安全策略

1、信息安全工作總體方針和安全策略第一章總則 第二章第一條 為加強和規(guī)范技術部及各部門信息系統(tǒng)安全工作， 提高 技術部信息系統(tǒng)整體安全防護水平，實現(xiàn)信息安全的可控、能控、在 控，依據(jù)國家有關法律、法規(guī)的要求，制定本文檔。第二條 本文檔的目的是為技術部信息系統(tǒng)安全管理提供一個 總體的策略性架構文件。該文件將指導技術部信息系統(tǒng)的安全管理體 系的建立。安全管理體系的建立是為技術部信息系統(tǒng)的安全管理工作&1 /1r提供參照，以實現(xiàn)技術部統(tǒng)一的安全策略管理， 提高整體的網(wǎng)絡與信 息安全水平，確保安全控制措施落實到位，保障網(wǎng)絡通信暢通和業(yè)務 系統(tǒng)的正常運營。第三章適用范圍第四章第三條本文檔適用于技術部

2、信息系統(tǒng)資產(chǎn)和信息技術人員的 安全管理和指導，適用于指導公司信息系統(tǒng)安全策略的制定、安全方 案的規(guī)劃和安全建設的實施，適用于公司安全管理體系中安全管理措 施的選擇。第五章引用標準及參考文件第六章第四條本文檔的編制外鼻了以下國家、中心的標或*文金第五條 一中叁人民共和國二1算機信息系統(tǒng)安自保于條例第六條 二M關千信息安全等毀侯護建設的實施喈異意見信息運安200927號第七條 三 信息安會技術信總系統(tǒng)安全等級保護基本要求GB/T22239-2008回 信息安全技術信息系統(tǒng)安全管理要求GB/T20269- 2006五 信息系統(tǒng)等級煤護安全建設技術方案設計要求 報批稿六、關于訐展信息安全等級保護安全建

3、設整改工作的指導意見公信雯20091429號第七章總體方針/八'<7 '/ :'1 / ，'第八條企業(yè)信息服務平臺系統(tǒng)安全堅持“安全第一、預防為主， 管理和技術并重，綜合防范”的總體方針，實現(xiàn)信息系統(tǒng)安全可控、 能控、在控。依照“分區(qū)、分級、分域”總體安全防護策略，執(zhí)行信 息系統(tǒng)安全等級保護制度。第八章總體目標 第九章第九條信息系統(tǒng)安全總體目標是確保企業(yè)信息服務平臺系統(tǒng) 持續(xù)、穩(wěn)定、可靠運行和確保信息內(nèi)容的機密性、完整性、可用性， 防止因信息系統(tǒng)本身故障導致信息系統(tǒng)不能正常使用和系統(tǒng)崩潰，抵御黑客、病毒、惡意代碼等對信息系統(tǒng)發(fā)起的各類攻擊和破壞，防止 信息

4、內(nèi)容及數(shù)據(jù)丟失和失密，防止有害信息在網(wǎng)上傳播，防止中心對 外服務中斷和由此造成的系統(tǒng)運行事故。第十章信息安全工作的總體原則第十一章第十條基于安全需求原則組織機構應根據(jù)其信息系統(tǒng)擔負的使命， 積累的信息資產(chǎn)的重要 性，可能受到的威脅及面臨的風險分析安全需求， 按照信息系統(tǒng)等級 保護要求確定相應的信息系統(tǒng)安全保護等級， 遵從相應等級的規(guī)范要 求，從全局上恰當?shù)仄胶獍踩度肱c效果；第十一條 主要領導負責原則主要領導應確立其組織統(tǒng)一的信息安全保障的宗旨和政策，負責提高員工的安全意識，組織有效安全保障隊伍，調(diào)動并優(yōu)化配置必要 的資源，協(xié)調(diào)安全管理工作與各部門工作的關系，并確保其落實、有 效；第十二條 全

5、員參與原則第十三條 信息系統(tǒng)所有相關人員應普遍參與信息系統(tǒng)的安全管理，并與相關方面協(xié)同、協(xié)調(diào)，共同保障信息系統(tǒng)安全；11 第十四條系統(tǒng)方法原則第十五條 按照系統(tǒng)工程的要求，識別和理解信息安全保障相 互關聯(lián)的層面和過程，采用管理和技術結(jié)合的方法，提高實現(xiàn)安全保 障的目標的有效性和效率；第十六條 持續(xù)改進原則安全管理是一種動態(tài)反饋過程，貫穿整個安全管理的生存周期， 隨著安全需求和系統(tǒng)脆弱性的時空分布變化， 威脅程度的提高，系統(tǒng) 環(huán)境的變化以及對系統(tǒng)安全認識的深化等， 應及時地將現(xiàn)有的安全策 略、風險接受程度和保護措施進行復查、修改、調(diào)整以至提升安全管理等級，維護和持續(xù)改進信息安全管理體系的有效性；

6、第十七條依法管理原則信息安全管理工作主要體現(xiàn)為管理行為，應保證信息系統(tǒng)安全管 理主體合法、管理行為合法、管理內(nèi)容合法、管理程序合法。對安全 事件的處理，應由授權者適時發(fā)布準確一致的有關信息， 避免帶來不 良的社會影響；第十八條分權和授權原則第十九條對特定職能或責任領域的管理功能實施分離、獨立審計等實行分權，避免權力過分集中所帶來的隱患，以減小對授權的 修改或濫用系統(tǒng)資源的機會。任何實體（如用戶、管理員、進程、應 用或系統(tǒng)）僅享有該實體需要完成其任務所必須的權限，不應享有任 何多余權限；第二十條選用成熟技術原則I I 第二十一條 成熟的技術具有較好的可靠性和穩(wěn)定性，采用新技 術時要重視其成熟的程

7、度，并應首先局部試點然后逐步推廣， 以減少 或避免可能出現(xiàn)的失誤；第二十二條分級保護原則 aI按等級劃分標準確定信息系統(tǒng)的安全保護等級，實行分級保護， 對多個子系統(tǒng)構成的大型信息系統(tǒng)，確定系統(tǒng)的基本安全保護等級， 并根據(jù)實際安全需求確定系統(tǒng)的安全保護等級，實行安全保護；第二十三條管理與技術并重原則第二十四條堅持積極防御和綜合防范，全面提高信息系統(tǒng)安全防護能力，立足國情，采用管理與技術相結(jié)合，管理科學性和技術前瞻性結(jié)合的方法，保障信息系統(tǒng)的安全性達到所要求的目標。第二十五條 自保護和國家監(jiān)管結(jié)合原則對信息系統(tǒng)安全實行自保護和國家保護相結(jié)合。 組織機構要對自己的信息系統(tǒng)安全保護負責，政府相關部門有

8、責任對信息系統(tǒng)的安全 進行指導、監(jiān)督和檢查，形成自管、自查、自評和國家監(jiān)管相結(jié)合的 管理模式，提高信息系統(tǒng)的安全保護能力和水平，保障國家信息安全。第二十六條在規(guī)劃和建設信息系統(tǒng)時，信息系統(tǒng)安全防護措施 應按照“三同步”原則，與企業(yè)信息服務平臺建設同步規(guī)劃、同步建 設、同步投入運行。第十二章總體安全策略第一節(jié) 策略框架第二十七條 建立一套關于物理、主機、網(wǎng)絡、應用、數(shù)據(jù)、建 I I 設和管理等六個方面的安全需求、 控制措施及執(zhí)行程序，并在關聯(lián)制 度文檔中定義出相關的安全角色，并對其賦予管理職責?！耙匀藶楸尽?， 通過對信息安全工作人員的安全意識培訓等方法不斷加強系統(tǒng)分布 的合理性和有效性。第二節(jié)

9、主機安全策略第二十八條登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶必須進行身份標識和鑒別；第二十九條操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標識不能出現(xiàn) 同名用戶，口令應有復雜度要求并定期更換;第三十條 操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)必須啟用登錄失敗處理功能；第三十一條 對服務器進行遠程管理時，必須采取必要措施，防止鑒別信息在網(wǎng)絡傳輸過程中被竊聽；第三十二條 為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性，不能出重名情況；第三十三條操作系統(tǒng)和數(shù)據(jù)庫必須及時刪除多余的、過期的賬戶，避免共享賬戶的存在；第三十四條 主機必須開啟日志審計功能；第三十五條主機必須安裝防惡意代碼產(chǎn)品，并進行統(tǒng)一管理。第三節(jié) 應用

10、安全策略第三十六條應用系統(tǒng)必須在登錄時要求輸入用戶名和口令；第三十七條 登錄應用系統(tǒng)必須進行兩種或兩種以上的復合身份驗證（如用戶名口令+Ukey或用戶名口令+IP與MACfe址綁定方式）； 第三十八條 應用系統(tǒng)中設置的用戶都必須是唯一用戶，不能名稱相同；第三十九條應用系統(tǒng)必須開啟登錄失敗處理功能；第四十條 應用系統(tǒng)必須開啟登錄連接超時自動退出等措施；第四十一條 應用系統(tǒng)必須開啟身份鑒別、用戶身份標識唯一性檢查、用戶身份鑒別信息復雜度檢查以及登錄失敗處理功能，并根據(jù)安全策略配置相關參數(shù)；第四十二條 應用系統(tǒng)必須開啟日志審計功能；第四十三條 應用系統(tǒng)存儲用戶信息的設備在銷毀、修理或轉(zhuǎn)做其他用途時，

11、必須清楚內(nèi)部存儲的信息第四節(jié) 數(shù)據(jù)安全策略第五節(jié)第四十四條 業(yè)務應用數(shù)據(jù)和設備配置文檔都必須進行備份，以 便發(fā)生問題時進行恢復；第四十五條 數(shù)據(jù)備份至其他設備上時，必須使用專門的備份通 道，保證數(shù)據(jù)傳輸?shù)耐暾?；第四十六條 數(shù)據(jù)本機備份時應檢測其完整性；第四十七條 數(shù)據(jù)備份時必須使用專業(yè)的備份設備和工具，在數(shù) 據(jù)傳輸和數(shù)據(jù)存儲時，都必須是加密傳輸和存儲；第四十八條 數(shù)據(jù)進行異地備份時，必須利用通信網(wǎng)絡將關鍵數(shù) 據(jù)定時批量傳送至備用場地。第六節(jié) 建設和管理策略第四十九條信息安全管理機制成立信息安全管理主要機構或部門，設立安全主管等主要安全角 色，依據(jù)信息安全等級保護二級標準（要求），建立信息系統(tǒng)的整體 管理辦法。第五十條 信息安全管理組織分別建立安全管理崗位和機構的職責文件， 對機構和人員的職責 進行明確。建立信息發(fā)布、審批等流程和制度類文件，增強制度的有 效性。建立安全審核和檢查的相關制度及報告方式。第五十一條人員安全管理要求對人員的錄用、離崗、考核、培訓、安全意識教育等方面應通過 制度和操作程序進行明確。第五十二條信息安全等級保護工作及風險評估要求定期對已備案的信息系統(tǒng)進行等級保護測評，以保證信息系統(tǒng)運 行風險維持在較低水平，不斷增強系統(tǒng)的穩(wěn)定性和安全性。第五十三條報告安全事件要求' ,對突發(fā)安全事件建立應急預案管理制度和相關操作辦法，并定期 組織人員進行演練，以保證信