信息安全工作總體方針和安全策略_第1頁
信息安全工作總體方針和安全策略_第2頁
信息安全工作總體方針和安全策略_第3頁
信息安全工作總體方針和安全策略_第4頁
免費預(yù)覽已結(jié)束,剩余1頁可下載查看

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認(rèn)領(lǐng)

文檔簡介

1、1. 總以滿足業(yè)務(wù)運行要求,遵守行業(yè)規(guī)程,實施等級保護及風(fēng)險管理,確保信息以信安全以及實現(xiàn)持續(xù)改進的目的等內(nèi)容作為本單位信息安全工作的總體方針。息網(wǎng)絡(luò)的硬件、 軟件及其系統(tǒng)中的數(shù)據(jù)受到保護, 不受偶然的或者惡意的原因而 遭到破壞、 更改、泄露,系統(tǒng)連續(xù)可靠正常地運行, 信息服務(wù)不中斷為總體目標(biāo)。2. 范圍本案適用于某單位信息安全整體工作。在全單位范圍內(nèi)給予執(zhí)行,由某部門 對該項工作的落實和執(zhí)行進行監(jiān)督, 由某部門配合某部門對本案的有效性進行持 續(xù)改進。3. 原則以誰主管誰負(fù)責(zé)為原則(或者采用其他原則例如:“整體保護原則”、“適度保護的等級化原則”、分域保護原則”、動態(tài)保護原則”、“多級保護原則

2、”、“深度保護原則”和“信息流向原則”等)。4. 策略框架建立一套關(guān)于物理、主機、網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)、建設(shè)和管理等六個方面的安全需求、 控制措施及執(zhí)行程序, 并在關(guān)聯(lián)制度文檔中定義出相關(guān)的安全角色, 并 對其賦予管理職責(zé)。 “以人為本”,通過對信息安全工作人員的安全意識培訓(xùn)等 方法不斷加強系統(tǒng)分布的合理性和有效性。4.1 物理方面依據(jù)實際情況建立機房管理制度, 明確機房的出入管理辦法, 機房介質(zhì)存放 方式,機房設(shè)備維護周期及維護方式, 機房設(shè)備信息保密要求, 機房溫濕度控制方式等等環(huán)境要求。通過明確機房責(zé)任人、 建立機房管理相關(guān)辦法、 對維護和出 入等過程建立記錄等方式對機房安全進行保護。4.2

3、 網(wǎng)絡(luò)方面從技術(shù)角度實現(xiàn)網(wǎng)絡(luò)的合理分布、 網(wǎng)絡(luò)設(shè)備的實施監(jiān)控、 網(wǎng)絡(luò)訪問策略的統(tǒng) 一規(guī)劃、網(wǎng)絡(luò)安全掃描以及對網(wǎng)絡(luò)配置文件等必要信息進行定期備份。 從管理角 度明確網(wǎng)絡(luò)各個區(qū)域的安全責(zé)任人, 建立網(wǎng)絡(luò)維護方面相關(guān)操作辦法并由某人或 某部門監(jiān)督執(zhí)行看,確保各信息系統(tǒng)網(wǎng)絡(luò)運行情況穩(wěn)定、可靠、正常的運行。4.3 主機方面要求各類主機操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)在滿足各類業(yè)務(wù)系統(tǒng)的正常運行條件 下,建立系統(tǒng)訪問控制辦法、 劃分系統(tǒng)使用權(quán)限、 安裝惡意代碼防范軟件并對惡 意代碼的檢查過程進行記錄。 明確各類主機的責(zé)任人, 對主機關(guān)鍵信息進行定期 備份。4.4 應(yīng)用方面從技術(shù)角度實現(xiàn)應(yīng)用系統(tǒng)的操作可控、 訪問可控、

4、通信可控。從管理角度實 現(xiàn)各類控制辦法的有效執(zhí)行,建立完善的維護操作規(guī)程以及明確定期備份內(nèi)容。4.5 數(shù)據(jù)方面對本單位或本部門的各類業(yè)務(wù)數(shù)據(jù)、 設(shè)備配置信息、 總體規(guī)劃信息等等關(guān)鍵 數(shù)據(jù)建立維護辦法,并由某部門或某人監(jiān)督、 執(zhí)行。通過匯報或存儲方式實現(xiàn)關(guān) 鍵數(shù)據(jù)的安全傳輸、存儲和使用。4.6 建設(shè)和管理方面4.6.1 信息安全管理機制成立信息安全管理主要機構(gòu)或部門,設(shè)立安全主管等主要安全角色,依據(jù)信 息安全等級保護三級標(biāo)準(zhǔn)(要求),建立信息系統(tǒng)的整體管理辦法。4.6.2 信息安全管理組織分別建立安全管理崗位和機構(gòu)的職責(zé)文件,對機構(gòu)和人員的職責(zé)進行明確。建立信息發(fā)布、變更、審批等流程和制度類文件

5、,增強制度的有效性。建立安全 審核和檢查的相關(guān)制度及報告方式。4.6.3 人員安全管理要求對人員的錄用、離崗、考核、培訓(xùn)、安全意識教育等方面應(yīng)通過制度和操作 程序進行明確。4.6.4 信息安全等級保護工作及風(fēng)險評估要求定期對已備案的信息系統(tǒng)進行等級保護測評,以保證信息系統(tǒng)運行風(fēng)險維持 在較低水平,不斷增強系統(tǒng)的穩(wěn)定性和安全性。4.6.5 報告安全事件要求對突發(fā)安全事件建立應(yīng)急預(yù)案管理制度和相關(guān)操作辦法,并定期組織人員進 行演練,以保證信息系統(tǒng)在面臨突發(fā)事件時能夠在較短時間內(nèi)恢復(fù)正常的使用。4.6.6 業(yè)務(wù)持續(xù)性要求根據(jù)對系統(tǒng)的等級測評、風(fēng)險評估等間接問題挖掘,及時改進信息系統(tǒng)的各 類弊端, 包括業(yè)務(wù)弊端, 應(yīng)建立相關(guān)改進措施或改進辦法, 以保證對信息系統(tǒng)的 業(yè)務(wù)持續(xù)性要求。4.6.7 違反信息安全要求的懲罰建立懲處辦法,對違反信息安全總體方針、安全策略的、程序流程和管理措 施的人員,依照問題的嚴(yán)重性進行懲罰。5. 相關(guān)文件5.1信息安全各部門安全需求及控制措施5.2信息安全各部門安全工作執(zhí)行程序5.3機房安全管理制度5.4網(wǎng)絡(luò)安全管理制度5.5系統(tǒng)安全管理制度5.

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論