三級等保安全管理制度信息安全管理策略

1、*主辦部門：系統(tǒng)運維部執(zhí)筆人：審核人：XXXXX信息安全管理策略V0.1XXX-XXX-XX-010012014年 3月 17日 本文件中出現(xiàn)的任何文字敘述、文檔格式、插圖、照片、方法、過程等內容，除另有特別注明，版權均屬XXXXX所有，受到有關產權及版權法保護。任何個人、機構未經的書面授權許可，不得以任何方式復制或引用本文件的任何片斷。XXXXX文件版本信息版本日期擬稿和修改說明V0.1擬稿文件版本信息說明記錄本文件提交時當前有效的版本控制信息， 當前版本文件有效期將在新版本文檔生效時自動結束。文件版本小于 1.0 時，表示該版本文件為草案，僅可作為參照資料之目的。閱送范圍內部發(fā)送部門：綜合

2、部、系統(tǒng)運維部目錄第一章總則1第二章信息安全方針1第三章信息安全策略2第四章附則10第一章總則第一條為規(guī)范 XXXXX信息安全系統(tǒng)，確保業(yè)務系統(tǒng)安全、穩(wěn)定和可靠的運行，提升服務質量， 不斷推動信息安全工作的健康發(fā)展。 根據(jù)中華人民共和國計算機信息系統(tǒng)安全保護條例、信息安全技術信息系統(tǒng)安全等級保護基本要求（ GB/T22239-2008）、金融行業(yè)信息系統(tǒng)信息安全等級保護實施指引（JR/T 0071 2012）、金融行業(yè)信息系統(tǒng)信息安全等級保護測評指南（ JR/T 0072 2012），并結合 XXXXX實際情況，特制定本策略。第二條 本策略為 XXXXX信息安全管理的綱領性文件， 明確提出 X

3、XXXX在信息安全管理方面的工作要求， 指導信息安全管理工作。為信息安全管理制度文件提供指引， 其它信息安全相關文件在制定時不得違背本策略中的規(guī)定。第三條 網絡與信息安全工作領導小組負責制定信息安全管理策略。第二章信息安全方針第四條 XXXXX 的信息安全方針為：安全第一、綜合防范、預防為主、持續(xù)改進。（一）安全第一： 信息安全為業(yè)務的可靠開展提供基礎保障。把信息安全作為信息系統(tǒng)建設和業(yè)務經營的首要任務；（二）綜合防范：管理措施和技術措施并重，建立有效的識別和預防信息安全風險機制，合理選擇安全控制方式，使信息安全風險的發(fā)生概率降低到可接受水平；（三）預防為主：依據(jù)國家、行業(yè)監(jiān)管機構相關規(guī)定和信

4、息安全管理最佳實踐，根據(jù)信息資產的重要性等級，對重要信息資產采取有效措施消除可能的隱患，降低信息安全事件的發(fā)生概率；（四）持續(xù)改進：建立全面覆蓋信息安全各個管理域的，可度量的、可管理的管理機制，并在此基礎上建立持續(xù)改進的體系框架，不斷自我完善， 為業(yè)務的平穩(wěn)運行提供可靠的安全保障。第五條XXXXX 信息安全管理的總體目標包括：（一）信息安全管理體系建設和運行符合國家政府機關、監(jiān)管機構和主管部門的相關強制性規(guī)定、規(guī)則及適用的相關慣例、準則和協(xié)議；（二）確保信息系統(tǒng)能夠持續(xù)、可靠、正常地運行，為用戶提供及時、穩(wěn)定和高質量的信息技術服務并不斷改進；（三）保護信息系統(tǒng)及數(shù)據(jù)的機密性、完整性和可用性，保

5、證其不因偶然或者惡意侵犯而遭受破壞、更改及泄露。第三章信息安全策略第六條安全管理制度（一）應形成由管理規(guī)定、 管理規(guī)范、操作流程等構成的全面的信息安全管理制度體系。（二）安全管理制度應具有統(tǒng)一的格式，并進行版本控制，通過正式有效的方式發(fā)布。（三）應定期對安全管理制度進行檢查和審定，對存在不足或需要改進的安全管理制度進行修訂。第七條安全管理機構（一）信息安全管理工作實行統(tǒng)一領導、分級管理，建立網絡與信息安全工作領導小組，指導信息安全管理工作，決策信息安全重大事宜。（二）設立系統(tǒng)安全管理員、網絡安全管理員、安全專員等崗位，并配備專職人員，實行 A、 B 崗制度。（三）應加強內部之間，以及外部監(jiān)管機

6、構、公安機關、供應商和安全組織的合作與溝通。第八條員工信息安全管理（一）公司應制定安全用工原則，尤其是信息系統(tǒng)相關人員、敏感信息處理人員的錄用、考核、轉崗、離職等環(huán)節(jié)應有具體的安全要求。（二）信息技術總部應定期組織針對員工的信息安全培訓，以增強安全意識、提高安全技能、明確安全職責，應對安全教育和培訓的情況和結果進行記錄并歸檔保存。（三）在崗位職責的描述中，應該闡明員工安全責任。（四）公司制定和落實各種有關信息系統(tǒng)安全的獎懲條例，處罰和獎勵必須分明。第九條第三方信息安全管理（一）根據(jù)第三方所要訪問的信息資產的等級及訪問方式來進行風險評估，確定其安全風險。（二）根據(jù)風險評估的結果，采取適當?shù)目刂品?/p>

7、法對第三方訪問進行安全控制，保護公司信息資產的安全。（三）第三方對敏感的信息資產進行訪問時，應簽訂保密協(xié)議或正式的合同。在協(xié)議及合同中應該明確第三方的安全責任和必須遵守的安全要求。（四）明確外包系統(tǒng)/ 軟件開發(fā)的安全要求。（五）必須確保與第三方信息交換中各環(huán)節(jié)的安全。第十條信息系統(tǒng)建設安全管理（一）在項目立項前， 必須明確信息系統(tǒng)的安全等級、安全目標及所有的安全需求并文檔化。安全需求的確定過程必須是成熟的、有效的。（二）必須通過對安全需求進行詳細的分析，制定安全設計方案，明確安全控制措施及所采取的安全技術。（三）根據(jù)設計方案的要求，對使用的軟硬件產品進行選型和測試，最終確定具體采用的產品。（四

8、）根據(jù)設計方案和選定的產品編制實施方案。在實施方案中必須考慮到實施過程中的風險，必須包含詳細的項目實施計劃、實施步驟、測試方案和風險應對措施。（五）應制定軟件開發(fā)管理制度和代碼編寫安全規(guī)范，明確說明開發(fā)過程的控制方法和人員行為準則。（六）必須對實施過程進行安全管理，明確實施過程中各種活動的程序及職責，并形成文件。（七）應根據(jù)信息系統(tǒng)等級，在上線前完成信息系統(tǒng)安全防護措施的實施，包括基線設置等。同時還應建立必要的機制，保證能夠對投產后的信息系統(tǒng)進行更新升級。（八）必須根據(jù)驗收流程，對系統(tǒng)進行必要的測試和評定。（九）系統(tǒng)下線必須按照嚴格的審批流程進行，確保系統(tǒng)下線不對XXXXX的安全生產和業(yè)務持續(xù)

9、性產生影響，并同步進行系統(tǒng)數(shù)據(jù)的清除。第十一條機房安全管理（一）機房建設必須符合國家標準電子計算機機房設計規(guī)范（ GB50174-2008）和電子計算機機房施工及驗收規(guī)范（GB50462-2008）。（二）依據(jù)信息資產的安全等級、設備對場地環(huán)境的要求、易管理性等，合理劃分機房區(qū)域，針對不同區(qū)域實施不同的安全保護措施，確保所有設備及介質的安全。（三）由專人負責機房環(huán)境的日常維護、監(jiān)控、報警和故障處理工作。根據(jù)公司實際情況，建立機房值班制度。（四）制定機房以及機房內不同區(qū)域的出入管理規(guī)定，明確門禁管理、設備出入、人員出入（包括第三方） 、出入審批、進出日志記錄保留和審核等工作的管理要求和流程。（五

10、）制定有關機房工作守則，規(guī)范人員在機房內的行為。（六）對于機房內的文檔資料應固定存放在帶鎖或密碼的專業(yè)文件柜中，由專人妥善保管并設置相應清單。第十二條信息資產管理（一）應對公司信息資產進行登記，建立資產清單，并指定其安全責任人。該責任人需負責貫徹及監(jiān)督相關安全策略、安全規(guī)范、安全技術標準的實施。（二）根據(jù)機密性、 完整性和可用性要求對信息資產進行分類分級，確定不同級別信息資產在其生命周期內的保護要求。（三）必須明確信息資產訪問控制原則，并建立信息資產訪問的授權機制。第十三條介質管理（一）公司對介質的存放環(huán)境、標識、使用、維護、運輸、交接和銷毀等方面做出規(guī)定，有介質的歸檔和訪問記錄，并對存檔介質

11、的目錄清單定期盤點。（二）存儲介質的管理同信息資產管理相一致，根據(jù)所承載數(shù)據(jù)和軟件的重要程度對介質進行分類分級管理。（三）針對存放數(shù)據(jù)的存儲介質應達到國家標準要求，進行標識和定期抽檢。（四）需要長期存放的存儲介質，應該在介質有效期內進行轉存；明確數(shù)據(jù)轉存的程序與職責。（五）應設立同城異地存放備份數(shù)據(jù)的場所。異地存放備份數(shù)據(jù)的場所應該具備防盜、防水、防火設施和一定的抗震能力。第十四條監(jiān)控管理（一）應對通信線路、網絡設備、主機和應用軟件的運行狀況、網絡流量、用戶行為等進行監(jiān)測和報警。（二）應定期對監(jiān)測和報警記錄進行分析、評審，發(fā)現(xiàn)可疑行為，形成分析報告，發(fā)現(xiàn)重大隱患和運行事故應及時協(xié)調解決，并報上

12、安全相關部門。（三）應建立安全管理中心，對設備狀態(tài)、惡意代碼、補丁升級、安全審計等安全相關事項進行集中管理。第十五條網絡安全管理（一）指定專人對網絡進行管理，負責日常的網絡維護和報警信息處理工作。（二）制定網絡訪問控制機制，網絡訪問控制策略以 “除明確允許執(zhí)行情況外必須禁止”為原則。（三）當遠程訪問信息系統(tǒng)時，應采取額外的安全管控措施，以防止設備被竊、信息未授權泄露、遠程非授權訪問等風險。（四）定期對網絡系統(tǒng)進行漏洞掃描，對于發(fā)現(xiàn)的漏洞，在經過風險評估、驗證測試和充分準備后進行修補或升級。（五）重要網絡設備開啟日志和審計功能。（六）網絡建設中應做到以下幾點：1. 應遵循高可靠性、高安全性、高性

13、能、可擴展性、可管理性、標準化等原則；2. 建立網絡容量規(guī)劃機制， 充分考慮未來新業(yè)務需求和公司當前的系統(tǒng)服務能力及未來技術發(fā)展的趨勢；3. 應對局域網、廣域網、外部網安全通信連接可靠，采取必要的技術手段，確保網絡安全。第十六條系統(tǒng)安全管理（一）日志安全管理應指定專人負責，具體負責日志的采集、保存、備份和失效處理等工作。在條件允許的情況下，可采用技術手段實現(xiàn)。（二）日志記錄以保障審計及追查的有效性為原則，具體情況根據(jù)系統(tǒng)及應用的實際情況而定， 日志記錄作為作業(yè)計劃的一部分，必須嚴格定義日志記錄的廣度和深度，確保日志的完整性，并滿足審計工作的需要。管理員和操作員的活動應記入日志，并確保無法被篡改

14、。（三）重要日志必須安全地存儲在介質中，并定期備份和檢查。第十七條惡意代碼防范管理（一）專人負責計算機病毒防范工作的組織與實施；（二）建立計算機病毒預警機制，嚴格執(zhí)行病毒檢測及報告程序；（三）指定專人負責跟蹤廠商發(fā)布的漏洞補丁情況，定期對服務器、網絡、應用軟件進行漏洞掃描；（四）對于確有必要升級的漏洞補丁，在安裝前必須進行充分的驗證測試和風險評估。漏洞補丁的安裝應參考變更管理的要求，進行實施方案和回退方案的審批；（五）如果無法及時完成漏洞補丁加載，應進行原因分析， 并采取一定的安全防護措施，必要時進行回退；（六）根據(jù)國家信息系統(tǒng)等級保護要求，對業(yè)務系統(tǒng)設計侵和攻擊防范的策略以及技術實施方案，在

15、信息系統(tǒng)中實現(xiàn)入侵和攻擊防范；（七）根據(jù)日常安全監(jiān)控、風險評估、信息安全檢查和信息安全審計的結果，調整入侵和攻擊防范策略或采用新的、成熟的技術產品；（八）定期對重要的信息系統(tǒng)進行代碼審計、滲透測試等工作，以及時掌握信息系統(tǒng)安全狀況，防范入侵和攻擊。第十八條密碼管理（一）采取額外技術措施加強密碼安全時，密碼產品應符合國家密碼管理規(guī)定的密碼技術和產品；第十九條變更管理（一）必須對信息系統(tǒng)的所有操作建立有效的管理和監(jiān)控機制，確定相關人員及部門職責。（二）根據(jù)信息系統(tǒng)變更所涉及的信息資產的安全等級，對信息系統(tǒng)變更進行分級，針對不同等級的信息系統(tǒng)變更以文檔的形式明確相應的審批管理程序。（三）在系統(tǒng)變更審

16、批前，變更申請部門提交申請報告，變更管理員要提交系統(tǒng)變更方案，明確變更存在的風險及對系統(tǒng)的影響。（四）實施變更前，應該對變更內容進行嚴格測試。（五）嚴格遵照實施方案中所規(guī)定的流程實施變更，變更實施過程應記錄并妥善保存。第二十條備份和恢復管理（一）數(shù)據(jù)備份工作應指定專人負責；（二）根據(jù)系統(tǒng)的重要程度，制定相應的備份策略；（三）建立數(shù)據(jù)備份審核程序，定期進行備份數(shù)據(jù)的檢查工作，確保備份數(shù)據(jù)的完整性和有效性；（四）對關鍵的系統(tǒng)和數(shù)據(jù)必須進行異地備份。對于在異地進行備份的系統(tǒng)和數(shù)據(jù)的管理，要與本地的系統(tǒng)和數(shù)據(jù)管理保持一致；（五）備份數(shù)據(jù)必須由專人負責保管，數(shù)據(jù)不得泄漏， 保密數(shù)據(jù)不得以明碼形式存儲和傳

17、輸。（六）明確生產數(shù)據(jù)恢復的原則和審批程序；（七）制定數(shù)據(jù)備份恢復方案；（八）重要信息系統(tǒng)的恢復性測試在不影響生產環(huán)境運行的情況下至少每年進行一次。根據(jù)恢復測試結果進行數(shù)據(jù)恢復過程的調整。第二十一條安全事件管理（一）信息安全相關事項由網絡與信息安全工作領導小組辦公室集中管理。（二）制定包括信息系統(tǒng)運行狀況檢測、異常處理、匯報等的安全監(jiān)控工作制度，指定專人負責安全監(jiān)控。（三）網絡與信息安全工作領導小組辦公室對安全監(jiān)控的結果進行定期檢查，以保證安全監(jiān)控結果的有效性和完整性。確保安全監(jiān)控結果可作為其他統(tǒng)計和分析工作的數(shù)據(jù)來源。（四）安全事件處理的原則是“積極預防、及時發(fā)現(xiàn)、快速響應、確保恢復”。（五

18、）網絡與信息安全工作領導小組辦公室建立詳細的安全事件響應機制，明確安全事件的發(fā)現(xiàn)、 分析、處理、總結和獎懲階段的相關責任，最大限度地減少安全事件造成的損害。（六）對安全事件做好記錄和存檔工作，記錄內容包括事件的原因、處理過程、處理結果、建議改進的安全對策。第二十二條應急預案（一）分析業(yè)務中斷可能造成的后果，以作為制定應急預案的依據(jù)。（二）制定應急預案并文檔化，確定應急預案的總體策略，確保重大故障時重要系統(tǒng)和業(yè)務的及時恢復。（四）定期測試應急預案，確保計劃的有效性。（五）應急預案應定期檢查、及時更新維護，以確保其有效性。( 六 ) 應急預案內容至少應包括啟動應急預案的條件、應急處理流程、系統(tǒng)恢復流程和事后教育和培訓等內容；（七）應從人力、設備、技術和財務等方面確保應急預案的執(zhí)行有足夠的資源保障；（八）應根據(jù)不同的應急恢復內容，確定演練的周期并定期進行培訓和演練；（九）應定期審查和更新應急預案。第二十三條審核和檢查（一）根據(jù)職責互斥原則，成立信息安全檢查小組，定期對信息系統(tǒng)進行全面、獨立的安全檢查；（二）應從技術管理和業(yè)務保障等方面，進行全面的信息安全檢查，檢查依據(jù)為不同時期的信息安全要求；（三）信息安全檢查工作應采取定期全面檢查和不定期的專項檢查相結合的方式；（四）對于安全檢查的結果應予以跟蹤落實，應對