1.1信息安全工作總體方針和安全策略

1、信息安全工作總體方針和安全策略編號：版號：頁碼：第4頁 共 4 頁XXX公司信息安全管理制度體系文件編號：版號:A/1信息安全工作總體方針和安全策略編制XXX日期審核XXX日期批準(zhǔn)XXX日期日 期修訂狀態(tài)修改內(nèi)容修改人審核人批準(zhǔn)人1. 總體目標(biāo)以滿足業(yè)務(wù)運(yùn)行要求,遵守行業(yè)規(guī)程，實(shí)施等級保護(hù)及風(fēng)險管理，確保信息安全以及實(shí)現(xiàn)持續(xù)改進(jìn)的目的等內(nèi)容作為本單位信息安全工作的總體方針。以信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，信息服務(wù)不中斷為總體目標(biāo)。2. 范圍本案適用于某單位信息安全整體工作。在全單位范圍內(nèi)給予執(zhí)行，由某部門對

2、該項(xiàng)工作的落實(shí)和執(zhí)行進(jìn)行監(jiān)督，由某部門配合某部門對本案的有效性進(jìn)行持續(xù)改進(jìn)。3. 原則以誰主管誰負(fù)責(zé)為原則(或者采用其他原則例如:“整體保護(hù)原則"、“適度保護(hù)的等級化原則"、“分域保護(hù)原則"、“動態(tài)保護(hù)原則”、“多級保護(hù)原則”、“深度保護(hù)原則"和“信息流向原則”等）.4. 策略框架建立一套關(guān)于物理、主機(jī)、網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)、建設(shè)和管理等六個方面的安全需求、控制措施及執(zhí)行程序，并在關(guān)聯(lián)制度文檔中定義出相關(guān)的安全角色，并對其賦予管理職責(zé)?！耙匀藶楸尽?，通過對信息安全工作人員的安全意識培訓(xùn)等方法不斷加強(qiáng)系統(tǒng)分布的合理性和有效性.4.1 物理方面依據(jù)實(shí)際情況建立機(jī)

3、房管理制度,明確機(jī)房的出入管理辦法，機(jī)房介質(zhì)存放方式，機(jī)房設(shè)備維護(hù)周期及維護(hù)方式，機(jī)房設(shè)備信息保密要求，機(jī)房溫濕度控制方式等等環(huán)境要求。通過明確機(jī)房責(zé)任人、建立機(jī)房管理相關(guān)辦法、對維護(hù)和出入等過程建立記錄等方式對機(jī)房安全進(jìn)行保護(hù)。4.2 網(wǎng)絡(luò)方面從技術(shù)角度實(shí)現(xiàn)網(wǎng)絡(luò)的合理分布、網(wǎng)絡(luò)設(shè)備的實(shí)施監(jiān)控、網(wǎng)絡(luò)訪問策略的統(tǒng)一規(guī)劃、網(wǎng)絡(luò)安全掃描以及對網(wǎng)絡(luò)配置文件等必要信息進(jìn)行定期備份。從管理角度明確網(wǎng)絡(luò)各個區(qū)域的安全責(zé)任人，建立網(wǎng)絡(luò)維護(hù)方面相關(guān)操作辦法并由某人或某部門監(jiān)督執(zhí)行看，確保各信息系統(tǒng)網(wǎng)絡(luò)運(yùn)行情況穩(wěn)定、可靠、正常的運(yùn)行。4.3 主機(jī)方面要求各類主機(jī)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)在滿足各類業(yè)務(wù)系統(tǒng)的正常運(yùn)行條件

4、下，建立系統(tǒng)訪問控制辦法、劃分系統(tǒng)使用權(quán)限、安裝惡意代碼防范軟件并對惡意代碼的檢查過程進(jìn)行記錄.明確各類主機(jī)的責(zé)任人,對主機(jī)關(guān)鍵信息進(jìn)行定期備份。4.4 應(yīng)用方面從技術(shù)角度實(shí)現(xiàn)應(yīng)用系統(tǒng)的操作可控、訪問可控、通信可控。從管理角度實(shí)現(xiàn)各類控制辦法的有效執(zhí)行,建立完善的維護(hù)操作規(guī)程以及明確定期備份內(nèi)容。4.5 數(shù)據(jù)方面對本單位或本部門的各類業(yè)務(wù)數(shù)據(jù)、設(shè)備配置信息、總體規(guī)劃信息等等關(guān)鍵數(shù)據(jù)建立維護(hù)辦法,并由某部門或某人監(jiān)督、執(zhí)行。通過匯報(bào)或存儲方式實(shí)現(xiàn)關(guān)鍵數(shù)據(jù)的安全傳輸、存儲和使用。4.6 建設(shè)和管理方面4.6.1 信息安全管理機(jī)制成立信息安全管理主要機(jī)構(gòu)或部門,設(shè)立安全主管等主要安全角色，依據(jù)信息安

5、全等級保護(hù)三級標(biāo)準(zhǔn)(要求），建立信息系統(tǒng)的整體管理辦法。4.6.2 信息安全管理組織分別建立安全管理崗位和機(jī)構(gòu)的職責(zé)文件，對機(jī)構(gòu)和人員的職責(zé)進(jìn)行明確。建立信息發(fā)布、變更、審批等流程和制度類文件，增強(qiáng)制度的有效性。建立安全審核和檢查的相關(guān)制度及報(bào)告方式。4.6.3 人員安全管理要求對人員的錄用、離崗、考核、培訓(xùn)、安全意識教育等方面應(yīng)通過制度和操作程序進(jìn)行明確。4.6.4 信息安全等級保護(hù)工作及風(fēng)險評估要求定期對已備案的信息系統(tǒng)進(jìn)行等級保護(hù)測評,以保證信息系統(tǒng)運(yùn)行風(fēng)險維持在較低水平,不斷增強(qiáng)系統(tǒng)的穩(wěn)定性和安全性.4.6.5 報(bào)告安全事件要求對突發(fā)安全事件建立應(yīng)急預(yù)案管理制度和相關(guān)操作辦法，并定期組織人員進(jìn)行演練，以保證信息系統(tǒng)在面臨突發(fā)事件時能夠在較短時間內(nèi)恢復(fù)正常的使用.4.6.6 業(yè)務(wù)持續(xù)性要求根據(jù)對系統(tǒng)的等級測評、風(fēng)險評估等間接問題挖掘，及時改進(jìn)信息系統(tǒng)的各類弊端,包括業(yè)務(wù)弊端，應(yīng)建立相關(guān)改進(jìn)措施或改進(jìn)辦法，以保證對信息系統(tǒng)的業(yè)務(wù)持續(xù)性要求。4.6.7 違反信息安全要求的懲罰建立懲處辦法，對違反信息安全總體方針、安全策略的、程序流程和管理措施的人員，依照問題的嚴(yán)重性進(jìn)行懲罰.5. 相關(guān)文件5.1 信息安全各部門安全需求及控制措施5.2 信息安全各部門安全工作執(zhí)行程序5.3 機(jī)房安全管理制度5.4 網(wǎng)絡(luò)安全管理制度5.5 系統(tǒng)安全管理制