信息安全總體方針和安全策略指引

1、WORD格式XXX公司信息安全總體方針和安全策略指引第一章總則第一條為了進(jìn)一步深入貫徹落實國家政策文件要求，加強公司信息安全經(jīng)管工作，切實提高公司信息系統(tǒng)安全保障能力，特制定本指引。第二條本指引適合于公司。第三條公司信息安全經(jīng)管遵循如下原則：( 一) 主要領(lǐng)導(dǎo)負(fù)責(zé)原則：公司主要領(lǐng)導(dǎo)負(fù)責(zé)信息安全經(jīng)管工作，統(tǒng)籌規(guī)劃信息安全經(jīng)管目標(biāo)和策略， 建立信息安全保障隊伍并合理配置資源；( 二) 全員參與原則：公司全員參與信息系統(tǒng)的安全經(jīng)管工作，將信息安全與本職工作相結(jié)合， 相互協(xié)同工作， 認(rèn)真落實信息安全經(jīng)管要求，共同保障信息系統(tǒng)安全；( 三) 合規(guī)性原則：信息安全經(jīng)管制度遵循國際信息安全經(jīng)管規(guī)范，以國家信

2、息安全法律、法規(guī)、規(guī)范、規(guī)范為根本依據(jù)，全面符合相關(guān)主管部門和公司的各類要求。( 四) 監(jiān)督制約原則：信息系統(tǒng)安全經(jīng)管組織結(jié)構(gòu)、組織職責(zé)、崗位職責(zé)、工作流程層面、執(zhí)行層面建立相互監(jiān)督制約機制，降低因缺乏約束而產(chǎn)生的安全風(fēng)險。( 五) 規(guī)范化原則：通過建立規(guī)范化的工作流程，在執(zhí)行層面對信息系統(tǒng)安全工作進(jìn)行合理控制，降低由于工作隨意性而產(chǎn)生的安全風(fēng)專業(yè)資料整理1 / 6險，同時提升信息安全經(jīng)管制度的可操作性。( 六) 持續(xù)改進(jìn)原則：通過不斷的持續(xù)改進(jìn)，每年組織公司經(jīng)管層對制度的全面性、適用性和有效性進(jìn)行論證和審定，并進(jìn)行版本修訂。第四條本指引適用于公司全體人員。第二章信息安全保障框架及目標(biāo)第五條參

3、照國內(nèi)外相關(guān)規(guī)范， 并結(jié)合公司已有網(wǎng)絡(luò)與信息安全體系建設(shè)的實際情況， 最終形成依托于安全保護(hù)對象為基礎(chǔ)，縱向建立安全經(jīng)管體系、安全技術(shù)體系、 安全運行體系和安全經(jīng)管中心的“三個體系，一個中心，三重防護(hù)”的安全保障體系框架。( 一) “三個體系”：信息安全經(jīng)管體系、信息安全技術(shù)體系和信息安全運行體系，把信息安全規(guī)范的控制點和公司實際情況相結(jié)合形成相適應(yīng)的體系結(jié)構(gòu)框架；( 二) “一個中心”：信息安全經(jīng)管中心，實現(xiàn)“自動、平臺化”的安全工作經(jīng)管、統(tǒng)一技術(shù)經(jīng)管和安全運維經(jīng)管；( 三) “三重防護(hù)”：安全計算環(huán)境防護(hù)措施、安全區(qū)域邊界防護(hù)措施和安全網(wǎng)絡(luò)通信防護(hù)措施， 把安全技術(shù)控制措施與安全保護(hù)對象相

4、結(jié)合。第六條公司安全保障框架：( 一) 安全經(jīng)管體系：信息安全經(jīng)管體系重點落實安全經(jīng)管制度、安全經(jīng)管機構(gòu)和人員安全經(jīng)管的相關(guān)控制要求，并結(jié)合公司的實際情況形成符合行業(yè)和國家信息安全規(guī)范的信息安全經(jīng)管體系框架。( 二) 安全技術(shù)體系：通過安全技術(shù)在物理、網(wǎng)絡(luò)、主機、應(yīng)用和數(shù)2 / 6據(jù)各個層面的實施， 建立與公司實際情況相結(jié)合的安全技術(shù)體系。同時與“安全計算環(huán)境、安全區(qū)域邊界和安全網(wǎng)絡(luò)通信”的保護(hù)對象相作用，形成依托于保護(hù)對象的安全技術(shù)體系控制措施。( 三) 安全運行體系：信息安全運行體系重點落實系統(tǒng)建設(shè)經(jīng)管和系統(tǒng)運維經(jīng)管的相關(guān)控制要求，并與公司實際情況相結(jié)合， 形成符合行業(yè)和國家信息安全規(guī)范的

5、信息安全運行體系框架。( 四) 安全經(jīng)管中心：根據(jù)信息安全相關(guān)要求和安全設(shè)計技術(shù)要求的相關(guān)內(nèi)容，信息安全經(jīng)管中心通過“自動、平臺化”的方式，對信息安全經(jīng)管體系、信息安全技術(shù)體系以及信息安全運行體系的相關(guān)控制內(nèi)容，結(jié)合公司的實際情況加以落實。第七條公司信息安全總體目標(biāo)是： 依照業(yè)務(wù)信息系統(tǒng)的實際情況和現(xiàn)實問題為基礎(chǔ)，參照國內(nèi)、 國際的安全規(guī)范和規(guī)范，充分利用成熟的信息安全理論成果，設(shè)計出整體性好、可操作性強，并且融組織、經(jīng)管和技術(shù)為一體的設(shè)計方案，達(dá)到行業(yè)和國家信息安全規(guī)范的要求。第三章安全策略第八條建立信息安全領(lǐng)導(dǎo)小組， 負(fù)責(zé)組織、落實國家信息安全相關(guān)政策、法規(guī)和規(guī)范要求，審核并制定公司信息安

6、全的發(fā)展戰(zhàn)略、規(guī)劃、政策和經(jīng)管制度，落實公司信息安全組織及職責(zé)經(jīng)管辦法 。第九條保持與國家信息安全主管機構(gòu)、 監(jiān)管機構(gòu)、上級主管單位和支撐企業(yè)信息安全建設(shè)、運營單位的聯(lián)絡(luò)，制定完整的公司常用信息安全組織機構(gòu)信息表，確保與外部機構(gòu)的溝通暢通。第十條加強公司內(nèi)部人員在錄用前、工作期間、調(diào)崗和離崗的人員安3 / 6全經(jīng)管，確保公司內(nèi)部人員的背景、身份、專業(yè)資格和職能權(quán)限的安全性，要求信息安全人員簽署保密協(xié)議，落實公司內(nèi)部人員信息安全經(jīng)管辦法。第十一條加強外部人員的安全經(jīng)管，防范外部人員帶來的安全風(fēng)險，規(guī)范外部人員在公司各項與信息系統(tǒng)相關(guān)的活動所要遵守的行為準(zhǔn)則，嚴(yán)格落實公司外部人員信息安全經(jīng)管辦法

7、。第十二條每年組織開展全員信息安全教育或培訓(xùn)， 提升公司全員的信息安全意識，確保公司信息安全目標(biāo)和策略能夠得到必要的宣貫。第十三條建立信息安全經(jīng)管制度制定、 發(fā)布、審核和修訂的經(jīng)管要求，并滿足國家法律、 政策和規(guī)范的要求， 確保信息安全經(jīng)管制度持續(xù)改進(jìn)，落實公司信息安全制度經(jīng)管辦法 。第十四條確保信息化建設(shè)的工程立項、設(shè)計、實施、驗收等各個環(huán)節(jié)與信息安全經(jīng)管控制機制的有機結(jié)合， 實現(xiàn)工程工程經(jīng)管過程和內(nèi)容安全可控，嚴(yán)格執(zhí)行公司信息系統(tǒng)建設(shè)安全經(jīng)管辦法 。第十五條加強公司信息系統(tǒng)的物理環(huán)境和設(shè)施的信息安全規(guī)范性經(jīng)管工作，確保物理環(huán)境、設(shè)施設(shè)備和進(jìn)出訪問控制安全，落實公司機房環(huán)境安全經(jīng)管辦法和公司

8、辦公環(huán)境信息安全經(jīng)管辦法 。第十六條加強對公司信息資產(chǎn)的安全經(jīng)管，建立統(tǒng)一的信息資產(chǎn)分類、責(zé)任、授權(quán)和配置經(jīng)管，明確公司硬件資產(chǎn)、軟件資產(chǎn)和數(shù)據(jù)資產(chǎn)的信息安全經(jīng)管工作，落實公司信息資產(chǎn)安全經(jīng)管辦法 。第十七條加強信息資產(chǎn)的運行維護(hù)經(jīng)管工作， 對系統(tǒng)的工作環(huán)境、 安全運行、策略進(jìn)行定期檢查，記錄信息系統(tǒng)運行的日志及狀態(tài)，定期4 / 6對信息資產(chǎn)進(jìn)行清點，確保各系統(tǒng)的正常運行，落實公司信息安全運行維護(hù)經(jīng)管辦法。第十八條加強信息系統(tǒng)運行維護(hù)過程中的變更經(jīng)管， 確保公司信息系統(tǒng)的可核查性和可追溯性， 合理控制信息系統(tǒng)變更產(chǎn)生的信息安全風(fēng)險，結(jié)合日常信息系統(tǒng)的運行有關(guān)經(jīng)管辦法，落實公司信息系統(tǒng)變更經(jīng)管辦

9、法。第十九條加強對信息安全事件的監(jiān)控和經(jīng)管，建立應(yīng)急事件的報告、協(xié)調(diào)、處理機制。 制定重要信息系統(tǒng)的應(yīng)急響應(yīng)預(yù)案，并進(jìn)行演練和定期更新，確保信息系統(tǒng)的連續(xù)穩(wěn)定運行， 落實公司應(yīng)急經(jīng)管辦法和公司信息安全分類應(yīng)急預(yù)案 。第二十條對磁帶、磁盤、磁盤陣列、光盤、硬盤、紙質(zhì)等各類移動存儲介質(zhì)進(jìn)行的所有安全經(jīng)管活動進(jìn)行經(jīng)管，介質(zhì)使用必須要有授權(quán)，保證介質(zhì)使用的安全。落實公司介質(zhì)安全經(jīng)管辦法 。第二十一條為規(guī)范經(jīng)管員對網(wǎng)絡(luò)設(shè)備的訪問及操作行為， 降低由于口令強度不夠和設(shè)置不完善等造成的安全隱患和風(fēng)險， 應(yīng)加強各信息系統(tǒng)的口令經(jīng)管，落實公司密碼經(jīng)管辦法 。第二十二條加強對網(wǎng)絡(luò)系統(tǒng)的設(shè)計、規(guī)劃、變更審批和運維監(jiān)督，定期對網(wǎng)絡(luò)中的系統(tǒng)進(jìn)行漏洞掃描，對重要網(wǎng)段進(jìn)行保護(hù)，落實公司網(wǎng)絡(luò)安全經(jīng)管辦法。第二十三條規(guī)范系統(tǒng)的使用， 對系統(tǒng)的賬戶權(quán)限進(jìn)行有效控制， 及時的更新系統(tǒng)的補丁， 有效的保護(hù)系統(tǒng)中的文件， 對重要系統(tǒng)的文件進(jìn)行保護(hù)，落實公司系統(tǒng)安全經(jīng)管辦法 。5 / 6第二十四條定期對網(wǎng)絡(luò)中的應(yīng)用系統(tǒng)、數(shù)據(jù)庫進(jìn)行備份， 實現(xiàn)異地備份的方式，同時每年需要進(jìn)行一次數(shù)據(jù)恢復(fù)演練，數(shù)據(jù)的保存周期至少為五年，合理的根據(jù)情況進(jìn)行調(diào)整備份時間，落實公司信息備份與恢復(fù)經(jīng)管制度。第四章獎懲第二十五條對長期認(rèn)真貫徹公司信息安全經(jīng)管辦法，并因此而取得較好成績的組織和個