信息安全工作總體方針和安全策略

1、信息安全工作總體方針和安全策略第一章總則第一條為加強和規(guī)范技術部及各部門信息系統(tǒng)安全工作，提高技術部信息系統(tǒng)整體安全防護水平，實現(xiàn)信息安全的可控、能控、在控，依據(jù)國家有關法律、法規(guī)的要求，制定本文檔。第二條本文檔的目的是為技術部信息系統(tǒng)安全管理提供一個總體的策略性架構文件。該文件將指導技術部信息系統(tǒng)的安全管理體系的建立。安全管理體系的建立是為技術部信息系統(tǒng)的安全管理工作提供參照，以實現(xiàn)技術部統(tǒng)一的安全策略管理，提高整體的網(wǎng)絡與信息安全水平，確保安全控制措施落實到位，保障網(wǎng)絡通信暢通和業(yè)務系統(tǒng)的正常運營。第二章適用范圍第三條本文檔適用于技術部信息系統(tǒng)資產(chǎn)和信息技術人員的安全管理和指導，適用于指導

2、公司信息系統(tǒng)安全策略的制定、安全方案的規(guī)劃和安全建設的實施，適用于公司安全管理體系中安全管理措施的選擇。第三章引用標準及參考文件第四條本文檔的編制參照了以下國家、中心的標準和文件一中華人民共和國計算機信息系統(tǒng)安全保護條例二關于信息安全等級保護建設的實施指導意見信息運安200927號三信息安全技術信息系統(tǒng)安全等級保護基本要求GB/T22239-2008四信息安全技術信息系統(tǒng)安全管理要求GB/T20269-2006五信息系統(tǒng)等級保護安全建設技術方案設計要求報批稿六關于開展信息安全等級保護安全建設整改工作的指導意見公信安20091429號第四章總體方針第五條企業(yè)信息服務平臺系統(tǒng)安全堅持“安全第一、預

3、防為主，管理和技術并重，綜合防范”的總體方針，實現(xiàn)信息系統(tǒng)安全可控、能控、在控。依照“分區(qū)、分級、分域”總體安全防護策略，執(zhí)行信息系統(tǒng)安全等級保護制度。第五章總體目標第六條信息系統(tǒng)安全總體目標是確保企業(yè)信息服務平臺系統(tǒng)持續(xù)、穩(wěn)定、可靠運行和確保信息內容的機密性、完整性、可用性，防止因信息系統(tǒng)本身故障導致信息系統(tǒng)不能正常使用和系統(tǒng)崩潰，抵御黑客、病毒、惡意代碼等對信息系統(tǒng)發(fā)起的各類攻擊和破壞，防止信息內容及數(shù)據(jù)丟失和失密，防止有害信息在網(wǎng)上傳播，防止中心對外服務中斷和由此造成的系統(tǒng)運行事故。第六章信息安全工作的總體原則第七條基于安全需求原則組織機構應根據(jù)其信息系統(tǒng)擔負的使命，積累的信息資產(chǎn)的重要

4、性，可能受到的威脅及面臨的風險分析安全需求，按照信息系統(tǒng)等級保護要求確定相應的信息系統(tǒng)安全保護等級，遵從相應等級的規(guī)范要求，從全局上恰當?shù)仄胶獍踩度肱c效果；第八條主要領導負責原則主要領導應確立其組織統(tǒng)一的信息安全保障的宗旨和政策，負責提高員工的安全意識，組織有效安全保障隊伍，調動并優(yōu)化配置必要的資源，協(xié)調安全管理工作與各部門工作的關系，并確保其落實、有效；第九條全員參與原則信息系統(tǒng)所有相關人員應普遍參與信息系統(tǒng)的安全管理，并與相關方面協(xié)同、協(xié)調，共同保障信息系統(tǒng)安全；第十條系統(tǒng)方法原則按照系統(tǒng)工程的要求，識別和理解信息安全保障相互關聯(lián)的層面和過程，采用管理和技術結合的方法，提高實現(xiàn)安全保障的

5、目標的有效性和效率；第十一條持續(xù)改進原則安全管理是一種動態(tài)反饋過程，貫穿整個安全管理的生存周期，隨著安全需求和系統(tǒng)脆弱性的時空分布變化，威脅程度的提高，系統(tǒng)環(huán)境的變化以及對系統(tǒng)安全認識的深化等，應及時地將現(xiàn)有的安全策略、風險接受程度和保護措施進行復查、修改、調整以至提升安全管理等級，維護和持續(xù)改進信息安全管理體系的有效性；第十二條依法管理原則信息安全管理工作主要體現(xiàn)為管理行為，應保證信息系統(tǒng)安全管理主體合法、管理行為合法、管理內容合法、管理程序合法。對安全事件的處理，應由授權者適時發(fā)布準確一致的有關信息，避免帶來不良的社會影響；第十三條分權和授權原則對特定職能或責任領域的管理功能實施分離、獨立

6、審計等實行分權，避免權力過分集中所帶來的隱患，以減小對授權的修改或濫用系統(tǒng)資源的機會。任何實體（如用戶、管理員、進程、應用或系統(tǒng)）僅享有該實體需要完成其任務所必須的權限，不應享有任何多余權限；第十四條選用成熟技術原則成熟的技術具有較好的可靠性和穩(wěn)定性，采用新技術時要重視其成熟的程度，并應首先局部試點然后逐步推廣，以減少或避免可能出現(xiàn)的失誤；第十五條分級保護原則按等級劃分標準確定信息系統(tǒng)的安全保護等級，實行分級保護，對多個子系統(tǒng)構成的大型信息系統(tǒng)，確定系統(tǒng)的基本安全保護等級，并根據(jù)實際安全需求確定系統(tǒng)的安全保護等級，實行安全保護；第十六條管理與技術并重原則堅持積極防御和綜合防范，全面提高信息系統(tǒng)

7、安全防護能力，立足國情，采用管理與技術相結合，管理科學性和技術前瞻性結合的方法，保障信息系統(tǒng)的安全性達到所要求的目標。第十七條自保護和國家監(jiān)管結合原則對信息系統(tǒng)安全實行自保護和國家保護相結合。組織機構要對自己的信息系統(tǒng)安全保護負責，政府相關部門有責任對信息系統(tǒng)的安全進行指導、監(jiān)督和檢查，形成自管、自查、自評和國家監(jiān)管相結合的管理模式，提高信息系統(tǒng)的安全保護能力和水平，保障國家信息安全。第十八條在規(guī)劃和建設信息系統(tǒng)時，信息系統(tǒng)安全防護措施應按照“三同步”原則，與企業(yè)信息服務平臺建設同步規(guī)劃、同步建設、同步投入運行。第七章總體安全策略第一節(jié)策略框架第十九條建立一套關于物理、主機、網(wǎng)絡、應用、數(shù)據(jù)、

8、建設和管理等六個方面的安全需求、控制措施及執(zhí)行程序，并在關聯(lián)制度文檔中定義出相關的安全角色，并對其賦予管理職責。“以人為本”，通過對信息安全工作人員的安全意識培訓等方法不斷加強系統(tǒng)分布的合理性和有效性。第二節(jié)主機安全策略第二十條登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶必須進行身份標識和鑒別；第二十一條操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標識不能出現(xiàn)同名用戶，口令應有復雜度要求并定期更換;第二十二條操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)必須啟用登錄失敗處理功能；第二十三條對服務器進行遠程管理時，必須采取必要措施，防止鑒別信息在網(wǎng)絡傳輸過程中被竊聽；第二十四條為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性

9、，不能出重名情況；第二十五條操作系統(tǒng)和數(shù)據(jù)庫必須及時刪除多余的、過期的賬戶，避免共享賬戶的存在；第二十六條主機必須開啟日志審計功能；第二十七條主機必須安裝防惡意代碼產(chǎn)品，并進行統(tǒng)一管理。第三節(jié)應用安全策略第二十八條應用系統(tǒng)必須在登錄時要求輸入用戶名和口令；第二十九條登錄應用系統(tǒng)必須進行兩種或兩種以上的復合身份驗證（如用戶名口令+Ukey或用戶名口令+IP與MAGfe址綁定方式）；第三十條應用系統(tǒng)中設置的用戶都必須是唯一用戶，不能名稱相同；第三十一條應用系統(tǒng)必須開啟登錄失敗處理功能；第三十二條應用系統(tǒng)必須開啟登錄連接超時自動退出等措施；第三十三條應用系統(tǒng)必須開啟身份鑒別、用戶身份標識唯一性檢查、

10、用戶身份鑒別信息復雜度檢查以及登錄失敗處理功能，并根據(jù)安全策略配置相關參數(shù)；第三十四條應用系統(tǒng)必須開啟日志審計功能；第三十五條應用系統(tǒng)存儲用戶信息的設備在銷毀、修理或轉做其他用途時，必須清楚內部存儲的信息。第四節(jié)數(shù)據(jù)安全策略第三十六條業(yè)務應用數(shù)據(jù)和設備配置文檔都必須進行備份，以便發(fā)生問題時進行恢復；第三十七條數(shù)據(jù)備份至其他設備上時，必須使用專門的備份通道，保證數(shù)據(jù)傳輸?shù)耐暾?；第三十八條數(shù)據(jù)本機備份時應檢測其完整性；第三十九條數(shù)據(jù)備份時必須使用專業(yè)的備份設備和工具，在數(shù)據(jù)傳輸和數(shù)據(jù)存儲時，都必須是加密傳輸和存儲；第四十條數(shù)據(jù)進行異地備份時，必須利用通信網(wǎng)絡將關鍵數(shù)據(jù)定時批量傳送至備用場地。第五

11、節(jié)建設和管理策略第四十一條信息安全管理機制成立信息安全管理主要機構或部門，設立安全主管等主要安全角色，依據(jù)信息安全等級保護二級標準（要求），建立信息系統(tǒng)的整體管理辦法。第四十二條信息安全管理組織分別建立安全管理崗位和機構的職責文件，對機構和人員的職責進行明確。建立信息發(fā)布、審批等流程和制度類文件，增強制度的有效性。建立安全審核和檢查的相關制度及報告方式第四十三條人員安全管理要求對人員的錄用、離崗、考核、培訓、安全意識教育等方面應通過制度和操作程序進行明確。第四十四條信息安全等級保護工作及風險評估要求定期對已備案的信息系統(tǒng)進行等級保護測評，以保證信息系統(tǒng)運行風險維持在較低水平，不斷增強系統(tǒng)的穩(wěn)定性和安全性。第四十五條報告安全事件要求對突發(fā)安全事件建立應急預案管理制度和相關操作辦法，并定期組織人員進行演練，以保證信息系統(tǒng)在