信息安全總體方針【范本模板】

1、第 第6頁 共 6 頁xxx 單位信息安全總體方針制定： 審核： 批準(zhǔn):xxx二一五年三月第一章 總則第一條為規(guī)范xxx單位信息系統(tǒng)的信息安全管理促進(jìn)信息安全工作體系化、規(guī)范化，提高信息和網(wǎng)絡(luò)服務(wù)質(zhì)量，提高信息系統(tǒng)管理人員、使用人員整體安全素質(zhì)和水平特制定本方針本方針目標(biāo)是為xxx單位信息安全管理提供清晰的策略方向，闡明信息安全建設(shè)和管理的重要原則,闡明信息安全建設(shè)和管理所需的支持和承諾.xxx全制度及其實(shí)施細(xì)則，做好信息安全管理工作。xxxxxx理層非常重視,大力支持信息安全工作,并給予所需的人力物力資源。第四條 本方針的適用人員包括所有與 xxx 單位信息系統(tǒng)各方面相關(guān)聯(lián)的人員,它適用于全

2、部員工,集成商,軟件開發(fā)商，產(chǎn)品提供商，顧問，臨時(shí)工和使用 xxx 單位信息系統(tǒng)的其他第三方。xxx有計(jì)算機(jī)系統(tǒng)、數(shù)據(jù)和網(wǎng)絡(luò)環(huán)境。第六條 本方針主要依據(jù)國際標(biāo)準(zhǔn) ISO17799,并遵照我國信息安全有關(guān)法律法規(guī)和相關(guān)標(biāo)準(zhǔn)。第二章 信息安全管理的主要原則面提高信息安全管理水平。第八條全過程原則信息安全是一個(gè)系統(tǒng)工程應(yīng)將它落實(shí)在系統(tǒng)的計(jì)劃組織、開發(fā)采購、實(shí)施交付、運(yùn)行維護(hù)、廢棄五個(gè)階段的全生命周期管理過中,信息安全建設(shè)管理應(yīng)遵循與信息系統(tǒng)同步規(guī)劃同步建設(shè)同步運(yùn)行的原則.第九條風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)控制原則：應(yīng)進(jìn)行信息安全風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)控等因素確定各類信息資產(chǎn)的安全保護(hù)級別。第十一條 統(tǒng)一規(guī)劃、分級管理原則

3、:信息安全管理遵循統(tǒng)一規(guī)劃、分級管xxx（部門下，負(fù)責(zé)本單位（部門）的信息安全管理工作。xxx成本、安全性和操作便利性之間找到最佳的平衡點(diǎn)。xxx理原則，針對信息系統(tǒng)環(huán)境的變動情況及時(shí)調(diào)整管理辦法。第三章 信息安全管理組織與職責(zé)第十四條 建立和健全信息安全管理組織,設(shè)立由高層領(lǐng)導(dǎo)組成的信息安全xxx第十五條 xxxxxx第十六條 xxx 單位信息安全管理機(jī)構(gòu)職責(zé)如下：行程序；組織和監(jiān)督信息安全工作的貫徹和實(shí)施；對出現(xiàn)的安全問題提出解決方案；負(fù)責(zé)安全管理員的選用和監(jiān)督；參與信息系統(tǒng)新工程建設(shè)和新業(yè)務(wù)開展的方案論證，并提出相應(yīng)的安全方面的建議；并參與驗(yàn)收。第四章 信息系統(tǒng)安全運(yùn)行管理xxx第十八條

4、 制定信息資產(chǎn)鑒別和分類制度，鑒別信息資產(chǎn)的價(jià)值和等級,建立并維護(hù)信息資產(chǎn)清單。和信息進(jìn)行分類管理。第二十條 安全運(yùn)行管理是整個(gè)信息安全管理工作的日常體現(xiàn)和執(zhí)行環(huán)節(jié). 應(yīng)該在本方針的指導(dǎo)下，建立并執(zhí)行信息安全管理制度與信息安全操作規(guī)程。第二十一條 定期開展信息安全風(fēng)險(xiǎn)評估工作，通過對整個(gè)信息系統(tǒng)進(jìn)行信息安全風(fēng)險(xiǎn)評估,確定信息系統(tǒng)所存在的安全隱患和安全風(fēng)險(xiǎn)，了解信息系統(tǒng)安全現(xiàn)狀與信息系統(tǒng)安全需求之間的差異。進(jìn)行物理安全和環(huán)境安全的管理，建立機(jī)房管理制度。對于 xxx 單位信息系統(tǒng)中重要業(yè)務(wù)系統(tǒng)、服務(wù)器和網(wǎng)絡(luò)、安全設(shè)備,制定安全配置標(biāo)準(zhǔn)及規(guī)定，規(guī)范安全配置管理工作，建立系統(tǒng)變更管理制度,并進(jìn)行定期

5、的審計(jì)和檢查。第二十四條對于外包開發(fā)的業(yè)務(wù)系統(tǒng)軟件應(yīng)制定業(yè)務(wù)軟件安全標(biāo)準(zhǔn)來進(jìn)行規(guī)范要求有完善的鑒別和認(rèn)證訪問控制日志審計(jì)功能和數(shù)據(jù)驗(yàn)證功能杜絕木馬和后門。建立源代碼控制和軟件版本控制機(jī)制。第二十五條 建立第三方安全管理的制度和規(guī)范,嚴(yán)格控制第三方對 單位信息系統(tǒng)的訪問,并在合同中規(guī)定其安全責(zé)任和安全控制要求，以維護(hù)第三方訪問的安全性。第二十六條 應(yīng)該實(shí)施業(yè)務(wù)連續(xù)性管理程序,預(yù)防和恢復(fù)控制相結(jié)合，將災(zāi)難和安全故障（可能是由于自然災(zāi)害、事故、設(shè)備故障和蓄意破壞等引起)造成的影響降低到可以接受的水平，以防止業(yè)務(wù)活動中斷,保證重要業(yè)務(wù)流程不受重大故障和災(zāi)難的影響。第二十七條 應(yīng)該分析災(zāi)難、安全故障和服

6、務(wù)損失的后果 .制定并實(shí)施應(yīng)急管理計(jì)劃,確保能夠在要求的時(shí)間內(nèi)恢復(fù)業(yè)務(wù)流程。第二十九條安全技能的培訓(xùn).制定并實(shí)施安全培訓(xùn)和教育計(jì)劃，進(jìn)行信息安全意識及信息第五章 信息安全技術(shù)體系建設(shè)第三十條 xxx 單位信息系統(tǒng)應(yīng)加強(qiáng)信息安全技術(shù)體系建設(shè)，包含鑒別認(rèn)證, 訪問控制，審計(jì)和跟蹤，響應(yīng)和恢復(fù)，內(nèi)容安全等五個(gè)方面的安全技術(shù)要素。第三十一條和標(biāo)準(zhǔn)。建立鑒別和認(rèn)證的標(biāo)準(zhǔn)和機(jī)制，建立用戶和口令管理的制度第三十二條建立完善的信息系統(tǒng)的訪問控制標(biāo)準(zhǔn)和機(jī)制 ,加強(qiáng)權(quán)限理，進(jìn)行網(wǎng)段隔離,嚴(yán)格控制互聯(lián)網(wǎng)出入口,嚴(yán)格管理遠(yuǎn)程訪問和遠(yuǎn)程維護(hù).第三十三條建立有效的審計(jì)和跟蹤機(jī)制，建立日志存儲、管理和分析制，提高對安全事件的審計(jì)和事后追查能力。第三十四條建立有效的機(jī)制和技術(shù)手段來發(fā)現(xiàn)、監(jiān)控、分析和處理信安全事件和信息安全違規(guī)行為，建立應(yīng)急響應(yīng)和恢復(fù)的標(biāo)準(zhǔn)和機(jī)制。第三十五條建立內(nèi)容