信息安全策略綱要

信息安全策略綱要范圍信息系統(tǒng)是技術(shù)密集的大型復(fù)雜的網(wǎng)絡(luò)化人機(jī)系統(tǒng)，其面臨的安全問題非常突XX信息通信分公司（以下簡(jiǎn)稱“公司”）依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等相關(guān)標(biāo)準(zhǔn)法規(guī)制定本策略綱要。本綱要適采用于公司信息系統(tǒng)?？傮w目標(biāo)總體目標(biāo):保護(hù)公司信息系統(tǒng)的硬件、軟件、業(yè)務(wù)信息和數(shù)據(jù)、通信網(wǎng)絡(luò)設(shè)備等資源的安全，有效防范各類安全事故，合法合規(guī)發(fā)展各類信息系統(tǒng)，確保為社會(huì)提供高效穩(wěn)定的電力服務(wù)。規(guī)范性引采用文件下列文件中的條款通過本標(biāo)準(zhǔn)的引采用而成為本標(biāo)準(zhǔn)的條款。凡注明日期的引采用文件，其隨后全部的修改單或修訂版均不適采用于本標(biāo)準(zhǔn)（不包括勘誤、通知單），凡未注日期的引采用文件，其最新版本適采用于本標(biāo)準(zhǔn)《信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架》（GB/T20274.1-2006）《信息安全技術(shù)信息系統(tǒng)安全管理要求》（GB/T20269-2006）《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GBT22239-2008）本標(biāo)準(zhǔn)未涉以及的管理內(nèi)容，參照國(guó)家、電力行業(yè)、南方電網(wǎng)公司的相關(guān)標(biāo)準(zhǔn)和規(guī)定實(shí)施。總體方針組織與體制構(gòu)筑確保信息安全所必需的組織與體制，明確其責(zé)任與權(quán)限。遵守法令法規(guī)遵守與信息安全相關(guān)的法令法規(guī)，制定并遵守按照基本方針?biāo)贫ǖ男畔踩嚓P(guān)的規(guī)定。信息資產(chǎn)的分類與管理按照照重要級(jí)別信息資產(chǎn)進(jìn)行分類，并妥善管理。培訓(xùn)與教育為使相關(guān)人員全面了解信息安全的重要性，適當(dāng)開展針對(duì)性培訓(xùn)與教育教育活動(dòng)。使他們充分認(rèn)識(shí)信息安全的重要性以以及掌握正確的管理方法。物理性保護(hù)為防止非法入侵、干擾以及破壞信息資產(chǎn)等事故的發(fā)生，對(duì)其保管場(chǎng)所與保管辦法加以明確。技術(shù)性保護(hù)為切實(shí)保護(hù)信息資產(chǎn)不受來自外部的非法入侵，對(duì)信息系統(tǒng)的登錄方法、使采用限制、網(wǎng)絡(luò)管理等采取適當(dāng)?shù)拇胧?。運(yùn)采用為確?；痉结樀膶?shí)際成效，在對(duì)遵守情況進(jìn)行監(jiān)督的同時(shí)，對(duì)違反基本方針評(píng)價(jià)以及復(fù)審隨著社會(huì)環(huán)境的變化、技術(shù)的進(jìn)步等，應(yīng)定期對(duì)基本方針與運(yùn)采用方式進(jìn)行評(píng)價(jià)與復(fù)審安全策略安全管理制度安全指南的幫助、安全意識(shí)的提高、安全技能的培訓(xùn)、人力資源管理措施以以及企業(yè)文化的熏陶，這些功能的實(shí)現(xiàn)都是以完備的安全管理政策和制度為之前提。安全管理制度包括信息安全工作的總體方針、策略、規(guī)范各種安全管理活動(dòng)的管理制度以以及管理人員或操作人員日常操作的操作規(guī)程。安全管理制度重點(diǎn)關(guān)注管理制度、制定和公布、評(píng)審和修訂三方面。目的是據(jù)系統(tǒng)的安全等級(jí)，依照國(guó)家相關(guān)法律以及政策標(biāo)準(zhǔn)，設(shè)立信息安全的各項(xiàng)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，規(guī)范基礎(chǔ)設(shè)施建設(shè)、系統(tǒng)和網(wǎng)絡(luò)平臺(tái)建設(shè)、應(yīng)采用系統(tǒng)開發(fā)、運(yùn)行管理等重要環(huán)節(jié)，奠定信息安全的基礎(chǔ)。安全管理機(jī)構(gòu)設(shè)立組織管理體系是為了設(shè)立自上而下的信息安全工作管理體系，確定安全管理組織機(jī)構(gòu)的職責(zé)，統(tǒng)籌規(guī)劃、專家決策，以推動(dòng)信息安全工作的開展。推行方針政策，制定實(shí)施策略和原則，開展安全普以及教育等。下設(shè)辦公室負(fù)責(zé)信息安全領(lǐng)導(dǎo)小組的日常事務(wù)。信息安全領(lǐng)導(dǎo)小組下設(shè)兩個(gè)工作組:信息安全工作組、應(yīng)急處理工作組。組長(zhǎng)均由公司負(fù)責(zé)人擔(dān)任。人員安全管理通過設(shè)立安全崗位責(zé)任制，最大限度降低人為失誤所造成的風(fēng)險(xiǎn)。人是決定性因素，人員安全管理的原則是:職責(zé)分離、有限授權(quán)、相互制約、任期審計(jì)。人員安全管理的要素包括:安全管理人員配備、信息系統(tǒng)關(guān)鍵崗位、人員錄采用、人員離崗、人員考核與審查、第三方人員管理等。信息安全人員的配備和變更情況，應(yīng)向上一級(jí)單位報(bào)告、備案。信息安全人員調(diào)離崗位，須嚴(yán)格辦理調(diào)離手續(xù)，承諾其調(diào)離后的保密義務(wù)。涉以及公司業(yè)務(wù)核心技術(shù)的信息安全人員調(diào)離單位，須進(jìn)行離崗審計(jì)，并在規(guī)定的脫密期后，方可調(diào)離。系統(tǒng)建設(shè)管理信息系統(tǒng)的安全管理貫穿系統(tǒng)的整個(gè)生命周期，系統(tǒng)建設(shè)管理主要關(guān)注的是生命周期中的之前三個(gè)階段（初始、采購(gòu)、實(shí)施）中各項(xiàng)安全管理活動(dòng)。系統(tǒng)建設(shè)管理分別從項(xiàng)目實(shí)施建設(shè)之前、建設(shè)過程以以及建設(shè)完畢交付等三方面考慮，具體包括系統(tǒng)定級(jí)、安全方案設(shè)計(jì)、產(chǎn)品采購(gòu)和使采用、自行軟件開發(fā)、外包軟件開發(fā)、項(xiàng)目實(shí)施、測(cè)試驗(yàn)收、系統(tǒng)交付、系統(tǒng)備案、等級(jí)測(cè)評(píng)和安全服務(wù)商選擇十一個(gè)控制點(diǎn)。系統(tǒng)運(yùn)維管理目的是保障信息系統(tǒng)日常運(yùn)行的安全穩(wěn)定，對(duì)運(yùn)行環(huán)境、技術(shù)支持、操作使采用、病毒防范、備份措施、文檔設(shè)立等全方位管理。包括采用戶管理、運(yùn)行操作管理、運(yùn)行維護(hù)管理、外包服務(wù)管理、相關(guān)安全機(jī)制保障、安全管理控制平臺(tái)等方面的管理要素。對(duì)運(yùn)行過程的任何變化，數(shù)據(jù)、軟件、物理設(shè)置等，都應(yīng)實(shí)施技術(shù)監(jiān)控和管理手段以確保其完整性，防止信息非法復(fù)制、篡改，任何查詢和變更操作需經(jīng)過授權(quán)和合法性驗(yàn)證。應(yīng)急管理也是運(yùn)維的重要內(nèi)容，目的是分析信息系統(tǒng)可能出現(xiàn)的緊急事件或?yàn)?zāi)難，設(shè)立一整套應(yīng)急措施，以保障核心業(yè)務(wù)的快速恢復(fù)和持續(xù)穩(wěn)定運(yùn)行。應(yīng)急計(jì)劃包括應(yīng)急處理和災(zāi)難恢復(fù)策略、應(yīng)急計(jì)劃、應(yīng)急計(jì)劃的實(shí)施保障等管理要素。在海南省電網(wǎng)公司統(tǒng)一的應(yīng)急規(guī)劃下，針對(duì)信息系統(tǒng)面臨的各種應(yīng)急場(chǎng)景編制相應(yīng)的應(yīng)急預(yù)案，并經(jīng)過測(cè)試演練修訂，同時(shí)宣傳普以及。物理安全目的是保護(hù)計(jì)算機(jī)設(shè)備、設(shè)施（含網(wǎng)絡(luò)）以以及信息系統(tǒng)免遭自然災(zāi)害和其他形式的破壞，保障信息系統(tǒng)的實(shí)體安全。相關(guān)物理環(huán)境的選址和設(shè)計(jì)應(yīng)遵照相關(guān)標(biāo)準(zhǔn)，配備防火、防水、防雷擊、防靜對(duì)重要安全設(shè)備的選擇，需符合國(guó)家相關(guān)標(biāo)準(zhǔn)規(guī)范，相關(guān)證書齊全。嚴(yán)格確定設(shè)備的合法使采用人，設(shè)立詳細(xì)運(yùn)行日志和維護(hù)記錄。網(wǎng)絡(luò)安全目的是有效防范網(wǎng)絡(luò)體系的安全風(fēng)險(xiǎn)，為業(yè)務(wù)應(yīng)采用系統(tǒng)提供安全、可靠、穩(wěn)定的網(wǎng)絡(luò)管理和技術(shù)平臺(tái)。對(duì)于依賴網(wǎng)絡(luò)架構(gòu)安全的業(yè)務(wù)應(yīng)采用系統(tǒng)，需據(jù)其安全級(jí)別，實(shí)施相應(yīng)的訪問控制、身份認(rèn)證、審計(jì)等安全服務(wù)機(jī)制；在網(wǎng)絡(luò)邊界處，需據(jù)資源的保護(hù)等級(jí)，實(shí)施相應(yīng)安全級(jí)別的防火墻、認(rèn)證、審計(jì)、動(dòng)態(tài)檢測(cè)等技術(shù)，防范信息資源的非法訪問、篡改和破壞。主機(jī)安全主機(jī)安全包括服務(wù)器、終端/工作站等在內(nèi)的計(jì)算機(jī)設(shè)備在操作系統(tǒng)以及數(shù)據(jù)庫(kù)系統(tǒng)層面的安全。終端/工作站是帶外設(shè)的臺(tái)式機(jī)與筆記本計(jì)算機(jī)，服務(wù)器則包括應(yīng)采用程序、網(wǎng)絡(luò)、web護(hù)信息安全的中堅(jiān)力量。入侵防范幾個(gè)方面，同時(shí)定期或不定期的進(jìn)行安全評(píng)估（含滲透性測(cè)試）實(shí)時(shí)確保主機(jī)的健壯性。應(yīng)采用安全應(yīng)采用安全成是信息系統(tǒng)整體防御的最后一道防線，目的是保障業(yè)務(wù)應(yīng)采用系統(tǒng)開發(fā)過程以及最終產(chǎn)品的安全性。在應(yīng)采用層面運(yùn)行著信息系統(tǒng)的基于網(wǎng)絡(luò)的應(yīng)采用以以及特定業(yè)務(wù)應(yīng)采用?；诰W(wǎng)絡(luò)的應(yīng)采用是形成其他應(yīng)采用的基礎(chǔ)，是基本的應(yīng)采用；業(yè)務(wù)應(yīng)采用采納基本應(yīng)采用的功能以滿足特定業(yè)務(wù)的要求；故最終是保護(hù)系統(tǒng)的各種業(yè)務(wù)應(yīng)采用程序的安全運(yùn)行。應(yīng)采用系統(tǒng)的總體需求計(jì)劃階段，應(yīng)全面評(píng)估系統(tǒng)的安全風(fēng)險(xiǎn)，確定系統(tǒng)的訪問控制、身份認(rèn)證、審計(jì)跟蹤等安全需求；總體架構(gòu)設(shè)計(jì)階段，應(yīng)實(shí)施安全需求設(shè)計(jì)，確立安全服務(wù)機(jī)制、開發(fā)人員技術(shù)要求和操作規(guī)程；應(yīng)采用系統(tǒng)的實(shí)現(xiàn)階段，應(yīng)全程實(shí)施質(zhì)量控制，防止程序后門，減少代碼漏洞；在上線運(yùn)行之之前，應(yīng)充分進(jìn)行局部功能、整體功能、壓力測(cè)試，以以及系統(tǒng)安全性能、操作流程、應(yīng)急方案的測(cè)試。5.10數(shù)據(jù)安全以及備份恢復(fù)信息系統(tǒng)處理的各種數(shù)據(jù)（采用戶數(shù)據(jù)、系統(tǒng)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)等）在維持系統(tǒng)正常運(yùn)行上