信息安全工作總體方針

信息安全工作總體方針第一章總則第一條為加強(qiáng)和規(guī)范省信息中心及直屬直管各單位（以下簡(jiǎn)稱“各單位”）信息系統(tǒng)安全工作，提高中心信息系統(tǒng)整體安全防護(hù)水平，實(shí)現(xiàn)信息安全的可控、能控、在控，依據(jù)國(guó)家有關(guān)法律、法規(guī)的要求，制定本文檔。第二條本文檔的目的是為中心信息系統(tǒng)安全管理提供一個(gè)總體的策略性架構(gòu)文件，該文件將指導(dǎo)中心信息系統(tǒng)的安全管理體系的建立。安全管理體系的建立是為中心信息系統(tǒng)的安全管理工作提供參照，以實(shí)現(xiàn)中心統(tǒng)一的安全策略管理，提高整體的網(wǎng)絡(luò)與信息安全水平，確保安全控制措施落實(shí)到位，保障網(wǎng)絡(luò)通信暢通和業(yè)務(wù)系統(tǒng)的正常運(yùn)營(yíng)。第三條本文檔適用于中心以中心下屬各單位信息系統(tǒng)資產(chǎn)和信息技術(shù)人員的安全管理和指導(dǎo)，適用于指導(dǎo)中心信息系統(tǒng)安全策略的制定、安全方案的規(guī)劃和安全建設(shè)的實(shí)施，適用于中心安全管理體系中安全管理措施的選擇。第四條本辦法所稱信息系統(tǒng)指中心一體化企業(yè)級(jí)信息系統(tǒng)，主要包括一體化企業(yè)級(jí)信息集成平臺(tái)（以下簡(jiǎn)稱“一體化平臺(tái)”）和八大業(yè)務(wù)應(yīng)用?！耙惑w化平臺(tái)”包含信息網(wǎng)絡(luò)、數(shù)據(jù)交換、數(shù)據(jù)中心、應(yīng)用集成和企業(yè)門(mén)戶；“業(yè)務(wù)應(yīng)用”包含財(cái)務(wù)（資金）管理、營(yíng)銷管理、安全生產(chǎn)管理、協(xié)同辦公、人力資源管理、物資管理、項(xiàng)目管理、綜合管理業(yè)務(wù)應(yīng)用。第五條引用標(biāo)準(zhǔn)及參考文件本文檔的編制參照了以下國(guó)家、中心的標(biāo)準(zhǔn)和文件：（一）《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》（二）《關(guān)于信息安全等級(jí)保護(hù)建設(shè)的實(shí)施指導(dǎo)意見(jiàn)》（信息運(yùn)安〔2009〕27號(hào)）（三）《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GB/T22239-2008）（四）《信息安全技術(shù)信息系統(tǒng)安全管理要求》（GB/T20269—2006）（五）《信息系統(tǒng)等級(jí)保護(hù)安全建設(shè)技術(shù)方案設(shè)計(jì)要求》（報(bào)批稿）（六）《關(guān)于開(kāi)展信息安全等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見(jiàn)》（公信安[2009]1429號(hào)）第二章方針、目標(biāo)和原則第六條中心信息系統(tǒng)安全堅(jiān)持“安全第一、預(yù)防為主，管理和技術(shù)并重，綜合防范”的總體方針，實(shí)現(xiàn)信息系統(tǒng)安全可控、能控、在控。依照“分區(qū)、分級(jí)、分域”總體安全防護(hù)策略，執(zhí)行信息系統(tǒng)安全等級(jí)保護(hù)制度。管理信息網(wǎng)絡(luò)分為信息內(nèi)網(wǎng)和信息外網(wǎng)，實(shí)現(xiàn)“雙機(jī)雙網(wǎng)”，信息內(nèi)網(wǎng)定位為承載網(wǎng)絡(luò)和內(nèi)部辦公網(wǎng)絡(luò)，信息外網(wǎng)定位為對(duì)外業(yè)務(wù)網(wǎng)絡(luò)和訪問(wèn)互聯(lián)網(wǎng)用戶終端網(wǎng)絡(luò)。信息內(nèi)、外網(wǎng)之間實(shí)施強(qiáng)邏輯隔離的措施。第七條信息系統(tǒng)安全總體目標(biāo)是確保信息系統(tǒng)持續(xù)、穩(wěn)定、可靠運(yùn)行和確保信息內(nèi)容的機(jī)密性、完整性、可用性，防止因信息系統(tǒng)本身故障導(dǎo)致信息系統(tǒng)不能正常使用和系統(tǒng)崩潰，抵御黑客、病毒、惡意代碼等對(duì)信息系統(tǒng)發(fā)起的各類攻擊和破壞，防止信息內(nèi)容及數(shù)據(jù)丟失和失密，防止有害信息在網(wǎng)上傳播，防止中心對(duì)外服務(wù)中斷和由此造成的系統(tǒng)運(yùn)行事故。第八條信息安全工作的總體原則（1）基于安全需求原則組織機(jī)構(gòu)應(yīng)根據(jù)其信息系統(tǒng)擔(dān)負(fù)的使命，積累的信息資產(chǎn)的重要性，可能受到的威脅及面臨的風(fēng)險(xiǎn)分析安全需求，按照信息系統(tǒng)等級(jí)保護(hù)要求確定相應(yīng)的信息系統(tǒng)安全保護(hù)等級(jí)，遵從相應(yīng)等級(jí)的規(guī)范要求，從全局上恰當(dāng)?shù)仄胶獍踩度肱c效果；（2）主要領(lǐng)導(dǎo)負(fù)責(zé)原則主要領(lǐng)導(dǎo)應(yīng)確立其組織統(tǒng)一的信息安全保障的宗旨和政策，負(fù)責(zé)提高員工的安全意識(shí)，組織有效安全保障隊(duì)伍，調(diào)動(dòng)并優(yōu)化配置必要的資源，協(xié)調(diào)安全管理工作與各部門(mén)工作的關(guān)系，并確保其落實(shí)、有效；（3）全員參與原則信息系統(tǒng)所有相關(guān)人員應(yīng)普遍參與信息系統(tǒng)的安全管理，并與相關(guān)方面協(xié)同、協(xié)調(diào)，共同保障信息系統(tǒng)安全；（4）系統(tǒng)方法原則按照系統(tǒng)工程的要求，識(shí)別和理解信息安全保障相互關(guān)聯(lián)的層面和過(guò)程，采用管理和技術(shù)結(jié)合的方法，提高實(shí)現(xiàn)安全保障的目標(biāo)的有效性和效率；（5）持續(xù)改進(jìn)原則（3）數(shù)據(jù)本機(jī)備份時(shí)應(yīng)檢測(cè)其完整性；（4）數(shù)據(jù)備份時(shí)必須使用專業(yè)的備份設(shè)備和工具，在數(shù)據(jù)傳輸和數(shù)據(jù)存儲(chǔ)時(shí)，都必須是加密傳輸和存儲(chǔ)；（5）數(shù)據(jù)進(jìn)行異地備份時(shí)，必須利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時(shí)批量傳送至備用場(chǎng)地。第四章附則