系列信息安全管理制度分析

系列信息安全管理制度分析信息安全管理實務刑事執(zhí)行專業(yè)教學資源庫目錄CONTENTS0102信息安全工作管理規(guī)定安全策略管理規(guī)定刑事執(zhí)行專業(yè)教學資源庫本策略與《省XXXX信息安全體系框架-組織體系和職責》共同為本單位基礎安全策略，涉及其他各安全策略本策略適用于本單位本策略適用于本單位及下屬各區(qū)縣局所有信息安全工作，是信息安全工作的綱領性策略為了加強省XXXX（以下簡稱“本單位”）信息安全保障能力，建立健全本單位安全管理體系，提高整體網(wǎng)絡與信息安全水平，保證網(wǎng)絡通信暢通和業(yè)務系統(tǒng)的正常運營，提高網(wǎng)絡服務質(zhì)量，在本單位安全體系框架下，本策略明確本單位安全工作的展開辦法，指導各部門展開各自安全工作信息安全工作管理規(guī)定01策略目標03使用人員及角色職責02適用范圍04策略相關性1.總則刑事執(zhí)行專業(yè)教學資源庫信息安全工作管理規(guī)定2.信息安全工作的基本原則01020304等級劃分同步規(guī)劃、同步建設、同步運行三分技術、七分管理內(nèi)外并重05060708整體規(guī)劃，分步實施風險管理適度安全統(tǒng)一管理信息安全工作管理規(guī)定本單位信息安全領導小組：是本單位網(wǎng)絡與信息安全工作的領導和決策機構；本單位信息安全工作組：是本單位信息安全工作的執(zhí)行機構；本單位信息安全實施組：是本單位信息安全工作組的日常執(zhí)行機構。該機構日常相關工作由本單位信息中心完成依據(jù)最小特權原則清晰劃分崗位，在所有崗位職責中明確信息安全責任，要害工作崗位實現(xiàn)職責分離，關鍵事務雙人臨崗，重要崗位要有人員備份，定期進行人員的安全審查必須加強第三方訪問和外包服務的安全控制，在風險評估的基礎上制定安全控制措施，并與第三方本單位和外包服務本單位簽署安全責任協(xié)議，明確其安全責任所有員工都應簽署保密協(xié)議，并接受信息安全教育培訓，提高安全意識，及時報告網(wǎng)絡與信息安全事件01本單位網(wǎng)絡與信息安全組織機構02加強內(nèi)部人員安全管理03簽署保密協(xié)議04加強第三方安全控制3.安全組織的工作管理信息安全工作管理規(guī)定0102034.安全體系的運作管理建設完整安全體系，實現(xiàn)從設計、實施、修改和維護生命周期的安全體系自身保障STEP1STEP2STEP3安全策略本身應規(guī)范從創(chuàng)建、執(zhí)行、修改、到更新、廢止等整個生命周期的維護保障本單位信息安全體系的建設和維護，要通過及時獲知和評價信息安全的現(xiàn)狀，通過對于安全現(xiàn)狀的評估，實施信息安全建設工作，減少和降低信息安全風險，提高信息安全保障水平信息安全工作管理規(guī)定0102035.安全風險管理必須加強信息資產(chǎn)管理，建立和維護信息資產(chǎn)清單，維護最新的網(wǎng)絡拓撲圖，建立信息資產(chǎn)責任制，對信息資產(chǎn)進行分類管理和貼標簽STEP1STEP2STEP3對安全威脅提前預警，及時將國內(nèi)外安全信息通知本單位各級信息安全管理人員及員工，確保能夠及時采取應對措施，以此降低本單位的信息安全風險應部署網(wǎng)絡層面和系統(tǒng)層面的訪問控制、安全審計以及安全監(jiān)控技術措施，保障業(yè)務系統(tǒng)的安全運行刑事執(zhí)行專業(yè)教學資源庫信息安全工作管理規(guī)定6.運行維護安全管理0102030405加強機房和辦公區(qū)域的安全管理，為設備的正常運行提供物理和環(huán)境安全保障建立日常維護操作規(guī)程和變更控制規(guī)程，規(guī)范日常運行維護操作，嚴格控制和審批任何變更行為加強本單位病毒防治工作，提升本單位病毒整體防護能力，降低并防范病毒對于本單位業(yè)務造成的影響加強用戶帳號和權限管理，按照最小特權原則為用戶分配權限，避免出現(xiàn)共用帳號的情況制定各業(yè)務系統(tǒng)的應急方案，及時發(fā)現(xiàn)、報告、處理和記錄安全策略管理規(guī)定為了加強省XXXX（以下簡稱“本單位”）信息安全保障能力，建立健全本單位安全管理體系，提高整體信息安全水平，保證業(yè)務系統(tǒng)的正常運營，提高網(wǎng)絡服務質(zhì)量，在本單位安全體系框架下，本策略為規(guī)范本單位安全策略的制定、發(fā)布、修改、廢止、檢查和監(jiān)督落實，建立科學和嚴謹?shù)墓芾磙k法本策略適用于本單位信息中心及各部門安全專員本策略涉及本單位所有安全策略自身的所有生命周期內(nèi)容，同時遵照本單位相關文件和文檔管理制度1策略目標2適用范圍3策略相關性1.總則安全策略的制定權限安全策略的制定權限安全策略的制定要求安全策略的制定要求安全策略管理規(guī)定2.本單位安全策略制定01本單位信息中心負責制定本單位層的安全策略，主要包括：本單位信息安全體系、本單位安全策略框架、本單位信息安全方針、本單位信息安全體系等級化標準、本單位安全技術標準和技術規(guī)范、本單位安全管理制度和規(guī)定、本單位安全組織機構和人員職責以及本單位用戶協(xié)議02各縣區(qū)局信息安全組織遵照本單位下發(fā)的安全策略，結合各縣區(qū)局系統(tǒng)實際情況，制定和細化成適用于各縣區(qū)局的具體管理辦法、實施細則和操作規(guī)程等，不得與市局的規(guī)章制度相抵觸，并須報市局信息中心備案04對本單位安全策略進行匯編時，必須保留各安全策略的版本控制信息和密級標識03本單位安全策略中不得出現(xiàn)本單位的涉密信息刑事執(zhí)行專業(yè)教學資源庫安全策略管理規(guī)定3.本單位安全策略發(fā)布0102030405安全策略必須以正式文件的形式發(fā)布施行本單位安全策略由本單位信息中心制訂，由本單位信息安全領導小組審批、發(fā)布安全策略發(fā)布后，如有必要，應召集相關人員學習安全策略，詳細講解規(guī)章制度的內(nèi)容并解答疑問安全策略修訂后需要以正式文件的形式重新發(fā)布施行，修訂后的策略也需信息安全領導小組審批簽署發(fā)布的規(guī)章制度必須標明該規(guī)章制度的施行日期安全策略管理規(guī)定必須定期對安全策略進行評審，對其中不適用的或欠缺的條款，及時進行修改和補充。對已不適用的信息安全制度或規(guī)定應及時廢止本單位層安全策略的修改與廢止須經(jīng)本單位信息安全領導小組審批確認，本單位信息中心備案當現(xiàn)行安全策略有下列情形之一時，必須及時修改當發(fā)生重大安全事件，暴露出安全策略存在漏洞和缺陷時；組織機構或生產(chǎn)系統(tǒng)進行重大調(diào)整和變更后；同一個事項在兩個規(guī)章制度中規(guī)定不一致；與省局的安全策略相抵觸；其它需要修改安全策略的情形因有關信息安全制度或規(guī)定廢止，使該信息安全制度或規(guī)定失去依據(jù)，或與本單位現(xiàn)行上層策略相抵觸；因已規(guī)定的事項已經(jīng)執(zhí)行完畢，沒有存在必要；已被新的規(guī)章制度所替代當現(xiàn)行安全策略有下列情形之一時，必須及時予以廢止4.本單位安全策略修改與廢止安全策略管理規(guī)定5.本單位安全策略監(jiān)督和檢查安全策略發(fā)布實施后，各部門應就安全策略制度或規(guī)定的貫徹執(zhí)行，執(zhí)行中存在的問題以及對規(guī)章制度修改或廢止的意見建議等情況進行檢查和監(jiān)督，并將意見和建議及時反饋給信息中心。為保障各項信息安全管理制度的貫徹落實，本單位信息中心必須定期檢查安全策略的落實情況，信息安全管理制度的落實情況檢查是信息安全檢查工作的重要內(nèi)容。信息安全檢查工作結束后，在起草檢查報告時，必須通報安全策略的落實情況，對執(zhí)行不力的行為必須提出整改意見，限期糾改，并繼續(xù)追蹤其落實情況。安