信息安全方针及安全策略制度.docx

《信息安全方针及安全策略制度.docx》由会员分享，可在线阅读，更多相关《信息安全方针及安全策略制度.docx（6页珍藏版）》请在第一文库网上搜索。

1、信息安全方针及安全策略制度目录1 .适用范围12 .信息安全总体方针13 .信息安全总体目标14 .信息安全工作原则25 .信息安全体系框架26 .主要安全策略2L适用范围作为网络系统信息安全管理的纲领性文件，本文件用于指导建立并实施信息 安全管理体系的行动准则，适用于网络系统的相关各项日常安全管理。2.信息安全总体方针“积极参与明确责任 预防为主快速响应 风险管控持续改进”是的信息 安全总体方针。具体阐述如下：（1）在技术部的领导下，全面贯彻国家关于信息安全工作的相关指导性文 件精神，在内部建立可持续改进的信息安全管理体系。（2）全员参与信息安全管理体系建设，落实信息安全管理责任制，建立和

2、完善各项信息安全管理制度，使得信息安全管理有章可循。（3）通过定期的信息安全宣传、教育与培训，不断提高所有人员的信息安 全意识及能力。（4）推行预防为主的信息安全积极防御理念，同时对所发生的信息安全事 件进行快速、有序地响应。（5）贯彻风险管理的理念，定期对系统进行风险评估和控制，将信息安全 风险控制在可接受的水平。（6）持续改进信息安全各项工作，保障网络系统安全畅通与可控，保障所 开发和维护信息系统的安全稳定，为社会公众提供安全可靠的招投标比选服务。3.信息安全总体目标（1）按照等级保护三级要求，对生产网系统进行建设和运维。（2）建立信息化资产目录（包括软件、硬件、数据信息等）。（3）建立健

3、全并持续改进安全管理体系。（4）编制完成网络和信息安全事件总体应急预案，并组织应急演练。（5）每年至少开展一次由第三方机构主导的信息安全风险评估，同时单位 内部定期进行自评估，保障信息系统的安全。（6）每年至少组织一次全范围的信息安全管理制度宣传贯彻。4 .信息安全工作原则结合实际情况，信息安全工作的开展过程中，基本工作原则为：（1）以自身为主，坚持技术与管理并重。（2）正确处理安全与发展的关系，以安全保发展，在发展中求安全。（3）统筹规划，突出重点，强化基础工作。（4）明确各角色的责任和义务，充分发挥各方面的积极性，共同构筑信息 安全保障体系。5 .信息安全体系框架应用安全（应用软件安全、支

4、撑软件安全、工具软件安全等）安 全 管 理 应用管理系统管理 网络管理物理管理系统安全（操作系统安全、数据库管理系统安全）网络安全（网络软件安全、网络协议安全和网络数据传输安全）物理安全（计算机硬件安全、网络硬件安全及其环境安全）6.主要安全策略（1）按照国家等级保护有关要求，系统信息安全等级确定为三级，按照国 家等级保护三级有关要求进行实施、保护。（2）建立信息安全管理组织机构，明确安全管理员、网络管理员、应用系 统管理员、审计管理员、资产管理员等各类安全管理相关岗位及职责，建立健全 信息安全管理责任制，使得信息安全各项职责落实到人。（3）对信息安全管理体系进行定期得内审和管理评审，对各项安

5、全控制措 施实施后的有效性进行测量，并实施相应的纠正和预防措施，以保证信息安全管 理体系持续的充分性、适宜性、有效性。（4）对系统中所存在的安全风险应进行有计划的评估和管理。定期对信息 系统实施信息安全风险评估，根据评估结果选择适当的安全策略和控制措施，将 安全风险控制在可接受的水平。风险评估至少每年一次，在信息系统发生重大改 变后，也应进行风险评估。（5）规范系统信息资产（包括硬件、软件、服务等）管理流程，建立信息 资产管理台帐，明确资产所有者、使用者与维护者，对所有信息资产进行标记， 实现对信息资产购买、使用、变更、报废整个周期的安全管理。（6）加强人员管理，对内部人员及各类外来人员进行安

6、全管理，明确岗位 安全职责，制定针对违规的惩戒措施，落实人员聘用、在岗和离岗时的安全控制， 与敏感岗位人员签署保密协议。（7）通过正式的信息安全培训，以及网站、简报、会议、讲座等各种形式 的信息安全教育活动，不断加强内部人员的信息安全意识，提高信息安全技能。（8）保障关键区域的物理与环境安全，严格实施关键区域人员及设备的出 入管理。由指派相关人员对托管于电信机房的生产网系统进行定期巡检。（9）加强对信息系统外包业务与外包方的管理，在与信息系统外包方签署 的服务协议中，对信息系统安全加以要求。通过审批、访问控制、监控、签署保 密协议等措施，加强外部方对比选网络平台的访问管理，防止外部方危害信息系

7、 统安全。（10）对的各重要信息系统（包括基础设施、网络和服务器设备、系统、应 用等）应有文档化的操作和维护规程，使得各相关人员能够采用规范化的形式对 系统进行操作，降低和避免因误操作所引发信息安全事件的可能性。（11）在范围内统一部署网络防恶意代码软件，并进行恶意代码库的统一更 新，防范恶意代码、木马等恶意代码对信息系统的影响。强化恶意代码防范的管 理措施，如加强介质管理，严禁擅自安装软件，加强人员安全意识教育，定期进 行恶意代码检测等，提高信息系统对恶意代码的防范能力。（12）对重要的信息和信息系统进行备份，并对备份介质进行安全地保存。 定期对备份数据进行备份测试验证，保证各种备份信息的保

8、密性、完整性和可用 性，确保所有重要信息系统和重要数据在故障、灾难后及其它特定要求下进行可 靠的恢复。（13）采用技术和管理两方面的控制措施，加强对信息系统安全控制，实施 网络访问控制等技术防范措施，不断提高网络的安全性和稳定性。对外部用户， 通过相关安全设备、安全策略进行安全控制，防止外部攻击；对内部用户，加强 使用安全管理，加强对内部人员的安全培训和教育，确保信息系统的安全。（14）加强信息安全日常管理，包括系统口令管理、无人值守设备管理、屏 幕保护、便携机管理等，促使每位员工的日常工作符合信息安全策略和制度要求。（15）通过功能和技术配置，对重要信息系统、数据等实施访问控制。关键 管理人

9、员必须配备数字证书，同时制定安全的授权管理制度，并落实授权责任人。 对系统特殊权限和系统实用工具的使用进行严格的审批和监管。（16）重视软件开发安全。在系统立项和审批过程中，同步考虑信息安全需 求和目标。对系统设计、开发过程的安全应加以保证，重点加强对软件代码安全 性的管理。属于外包软件开发的，应与服务提供商签署保密协议。系统开发完成 后，应要求通过第三方安全机构对软件安全性的测评。（17）在符合国家密码管理相关规定的条件下，合理使用密码技术和密码设 备，严格密钥生成、分发、保存等方面的安全管理，保障密码技术使用的安全性。（18）重视对IT服务连续性的管理，建立对各类信息安全事件的预防、预 警、响应、处置、恢复机制，编制应急预案，并定期进行测试和演练，在信息系 统发生故障或事故时，能迅速、有序地进行应急处置，最大限度地降低因信息系 统突发事件或意外灾害给信息系统所带来的影响。（19）对所适用的国家信息安全相关法律法规进行定期的识别、记录和更新, 并定期对信息安全管理现状与法律法规的符合性进行检查，确保各项信息安全工 作符合国家信息安全相关法律法规要求