《网络安全总体方针.docx》由会员分享,可在线阅读,更多相关《网络安全总体方针.docx(4页珍藏版)》请在第一文库网上搜索。
1、网络安全总体方针文档信息单位名称烟台市教育装备与技术研究中心文档名称网络安全总体方针文档编号YTEDU-CS-I受控状态受控文件扩散范围内部使用制作人尹磊审核人姜静批准人冷作福页数共3页发布日期2018.10.10生效日期2018.10.10版本历史版本日期说明修订人1.02018.10.10创建文件尹磊2.02019.07.17修订尹磊网络安全总体方针第一章总则第一条为加强和规范烟台市教育城域网网络安全工作,提高城域网整体安全防护水平,实现网络安全的可控、能控,依据国家有关法律、法规的要求,制定本方针。第二条本方针的目的是为城域网安全管理提供一个总体性架构文件,该文件将指导城域网的安全管理体
2、系建设。安全管理体系以实现统一的安全策略管理、提高整体的网络与网络安全水平、确保安全控制措施落实到位、保障网络通信畅通和业务系统的正常运营为建设目的。第三条本方针适用于烟台市教育局资产和信息技术人员的安全管理,网络安全策略的制定、安全方案的规划和安全建设的实施,安全管理体系中安全管理措施的选择。第四条引用标准及参考文件本方针的编制参照了以下国家、行业的标准和文件:(一)中华人民共和国网络安全法(二)中华人民共和国计算机信息系统安全保护条例(三)通信网络安全防护管理办法(工信部第11号)(四)关于网络安全等级保护建设的实施指导意见(信息运安(2009)27号)(五)网络安全技术信息系统安全等级保
3、护基本要求(GB/T22239-2008)(六)网络安全技术信息系统安全管理要求(GB/T202692006)(七)信息系统等级保护安全建设技术方案设计要求(报批稿)(A)互联网安全保护技术措施规定(公安部令第82号)(九)计算机信息网络国际联网安全保护管理办法(公安部令第33号)第二章方针、目标和要求第五条网络安全建设坚持“安全第一、预防为主,管理和技术并重,综合防范”的总体方针,依照总体安全防护策略,执行网络安全保护制度。第六条网络安全建设的总体目标是确保网络持续、稳定、可靠运行和确保信息内容的机密性、完整性、可用性,防止因信息系统本身故障导致信息系统不能正常使用和系统崩溃,抵御黑客、病毒
4、、恶意代码等对网络发起的各类攻击和破坏,防止信息内容及数据丢失和失密,防止有害信息在网上传播,防止对外服务的计算机网络中断和由此造成的运行事故。第七条网络安全工作的要求(一)基于安全需求原则管理机构应根据信息系统担负的业务功能、积累的信息资产的重要性、可能受到的威胁及面临的风险分析安全需求,遵从国家和行业网络安全相关的规范要求,从全局上平衡安全投入与效果;(二)主要领导负责原则成立网络安全工作领导小组,主要领导是第一责任人,应确立统一的网络安全保障宗旨和政策,负责指导提高全员安全意识的教育方法、培养优秀的安全技术队伍、调动并优化资源的配置、协调安全管理工作与各部门工作的关系,并确保其有效落实;
5、(三)全员参与原则所有相关人员应积极参与网络安全管理,并与相关方面协调,共同保障网络安全;(四)系统方法原则按照系统工程的要求,识别和理解网络安全保障相互关联的层面和过程,采用管理和技术相结合的方法,保证安全保障工作的高效有序进行;(五)持续改进原则安全管理是一种动态反馈过程,贯穿整个安全管理的生存周期,随着安全需求和系统脆弱性的时空分布变化,威胁程度的提高,系统环境的变化以及对系统安全认识的深化等,应及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级,维护和持续改进网络安全管理体系的有效性;(六)依法管理原则网络安全管理工作主要体现为管理行为,应保证网络安
6、全管理主体合法、管理行为合法、管理内容合法、管理程序合法。对安全事件的处理,应由授权者适时发布准确一致的有关信息,避免带来不良的社会影响;(七)分权和授权原则对特定职能或责任领域的管理功能实施分离、独立审计等实行分权,避免权力过分集中,带来隐患,以减少未授权的修改或滥用系统资源的机会。任何实体(如用户、管理员、进程、应用或系统)仅享有该实体需要完成其任务所必须的最小权限,不应享有任何多余权限;(八)选用成熟技术原则成熟的技术具有较好的可靠性和稳定性,采用新技术时要重视其成熟度,并应首先局部试点然后逐步推广,以减少或避免可能出现的失误;(九)管理与技术并重原则坚持积极防御和综合防范相结合,全面提
7、高网络安全防护能力,立足国情,采用管理科学性和技术前瞻性结合的方法,保障网络安全性达到所要求的目标;(十)自主保护和国家监管结合原则对网络安全实行自主保护和国家保护相结合。相关部门对网络安全进行自管、自查、自评和国家监管相结合的管理模式,提高网络安全保护能力和水平。第八条在规划和建设信息系统时,网络安全防护措施应按照“三同步”原则,与信息系统建设同步规划、同步建设、同步投入运行。第三章网络安全框架第九条参考GB/T22239-2008信息系统安全等级保护基本要求,网络安全框架分为安全技术框架和安全管理框架。建立安全管理框架,包括安全管理机构、安全管理规定和制度,制定安全策略;建立安全运行中心,对全网进行全面管理、分析和故障支持响应;进行全网安全评估,建立内部评估规范,形成安全评估体系;有针对性地制定业务连续性计划策略,建设数据备份中心和灾难恢复中心;建立覆盖全网的安全技术体系,包括:物理安全、网络安全、主机安全、应用安全。第四章附则第十条本方针由烟台市教育装备与技术研究中心负责解释和修订。第十一条本方针自印发之日起执行。