1-信息安全工作總體方針和安全策略

1、精品文檔信息安全工作總體方針和安全策略.精品文檔第一章總則第二章第一條 為加強(qiáng)和規(guī)范技術(shù)部及各部門信息系統(tǒng)安全工作， 提高技術(shù)部信息系統(tǒng)整體安全防護(hù)水平，實(shí)現(xiàn)信息安全的可控、能控、在控，依據(jù)國(guó)家有關(guān)法律、法規(guī)的要求，制定本文檔。第二條 本文檔的目的是為技術(shù)部信息系統(tǒng)安全管理提供一個(gè)總體的策略性架構(gòu)文件。 該文件將指導(dǎo)技術(shù)部信息系統(tǒng)的安全管理體系的建立。安全管理體系的建立是為技術(shù)部信息系統(tǒng)的安全管理工作提供參照，以實(shí)現(xiàn)技術(shù)部統(tǒng)一的安全策略管理， 提高整體的網(wǎng)絡(luò)與信息安全水平，確保安全控制措施落實(shí)到位， 保障網(wǎng)絡(luò)通信暢通和業(yè)務(wù)系統(tǒng)的正常運(yùn)營(yíng)。第三章適用范圍第四章第三條本文檔適用于技術(shù)部信息系統(tǒng)資產(chǎn)

2、和信息技術(shù)人員的安全管理和指導(dǎo)， 適用于指導(dǎo)公司信息系統(tǒng)安全策略的制定、 安全方案的規(guī)劃和安全建設(shè)的實(shí)施， 適用于公司安全管理體系中安全管理措施的選擇。第五章引用標(biāo)準(zhǔn)及參考文件第六章第四條第五條例.精品文檔第六條信息運(yùn)安 200927第七條信息系統(tǒng)安全等級(jí)保護(hù)基本要GB/T 22239-2008信息系統(tǒng)安全GB/T 202692006稿20091429第七章總體方針第八條企業(yè)信息服務(wù)平臺(tái)系統(tǒng)安全堅(jiān)持 “安全第一、預(yù)防為主，管理和技術(shù)并重，綜合防范”的總體方針，實(shí)現(xiàn)信息系統(tǒng)安全可控、能控、在控。依照“分區(qū)、分級(jí)、分域”總體安全防護(hù)策略，執(zhí)行信息系統(tǒng)安全等級(jí)保護(hù)制度。第八章總體目標(biāo)第九章第九條信息

3、系統(tǒng)安全總體目標(biāo)是確保企業(yè)信息服務(wù)平臺(tái)系統(tǒng)持續(xù)、穩(wěn)定、可靠運(yùn)行和確保信息內(nèi)容的機(jī)密性、完整性、可用性，防止因信息系統(tǒng)本身故障導(dǎo)致信息系統(tǒng)不能正常使用和系統(tǒng)崩潰，抵御黑客、病毒、 惡意代碼等對(duì)信息系統(tǒng)發(fā)起的各類攻擊和破壞，防止信息內(nèi)容及數(shù)據(jù)丟失和失密，防止有害信息在網(wǎng)上傳播， 防止中心對(duì).精品文檔外服務(wù)中斷和由此造成的系統(tǒng)運(yùn)行事故。第十章信息安全工作的總體原則第十一章第十條基于安全需求原則組織機(jī)構(gòu)應(yīng)根據(jù)其信息系統(tǒng)擔(dān)負(fù)的使命， 積累的信息資產(chǎn)的重要性，可能受到的威脅及面臨的風(fēng)險(xiǎn)分析安全需求， 按照信息系統(tǒng)等級(jí)保護(hù)要求確定相應(yīng)的信息系統(tǒng)安全保護(hù)等級(jí)， 遵從相應(yīng)等級(jí)的規(guī)范要求，從全局上恰當(dāng)?shù)仄胶獍踩?/p>

4、入與效果；第十一條主要領(lǐng)導(dǎo)負(fù)責(zé)原則主要領(lǐng)導(dǎo)應(yīng)確立其組織統(tǒng)一的信息安全保障的宗旨和政策， 負(fù)責(zé)提高員工的安全意識(shí)， 組織有效安全保障隊(duì)伍， 調(diào)動(dòng)并優(yōu)化配置必要的資源，協(xié)調(diào)安全管理工作與各部門工作的關(guān)系，并確保其落實(shí)、有效；第十二條全員參與原則第十三條信息系統(tǒng)所有相關(guān)人員應(yīng)普遍參與信息系統(tǒng)的安全管理，并與相關(guān)方面協(xié)同、協(xié)調(diào)，共同保障信息系統(tǒng)安全；第十四條系統(tǒng)方法原則第十五條按照系統(tǒng)工程的要求，識(shí)別和理解信息安全保障相互關(guān)聯(lián)的層面和過程， 采用管理和技術(shù)結(jié)合的方法，提高實(shí)現(xiàn)安全保障的目標(biāo)的有效性和效率；第十六條持續(xù)改進(jìn)原則安全管理是一種動(dòng)態(tài)反饋過程，貫穿整個(gè)安全管理的生存周期，.精品文檔隨著安全需求

5、和系統(tǒng)脆弱性的時(shí)空分布變化， 威脅程度的提高， 系統(tǒng)環(huán)境的變化以及對(duì)系統(tǒng)安全認(rèn)識(shí)的深化等， 應(yīng)及時(shí)地將現(xiàn)有的安全策略、風(fēng)險(xiǎn)接受程度和保護(hù)措施進(jìn)行復(fù)查、修改、調(diào)整以至提升安全管理等級(jí)，維護(hù)和持續(xù)改進(jìn)信息安全管理體系的有效性；第十七條依法管理原則信息安全管理工作主要體現(xiàn)為管理行為， 應(yīng)保證信息系統(tǒng)安全管理主體合法、管理行為合法、管理內(nèi)容合法、管理程序合法。對(duì)安全事件的處理，應(yīng)由授權(quán)者適時(shí)發(fā)布準(zhǔn)確一致的有關(guān)信息， 避免帶來(lái)不良的社會(huì)影響；第十八條分權(quán)和授權(quán)原則第十九條 對(duì)特定職能或責(zé)任領(lǐng)域的管理功能實(shí)施分離、獨(dú)立審計(jì)等實(shí)行分權(quán)， 避免權(quán)力過分集中所帶來(lái)的隱患， 以減小對(duì)授權(quán)的修改或?yàn)E用系統(tǒng)資源的機(jī)會(huì)

6、。任何實(shí)體（如用戶、管理員、進(jìn)程、應(yīng)用或系統(tǒng)）僅享有該實(shí)體需要完成其任務(wù)所必須的權(quán)限， 不應(yīng)享有任何多余權(quán)限；第二十條選用成熟技術(shù)原則第二十一條成熟的技術(shù)具有較好的可靠性和穩(wěn)定性，采用新技術(shù)時(shí)要重視其成熟的程度， 并應(yīng)首先局部試點(diǎn)然后逐步推廣，以減少或避免可能出現(xiàn)的失誤；第二十二條分級(jí)保護(hù)原則按等級(jí)劃分標(biāo)準(zhǔn)確定信息系統(tǒng)的安全保護(hù)等級(jí)，實(shí)行分級(jí)保護(hù)，對(duì)多個(gè)子系統(tǒng)構(gòu)成的大型信息系統(tǒng)，確定系統(tǒng)的基本安全保護(hù)等級(jí)，.精品文檔并根據(jù)實(shí)際安全需求確定系統(tǒng)的安全保護(hù)等級(jí)，實(shí)行安全保護(hù)；第二十三條 管理與技術(shù)并重原則第二十四條 堅(jiān)持積極防御和綜合防范，全面提高信息系統(tǒng)安全防護(hù)能力，立足國(guó)情，采用管理與技術(shù)相結(jié)

7、合，管理科學(xué)性和技術(shù)前瞻性結(jié)合的方法，保障信息系統(tǒng)的安全性達(dá)到所要求的目標(biāo)。第二十五條自保護(hù)和國(guó)家監(jiān)管結(jié)合原則對(duì)信息系統(tǒng)安全實(shí)行自保護(hù)和國(guó)家保護(hù)相結(jié)合。組織機(jī)構(gòu)要對(duì)自己的信息系統(tǒng)安全保護(hù)負(fù)責(zé)， 政府相關(guān)部門有責(zé)任對(duì)信息系統(tǒng)的安全進(jìn)行指導(dǎo)、監(jiān)督和檢查，形成自管、自查、自評(píng)和國(guó)家監(jiān)管相結(jié)合的管理模式，提高信息系統(tǒng)的安全保護(hù)能力和水平，保障國(guó)家信息安全。第二十六條 在規(guī)劃和建設(shè)信息系統(tǒng)時(shí)，信息系統(tǒng)安全防護(hù)措施應(yīng)按照“三同步”原則，與企業(yè)信息服務(wù)平臺(tái)建設(shè)同步規(guī)劃、同步建設(shè)、同步投入運(yùn)行。第十二章總體安全策略第一節(jié)策略框架第二十七條 建立一套關(guān)于物理、主機(jī)、網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)、建設(shè)和管理等六個(gè)方面的安全需

8、求、 控制措施及執(zhí)行程序， 并在關(guān)聯(lián)制度文檔中定義出相關(guān)的安全角色， 并對(duì)其賦予管理職責(zé)?！耙匀藶楸尽?，通過對(duì)信息安全工作人員的安全意識(shí)培訓(xùn)等方法不斷加強(qiáng)系統(tǒng)分布的合理性和有效性。第二節(jié)主機(jī)安全策略第二十八條登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶必須進(jìn)行身份標(biāo).精品文檔識(shí)和鑒別；第二十九條 操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管理用戶身份標(biāo)識(shí)不能出現(xiàn)同名用戶，口令應(yīng)有復(fù)雜度要求并定期更換；第三十條操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)必須啟用登錄失敗處理功能；第三十一條 對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，必須采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；第三十二條 為操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性，不能

9、出重名情況；第三十三條 操作系統(tǒng)和數(shù)據(jù)庫(kù)必須及時(shí)刪除多余的、過期的賬戶，避免共享賬戶的存在；第三十四條主機(jī)必須開啟日志審計(jì)功能；第三十五條主機(jī)必須安裝防惡意代碼產(chǎn)品，并進(jìn)行統(tǒng)一管理。第三節(jié)應(yīng)用安全策略第三十六條 應(yīng)用系統(tǒng)必須在登錄時(shí)要求輸入用戶名和口令；第三十七條 登錄應(yīng)用系統(tǒng)必須進(jìn)行兩種或兩種以上的復(fù)合身份驗(yàn)證（如用戶名口令 +Ukey或用戶名口令 +IP 與 MAC地址綁定方式）；第三十八條 應(yīng)用系統(tǒng)中設(shè)置的用戶都必須是唯一用戶，不能名稱相同；第三十九條應(yīng)用系統(tǒng)必須開啟登錄失敗處理功能；第四十條 應(yīng)用系統(tǒng)必須開啟登錄連接超時(shí)自動(dòng)退出等措施；第四十一條 應(yīng)用系統(tǒng)必須開啟身份鑒別、用戶身份標(biāo)識(shí)

10、唯一性.精品文檔檢查、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處理功能，并根據(jù)安全策略配置相關(guān)參數(shù)；第四十二條應(yīng)用系統(tǒng)必須開啟日志審計(jì)功能；第四十三條應(yīng)用系統(tǒng)存儲(chǔ)用戶信息的設(shè)備在銷毀、修理或轉(zhuǎn)做其他用途時(shí)，必須清楚內(nèi)部存儲(chǔ)的信息。第四節(jié)數(shù)據(jù)安全策略第五節(jié)第四十四條業(yè)務(wù)應(yīng)用數(shù)據(jù)和設(shè)備配置文檔都必須進(jìn)行備份，以便發(fā)生問題時(shí)進(jìn)行恢復(fù)；第四十五條數(shù)據(jù)備份至其他設(shè)備上時(shí)，必須使用專門的備份通道，保證數(shù)據(jù)傳輸?shù)耐暾?；第四十六條數(shù)據(jù)本機(jī)備份時(shí)應(yīng)檢測(cè)其完整性；第四十七條數(shù)據(jù)備份時(shí)必須使用專業(yè)的備份設(shè)備和工具，在數(shù)據(jù)傳輸和數(shù)據(jù)存儲(chǔ)時(shí)，都必須是加密傳輸和存儲(chǔ)；第四十八條數(shù)據(jù)進(jìn)行異地備份時(shí)，必須利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)

11、據(jù)定時(shí)批量傳送至備用場(chǎng)地。第六節(jié)建設(shè)和管理策略第四十九條信息安全管理機(jī)制成立信息安全管理主要機(jī)構(gòu)或部門，設(shè)立安全主管等主要安全角色，依據(jù)信息安全等級(jí)保護(hù)二級(jí)標(biāo)準(zhǔn)（要求），建立信息系統(tǒng)的整體管理辦法。第五十條信息安全管理組織.精品文檔分別建立安全管理崗位和機(jī)構(gòu)的職責(zé)文件， 對(duì)機(jī)構(gòu)和人員的職責(zé)進(jìn)行明確。建立信息發(fā)布、 審批等流程和制度類文件，增強(qiáng)制度的有效性。建立安全審核和檢查的相關(guān)制度及報(bào)告方式。第五十一條人員安全管理要求對(duì)人員的錄用、離崗、考核、培訓(xùn)、安全意識(shí)教育等方面應(yīng)通過制度和操作程序進(jìn)行明確。第五十二條信息安全等級(jí)保護(hù)工作及風(fēng)險(xiǎn)評(píng)估要求定期對(duì)已備案的信息系統(tǒng)進(jìn)行等級(jí)保護(hù)測(cè)評(píng)， 以保證信息系統(tǒng)運(yùn)行風(fēng)險(xiǎn)維持在較低水平，不斷增強(qiáng)系統(tǒng)的穩(wěn)定性和安全性。第五十三條報(bào)告安全事件要求對(duì)突發(fā)安全事件建立應(yīng)急預(yù)案管理制度和相關(guān)操作辦法， 并定期組織人員進(jìn)行演練， 以保證信息系統(tǒng)在面臨突