信息安全工作總體方針和安全策略_第1頁
信息安全工作總體方針和安全策略_第2頁
信息安全工作總體方針和安全策略_第3頁
信息安全工作總體方針和安全策略_第4頁
免費預覽已結束,剩余1頁可下載查看

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

1、1. 總體目標以滿足業(yè)務運行要求,遵守行業(yè)規(guī)程,實施等級保護及風險管理,確保信息安全以及實現(xiàn)持續(xù)改進的目的等內容作為本單位信息安全工作的總體方針。以信息網(wǎng)絡的硬件、軟 件及其系統(tǒng)中的數(shù)據(jù)受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系 統(tǒng)連續(xù)可靠正常地運行,信息服務不中斷為總體目標。2. 范圍本案適用于某單位信息安全整體工作。在全單位范圍內給予執(zhí)行,由某部門對該項工 作的落實和執(zhí)行進行監(jiān)督,由某部門配合某部門對本案的有效性進行持續(xù)改進。3. 原則以誰主管誰負責為原則(或者采用其他原則例如: “整體保護原則”、“適度保護的等級 化原則”、“分域保護原則”、“動態(tài)保護原則”、“多級保護

2、原則”、“深度保護原則”和“信 息流向原則”等)。4. 策略框架建立一套關于物理、主機、網(wǎng)絡、應用、數(shù)據(jù)、建設和管理等六個方面的安全需求、 控制措施及執(zhí)行程序, 并在關聯(lián)制度文檔中定義出相關的安全角色, 并對其賦予管理職責。 “以人為本”,通過對信息安全工作人員的安全意識培訓等方法不斷加強系統(tǒng)分布的合理性 和有效性。4.1 物理方面依據(jù)實際情況建立機房管理制度,明確機房的出入管理辦法,機房介質存放方式,機 房設備維護周期及維護方式, 機房設備信息保密要求, 機房溫濕度控制方式等等環(huán)境要求。通過明確機房責任人、建立機房管理相關辦法、對維護和出入等過程建立記錄等方式對機 房安全進行保護。4.2 網(wǎng)

3、絡方面從技術角度實現(xiàn)網(wǎng)絡的合理分布、網(wǎng)絡設備的實施監(jiān)控、網(wǎng)絡訪問策略的統(tǒng)一規(guī)劃、 網(wǎng)絡安全掃描以及對網(wǎng)絡配置文件等必要信息進行定期備份。從管理角度明確網(wǎng)絡各個區(qū) 域的安全責任人,建立網(wǎng)絡維護方面相關操作辦法并由某人或某部門監(jiān)督執(zhí)行看,確保各 信息系統(tǒng)網(wǎng)絡運行情況穩(wěn)定、可靠、正常的運行。4.3 主機方面要求各類主機操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)在滿足各類業(yè)務系統(tǒng)的正常運行條件下,建立系 統(tǒng)訪問控制辦法、劃分系統(tǒng)使用權限、安裝惡意代碼防范軟件并對惡意代碼的檢查過程進 行記錄。明確各類主機的責任人,對主機關鍵信息進行定期備份。4.4 應用方面從技術角度實現(xiàn)應用系統(tǒng)的操作可控、訪問可控、通信可控。從管理角度實現(xiàn)

4、各類控 制辦法的有效執(zhí)行,建立完善的維護操作規(guī)程以及明確定期備份內容。4.5 數(shù)據(jù)方面對本單位或本部門的各類業(yè)務數(shù)據(jù)、設備配置信息、總體規(guī)劃信息等等關鍵數(shù)據(jù)建立 維護辦法,并由某部門或某人監(jiān)督、執(zhí)行。通過匯報或存儲方式實現(xiàn)關鍵數(shù)據(jù)的安全傳輸、 存儲和使用4.6 建設和管理方面4.6.1 信息安全管理機制成立信息安全管理主要機構或部門, 設立安全主管等主要安全角色, 依據(jù)信息安全等級 保護三級標準(要求) ,建立信息系統(tǒng)的整體管理辦法。4.6.2 信息安全管理組織分別建立安全管理崗位和機構的職責文件, 對機構和人員的職責進行明確。 建立信息發(fā) 布、變更、審批等流程和制度類文件,增強制度的有效性。

5、建立安全審核和檢查的相關制 度及報告方式。4.6.3 人員安全管理要求對人員的錄用、離崗、考核、培訓、安全意識教育等方面應通過制度和操作程序進行明 確。4.6.4 信息安全等級保護工作及風險評估要求定期對已備案的信息系統(tǒng)進行等級保護測評,以保證信息系統(tǒng)運行風險維持在較低水 平,不斷增強系統(tǒng)的穩(wěn)定性和安全性。4.6.5 報告安全事件要求對突發(fā)安全事件建立應急預案管理制度和相關操作辦法, 并定期組織人員進行演練, 以 保證信息系統(tǒng)在面臨突發(fā)事件時能夠在較短時間內恢復正常的使用4.6.6 業(yè)務持續(xù)性要求根據(jù)對系統(tǒng)的等級測評、風險評估等間接問題挖掘,及時改進信息系統(tǒng)的各類弊端,包括業(yè)務弊端,應建立相關改進措施或改進辦法,以保證對信息系統(tǒng)的業(yè)務持續(xù)性要求。4.6.7 違反信息安全要求的懲罰建立懲處辦法,對違反信息安全總體方針、安全策略的、程序流程和管理措施的人員, 依照問題的嚴重性進行懲罰。5. 相關文件5.1 信息安全各部門安全需求及控制措施5.2 信息安全各部門安全工作執(zhí)行程序5.3 機房安全管理制度5.4 網(wǎng)絡安全管理制度5.5 系統(tǒng)安全管理制度5.6 設備操

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論