信息安全方針及安全策略制度

信息安全方針及安全策略制度目錄TOC\o"1-5"\h\z.適用范圍1\o"CurrentDocument".信息安全總體方針1\o"CurrentDocument".信息安全總體目標(biāo)1\o"CurrentDocument".信息安全工作原則2\o"CurrentDocument".信息安全體系框架2\o"CurrentDocument". 主要安全策略2作為網(wǎng)絡(luò)系統(tǒng)信息安全管理的綱領(lǐng)性文件，本文件用于指導(dǎo)建立并實(shí)施信息安全管理體系的行動(dòng)準(zhǔn)則，適用于網(wǎng)絡(luò)系統(tǒng)的相關(guān)各項(xiàng)日常安全管理。2.信息安全總體方針“積極參與明確責(zé)任預(yù)防為主快速響應(yīng)風(fēng)險(xiǎn)管控持續(xù)改進(jìn)”是的信息安全總體方針。具體闡述如下：（1）在技術(shù)部的領(lǐng)導(dǎo)下，全面貫徹國家關(guān)于信息安全工作的相關(guān)指導(dǎo)性文件精神，在內(nèi)部建立可持續(xù)改進(jìn)的信息安全管理體系。（2）全員參與信息安全管理體系建設(shè)，落實(shí)信息安全管理責(zé)任制，建立和完善各項(xiàng)信息安全管理制度，使得信息安全管理有章可循。（3）通過定期的信息安全宣傳、教育與培訓(xùn)，不斷提高所有人員的信息安全意識(shí)及能力。（4）推行預(yù)防為主的信息安全積極防御理念，同時(shí)對所發(fā)生的信息安全事件進(jìn)行快速、有序地響應(yīng)。（5）貫徹風(fēng)險(xiǎn)管理的理念，定期對系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評估和控制，將信息安全風(fēng)險(xiǎn)控制在可接受的水平。（6）持續(xù)改進(jìn)信息安全各項(xiàng)工作，保障網(wǎng)絡(luò)系統(tǒng)安全暢通與可控，保障所開發(fā)和維護(hù)信息系統(tǒng)的安全穩(wěn)定，為社會(huì)公眾提供安全可靠的招投標(biāo)比選服務(wù)。3.信息安全總體目標(biāo)（1）按照等級(jí)保護(hù)三級(jí)要求，對生產(chǎn)網(wǎng)系統(tǒng)進(jìn)行建設(shè)和運(yùn)維。（2）建立信息化資產(chǎn)目錄（包括軟件、硬件、數(shù)據(jù)信息等）。（3）建立健全并持續(xù)改進(jìn)安全管理體系。（4）編制完成網(wǎng)絡(luò)和信息安全事件總體應(yīng)急預(yù)案，并組織應(yīng)急演練。（5）每年至少開展一次由第三方機(jī)構(gòu)主導(dǎo)的信息安全風(fēng)險(xiǎn)評估，同時(shí)單位內(nèi)部定期進(jìn)行自評估，保障信息系統(tǒng)的安全。（6）每年至少組織一次全范圍的信息安全管理制度宣傳貫徹。4.信息安全工作原則結(jié)合實(shí)際情況，信息安全工作的開展過程中，基本工作原則為：（1）以自身為主，堅(jiān)持技術(shù)與管理并重。（2）正確處理安全與發(fā)展的關(guān)系，以安全保發(fā)展，在發(fā)展中求安全。（3）統(tǒng)籌規(guī)劃，突出重點(diǎn)，強(qiáng)化基礎(chǔ)工作。（4）明確各角色的責(zé)任和義務(wù)，充分發(fā)揮各方面的積極性，共同構(gòu)筑信息安全保障體系。5.信息安全體系框架應(yīng)用安全（應(yīng)用軟件安全、支撐軟件安全、工具軟件安全等）安全管理應(yīng)用管理系統(tǒng)管理網(wǎng)絡(luò)管理物理管理系統(tǒng)安全（操作系統(tǒng)安全、數(shù)據(jù)庫管理系統(tǒng)安全）網(wǎng)絡(luò)安全（網(wǎng)絡(luò)軟件安全、網(wǎng)絡(luò)協(xié)議安全和網(wǎng)絡(luò)數(shù)據(jù)傳輸安全）物理安全（計(jì)算機(jī)硬件安全、網(wǎng)絡(luò)硬件安全及其環(huán)境安全）6.主要安全策略（1）按照國家等級(jí)保護(hù)有關(guān)要求，系統(tǒng)信息安全等級(jí)確定為三級(jí)，按照國家等級(jí)保護(hù)三級(jí)有關(guān)要求進(jìn)行實(shí)施、保護(hù)。(2)建立信息安全管理組織機(jī)構(gòu)，明確安全管理員、網(wǎng)絡(luò)管理員、應(yīng)用系統(tǒng)管理員、審計(jì)管理員、資產(chǎn)管理員等各類安全管理相關(guān)崗位及職責(zé)，建立健全信息安全管理責(zé)任制，使得信息安全各項(xiàng)職責(zé)落實(shí)到人。(3)對信息安全管理體系進(jìn)行定期得內(nèi)審和管理評審，對各項(xiàng)安全控制措施實(shí)施后的有效性進(jìn)行測量，并實(shí)施相應(yīng)的糾正和預(yù)防措施，以保證信息安全管理體系持續(xù)的充分性、適宜性、有效性。(4)對系統(tǒng)中所存在的安全風(fēng)險(xiǎn)應(yīng)進(jìn)行有計(jì)劃的評估和管理。定期對信息系統(tǒng)實(shí)施信息安全風(fēng)險(xiǎn)評估，根據(jù)評估結(jié)果選擇適當(dāng)?shù)陌踩呗院涂刂拼胧?，將安全風(fēng)險(xiǎn)控制在可接受的水平。風(fēng)險(xiǎn)評估至少每年一次，在信息系統(tǒng)發(fā)生重大改變后，也應(yīng)進(jìn)行風(fēng)險(xiǎn)評估。(5)規(guī)范系統(tǒng)信息資產(chǎn)(包括硬件、軟件、服務(wù)等)管理流程，建立信息資產(chǎn)管理臺(tái)帳，明確資產(chǎn)所有者、使用者與維護(hù)者，對所有信息資產(chǎn)進(jìn)行標(biāo)記,實(shí)現(xiàn)對信息資產(chǎn)購買、使用、變更、報(bào)廢整個(gè)周期的安全管理。(6)加強(qiáng)人員管理，對內(nèi)部人員及各類外來人員進(jìn)行安全管理，明確崗位安全職責(zé)，制定針對違規(guī)的懲戒措施，落實(shí)人員聘用、在崗和離崗時(shí)的安全控制，與敏感崗位人員簽署保密協(xié)議。(7)通過正式的信息安全培訓(xùn)，以及網(wǎng)站、簡報(bào)、會(huì)議、講座等各種形式的信息安全教育活動(dòng)，不斷加強(qiáng)內(nèi)部人員的信息安全意識(shí)，提高信息安全技能。(8)保障關(guān)鍵區(qū)域的物理與環(huán)境安全，嚴(yán)格實(shí)施關(guān)鍵區(qū)域人員及設(shè)備的出入管理。由指派相關(guān)人員對托管于電信機(jī)房的生產(chǎn)網(wǎng)系統(tǒng)進(jìn)行定期巡檢。(9)加強(qiáng)對信息系統(tǒng)外包業(yè)務(wù)與外包方的管理，在與信息系統(tǒng)外包方簽署的服務(wù)協(xié)議中，對信息系統(tǒng)安全加以要求。通過審批、訪問控制、監(jiān)控、簽署保密協(xié)議等措施，加強(qiáng)外部方對比選網(wǎng)絡(luò)平臺(tái)的訪問管理，防止外部方危害信息系統(tǒng)安全。(10)對的各重要信息系統(tǒng)(包括基礎(chǔ)設(shè)施、網(wǎng)絡(luò)和服務(wù)器設(shè)備、系統(tǒng)、應(yīng)用等)應(yīng)有文檔化的操作和維護(hù)規(guī)程，使得各相關(guān)人員能夠采用規(guī)范化的形式對系統(tǒng)進(jìn)行操作，降低和避免因誤操作所引發(fā)信息安全事件的可能性。(11)在范圍內(nèi)統(tǒng)一部署網(wǎng)絡(luò)防惡意代碼軟件，并進(jìn)行惡意代碼庫的統(tǒng)一更新，防范惡意代碼、木馬等惡意代碼對信息系統(tǒng)的影響。強(qiáng)化惡意代碼防范的管理措施，如加強(qiáng)介質(zhì)管理，嚴(yán)禁擅自安裝軟件，加強(qiáng)人員安全意識(shí)教育，定期進(jìn)行惡意代碼檢測等，提高信息系統(tǒng)對惡意代碼的防范能力。(12)對重要的信息和信息系統(tǒng)進(jìn)行備份，并對備份介質(zhì)進(jìn)行安全地保存。定期對備份數(shù)據(jù)進(jìn)行備份測試驗(yàn)證，保證各種備份信息的保密性、完整性和可用性，確保所有重要信息系統(tǒng)和重要數(shù)據(jù)在故障、災(zāi)難后及其它特定要求下進(jìn)行可靠的恢復(fù)。(13)采用技術(shù)和管理兩方面的控制措施，加強(qiáng)對信息系統(tǒng)安全控制，實(shí)施網(wǎng)絡(luò)訪問控制等技術(shù)防范措施，不斷提高網(wǎng)絡(luò)的安全性和穩(wěn)定性。對外部用戶，通過相關(guān)安全設(shè)備、安全策略進(jìn)行安全控制，防止外部攻擊；對內(nèi)部用戶，加強(qiáng)使用安全管理，加強(qiáng)對內(nèi)部人員的安全培訓(xùn)和教育，確保信息系統(tǒng)的安全。(14)加強(qiáng)信息安全日常管理，包括系統(tǒng)口令管理、無人值守設(shè)備管理、屏幕保護(hù)、便攜機(jī)管理等，促使每位員工的日常工作符合信息安全策略和制度要求。(15)通過功能和技術(shù)配置，對重要信息系統(tǒng)、數(shù)據(jù)等實(shí)施訪問控制。關(guān)鍵管理人員必須配備數(shù)字證書，同時(shí)制定安全的授權(quán)管理制度，并落實(shí)授權(quán)責(zé)任人。對系統(tǒng)特殊權(quán)限和系統(tǒng)實(shí)用工具的使用進(jìn)行嚴(yán)格的審批和監(jiān)管。(16)重視軟件開發(fā)安全。在系統(tǒng)立項(xiàng)和審批過程中，同步考慮信息安全需求和目標(biāo)。對系統(tǒng)設(shè)計(jì)、開發(fā)過程的安全應(yīng)加以保證，重點(diǎn)加強(qiáng)對軟件代碼安全性的管理。屬于外包軟件開發(fā)的，應(yīng)與服務(wù)提供商簽署保密協(xié)議。系統(tǒng)開發(fā)完成后，應(yīng)要求通過第三方安全機(jī)構(gòu)對軟件安全性的測評。(17)在符合國家密碼管理相關(guān)規(guī)定的條件下，合理使用密碼技術(shù)和密碼設(shè)備，嚴(yán)格密鑰生成、分發(fā)、保存等方面的安全管理，保障密碼技術(shù)使用的安全性。(18)重視對IT服務(wù)連續(xù)性的管理，建立對各類信息安全事件的預(yù)防、預(yù)警、響應(yīng)、處置、恢復(fù)機(jī)制，編制應(yīng)急預(yù)案，并定期進(jìn)行測試