信息安全總體方針

1、信息安全總體方針文檔信息單位名稱文檔名稱信息安全總體方針文檔編號受控狀態(tài)受控文件擴散范圍內部使用制作人審核人批準人頁數共3頁發(fā)布日期生效日期版本歷史版本日期說明修訂人1.0創(chuàng)建文件精品文檔信息安全 總體方針第一章 總則第一條 為加強和規(guī)范我單位信息系統安全工作， 提高信息系統整體安全防護水平， 實現 信息安全的可控、能控，依據國家有關法律、法規(guī)的要求，制定本方針。第二條 本方針的目的是為本部門信息系統安全管理提供一個總體性架構文件， 該文件將 指導本部門信息系統的安全管理體系建設。安全管理體系以實現統一的安全策略管理、提高 整體的網絡與信息安全水平、確保安全控制措施落實到位、保障網絡通信暢通和

2、業(yè)務系統的 正常運營為建設目的。第三條 本方針適用于我單位信息系統資產和信息技術人員的安全管理， 適用于指導我單 位信息系統安全策略的制定、安全方案的規(guī)劃和安全建設的實施，適用于我單位安全管理體 系中安全管理措施的選擇。第四條 引用標準及參考文件 本方針的編制參照了以下國家、行業(yè)的標準和文件： （ 一 ） 中華人民共和國計算機信息系統安全保護條例 （ 二 ） 通信網絡安全防護管理辦法（工信部 第 11 號） （ 三 ） 關于信息安全等級保護建設的實施指導意見（信息運安 2009 27 號） （ 四） 信息安全技術 信息系統安全等級保護基本要求（ GB/T 22239-2008 ） （ 五 ）

3、信息安全技術 信息系統安全管理要求（ GB/T 20269 2006） （ 六 ） 信息系統等級保護 安全建設技術方案設計要求（報批稿） （ 七） 互聯網安全保護技術措施規(guī)定 （ 公安部令第 82 號 ）（ 八 ） 計算機信息網絡國際聯網安全保護管理辦法（公安部令第 33 號）第二章 方針、目標和原則第五條 信息系統安全建設堅持“安全第一、預防為主，管理和技術并重，綜合防范”的 總體方針，依照總體安全防護策略，執(zhí)行信息系統安全等級保護制度。信息網絡繼續(xù)堅持內、 外網之間實施物理隔離的辦法。第六條 信息系統安全建設的總體目標是確保信息系統持續(xù)、 穩(wěn)定、可靠運行和確保信息 內容的機密性、完整性、可

4、用性，防止因信息系統本身故障導致信息系統不能正常使用和系 統崩潰，抵御黑客、病毒、惡意代碼等對信息系統發(fā)起的各類攻擊和破壞，防止信息內容及 數據丟失和失密，防止有害信息在網上傳播，防止對外服務的計算機網絡中斷和由此造成的 運行事故。第七條 信息安全工作的總體原則（ 一 ） 基于安全需求原則 管理機構應根據其信息系統擔負的業(yè)務功能、積累的信息資產的重要性、可能受到的威 脅及面臨的風險分析安全需求，按照信息系統等級保護要求確定相應的信息系統安全保護等 級，遵從相應等級的規(guī)范要求，從全局上平衡安全投入與效果；（ 二 ） 主要領導負責原則 主要領導應確立統一的信息安全保障宗旨和政策，負責指導提高全員安

5、全意識的教育方 法、培養(yǎng)優(yōu)秀的安全技術隊伍、調動并優(yōu)化資源的配置、協調安全管理工作與各部門工作的 關系，并確保其有效落實；（ 三 ） 全員參與原則 信息系統涉及的所有相關人員應積極參與信息系統的安全管理，并與相關方面協調，共 同保障信息系統的安全；（ 四 ） 系統方法原則 按照系統工程的要求，識別和理解信息安全保障相互關聯的層面和過程，采用管理和技 術相結合的方法，保證安全保障工作的高效有序進行；（ 五 ） 持續(xù)改進原則 安全管理是一種動態(tài)反饋過程，貫穿整個安全管理的生存周期，隨著安全需求和系統脆 弱性的時空分布變化，威脅程度的提高，系統環(huán)境的變化以及對系統安全認識的深化等，應 及時地將現有的

6、安全策略、風險接受程度和保護措施進行復查、修改、調整以至提升安全管 理等級，維護和持續(xù)改進信息安全管理體系的有效性；（ 六 ） 依法管理原則 信息安全管理工作主要體現為管理行為，應保證信息系統安全管理主體合法、管理行為 合法、管理內容合法、管理程序合法。對安全事件的處理，應由授權者適時發(fā)布準確一致的 有關信息，避免帶來不良的社會影響；（ 七 ） 分權和授權原則對特定職能或責任領域的管理功能實施分離、 獨立審計等實行分權， 避免權力過分集中， 帶來隱患，以減少未授權的修改或濫用系統資源的機會。任何實體（如用戶、管理員、進程、 應用或系統）僅享有該實體需要完成其任務所必須的最小權限，不應享有任何多

7、余權限；（ 八 ） 選用成熟技術原則成熟的技術具有較好的可靠性和穩(wěn)定性，采用新技術時要重視其成熟度，并應首先局部 試點然后逐步推廣，以減少或避免可能出現的失誤；（ 九 ） 分等級保護原則按等級劃分標準確定信息系統的安全保護等級，實行分等級保護；對多個子系統構成的 大型信息系統，確定系統的基本安全保護等級，并根據實際安全需求，分別確定各子系統的 安全保護等級，實行多級安全保護；（ 十 ） 管理與技術并重原則堅持積極防御和綜合防范相結合，全面提高信息系統安全防護能力，立足國情，采用管 理科學性和技術前瞻性結合的方法，保障信息系統的安全性達到所要求的目標；（ 十一 ） 自主保護和國家監(jiān)管結合原則對信

8、息系統安全實行自主保護和國家保護相結合。組織機構要對自己的信息系統安全保 護負責，相關部門有責任對信息系統的安全進行指導、監(jiān)督和檢查，形成自管、自查、自評 和國家監(jiān)管相結合的管理模式，提高信息系統的安全保護能力和水平，保障國家信息安全。第八條 在規(guī)劃和建設信息系統時，信息系統安全防護措施應按照“三同步”原則，與信 息系統建設同步規(guī)劃、同步建設、同步投入運行。第三章 信息安全框架第九條根據GB/T22239-2008信息安全等級保護基本要求，信息安全框架分為安全技術框架和安全管理框架。建立安全管理框架，包括安全管理機構、安全管理規(guī)定和制度， 制定安全策略；建立安全運行中心，對全網進行全面管理、分析和故障支持響應；進行全網 安全評估，建立內部評估規(guī)范，形成安全評估體系；有針對性地制定業(yè)務連續(xù)性計劃策略， 建設數據備份中心和災難恢復中心；建立覆蓋全網的安全技術體系，包括