信息安全總體方針

1、xxx單位信息安全總體方針制定:審核:批準(zhǔn):xxx單位信息中心二0一五年三月第一章總則第一條為規(guī)范xxx單位信息系統(tǒng)的信息安全管理，促進(jìn)信息安全工作體系化、規(guī)范化，提高信息和網(wǎng)絡(luò)服務(wù)質(zhì)量，提高信息系統(tǒng)管理人員、使用人員的 整體安全素質(zhì)和水平，特制定本方針。本方針目標(biāo)是為xxx單位信息安全管理提 供清晰的策略方向，闡明信息安全建設(shè)和管理的重要原則，闡明信息安全建設(shè)和 管理所需的支持和承諾。第二條 本方針是指導(dǎo)xxx單位信息安全工作的基本依據(jù)，信息安全相關(guān) 人員依據(jù)本方針，并根據(jù)工作實(shí)際情況，制定并遵守相應(yīng)的安全標(biāo)準(zhǔn)、流程和安 全制度及其實(shí)施細(xì)則，做好信息安全管理工作。第三條信息安全是xxx單位信

2、息系統(tǒng)管理工作的重要內(nèi)容。xxx單位管理層非常重視，大力支持信息安全工作，并給予所需的人力物力資源。第四條本方針的適用人員包括所有與 xxx單位信息系統(tǒng)各方面相關(guān)聯(lián)的人員，它適用于全部員工，集成商，軟件開(kāi)發(fā)商，產(chǎn)品提供商，顧問(wèn)，臨時(shí)工 和使用xxx單位信息系統(tǒng)的其他第三方。第五條本方針適用范圍包括xxx單位信息系統(tǒng)擁有的、控制和管理的所有計(jì)算機(jī)系統(tǒng)、數(shù)據(jù)和網(wǎng)絡(luò)環(huán)境。第六條本方針主要依據(jù)國(guó)際標(biāo)準(zhǔn) ISO17799，并遵照我國(guó)信息安全有關(guān)法律法規(guī)和相關(guān)標(biāo)準(zhǔn)。第二章信息安全管理的主要原則第七條 管理與技術(shù)并重原則：信息安全不是單純的技術(shù)問(wèn)題，在采用安 全技術(shù)和產(chǎn)品的同時(shí)，應(yīng)重視管理，不斷完善信息安全

3、管理制度與管理規(guī)程， 全 面提高信息安全管理水平。第八條全過(guò)程原則：信息安全是一個(gè)系統(tǒng)工程，應(yīng)將它落實(shí)在系統(tǒng)的計(jì)劃組織、開(kāi)發(fā)采購(gòu)、實(shí)施交付、運(yùn)行維護(hù)、廢棄五個(gè)階段的全生命周期管理過(guò)程 中，信息安全建設(shè)管理應(yīng)遵循與信息系統(tǒng)同步規(guī)劃、同步建設(shè)、同步運(yùn)行的原則。第九條風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)控制原則：應(yīng)進(jìn)行信息安全風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)控制，將信息安全風(fēng)險(xiǎn)減低、控制在可以接受的程度內(nèi)，并將其帶來(lái)的危害最小化。第十條 分級(jí)保護(hù)原則：應(yīng)根據(jù)信息資產(chǎn)的重要程度以及面臨的風(fēng)險(xiǎn)大小 等因素確定各類(lèi)信息資產(chǎn)的安全保護(hù)級(jí)別。第十一條 統(tǒng)一規(guī)劃、分級(jí)管理原則：信息安全管理遵循統(tǒng)一規(guī)劃、 分級(jí)管 理的原則。上級(jí)主管部門(mén)信息安全領(lǐng)導(dǎo)小組

4、負(fù)責(zé)對(duì) xxx單位信息安全管理工作進(jìn) 行統(tǒng)一規(guī)劃，各級(jí)單位(部門(mén))在上級(jí)主管部門(mén)信息安全領(lǐng)導(dǎo)小組的領(lǐng)導(dǎo)與監(jiān)督 下，負(fù)責(zé)本單位(部門(mén))的信息安全管理工作。第十二條 平衡原則：在xxx單位信息安全管理過(guò)程中，應(yīng)在安全性與投入 成本、安全性和操作便利性之間找到最佳的平衡點(diǎn)。第十三條 動(dòng)態(tài)管理原則：在xxx單位信息安全管理過(guò)程中，應(yīng)遵循動(dòng)態(tài)管 理原則，針對(duì)信息系統(tǒng)環(huán)境的變動(dòng)情況及時(shí)調(diào)整管理辦法。第三章信息安全管理組織與職責(zé)第十四條 建立和健全信息安全管理組織，設(shè)立由高層領(lǐng)導(dǎo)組成的信息安全 領(lǐng)導(dǎo)小組，對(duì)于信息安全方面的重大問(wèn)題做出決策， 支持并推動(dòng)信息安全管理工 作在整個(gè)xxx單位范圍內(nèi)的實(shí)施。第十五條

5、xxx單位信息系統(tǒng)應(yīng)該設(shè)置相應(yīng)的信息安全管理機(jī)構(gòu)，在信息安 全領(lǐng)導(dǎo)小組的領(lǐng)導(dǎo)下，負(fù)責(zé)xxx單位的信息安全管理工作。第十六條xxx單位信息安全管理機(jī)構(gòu)職責(zé)如下：1) 根據(jù)本方針制定信息系統(tǒng)的信息安全管理制度、管理標(biāo)準(zhǔn)規(guī)范和執(zhí) 行程序；2) 組織和監(jiān)督信息安全工作的貫徹和實(shí)施；3) 考核和檢查信息系統(tǒng)的安全管理情況，定期進(jìn)行安全風(fēng)險(xiǎn)評(píng)估，并 對(duì)出現(xiàn)的安全問(wèn)題提出解決方案；4) 負(fù)責(zé)安全管理員的選用和監(jiān)督；5) 參與信息系統(tǒng)新工程建設(shè)和新業(yè)務(wù)開(kāi)展的方案論證，并提出相應(yīng)的安全方面的建議;6) 在信息系統(tǒng)工程驗(yàn)收時(shí)，對(duì)信息安全方面的驗(yàn)收測(cè)試方案進(jìn)行審查 并參與驗(yàn)收。第四章信息系統(tǒng)安全運(yùn)行管理第十七條信息

6、資產(chǎn)鑒別和分類(lèi)是整個(gè)xxx單位信息安全管理工作的基礎(chǔ)。第十八條 制定信息資產(chǎn)鑒別和分類(lèi)制度，鑒別信息資產(chǎn)的價(jià)值和等級(jí)，建 立并維護(hù)信息資產(chǎn)清單。第十九條建立機(jī)密信息分類(lèi)方法和制度，根據(jù)機(jī)密程度和重要程度對(duì)數(shù)據(jù) 和信息進(jìn)行分類(lèi)管理。第二十條安全運(yùn)行管理是整個(gè)信息安全管理工作的日常體現(xiàn)和執(zhí)行環(huán)節(jié)。 應(yīng)該在本方針的指導(dǎo)下，建立并執(zhí)行信息安全管理制度與信息安全操作規(guī)程。第二十一條 定期開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作，通過(guò)對(duì)整個(gè)信息系統(tǒng)進(jìn)行 信息安全風(fēng)險(xiǎn)評(píng)估，確定信息系統(tǒng)所存在的安全隱患和安全風(fēng)險(xiǎn)， 了解信息系統(tǒng) 安全現(xiàn)狀與信息系統(tǒng)安全需求之間的差異。第二十二條 進(jìn)行物理安全和環(huán)境安全的管理，建立機(jī)房管理制度

7、。第二十三條 對(duì)于xxx單位信息系統(tǒng)中重要業(yè)務(wù)系統(tǒng)、服務(wù)器和網(wǎng)絡(luò)、安 全設(shè)備，制定安全配置標(biāo)準(zhǔn)及規(guī)定，規(guī)范安全配置管理工作，建立系統(tǒng)變更管理 制度，并進(jìn)行定期的審計(jì)和檢查。第二十四條 對(duì)于外包開(kāi)發(fā)的業(yè)務(wù)系統(tǒng)軟件，應(yīng)制定業(yè)務(wù)軟件安全標(biāo)準(zhǔn)來(lái) 進(jìn)行規(guī)范，要求有完善的鑒別和認(rèn)證、訪問(wèn)控制、日志審計(jì)功能和數(shù)據(jù)驗(yàn)證功能， 杜絕木馬和后門(mén)。建立源代碼控制和軟件版本控制機(jī)制。第二十五條 建立第三方安全管理的制度和規(guī)范，嚴(yán)格控制第三方對(duì) xxx 單位信息系統(tǒng)的訪問(wèn)，并在合同中規(guī)定其安全責(zé)任和安全控制要求， 以維護(hù)第三 方訪問(wèn)的安全性。第二十六條 應(yīng)該實(shí)施業(yè)務(wù)連續(xù)性管理程序，預(yù)防和恢復(fù)控制相結(jié)合，將災(zāi)難和安全故障

8、（可能是由于自然災(zāi)害、事故、設(shè)備故障和蓄意破壞等引起）造 成的影響降低到可以接受的水平，以防止業(yè)務(wù)活動(dòng)中斷，保證重要業(yè)務(wù)流程不受 重大故障和災(zāi)難的影響。第二十七條 應(yīng)該分析災(zāi)難、安全故障和服務(wù)損失的后果。制定并實(shí)施應(yīng) 急管理計(jì)劃，確保能夠在要求的時(shí)間內(nèi)恢復(fù)業(yè)務(wù)流程。第二十八條 對(duì)于意外、災(zāi)難和入侵的處理，建立包含事件鑒別、事件恢 復(fù)、犯罪取證、攻擊者追蹤的安全事件緊急響應(yīng)機(jī)制，制定并遵照正確的安全事 件處理流程，盡量減小安全事件造成的損失，監(jiān)督此類(lèi)事件并從中總結(jié)經(jīng)驗(yàn)。第二十九條 制定并實(shí)施安全培訓(xùn)和教育計(jì)劃，進(jìn)行信息安全意識(shí)及信息 安全技能的培訓(xùn)。第五章信息安全技術(shù)體系建設(shè)第三十條xxx單位信息系統(tǒng)應(yīng)加強(qiáng)信息安全技術(shù)體系建設(shè)，包含鑒別認(rèn) 證，訪問(wèn)控制，審計(jì)和跟蹤，響應(yīng)和恢復(fù)，內(nèi)容安全等五個(gè)方面的安全技術(shù)要素。第三H一條 建立鑒別和認(rèn)證的標(biāo)準(zhǔn)和機(jī)制， 建立用戶(hù)和口令管理的制度 和標(biāo)準(zhǔn)。第三十二條 建立完善的信息系統(tǒng)的訪問(wèn)控制標(biāo)準(zhǔn)和機(jī)制，加強(qiáng)權(quán)限管 理，進(jìn)行網(wǎng)段隔離，嚴(yán)格控制互聯(lián)網(wǎng)出入口，嚴(yán)格管理遠(yuǎn)程訪問(wèn)和遠(yuǎn)程維護(hù)。第三十三條 建立有效的審計(jì)和跟蹤機(jī)制，建立日志存儲(chǔ)、管理和分析機(jī) 制，提高對(duì)安全事件的審計(jì)和事后追查能力。第三十四條 建立有效的機(jī)制和技術(shù)手段來(lái)發(fā)現(xiàn)、監(jiān)控、分析和處理信息