信息安全總體方針和安全策略指引

1、WORD格式XXX公司信息平安總體方針和平安策略指引第一章總那么第一條為了進(jìn)一步深入貫徹落實(shí)國家政策文件要求，加強(qiáng)公司信息安全經(jīng)管工作，切實(shí)提高公司信息系統(tǒng)平安保障能力，特制定本指引。第二條本指引適合于公司。第三條公司信息平安經(jīng)管遵循如下原那么：( 一) 主要領(lǐng)導(dǎo)負(fù)責(zé)原那么：公司主要領(lǐng)導(dǎo)負(fù)責(zé)信息平安經(jīng)管工作，統(tǒng)籌規(guī)劃信息平安經(jīng)管目標(biāo)和策略，建立信息平安保障隊(duì)伍并合理配置資源；( 二) 全員參與原那么：公司全員參與信息系統(tǒng)的平安經(jīng)管工作，將信息平安與本職工作相結(jié)合，相互協(xié)同工作，認(rèn)真落實(shí)信息平安經(jīng)管要求，共同保障信息系統(tǒng)平安；( 三) 合規(guī)性原那么：信息平安經(jīng)管制度遵循國際信息平安經(jīng)管標(biāo)準(zhǔn)，以國

2、家信息平安法律、法規(guī)、標(biāo)準(zhǔn)、標(biāo)準(zhǔn)為根本依據(jù)，全面符合相關(guān)主管部門和公司的各類要求。( 四) 監(jiān)視制約原那么：信息系統(tǒng)平安經(jīng)管組織構(gòu)造、組織職責(zé)、崗位職責(zé)、工作流程層面、執(zhí)行層面建立相互監(jiān)視制約機(jī)制，降低因缺乏約束而產(chǎn)生的平安風(fēng)險(xiǎn)。( 五) 標(biāo)準(zhǔn)化原那么：通過建立標(biāo)準(zhǔn)化的工作流程，在執(zhí)行層面對(duì)信息系統(tǒng)平安工作進(jìn)展合理控制，降低由于工作隨意性而產(chǎn)生的平安風(fēng)專業(yè)資料整理WORD格式1 / 6專業(yè)資料整理WORD格式險(xiǎn)，同時(shí)提升信息平安經(jīng)管制度的可操作性。( 六) 持續(xù)改良原那么：通過不斷的持續(xù)改良，每年組織公司經(jīng)管層對(duì)制度的全面性、適用性和有效性進(jìn)展論證和審定，并進(jìn)展版本修訂。第四條本指引適用于公司

3、全體人員。第二章信息平安保障框架及目標(biāo)第五條參照國內(nèi)外相關(guān)標(biāo)準(zhǔn)，并結(jié)合公司已有網(wǎng)絡(luò)與信息平安體系建設(shè)的實(shí)際情況，最終形成依托于平安保護(hù)對(duì)象為根底，縱向建立平安經(jīng)管體系、平安技術(shù)體系、平安運(yùn)行體系和平安經(jīng)管中心的“三個(gè)體系，一個(gè)中心，三重防護(hù)的平安保障體系框架。( 一) “三個(gè)體系：信息平安經(jīng)管體系、信息平安技術(shù)體系和信息安全運(yùn)行體系，把信息平安標(biāo)準(zhǔn)的控制點(diǎn)和公司實(shí)際情況相結(jié)合形成相適應(yīng)的體系構(gòu)造框架；( 二) “一個(gè)中心：信息平安經(jīng)管中心，實(shí)現(xiàn)“自動(dòng)、平臺(tái)化的安全工作經(jīng)管、統(tǒng)一技術(shù)經(jīng)管和平安運(yùn)維經(jīng)管；( 三) “三重防護(hù)：平安計(jì)算環(huán)境防護(hù)措施、平安區(qū)域邊界防護(hù)措施和平安網(wǎng)絡(luò)通信防護(hù)措施，把平安

4、技術(shù)控制措施與平安保護(hù)對(duì)象相結(jié)合。第六條公司平安保障框架：( 一) 平安經(jīng)管體系：信息平安經(jīng)管體系重點(diǎn)落實(shí)平安經(jīng)管制度、安全經(jīng)管機(jī)構(gòu)和人員平安經(jīng)管的相關(guān)控制要求，并結(jié)合公司的實(shí)際情況形成符合行業(yè)和國家信息平安標(biāo)準(zhǔn)的信息平安經(jīng)管體系框架。( 二) 平安技術(shù)體系：通過平安技術(shù)在物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用和數(shù)專業(yè)資料整理WORD格式2 / 6專業(yè)資料整理WORD格式據(jù)各個(gè)層面的實(shí)施，建立與公司實(shí)際情況相結(jié)合的平安技術(shù)體系。同時(shí)與“平安計(jì)算環(huán)境、平安區(qū)域邊界和平安網(wǎng)絡(luò)通信的保護(hù)對(duì)象相作用，形成依托于保護(hù)對(duì)象的平安技術(shù)體系控制措施。( 三) 平安運(yùn)行體系：信息平安運(yùn)行體系重點(diǎn)落實(shí)系統(tǒng)建立經(jīng)管和系統(tǒng)運(yùn)維經(jīng)管的

5、相關(guān)控制要求，并與公司實(shí)際情況相結(jié)合，形成符合行業(yè)和國家信息平安標(biāo)準(zhǔn)的信息平安運(yùn)行體系框架。( 四) 平安經(jīng)管中心：根據(jù)信息平安相關(guān)要求和平安設(shè)計(jì)技術(shù)要求的相關(guān)內(nèi)容，信息平安經(jīng)管中心通過“自動(dòng)、平臺(tái)化的方式，對(duì)信息平安經(jīng)管體系、信息平安技術(shù)體系以及信息平安運(yùn)行體系的相關(guān)控制內(nèi)容，結(jié)合公司的實(shí)際情況加以落實(shí)。第七條公司信息平安總體目標(biāo)是：依照業(yè)務(wù)信息系統(tǒng)的實(shí)際情況和現(xiàn)實(shí)問題為根底，參照國內(nèi)、國際的平安標(biāo)準(zhǔn)和標(biāo)準(zhǔn)，充分利用成熟的信息平安理論成果，設(shè)計(jì)出整體性好、可操作性強(qiáng)，并且融組織、經(jīng)管和技術(shù)為一體的設(shè)計(jì)方案，到達(dá)行業(yè)和國家信息平安標(biāo)準(zhǔn)的要求。第三章平安策略第八條建立信息平安領(lǐng)導(dǎo)小組，負(fù)責(zé)組織、

6、落實(shí)國家信息平安相關(guān)政策、法規(guī)和標(biāo)準(zhǔn)要求，審核并制定公司信息平安的開展戰(zhàn)略、規(guī)劃、政策和經(jīng)管制度，落實(shí)?公司信息平安組織及職責(zé)經(jīng)管方法?。第九條保持與國家信息平安主管機(jī)構(gòu)、監(jiān)管機(jī)構(gòu)、上級(jí)主管單位和支撐企業(yè)信息平安建立、運(yùn)營單位的聯(lián)絡(luò)，制定完整的?公司常用信息平安組織機(jī)構(gòu)信息表?，確保與外部機(jī)構(gòu)的溝通暢通。第十條加強(qiáng)公司內(nèi)部人員在錄用前、工作期間、調(diào)崗和離崗的人員安專業(yè)資料整理WORD格式3 / 6專業(yè)資料整理WORD格式全經(jīng)管，確保公司內(nèi)部人員的背景、身份、專業(yè)資格和職能權(quán)限的平安性，要求信息平安人員簽署XX協(xié)議，落實(shí)?公司內(nèi)部人員信息平安經(jīng)管方法?。第十一條加強(qiáng)外部人員的平安經(jīng)管，防X外部人

7、員帶來的平安風(fēng)險(xiǎn)，標(biāo)準(zhǔn)外部人員在公司各項(xiàng)與信息系統(tǒng)相關(guān)的活動(dòng)所要遵守的行為準(zhǔn)那么，嚴(yán)格落實(shí)?公司外部人員信息平安經(jīng)管方法?。第十二條每年組織開展全員信息平安教育或培訓(xùn)，提升公司全員的信息平安意識(shí)，確保公司信息平安目標(biāo)和策略能夠得到必要的宣貫。第十三條建立信息平安經(jīng)管制度制定、發(fā)布、審核和修訂的經(jīng)管要求，并滿足國家法律、政策和標(biāo)準(zhǔn)的要求，確保信息平安經(jīng)管制度持續(xù)改良，落實(shí)?公司信息平安制度經(jīng)管方法?。第十四條確保信息化建立的工程立項(xiàng)、設(shè)計(jì)、實(shí)施、驗(yàn)收等各個(gè)環(huán)節(jié)與信息平安經(jīng)管控制機(jī)制的有機(jī)結(jié)合，實(shí)現(xiàn)工程工程經(jīng)管過程和內(nèi)容平安可控，嚴(yán)格執(zhí)行?公司信息系統(tǒng)建立平安經(jīng)管方法?。第十五條加強(qiáng)公司信息系統(tǒng)的

8、物理環(huán)境和設(shè)施的信息平安標(biāo)準(zhǔn)性經(jīng)管工作，確保物理環(huán)境、設(shè)施設(shè)備和進(jìn)出訪問控制平安，落實(shí)?公司機(jī)房環(huán)境平安經(jīng)管方法?和?公司辦公環(huán)境信息平安經(jīng)管方法?。第十六條加強(qiáng)對(duì)公司信息資產(chǎn)的平安經(jīng)管，建立統(tǒng)一的信息資產(chǎn)分類、責(zé)任、授權(quán)和配置經(jīng)管，明確公司硬件資產(chǎn)、軟件資產(chǎn)和數(shù)據(jù)資產(chǎn)的信息平安經(jīng)管工作，落實(shí)?公司信息資產(chǎn)平安經(jīng)管方法?。第十七條加強(qiáng)信息資產(chǎn)的運(yùn)行維護(hù)經(jīng)管工作，對(duì)系統(tǒng)的工作環(huán)境、平安運(yùn)行、策略進(jìn)展定期檢查，記錄信息系統(tǒng)運(yùn)行的日志及狀態(tài)，定期專業(yè)資料整理WORD格式4 / 6專業(yè)資料整理WORD格式對(duì)信息資產(chǎn)進(jìn)展清點(diǎn)，確保各系統(tǒng)的正常運(yùn)行，落實(shí)?公司信息平安運(yùn)行維護(hù)經(jīng)管方法?。第十八條加強(qiáng)信息系

9、統(tǒng)運(yùn)行維護(hù)過程中的變更經(jīng)管，確保公司信息系統(tǒng)的可核查性和可追溯性，合理控制信息系統(tǒng)變更產(chǎn)生的信息平安風(fēng)險(xiǎn)，結(jié)合日常信息系統(tǒng)的運(yùn)行有關(guān)經(jīng)管方法，落實(shí)?公司信息系統(tǒng)變更經(jīng)管方法?。第十九條加強(qiáng)對(duì)信息平安事件的監(jiān)控和經(jīng)管，建立應(yīng)急事件的報(bào)告、協(xié)調(diào)、處理機(jī)制。制定重要信息系統(tǒng)的應(yīng)急響應(yīng)預(yù)案，并進(jìn)展演練和定期更新，確保信息系統(tǒng)的連續(xù)穩(wěn)定運(yùn)行，落實(shí)?公司應(yīng)急經(jīng)管方法?和?公司信息平安分類應(yīng)急預(yù)案?。第二十條對(duì)磁帶、磁盤、磁盤陣列、光盤、硬盤、紙質(zhì)等各類移動(dòng)存儲(chǔ)介質(zhì)進(jìn)展的所有平安經(jīng)管活動(dòng)進(jìn)展經(jīng)管，介質(zhì)使用必須要有授權(quán)，保證介質(zhì)使用的平安。落實(shí)?公司介質(zhì)平安經(jīng)管方法?。第二十一條為標(biāo)準(zhǔn)經(jīng)管員對(duì)網(wǎng)絡(luò)設(shè)備的訪問及

10、操作行為，降低由于口令強(qiáng)度不夠和設(shè)置不完善等造成的平安隱患和風(fēng)險(xiǎn)，應(yīng)加強(qiáng)各信息系統(tǒng)的口令經(jīng)管，落實(shí)?公司密碼經(jīng)管方法?。第二十二條加強(qiáng)對(duì)網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)、規(guī)劃、變更審批和運(yùn)維監(jiān)視，定期對(duì)網(wǎng)絡(luò)中的系統(tǒng)進(jìn)展漏洞掃描，對(duì)重要網(wǎng)段進(jìn)展保護(hù)，落實(shí)?公司網(wǎng)絡(luò)平安經(jīng)管方法?。第二十三條標(biāo)準(zhǔn)系統(tǒng)的使用，對(duì)系統(tǒng)的賬戶權(quán)限進(jìn)展有效控制，及時(shí)的更新系統(tǒng)的補(bǔ)丁，有效的保護(hù)系統(tǒng)中的文件，對(duì)重要系統(tǒng)的文件進(jìn)展保護(hù)，落實(shí)?公司系統(tǒng)平安經(jīng)管方法?。專業(yè)資料整理WORD格式5 / 6專業(yè)資料整理WORD格式第二十四條定期對(duì)網(wǎng)絡(luò)中的應(yīng)用系統(tǒng)、數(shù)據(jù)庫進(jìn)展備份，實(shí)現(xiàn)異地備份的方式，同時(shí)每年需要進(jìn)展一次數(shù)據(jù)恢復(fù)演練，數(shù)據(jù)的保存周期至少為五年，合理的根據(jù)情況進(jìn)展調(diào)整備份時(shí)間，落實(shí)?公司信息備份與恢復(fù)經(jīng)管制度?。第四章獎(jiǎng)懲第二十五條對(duì)長期認(rèn)真貫徹公司信息平安經(jīng)管方法，并因此而取得較好成績的組織和個(gè)人給予必要的鼓勵(lì)、宣傳和獎(jiǎng)