等級保護總體安全方針與安全策略

1、總體安全方針與安全策略第一節(jié)系統(tǒng)總體安全方針第1條總則：住房和城鄉(xiāng)建設(shè)部信息中心受住房和城鄉(xiāng)建設(shè)部委托，負責管理機關(guān)外網(wǎng)的運行維護，為住房和城鄉(xiāng)建設(shè)部機關(guān)提供應(yīng)用系統(tǒng)接入和網(wǎng)絡(luò)互聯(lián)服務(wù)。第2條根據(jù)國家信息安全等級保護堅持自主定級、自主保護的原則，根據(jù)網(wǎng)絡(luò)和應(yīng)用系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度，以及遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定將機關(guān)外網(wǎng)定級為國家信息安全等級保護第三級。第3條機關(guān)外網(wǎng)的安全保護管理工作總體方針是“保持適度安全；管理與技術(shù)并重；全方位實施，全員參與；分權(quán)制衡，最小特權(quán)；盡量采用成熟的技術(shù)”?！邦A(yù)防為主”

2、是信息安全保護管理工作的基本方針。第4條安全策略：信息安全主管部門制定清晰的信息安全方針，并通過網(wǎng)絡(luò)運維部門頒發(fā)和維護信息安全方針的具體措施來表明對信息安全支持和承諾。第5條部信息中心根據(jù)機關(guān)外網(wǎng)的保護等級、安全需求和安全目標，結(jié)合住房和城鄉(xiāng)建設(shè)部機關(guān)自身的實際情況，依據(jù)國家有關(guān)安全法規(guī)和國家標準制定安全策略。并根據(jù)環(huán)境、系統(tǒng)和威脅的變化情況，及時調(diào)整安全策略，制定新的防護計劃，實施必要的防護措施，動態(tài)保障系統(tǒng)的安全性。第6條所有機關(guān)外網(wǎng)安全控制措施（包括技術(shù)控制措施和管理控制措施）的選擇、運營和維護均依據(jù)安全策略進行。第7條對安全管理工作的各類管理內(nèi)容建立安全管理制度和操作規(guī)程，并要求管理人

3、員或操作人員按照管理制度和操作規(guī)程進行日常管理操作。形成由安全策略、管理制度、操作規(guī)程等構(gòu)成的全面的信息安全管理制度體系。第二節(jié)系統(tǒng)運行使用安全策略第8條機關(guān)外網(wǎng)總體安全保護策略是：安全工作總體方針：信息安全管理工作堅持“積極防御、綜合防范”的指導(dǎo)方針，技術(shù)與管理相結(jié)合，按照國家信息安全等級保護的規(guī)定，合理定級，建立安全管理體系，重點保障基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)的安全，全面提高網(wǎng)絡(luò)安全防護能力。安全工作的范圍：機關(guān)外網(wǎng)及其接入的終端、設(shè)備、計算機房和使用者、應(yīng)用系統(tǒng)等，都必須遵守本制度。原則：安全工作遵循“誰主管，誰負責；誰使用，誰負責”的基本原則，建立逐級安全管理責任制。安全框架：安全框架包括

4、安全技術(shù)框架、安全管理體系、組織機構(gòu)及職責三部分。安全技術(shù)框架包括：根據(jù)公安部信息系統(tǒng)等級保護技術(shù)要求中第三級技術(shù)要求，主要包括物理安全、網(wǎng)絡(luò)安全、主機系統(tǒng)安全、應(yīng)用系統(tǒng)保護對象安全以及數(shù)據(jù)安全五個層次的內(nèi)容。妥全技術(shù)框架做ET左辛檸蠱佛主，佛丸竽匹、存度屯辦供陽-電敲飾護岸全申計扎錢楞范起塞代碼酣F雖機安士才冊晏別訴河登制一妄隹審計可然感徑應(yīng)用瓷全瞬密41利余梏息慄護1站也彳g爵護奇棒拴制-；音抵握制安全管理體系包括：（1）形成由安全策略、管理制度、操作規(guī)程等構(gòu)成的全面的信息安全管理制度體系。由安全管理職能部門定期組織相關(guān)部門和相關(guān)人員對安全管理制度體系的合理性和適用性進行審定。（2）對安全

5、管理工作的各類管理內(nèi)容建立安全管理制度，規(guī)范安全管理活動，約束人員行為方式；對管理人員或操作人員執(zhí)行的日常管理操作建立操作規(guī)程，規(guī)范操作行為，防止操作失誤。管理人員或操作人員要按照管理制度和操作規(guī)程進行日常管理操作。制度和操作規(guī)程覆蓋物理、網(wǎng)絡(luò)、主機系統(tǒng)、數(shù)據(jù)、應(yīng)用、管理等方面。組織機構(gòu)及職責包括：機關(guān)外網(wǎng)信息安全管理涉及的部門包括：部信息中心和授權(quán)負責信息系統(tǒng)建設(shè)和運維的單位。其具體職責詳見本制度第三部分安全管理機構(gòu)。第9條機關(guān)外網(wǎng)的安全保護策略由部信息中心負責制定與更新。第10條部信息中心根據(jù)機關(guān)外網(wǎng)的保護等級、安全保護需求和安全目標，結(jié)合住房和城鄉(xiāng)建設(shè)部機關(guān)自身的實際情況，依據(jù)國家有關(guān)安

6、全法規(guī)和國家標準，受部辦公廳委托制定機關(guān)外網(wǎng)的安全保護實施細則和具體管理辦法，并根據(jù)環(huán)境、系統(tǒng)和威脅變化情況，及時調(diào)整和制定新的實施細則和具體管理辦法。第11條機關(guān)外網(wǎng)安全等級的定級決定了系統(tǒng)方案的設(shè)計、實施、安全措施、運行維護等系統(tǒng)建設(shè)的各個環(huán)節(jié)。定級遵循“誰建設(shè)、誰定級的原則。第12條根據(jù)重要性和安全策略應(yīng)在機關(guān)外網(wǎng)中劃分為不同的安全域，針對不同的安全域確定不同的信息安全保護等級，并進行相應(yīng)的保護。第13條機關(guān)外網(wǎng)等級保護從物理、支撐系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用系統(tǒng)和管理制度五個部分進行保護，并構(gòu)成系統(tǒng)整體安全控制機制。第14條物理部分包括：周邊環(huán)境、門禁檢查、防火、防水、防潮、防鼠和防雷，防電磁泄露和干擾，電源備份和管理，設(shè)備的標示、使用、存放和管理等。第15條支撐系統(tǒng)包括：計算機系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和通信系統(tǒng)。第16條網(wǎng)絡(luò)部分包括：網(wǎng)絡(luò)的拓撲結(jié)構(gòu)、網(wǎng)絡(luò)的布線和防護、網(wǎng)絡(luò)設(shè)備的管理和報警，網(wǎng)絡(luò)攻擊的監(jiān)察和處理。第17條應(yīng)用系統(tǒng)包括：系統(tǒng)登錄、權(quán)限劃分與識別、數(shù)據(jù)備份與容災(zāi)處理，運行管理和訪問控制，密碼保護機制和信息存儲管理、資源控制和代碼安全