信息安全工作總體方針和安全策略

1、總體目標(biāo)以滿足業(yè)務(wù)運行要求，遵守行業(yè)規(guī)程，實施等級保護(hù)及風(fēng)險管理，確保信息范圍原則以誰主管誰負(fù)責(zé)為原則（或者采用其他原則例如保護(hù)原則”和“信息流向原則”等。策略框架物理方面入等過程建立記錄等方式對機房安全進(jìn)行保護(hù)。網(wǎng)絡(luò)方面某部門監(jiān)督執(zhí)行看，確保各信息系統(tǒng)網(wǎng)絡(luò)運行情況穩(wěn)定、可靠、正常的運行。主機方面要求各類主機操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)在滿足各類業(yè)務(wù)系統(tǒng)的正常運行條件備份。應(yīng)用方面從技術(shù)角度實現(xiàn)應(yīng)用系統(tǒng)的操作可控、訪問可控、通信可控。從管理角度實現(xiàn)各類控制辦法的有效執(zhí)行，建立完善的維護(hù)操作規(guī)程以及明確定期備份內(nèi)容。數(shù)據(jù)方面鍵數(shù)據(jù)的安全傳輸、存儲和使用。建設(shè)和管理方面信息安全管理機制成立信息安全管理主要

2、機構(gòu)或部門，設(shè)立安全主管等主要安全角色，依據(jù)信息安全等級保護(hù)三級標(biāo)準(zhǔn)（要求，建立信息系統(tǒng)的整體管理辦法。信息安全管理組織分別建立安全管理崗位和機構(gòu)的職責(zé)文件，對機構(gòu)和人員的職責(zé)進(jìn)行明確。審核和檢查的相關(guān)制度及報告方式。人員安全管理要求對人員的錄用、離崗、考核、培訓(xùn)、安全意識教育等方面應(yīng)通過制度和操作程序進(jìn)行明確。信息安全等級保護(hù)工作及風(fēng)險評估要求定期對已備案的信息系統(tǒng)進(jìn)行等級保護(hù)測評，以保證信息系統(tǒng)運行風(fēng)險維持在較低水平，不斷增強系統(tǒng)的穩(wěn)定性和安全性。報告安全事件要求對突發(fā)安全事件建立應(yīng)急預(yù)案管理制度和相關(guān)操作辦法，并定期組織人員進(jìn)行演練，以保證信息系統(tǒng)在面臨突發(fā)事件時能夠在較短時間內(nèi)恢復(fù)正常的使用。業(yè)務(wù)持續(xù)性要求根據(jù)對系統(tǒng)的等級測評、風(fēng)險評估等間接問題挖掘，及時改進(jìn)信息系統(tǒng)的各業(yè)務(wù)持續(xù)性要求。違反信息安全要求的懲罰建立懲處辦法，對違反信息安全總體方針、安全策略的、程序流程和管理措施的人員，依照問題的嚴(yán)重性進(jìn)行懲罰。相關(guān)文件信息安全各部門安全需求及控制措施信息安全各部門安全工作執(zhí)行程序機房安全管理制度網(wǎng)絡(luò)安全管理制度系統(tǒng)安全管理制度設(shè)備操作規(guī)程崗位職責(zé)文件信息安全管理機構(gòu)組成文件人