信息安全工作總體方針和安全策略

1、信息安全工作總體方針和安全策略第一章 總則第一條 為加強和規(guī)范技術(shù)部及各部門信息系統(tǒng)安全工作，提高技術(shù)部信息系統(tǒng)整體安全防護水平，實現(xiàn)信息安全的可控、能控、在控，依據(jù)國家有關(guān)法律、法規(guī)的要求，制定本文檔。第二條 本文檔的目的是為技術(shù)部信息系統(tǒng)安全管理提供一個總體的策略性架構(gòu)文件。該文件將指導(dǎo)技術(shù)部信息系統(tǒng)的安全管理體系的建立。安全管理體系的建立是為技術(shù)部信息系統(tǒng)的安全管理工作提供參照，以實現(xiàn)技術(shù)部統(tǒng)一的安全策略管理，提高整體的網(wǎng)絡(luò)與信息安全水平，確保安全控制措施落實到位，保障網(wǎng)絡(luò)通信暢通和業(yè)務(wù)系統(tǒng)的正常運營。第二章 適用范圍第三條 本文檔適用于技術(shù)部信息系統(tǒng)資產(chǎn)和信息技術(shù)人員的安全管理和指導(dǎo)，

2、適用于指導(dǎo)公司信息系統(tǒng)安全策略的制定、安全方案的規(guī)劃和安全建設(shè)的實施，適用于公司安全管理體系中安全管理措施的選擇。第三章 引用標(biāo)準(zhǔn)及參考文件第四條 本文檔的編制參照了以下國家、中心的標(biāo)準(zhǔn)和文件 一中華人民共和國計算機信息系統(tǒng)安全保護條例 二關(guān)于信息安全等級保護建設(shè)的實施指導(dǎo)意見信息運安200927 號 三信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求GB/T 22239-2008四信息安全技術(shù) 信息系統(tǒng)安全管理要求GB/T 202692006 五信息系統(tǒng)等級保護 安全建設(shè)技術(shù)方案設(shè)計要求報批稿 六關(guān)于開展信息安全等級保護安全建設(shè)整改工作的指導(dǎo)意見公信安20091429號 第四章 總體方針第五條 企

3、業(yè)信息服務(wù)平臺系統(tǒng)安全堅持“安全第一、預(yù)防為主，管理和技術(shù)并重，綜合防范”的總體方針，實現(xiàn)信息系統(tǒng)安全可控、能控、在控。依照“分區(qū)、分級、分域”總體安全防護策略，執(zhí)行信息系統(tǒng)安全等級保護制度。第五章 總體目標(biāo)第六條 信息系統(tǒng)安全總體目標(biāo)是確保企業(yè)信息服務(wù)平臺系統(tǒng)持續(xù)、穩(wěn)定、可靠運行和確保信息內(nèi)容的機密性、完整性、可用性，防止因信息系統(tǒng)本身故障導(dǎo)致信息系統(tǒng)不能正常使用和系統(tǒng)崩潰，抵御黑客、病毒、惡意代碼等對信息系統(tǒng)發(fā)起的各類攻擊和破壞，防止信息內(nèi)容及數(shù)據(jù)丟失和失密，防止有害信息在網(wǎng)上傳播，防止中心對外服務(wù)中斷和由此造成的系統(tǒng)運行事故。 第六章 信息安全工作的總體原則第七條 基于安全需求原則組織機

4、構(gòu)應(yīng)根據(jù)其信息系統(tǒng)擔(dān)負(fù)的使命，積累的信息資產(chǎn)的重要性，可能受到的威脅及面臨的風(fēng)險分析安全需求，按照信息系統(tǒng)等級保護要求確定相應(yīng)的信息系統(tǒng)安全保護等級，遵從相應(yīng)等級的規(guī)范要求，從全局上恰當(dāng)?shù)仄胶獍踩度肱c效果；第八條 主要領(lǐng)導(dǎo)負(fù)責(zé)原則主要領(lǐng)導(dǎo)應(yīng)確立其組織統(tǒng)一的信息安全保障的宗旨和政策，負(fù)責(zé)提高員工的安全意識，組織有效安全保障隊伍，調(diào)動并優(yōu)化配置必要的資源，協(xié)調(diào)安全管理工作與各部門工作的關(guān)系，并確保其落實、有效；第九條 全員參與原則 信息系統(tǒng)所有相關(guān)人員應(yīng)普遍參與信息系統(tǒng)的安全管理，并與相關(guān)方面協(xié)同、協(xié)調(diào)，共同保障信息系統(tǒng)安全；第十條 系統(tǒng)方法原則 按照系統(tǒng)工程的要求，識別和理解信息安全保障相互關(guān)

5、聯(lián)的層面和過程，采用管理和技術(shù)結(jié)合的方法，提高實現(xiàn)安全保障的目標(biāo)的有效性和效率；第十一條 持續(xù)改進原則 安全管理是一種動態(tài)反饋過程，貫穿整個安全管理的生存周期，隨著安全需求和系統(tǒng)脆弱性的時空分布變化，威脅程度的提高，系統(tǒng)環(huán)境的變化以及對系統(tǒng)安全認(rèn)識的深化等，應(yīng)及時地將現(xiàn)有的安全策略、風(fēng)險接受程度和保護措施進行復(fù)查、修改、調(diào)整以至提升安全管理等級，維護和持續(xù)改進信息安全管理體系的有效性；第十二條 依法管理原則信息安全管理工作主要體現(xiàn)為管理行為，應(yīng)保證信息系統(tǒng)安全管理主體合法、管理行為合法、管理內(nèi)容合法、管理程序合法。對安全事件的處理，應(yīng)由授權(quán)者適時發(fā)布準(zhǔn)確一致的有關(guān)信息，避免帶來不良的社會影響；

6、第十三條 分權(quán)和授權(quán)原則 對特定職能或責(zé)任領(lǐng)域的管理功能實施分離、獨立審計等實行分權(quán)，避免權(quán)力過分集中所帶來的隱患，以減小對授權(quán)的修改或濫用系統(tǒng)資源的機會。任何實體（如用戶、管理員、進程、應(yīng)用或系統(tǒng)）僅享有該實體需要完成其任務(wù)所必須的權(quán)限，不應(yīng)享有任何多余權(quán)限；第十四條 選用成熟技術(shù)原則 成熟的技術(shù)具有較好的可靠性和穩(wěn)定性，采用新技術(shù)時要重視其成熟的程度，并應(yīng)首先局部試點然后逐步推廣，以減少或避免可能出現(xiàn)的失誤；第十五條 分級保護原則 按等級劃分標(biāo)準(zhǔn)確定信息系統(tǒng)的安全保護等級，實行分級保護，對多個子系統(tǒng)構(gòu)成的大型信息系統(tǒng)，確定系統(tǒng)的基本安全保護等級，并根據(jù)實際安全需求確定系統(tǒng)的安全保護等級，實

7、行安全保護；第十六條 管理與技術(shù)并重原則 堅持積極防御和綜合防范，全面提高信息系統(tǒng)安全防護能力，立足國情，采用管理與技術(shù)相結(jié)合，管理科學(xué)性和技術(shù)前瞻性結(jié)合的方法，保障信息系統(tǒng)的安全性達到所要求的目標(biāo)。第十七條 自保護和國家監(jiān)管結(jié)合原則 對信息系統(tǒng)安全實行自保護和國家保護相結(jié)合。組織機構(gòu)要對自己的信息系統(tǒng)安全保護負(fù)責(zé)，政府相關(guān)部門有責(zé)任對信息系統(tǒng)的安全進行指導(dǎo)、監(jiān)督和檢查，形成自管、自查、自評和國家監(jiān)管相結(jié)合的管理模式，提高信息系統(tǒng)的安全保護能力和水平，保障國家信息安全。 第十八條 在規(guī)劃和建設(shè)信息系統(tǒng)時，信息系統(tǒng)安全防護措施應(yīng)按照“三同步”原則，與企業(yè)信息服務(wù)平臺建設(shè)同步規(guī)劃、同步建設(shè)、同步投

8、入運行。 第七章 總體安全策略第一節(jié) 策略框架第十九條 建立一套關(guān)于物理、主機、網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)、建設(shè)和管理等六個方面的安全需求、控制措施及執(zhí)行程序，并在關(guān)聯(lián)制度文檔中定義出相關(guān)的安全角色，并對其賦予管理職責(zé)?！耙匀藶楸尽?，通過對信息安全工作人員的安全意識培訓(xùn)等方法不斷加強系統(tǒng)分布的合理性和有效性。第二節(jié) 主機安全策略第二十條 登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶必須進行身份標(biāo)識和鑒別；第二十一條 操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標(biāo)識不能出現(xiàn)同名用戶，口令應(yīng)有復(fù)雜度要求并定期更換；第二十二條 操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)必須啟用登錄失敗處理功能；第二十三條 對服務(wù)器進行遠程管理時，必須采取必要措施，防止鑒別

9、信息在網(wǎng)絡(luò)傳輸過程中被竊聽；第二十四條 為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性，不能出重名情況；第二十五條 操作系統(tǒng)和數(shù)據(jù)庫必須及時刪除多余的、過期的賬戶，避免共享賬戶的存在；第二十六條 主機必須開啟日志審計功能；第二十七條 主機必須安裝防惡意代碼產(chǎn)品，并進行統(tǒng)一管理。第三節(jié) 應(yīng)用安全策略第二十八條 應(yīng)用系統(tǒng)必須在登錄時要求輸入用戶名和口令；第二十九條 登錄應(yīng)用系統(tǒng)必須進行兩種或兩種以上的復(fù)合身份驗證（如用戶名口令+Ukey或用戶名口令+IP與MAC地址綁定方式）；第三十條 應(yīng)用系統(tǒng)中設(shè)置的用戶都必須是唯一用戶，不能名稱相同；第三十一條 應(yīng)用系統(tǒng)必須開啟登錄失敗

10、處理功能；第三十二條 應(yīng)用系統(tǒng)必須開啟登錄連接超時自動退出等措施；第三十三條 應(yīng)用系統(tǒng)必須開啟身份鑒別、用戶身份標(biāo)識唯一性檢查、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處理功能，并根據(jù)安全策略配置相關(guān)參數(shù)；第三十四條 應(yīng)用系統(tǒng)必須開啟日志審計功能；第三十五條 應(yīng)用系統(tǒng)存儲用戶信息的設(shè)備在銷毀、修理或轉(zhuǎn)做其他用途時，必須清楚內(nèi)部存儲的信息。第四節(jié) 數(shù)據(jù)安全策略第三十六條 業(yè)務(wù)應(yīng)用數(shù)據(jù)和設(shè)備配置文檔都必須進行備份，以便發(fā)生問題時進行恢復(fù)；第三十七條 數(shù)據(jù)備份至其他設(shè)備上時，必須使用專門的備份通道，保證數(shù)據(jù)傳輸?shù)耐暾?；第三十八條 數(shù)據(jù)本機備份時應(yīng)檢測其完整性；第三十九條 數(shù)據(jù)備份時必須使用專業(yè)的備份

11、設(shè)備和工具，在數(shù)據(jù)傳輸和數(shù)據(jù)存儲時，都必須是加密傳輸和存儲；第四十條 數(shù)據(jù)進行異地備份時，必須利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時批量傳送至備用場地。第五節(jié) 建設(shè)和管理策略第四十一條 信息安全管理機制成立信息安全管理主要機構(gòu)或部門，設(shè)立安全主管等主要安全角色，依據(jù)信息安全等級保護二級標(biāo)準(zhǔn)（要求），建立信息系統(tǒng)的整體管理辦法。第四十二條 信息安全管理組織分別建立安全管理崗位和機構(gòu)的職責(zé)文件，對機構(gòu)和人員的職責(zé)進行明確。建立信息發(fā)布、審批等流程和制度類文件，增強制度的有效性。建立安全審核和檢查的相關(guān)制度及報告方式。第四十三條 人員安全管理要求對人員的錄用、離崗、考核、培訓(xùn)、安全意識教育等方面應(yīng)通過制度和操作程序進行明確。第四十四條 信息安全等級保護工作及風(fēng)險評估要求定期對已備案的信息系統(tǒng)進行等級保護測評，以保證信息系統(tǒng)運行風(fēng)險維持在較低水平，不斷增強系統(tǒng)的穩(wěn)定性和安全性。第四十五條 報告安全事件要求對突發(fā)安全事件建立應(yīng)急預(yù)案管理制度和相關(guān)操作辦法，并定期組織人員進行演練，以保證信息系統(tǒng)