信息安全總體方針

1、xxx單位信息安全總體方針制定:審核:批準:xxx單位信息中心二0一五年三月第一章總則第一條為規(guī)范xxx單位信息系統(tǒng)的信息安全管理，促進信息安全工作體系化、規(guī)范化，提高信息和網(wǎng)絡(luò)服務(wù)質(zhì)量，提高信息系統(tǒng)管理人員、使用人員的 整體安全素質(zhì)和水平，特制定本方針。本方針目標是為xxx單位信息安全管理提 供清晰的策略方向，闡明信息安全建設(shè)和管理的重要原則，闡明信息安全建設(shè)和 管理所需的支持和承諾。第二條 本方針是指導xxx單位信息安全工作的基本依據(jù)，信息安全相關(guān) 人員依據(jù)本方針，并根據(jù)工作實際情況，制定并遵守相應(yīng)的安全標準、流程和安 全制度及其實施細則，做好信息安全管理工作。第三條信息安全是xxx單位信

2、息系統(tǒng)管理工作的重要內(nèi)容。xxx單位管理層非常重視，大力支持信息安全工作，并給予所需的人力物力資源。第四條本方針的適用人員包括所有與 xxx單位信息系統(tǒng)各方面相關(guān)聯(lián)的人員，它適用于全部員工，集成商，軟件開發(fā)商，產(chǎn)品提供商，顧問，臨時工 和使用xxx單位信息系統(tǒng)的其他第三方。第五條本方針適用范圍包括xxx單位信息系統(tǒng)擁有的、控制和管理的所有計算機系統(tǒng)、數(shù)據(jù)和網(wǎng)絡(luò)環(huán)境。第六條本方針主要依據(jù)國際標準 ISO17799，并遵照我國信息安全有關(guān)法律法規(guī)和相關(guān)標準。第二章信息安全管理的主要原則第七條 管理與技術(shù)并重原則：信息安全不是單純的技術(shù)問題，在采用安 全技術(shù)和產(chǎn)品的同時，應(yīng)重視管理，不斷完善信息安全

3、管理制度與管理規(guī)程， 全 面提高信息安全管理水平。第八條全過程原則：信息安全是一個系統(tǒng)工程，應(yīng)將它落實在系統(tǒng)的計劃組織、開發(fā)采購、實施交付、運行維護、廢棄五個階段的全生命周期管理過程 中，信息安全建設(shè)管理應(yīng)遵循與信息系統(tǒng)同步規(guī)劃、同步建設(shè)、同步運行的原則。第九條風險管理和風險控制原則：應(yīng)進行信息安全風險管理和風險控制，將信息安全風險減低、控制在可以接受的程度內(nèi)，并將其帶來的危害最小化。第十條 分級保護原則：應(yīng)根據(jù)信息資產(chǎn)的重要程度以及面臨的風險大小 等因素確定各類信息資產(chǎn)的安全保護級別。第十一條 統(tǒng)一規(guī)劃、分級管理原則：信息安全管理遵循統(tǒng)一規(guī)劃、 分級管 理的原則。上級主管部門信息安全領(lǐng)導小組

4、負責對 xxx單位信息安全管理工作進 行統(tǒng)一規(guī)劃，各級單位(部門)在上級主管部門信息安全領(lǐng)導小組的領(lǐng)導與監(jiān)督 下，負責本單位(部門)的信息安全管理工作。第十二條 平衡原則：在xxx單位信息安全管理過程中，應(yīng)在安全性與投入 成本、安全性和操作便利性之間找到最佳的平衡點。第十三條 動態(tài)管理原則：在xxx單位信息安全管理過程中，應(yīng)遵循動態(tài)管 理原則，針對信息系統(tǒng)環(huán)境的變動情況及時調(diào)整管理辦法。第三章信息安全管理組織與職責第十四條 建立和健全信息安全管理組織，設(shè)立由高層領(lǐng)導組成的信息安全 領(lǐng)導小組，對于信息安全方面的重大問題做出決策， 支持并推動信息安全管理工 作在整個xxx單位范圍內(nèi)的實施。第十五條

5、xxx單位信息系統(tǒng)應(yīng)該設(shè)置相應(yīng)的信息安全管理機構(gòu)，在信息安 全領(lǐng)導小組的領(lǐng)導下，負責xxx單位的信息安全管理工作。第十六條xxx單位信息安全管理機構(gòu)職責如下：1) 根據(jù)本方針制定信息系統(tǒng)的信息安全管理制度、管理標準規(guī)范和執(zhí) 行程序；2) 組織和監(jiān)督信息安全工作的貫徹和實施；3) 考核和檢查信息系統(tǒng)的安全管理情況，定期進行安全風險評估，并 對出現(xiàn)的安全問題提出解決方案；4) 負責安全管理員的選用和監(jiān)督；5) 參與信息系統(tǒng)新工程建設(shè)和新業(yè)務(wù)開展的方案論證，并提出相應(yīng)的安全方面的建議;6) 在信息系統(tǒng)工程驗收時，對信息安全方面的驗收測試方案進行審查 并參與驗收。第四章信息系統(tǒng)安全運行管理第十七條信息

6、資產(chǎn)鑒別和分類是整個xxx單位信息安全管理工作的基礎(chǔ)。第十八條 制定信息資產(chǎn)鑒別和分類制度，鑒別信息資產(chǎn)的價值和等級，建 立并維護信息資產(chǎn)清單。第十九條建立機密信息分類方法和制度，根據(jù)機密程度和重要程度對數(shù)據(jù) 和信息進行分類管理。第二十條安全運行管理是整個信息安全管理工作的日常體現(xiàn)和執(zhí)行環(huán)節(jié)。 應(yīng)該在本方針的指導下，建立并執(zhí)行信息安全管理制度與信息安全操作規(guī)程。第二十一條 定期開展信息安全風險評估工作，通過對整個信息系統(tǒng)進行 信息安全風險評估，確定信息系統(tǒng)所存在的安全隱患和安全風險， 了解信息系統(tǒng) 安全現(xiàn)狀與信息系統(tǒng)安全需求之間的差異。第二十二條 進行物理安全和環(huán)境安全的管理，建立機房管理制度

7、。第二十三條 對于xxx單位信息系統(tǒng)中重要業(yè)務(wù)系統(tǒng)、服務(wù)器和網(wǎng)絡(luò)、安 全設(shè)備，制定安全配置標準及規(guī)定，規(guī)范安全配置管理工作，建立系統(tǒng)變更管理 制度，并進行定期的審計和檢查。第二十四條 對于外包開發(fā)的業(yè)務(wù)系統(tǒng)軟件，應(yīng)制定業(yè)務(wù)軟件安全標準來 進行規(guī)范，要求有完善的鑒別和認證、訪問控制、日志審計功能和數(shù)據(jù)驗證功能， 杜絕木馬和后門。建立源代碼控制和軟件版本控制機制。第二十五條 建立第三方安全管理的制度和規(guī)范，嚴格控制第三方對 xxx 單位信息系統(tǒng)的訪問，并在合同中規(guī)定其安全責任和安全控制要求， 以維護第三 方訪問的安全性。第二十六條 應(yīng)該實施業(yè)務(wù)連續(xù)性管理程序，預(yù)防和恢復控制相結(jié)合，將災(zāi)難和安全故障

8、（可能是由于自然災(zāi)害、事故、設(shè)備故障和蓄意破壞等引起）造 成的影響降低到可以接受的水平，以防止業(yè)務(wù)活動中斷，保證重要業(yè)務(wù)流程不受 重大故障和災(zāi)難的影響。第二十七條 應(yīng)該分析災(zāi)難、安全故障和服務(wù)損失的后果。制定并實施應(yīng) 急管理計劃，確保能夠在要求的時間內(nèi)恢復業(yè)務(wù)流程。第二十八條 對于意外、災(zāi)難和入侵的處理，建立包含事件鑒別、事件恢 復、犯罪取證、攻擊者追蹤的安全事件緊急響應(yīng)機制，制定并遵照正確的安全事 件處理流程，盡量減小安全事件造成的損失，監(jiān)督此類事件并從中總結(jié)經(jīng)驗。第二十九條 制定并實施安全培訓和教育計劃，進行信息安全意識及信息 安全技能的培訓。第五章信息安全技術(shù)體系建設(shè)第三十條xxx單位信息系統(tǒng)應(yīng)加強信息安全技術(shù)體系建設(shè)，包含鑒別認 證，訪問控制，審計和跟蹤，響應(yīng)和恢復，內(nèi)容安全等五個方面的安全技術(shù)要素。第三H一條 建立鑒別和認證的標準和機制， 建立用戶和口令管理的制度 和標準。第三十二條 建立完善的信息系統(tǒng)的訪問控制標準和機制，加強權(quán)限管 理，進行網(wǎng)段隔離，嚴格控制互聯(lián)網(wǎng)出入口，嚴格管理遠程訪問和遠程維護。第三十三條 建立有效的審計和跟蹤機制，建立日志存儲、管理和分析機 制，提高對安全事件的審計和事后追查能力。第三十四條 建立有效的機制和技術(shù)手段來發(fā)現(xiàn)、監(jiān)控、分析和處理信息