信息安全總體方針

1、xxx單位信息安全總體方針 制定： 審核： 批準(zhǔn)： xxx單位信息中心二一五年三月第一章 總則第一條 為規(guī)范xxx單位信息系統(tǒng)的信息安全管理，促進(jìn)信息安全工作體系化、規(guī)范化，提高信息和網(wǎng)絡(luò)服務(wù)質(zhì)量，提高信息系統(tǒng)管理人員、使用人員的整體安全素質(zhì)和水平，特制定本方針。本方針目標(biāo)是為xxx單位信息安全管理提供清晰的策略方向，闡明信息安全建設(shè)和管理的重要原則，闡明信息安全建設(shè)和管理所需的支持和承諾。第二條 本方針是指導(dǎo)xxx單位信息安全工作的基本依據(jù)，信息安全相關(guān)人員依據(jù)本方針，并根據(jù)工作實(shí)際情況，制定并遵守相應(yīng)的安全標(biāo)準(zhǔn)、流程和安全制度及其實(shí)施細(xì)則，做好信息安全管理工作。第三條 信息安全是xxx單位

2、信息系統(tǒng)管理工作的重要內(nèi)容。xxx單位管理層非常重視，大力支持信息安全工作，并給予所需的人力物力資源。第四條 本方針的適用人員包括所有與xxx單位信息系統(tǒng)各方面相關(guān)聯(lián)的人員，它適用于全部員工，集成商，軟件開發(fā)商，產(chǎn)品提供商，顧問，臨時(shí)工和使用xxx單位信息系統(tǒng)的其他第三方。第五條 本方針適用范圍包括xxx單位信息系統(tǒng)擁有的、控制和管理的所有計(jì)算機(jī)系統(tǒng)、數(shù)據(jù)和網(wǎng)絡(luò)環(huán)境。第六條 本方針主要依據(jù)國(guó)際標(biāo)準(zhǔn)ISO17799,并遵照我國(guó)信息安全有關(guān)法律法規(guī)和相關(guān)標(biāo)準(zhǔn)。第二章 信息安全管理的主要原則第七條 管理與技術(shù)并重原則：信息安全不是單純的技術(shù)問題，在采用安全技術(shù)和產(chǎn)品的同時(shí)，應(yīng)重視管理，不斷完善信息安

3、全管理制度與管理規(guī)程，全面提高信息安全管理水平。第八條 全過程原則：信息安全是一個(gè)系統(tǒng)工程，應(yīng)將它落實(shí)在系統(tǒng)的計(jì)劃組織、開發(fā)采購(gòu)、實(shí)施交付、運(yùn)行維護(hù)、廢棄五個(gè)階段的全生命周期管理過程中，信息安全建設(shè)管理應(yīng)遵循與信息系統(tǒng)同步規(guī)劃、同步建設(shè)、同步運(yùn)行的原則。第九條 風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)控制原則：應(yīng)進(jìn)行信息安全風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)控制，將信息安全風(fēng)險(xiǎn)減低、控制在可以接受的程度內(nèi)，并將其帶來的危害最小化。第十條 分級(jí)保護(hù)原則：應(yīng)根據(jù)信息資產(chǎn)的重要程度以及面臨的風(fēng)險(xiǎn)大小等因素確定各類信息資產(chǎn)的安全保護(hù)級(jí)別。第十一條 統(tǒng)一規(guī)劃、分級(jí)管理原則：信息安全管理遵循統(tǒng)一規(guī)劃、分級(jí)管理的原則。上級(jí)主管部門信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)對(duì)

4、xxx單位信息安全管理工作進(jìn)行統(tǒng)一規(guī)劃，各級(jí)單位（部門）在上級(jí)主管部門信息安全領(lǐng)導(dǎo)小組的領(lǐng)導(dǎo)與監(jiān)督下，負(fù)責(zé)本單位（部門）的信息安全管理工作。第十二條 平衡原則：在xxx單位信息安全管理過程中，應(yīng)在安全性與投入成本、安全性和操作便利性之間找到最佳的平衡點(diǎn)。第十三條 動(dòng)態(tài)管理原則：在xxx單位信息安全管理過程中，應(yīng)遵循動(dòng)態(tài)管理原則，針對(duì)信息系統(tǒng)環(huán)境的變動(dòng)情況及時(shí)調(diào)整管理辦法。第三章 信息安全管理組織與職責(zé)第十四條 建立和健全信息安全管理組織，設(shè)立由高層領(lǐng)導(dǎo)組成的信息安全領(lǐng)導(dǎo)小組，對(duì)于信息安全方面的重大問題做出決策，支持并推動(dòng)信息安全管理工作在整個(gè)xxx單位范圍內(nèi)的實(shí)施。第十五條 xxx單位信息系統(tǒng)

5、應(yīng)該設(shè)置相應(yīng)的信息安全管理機(jī)構(gòu)，在信息安全領(lǐng)導(dǎo)小組的領(lǐng)導(dǎo)下，負(fù)責(zé)xxx單位的信息安全管理工作。第十六條 xxx單位信息安全管理機(jī)構(gòu)職責(zé)如下：1) 根據(jù)本方針制定信息系統(tǒng)的信息安全管理制度、管理標(biāo)準(zhǔn)規(guī)范和執(zhí)行程序；2) 組織和監(jiān)督信息安全工作的貫徹和實(shí)施；3) 考核和檢查信息系統(tǒng)的安全管理情況，定期進(jìn)行安全風(fēng)險(xiǎn)評(píng)估，并對(duì)出現(xiàn)的安全問題提出解決方案；4) 負(fù)責(zé)安全管理員的選用和監(jiān)督；5) 參與信息系統(tǒng)新工程建設(shè)和新業(yè)務(wù)開展的方案論證，并提出相應(yīng)的安全方面的建議；6) 在信息系統(tǒng)工程驗(yàn)收時(shí)，對(duì)信息安全方面的驗(yàn)收測(cè)試方案進(jìn)行審查并參與驗(yàn)收。第四章 信息系統(tǒng)安全運(yùn)行管理第十七條 信息資產(chǎn)鑒別和分類是整個(gè)

6、xxx單位信息安全管理工作的基礎(chǔ)。第十八條 制定信息資產(chǎn)鑒別和分類制度，鑒別信息資產(chǎn)的價(jià)值和等級(jí)，建立并維護(hù)信息資產(chǎn)清單。第十九條 建立機(jī)密信息分類方法和制度，根據(jù)機(jī)密程度和重要程度對(duì)數(shù)據(jù)和信息進(jìn)行分類管理。第二十條 安全運(yùn)行管理是整個(gè)信息安全管理工作的日常體現(xiàn)和執(zhí)行環(huán)節(jié)。應(yīng)該在本方針的指導(dǎo)下，建立并執(zhí)行信息安全管理制度與信息安全操作規(guī)程。第二十一條 定期開展信息安全風(fēng)險(xiǎn)評(píng)估工作，通過對(duì)整個(gè)信息系統(tǒng)進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估，確定信息系統(tǒng)所存在的安全隱患和安全風(fēng)險(xiǎn)，了解信息系統(tǒng)安全現(xiàn)狀與信息系統(tǒng)安全需求之間的差異。第二十二條 進(jìn)行物理安全和環(huán)境安全的管理，建立機(jī)房管理制度。第二十三條 對(duì)于xxx單位

7、信息系統(tǒng)中重要業(yè)務(wù)系統(tǒng)、服務(wù)器和網(wǎng)絡(luò)、安全設(shè)備，制定安全配置標(biāo)準(zhǔn)及規(guī)定，規(guī)范安全配置管理工作，建立系統(tǒng)變更管理制度，并進(jìn)行定期的審計(jì)和檢查。第二十四條 對(duì)于外包開發(fā)的業(yè)務(wù)系統(tǒng)軟件，應(yīng)制定業(yè)務(wù)軟件安全標(biāo)準(zhǔn)來進(jìn)行規(guī)范，要求有完善的鑒別和認(rèn)證、訪問控制、日志審計(jì)功能和數(shù)據(jù)驗(yàn)證功能，杜絕木馬和后門。建立源代碼控制和軟件版本控制機(jī)制。第二十五條 建立第三方安全管理的制度和規(guī)范，嚴(yán)格控制第三方對(duì)xxx單位信息系統(tǒng)的訪問，并在合同中規(guī)定其安全責(zé)任和安全控制要求，以維護(hù)第三方訪問的安全性。第二十六條 應(yīng)該實(shí)施業(yè)務(wù)連續(xù)性管理程序，預(yù)防和恢復(fù)控制相結(jié)合，將災(zāi)難和安全故障（可能是由于自然災(zāi)害、事故、設(shè)備故障和蓄意破

8、壞等引起）造成的影響降低到可以接受的水平，以防止業(yè)務(wù)活動(dòng)中斷，保證重要業(yè)務(wù)流程不受重大故障和災(zāi)難的影響。第二十七條 應(yīng)該分析災(zāi)難、安全故障和服務(wù)損失的后果。制定并實(shí)施應(yīng)急管理計(jì)劃，確保能夠在要求的時(shí)間內(nèi)恢復(fù)業(yè)務(wù)流程。第二十八條 對(duì)于意外、災(zāi)難和入侵的處理，建立包含事件鑒別、事件恢復(fù)、犯罪取證、攻擊者追蹤的安全事件緊急響應(yīng)機(jī)制，制定并遵照正確的安全事件處理流程，盡量減小安全事件造成的損失，監(jiān)督此類事件并從中總結(jié)經(jīng)驗(yàn)。第二十九條 制定并實(shí)施安全培訓(xùn)和教育計(jì)劃，進(jìn)行信息安全意識(shí)及信息安全技能的培訓(xùn)。第五章 信息安全技術(shù)體系建設(shè)第三十條 xxx單位信息系統(tǒng)應(yīng)加強(qiáng)信息安全技術(shù)體系建設(shè)，包含鑒別認(rèn)證，訪問控制，審計(jì)和跟蹤，響應(yīng)和恢復(fù)，內(nèi)容安全等五個(gè)方面的安全技術(shù)要素。第三十一條 建立鑒別和認(rèn)證的標(biāo)準(zhǔn)和機(jī)制，建立用戶和口令管理的制度和標(biāo)準(zhǔn)。第三十二條 建立完善的信息系統(tǒng)的訪問控制標(biāo)準(zhǔn)和機(jī)制，加強(qiáng)權(quán)限管理，進(jìn)行網(wǎng)段隔離，嚴(yán)格控制互聯(lián)網(wǎng)出入口，嚴(yán)格管理遠(yuǎn)程訪問和遠(yuǎn)程維護(hù)。第三十三條 建立有效的審計(jì)和跟蹤機(jī)制，建立日志存儲(chǔ)、管理和分析機(jī)制，提高對(duì)安全事件的審計(jì)和事后追查能力。第三十四條 建立有效的機(jī)制和技術(shù)手段來發(fā)現(xiàn)、監(jiān)控、分析和處理信息安全事件和信息安全違規(guī)行為，