信息安全策略-v1.0.docVIP

保密等级 秘密 文档名称 信息安全策略 文档编号 发布组织 信息安全工作委员会 发布日期 2009-1-5 执行日期 2009-1-5 版 本 号 1.0 信息批准人签字 审核人签字 制订人签字 曹立斌 日期： 2009-1-5 金浩海 日期：2009-1-5 金浩海 日期： 2009-1-5  变更履历 序号 版本编号或更改记录编号 变化 状态 * 简要说明(变更内容、变更位置、变更原因和变更范围) 变更日期 变更人 审核人 批准人 批准日期 1 1.0 C 创建，全页。 2009-1-5 金浩海 金浩海 曹立斌 2009-1-5 *变化状态：C——创建，A——增加，M——修改，D——删除 目 录 1. 目的和范围 4 2. 术语和定义 4 3. 引用文件 5 4. 职责和权限 6 5. 信息安全策略 6 5.1. 信息系统安全组织 6 5.2. 资产管理 8 5.3. 人员信息安全管理 9 5.4. 物理和环境安全 11 5.5. 通信和操作管理 13 5.6. 信息系统访问控制 17 5.7. 信息系统的获取、开发和维护安全 20 5.8. 信息安全事故处理 23 5.9. 业务连续性管理 24 5.10. 符合性要求 26 1 附件 27  目的和范围 本文档制定了的信息系统安全策略，作为信息安全的基本标准，是所有安全行为的指导方针，同时也是建立完整的安全管理体系最根本的基础。 信息安全策略是在信息安全现状调研的基础上，根据ISO27001的最佳实践，结合现有规章制度制定而成的信息安全方针和策略文档。本文档遵守政府制定的相关法律、法规、政策和标准。本安全策略得到领导的认可，并在公司内强制实施。 建立信息安全 可用性 确保经过授权的用户在需要时可以访问信息并使用相关信息资产。 确保只有经过授权的人才能访问信息 完整性 保护信息和信息的处理方法准确而完整 保密信息 安全规章定义的密级信息。 信息安全策略 正确使用和管理IT信息资源并保护这些资源使得它们拥有更好的保密性、完整性、可用性的策略。 风险评估 评估信息安全漏洞对信息处理设备带来的威胁和影响及其发生的可能性。 风险管理 以可以接受的成本，确认、控制、排除可能影响信息系统的安全风险或将其带来的危害最小化的过程。 计算机机房 装有计算机主机、服务器和相关设备的，除了安装和维护的情况外，不允许人员在里边工作的专用房间。 员工 在系统内工作的正式员工、雇佣的临时工作人员。 用户 被授权能使用IT系统的人员。 信息资产 与信息系统相关联的信息、信息的处理设备和服务。 信息资产责任人 是指对某项信息资产安全负责的人员。 合作单位单位 第三方访问 指非本单位的人员对信息系统的访问。 IT外包服务 是指企业战略性选择外部专业技术和服务资源，以替代内部部门和人员来承担企业IT系统或系统之上的业务流程的运营、维护和支持的IT服务。 安全事件 利用信息系统的安全漏洞，对信息资产的保密性、完整性和可用性造成危害的事件。 故障 是指信息的处理、传输设备运行出现意外障碍，以至影响信息系统正常运转的事件。 安全审计 通过将所选类型的事件记录在服务器或工作站的安全日志来跟踪用户活动的过程。 超时设置 用户如果超过特定的时限没有进行动作，就触发其他事件（如断开连接、锁定用户等）。 词语使用 必须 表示强制性的要求。 应当 好的做法所要达到的要求，条件允许就要实施。 可以 表示希望达到的要求。 引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。 ISO/IEC 27001:2005 信息技术-安全技术-信息安全管理体系要求 ISO/IEC 17799:2005 信息技术-安全技术-信息安全管理实施细则 职责和权限 信息安全工作小组：负责对信息安全策略进行编写、评审，监督和检查公司全体员工执行情况。 信息安全策略 目标：为信息安全提供管理指导和支持，并与业务要求和相关的法律法规保持一致。 策略下发 本策略必须得到管理层批准，并向所有员工和相关第三方公布传达，全体人员