安全策略v1.0.0.docx

信息安全策略V1.0.0城联数据有限公司修订历史时间版本拟制人审核人历史记录2014.8.10V1.0.0初始版本1.引言文档目的本文档制定了关于公司的信息安全策略，作为公司信息安全的基本标准，是公司所有安全行为的指导方针，同时也是公司建立完整的安全管理体系最根本的基础。建立本信息安全策略的目的概括如下：在公司内部建立一套通用的、行之有效的安全机制；在公司的员工中树立起安全责任感；在公司中增强信息资产可用性、完整性和保密性；在公司中提高全体员工的信息安全意识和信息安全知识水平。参考信息Information Technology -- Code of Practice for information security management (ISO 17799)《涉密计算机系统口令字使用管理指南》《中华人民共和国档案法》《中华人民共和国国家标准GB 50174-93 电子计算机机房设计规范》《城联数据有限公司IT信息管理制度》2.术语和定义解释信息安全是指保护信息资产免受多种安全威胁，保证业务连续性，将安全事件造成的损失降至最小，同时最大限度地获得投资回报和商业机遇。可用性确保经过授权的用户在需要时可以访问信息并使用相关信息资产。保密性确保信息只被授权的访问。完整性保护信息和处理过程的准确和完整。信息安全策略正确使用和管理IT信息资源并保护这些资源使得它们拥有更好的保密性、完整性、可用性的策略。风险评估评估信息安全漏洞对信息处理设备带来的威胁和影响及其发生的可能性。风险管理以可以接受的成本，确认、控制、排除可能影响信息系统的安全风险或将其带来的危害最小化的过程。计算机机房装有计算机主机、服务器和相关设备的，除了安装和维护的情况外，不允许人员在里边工作的专用房间。员工公司内工作的干部、职工、雇佣的临时工。用户被授权能进入IT系统的人员。信息资产与信息系统相关联的信息、信息的处理设备和服务。信息资产责任人是指对某项信息资产安全负责的员工。合作单位是指与公司有业务往来的单位，包括承包商、服务提供商、设备厂商、外包服务商、贸易伙伴等。安全事件利用信息系统的安全漏洞，对信息资产的保密性、完整性和可用性造成危害的事件。故障是指信息的处理、传输设备运行出现意外障碍，以至影响信息系统正常运转的事件。缩写城联城联数据有限公司ITInformation Technology词语使用必须表示强制性的要求。应当好的做法所要达到的要求，条件允许就要实施。可以表示希望达到的要求。3.信息安全总体策略信息安全总体策略是城联信息安全行为的指导方针，也是建立完整的安全管理体系和技术体系的最根本基础。安全总体策略的实施在公司内部建立起一套行之有效的安全机制，增强信息资产的可用性、完整性和保密性，在员工中树立起安全责任感并提高信息安全意识和信息安全知识水平。我们已制定了一套完整的针对公司的信息安全策略（详细内容见安全策略文档），概括包括以下几个方面的要求：公司信息系统安全管理工作采取统一管理、分级负责的方式，由决策层、管理层和执行层组成。各部门之间必须紧密配合共同进行安全系统的维护和建设，进行信息安全风险评估工作，并对安全规定进行复审。3.1信息系统资产分类管理对系统资产进行分类管理，包括建立资产目录、信息分类、制定和执行资产处理的各项规章制度等。所有公司的信息资产应该及时更新，明确每项信息资产及其责任人和安全分类，对重要的资料档案要妥善保管，保证能够随时使用。3.2人员信息安全管理人员信息安全管理原则员工必须遵守公司制定并下发的保密规定，做好员工录用和岗位变更时相应的权限变更。员工安全意识培养各部门采用已制定的企业信息安全策略、标准对不同类型的员工进行信息安全培训，培养员工安全意识，确保员工在信息安全程序中具备正确态度，使员工意识到信息安全的必要性。安全事件和故障处理建立一个员工报告安全事件和故障的沟通渠道，并制定书面的安全事件和故障的报告流程。对于违反公司信息安全策略并造成严重后果的员工，应当根据相关规定给予处罚。3.3信息系统物理和环境安全必须明确划分安全区域并配备充足的安全设备，如门禁系统、摄像监视等，所有可以进出安全区域的大门必须能防止未经授权的进出。机房必须遵守公司计算机机房的有关规则，按照设备维护要求的时间间隔和规范，对设备进行维护，有效防止资产流失、受损或毁坏以及业务活动中断。3.4信息系统通讯与日常操作安全管理操作程序和责任对于日常维护工作必须按照规定的系统操作流程进行，建立信息处理设备和信息系统变更管理流程，保留主机、网络及业务系统的有关信息的审计日志，必须分离开发设备与业务设备的环境。系统规划与验收安全准则系统规划和验收流程必须考虑实现安全控制和业务连续性的要求。对于处理和存储重要信息的信息系统，在系统验收前应当完成设计审核、缺陷分析及安全