網络通信信息安全总体策略20111215.doc

网络通信信息安全总体策略 前言 为确保公司业务网络通信信息安全，建立完善规范的信息安全体系，特制定彩维码信息安全总体策略，以指导公司有序开展网络信息安全相关工作。 总则 为确保公司网络通信信息安全，保证信息安全意识和保护措施贯穿于信息系统生命周期的各个阶段，为公司网络信息系统的安全管理工作建立科学的参照体系，使信息安全工作在统一体系和整体框架的指导下，各个环节有效配合，充分发挥信息安全工作的效果，特制定本标准。 安全策略体系是信息安全体系的核心，为整个信息安全体系提供指导和支持。公司通过在组织内发布和落实安全策略来保证对信息安全的承诺与支持。 本标准提出了公司网络通信信息安全的总体策略，是公司网络安全策略体系的总体说明，为公司开展内网信息安全相关工作提供依据，指导公司的安全建设、管理和运营工作有序开展。 公司的所有员工必须遵守本标准的规定，并依据本标准加强对外部组织的管理，如由于未遵循本标准导致出现安全问题，由相关部门和责任人员负责。 安全管理组织结构和管理制度 安全管理组织结构 公司网络信息安全实行统一领导、分级管理、专业分工负责的原则。 公司网络信息安全组织包括领导机构和工作组织。领导机构是公司级别的信息安全常设组织，全面负责公司的信息安全工作，该机构由公司级别主管领导负责，各相关部门领导组成，是公司网络信息安全管理的决策机构。工作组织是公司各部门建立的专职或兼职的安全队伍，从事具体的安全工作。 公司网络信息安全领导机构应为公司的安全管理指明方向，并提供强有力的管理层支持。安全领导机构应通过合理的承诺和充分的资源配置，来推进整个公司的信息安全工作。安全领导机构承担以下工作： 审查并批准公司的信息与网络安全策略； 分配安全管理总体职责； 在网络信息系统相关资产暴露重大威胁时，监督控制可能发生的重大变化； 对安全管理的重大更改事项（例如：组织机构调整、关键人事变动、信息系统更改等）进行决策； 指挥、协调、督促并审查重大安全事件的处理。 公司网络信息安全工作组织为解决安全工作中出现的问题，防止相互推诿，提高工作效率，应建立跨部门的协调机制，具体协调机构应由各部门从事安全工作的相关人员组成，并明确牵头部门及人员。安全工作组织承担以下工作： 制定相关的安全岗位及职责； 制定并落实相关安全管理制度； 制定并落实安全保护方案； 审批新系统或服务的规划及设计中的安全部分，并监督其实施落实； 审批业务连续性方案； 牵头处理信息与网络安全事件； 组织安全评估和安全审计工作； 辅助领导机构进行安全方面的决策； 完成部门间的协调工作，分派并落实某项具体工作中各部门的职责； 获取和发布安全信息； （十一） 完成领导机构下达的各项任务。 责任分配 公司网络信息安全责任分配的基本原则是“谁主管，谁负责”。 公司必须明确“所有人”和“维护人”的工作职责；“所有人”由公司根据资产归属特别指定，承担着资产安全的最终责任；“维护人”的工作职责由“所有人”制定，并接受“所有人”的定期检查；当“所有人”和“维护人”为部门时，由部门领导实际负责。 在资产责任制度中，可对资产所有人、资产维护人等的职责和权利作如下细化： 所有人是负责管理信息与网络资产并落实相应安全措施的个人或部门，职责和权限包括： 所有信息与网络资产都必须指定所有人。 所有人及其领导负责进行风险分析，根据信息保密标准分类确定、鉴别并记录其所拥有的信息与网络资产的安全级别。该级别至少每年评审一次。 所有人必须贯彻、落实恰当的安全控制措施，确保只有在工作必须的情况下才能使用相关资产。 所有人可以为其负责的资产指派维护人，或自己担当此任。 所有人可基于工作需要分配访问权，并与维护人共同负责保证信息与网络资产的可用性。 所有人必须至少每六个月审查一次其资产的访问权限。评审流程必须记录在案，并保留到下一次审查结束之前。 维护人是支持并维护信息系统相关资产的人员，职责和权限包括： 维护人可以根据所保管资产的保密类别来确定相应实物资产的安全管理流程，包括物理保护及程序性保护，以确保信息与网络资产所有人所要求的机密性、完整性和可用性。 所有人应确保适当的安全措施到位，并可以适度向下委派。如若需要，可以确定备用联络人。维护人必须保留所有人的名单。 维护人必须通知所有人其所应承担的安全职责。 未经所有人许可，维护人不得重新划分信息的类别。 公司网络信息安全组织的职责是指导、监督、管理、考核“所有人”的安全工作，不能替代“所有人”对具体信息与网络资产进行安全保护。公司网络信息安全相关工作应遵循职责分离的原则，以减少误用或滥用权力带来风险的概率，在无法实现职责充分分离的情况下，应采取其他补偿控制措施并制定流程文档记录在案。 公司网络信息安全组织应加强与国家安全机关、行业监管部门、