上海海关学院信息安全管理方针-科技处.docVIP

上海海关学院信息安全管理方针 1 总则 【目的】本文件为上海海关学院（以下简称：海关学院）信息安全管理的纲领性文件，明确提出海关学院在信息安全管理方面的工作要求，指导信息安全管理工作。信息安全管理方针是海关学院领导层对信息安全目标的具体表述，为信息安全管理制度文件提供指引，其它文件在制定时不得违背本文件中的规定或与信息安全策略发生抵触。以确保业务系统安全、稳定和可靠的运行，提升信息化服务质量，不断推动信息安全工作的健康发展。 【依据】结合和参考《中华人民共和国计算机信息系统安全保护条例》、《信息安全等级保护管理办法 试行》、《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）等制定相关管理规范，并落实符合海关学院系统安全保护等级要求和管理方针。 【范围】本文件适用于海关学院与信息安全相关的各项活动。 2 信息安全组织策略 建立针对内部组织和外部组织的安全策略，促进海关学院建立合理的信息安全管理组织机构与功能，以协调、监控信息安全目标的实现。 信息安全组织策略一（内部建立信息安全管理架构）。 策略目标 实现在海关学院内部有效地管理信息安全。 策略内容 建立专门的信息安全组织体系，以管理信息安全事务，指导信息安全实践。 策略描述 通过建立信息安全管理组织，启动和控制海关学院范围内信息安全工作的实施，批准信息安全方针与策略，确定信息安全管理人员和职责分工，协调整个信息安全管理制度的推行和落实。 根据需要，还应建立与外部安全专家或组织的联系，方便跟踪行业趋势，学习各类先进的标准和评估方法。 信息安全组织策略二（对访问海关学院信息资产的外部组织进行严格管理）。 策略目标 确保被外部组织访问的信息资产得到有效安全防护。 策略内容 海关学院信息处理设施和信息资产的安全性不应由于客户、第三方等外部组织的访问或由于引入外部产品或服务而降低。当任何外部组织需要对内部信息处理设施进行访问、对信息资产进行处理时，内部相应接口部门应与外部组织签订协议，并采取有效措施进行安全控制。 策略描述 将不可避免地需要与外界进行业务往来与信息沟通，经常需要向外部组织开放其信息资产和信息处理设施。因此，需要对由于外部组织访问而带来的安全风险进行评估，并根据风险水平，在必要时与外部组织签订协议，向其声明信息安全方针与策略，确定所需的安全控制措施。 3 资产安全管理策略 为有效地控制信息安全风险，首先需要识别信息资产。只有对资产进行科学而有效地分类，并在各个管理层面落实对资产的保护责任，采用恰当的控制措施才能实现对信息资产的风险管理。本节通过以下两个策略进行对信息资产的有效管理。 资产管理策略一：对信息资产建立问责机制，为实施适当保护奠定基础。对所有信息资产进行识别，建立资产清单并说明使用规则，明确定义信息资产责任人及其职责，为信息资产建立问责机制。 所有资产需标识出责任人，通常可定义为信息资产的所有者、保管者、维护者和使用者，同时需要明确不同责任主体的职责。对信息资产的安全控制可以由信息资产所有者委派具体的保管者或维护者来承担，但所有者和使用者仍对资产承担一定的保护责任。 资产管理策略二：通过对信息资产的分类，明确其可以得到适当程度的保护。应按照信息资产的价值、法律要求及对组织的敏感程度和对业务支撑的关键程度来进行分类分级和资产表示。 信息资产的分类分级及相关保护控制需要考虑业务需求以及与其相关的业务影响。资产所有者的职责应包括确定资产的类别，进行必要的标识，并对其进行周期性评审，确保其与组织的内外环境变化相适应。 信息资产的分类分级基于业务相关性，从资产的机密性、完整性和可用性三方面进行分别进行评估，并根据这三个方面考虑资产的保护级别 4 人员安全管理策略 网络与信息安全领导小组的成员要明确并履行各自的安全职责，包括信息资产保护的责任、执行特定安全过程的责任及授权级别，保证单位的安全责任能有效落实。 保持与海关相关部门的及相关安全厂商的适当联系，并明确在发生重大信息安全事件后与相关部门进行联系，确保能及时得到相关部门组织的支持和帮助。 定期（或出现重大安全变化时）对我院的信息安全方法和实施进行评审，确保管理信息安全方法的持续适宜性、充分性和有效性。评审的对象包括控制目标、控制措施、安全策略、程序文件和作业指导书。评审信息安全领导小组来启动，如果评审识别出信息安全方法和实施不符合当前的安全要求，信息安全领导小组要及时考虑纠正措施。评审的结果要记录成文件，并报告给学院领导，得到授权后发布至我院全体员工。 识别外部机构访问我院的信息和信息处理设施的风险，包括被访问的信息处理设施、访问类型、被访问信息的重要性、不被访问的信息需要