ISMS安全策略.doc

ISMS安全策略 文件编码：XXX-II-07 版 本：1.0 发布日期：2006-11-27 安全组织内容 信息安全管理委员会负责协调信息安全建设所需的人员、资金、设备、场地等资源，制定人员安全技能和安全意识培训的计划，对xxx的信息安全建设工作提供支持。 信息安全管理委员会的成员来自信息中心不同的部门，这些成员要保证安全活动的实施与安全策略一致，核准信息安全相关的方法和过程（如风险评估、信息分类等），评估安全控制措施实施的充分性和协调性，促进信息安全教育、培训和人员安全意识的提高，有效、合理协调xxx信息安全建设的工作。 信息安全管理委员会的成员要明确并履行各自的安全职责，安全职责包括资产保护的责任、执行特定安全过程的责任以及授权级别，保证信息中心的安全责任能有效落实。 保持与政府相关部门的适当联系（如北京市信息办、北京市信息安全测评中心等），并明确在什么情况下应该与哪些部门进行联系，确保在出现安全问题时，能及时得到政府相关部门的支持和帮助。 保持与外部安全专家的适当联系（如国信办专家、北京市信息办专家、BJCA安全专家等），了解信息安全的最新知识和政策，获取关于新技术、产品、威胁或脆弱性的信息，尽早接受到关于攻击和脆弱性的警告、建议和补丁，保证xxx的安全问题能得到专家的有效指导和建议。 定期（或出现重大安全变化时）对xxx的信息安全方法和实施进行评审，确保管理信息安全方法的持续适宜性、充分性和有效性。评审的对象包括控制目标、控制措施、安全策略、程序文件和作业指导书。评审由信息安全管理委员会来启动，评审的结果要记录成文件，并报告给总工程师。如果评审识别出信息安全方法和实施不符合当前的安全要求，信息安全管理委员会必须及时考虑纠正措施。 控制任何外部机构对xxx信息处理设施的访问、对信息资产的处理以及与信息系统进行了通信，保证xxx被外部各方访问、处理、管理或与外部进行通信的信息和信息处理设施的安全，确保在引入外部产品和服务的同时，不降低信息处理设施和信息资产的安全。 识别外部机构访问xxx信息和信息处理设施的风险，包括被访问的信息处理设施、访问类型、被访问信息的重要性、不被访问信息需要的控制措施、外部访问的人员等，并在允许访问前实施适当的控制措施，确保外部机构的访问不影响信息和信息处理设施的安全。 外部机构的人员在访问xxx资产前必须明确相关的安全要求，包括被资产的保护要求、访问控制策略、信息安全事故和安全违规的报告、承担的责任和业务。通过签订协议来落实这些安全要求，保证外部机构人员不会对访问的资产造成破坏。 在现有信息系统中新增产品或服务，以及对现有信息系统进行变更时，必须在相关的协议中，明确体现所有涉及的安全要求，主要包括资产保护要求、安全职责要求、访问控制要求以及变更管理要求等方面，并保证严格执行协议中规定的各项条款。 资产管理策略 所有的资产要指定责任人，并对责任人赋予相应的职责，确保所有资产都可以核查。 根据资产的重要性、业务价值、依赖程度，对所有资产进行分类、分级，编制资产的清单。对资产清单妥善保管，并在资产变更时及时更新清单，确保可以对资产进行有效的保护。 指定负责所有资产的部门或责任人，责任部门或责任人对资产的安全承担责任，保证资产能得到有效保护。 制定资产使用的规则，形成文件并加以实施。信息中心所有员工和外单位人员应遵守这些规则，对资产的使用负责，以保证对资产的合理使用。 根据对信息中心的价值、法律要求、敏感性和关键性对信息中心的信息进行分类、分级保护，为每一个类别和级别指定相应的处理措施，并在处理信息时指明保护的需求、优先级和期望程度，确保信息受到适当级别的保护。 人员安全策略 应根据员工职位说明书严格履行各自的安全角色和职责，主要包括保护资产免受未授权的访问、泄漏、修改、销毁或干扰，执行特定的安全过程或活动，报告安全事件或其他风险。安全角色和职责必须清晰的传达给所有员工，确保他们能清楚各自的安全责任。 外单位人员在访问信息中心信息处理设施前必须签署保密协议，保密协议内容包括外单位人员访问信息资产的权利、承担的安全责任、违反职责要承担的后果等。要保证外单位人员了解保密协议的条款和内容，并同意协议规定的权利和责任。 信息安全管理委员会应该承担管理职责，保证所有员工和外单位人员能按照安全方针、策略和程序进行日常工作。管理职责包括使所有员工和外单位人员清晰了解各自的安全角色和安全职责、提高他们的安全意识和安全技能等。 定期对所有员工和外单位人员进行安全培训，培训内容包括信息中心的安全方针、策略、程序、信息处理设施正确使用方法、安全意识等。根据人员的安全角色和职责制定不同的培训计划，保证所有员工和外单位人员能认识到信息安全问题和信息安全事件，并能安装各自的安全角色履行安全职责。 制定正式的纪律处理过程