XX信息系统安全总体策略.docVIP

《XX信息系统安全总体策略》 编制说明 根据XX信息系统安全管理体系框架，XX信息系统安全总体策略是顶层的管理文档，是XX信息系统安全保障工作的出发点和核心，是XX信息系统安全保障管理实践和技术措施的指导性文件。XX信息系统安全总体策略是XX单位内所有工作人员必须遵循的信息安全行为准则。 本总体策略主要内容包括：人员安全、资产分类与控制、物理和环境安全、系统开发和维护、访问控制、个人计算机安全、风险管理、业务持续性管理与灾难恢复、计算机与网络运行管理、遵循性等十个方面。 目 录 1安全策略概述 1 1.1简介 1 1.2范围 1 1.3目标 1 1.4遵循 2 1.5安全组织 2 1.5.1信息安全管理组织 2 1.5.2信息安全职责分配 3 1.6术语表及其定义 4 2资产分类与控制 6 2.1信息分类 6 2.1.1资产分类 6 2.1.2资产保护 6 2.1.3分类标记 6 2.1.4文档分类 7 2.2资产的可审计性 7 3人员信息安全策略 8 3.1工作定义及资源的安全 8 3.2用户培训 8 3.3事件报告 9 3.4外部访问者 9 3.5工作人员调转和解聘 9 3.6信息处理设备可接受的使用策略 9 3.7处理从互联网下载的软件和文件 11 3.8工作人员保密协议 11 3.9知识产权权利 11 4物理和环境安全 12 4.1安全域 12 4.2设备安全 12 4.3物理访问控制 13 4.4建筑和环境的安全管理 14 4.5数据中心访问记录管理 14 4.6设备和电缆安全 14 4.7设备装载、处置或重新使用 15 5计算机和网络的运行管理 16 5.1操作规程和职责 16 5.2操作变更控制 17 5.3系统计划编制和批准 17 5.4软件和信息保护 17 5.5介质的处理和安全性 17 5.6维护完整性和可用性 18 5.7鉴别和网络安全 18 5.8数据交换 19 5.9操作人员日志 19 5.10错误日志记录 19 5.11网络安全管理 20 5.12信息和软件交换 20 5.13网上业务安全 21 5.14电子邮件安全 21 5.15病毒防范策略 21 5.16因特网安全策略 22 5.17备份与恢复 22 5.18入侵检测 23 5.19加密 23 6访问控制 25 6.1应用程序访问控制 25 6.2计算机访问控制 25 6.3帐号管理 26 6.4口令管理 26 6.5权限管理 28 7系统开发和维护 29 7.1系统的安全需求 29 7.2信息系统的安全 29 7.3信息系统文件的安全 29 7.4开发和支持环境的安全 29 7.5软件开发和维护 30 8个人计算机和信息安全 31 9风险管理 32 10业务连续性管理，恢复 33 10.1业务连续性管理的特点 33 10.2业务连续性管理程序 33 10.3业务连续性和影响分析 33 10.4编写和实施连续性计划 34 10.5业务连续性计划框架 34 10.6业务连续性计划的检查、维护和重新分析 35 11遵循性 36 11.1软件的使用 36 11.2防止滥用IT工具 36 11.3对安全策略的遵循性 36 参考标准及法规 37  1安全策略概述 1.1简介 XX信息系统相关的信息和支撑系统、程序等，不论它们以何种形式存在，均是XX信息系统的关键资产。信息的可用性、完整性和机密性是信息安全的基本要素，关系到XX单位的形象和业务的持续运行。因此，必须保护这些资产不受威胁侵害（威胁可能来自各个方面，如网络诈骗、侦探、病毒或黑客，自然灾害等）。定义和监督执行XX信息系统安全总体策略是XX信息系统安全管理部门的职责。 XX信息系统是存储、传输、处理大量关于某种业务关键信息的系统。这些信息受国家法律保护，必须保证其安全。确保XX信息系统的持续可靠运行需要在信息系统的全生命周期内从技术、管理、工程实施、运行等方面进行安全保障。 随着信息技术的发展，信息安全技术也不断发展，XX信息系统面临的安全威胁也可能在不断变化，为了应对安全要求及各种约束条件的变化，对于安全策略及其相应的支撑管理规程和制度需要不断的修订和改进。 1.2范围 信息安全关系到所有类型的信息和存贮、处理或传输这些信息的硬件、软件及固件。本策略适用于XX单位内所有的业务信息系统及其工作人员。然而，需要不同的部门要根据其自身的特点，对需求、威胁、风险、信息类型进行针对性的规定。 1.3目标 信息安全的目标就是确保业务的连续性，并通过一系列预防措施将业务可能受到的损害降到最低，将安全事故产生的影响降到最低。信息安全管理应在确保信息和计算机资产受到保护的同时，确保信息能够在允许的范围内正常运行使用。对每种资产的保护程度由以下四个基本要素决定： 机密性 完整性 可用性 可审计性 同样，