移动新媒体聚合管理系统安全管理制度汇编.docVIP

新华通讯社山西分社 移动新媒体聚合管理系统 安全管理制度汇编 文件编号： 版： ： 目录 第一章 安全管理制度总体框架 3 第一节 总则 3 第二节 管理制度框架 3 第二章 信息安全工作总体方针 和总体安全策略 4 第三节 总则 4 第四节 方针、目标和原则 5 第五节 总体安全策略 7 第三章 制定与发布制度 9 第四章 评审和修订制度 10 安全管理制度总体框架 总则 为了进一步规范本单位信息系统安全管理制度的管理工作，根据《中华人民共和国计算机信息系统安全保护条例》、《信息安全等级保护管理办法》、《信息系统安全管理要求》（GBT 20269-2006）和其他有关法律法规的规定，结合本单位实际，特制定本制度。 本单位信息系统的安全管理制度汇编（以下简称管理制度）的制定、论证、审定、发布、评审和修订工作，适用本制度。 管理制度框架 管理制度包括安全管理策略、安全管理规章制度、操作规程三个层次的文档，包含以下方面的内容： （一）计算机信息系统资源安全管理方面。 （二）计算机信息系统和数据库安全管理方面。 （三）计算机信息网络安全管理方面。 （四）计算机信息系统应用安全管理方面。 （五）计算机信息系统运行安全管理方面。 （六）计算机信息安全管理方面。 应制订信息安全管理体系方针，包括总体方针和安全策略两个方面内容。 总体方针应规定信息安全的基本架构，明确信息安全的根本目标、原则。 安全策略应从物理、网络、主机、数据、应用等层面分别阐述信息安全的目标和原则。 应从物理、网络、主机、数据、应用、建设和管理等层面分别建立安全管理制度。 应建立日常管理的操作规程，如：运维流程、操作手册等。 所有信息安全方针文件、管理制度和流程文件等构成的全面的信息安全管理制度体系。 信息安全工作总体方针 和总体安全策略 总则 为加强和规范安全工作提高信息系统整体安全防护水平，实现信息安全的可控、能控、在控依据国家有关法律、法规本适用于信息系统安全的指导系统安全 持续改进原则 安全管理是一种动态反馈过程，贯穿整个安全管理的生存周期，随着安全需求和系统脆弱性的时空分布变化，威胁程度的提高，系统环境的变化以及对系统安全认识的深化等，应及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级，维护和持续改进信息安全管理体系的有效性。 依法管理原则 信息安全管理工作主要体现为管理行为，应保证信息系统安全管理主体合法、管理行为合法、管理内容合法、管理程序合法。对安全事件的处理，应由授权者适时发布准确一致的有关信息，避免带来不良的社会影响。 分权和授权原则 对特定职能或责任领域的管理功能实施分离、独立审计等实行分权，避免权力过分集中所带来的隐患，以减小未授权的修改或滥用系统资源的机会。任何实体（如用户、管理员、进程、应用或系统）仅享有该实体需要完成其任务所必须的权限，不应享有任何多余权限。 选用成熟技术原则 成熟的技术具有较好的可靠性和稳定性，采用新技术时要重视其成熟的程度，并应首先局部试点然后逐步推广，以减少或避免可能出现的失误。 分级保护原则 按等级划分标准确定信息系统的安全保护等级，实行分级保护；对多个子系统构成的大型信息系统，确定系统的基本安全保护等级，并根据实际安全需求，分别确定各子系统的安全保护等级，实行多级安全保护。 管理与技术并重原则 坚持积极防御和综合防范，全面提高信息系统安全防护能力，立足国情，采用管理与技术相结合，管理科学性和技术前瞻性结合的方法，保障信息系统的安全性达到所要求的目标。 自保护和国家监管结合原则 对信息系统安全实行自保护和国家保护相结合。组织机构要对自己的信息系统安全保护负责，政府相关部门有责任对信息系统的安全进行指导、监督和检查，形成自管、自查、自评和国家监管相结合的管理模式，提高信息系统的安全保护能力和水平，保障国家信息安全。 安全工作的范围是建立相应的安全管理机构，制定相应的安全操作规程；制定信息系统的风险管理计划；提供信息系统安全的自动监视和审计；提供信息系统的认证、验收及使用的授权的规定；提供对信息系统进行强制安全保护的能力和设置必要的强制性安全管理措施，确保数据信息免遭非授权的泄露和破坏，保证信息系统安全运行。 在规划和建设信息系统时，信息系统安全防护措施应按照“三同步”原则，与信息系统建设同步规划、同步建设、同步投入运行。 总体安全策略 物理安全策略 机房和办公场地必须选择在经过防震、防火、防风、防雨、防雷击验收合格的办公大楼内部，机房的窗户需要有防雨水渗透的能力。 机房的位置避免设在大楼的高层或地下室，机房的正上方或隔壁不能是用水量大的房间。 机房出入口必须有专人值守，对工作人员进行登记。 进入机房的工作人员必须由安全管理员或是机房管理