- 1、本文档共10页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
移动新媒体聚合管理系统安全管理制度汇编
新华通讯社山西分社
移动新媒体聚合管理系统
安全管理制度汇编
文件编号:
版: :
目录
第一章 安全管理制度总体框架 3
第一节 总则 3
第二节 管理制度框架 3
第二章 信息安全工作总体方针 和总体安全策略 4
第三节 总则 4
第四节 方针、目标和原则 5
第五节 总体安全策略 7
第三章 制定与发布制度 9
第四章 评审和修订制度 10
安全管理制度总体框架
总则
为了进一步规范本单位信息系统安全管理制度的管理工作,根据《中华人民共和国计算机信息系统安全保护条例》、《信息安全等级保护管理办法》、《信息系统安全管理要求》(GBT 20269-2006)和其他有关法律法规的规定,结合本单位实际,特制定本制度。
本单位信息系统的安全管理制度汇编(以下简称管理制度)的制定、论证、审定、发布、评审和修订工作,适用本制度。
管理制度框架
管理制度包括安全管理策略、安全管理规章制度、操作规程三个层次的文档,包含以下方面的内容:
(一)计算机信息系统资源安全管理方面。
(二)计算机信息系统和数据库安全管理方面。
(三)计算机信息网络安全管理方面。
(四)计算机信息系统应用安全管理方面。
(五)计算机信息系统运行安全管理方面。
(六)计算机信息安全管理方面。
应制订信息安全管理体系方针,包括总体方针和安全策略两个方面内容。
总体方针应规定信息安全的基本架构,明确信息安全的根本目标、原则。
安全策略应从物理、网络、主机、数据、应用等层面分别阐述信息安全的目标和原则。
应从物理、网络、主机、数据、应用、建设和管理等层面分别建立安全管理制度。
应建立日常管理的操作规程,如:运维流程、操作手册等。
所有信息安全方针文件、管理制度和流程文件等构成的全面的信息安全管理制度体系。
信息安全工作总体方针 和总体安全策略
总则
为加强和规范安全工作提高信息系统整体安全防护水平,实现信息安全的可控、能控、在控依据国家有关法律、法规本适用于信息系统安全的指导系统安全
持续改进原则
安全管理是一种动态反馈过程,贯穿整个安全管理的生存周期,随着安全需求和系统脆弱性的时空分布变化,威胁程度的提高,系统环境的变化以及对系统安全认识的深化等,应及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级,维护和持续改进信息安全管理体系的有效性。
依法管理原则
信息安全管理工作主要体现为管理行为,应保证信息系统安全管理主体合法、管理行为合法、管理内容合法、管理程序合法。对安全事件的处理,应由授权者适时发布准确一致的有关信息,避免带来不良的社会影响。
分权和授权原则
对特定职能或责任领域的管理功能实施分离、独立审计等实行分权,避免权力过分集中所带来的隐患,以减小未授权的修改或滥用系统资源的机会。任何实体(如用户、管理员、进程、应用或系统)仅享有该实体需要完成其任务所必须的权限,不应享有任何多余权限。
选用成熟技术原则
成熟的技术具有较好的可靠性和稳定性,采用新技术时要重视其成熟的程度,并应首先局部试点然后逐步推广,以减少或避免可能出现的失误。
分级保护原则
按等级划分标准确定信息系统的安全保护等级,实行分级保护;对多个子系统构成的大型信息系统,确定系统的基本安全保护等级,并根据实际安全需求,分别确定各子系统的安全保护等级,实行多级安全保护。
管理与技术并重原则
坚持积极防御和综合防范,全面提高信息系统安全防护能力,立足国情,采用管理与技术相结合,管理科学性和技术前瞻性结合的方法,保障信息系统的安全性达到所要求的目标。
自保护和国家监管结合原则
对信息系统安全实行自保护和国家保护相结合。组织机构要对自己的信息系统安全保护负责,政府相关部门有责任对信息系统的安全进行指导、监督和检查,形成自管、自查、自评和国家监管相结合的管理模式,提高信息系统的安全保护能力和水平,保障国家信息安全。
安全工作的范围是建立相应的安全管理机构,制定相应的安全操作规程;制定信息系统的风险管理计划;提供信息系统安全的自动监视和审计;提供信息系统的认证、验收及使用的授权的规定;提供对信息系统进行强制安全保护的能力和设置必要的强制性安全管理措施,确保数据信息免遭非授权的泄露和破坏,保证信息系统安全运行。
在规划和建设信息系统时,信息系统安全防护措施应按照“三同步”原则,与信息系统建设同步规划、同步建设、同步投入运行。
总体安全策略
物理安全策略
机房和办公场地必须选择在经过防震、防火、防风、防雨、防雷击验收合格的办公大楼内部,机房的窗户需要有防雨水渗透的能力。
机房的位置避免设在大楼的高层或地下室,机房的正上方或隔壁不能是用水量大的房间。
机房出入口必须有专人值守,对工作人员进行登记。
进入机房的工作人员必须由安全管理员或是机房管理
文档评论(0)