上海海关学院信息安全管理方针.doc

上海海关学院信息安全管理方针 1 总则 【目的】本文件为上海海关学院（以下简称：海关学院）信息安全管理的纲领性文件，明确提出海关学院在信息安全管理方面的工作要求，指导信息安全管理工作。信息安全管理方针是海关学院领导层对信息安全目标的具体表述，为信息安全管理制度文件提供指引，其它文件在制定时不得违背本文件中的规定或与信息安全策略发生抵触。以确保业务系统安全、稳定和可靠的运行，提升信息化服务质量，不断推动信息安全工作的健康发展。 【依据】结合和参考《中华人民共和国计算机信息系统安全保护条例》、《信息安全等级保护管理办法 试行》、《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）等制定相关管理规范，并落实符合海关学院系统安全保护等级要求和管理方针。 【范围】本文件适用于海关学院与信息安全相关的各项活动。 2 信息安全组织策略 建立针对内部组织和外部组织的安全策略，促进海关学院建立合理的信息安全管理组织机构与功能，以协调、监控信息安全目标的实现。 信息安全组织策略一（内部建立信息安全管理架构）。 策略目标 实现在海关学院内部有效地管理信息安全。 策略内容 建立专门的信息安全组织体系，以管理信息安全事务，指导信息安全实践。 策略描述 通过建立信息安全管理组织，启动和控制海关学院范围内信息安全工作的实施，批准信息安全方针与策略，确定信息安全管理人员和职责分工，协调整个信息安全管理制度的推行和落实。 根据需要，还应建立与外部安全专家或组织的联系，方便跟踪行业趋势，学习各类先进的标准和评估方法。 信息安全组织策略二（对访问海关学院信息资产的外部组织进行严格管理）。 策略目标 确保被外部组织访问的信息资产得到有效安全防护。 策略内容 海关学院信息处理设施和信息资产的安全不应由于客户第三方的访问或引入外部产品或服务而降低。当任何外部需要对信息处理设施进行访问、对信息资产进行处理时，部门应与外部签订协议，并采取有效措施进行安全控制。不可避免地需要与外界进行业务往来与信息沟通，经常需要向外部组织开放其信息和信息处理设施。因此，需要对外部组织访问带来的安全风险进行评估，并根据风险水平，在必要时与外部组织签订协议，向其声明信息安全方针与策略，确定所需的安全控制措施。 为有效地控制信息安全风险，首先需要识别信息资产。只有对资产进行科学而有效分类，在各个管理层面资产责任，采用恰当的控制措施信息资产风险管理本通过以下策略对信息资产的有效管理。信息资产进行识别建立资产清单使用规则，明确定义信息资产责任人及其职责，为信息资产建立问责。资产标识出责任人，通常可定义信息资产的所有者、者和使用者，明确不同责任主体的职责。对信息资产的安全控制可以由信息资产所有者委派具体的者来承担，但所有者和使用者仍对资产承担一定的保护责任。确定资产的类别，进行必要的标识，对其进行周期性评审，确保其与组织的内外环境变化相适应。信息资产分类从机密性、完整性可用性方面进行评估，保护级别 网络与信息 根据海关学院各区域资产的安全需求和风险评估结果，使用门禁、监视设备、访问控制手段等物理保护措施，来对边界提供物理保护，防止被未授权访问和恶意破坏。 使用安全控制措施，对重要区域的入口进行控制，确保只有授权人员才可以访问物理机房及重要区域。安全控制措施包括记录访问者进入和离开的时间，审计访问重要区域的行为，第三方人员需要有专人陪同等。要对重要区域的访问权限定期进行评审，必要时进行更新和废除。 使用物理保护措施，对来自外部和环境的威胁提供安全防护，防止由于火灾、洪水、地震、爆炸、社会动荡和其他形式的自然或人为灾难而引起的破坏。物理保护措施包括危险或易燃材料在离重要区域安全距离以外的地方存放，恢复设备和备份媒体的存放地点与主场地要保持安全距离。 我院校员工和第三方人员应严格遵守出入指南，避免由于误操作对重要区域设备造成的物理破坏并减少恶意活动，不允许非授权携带移动存储介质或其他记录设备。 合理安置和保护设备，包括将设备安置到安全区域并尽量减少不必要的对安全区域的访问，将处理敏感数据的信息处理设施放在限制观测的位置，禁止在信息处理设施附近进食、喝饮和抽烟，以减少由环境威胁造成的风险和避免对设备的非授权访问。 提供足够的支持性设施，包括使用不间断电源（UPS）及温度控制系统，定期进行检查、测试以确保功能有效等，来减少由于他们的故障或失效带来的风险，并使设备避免由他们引起的电源故障和其他中断。 对传输数据和支持信息服务的电源布缆、通信布缆进行有效防护，保证他们免受损坏。防护措施包括将电源和电信线路埋在地下，分开电源电缆和通信电缆以防止干扰，使用清晰的电缆识别标记以防止操作失误等。 对设备进行正确维护，以确保其持续的可用性和完整性。要按照设备供应商建议的时间间隔