《信息安全管理办法》.docVIP

信息安全管理办法 1.概述 目的 为指导安全等级保护相关工作，做好的信息安全保障工作。 范围 为信息安全职能部门进行监督、检查和指导的依据。随着内容的补充和丰富，为等级保护工作的开展提供指导。 术语 敏感数据 敏感数据是指一旦泄露可能会对用户或人民银行造成损失的数据，包括但不限于： 1.用户敏感数据，如用户口令、密钥； 2.系统敏感数据，如系统的密钥、关键的系统管理数据； 3.其它需要保密的敏感业务数据； 4.关键性的操作指令； 5.系统主要配置文件； 6.其他需要保密的数据。 风险 某种威胁会利用一种资产或若干资产的脆弱性使这些资产损失或破坏的可能性。 安全策略 主要指为信息系统安全管理制定的行动方针、路线、工作方式、指导原则或程序。 安全需求 为使设备、信息、应用及设施符合安全策略的要求而需要采取的保护类型及保护等级。 完整性 包括数据完整性和系统完整性。数据完整性表征数据所具有的特征，即无论数据形式作何变化，数据的准确性和一致性均保持不变的程度；系统完整性表征系统在防止非授权用户修改或使用资源和防止授权用户不正确地修改或使用资源的情况下，系统能履行其操作目的的品质。 可用性 表征数据或系统根据授权实体的请求可被访问与使用程度的安全属性。 弱口令 指在计算机使用过程中，设置的过于简单或非常容易被破解的口令或密码。 2.信息安全保障框架 2.1 信息安全保障总体框架 2.2 信息