信息安全管理体系方针和安全策略中国科学院沈阳应用生态研究所前言.docVIP

信息安全管理体系 方针和安全策略 中国科学院沈阳应用生态研究所 前 言 为了保障中国科学院沈阳应用生态研究所（以下简称沈阳生态所）信息系统的安全，促进信息化建设的顺利进行，保障信息化的应用和发展，根据国家、行业及主管部分相关规定制定本规范。 本制度由信息中心提出。 本制度由信息中心归口。 本制度起草部门：信息中心 本制度主要起草人：岳倩 本制度起草日期：2016/01/05 信息安全管理体系方针和安全策略 范围 本制度规定了沈阳生态所信息安全管理体系的总体方针及安全策略。 本制度适用于沈阳生态所开展的信息安全管理工作。 术语和定义 2.1信息系统 指由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 2.2信息安全 为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露。 总体方针 机构健全，职责明确，科学预防，全员参与，安全运行。 安全策略 4.1总体策略 全面落实信息安全等级保护基本制度，坚持“同步规划、同步建设、同步运行”的原则；技术上，做到分区分域，内外兼防，冗余备份，成熟可靠，动态预警，整体防护；管理上，做到技术与管理同步，制度与教育并行，检查与考核结合；运维上，做到关键环节可控可管，运维操作有序留痕，突发事件处置及时。 4.2物理安全策略 目标：采取适当措施，从运行环境、保障设施等方面保障信息系统安全运行。 原则：分区分域，内外兼防。 4.3网络安全策略 目标：保证网络设备的业务处理能力具备冗余空间，满足业务高峰期需要。 原则：控制对内、外部网络服务的访问，保护网络化服务的安全性与可靠性，防止重要信息泄漏。 4.4主机安全策略 目标：严格管理用户权限和口令，防止对信息系统的非授权访问。 原则：做到身份鉴别，访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范，资源控制。 4.5数据安全策略 目标：对用户的身份合法性进行核实，防止用户的非授权访问。 原则：保证数据库的使用符合知识产权相关法规。 4.6应用安全策略 目标：实施业务连续性计划，保证沈阳生态所主要业务流程不受重大故障和灾难的影响。 原则：对重要信息进行备份保护，确保信息的可用性，关键环节可控可管。 4.7管理安全策略 目标：在软件系统开发、运维和监控方面做好安全控制工作，应采取有效的信息安全事件管理机制，明确所有员工的信息安全责任，建立对已发生或可疑的信息安全事件的报告及响应流程，并对违反信息安全策略的人员进行惩罚，建立有效的审核机制，加强对信息安全各项工作的监督与审核。 原则：从政策、制度、规范、流程及记录等方面规范信息系统，做到有的放矢。