泉州海洋职业学院信息化安全.pdf

泉州海洋职业学院 信息化安全管理制度 泉州海洋职业学院 网络与信息安全总体策略 制定： 安全管理员 审核： 信息化办公室 批准： 信息化领导小组 版本： V1.0 泉州海洋职业学院 二O 一八年六月 泉州海洋职业学院 信息化安全管理制度 版本控制 时间 版本 说明 修改人 2018.06.29 V1.0 报告建立 安全管理员 泉州海洋职业学院 信息化安全管理制度 前言 根据泉州海洋职业学院信息安全管理体系框架，泉州海洋职业学院网络与信 息安全总体策略是顶层的管理文档，是学院信息安全保障工作的出发点和核心， 是学院信息安全保障管理实践和技术措施的指导性文件。《泉州海洋职业学院网 络与信息安全总体策略是》学院所有员工必须遵循的信息安全行为准则，由泉州 海洋职业学院信息安全领导小组发布，并组织内部全系统学习与贯彻。 本总体策略参考国内外信息安全保障的权威标准和最佳实践，内容组织上参 考美国IATF，从本地计算环境、网络边界、网络基础设施与支撑性基础设施四个 方面体现泉州海洋职业学院信息安全纵深防御的思想。 本总体策略主要内容包括：人员安全、资产分类与控制、物理和环境安全、 系统开发和维护、访问控制、个人计算机安全、风险管理、业务持续性管理与灾 难恢复、计算机与网络运行管理、遵循性等十个方面。 第1 页 共42 页 泉州海洋职业学院 信息化安全管理制度 第 1 章 安全策略概述 1.1 简介 学院的相关信息和支撑系统、过程等，不论以何种形式存在，均是泉州海洋 职业学院的关键资产。信息的可用性、完整性和机密性是信息安全的基本要素， 关系到学院的形象和业务信息系统的持续运行。因此，必须保护这些资产不受威 胁侵害（威胁可能来自各个方面，如侦探、病毒或黑客，自然灾害等）。定义和 监督执行网络与信息安全总体策略是泉州海洋职业学院信息安全领导小组的职 责。 学院门户是存储、传输、处理大量关于新闻发布内容的系统。这些信息受国 家法律保护，必须保证信息安全。确保学院信息系统持续可靠运行需要在信息系 统的全生命周期内从技术、管理、工程实施、运行等方面进行安全保障。 随着IT的发展，信息安全技术也不断发展，学院目面临的安全威胁也可能在 不断变化，为了应对安全要求及各种约束条件的变化，对于安全策略及其相应的 支撑管理规程和制度需要不断的修订和改进。 1.2 范围 信息安全关系到所有类型的信息和存储、处理或传输这些信息的硬件、软件 及固件。本策略适用于泉州海洋职业学院内部业务相关的所有部门的所有系统及 其人员。然而，需要不同的部门要根据其自身的特点，对需求、威胁、风险、信 息类型进行针对性的规定。 1.3 目标 信息安全的目标就是确保学院目业务信息系统的连续性，并通过一系列预防 措施将业务可能受到的损害降到最低，将安全事故产生的影响降到最低。信息安 第2 页 共42 页 泉州海