信息安全工作总体方针（一）.pdf

.WORD 完美格式. 信息安全工作总体方针 第一章 总则 第一条 为加强和规范省信息中心及直属直管各单位（以下简称“各单位”） 信息系统安全工作，提高中心信息系统整体安全防护水平，实现信息安全的可控、 能控、在控，依据国家有关法律、法规的要求，制定本文档。 第二条 本文档的目的是为中心信息系统安全管理提供一个总体的策略性架 构文件，该文件将指导中心信息系统的安全管理体系的建立。安全管理体系的建 立是为中心信息系统的安全管理工作提供参照，以实现中心统一的安全策略管 理，提高整体的网络与信息安全水平，确保安全控制措施落实到位，保障网络通 信畅通和业务系统的正常运营。 第三条 本文档适用于中心以中心下属各单位信息系统资产和信息技术人员 的安全管理和指导，适用于指导中心信息系统安全策略的制定、安全方案的规划 和安全建设的实施，适用于中心安全管理体系中安全管理措施的选择。 第四条 本办法所称信息系统指中心一体化企业级信息系统，主要包括一体 化企业级信息集成平台（以下简称 “一体化平台”）和八大业务应用。 “一体化平台”包含信息网络、数据交换、数据中心、应用集成和企业门户； “业 务应用”包含财务（资金）管理、营销管理、安全生产管理、协同办公、人力资 源管理、物资管理、项目管理、综合管理业务应用。 第五条 引用标准及参考文件 本文档的编制参照了以下国家、中心的标准和文件： （一）《中华人民共和国计算机信息系统安全保护条例》 .专业知识编辑整理. 1 .WORD 完美格式. （二）《关于信息安全等级保护建设的实施指导意见》（信息运安〔2009〕 27 号） （三）《信息安全技术信息系统安全等级保护基本要求》（GB/T 22239-2008） （四）《信息安全技术信息系统安全管理要求》（GB/T 20269—2006） （五）《信息系统等级保护安全建设技术方案设计要求》（报批稿） （六）《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信 安[2009]1429 号） 第二章 方针、目标和原则 第六条 中心信息系统安全坚持 “安全第一、预防为主，管理和技术并重， 综合防范”的总体方针，实现信息系统安全可控、能控、在控。依照 “分区、分 级、分域”总体安全防护策略，执行信息系统安全等级保护制度。管理信息网络 分为信息内网和信息外网，实现 “双机双网”，信息内网定位为承载网络和内部 办公网络，信息外网定位为对外业务网络和访问互联网用户终端网络。信息内、 外网之间实施强逻辑隔离的措施。 第七条 信息系统安全总体目标是确保信息系统持续、稳定、可靠运行和确 保信息内容的机密性、完整性、可用性，防止因信息系统本身故障导致信息系统 不能正常使用和系统崩溃，抵御黑客、病毒、恶意代码等对信息系统发起的各类 攻击和破坏，防止信息内容及数据丢失和失密，防止有害信息在网上传播，防止 中心对外服务中断和由此造成的系统运行事故。 第八条 信息安全工作的总体原则 （1）基于安全需求原则 .专业知识编辑整理. 2 .WORD 完美格式. 组织机构应根据其信息系统担负的使命，积累的信息资产的重要性，可能受 到的威胁及面临的风险分析安全需求，按照信息系统等级保护要求确定相应的信 息系统安全保护等级，遵从相应等级的规范要求，从全局上恰当地平衡安全投入 与效果； （2）主要领导负责原则 主要领导应确立其组织统一的信息安全保障的宗旨和政策，负责提高员工的 安全意识，组织有效安全保障队伍，调动并优化配置必要的资源，协调安全管理 工作与各部门工作的关系，并确保其落实、有效； （3）全员参与原则 信息系统所有相关人员应普遍参与信息系统的安全管理，并与相关方面协 同、协调，共同保障信息系统安全； （4）系统方法原则 按照系统工