信息安全策略纲要.docxVIP

信息安全策略纲要 1范围 信息系统是技术密集的大型复杂的网络化人机系统，其面临的安全问题非常突出。为了保障XX信息通信分公司（以下简称“公司”）信息系统的安全可靠运行，依据《信息系统安全等级保护基本要求》等相关标准法规制定本策略纲要。本纲要适用于公司信息系统。 2 总体目标 总体目标：保护公司信息系统的硬件、软件、业务信息和数据、通信网络设备等资源的安全，有效防范各类安全事故，合法合规发展各类信息系统，确保为社会提供高效稳定的电力服务。 3 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡注明日期的引用文件，其随后所有的修改单或修订版均不适用于本标准（不包括勘误、通知单），然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡未注日期的引用文件，其最新版本适用于本标准 《信息安全技术 信息系统安全保障评估框架》（GB/T 20274.1-2006） 《信息安全技术 信息系统安全管理要求》（GB/T 20269-2006 ） 《信息安全技术 信息系统安全等级保护基本要求》（GBT 22239-2008） 本标准未涉及的管理内容，参照国家、电力行业、南方电网公司的有关标准和规定执行。 4 总体方针 4.1组织与体制 构筑确保信息安全所必需的组织与体制，明确其责任与权限。 4.2 遵守法令法规 遵守与信息安全有关的法令法规，制定并遵守按基本方针所制定的信息安全相关的规定。 4.3信息资产的分类与管理 按照重要级别信息资产进行分类，并妥善管理。 4.4培训与教育 为使相关人员全面了解信息安全的重要性，适当开展针对性培训与教育教育活动。使他们充分认识信息安全的重要性以及掌握正确的管理方法。 4.5物理性保护 为避免非法入侵、干扰及破坏信息资产等事故的发生，对其保管场所与保管办法加以明确。 4.6技术性保护 为切实保护信息资产不受来自外部的非法入侵，对信息系统的登录方法、使用限制、网络管理等采取适当的措施。 4.7运用 为确保基本方针的实际成效，在对遵守情况进行监督的同时，对违反基本方针时的处置办法及针对来自外部的非法入侵等紧急事态采取的应对措施等加以规定。 4.8评价及复审 随着社会环境的变化、技术的进步等，应定期对基本方针与运用方式进行评价与复审 5 安全策略 5.1安全管理制度 在信息安全中，最活跃的因素是人，对人的管理包括法律、法规与政策的约束、安全指南的帮助、安全意识的提高、安全技能的培训、人力资源管理措施以及企业文化的熏陶，这些功能的实现都是以完备的安全管理政策和制度为前提。安全管理制度包括信息安全工作的总体方针、策略、规范各种安全管理活动的管理制度以及管理人员或操作人员日常操作的操作规程。 安全管理制度重点关注管理制度、制定和发布、评审和修订三方面。 目的是根据系统的安全等级，依照国家相关法律法规及政策标准，建立信息安全的各项管理规范和技术标准，规范基础设施建设、系统和网络平台建设、应用系统开发、运行管理等重要环节，奠定信息安全的基础。 5.2安全管理机构 建立组织管理体系是为了建立自上而下的信息安全工作管理体系，确定安全管理组织机构的职责，统筹规划、专家决策，以推动信息安全工作的开展。 公司成立信息安全领导小组，是信息安全的最高决策机构，负责研究重大事件，落实方针政策，制定实施策略和原则，开展安全普及教育等。下设办公室负责信息安全领导小组的日常事务。 信息安全领导小组下设两个工作组：信息安全工作组、应急处理工作组。组长均由公司负责人担任。 5.3人员安全管理 通过建立安全岗位责任制，最大限度降低人为失误所造成的风险。人是决定性因素，人员安全管理的原则是：职责分离、有限授权、相互制约、任期审计。 人员安全管理的要素包括：安全管理人员配备、信息系统关键岗位、人员录用、人员离岗、人员考核与审查、第三方人员管理等。 信息安全人员的配备和变更情况，应向上一级单位报告、备案。 信息安全人员调离岗位，必须严格办理调离手续，承诺其调离后的保密义务。涉及公司业务核心技术的信息安全人员调离单位，必须进行离岗审计，并在规定的脱密期后，方可调离。 5.4系统建设管理 信息系统的安全管理贯穿系统的整个生命周期，系统建设管理主要关注的是生命周期中的前三个阶段（初始、采购、实施）中各项安全管理活动。 系统建设管理分别从工程实施建设前、建设过程以及建设完毕交付等三方面考虑，具体包括系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评和安全服务商选择十一个控制点。 5.5系统运维管理 目的是保障信息系统日常运行的安全稳定，对运行环境、技术支持、操作使用、病毒防范、备份措施、文档建立等全方位管理。包括用户管理、运行操作管理、运行