信息安全策略[汇编].pdf

信息安全策略 目 录 1. 目的和范围4 2. 术语和定义 4 3. 引用文件5 4. 职责和权限 6 5. 信息安全策略 6 5.1. 信息系统安全组织6 5.2. 资产管理8 5.3. 人员信息安全管理9 5.4. 物理和环境安全11 5.5. 通信和操作管理13 5.6. 信息系统访问控制17 5.7. 信息系统的获取、开发和维护安全20 5.8. 信息安全事故处理23 5.9. 业务连续性管理24 5.10. 符合性要求26 1 附件27 1. 目的和范围 1) 本文档制定了的信息系统安全策略，作为信息安全的基本标准，是所有安全行为的 指导方针，同时也是建立完整的安全管理体系最根本的基础。 2) 信息安全策略是在信息安全现状调研的基础上，根据 ISO27001 的最佳实践，结合 现有规章制度制定而成的信息安全方针和策略文档。本文档遵守政府制定的相关法律、 法规、政策和标准。本安全策略得到领导的认可，并在公司内强制实施。 3) 建立信息安全策略的目的概括如下： a) 在内部建立一套通用的、行之有效的安全机制； b) 在的员工中树立起安全责任感； c) 在中增强信息资产可用性、完整性和保密性； d) 在中提高全体员工的信息安全意识和信息安全知识水平。 本安全策略适用于公司全体员工，自发布之日起执行。 2. 术语和定义 1) 解释 信息安全 是指保护信息资产免受多种安全威胁，保证业务连续性，将安全事件造成的损 失降至最小，同时最大限度地获得投资回报和商业机遇。 可用性 确保经过授权的用户在需要时可以访问信息并使用相关信息资产。 保密性 确保只有经过授权的人才能访问信息。 完整性 保护信息和信息的处理方法准确而完整。 保密信息 安全规章定义的密级信息。 信息安全策略 正确使用和管理 IT 信息资源并保护这些资源使得它们拥有更好的保密性、完整 性、可用性的策略。 风险评估 评估信息安全漏洞对信息处理设备带来的威胁和影响及其发生的可能性。 风险管理 以可以接受的成本，确认、控制、排除可能影响信息系统的安全风险或将其带 来的危害最小化的过程。 计算机机房 装有计算机主机、服务器和相关设备的，除了安装和维护的情况外，不允许人 员在里边工作的专用房间。 员工 在系统内工作的正式员工、雇佣的临时工作人员。 用户 被授权能使用 IT 系统的人员。 信息资产 与信息系统相关联的信息、信息的处理设备和服务。 信息资产责任人 是指对某项信息资产安全负责的人员。 合作单位 是指与有业务往来的单位，包括承包商、服务提供商、设备厂商、外包服务商、 贸易伙伴等。 第三方访问 指非本单位的人员对信息系统的访问。 IT 外包服务 是指企业战略性选择外部专业技术和服务资源，以替代内部部门和人员来承担 企业 IT 系统或系统之上的业务流程的运营、维护和支持的 IT 服务。 安全事件 利用信息系统的安全漏洞，对信息资产的保密性、完整性和可用性造成危害的 事件。 故障 是指信息的处理、传输设备运行出现意外障碍，以至影响信息系统正常运转的 事件。 安全审计 通过将所选类型的事件记录在服务器或工作站的安全日志中用来跟踪用户活动