网络安全标准体系建设专项方案.docx

网络安全体系建设方案（） 编制： 审核： 同意： -xx-xx 目 录 TOC \o 1-3 \h \u 1 安全体系公布令 2 2 安全体系设计 3 2.1 总体策略 4 2.1.1 安全方针 4 2.1.2 安全目标 4 2.1.3 总体策略 4 2.1.4 实施标准 4 2.2 安全管理体系 4 2.2.1 组织机构 5 2.2.2 人员安全 5 2.2.3 制度步骤 5 2.3 安全技术体系 6 2.3.1 物理安全 6 2.3.2 网络安全 8 2.3.3 主机安全 11 2.4.4 终端安全 14 2.4.5 应用安全 15 2.4.6 数据安全 18 2.4 安全运行体系 19 2.4.1 系统建设 19 2.4.2 系统运维 23  1 安全体系公布令 依据《网络安全法》《 信息安全等级保护管理措施》相关规范及指导要求，参考GB/T22080-idtISO27001:《信息技术-安全技术-信息安全管理体系要求》，为深入加强企业运行系统及办公系统安全运行及防护，避免企业关键业务系统及日常办公系统遭受到病毒、木马、黑客攻击等网络安全威胁，预防因网络安全事件（系统中止、数据丢失、敏感信息泄密）造成企业和用户损失，制订本网络安全体系。 本网络安全体系是企业法规性文件，是指导企业各部门建立并实施信息安全管理、技术、运行体系纲领和行动准则，用于落实企业网络安全管理方针、目标，实现网络安全体系有效运行、连续改善，表现企业对社会承诺，现正式同意公布，自 XX月 XX 日起实施。 全体职员必需严格根据本网络安全体系要求，自觉遵照信息安全管理方针，落实实施本安全体系各项要求，努力实现企业信息安全管理方针和目标。 总经理： 同意日期：-xx-xx  2 安全体系设计 企业整体安全体系包含安全方针、目标及策略，分为信息安全管理、技术、运行三大致系，经过安全工作管理、统一技术管理、安全运维管理三部分管理工作，实施具体系统管理、安全管理及审计管理，来达成对计算环境、区域边界、网络通信安全保障。  2.1 总体策略 2.1.1 安全方针 强化意识、规范行为、数据保密、信息完整。 2.1.2 安全目标 信息网络硬件、软件及其系统中数据受到保护，电子文件能够永久保留而不受偶然或恶意原所以遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中止。 2.1.3 总体策略 企业运行环境及运行系统需满足国家行业规范要求，并实施三级等级保护及风险管理； 企业办公环境及办公系统满足通用信息化系统运行要求，并实施二级等级保护； 企业自主（或外包）研发网络安全软硬件产品必需符合相关国家标准强制性要求，由含有资格机构安全认证合格或安全检测符合要求后，方可对外销售。 2.1.4 实施标准 谁主管谁负责、分级保护、技术和管理并重、全员参与、连续改善。 2.2 安全管理体系 安全管理体系关键包含组织机构、人员安全、制度标准三个方面安全需求和控制方法。 2.2.1 组织机构 分别建立安全管理机构和安全管理岗位职责文件，对安全管理机构和网络安全责任人职责进行明确，确定网络安全责任人，落实网络安全保护责任；建立信息公布、变更、审批等步骤和制度类文件，增强制度有效性；建立安全审核和检验相关制度及汇报方法。 现在企业设置了安全管理机构委员会，在岗位、人员、授权、沟通、检验各个步骤进行决议、管理和监督，委员会由企业副总经理领导，组员包含各部门分管总监。 2.2.2 人员安全 对人员录用、离岗、考评、培训、安全意识教育等方面应经过制度和操作程序进行明确，并对违反信息安全要求相关人员进行处罚。 依据可信雇员管理策略对全部些人员进行安全背景审查、可信度判别和聘用，并签署安全保密协议；对人员离职需要有严格管理程序，立即取消对应权限、清理物品并完成相关工作交接；将安全管理规范实施情况纳入日常绩效考评；定时对全体人员进行网络安全教育、技术培训和技能考评。 2.2.3 制度步骤 根据企业文件管理相关要求制订、审定、公布、和修订内部安全管理制度和操作规程，管理制度在公布前应经过企业安全委员会审批经过，对制度评审工作应列入年度信息化安全工作会议。 应建立网络信息安全投诉、举报制度，公布投诉、举报方法等信息，立即受理并处理相关网络信息安全投诉和举报。 同时为确保制度严密性和连续性，各制度步骤将会依据系统运行实际情况定时或不定时进行修订，修订审批、公布步骤和新增完全相同，将报安全委员会审批经过后实施。 2.3 安全技术体系 安全技术体系关键包含：物理安全、网络安全、主机安全、终端安全、应用安全、数据安全六个方面安全需求和控制方法。 2.3.1 物理安全