网络安全工作总体方针和安全策略.docVIP

年淅江存人力资憑社会俣脈 年淅江存人力资憑社会俣脈 2 2 年淅江存人力资憑社会俣脈 年淅江存人力资憑社会俣脈 XXX单位网络安全工作总 体方针和安全策略 V1.0 目录 TOC \o 1-5 \h \z /./ 目标 / \o Current Document 适用范围 / \o Current Document 建设思路 / \o Current Document □ 建设原则 2 /.15^ I I 、 \o Current Document 安全体系框架 5 2! 安全模型 q \o Current Document 安全体系框架 8 \o Current Document 建设内容 “ \o Current Document 3/ 组织机构 “ 22 人员管理 “ \o Current Document 件勿理管理 IS \o Current Document 站 网络管理 /S 3.S 系统管理 15 数据管理 /Q 3.8 运维管理 /Q \o Current Document 李 总体安全策略 17 \o Current Document 耳」 物理环境安全策略 // \o Current Document 耳2 通信网络安全策略 18 \o Current Document 壮 区域边界安全策略 !8 \o Current Document 吐 计算环境安全策略 ” \o Current Document 応 安全管理中心策略 2! 年淅江省人力资議社会保琢 年淅江省人力资議社会保琢 附则 22 年淅江存人力资憑社会俣脈 年淅江存人力资憑社会俣脈 /总则 为加强和规范沁寺单位网络安全工作，提高网络安全防护水平，实现网 络安全的可控、能控、在控，依据国家有关法律、法规的要求，制定本文档。 1-1目标 以满足业务运行要求，遵守行业规程，实施等级保护及风险管理，确保网络 安全以及实现持续改进的□的等内容作为本单位网络安全工作的总体方针。以信 息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意:的原因而 遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断为总体LI标。 1.2适用范围 本文档适用于网络安全方案规划、安全建设实施和安全策略的制定。在全单 位范围内给予执行，山信息安全领导小组对该项工作的落实和执行进行监督，由 技术部配合信息安全领导小组对本案的有效性进行持续改进。 1.3建设思路 沁步单位信息安全建设工作的总体思路如下图所示： ?年浙江肖人力资稼社会保障 ?年浙江肖人力资稼社会保障 PAGE PAGE # 信息化建设是基于当前通用的网络与信息系统基础技术，针对安全性问题和 支撑安全技术，通过安全评估，对信息化建设和信息安全建设进行分析和总结， 其中包括对建设现状和发展趋势的完整分析，归纳出系统中当前存在和今后可能 存在的安全问题，明确网络和信息系统运营所面临的安全风险级别。 从支撑性安全技术展开，对现有网络和信息技术的固有缺陷出发，总结了普 遍存在的安全威胁，并根据其它系统中的信息安全建设实践中的经验，从信息安 全领域的完整框架、思路、技术和理念出发，提供完整的安全建设思路和方法。 在此基础之上，对信息安全领域的理论、框架和技术基础与oV沁f单位的 安全问题有机地进行结合，有针对性地提出沁寺单位安全保障总体策略。安 全保障总体策略包括了整体建设LI标，安全技术策略，以及相应的管理策略。 以安全保障总体策略为核心，分三个方面进行整体信息安全体系框架的 制定，包括安全技术体系，安全管理体系和运营保障体系。在现实的运营过程中， 安全保障不能够纯粹依靠安全技术来解决，更需要适当的安全管理，相互结合来 提高整体安全性效果。 ?年浙江肖人力资稼社会保障 ?年浙江肖人力资稼社会保障 在信息安全体系框架的指导下，依据相应的建设标准和管理规范，规划 和制定详细的信息安全系统实施方案和运营维护讣划。 信息安全体系建设的思路体现了以下的特点： 统筹规划和设讣在建设过程中占有非常重要的地位； 充分结合建设现状与信息安全通用技术和理念； 充分考虑了当前的建设现状以及未来业务发展的需要； 注重安全管理体系的建设，以及管理、技术和保障的相互结合。 1 *建设原则 信息系统安全坚持“安全第一、预防为主，管理和技术并重，综合防范”的 总体方针，实现信息系统安全可控、能控、在控。依照“分区、分级、分域”总 体安全防护策略，执行信息系统安全等级保护制度。 信息安全体系的建设，涉及面广、工作量大，必须坚持以下的原则，保证建 设和运营的效果。 统一规划 要对的信息安全体系建设进行统一的规划，制定信息安全体系框架，明确保 障体系中所包含的内容。同时，还