信息安全总体策略.docVIP

信息安全总体策略 PAGE PAGE 4 版 本 号: Ver1.0 密 级： XXXXXXXXXX 信息安全总体策略 修订记录 版本号 编制部门 修改日期 生效日期 修改原因和修改内容提示 修改说明： （注：版本号：第一次制订为第一版，既以“1.0”表示。若有重大修改时，号码递增1，即为“2.0”。若有细微修改，号码递增0.1，即为“1.1”，若号码变更数超过9时，则以10、11、12……依序排列。） 目 录 TOC \o "1-1" \h \z \u 第一章 总则 1 第二章 适用范围 1 第三章 术语定义 1 第四章 组织职责 1 第五章 管理原则 1 第六章 总体目标 2 第七章 安全框架 2 第八章 策略制定与维护 3 第九章 持续改进 3 第十章 附则 3 总则 为了加强XXXXXXXXXX的信息安全管理，明确XXXXXXXXXX信息安全管理的总的目标和方向，保护XXXXXXXXXX自有的信息资产，积极预防安全事件的发生，使安全事件的影响最小化，以此确保业务的持续性，特制定本策略文件。 适用范围 本策略文件适用于XXXXXXXXXX系统维护管理人员、网络、服务器、终端、设备、信息系统的专用设备以及物理环境等。 术语定义 安全策略：是纲领性的安全策略主文档，描述XXXXXXXXXX业务安全目标和管理层意图、支持目标和指导原则，是信息安全实践的根本性和指导性的文件。 组织职责 信息安全等级保护工作领导小组负责批准信息安全策略文件并且保证本文件被单位的各部门执行，同时负责对XXXXXXXXXX信息安全方面的指导方向、安全建设等重大问题做出决策，协调各个部门之间的安全协同工作，支持和推动信息安全工作在整个单位范围内的实施。 信息安全等级保护工作小组负责具体执行安全管理策略文件的建立、实施、运作、监控、评审、维护和改进工作。 XXXXXXXXXX所有警员有责任了解自身在信息系统信息安全方面的责任并认真执行。 管理原则 信息安全管理工作实行“积极防范、突出重点、职责到位、保障业务”和“谁主管、谁负责”的管理原则。 总体目标 遵守国家相关法律法规，结合XXXXXXXXXX实际情况，依据现有管理和文化体系，逐步建设一套适用于我单位的信息安全管理体系，实现XXXXXXXXXX对社会的公开承诺。 安全框架 安全管理制度 逐步完善由安全策略、管理制度、操作规程组成的信息安全管理体系。 信息安全策略文件应由管理层审核批准，并公布与传达给企业范围内所有人员与相关外部团体。信息安全策略文件在规划期间内或有重大变更发生时需通过管理层的审查及修订。 安全管理机构 必须建立信息安全管理组织，以满足信息安全管理体系持续运行的目标。 加强与外部团体的沟通和合作，及时获取相关信息。 必须建立安全检查，定期对信息系统进行安全检查。 人员安全 加强人员录用和离岗过程的安全管理，并定期对所有人员进行安全培训和考核，加强安全意识。 对所有操作或访问信息资产第三方团体，必须向其阐明相关的责任，并明确告知其有责任恰当地使用和保护这些信息资产。 系统建设 系统建设初期必须根据系统定级情况进行安全方案设计，对可行性进行论证。 确保安全和密码产品采购和使用符合国家的有关规定；并只能选择满足条件的安全服务商。 确保在系统的开发与维护过程中，相关的安全功能和需求已被嵌入到系统内。在开发新系统时，安全功能应包含在初始的系统分析与需求描述中。这些描述必须包括自动的和手动的安全控制。这些控制必须通过测试，而且能够整合到正在运行的环境中。 系统运维 信息系统及其相关的设备在物理上需要受到保护，防止偷窃、滥用、损坏或未经授权的访问。 确保信息系统相关的信息资产受到适当保护, 所有信息资产必须有确定的属主并且根据其敏感度进行分类和控制。 所有信息系统必须制定相应的操作规范，通过对日常操作的管理、介质的管理、恶意代码防范控制确保信息系统范围内信息处理设施的正确和安全操作。 对三级系统应建立安全管理中心，对信息资产安全事件实现监控和响应。 所有信息系统变更应有审批流程，并有完善的恢复流程。 应建立有效的安全事件响应和处理机制，安全事件必须及时的发现、报告、处理、调查、上报并修正，并且有事后的回顾，以吸取经验教训，避免以后再发生同类型的事件，把单位的损失降到最小。 建立完善应急预案，以确保事故发生时，对业务活动的影响降至最小。 策略制定与维护 信息安全策略文件由安全管理员编写，由信息安全领导小组批准，向所有相关部门、第三方机构和相关