三级等保分析和总结.pdfVIP

* 主办部门：系统运维部 执 笔 人： 审 核 人： XXXXX V0.1 信息安全管理策略 XXX-XXX-XX-01001 日 17 月 3 年 2014 ． [本文件中出现的任何文字叙述、文档格式、 插图、 照片、 方法、 过程等内容， 除另有特别注明， 版权均属 XXXXX所有，受到有关产权及版权法保护。任何个人、机构未经 XXXXX的书面授权许 可，不得以任何方式复制或引用本文件的任何片断。 ] 文件版本信息 日拟稿和修说 版本 V0.1 2014.3.17 拟稿 文件版本信息说明当前版本文件有效期将在新版本文档生记录本文件提交时当前有效的版本控 制信息， 1.0 效时自动结束。文件版本小于时，表示该版本文件为草案，仅可作为参照资料之 目的。 阅送范围 内部发送部门：综合部、系统运维部． 目 录 第一章 总则 1 第二章 信息安全方针 1 第三章 信息安全策略 2 第四章 附则 7 第一章 总则 第一条 为规范 XXXXX信息安全系统， 确保业务系统安全、 稳定 和可靠的运行， 提升服务质量， 不断推动信息安全工作的健康发 展。根据《中华人民共和国计算机信息系统安全保护条例》 、《信 息安全技术信息系统安全等级保护基本要求》 （GB/T22239-2008）、 《金融行业信息系统信息安全等级保护实施指引》 （JR/T 0071— 2012 ）、《金融行业信息系统信息安全等级保护测评指南》 （JR/T 0072—2012 ），并结合 XXXXX实际情况，特制定本策略。 第二条 本策略为 XXXXX信息安全管理的纲领性文件， 明确提出 XXXXX在信息安全管理方面的工作要求， 指导信息安全管理工作。 为信息安全管理制度文件提供指引， 其它信息安全相关文件在制 定时不得违背本策略中的规定。 第三条 网络与信息安全工作领导小组负责制定信息安全管理 策略。 第二章 信息安全方针 第四条 XXXXX的信息安全方针为：安全第一、综合防范、 预 防为主、 持续改进。 （一）安全第一：信息安全为业务的可靠开展提供基础保障。把信 息安全作为信息系统建设和业务经营的首要任务； （二）综合防范：管理措施和技术措施并重， 建立有效的识别和预防信息安全风险机制，合理选 择安全控制方式，使信息安全风险的发生概率降低到可接受水平； （三）预防为主：依据国家、行业监管机构相关规定和信息安全管理最佳实践， 根据信息资产的 重要性等级，对重要信息资产采取有效措施消除可能的隐患，降低信息安全事件的发生概率； （四）持续改进：建立全面覆盖信息安全各个管理域的，可度量的、可管理的管理机制，并在此 基础上建立持续改进的体系框架，不断自我完善，为业务的平稳运行提供可靠的安全保障。 第五条 XXXXX信息安全管理的总体目标包括： （一）信息安全管理体系建设和运行符合国家政府机关、 监管机构和主管部门的相关强制性规定、 规则及适用的相关惯例、准则和协议； （二）确保信息系统能够持续、可靠、正常地运行，为用户提供及时、稳定和高质量的信息技术 服务并不断改进； （三）保护信息系统及数据的机密性、完整性和可用性，保证其不因偶然或者恶意侵 犯而遭受破坏、更改及泄露。 第三章 信息安全策略 第六条 安全管理制度 （一）应形成由管理规定、管