信息安全方针及安全策略制度.docxVIP

信息安全方针及安全策略制度 PAGE I 目录 TOC \o 1-4 \h \z \u 1. 适用范围 1 2. 信息安全总体方针 1 3. 信息安全总体目标 1 4. 信息安全工作原则 2 5. 信息安全体系框架 2 6. 主要安全策略 3 PAGE PAGE 5 适用范围 作为网络系统信息安全管理的纲领性文件，本文件用于指导建立并实施信息安全管理体系的行动准则，适用于网络系统的相关各项日常安全管理。 信息安全总体方针 “积极参与 明确责任 预防为主 快速响应 风险管控 持续改进”是的信息安全总体方针。具体阐述如下： （1）在技术部的领导下，全面贯彻国家关于信息安全工作的相关指导性文件精神，在内部建立可持续改进的信息安全管理体系。 （2）全员参与信息安全管理体系建设，落实信息安全管理责任制，建立和完善各项信息安全管理制度，使得信息安全管理有章可循。 （3）通过定期的信息安全宣传、教育与培训，不断提高所有人员的信息安全意识及能力。 （4）推行预防为主的信息安全积极防御理念，同时对所发生的信息安全事件进行快速、有序地响应。 （5）贯彻风险管理的理念，定期对系统进行风险评估和控制，将信息安全风险控制在可接受的水平。 （6）持续改进信息安全各项工作，保障网络系统安全畅通与可控，保障所开发和维护信息系统的安全稳定，为社会公众提供安全可靠的招投标比选服务。 信息安全总体目标 （1）按照等级保护三级要求，对生产网系统进行建设和运维。 （2）建立信息化资产目录（包括软件、硬件、数据信息等）。 （3）建立健全并持续改进安全管理体系。 （4）编制完成网络和信息安全事件总体应急预案，并组织应急演练。 （5）每年至少开展一次由第三方机构主导的信息安全风险评估，同时单位内部定期进行自评估，保障信息系统的安全。 （6）每年至少组织一次全范围的信息安全管理制度宣传贯彻。 信息安全工作原则 结合实际情况，信息安全工作的开展过程中，基本工作原则为： （1）以自身为主，坚持技术与管理并重。 （2）正确处理安全与发展的关系，以安全保发展，在发展中求安全。 （3）统筹规划，突出重点，强化基础工作。 （4）明确各角色的责任和义务，充分发挥各方面的积极性，共同构筑信息安全保障体系。 信息安全体系框架 主要安全策略 （1）按照国家等级保护有关要求，系统信息安全等级确定为三级，按照国家等级保护三级有关要求进行实施、保护。 （2）建立信息安全管理组织机构，明确安全管理员、网络管理员、应用系统管理员、审计管理员、资产管理员等各类安全管理相关岗位及职责，建立健全信息安全管理责任制，使得信息安全各项职责落实到人。 （3）对信息安全管理体系进行定期得内审和管理评审，对各项安全控制措施实施后的有效性进行测量，并实施相应的纠正和预防措施，以保证信息安全管理体系持续的充分性、适宜性、有效性。 （4）对系统中所存在的安全风险应进行有计划的评估和管理。定期对信息系统实施信息安全风险评估，根据评估结果选择适当的安全策略和控制措施，将安全风险控制在可接受的水平。风险评估至少每年一次，在信息系统发生重大改变后，也应进行风险评估。 （5）规范系统信息资产（包括硬件、软件、服务等）管理流程，建立信息资产管理台帐，明确资产所有者、使用者与维护者，对所有信息资产进行标记，实现对信息资产购买、使用、变更、报废整个周期的安全管理。 （6）加强人员管理，对内部人员及各类外来人员进行安全管理，明确岗位安全职责，制定针对违规的惩戒措施，落实人员聘用、在岗和离岗时的安全控制，与敏感岗位人员签署保密协议。 （7）通过正式的信息安全培训，以及网站、简报、会议、讲座等各种形式的信息安全教育活动，不断加强内部人员的信息安全意识，提高信息安全技能。 （8）保障关键区域的物理与环境安全，严格实施关键区域人员及设备的出入管理。由指派相关人员对托管于电信机房的生产网系统进行定期巡检。 （9）加强对信息系统外包业务与外包方的管理，在与信息系统外包方签署的服务协议中，对信息系统安全加以要求。通过审批、访问控制、监控、签署保密协议等措施，加强外部方对比选网络平台的访问管理，防止外部方危害信息系统安全。 （10）对的各重要信息系统（包括基础设施、网络和服务器设备、系统、应用等）应有文档化的操作和维护规程，使得各相关人员能够采用规范化的形式对系统进行操作，降低和避免因误操作所引发信息安全事件的可能性。 （11）在范围内统一部署网络防恶意代码软件，并进行恶意代码库的统一更新，防范恶意代码、木马等恶意代码对信息系统的影响。强化恶意代码防范的管理措施，如加强介质管理，严禁擅自安装软件，加强人员安全意识教育，定期进行恶意代码检测等，提高信息系统对恶意代码的防范能力。