涉密计算机及信息系统安全策略.doc

涉密计算机及信息系统安全策略 第一篇：涉密计算机及信息系统安全策略 涉密计算机及信息系统安全策略文件 概述 涉密计算机及信息系统安全策略文件属于顶层的管理文档，是公司网络与信息安全保障工作的出发点和核心，是公司计算机与信息系统安全管理和技术措施实施的指导性文件。涉密计算机及信息系统安全策略文件是公司计算机和信息系统全体管理和使用人员必须遵循的信息安全行为准则，由公司信息安全管理部门制订及解释，由公司保密委员会审批发布，并由信息安全管理部门组织公司全体人员学习与贯彻。 公司涉密计算机及信息系统涉及到存储、传输、处理国家秘密、公司商业秘密和业务关键信息，关系到公司的形象和公司业务的持续运行，必须保证其安全。因此，必须从技术、管理、运行等方面制定确保涉密计算机和信息系统持续可靠运行的安全策略，做好安全保障。 本策略文件主要内容包括：物理安全策略、信息安全策略、运行管理策略、备份与恢复策略、应急计划和响应策略、计算机病毒与恶意代码防护策略、身份鉴别策略、访问控制策略、信息完整性保护策略、安全审计策略等十个方面。2 适用范围 2.1本策略所称的涉密计算机和信息系统指公司所有通过计算机及信息系统存贮、处理或传输的信息及存贮、处理或传输这些信息的硬件、软件及固件。 2.2本策略适用于与公司涉密计算机及信息系统相关的所有部门及人员。3 目标 制定涉密计算机及信息系统安全策略的目标就是确保公司掌握的国家秘密、公司商业秘密和业务关键信息的安全性，并通过一系列预防措施将信息安全可能受到的危害降到最低。信息安全管理应在确保信息和计算机受到保护的同时，确保计算机和信息系统能够在允许的范围内正常运行使用。 同时，本策略的目的也是让所有员工能够了解信息安全问题以及明确各自的信息安全职责，严格遵守本安全策略，并遵守国家相关的计算机或信息安全法律要求。4 组织 4.1保密委员会是计算机及信息系统安全管理的领导机关，负责领导信息安全管理体系的建立和信息安全管理的实施，主要包括： ? 提供清晰的指导方向，可见的管理支持，明确的信息安全职责授权； ? 审查、批准信息安全策略和岗位职责； ? 审查业务关键安全事件； ? 批准增强信息安全保障能力的关键措施和机制； ? 保证必要的资源分配，以实现数据有效性以及信息安全管理体系的持续发展。 4.2信息安全管理部门具体负责建立和维持信息安全管理体系，协调相关活动，主要承担如下职责： ? 调整并制定所有必要的信息安全管理规程、制度以及实施指南等； ? 提议并配合执行信息安全相关的实施方法和程序，如风险评估、信息管理分层等； ? 主动采取部门内的信息安全措施，如安全意识培训及教育等； ? 配合执行新系统或服务的特殊信息安全措施； ? 审查对信息安全策略的遵循性； ? 配合并参与安全评估事项； ? 根据信息安全管理体系的要求，定期向上级主管领导和保密委员会报告。分层管理与控制 5.1公司计算机及信息系统管理分为涉密计算机管理、内部网络（局域网）及计算机信息管理、互联网计算机信息管理三个管理层次。 5.2 涉密计算机只能处理涉及国家秘密的信息，实行物理隔离管理，只能由公司涉密人员使用，由公司保密员管理。涉密计算机信息数据必须被保护以防止被泄漏、破坏或修改。 5.3 内部网络（局域网）及计算机配置加密管理措施，与互联网隔离，配置保密管理措施，只能通过局域网传输、储存技术文档、软件等涉及公司商业机密信息。上述信息必须定期备份进行保护，以免破坏和非授权修改。 5.4 互联网计算机主要处理来自于外部资源的普通信息，配置上网行为管理 2 措施，同样在信息安全防护上进行安全考虑。 5.5上述计算机及信息系统根据分层次管理的要求应当依据其分类进行物理标记。 物理安全策略 6.4信息处理设备可接受的使用策略 公司禁止工作人员滥用计算机及信息系统的计算机资源，仅为工作人员提供工作所需的信息处理设备。公司所有人员对系统网络和计算资源的使用（包括访问互联网）都必须遵守计算机及信息系统的安全策略和标准及所有适用的法律。 公司的计算机及信息系统应能防止使用人员连接到访问含有色情、种族歧视及其他不良内容的网站及某些非业务网站。 包括但不限于以下例子是不可接受的使用行为： ? 使用信息系统资源故意从事影响他人工作和生活的行为。 ? 工作人员通过信息系统的网络服务及设备传输、存储任何非法的、有威胁的、滥用的材料。 ? 任何工作人员使用信息系统的计算机工具、设备和互联网访问服务来从事用于个人获益的商业活动（如炒股）。 ? 工作人员使用信息系统服务来参与任何政治或宗教活动。 ? 在没有信息安全管理部门的事先允许或审批的情况下，工作人员在使用的计算机中更改或安装任何类型的计算机软件和硬件。 ? 在没有信息安全管理部门的事先允许或审批的情况下，工作人员拷贝、安装、处理或使