信息安全管理体系信息安全工作总体方针.docx

PAGE0

信息安全管理体系信息安全工作总体方针

目录

TOC\h\z\u第一章 总则 0

第二章 总体安全方针 0

第三章 总体安全目标 0

第四章 安全工作原则 1

第五章 安全工作要求 1

第六章 安全组织保障 2

第七章 附则 3

总则

为给集团信息安全工作提供清晰的指导方向，加强信息安全管理，保证业务系统的安全运行，提高服务质量，特制定本方针。

信息安全工作是集团运营发展的基础，是保障网络质量，保护客户利益的基础，因此必须重视信息安全工作。

信息安全是集团各部门所有员工共同分担的责任，与每一位员工的日常工作息息相关，所有员工必须提高认识，高度重视，从自己开始，坚持不懈地做好信息安全工作。

本方针适用于集团全体员工。

总体安全方针

集团信息安全应坚持“信息安全与业务并重，安全管理与技术并重”的总体方针，实现信息系统安全可查、可视、可控。依照“分区、分级、分域”的总体安全防护策略，执行信息系统安全防护。

总体安全目标

集团的信息安全目标是：

保障信息系统安全稳定运行，保证业务连续性；

保护客户隐私，保障客户资料的机密性，维护客户的利益；

保护集团的商业机密和技术机密，维护集团的利益；

建立集团的信息安全体系，确保信息资产的安全可靠。

安全工作原则

安全工作应遵循以下基本原则：

“分级保护”原则：应根据各业务系统的重要程度以及面临的风险大小等因素决定各类信息的安全保护级别，分级保护，合理投资。

“同步规划、同步建设、同步运行”原则：安全建设应与业务系统同步规划、同步建设、同步运行，在任何一个环节的疏忽都可能给业务系统带来危害。

“三分技术、七分管理”原则：信息安全不是单纯的技术问题，需要在采用安全技术和产品的同时，重视安全管理，不断完善各类安全管理规章制度和操作规程，全面提高安全管理水平。

“内外并重”原则：安全工作需要做到内外并重，在防范外部威胁的同时，加强规范内部人员行为和审计机制。

“整体规划，分步实施”原则：需要对集团信息安全建设进行整体规划，分步实施，逐步建立完善的信息安全体系。

“风险管理”原则：进行安全风险管理，确认可能影响信息系统的安全风险，并以较低的成本将其降低到可接受的水平。

“适度安全”原则：没有绝对的安全，安全和易用性是矛盾的，需要做到适度安全，找到安全和易用性的平衡点。

安全工作要求

集团必须建立和完善信息安全管理规章制度和操作程序，规范和加强信息安全管理工作，所有员工都必须遵守与其相关的信息安全规章制度。

加强内部人员安全管理，依据最小特权原则清晰划分岗位，在所有岗位职责中明确信息安全责任，要害工作岗位实现职责分离，关键事务双人临岗，重要岗位要有人员备份。

各部门必须加强信息资产管理，建立和维护信息资产清单，建立信息资产责任制，对信息资产进行分类管理和贴标签。

加强系统建设的安全管理，配套安全系统必须与业务系统“同步规划、同步建设、同步运行”，加强安全规划、安全审批、安全验收管理。

建立维护作业计划，严格执行维护作业计划，加强对网络设备、操作系统、数据库、应用系统的运行监控，编写日常运行维护报告。

部署网络层面和系统层面的访问控制、安全审计以及安全监控技术措施，保障业务系统的安全运行。

建立日常维护操作手册和变更控制流程，规范日常运行维护操作，严格控制和审批任何变更行为，加强机房和办公区域的安全管理，为业务系统的正常运行提供物理和环境安全保障。

增强主机系统的安全配置，定期进行安全评估和安全加固，加强防范恶意软件，定期更新病毒特征代码，及时报告发现的病毒。所有Windows操作系统的电脑必须及时进行补丁升级。

制定各业务系统的应急方案，定期更新、维护和测试，做好数据备份工作，确保出现故障时数据能够及时恢复，保证数据的安全。

加强用户账号和权限管理，按照最小特权原则为用户分配权限，避免出现共用账号的情况。

加强用户口令的管理，口令长度至少8位，并采用数字、字母和特殊字符的组合，定期修改用户口令。

加强应用系统的安全管理，包括软件开发安全管理、投产测试和上线安全管理、应用软件版本和配置管理，加强外包开发的业务系统软件的安全管理。

加强第三方访问和外包服务的安全控制，在风险评估的基础上制定安全控制措施，并与第三方集团和外包服务集团签署安全责任协议，明确其安全责任。

所有员工都应签署保密协议，并接受信息安全教育培训，提高安全意识，及时报告信息安全事件。

安全组织保障

架构与安全委员会是集团管理委员会领导下的IT服务管理的安全监督机构，下设信息安全实施小组，全面负责集团信息安全的各项工作。

架构与安全委员会负责集团信息安全相关的技术指导和管理工作,定期向管理委员会汇报集团网络与信息安全现状；负责根据集团的智慧大北农平台战略建立网络与信息安全管理