三级等保-安全管理制度-信息安全管理策略.doc

主办部门:系统运维部 执 笔 人： 审 核 人：XX信息安全管理策略V0、1XXXXXXXX-01201年月17日本文件中出现得任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属XXXXX所有，受到有关产权及版权法保护.任何个人、机构未经XX得书面授权许可,不得以任何方式复制或引用本文件得任何片断。文件版本信息版本日期拟稿与修改说明V、14、1拟稿文件版本信息说明记录本文件提交时当前有效得版本控制信息,当前版本文件有效期将在新版本文档生效时自动结束。文件版本小于、0 时，表示该版本文件为草案，仅可作为参照资料之目得。阅送范围内部发送部门:综合部、系统运维部目 录第一章 总则1第二章 信息安全方针1第三章 信息安全策略2第四章附则13第一章 总则第一条 为规范XXX信息安全系统,确保业务系统安全、稳定与可靠得运行,提升服务质量，不断推动信息安全工作得健康发展.根据中华人民共与国计算机信息系统安全保护条例、信息安全技术信息系统安全等级保护基本要求（GB/T22239008）、金融行业信息系统信息安全等级保护实施指引（J/T 0021)、金融行业信息系统信息安全等级保护测评指南（J/ 007201),并结合XXXX实际情况，特制定本策略。第二条 本策略为XXXXX信息安全管理得纲领性文件，明确提出XXX在信息安全管理方面得工作要求,指导信息安全管理工作.为信息安全管理制度文件提供指引，其它信息安全相关文件在制定时不得违背本策略中得规定。第三条 网络与信息安全工作领导小组负责制定信息安全管理策略。第二章 信息安全方针第四条 XXXX得信息安全方针为：安全第一、综合防范、预防为主、持续改进.（一)安全第一:信息安全为业务得可靠开展提供基础保障。把信息安全作为信息系统建设与业务经营得首要任务；(二）综合防范：管理措施与技术措施并重,建立有效得识别与预防信息安全风险机制,合理选择安全控制方式，使信息安全风险得发生概率降低到可接受水平；（三)预防为主：依据国家、行业监管机构相关规定与信息安全管理最佳实践，根据信息资产得重要性等级，对重要信息资产采取有效措施消除可能得隐患,降低信息安全事件得发生概率;(四)持续改进:建立全面覆盖信息安全各个管理域得，可度量得、可管理得管理机制，并在此基础上建立持续改进得体系框架,不断自我完善，为业务得平稳运行提供可靠得安全保障。第五条 XXXX信息安全管理得总体目标包括：（一)信息安全管理体系建设与运行符合国家政府机关、监管机构与主管部门得相关强制性规定、规则及适用得相关惯例、准则与协议；(二)确保信息系统能够持续、可靠、正常地运行,为用户提供及时、稳定与高质量得信息技术服务并不断改进;(三）保护信息系统及数据得机密性、完整性与可用性,保证其不因偶然或者恶意侵犯而遭受破坏、更改及泄露。第三章 信息安全策略第六条安全管理制度（一）应形成由管理规定、管理规范、操作流程等构成得全面得信息安全管理制度体系。(二)安全管理制度应具有统一得格式,并进行版本控制,通过正式有效得方式发布。(三）应定期对安全管理制度进行检查与审定，对存在不足或需要改进得安全管理制度进行修订。第七条 安全管理机构(一）信息安全管理工作实行统一领导、分级管理,建立网络与信息安全工作领导小组,指导信息安全管理工作,决策信息安全重大事宜。（二）设立系统安全管理员、网络安全管理员、安全专员等岗位,并配备专职人员,实行、岗制度。（三）应加强内部之间,以及外部监管机构、公安机关、供应商与安全组织得合作与沟通。第八条 员工信息安全管理(一）公司应制定安全用工原则,尤其就是信息系统相关人员、敏感信息处理人员得录用、考核、转岗、离职等环节应有具体得安全要求.(二)信息技术总部应定期组织针对员工得信息安全培训，以增强安全意识、提高安全技能、明确安全职责，应对安全教育与培训得情况与结果进行记录并归档保存。（三）在岗位职责得描述中，应该阐明员工安全责任。(四)公司制定与落实各种有关信息系统安全得奖惩条例,处罚与奖励必须分明。第九条 第三方信息安全管理（一）根据第三方所要访问得信息资产得等级及访问方式来进行风险评估,确定其安全风险.(二）根据风险评估得结果，采取适当得控制方法对第三方访问进行安全控制，保护公司信息资产得安全。(三）第三方对敏感得信息资产进行访问时,应签订保密协议或正式得合同。在协议及合同中应该明确第三方得安全责任与必须遵守得安全要求。（四)明确外包系统/软件开发得安全要求.（五)必须确保与第三方信息交换中各环节得安全.第十条 信息系统建设安全管理(一)在项目立项前，必须明确信息系统得安全等级、安全目标及所有得安全需求并文档化。安全需求得确定过程必须就是成熟得、有效得。(二)必须通过对安全需求进行详细得分析，制定安全设计方案，明确安全控制措施及所采取得安全技术。(三)根据设计方案得要求，对使用得软硬件产品进行选型与测试,最终确定具体采用得产品。(四)根据设计方案与选定得产品编制实施方案。在实施方案中必须考虑到实施过程中得风险，必须包含详细得项目实施计划、实施步骤、测试方案与风险应对措施。（五）应制定软件开发管理制度与代码编写安全规范,明确说明开发过程得控制方法与人员行为准则。(六）必须对实施过程进行安全管理，明确实施过程中各种活动得程序及职责，并形成文件。（七）应根据信息系统等级，在上线前完成信息系统安全防护措施得实施,包括基线设置等。同时还应建立必要得机制,保证能够对投产后得信息系统进行更新升级。(八）必须根据验收流程,对系统进行必要得测试与评定。（九)系统下线必须按照严格得审批流程进行，确保系统下线不对XXXX得安全生产与业务持续性产生影响，并同步进行系统数据得清除。第十一条 机房安全管理（一)机房建设必须符合国家标准电子计算机机房设计规范(G501742008）与电子计算机机房施工及验收规范(G50608）。(二）依据信息资产得安全等级、设备对场地环境得要求、易管理性等,合理划分机房区域，针对不同区域实施不同得安全保护措施,确保所有设备及介质得安全。（三）由专人负责机房环境得日常维护、监控、报警与故障处理工作。根据公司实际情况，建立机房值班制度。（四)制定机房以及机房内不同区域得出入管理规定，明确门禁管理、设备出入、人员出入（包括第三方）、出入审批、进出日志记录保留与审核等工作得管理要求与流程。(五）制定有关机房工作守则，规范人员在机房内得行为。（六)对于机房内得文档资料应固定存放在带锁或密码得专业文件柜中,由专人妥善保管并设置相应清单。第十二条 信息资产管理(一)应对公司信息资产进行登记，建立资产清单,并指定其安全责任人。该责任人需负责贯彻及监督相关安全策略、安全规范、安全技术标准得实施。（二）根据机密性、完整性与可用性要求对信息资产进行分类分级,确定不同级别信息资产在其生命周期内得保护要求。(三）必须明确信息资产访问控制原则,并建立信息资产访问得授权机制.第十三条 介质管理（一)公司对介质得存放环境、标识、使用、维护、运输、交接与销毁等方面做出规定，有介质得归档与访问记录，并对存档介质得目录清单定期盘点。（二）存储介质得管理同信息资产管理相一致,根据所承载数据与软件得重要程度对介质进行分类分级管理。（三）针对存放数据得存储介质应达到国家标准要求，进行标识与定期抽检。（四)需要长期存放得存储介质，应该在介质有效期内进行转存;明确数据转存得程序与职责。（五）应设立同城异地存放备份数据得场所。异地存放备份数据得场所应该具备防盗、防水、防火设施与一定得抗震能力.第十四条 监控管理(一）应对通信线路、网络设备、主机与应用软件得运行状况、网络流量、用户行为等进行监测与报警.（二）应定期对监测与报警记录进行分析、评审，发现可疑行为,形成分析报告,发现重大隐患与运行事故应及时协调解决,并报上安全相关部门.(三)应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理。第十五条 网络安全管理（一）指定专人对网络进行管理，负责日常得网络维护与报警信息处理工作。(二）制定网络访问控制机制，网络访问控制策略以“除明确允许执行情况外必须禁止"为原则.(三)当远程访问信息系统时,应采取额外得安全管控措施,以防止设备被窃、信息未授权泄露、远程非授权访问等风险。（四)定期对网络系统进行漏洞扫描,对于发现得漏洞，在经过风险评估、验证测试与充分准备后进行修补或升级。 （五）重要网络设备开启日志与审计功能.（六）网络建设中应做到以下几点:1、应遵循高可靠性、高安全性、高性能、可扩展性、可管理性、标准化等原则；2、建立网络容量规划机制,充分考虑未来新业务需求与公司当前得系统服务能力及未来技术发展得趋势;、应对局域网、广域网、外部网安全通信连接可靠，采取必要得技术手段，确保网络安全。第十六条 系统安全管理（一）日志安全管理应指定专人负责,具体负责日志得采集、保存、备份与失效处理等工作.在条件允许得情况下,可采用技术手段实现.（二）日志记录以保障审计及追查得有效性为原则，具体情况根据系统及应用得实际情况而定,日志记录作为作业计划得一部分,必须严格定义日志记录得广度与深度，确保日志得完整性，并满足审计工作得需要。管理员与操作员得活动应记入日志，并确保无法被篡改.(三）重要日志必须安全地存储在介质中,并定期备份与检查。第十七条 恶意代码防范管理(一）专人负责计算机病毒防范工作得组织与实施；（二)建立计算机病毒预警机制，严格执行病毒检测及报告程序;（三)指定专人负责跟踪厂商发布得漏洞补丁情况,定期对服务器、网络、应用软件进行漏洞扫描；(四）对于确有必要升级得漏洞补丁,在安装前必须进行充分得验证测试与风险评估。漏洞补丁得安装应参考变更管理得要求,进行实施方案与回退方案得审批;（五）如果无法及时完成漏洞补丁加载，应进行原因分析，并采取一定得安全防护措施，必要时进行回退；(六）根据国家信息系统等级保护要求,对业务系统设计侵与攻击防范得策略以及技术实施方案，在信息系统中实现入侵与攻击防范;(七)根据日常安全监控、风险评估、信息安全检查与信息安全审计得结果,调整入侵与攻击防范策略或采用新得、成熟得技术产品；（八)定期对重要得信息系统进行代码审计、渗透测试等工作，以及时掌握信息系统安全状况,防范入侵与攻击。第十八条 密码管理（一）采取额外技术措施加强密码安全时,密码产品应符合国家密码管理规定得密码技术与产品;第十九条 变更管理(一）必须对信息系统得所有操作建立有效得管理与监控机制，确定相关人员及部门职责。(二）根据信息系统变更所涉及得信息资产得安全等级，对信息系统变更进行分级，针对不同等级得信息系统变更以文档得形式明确相应得审批管理程序。(三)在系统变更审批前,变更申请部门提交申请报告，变更管理员要提交系统变更方案，明确变更存在得风险及对系统得影响.(四)实施变更前,应该对变更内容进行严格测试。（五)严格遵照实施方案中所规定得流程实施变更，变更实施过程应记录并妥善保存。第二十条 备份与恢复管理（一）数据备份工作应指定专人负责;(二)根据系统得重要程度，制定相应得备份策略；（三）建立数据备份审核程序,定期进行备份数据得检查工作，确保备份数据得完整性与有效性；（四）对关键得系统与数据必须进行异地备份.对于在异地进行备份得系统与数据得管理，要与本地得系统与数据管理保持一致；(五)备份数据必须由专人负责保管,数据不得泄漏,保密数据不得以明码形式存储与传输。（六）明确生产数据恢复得原则与审批程序;（七)制定数据备份恢复方案；（八)重要信息系统得恢复性测试在不影响生产环境运行得情况下至少每年进行一次。根据恢复测试结果进行数据恢复过程得调整。第二十一条 安全事件管理（一）信息安全相关事项由网络与信息安全工作领导小组办公室集中管理。(二）制定包括信息系统运行状况检测、异常处理、汇报等得安全监控工作制度,指定专人负责安全监控。(三)网络与信息安全工作领导小组办公室对安全监控得结果进行定期检查,以保证安全监控结果得有效性与完整性.确保安全监控结果可作为其她统计与分析工作得数据来源。(四）安全事件处理得原则就是“积极预防、及时发现、快速响应、确保恢复”。（五）网络与信息安全工作领导小组办公室建立详细得安全事件响应机制,明确安全事件得发现、分析、处理、总结与奖惩阶段得相关责任，最大限度地减少安全事件造成得损害。(六)对安全事件做好记录与存档工作，记录内容包括事件得原因、处理过程、处理结果、建议改进得安全对策。第二十二条 应急预案(一）分析业务中断可能造成得后果,以作为制定应急预案得依据.（二）制定应急预案并文档化,确定应急预案得总体策略,确保重大故障时重要系统与业务得及时恢复。（四)定期测试应急预案,确保计划得有效性。（五）应急预案应定期检查、及时更新维护，以确保其有效性。 （六）应急预案内容至少应包括启动应急预案得条件、应急处理流程、系统恢复流程与事后教育与培训等内容；（七）应从人力、设备、技术与财务等方面确保应急预案得执行有足够得资源保障；(八）应根据不同得应急恢复内容,确定演练得周期并定期进行培训与演练;（九)应定期审查与更新应急预案。第二十三条 审核与检查(一）根据职责互斥原则,成立信息安全检查小组,定期对信息系统进行全面、独立得安全检查；（二)应从技术管理与业务保障等方面,进行全面得信息安全检查,检查依据为不同时期得信息安全要求;(三)信息安全检查工作应采取定期全面检查与不定期得专项检查相结合得方式；（四）对于安全检查得结果应予以跟踪落实，应对整改后得结果进行复查并根据需要向公司领导汇报。（五)信息安全审计就是参照一定得安全标准对运维过程与信息系统本身进行安全评价得过程。此过程重点关注运维管理工作就是否有效地保护了业务与信息系统得安全;(六)对重要业务系统进行审计时，必须制定详细得计划,尽量减少对业务处理得影响;（七）对信息安全审计发现问题与隐患,责任部门应制定整改措施及时进行整改.整改过程中应防止引入新得风险；(八）审计结果未经批准，不得向外披露；（九)对于安全审计得结果应予以跟踪落实,应对整改后得结果进行复查并根据需要向公司领导汇报.第四章 附则第二十四条 各部门可根据本策略制定相应得实施细则。第二十五条本策略自颁布之日起实行。