信息安全策略.docx

《信息安全策略.docx》由会员分享，可在线阅读，更多相关《信息安全策略.docx（21页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息安全策略目录1。目的和范围(3)2。术语和定义(3)3。引用文件(4)4.职责和权限(5)5.信息安全策略(5)5。1.信息系统安全组织(5)5.2.资产管理(7)5。3。人员信息安全管理(8)5。4.物理和环境安全(10)5。5.通信和操作管理(12)5.6.信息系统访问控制(16)5.7。信息系统的获取、开发和维护安全(19)5.8。信息安全事故处理(22)5。9。业务连续性管理(22)5.10。符合性要求(25)1附件(26)1.目的和范围1)本文档制定了的信息系统安全策略，作为信息安全的基本标准,是所有安全行为的指导方针,同时也是建立完好的安全管理体系最根本的基础。2)信息安全策略

2、是在信息安全现状调研的基础上，根据ISO27001的最佳实践，结合现有规章制度制定而成的信息安全方针和策略文档.本文档遵守政府制定的相关法律、法规、政策和标准。本安全策略得到领导的认可，并在公司内强迫施行.3)建立信息安全策略的目的概括如下：a)在内部建立一套通用的、行之有效的安全机制；b)在的员工中树立起安全责任感；c)在中加强信息资产可用性、完好性和保密性；d)在中提高全体员工的信息安全意识和信息安全知识水平.本安全策略适用于公司全体员工，自发布之日起执行。2.术语和定义1)解释2)词语使用3.引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。但凡注日期的引用文件，其随后所有的修

3、改单不包括勘误的内容或修订版均不适用于本标准，然而，鼓励各部门研究能否可使用这些文件的最新版本。但凡不注日期的引用文件，其最新版本适用于本标准。1)ISO/IEC27001：2005信息技术-安全技术信息安全管理体系要求2)ISO/IEC17799:2005信息技术安全技术-信息安全管理施行细则4.职责和权限信息安全管控委员会:负责对信息安全策略进行编写、评审,监督和检查公司全体员工执行情况。5.信息安全策略目的：为信息安全提供管理指导和支持,并与业务要求和相关的法律法规保持一致。1)策略下发本策略必须得到管理层批准，并向所有员工和相关第三方公布传达,全体人员必须履行相关的义务,享受相应的权利

4、，承当相关的责任。2)策略维护本策略通过下面方式进行文档的维护工作：必须每年根据（风险评估管理程序）进行例行的风险评估，如遇下面情况必须及时进行风险评估:a)发生重大安全事故b)组织或技术基础构造发生重大变更c)安全管理小组以为应当进行风险评估的d)其他应当进行安全风险评估的情形风险评估之后根据需要进行安全策略条目修订,并在内公布传达。3)策略评审每年必须参照（管理评审程序）执行公司管理评审。4)适用范围适用范围是指本策略使用和涵盖的对象，包括现有的业务系统、硬件资产、软件资产、信息、通用服务、物理安全区域等。对于即将投入使用和今后规划的信息系统项目也必须参照本策略执行.5.1.信息系统安全组

5、织目的：在组织内部管理信息安全,保持可被外部组织访问、处理、沟通或管理的信息及信息处理设备的安全。1)内部组织公司的管理层对信息安全承当最终责任。管理者职责参见（信息安全管理手册）。公司的信息系统安全管理工作采取信息安全管控委员会统一管理方式,其他相关部门配合执行。公司的内部信息安全组织包括信息安全管理小组,小组的人员组成以及相关职责参见（公司信息安全组织构造图）。各个部门之间必须严密配合共同进行信息安全系统的维护和建设.相关部门岗位的分工与责任参见（信息安全管理手册）。任何新的信息系统处理设施必须经过管理受权的经过。并更新至（信息资产列表）。信息系统内的每个重要的资产需要明确所有者、使用人员

6、。参见（信息资产列表）。但凡涉及重要信息、机密信息相关定义参见（信息资产鉴别和分类管理办法）等信息的处理，相关的工作岗位员工以及第三方都必须签署保密协议.应当与政府机构保持必要的联络共同协调信息安全相关问题.这些部门包括执法部门、消防部门、上级监管部门、电信供给商等提供公共服务的部门.应当与相关信息安全团体保持联络，以获得信息安全上必要的支持。这些团体包括外部安全咨询商、独立的安全技术专家等。信息安全管理小组每年至少进行一次信息安全风险评估工作(参照（风险评估和风险管理程序），并对安全策略进行复审。信息安全领导小组每年对风险评估结果和安全策略的修改良行审批。每年或者发生重大信息安全变化时必须参

7、照（内部审核管理程序）执行公司内部审核。2)外部组织a)第三方访问是指非人员对信息系统的访问。第三方至少包含如下人员：?硬件及软件技术支持、维护人员;?项目现场施行人员；?外单位参观人员；?合作单位人员；?客户；?清洁人员、送餐人员、快递、保安以及其它外包的支持服务人员；b)第三方的访问类型包括物理访问和逻辑访问.?物理访问：重点考虑安全要求较高区域的访问，包括计算机机房、重要办公区域和存放重要物品区域等；?逻辑访问:主机系统网络系统数据库系统应用系统c)第三方访问需要进行下面的风险评估后方可对访问进行受权。?被访问资产能否会损坏或者带来安全隐患；?客户能否与有商业利益冲突；?能否已经完成了相

8、关的权限设定，对访问加以控制；?能否有过违背安全规定的记录；?能否与法律法规有冲突,能否会涉及知识产权纠纷；d)第三方进行访问之前必须经过被访问系统的安全责任人的审核批准，包括物理访问的区域和逻辑访问的权限。详见（办公室基础设备和工作环境控制程序）e)对于第三方介入的项目或提供的服务，必须在合同中明确规定人员的安全责任，必要时应当签署保密协议。f)第三方必须遵守的信息安全策略以及（第三方和外包管理规定），留对第三方的工作进行审核的权利。5.2.资产管理目的：通过及时更新的信息资产目录对信息资产进行适当的保护。1)资产责任a)所有的信息资产必须登记入册，对于有形资产必须进行标识,同时资产信息应当

9、及时更新。每项信息资产在登记入册及更新时必须指定信息资产的安全责任人,信息资产的安全责任人必须负责该信息资产的安全.b)所有员工和第三方都必须遵守关于信息设备安全管理的规定，以保护信息处理设备包括移动设备和在非公共地点使用的设备的安全。2)信息分类a)必须明确确认每项信息资产及其责任人和安全分类，信息资产包括业务过程、硬件和设施资产、软件和系统资产、文档和数据信息资产、人员资产、服务和其他资产。(详见（信息资产列表）。b)必须建立信息资产管理登记制度，至少具体记录信息资产的分类、名称、用途、资产所有者、使用人员等，便于查找和使用。信息资产应当标明适用范围。(详见（IT设备管理规定）.c)应当在

10、每个有形信息资产上进行标识.d)当信息资产进行拷贝、存储、传输(如邮递、传真、电子邮件以及语音传输包括电话、语音邮件、应答机等或者销毁等信息处理时,应当参照（信息资产鉴别和分类管理办法）或者制定妥善的处理步骤并执行.e)对重要的资料档案要妥善保管,以防丢失泄密，其废弃的打印纸及磁介质等,应按有关规定进行处理。5.3.人员信息安全管理目的：确保所有的员工、合同方和第三方用户了解信息安全威胁和相关事宜、明确并履行信息安全责任和义务，并在日常工作中支持的信息安全方针，减少人为错误的风险，减少盗窃、滥用或设施误用的风险。1)人员雇佣a)员工必须了解相关的信息安全责任,必须遵守（职务讲明书）.b)对第三

11、方访问人员和临时性员工，必须遵守（第三方和外包管理规定）。c)涉及重要信息系统管理的员工、合同方及第三方应当进行相关技术背景调查和能力考评；d)涉及重要信息系统管理的员工、合同方及第三方应在合同中明确其信息安全责任并签署保密协议；e)重要岗位的人员在录用时应做重要岗位背景调查。2)雇佣中a)管理层必需要求所有的员工、合同方及第三方用户执行信息安全的相关规定；b)应当设定信息安全的相关奖励措施,任何违背信息安全策略的行为都将收到惩戒,详细执行办法参见（信息安全赏罚规定）；c)将信息安全培训参加员工培训中，培训材料应当包括下列内容：?信息安全策略?信息安全制度?相关赏罚办法d)应当按下列群体进行不

12、同类型的信息安全培训：?全体员工?需要遵守信息安全策略、规章制度和各项操作流程的第三方人员e)信息安全培训必须至少每年举行一次，让不同部门的人员能遭到适当的信息安全培训。必须参加计算机信息安全培训的人员包括：?计算机信息系统使用单位的安全管理责任人；?重点单位或核心计算机信息系统的维护和管理人员；?其他从事计算机信息系统安全保护工作的人员；?能够接触到敏感数据或机密信息的关键用户.3)人员信息安全管理原则a)员工录用时，人事部门或调入部门必须及时书面通知信息技术部门添加相关的口令、帐号及权限等并备案.b)员工在岗位变动时，必须移交调出岗位的相关资料和有关文档，检查并归还在借出的重要信息。人事部

13、门或调入部门必须及时书面通知信息技术部门修改和删除相关的口令、帐号及权限等。c)员工在调离时必须进行信息安全检查。调离人员必须移交全部资料和有关文档,删除本人的文件、帐号，检查并归还在借出的保密信息。由人事部门书面通知信息技术部门删除相关的口令、帐号、权限等信息。d)必须每半年进行用户帐户使用情况的评审,但凡半年及半年以上未使用的帐号经相关部门确认后删除.如有特殊情况，必须事先得到部门经理及安全责任人的批准。e)对第三方访问人员和临时性员工，也必须执行相关规定.5.4.物理和环境安全1)安全区域目的：防止对工作场所和信息的非法访问、毁坏和干扰。a)必须明确划分安全区域。安全区域至少包括各计算机

14、机房、IT部门、财务、人事等部门。所有能够进出安全区域的门必须能防止未经受权的访问，如使用控制装置、栅栏、监控和报警装备、锁等.b)无人值守的门和窗户必须上锁，对于直接与外部相连的安全区域的窗户必须考虑窗户的外部保护;c)安全边界的所有门均应被监视并经过检验,它和墙一起根据适宜的地方、国内和国际标准建立所需的抵抗程度;他们应用故障保护方式根据局部放火规则来运行。d)应根据地方、国内和国际标准建立适当的入侵检测体系，并定期检测以覆盖所有的外部门窗；要一直对空闲区域发出警报;其他区域要提供掩护方法,例如计算机室或通信室；e)安全区域必须配备充足的安全设备，例如热敏和烟气探测器、火警系统、灭火设备，

15、并对设备定期检查.f)安全区域进出控制采用适宜的电子卡或磁卡，并能双向控制.g)对安全区域的访问必须进行记录和控制，以确保只要经过受权的人员才可以访问。对机房的访问管理参见（机房安全管理规定）,其它区域可参照执行。h)重要设备必须放在安全区域内进行保护,禁止在公共办公区域防止重要的信息处理设施;i)应当控制外来人员对公共办公区域的访问，第三方访问规定参见（第三方和外包管理规定）j)关键和敏感设施应当存放在与公共办公区域相对隔离的场地，并应设计并施行保护。k)危险或易燃物品应当摆放在离安全区域安全距离之外，机房应当参见（机房安全管理规定）中的要求执行值班或巡检工作任务.l)备份介质应当和主场地有

16、一段的安全距离，要考虑信息设备面临的可能的安全威胁，参考（业务连续性管理程序）的内容制定对应的业务连续性计划，并要定期演练。m)人员离开安全区域时应当及时上锁。n)除非经过主管部门领导受权，在安全区域不允许使用图象、视频、音频或其它记录设备.o)外部人员访问安全区域时应当由员工陪同,并填写（机房出入登记表）,对访问时间、操作内容等加以记录.p)出入机房的设备必须填写（机房设备出入登记表）。2)设备安全目的：防止资产的丢失、损坏或被盗，以及对组织业务活动的干扰。a)计算机机房必须提供环境保障，机房建设必须遵照相关的机房建设规范进行。如中华人民共和国国家标准GB50174（电子计算机机房设计规范），必须提供:?稳定的电源供应?可靠的空气质量控制温度，湿度，污染度?防火，防水，防高温，放雷b)应尽量减少对机房不必要的访问,在机房内工作必须遵守（机房安全管理规定）。c)各计算机机房是重要的信息处理场所，必须严格执行有关安全保密制度和规定，并防止重要信息的泄露，保证业务数据、信息、资料的准确、安全可靠。d)计算机机房应列为公司重点防火部位,根据规定配备足够数量的消防器材，并定期检查更换。机房工作人员要熟悉机房消防用品的存放位置及使用方法，