信息安全策略纲要.docx

《信息安全策略纲要.docx》由会员分享，可在线阅读，更多相关《信息安全策略纲要.docx（5页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息平安策略纲耍1范围信息system是技术密集的大型复杂的网络化人机system,其面临的平安问题 非常突出。为了保障XX信息通信分公司(以下简称“公司”)信息system的平安 可靠运行，依据信息system平安等级保护基本要求等相关标准法规制定本策 略纲要。本纲要适用于公司信息system。2总体目标总体目标：保护公司信息system的硬件、软件、业务信息和数据、通信网络 设备等资源的平安，有效防范各类平安事故，合法合规开展各类信息system,确 保为社会提供高效稳定的电力服务。3规范性引用文件以下文件中的条款通过本标准的引用而成为本标准的条款。凡注明日期的引用 文件，其随后所有的修改

2、单或修订版均不适用于本标准(不包括勘误、通知单)， 然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡未 注日期的引用文件，其最新版本适用于本标准信息平安技术信息system平安保障评估框架(GB/T 20274. 1-2006)信息平安技术信息system平安管控要求(GB/T 20269-2006 )信息平安技术信息system平安等级保护基本要求(GBT 22239-2008)本标准未涉及的管控相关内容，参照国家、电力行业、南方电网公司的有关标 准和规定执行。4总体方针4. 1组织与体制构筑确保信息平安所必需的组织与体制，确定其责任与权限。5. 2遵守法令法规遵守与信

3、息平安有关的法令法规，制定并遵守按基本方针所制定的信息平安相 关的规定。6. 3信息资产的分类与管控按照重要级别信息资产进行分类，并妥善管控。7. 4培训与教育为使相关人员全面了解信息平安的重要性，适当开展针对性培训与教育教育活 动。使他们充分认识信息平安的重要性以及掌握正确的管控方法。8. 5物理性保护为防止非法入侵、干扰及破坏信息资产等事故的发生，对其保管场所与保管办 法加以确定。9. 6技术性保护为切实保护信息资产不受来自外部的非法入侵，对信息system的登录方法、 使用限制、网络管控等采取适当的措施。10. 7运用为确保基本方针的实际成效，在对遵守情况进行监督的同时，对违反基本方针

4、时的处置方法及针对来自外部的非法入侵等紧急事态采取的应对措施等加以规定。4. 8评价及复审随着社会环境的变化、技术的进步等，应定期对基本方针与运用方式方法进行 评价与复审5平安策略5. 1平安管控制度在信息平安中，最活跃的因素是人，对人的管控包括法律、法规与政策的约束、 平安指南的帮助、平安意识的提升、平安技能的培训、人力资源管控措施以及企业 文化的熏陶，这些功能的实现都是以完备的平安管控政策和制度为前提。平安管控 制度包括信息平安工作的总体方针、策略、规范各种平安管控活动的管控制度以及 管控人员或操作人员日常操作的操作规程。平安管控制度重点关注管控制度、制定和发布、评审和修订三方面。目标方向

5、是根据system的平安等级，依照国家相关法律法规及政策标准，建 立信息平安的各项管控规范和技术标准，规范基础设施建设、system和网络平台 建设、应用system开发、运行管控等重要环节，奠定信息平安的基础。5. 2平安管控机构建立组织管控体系是为了建立自上而下的信息平安工作管控体系，确定平安管 控组织机构的职责，统筹规划、专家决策，以推动信息平安工作的开展。公司成立信息平安领导小组，是信息平安的最高决策机构，负责研究重大事件, 落实方针政策，制定实施策略和原那么，开展平安普及教育等。下设办公室负责信息 平安领导小组的日常事务。信息平安领导小组下设两个工作组：信息平安工作组、应急处理工作组

6、。组长 均由公司负责人担任。5. 3人员平安管控通过建立平安岗位责任制，最大限度降低人为失误所造成的风险。人是决定性 因素，人员平安管控的原那么是：职责别离、有限授权、相互制约、任期审计。人员平安管控的要素包括：平安管控人员配备、信息system关键岗位、人员 录用、人员离岗、人员考核与审查、第三方人员管控等。信息平安人员的配备和变更情况，应向上一级单位报告、备案。信息平安人员调离岗位，必须严格办理调离手续，承诺其调离后的保密义务。 涉及公司业务核心技术的信息平安人员调离单位，必须进行离岗审计，并在规定的 脱密期后，方可调离。5. 4system建设管控信息system的平安管控贯穿syste

7、m的整个生命周期，system建设管控主要 关注的是生命周期中的前三个阶段（初始、采购、实施）中各项平安管控活动。system建设管控分别从相关工程实施建设前、建设过程以及建设完毕交付等 三方面考虑，具体包括system定级、平安方案设计、产品采购和使用、自行软件 开发、外包软件开发、相关工程实施、测试验收、system交付、system备案、等 级测评和平安服务商选择十一个控制点。5. 5system运维管控目标方向是保障信息system日常运行的平安稳定，对运行环境、技术支持、 操作使用、病毒防范、备份措施、文档建立等全方位管控。包括用户管控、运行操 作管控、运行维护管控、外包服务管控、有

8、关平安机制保障、平安管控控制平台等 方面的管控要素。对运行过程的任何变化，数据、软件、物理设置等，都应实施技术监控和管控 手段以确保其完整性，防止信息非法复制、篡改，任何查询和变更操作需经过授权 和合法性验证。应急管控也是运维的重要相关内容，目标方向是分析信息system可能出现的 紧急事件或灾难，建立一整套应急措施，以保障核心业务的快速恢复和持续稳定运 行。应急计划包括应急处理和灾难恢复策略、应急计划、应急计划的实施保障等管 控要素。在海南省电网公司统一的应急规划下，针对信息system面临的各种应急场景 编制相应的应急预案，并经过测试演练修订，同时宣传普及。11. 6物理平安目标方向是保护

9、计算机设备、设施（含网络）以及信息system免遭自然灾害 和其他形式的破坏，保证信息system的实体平安。有关物理环境的选址和设计应遵照相关标准，配备防火、防水、防雷击、防静 电、防鼠害等机房措施，维持system不间断运行能力，确保信息system运行的安 全可靠。对重要平安设备的选择，需符合国家相关标准规范，相关证书齐全。严格确定设备的合法使用人，建立详尽运行日志和维护记录。11.7 络平安目标方向是有效防范网络体系的平安风险，为业务应用system提供平安、可 靠、稳定的网络管控和技术平台。对于依赖网络架构平安的业务应用system,需根据其平安级别，实施相应的 访问控制、身份认证、

10、审计等平安服务机制；在网络边界处，需根据资源的保护等 级，实施相应平安级别的防火墙、认证、审计、动态检测等技术，防范信息资源的 非法访问、篡改和破坏。11.8 机平安主机平安包括服务器、终端/工作站等在内的计算机设备在操作system及数据 库system层面的平安。终端/工作站是带外设的台式机与笔记本计算机，服务器那么 包括应用程序、网络、web、文件与通信等服务器。主机承载着各种应用，是保护 信息平安的中坚力量。主机平安需着重关注和加强身份鉴别、访问控制、恶意代码防范、平安审计、 入侵防范几个方面，同时定期或不定期的进行平安评估（含渗透性测试）和加固， 实时确保主机的健壮性。11.9 用平

11、安应用平安成是信息system整体防御的最后一道防线，目标方向是保障业务应 用system开发过程及最终产品的平安性。在应用层面运行着信息system的基于网络的应用以及特定业务应用。基于网 络的应用是形成其他应用的基础，是基本的应用；业务应用采纳基本应用的功能以 满足特定业务的要求；故最终是保护system的各种业务应用程序的平安运行。应用system的总体需求计划阶段，应全面评估system的平安风险，确定sys tem的访问控制、身份认证、审计跟踪等平安需求；总体架构设计阶段，应实施安 全需求设计，确立平安服务机制、开发人员技术要求和操作规程；应用system的 实现阶段，应全程实施相关

12、质量控制，防止程序后门，减少代码漏洞；在上线运行 之前，应充分进行局部功能、整体功能、压力测试，以及system平安性能、操作 流程、应急方案的测试。5. 10数据平安及备份恢复信息system处理的各种数据（用户数据、system数据、业务数据等）在维持 system正常运行上起着至关重要的作用。由于信息system的各个层面（网络、主 机、应用等）都对各类数据进行传输、存储和处理等，因此，对数据的保护需耍物 理环境、网络、数据库和操作system,应用程序等提供支持。数据备份也是防止数据被破坏后无法恢复的重要手段，而硬件备份等更是保证 system可用的重要相关内容。6附那么本标准由XX公司信息通信分公司负责解释。本标准自公布之日起实行。