单位信息安全总体方针及安全策略管理办法模板.docx
《单位信息安全总体方针及安全策略管理办法模板.docx》由会员分享,可在线阅读,更多相关《单位信息安全总体方针及安全策略管理办法模板.docx(40页珍藏版)》请在冰豆网上搜索。
单位信息安全总体方针及安全策略管理办法模板
信息安全总体方针及安全策略管理办法
XX年XX月
建立登记
编制人:
编制日期:
适用范围:
审核人:
审核日期:
审核结果:
批准人:
批准日期
发布方式:
发布范围:
修订记录
版本号
修订日期
修订人
修订内容
V1.0
起草/增加/修改
第一章信息安全方针
第一条信息安全方针:
“信息安全,生存攸关;风险管控,人人有责”!
以业界最佳实践为指南,努力保护XXXX重要信息资产,保障XXXX各项业务的安全运行,持续不断地进行改进和过程监督,提供满意的服务,为XXXX成为信息安全模范提供重要支持。
信息安全内涵:
以国际公认的信息安全管理标准作为准则,努力保护XXXX信息资产的机密性、完整性、可用性、可靠性,通过不断对信息资产梳理和风险评估管控,降低XXXX信息资产存在的安全威胁,最终保证XXXX业务的连续性。
信息安全内涵在正文中有全面阐述。
信息安全承诺:
安全是XXXX业务正常运行的前提和保障。
XXXX领导深刻意识到信息安全对XXXX的重要性,由此承诺全力支持本信息安全方针在XXXX的执行。
第二章信息安全策略
第二条范围
本标准规定了XXXX信息安全管理的方针及内涵。
本标准适用于所有XXXX员工以及在XXXX工作的第三方组织机构人员。
第三条术语与定义
下列术语和定义适用于本标准。
信息资产:
组成业务流程的子流程中使用的重要的最小单位量的信息
第三章安全策略
第四条信息安全策略
以下安全策略以XXXX发展需求为出发点,表明了XXXX信息安全的方向,体现了XXXX管理层对XXXX信息安全的支持。
信息安全策略由XX整理和维护,经过了XX的审批通过,在XXXX范围内发布实行。
(一)定期检查和评估
每年定期检查和评估XXXX信息安全策略、安全流程和安全步骤,定期检查和评估XXXX经营活动中的安全威胁和风险。
如果XXXX的经营活动、基础设施发生了重大的改变,需要随即重新进行信息安全策略的检查和评估。
目的:
▪信息安全战略、策略应该切实可行并充分满足XXXX业务发展的需要。
▪信息安全策略为XXXX业务发展提供了安全保障。
含义:
▪必须建立信息安全策略定期检查和更新的制度。
▪如果发现由于信息安全策略、流程和步骤不完善,而导致了安全漏洞和安全事件的发生。
必须对XXXX的信息安全策略、流程、步骤、控制手段进行检查和修正。
▪必须定义安全策略管理人员职责,安排专职人员,执行安全策略的检查和更新,执行XXXX范围内安全威胁和漏洞的检查。
(二)信息安全的投入
信息安全的投入应该符合业务发展规模和控制安全风险的需要。
目的:
▪信息与信息系统安全保护方面的投入应该以业务安全要求为依据,信息安全的投入需符合业务发展实际情况的安全要求,符合控制业务面临的安全风险的要求。
▪保障依赖于信息系统的生产业务的安全健康的发展。
含义:
▪实施安全风险管理流程,保障信息保护投资不会过度或者不足。
第四章第三方安全
第五条第三方访问安全
以下策略是关于控制第三方访问XXXX信息和信息设施,维护XXXX的信息和信息处理的安全。
(一)与第三方组织合作的安全要求
为了保障XXXX的信息安全,在与第三方组织建立合作关系时,必须签订信息安全合同,或在商务合同中明确规定信息安全条款。
目的:
▪有助于双方理解安全方面的约定和安全事件的处理。
▪有助于控制对XXXX的信息访问和信息处理。
含义:
▪XXXX应对第三方的访问活动进行风险评估,确定具体的控制要求。
第六条外包服务控制
以下策略是关于将信息处理的责任外包到第三方的时候,XXXX信息访问和信息处理的控制。
(一)外包合同的安全需求
为了保障XXXX的信息安全,XXXX将部分IT信息服务外包到第三方组织时,必须在合同中明确规定安全控制流程。
目的:
▪有助于双方理解安全方面的约定和安全事件的处理
▪有助于确保对XXXX信息的访问和信息处理是受控制的。
含义:
▪应要求第三方组织提供服务前,和XXXX之间达成正式的安全协议。
第五章资产分类与控制
第七条资产责任:
以下的策略从保障资产安全可靠使用的目的出发,要求所有重要的信息、软件、硬件资产都有相应的指定负责人,此负责人对其所负责的资产的机密性、完整性、可用性负责。
(一)资产的登记
所有重要的信息资产、软件资产和硬件资产必须被准确的识别,并进行登记记录。
目的:
▪必须有效的跟踪XXXX的重要资产,以及相应的负责人。
含义:
▪XXXX必须确定哪些资产是重要的并对这些资产进行记录和跟踪。
▪使用标准的流程进行资产登记,并维护资产登记表。
▪用签订安全协议方式来确定资产责任人的安全义务。
(二)资产负责人的责任
所有信息资产、软件资产和硬件资产必须由资产负责人登记记录。
目的:
▪促使每个员工建立资产安全责任感。
▪鼓励资产负责人在资产报废或者是资产转移时,更新资产登记记录。
含义:
▪必须对员工施行资产登记的培训。
▪资产负责人必须意识到丢失和损坏资产时所应承担的责任和处罚。
第八条信息资产分类
以下策略以保障XXXX信息资产为目的。
从机密性、完整性、可用性方面判断信息资产的安全要求和安全保护级别。
(一)信息资产分类
信息资产负责人必须根据信息分类标准来确定信息资产的安全级别,并实行相应的安全保护。
目的:
▪促使所有XXXX员工建立信息保密意识。
▪根据业务需求,使相关的信息得到适当的安全保护。
含义:
▪必须识别登记所有核心信息资产并指定负责人。
▪信息资产负责人必须意识到信息分类和保护的责任。
▪必须对信息资产进行周期性检查,保障信息资产分类的正确性,符合实际要求。
(二)信息资产标签
核心的信息资产必须具有清晰的信息资产标签,使接触到信息资产的人员能够清晰的意识到信息分类级别和安全保护责任。
目的:
▪促使信息资产责任人和信息资产分类的落实。
▪促使正确、安全和有效的使用信息。
含义:
▪员工必须具有为所有核心信息资产建立信息资产标签的意识。
▪所有核心信息资产必须通过标准的信息分类流程进行分类。
(三)信息资产的控制
所有信息资产的使用、存放和交换必须符合信息安全级别的要求。
目的:
▪促使所有XXXX的员工以及在XXXX工作的第三方人员具有保护XXXX信息资产的意识,并了解如何保护信息资产机密性、完整性、可用性。
▪保障信息在产生、授权使用和正常销毁过程中的正确保护。
含义:
▪信息资产使用者必须具有使用适当控制手段保护信息资产的意识。
▪采用必要的工具来满足信息使用、存放和交换的安全要求。
第六章人员安全
第九条职位安全责任
以下策略的目的是减少新员工在工作中错误使用、盗窃、欺诈及滥用设施所带来的风险。
应在员工的工作定义、员工合同中明确安全责任。
(一)人员聘用考察
所有XXXX的员工在聘用前,或从一般岗位转到涉密岗位前,必须对其进行信用检查。
目的:
▪应明确聘用员工的条件和考察评价的方法与程序,减少因聘用员工而产生的安全风险。
含义:
▪必须明确定义员工职位的安全需求。
▪在查询个人背景前,应遵循当地法律。
(二)保密协议
所有XXXX的员工在XXXX工作期间都必须签定保密协议。
目的:
▪有助于保护XXXX知识产权。
▪有助于加强个人对XXXX信息保密性、完成性和可用性的责任。
含义:
▪法律部门必须确保保密协议中包括必要的法律条款。
▪所有XXXX的员工必须与XXXX签订一份保密协议。
▪人事处必须保存所有签订的保密协议。
(三)聘用的条款和条件
XXXX聘用条款和条件必须包括对信息安全策略的遵守。
目的:
▪有助于确保员工了解信息安全策略,并把它作为行为准则。
▪有助于员工了解遵守信息安全策略的责任和职责。
含义:
▪现有的聘用条款和条件必须符合信息安全策略和当地法律。
▪所有XXXX的员工必须签订保密协议。
▪人事处必须保存所有签订的保密协议。
(四)知识产权
所有因履行职务而使用XXXX设施而产生的、存储的或交换的信息资产都属于XXXX。
目标:
▪有助于保护和支持使用XXXX设施开发的产品的知识产权。
▪有助于确保XXXX资产只用于被批准的经营活动。
含义:
▪应当将遵守信息安全策略包括在员工签署的聘用条款和条件中。
▪这个策略的适用性需要遵循当地法律。
第十条用户培训
为确保用户能够意识到信息安全的威胁和隐患并在他(她)们正常工作时遵守信息安全策略,需要提供必要的信息安全教育和培训。
信息安全教育和培训在信息安全管理实施方面起着关键的作用。
(一)信息安全策略的发布
信息安全策略应发布给相关的XXXX的员工、第三方组织成员。
目的:
▪有助于员工知道他(她)们的信息安全的职责。
▪有助于员工获得遵守XXXX的安全策略的必要信息。
含义:
▪新员工培训应包括XXXX信息安全策略的培训。
(二)定期信息安全培训
所有的XXXX的员工都必须定期参加信息安全培训。
目的:
▪减少由于员工的个人原因使核心信息资产被非法获得、破坏或修改的可能。
含义:
▪必须有适当的安全培训。
▪必须通过记录、跟踪和监督的方式,保证所有员工参加并完成信息安全培训。
▪信息安全培训资料必须能够方便的获取,保证员工随时可用。
(三)入职时的信息安全培训
所有XXXX的正式员工入职前必须接受信息安全培训。
目的:
▪有助于降低因为员工缺乏安全意识而带来的风险。
含义:
▪进行必要的安全培训。
▪要求有充分的技能和资源来建立培训课程、维护课程并实施培训。
(四)离职或调动安全要求
员工离职或调动时必须归还XXXX或原部门资产,清理相应的访问权限。
目的:
▪使员工离职或调动按流程有次序进行。
▪保护XXXX的信息资产。
含义:
▪应规定员工离职或调动的安全流程;
▪应规定员工离职或调动时的信息资产、访问权限审计项目。
▪所有员工离职或调动时必须清除对信息或信息处理设施的访问权限。
第十一条安全事件汇报
以下策略要求通过对安全事件适当的管理、及时的监控、报告和响应来降低安全事件的影响。
对发生的安全事件要进行分析和修正以降低重新发生的机会。
(一)汇报安全事件和安全漏洞
所有可疑的安全事件和安全漏洞都必须及时汇报给XX。
目的:
▪安全事件和漏洞的汇报和分析能指出当前环境的安全状况。
▪有助于确保安全事件和漏洞能通过适当的渠道进行汇报并及时得到纠正。
▪如果员工不了解可疑安全事件、漏洞事件汇报的重要性,安全事件会一直处于没有汇报的状态,并会产生更大的危害。
▪有助于降低由于错误或延误汇报所带来的风险。
含义:
▪XX必须随时待命,评估和处理可疑的安全事件和漏洞。
▪必须建立安全事件和漏洞的汇报机制。
所有的安全事件必须通过安全事件管理流程进行汇报和跟踪。
目的:
▪有助于确保快速、有效和有序的响应安全事件和漏洞。
▪确保从以前的安全事件中得到教训并采取纠正行动。
▪有助于避免安全事件再次发生。
▪有助于量化和监控安全事件。
含义:
▪必须建立文档化的安全事件管理流程。
▪安全事件管理流程必须在XXXX范围内广泛宣传。
(二)安全事件相关信息的保密性
有关信息安全事件和漏洞的信息只能在XXXX授权范围内发布。
目的:
▪有助于避免客户降低对XXXX的信心。
▪有助于降低XXXX遭受进一步安全攻击的可能性。
▪有助于维护XXXX信息的保密性。
含义:
▪授权专门人员处理安全事件。
(三)向XXXX外部相关机构通报安全事件
在适当的时候(业务或法律需求时),信息安全事件由XX通报给XXXX外部相关机构。
目的:
▪满足业务和当地法律的需求。
含义:
▪XXXX必须了解相关法律法规和需要通报给XXXX外部相关机构的安全事件的种类。
(四)调查安全事件和漏洞
所有安全事件和安全漏洞必须由XX立即调查。
目标:
▪如果XX未能及时着手开展调查,可能会使由安全事件或漏洞造成的损失进一步增加。
含义:
▪必须建立安全事件管理流程来调查和处理安全事件和漏洞。
第七章安全遵守
第十二条遵守法律要求
以下策略有助于避免违背民事和刑事责任。
(一)确认适用的法律
在所有XXXX的信息安全策略和流程中,相关的法律和规范的要求必须明确定义。
目的:
▪有助于确保XXXX依从相关法律和规范要求。
含义:
▪必须定义好相关的责任并文档化保存。
(二)知识产权
所有XXXX的员工必须确保遵守知识产权方面的法律。
目的:
▪减少侵害版权的风险。
▪帮助确保在使用可能与知识产权有关的材料(版权、设计专利和商标)时遵守法律。
含义:
▪必须公布相关的行为准则,以定义对信息和软件产品的合法使用。
(三)个人隐私信息保密
必须确保个人信息的收集、散布和使用都遵守个人隐私相关的法律。
目的:
▪确保遵守当地的个人隐私相关的法律。
▪减少侵害个人隐私的法律风险。
含义:
▪必须定期审计对当地个人隐私法律的遵守情况。
▪由XX负责告诉所有XXXX的员工、XXXX的用户和服务提供商各自的责任,以及应该遵循的流程。
(四)防止滥用信息设备
XXXX的信息处理设备只能用于经营活动,并遵循XXXX相关的安全标准和规范。
目的:
▪确保信息设备都用于被授权的行为。
▪建立对信息设备安全使用标准。
含义:
▪所有用户必须理解并同意XXXX信息设备使用的条件。
▪应该监控信息设备的使用。
▪应该制定一系列正确使用信息设备的指导手册。
第十三条检查安全策略和技术遵守
以下策略确保遵守了组织的安全策略和标准。
(一)遵守安全策略
所有的安全标准、流程和信息系统体系架构都必须遵守信息安全策略。
目的:
▪确保在整个XXXX层面安全控制的一致性。
含义:
▪必须定期审计对安全策略的遵守情况。
(二)标准操作环境的建立
必须建立和维护标准操作环境(StandardOperationEnvironment)或者基准安全标准(BaselineSecurityStandard),以规定信息系统的软件、硬件和网络配置。
目的:
▪确保所有信息系统和网络的配置一致性。
▪减少识别需要升级、打补丁或具有安全漏洞系统的时间。
含义:
▪需要设立配置管理流程来维护和更新配置。
(三)遵守标准的操作环境
所有的信息系统必须遵守相应的标准操作环境(StandardOperationEnvironment)或者基准安全标准(BaselineSecurityStandard)。
目的:
▪帮助确认所有的系统都是按照标准操作环境(StandardOperationEnvironment)或者基准安全标准(BaselineSecurityStandard)的要求安装和配置的。
▪减少维护成本。
含义:
▪标准操作环境(StandardOperationEnvironment)或者基准安全标准(BaselineSecurityStandard)必须得到批准和实施。
▪必须审计标准操作环境的使用。
第十四条审计考虑事项
以下策略指出,通过在系统审计时对操作系统和审计工具实施控制,可以减少系统审计流程对正常工作流程的干扰。
(一)遵守情况审计
对安全策略遵守情况的外部审计应该定期每年进行。
应该定期或是按照业务需要进行内部审计。
目的:
▪确保组织的安全策略及标准的遵守。
含义:
▪信息系统的负责人必须支持对其系统遵守情况的定期检查。
▪审计检查应小心计划,以降低对正常经营活动的影响。
▪审计和复查之后应实施改进方案。
(二)系统审计控制
系统审计必须仔细地计划并获得XX的批准。
目的:
▪降低对正常经营活动的影响。
含义:
▪对系统审计的请求必须和相关系统负责人很好地交流。
▪必须建立并通告预防措施,以防止造成正常系统或流程的中断。
第八章物理和环境安全
第十五条安全区域
以下的安全策略描述了如何防止对XXXX日常业务活动的侵入、破坏和干扰。
同时,确保用于保障XXXX核心经营活动的设备和设施被保护在安全的区域。
(一)核心设备有明确的标记
XXXX所有关键线缆(如用于支撑核心业务系统的电力线缆和通讯线缆)都有明确的标签。
目的:
▪保护核心业务流程所使用的基础设备,防止侵入、破坏。
▪尽量减少XX的监听和截获XXXX的信息。
含义:
▪XXXX基础设备负责人必须意识到关键线缆的识别标签对XXXX业务的重要性。
▪所有核心业务流程所使用的设备线缆必须使用标签识别,同时标签识别文档必须和标签一致。
(二)受限制区域
核心信息资产处理流程中所使用的设备必须处于受限制区域,并且使用增强的安全控制措施。
进入不同安全级别的安全区域前必须通过一系列的物理保护措施。
目的:
▪保护XXXX的信息和核心IT设备,防止侵入。
含义:
▪核心信息资产处理流程中所使用的设备必须被识别。
▪需要关注因为环境风险所带来的潜在安全问题。
(三)物品交接区域
XXXX的物品交接区域必须和信息处理区域隔离。
不同的安全访问级别区域之间应该有物理安全隔离措施。
目的:
▪防止未经受权的人员侵入XXXX建筑物内。
含义:
▪XXXX建筑物的物理安全控制都需进行过评估和采取必要的安全措施。
(四)访问者的登记
所有的访问者都必须在XXXX各单位前台登记,在登记表上必须记录以下信息:
▪访问者的姓名
▪访问者所属的机构,机构名称
▪访问的目的
▪进入和离开的时间
▪XXXX陪同员工的签名。
目的:
▪用于识别在XXXX内的每个访问者。
▪使XXXX具有识别在XXXX内访问者数目和姓名的能力,尤其是在紧急事件发生时。
含义:
▪所有的XXXX的建筑物的入口都需要有前台,并有人负责访问者的登记。
(五)出入XXXX建筑物的记录
不同的安全级别区域之间的访问必须留有访问者的记录。
目的:
▪宜于识别和记录所有到XXXX建筑物和安全区域的访问。
含义:
▪需要有机制保障记录所有进入XXXX建筑物的事件。
第十六条IT设备安全
以下的安全策略主要描述了如何降低因为丢失或破坏信息资产所引起的风险。
保障资产在物理层面得到良好的保护,远离环境风险和安全漏洞。
(一)线缆安全
所有用于支撑核心业务系统的电力线缆和通讯线缆必须有安全保护措施。
目的:
▪防止电力或通讯线路被破坏或监听。
含义:
▪目前所使用的所有电力线缆和通讯线缆必须做安全检查和文档化管理。
(二)IT设备维护
所有的IT设备都必须按照生产厂家的产品说明书来存储和维护。
目的:
▪提高IT设备的可用性。
▪如果IT设备有投保,满足投保要求。
含义:
▪生产厂家的产品说明书可以随时方便地取阅。
▪当新设备到货安装时,维护手册和操作说明书需要有备份,并放置于随时取阅的地点。
机房的建设、运行维护必须符合机房安全规范。
目的:
▪保障机房的建设达到业界已经充分论证的规范,即提高可靠性、安全性。
含义:
▪机房在设计阶段即遵循业界已经充分论证的机房安全规范。
(三)从XXXX建筑物内带离IT设备。
将任何IT设备或存贮介质(硬盘、磁带、软盘、光碟、USB等移动存储设备)带离XXXX建筑物后,必须处于妥善保管和安全控制之中。
目的:
▪保护XXXX的IT设备,防止丢失,毁损和盗窃。
含义:
▪所有XXXX的员工都要接受相关的培训。
▪员工应该得到适当的安全辅助设备。
(四)笔记本电脑的安全
妥善保管笔记本电脑,遵循XXXX相关的安全标准和规范。
目的:
▪降低丢失笔记本电脑的可能。
含义:
▪所有XXXX的员工都要接受相关的培训。
▪员工应该得到适当的安全辅助设备。
(五)IT设备的报废和处理
如果需要报废和处理的存储设备中包括核心信息资产,在报废和处理前必须将该存储设备物理损坏或可靠清除信息。
目的:
▪如果不当地报废或处理IT设备,信息资产有可能被泄漏。
▪降低由XX的人员从XXXX的废弃物中得到机密信息资产的可能。
含义:
▪需要制订物理损坏或重写覆盖的流程。
▪需要建立资产状态表以记录资产当前的状态。
▪员工必须意识到如何正确处理废弃的资产。
第九章通讯和操作管理
第十七条操作流程和责任
以下策略是关于计算机和网络设备如何安全正确的操作使用,以及管理和操作的责任与流程。
(一)操作变更控制
任何对IT相关的信息设备、系统、软件、运行环境、策略、流程、步骤和正式文档的变更,都必须遵从变更管理流程。
目的:
▪确认所有变更都是可行且有效的。
▪确认变更没有危及信息的可用性、完整性和机密性。
含义:
▪变更管理流程文档必须放置在适当的位置。
▪必须充分交流变更管理流程。
(二)职责分离
正确的定义员工在业务环境中的系统控制权力,必须实行职责分离。
目的:
▪减少故意的或过失的系统滥用。
▪减少因欺骗和过失等行为危及信息安全的风险。
含义:
▪必须检查工作职责的定义,以确保职责分离的有效实施。
(三)开发设施和运行设施分离
开发测试和运行必须在不同的环境中进行。
目的:
▪开发和测试可能在运行环境中造成严重问题。
▪有助于确保生产数据的安全有效。
▪有助于实施对测试和生产环境的访问控制。
含义:
▪开发测试环境和运行环境需要适当的分离。
第十八条系统规划和验收
以下策略是关于通过预先计划和准备,确保足够的容量和资源,以减少系统故障风险。
(一)容量计划和验收
每个应用程序在运行于XXXX生产环境之前,必须通过测试,并明确所有的基础架构需求。
目的:
▪减少系统故障风险
▪确保得到足够的容量和资源。
含义:
▪在考虑容量计划或是测试输入输出数据时,必须要有正式的计划流程和验收流程。
▪测试新系统时要保证有足够的资源。
▪新系统验收和使用前必须首先建立、记录和测试新系统的运行要求。
第十九条防止恶意软件
以下策略是关于如何采用预防措施检测并防止恶意软件,从而保护软件、数据完整性。
(一)对恶意软件的控制
所有个人计算机和服务器上都必须部署并激活防病毒软件。
必须定期进行完整的系统扫描。
目的:
▪保护软件、信息和信息系统的完整性、机密性、可用性。
含义:
▪必须培训员工,使其了解病毒扫描的重要性。
▪必须有合适的审计流程来确保防病毒软件的部署、激活和运行。
(二)防病毒软件更新
防病毒软件必须定期更新病毒特征文件,或者是在每次新的病毒特征文件发布时更新。
目的:
▪帮助确保病毒定义是更新的。
▪减少感染新病毒的可能性。
含义:
▪必须建立机制,部署和更新病毒特征文件。
(三)软件安装
XXXX系统绝对不能安装未经XXXX授权的软件。
目的:
▪减少未知漏洞的引入。
▪有助于确保遵守相关的法律法规。
含义:
▪定期审计系统和软件。
(四)文件和软件的病毒扫描
所有从外部接收的文件和软件必须进行病毒扫描。
目的:
▪减少病毒侵入系统的风险。
含义:
▪需要部署并及时更新病毒扫描工具。
▪必须培训员工认识到扫描所有从外部接收的文件、软件的重要性。
第二十条维护管理
以下策略是关于通过采取一些维护管理措施,如数据备份、事件记录、监控XXXX信息环