XX信息系统安全总体策略Word格式文档下载.docx

XX信息系统安全总体策略Word格式文档下载.docx

《XX信息系统安全总体策略Word格式文档下载.docx》由会员分享，可在线阅读，更多相关《XX信息系统安全总体策略Word格式文档下载.docx（40页珍藏版）》请在冰豆网上搜索。

2.1.1资产分类 6

2.1.2资产保护 6

2.1.3分类标记 6

2.1.4文档分类 7

2.2资产的可审计性 7

3人员信息安全策略 8

3.1工作定义及资源的安全 8

3.2用户培训 8

3.3事件报告 9

3.4外部访问者 9

3.5工作人员调转和解聘 9

3.6信息处理设备可接受的使用策略 9

3.7处理从互联网下载的软件和文件 11

3.8工作人员保密协议 11

3.9知识产权权利 11

4物理和环境安全 12

4.1安全域 12

4.2设备安全 12

4.3物理访问控制 13

4.4建筑和环境的安全管理 14

4.5数据中心访问记录管理 14

4.6设备和电缆安全 14

4.7设备装载、处置或重新使用 15

5计算机和网络的运行管理 16

5.1操作规程和职责 16

5.2操作变更控制 17

5.3系统计划编制和批准 17

5.4软件和信息保护 17

5.5介质的处理和安全性 17

5.6维护完整性和可用性 18

5.7鉴别和网络安全 18

5.8数据交换 19

5.9操作人员日志 19

5.10错误日志记录 19

5.11网络安全管理 20

5.12信息和软件交换 20

5.13网上业务安全 21

5.14电子邮件安全 21

5.15病毒防范策略 21

5.16因特网安全策略 22

5.17备份与恢复 22

5.18入侵检测 23

5.19加密 23

6访问控制 25

6.1应用程序访问控制 25

6.2计算机访问控制 25

6.3帐号管理 26

6.4口令管理 26

6.5权限管理 28

7系统开发和维护 29

7.1系统的安全需求 29

7.2信息系统的安全 29

7.3信息系统文件的安全 29

7.4开发和支持环境的安全 29

7.5软件开发和维护 30

8个人计算机和信息安全 31

9风险管理 32

10业务连续性管理，恢复 33

10.1业务连续性管理的特点 33

10.2业务连续性管理程序 33

10.3业务连续性和影响分析 33

10.4编写和实施连续性计划 34

10.5业务连续性计划框架 34

10.6业务连续性计划的检查、维护和重新分析 35

11遵循性 36

11.1软件的使用 36

11.2防止滥用IT工具 36

11.3对安全策略的遵循性 36

参考标准及法规 37

1安全策略概述

1.1简介

XX信息系统相关的信息和支撑系统、程序等，不论它们以何种形式存在，均是XX信息系统的关键资产。

信息的可用性、完整性和机密性是信息安全的基本要素，关系到XX单位的形象和业务的持续运行。

因此，必须保护这些资产不受威胁侵害（威胁可能来自各个方面，如网络诈骗、侦探、病毒或黑客，自然灾害等）。

定义和监督执行XX信息系统安全总体策略是XX信息系统安全管理部门的职责。

XX信息系统是存储、传输、处理大量关于某种业务关键信息的系统。

这些信息受国家法律保护，必须保证其安全。

确保XX信息系统的持续可靠运行需要在信息系统的全生命周期内从技术、管理、工程实施、运行等方面进行安全保障。

随着信息技术的发展，信息安全技术也不断发展，XX信息系统面临的安全威胁也可能在不断变化，为了应对安全要求及各种约束条件的变化，对于安全策略及其相应的支撑管理规程和制度需要不断的修订和改进。

1.2范围

信息安全关系到所有类型的信息和存贮、处理或传输这些信息的硬件、软件及固件。

本策略适用于XX单位内所有的业务信息系统及其工作人员。

然而，需要不同的部门要根据其自身的特点，对需求、威胁、风险、信息类型进行针对性的规定。

1.3目标

信息安全的目标就是确保业务的连续性，并通过一系列预防措施将业务可能受到的损害降到最低，将安全事故产生的影响降到最低。

信息安全管理应在确保信息和计算机资产受到保护的同时，确保信息能够在允许的范围内正常运

第37页

行使用。

对每种资产的保护程度由以下四个基本要素决定：

u机密性

u完整性

u可用性

u可审计性

同样，本策略的目的也是让所有工作人员能够了解信息安全问题以及他们个人的责任，并严格遵守本安全策略。

促进信息安全策略的实现和普及是每个工作人员应尽的责任和义务。

依照本安全策略，需要制定：

u信息安全相关的角色需求

u各种安全环境下的岗位和职责需求

全体工作人员都应该遵守国家相关的计算机或信息安全法律要求，并明确他们各自的信息安全职责。

1.4遵循

XX信息系统内所有工作人员都有责任学习、理解并遵守安全策略，以确保XX信息系统敏感信息的安全。

对违反安全策略的行为，根据事件性质和违规的严重程度，采取相应的处罚措施。

信息安全管理部门应根据违规的严重程度向相关领导提出建议惩罚措施。

除本安全策略中涉及的要求之外，所有部门和工作人员同样需要遵守相关国家法律和法规的要求。

XX信息系统安全总体策略由信息安全管理部门负责制定和解释，并每年组织一次对总体策略进行修订和维护，由信息安全领导小组在XX信息系统内发布。

XX信息系统内已存在的但内容与本安全策略不符的管理规定，应以本安全策略的要求为准，并参考本安全策略及时进行修订。

1.5安全组织

1.5.1信息安全管理组织

建立安全组织的目标是管理XX信息系统内部的信息安全。

XX单位必须建立专门的安全领导小组，指定专职的安全管理员，不得与其它系统管理员、应用系统管理员等管理人员角色重叠。

XX单位必须建立信息安全管理体系，在XX信息系统内部开展和控制信息安全的管理实施。

根据需要，建立外部信息安全专家咨询小组。

保持与XX信息系统外部安全专家的联系，并与业界的趋势、监控标准和评估方法同步。

信息安全是XX信息系统内所有工作人员必须共同承担的责任。

必须建立相应的最高安全领导小组，由最高的主管领导担任组长，领导小组应能够：

u提供清晰的指导方向，可见的管理支持，明确的信息安全职责授权；

u审查、批准信息安全策略和岗位职责；

u审查业务关键安全事件；

u批准增强信息安全保障能力的关键措施和机制；

u保证必要的资源分配，以实现数据有效性以及信息安全管理体系的持续发展。

相关信息安全管理部门必须为建立和维持信息安全管理体系，协调相关活动，并承担如下职责：

u调整并制定所有必要的信息安全管理规程、制度以及实施指南等；

u提议并配合执行信息安全相关的实施方法和程序，如风险评估、资产分级分类方法等；

u主动采取部门内的信息安全措施，如安全意识培训及教育等；

u配合执行新系统或服务的特殊信息安全措施；

u审查对信息安全策略的遵循性；

u审查、监控、协调对信息安全相关事件的评估和响应；

u配合并参与安全评估事项；

u根据信息安全管理体系的要求，定期向上级主管领导和信息安全领导小组报告。

1.5.2信息安全职责分配

根据XX信息系统的具体情况指定系统安全角色和职责的分配，并对安全角色和职责的分配补充有关环境、系统或服务的详细描述，这些描述明确定义单个资产（包括物理的和信息的）的职责和安全规程，例如业务持续性计划。

为了避免任何对个人责任的误解，每个管理者所负责的管理区域必须被明

确规定，重点如下：

u识别和定义与每个业务应用系统相关的各种资产和安全过程；

u管理者应该知晓与其相关的资产管理责任，并且形成文件；

u确定义授权级别，并形成文件。

1.6术语表及其定义

2资产分类与控制

信息资产和用来处理、存贮信息的硬件和软件以及为这些硬件和软件提供支撑服务的资产（例如能量提供、电缆、房屋等）一样具有价值。

为了保护信息，必须识别这些资产并定义它们所需的保护类别和等级。

2.1信息分类

用于指明防护的需求和优先级。

2.1.1资产分类

信息资产，包括计算机和网络，依据其价值和敏感性以及机密性、完整性和可用性原则进行分类。

XX信息系统安全管理部门根据各业务应用特点制定本系统内具体的资产分类与分级办法，并根据分级与分类办法制定明晰的资产清单。

分类表

对XX信息系统有价值的和敏感的信息划分为秘密信息。

根据XX信息系统的需要，数据必须被保护以防止被泄漏、破坏或修改。

XX信息系统用于保持正常业务持续进行的信息可划分为关键信息。

对关键信息必须进行备份，并作为XX信息系统应急计划的一部分进行存储，以保

证在这些信息受到破坏的情况下，业务系统正常进行和及时恢复。

对备份信息必须进行保护以免破坏和非授权修改。

那些来自于外部资源（报纸、杂志、调查、书籍等）的信息可划分为仅在

内部使用信息。

这些信息的使用、再出版要遵守版权。

其他信息划分为普通信息。

这些信息，尽管不属于上述类别，还是很容易被篡改和破坏。

因此，同样需要对普通信息进行安全考虑。

2.1.2资产保护

信息资产的防护等级应当与它们的分类一致。

2.1.3分类标记

处理敏感信息的信息系统的输出应当依据其分类进行物理标记。

2.1.4文档分类

文档和其他物理资产应该根据它们的类别进行适当的使用、储存和销毁。

信息系统输出所使用的分类准则与其相关文档的分类准则必须保持一致。

2.2资产的可审计性

信息资产应该能够被识别、说明并指定所有者，制定并保存信息资产的详细目录。

对于关键资产应当识别信息所有者，并为其分配执行和维护等相应权限。

与信息系统相关的资产举例如下：

u信息资产：

包括数据库、数据文件、电子数据表、命令执行文件、

手册以及支撑程序和人等。

u逻辑设备：

包括系统、应用软件和开发工具等。

u物理设备：

包括计算机设备、登录卡、移动电话、各种类型的媒介、家具和房屋等。

3人员信息安全策略

为避免信息遭受人为过失、窃取、欺骗、滥用的风险，应识别XX信息系统内部每项工作的信息安全职责并补充相关的程序文件。

对信息和信息系统的访问进行授权和取消应该依据“必须知道”的原则。

全体工作人员都应该了解

XX信息系统的安全需求，安全管理机构必须为工作人员提供足够的培训以达到该安目的，并为他们提供报告安全事件和威胁的渠道。

3.1工作定义及资源的安全

工作人员从事或离开岗位时必须进行信息安全考虑，相关的安全事项必须包括在工作描述及合同中。

u对涉及访问秘密信息或关键信息，或者访问处理这些信息的系统的工作人员应进行严格审查和挑选；

u应该根据安全角色和职责来描述工作；

u对信息系统具有特殊访问权限的工作人员应该签署承诺，保证不会滥用权限；

u