三级保密资质信息系统安全策略文件VWord格式文档下载.docx
《三级保密资质信息系统安全策略文件VWord格式文档下载.docx》由会员分享,可在线阅读,更多相关《三级保密资质信息系统安全策略文件VWord格式文档下载.docx(21页珍藏版)》请在冰豆网上搜索。
第九条物理和环境安全策略 8
第十条运行管理策略 9
第十一条通讯和传输安全管理策略 9
第十二条信息设备安全策略 10
第十三条存储设备安全 11
第十四条操作安全策略 11
第十五条访问控制策略 12
第十六条导入导出策略 13
第十七条备份与恢复策略 13
第十八条设备维修策略 14
第十九条设备报废策略 14
第二十条风险管理及安全审计策略 14
第二十一条信息系统应急计划和响应策略 15
第二十二条遵循性 15
第一条概述
根据《中华人民共和国保守国家秘密法》、《武器装备科研生产单位保密资格审查认证管理办法》、《武器装备科研生产单位三级保密资格标准》等文件精神,结合本公司实际,特制定本安全策略文件。
信息系统安全策略文件是公司计算机和信息系统全体管理和使用人员必须遵循的信息安全行为准则,由公司信息安全管理部门制订及解释,由公司保密委员会审批发布,并由信息安全管理部门组织公司全体人员学习与贯彻。
公司涉密计算机及信息系统涉及到存储、传输、处理国家秘密、公司商业秘密和业务关键信息,关系到公司的形象和公司业务的持续运行,必须保证其安全。
因此,必须从技术、管理、运行等方面制定确保涉密计算机和信息系统持续可靠运行的安全策略,做好安全保障。
第二条适用范围
2.1本策略所称的计算机和信息系统指公司所有通过计算机及信息系统存贮、处理或传输的信息及存贮、处理或传输这些信息的硬件、软件及固件。
2.2本策略适用于我单位信息系统资产和信息技术人员的安全管理,适用于指导我单位信息系统安全策略的制定、安全方案的规划和安全建设的实施,适用于我单位安全管理体系中安全管理措施的选择。
第三条目标
本方针的目的是为本公司信息系统安全管理提供一个总体性架构文件,该文件将指导本公司信息系统的安全管理体系建设。
安全管理体系以实现统一的安全策略管理、提高整体的网络与信息安全水平、确保安全控制措施落实到位、保障网络通信畅通和业务系统的正常运营为建设目的。
并通过一系列预防措施将信息安全可能受到的危害降到最低。
信息安全管理应在确保信息和计算机受到保护的同时,确保计算机和信息系统能够在允许的范围内正常运行使用。
同时,本策略的目的也是让所有员工能够了解信息安全问题以及明确各自的信息安全职责,严格遵守本安全策略,并遵守国家相关的计算机或信息安全法律要求。
第四条安全原则
(一)基于安全需求原则
技术部根据公司信息系统担负的业务功能、积累的信息资产的重要性、可能受到的威胁及面临的风险分析安全需求,按照信息系统等级保护要求确定相应的信息系统安全保护等级,遵从相应等级的规范要求,从全局上平衡安全投入与效果;
(二)主要领导负责原则
主要领导应确立统一的信息安全保障宗旨和政策,负责指导提高全员安全意识的教育方法、培养优秀的安全技术队伍、调动并优化资源的配置、协调安全管理工作与各部门工作的关系,并确保其有效落实;
(三)全员参与原则
信息系统涉及的所有相关人员应积极参与信息系统的安全管理,并与相关方面协调,共同保障信息系统的安全;
(四)系统方法原则
按照系统工程的要求,识别和理解信息安全保障相互关联的层面和过程,采用管理和技术相结合的方法,保证安全保障工作的高效有序进行;
(五)持续改进原则
安全管理是一种动态反馈过程,贯穿整个安全管理的生存周期,随着安全需求和系统脆弱性的时空分布变化,威胁程度的提高,系统环境的变化以及对系统安全认识的深化等,应及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级,维护和持续改进信息安全管理体系的有效性;
(六)依法管理原则
信息安全管理工作主要体现为管理行为,应保证信息系统安全管理主体合法、管理行为合法、管理内容合法、管理程序合法。
对安全事件的处理,应由授权者适时发布准确一致的有关信息,避免带来不良的社会影响;
(七)分权和授权原则
对特定职能或责任领域的管理功能实施分离、独立审计等实行分权,避免权力过分集中,带来隐患,以减少未授权的修改或滥用系统资源的机会。
任何实体(如用户、管理员、进程、应用或系统)仅享有该实体需要完成其任务所必须的最小权限,不应享有任何多余权限;
(八)选用成熟技术原则
成熟的技术具有较好的可靠性和稳定性,采用新技术时要重视其成熟度,并应首先局部试点然后逐步推广,以减少或避免可能出现的失误;
(九)分等级保护原则
按等级划分标准确定信息系统的安全保护等级,实行分等级保护;
对多个子系统构成的大型信息系统,确定系统的基本安全保护等级,并根据实际安全需求,分别确定各子系统的安全保护等级,实行多级安全保护;
(十)管理与技术并重原则
坚持积极防御和综合防范相结合,全面提高信息系统安全防护能力,立足国情,采用管理科学性和技术前瞻性结合的方法,保障信息系统的安全性达到所要求的目标;
(十一)自主保护和国家监管结合原则
对信息系统安全实行自主保护和国家保护相结合。
组织机构要对自己的信息系统安全保护负责,相关部门有责任对信息系统的安全进行指导、监督和检查,形成自管、自查、自评和国家监管相结合的管理模式,提高信息系统的安全保护能力和水平,保障国家信息安全。
第八条在规划和建设信息系统时,信息系统安全防护措施应按照“三同步”原则,与信息系统建设同步规划、同步建设、同步投入运行。
第五条安全方针
信息系统安全建设坚持“安全第一、预防为主,管理和技术并重,综合防范”的总体方针,依照总体安全防护策略,执行信息系统安全等级保护制度,信息网络实行涉密电脑与其他电脑物理隔离,公司内、外网之间物理隔离的方法。
第六条安全组织机构
6.1公司设立保密委员会,保密委员会主任由总经理担任,保密工作实行总经理负责制,保密委员会由公司相关领导和部门主管组成,下设保密办公室作为保密委员会的常设工作机构,并配备保密员,配备系统管理员、安全保密管理员、安全审计员;
设置定密工作小组,明确定密责任人,按“业务谁主管、保密工作谁负责”原则,各部门主管负责本部门的保密管理工作。
6.2技术部是信息系统安全管理的领导机关,负责领导信息安全管理体系的建立和信息安全管理的实施,主要包括:
u提供清晰的指导方向,可见的管理支持,明确的信息安全职责授权;
u审查、批准信息安全策略和岗位职责;
u审查业务关键安全事件;
u批准增强信息安全保障能力的关键措施和机制;
u保证必要的资源分配,以实现数据有效性以及信息安全管理体系的持续发展。
6.3技术部具体负责建立和维持信息安全管理体系,协调相关活动,主要承担如下职责:
u调整并制定所有必要的信息安全管理规程、制度以及实施指南等;
u提议并配合执行信息安全相关的实施方法和程序,如风险评估、信息管理分层等;
u主动采取部门内的信息安全措施,如安全意识培训及教育等;
u配合执行新系统或服务的特殊信息安全措施;
u审查对信息安全策略的遵循性;
u配合并参与安全评估事项;
u根据信息安全管理体系的要求,定期向上级主管领导和保密委员会报告。
第七条安全管理人员策略
为避免信息遭受人为过失、窃取、欺骗、滥用的风险,应当识别信息系统系统内部每项工作的信息安全职责并补充相关的程序文件。
公司全体人员都应该了解计算机及系统的网络与信息安全需求,公司必须为全体人员提供足够的培训以达到该安全目的,并为他们提供报告安全事件和威胁的渠道。
7.1工作定义及资源的安全
工作人员从事或离开岗位时必须进行信息安全考虑,相关的安全事项必须包括在工作描述或合同中。
包括:
u对涉及访问秘密或关键信息,或者访问处理这些信息的系统的工作人员应进行严格审查和挑选;
u对信息系统具有特殊访问权限的工作人员应该签署承诺,保证不会滥用权限;
u当工作人员离开公司时应该移交信息系统的访问权限,或工作人员在公司内部更换工作岗位时应该重新检查并调整其访问权限。
7.2员工培训
公司全体人员应了解计算机及信息系统的安全需求,并对如何安全地使用信息及相关系统和工具、信息安全策略和相关管理规定接受培训,熟悉信息安全的实施并加强安全意识。
7.3事件报告
必须建立有效的信息反馈渠道,以便于公司人员一旦发现安全威胁、事件和故障,能及时向有关领导报告。
7.4信息处理设备可接受的使用策略
公司禁止工作人员滥用计算机及信息系统的计算机资源,仅为工作人员提供工作所需的信息处理设备。
公司所有人员对系统网络和计算资源的使用(包括访问互联网)都必须遵守计算机及信息系统的安全策略和标准及所有适用的法律。
公司的计算机及信息系统应能防止使用人员连接到访问含有色情、种族歧视及其他不良内容的网站及某些非业务网站。
包括但不限于以下例子是不可接受的使用行为:
u使用信息系统资源故意从事影响他人工作和生活的行为。
u工作人员通过信息系统的网络服务及设备传输、存储任何非法的、有威胁的、滥用的材料。
u任何工作人员使用信息系统的计算机工具、设备和互联网访问服务来从事用于个人获益的商业活动(如炒股)。
u工作人员使用信息系统服务来参与任何政治或宗教活动。
u在没有信息安全管理部门的事先允许或审批的情况下,工作人员在使用的计算机中更改或安装任何类型的计算机软件和硬件。
u在没有信息安全管理部门的事先允许或审批的情况下,工作人员拷贝、安装、处理或使用任何未经许可的软件。
7.5处理从互联网下载的软件和文件
必须使用病毒检测软件对所有通过互联网(或任何其他公网)从信息系统之外的途径获得的软件和文件进行检查,同时,在获得这些软件和文件之前,信息安全管理部门必须研究和确认使用这些工具的必要性。
7.6工作人员保密协议
公司所有人员必须在开始工作前,亲自签订信息系统保密协议。
7.7知识产权权利
尊重互联网上他人的知识产权。
公司工作人员在被雇佣期间使用公司系统资源开发或设计的产品,无论是以何种方式涉及业务、产品、技术、处理器、服务或研发的资产,都是公司的专有资产。
第八条安全保密产品和工具
8.1安全保密产品
为了构建计算机良好的安全保密环境,每台涉密机都必须安装有安全保密产品。
通过硬件、软件俩个方面多角度的保护涉密机的信息安全。
u安全保密产品主要包括“三合一”安全系统、主机审计系统、防辐射干扰器等相关保密产品。
u提供安全保密产品的单位必须具备相应的保密资质和相关产品的检测证书;
u任何需求安装安全保密产品的部门,保密办都须直接参与,并由保密办办理相关手续后,即可使用;
u安全保密产品一旦安装,未经批准任何人不可私自修改、卸载;
u按照要求正确使用安全保密产品,如有问题可以随时询问计算机安全管理员;
u凡是安全保密产品涉及到的USB-Key、遥控器、单项导入盒等,相关负责人使用完毕后应尽快放入密码柜中妥善保管;
8.2安全保密检查工具
公司配备保密检查工具。
通过保密检查工具能够及时的发现问题。
第九条物理和环境安全策略
计算机信息和其他用于存储、处理或传输信息的物理设施,例如硬件、磁介质、电缆等,对于物理破坏来说是易受攻击的,同时也不可能完全消除这些风险。
因此,应该将这些信息及物理设施放置于适当的环境中并在物理上给予保护使之免受安全威胁和环境危害。
9.1安全区域
根据信息安全的分层管理,应将支持涉密信息或关键业务活动的信息技术设备放置在安全区域中。
安全区域应当考虑物理安全边界控制及有适当的进出控制措施保护,安全区域防护等级应当与安全区域
升级会员 