信息安全策略模板.docx
《信息安全策略模板.docx》由会员分享,可在线阅读,更多相关《信息安全策略模板.docx(21页珍藏版)》请在冰豆网上搜索。
信息安全策略模板
信息安全策略
*变化状态:
C——创建,A——增加,M——修改,D——删除
1.目的和范围.................................................................................................................................................................4
2.术语和定义.................................................................................................................................................................4
3.引用文件.....................................................................................................................................................................5
4.职责和权限.................................................................................................................................................................6
5.信息安全策略.............................................................................................................................................................6
5.1.信息系统安全组织........................................................................................................................................6
5.2.资产管理........................................................................................................................................................8
5.3.人员信息安全管理........................................................................................................................................9
5.4.物理和环境安全..........................................................................................................................................11
5.5.通信和操作管理..........................................................................................................................................13
5.6.信息系统访问控制......................................................................................................................................17
5.7.信息系统的获取、开发和维护安全..........................................................................................................20
5.8.信息安全事故处理......................................................................................................................................23
5.9.业务连续性管理..........................................................................................................................................24
5.10.符合性要求................................................................................................................................................261附件.......................................................................................................................................................................27
1.目的和范围
1)本文档制定了的信息系统安全策略,作为信息安全的基本标准,是所有安全行为的指导方针,同时也是建立完整的安全管理体系最根本的基础。
2)信息安全策略是在信息安全现状调研的基础上,根据ISO27001的最佳实践,结合现有规章制度制定而成的信息安全方针和策略文档。
本文档遵守政府制定的相关法律、法规、政策和标准。
本安全策略得到领导的认可,并在公司内强制实施。
3)建立信息安全策略的目的概括如下:
a)
b)
c)
d)在内部建立一套通用的、行之有效的安全机制;在的员工中树立起安全责任感;在中增强信息资产可用性、完整性和保密性;在中提高全体员工的信息安全意识和信息安全知识水平。
本安全策略适用于公司全体员工,自发布之日起执行。
2.术语和定义
1)解释信息安全是指保护信息资产免受多种安全威胁,保证业务连续性,将安全事件造成的损失
降至最小,同时最大限度地获得投资回报和商业机遇。
可用性
保密性
完整性
保密信息
信息安全策略确保经过授权的用户在需要时可以访问信息并使用相关信息资产。
确保只有经过授权的人才能访问信息。
保护信息和信息的处理方法准确而完整。
安全规章定义的密级信息。
正确使用和管理IT信息资源并保护这些资源使得它们拥有更好的保密性、完整
性、可用性的策略。
风险评估
风险管理评估信息安全漏洞对信息处理设备带来的威胁和影响及其发生的可能性。
以可以接受的成本,确认、控制、排除可能影响信息系统的安全风险或将其带来
的危害最小化的过程。
计算机机房装有计算机主机、服务器和相关设备的,除了安装和维护的情况外,不允许人员
在里边工作的专用房间。
员工
用户
信息资产
信息资产责任人
合作单位在系统内工作的正式员工、雇佣的临时工作人员。
被授权能使用IT系统的人员。
与信息系统相关联的信息、信息的处理设备和服务。
是指对某项信息资产安全负责的人员。
是指与有业务往来的单位,包括承包商、服务提供商、设备厂商、外包服务商、贸易伙伴等。
第三方访问
IT外包服务指非本单位的人员对信息系统的访问。
是指企业战略性选择外部专业技术和服务资源,以替代内部部门和人员来承担企
业IT系统或系统之上的业务流程的运营、维护和支持的IT服务。
安全事件利用信息系统的安全漏洞,对信息资产的保密性、完整性和可用性造成危害的事
件。
故障是指信息的处理、传输设备运行出现意外障碍,以至影响信息系统正常运转的事
件。
安全审计通过将所选类型的事件记录在服务器或工作站的安全日志中用来跟踪用户活动
的过程。
超时设置用户如果超过特定的时限没有进行动作,就触发其他事件(如断开连接、锁定用
户等)。
2)词语使用
必须
应当
可以表示强制性的要求。
好的做法所要达到的要求,条件允许就要实施。
表示希望达到的要求。
3.引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本标准。
1)ISO/IEC27001:
2005信息技术-安全技术-信息安全管理体系要求
2)ISO/IEC17799:
2005信息技术-安全技术-信息安全管理实施细则
4.职责和权限
信息安全管控委员会:
负责对信息安全策略进行编写、评审,监督和检查公司全体员工执行情况。
5.信息安全策略
目标:
为信息安全提供管理指导和支持,并与业务要求和相关的法律法规保持一致。
1)策略下发
本策略必须得到管理层批准,并向所有员工和相关第三方公布传达,全体人员必须履行相关的义务,享受相应的权利,承担相关的责任。
2)策略维护
本策略通过以下方式进行文档的维护工作:
必须每年按照《风险评估管理程序》进行例行的风险评估,如遇以下情况必须及时进行风险评估:
a)
b)
c)
d)发生重大安全事故组织或技术基础结构发生重大变更安全管理小组认为应当进行风险评估的其他应当进行安全风险评估的情形
风险评估之后根据需要进行安全策略条目修订,并在内公布传达。
3)
4)策略评审每年必须参照《管理评审程序》执行公司管理评审。
适用范围
适用范围是指本策略使用和涵盖的对象,包括现有的业务系统、硬件资产、软件资产、信息、通用服务、物理安全区域等。
对于即将投入使用和今后规划的信息系统项目也必须参照本策略执行。
5.1.信息系统安全组织
目标:
在组织内部管理信息安全,保持可被外部组织访问、处理、沟通或管理的信息
及信息处理设备的安全。
1)内部组织
管理者职责参见《信息安全管理手册》。
公司的管理层对信息安全承担最终责任。
公司的信息系统安全管理工作采取信息安全管控委员会统一管理方式,其他相关部门配合执行。
公司的内部信息安全组织包括信息安全管理小组,小组的人员
组成以及相关职责参见《公司信息安全组织结构图》。
各个部门之间必须紧密配合共同进行信息安全系统的维护和建设。
相关部门岗位的分工与责任参见《信息安全管理手册》。
任何新的信息系统处理设施必须经过管理授权的过程。
并更新至《信息资产列表》。
信息系统内的每个重要的资产需要明确所有者、使用人员。
参见《信息资产列表》。
凡是涉及重要信息、机密信息(相关定义参见《信息资产鉴别和分类管理办法》等信息的处理,相关的工作岗位员工以及第三方都必须签署保密协议。
应当与政府机构保持必要的联系共同协调信息安全相关问题。
这些部门包括执法部门、消防部门、上级监管部门、电信供应商等提供公共服务的部门。
应当与相关信息安全团体保持联系,以取得信息安全上必要的支持。
这些团体包括外部安全咨询商、独立的安全技术专家等。
信息安全管理小组每年至少进行一次信息安全风险评估工作(参照《风险评估和风险管理程序》,并对安全策略进行复审。
信息安全领导小组每年对风险评估结果和安全策略的修改进行审批。
每年或者发生重大信息安全变化时必须参照《内部审核管理程序》执行公司内部审核。
2)
a)外部组织第三方访问是指非人员对信息系统的访问。
第三方至少包含如下人员:
硬件及软件技术支持、维护人员;
项目现场实施人员;
外单位参观人员;
合作单位人员;
客户;
清洁人员、送餐人员、快递、保安以及其它外包的支持服务人员;
b)第三方的访问类型包括物理访问和逻辑访问。
物理访问:
重点考虑安全要求较高区域的访问,包括计算机机房、重要办公区域和存放重要物品区域等;
逻辑访问:
主机系统
网络系统
数据库系统
应用系统
c)第三方访问需要进行以下的风险评估后方可对访问进行授权。
被访问资产是否会损坏或者带来安全隐患;
客户是否与有商业利益冲突;
是否已经完成了相关的权限设定,对访问加以控制;
是否有过违反安全规定的记录;
是否与法律法规有冲突,是否会涉及知识产权纠纷;
d)第三方进行访问之前必须经过被访问系统的安全责任人的审核批准,包括物理访问的区域和逻辑访问的权限。
(详见《办公室基础设备和工作环境控制程序》)
e)对于第三方参与的项目或提供的服务,必须在合同中明确规定人员的安全责任,必要时应当签署保密协议。
f)第三方必须遵守的信息安全策略以及《第三方和外包管理规定》,留对第三方的工作进行审核的权利。
5.2.资产管理
目标:
通过及时更新的信息资产目录对信息资产进行适当的保护。
1)资产责任
a)所有的信息资产必须登记入册,对于有形资产必须进行标识,同时资产信息应当及时更新。
每项信息资产在登记入册及更新时必须指定信息资产的安全责任人,信息资产的安全责任人必须负责该信息资产的安全。
b)所有员工和第三方都必须遵守关于信息设备安全管理的规定,以保护信息处理设备(包括移动设备和在非公共地点使用的设备)的安全。
2)信息分类
a)必须明确确认每项信息资产及其责任人和安全分类,信息资产包括业务过
程、硬件和设施资产、软件和系统资产、文档和数据信息资产、人员资产、服务和其他资产。
(详见《信息资产列表》)。
b)必须建立信息资产管理登记制度,至少详细记录信息资产的分类、名称、用
途、资产所有者、使用人员等,便于查找和使用。
信息资产应当标明适用范围。
(详见《IT设备管理规定》)。
c)应当在每个有形信息资产上进行标识。
d)当信息资产进行拷贝、存储、传输(如邮递、传真、电子邮件以及语音传输
(包括电话、语音邮件、应答机)等)或者销毁等信息处理时,应当参照《信息资产鉴别和分类管理办法》或者制定妥善的处理步骤并执行。
e)对重要的资料档案要妥善保管,以防丢失泄密,其废弃的打印纸及磁介质等,
应按有关规定进行处理。
5.3.人员信息安全管理
目标:
确保所有的员工、合同方和第三方用户了解信息安全威胁和相关事宜、明确并
履行信息安全责任和义务,并在日常工作中支持的信息安全方针,减少人为错误的风险,减少盗窃、滥用或设施误用的风险。
1)人员雇佣
a)员工必须了解相关的信息安全责任,必须遵守《职务说明书》。
b)对第三方访问人员和临时性员工,必须遵守《第三方和外包管理规定》。
c)涉及重要信息系统管理的员工、合同方及第三方应当进行相关技术背景调查和能力考评;
d)涉及重要信息系统管理的员工、合同方及第三方应在合同中明确其信息安全责任并签署保密协议;e)重要岗位的人员在录用时应做重要岗位背景调查。
2)雇佣中
a)管理层必须要求所有的员工、合同方及第三方用户执行信息安全的相关规定;
b)应当设定信息安全的相关奖励措施,任何违反信息安全策略的行为都将收到惩戒,具体执行办法参见《信息安全奖惩规定》;
c)将信息安全培训加入员工培训中,培训材料应当包括下列内容:
信息安全策略
信息安全制度
相关奖惩办法
d)应当按下列群体进行不同类型的信息安全培训:
全体员工
需要遵守信息安全策略、规章制度和各项操作流程的第三方人员e)信息安全培训必须至少每年举行一次,让不同部门的人员能受到适当的信息安全培训。
必须参加计算机信息安全培训的人员包括:
计算机信息系统使用单位的安全管理责任人;
重点单位或核心计算机信息系统的维护和管理人员;
其他从事计算机信息系统安全保护工作的人员;
能够接触到敏感数据或机密信息的关键用户。
3)人员信息安全管理原则
a)员工录用时,人事部门或调入部门必须及时书面通知信息技术部门添加
相关的口令、帐号及权限等并备案。
b)员工在岗位变动时,必须移交调出岗位的相关资料和有关文档,检查并
归还在借出的重要信息。
人事部门或调入部门必须及时书面通知信息技术部门修改和删除相关的口令、帐号及权限等。
c)员工在调离时必须进行信息安全检查。
调离人员必须移交全部资料和有
关文档,删除自己的文件、帐号,检查并归还在借出的保密信息。
由人事部门书面通知信息技术部门删除相关的口令、帐号、权限等信息。
d)必须每半年进行用户帐户使用情况的评审,凡是半年及半年以上未使用
的帐号经相关部门确认后删除。
如有特殊情况,必须事先得到部门经理及安全责任人的批准。
e)对第三方访问人员和临时性员工,也必须执行相关规定。
5.4.物理和环境安全
1)安全区域
目标:
防止对工作场所和信息的非法访问、破坏和干扰。
a)必须明确划分安全区域。
安全区域至少包括各计算机机房、IT部门、财务、
人事等部门。
所有可以进出安全区域的门必须能防止XX的访问,如使用控制装置、栅栏、监控和报警装备、锁等。
b)无人值守的门和窗户必须上锁,对于直接与外部相连的安全区域的窗户必
须考虑窗户的外部保护;
c)安全边界的所有门均应被监视并经过检验,它和墙一起按照合适的地方、
国内和国际标准建立所需的抵抗程度;他们应用故障保护方式按照局部放火规则来运行。
d)应按照地方、国内和国际标准建立适当的入侵检测体系,并定期检测以覆
盖所有的外部门窗;要一直对空闲区域发出警报;其他区域要提供掩护方法,例如计算机室或通信室;
e)安全区域必须配备充足的安全设备,例如热敏和烟气探测器、火警系统、
灭火设备,并对设备定期检查。
f)安全区域进出控制采用合适的电子卡或磁卡,并能双向控制。
g)对安全区域的访问必须进行记录和控制,以确保只有经过授权的人员才可
以访问。
对机房的访问管理参见《机房安全管理规定》,其它区域可参照执行。
h)重要设备必须放在安全区域内进行保护,禁止在公共办公区域防止重要的
信息处理设施;
i)应当控制外来人员对公共办公区域的访问,第三方访问规定参见《第三方
和外包管理规定》
j)关键和敏感设施应当存放在与公共办公区域相对隔离的场地,并应设计并
实施保护。
k)危险或易燃物品应当摆放在离安全区域安全距离之外,机房应当参见《机
房安全管理规定》中的要求执行值班或巡检工作任务。
l)备份介质应当和主场地有一段的安全距离,要考虑信息设备面临的可能的
安全威胁,参考《业务连续性管理程序》的内容制定对应的业务连续性计划,并要定期演练。
m)人员离开安全区域时应当及时上锁。
n)除非经过主管部门领导授权,在安全区域不允许使用图象、视频、音频或
其它记录设备。
o)外部人员访问安全区域时应当由员工陪同,并填写《机房出入登记表》,
对访问时间、操作内容等加以记录。
p)出入机房的设备必须填写《机房设备出入登记表》。
2)设备安全
目标:
防止资产的丢失、损坏或被盗,以及对组织业务活动的干扰。
a)计算机机房必须提供环境保障,机房建设必须遵照相关的机房建设规范进行。
如中华人民共和国国家标准GB50174《电子计算机机房设计规范》,必须提供:
稳定的电源供给可靠的空气质量控制(温度,湿度,污染度)防火,防水,防高温,放雷
b)应尽量减少对机房不必要的访问,在机房内工作必须遵守《机房安全管理规定》。
c)各计算机机房是重要的信息处理场所,必须严格执行有关安全保密制度和规定,并防止重要信息的泄露,保证业务数据、信息、资料的准确、安全可靠。
d)计算机机房应列为公司重点防火部位,按照规定配备足够数量的消防器材,并定期检查更换。
机房工作人员要熟悉机房消防用品的存放位置及使用方法,
必须掌握防火设施的使用方法和步骤;要熟悉设备电源和照明用电以及其它电气设备总开关位置,掌握切断电源的方法和步骤。
在遇到突发紧急情况时,必须以保护人身安全为首要目标。
e)定期对机房供电线路及照明器具进行检查,防止因线路老化短路造成火灾。
f)应当按照设备维护要求的时间间隔和规范,对设备进行维护。
g)第三方支持和维护人员对重要设备技术支持前,必须经过安全责任人的授权或审批。
并且在对重要设备现场实施过程中必须有相关人员全程陪同,详细规定参见《第三方和外包管理规定》。
h)设备的安全与重用应当按规定的操作程序来处理,特别是包含重要信息的存储设备,应按照相关规定,以确定是否销毁、修理或弃用该设备。
对弃置的存储有敏感信息的存储设备,必须将其销毁,或重写数据,而不能只是使用标准的删除功能进行数据删除。
详细规定参见《移动存储介质使用规定》。
i)当员工离开时,对于载有重要信息的纸张和可移动的存储介质,应当妥善保管。
j)远程办公人员有责任保护移动设备的安全,未经批准,不得在公共场所访问内部网络。
k)未经信息安全责任人授权,不允许将载有重要信息的设备、信息或软件带离工作场所。
机房内设备的出入必须填写《机房出入登记表》。
5.5.通信和操作管理
1)操作程序和责任
目标:
确保信息处理设施的正确和安全操作
a)对于日常维护工作必须按照规定的系统操作流程进行,操作流程应当指明
具体执行每个作业的说明。
操作流程必须成文,并只有经授权才可以修改。
b)必须建立并执行信息处理设备和信息系统变更管理流程(具体参照《变更
管理流程》),形成文档备案。
c)处理敏感信息资产时,可以考虑分离职责,如果不实施分离,则应当对处
理操作予以记录,并定期进行监督。
d)应当分离开发、测试与运营环境,敏感数据不可拷贝到测试环境中,测试
完成后应当及时清理测试环境。
2)第三方服务交付管理
目标:
实施并保持信息安全的适当水平,确保第三方交付的服务符合协议要
求。
a)应当确保第三方实施、运行并保持第三方服务交付协议中包括商定的安全布置、服务定义和交付等级。
应定期审核第三方的服务提交的报告和检查对协议的符合度。
重要的第三方服务必须签订服务合同和第三方保密协议。
b)应当在第三方服务协议中包含服务变更管理的内容。
变更内容包括但不限于:
任何新应用、系统、服务的开发对现有应用、系统、服务的更改或更新与信息安全有关的新的控制措施网络环境或其它新技术的使用开发环境或物理环境的变更供应商的变更
3)系统策划与验收
目标:
最小化系统失效的风险
a)应为系统的性能和容量要求做预先的规划和准备,应反映对未来容量需求的推测,以减少系统过载的风险。
b)应建立新信息系统、系统升级和新版本的验收准则,验收前应当完成设计审核、缺陷分析及安全测试。
必须将验收标准写入到项目合同中。
4)防范恶意和移动代码
目标:
保护软件和信息的完整性。
a)所有服务器和个人计算机都必须激活防病毒软件,必须及时更新防病毒代码库。
详细规定参见《防病毒管理程序》。
b)系统内的服务器和个人计算机必须使用可信来源的软件,应对软件进行病毒检测后统一保存。
c)员工应当到指定的空间下载软件,不得私自安装授权使用软件列表之外的软件。
d)必须对所有的电子邮件附件进行病毒扫描,也不要随意打开来历不明的邮件附件。
e)应
升级会员 