22信息安全管理策略Word格式文档下载.docx

1、第二章 安全制度管理策略第三条 目的：使信息安全管理的发展方向和相关工作能够满足公司业务要求、国家法律和规定的要求。安全制度管理应建立一套完善的、能够满足以上要求的文档体系，并定期更新，发布到公司信息相关部门。第四条 策略一：建立和发布信息安全管理文档体系1. 策略目标：使相关单位人员了解到信息安全管理文档的内容，安全工作有据可依。2. 策略内容：建立公司信息安全管理文档体系，发布到相关单位。3. 策略描述：制订出一套文档体系，包括信息安全管理策略、制度和实施指南等，通过培训、会议、办公系统或电子邮件等方式发布。总体发布范围包括与以上信息资产相关的公司所有部门以及与公司有关的集成商、软件开发商

2、、产品提供商、商业合作伙伴、临时工作人员和其他等第三方机构或人员。第五条 策略二：更新安全制度安全制度能够适应公司信息安全管理因各方面情况变化而产生的变化，在长期满足要求。定期和不定期审阅和更新安全制度。由相关团队定期进行安全制度的检查、更新，或在信息系统与相关环境发生显著变化时进行检查、更新。第三章 信息安全组织管理策略第六条 目的：通过建立与组织相关的以下二个安全策略，促进组织建立合理的信息安全管理组织结构与功能，以协调、监控安全目标的实现。与组织有关的策略分内部组织和外部组织两部分来描述。第七条 策略一：在组织内建立信息安全管理架构在组织内有效地管理信息安全。公司应建立专门的信息安全组织

3、体系，以管理信息安全事务，指导信息安全实践。通过建立信息安全管理组织，启动和控制组织范围内的信息安全工作的实施，批准信息安全方针与规划、确定安全工作分工和相应人员，以及协调和评审整个组织安全的实施。根据需要，还可以建立与外部安全专家或组织（包括相关权威人士）的联系，以便跟踪行业趋势、各类标准和评估方法；当处理信息安全事故时，提供合适的联系人和联系方式，以快速及时地对安全事件进行响应；鼓励采用多学科方法来解决信息安全问题。第八条 策略二：管理外部组织对信息资产的访问确保被外部组织访问的信息资产得到了安全保护。组织的信息处理设施和信息资产的安全不应由于客户、第三方的访问或引入外部各方的产品或服务而

4、降低，任何外部各方对组织信息处理设施的访问、对信息资产的处理和通信，都应采取有效的措施进行安全控制。3. 策略说明：任何一个组织都不避免与外界有业务往来与信息沟通，经常需要向外部用户开放其信息和信息处理设施，因此，需要对外部访问者给组织信息资产带来的安全风险进行评估，根据风险水平，确定所需的控制。必要时，需要与外部组织与个人签订协议，并向其声明组织的信息安全方针与策略。第四章 人员安全管理策略第九条 目的：本节通过建立四个具体策略，以明确组织内与人员任用相关的安全控制，以便对人力资源进行有效的安全管理，包括内部员工及与组织相关的外部人员的任用前、任用中、任用后相关的安全职责、行为规范。第十条

5、策略一：人员任用前的管理在对人员正式任用前，要明确新员工、合同方人员和第三方与其岗位角色相匹配的安全责任，并进行相关背景调查，以减少对信息资产非授权使用和滥用的风险。确保人员的安全职责已于任用前通过适当的协议及岗位说明书加以明确说明，并对新员工、合同方的有关背景进行验证检查，对第三方的访问权限加以明确声明和严格管理。在新员工及其他外部人员正式进入组织前，就明确其安全职责、强调安全责任、进行背景调查，这在信息安全管理中具有重要的意义。通过对所有应聘者、合同方人员进行必要筛选，对第三方用户加以限制，可以为组织的信息安全把好第一道关。员工、合同方人员和信息处理设施的第三方人员根据其安全角色和职责，要

6、签署相关协议，以明确声明其对信息安全的职责。公司的第三方人员主要有：借调或借用外部人员、软件开发人员以及其他外部服务人员等。第十一条 策略二：人员任用中的管理落实信息安全管理职责，确保公司的员工在整个任用期内的行为都符合信息安全政策的要求。应通过建立管理职责、必要的培训和奖惩措施，使所有的员工、合同方人员和第三方人员了解工作中面临的信息安全风险、相关责任和义务，并在日常工作中遵循组织的信息安全政策的要求。如果员工、合同方人员和第三方人员没有意识到他们工作中应当承担的安全职责，他们可能会有意或无意地对组织的信息安全造成破坏，因此，需要在信息安全管理职责方面，对员工加以有效的限制和必要的激励，并持

7、续进行信息安全教育与培训，可以减少信息安全事故的发生。第十二条 策略三：任用的中止与变更当任用关系中止或职责发生变化时，要建立规范的程序，确保冻结或取消员工、合同方人员和第三方人员所拥有的、与其目前职责不相符的对公司信息资产的使用权。从公司退出的员工、合同方人员和第三方人员要归还其所使用的设备，并删除他们对公司信息及信息系统的所有使用权；对于职责发生变化的员工、合同方人员和第三方人员，按照“最小授权”原则，要对其所拥有的信息资产访问权做相应的变更。信息资产总是与特定的使用主体相关，当使用主体的职责发生变化时，与其职责相关的访问权限应当及时做出相应变化。在实施此策略时，负责信息安全的管理人员需要

8、与负责人力资源的管理人员要协作与沟通，共同负责对员工及合同方人员的任用终止处理；对于合同方的终止职责处理，要与合同方代表进行协作，其他情况下的用户可能由他们的公司来处理。当资产的访问权和使用权发生变更及公司人员及运行发生变化时，要及时通知各相关方。第五章 系统开发与维护管理策略第十三条 目的：本章的六个安全策略旨在确定公司获取、开发、维护信息系统所应遵守的关键控制点。在信息系统获取和开发过程中就需要加强对信息安全的管理与控制，只有集成在软件开发过程中的安全措施，才能真正起到预防与控制风险的作用，而且在软件开发生命周期中，越早引入控制措施，将来运行与维护费用就越少。第十四条 策略一：确定信息系统

9、的安全需求确保将安全作为信息系统建设的重要组成部分。应用系统的所有安全需求都需要在项目需求分析阶段被确认，并且作为一个信息系统的总体构架的重要组成部分，要得到对其合理性的证明、并获得用户认可，同时要记录在案。信息系统安全包括基础架构软件、外购业务应用软件和用户自主开发的软件的安全，信息系统的安全控制应该在系统开发设计阶段予以实现，要确保安全性已构成信息系统的一部分，应该在信息系统开发前，或在项目开始阶段，识别所有的安全要求，并作为系统设计不可缺少的一部分，进行确认与调整。第十五条 策略二：在应用中建立安全措施避免应用系统在运行过程中发生故障，并防止在应用软件系统中的用户数据的丢失、改动或者滥用

10、。把适当的技术控制措施、查验追踪和活动日志等控制手段设计到应用软件系统中。这些措施应当对输入数据、内部处理和输出数据的检验。要保证应用系统的安全，需要在软件开发过程中，集成适当的安全控制技术措施，而且要在应用系统需求和应用系统设计中进行明确的表达。信息安全管理人员或信息系统安全审计人员需要在需求评审阶段，着重检查必要的输入、处理和输出控制措施是否集成在系统中。第十六条 策略三：实施密码控制保护信息的保密性、完整性和有效性。对于面临非授权访问威胁的信息，当其它管理措施无法对其进行有效保护时，应当用密码系统和密码技术进行保护。为防止公司敏感信息的泄露，可以利用加密技术对其进行处理后进行存储与传输；

11、为防止重要信息被篡改或伪造，可以利用加密的办法对信息的完整性进行鉴别；在电子商务过程中，可以通过加密技术的应用（如数字签名）进行交易双方身份真实性认证，并防止抵赖行为的发生。第十七条 策略四：保护系统文件的安全确保信息系统安全项目和支持行为以安全的方式进行，应当控制对系统文件的访问。应当维护系统文件中信息的完整性，这是应用程序系统、用户及开发人员的共同责任。系统文件是一种全局文件，可视为所有用户程序所用的文件（另一种解释是一种仅供操作系统访问的文件）。系统文件面临的典型威胁是使用错误的程序版本，从而导致数据的错误处理与数据破坏，以及由于测试目的使用操作数据而导致的信息泄露。因此要采取措施保护系

12、统文件的安全。第十八条 策略五：保证开发和支持过程的安全维护应用程序系统中的软件和信息的安全。公司应当对项目和支持环境进行严格控制，即对应用系统、操作系统及软件包的更改及软件外包活动进行安全控制。在应用系统的开发与维护过程中，应用程序的未授权修改、未进行评审的操作系统的更改、未加限制的软件包的更改等都会给公司的应用系统带来安全风险。所以要对应用软件开发与支持过程中的安全加以控制。第十九条 策略六：对技术脆弱性进行管理减少由利用公开的技术脆弱点带来的风险。应及时获得公司所使用的信息系统的技术脆弱点的信息，评估公司对此类技术脆弱点的保护，并采取适当的措施。技术脆弱点管理应该以一种有效的、系统的、可

13、反复的方式连同可确保其有效性的措施来实施。这些考虑应包括在用操作系统和任何其它的应用。第六章 物理与环境安全管理策略第二十条 目的：本章的以下二个策略主要是保护公司的信息、信息系统和基础设施等免受非法的物理访问、自然灾害和环境危害。第二十一条 策略一：建立物理安全区域防止对公司工作场所和信息的非授权物理访问、损坏和干扰。重要的或敏感的信息处理设施要放置在安全区域内，建立适当的安全屏障和入口控制，在物理上避免非授权访问、干扰；同时，需要建立必要的措施防止自然灾害和人为破坏造成的损失。可以通过在公司边界和信息处理设施周围设置一个或多个物理屏障来实现对安全区域的物理保护；安全区域应由适合的入口控制所

14、保护，以确保只有授权的人员才允许访问；为重要的工作区域、公共访问区、货物交接区的安全工作建立规范与指南。还应采取措施防止火灾、洪水、地震、爆炸、社会动荡和其他形式的自然灾难或人为灾难带来的破坏。第二十二条 策略二：保证设备安全应保护设备免受物理的和环境的威胁。防止设备的丢失、损坏、失窃或危及资产安全以及造成活动的中断。对设备（包括离开公司使用和财产移动）的保护是减少未授权访问信息的风险和防止丢失或损坏所必需的，还应当考虑设备安放位置和报废处置方法的安全性。同时，还需要专门的控制用来防止物理威胁以及保护支持性设施（例如电、供水、排污、加热/通风和空调），及考虑采取措施保证电源布缆和通信布缆免受窃听或损坏。第七章 资产管理策略第二十三条 目的：组织要有效地控制安全风险，首先要识别信息资产，并进行科学而有效的分类，然后在各个管理层面对资产落实责任，采用恰当的控制措