单位公司企业信息安全策略总纲 -pg电子娱乐平台

单位公司企业信息安全策略总纲1.1.1、总则第一条为贯彻国家对信息安全的规定和要求，指导和规范aa省bb单位（公司）信息系统建设、使用、维护和管理过程中，实现信息系统安全防护的基本目的，提高信息系统的安全性，防范和控制系统故障和风险，确保信息系统安全、可靠、稳定运行,维护社会秩序、公共利益和国家安全，特制定《aa省bb单位（公司）信息安全策略总纲》(以下简称《总纲》)。第二条《总纲》根据国家信息安全相关政策法规而制定。第三条本制度适用于aabb单位（公司）信息系统，适用于aa省bb单位（公司）拟建、在建以及运行的非涉密信息系统。1.1.2、信息安全工作总体方针第四条aa省bb单位（公司）信息系统的安全保护管理工作总体方针是“保持适度安全；管理与技术并重；全方位实施，全员参与；分权制衡，最小特权；尽量采用成熟的技术”。“预防为主”是aa省bb单位（公司）信息安全保护管理工作的基本方针。第五条《总纲》规定了aa省bb单位（公司）信息系统安全管理的体系、策略和具体制度，为信息化安全管理工作提供监督依据。第六条aa省bb单位（公司）信息系统安全管理体系是由信息安全策略总纲、安全管理制度、安全技术标准以及安全工作流程和操作规程组成的。《总纲》是信息安全各个方面所应遵守的原则方法和指导性策略文件。《总纲》是制定aa省bb单位（公司）信息安全管理制度和规定的依据。bb单位（公司）信息安全管理制度和规定了信息安全管理活动中各项管理内容。bb单位（公司）信息安全技术标准和规范是根据《总纲》中对信息安全方面相关的规定所引出的，其规定了信息安全中的各项技术要求。第七条aa省bb单位（公司）信息安全工作流程和操作规程详细规定了主要应用和事件处理的流程、步骤以及相关注意事项，并且作为具体工作时的具体依照。1.1.3、信息安全总体策略第八条aa省bb单位（公司）信息系统总体安全保护策略是：系统资源的价值大小、用户访问权限的大小和系统重要程度的区别就是安全级别的客观体现。信息安全保护必须符合客观存在和发展规律，其分级、分区域、分类和分阶段是做好信息安全保护工作的前提。第九条aa省bb单位（公司）信息系统的安全保护策略由aa省bb单位（公司）网络安全与信息化工作领导小组负责制定与更新。第十条aa省bb单位（公司）网络安全与信息化工作领导小组根据信息系统的安全保护等级、安全保护需求和安全目标，结合aa省bb单位（公司）自身的实际情况，依据国家信息安全法规和标准，制定信息系统的安全保护实施细则和具体管理办法，并根据实际情况，及时调整和制定新的实施细则和具体管理办法。第十一条aa省bb单位（公司）信息系统的安全保护工作应从技术体系和管理体系两个方面进行，技术体系包括物理环境安全、网络安全、主机安全、应用安全和数据安全等五个部分，管理体系包括安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等五个部分，由技术体系和管理体系共十个部分构成信息系统安全等级保护体系。（一）物理环境安全包括：周边环境安全，门禁检查，防盗窃、防破坏、防火、防水、防潮、防雷击、防电磁泄露和干扰，电源备份和管理，设备的标识、使用、存放和管理等；（二）网络安全包括：网络的拓扑结构，网络的布线和防护，网络设备的管理和报警，网络攻击的监察和处理，网络安全审计和检查及边界完整性检查；（三）主机安全包括：主机的身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、监控和终端接入控制等；（四）应用安全包括：应用系统的身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性和保密性、抗抵赖、软件容错和资源控制等；（五）数据安全包括：数据传输的完整性和保密性、数据存储的完整性和保密性、数据的备份和恢复等；（六）安全管理制度是信息系统安全策略、方针性文件，规定信息安全工作的总体目标、范围、原则和安全框架，是管理制度体系的灵魂和核心文件；（七）通过构建和完善信息安全组织架构的措施，明确不同安全组织和不同安全角色的定位、职责以及相互关系，强化信息安全的专业化管理，实现对安全风险的有效控制；（八）人员安全管理包括人员录用、人员管理、人员考核、保密协议、培训、离岗离职等多个方面；（九）系统建设管理根据信息密级、系统重要性和安全策略将信息系统划分为不同的安全域，针对不同的安全域确定不同的信息安全保护等级，采取相应的保护。信息系统安全等级的定级决定了系统方案的设计、实施、安全措施、运行维护等信息系统建设的各个环节。信息系统定级遵循“谁建设、谁定级”的原则；（十）系统运维管理对信息系统进行综合监控管理，对支撑重要信息系统的资源进行监控保护，确保密码防护、病毒防护、系统变更等事件按照规定的信息安全管理策略实行，建立安全管理监控中心，实现对人、事件、流程、资产等方面的综合管理。1.1.4、安全管理第十二条aa省bb单位（公司）信息系统定级备案管理完全按照国家相关信息安全标准的相关政策要求进行。要求所有接入aa省bb单位（公司）的信息系统均按照等级保护定级备案要求进行定级，参考《信息系统安全保护等级定级指南gb/t22240-2008》,由各应用系统接入单位自主定级并填写定级报告，aabb单位（公司）网络安全与信息化工作领导小组办公室填写定级备案表，经aa省bb单位（公司）网络安全与信息化工作领导小组批准，由aa省bb单位（公司）网络安全与信息化工作领导小组办公室统一负责向公安机关进行备案。所有aa省bb单位（公司）信息系统必须确定其信息安全保护等级，并在aa省bb单位（公司）网络安全与信息化工作领导小组办公室进行登记和备案。第十三条业务应用需求和设计单位，要充分考虑信息系统的安全需求分析，统一按照业务系统归属进行安全域划分，确定定级备案情况；具体参考《信息安全等级保护管理办法》、《信息系统安全等级保护基本要求》，参照《信息系统安全等级保护实施指南》、《信息系统通用安全技术要求》、《信息系统安全工程管理要求》、《信息系统等级保护安全设计技术要求》等标准规范要求，结合行业特点进行安全需求分析。（一）信息安全需求分析，至少包括以下信息安全方面的内容：系统安全需求。（二）可行性分析中须包括以下信息安全方面的内容：明确项目的总体信息安全目标，并依据信息安全需求分析的结论提出相应的安全对策，每个信息安全需求都至少对应一个信息安全对策，信息安全对策的强度根据相应资产/系统的重要性来选择；描述如何从技术和管理两个方面来实现所有的信息安全对策，并形成信息安全方案；增加项目建设中的信息安全管理模式、信息安全组织结构、人员的安全职责、建设实施中的安全操作程序和相应安全管理要求；需求分析阶段必须明确地定义和商定新系统的需求和准则，并形成文件，便于后期验收。相关信息安全需求的要求和准则应包括：用户管理、权限管理、日志管理和数据管理等。第十四条 业务应用的安全设计应按照国家信息安全标 准进行，并依照信息安全需求分析评估得出的结论，通过相 关专家评审会后，综合多方意见，进行安全设计。 具体要求如下： 物理安全-设计中要充分考虑到物理访问控制、防盗窃和防破坏、防雷击、防火、防水、防潮、电力、物理 位置、防静电和电磁防护，做到增强控制，对人员和设 备的出入进行监控； 网络安全-设计中要充分考虑到结构安全、访问控制、设备防护、安全审计、边界完整性检查、入侵防范、恶 意代码防范，确保重要主机的优先级，做到应用层过滤， 对入网设备的接入进行非法外联的定位和阻断，对形成 的记录进行分析、形成报表，对审计系统进行两种以上 鉴别技术，保证特权用户分离； 主机安全-设计中充分考虑主机系统(操作系统)的身份鉴别、访问控制、入侵防范、恶意代码防范、安全 审计、资源控制、剩余信息保护，要求必须监控服务器 相关服务，保证最小授权原则，对形成的记录进行分析 并形成报表； 数据安全-设计中充分考虑数据完整性、数据备份和恢复、数据保密性； 应用安全-设计中充分考虑应用系统的身份鉴别、访问控制、通信完整性和保密性、软件容错、安全审计、 资源控制、剩余信息保护、抵赖性。 在信息系统安全规划设计时，应该考虑系统的容量和资 源的可用性，以减少系统过载的风险，并采取相应的保密措 施，控制涉及核心数据软件设计的相关资料的使用，并应遵 循以下原则： 充分考虑应用安全实现的可控性，以便尽可能地降低安全系统与应用系统结合过程中的风险； 保持安全系统与应用系统的相互独立性，避免功能实现上的交叉或跨越； 建立完善的信息安全控制机制，包括：用户标识与认证、逻辑访问控制、公共访问控制、审计与跟踪等。 第十五条 信息系统安全建设管理需要按照国家信息安 全标准的相关要求，并在安全管理组织的领导下，结合应用 的实际情况，进行信息安全建设。 在建设中应充分考虑系统定级管理、安全方案设计管理、 产品采购和使用管理、自行以及外包软件开发管理、工程实 施管理、测试验收管理、系统交付管理、安全服务商选择管 理、系统备案管理、等级测评管理等因素对信息系统安全的 影响程度。 信息系统安全建设管理要求将系统建设过程有效程序 化，明确指定项目实施监理负责人，确保系统设计文档和相 关代码的安全，对销毁过程要进行安全控制，自行开发时应 当严格控制对程序资源库的访问。 第十六条 信息系统安全验收管理按照国家相关信息安 全标准的要求，结合aa 省bb 单位（公司）信息系统的实际 情况进行安全验收管理规范化。项目验收需得到各业务单位、 aa bb单位（公司）网络安全与信息化工作领导小组办公 室共同确认签字验收。项目应达到项目任务书中制定的总体 安全目标和安全指标，实现全部安全功能。验收报告中应包 括项目总体安全目标及主要内容。验收报告中应包括项目采 用的关键安全技术内容。系统验收并移交后，必须立即修改 系统中的默认口令。应用系统项目验收应审查如下内容： 功能检查包括对软件功能完整性、正确性进行审查和评价； 项目管理审查包括对项目计划、采用标准、需求方案及其执行情况进行审查和评价； 测试结果审查包括对项目测试报告、监理单位出具的监理报告等进行审查； 技术文档检查包括对项目开发单位交付的文档资料（纸质文档和电子文档）进行审查。 系统文档，包括系统建设过程中的文档，详细的系统使用和维护文档； 系统使用培训教材。系统建设项目有下列情况之一，不能通过安全验收： 系统建设过程中出现重大问题，未能解决和做出说明，或存在纠纷。 项目验收完毕后，系统建设部门应对负责系统使用和维 护的人员进行相应培训，并履行服务承诺。 第十七条 安全测评管理是按照国家信息安全标准测评 的相关要求，结合aa 省bb 单位（公司）的实际情况进行安 全测评。项目验收时应按照信息安全法律法规和标准情况， 进行自评估或委托具有国家相关技术资质和安全资质的第 三方测评机构进行测评，并出具测评报告，测评报告将作为 项目验收的参考依据。信息系统的安全性测试验收应独立进 行，测试程序应包括以下内容： 测试验收前根据设计方案或合同要求等制订测试验收方案，测试验收方案应对参与测试部门、人员、现场 操作过程等进行要求，并确保测试和接收标准被清晰定 义并文档化； 测试方案应通过aa省bb 单位（公司）网络安全与