信息安全工作總體方針和安全策略教程

信息安全工作總體方針和安全策略教程

ID:41329427

大小:23.50 KB

頁數(shù):4頁

時間:2019-08-22

信息安全工作總體方針和安全策略教程_第1頁
信息安全工作總體方針和安全策略教程_第2頁
信息安全工作總體方針和安全策略教程_第3頁
信息安全工作總體方針和安全策略教程_第4頁
資源描述:

《信息安全工作總體方針和安全策略教程》由會員上傳分享,免費在線閱讀,更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫。

1、1.總體目標(biāo)以滿足業(yè)務(wù)運行要求,遵守行業(yè)規(guī)程,實施等級保護(hù)及風(fēng)險管理,確保信息安全以及實現(xiàn)持續(xù)改進(jìn)的目的等內(nèi)容作為本單位信息安全工作的總體方針。以信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運行,信息服務(wù)不中斷為總體目標(biāo)。2.范圍本案適用于某單位信息安全整體工作。在全單位范圍內(nèi)給予執(zhí)行,由某部門對該項工作的落實和執(zhí)行進(jìn)行監(jiān)督,由某部門配合某部門對本案的有效性進(jìn)行持續(xù)改進(jìn)。3.原則以誰主管誰負(fù)責(zé)為原則(或者采用其他原則例如:“整體保護(hù)原則”、“適度保護(hù)的等級化原則”、“分域保護(hù)原則”、“動態(tài)保護(hù)原則”、“多級保護(hù)原則”、“深度保

2、護(hù)原則”和“信息流向原則”等)。4.策略框架建立一套關(guān)于物理、主機、網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)、建設(shè)和管理等六個方面的安全需求、控制措施及執(zhí)行程序,并在關(guān)聯(lián)制度文檔中定義出相關(guān)的安全角色,并對其賦予管理職責(zé)。“以人為本”,通過對信息安全工作人員的安全意識培訓(xùn)等方法不斷加強系統(tǒng)分布的合理性和有效性。4.1物理方面依據(jù)實際情況建立機房管理制度,明確機房的出入管理辦法,機房介質(zhì)存放方式,機房設(shè)備維護(hù)周期及維護(hù)方式,機房設(shè)備信息保密要求,機房溫濕度控制方式等等環(huán)境要求。通過明確機房責(zé)任人、建立機房管理相關(guān)辦法、對維護(hù)和出入等過程建立記錄等方式對機房安全進(jìn)行保護(hù)。4.1網(wǎng)絡(luò)方面從技術(shù)角度實現(xiàn)網(wǎng)絡(luò)的合理分布、網(wǎng)絡(luò)設(shè)

3、備的實施監(jiān)控、網(wǎng)絡(luò)訪問策略的統(tǒng)一規(guī)劃、網(wǎng)絡(luò)安全掃描以及對網(wǎng)絡(luò)配置文件等必要信息進(jìn)行定期備份。從管理角度明確網(wǎng)絡(luò)各個區(qū)域的安全責(zé)任人,建立網(wǎng)絡(luò)維護(hù)方面相關(guān)操作辦法并由某人或某部門監(jiān)督執(zhí)行看,確保各信息系統(tǒng)網(wǎng)絡(luò)運行情況穩(wěn)定、可靠、正常的運行。4.2主機方面要求各類主機操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)在滿足各類業(yè)務(wù)系統(tǒng)的正常運行條件下,建立系統(tǒng)訪問控制辦法、劃分系統(tǒng)使用權(quán)限、安裝惡意代碼防范軟件并對惡意代碼的檢查過程進(jìn)行記錄。明確各類主機的責(zé)任人,對主機關(guān)鍵信息進(jìn)行定期備份。4.3應(yīng)用方面從技術(shù)角度實現(xiàn)應(yīng)用系統(tǒng)的操作可控、訪問可控、通信可控。從管理角度實現(xiàn)各類控制辦法的有效執(zhí)行,建立完善的維護(hù)操作規(guī)程以及明確定

4、期備份內(nèi)容。4.4數(shù)據(jù)方面對本單位或本部門的各類業(yè)務(wù)數(shù)據(jù)、設(shè)備配置信息、總體規(guī)劃信息等等關(guān)鍵數(shù)據(jù)建立維護(hù)辦法,并由某部門或某人監(jiān)督、執(zhí)行。通過匯報或存儲方式實現(xiàn)關(guān)鍵數(shù)據(jù)的安全傳輸、存儲和使用。4.5建設(shè)和管理方面4.6.1信息安全管理機制成立信息安全管理主要機構(gòu)或部門,設(shè)立安全主管等主要安全角色,依據(jù)信息安全等級保護(hù)三級標(biāo)準(zhǔn)(要求),建立信息系統(tǒng)的整體管理辦法。4.6.1信息安全管理組織分別建立安全管理崗位和機構(gòu)的職責(zé)文件,對機構(gòu)和人員的職責(zé)進(jìn)行明確。建立信息發(fā)布、變更、審批等流程和制度類文件,增強制度的有效性。建立安全審核和檢查的相關(guān)制度及報告方式。4.6.2人員安全管理要求對人員的錄用、離

5、崗、考核、培訓(xùn)、安全意識教育等方面應(yīng)通過制度和操作程序進(jìn)行明確。4.6.3信息安全等級保護(hù)工作及風(fēng)險評估要求定期對已備案的信息系統(tǒng)進(jìn)行等級保護(hù)測評,以保證信息系統(tǒng)運行風(fēng)險維持在較低水平,不斷增強系統(tǒng)的穩(wěn)定性和安全性。4.6.4報告安全事件要求對突發(fā)安全事件建立應(yīng)急預(yù)案管理制度和相關(guān)操作辦法,并定期組織人員進(jìn)行演練,以保證信息系統(tǒng)在面臨突發(fā)事件時能夠在較短時間內(nèi)恢復(fù)正常的使用。4.6.5業(yè)務(wù)持續(xù)性要求根據(jù)對系統(tǒng)的等級測評、風(fēng)險評估等間接問題挖掘,及時改進(jìn)信息系統(tǒng)的各類弊端,包括業(yè)務(wù)弊端,應(yīng)建立相關(guān)改進(jìn)措施或改進(jìn)辦法,以保證對信息系統(tǒng)的業(yè)務(wù)持續(xù)性要求。4.6.6違反信息安全要求的懲罰建立懲處辦法,

6、對違反信息安全總體方針、安全策略的、程序流程和管理措施的人員,依照問題的嚴(yán)重性進(jìn)行懲罰。1.相關(guān)文件5.1《信息安全各部門安全需求及控制措施》5.2《信息安全各部門安全工作執(zhí)行程序》5.3《機房安全管理制度》5.4《網(wǎng)絡(luò)安全管理制度》5.5《系統(tǒng)安全管理制度》5.6《設(shè)備操作規(guī)程》5.7《崗位職責(zé)文件》5.8《信息安全管理機構(gòu)組成文件》5.9《人事管理制度》/《員工手冊》5.10《應(yīng)急預(yù)案管理制度》5.11《信息安全等級保護(hù)測評報告》/《信息安全風(fēng)險評估報告》

當(dāng)前文檔最多預(yù)覽五頁,下載文檔查看全文

此文檔下載收益歸作者所有

當(dāng)前文檔最多預(yù)覽五頁,下載文檔查看全文
溫馨提示:
1. 部分包含數(shù)學(xué)公式或PPT動畫的文件,查看預(yù)覽時可能會顯示錯亂或異常,文件下載后無此問題,請放心下載。
2. 本文檔由用戶上傳,版權(quán)歸屬用戶,天天文庫負(fù)責(zé)整理代發(fā)布。如果您對本文檔版權(quán)有爭議請及時聯(lián)系客服。
3. 下載前請仔細(xì)閱讀文檔內(nèi)容,確認(rèn)文檔內(nèi)容符合您的需求后進(jìn)行下載,若出現(xiàn)內(nèi)容與標(biāo)題不符可向本站投訴處理。
4. 下載文檔時可能由于網(wǎng)絡(luò)波動等原因無法下載或下載錯誤,付費完成后未能成功下載的用戶請聯(lián)系客服處理。