信息安全工作總體方針和安全策略

《信息安全工作總體方針和安全策略》由會員上傳分享，免費在線閱讀，更多相關內(nèi)容在行業(yè)資料-天天文庫。

1、信息安全工作總體方針和安全策略　1.總體目標以滿足業(yè)務運行要求，遵守行業(yè)規(guī)程，實施等級保護及風險管理，確保信息安全以及實現(xiàn)持續(xù)改進的目的等內(nèi)容作為本單位信息安全工作的總體方針。以信息網(wǎng)絡的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，信息服務不中斷為總體目標。2.范圍本案適用于xxxx信息安全整體工作。在全單位范圍內(nèi)給予執(zhí)行。3.原則以誰主管誰負責為原則。4.安全框架建立一套關于物理、主機、網(wǎng)絡、應用、數(shù)據(jù)、建設和管理等六個方面的安全需求、控制措施及執(zhí)行程序，并在關聯(lián)制度文檔中

2、定義出相關的安全角色，并對其賦予管理職責?！耙匀藶楸尽?，通過對信息安全工作人員的安全意識培訓等方法不斷加強系統(tǒng)分布的合理性和有效性。4.1物理方面依據(jù)實際情況建立機房管理制度，明確機房的出入管理辦法，機房介質(zhì)存放方式，機房設備維護周期及維護方式，機房設備信息保密要求，機房溫濕度控制方式等環(huán)境要求。通過明確機房責任人、建立機房管理相關辦法、對維護和出入等過程建立記錄等方式對機房安全進行保護。4.2網(wǎng)絡方面從技術角度實現(xiàn)網(wǎng)絡的合理分布、網(wǎng)絡設備的實施監(jiān)控、網(wǎng)絡訪問策略的統(tǒng)一規(guī)劃、網(wǎng)絡安全掃描以及對網(wǎng)絡配置文件等必要信息進行定期備份。從管理角度

3、明確網(wǎng)絡各個區(qū)域的安全責任人，建立網(wǎng)絡維護方面相關操作辦法，確保各信息系統(tǒng)網(wǎng)絡運行情況穩(wěn)定、可靠。4.3主機方面要求各類主機操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)在滿足各類業(yè)務系統(tǒng)的正常運行條件下，建立系統(tǒng)訪問控制辦法、劃分系統(tǒng)使用權限、安裝惡意代碼防范軟件并對惡意代碼的檢查過程進行記錄。明確各類主機的責任人，對主機關鍵信息進行定期備份。4.4應用方面從技術角度實現(xiàn)應用系統(tǒng)的操作可控、訪問可控、通信可控。從管理角度實現(xiàn)各類控制辦法的有效執(zhí)行，建立完善的維護操作規(guī)程以及明確定期備份內(nèi)容。4.5數(shù)據(jù)方面　對xxxx各系統(tǒng)數(shù)據(jù)、設備配置信息、總體規(guī)劃信息等關鍵數(shù)

4、據(jù)建立維護辦法，并由運維公司執(zhí)行。通過匯報或存儲方式實現(xiàn)關鍵數(shù)據(jù)的安全傳輸、存儲和使用。4.6建設和管理方面4.6.1信息安全管理機制成立信息安全管理主要機構或部門，設立安全主管等主要安全角色，依據(jù)信息安全等級保護二級標準（要求），建立信息系統(tǒng)的整體管理辦法。4.6.2信息安全管理組織分別建立安全管理崗位和機構的職責文件，對機構和人員的職責進行明確。建立信息發(fā)布、變更、審批等流程和制度類文件，增強制度的有效性。建立安全審核和檢查的相關制度及報告方式。4.6.3人員安全管理要求　對人員的錄用、離崗、考核、培訓、安全意識教育等方面應通過制度和

5、操作程序進行明確。4.6.4信息安全等級保護工作及風險評估要求定期對已備案的信息系統(tǒng)進行等級保護測評，以保證信息系統(tǒng)運行風險維持在較低水平，不斷增強系統(tǒng)的穩(wěn)定性和安全性。4.6.5報告安全事件要求對突發(fā)安全事件建立應急預案管理制度和相關操作辦法，并定期組織人員進行演練，以保證信息系統(tǒng)在面臨突發(fā)事件時能夠在較短時間內(nèi)恢復正常的使用。4.6.6業(yè)務持續(xù)性要求　根據(jù)對系統(tǒng)的等級測評、風險評估等間接問題挖掘，及時改進信息系統(tǒng)的各類弊端，包括業(yè)務弊端，應建立相關改進措施或改進辦法，以保證對信息系統(tǒng)的業(yè)務持續(xù)性要求?！?.6.7違反信息安全要求的懲罰

6、　建立懲處辦法，對違反信息安全總體方針、安全策略的、程序流程和管理措施的人員，依照問題的嚴重性進行懲罰。北京市xx區(qū)區(qū)xxxx2017年8月10日