三级保密资质信息系统安全策略文件V2.0_信息系统安全等级三级
三级保密资质信息系统安全策略文件V2.0由刀豆文库小编整理,希望给你工作、学习、生活带来方便,猜你可能喜欢“信息系统安全等级三级”。
内部资料 注意保存
信息设备与存储设备安全策略
目录
第一条 概述..................................................................................................................2 第二条 适用范围..........................................................................................................2 第三条 目标..................................................................................................................2 第四条 安全原则..........................................................................................................2 第五条 安全方针..........................................................................................................4 第六条 安全组织机构..................................................................................................4 第七条 安全管理人员策略..........................................................................................5 第八条 安全保密产品和工具......................................................................................7 第九条 物理和环境安全策略......................................................................................8 第十条 运行管理策略..................................................................................................9 第十一条 通讯和传输安全管理策略..........................................................................9 第十二条 信息设备安全策略....................................................................................10 第十三条 存储设备安全............................................................................................11 第十四条 操作安全策略............................................................................................11 第十五条 访问控制策略............................................................................................12 第十六条 导入导出策略............................................................................................13 第十七条 备份与恢复策略........................................................................................13 第十八条 设备维修策略............................................................................................14 第十九条设备报废策略..............................................................................................14 第二十条 风险管理及安全审计策略........................................................................14 第二十一条 信息系统应急计划和响应策略............................................................15 第二十二条 遵循性....................................................................................................15第一条 概述
根据《中华人民共和国保守国家秘密法》、《武器装备科研生产单位保密资格审查认证管理办法》、《武器装备科研生产单位三级保密资格标准》等文件精神,结合本公司实际,特制定本安全策略文件。
信息系统安全策略文件是公司计算机和信息系统全体管理和使用人员必须遵循的信息安全行为准则,由公司信息安全管理部门制订及解释,由公司保密委员会审批发布,并由信息安全管理部门组织公司全体人员学习与贯彻。
公司涉密计算机及信息系统涉及到存储、传输、处理国家秘密、公司商业秘密和业务关键信息,关系到公司的形象和公司业务的持续运行,必须保证其安全。因此,必须从技术、管理、运行等方面制定确保涉密计算机和信息系统持续可靠运行的安全策略,做好安全保障。第二条 适用范围
2.1本策略所称的计算机和信息系统指公司所有通过计算机及信息系统存贮、处理或传输的信息及存贮、处理或传输这些信息的硬件、软件及固件。
2.2本策略适用于我单位信息系统资产和信息技术人员的安全管理,适用于指导我单位信息系统安全策略的制定、安全方案的规划和安全建设的实施,适用于我单位安全管理体系中安全管理措施的选择。第三条 目标
本方针的目的是为本公司信息系统安全管理提供一个总体性架构文件,该文件将指导本公司信息系统的安全管理体系建设。安全管理体系以实现统一的安全策略管理、提高整体的网络与信息安全水平、确保安全控制措施落实到位、保障网络通信畅通和业务系统的正常运营为建设目的。并通过一系列预防措施将信息安全可能受到的危害降到最低。信息安全管理应在确保信息和计算机受到保护的同时,确保计算机和信息系统能够在允许的范围内正常运行使用。
同时,本策略的目的也是让所有员工能够了解信息安全问题以及明确各自的信息安全职责,严格遵守本安全策略,并遵守国家相关的计算机或信息安全法律要求。
第四条 安全原则
(一)基于安全需求原则技术部根据公司信息系统担负的业务功能、积累的信息资产的重要性、可能受到的威胁及面临的风险分析安全需求,按照信息系统等级保护要求确定相应的信息系统安全保护等级,遵从相应等级的规范要求,从全局上平衡安全投入与效果;
(二)主要领导负责原则
主要领导应确立统一的信息安全保障宗旨和政策,负责指导提高全员安全意识的教育方法、培养优秀的安全技术队伍、调动并优化资源的配置、协调安全管理工作与各部门工作的关系,并确保其有效落实;
(三)全员参与原则
信息系统涉及的所有相关人员应积极参与信息系统的安全管理,并与相关方面协调,共同保障信息系统的安全;
(四)系统方法原则
按照系统工程的要求,识别和理解信息安全保障相互关联的层面和过程,采用管理和技术相结合的方法,保证安全保障工作的高效有序进行;
(五)持续改进原则
安全管理是一种动态反馈过程,贯穿整个安全管理的生存周期,随着安全需求和系统脆弱性的时空分布变化,威胁程度的提高,系统环境的变化以及对系统安全认识的深化等,应及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级,维护和持续改进信息安全管理体系的有效性;
(六)依法管理原则
信息安全管理工作主要体现为管理行为,应保证信息系统安全管理主体合法、管理行为合法、管理内容合法、管理程序合法。对安全事件的处理,应由授权者适时发布准确一致的有关信息,避免带来不良的社会影响;
(七)分权和授权原则
对特定职能或责任领域的管理功能实施分离、独立审计等实行分权,避免权力过分集中,带来隐患,以减少未授权的修改或滥用系统资源的机会。任何实体(如用户、管理员、进程、应用或系统)仅享有该实体需要完成其任务所必须的最小权限,不应享有任何多余权限;(八)选用成熟技术原则
成熟的技术具有较好的可靠性和稳定性,采用新技术时要重视其成熟度,并应首先局部试点然后逐步推广,以减少或避免可能出现的失误;
(九)分等级保护原则
按等级划分标准确定信息系统的安全保护等级,实行分等级保护;对多个子系统构成的大型信息系统,确定系统的基本安全保护等级,并根据实际安全需求,分别确定各子系统的安全保护等级,实行多级安全保护;
(十)管理与技术并重原则
坚持积极防御和综合防范相结合,全面提高信息系统安全防护能力,立足国情,采用管理科学性和技术前瞻性结合的方法,保障信息系统的安全性达到所要求的目标;
(十一)自主保护和国家监管结合原则
对信息系统安全实行自主保护和国家保护相结合。组织机构要对自己的信息系统安全保护负责,相关部门有责任对信息系统的安全进行指导、监督和检查,形成自管、自查、自评和国家监管相结合的管理模式,提高信息系统的安全保护能力和水平,保障国家信息安全。
第八条 在规划和建设信息系统时,信息系统安全防护措施应按照“三同步”原则,与信息系统建设同步规划、同步建设、同步投入运行。第五条 安全方针
信息系统安全建设坚持“安全第一、预防为主,管理和技术并重,综合防范”的总体方针,依照总体安全防护策略,执行信息系统安全等级保护制度,信息网络实行涉密电脑与其他电脑物理隔离,公司内、外网之间物理隔离的方法。第六条 安全组织机构
保密委员会保密办公室涉密部门4
定密小组6.1公司设立保密委员会,保密委员会主任由总经理担任,保密工作实行总经理负责制,保密委员会由公司相关领导和部门主管组成,下设保密办公室作为保密委员会的常设工作机构,并配备保密员,配备系统管理员、安全保密管理员、安全审计员;设置定密工作小组,明确定密责任人,按“业务谁主管、保密工作谁负责”原则,各部门主管负责本部门的保密管理工作。
6.2技术部是信息系统安全管理的领导机关,负责领导信息安全管理体系的建立和信息安全管理的实施,主要包括:
提供清晰的指导方向,可见的管理支持,明确的信息安全职责授权; 审查、批准信息安全策略和岗位职责; 审查业务关键安全事件;
批准增强信息安全保障能力的关键措施和机制;
保证必要的资源分配,以实现数据有效性以及信息安全管理体系的持续发展。
6.3技术部具体负责建立和维持信息安全管理体系,协调相关活动,主要承担如下职责:
调整并制定所有必要的信息安全管理规程、制度以及实施指南等; 提议并配合执行信息安全相关的实施方法和程序,如风险评估、信息管理分层等;
主动采取部门内的信息安全措施,如安全意识培训及教育等; 配合执行新系统或服务的特殊信息安全措施; 审查对信息安全策略的遵循性; 配合并参与安全评估事项;
根据信息安全管理体系的要求,定期向上级主管领导和保密委员会报告。
第七条 安全管理人员策略
为避免信息遭受人为过失、窃取、欺骗、滥用的风险,应当识别信息系统系统内部每项工作的信息安全职责并补充相关的程序文件。公司全体人员都应该了解计算机及系统的网络与信息安全需求,公司必须为全体人员提供足够的培训以达到该安全目的,并为他们提供报告安全事件和威胁的渠道。7.1工作定义及资源的安全
工作人员从事或离开岗位时必须进行信息安全考虑,相关的安全事项必须包括在工作描述或合同中。包括:
对涉及访问秘密或关键信息,或者访问处理这些信息的系统的工作人员应进行严格审查和挑选;
对信息系统具有特殊访问权限的工作人员应该签署承诺,保证不会滥用权限;
当工作人员离开公司时应该移交信息系统的访问权限,或工作人员在公司内部更换工作岗位时应该重新检查并调整其访问权限。7.2员工培训
公司全体人员应了解计算机及信息系统的安全需求,并对如何安全地使用信息及相关系统和工具、信息安全策略和相关管理规定接受培训,熟悉信息安全的实施并加强安全意识。
7.3事件报告
必须建立有效的信息反馈渠道,以便于公司人员一旦发现安全威胁、事件和故障,能及时向有关领导报告。
7.4信息处理设备可接受的使用策略
公司禁止工作人员滥用计算机及信息系统的计算机资源,仅为工作人员提供工作所需的信息处理设备。公司所有人员对系统网络和计算资源的使用(包括访问互联网)都必须遵守计算机及信息系统的安全策略和标准及所有适用的法律。
公司的计算机及信息系统应能防止使用人员连接到访问含有色情、种族歧视及其他不良内容的网站及某些非业务网站。
包括但不限于以下例子是不可接受的使用行为:
使用信息系统资源故意从事影响他人工作和生活的行为。
工作人员通过信息系统的网络服务及设备传输、存储任何非法的、有威胁的、滥用的材料。
任何工作人员使用信息系统的计算机工具、设备和互联网访问服务来从事用于个人获益的商业活动(如炒股)。
工作人员使用信息系统服务来参与任何政治或宗教活动。 在没有信息安全管理部门的事先允许或审批的情况下,工作人员在使用的计算机中更改或安装任何类型的计算机软件和硬件。
在没有信息安全管理部门的事先允许或审批的情况下,工作人员拷贝、安装、处理或使用任何未经许可的软件。7.5处理从互联网下载的软件和文件
必须使用病毒检测软件对所有通过互联网(或任何其他公网)从信息系统之外的途径获得的软件和文件进行检查,同时,在获得这些软件和文件之前,信息安全管理部门必须研究和确认使用这些工具的必要性。
7.6工作人员保密协议
公司所有人员必须在开始工作前,亲自签订信息系统保密协议。7.7知识产权权利
尊重互联网上他人的知识产权。
公司工作人员在被雇佣期间使用公司系统资源开发或设计的产品,无论是以何种方式涉及业务、产品、技术、处理器、服务或研发的资产,都是公司的专有资产。
第八条 安全保密产品和工具
8.1安全保密产品
为了构建计算机良好的安全保密环境,每台涉密机都必须安装有安全保密产品。通过硬件、软件俩个方面多角度的保护涉密机的信息安全。
安全保密产品主要包括“三合一”安全系统、主机审计系统、防辐射干扰器等相关保密产品。
提供安全保密产品的单位必须具备相应的保密资质和相关产品的检测证书;
任何需求安装安全保密产品的部门,保密办都须直接参与,并由保密办办理相关手续后,即可使用;
安全保密产品一旦安装,未经批准任何人不可私自修改、卸载; 按照要求正确使用安全保密产品,如有问题可以随时询问计算机安全管理员;
凡是安全保密产品涉及到的USB-Key、遥控器、单项导入盒等,相关负 责人使用完毕后应尽快放入密码柜中妥善保管;
8.2安全保密检查工具
公司配备保密检查工具。通过保密检查工具能够及时的发现问题。第九条 物理和环境安全策略
计算机信息和其他用于存储、处理或传输信息的物理设施,例如硬件、磁介质、电缆等,对于物理破坏来说是易受攻击的,同时也不可能完全消除这些风险。因此,应该将这些信息及物理设施放置于适当的环境中并在物理上给予保护使之免受安全威胁和环境危害。
9.1安全区域
根据信息安全的分层管理,应将支持涉密信息或关键业务活动的信息技术设备放置在安全区域中。安全区域应当考虑物理安全边界控制及有适当的进出控制措施保护,安全区域防护等级应当与安全区域内的信息安全等级一致,安全区域的访问权限应该被严格控制。
办公区、生产区重要部位及通道设置红外视频监控系统,出入通道设置管理员值守。
9.2设备安全
对支持涉密信息或关键业务过程(包括备份设备和存储过程)的设备应该适当地在物理上进行保护以避免安全威胁和环境危险。包括:
应该对计算机介质进行控制,涉密机的USB-Key必须进行物理保护; 涉密笔记本待用时,必须存放在密码柜中;
对设备应该进行保护,定期检查电源插排,防止电力异常而造成损坏等保护措施;
对计算机和设备环境应该进行监控,检查环境的影响因素,温度和湿度是否超过正常界限(正常工作室温:10℃—35℃;相对湿度:35%—80%); 设备应该按照生产商的说明进行有序的维护与保养; 9.3物理访问控制
信息安全管理部门应建立访问控制程序,控制并限制所有对计算计及信息系统计算、存储和通讯系统设施的物理访问。应有合适的出入控制来保护安全场所,确保只允许授权的人员进入。必须仅限公司工作人员和技术维护人员访问公司办 公场所、布线室、机房和计算基础设施。
9.4建筑和环境的安全管理
为确保计算机处理设施能正确的、连续的运行,应至少考虑及防范以下威胁:偷窃、火灾、温度、湿度、水、电力供应中断、爆炸物、吸烟、灰尘、振动、化学影响等。
必须在安全区域建立环境状况监控机制,以监控厂商建议范围外的可能影响信息处理设施的环境状况。应在运营范围内安装自动灭火系统。定期测试、检查并维护环境监控警告机制,并至少每年操作一次灭火设备。
9.5保密室、计算机房访问记录管理
保密室、计算机房应设立物理访问记录,信息安全管理部门应定期检查物理访问记录本,以确保正确使用了这项控制。物理访问记录应至少保留12个月,以便协助事件调查。应经信息安全管理部门批准后才可以处置记录,并应用碎纸机处理。
第十条 运行管理策略
为避免信息遭受人为过失、窃取、欺骗、滥用的风险,应当识别计算机及信息系统内部每项工作的信息安全职责,并补充相关的程序文件。公司全体相关人员都应该了解计算机及系统的网络与信息安全需求。 信息设备和存储介质应当具有标识、涉密的应当标明密级,非密的应当标明用途;
涉密计算机应当与内部非涉密网络和互联网计算机实行物理隔离; 只有指定的涉密人员才能访问秘密、关键信息并处理这些信息; 禁止使用非涉密的计算机和存储介质存储和处理涉密信息; 未经保密办审批,禁止对计算机系统格式化或重装系统;
涉密人员在使用白名单软件时可以自行修改安装,但名单以外的软件必须事先通过保密办的审批;
当涉密人员离开公司时应该移交信息系统的访问权限,或涉密人员在公司内部更换工作岗位时应该重新检查并调整其访问权限
第十一条 通讯和传输安全管理策略
计算机和信息系统所拥有的和使用的大多数信息都在计算机上进行处理和 存储。为了保护这些信息,需要使用安全且受控的方式管理和操作这些计算机,使它们拥有充分的资源。
11.1公司计算机网络结构
公司计算机及信息系统管理分为涉密计算机管理、内部网络(局域网)及计算机信息管理、互联网计算机信息管理三个管理层次。
涉密计算机只能处理涉及国家秘密的信息,实行物理隔离管理,只能由公司涉密人员使用,由公司保密员管理。涉密计算机信息数据必须被保护以防止被泄漏、破坏或修改。
内部网络(局域网)及计算机配置加密管理措施,与互联网隔离,配置保密管理措施,只能通过局域网传输、储存技术文档、软件等涉及公司商业机密信息。上述信息必须定期备份进行保护,以免破坏和非授权修改。
互联网计算机主要处理来自于外部资源的普通信息,配置上网行为管理措施,同样在信息安全防护上进行安全考虑。
上述计算机及信息系统根据分层次管理的要求应当依据其分类进行物理标记。
由于公司计算机和信息系统采用三层管理模式,不排除联接到外部网络,计算机和信息系统的运行必须使用可控且安全的方式来管理,网络软件、数据和服务的完整性和可用性必须受到保护。第十二条 信息设备安全策略
为保护存储计算机的数据信息的安全性、完整性、可用性,保护系统中的信息免受恶意的或偶然的篡改、伪造和窃取,有效控制内部泄密的途径,防范来自外部的破坏,制订以下安全措施。
设置屏幕保护,要求设置保护时间为10分种,恢复时有密码保护; 终端计算机禁止安装多启动操作系统,只能安装一个操作系统; 及时安装操作系统、数据库、应用程序的升级补丁;
禁用终端危险服务(包括远程注册表管理、共享服务、终端服务等); 拆除便携式移动计算机中具有无线联网功能的硬件模块; 涉密计算机应配备电磁泄露发射防护装置;
非涉密机向涉密机导入信息时,必须通过涉密中间机转换,然后通过三 合一设备导入涉密计算机;
涉密机之间导入导出信息时,须采用一次性写入光盘,也可申请使用单项导入设备;
第十三条 存储设备安全
应该对存储介质进行控制,如果必要的话需要进行物理保护: 可移动的计算机介质应该受控;
应该制定并遵守处理包含机密或关键数据的介质的规程; 与计算相关的介质应该在不再需要时被妥善处理。第十四条 操作安全策略
14.1操作规程和职责
应该制定管理和操作所有计算机和网络所必须的职责和规程,来指导正确的和安全的操作。这些规程包括:
数据文件处理规程,包括验证网络传输的数据;
对所有计划好的系统开发、维护和测试工作的变更管理规程; 为意外事件准备的错误处理和意外事件处理规程;
问题管理规程,包括记录所有网络问题和解决办法(包括怎样处理和谁处理); 事故管理规程;
为所有新的或变更的硬件或软件,制定包括性能、可用性、可靠性、可控性、可恢复性和错误处理能力等方面的测试/评估规程;
日常管理活动,例如启动和关闭规程,数据备份,设备维护,计算机和网络管理,安全方法或需求;
当出现意外操作或技术难题时的技术支持。14.2操作变更控制
对信息处理设施和系统控制不力是导致系统或安全故障的常见原因,所以应该控制对信息处理设施和系统的变动。应落实正式的管理责任和措施,确保对设备、软件或程序的所有变更得到满意的控制。
14.3操作人员日志
操作人员应保留日志记录。根据需要,日志记录应包括: 系统及应用启动和结束时间; 系统及应用错误和采取的纠正措施; 所处理的数据文件和计算机输出; 操作日志建立和维护的人员名单。14.4错误日志记录
对错误及时报告并采取措施予以纠正。应记录报告的关于信息处理错误或通信系统故障。应有一个明确的处理错误报告的规则,包括:1)审查错误日志,确保错误已经得到满意的解决;2)审查纠正措施,确保没有违反控制措施,并且采取的行动都得到充分的授权。
14.5病毒防范策略
病毒防范包括预防和检查病毒(包括实时扫描/过滤和定期检查),主要内容包括:
控制病毒入侵途径,外来资料必须进过安全杀毒后才能使用; 安装可靠的防病毒软件,公司杀毒软件使用360杀毒系统;
对系统进行实时检测和过滤,执行检测和过滤的过程以自查为主,发现问题及时向计算机管理员报告;
定期杀毒并及时查杀计算机安全管理员应及时对发现的病毒进行处理并记录,查杀不了的及时向有关部门报告; 防病毒软件的安装和使用由计算机安全管理员执行;
严格控制盗版软件及其它第三方软件的使用,必要时,在运行前先对其进行病毒检查。
第十五条 访问控制策略
为了保护计算机系统中信息不被非授权的访问、操作或破坏,必须对信息系统和数据实行控制访问。
计算机系统控制访问包括建立和使用正式的规程来分配权限,并培训工作人员安全地使用系统。对系统进行监控检查是否遵守所制定的规程。
计算机访问控制
应该根据相关国家法律的要求和指导方针控制对信息系统和数据的访问: 计算机活动应可以被追踪到人; 访问所有多用户计算机系统应有正式的用户登记和注销规程; 应使用有效的访问系统来鉴别用户; 应通过安全登录进程访问多用户计算机系统; 特殊权限的分配应被安全地控制;
用户选择和使用密码时应慎重参考良好的安全惯例; 用户应确保无人看管的设备受到了适当的安全保护; 应根据系统的重要性制定监控系统的使用规程。 必须维护监控系统安全事件的审计跟踪记录; 为准确记录安全事件,计算机时钟应被同步。第十六条 导入导出策略
输入输出应实行“集中管理、有效控制、过程审计”的管理原则; 涉密中间机、涉密打印机、涉密一体机、涉密计算机,只可单一方向导入或导出;
扫描输入时须由部门领导审批,完成后保密办收回纸介质;
电子文档录入时须经部门领导同意,才可将电子信息输入到固定文件夹内;
电子输出时只可采取一次性光盘导出,或者申请单导设备。写入光盘时须粘贴条码,标识光盘密级;
涉密信息打印时须经领导同意,打印完成后做涉密载体登记 第十七条 备份与恢复策略
定义计算机及信息系统备份与恢复应该采用的基本措施: 建立有效的备份与恢复机制;
定期检测自动备份系统是否正常工作;
明确备份的操作人员职责、工作流程和工作审批制度; 建立完善的备份工作操作技术文档;
明确恢复的操作人员职责、工作流程和工作审批制度; 建立完善的恢复工作操作技术文档; 针对建立的备份与恢复机制进行演习; 对备份的类型和恢复的方式进行明确的定义; 妥善保管备份介质。第十八条 设备维修策略
涉密计算机及相关设备维修,应当在本单位内部现场进行,并指定专人全程监督,严禁维修人员读取和复制涉密信息;确需送外维修的,应当拆除涉密信息存储部件。选择本系统涉密单位或者保密行政管理部门批准或授权的维修机构,并由信息化管理部门与维修单位签订维修合同和保密协议。特殊设备维修,由单位制定相应制度与措施,履行审批手续,满足旁站陪同等保密要求。无法拆除硬件和固件的,一般不得送修。第十九条设备报废策略
涉密计算机及相关设备不再用于处理涉密信息或报废时,应当将涉密信息存储部件拆除或及时销毁。
计算机、打印机等信息设备的主板、内存、显卡等不能进行信息清除,只能做报废销毁处理。销毁前,应当将待销毁设备与清单一一核对,经保密办公室部门指定的销毁机构进行销毁。单位自行销毁的,应当保存销毁清单和相关记录,对涉密信息设备和涉密存储设备的名称、等级、序列号、经办人、采取的销毁方法和控制措施,以及销毁后残留物的最终去向等情况详细记录并存档。
涉密硒鼓属于涉密外部设施设备,应履行审批手续,逐一登记有关要素信息,送国家保密行政管理部门指定的销毁机构进行销毁。销毁证明和清单应当妥善保存。同时,拆下的报废硒鼓应当建立台账,粘贴标识,集中管理,统按照保密要求进行报废和销毁处理。
第二十条 风险管理及安全审计策略
信息安全审计及风险管理对于帮助公司识别和理解信息被攻击、更改和不可用所带来的(直接和间接的)潜在业务影响来说至关重要。所有信息内容和信息技术过程应通过信息安全审计活动及风险评估活动来识别与它们相关的安全风险并执行适当的安全对策。
计算机及信息系统的信息安全审计活动和风险评估应当定期执行。特别是系统建设前或系统进行重大变更前,必须进行风险评估工作。
涉密信息设备每季度审计一次; 内部计算机每半年审计一次;互联网计算机每季度审计一次。
安全审计内容主要内容包括:;策略改动、登录/注销、系统事件、详细追踪、账户登录和账户管理、文件拷贝、文件打印、U盘操作、网络连接、上网、文件操作、安全事件、应用程序事件等,并形成文档化的信息安全审计报告。
信息安全风险评估应当至少1年一次,可由公司自己组织进行或委托有信息系统风险评估资质的第三方机构进行。信息安全风险评估必须形成文档化的风险评估报告。
第二十一条 信息系统应急计划和响应策略
21.1信息应急计划和响应的必要性
应该制定和实施应急计划和响应管理程序,将预防和恢复控制措施相结合,将灾难和安全故障(可能是由于自然灾害、事故、设备故障和蓄意破坏等引起)造成的影响降低到可以接受的水平。
应该分析灾难、安全故障和服务损失的后果。制定和实施应急计划,确保能够在要求的时间内恢复业务的流程。应该维护和执行此类计划,使之成为其它所有管理程序的一部分。
21.2应急计划和响应管理程序
应该在整个计算机信息系统内部制定应急计划和响应的管理流程。包括以下主要内容:
考虑突发事件的可能性和影响。
了解中断信息系统服务可能对业务造成的影响(必须找到适当的解决方案,正确处理较小事故以及可能威胁组织生存的大事故),并确定信息处理设施的业务目标。
适当考虑风险处理措施,可以将其作为业务连续性程序的一部分。 定期对应急计划和响应程序进行检查和进行必要的演练,确保其始终有效。
适当地对技术人员进行培训,让他们了解包括危机管理在内的应急程序。
第二十二条 遵循性
计算机及信息系统必须遵守国家法律和法规的要求。公司所有工作人员都有责任学习、理解并遵守安全策略,以确保公司敏感信息的安全。对违反安全策略的行为,根据事件性质和违规的严重程度,采取相应的处罚措施。信息安全管理部门应根据违规的严重程度向相关领导提出建议惩罚措施。除本安全策略中涉及的要求之外,所有部门和工作人员同样需要遵守相关国家法律和法规的要求。
计算机和信息系统安全策略文件由信息安全管理部门负责制定和解释,由公司保密委员会审批发布。
公司已存在的但内容与本安全策略文件不符的管理规定,应以本安全策略的要求为准,并参考本安全策略及时进行修订。
