信息安全工作总体方针和安全策略_信息安全工作方针策略
信息安全工作总体方针和安全策略由刀豆文库小编整理,希望给你工作、学习、生活带来方便,猜你可能喜欢“信息安全工作方针策略”。
1.总体目标
以满足业务运行要求,遵守行业规程,实施等级保护及风险管理,确保信息安全以及实现持续改进的目的等内容作为本单位信息安全工作的总体方针。以信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断为总体目标。
2.范围
本案适用于某单位信息安全整体工作。在全单位范围内给予执行,由某部门对该项工作的落实和执行进行监督,由某部门配合某部门对本案的有效性进行持续改进。
3.原则
以谁主管谁负责为原则(或者采用其他原则例如:“整体保护原则”、“适度保护的等级化原则”、“分域保护原则”、“动态保护原则”、“多级保护原则”、“深度保护原则”和“信息流向原则”等)。
4.策略框架
建立一套关于物理、主机、网络、应用、数据、建设和管理等六个方面的安全需求、控制措施及执行程序,并在关联制度文档中定义出相关的安全角色,并对其赋予管理职责。“以人为本”,通过对信息安全工作人员的安全意识培训等方法不断加强系统分布的合理性和有效性。4.1 物理方面
依据实际情况建立机房管理制度,明确机房的出入管理办法,机房介质存放方式,机房设备维护周期及维护方式,机房设备信息保密要求,机房温湿度控制
方式等等环境要求。通过明确机房责任人、建立机房管理相关办法、对维护和出入等过程建立记录等方式对机房安全进行保护。4.2网络方面
从技术角度实现网络的合理分布、网络设备的实施监控、网络访问策略的统一规划、网络安全扫描以及对网络配置文件等必要信息进行定期备份。从管理角度明确网络各个区域的安全责任人,建立网络维护方面相关操作办法并由某人或某部门监督执行看,确保各信息系统网络运行情况稳定、可靠、正常的运行。4.3主机方面
要求各类主机操作系统和数据库系统在满足各类业务系统的正常运行条件下,建立系统访问控制办法、划分系统使用权限、安装恶意代码防范软件并对恶意代码的检查过程进行记录。明确各类主机的责任人,对主机关键信息进行定期备份。4.4应用方面
从技术角度实现应用系统的操作可控、访问可控、通信可控。从管理角度实现各类控制办法的有效执行,建立完善的维护操作规程以及明确定期备份内容。4.5数据方面
对本单位或本部门的各类业务数据、设备配置信息、总体规划信息等等关键数据建立维护办法,并由某部门或某人监督、执行。通过汇报或存储方式实现关键数据的安全传输、存储和使用。4.6
建设和管理方面 4.6.1 信息安全管理机制
成立信息安全管理主要机构或部门,设立安全主管等主要安全角色,依据信
息安全等级保护三级标准(要求),建立信息系统的整体管理办法。4.6.2 信息安全管理组织
分别建立安全管理岗位和机构的职责文件,对机构和人员的职责进行明确。建立信息发布、变更、审批等流程和制度类文件,增强制度的有效性。建立安全审核和检查的相关制度及报告方式。4.6.3 人员安全管理要求
对人员的录用、离岗、考核、培训、安全意识教育等方面应通过制度和操作程序进行明确。
4.6.4 信息安全等级保护工作及风险评估要求
定期对已备案的信息系统进行等级保护测评,以保证信息系统运行风险维持在较低水平,不断增强系统的稳定性和安全性。4.6.5 报告安全事件要求
对突发安全事件建立应急预案管理制度和相关操作办法,并定期组织人员进行演练,以保证信息系统在面临突发事件时能够在较短时间内恢复正常的使用。4.6.6 业务持续性要求
根据对系统的等级测评、风险评估等间接问题挖掘,及时改进信息系统的各类弊端,包括业务弊端,应建立相关改进措施或改进办法,以保证对信息系统的业务持续性要求。
4.6.7 违反信息安全要求的惩罚
建立惩处办法,对违反信息安全总体方针、安全策略的、程序流程和管理措施的人员,依照问题的严重性进行惩罚。
5.相关文件
5.1 《信息安全各部门安全需求及控制措施》 5.2 《信息安全各部门安全工作执行程序》 5.3 《机房安全管理制度》 5.4 《网络安全管理制度》 5.5 《系统安全管理制度》 5.6 《设备操作规程》 5.7 《岗位职责文件》
5.8 《信息安全管理机构组成文件》 5.9 《人事管理制度》/《员工手册》 5.10 5.11 《应急预案管理制度》
《信息安全等级保护测评报告》/《信息安全风险评估报告》
XXX公司信息安全总体方针和安全策略指引第一章总则第一条为了进一步深入贯彻落实国家政策文件要求,加强公司信息安全管理工作,切实提高公司信息系统安全保障能力,特制定本指引......
信息安全工作总体方针第一章 总则第一条 为加强和规范省信息中心及直属直管各单位(以下简称“各单位”)信息系统安全工作,提高中心信息系统整体安全防护水平,实现信息安全的可控......
信息安全策略是一个有效的信息安全项目的基础。从信息安全领域中发生的事件来看,信息安全策略的核心地位变得越来越明显。例如,没有安全策略,系统管理员将不能安全的安装防火墙......
论文编号:6G21112101税务系统信息安全策略刘宏斌 李怀永内容题要:随着税收信息化程度不断提高,税收工作对信息系统的依赖性不断增大,税务信息安全显得更加重要。本文主要通过分......
信息安全策略纲要1范围信息系统是技术密集的大型复杂的网络化人机系统,其面临的安全问题非常突出。为了保障海南电网信息通信分公司(以下简称“公司”)信息系统的安全可靠运行,......
