《信息安全工作总体方针》由会员分享,可在线阅读,更多相关《信息安全工作总体方针(6页珍藏版)》请在金锄头文库上搜索。
1、信息安全工作总体方针第一章总则第一条 为加强和规范省信息中心及直属直管各单位(如下简称“各单位”)信息系统安全工作,提高中心信息系统整体安全防护水平,实现信息安全的可控、能控、在控,根据国家有关法律、法规的规定,制定本文档。第二条 本文档的目的是为中心信息系统安全管理提供一种总体的方略性架构文献,该文献将指引中心信息系统的安全管理体系的建立。安全管理体系的建立是为中心信息系统的安全管理工作提供参照,以实现中心统一的安全方略管理,提高整体的网络与信息安全水平,保证安全控制措施贯彻到位,保障网络通信畅通和业务系统的正常运营。第三条 本文档合用于中心以中心下属各单位信息系统资产和信息技术人员的安全管
2、理和指引,合用于指引中心信息系统安全方略的制定、安全方案的规划和安全建设的实行,合用于中心安全管理体系中安全管理措施的选择。第四条 本措施所称信息系统指中心一体化公司级信息系统,重要涉及一体化公司级信息集成平台(如下简称“一体化平台”)和八大业务应用。“一体化平台”涉及信息网络、数据互换、数据中心、应用集成和公司门户;“业务应用”涉及财务(资金)管理、营销管理、安全生产管理、协同办公、人力资源管理、物资管理、项目管理、综合管理业务应用。第五条 引用原则及参照文献本文档的编制参照了如下国家、中心的原则和文献:(一)中华人民共和国计算机信息系统安全保护条例(二)有关信息安全级别保护建设的实行指引意
3、见(信息运安2 号)(三)信息安全技术信息系统安全级别保护基本规定(G/ 2239-)(四)信息安全技术 信息系统安全管理规定(GBT 2269)(五)信息系统级别保护 安全建设技术方案设计规定(报批稿)(六)有关开展信息安全级别保护安全建设整治工作的指引意见(公信安9号)第二章 方针、目的和原则第六条 中心信息系统安全坚持“安全第一、避免为主,管理和技术并重,综合防备”的总体方针,实现信息系统安全可控、能控、在控。根据“分区、分级、分域”总体安全防护方略,执行信息系统安全级别保护制度。管理信息网络分为信息内网和信息外网,实现“双机双网”,信息内网定位为承载网络和内部办公网络,信息外网定位为对
4、外业务网络和访问互联网顾客终端网络。信息内、外网之间实行强逻辑隔离的措施。第七条 信息系统安全总体目的是保证信息系统持续、稳定、可靠运营和保证信息内容的机密性、完整性、可用性,避免因信息系统自身故障导致信息系统不能正常使用和系统崩溃,抵御黑客、病毒、歹意代码等对信息系统发起的各类袭击和破坏,避免信息内容及数据丢失和失密,避免有害信息在网上传播,避免中心对外服务中断和由此导致的系统运营事故。第八条信息安全工作的总体原则(1)基于安全需求原则组织机构应根据其信息系统肩负的使命,积累的信息资产的重要性,也许受到的威胁及面临的风险分析安全需求,按照信息系统级别保护规定拟定相应的信息系统安全保护级别,遵
5、从相应级别的规范规定,从全局上恰本地平衡安全投入与效果; (2)重要领导负责原则重要领导应确立其组织统一的信息安全保障的宗旨和政策,负责提高员工的安全意识,组织有效安全保障队伍,调动并优化配备必要的资源,协调安全管理工作与各部门工作的关系,并保证其贯彻、有效; (3)全员参与原则信息系统所有有关人员应普遍参与信息系统的安全管理,并与有关方面协同、协调,共同保障信息系统安全; (4)系统措施原则按照系统工程的规定,辨认和理解信息安全保障互相关联的层面和过程,采用管理和技术结合的措施,提高实现安全保障的目的的有效性和效率; (5)持续改善原则安全管理是一种动态反馈过程,贯穿整个安全管理的生存周期,
6、随着安全需求和系统脆弱性的时空分布变化,威胁限度的提高,系统环境的变化以及对系统安全结识的深化等,应及时地将既有的安全方略、风险接受限度和保护措施进行复查、修改、调节以至提高安全管理级别,维护和持续改善信息安全管理体系的有效性; ()依法管理原则信息安全管理工作重要体现为管理行为,应保证信息系统安全管理主体合法、管理行为合法、管理内容合法、管理程序合法。对安全事件的解决,应由授权者适时发布精确一致的有关信息,避免带来不良的社会影响; ()分权和授权原则对特定职能或责任领域的管理功能实行分离、独立审计等实行分权,避免权力过度集中所带来的隐患,以减小未授权的修改或滥用系统资源的机会。任何实体(如顾
7、客、管理员、进程、应用或系统)仅享有该实体需要完毕其任务所必须的权限,不应享有任何多余权限; (8)选用成熟技术原则成熟的技术具有较好的可靠性和稳定性,采用新技术时要注重其成熟的限度,并应一方面局部试点然后逐渐推广,以减少或避免也许浮现的失误;()分级保护原则按级别划分标精拟定信息系统的安全保护级别,实行分级保护;对多种子系统构成的大型信息系统,拟定系统的基本安全保护级别,并根据实际安全需求,分别拟定各子系统的安全保护级别,实行多级安全保护; ()管理与技术并重原则坚持积极防御和综合防备,全面提高信息系统安全防护能力,立足国情,采用管理与技术相结合,管理科学性和技术前瞻性结合的措施,保障信息系
8、统的安全性达到所规定的目的; (11)自保护和国家监管结合原则对信息系统安全实行自保护和国家保护相结合。组织机构要对自己的信息系统安全保护负责,政府有关部门有责任对信息系统的安全进行指引、监督和检查,形成自管、自查、自评和国家监管相结合的管理模式,提高信息系统的安全保护能力和水平,保障国家信息安全。第九条 在规划和建设信息系统时,信息系统安全防护措施应按照“三同步”原则,与信息系统建设同步规划、同步建设、同步投入运营。第三章 总体安全方略第十条 物理安全方略(1)机房和办公室必须选择在通过防震、防火、防雷击验收合格的办公大楼内部,机房的窗户需要有防雨水渗入的能力;(2)机房的位置不能是大楼的地
9、下室、一楼房间或是大楼的顶层,机房的正上方不能是用水量大的房间;(3)机房出入口必须有专人值守,对工作人员进行登记;()进入机房的工作人员必须由安全管理员或机房管理员全程陪伴;(5)机房内部必须划分重要设备区、一般设备区、过渡区等区域,对不同区域分别进行管理,区域与区域之间进行物理隔离;(6)机房内部必须部署基本防护系统和设备,如电子门禁系统、监控报警系统、防雷设备、消防灭火系统、防水监控系统、温湿度控制系统、UP供电系统和电磁屏蔽设备。第十一条网络安全方略(1)网络中必须部署路由器、互换机、防火墙、防毒墙、IPS设备和内网网络管理、补丁分发等系统(2)网络设备除接入互换机之外,必须进行双机热
10、备,除接入互换机链接工作终端的线路外,其她线路必须进行双线冗余;(3)整体网络不能浮现流量瓶颈,保证带宽充足;(4)各部门必须划分不同网段的P地址;(5)划分网络带宽,突出优先级;(6)网络边界处必须部署防火墙、IPS等安全设备;(7)网络设备必须启动日记审计功能;第十二条主机安全方略(1)登录操作系统和数据库系统的顾客必须进行身份标记和鉴别;(2)操作系统和数据库系统管理顾客身份标记不能浮现同名顾客,口令应有复杂度规定并定期更换;()操作系统和数据库系统必须启用登录失败解决功能;(4)对服务器进行远程管理时,必须采用必要措施,避免鉴别信息在网络传播过程中被窃听;()为操作系统和数据库系统的不
11、同顾客分派不同的顾客名,保证顾客名具有唯一性,不能出重名状况;(6)操作系统和数据库必须及时删除多余的、过期的账户,避免共享账户的存在;(7)主机必须启动日记审计功能;(8)主机必须安装防歹意代码产品,并进行统一管理;第十三条应用安全方略(1)应用系统必须在登录时规定输入顾客名和口令;()登录应用系统必须进行两种或两种以上的复合身份验证(如顾客名口令+Uke或顾客名口令+IP与MAC地址绑定方式);()应用系统中设立的顾客都必须是唯一顾客,不能名称相似,且不能浮现多人使用同一账户的状况;(4)应用系统必须启动登录失败解决功能;()应用系统必须启动登录连接超时自动退出等措施;(6)应用系统必须启
12、动身份鉴别、顾客身份标记唯一性检查、顾客身份鉴别信息复杂度检查以及登录失败解决功能,并根据安全方略配备有关参数;(7)应用系统必须启动日记审计功能;(8)应用系统存储顾客信息的设备在销毁、修理或转其她用途时,必须清晰内部存储的信息;第十四条 数据安全方略(1)业务应用数据和设备配备文档都必须进行备份,以便发生问题时进行恢复;(2)数据备份至其她设备上时,必须使用专门的备份通道,保证数据传播的完整性;(3)数据本机备份时应检测其完整性;(4)数据备份时必须使用专业的备份设备和工具,在数据传播和数据存储时,都必须是加密传播和存储;()数据进行异地备份时,必须运用通信网络将核心数据定期批量传送至备用场地。第四章 附则 第十五条 本措施由中心信息领导委员会负责解释并督促执行。 第十六条 各单位可根据本措施制定实行细则,报省中心备案。 第十七条 本措施自印发之日起执行。
