《信息安全策略讲义课件》由会员分享,可在线阅读,更多相关《信息安全策略讲义课件(62页珍藏版)》请在金锄头文库上搜索。
1、 ISMS 保密等级内控文档名称信息安全策略文档编号ISMS/Sinosoft-h-04-2008发布组织Sinosoft信息安全工作小组发布日期 2008年1月1日 执行日期 2008年1月1日版 本 号A1.0信息安全策略批准人签字审核人签字制订人签字日期: 2008/1 /1日期:2008/1 /1日期:2008/1 /1南京擎天科技有限公司Nanjing Sinosoft Technology Co., Ltd.变更履历序号版本编号或更改记录编号变化 状态 *简要说明(变更内容、变更位置、变更原因和变更范围)变更日期变更人审核人批准人批准日期1A1.0C创建,全页。2008/ 1/1
2、许明星 茅建平 汪晓刚2008/1 /1 *变化状态:C创建,A增加,M修改,D删除目 录1.文档介绍51.1.文档目的51.2.文档范围51.3.参考信息52.术语和定义62.1.解释62.2.词语使用73.Sinosoft信息系统安全策略73.1.策略下发73.2.策略维护73.3.策略评审83.4.适用范围84.Sinosoft信息系统安全组织84.1.内部组织84.2.外部组织95.Sinosoft资产管理105.1.资产责任115.2.信息分类116.Sinosoft人员信息安全管理116.1.人员雇佣126.2.雇佣中126.3.人员信息安全管理原则137.物理和环境安全147.1
3、.安全区域147.2.设备安全158.Sinosoft通信和操作管理218.1.操作程序和责任218.2.第三方服务交付管理238.3.系统策划与验收258.4.防范恶意和移动代码278.5.备份288.6.网络安全管理288.7.介质处理298.8.信息交换318.9.监视和审计339.Sinosoft信息系统访问控制369.1.访问控制的业务要求369.2.用户访问管理379.3.用户责任409.4.网络访问控制419.5.操作系统访问控制439.6.应用程序和信息访问控制459.7.移动计算和远程工作4610.信息系统的获取、开发和维护安全4710.1.信息系统的安全要求4710.2.应
4、用系统的正确处理4710.3.加密控制4710.4.系统文件安全4810.5.开发和支持过程安全4910.6.技术漏洞管理4911.信息安全事故处理5011.1.报告信息安全事故和弱点5011.2.信息安全事故管理和改进5012.业务连续性管理5112.1.业务连续性管理中的信息安全5113.符合性要求5313.1.遵守法律法规的要求5313.2.安全策略和技术一致性检查5813.3.信息系统审计考虑因素59 3rd Floor, No.50 Building, No.168 Longpan Zhong Road, Nanjing, P.R.China 3/601. 文档介绍1.1. 文档目的
5、本文档制定了Sinosoft的信息系统安全策略,作为Sinosoft信息安全的基本标准,是所有安全行为的指导方针,同时也是建立完整的安全管理体系最根本的基础。信息安全策略是在Sinosoft信息安全现状调研的基础上,根据ISO27001的最佳实践,结合Sinosoft现有规章制度制定而成的信息安全方针和策略文档。本文档遵守政府制定的相关法律、法规、政策和标准。本安全策略得到Sinosoft领导的认可,并在Sinosoft内强制实施。建立信息安全策略目的概括如下: 在Sinosoft内部建立一套通用的、行之有效的安全机制; 在Sinosoft的员工中树立起安全责任感; 在Sinosoft中增强信
6、息资产可用性、完整性和保密性; 在Sinosoft中提高全体员工的信息安全意识和信息安全知识水平。1.2. 文档范围本安全策略适用于Sinosoft全体员工。本安全策略由Sinosoft行政管理部负责解释,自发布之日起执行。1.3. 参考信息 安全战略和体系架构设计 信息安全手册 公司程序文件 公司管理办法 3rd Floor, No.50 Building, No.168 Longpan Zhong Road, Nanjing, P.R.China 5/60编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第1页 共1页2. 术语和定义2.1. 解释信息安全是指保护信息资产免
7、受多种安全威胁,保证业务连续性,将安全事件造成的损失降至最小,同时最大限度地获得投资回报和商业机遇。可用性确保经过授权的用户在需要时可以访问信息并使用相关信息资产。保密性确保只有经过授权的人才能访问信息。完整性保护信息和信息的处理方法准确而完整。保密信息Sinosoft安全规章定义的密级信息。信息安全策略正确使用和管理IT信息资源并保护这些资源使得它们拥有更好的保密性、完整性、可用性的策略。风险评估评估信息安全漏洞对信息处理设备带来的威胁和影响及其发生的可能性。风险管理以可以接受的成本,确认、控制、排除可能影响信息系统的安全风险或将其带来的危害最小化的过程。计算机机房装有计算机主机、服务器和相
8、关设备的,除了安装和维护的情况外,不允许人员在里边工作的专用房间。员工在Sinosoft系统内工作的正式员工、雇佣的临时工作人员。用户被授权能使用IT系统的人员。信息资产与信息系统相关联的信息、信息的处理设备和服务。信息资产责任人是指对某项信息资产安全负责的人员。合作单位是指与Sinosoft有业务往来的单位,包括承包商、服务提供商、设备厂商、外包服务商、贸易伙伴等。第三方访问指非本单位的人员对信息系统的访问。安全事件利用信息系统的安全漏洞,对信息资产的保密性、完整性和可用性造成危害的事件。故障是指信息的处理、传输设备运行出现意外障碍,以至影响信息系统正常运转的事件。安全审计通过将所选类型的事
9、件记录在服务器或工作站的安全日志中用来跟踪用户活动的过程。超时设置用户如果超过特定的时限没有进行动作,就触发其他事件(如断开连接、锁定用户等)。2.2. 词语使用必须表示强制性的要求。应当好的做法所要达到的要求,条件允许就要实施。可以表示希望达到的要求。3. Sinosoft信息系统安全策略目标:为信息安全提供管理指导和支持,并与业务要求和相关的法律法规保持一致。3.1. 策略下发第1条 本策略必须得到Sinosoft管理层批准,并向Sinosoft所有员工和相关第三方公布传达,全体人员必须履行相关的义务,享受相应的权利,承担相关的责任。3.2. 策略维护本策略通过以下方式进行文档的维护工作:
10、第2条 必须每年按照信息安全风险评估管理程序进行例行的风险评估,如遇以下情况必须及时进行风险评估: 发生重大安全事故 组织或技术基础结构发生重大变更 安全管理小组认为应当进行风险评估的 其他应当进行安全风险评估的情形第3条 风险评估之后根据需要进行安全策略条目修订,并在Sinosoft内公布传达。3.3. 策略评审第4条 每年必须参照信息安全管理评审程序执行公司管理评审。3.4. 适用范围第5条 适用范围是指本策略使用和涵盖的对象,包括Sinosoft现有的业务系统、硬件资产、软件资产、信息、通用服务、物理安全区域等。对于即将投入使用和今后规划的信息系统项目也必须参照本策略执行。4. Sino
11、soft信息系统安全组织目标:在Sinosoft组织内部管理信息安全,保持可被外部组织访问、处理、沟通或管理的Sinosoft信息及信息处理设备的安全。4.1. 内部组织第6条 Sinosoft的管理层对信息安全承担最终责任。管理者职责参见信息安全委员会组织机构。第7条 Sinosoft的信息系统安全管理工作采取行政管理部统一管理方式,其他相关部门/单位配合执行。Sinosoft的内部信息安全组织为信息安全管理委员会,委员会的人员组成以及相关职责参见信息安全委员会组织机构。第8条 Sinosoft各个部门之间必须紧密配合共同进行信息安全系统的维护和建设。相关部门岗位的分工与责任参见岗位说明书。
12、第9条 任何新的信息系统处理设施必须经过管理授权的过程。并更新至信息资产识别表。第10条 Sinosoft信息系统内的每个重要的资产需要明确所有者、安全责任人、安全维护人员、使用人员。参见信息资产识别表 。 第11条 凡是涉及Sinosoft重要信息、机密信息(相关定义参见保密管理规定等信息的处理,相关的Sinosoft工作岗位员工以及第三方都必须签署保密协议。第12条 应当与政府机构保持必要的联系共同协调信息安全相关问题。这些部门包括执法部门、消防部门、上级监管部门、电信供应商等提供公共服务的部门。第13条 应当与相关信息安全团体保持联系,以取得信息安全上必要的支持。这些团体包括外部安全咨询商、独立的安全技术专家等。第14条 信息安全管理小组每年至少进
