《信息安全总体方针和安全策略指引》由会员分享,可在线阅读,更多相关《信息安全总体方针和安全策略指引(7页珍藏版)》请在金锄头文库上搜索。
1、XXX公司信息安全总体方针和安全策略指引第一章总则第一条为了进一步深入贯彻落实国家政策文件要求,加强公司信 息安全经管工作,切实提高公司信息系统安全保障能力,特制定本指 引。第二条本指引适合于公司。第三条公司信息安全经管遵循如下原则:(一)主要领导负责原则:公司主要领导负责信息安全经管工作, 统筹规划信息安全经管目标和策略,建立信息安全保障队伍并合理配 置资源;(二)全员参与原则:公司全员参与信息系统的安全经管工作,将 信息安全与本职工作相结合,相互协同工作,认真落实信息安全经管 要求,共同保障信息系统安全;(三)合规性原则:信息安全经管制度遵循国际信息安全经管规范, 以国家信息安全法律、法规
2、、规范、规范为根本依据,全面符合相关 主管部门和公司的各类要求。(四)监督制约原则:信息系统安全经管组织结构、组织职责、岗 位职责、工作流程层面、执行层面建立相互监督制约机制,降低因缺 乏约束而产生的安全风险。(五)规范化原则:通过建立规范化的工作流程,在执行层面对信 息系统安全工作进行合理控制,降低由于工作随意性而产生的安全风 险,同时提升信息安全经管制度的可操作性。(六)持续改进原则:通过不断的持续改进,每年组织公司经管层 对制度的全面性、适用性和有效性进行论证和审定,并进行版本修订。第四条本指引适用于公司全体人员。第二章信息安全保障框架及目标第五条参照国内外相关规范,并结合公司已有网络与
3、信息安全体 系建设的实际情况,最终形成依托于安全保护对象为基础,纵向建立 安全经管体系、安全技术体系、安全运行体系和安全经管中心的“三 个体系,一个中心,三重防护”的安全保障体系框架。(一)“三个体系”:信息安全经管体系、信息安全技术体系和信息 安全运行体系,把信息安全规范的控制点和公司实际情况相结合形成 相适应的体系结构框架;(二)“一个中心”:信息安全经管中心,实现“自动、平台化”的 安全工作经管、统一技术经管和安全运维经管;(三)“三重防护”:安全计算环境防护措施、安全区域边界防护措 施和安全网络通信防护措施,把安全技术控制措施与安全保护对象相 结合。第六条公司安全保障框架:(一)安全经
4、管体系:信息安全经管体系重点落实安全经管制度、 安全经管机构和人员安全经管的相关控制要求,并结合公司的实际情 况形成符合行业和国家信息安全规范的信息安全经管体系框架。(二)安全技术体系:通过安全技术在物理、网络、主机、应用和 数据各个层面的实施,建立与公司实际情况相结合的安全技术体系。 同时与“安全计算环境、安全区域边界和安全网络通信”的保护对象 相作用,形成依托于保护对象的安全技术体系控制措施。(三)安全运行体系:信息安全运行体系重点落实系统建设经管和 系统运维经管的相关控制要求,并与公司实际情况相结合,形成符合 行业和国家信息安全规范的信息安全运行体系框架。(四)安全经管中心:根据信息安全
5、相关要求和安全设计技术要求 的相关内容,信息安全经管中心通过“自动、平台化”的方式,对信 息安全经管体系、信息安全技术体系以及信息安全运行体系的相关控 制内容,结合公司的实际情况加以落实。第七条公司信息安全总体目标是:依照业务信息系统的实际情况 和现实问题为基础,参照国内、国际的安全规范和规范,充分利用成 熟的信息安全理论成果,设计出整体性好、可操作性强,并且融组织、 经管和技术为一体的设计方案,达到行业和国家信息安全规范的要 求。第三章安全策略第八条建立信息安全领导小组,负责组织、落实国家信息安全相 关政策、法规和规范要求,审核并制定公司信息安全的发展战略、规 划、政策和经管制度,落实公司信
6、息安全组织及职责经管办法。第九条保持与国家信息安全主管机构、监管机构、上级主管单位 和支撑企业信息安全建设、运营单位的联络,制定完整的公司常用 信息安全组织机构信息表,确保与外部机构的沟通畅通。第十条加强公司内部人员在录用前、工作期间、调岗和离岗的人 员安全经管,确保公司内部人员的背景、身份、专业资格和职能权限 的安全性,要求信息安全人员签署保密协议,落实公司内部人员信 息安全经管办法。第十一条加强外部人员的安全经管,防范外部人员带来的安全风 险,规范外部人员在公司各项与信息系统相关的活动所要遵守的行为 准则,严格落实公司外部人员信息安全经管办法。第十二条每年组织开展全员信息安全教育或培训,提
7、升公司全员 的信息安全意识,确保公司信息安全目标和策略能够得到必要的宣贯。第十三条建立信息安全经管制度制定、发布、审核和修订的经管 要求,并满足国家法律、政策和规范的要求,确保信息安全经管制度 持续改进,落实公司信息安全制度经管办法。第十四条确保信息化建设的工程立项、设计、实施、验收等各个 环节与信息安全经管控制机制的有机结合,实现工程工程经管过程和 内容安全可控,严格执行公司信息系统建设安全经管办法。第十五条加强公司信息系统的物理环境和设施的信息安全规范 性经管工作,确保物理环境、设施设备和进出访问控制安全,落实公 司机房环境安全经管办法和公司办公环境信息安全经管办法。第十六条加强对公司信息
8、资产的安全经管,建立统一的信息资产 分类、责任、授权和配置经管,明确公司硬件资产、软件资产和数据 资产的信息安全经管工作,落实公司信息资产安全经管办法。第十七条加强信息资产的运行维护经管工作,对系统的工作环 境、安全运行、策略进行定期检查,记录信息系统运行的日志及状态, 定期对信息资产进行清点,确保各系统的正常运行,落实公司信息 安全运行维护经管办法。第十八条加强信息系统运行维护过程中的变更经管,确保公司信 息系统的可核查性和可追溯性,合理控制信息系统变更产生的信息安 全风险,结合日常信息系统的运行有关经管办法,落实公司信息系 统变更经管办法。第十九条加强对信息安全事件的监控和经管,建立应急事
9、件的报 告、协调、处理机制。制定重要信息系统的应急响应预案,并进行演 练和定期更新,确保信息系统的连续稳定运行,落实公司应急经管 办法和公司信息安全分类应急预案。第二十条对磁带、磁盘、磁盘阵列、光盘、硬盘、纸质等各类移 动存储介质进行的所有安全经管活动进行经管,介质使用必须要有授 权,保证介质使用的安全。落实公司介质安全经管办法。第二十一条为规范经管员对网络设备的访问及操作行为,降低由 于口令强度不够和设置不完善等造成的安全隐患和风险,应加强各信 息系统的口令经管,落实公司密码经管办法。第二十二条加强对网络系统的设计、规划、变更审批和运维监督, 定期对网络中的系统进行漏洞扫描,对重要网段进行保
10、护,落实公司网络安全经管办法。第二十三条规范系统的使用,对系统的账户权限进行有效控制, 及时的更新系统的补丁,有效的保护系统中的文件,对重要系统的文 件进行保护,落实公司系统安全经管办法。第二十四条定期对网络中的应用系统、数据库进行备份,实现异 地备份的方式,同时每年需要进行一次数据恢复演练,数据的保存周 期至少为五年,合理的根据情况进行调整备份时间,落实公司信息 备份与恢复经管制度。第四章奖惩第二十五条对长期认真贯彻公司信息安全经管办法,并因此而取 得较好成绩的组织和个人给予必要的鼓励、宣传和奖励。第二十六条对违反公司信息安全经管办法的组织、人员,根据其 对公司造成的损害程度,给予必要的批评教育、通报批评、经济处罚、 行政处分等惩罚;构成犯罪的,移交司法机关依法处理。第五章附则第二十七条本指引由公司信息安全工作组制定,并负责解释和修 订。第二十八条本指引自发布之日起执行。
