信息安全策略

《信息安全策略》由会员分享，可在线阅读，更多相关《信息安全策略（33页珍藏版）》请在金锄头文库上搜索。

1、目录1. 目的和范围2. 术语和定义3. 引用文件4. 职责和权限5. 信息安全策略5.1信息系统安全组织5.2资产管理5.3软院信息安全管理5.4物理和环境安全5.5通讯和操作管理5.6信息系统访问控制5.7信息系统的获取、开发和维护安全5.8信息安全事故处理5.9业务连续性管理5.10符合性要求1、目的和范围1）本文档制定了的信息系统安全策略，作为信息安全的基本标 准，是所有安全行为的指导方针，同时也是建立完整的安全管理体系最根本的基础。2）信息安全策略是在信息安全现状调研的基础上，根据 ISO27001的最佳实践，结合现有规章制度制定而成的信息安全方针和 策略文档。本文档遵守政府制定的相

2、关法律、法规、政策和标准。本 安全策略得到领导的认可，并在公司内强制实施。3）建立信息安全策略的目的概括如下：a）在内部建立一套通用的、行之有效的安全机制；b）在的员工中树立起安全责任感；c）在中增强信息资产可用性、完整性和保密性；d）在中提高全体员工的信息安全意识和信息安全知识水平。本安全策略适用于公司全体员工，自发布之日起执行。2. 术语和定义1）解释信息安全指保护信息资产免受多种安全威胁，保证业务连续性，将安全事件造 成的损失降至最小，同时最大限度地获得投资回报和商业机遇。可用性确保经过授权的用户在需要时可以访问信息并使用相关信息资产。保密性确保只有经过授权的人才能访问信息。完整性保护信

3、息和信息的处理方法准确而完整。保密信息安全规章定义的密级信息。信息安全策略正确使用和管理IT信息资源并保护这些资源使得它们拥有更好的保密 性、完整性、可用性的策略。风险评估评估信息安全漏洞对信息处理设备带来的威胁和影响及其发生的可能 性。风险管理以可以接受的成本，确认、控制、排除可能影响信息系统的安全风险 或将其带来的危害最小化的过程。计算机机房装有计算机主机、服务器和相关设备的，除了安装和维护的情况外， 不允许人员在里边工作的专用房间。员工在系统内工作的正式员工、雇佣的临时工作人员。用户被授权能使用IT系统的人员。信息资产与信息系统相关联的信息、信息的处理设备和服务。信息资产负责人指对某项信

4、息资产安全负责的人员。合作单位是指与有业务往来的单位，包括承包商、服务提供商、设备厂商、外 包服务商、贸易伙伴等。第三方访问指非本单位的人员对信息系统的访问。IT外包服务是指企业战略性选择外部专业技术和服务资源，以替代内部部门和人 员来承担企业IT系统或系统之上的业务流程的运营、维护和支持的IT 服务。安全事件利用信息系统的安全漏洞，对信息资产的保密性、完整性和可用性造 成危害的事件。故障是指信息的处理、传输设备运行出现意外障碍，以至影响信息系统正 常运转的事件。安全审计通过将所选类型的事件记录在服务器或工作站的安全日志中用来跟踪 用户活动的过程。超时设置用户如果超过特定的时限没有进行动作，就

5、触发其他事件（如断开连 接、锁定用户等）。2）词语使用必须表示强制性的要求应当好的做法所要达到的要求，条件允许就要实施。可以表示希望达到的要求。3. 引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是 注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准， 然而，鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最 新版本适用于本标准。1）ISO/IEC 27001:2005信息技术-安全技术-信息安全管理 体系要求2）ISO/IEC 17799:2005信息技术-安全技术-信息安全管理 实施细则4. 职责和权限信息安全工作小组：负

6、责对信息安全策略进行编写、评审， 监督和检查公司全体员工执行情况。5. 信息安全策略目标：为信息安全提供管理指导和支持，并与业务要求和相关的 法律法规保持一致。1）策略下发本策略必须得到管理层批准，并向所有员工和相关第三方公 布传达，全体人员必须履行相关的义务，享受相应的权利，承 担相关的责任。2）策略维护本策略通过以下方式进行文档的维护工作：必须每年按照 风险评估管理程序进行例行的风险评估，如遇以下情况必须及时 进行风险评估：a）发生重大安全事故b）组织或技术基础结构发生重大变更c）安全管理小组认为应当进行风险评估的d）其他应当进行安全风险评估的情形风险评估之后根据需要进行安全策略条目修订，

7、并在内公布传 达。3）策略评审每年必须参照管理评审程序执行公司管理评审。4）适用范围适用范围是指本策略使用和涵盖的对象，包括现有的业务 系统、硬件资产、软件资产、信息、通用服务、物理安全区域等。 对于即将投入使用和今后规划的信息系统项目也必须参照本策略执 行。5.1.信息系统安全组织目标：在组织内部管理信息安全，保持可被外部组织访问、处 理、沟通或管理的信息及信息处理设备的安全。1）内部组织公司的管理层对信息安全承担最终责任。管理者职责参见信息安全职责说明。公司的信息系统安全管理工作采取信息安全工作小组统一管理方 式，其他相关部门配合执行。公司的内部信息安全组织包括信息安全 管理小组，小组的人

8、员组成以及相关职责参见信息安全职责说明。各个部门之间必须紧密配合共同进行信息安全系统的维护和建设。相关部门岗位的分工与责任参见岗位说明书。任何新的信息系统处理设施必须经过管理授权的过程。并更新至 信息资产识别表。信息系统内的每个重要的资产需要明确所有者、使用人员。参见 信息资产识别表。凡是涉及重要信息、机密信息（相关定义参见信息资产密级管 理规定等信息的处理，相关的工作岗位员工以及第三方都必须签署 保密协议。应当与政府机构保持必要的联系共同协调信息安全相关问题。这 些部门包括执法部门、消防部门、上级监管部门、电信供应商等提供 公共服务的部门。应当与相关信息安全团体保持联系，以取得信息安全上必要

9、的支 持。这些团体包括外部安全咨询商、独立的安全技术专家等。信息安全管理小组每年至少进行一次信息安全风险评估工作（参 照风险评估管理程序，并对安全策略进行复审。信息安全领导小 组每年对风险评估结果和安全策略的修改进行审批。每年或者发生重大信息安全变化时必须参照内部审核管理程序执行公司内部审核2）外部组织a）第三方访问是指非人员对信息系统的访问。第三方至少包含如下人员：硬件及软件技术支持、维护人员；项目现场实施人员；外单位参观人员；合作单位人员；客户；清洁人员、送餐人员、快递、保安以及其它外包的支持服务人员；b）第三方的访问类型包括物理访问和逻辑访问。重点考虑安全要求较高区域的访问，包括计算机机

10、房、重要办公区域和存放重要物品区域等；主机系统，网络系统，数据库系统，应用系统c）第三方访问需要进行以下的风险评估后方可对访问进行授权。被访问资产是否会损坏或者带来安全隐患；客户是否与有商业利益冲突；是否已经完成了相关的权限设定，对访问加以控制；是否有过违反安全规定的记录；是否与法律法规有冲突，是否会涉及知识产权纠纷;d）第三方进行访问之前必须经过被访问系统的安全责任人的审核批 准，包括物理访问的区域和逻辑访问的权限。（详见物理环境安全 管理规定）e）对于第三方参与的项目或提供的服务，必须在合同中明确规定人 员的安全责任，必要时应当签署保密协议。f）第三方必须遵守的信息安全策略以及第三方服务管

11、理规定，留 对第三的工作进行审核的权利。5.2.资产管理目标：通过及时更新的信息资产目录对信息资产进行适当的 保护。1）资产责任a）所有的信息资产必须登记入册，对于有形资产必须进行标识， 同时资产信息应当及时更新。每项信息资产在登记入册及更新时 必须指定信息资产的安全责任人，信息资产的安全责任人必须负 责该信息资产的安全。b）所有员工和第三方都必须遵守关于信息设备安全管理的规 定，以保护信息处理设备（包括移动设备和在非公共地点使用的设备） 的安全。2）信息分类a）必须明确确认每项信息资产及其责任人和安全分类，信息资 产包括业务过程、硬件和设施资产、软件和系统资产、文档和数 据信息资产、人员资产

12、、服务和其他资产。（详见信息资产识 别表）。b）必须建立信息资产管理登记制度，至少详细记录信息资产 的分类、名称、用途、资产所有者、使用人员等，便于查找和使用。 信息资产应当标明适用范围。c）应当在每个有形信息资产上进行标识。d）当信息资产进行拷贝、存储、传输（如邮递、传真、电子 邮件以及语音传输（包括电话、语音邮件、应答机）等）或者销毁等 信息处理时，应当参照信息资产密级管理规定或者制定妥善的处 理步骤并执行。e）对重要的资料档案要妥善保管，以防丢失泄密，其废弃的 打印纸及磁介质等，应按有关规定进行处理。5.3.人员信息安全管理目标：确保所有的员工、合同方和第三方用户了解信息安全威胁 和相关

13、事宜、明确并履行信息安全责任和义务，并在日常工作中支持 的信息安全方针，减少人为错误的风险，减少盗窃、滥用或设施误用 的风险。1）人员雇佣a）员工必须了解相关的信息安全责任，必须遵守职务说明 书。b）对第三方访问人员和临时性员工，必须遵守第三方服务 管理规定。c）涉及重要信息系统管理的员工、合同方及第三方应当进行相关技术背景调查和能力考评;d）涉及重要信息系统管理的员工、合同方及第三方应在合 同中明确其信息安全责任并签署保密协议；d）重要岗位的人员在录用时应做重要岗位背景调查。2）雇佣中a）管理层必须要求所有的员工、合同方及第三方用户执行信 息安全的相关规定；b）应当设定信息安全的相关奖励措施

14、，任何违反信息安全策 略的行为都将收到惩戒，具体执行办法参见信息安全奖惩制度；c）将信息安全培训加入员工培训中，培训材料应当包括下列 内容：信息安全策略，信息安全制度，相关奖惩办法d）应当按下列群体进行不同类型的信息安全培训：全体员工需要遵守信息安全策略、规章制度和各项操作流程的第三方人员e）信息安全培训必须至少每年举行一次，让不同部门的人员 能受到适当的信息安全培训。必须参加计算机信息安全培训的人员 包括：计算机信息系统使用单位的安全管理责任人；重点单位或核心计算机信息系统的维护和管理人员；其他从事计算机信息系统安全保护工作的人员；能够接触到敏感数据或机密信息的关键用户。3）人员信息安全管理

15、原则a）员工录用时，人事部门或调入部门必须及时书面通知信息技术部门添加相关的口令、帐号及权限等并备案。b）员工在岗位变动时，必须移交调出岗位的相关资料和有关 文档，检查并归还在借出的重要信息。人事部门或调入部门必须及时 书面通知信息技术部门修改和删除相关的口令、帐号及权限等。c）员工在调离时必须进行信息安全检查。调离人员必须移交 全部资料和有关文档，删除自己的文件、帐号，检查并归还在借出的 保密信息。由人事部门书面通知信息技术部门删除相关的口令、帐号、 权限等信息。d）必须每半年进行用户帐户使用情况的评审，凡是半年及半 年以上未使用的帐号经相关部门确认后删除。如有特殊情况，必须事 先得到部门经理及安全责任人的批准。f）对第三方访问人员和临时性员工，也必须执行相关规定。5.