收藏
下载资源

信息安全策略分析报告

上传人:大米 文档编号:559638906 上传时间:2023-11-09 格式:DOC 页数:26 大小:194KB
返回 下载 相关 举报
信息安全策略分析报告_第1页
第1页 / 共26页
信息安全策略分析报告_第2页
第2页 / 共26页
信息安全策略分析报告_第3页
第3页 / 共26页
信息安全策略分析报告_第4页
第4页 / 共26页
信息安全策略分析报告_第5页
第5页 / 共26页
点击查看更多>>
资源描述

《信息安全策略分析报告》由会员分享,可在线阅读,更多相关《信息安全策略分析报告(26页珍藏版)》请在金锄头文库上搜索。

1、 . 信息安全策略目 录1. 目的和围42. 术语和定义43. 引用文件54. 职责和权限65. 信息安全策略65.1. 信息系统安全组织65.2. 资产管理85.3. 人员信息安全管理95.4. 物理和环境安全115.5. 通信和操作管理135.6. 信息系统访问控制175.7. 信息系统的获取、开发和维护安全205.8. 信息安全事故处理235.9. 业务连续性管理245.10. 符合性要求261附件271. 目的和围1) 本文档制定了的信息系统安全策略,作为信息安全的基本标准,是所有安全行为的指导方针,同时也是建立完整的安全管理体系最根本的基础。2) 信息安全策略是在信息安全现状调研的基

2、础上,根据ISO27001的最佳实践,结合现有规章制度制定而成的信息安全方针和策略文档。本文档遵守政府制定的相关法律、法规、政策和标准。本安全策略得到领导的认可,并在公司强制实施。3) 建立信息安全策略的目的概括如下:a) 在部建立一套通用的、行之有效的安全机制;b) 在的员工中树立起安全责任感;c) 在中增强信息资产可用性、完整性和性;d) 在中提高全体员工的信息安全意识和信息安全知识水平。本安全策略适用于公司全体员工,自发布之日起执行。2. 术语和定义1) 解释信息安全是指保护信息资产免受多种安全威胁,保证业务连续性,将安全事件造成的损失降至最小,同时最大限度地获得投资回报和商业机遇。可用

3、性确保经过授权的用户在需要时可以访问信息并使用相关信息资产。性确保只有经过授权的人才能访问信息。完整性保护信息和信息的处理方法准确而完整。信息安全规章定义的密级信息。信息安全策略正确使用和管理IT信息资源并保护这些资源使得它们拥有更好的性、完整性、可用性的策略。风险评估评估信息安全漏洞对信息处理设备带来的威胁和影响与其发生的可能性。风险管理以可以接受的成本,确认、控制、排除可能影响信息系统的安全风险或将其带来的危害最小化的过程。计算机机房装有计算机主机、服务器和相关设备的,除了安装和维护的情况外,不允许人员在里边工作的专用房间。员工在系统工作的正式员工、雇佣的临时工作人员。用户被授权能使用IT

4、系统的人员。信息资产与信息系统相关联的信息、信息的处理设备和服务。信息资产责任人是指对某项信息资产安全负责的人员。合作单位是指与有业务往来的单位,包括承包商、服务提供商、设备厂商、外包服务商、贸易伙伴等。第三方访问指非本单位的人员对信息系统的访问。IT外包服务是指企业战略性选择外部专业技术和服务资源,以替代部部门和人员来承担企业IT系统或系统之上的业务流程的运营、维护和支持的IT服务。安全事件利用信息系统的安全漏洞,对信息资产的性、完整性和可用性造成危害的事件。故障是指信息的处理、传输设备运行出现意外障碍,以至影响信息系统正常运转的事件。安全审计通过将所选类型的事件记录在服务器或工作站的安全日

5、志中用来跟踪用户活动的过程。超时设置用户如果超过特定的时限没有进行动作,就触发其他事件(如断开连接、锁定用户等)。2) 词语使用必须表示强制性的要求。应当好的做法所要达到的要求,条件允许就要实施。可以表示希望达到的要求。3. 引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。1) ISO/IEC 27001:2005 信息技术-安全技术-信息安全管理体系要求2) ISO/IEC 17799:2005 信息

6、技术-安全技术-信息安全管理实施细则4. 职责和权限信息安全管控委员会:负责对信息安全策略进行编写、评审,监督和检查公司全体员工执行情况。5. 信息安全策略目标:为信息安全提供管理指导和支持,并与业务要求和相关的法律法规保持一致。1) 策略下发本策略必须得到管理层批准,并向所有员工和相关第三方公布传达,全体人员必须履行相关的义务,享受相应的权利,承担相关的责任。2) 策略维护本策略通过以下方式进行文档的维护工作:必须每年按照风险评估管理程序进行例行的风险评估,如遇以下情况必须与时进行风险评估:a) 发生重大安全事故b) 组织或技术基础结构发生重大变更c) 安全管理小组认为应当进行风险评估的d)

7、 其他应当进行安全风险评估的情形风险评估之后根据需要进行安全策略条目修订,并在公布传达。3) 策略评审每年必须参照管理评审程序执行公司管理评审。4) 适用围 适用围是指本策略使用和涵盖的对象,包括现有的业务系统、硬件资产、 软件资产、信息、通用服务、物理安全区域等。对于即将投入使用和今后规划的信息系统项目也必须参照本策略执行。5.1. 信息系统安全组织目标:在组织部管理信息安全,保持可被外部组织访问、处理、沟通或管理的信息与信息处理设备的安全。1) 部组织l 公司的管理层对信息安全承担最终责任。管理者职责参见信息安全管理手册。l 公司的信息系统安全管理工作采取信息安全管控委员会统一管理方式,其

8、他相关部门配合执行。公司的部信息安全组织包括信息安全管理小组,小组的人员组成以与相关职责参见公司信息安全组织结构图。l 各个部门之间必须紧密配合共同进行信息安全系统的维护和建设。相关部门岗位的分工与责任参见信息安全管理手册。l 任何新的信息系统处理设施必须经过管理授权的过程。并更新至信息资产列表。l 信息系统的每个重要的资产需要明确所有者、使用人员。参见信息资产列表 。l 凡是涉与重要信息、信息(相关定义参见信息资产鉴别和分类管理办法等信息的处理,相关的工作岗位员工以与第三方都必须签署协议。l 应当与政府机构保持必要的联系共同协调信息安全相关问题。这些部门包括执法部门、消防部门、上级监管部门、

9、电信供应商等提供公共服务的部门。l 应当与相关信息安全团体保持联系,以取得信息安全上必要的支持。这些团体包括外部安全咨询商、独立的安全技术专家等。l 信息安全管理小组每年至少进行一次信息安全风险评估工作(参照风险评估和风险管理程序,并对安全策略进行复审。信息安全领导小组每年对风险评估结果和安全策略的修改进行审批。l 每年或者发生重大信息安全变化时必须参照部审核管理程序执行公司部审核。2) 外部组织a) 第三方访问是指非人员对信息系统的访问。第三方至少包含如下人员: 硬件与软件技术支持、维护人员; 项目现场实施人员; 外单位参观人员; 合作单位人员; 客户; 清洁人员、送餐人员、快递、保安以与其

10、它外包的支持服务人员;b) 第三方的访问类型包括物理访问和逻辑访问。 物理访问:重点考虑安全要求较高区域的访问,包括计算机机房、重要办公区域和存放重要物品区域等; 逻辑访问:u 主机系统u 网络系统u 数据库系统u 应用系统c) 第三方访问需要进行以下的风险评估后方可对访问进行授权。 被访问资产是否会损坏或者带来安全隐患; 客户是否与有商业利益冲突; 是否已经完成了相关的权限设定,对访问加以控制; 是否有过违反安全规定的记录; 是否与法律法规有冲突,是否会涉与知识产权纠纷;d) 第三方进行访问之前必须经过被访问系统的安全责任人的审核批准,包括物理访问的区域和逻辑访问的权限。(详见办公室基础设备

11、和工作环境控制程序)e) 对于第三方参与的项目或提供的服务,必须在合同中明确规定人员的安全责任,必要时应当签署协议。f) 第三方必须遵守的信息安全策略以与第三方和外包管理规定,留对第三方的工作进行审核的权利。5.2. 资产管理目标:通过与时更新的信息资产目录对信息资产进行适当的保护。1) 资产责任a) 所有的信息资产必须登记入册,对于有形资产必须进行标识,同时资产信息应当与时更新。每项信息资产在登记入册与更新时必须指定信息资产的安全责任人,信息资产的安全责任人必须负责该信息资产的安全。b) 所有员工和第三方都必须遵守关于信息设备安全管理的规定,以保护信息处理设备(包括移动设备和在非公共地点使用

12、的设备)的安全。2) 信息分类a) 必须明确确认每项信息资产与其责任人和安全分类,信息资产包括业务过程、硬件和设施资产、软件和系统资产、文档和数据信息资产、人员资产、服务和其他资产。(详见信息资产列表)。b) 必须建立信息资产管理登记制度,至少详细记录信息资产的分类、名称、用途、资产所有者、使用人员等,便于查找和使用。信息资产应当标明适用围。(详见IT设备管理规定)。c) 应当在每个有形信息资产上进行标识。d) 当信息资产进行拷贝、存储、传输(如邮递、 、电子以与语音传输(包括、语音、应答机)等)或者销毁等信息处理时,应当参照信息资产鉴别和分类管理办法或者制定妥善的处理步骤并执行。e) 对重要

13、的资料档案要妥善保管,以防丢失泄密,其废弃的打印纸与磁介质等,应按有关规定进行处理。5.3. 人员信息安全管理目标:确保所有的员工、合同方和第三方用户了解信息安全威胁和相关事宜、明确并履行信息安全责任和义务,并在日常工作中支持的信息安全方针,减少人为错误的风险,减少盗窃、滥用或设施误用的风险。1) 人员雇佣a) 员工必须了解相关的信息安全责任,必须遵守职务说明书。b) 对第三方访问人员和临时性员工,必须遵守第三方和外包管理规定。c) 涉与重要信息系统管理的员工、合同方与第三方应当进行相关技术背景调查和能力考评;d) 涉与重要信息系统管理的员工、合同方与第三方应在合同中明确其信息安全责任并签署协

14、议;e) 重要岗位的人员在录用时应做重要岗位背景调查。2) 雇佣中a) 管理层必须要求所有的员工、合同方与第三方用户执行信息安全的相关规定;b) 应当设定信息安全的相关奖励措施,任何违反信息安全策略的行为都将收到惩戒,具体执行办法参见信息安全奖惩规定;c) 将信息安全培训加入员工培训中,培训材料应当包括下列容: 信息安全策略 信息安全制度 相关奖惩办法d) 应当按下列群体进行不同类型的信息安全培训: 全体员工 需要遵守信息安全策略、规章制度和各项操作流程的第三方人员e) 信息安全培训必须至少每年举行一次,让不同部门的人员能受到适当的信息安全培训。必须参加计算机信息安全培训的人员包括: 计算机信息系统使用单位的安全管理责任人; 重点单位或核心计算机信息系统的维护和管理人员; 其他从事计算机信息系统安全保护工作的人员; 能够接触到敏感数据或信息的关键用户。3) 人员信息安全管理原则a) 员工录用时,人事部门或调入部门必须与时书面通知信息技术部门添加相关的口令、与权限等并备案。b) 员工在岗位变动时,必须移交调出岗位的相关资料和有关文档,检查并归还在借出的重要信息。人事部门或调入部门必须与时书面通知信息技术部门修改和删除相关的口令、与权限等。c) 员工在调离时必须进行信息安全检查。调离人员必须移交全部资料和有关文档,删除自己

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 工作计划

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号