《网络通信信息安全总体策略20111215》由会员分享,可在线阅读,更多相关《网络通信信息安全总体策略20111215(29页珍藏版)》请在金锄头文库上搜索。
1、网络通信信息安全总体策略八 前言为确保公司业务网络通信信息安全,建立完善规范的信息安全体系,特制定彩维 码信息安全总体策略,以指导公司有序开展网络信息安全相关工作。总则1. 为确保公司网络通信信息安全,保证信息安全意识和保护措施贯穿于信息系 统生命周期的各个阶段,为公司网络信息系统的安全管理工作建立科学的参 照体系,使信息安全工作在统一体系和整体框架的指导下,各个环节有效配 合,充分发挥信息安全工作的效果,特制定本标准。2. 安全策略体系是信息安全体系的核心,为整个信息安全体系提供指导和支 持。公司通过在组织内发布和落实安全策略来保证对信息安全的承诺与支 持。3. 本标准提出了公司网络通信信息
2、安全的总体策略,是公司网络安全策略体系 的总体说明,为公司开展内网信息安全相关工作提供依据,指导公司的安全 建设、管理和运营工作有序开展。4. 公司的所有员工必须遵守本标准的规定,并依据本标准加强对外部组织的管 理,如由于未遵循本标准导致出现安全问题,由相关部门和责任人员负责。安全管理组织结构和管理制度安全管理组织结构1. 公司网络信息安全实行统一领导、分级管理、专业分工负责的原则。2. 公司网络信息安全组织包括领导机构和工作组织。领导机构是公司级别的 信息安全常设组织,全面负责公司的信息安全工作,该机构由公司级别主 管领导负责,各相关部门领导组成,是公司网络信息安全管理的决策机构。 工作组织
3、是公司各部门建立的专职或兼职的安全队伍,从事具体的安全工 作。3. 公司网络信息安全领导机构应为公司的安全管理指明方向,并提供强有力 的管理层支持。安全领导机构应通过合理的承诺和充分的资源配置,来推 进整个公司的信息安全工作。安全领导机构承担以下工作:(一)审查并批准公司的信息与网络安全策略;(二)分配安全管理总体职责;(三)在网络信息系统相关资产暴露重大威胁时,监督控制可能发生的重 大变化;(四)对安全管理的重大更改事项(例如:组织机构调整、关键人事变动、 信息系统更改等)进行决策;(五)指挥、协调、督促并审查重大安全事件的处理。4. 公司网络信息安全工作组织为解决安全工作中出现的问题,防止
4、相互推诿, 提高工作效率,应建立跨部门的协调机制,具体协调机构应由各部门从事 安全工作的相关人员组成,并明确牵头部门及人员。安全工作组织承担以 下工作:(一)制定相关的安全岗位及职责;(二)制定并落实相关安全管理制度;(三)制定并落实安全保护方案;(四)审批新系统或服务的规划及设计中的安全部分,并监督其实施落 实;(五)审批业务连续性方案;(六)牵头处理信息与网络安全事件;(七)组织安全评估和安全审计工作;(八)辅助领导机构进行安全方面的决策;(九)完成部门间的协调工作,分派并落实某项具体工作中各部门的职 责;(十) 获取和发布安全信息;(十一) 完成领导机构下达的各项任务。责任分配1. 公司
5、网络信息安全责任分配的基本原则是“谁主管,谁负责”。2. 公司必须明确“所有人”和“维护人”的工作职责;“所有人”由公司根据 资产归属特别指定,承担着资产安全的最终责任;“维护人”的工作职责由 “所有人”制定,并接受“所有人”的定期检查;当“所有人”和“维护人” 为部门时,由部门领导实际负责。3. 在资产责任制度中,可对资产所有人、资产维护人等的职责和权利作如下细 化:(一)所有人是负责管理信息与网络资产并落实相应安全措施的个人或部 门,职责和权限包括:所有信息与网络资产都必须指定所有人。所有人及其领导负责进行风险分析,根据信息保密标准分类确定、鉴别 并记录其所拥有的信息与网络资产的安全级别。
6、该级别至少每年评审一 次。 所有人必须贯彻、落实恰当的安全控制措施,确保只有在工作必须的情 况下才能使用相关资产。 所有人可以为其负责的资产指派维护人,或自己担当此任。 所有人可基于工作需要分配访问权,并与维护人共同负责保证信息与网 络资产的可用性。 所有人必须至少每六个月审查一次其资产的访问权限。评审流程必须记录在案,并保留到下一次审查结束之前。 (二)维护人是支持并维护信息系统相关资产的人员,职责和权限包括:维护人可以根据所保管资产的保密类别来确定相应实物资产的安全管理 流程,包括物理保护及程序性保护,以确保信息与网络资产所有人所要 求的机密性、完整性和可用性。 所有人应确保适当的安全措施
7、到位,并可以适度向下委派。如若需要, 可以确定备用联络人。维护人必须保留所有人的名单。 维护人必须通知所有人其所应承担的安全职责。 未经所有人许可,维护人不得重新划分信息的类别。4. 公司网络信息安全组织的职责是指导、监督、管理、考核“所有人”的安全 工作,不能替代“所有人”对具体信息与网络资产进行安全保护。公司网络 信息安全相关工作应遵循职责分离的原则,以减少误用或滥用权力带来风险 的概率,在无法实现职责充分分离的情况下,应采取其他补偿控制措施并制 定流程文档记录在案。5. 公司网络信息安全组织应加强与国家安全机关、行业监管部门、其他运营商 和信息服务提供商等外部组织的联系,并建立协作流程,
8、确保在出现安全事 件时,尽快获取信息、采取措施。信息安全工作组织相关人员职责1. 公司网络信息安全工作组织相关部门一般分为信息系统管理部门、信息系统 应用部门和信息系统服务支撑部门。 通常情况下各级信息化归口管理部门为信息系统管理部门; 凡是操作、使用信息系统的单位为信息系统应用部门; 具体负责对信息系统进行技术支持服务的部门为信息系统服务支撑部 门,部分小型管理支撑系统可以采用自用自维模式。2. 公司网络信息安全工作组织相关人员角色包括但不限于:网络管理员、数据 库系统管理员、操作系统管理员、业务系统管理员、资产管理员: 网络管理员安全职责 负责防病毒管理、防火墙系统管理、入侵检测管理、安全
9、漏洞扫描管理 等; 参与网络系统安全策略、计划和事件处理程序的制定; 承担网络安全事件的处理; 参与网络安全建设和运营方案的制定; 负责网络设备操作系统升级、补丁; 负责网络日常监控、优化和安全加固; 负责网络设备操作系统和配置数据备份。数据库管理员安全职责 参与数据库系统安全策略、计划和事件处理程序的制定; 承担数据库系统安全事件的处理; 负责数据库系统升级、补丁和和安全加固; 负责数据库系统的日常安全监控、配置和数据备份; 负责数据库系统权限和口令管理。操作系统管理员安全职责参与操作系统系统安全策略、计划和事件处理程序的制定;承担操作系统系统安全事件的处理; 负责操作系统系统的升级、补丁和
10、安全加固; 负责操作系统的日常安全监控和操作系统和文件系统的备份; 负责操作系统权限和口令管理。业务系统管理员的安全职责参与应用系统安全策略、计划和事件处理程序的制定;承担应用系统安全事件的处理; 负责应用系统的安全加固; 负责应用系统的日常安全监控和数据备份; 负责应用系统帐号权限和口令管理; 负责应用系统在操作系统和数据库中帐号及该帐号下数据安全。 资产管理员的安全职责 按照资产存放环境要求存放相关物资和资料; 根据信息资产的分类分级标识的要求进行资产、资料的标识; 根据资产的信息安全等级进行物资的入库、出库、销毁,资料的保管、 借阅、销毁; 资产管理员应特别加强以下内容的安全管理:系统备
11、份、数据备份载体 及相应文档管理;业务数据、经营数据、运行数据的载体及相应文档的 管理;软件资料管理(包括软件开发的源代码、软件设计说明书、使用 说明书、许可证等);硬件随机文档;系统设计方案、工程施工过程文 档、系统运行维护文档、招投标过程文档;其它文档管理(包括各种规 章制度、收发文、工作日志归档、设备清单、合同)等。3. 数据库管理员负责制订和维护数据库结构、索引、参考完整性限制以及安全 管理,公司必须采取严格控制措施加强管理,避免对内网信息安全产生影响: 每个数据库都必须指定数据库管理员,负责系统管理并遵从安全管理。 数据库管理员必须使用独立于其个人应用、登录账户或者数据库应用登 录账
12、户以外的账户(适用于需要单次登录数据库的应用)执行特定的数 据库管理功能,从而避免偶然对数据进行非法修改。 专用数据库管理员账户不得在其职责范围以外使用,只应用于管理数据 库所必需的工作。 数据库管理员负责与数据所有人以及数据库保管人合作制定、编制以及 测试备份和灾难恢复计划。 数据库管理员不得修改数据库内数据的保密级别。 数据库管理员负责与数据所有人一起制订用于控制数据访问的安全控制 措施,并且负责保证数据的所有访问活动都由数据所有人批准。 数据库管理员必须保证所有数据库都能得到正确维护,必须为数据库账 户的激活、锁定以及无效数据库帐号的删除制订适当的管理程序。 不再需要的访问权限或者不再属
13、于中国联通的个人数据库账号必须立即 禁用,并在三个月内永久删除。 必须建立不同级别的用户访问权限授予和撤消的归档制度,以便控制数 据库的访问授权。 所有用于数据库管理员的管理账户都开启审计日志,以便接受审核。4. 数据所有人负责管理控制特定数据的访问权限和安全相关问题。公司必须明确数据所有关系,对数据所有人的职责和权限加强管理:数据所有人可以是一个数据库内所有数据的所有人、数据库内特定表格 的所有人、单个元素(字段)的所有人或者上述三项的任意组合。数据 所有人也可以将自己负责的数据所有权授予其他人,但此授权并不能免 除数据所有人对数据的责任。 所有数据都必须明确指定所有人且有书面记录。所有人是
14、指那些对指定 数据库的数据内容的负责人员。 数据所有人必须指定并记录数据所有关系的变更计划。该计划必须确定 在当前数据所有人无法承担相应职责时,哪些个人或部门将成为数据所 有人。 数据所有人负责进行风险分析,对数据库内的数据,根据信息保密等级 分类确定、鉴别并记录合适的安全级别。 数据所有人负责根据可用性、完整性、机密性同其他应用系统的数据交 换,记录数据库的业务要求和安全要求,并分析数据丢失和不可用对企 业运营造成的影响。 数据所有人负责批准需要访问其负责的数据库或者部分数据库的人员的 权限。 数据所有人同应用所有人和数据库管理员一样,必须按照安全级别每6 个月审查数据的访问权限。 数据所有
15、人以及数据库管理员负责依据中国联通数据备份和保留策略制 订数据库备份和保留需求。 数据所有人同应用开发人员、数据库管理员以及数据库保管人员一起制 订、维护并测试灾难恢复计划。信息的获取与发布公司必须建立有效可靠的合作渠道,以及时获得必要的安全信息,密切跟踪信息 技术的发展,不断改进安全工作: 应从内部选择经验丰富的安全管理和技术人员,组成内部专家组,制定 安全解决方案,参与安全事件处理,解决实际安全问题,提供预防性建 议等。为保证工作效率和成果,内部专家组可直接向公司管理层报告。 应与设备提供商、安全服务商等外部安全专家保持紧密联系,及时得到 相关的安全建议。 应从专业出版物、定期公告等公开的信息渠道获取安全信息。资产安全管理制度公司应根据资产分类建立严格的资产责任制度,以有效保护信息系统相关资产。 与信息系统相关的资产类型包括:信息资产:数据库和数据文件、合同和协议、系统文件、研究信息、用 户手册、培训材料、操作或支持程序、业务连续性计划、后备运行安排 审计记录、归档的信息; 软件资产:应用软件、系统软件、开发工具和实用程序; 物理资产:计算机设备
