信息安全工作信息安全工作 總體方針和安全策略總體方針和安全策略 第一章 總則 第一條 為加強(qiáng)和規(guī)范技術(shù)部及各部門信息系統(tǒng)安全工作 提 高技術(shù)部信息系統(tǒng)整體安全防護(hù)水平 實(shí)現(xiàn)信息安全的可控 能控 在控 依據(jù)國家有關(guān)法律 法規(guī)的要求 制定本文檔 第二條 本文檔的目的是為技術(shù)部信息系統(tǒng)安全管理提供一個(gè) 總體的策略性架構(gòu)文件 該文件將指導(dǎo)技術(shù)部信息系統(tǒng)的安全管理 體系的建立 安全管理體系的建立是為技術(shù)部信息系統(tǒng)的安全管理 工作提供參照 以實(shí)現(xiàn)技術(shù)部統(tǒng)一的安全策略管理 提高整體的網(wǎng) 絡(luò)與信息安全水平 確保安全控制措施落實(shí)到位 保障網(wǎng)絡(luò)通信暢 通和業(yè)務(wù)系統(tǒng)的正常運(yùn)營 第二章 適用范圍 第三條 本文檔適用于技術(shù)部信息系統(tǒng)資產(chǎn)和信息技術(shù)人員的 安全管理和指導(dǎo) 適用于指導(dǎo)公司信息系統(tǒng)安全策略的制定 安全 方案的規(guī)劃和安全建設(shè)的實(shí)施 適用于公司安全管理體系中安全管 理措施的選擇 第三章 引用標(biāo)準(zhǔn)及參考文件 第四條 本文檔的編制參照了以下國家 中心的標(biāo)準(zhǔn)和文件 一 中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 二 關(guān)于信息安全等級(jí)保護(hù)建設(shè)的實(shí)施指導(dǎo)意見 信息運(yùn)安 2009 27 號(hào) 三 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求 GB T 22239 2008 四 信息安全技術(shù) 信息系統(tǒng)安全管理要求 GB T 20269 2006 五 信息系統(tǒng)等級(jí)保護(hù) 安全建設(shè)技術(shù)方案設(shè)計(jì)要求 報(bào)批稿 六 關(guān)于開展信息安全等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見 公信安 2009 1429 號(hào) 第四章 總體方針 第五條 企業(yè)信息服務(wù)平臺(tái)系統(tǒng)安全堅(jiān)持 安全第一 預(yù)防為 主 管理和技術(shù)并重 綜合防范 的總體方針 實(shí)現(xiàn)信息系統(tǒng)安全 可控 能控 在控 依照 分區(qū) 分級(jí) 分域 總體安全防護(hù)策略 執(zhí)行信息系統(tǒng)安全等級(jí)保護(hù)制度 第五章 總體目標(biāo) 第六條 信息系統(tǒng)安全總體目標(biāo)是確保企業(yè)信息服務(wù)平臺(tái)系統(tǒng) 持續(xù) 穩(wěn)定 可靠運(yùn)行和確保信息內(nèi)容的機(jī)密性 完整性 可用性 防止因信息系統(tǒng)本身故障導(dǎo)致信息系統(tǒng)不能正常使用和系統(tǒng)崩潰 抵御黑客 病毒 惡意代碼等對(duì)信息系統(tǒng)發(fā)起的各類攻擊和破壞 防止信息內(nèi)容及數(shù)據(jù)丟失和失密 防止有害信息在網(wǎng)上傳播 防止 中心對(duì)外服務(wù)中斷和由此造成的系統(tǒng)運(yùn)行事故 第六章 信息安全工作的總體原則 第七條 基于安全需求原則 組織機(jī)構(gòu)應(yīng)根據(jù)其信息系統(tǒng)擔(dān)負(fù)的使命 積累的信息資產(chǎn)的重 要性 可能受到的威脅及面臨的風(fēng)險(xiǎn)分析安全需求 按照信息系統(tǒng) 等級(jí)保護(hù)要求確定相應(yīng)的信息系統(tǒng)安全保護(hù)等級(jí) 遵從相應(yīng)等級(jí)的 規(guī)范要求 從全局上恰當(dāng)?shù)仄胶獍踩度肱c效果 第八條 主要領(lǐng)導(dǎo)負(fù)責(zé)原則 主要領(lǐng)導(dǎo)應(yīng)確立其組織統(tǒng)一的信息安全保障的宗旨和政策 負(fù) 責(zé)提高員工的安全意識(shí) 組織有效安全保障隊(duì)伍 調(diào)動(dòng)并優(yōu)化配置 必要的資源 協(xié)調(diào)安全管理工作與各部門工作的關(guān)系 并確保其落 實(shí) 有效 第九條 全員參與原則 信息系統(tǒng)所有相關(guān)人員應(yīng)普遍參與信息系統(tǒng)的安全管理 并與相關(guān) 方面協(xié)同 協(xié)調(diào) 共同保障信息系統(tǒng)安全 第十條 系統(tǒng)方法原則 按照系統(tǒng)工程的要求 識(shí)別和理解信息安全保障相互關(guān)聯(lián)的層面和 過程 采用管理和技術(shù)結(jié)合的方法 提高實(shí)現(xiàn)安全保障的目標(biāo)的有 效性和效率 第十一條 持續(xù)改進(jìn)原則 安全管理是一種動(dòng)態(tài)反饋過程 貫穿整個(gè)安全管理的生存周期 隨著安全需求和系統(tǒng)脆弱性的時(shí)空分布變化 威脅程度的提高 系 統(tǒng)環(huán)境的變化以及對(duì)系統(tǒng)安全認(rèn)識(shí)的深化等 應(yīng)及時(shí)地將現(xiàn)有的安 全策略 風(fēng)險(xiǎn)接受程度和保護(hù)措施進(jìn)行復(fù)查 修改 調(diào)整以至提升 安全管理等級(jí) 維護(hù)和持續(xù)改進(jìn)信息安全管理體系的有效性 第十二條 依法管理原則 信息安全管理工作主要體現(xiàn)為管理行為 應(yīng)保證信息系統(tǒng)安全 管理主體合法 管理行為合法 管理內(nèi)容合法 管理程序合法 對(duì) 安全事件的處理 應(yīng)由授權(quán)者適時(shí)發(fā)布準(zhǔn)確一致的有關(guān)信息 避免 帶來不良的社會(huì)影響 第十三條 分權(quán)和授權(quán)原則 對(duì)特定職能或責(zé)任領(lǐng)域的管理功能實(shí)施分離 獨(dú)立審計(jì)等實(shí)行分權(quán) 避免權(quán)力過分集中所帶來的隱患 以減小對(duì)授權(quán)的修改或?yàn)E用系統(tǒng) 資源的機(jī)會(huì) 任何實(shí)體 如用戶 管理員 進(jìn)程 應(yīng)用或系統(tǒng) 僅 享有該實(shí)體需要完成其任務(wù)所必須的權(quán)限 不應(yīng)享有任何多余權(quán)限 第十四條 選用成熟技術(shù)原則 成熟的技術(shù)具有較好的可靠性和穩(wěn)定性 采用新技術(shù)時(shí)要重視其成 熟的程度 并應(yīng)首先局部試點(diǎn)然后逐步推廣 以減少或避免可能出 現(xiàn)的失誤 第十五條 分級(jí)保護(hù)原則 按等級(jí)劃分標(biāo)準(zhǔn)確定信息系統(tǒng)的安全保護(hù)等級(jí) 實(shí)行分級(jí)保護(hù) 對(duì)多個(gè)子系統(tǒng)構(gòu)成的大型信息系統(tǒng) 確定系統(tǒng)的基本安全保護(hù)等級(jí) 并根據(jù)實(shí)際安全需求確定系統(tǒng)的安全保護(hù)等級(jí) 實(shí)行安全保護(hù) 第十六條 管理與技術(shù)并重原則 堅(jiān)持積極防御和綜合防范 全面提高信息系統(tǒng)安全防護(hù)能力 立足 國情 采用管理與技術(shù)相結(jié)合 管理科學(xué)性和技術(shù)前瞻性結(jié)合的方 法 保障信息系統(tǒng)的安全性達(dá)到所要求的目標(biāo) 第十七條 自保護(hù)和國家監(jiān)管結(jié)合原則 對(duì)信息系統(tǒng)安全實(shí)行自保護(hù)和國家保護(hù)相結(jié)合 組織機(jī)構(gòu)要對(duì) 自己的信息系統(tǒng)安全保護(hù)負(fù)責(zé) 政府相關(guān)部門有責(zé)任對(duì)信息系統(tǒng)的 安全進(jìn)行指導(dǎo) 監(jiān)督和檢查 形成自管 自查 自評(píng)和國家監(jiān)管相 結(jié)合的管理模式 提高信息系統(tǒng)的安全保護(hù)能力和水平 保障國家 信息安全 第十八條 在規(guī)劃和建設(shè)信息系統(tǒng)時(shí) 信息系統(tǒng)安全防護(hù)措施 應(yīng)按照 三同步 原則 與企業(yè)信息服務(wù)平臺(tái)建設(shè)同步規(guī)劃 同步 建設(shè) 同步投入運(yùn)行 第七章 總體安全策略 第一節(jié) 策略框架 第十九條 建立一套關(guān)于物理 主機(jī) 網(wǎng)絡(luò) 應(yīng)用 數(shù)據(jù) 建 設(shè)和管理等六個(gè)方面的安全需求 控制措施及執(zhí)行程序 并在關(guān)聯(lián) 制度文檔中定義出相關(guān)的安全角色 并對(duì)其賦予管理職責(zé) 以人為 本 通過對(duì)信息安全工作人員的安全意識(shí)培訓(xùn)等方法不斷加強(qiáng)系統(tǒng) 分布的合理性和有效性 第二節(jié) 主機(jī)安全策略 第二十條 登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶必須進(jìn)行身份標(biāo) 識(shí)和鑒別 第二十一條 操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標(biāo)識(shí)不能出現(xiàn) 同名用戶 口令應(yīng)有復(fù)雜度要求并定期更換 第二十二條 操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)必須啟用登錄失敗處理功能 第二十三條 對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí) 必須采取必要措施 防 止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽 第二十四條 為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用 戶名 確保用戶名具有唯一性 不能出重名情況 第二十五條 操作系統(tǒng)和數(shù)據(jù)庫必須及時(shí)刪除多余的 過期的賬 戶 避免共享賬戶的存在 第二十六條 主機(jī)必須開啟日志審計(jì)功能 第二十七條 主機(jī)必須安裝防惡意代碼產(chǎn)品 并進(jìn)行統(tǒng)一管理 第三節(jié) 應(yīng)用安全策略 第二十八條 應(yīng)用系統(tǒng)必須在登錄時(shí)要求輸入用戶名和口令 第二十九條 登錄應(yīng)用系統(tǒng)必須進(jìn)行兩種或兩種以上的復(fù)合身份 驗(yàn)證 如用戶名口令 Ukey 或用戶名口令 IP 與 MAC 地址綁定方式 第三十條 應(yīng)用系統(tǒng)中設(shè)置的用戶都必須是唯一用戶 不能名 稱相同 第三十一條 應(yīng)用系統(tǒng)必須開啟登錄失敗處理功能 第三十二條 應(yīng)用系統(tǒng)必須開啟登錄連接超時(shí)自動(dòng)退出等措施 第三十三條 應(yīng)用系統(tǒng)必須開啟身份鑒別 用戶身份標(biāo)識(shí)唯一性 檢查 用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處理功能 并根 據(jù)安全策略配置相關(guān)參數(shù) 第三十四條 應(yīng)用系統(tǒng)必須開啟日志審計(jì)功能 第三十五條 應(yīng)用系統(tǒng)存儲(chǔ)用戶信息的設(shè)備在銷毀 修理或轉(zhuǎn)做 其他用途時(shí) 必須清楚內(nèi)部存儲(chǔ)的信息 第四節(jié) 數(shù)據(jù)安全策略 第三十六條 業(yè)務(wù)應(yīng)用數(shù)據(jù)和設(shè)備配置文檔都必須進(jìn)行備份 以 便發(fā)生問題時(shí)進(jìn)行恢復(fù) 第三十七條 數(shù)據(jù)備份至其他設(shè)備上時(shí) 必須使用專門的備份通 道 保證數(shù)據(jù)傳輸?shù)耐暾?第三十八條 數(shù)據(jù)本機(jī)備份時(shí)應(yīng)檢測(cè)其完整性 第三十九條 數(shù)據(jù)備份時(shí)必須使用專業(yè)的備份設(shè)備和工具 在數(shù) 據(jù)傳輸和數(shù)據(jù)存儲(chǔ)時(shí) 都必須是加密傳輸和存儲(chǔ) 第四十條 數(shù)據(jù)進(jìn)行異地備份時(shí) 必須利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù) 據(jù)定時(shí)批量傳送至備用場(chǎng)地 第五節(jié) 建設(shè)和管理策略 第四十一條 信息安全管理機(jī)制 成立信息安全管理主要機(jī)構(gòu)或部門 設(shè)立安全主管等主要安全 角色 依據(jù)信息安全等級(jí)保護(hù)二級(jí)標(biāo)準(zhǔn) 要求 建立信息系統(tǒng)的整 體管理辦法 第四十二條 信息安全管理組織 分別建立安全管理崗位和機(jī)構(gòu)的職責(zé)文件 對(duì)機(jī)構(gòu)和人員的職 責(zé)進(jìn)行明確 建立信息發(fā)布 審批等流程和制度類文件 增強(qiáng)制度 的有效性 建立安全審核和檢查的相關(guān)制度及報(bào)告方式 第四十三條 人員安全管理要求 對(duì)人員的錄用 離崗 考核 培訓(xùn) 安全意識(shí)教育等方面應(yīng)通 過制度和操作程序進(jìn)行明確 第四十四條 信息安全等級(jí)保護(hù)工作及風(fēng)險(xiǎn)評(píng)估要求 定期對(duì)已備案的信息系統(tǒng)進(jìn)行等級(jí)保護(hù)測(cè)評(píng) 以保證信息系統(tǒng) 運(yùn)行風(fēng)險(xiǎn)維持在較低水平 不斷增強(qiáng)系統(tǒng)的穩(wěn)定性和安全性 第四十五條 報(bào)告安全事件要求 對(duì)突發(fā)安全事件建立應(yīng)急預(yù)案管理制度和相關(guān)操作辦法 并定 期組織人員進(jìn)行演練 以保證信息系統(tǒng)在面臨突發(fā)事件時(shí)能夠在較 短時(shí)間內(nèi)恢復(fù)正常的使用 第四十六條 業(yè)務(wù)持續(xù)性要求 根據(jù)對(duì)系統(tǒng)的等級(jí)測(cè)評(píng) 風(fēng)險(xiǎn)評(píng)估等間接問題挖掘 及時(shí)改進(jìn) 信息系統(tǒng)的各類弊端 包括業(yè)務(wù)弊端 應(yīng)建立相關(guān)改進(jìn)措施或改進(jìn) 辦法 以保證對(duì)信息系統(tǒng)的業(yè)務(wù)持續(xù)性要求 第四十七條 違反信息安全要求的懲罰 建立懲處辦法 對(duì)違反信息安全總體方針 安全策略的 程序流 程和管理措施的人員 依照問題的嚴(yán)重性進(jìn)行懲罰