规章制度Rule

信息安全工作总体方针和安全策略

1、总体目标

以满足业务运行要求，遵守行业规程，实施等级保护及风险管理，确保信息安全以及实现持续改进的目的等内容作为本单位信息安全工作的总体方针。以信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断为总体目标。

2、范围

本案适用于本单位信息安全整体工作。在全单位范围内给予执行，由某部门对该项工作的落实和执行进行监督，由某部门配合某部门对本案的有效性进行持续改进。

3、原则

以谁主管谁负责为原则(或者采用其他原则例如:“整体保护原则”、“适度保护的等级化原则”、“分域保护原则”、“动态保护原则”、“多级保护原则”、“深度保护原则”和“信息流向原则”等)。

4、策略框架

建立一套关于物理、主机、网络、应用、数据、建设和管理等六个方面的安全需求、控制措施及执行程序，并在关联制度文档中定义出相关的安全角色，并对其赋予管理职责。“以人为本”，通过对信息安全工作人员的安全意识培训等方法不断加强系统分布的合理性和有效性。

4.1 物理方面

依据实际情况建立机房管理制度，明确机房的出入管理办法，机房介质存放方式，机房设备维护周期及维护方式，机房设备信息保密要求，机房温湿度控制方式等等环境要求。通过明确机房责任人、建立机房管理相关办法、对维护和出入等过程建立记录等方式对机房安全进行保护。

4.2 网络方面

从技术角度实现网络的合理分布、网络设备的实施监控、网络访问策略的统一规划、网络安全扫描以及对网络配置文件等必要信息进行定期备份。从管理角度明确网络各个区域的安全责任人，建立网络维护方面相关操作办法并由某人或某部门监督执行看，确保各信息系统网络运行情况稳定、可靠、正常的运行。

4.3 主机方面

要求各类主机操作系统和数据库系统在满足各类业务系统的正常运行条件下，建立系统访问控制办法、划分系统使用权限、安装恶意代码防范软件并对恶意代码的检查过程进行记录。明确各类主机的责任人，对主机关键信息进行定期备份。

4.4 应用方面

从技术角度实现应用系统的操作可控、访问可控、通信可控。从管理角度实现各类控制办法的有效执行，建立完善的维护操作规程以及明确定期备份内容。

4.5 数据方面

对本单位或本部门的各类业务数据、设备配置信息、总体规划信息等等关键数据建立维护办法，并由某部门或某人监督、执行。通过汇报或存储方式实现关键数据的安全传输、存储和使用。

4.6 建设和管理方面

4.6.1 信息安全管理机制成立信息安全管理主要机构或部门，设立安全主管等主要安全角色，依据信息安全等级保护三级标准(要求)，建立信息系统的整体管理办法。

4.6.2 信息安全管理组织分别建立安全管理岗位和机构的职责文件，对机构和人员的职责进行明确。建立信息发布、变更、审批等流程和制度类文件，增强制度的有效性。建立安全审核和检查的相关制度及报告方式。

4.6.3 人员安全管理要求对人员的录用、离岗、考核、培训、安全意识教育等方面应通过制度和操作程序进行明确。

4.6.4 信息安全等级保护工作及风险评估要求定期对已备案的信息系统进行等级保护测评，以保证信息系统运行风险维持在较低水平，不断增强系统的稳定性和安全性。

4.6.5 报告安全事件要求对突发安全事件建立应急预案管理制度和相关操作办法，并定期组织人员进行演练，以保证信息系统在面临突发事件时能够在较短时间内恢复正常的使用。

4.6.6 业务持续性要求根据对系统的等级测评、风险评估等间接问题挖掘，及时改进信息系统的各类弊端，包括业务弊端，应建立相关改进措施或改进办法，以保证对信息系统的业务持续性要求。 4.6.7 违反信息安全要求的惩罚建立惩处办法，对违反信息安全总体方针、安全策略的、程序流程和管理措施的人员，依照问题的严重性进行惩罚。