信息安全策略总纲1.1.适用范围及依据第一条XXXXXX信息系统包含非生产控制系统,非生产控制系统内包含生产管理系统、网站系统、管理信息系统三大类。本制度适用于XXXXXX所有信息系统。第二条本制度根据《GB/T20269-2006信息安全技术信息系统安全管理要求》、《GB/T20282-2006信息安全技术信息系统安全工程管理要求》、《GB/T22239-2008信息安全技术信息系统安全等级保护基本要求》等有关法律、标准、政策,管理规范而制定。1.2.信息安全工作总体方针第一条XXXXXX信息系统的安全保护管理工作总体方针是“保持适度安全;管理与技术并重;全方位实施,全员参与;分权制衡,最小特权;尽量采用成熟的技术”。“预防为主”是信息安全保护管理工作的基本方针。第二条《总纲》规定了XXXXXX信息系统安全管理的体系、策略和具体制度,为信息化安全管理工作提供监督依据。第三条XXXXXX信息系统安全管理体系是由信息安全策略总纲、安全管理制度、安全技术标准以及安全工作流程和操作规程组成的。(一)《总纲》是信息安全各个方面所应遵守的原则方法和指导性策略文件。(二)《总纲》是制定XXXXXX信息安全管理制度和规定的依据。(三)信息安全管理制度和规范规定了信息安全管理活动中各项管理内容。(四)信息安全技术标准和规范是根据《总纲》中对信息安全方面相关的规定所引出的,其规定了信息安全中的各项技术要求。(五)信息安全工作流程和操作规程详细规定了主要应用和事件处理的流程、步骤以及相关注意事项,并且作为具体工作时的具体依照。1.3.系统总体安全策略第一条XXXXXX信息系统总体安全保护策略是:系统基础资源和信息资源的价值大小、用户访问权限的大小、系统中各子系统重要程度的区别等就是级别的客观体现。信息安全保护必须符合客观存在和发展规律,其分级、分区域、分类和分阶段是做好信息安全保护的前提。第二条XXXXXX信息系统的安全保护策略由XXXXXX信息技术科负责制定与更新。第三条信息技术科根据信息系统的保护等级、安全保护需求和安全目标,结合XXXXXX自身的实际情况,依据国家、监管部门有关安全法规和标准,授权制定信息系统的安全保护实施细则和具体管理办法;并根据环境、系统和威胁变化情况,及时调整和制定新的实施细则和具体管理办法。第四条XXXXXX信息系统的安全保护工作应从技术体系和管理体系两个方面进行,技术体系包括物理环境安全、网络安全、主机安全、应用安全和数据安全等五个部分,管理体系包括安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等五个部分,由技术体系和管理体系共十个部分构成信息系统安全等级保护体系(附件9)。(一)物理环境安全包括:周边环境安全,门禁检查,防火、防水、防潮、防雷击、防电磁泄露和干扰,电源备份和管理,设备的标识、使用、存放和管理等;(二)网络安全包括:网络的拓扑结构,网络的布线和防护,网络设备的管理和报警,网络攻击的监察和处理;(三)主机安全包括:主机的身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、监控和终端接入控制等;(四)应用安全包括:应用系统的身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性和保密性、抗抵赖、软件容错和资源控制等;(五)数据安全包括:数据传输的完整性和保密性、数据存储的完整性和保密性、数据的备份和恢复等;(六)安全管理制度是信息系统安全策略、方针性文件,规定信息安全工作的总体目标、范围、原则和安全框架,是管理制度体系的灵魂和核心文件;(七)通过构建和完善信息安全组织架构的措施,明确不同安全组织和不同安全角色的定位、职责以及相互关系,强化信息安全的专业化管理,实现对安全风险的有效控制;(八)人员安全管理包括人员录用、人员管理、人员考核、保密协议、培训、离岗离职等多个方面;(九)系统建设管理根据信息密级、系统重要性和安全策略将信息系统划分为不同的安全域,针对不同的安全域确定不同的信息安全保护等级,采取相应的保护。信息系统安全等级的定级决定了系统方案的设计、实施、安全措施、运行维护等信息系统建设的各个环节。信息系统定级遵循“谁建设、谁定级”的原...
