字数 7334阅读 1615评论 0赞 5
《xxxxxxxx安全管理制度汇编》****
xxxxxxxx信息安全策略****
文件名称 | xxxxxxxx信息安全策略 | 密级 | 内部 |
适用范围 | xxxxxxxx | 版 本 号 | V1.0 |
编写部门 | 编 写 人 | ||
审 批 人 | 发布时间 |
目录****
一、总则 3
一、总则****为了建立、健全xxxxxxxx的信息安全管理制度,按照相关的国家标准,确定信息安全方针和目标,对信息安全风险进行有效管理,确保全体职工理解并遵照信息安全管理制度的相关规定执行,改进信息安全管理制度的有效性,特制定信息安全策略文档。
本文档适用于信息安全管理活动。
二、信息安全范围****信息安全策略涉及的范围包括:
- xxxxxxxx全体职工。
- 各项业务系统,包括新一代国内通信系统、CMACast系统、宽带网系统、骨干网络系统、互联网系统、电子邮件系统、电视会商系统、办公系统等。
- 现有信息资产,包括与上述业务系统相关的数据、硬件、软件、服务及文档等。
- 办公场所和上述信息资产所处的物理位置。
通过建立健全xxxxxxxx各项信息安全管理制度、加强xxxxxxxx职工的信息安全培训和教育工作,制定适合xxxxxxxx的风险控制措施,有效控制信息系统面临的安全风险,保障信息系统的正常稳定运行。
四、信息安全方针****- xxxxxxxx领导定期组织相关人员召开信息安全会议,对有关的信息安全重大问题做出决策。
- 清晰识别所有资产,实施等级标记,对资产进行分级、分类管理,并编制和维护所有重要资产的清单。
- 综合使用访问控制、监测、审计和身份鉴别等方法来保证数据、网络、信息资源的安全,并加强对外单位人员访问信息系统的控制,降低系统被非法入侵的风险。
- 启动服务器操作系统、网络设备、安全设备、应用软件的日志功能,定期进行审计并作相应的记录。
- 明确全体职工的信息安全责任,所有职工必须接受信息安全教育培训,提高信息安全意识。针对不同岗位,制定不同等级培训计划,并定期对各个岗位人员进行安全技能及安全认知考核。
- 建立安全事件报告、事故应答和分类机制 ,确定报告可疑的和发生的信息安全事故的流程,并使所有的职工和相关方都能理解和执行事故处理流程,同时妥善保存安全事件的相关记录与证据。
- 对用户权限和口令进行严格管理,防止对信息系统的非法访问。
- 制定完善的数据备份策略, 对重要数据 进行备份。数据 备份定期进行还原测试,备份介质与原信息所在场所 应 保持安全距离 。
- 与外单位的 外包(服务)合同 应 明确规定合同参与方的安全要求、安全责任和安全规定等相 关 安全内容 ,并采取相应措施严格保证对协议安全内容的执行。
- 在开发新业务系统时,应充分考虑相关的安全需求,并严格控制对项目相关文件和源代码等敏感数据的访问。
- 定期对信息系统进行风险评估,并根据风险评估的结果采取相应措施进行风险控制。
- 上述方针由xxxxxxxx领导批准发布,并定期评审其适用性和充分性,必要时予以修订。
(一) 安全管理制度策略
- xxxxxxxx统一制定信息安全工作的总体方针和安全策略,说明安全工作的总体目标、范围、原则和安全框架,形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系;
- 业务科技处、办公室负责安全管理制度的制定,安全管理制度应具有统一的格式和版本控制,同时并组织相关人员对制定的安全管理制度进行论证和审定,并通过平台进行发布;
- 信息安全领导小组负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定,对存在不足或需要改进的安全管理制度进行修订。
(二) 安全管理机构策略
- 成立指导和管理信息安全工作的委员会或领导小组,全面负责信息安全工作。
- 业务科技处作为信息安全管理工作的职能部门,并设立安全主管,各业务处室设立安全管理员、系统管理员、网络管理员等岗位,并定义各岗位的职责。
- 各业务处室配备专职的管理员和一定数量的系统管理员、网络管理员、安全管理员等,关键事务岗位应配备多人共同管理。
- 针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序,按照审批程序执行审批过程,对重要活动建立逐级审批制度,并定期审查审批事项,及时更新需授权和审批的项目、审批部门和审批人等信息,并记录审批过程并保存审批文档。
- 加强组织内部的合作与沟通,定期召开协调会议,共同协作处理信息安全问题,并加强外联单位(兄弟单位、电信、公安局、业界专家、专业安全公司、安全组织等)合作与沟通,并制定外联单位联系列表。
- 制定安全审核和安全检查制度,规范安全审核和安全检查工作,定期按照程序进行安全审核和安全检查活动。
(三) 人员安全策略
- 人事处负责员工录用,严格规范人员录用过程,对被录用人的身份、背景、专业资格和资质等进行审查,对其所具有的技术技能进行考核,并签署保密协议。
- xxxxxxxx职工应根据岗位职责要求严格履行其安全角色和职责,主要包括:保护资产免受未授权的访问、泄漏、修改、销毁或干扰,执行特定的安全过程或活动,报告安全事件或其他风险。安全角色和职责必须清晰的传达给所有职工,确保他们能清楚各自的安全责任。
- 定期对各个岗位的人员进行安全技能及安全认知的考核,对关键岗位的人员要进行全面、严格的安全审查和技能考核。
- 外单位人员在访问中心信息处理设施前必须签署保密协议,保密协议内容包括外单位人员访问信息资产的权利、承担的安全责任、违反职责要承担的后果等。负责接待人员或部门要保证外单位人员了解保密协议的条款和内容,并同意协议规定的权利和责任。
- xxxxxxxx主要领导承担管理职责,保证所有职工和外单位人员能按照安全方针、策略和程序进行日常工作。管理职责包括使所有职工和外单位人员清晰了解各自的安全角色和安全职责、提高他们的安全意识和安全技能等。
- 定期对所有职工进行安全培训,培训内容包括安全方针、策略、程序、信息处理设施正确使用方法、安全意识等。根据人员的安全角色和职责制定不同的培训计划,保证所有职工和外单位人员能认识到信息安全问题和信息安全事件,并能按照各自的安全角色履行安全职责。
- 制定正式的纪律处理过程,来严肃处理安全违规的职工,并威慑其他职工,防止他们违反安全策略、程序和其他安全违规。纪律处理要正确、公平,要根据违规的性质、重要性和对业务的影响等因素区别对待。
- 当职工离职或调离其他岗位、外单位人员合同期满时,立即终止原来的安全角色和安全职责,并通知中心所有职工,使所有职工能及时清楚人员的变化。
- 当职工离职或调离其他岗位、外单位人员合同期满时,及时归还其使用的所有资产,如设备、软件、文件、访问卡、电子资料等,防止对资产的非授权使用,及时删除其对信息和信息处理设施的访问权限。
(四) 系统建设策略
- 信息系统建设前,应明确信息系统的边界和安全保护等级,并明确说明信息系统为某个安全保护等级的方法和理由,同时组织相关部门和有关安全技术专家对信息系统定级结果的合理性和正确性进行论证和审定,并确保信息系统的定级结果经过相关部门的批准。
- 业务科技处负责对信息系统的安全建设进行总体规划,制定近期和远期的安全建设工作计划;业务科技处根据信息系统的等级划分情况,统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案,并形成配套文件。
- 应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的合理性和正确性进行论证和审定,并且经过批准后,才能正式实施。
- 负责安全产品的采购,确保安全产品采购和使用符合国家的有关规定,而密码产品采购和使用符合国家密码主管部门的要求,在采购前应预先对产品进行选型测试,确定产品的候选范围,并定期审定和更新候选产品名单。
- 业务系统的开发、测试和运行设施要分离并进行控制,控制措施包括敏感数据不能拷贝到测试系统环境中、禁止开发和测试人员访问运行系统及其信息等,以减少对运行设施及其信息的未授权访问和带来的潜在风险。
- 定期根据外包服务协议中的安全要求,监视、评审由外单位提供的服务、报告和记录,监督协议规定的信息安全条款和条件的严格执行。监视、评审内容包括监视服务执行效率,评审服务报告,审查外包服务的安全事件、操作问题、故障、失误追踪和破坏的记录。
- 授权专门的部门或人员负责工程实施过程的管理,工程实施前应制定详细的工程实施方案控制实施过程,并要求工程实施单位能正式地执行安全工程过程,并制定工程实施方面的管理制度,明确说明实施过程的控制方法和人员行为准则。
- 新业务系统或升级版本在正式上线前,要进行合适的测试,并根据验收要求和标准进行正式的验收,以证实全部验收准则完全被满足。
- 系统建设完成后应制定详细的系统交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点;应提供系统建设过程中的文档和指导用户进行系统运行维护的文档,同时对负责系统运行维护的技术人员进行相应的技能培训。
- 业务科技处负责管理系统定级的相关材料,并控制这些材料的使用;将系统等级及相关材料报系统主管部门和相应公安机关备案。
- 业务科技处负责等级测评的管理,并在系统运行过程中,对3级信息系统应每年进行一次等级测评,应选择具有国家相关技术资质和安全资质的测评单位,发现不符合相应等级保护标准要求的及时整改;同时在系统发生变更时及时对系统进行等级测评,发现级别发生变化的及时调整级别并进行安全改造,发现不符合相应等级保护标准要求的及时整改。
- 在选择安全服务商时应符合国家的有关规定,并与选定的安全服务商签订与安全相关的协议,明确约定相关责任,同时确保选定的安全服务商提供技术培训和服务承诺,必要的与其签订服务合同。
(五) 系统运维策略
- 所有的资产要指定专人责任,并对责任人赋予相应的职责,确保所有资产都可以核查。
- 根据资产的重要性、业务价值、依赖程度,对所有资产进行分类、分级,编制资产的清单。对资产清单妥善保管,并在资产变更时及时更新清单,确保可以对资产进行有效的保护。
- 应对磁带、磁盘、闪盘、可移动硬件驱动器、CD、DVD、打印媒体等进行有效的管理,防止非授权的使用和破坏。对可移动存储介质的管理包括所有介质应存储在符合制造商说明的安全、保密环境中,使用介质要进行授权、登记并追踪审计等。
- 应对不再需要的介质进行安全处置,降低介质敏感信息泄漏给未授权人员的风险。
- 应对信息系统相关的各种设备(包括备份和冗余设备)、线路等指定专门的部门或人员定期进行维护管理。
- 应建立配套设施、软硬件维护方面的管理制度,对其维护进行有效的管理,包括明确维护人员的责任、涉外维修和服务的审批、维修过程的监督控制等,应确保信息处理设备必须经过审批才能带离机房或办公地点。
- 应对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警,形成记录并妥善保存;同时组织相关人员定期对监测和报警记录进行分析、评审,发现可疑行为,形成分析报告,并采取必要的应对措施。
- 指定专人对网络和主机进行恶意代码检测并保存检测记录;定期检查信息系统内各种产品的恶意代码库的升级情况并进行记录,对主机防病毒产品、防病毒网关和邮件防病毒网关上截获的危险病毒或恶意代码进行及时分析处理,并形成书面的报表和总结汇报。
- 应建立变更管理制度,系统发生变更前,制定变更方案,同时向主管领导申请,变更和变更方案经过评审、审批后方可实施变更,并在实施后将变更情况向相关人员通告。
- 遵照信息安全事故报告机制,报告可能对中心的信息资产安全造成影响的不同种类的安全事故和弱点,并确保所有的职工、合同方和外单位人员都遵守执行这套报告程序。
- 对安全事故进行分类和分级,及时对信息安全事故的类型、频率和影响等进行评估,并采取适当措施防止事故再次发生。
- 应建立应急预案,在统一的应急预案框架下制定不同事件的应急预案,应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容;同时应从人力、设备、技术和财务等方面确保应急预案的执行有足够的资源保障。
(六) 物理安全策略
- 运行监控室负责机房安全,并 配备机房安全管理人员,对机房的出入、服务器的开机或关机等工作进行管理 。
- 业务与园区电讯保障室应定期对机房供配电、空调、温湿度控制等设施进行维护管理。
- 运行监控室应 建立 机房安全管理制度,对 有关 机房物理访问,物品带进、带出机房和机房环境 安全 等 方面 的管理作出规定。
- 在机房内设置安全防盗报警装置和监控系统来实现防盗、防毁、保障设备的安全。
- 按照相关设计规范和技术要求,在机房设计和建设中做好静电防护设施、防雷装置和接地保护系统。
- 必须建立警报系统,在发现擅自进入受控区域时发出警报。
- 对于重要的数据要进行备份,备份数据的存放位置应符合GBJ45-82中规定的一级耐火等级,符合防火、防高温、防水、防震等要求;定期对备份数据进行检查,保证其可用性。
(七) 主机安全策略
- 各处室应指定专人对系统进行管理,划分系统管理员角色,明确各个角色的权限、责任和风险,权限设定应当遵循最小授权原则;并建立系统安全管理制度,对系统安全策略、安全配置、日志管理和日常操作流程等方面作出具体规定;同时依据操作手册对系统进行维护,详细记录操作日志,包括重要的日常操作、运行维护记录、参数的设置和修改等内容,严禁进行未经授权的操作。
- 应提高全体用户的防病毒意识,安装防病毒软件,及时告知防病毒软件版本,在读取移动存储设备上的数据以及网络上接收文件或邮件之前,先进行病毒检查,对外来计算机或存储设备接入网络系统之前也应进行病毒检查。
- 当因内外部审核、软件开发、软件安装或其他规定需求而需要特殊的访问账号时,账号必须被授权;创建的日期期限必须明确;工作结束时此账号必须删除。
- 所有账号都必须使用分配的用户进行唯一性标识。
- 派专人负责删除个人账号;必须将修改用户账号相关信息的过程文件化;必须定期评审现有账号的有效性,并将此过程文件化。
- 操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新。
- 应定期的对服务器和重要客户端上的每个操作系统用户和数据库用户进行审计,审计内容包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件。
- 在访问操作系统过程中,对于不活动的会话必须设定在一个不活动周期后关闭,以防止未授权人员访问和拒绝服务攻击。
- 记录系统管理员和系统操作员的操作日志,并定期评审这些日志信息。系统管理员和系统操作员的日志应包括事件发生的时间,涉及的帐号和管理员或操作员,事件或故障的信息内容等信息。
(八) 网络安全策略
- 建立网络安全管理制度,对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面作出规定;同时应指定专人对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作;应实现设备的最小服务配置,并对配置文件进行定期离线备份;
- 应定期对网络系统进行漏洞扫描,对发现的网络系统安全漏洞进行及时的修补;应根据厂家提供的软件升级版本对网络设备进行更新,并在更新前对现有的重要文件进行备份。
- 应保证所有与外部系统的连接均得到授权和批准;并依据安全策略允许或者拒绝便携式和移动式设备的网络接入;同时定期检查违反规定拨号上网或其他违反网络安全策略的行为。
- 计算机设备如果无人值守必须启动口令保护(屏保或注销)。
- 网络基础设施支持一系列合理定义的、被认可的网络协议,使用任何未经认可的协议都必须经过批准。
- 防火墙必须按照防火墙实施规范文件进行安装和配置。
- 未经批准不可以安装路由器、交换机、集线器或者无线访问端口。
- 在未经批准的情况下,用户不得安装网络硬件或软件提供网络服务。
- 在网络边界、安全域之间使用防火墙或VLAN进行逻辑隔离和访问控制,使用网络安全审计系统对网络访问行为进行记录、监视和回放,保证对网络进行充分的管理和控制,防止威胁的发生,维护业务系统和信息的安全。
- 记录日志的设施和日志信息应加以保护,防止被篡改和未授权访问。
(九) 应用安全策略
- 所有访问应用的账号都必须使用分配的用户进行唯一性标识。
- 基于各个业务应用要求,应严格限制用户对信息和应用系统功能的访问权限,防止对信息系统的未授权访问。
- 对应用系统进行安全访问的控制。
- 对应用系统自身产生的日志文件与系统日志进行审计,记录用户活动、异常和信息安全事件的日志信息,并保留一定的时间,以支持将来的调查和审计。
(十) 数据安全和备份恢复策略
- 要建立备份与恢复管理相关的安全管理制度,对备份信息的备份方式、备份频度 、 存储介质和保存期等进行规范。
- 应采用加密或其他保护措施实现系统管理数据、鉴别信息和重要业务数据传输和存储的保密性。
- 制定详细的备份策略,使用足够的备份设施,定期对业务数据进行备份,确保业务数据在灾难或媒体故障后能及时进行恢复。