信息安全策略

信息安全策略
目录
一、安全组织策略 (3)
二、人员安全策略 (3)
三、系统建设策略 (4)
四、系统运维策略 (5)
(一)环境管理策略 (5)
(二)资产管理策略 (5)
(三)介质管理策略 (6)
(四)设备管理策略 (6)
(五)监控管理和安全管理策略 (6)
(六)系统安全管理策略 (7)
(七)恶意代码防范策略 (8)
(八)变更管理策略 (8)
(九)备份与恢复管理策略 (9)
(十)信息安全事件处置策略 (9)
(十一)应急预案管理策略 (9)
一、安全组织策略
（一）设立指导和管理信息安全工作的信息安全工作管理委员会，领导单位的信息安全工作，负责重大安全事件的决策，组织、协调、指导计算机信息系统的安全开发和管理工作，监督、协调和规范本单位计算机信息系统的安全工作，对单位的信息安全建设工作提供有力的支持。

（二）信息安全工作管理委员会要保证安全活动的实施与安全策略一致，核准信息安全相关的管理制度，评估安全控制措施实施的充分性和协调性，促进信息安全教育、培训和人员安全意识的提高，有效、合理协调单位的信息安全建设的工作。

（三）岗位职责、分工和技能要求要明确，安全职责包括资产保护的责任、执行特定安全过程的责任以及授权级别，保证单位的安全责任能有效落实。

（四）保持与政府相关部门的适当联系（如市公安局等），并明确在什么情况下应该与哪些部门进行联系，确保在出现安全问题时，能及时得到政府相关部门的支持和帮助。

（五）保持与外部安全专家的适当联系（相关安全企业安全专家等），了解信息安全的最新知识和政策，获取关于新技术、产品、威胁或脆弱性的信息，尽早接受到关于攻击和脆弱性的警告、建议和补丁，保证单位
（六）单位的信息安全问题能得到专家的有效指导和建议。

二、人员安全策略
（一）与新入职工作人员签署劳动合同书，规范人员离岗过程，终止离岗人员访问权限，承诺离岗后的保密义务。

定期对工作人员进行安全技能和安全认知的考核和审查。

（二）工作人员应严格履行各自的安全角色和职责，主要包括保护资产免受未授权的访问、泄漏、修改、销毁或干扰，执行特定的安全过程或活动，报告
安全事件或其他风险。

安全角色和职责需要清晰的传达给所有工作人员，确保他们能清楚各自的安全责任。

（三）信息安全工作管理委员会需要承担管理职责，保证所有工作人员能按照安全方针、策略和程序进行日常工作。

管理职责包括使工作人员清晰了解各自的安全角色和安全职责、提高安全意识和安全技能等。

（四）定期进行安全知识培训，培训内容包括单位的安全方针、策略、程序、设施正确使用方法、安全意识等。

根据人员的安全角色和职责制定不同的培训计划，保证所有工作人员能具有识别信息安全问题和信息安全事件能力，并能按照各自的安全角色履行安全职责。

（五）对外部人员访问进行规范化管理，严格控制其访问范围，由专人全程陪同或监督其访问过程，并记录备案。

（六）制定正式的纪律处理过程，严肃处理安全违规人员，纪律处理要正确、公平，根据违规的性质、重要性和对业务的影响等因素区别对待。

三、系统建设策略
（一）设计合理的安全建设方案，对信息系统总体安全策略、安全技术框架、安全管理策略、详细实现内容等做出具体的规划和设计。

在新的信息系统或增强已有信息系统的业务需求陈述中，需要识别和明确对安全控制的相关需求。

规划新系统时，对新系统的用户量、未来的能力需求等进行分析，评估出所需的系统性能，避免新系统出现过载等潜在的瓶颈。

（二）在设计和实施应用系统或业务系统的过程中，建立控制措施，以检查系统运行的有效性和完整性，降低系统运行失败的风险。

（三）系统软件外包开发时，与软件开发单位签订协议，明确知识产权的归属、有关软件的配套技术培训和服务承诺、软件质量保证以及其他安全方面的具体要求。

软件开发完成之后，应当根据协议要求检测软件质量，提供软件设计相关文档和使用指南。

（四）新业务系统或升级版本在正式上线前，须根据验收要求和标准进行验收，证实全部验收准则完全被满足。

（五）严格限制对程序源代码和相关事项（包括设计、规范、证明设计和确认设计）的访问，防止带入非授权功能，避免对源代码非授权修改。

（六）系统验收完成后，需要根据协议有关要求，按照交付清单对设备、软件、文档进行交付，并对运维和操作人员进行必要的培训。

（七）指定专人负责管理系统定级、系统属性等材料，并到相应公安机关备案。

（八）指定或授权专人负责产品采购，制定管理制度，对采购过程和人员进行控制，对政府采购进行全程监督。

安全产品和密码产品的选购，要选择符合国家及相关部门规定的产品。

四、系统运维策略
(一)环境管理策略
1.单位信息系统机房位于 XXX。

2.工作人员应严格遵守机房安全管理规范，避免由于误操作对机房造成的物理破坏并减少恶意活动。

3.合理安置和保护设备，包括将设备安置到机房并尽量减少不必要的对机房的访问。

(二)资产管理策略
1.所有的资产要指定责任人，并对责任人赋予相应的职责，确保所有资产都可以核查。

2.根据资产的重要性、业务价值、依赖程度、责任人和所处位置，对所有资产进行分类、分级，编制资产的清单。

对资产清单妥善保管，并在资产变更时
及时更新清单，确保可以对资产进行有效的保护。

3.指定资产责任人，承担资产安全责任，保证资产得到有效保护。

4.对信息进行分类、标识，为每一类别和级别指定相应的使用、存储和处理措施，并在处理信息时指明保护的需求、优先级和期望程度，确保信息受到适当级别的保护。

(三)介质管理策略
1.应对移动硬盘、磁带、光盘、纸介质等数据存储介质进行有效的管理，规定介质的存放、使用、传输、维护、销毁等方面要求，防止非授权的使用和破坏。

对可移动存储介质的管理包括所有介质应存储在符合制造商说明的安全环境中，使用介质要进行授权、登记并追踪审计等。

2.根据介质所承载数据和软件的重要程度对介质进行分类、标识。

3.对技术文档的借阅和销毁等进行登记，确保技术文档得到合理的保管。

4.对不再需要的介质进行安全处置，降低介质敏感信息泄漏的风险。

(四)设备管理策略
1.按照设备管理要求，对设备生命周期的各个环节（包括：设备获取、设备发放、设备接收、设备入账、设备维护、设备转移和设备报废等）进行管理，形成操作记录。

2.在设备的生命周期内应对设备进行正确维护，保证设备的可用性和完整性。

按照设备维护要求定期进行维护，设备进行维护前需删除其中的敏感信息。

(五)监控管理和安全管理策略
1.在网络边界、安全域之间使用防火墙或VLAN进行逻辑隔离和访问控制，对网络进行充分的管理和控制，防止威胁的发生，实现业务系统和信息的安全。

2.对系统中的防火墙、路由器、交换机、主要通信线路、服务器和应用软
件等设备进行监控，收集监控对象的各类状态信息，例如运行状况、日志信息、安全报警和性能状况等，及时发现安全事件或安全变更需求。

3.组织相关人员定期对监测和报警记录进行分析、评审，发现可疑行为，形成分析报告。

4.记录日志的设施和日志信息应加以保护，防止被篡改和未授权访问。

5.记录系统管理员和系统操作员的操作日志，并定期评审日志信息。

系统管理员和系统操作员的日志应包括事件发生的时间，涉及的帐号和管理员或操作员，事件或故障的信息内容等信息。

6.记录故障事件，并采取措施进行处理。

定期评审故障日志和故障处理措施，确保故障已经被正确处理。

7.建立安全管理中心，对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理。

(六)系统安全管理策略
1.指定专人对系统进行管理，划分系统管理员角色，明确各个角色的权限、责任和风险，定期对运行日志和审计数据进行分析，及时发现异常行为；建立系统安全管理制度，对系统安全策略、安全配置、日志管理、漏洞扫描、升级与补丁、口令更新周期等方面做出规定；建立日常维护工作操作规程。

2.按照用户注册及注销的程序，对所有信息系统及服务的访问权利进行授予和注销。

3.管理性的/特殊访问帐户的用户必须有帐户管理说明书、文件，共有的管理性的/特殊访问帐户的口令在人员离职或发生变更时必须更改。

4.所有帐户都必须使用分配的用户名进行唯一性标识。

5.所有口令，包括初始口令，须依据下列规则建立和执行：须定期更改；须符合单位规定的最小长度；须是字母和数字字符的组合；不能是可以轻易联想到的帐号所有者的特性：用户名、绰号、亲属的姓名、生日等；不能用字典中的单词或首字母缩写；须保存历史口令，以防止口令的重复使用。

6.用户的帐号口令禁止泄露给任何人，禁止询问其他用户的帐户口令。

7.如果怀疑口令的安全性，应立即进行更改。

8.禁止通过自动登录的方式绕过口令登录程序。

9.严格控制对可能越过系统和应用程序控制的工具程序的使用，防止系统工具的滥用。

10.基于各个业务应用要求，严格限制用户对信息和应用系统功能的访问权限，防止对信息系统的未授权访问。

11.定期评估现有信息系统的技术脆弱性，并采取打补丁等控制措施来处理相关风险。

(七)恶意代码防范策略
1.在全网采取防病毒机制，实现对病毒、木马、恶意代码、移动代码的预防、检测和查杀。

2.对于从外部获得数据（光盘、磁盘、U盘等媒体，以及电子邮件等）必须经过病毒检查后，方可在系统内部使用。

3.定期检查信息系统内各种产品的恶意代码库升级情况，对主机防病毒产品上截获的危险病毒或恶意代码进行及时分析处理。

4.提高用户的防病毒意识，建立完善的恶意代码管理制度。

(八)变更管理策略
1.严格控制设施和系统的变更，制定变更批准程序，预防因设施、系统变更而导致的故障问题。

2.在引进新的系统和对已有系统进行变更时，须按照变更控制过程进行，确保信息系统面临的风险减到最小。

3.当操作系统发生变更后，对关键业务进行审查和测试，确保对业务操作或信息安全无负面影响。

(九)备份与恢复管理策略
1.识别需要定期备份的重要业务信息、系统数据及软件系统等。

2.制定详细的备份与恢复策略和操作规程，对备份信息的备份方式、备份频度、存储介质、备份与恢复程序、有效性检查方式等进行规范，定期对业务数据进行备份，确保业务数据在灾难或媒体故障后能及时进行恢复。

3.发现业务系统的数据有损坏或丢失，需要及时地进行数据恢复时，按照数据恢复管理规定的要求进行数据恢复操作。

(十)信息安全事件处置策略
1.制定信息安全事件的报告和处理程序，对信息系统安全事件等级进行划分，规定安全事件管理职责。

2.根据不同的安全事件制定不同的报告和响应处理程序，确定事件的报告流程、响应和处置的范围、程度，以及处理方法等。

3.在安全事件报告和响应处理过程中，分析和鉴定事件产生原因，收集证据，记录处理过程，总结经验教训，制定防止再次发生的补救措施，过程形成的所有文件和记录均应妥善保存。

(十一)应急预案管理策略
1.在统一的应急预案框架下制定不同安全事件的应急预案，应急预案包括启动应急预案的条件、应急处理流程、系统恢复流程、事后教育与培训等内容，明确各部门职责及相互协调机制，确保在最短时间内使安全事件得到妥善处理，将影响降低到最小。

2.从人力、设备、技术和财务等方面确保应急计划的执行有足够的资源保障。

3.定期组织应急预案培训和演练，对应急预案的培训至少每年举办一次。

4.根据实际情况定期审查、更新应急预案，对应急预案培训和演练、应急
预案更新等进行记录。