总结iso9001信息安全体系

iso9001信息安全体系

整理表

姓名:

职业工种:

申请级别:

受理机构:

填报日期:

A4打印/ 修订/ 内容可编辑

信息安全管理体系方针和安全策略

中国科学院沈阳应用生态研究所

前言

为了保障中国科学院沈阳应用生态研究所（以下简称沈阳生态所）信息系统的安全，促进信息化建设的顺利进行，保障信息化的应用和发展，根据国家、行业及主管部分相关规定制定本规范。

本制度由信息中心提出。

本制度由信息中心归口。

本制度起草部门：信息中心

本制度主要起草人：岳倩

本制度起草日期：2016/01/05

信息安全管理体系方针和安全策略

1.范围

本制度规定了沈阳生态所信息安全管理体系的总体方针及安全策略。

本制度适用于沈阳生态所开展的信息安全管理工作。

2.术语和定义

2.1信息系统

指由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

2.2信息安全

为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露。

3.总体方针

机构健全，职责明确，科学预防，全员参与，安全运行。

4.安全策略

4.1总体策略

全面落实信息安全等级保护基本制度，坚持“同步规划、同步建设、同步运行”的原则；技术上，做到分区分域，内外兼防，冗余备份，成熟可靠，动态预警，整体防护；管理上，做到技术与管理同步，制度与教育并行，检查与考核结合；运维上，做到关键环节可控可管，运维操作有序留痕，突发事件处置及时。

4.2物理安全策略

1.目标：采取适当措施，从运行环境、保障设施等方面保障信息系统安全运行。

2.原则：分区分域，内外兼防。

4.3网络安全策略

3.目标：保证网络设备的业务处理能力具备冗余空间，满足业务高峰期需要。

第1页共5页

4.原则：控制对内、外部网络服务的访问，保护网络化服务的安全性与可靠性，

防止重要信息泄漏。

4.4主机安全策略

5.目标：严格管理用户权限和口令，防止对信息系统的非授权访问。

6.原则：做到身份鉴别，访问控制、安全审计、剩余信息保护、入侵防范、恶

意代码防范，资源控制。

4.5数据安全策略

7.目标：对用户的身份合法性进行核实，防止用户的非授权访问。

8.原则：保证数据库的使用符合知识产权相关法规。

4.6应用安全策略

9.目标：实施业务连续性计划，保证沈阳生态所主要业务流程不受重大故障和

灾难的影响。

10.原则：对重要信息进行备份保护，确保信息的可用性，关键环节可控可管。

4.7管理安全策略

11.目标：在软件系统开发、运维和监控方面做好安全控制工作，应采取有效的

信息安全事件管理机制，明确所有员工的信息安全责任，建立对已发生或可疑的信息安全事件的报告及响应流程，并对违反信息安全策略的人员进行惩罚，建立有效的审核机制，加强对信息安全各项工作的监督与审核。

12.原则：从政策、制度、规范、流程及记录等方面规范信息系统，做到有的放

矢。

整理丨尼克

本文档信息来自于网络，如您发现内容不准确或不完善，欢迎您联系我修正；如您发现内容涉嫌侵权，请与我们联系，我们将按照相关法律规定及时处理。

第2页共5页