网络安全体系建设方案(2018)

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

网络安全体系建设方案(2018)

编制:

审核:

批准:

2018-xx-xx

目录

1 安全体系发布令 (2)

2 安全体系设计 (3)

总体策略 (4)

安全方针 (4)

安全目标 (4)

总体策略 (4)

实施原则 (4)

安全管理体系 (5)

组织机构 (5)

人员安全 (5)

制度流程 (6)

安全技术体系 (6)

物理安全 (6)

网络安全 (8)

主机安全 (11)

终端安全 (14)

应用安全 (15)

数据安全 (18)

安全运行体系 (19)

系统建设 (19)

系统运维 (23)

1 安全体系发布令

根据《网络安全法》《信息安全等级保护管理办法》的相关规范及指导要求,参照GB/T22080-2008idtISO27001:2005《信息技术-安全技术-信息安全管理体系要求》,为进一步加强公司运营系统及办公系统的安全运行及防护,避免公司核心业务系统及日常办公系统遭受到病毒、木马、黑客攻击等网络安全威胁,防止因网络安全事件(系统中断、数据丢失、敏感信息泄密)导致公司和客户的损失,制定本网络安全体系。

本网络安全体系是公司的法规性文件,是指导公司各部门建立并实施信息安全管理、技术、运行体系的纲领和行动准则,用于贯彻公司的网络安全管理方针、目标,实现网络安全体系有效运行、持续改进,体现公司对社会的承诺,现正式批准发布,自 2018年 XX月 XX 日起实施。

全体员工必须严格按照本网络安全体系的要求,自觉遵循信息安全管理方针,贯彻实施本安全体系的各项要求,努力实现公司信息安全管理方针和目标。

总经理:

批准日期:2018-xx-xx

v1.0 可编辑可修改

2 安全体系设计

公司整体安全体系包括安全方针、目标及策略,分为信息安全管理、技术、运行三大体系,通过安全工作管理、统一技术管理、安全运维管理三部分管理工作,实施具体的系统管理、安全管理及审计管理,来达到对计算环境、区域边界、网络通信的安全保障。

总体策略

安全方针

强化意识、规范行为、数据保密、信息完整。

安全目标

信息网络的硬件、软件及其系统中的数据受到保护,电子文件能够永久保存而不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。

总体策略

公司运营环境及运营系统需满足国家行业的规范要求,并实施三级等级保护及风险管理;

公司办公环境及办公系统满足通用信息化系统的运行要求,并实施二级等级保护;

公司自主(或外包)研发的网络安全软硬件产品必须符合相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可对外销售。

实施原则

谁主管谁负责、分级保护、技术与管理并重、全员参与、持续改

进。

安全管理体系

安全管理体系主要涉及组织机构、人员安全、制度标准三个方面的安全需求和控制措施。

组织机构

分别建立安全管理机构和安全管理岗位的职责文件,对安全管理机构和网络安全负责人的职责进行明确,确定网络安全负责人,落实网络安全保护责任;建立信息发布、变更、审批等流程和制度类文件,增强制度的有效性;建立安全审核和检查的相关制度及报告方式。

目前公司设立了安全管理机构委员会,在岗位、人员、授权、沟通、检查各个环节进行决策、管理和监督,委员会由公司副总经理领导,成员包括各部门分管总监。

人员安全

对人员的录用、离岗、考核、培训、安全意识教育等方面应通过制度和操作程序进行明确,并对违反信息安全要求的相关人员进行惩罚。

根据可信雇员管理策略对所有人员进行安全背景审查、可信度鉴别和聘用,并签署安全保密协议;对人员离职需要有严格的管理程序,及时取消相应权限、清理物品并完成相关工作交接;将安全管理规范执行情况纳入日常绩效考核;定期对全体人员进行网络安全教育、技

术培训和技能考核。

制度流程

按照公司文件管理的有关规定制定、审定、发布、和修订内部安全管理制度和操作规程,管理制度在发布前应经过公司安全委员会审批通过,对制度的评审工作应列入年度信息化安全工作会议。

应建立网络信息安全投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报。

同时为保证制度的严密性和持续性,各制度流程将会根据系统运营实际情况定期或不定期进行修订,修订的审批、发布流程与新增完全相同,将报安全委员会审批通过后实施。

安全技术体系

安全技术体系主要包括:物理安全、网络安全、主机安全、终端安全、应用安全、数据安全六个方面的安全需求和控制措施。

物理安全

1.电磁屏蔽

应采用接地方式防止外界电磁干扰和设备寄生耦合干扰;

电源线和通信线缆应隔离铺设,避免互相干扰;

应对关键设备和磁介质实施电磁屏蔽;

2.物理分层

机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;

机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁;

机房出入口应安排专人值守,控制、鉴别和记录进入的人员;

需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围;

应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域;

3.门禁控制

重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员;

对于核心区的访问需要“刷卡+指纹”才能进入;

4.入侵报警

应利用光、电等技术设置机房防盗报警、监控报警系统;

机房内部应部署物理侵入报警系统,在通道处安装红外及微波移动监测感应器,应将入侵报警接入门禁系统,以便实现自动关门设防、开门撤防,若机房有非法物理侵入,将触发入侵报警,通知安全监控室值班人员;

5.视频监控

机房应部署视频监控系统,监控机房各个区域,并实时录像保存,对重要区域需采用两个摄像头监控拍摄,防止单点故障,重要区域的录像要求保存一年以上;

6.电力冗余

应在机房供电线路上配置稳压器和过电压防护设备;

相关文档
最新文档