信息安全管理体系
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全管理体系方针和安全策略
中国科学院沈阳应用生态研究所
前言
为了保障中国科学院沈阳应用生态研究所(以下简称沈阳生态所)信息系统的安全,促进信息化建设的顺利进行,保障信息化的应用和发展,根据国家、行业及主管部分相关规定制定本规范。
本制度由信息中心提出。
本制度由信息中心归口。
本制度起草部门:信息中心
本制度主要起草人:岳倩
本制度起草日期:2016/01/05
信息安全管理体系方针和安全策略
1范围
本制度规定了沈阳生态所信息安全管理体系的总体方针及安全策略。
本制度适用于沈阳生态所开展的信息安全管理工作。
2术语和定义
2.1信息系统
指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
2.2信息安全
为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露。
3总体方针
机构健全,职责明确,科学预防,全员参与,安全运行。
4安全策略
4.1总体策略
全面落实信息安全等级保护基本制度,坚持“同步规划、同步建设、同步运行”的原则;技术上,做到分区分域,内外兼防,冗余备份,成熟可靠,动态预警,整体防护;管理上,做到技术与管理同步,制度与教育并行,检查与考核结合;运维上,做到关键环节可控可管,运维操作有序留痕,突发事件处置及时。
4.2物理安全策略
●目标:采取适当措施,从运行环境、保障设施等方面保障信息系统
安全运行。
●原则:分区分域,内外兼防。
4.3网络安全策略
●目标:保证网络设备的业务处理能力具备冗余空间,满足业务高峰
期需要。
●原则:控制对内、外部网络服务的访问,保护网络化服务的安全性
与可靠性,防止重要信息泄漏。
4.4主机安全策略
●目标:严格管理用户权限和口令,防止对信息系统的非授权访问。
●原则:做到身份鉴别,访问控制、安全审计、剩余信息保护、入侵
防范、恶意代码防范,资源控制。
4.5数据安全策略
●目标:对用户的身份合法性进行核实,防止用户的非授权访问。
●原则:保证数据库的使用符合知识产权相关法规。
4.6应用安全策略
●目标:实施业务连续性计划,保证沈阳生态所主要业务流程不受重
大故障和灾难的影响。
●原则:对重要信息进行备份保护,确保信息的可用性,关键环节可
控可管。
4.7管理安全策略
●目标:在软件系统开发、运维和监控方面做好安全控制工作,应采
取有效的信息安全事件管理机制,明确所有员工的信息安全责任,
建立对已发生或可疑的信息安全事件的报告及响应流程,并对违反
信息安全策略的人员进行惩罚,建立有效的审核机制,加强对信息
安全各项工作的监督与审核。
●原则:从政策、制度、规范、流程及记录等方面规范信息系统,做
到有的放矢。