信息安全管理策略

XXXX公司信息安全管理策略制度编号：二0一五年六月 属性内容用户名称：文档主标题：文档副标题：文档编号：版本日期：制度版本作者：密级： r 文档变更历史版本修正日期修正人描述目 录第一章 总则4第二章 适用范围4第三章 术语定义4第四章 职责定义5第五章 管理要求8第一节信息安全管理体系8第二节风险管理策略8第三节组织安全管理策略9第四节人力资源安全管理策略11第五节信息资产管理策略14第六节访问控制管理策略16第七节密码管理策略21第八节物理和环境安全管理策略22 信息安全管理策略第一章 总则第一条 为明确XXXX公司（以下简称“XX”）的信息安全管理职责和管理策略，依据管理体系总纲和信息科技风险管理策略，特制定本办法。第二条 信息安全管理的主要目标是控制信息安全风险，确保XX信息的保密性、完整性和可用性。第二章 适用范围第三条 本策略适用于XX组织安全、人力资源安全、信息资产、访问控制、密码、物理和环境安全、操作安全、网络和通讯安全、系统获取开发和维护安全、供应商安全、信息安全事件、业务连续性中的信息安全、以及合规等方面的管理。第四条 本策略适用于XX各部门，以及与XX合作的商业伙伴、为XX提供服务的服务提供商及人员等。第三章 术语定义第五条 本办法涉及的术语包括：信息、信息安全、信息安全管理体系、风险、保密性、完整性、可用性、风险评估、风险处置、访问控制、信息安全事态、信息安全事件、业务连续性。第六条 本办法涉及到术语定义，参见术语表。第四章 职责定义第七条 XX负责本管理领域规章制度的设计、推广、监督和改进。第八条 本办法涉及的角色包括：信息安全保护领导小组（以下简称“领导小组”）、信息安全保护工作小组（以下简称“工作小组”）、安全管理员、安全员、信息资产责任人、全体人员（包括公司员工，和相关外部人员）。第九条 信息安全保护领导小组作为信息安全决策执行机构，主要职责包括：(一) 负责分配和落实信息安全方面的角色和职责；(二) 负责根据国家信息安全的有关法律、法规、制度、规范及XX信息安全管理策略，组织、制定、落实XX信息安全方面的各项规章制度、实施细则、安全目标及岗位安全责任；(三) 负责批准实施信息安全的相关具体流程和方法；(四) 负责审批信息安全目标的执行情况；(五) 负责审定XX风险接受准则，组织信息安全风险评估和处置的开展；(六) 负责决策信息安全风险是否要采取安全措施或增加安全措施；(七) 负责评估新系统或服务的安全性并监督上线实施；(八) 负责审批调查信息安全事件报告；(九) 负责确定信息安全方面的提议；(十) 负责推动XX信息安全的各项工作。第十条 信息安全保护工作小组是信息安全保护领导小组的下设机构，工作小组由安全管理员和各部门安全员组成，负责信息安全日常工作的具体执行，对领导小组负责，主要职责包括：(一) 负责领导小组指定日常事务的具体执行；(二) 负责根据信息安全的有关法律、法规、制度、规范及XX信息安全管理规范，组织、协调、落实XX的信息安全工作； (三) 负责落实执行信息安全相关的具体制度； (四) 负责提交信息系统和信息资产需要采取的安全措施或增加安全措施建议；(五) 负责根据领导小组的意见和建议及相关的流程，落实新系统或服务的安全保护措施并执行上线实施工作； (六) 负责调查信息安全事件，并向领导小组提交相关书面调查报告； (七) 负责抽查并监督安全措施的落实工作，及时汇总相关安全问题上报领导小组。第十一条 安全管理员作为工作小组的负责人，由信息安全保护领导小组任命和指导，直接对信息安全保护领导小组负责，主要职责包括：(一) 负责组织XX内部信息安全意识和信息安全技术培训；(二) 负责组织检查具体信息安全工作的执行情况，形成汇总分析并上报领导小组；(三) 负责上报并调查信息安全事件，收集汇总信息安全事件报告；(四) 负责收集汇总安全建设规划和改进意见。第十二条 安全员作为各部门具体信息安全日常工作的组织者和检查者，由信息安全保护领导小组任命和指导，其主要职责包括：(一) 负责本部门内的信息安全意识培训；(二) 负责本部门具体信息安全工作的检查，形成汇总分析并上报安全管理员；(三) 负责上报并调查本部门内信息安全事件，提出安全建设规划和改进意见等；第十三条 信息资产责任人作为信息资产的负责人，主要职责包括：(一) 对所承担的信息资产的信息安全负主要责任，负责该项信息资产的日常保护；(二) 负责识别所承担信息资产的信息安全风险。第十四条 全体人员作为信息安全管理工作的具体执行者，其主要职责包括：(一) 了解并执行信息安全方针，履行信息安全职责；(二) 协助识别信息资产，执行相关信息资产的信息安全要求；(三) 识别信息安全违规和信息安全事态，按要求及时上报并协助处理。第五章 管理要求第一节 信息安全管理体系第十五条 信息安全管理体系的适用范围为：(一) 管理范围：适用于XX的信息安全管理；(二) 组织范围：适用于XX所有部门。第十六条 信息安全管理体系策划、实施、检查和改进的相关要求，详见管理体系总纲。第十七条 应根据信息科技风险管理策略的相关要求，对信息安全管理的风险进行评估。第十八条 应根据信息安全管理体系制度和该体系制订依据标准的对应关系，编写适用性声明。第二节 风险管理策略第十九条 组织应定义并应用风险评估过程，以确定需要应对的风险和机会。(一) 应根据XX风险管理策略，制定风险管理制度，明确风险评估的过程和方法；(二) 实施风险评估时，应识别与信息保密性、完整性和可用性有关的风险；(三) 针对信息安全风险评估，应定义风险接受准则；(四) 风险评估的方法和要求，详见信息科技风险管理策略。第二十条 组织应定义并应用风险处置过程。(一) 应针对风险评估的结果，确定风险级别；(二) 应针对风险评估的结果，明确风险处置责任人，制定、审批并实施风险处置计划。第三节 组织安全管理策略第二十一条 所有的信息安全职责应予以定义和分配。(一) 应建立统一、有效的信息安全管理架构，确定信息安全角色和职责；(二) 应该落实信息安全管理职责至XX各部门，并建立适当的沟通与交流机制。第二十二条 应分割冲突的责任及职责范围，以降低未授权或无意识的修改或不当使用组织资产的机会。(一) 应结合XX现状及安全相互约束性考虑，明确互斥、不兼容的角色和职责；(二) 应制定角色和职责分离原则，并坚持具体的职责分离实施结果。第二十三条 应保持与政府相关部门的适当联系。(一) 应该建立XX与公安部门、人民银行、银监局（会）、国际金融业安全组织等机构之间的沟通与交流机制，建立并维护联系清单；(二) 应与当地执法机关、管理机关、信息服务商和电信运营商保持适当联系，确保在发生信息安全事件时能够得到及时响应及必要帮助。第二十四条 应保持与特定利益集团、其他专业安全论坛和专业协会的适当联系。(一) 应该建立XX与国内信息安全组织或专家之间的交流机制，建立并维护联系清单；(二) 应与外部其它组织间进行安全协作，监督、检查、指导内部信息安全保护工作；(三) 应积极参加组织间信息安全方面的技术交流。第二十五条 无论项目类型，都应处理项目管理中的信息安全问题。(一) 在项目实施过程中，应指定专人负责监督项目全生命周期中的信息安全风险；(二) 在项目实施过程中，应评估并处置项目中可能发生的各项风险；(三) 在项目实施过程中，如发生信息安全事件，应参照信息安全事件相关要求的处理。第二十六条 应采用策略和支持性安全措施以管理使用移动设备带来的风险。(一) 应制定使用个人移动设备的管理策略，明确使用个人移动设备的审批流程，保护XX信息安全；(二) 应明确使用移动设备时，需采用物理保护、访问控制、密码技术、备份和病毒防治等保护措施，确保XX信息不被泄露。第二十七条 应实施策略和支持性安全措施以保护在远程工作场地访问、处理或存储的信息。(一) 应进行网络控制，确保远程工作时，不能连接到生产环境；(二) 应明确移动设备的安全措施和操作标准；(三) 应采取合理的保护措施确保在公共场所使用移动设备办公时的信息安全；(四) 移动设备内存储的XX信息，应进行备份，并妥善保管备份信息。第四节 人力资源安全管理策略第二十八条 对所有任用候选者的背景验证核查应按照相关法律、法规、道德规范进行，并与业务要求、被访问信息的类别和所察觉的风险相适宜。(一) 在新员工及其他外部人员进入XX开展工作前，应当明确其安全职责、强调其安全责任，并进行背景调查；(二) 应通过对所有应聘者、合同方人员、和第三方人员进行必要筛选和限制。第二十九条 与员工和承包方人员的合同协议中应声明他们的和组织的信息安全职责。(一) 应与所有员工签署保密协议，作为雇用合同基本条款和条件的一部分，保密协议应明确规定员工的信息安全责任、保密要求及其违约时的法律责任；(二) 实习生、第三方人员在XX工作前，应签署保密协议，明确其信息安全责任、保密要求及其违约时的法律责任。第三十条 管理者应要求所有员工和承包方人员按照组织已建立的策略和规程对信息安全尽心尽力。(一) 应制定管理制度，明确员工的信息安全职责；(二) 在XX岗位职责的描述中，应阐明岗位对应的信息安全任务和职责；(三) 应明确员工有责任将影响信息安全的违规和事件通过适当的管理渠道尽快上报。第三十一条 组织的所有员工，适当时，包括承包方人员，应接受与其工作职能相关的适当的意识教育和培训，以及组织方针策略及规程的定期更新的信息。(一) 所有员工、实习生、以及涉及的第三方人员，都应该接受安全制度和流程方面的教育和培训；(二) 应该组织员工接受信息安全技能培训，确保其保护信息安全的能力；(三) 应该对信息安全意识和信息安全技能培训的效果进行检验。第三十二条 应有一个正式的、已传达的纪律处理过程，以对信息安全违规的员工采取措施。(一) 应制定和落实有关信息安全的奖惩在制度，制度中应明确员工被奖惩的适用情况、证据提供、奖惩手段、审批等具体要求；(二) 应对奖惩机制的执行效果进行评估，并加以改进。第三十三条 应明确任用终止或变更后仍持续有效的信息安全责任和义务，传达给员工或承包方人员并执行。(一) 员工离职或其合同到期时，应根据保密协议的相关要求，对其工作进行审查；(二) 应明确员工在信息安全方面的职责、以及该职责在聘用关系结束后的有效期；(三) 任用中止时，员工、合同方人员和第三方人员应归还其使用的设备并清除相关信息，并取消其对信息及信息资产的使用权；(四) 对于职责发生变化的员工、合同方人员和第三方人员，对其所拥有的信息资产访问权要做相应的变更，并立刻生效。第五节 信息资产管理策略第三十四条 应识别与信息和信息处理设施相关的资产，编制并维护这些资产的清单。(一) 应对所有信息资产进行识别、建立资产清单；(二) 资产清单应由相关部门进行维护，确保清单的准确性。第三十五条 清单中的资产应有责任人。(一) 明确定义信息资产责任人与信息资产管理人、使用人和安全员的职责，建立信息资产问责制；(二) 对资产清单中的每项资产，都应指定信息资产责任人。第三十六条 与信息及信息和信息处理设施有关的资产的可接受使用规则应被确定、形成文件并加以实施。(一) 应制定信息资产管理制度，明确信息和信息资产的管理要求；(二) 应根据信息和信息资产的生命周期，明确使用规则和安全要求。第三十七条 信息应按照法律要求、价值、关键性以及它对未授权泄露或修改的敏感性予以分级。(一) 应根据对信息的机密性、完整性、可用性进行级别划分，制定XX信息分级机制；(二) 各部门应负责对管辖范围内的信息进行识别及定级。第三十八条 应按照组织所采纳的信息分级机制，制定并实施一套合适的信息标记规程。(一) 应根据信息分级和信息资产的分类机制，制定信息资产的标识原则，并应用到所有信息资产中；(二) 应对信息资产标识的实施情况进行检查，并维护标识的结果。第三十九条 应按照组织所采纳的信息分级机制，制定并实施资产处理的规程。(一) 应根据所承载信息级别的不同，明确信息资产的分级机制；(二) 应根据信息资产的级别，分别制定其访问、存储和处理的管理要求。第四十条 所有的员工和外部方人员在终止任用、合同或协议时，应归还他们使用的所有组织资产。(一) 任用中止时，员工、合同方人员和第三方人员应归还其使用的设备并清除相关信息，并取消其对信息及信息资产的使用权；(二) 对于职责发生变化的员工、合同方人员和第三方人员，对其所拥有的信息资产访问权要做相应的变更。第四十一条 应按照组织采用的分级机制实施移动介质的管理规程。(一) 应根据所承载信息级别的不同，定义不同种类移动介质的可承载的信息；(二) 移动介质承载信息后，应根据其信息级别都应明确其访问、使用、移动和处置的管理要求。第四十二条 不再需要的介质，应使用正式的规程安全地处置。(一) 应制定管理制度，规范介质的清除和销毁过程，并明确过程中的安全要求；(二) 应根据所承载信息级别以及介质形态的不同，定义各类介质的清除和销毁的方式。第四十三条 包含信息的介质在运送时，应受到保护，以防止未授权的访问、不当使用或毁坏。(一) 应制定管理制度，明确介质在组织内和组织外的使用和管理要求；(二) 应明确介质在组织区域外使用时，需采取的保护措施，保护其免遭破坏、丢失和非法使用。第六节 访问控制管理策略第四十四条 应基于业务和信息安全要求建立访问控制策略，形成文件并进行评审。(一) 应制定访问控制管理制度，根据XX对信息和信息资产的管理要求，明确访问控制的授权原则；(二) 应定义访问控制相关角色和职责，明确访问控制授权过程要求；(三) 应将基于业务需要的访问控制规则向用户和服务提供者明确地加以说明。第四十五条 用户应仅能访问已获得专门授权的网络和网络服务。(一) 应对内部和外部网络服务的访问加以控制，以确保对XX内部网络与外部网络进行有效的隔离和控制；(二) 应对网络环境中用户和设备设置合适的身份鉴别机制，并根据控制规则和业务要求限制用户对网络和服务的访问。第四十六条 应实施正式的用户注册及注销规程，以分配访问权限。(一) 应制定用户账号管理制度，严格控制用户账户的注册和使用；(二) 应明确用户在同一信息系统中，使用唯一的身份标识；(三) 在对于业务或操作必要时，才允许使用组账号，组账号的使用需经过审批，并保留相应记录；(四) 人员离开XX后，应立即禁用或取消其用户账户；(五) 用户应该详细阅读有关访问权限的书面说明，并且签字以表明其接受访问条款。第四十七条 应实施正式的用户访问开通过程，以分配或撤销所有系统和服务的所有用户类型的访问权限。(一) 应制定访问授权制度，明确在多用户信息科技系统中，用户权限申请、更改、撤销的审批程序；(二) 用户应该对其拥有的权限进行确认，表明其了解并接受该权限；(三) 用户工作岗位变动后，应该立即修改其访问权限；第四十八条 应限制和控制特殊访问权限的分配及使用。(一) 信息系统的管理帐号或其它的特殊访问权限账号应被特别关注，并制定相应的授权原则；(二) 应记录并应维护特殊访问权限每个账户的授权过程；(三) 应明确特殊访问账号在不同职责中的分配，不允许任何用户够独自行使所有超级用户的所有超级权限。(四) 应制定特权账户分配原则，明确部分特殊账户权限在完成特定任务后应该被立即收回，确保特权被收回后，特权使用者不再拥有多余的特权。第四十九条 应通过正式的管理过程控制保密认证信息的分配。(一) 应明确要求用户签署一份声明，以保证个人秘密鉴别信息的保密性和组信息仅在该组成员范围内使用；(二) 若需要用户维护自己的秘密鉴别信息，应在初始时提供给他们一个安全的临时秘密鉴别信息，并强制其在首次使用时改变。第五十条 资产责任人应定期复查用户的访问权限。(一) 应对用户获得的账户和权限进行记录，并由相应资产责任人组织对账户和权限审计；(二) 资产责任人对其负责信息资产的用户访问权限授权负责。第五十一条 所有员工、外部用户对信息和信息处理设施的访问权限应在任用、合同或协议终止时予以移除，或在变更时予以调整。(一) 人员任用终止时，其可访问的信息资产访问权限应被撤销或暂停；(二) 人员任用的变更时，其可访问的信息资产访问权限应被调整。第五十二条 应要求用户在使用保密认证信息时，遵循组织的实践惯例。(一) 应明确管理要求，确保用户的保密秘密鉴别信息不泄露给其他人；(二) 应采取相关措施，避免保留秘密鉴别信息的记录，除非可以对其进行安全地存储及存储方法得到批准。第五十三条 应依照访问控制策略限制对信息和应用系统功能的访问。(一) 应根据XX业务和信息系统现状，定义访问授权原则；(二) 应依据访问授权原则，明确对信息和应用系统的具体访问控制措施；(三) 应对信息和应用系统相关的主机、网络和信息系统的访问进行限制，仅在开通和授权方可开通；(四) 所有信息和信息资产只能由被授权的业务及人员使用，所有设备的物理访问应当局限于得到授权的个人；(五) 所有最高权限都应该单独控制，使用最高权限时必须进行审批，并在使用后进行复核。第五十四条 在访问控制策略要求下，访问系统和应用应通过安全登录规程加以控制。(一) 应明确管理要求，规定用户访问时，不应获得任何帮助消息，以免被非法用户利用；(二) 应明确只有在用户输入所有登录数据后，方可验证登录信息；(三) 应限制用户不成功登录次数，以及用户登入系统的时限。第五十五条 口令管理系统应是交互式的，并应确保优质的口令。(一) 应制定管理要求，明确采用交互式口令；(二) 应对口令的长度、复杂度、有效期等进行规范，确保使用优质口令。第五十六条 对于可能超越系统和应用控制措施的实用工具软件的使用应加以限制并严格控制。(一) 应制定管理要求，明确可在系统上运行的工具软件清单，并采取最小化安装原则，防止非授权使用；(二) 使用可能超越系统和应用控制措施的工具软件时，应保留其访问授权记录，并采取双人操作的方式。第五十七条 应限制对程序源代码的访问。(一) 应建立统一的代码管理机制，实现对应用系统的代码、版本进行安全有效的管理；(二) 应用系统代码库应采用软件配置管理系统进行管理，通过管理措施，确保目标代码与源代码保持一致；(三) 应制定管理制度，对代码库的访问进行严格的访问控制，代码库的变更遵循严格的控制流程。第七节 密码管理策略第五十八条 应制定和实施保护信息的密码控制的使用策略。(一) 应组织相应的专家或机构评审并确定XX使用密码技术；(二) 应制定管理制度，并根据不同级别信息和访问控制的要求，明确密码的分类及各类密码的管理要求。第五十九条 应制定和实施贯穿整个密钥生命周期的密钥使用、保护和生存期的策略。(一) 应制定密钥管理制度，明确密钥生产、分发、存储、恢复、更新和销毁全生命周期的管理要求；(二) 生产上使用的密钥严禁在开发或测试环境上使用，禁止将生产数据提供给第三方；(三) 应制定针对密钥管理活动的审计机制。第八节 物理和环境安全管理策略第六十条 应明确安全边界，以保护包含敏感或关键信息和信息处理设施的区域。(一) 应依据是信息资产的安全等级、设备对场地环境的要求、易管理性及物理空间分布等，划分物理安全区，确保所有的设备及介质均处在物理安全区的保护之下；(二) 物理安全区应有明确的标志，并明确不同物理安全区的保护措施；(三) 生产环境、测试环境、开发环境相互之间应定义明确的物理安全边界。第六十一条 安全区域应由适合的入口控制所保护，以确保只有授权的人员才允许访问。(一) 安全区应该配备相应的监控系统，并在入口处明显标示出该地点为安全控制地带；(二) 对每个安全区建立允许进出该安全区的内部人员清单，并及时维护该清单；(三) 对每个安全区建立外部人员进入该安全区的审批机制。并通过必要的控制措施，对进出安全区人员进行身份认证；(四) 所有进出安全区的人员都要有进出记录，记录保留以备查；(五) 货物进入重要的物理安全区前，必须对其进行安全检查。第六十二条 应为办公室、房间和设施设计并实施物理安全措施。(一) 关键设施应尽可能避免安置在公众可访问的场地；(二) 应尽量避免保密信息或活动对外部可视或可见。第六十三条 为防止自然灾难、恶意攻击和安全事故，应设计和应用物理保护措施。(一) 物理安全区应依据国家相关的标准规范，选择合适的场地，并有完备的配电、照明、温湿度、防水、防火、防雷及防盗等环境条件；(二) 应当对安放各安全区的建筑和环境安全进行检查和测试；(三) 数据中心机房设施应符合国家B级（含）以上标准，XX应严格按照国家相关部门条例、规范、制度贯彻执行；(四) 应在各安全区的合适位置安装防水、防火设备；(五) 应当在数据中心及机房中的合适位置以整齐的间距安装烟、热探测器，用以在发生火灾时发出报警。第六十四条 应设计和应用安全区域工作规程。(一) 应制定有关物理安全区工作守则，规范工作人员的安全操作行为，加强已采取物理保护措施的安全区的安全；(二) 应严格控制物理安全区的进出，以及第三方人员在安全区内的活动。第六十五条 应对出入口（例如交货和装载区域和未授权人员可进入的其他位置）加以控制，如果可能，应与信息处理设施隔离，以避免未授权访问。(一) 应指定特定物理安全区作为交货和装卸区域，外部人员访问该区域时，需进行身份认证并记录；(二) 应尽量选择远离信息系统的区域作为交货和装卸区域。第六十六条 应安置或保护设备，以减少由环境威胁和危险所造成的各种风险以及未授权访问的机会。(一) 所有设备必须经过相关职能部门的授权才能使用，并详细记录每次使用的授权情况；(二) 与信息系统相关的设备，应放置在指定的物理安全区，并只能由被授权的人员访问；第六十七条 应保护设备使其免于由支持性设施的失效而引起的电源故障和其他中断。(一) 应为数据中心提供至少两路独立连接主电源的供电线路，以防止单条供电线路发生故障时的断电；(二) 应为数据中心及机房提供不间断电源，从而在短时间的断电或电压突降发生时为其提供不间断的供电；(三) 应为数据中心及机房准备后备发电设备，以防止供电中断造成的信息系统不可用。第六十八条 应保证传输数据或支持信息服务的电源布缆和通信布缆免受窃听、干扰或损坏。(一) 设计物理安全区时，应考虑布缆的需要；(二) 应制定布缆的相应要求，防止线路被窃