三级等保,安全管理制度,信息安全管理策略.doc

部分内容来源于网络 有侵权请联系删除 主办部门 系统运维部 执 笔 人 审 核 人 XXXXX 信息安全管理策略V0 1 XXX XXX XX 01001 2014年3月17日 部分内容来源于网络 有侵权请联系删除 本文件中出现的任何文字叙述 文档格式 插图 照片 方法 过程等内容 除另有特别注明 版权均属XXXXX所有 受 到有关产权及版权法保护 任何个人 机构未经XXXXX的书面授 权许可 不得以任何方式复制或引用本文件的任何片断 文件版本信息 版本日期拟稿和修改说明 V0 12014 3 17 拟稿 文件版本信息说明 记录本文件提交时当前有效的版本控制信息 当前版本文 件有效期将在新版本文档生效时自动结束 文件版本小于1 0 时 表示该版本文件为草案 仅可作为参照资料之目的 阅送范围 内部发送部门 综合部 系统运维部 部分内容来源于网络 有侵权请联系删除 目目 录录 第一章第一章 总则总则 1 1 第二章第二章 信息安全方针信息安全方针 1 1 第三章第三章 信息安全策略信息安全策略 2 2 第四章第四章 附则附则 1313 部分内容来源于网络 有侵权请联系删除 第一章 总则 第一条 为规范XXXXX信息安全系统 确保业务系统安全 稳定和可靠的 运行 提升服务质量 不断推动信息安全工作的健康发展 根 据 中华人民共和国计算机信息系统安全保护条例 信息 安全技术信息系统安全等级保护基本要求 GB T22239 2008 金融行业信息系统信息安全等级保护实施指引 J R T 0071 2012 金融行业信息系统信息安全等级保护测评指南 J R T 0072 2012 并结合XXXXX实际情况 特制定本策略 第二条 本策略为XXXXX信息安全管理的纲领性文件 明确提出XXXXX在 信息安全管理方面的工作要求 指导信息安全管理工作 为信 息安全管理制度文件提供指引 其它信息安全相关文件在制定 时不得违背本策略中的规定 第三条 网络与信息安全工作领导小组负责制定信息安全管理策略 第二章 信息安全方针 第四条 XXXXX的信息安全方针为 安全第一 综合防范 预防为主 持 续改进 部分内容来源于网络 有侵权请联系删除 一 安全第一 信息安全为业务的可靠开展提供基础保 障 把信息安全作为信息系统建设和业务经营的首要任务 二 综合防范 管理措施和技术措施并重 建立有效的 识别和预防信息安全风险机制 合理选择安全控制方式 使信 息安全风险的发生概率降低到可接受水平 三 预防为主 依据国家 行业监管机构相关规定和信 息安全管理最佳实践 根据信息资产的重要性等级 对重要信 息资产采取有效措施消除可能的隐患 降低信息安全事件的发 生概率 四 持续改进 建立全面覆盖信息安全各个管理域的 可度量的 可管理的管理机制 并在此基础上建立持续改进的 体系框架 不断自我完善 为业务的平稳运行提供可靠的安全 保障 第五条 XXXXX信息安全管理的总体目标包括 一 信息安全管理体系建设和运行符合国家政府机关 监管机构和主管部门的相关强制性规定 规则及适用的相关惯 例 准则和协议 二 确保信息系统能够持续 可靠 正常地运行 为用 户提供及时 稳定和高质量的信息技术服务并不断改进 三 保护信息系统及数据的机密性 完整性和可用性 保证其不因偶然或者恶意侵犯而遭受破坏 更改及泄露 第三章 信息安全策略 部分内容来源于网络 有侵权请联系删除 第六条 安全管理制度 一 应形成由管理规定 管理规范 操作流程等构成的 全面的信息安全管理制度体系 二 安全管理制度应具有统一的格式 并进行版本控制 通过正式有效的方式发布 三 应定期对安全管理制度进行检查和审定 对存在不 足或需要改进的安全管理制度进行修订 第七条 安全管理机构 一 信息安全管理工作实行统一领导 分级管理 建立 网络与信息安全工作领导小组 指导信息安全管理工作 决策 信息安全重大事宜 二 设立系统安全管理员 网络安全管理员 安全专员 等岗位 并配备专职人员 实行A B 岗制度 三 应加强内部之间 以及外部监管机构 公安机关 供应商和安全组织的合作与沟通 第八条 员工信息安全管理 一 公司应制定安全用工原则 尤其是信息系统相关人 员 敏感信息处理人员的录用 考核 转岗 离职等环节应有 具体的安全要求 二 信息技术总部应定期组织针对员工的信息安全培训 以增强安全意识 提高安全技能 明确安全职责 应对安全 教育和培训的情况和结果进行记录并归档保存 部分内容来源于网络 有侵权请联系删除 三 在岗位职责的描述中 应该阐明员工安全责任 四 公司制定和落实各种有关信息系统安全的奖惩条例 处罚和奖励必须分明 第九条 第三方信息安全管理 一 根据第三方所要访问的信息资产的等级及访问方式 来进行风险评估 确定其安全风险 二 根据风险评估的结果 采取适当的控制方法对第三 方访问进行安全控制 保护公司信息资产的安全 三 第三方对敏感的信息资产进行访问时 应签订保密 协议或正式的合同 在协议及合同中应该明确第三方的安全责 任和必须遵守的安全要求 四 明确外包系统 软件开发的安全要求 五 必须确保与第三方信息交换中各环节的安全 第十条 信息系统建设安全管理 一 在项目立项前 必须明确信息系统的安全等级 安 全目标及所有的安全需求并文档化 安全需求的确定过程必须 是成熟的 有效的 二 必须通过对安全需求进行详细的分析 制定安全设 计方案 明确安全控制措施及所采取的安全技术 三 根据设计方案的要求 对使用的软硬件产品进行选 型和测试 最终确定具体采用的产品 部分内容来源于网络 有侵权请联系删除 四 根据设计方案和选定的产品编制实施方案 在实施 方案中必须考虑到实施过程中的风险 必须包含详细的项目实 施计划 实施步骤 测试方案和风险应对措施 五 应制定软件开发管理制度和代码编写安全规范 明 确说明开发过程的控制方法和人员行为准则 六 必须对实施过程进行安全管理 明确实施过程中各 种活动的程序及职责 并形成文件 七 应根据信息系统等级 在上线前完成信息系统安全 防护措施的实施 包括基线设置等 同时还应建立必要的机制 保证能够对投产后的信息系统进行更新升级 八 必须根据验收流程 对系统进行必要的测试和评定 九 系统下线必须按照严格的审批流程进行 确保系统 下线不对XXXXX的安全生产和业务持续性产生影响 并同步进行 系统数据的清除 第十一条 机房安全管理 一 机房建设必须符合国家标准 电子计算机机房设计 规范 GB50174 2008 和 电子计算机机房施工及验收规范 GB50462 2008 部分内容来源于网络 有侵权请联系删除 二 依据信息资产的安全等级 设备对场地环境的要求 易管理性等 合理划分机房区域 针对不同区域实施不同的 安全保护措施 确保所有设备及介质的安全 三 由专人负责机房环境的日常维护 监控 报警和故 障处理工作 根据公司实际情况 建立机房值班制度 四 制定机房以及机房内不同区域的出入管理规定 明 确门禁管理 设备出入 人员出入 包括第三方 出入审批 进出日志记录保留和审核等工作的管理要求和流程 五 制定有关机房工作守则 规范人员在机房内的行为 六 对于机房内的文档资料应固定存放在带锁或密码的 专业文件柜中 由专人妥善保管并设置相应清单 第十二条 信息资产管理 一 应对公司信息资产进行登记 建立资产清单 并指 定其安全责任人 该责任人需负责贯彻及监督相关安全策略 安全规范 安全技术标准的实施 二 根据机密性 完整性和可用性要求对信息资产进行 分类分级 确定不同级别信息资产在其生命周期内的保护要求 三 必须明确信息资产访问控制原则 并建立信息资产 访问的授权机制 第十三条 介质管理 部分内容来源于网络 有侵权请联系删除 一 公司对介质的存放环境 标识 使用 维护 运输 交接和销毁等方面做出规定 有介质的归档和访问记录 并 对存档介质的目录清单定期盘点 二 存储介质的管理同信息资产管理相一致 根据所承 载数据和软件的重要程度对介质进行分类分级管理 三 针对存放数据的存储介质应达到国家标准要求 进 行标识和定期抽检 四 需要长期存放的存储介质 应该在介质有效期内进 行转存 明确数据转存的程序与职责 五 应设立同城异地存放备份数据的场所 异地存放备 份数据的场所应该具备防盗 防水 防火设施和一定的抗震能 力 第十四条 监控管理 一 应对通信线路 网络设备 主机和应用软件的运行 状况 网络流量 用户行为等进行监测和报警 二 应定期对监测和报警记录进行分析 评审 发现可 疑行为 形成分析报告 发现重大隐患和运行事故应及时协调 解决 并报上安全相关部门 三 应建立安全管理中心 对设备状态 恶意代码 补 丁升级 安全审计等安全相关事项进行集中管理 第十五条 网络安全管理 部分内容来源于网络 有侵权请联系删除 一 指定专人对网络进行管理 负责日常的网络维护和 报警信息处理工作 二 制定网络访问控制机制 网络访问控制策略以 除 明确允许执行情况外必须禁止 为原则 三 当远程访问信息系统时 应采取额外的安全管控措 施 以防止设备被窃 信息未授权泄露 远程非授权访问等风 险 四 定期对网络系统进行漏洞扫描 对于发现的漏洞 在经过风险评估 验证测试和充分准备后进行修补或升级 五 重要网络设备开启日志和审计功能 六 网络建设中应做到以下几点 1 应遵循高可靠性 高安全性 高性能 可扩展性 可管 理性 标准化等原则 2 建立网络容量规划机制 充分考虑未来新业务需求和公 司当前的系统服务能力及未来技术发展的趋势 3 应对局域网 广域网 外部网安全通信连接可靠 采取 必要的技术手段 确保网络安全 第十六条 系统安全管理 一 日志安全管理应指定专人负责 具体负责日志的采 集 保存 备份和失效处理等工作 在条件允许的情况下 可 采用技术手段实现 部分内容来源于网络 有侵权请联系删除 二 日志记录以保障审计及追查的有效性为原则 具体 情况根据系统及应用的实际情况而定 日志记录作为作业计划 的一部分 必须严格定义日志记录的广度和深度 确保日志的 完整性 并满足审计工作的需要 管理员和操作员的活动应记 入日志 并确保无法被篡改 三 重要日志必须安全地存储在介质中 并定期备份和 检查 第十七条 恶意代码防范管理 一 专人负责计算机病毒防范工作的组织与实施 二 建立计算机病毒预警机制 严格执行病毒检测及报 告程序 三 指定专人负责跟踪厂商发布的漏洞补丁情况 定期 对服务器 网络 应用软件进行漏洞扫描 四 对于确有必要升级的漏洞补丁 在安装前必须进行 充分的验证测试和风险评估 漏洞补丁的安装应参考变更管理 的要求 进行实施方案和回退方案的审批 五 如果无法及时完成漏洞补丁加载 应进行原因分析 并采取一定的安全防护措施 必要时进行回退 六 根据国家信息系统等级保护要求 对业务系统设计 侵和攻击防范的策略以及技术实施方案 在信息系统中实现入 侵和攻击防范 部分内容来源于网络 有侵权请联系删除 七 根据日常安全监控 风险评估 信息安全检查和信 息安全审计的结果 调整入侵和攻击防范策略或采用新的 成 熟的技术产品 八 定期对重要的信息系统进行代码审计 渗透测试等 工作 以及时掌握信息系统安全状况 防范入侵和攻击 第十八条 密码管理 一 采取额外技术措施加强密码安全时 密码产品应符 合国家密码管理规定的密码技术和产品 第十九条 变更管理 一 必须对信息系统的所有操作建立有效的管理和监控 机制 确定相关人员及部门职责 二 根据信息系统变更所涉及的信息资产的安全等级 对信息系统变更进行分级 针对不同等级的信息系统变更以文 档的形式明确相应的审批管理程序 三 在系统变更审批前 变更申请部门提交申请报告 变更管理员要提交系统变更方案 明确变更存在的风险及对系 统的影响 四 实施变更前 应该对变更内容进行严格测试 五 严格遵照实施方案中所规定的流程实施变更 变更 实施过程应记录并妥善保存 第二十条 备份和恢复管理 一 数据备份工作应指定专人负责 部分内容来源于网络 有侵权请联系删除 二 根据系统的重要程度 制定相应的备份策略 三 建立数据备份审核程序 定期进行备份数据的检查 工作 确保备份数据的完整性和有效性 四 对关键的系统和数据必须进行异地备份 对于在异 地进行备份的系统和数据的管理 要与本地的系统和数据管理 保持一致 五 备份数据必须由专人负责保管 数据不得泄漏 保 密数据不得以明码形式存储和传输 六 明确生产数据恢复的原则和审批程序 七 制定数据备份恢复方案 八 重要信息系统的恢复性测试在不影响生产环境运行 的情况下至少每年进行一次 根据恢复测试结果进行数据恢复 过程的调整 第二十一条 安全事件管理 一 信息安全相关事项由网络与信息安全工作领导小组 办公室集中管理 二 制定包括信息系统运行状况检测 异常处理 汇报 等的安全监控工作制度 指定专人负责安全监控 三 网络与信息安全工作领导小组办公室对安全监控的 结果进行定期检查 以保证安全监控结果的有效性和完整性 确保安全监控结果可作为其他统计和分析工作的数据来源 部分内容来源于网络 有侵权请联系删除 四 安全事件处理的原则是 积极预防 及时发现 快 速响应 确保恢复 五 网络与信息安全工作领导小组办公室建立详细的安 全事件响应机制 明确安全事件的发现 分析 处理 总结和 奖惩阶段的相关责任 最大限度地减少安全事件造成的损害 六 对安全事件做好记录和存档工作 记录内容包括事 件的原因 处理过程 处理结果 建议改进的安全对策 第二十二条 应急预案 一 分析业务中断可能造成的后果 以作为制定应急预 案的依据 二 制定应急预案并文档化 确定应急预案的总体策略 确保重大故障时重要系统和业务的及时恢复 四 定期测试应急预案 确保计划的有效性 五 应急预案应定期检查 及时更新维护 以确保