三级等保,安全管理制度,信息安全管理策略

1、主办部门：系统运维部执 笔 人：审 核 人：XXXXX信息安全管理策略 V0.1XXX-XXX-XX-010012014 年 3 月 17 日 本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属XXXXX所有，受到有关产权及版权法保护。 任何个人、 机构未经 XXXXX的书面授 权许可，不得以任何方式复制或引用本文件的任何片断。 文件版本信息版本日期拟稿和修改说明V0.12014.3.17拟稿文件版本信息说明 记录本文件提交时当前有效的版本控制信息， 当前版本文件 有效期将在新版本文档生效时自动结束。 文件版本小于 1.0 时， 表示该版本文件为草案，

2、仅可作为参照资料之目的。阅送范围内部发送部门：综合部、系统运维部第一章总则 1第二章信息安全方针 1第三章信息安全策略 2第四章附则 13第一章 总则第一条 为规范 XXXXX信息安全系统，确保业务系统安全、 稳定和可靠的运行， 提升服务质量， 不断推动信息安全工作的健 康发展。 根据中华人民共和国计算机信息系统安全保护条例 、 信息安全技术信息系统安全等级保护基本要求 (GB/T22239-2008)、金融行业信息系统信息安全等级保护实施 指引( JR/T 0071 2012)、金融行业信息系统信息安全等级保 护测评指南(JR/T 0072 2012)，并结合 XXXXX实际情况，特 制定本

3、策略。第二条 本策略为 XXXXX信息安全管理的纲领性文件， 明确 提出 XXXXX在信息安全管理方面的工作要求， 指导信息安全管理 工作。 为信息安全管理制度文件提供指引， 其它信息安全相关文 件在制定时不得违背本策略中的规定。第三条 网络与信息安全工作领导小组负责制定信息安全 管理策略。第二章 信息安全方针第四条 XXXXX 的信息安全方针为：安全第一、综合防范、 预防为主、持续改进。(一) 安全第一：信息安全为业务的可靠开展提供基础保障。 把信息安全作为信息系统建设和业务经营的首要任务；（二）综合防范：管理措施和技术措施并重，建立有效的识 别和预防信息安全风险机制， 合理选择安全控制方式

4、， 使信息安 全风险的发生概率降低到可接受水平；（三）预防为主：依据国家、行业监管机构相关规定和信息 安全管理最佳实践， 根据信息资产的重要性等级， 对重要信息资 产采取有效措施消除可能的隐患， 降低信息安全事件的发生概率；（四）持续改进：建立全面覆盖信息安全各个管理域的，可 度量的、 可管理的管理机制， 并在此基础上建立持续改进的体系 框架，不断自我完善，为业务的平稳运行提供可靠的安全保障。第五条 XXXXX 信息安全管理的总体目标包括：（一）信息安全管理体系建设和运行符合国家政府机关、 监 管机构和主管部门的相关强制性规定、规则及适用的相关惯例、 准则和协议；（二）确保信息系统能够持续、可

5、靠、正常地运行，为用户 提供及时、稳定和高质量的信息技术服务并不断改进；（三）保护信息系统及数据的机密性、完整性和可用性，保 证其不因偶然或者恶意侵犯而遭受破坏、更改及泄露。第三章 信息安全策略第六条 安全管理制度（一）应形成由管理规定、管理规范、操作流程等构成的全 面的信息安全管理制度体系。（二）安全管理制度应具有统一的格式，并进行版本控制， 通过正式有效的方式发布。（三）应定期对安全管理制度进行检查和审定， 对存在不足 或需要改进的安全管理制度进行修订。第七条 安全管理机构（一）信息安全管理工作实行统一领导、分级管理，建立网 络与信息安全工作领导小组， 指导信息安全管理工作， 决策信息 安

6、全重大事宜。（二）设立系统安全管理员、网络安全管理员、安全专员等 岗位，并配备专职人员，实行 A、B 岗制度。（三）应加强内部之间，以及外部监管机构、公安机关、供 应商和安全组织的合作与沟通。第八条 员工信息安全管理（一）公司应制定安全用工原则， 尤其是信息系统相关人员、 敏感信息处理人员的录用、考核、转岗、离职等环节应有具体的 安全要求。（二）信息技术总部应定期组织针对员工的信息安全培训， 以增强安全意识、提高安全技能、明确安全职责，应对安全教育 和培训的情况和结果进行记录并归档保存。（三）在岗位职责的描述中，应该阐明员工安全责任。（四）公司制定和落实各种有关信息系统安全的奖惩条例， 处罚和

7、奖励必须分明第九条 第三方信息安全管理（一）根据第三方所要访问的信息资产的等级及访问方式来 进行风险评估，确定其安全风险。（二）根据风险评估的结果， 采取适当的控制方法对第三方 访问进行安全控制，保护公司信息资产的安全。（三）第三方对敏感的信息资产进行访问时， 应签订保密协 议或正式的合同。 在协议及合同中应该明确第三方的安全责任和 必须遵守的安全要求。（四）明确外包系统 / 软件开发的安全要求。（五）必须确保与第三方信息交换中各环节的安全。第十条 信息系统建设安全管理（一）在项目立项前，必须明确信息系统的安全等级、安全 目标及所有的安全需求并文档化。 安全需求的确定过程必须是成 熟的、有效的

8、。（二）必须通过对安全需求进行详细的分析， 制定安全设计 方案，明确安全控制措施及所采取的安全技术。（三）根据设计方案的要求， 对使用的软硬件产品进行选型 和测试，最终确定具体采用的产品。（四）根据设计方案和选定的产品编制实施方案。 在实施方 案中必须考虑到实施过程中的风险， 必须包含详细的项目实施计 划、实施步骤、测试方案和风险应对措施。（五）应制定软件开发管理制度和代码编写安全规范， 明确 说明开发过程的控制方法和人员行为准则。（六）必须对实施过程进行安全管理， 明确实施过程中各种 活动的程序及职责，并形成文件。（七）应根据信息系统等级， 在上线前完成信息系统安全防 护措施的实施，包括基线

9、设置等。同时还应建立必要的机制，保 证能够对投产后的信息系统进行更新升级。（八）必须根据验收流程，对系统进行必要的测试和评定。（九）系统下线必须按照严格的审批流程进行， 确保系统下 线不对 XXXXX的安全生产和业务持续性产生影响， 并同步进行系 统数据的清除。第十一条 机房安全管理（一）机房建设必须符合国家标准 电子计算机机房设计规 范（ GB50174-2008）和电子计算机机房施工及验收规范 （GB50462-2008）。（二）依据信息资产的安全等级、设备对场地环境的要求、 易管理性等， 合理划分机房区域， 针对不同区域实施不同的安全 保护措施，确保所有设备及介质的安全。（三）由专人负责

10、机房环境的日常维护、监控、报警和故障 处理工作。根据公司实际情况，建立机房值班制度。（四）制定机房以及机房内不同区域的出入管理规定， 明确 门禁管理、设备出入、人员出入（包括第三方） 、出入审批、进 出日志记录保留和审核等工作的管理要求和流程。（五）制定有关机房工作守则，规范人员在机房内的行为。（六）对于机房内的文档资料应固定存放在带锁或密码的专 业文件柜中，由专人妥善保管并设置相应清单。第十二条 信息资产管理（一）应对公司信息资产进行登记，建立资产清单，并指定 其安全责任人。 该责任人需负责贯彻及监督相关安全策略、 安全 规范、安全技术标准的实施。（二）根据机密性、 完整性和可用性要求对信息

11、资产进行分 类分级，确定不同级别信息资产在其生命周期内的保护要求。（三）必须明确信息资产访问控制原则， 并建立信息资产访 问的授权机制。第十三条 介质管理（一）公司对介质的存放环境、标识、使用、维护、运输、 交接和销毁等方面做出规定， 有介质的归档和访问记录， 并对存 档介质的目录清单定期盘点。（二）存储介质的管理同信息资产管理相一致， 根据所承载 数据和软件的重要程度对介质进行分类分级管理。（三）针对存放数据的存储介质应达到国家标准要求， 进行 标识和定期抽检。（四）需要长期存放的存储介质， 应该在介质有效期内进行 转存；明确数据转存的程序与职责。（五）应设立同城异地存放备份数据的场所。 异

12、地存放备份 数据的场所应该具备防盗、防水、防火设施和一定的抗震能力。第十四条 监控管理（一）应对通信线路、网络设备、主机和应用软件的运行状 况、网络流量、用户行为等进行监测和报警。（二）应定期对监测和报警记录进行分析、评审，发现可疑 行为，形成分析报告，发现重大隐患和运行事故应及时协调解决， 并报上安全相关部门。（三）应建立安全管理中心，对设备状态、恶意代码、补丁 升级、安全审计等安全相关事项进行集中管理。第十五条 网络安全管理（一）指定专人对网络进行管理， 负责日常的网络维护和报 警信息处理工作。（二）制定网络访问控制机制，网络访问控制策略以“除明 确允许执行情况外必须禁止”为原则。（三）当

13、远程访问信息系统时， 应采取额外的安全管控措施， 以防止设备被窃、信息未授权泄露、远程非授权访问等风险。（四）定期对网络系统进行漏洞扫描，对于发现的漏洞，在 经过风险评估、验证测试和充分准备后进行修补或升级。（五）重要网络设备开启日志和审计功能。（六）网络建设中应做到以下几点：1. 应遵循高可靠性、高安全性、高性能、可扩展性、可管理 性、标准化等原则；2. 建立网络容量规划机制， 充分考虑未来新业务需求和公司 当前的系统服务能力及未来技术发展的趋势；3. 应对局域网、广域网、外部网安全通信连接可靠，采取必 要的技术手段，确保网络安全。第十六条 系统安全管理（一）日志安全管理应指定专人负责， 具

14、体负责日志的采集、 保存、备份和失效处理等工作。在条件允许的情况下，可采用技 术手段实现。（二）日志记录以保障审计及追查的有效性为原则， 具体情 况根据系统及应用的实际情况而定， 日志记录作为作业计划的一 部分，必须严格定义日志记录的广度和深度， 确保日志的完整性， 并满足审计工作的需要。 管理员和操作员的活动应记入日志， 并 确保无法被篡改。（三）重要日志必须安全地存储在介质中， 并定期备份和检 查。第十七条 恶意代码防范管理（一）专人负责计算机病毒防范工作的组织与实施；（二）建立计算机病毒预警机制， 严格执行病毒检测及报告 程序；（三）指定专人负责跟踪厂商发布的漏洞补丁情况， 定期对 服务

15、器、网络、应用软件进行漏洞扫描；（四）对于确有必要升级的漏洞补丁， 在安装前必须进行充 分的验证测试和风险评估。 漏洞补丁的安装应参考变更管理的要 求，进行实施方案和回退方案的审批；（五）如果无法及时完成漏洞补丁加载，应进行原因分析， 并采取一定的安全防护措施，必要时进行回退；（六）根据国家信息系统等级保护要求， 对业务系统设计侵 和攻击防范的策略以及技术实施方案， 在信息系统中实现入侵和 攻击防范；（七）根据日常安全监控、风险评估、信息安全检查和信息 安全审计的结果， 调整入侵和攻击防范策略或采用新的、 成熟的 技术产品；（八）定期对重要的信息系统进行代码审计、 渗透测试等工 作，以及时掌握

16、信息系统安全状况，防范入侵和攻击。第十八条 密码管理（一）采取额外技术措施加强密码安全时， 密码产品应符合 国家密码管理规定的密码技术和产品；第十九条 变更管理（一）必须对信息系统的所有操作建立有效的管理和监控机 制，确定相关人员及部门职责。（二）根据信息系统变更所涉及的信息资产的安全等级， 对 信息系统变更进行分级， 针对不同等级的信息系统变更以文档的 形式明确相应的审批管理程序。（三）在系统变更审批前，变更申请部门提交申请报告，变 更管理员要提交系统变更方案， 明确变更存在的风险及对系统的 影响。（四）实施变更前，应该对变更内容进行严格测试。（五）严格遵照实施方案中所规定的流程实施变更，

17、变更实 施过程应记录并妥善保存。第二十条 备份和恢复管理（一）数据备份工作应指定专人负责；（二）根据系统的重要程度，制定相应的备份策略；（三）建立数据备份审核程序， 定期进行备份数据的检查工 作，确保备份数据的完整性和有效性；（四）对关键的系统和数据必须进行异地备份。 对于在异地 进行备份的系统和数据的管理， 要与本地的系统和数据管理保持 一致；（五）备份数据必须由专人负责保管，数据不得泄漏，保密 数据不得以明码形式存储和传输。（六）明确生产数据恢复的原则和审批程序；（七）制定数据备份恢复方案；10（八）重要信息系统的恢复性测试在不影响生产环境运行的 情况下至少每年进行一次。 根据恢复测试结果

18、进行数据恢复过程 的调整。第二十一条 安全事件管理（一）信息安全相关事项由网络与信息安全工作领导小组办 公室集中管理。（二）制定包括信息系统运行状况检测、异常处理、汇报等 的安全监控工作制度，指定专人负责安全监控。（三）网络与信息安全工作领导小组办公室对安全监控的结 果进行定期检查， 以保证安全监控结果的有效性和完整性。 确保 安全监控结果可作为其他统计和分析工作的数据来源。（四）安全事件处理的原则是“积极预防、及时发现、快速 响应、确保恢复” 。（五）网络与信息安全工作领导小组办公室建立详细的安全 事件响应机制，明确安全事件的发现、分析、处理、总结和奖惩 阶段的相关责任，最大限度地减少安全事件造成的损害。（六）对安全事件做好记录和存档工作， 记录内容包括事件 的原因、处理过程、处理结果、建议改进的安全对策。第二十二条 应急预案（一） 分析业务中断可能造成的后果， 以作为制定应急预案 的依据。11（二）制定应急预案并文档化，确定应急预案的总体策略， 确保重大故障时重要系统和业务的及时恢复。（四）定期测试应急预案，确保计划的有效性。（五）应急预案应定期检查、及时更新维护，以确保其有效