科技公司信息安全总体方针和安全策略

1、浙江纵横新创科技有限公司信息安全总体方针与安全策略第一章总则第一条为建立、实施、运行、监督、评审、保持和改进文件化的信息安全管理体系，确定信息安全方针和目标，对信息安全风险进 行有效管理，确保全体员工理解并遵照执行信息安全管理体系文件、 持续改进信息安全管理体系的有效性，特制定本文件。弟一条本文件适用于本单位信息系统的信息安全管理活动。第二章信息安全方针和总体目标第三条信息安全方针为：安全第一、综合防范、预防为主、持续改进。a）安全第一：信息安全为信息系统业务连续性提供基础保障，把 信息安全作为信息系统建设与系统运行的首要任务。b）综合防范：管理措施和技术措施并重，建立有效的识别和预防 信息安

2、全风险机制，合理选择安全控制方式，使信息安全风险 的发生概率降低到可接受水平。c）预防为主：依据国家相关规定和信息安全管理实践，根据信息 资产的重要性等级，定期对重要信息资产进行安全测评，采取 有效措施消除可能的隐患，最大程度降低信息安全事件发生的 概率。d）持续改进：建立全面覆盖信息安全各层面的安全管理机制，建 立持续改进的体系框架，不断自我完善，为业务的稳定运行提供可靠的安全保障。第四条信息安全总体目标:a）保护信息系统及数据的完整性、可用性、机密性，不遭受 破坏、更改及泄漏。b）确保信息系统连续、可靠、正常运行，提供及时、持续和 髙质量的服务并不断改进。c）信息安全管理体系建设和运行能满

3、足信息系统日常安全 管理的需要，并覆盖各个安全管理层面。第三章总体安全策略4.1. 信息资产管理策略4.1.1. 各类信息资产由信息部门负责管理，责任到人。4.1.2. 对信息资产进行梳理，建立信息资产清单，明确各信息资 产的使用人员、运维人员、管理人员等相关责任人，制定各自的 职责；信息资产清单应被定期维护与更新；定期对信息资产进行 盘点，确保信息资产的账实相符合完好无损。4.1.3. 为确保信息资产能受到适当的保护，信息应当分类以显示 其所需保护的要求、优先、程度。信息分类应按照业务对信息访 问的需求，及这些需求带来的影响进行划分，分为非常重要、重 要、一般三个等级。4.1.4. 信息资产

4、分类应该具有一定的灵活性。可以将信息资产分 为数据、软件、硬件、服务、文档、设备、人员及其它共8种类 型，内容如下：e）数据：储存在电子媒介的各种数据资料，包括源代码、 数据库数据、各种数据资料、系统文档、运行管理制度、 用户手册等。f）软件：应用软件、系统软件、开发工具和资源库等。g）硬件：服务器、路由器、交换机、硬件防火墙、交换机、 备份存储设备等。h）文档：纸质的各种文件、项目过程文件、日常管理记录 文件、发展规划等。i）设备：ups电源设备、空调、保险柜、门禁、消防设施 等。j）人员：各级员工、外包服务人员等。4.1.5. 建立信息系统资产清单，明确每个信息系统的负责人和管理员，并落实

5、其岗位职责。按照国家信息系统安全等级保护基 本要求（gb/t 22239-2008）的要求，对信息系统分级并按级别 采取相应的安全保护措施。4. 1.6.信息系统分级后所采取的对应安全保护措施，必须由相应的负责人定期检查。4.1.7.各类信息资产必须进行标识管理，标识内容包括资产名称、资产信息、所属系统、资产类别、重要级别、责任人等。4. 2.人员安全管理策略4. 2.1.人员安全管理策略中的“人员"包括所有内部员工和在本单位工作的外部人员（如外包服务人员）。并应与所有人员签署雇 佣合同，其中访问敏感信息人员应在访问信息处理设施前签署保 密协议。4. 2. 2. 内部员工应根据国家公

6、务人员相关管理办法进行录用等管 理。关键岗位员工必须是内部员工，关键岗位人员需签署岗位安 全协议。对关键岗位人员应实行定期考查制度，对安全意识和安 全技能进行考察，并进行必要的安全教育和培训。4. 2. 3. 常驻外部人员需根据实际业务需要进行雇佣，制定相应的 角色和职责要求，并形成书面文档记录。根据相关的法律、法规 和道德标准，对人员进行背景验证检查，该检查应与业务要求、 接触信息的类别及已知风险相适应，并需进行业务技能考核。4. 2. 4. 常驻外部人员在雇佣中，应确保所有的人员了解威胁、相 关事宜以及应承担的责任和义务，并在日常工作中遵守信息安全 政策，减少人为错误的风险。并定期进行与其

7、工作职能相关的适 当的安全意识培训和政策及程序的定期更新培训。4. 2. 5. 常驻外部人员在雇佣终止或变更时，应确保人员离开公司 或雇佣变更时以一种有序的方式进行，并确保其归还所有设备及 删除其所有访问权限。人员离任前要履行交接手续，确保密码、 设备、技术资料及相关敏感信息等的移交。4. 2. 6. 安全教育是指单位安全教育、部门教育和岗位教育。安全 教育制度应纳入本单位的所有员工教育体系。安全教育要结合实 际情况，编制具体的安全教育计划，计划要有明确的针对性，并 适时修正、变更或补充内容。安全教育要由办公室信息部门负责， 每次安全教育必须有考核机制。新员工入职必须先经过安全教育。4. 3.

8、物理和环境安全管理策略4. 3.1.设立物理安全保护区域，该区域包括放置重要或敏感的信 息处理、存储设备和网络设备等重要信息科技设备的区域。物理 安全保护区域的出入口设置安全屏障（如门禁、门卫等）。4. 3. 2.确保只有经过授权的人员才可以访问物理安全保护区域，整个访问过程应被监控和记录。4. 3. 3. 采用双回路市电、ups、发电机（车）等措施，保证设备电 力供应连续，保证带有数据或支持信息服务的电讯电缆不被侦听 和破坏。4. 3. 4. 建立严格的设备维护流程保证设备的可靠性和信息完整性, 一般情况下不允许信息处理设备带出机房，如需将设备带离机房 需进行审批。4. 3. 5.存储敏感信

9、息的设备在进行设备报修或报废时，必须采用安全的信息销毁措施。4. 3. 6. 员工所属的便携式设备、台式机、笔记本、掌上电脑和其 他便携式电子设备由个人负责保护，不允许将这些设备放于无人 看守的或是没有安全防范措施的环境中。4. 3. 7. 内网办公电脑需根据安全要求统一安装防病毒软件，并设 置密码和屏幕保护，人员离开后需启动屏保或关机。4. 3. 8. 人员离开后，门禁卡、重要文件等不允许摆放在桌面，需 妥善保管。4. 3. 9. 外部人员来访需在接待室接待，不在办公区域接待来访人 员。4. 4.网络安全管理策略4. 4.1.对网络系统的运营与安全防范实行统一管理，对广域网、局域网应分别指定

10、专人负责维护操作并建立维护记录。4. 4. 2.网络管理人员需对网络交换机、路由器等网络关键设备进行定期检查、保养，对发现的问题进行记录、分析和跟踪解决。4. 4. 3.建立网络管理系统，监控网络资源及运行状态，保障网络安全运行，跟踪网络配置变化等。4. 4. 4.严格控制网络访问权限，定期对网络线路进行例行检查，防止非法接入。4. 4. 5.根据信息安全级别，将网络划分为不同的逻辑安全域（以下简称为域），实施有效的安全控制，对每个域和整个网络进行物 理或逻辑分区、实现网络内容过滤、逻辑访问控制、传输加密、 网络监控、记录活动日志等。4. 4. 6.禁止擅自将公司内部网络与互联网直接连接；禁止

11、公司内部网络中的计算机直接拨号连接因特网。公司内部网络与互联网 的连接方案必须由信息部门统一规划，在确保网络安全的前提下 实施。内网与外部其他专用网络建立必要的连接，须由信息部门 统一管理，并在采取必要措施确保网络安全的前提下实施。4. 4. 7. 网络交换机、路由器等网络关键设备要有备份，骨干网、 重要通讯线路和网点通讯线路必须有备份或冗余回路。4.5. 运行安全管理策略4.5.1.建立管理和操作信息处理设备的责任和流程，包括制定适当的操作手册和回退流程，在关键环节实行相互监督制度以减少 疏忽或滥用系统的风险。任何对信息处理设备的操作都要有文档 化的说明作为操作记录，文档中应具有每个操作的详

12、细执行说明。操作说明的文档必须经过一套正式的管理流程进行授权，并对操 作行为进行评估和审计。4. 5. 2.定期备份重要业务信息和软件。要有足够的备份设备进行所有重要的业务信息和软件的备份，使得在灾难发生或存储设备 失败时能够恢复。其他系统也要定期备份，以符合业务连续性策 略的要求。4. 5. 3.存储介质必须受到控制和物理保护。存放敏感信息的存储介质必须按照一套合适的管理标准进行管理，不再需要的介质中 的内容必须安全清除。所有个人的存储介质不允许存放和传输业 务和技术敏感信息，所有个人可移动介质不允许在重要业务处理 服务器或敏感个人电脑上使用。重要业务介质需保存在档案室或 五防柜内。4. 5

13、. 4.必须对电子邮件和0a系统制定具体的安全要求，确保电子邮件信息和0a系统公文信息的保密性和完整性，并对电子邮件和 0a系统执行必要的安全措施，降低电子邮件和0a系统使用过程 中所带来的安全风险。4. 5. 5.制定相关制度和标准并部属日志审计系统，管理所有信息系统的日志，以支持有效的审核、安全取证分析和预防欺诈。应 保证系统日志中包含足够的内容，以便完成有效的内部控制、解 决系统故障和满足审计需要；应采日志备份制度，并确保其完整 性；在意外情况发生后应及时复查系统日志。4. 5. 6.部署防病毒系统，建立全面的计算机病毒查杀机制。所有连入我单位内部域的电脑及其他设备，都应安装杀毒软件，并

14、在 接入之前进行病毒扫描；制定病毒库升级策略和扫描策略，定期 更新病毒库并查杀病毒，并对扫描结果进行分析，根据分析结果 提出相应的应对措施。4. 6.访问控制管理策略4. 6.1.建立和完善身份认证、授权与访问控制、应用层通信加密等应用层安全系统的管理制度，改善业务应用系统的整体安全性。 并部署和管理身份认证系统、授权和访问控制系统。4. 6. 2.严格控制访问权限审批，制定符合业务操作流程的访问控制审批单，形成访问控制审批过程记录。访问控制管理部门应拒 绝不合理的访问控制请求。4. 6. 3.信息系统与信息处理设备必须具有对用户标识、用户口令以及特权访问的控制措施，重要信息系统与信息处理设备

15、需有两 种不同的身份鉴别方式。原则上要求每个人在不同系统的用户标 识是唯一的。用户密码应具有一定的复杂度，需要字母、字符、 数字等组成，密码长度不能小于8位，并每六个月定期进行更换。4. 6. 4.信息部门需定期或不定期的检查用户id建立、使用、权限划分及密码的变更是否符合控制策略规定。4. 6. 5.不允许在没有通过身份验证的情况下，访问信息系统设备和其它信息处理系统。连续的登陆尝试应受限制。4. 6. 6.信息系统的用户应遵守良好的口令设置习惯，所有信息系统用户应养成良好的计算机使用习惯，对公共设备的使用，根据 实际情况，在会话结束后执行合适的锁定机制。每个用户的身份 只能鉴定一个用户，不

16、允许共享身份或组身份，除非由安全管理 员批准。用户要为以该用户身份执行的所有操作负责。4. 6. 7. 用户对网络访问的权限实行最小化原则，用户对网络的访 问应设定强制式的路径，例如本单位员工只能通过单位唯一出口 访问互联网。4. 6. 8. 服务器或网络设备上的用户标识应是唯一的，登录服务器 或网络设备的用户只能使用自己的用户标识，用户标识可以用来 确认用户的操作行为，并作为追究责任的依据。4. 6. 9.通过安全设备或安全技术进行应用系统访问控制，只容许合法用户逻辑访问应用系统中的信息。对敏感系统配备专用的隔 离区域，并设置只能与可信任的应用系统共享资源。4. 6. 10.建立监控信息处理

17、设备使用情况的程序或设备，以保证用 户只进行明确授权的活动。所需的监控级别应在评估风险后确定。4. 7.移动设备安全管理策略4. 7.1.使用移动设备远程访问业务信息时，只有在成功认证并通过访问控制机制后才准许连接。原则上不允许在公用场合使用移 动设备或远程访问业务系统。4. 7. 2.移动存储介质的管理，遵循“谁使用、谁负责”的原则，使用移动存储介质的人员负责移动存储介质的安全，对移动存储 介质使用过程中各种安全威胁及可能造成的数据泄露负责。4. 7. 3.非本单位员工所有的移动存储介质，在接入本单位计算机系统前，应征得计算机使用者的同意，计算机使用者对因接入外 来不明移动存储介质导致的安全

18、问题负全部责任。4. 7. 4.涉密移动存储介质只能在本单位涉密计算机和涉密信息系统内使用，严禁涉密移动存储介质在与互联网连接的计算机和个人计算机上使用。4. 7. 5.使用涉密移动存储介质保存涉密信息，必须对信息内容进行加密处理。4. 8.数据安全管理策略4. 8.1.根据数据的重要程度和敏感程度进行分级管理和保护。 重要程度划分标准如下：a）高重要程度：一旦数据安全受损，会中断关键业务运行； 会造成重大财务损失；会导致严重社会影响；会造成严 重法律后果；会导致监管部门的严厉处罚等。b）中重要程度：一旦数据安全受损，会对关键业务运行有 直接影响；造成一定程度财务损失；造成一定程度声誉 损失；

19、造成一定程度的法律后果；导致监管部门一定程 度的处罚。c）低重要程度：一旦数据安全受损，对关键业务运行无直 接影响；仅造成较小的财务损失；仅造成较小的声誉损 失；不造成法律后果；不导致监管部门处罚等。敏感程度划分标准如下：a）高敏感程度（保密）：对组织根本利益有着决定性影响， 如果泄露会造成灾难性的影响。b）中敏感程度（内部使用）：仅在组织内部或在组织某一 部门内部公开，向外扩散有可能对组织的利益造成损害。c）低敏感程度（公开）：可以对社会公开，或者公开后不 对组织利益造成损害。4. 8. 2.保障网络配置、操作系统和数据库配置等数据的安全性， 操作维护人员只有经过授权才能进入系统；对后台数据

20、库中的 业务数据进行维护时，操作人员在他人的监督下进行；在办公 自动化系统中，单位员工通过认证和授权系统登录后，只能浏 览权限范围内的内容和电子邮件，所有文档和电子邮件的内容 在后台以特殊格式存放，只有拥有相关权限的人员登录系统后, 在前台显示相关内容，防止系统维护人员在后台进行浏览；本 单位的重大决议等机密文档进行纸质化管理，不纳入办公自动 化系统。4. 8. 3.采用加密、数字证书等技术手段防范数据在传输、处理、 存储过程中出现泄露或被篡改的风险。不允许以明文方式存储 和传送用户密码等涉密敏感信息。（不允许使用内部网的电子邮 件系统不经加密传播涉密信息；更不能使用外部网络传输此类 信息。）4. 8. 4.使用符合国家规定的有销售许可的商用加密设备、加密软 件、认证服务。涉密和敏感信息不应分布于前端系统，应集中 到后台服务器和主机上。4. 8. 5.由专人负责硬件加密机、加密部件和软件加密程序的管理。4. 9.信息安全事件管理策略4.9.1本策略所称信息安全事件是指由于自然或者人为以及软硬件 或故障等原因，对信息系统造成危害，或对社会造成负面影响的 事件。4.9.2加强信息安全事件管理，及时掌握和分析重大信息安全事件有 关