信息安全策略97014

1、信息平安策略1. 目的和范围32. 术语和定义33. 引用文件44. 责任和权限55. 信息平安策略55.1. 信息系统平安组织 55.2. 资产治理75.3. 人员信息平安治理 85.4. 物理和环境平安 105.5. 通信和操作治理 125.6. 信息系统访问限制 165.7. 信息系统的获取、开发和维护平安 195.8. 信息平安事故处理 225.9. 业务连续性治理 235.10. 符合性要求 251 附件261. 目的和范围1) 本文档制定了的信息系统平安策略,作为信息平安的根本标准,是所有平安行为的指导方针,同时也是建立完整的平安治理体系最根本的根底.2) 信息平安策略是在信息平安

2、现状调研的根底上,根据 ISO27001的最正确实践,结合现有规章制度制定而成的信息平安方针和策略文档.本文档遵守政府制定的相关法律、法规、政策和标准.本平安策略得到领导的认可,并在公司内强制实施.3) 建立信息平安策略的目的概括如下：a) 在内部建立一套通用的、行之有效的平安机制；b) 在的员工中树立起平安责任感；c) 在中增强信息资产可用性、完整性和保密性；d) 在中提升全体员工的信息平安意识和信息平安知识水平.本平安策略适用于公司全体员工,自发布之日起执行.2. 术语和定义1) 解释信息平安是指保护信息资产免受多种平安威胁,保证业务连续性,将平安事件造成的损失 降至最小,同时最大限度地获

3、得投资回报和商业机遇.可用性保证经过授权的用户在需要时可以访问信息并使用相关信息资产.保密性保证只有经过授权的人才能访问信息.完整性保护信息和信息的处理方法准确而完整.保密信息平安规章定义的密级信息.信息平安策略正确使用和治理IT信息资源并保护这些资源使得它们拥有更好的保密性、完整 性、可用性的策略.风险评估评估信息平安漏洞对信息处理设备带来的威胁和影响及其发生的可能性.风险治理以可以接受的本钱,确认、限制、排除可能影响信息系统的平安风险或将其带来 的危害最小化的过程.计算机机房装有计算机主机、效劳器和相关设备的,除了安装和维护的情况外,不允许人员 在里边工作的专用房间.员工在系统内工作的正式

4、员工、雇佣的临时工作人员.用户被授权能使用IT系统的人员.信息资产与信息系统相关联的信息、信息的处理设备和效劳.信息资产责任人是指对某项信息资产平安负责的人员.合作单位是指与有业务往来的单位,包括承包商、效劳提供商、设备厂商、外包效劳商、 贸易伙伴等.第三方访问指非本单位的人员对信息系统的访问.IT外包效劳是指企业战略性选择外部专业技术和效劳资源,以替代内部部门和人员来承担企 业IT系统或系统之上的业务流程的运营、维护和支持的IT效劳.平安事件利用信息系统的平安漏洞,对信息资产的保密性、完整性和可用性造成危害的事 件.故障是指信息的处理、传输设备运行出现意外障碍,以至影响信息系统正常运转的事

5、件.平安审计通过将所选类型的事件记录在效劳器或工作站的平安日志中用来跟踪用户活动 的过程.超时设置用户如果超过特定的时限没有进行动作,就触发其他事件如断开连接、锁定用 户等.2词语使用必须表示强制性的要求.应当好的做法所要到达的要求,条件允许就要实施.可以表示希望到达的要求.3. 引用文件以下文件中的条款通过本标准的引用而成为本标准的条款.但凡注日期的引用文件,其 随后所有的修改单不包括勘误的内容或修订版均不适用于本标准,然而,鼓励各部门研 究是否可使用这些文件的最新版本.但凡不注日期的引用文件,其最新版本适用于本标准.1 ISO/IEC 27001:2005信息技术-平安技术-信息平安治理体

6、系要求2) ISO/IEC 17799:2005 信息技术-平安技术-信息平安治理实施细那么4. 责任和权限信息平安管控委员会：负责对信息平安策略进行编写、评审,监督和检查公司全体员 工执行情况.5. 信息平安策略目标：为信息平安提供治理指导和支持,并与业务要求和相关的法律法规保持一致.1) 策略下发本策略必须得到治理层批准,并向所有员工和相关第三方公布传达,全体人员必 须履行相关的义务,享受相应的权利,承担相关的责任.2) 策略维护本策略通过以下方式进行文档的维护工作：必须每年根据风险评估治理程序?进行例行的风险评估,如遇以下情况必须及 时进行风险评估：a) 发生重大平安事故b) 组织或技术

7、根底结构发生重大变更c) 平安治理小组认为应当进行风险评估的d) 其他应当进行平安风险评估的情形风险评估之后根据需要进行平安策略条目修订,并在内公布传达.3) 策略评审每年必须参照治理评审程序?执行公司治理评审.4) 适用范围适用范围是指本策略使用和涵盖的对象,包括现有的业务系统、硬件资产、软件资产、信息、通用效劳、物理平安区域等.对于即将投入使用和今后规划的信 息系统工程也必须参照本策略执行.5.1. 信息系统平安组织目标：在组织内部治理信息平安,保持可被外部组织访问、处理、沟通或治理的信息 及信息处理设备的平安.1) 内部组织公司的治理层对信息平安承担最终责任.治理者责任参见信息平安治理手

8、册?.公司的信息系统平安治理工作采取信息平安管控委员会统一治理方式,其他相关部门配合执行.公司的内部信息平安组织包括信息平安治理小组,小组的人员组成以及相关责任参见公司信息平安组织结构图?.各个部门之间必须紧密配合共同进行信息平安系统的维护和建设.相关部门岗 位的分工与责任参见信息平安治理手册?.任何新的信息系统处理设施必须经过治理授权的过程.并更新至信息资产列 表?.信息系统内的每个重要的资产需要明确所有者、使用人员.参见信息资产列 表? .但凡涉及重要信息、机密信息相关定义参见信息资产鉴别和分类治理方法? 等信息的处理,相关的工作岗位员工以及第三方都必须签署保密协议.应当与政府机构保持必要

9、的联系共同协调信息平安相关问题.这些部门包括执 法部门、消防部门、上级监管部门、电信供应商等提供公共效劳的部门.应当与相关信息平安团体保持联系,以取得信息平安上必要的支持.这些团体 包括外部平安咨询商、独立的平安技术专家等.信息平安治理小组每年至少进行一次信息平安风险评估工作参照风险评估 和风险治理程序?,并对平安策略进行复审.信息平安领导小组每年对风险评估结 果和平安策略的修改进行审批.每年或者发生重大信息平安变化时必须参照内部审核治理程序?执行公司内 部审核.2外部组织a第三方访问是指非人员对信息系统的访问.第三方至少包含如下人员：?硬件及软件技术支持、维护人员；?工程现场实施人员；?外单

10、位参观人员；?合作单位人员；?客户；?清洁人员、送餐人员、快递、保安以及其它外包的支持效劳人员；b第三方的访问类型包括物理访问和逻辑访问.?物理访问：重点考虑平安要求较高区域的访问,包括计算机机房、重要办公区域和存放重要物品区域等；?逻辑访问：主机系统网络系统数据库系统应用系统c第三方访问需要进行以下的风险评估前方可对访问进行授权.?被访问资产是否会损坏或者带来平安隐患；?客户是否与有商业利益冲突；?是否已经完成了相关的权限设定,对访问加以限制；?是否有过违反平安规定的记录；?是否与法律法规有冲突,是否会涉及知识产权纠纷；d第三方进行访问之前必须经过被访问系统的平安责任人的审核批准,包括物理访问的区域和逻辑访问的权限.详见办公室根底设备和工作环境限制程序?e对于第三方参与的工程或提供的效劳,必须在合同中明确规定人员的平安 责任,必要时应当签署保密协议.f第三方必须遵守的信息平安策略以及第三方和外包治理规定?,留对第三方的工作进行审核的权利.5.2. 资产治理目标：通过及时更新的信息资产目录对信息资产进行适当的保护.1资产责任a所有的信息资产必须登记入册,对于有形资产必须进行标识,同时资产信息应当及时更新.每项信息资产在登记入册及更新时必须指定信息资产的平安责任人,信息