单位信息安全总体方针及安全策略管理办法模板

1、信息安全总体方针及安全策略管理办法XX年XX月建立登记编制人：编制日期：适用范围：审核人：审核日期：审核结果：批准人：批准日期发布方式：发布范围：修订记录版本号修订日期修订人修订内容V1.0起草/增加/修改第一章信息安全方针1第二章信息安全策略1第三章安全策略2第四章第三方安全4第五章资产分类与控制5第六章人员安全8第七章安全遵守16第八章物理和环境安全20第九章通讯和操作管理26第十章访问控制35第十一章系统开发和维护49第十二章业务连续性管理51第十三章附则54II第一章信息安全方针第一条信息安全方针：“信息安全，生存攸关；风险管控，人人有责”！以业界最佳实践为指南，努力保护XXXX1要信

2、息资产，保障XXXX各项业务的安全运行，持续不断地进行改进和过程监督，提供满意的服务，为XXXX成为信息安全模范提供重要支持。信息安全内涵：以国际公认的信息安全管理标准作为准则，努力保护xxxxW息资产的机密性、完整性、可用性、可靠性，通过不断对信息资产梳理和风险评估管控，降低XXXX信息资产存在的安全威胁，最终保证XXXX1R务的连续性。信息安全内涵在正文中有全面阐述。信息安全承诺：安全是XXXX业务正常运行的前提和保障。XXXX领导深刻意识到信息安全对XXX刈勺重要性，由此承诺全力支持本信息安全方针在XXXX勺执行。第二章信息安全策略第二条范围本标准规定了xxxxW息安全管理的方针及内涵。

3、本标准适用于所有XXXX员工以及在XXXXX作的第三方组织机构人员第三条术语与定义下列术语和定义适用于本标准。信息资产：组成业务流程的子流程中使用的重要的最小单位量的信息第三章安全策略第四条信息安全策略以下安全策略以XXXX发展需求为由发点，表明了XXXX信息安全的方向，体现了XXXXf理层对xxxxB息安全的支持。信息安全策略由XX整理和维护，经过了XX的审批通过，在xxxXE围内发布实行。（一）定期检查和评估每年定期检查和评估XXXX信息安全策略、安全流程和安全步骤，定期检查和评估XXXX经营活动中的安全威胁和风险。如果XXXX勺经营活动、基础设施发生了重大的改变，需要随即重新进行信息安全

4、策略的检查和评估。目的：?信息安全战略、策略应该切实可行并充分满足XXXX1R务发展的需要。?信息安全策略为XXXX1R务发展提供了安全保含义:?必须建立信息安全策略定期检查和更新的制度。?如果发现由于信息安全策略、流程和步骤不完善，而导致了安全漏洞和安全事件的发生。必须对XXXX的信息安全策略、流程、步骤、控制手段进行检查和修正。?必须定义安全策略管理人员职责，安排专职人员，执行安全策略的检查和更新，执行xxxxM围内安全威胁和漏洞的检查。（二）信息安全的投入信息安全的投入应该符合业务发展规模和控制安全风险的需要。目的：?信息与信息系统安全保护方面的投入应该以业务安全要求为依据，信息安全的投

5、入需符合业务发展实际情况的安全要求，符合控制业务面临的安全风险的要求。?保障依赖于信息系统的生产业务的安全健康的发展。含义：?实施安全风险管理流程，保障信息保护投资不会过度或者不足。第四章第三方安全第五条第三方访问安全以下策略是关于控制第三方访问XXXX信息和信息设施，维护xxxX勺信息和信息处理的安全。（一）与第三方组织合作的安全要求为了保障XXXX的信息安全，在与第三方组织建立合作关系时，必须签订信息安全合同，或在商务合同中明确规定信息安全条款。目的：?有助于双方理解安全方面的约定和安全事件的处理。?有助于控制对XXX刈勺信息访问和信息处理。含义：?XXXXS对第三方的访问活动进行风险评估

6、，确定具体的控制要求。第六条外包服务控制以下策略是关于将信息处理的责任外包到第三方的时候，XXXX信息访问和信息处理的控制。（一）外包合同的安全需求为了保障XXXX勺信息安全，XXXXa部分IT信息服务外包到第三方组织时，必须在合同中明确规定安全控制流程。目的：?有助于双方理解安全方面的约定和安全事件的处理?有助于确保对xxxxW息的访问和信息处理是受控制的。含义：?应要求第三方组织提供服务前，和XXXX之间达成正式的安全协议。第五章资产分类与控制第七条资产责任：以下的策略从保障资产安全可靠使用的目的由发，要求所有重要的信息、软件、硬件资产都有相应的指定负责人，此负责人对其所负责的资产的机密性

7、、完整性、可用性负责。（一）资产的登记所有重要的信息资产、软件资产和硬件资产必须被准确的识别，并进行登记记录。目的：?必须有效的跟踪xxxX勺重要资产，以及相应的负责人。含义:?XXXX5须确定哪些资产是重要的并对这些资产进行记录和跟踪?使用标准的流程进行资产登记，并维护资产登记表。?用签订安全协议方式来确定资产责任人的安全义务。（二）资产负责人的责任所有信息资产、软件资产和硬件资产必须由资产负责人登记记录。目的：?促使每个员工建立资产安全责任感。?豉励资产负责人在资产报废或者是资产转移时，更新资产登记记录。含义：?必须对员工施行资产登记的培训。?资产负责人必须意识到丢失和损坏资产时所应承担的

8、责任和处罚。第八条信息资产分类以下策略以保障xxxxW息资产为目的。从机密性、完整性、可用性方面判断信息资产的安全要求和安全保护级别。（一）信息资产分类信息资产负责人必须根据信息分类标准来确定信息资产的安全级别，并实行相应的安全保护。目的：?促使所有XXXX员工建立信息保密意识。?根据业务需求，使相关的信息得到适当的安全保护。含义：?必须识别登记所有核心信息资产并指定负责人。?信息资产负责人必须意识到信息分类和保护的责任。?必须对信息资产进行周期性检查，保障信息资产分类的正确性，符合实际要求。（二）信息资产标签核心的信息资产必须具有清晰的信息资产标签，使接触到信息资产的人员能够清晰的意识到信息

9、分类级别和安全保护责任。目的：?促使信息资产责任人和信息资产分类的落实。?促使正确、安全和有效的使用信息。含义:?员工必须具有为所有核心信息资产建立信息资产标签的意识。?所有核心信息资产必须通过标准的信息分类流程进行分类。（三）信息资产的控制所有信息资产的使用、存放和交换必须符合信息安全级别的要求。目的：?促使所有XXXX的员工以及在XXX灯作的第三方人员具有保护XXXXW息资产的意识，并了解如何保护信息资产机密性、完整性、可用性。?保障信息在产生、授权使用和正常销毁过程中的正确保护。含义：?信息资产使用者必须具有使用适当控制手段保护信息资产的意识。?采用必要的工具来满足信息使用、存放和交换的

10、安全要求。第六章人员安全第九条职位安全责任以下策略的目的是减少新员工在工作中错误使用、盗窃、欺诈及滥用设施所带来的风险。应在员工的工作定义、员工合同中明确安全责任。（一）人员聘用考察所有XXXX的员工在聘用前，或从一般岗位转到涉密岗位前，必须对其进行信用检查。目的：?应明确聘用员工的条件和考察评价的方法与程序，减少因聘用员工而产生的安全风险。含义：?必须明确定义员工职位的安全需求。?在查询个人背景前，应遵循当地法律。（二）保密协议所有XXXX勺员工在XXXXX作期间都必须签定保密协议。目的：?有助于保护XXX处口识产权。?有助于加强个人对xxxxW息保密性、完成性和可用性的责任。含义：?法律部

11、门必须确保保密协议中包括必要的法律条?所有XXX刈勺员工必须与XXXX订一份保密协议。?人事处必须保存所有签订的保密协议。（三）聘用的条款和条件XXXX聘用条款和条件必须包括对信息安全策略的遵守。目的：?有助于确保员工了解信息安全策略，并把它作为行为准则。?有助于员工了解遵守信息安全策略的责任和职责。含义：?现有的聘用条款和条件必须符合信息安全策略和当地法律。?所有xxxX勺员工必须签订保密协议。?人事处必须保存所有签订的保密协议。（四）知识产权所有因履行职务而使用XXXX设施而产生的、存储的或交换的信息资产都属于XXXX目标：?有助于保护和支持使用XXXX设施开发的产品的知识产权10?有助于

12、确保XXX名产只用于被批准的经营活动。含义：?应当将遵守信息安全策略包括在员工签署的聘用条款和条件中。?这个策略的适用性需要遵循当地法律。第十条用户培训为确保用户能够意识到信息安全的威胁和隐患并在他（她）们正常工作时遵守信息安全策略，需要提供必要的信息安全教育和培训。信息安全教育和培训在信息安全管理实施方面起着关键的作用。（一）信息安全策略的发布信息安全策略应发布给相关的XXXX的员工、第三方组织成员。目的：?有助于员工知道他（她）们的信息安全的职责。?有助于员工获得遵守xxxX勺安全策略的必要信息。含义：?新员工培训应包括XXXXW息安全策略的培训。（二）定期信息安全培训11所有的XXXX的

13、员工都必须定期参加信息安全培训。目的：?减少由于员工的个人原因使核心信息资产被非法获得、破坏或修改的可能。含义：?必须有适当的安全培训。?必须通过记录、跟踪和监督的方式，保证所有员工参加并完成信息安全培训。?信息安全培训资料必须能够方便的获取，保证员工随时可用。（三）入职时的信息安全培训所有XXX刈勺正式员工入职前必须接受信息安全培训。目的：?有助于降低因为员工缺乏安全意识而带来的风险。含义：?进行必要的安全培训。?要求有充分的技能和资源来建立培训课程、维护课程并实施培训。（四）离职或调动安全要求员工离职或调动时必须归还XXXX或原部门资产，清理12相应的访问权限。目的：?使员工离职或调动按流

14、程有次序进行。?保护XXX刈勺信息资产。含义：?应规定员工离职或调动的安全流程；?应规定员工离职或调动时的信息资产、访问权限审计项目。?所有员工离职或调动时必须清除对信息或信息处理设施的访问权限。第十一条安全事件汇报以下策略要求通过对安全事件适当的管理、及时的监控、报告和响应来降低安全事件的影响。对发生的安全事件要进行分析和修正以降低重新发生的机会。（一）汇报安全事件和安全漏洞所有可疑的安全事件和安全漏洞都必须及时汇报给XX目的：?安全事件和漏洞的汇报和分析能指由当前环境的安全状况。?有助于确保安全事件和漏洞能通过适当的渠道进行汇报并及时得到纠正。13?如果员工不了解可疑安全事件、漏洞事件汇报

15、的重要性，安全事件会一直处于没有汇报的状态，并会产生更大的危害。?有助于降低由于错误或延误汇报所带来的风险。含义：?XX必须随时待命，评估和处理可疑的安全事件和漏洞。?必须建立安全事件和漏洞的汇报机制。所有的安全事件必须通过安全事件管理流程进行汇报和跟踪。目的：?有助于确保快速、有效和有序的响应安全事件和漏洞。?确保从以前的安全事件中得到教训并采取纠正行动。?有助于避免安全事件再次发生。?有助于量化和监控安全事件。含义：?必须建立文档化的安全事件管理流程。14?安全事件管理流程必须在XXXM围内广泛宣传。（二）安全事件相关信息的保密性有关信息安全事件和漏洞的信息只能在XXXX授权范围内发布。目

16、的：?有助于避免客户降低对xxxX勺信心。?有助于降低XXXX受进一步安全攻击的可能性。?有助于维护xxxxg息的保密性。含义：?授权专门人员处理安全事件。（三）向XXXXH部相关机构通报安全事件在适当的时候（业务或法律需求时），信息安全事件由XX通报给XXXXH部相关机构。目的：?满足业务和当地法律的需求。含义：?XXXX、须了解相关法律法规和需要通报给XXXX外部相关机构的安全事件的种类。（四）调查安全事件和漏洞15所有安全事件和安全漏洞必须由XX立即调查目标：?如果XX未能及时着手开展调查，可能会使由安全事件或漏洞造成的损失进一步增加。含义：?必须建立安全事件管理流程来调查和处理安全事件

17、和漏洞。第七章安全遵守第十二条遵守法律要求以下策略有助于避免违背民事和刑事责任。（一）确认适用的法律在所有XXXX的信息安全策略和流程中，相关的法律和规范的要求必须明确定义。目的：?有助于确保XXXX从相关法律和规范要求。含义：?必须定义好相关的责任并文档化保存。（二）知识产权所有XXX刈勺员工必须确保遵守知识产权方面的法律。目的:16?减少侵害版权的风险。?帮助确保在使用可能与知识产权有关的材料（版权、设计专利和商标）时遵守法律。含义：?必须公布相关的行为准则，以定义对信息和软件产品的合法使用。（三）个人隐私信息保密必须确保个人信息的收集、散布和使用都遵守个人隐私相关的法律。目的：?确保遵守

18、当地的个人隐私相关的法律。?减少侵害个人隐私的法律风险。含义：?必须定期审计对当地个人隐私法律的遵守情况。?由XX负责告诉所有XXXX的员工、XXXX的用户和服务提供商各自的责任，以及应该遵循的流程。（四）防止滥用信息设备XXXX的信息处理设备只能用于经营活动，并遵循XXXX相关的安全标准和规范。目的：?确保信息设备都用于被授权的行为。?建立对信息设备安全使用标准。17含义：?所有用户必须理解并同意xxxxW息设备使用的条件。?应该监控信息设备的使用。?应该制定一系列正确使用信息设备的指导手册。第十三条检查安全策略和技术遵守以下策略确保遵守了组织的安全策略和标准。(一)遵守安全策略所有的安全标

19、准、流程和信息系统体系架构都必须遵守信息安全策略。目的：?确保在整个XXXX1面安全控制的一致性。含义：?必须定期审计对安全策略的遵守情况。(二)标准操作环境的建立必须建立和维护标准操作环境(StandardOperationEnvironment)或者基准安全标准(BaselineSecurityStandard),以规定信息系统的软件、硬件和网络配置。目的：?确保所有信息系统和网络的配置一致性。?减少识别需要升级、打补丁或具有安全漏洞系统的时间。18含义：?需要设立配置管理流程来维护和更新配置。(三)遵守标准的操作环境所有的信息系统必须遵守相应的标准操作环境(StandardOperati

20、onEnvironment)或者基准安全标准(BaselineSecurityStandard)。目的：?帮助确认所有的系统都是按照标准操作环境(StandardOperationEnvironment)或者基准安全标准(BaselineSecurityStandard)的要求安装和配置的。?减少维护成本。含义：?标准操作环境(StandardOperationEnvironment)或者基准安全标准(BaselineSecuHtyStandard)必须得到批准和实施。?必须审计标准操作环境的使用。第十四条审计考虑事项以下策略指由，通过在系统审计时对操作系统和审计工具实施控制，可以减少系统审计

21、流程对正常工作流程的干扰。(一)遵守情况审计对安全策略遵守情况的外部审计应该定期每年进行。应19该定期或是按照业务需要进行内部审计。目的：?确保组织的安全策略及标准的遵守。含义：?信息系统的负责人必须支持对其系统遵守情况的定期检查。?审计检查应小心计划，以降低对正常经营活动的影响。?审计和复查之后应实施改进方案。（二）系统审计控制系统审计必须仔细地计划并获得XX的批准。目的：?降低对正常经营活动的影响。含义：?对系统审计的请求必须和相关系统负责人很好地交流。?必须建立并通告预防措施，以防止造成正常系统或流程的中断。第八章物理和环境安全第十五条安全区域以下的安全策略描述了如何防止对XXXX日常业

22、务活动20的侵入、破坏和干扰。同时，确保用于保障xxxX亥心经营活动的设备和设施被保护在安全的区域。（一）核心设备有明确的标记XXXX所有关键线缆（如用于支撑核心业务系统的电力线缆和通讯线缆）都有明确的标签。目的：?保护核心业务流程所使用的基础设备，防止侵入、破坏。?尽量减少未经授权的监听和截获xxxX勺信息含义：?XXXXM础设备负责人必须意识到关键线缆的识别标签对xxxxlk务的重要性。?所有核心业务流程所使用的设备线缆必须使用标签识别，同时标签识别文档必须和标签一致。（二）受限制区域核心信息资产处理流程中所使用的设备必须处于受限制区域，并且使用增强的安全控制措施。进入不同安全级别的安全区

23、域前必须通过一系列的物理保护措施。目的：?保护XXXX勺信息和核心IT设备，防止侵入。含义:21?核心信息资产处理流程中所使用的设备必须被识别。?需要关注因为环境风险所带来的潜在安全问题。（三）物品交接区域XXXX的物品交接区域必须和信息处理区域隔离。不同的安全访问级别区域之间应该有物理安全隔离措施。目的：?防止未经受权的人员侵入XXXX建筑物内。含义：?XXXXS筑物的物理安全控制都需进行过评估和采取必要的安全措施。（四）访问者的登记所有的访问者都必须在XXXX各单位前台登记，在登记表上必须记录以下信息：?访问者的姓名?访问者所属的机构，机构名称?访问的目的?进入和离开的时间?XXX濡同员工

24、的签名。目的:22?用于识别在XXXXrt的每个访问者。?使XXXXM有识别在XXXXrt访问者数目和姓名的能力，尤其是在紧急事件发生时。含义：?所有的XXXX勺建筑物的人口都需要有前台，并有人负责访问者的登记。（五）出入XXXX建筑物的记录不同的安全级别区域之间的访问必须留有访问者的记录。目的：?宜于识别和记录所有到XXXXS筑物和安全区域的访问。含义：?需要有机制保障记录所有进入XXXX筑物的事件。第十六条IT设备安全以下的安全策略主要描述了如何降低因为丢失或破坏信息资产所引起的风险。保障资产在物理层面得到良好的保护，远离环境风险和安全漏洞。（一）线缆安全所有用于支撑核心业务系统的电力线缆

25、和通讯线缆必23须有安全保护措施。目的：?防止电力或通讯线路被破坏或监听。含义：?目前所使用的所有电力线缆和通讯线缆必须做安全检查和文档化管理。（二）IT设备维护所有的IT设备都必须按照生产厂家的产品说明书来存储和维护。目的：?提高IT设备的可用性。?如果IT设备有投保，满足投保要求。含义：?生产厂家的产品说明书可以随时方便地取阅。?当新设备到货安装时，维护手册和操作说明书需要有备份，并放置于随时取阅的地点。机房的建设、运行维护必须符合机房安全规范。目的：?保障机房的建设达到业界已经充分论证的规范，即提高可靠性、安全性。含义:24?机房在设计阶段即遵循业界已经充分论证的机房安全规范。（三）从X

26、XXX建筑物内带离IT设备。将任何IT设备或存贮介质（硬盘、磁带、软盘、光碟、USB等移动存储设备）带离XXXXS筑物后，必须处于妥善保管和安全控制之中。目的：?保护XXX刈勺IT设备，防止丢失，毁损和盗窃。含义：?所有XXX刈勺员工都要接受相关的培训。?员工应该得到适当的安全辅助设备。（四）笔记本电脑的安全妥善保管笔记本电脑，遵循XXXX相关的安全标准和规范。目的：?降低丢失笔记本电脑的可能。含义：?所有XXX刈勺员工都要接受相关的培训。?员工应该得到适当的安全辅助设备。（五）IT设备的报废和处理如果需要报废和处理的存储设备中包括核心信息资产，25在报废和处理前必须将该存储设备物理损坏或可靠

27、清除信息。目的：?如果不当地报废或处理IT设备，信息资产有可能被泄漏。?降低由未经授权的人员从XXXX的废弃物中得到机密信息资产的可能。含义：?需要制订物理损坏或重写覆盖的流程。?需要建立资产状态表以记录资产当前的状态。?员工必须意识到如何正确处理废弃的资产。第九章通讯和操作管理第十七条操作流程和责任以下策略是关于计算机和网络设备如何安全正确的操作使用，以及管理和操作的责任与流程。（一）操作变更控制任何对IT相关的信息设备、系统、软件、运行环境、策略、流程、步骤和正式文档的变更，都必须遵从变更管理流程。目的:26?确认所有变更都是可行且有效的。?确认变更没有危及信息的可用性、完整性和机密性。含义：?变更管理流程文档必须放置在适当的位置。?必须充分交流变更管理流程。（二）职责分离正确的定义员工在业务环境中的系统控制