等级保护总体安全方针与安全策略

1、总体安全方针与安全策略第一节系统总体安全方针第1条总则：住房和城乡建设部信息中心受住房和城乡建设部委托，负责管理机关外网的运行维护，为住房和城乡建设部机关提供应用系统接入和网络互联服务。第2条根据国家信息安全等级保护坚持自主定级、自主保护的原则，根据网络和应用系统在国家安全、经济建设、社会生活中的重要程度，以及遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定将机关外网定级为国家信息安全等级保护第三级。第3条机关外网的安全保护管理工作总体方针是“保持适度安全；管理与技术并重；全方位实施，全员参与；分权制衡，最小特权；尽量采用成熟的技术”。“预防为主”

2、是信息安全保护管理工作的基本方针。第4条安全策略：信息安全主管部门制定清晰的信息安全方针，并通过网络运维部门颁发和维护信息安全方针的具体措施来表明对信息安全支持和承诺。第5条部信息中心根据机关外网的保护等级、安全需求和安全目标，结合住房和城乡建设部机关自身的实际情况，依据国家有关安全法规和国家标准制定安全策略。并根据环境、系统和威胁的变化情况，及时调整安全策略，制定新的防护计划，实施必要的防护措施，动态保障系统的安全性。第6条所有机关外网安全控制措施（包括技术控制措施和管理控制措施）的选择、运营和维护均依据安全策略进行。第7条对安全管理工作的各类管理内容建立安全管理制度和操作规程，并要求管理人

3、员或操作人员按照管理制度和操作规程进行日常管理操作。形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系。第二节系统运行使用安全策略第8条机关外网总体安全保护策略是：安全工作总体方针：信息安全管理工作坚持“积极防御、综合防范”的指导方针，技术与管理相结合，按照国家信息安全等级保护的规定，合理定级，建立安全管理体系，重点保障基础网络和重要信息系统的安全，全面提高网络安全防护能力。安全工作的范围：机关外网及其接入的终端、设备、计算机房和使用者、应用系统等，都必须遵守本制度。原则：安全工作遵循“谁主管，谁负责；谁使用，谁负责”的基本原则，建立逐级安全管理责任制。安全框架：安全框架包括

4、安全技术框架、安全管理体系、组织机构及职责三部分。安全技术框架包括：根据公安部信息系统等级保护技术要求中第三级技术要求，主要包括物理安全、网络安全、主机系统安全、应用系统保护对象安全以及数据安全五个层次的内容。妥全技术框架做ET左辛柠蛊佛主，佛丸竽匹、存度屯办供阳-电敲饰护岸全申计扎钱楞范起塞代码酣F虽机安士才册晏别诉河登制一妄隹审计可然感径应用瓷全瞬密41利余梏息慄护1站也彳g爵护奇棒拴制-；音抵握制安全管理体系包括：（1）形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系。由安全管理职能部门定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定。（2）对安全

5、管理工作的各类管理内容建立安全管理制度，规范安全管理活动，约束人员行为方式；对管理人员或操作人员执行的日常管理操作建立操作规程，规范操作行为，防止操作失误。管理人员或操作人员要按照管理制度和操作规程进行日常管理操作。制度和操作规程覆盖物理、网络、主机系统、数据、应用、管理等方面。组织机构及职责包括：机关外网信息安全管理涉及的部门包括：部信息中心和授权负责信息系统建设和运维的单位。其具体职责详见本制度第三部分安全管理机构。第9条机关外网的安全保护策略由部信息中心负责制定与更新。第10条部信息中心根据机关外网的保护等级、安全保护需求和安全目标，结合住房和城乡建设部机关自身的实际情况，依据国家有关安

6、全法规和国家标准，受部办公厅委托制定机关外网的安全保护实施细则和具体管理办法，并根据环境、系统和威胁变化情况，及时调整和制定新的实施细则和具体管理办法。第11条机关外网安全等级的定级决定了系统方案的设计、实施、安全措施、运行维护等系统建设的各个环节。定级遵循“谁建设、谁定级的原则。第12条根据重要性和安全策略应在机关外网中划分为不同的安全域，针对不同的安全域确定不同的信息安全保护等级，并进行相应的保护。第13条机关外网等级保护从物理、支撑系统、网络、应用系统和管理制度五个部分进行保护，并构成系统整体安全控制机制。第14条物理部分包括：周边环境、门禁检查、防火、防水、防潮、防鼠和防雷，防电磁泄露和干扰，电源备份和管理，设备的标示、使用、存放和管理等。第15条支撑系统包括：计算机系统、操作系统、数据库系统和通信系统。第16条网络部分包括：网络的拓扑结构、网络的布线和防护、网络设备的管理和报警，网络攻击的监察和处理。第17条应用系统包括：系统登录、权限划分与识别、数据备份与容灾处理，运行管理和访问控制，密码保护机制和信息存储管理、资源控制和代码安全