三级等保安全管理制度信息安全管理策略
* 主办部门:系统运维部 执 笔 人: 审 核 人: XXXXX 信息安全管理策略 V0.1 XXX-XXX-XX-01001 2014 年 3 月 17 日 [本文件中出现的任何文字叙述、文档格式、插图、照片、 方法、过程等内容,除另有特别注明,版权均属XXXXX 所有,受 到有关产权及版权法保护。任何个人、机构未经 XXXXX 的书面授 权许可,不得以任何方式复制或引用本文件的任何片断。] 文件版本信息 版本 V0.1 文件版本信息说明 记录本文件提交时当前有效的版本控制信息, 当前版本文件 有效期将在新版本文档生效时自动结束。文件版本小于 1.0 时, 表示该版本文件为草案,仅可作为参照资料之目的。 阅送范围 内部发送部门:综合部、系统运维部 日期日期 2014.3.17 拟稿和修改拟稿和修改 拟稿 说明说明 目目录录 第一章第一章总则总则 1 1 第二章第二章信息安全方针信息安全方针 1 1 第三章第三章信息安全策略信息安全策略 2 2 第四章第四章附则附则 1313 第一章总则 第一条为规范 XXXXX 信息安全系统,确保业务系统安全、 稳定和可靠的运行,提升服务质量,不断推动信息安全工作的健 康发展。根据《中华人民共和国计算机信息系统安全保护条例》 、 《信息安全技术信息系统安全等级保护基本要求》 (GB/T22239-2008) 、《金融行业信息系统信息安全等级保护实施 指引》 (JR/T 0071—2012) 、 《金融行业信息系统信息安全等级保 护测评指南》 (JR/T 0072—2012) ,并结合 XXXXX 实际情况,特 制定本策略。 第二条本策略为 XXXXX 信息安全管理的纲领性文件, 明确 提出 XXXXX 在信息安全管理方面的工作要求, 指导信息安全管理 工作。为信息安全管理制度文件提供指引,其它信息安全相关文 件在制定时不得违背本策略中的规定。 第三条网络与信息安全工作领导小组负责制定信息安全 管理策略。 第二章信息安全方针 第四条 XXXXX 的信息安全方针为:安全第一、综合防范、 预防为主、持续改进。 (一) 安全第一: 信息安全为业务的可靠开展提供基础保障。 把信息安全作为信息系统建设和业务经营的首要任务; (二)综合防范:管理措施和技术措施并重,建立有效的识 别和预防信息安全风险机制,合理选择安全控制方式,使信息安 全风险的发生概率降低到可接受水平; (三)预防为主:依据国家、行业监管机构相关规定和信息 安全管理最佳实践,根据信息资产的重要性等级,对重要信息资 产采取有效措施消除可能的隐患,降低信息安全事件的发生概 率; (四)持续改进:建立全面覆盖信息安全各个管理域的,可 度量的、可管理的管理机制,并在此基础上建立持续改进的体系 框架,不断自我完善,为业务的平稳运行提供可靠的安全保障。 第五条 XXXXX 信息安全管理的总体目标包括: (一)信息安全管理体系建设和运行符合国家政府机关、监 管机构和主管部门的相关强制性规定、规则及适用的相关惯例、 准则和协议; (二)确保信息系统能够持续、可靠、正常地运行,为用户 提供及时、稳定和高质量的信息技术服务并不断改进; (三)保护信息系统及数据的机密性、完整性和可用性,保 证其不因偶然或者恶意侵犯而遭受破坏、更改及泄露。 第三章信息安全策略 第六条安全管理制度 (一)应形成由管理规定、管理规范、操作流程等构成的全 面的信息安全管理制度体系。 (二)安全管理制度应具有统一的格式,并进行版本控制, 通过正式有效的方式发布。 (三)应定期对安全管理制度进行检查和审定,对存在不足 或需要改进的安全管理制度进行修订。 第七条安全管理机构 (一)信息安全管理工作实行统一领导、分级管理,建立网 络与信息安全工作领导小组,指导信息安全管理工作,决策信息 安全重大事宜。 (二)设立系统安全管理员、网络安全管理员、安全专员等 岗位,并配备专职人员,实行 A、B 岗制度。 (三)应加强内部之间,以及外部监管机构、公安机关、供 应商和安全组织的合作与沟通。 第八条员工信息安全管理 (一) 公司应制定安全用工原则, 尤其是信息系统相关人员、 敏感信息处理人员的录用、考核、转岗、离职等环节应有具体的 安全要求。 (二)信息技术总部应定期组织针对员工的信息安全培训, 以增强安全意识、提高安全技能、明确安全职责,应对安全教育 和培训的情况和结果进行记录并归档保存。 (三)在岗位职责的描述中,应该阐明员工安全责任。 (四)公司制定和落实各种有关信息系统安全的奖惩条例, 处罚和奖励必须分明。 第九条第三方信息安全管理 (一) 根据第三方所要访问的信息资产的等级及访问方式来 进行风险评估,确定其安全风险。 (二)根据风险评估的结果,采取适当的控制方法对第三方 访问进行安全控制,保护公司信息资产的安全。 (三)第三方对敏感的信息资产进行访问时,应签订保密协 议或正式的合同。 在协议及合同中应该明确第三方的安全责任和 必须遵守的安全要求。 (四)明确外包系统/软件开发的安全要求。 (五)必须确保与第三方信息交换中各环节的安全。 第十条信息系统建设安全管理 (一)在项目立项前,必须明确信息系统的安全等级、安全 目标及所有的安全需求并文档化。 安全需求的确定过程必须是成 熟的、有效的。 (二)必须通过对安全需求进行详细的分析,制定安全设计 方案,明确安全控制措施及所采取的安全技术。 (三)根据设计方案的要求,对使用的软硬件产品进行选型 和测试,最终确定具体采用的产品。 (四)根据设计方案和选定的产品编制实施方案。在实施方 案中必须考虑到实施过程中的风险, 必须包含详细的项目实施计 划、实施步骤、测试方案和风险应对措施。 (五)应制定软件开发管理制度和代码编写安全规范,明确 说明开发过程的控制方法和人员行为准则。 (六)必须对实施过程进行安全管理,明确实施过程中各种 活动的程序及职责,并形成文件。 (七)应根据信息系统等级,在上线前完成信息系统安全防 护措施的实施,包括基线设置等。同时还应建立必要的机制,保 证能够对投产后的信息系统进行更新升级。 (八)必须根据验收流程,对系统进行必要的测试和评定。 (九)系统下线必须按照严格的审批流程进行,确保系统下 线不对 XXXXX 的安全生产和业务持续性产生影响, 并同步进行系 统数据的清除。 第十一条机房安全管理 (一)机房建设必须符合国家标准《电子计算机机房设计规 范(GB50174-2008) 》和《电子计算机机房施工及验收规范 (GB50462-2008) 》 。 (二)依据信息资产的安全等级、设备对场地环境的要求、 易管理性等,合理划分机房区域,针对不同区域实施不同的安全 保护措施,确保所有设备及介质的安全。 (三)由专人负责机房环境的日常维护、监控、报警和故障 处理工作。根据公司实际情况,建立机房值班制度。 (四)制定机房以及机房内不同区域的出入管理规定,明确 门禁管理、设备出入、人员出入(包括第三方) 、出入审批、进 出日志记录保留和审核等工作的管理要求和流程。 (五)制定有关机房工作守则,规范人员在机房内的行为。 (六) 对于机房内的文档资料应固定存放在带锁或密码的专 业文件柜中,由专人妥善保