《信息安全策略_2.docx》由会员分享,可在线阅读,更多相关《信息安全策略_2.docx(12页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、信息安全策略第一章总则第一条为了建立、健全三二一北京科技有限公司的信息安全管理制度,根据相关的国家标准,确定信息安全方针和目的,对信息安全风险进行有效管理,确保全体员工理解并遵照信息安全管理制度的相关规定执行,改良信息安全管理制度的有效性,特制定信息安全策略文档。第二条本文档适用于三二一北京科技有限公司信息安全管理活动。第二章信息安全范围第三条信息安全策略涉及的范围包括:(一)公司全体员工。(二)公司所有业务系统。(三)公司现有信息资产,包括与上述业务系统相关的数据、硬件、软件、服务及文档等。(四)公司办公场所和上述信息资产所处的物理位置。第三章信息安全总体目的第四条通过建立健全公司各项信息安
2、全管理制度、加强公司员工的信息安全培训和教育工作,制定合适公司的风险控制措施,有效控制信息系统面临的安全风险,保障信息系统的正常稳定运行。第四章信息安全方针第五条公司主管领导定期组织相关人员召开信息安全会议,对有关的信息安全重大问题做出决策。第六条明晰识别所有资产,施行等级标记,对资产进行分级、分类管理,并编制和维护所有重要资产的清单。第七条综合使用访问控制、监测、审计和身份鉴别等方法来保证数据、网络、信息资源的安全,并加强对外单位人员访问信息系统的控制,降低系统被非法入侵的风险。第八条启动服务器操作系统、网络设备、安全设备、应用软件的日志功能,定期进行审计并作相应的记录。第九条明确全体员工的
3、信息安全责任,所有员工必须接受信息安全教育培训,提高信息安全意识。针对不同岗位,制定不同等级培训计划,并定期对各个岗位人员进行安全技能及安全认知考核。第十条建立安全事件报告、事故应答和分类机制,确定报告可疑的和发生的信息安全事故的流程,并使所有的员工和相关方都能理解和执行事故处理流程,同时妥善保存安全事件的相关记录与证据。第十一条对用户权限和口令进行严格管理,防止对信息系统的非法访问。第十二条制定完善的数据备份策略,对重要数据进行备份。数据备份定期进行复原测试,备份介质与原信息所在场所应保持安全距离。第十三条与外单位的外包服务合同应明确规定合同介入方的安全要求、安全责任和安全规定等相关安全内容
4、,并采取相应措施严格保证对协议安全内容的执行。第十四条在开发新业务系统时,应充分考虑相关的安全需求,并严格控制对项目相关文件和源代码等敏感数据的访问。第十五条定期对信息系统进行风险评估,并根据风险评估的结果采取相应措施进行风险控制。第十六条上述方针由信息安全管理委员会批准发布,并定期评审其适用性和充分性,必要时予以修订。第五章信息安全职责第十七条信息安全管理委员会负责批准信息安全策略文件并且保证本文件被公司的各部门执行,同时负责对三二一北京科技有限公司信息系统信息安全方面的指导方向、安全建设等重大问题做出决策,协调各个部门之间的安全协同工作,支持和推动信息安全工作在整个公司范围内的施行。第十八
5、条信息技术部负责详细执行安全管理策略文件的建立、施行、运作、监控、评审、维护和改良工作。第十九条三二一北京科技有限公司所有员工有责任了解本身在信息系统信息安全方面的责任并认真执行。第六章信息安全管理原则第二十条信息安全管理工作实行“积极防备、突出重点、职责到位、保障业务和“谁主管、谁负责的管理原则。第七章信息安全策略一、安全管理制度策略第二十一条由公司统一制定信息安全工作的总体方针和安全策略,讲明安全工作的总体目的、范围、原则和安全框架,构成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系。第二十二条信息技术部负责安全管理制度的制定,安全管理制度应具有统一的格式和版本控制,同时
6、并组织相关人员对制定的安全管理制度进行论证和审定,并通过脐橙金融网络借贷信息中介平台进行发布。第二十三条信息安全管理委员会负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定,对存在缺乏或需要改良的安全管理制度进行修订。二、安全管理机构策略第二十四条成立信息安全管理委员会,全面负责信息安全工作。第二十五条信息技术部作为信息安全管理工作的职能部门,并设立安全管理专员,并设立应用系统管理员、数据库管理员、网络管理员等岗位,并定义各岗位的职责。第二十六条关键事务岗位应配备AB角。第二十七条针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序,根据审批程序执行审批经过,对重
7、要活动建立逐级审批制度,并定期审查审批事项,及时更新需受权和审批的项目、审批部门和审批人等信息,并记录审批经过并保存审批文档。第二十八条加强组织内部的合作与沟通,定期召开协调会议,共同协作处理信息安全问题,并加强外联单位合作与沟通,并制定外联单位联络列表。第二十九条制定安全审核和安全检查制度,规范安全审核和安全检查工作,定期根据程序进行安全审核和安全检查活动。三、人员安全策略第三十条人力行政部负责员工录用,严格规范人员录用经过,对被录用人的身份、背景、专业资格和资质等进行审查,对其所具有的技术技能进行考核,并签署保密协议。第三十一条员工应根据岗位职责要求严格履行其安全角色和职责,主要包括:保护
8、资产免受未受权的访问、泄漏、修改、销毁或干扰,执行特定的安全经过或活动,报告安全事件或其他风险。安全角色和职责必须明晰的传达给所有员工,确保他们能清楚各自的安全责任。第三十二条定期对各个岗位的人员进行安全技能及安全认知的考核,对关键岗位的人员要进行全面、严格的安全审查和技能考核。第三十三条外单位人员在访问公司信息处理设施前必须签署保密协议,保密协议内容包括外单位人员访问信息资产的权利、承当的安全责任、违背职责要承当的后果等。负责接待人员或部门要保证外单位人员了解保密协议的条款和内容,并同意协议规定的权利和责任。第三十四条公司主要领导承当管理职责,保证所有员工和外单位人员能根据安全方针、策略和程
9、序进行日常工作。管理职责包括使所有员工和外单位人员明晰了解各自的安全角色和安全职责、提高他们的安全意识和安全技能等。第三十五条定期对所有员工进行安全培训,培训内容包括安全方针、策略、程序、信息处理设施正确使用方法、安全意识等。根据人员的安全角色和职责制定不同的培训计划,保证所有员工和外单位人员能认识到信息安全问题和信息安全事件,并能根据各自的安全角色履行安全职责。第三十六条制定正式的纪律处理经过,来严肃处理安全违规的员工,并威慑其他员工,防止他们违背安全策略、程序和其他安全违规。纪律处理要正确、公平,要根据违规的性质、重要性和对业务的影响等因素区别对待。第三十七条当员工离任或调离其他岗位、外单
10、位人员合同期满时,立即终止原来的安全角色和安全职责,并通知中心所有员工,使所有员工能及时清楚人员的变化。第三十八条当员工离任或调离其他岗位、外单位人员合同期满时,及时归还其使用的所有资产,如设备、软件、文件、访问卡、电子资料等,防止对资产的非受权使用,及时删除其对信息和信息处理设施的访问权限。四、系统建设策略第三十九条信息技术部负责对信息系统的安全建设进行总体规划,制定最近和远期的安全建设工作计划;信息技术部根据信息系统的等级划分情况,统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和具体设计方案,并构成配套文件。第四十条应组织相关部门和有关安全技术专家对总体安全策
11、略、安全技术框架、安全管理策略、总体建设规划、具体设计方案等相关配套文件的合理性和正确性进行论证和审定,并且经过批准后,才能正式施行。第四十一条信息技术部负责安全产品的采购,确保安全产品采购和使用符合国家的有关规定,而密码产品采购和使用符合国家密码主管部门的要求,在采购前应预先对产品进行选型测试,确定产品的候选范围,并定期审定和更新候选产品名单。第四十二条业务系统的开发、测试和运行设施要分离并进行控制,控制措施包括敏感数据不能拷贝到测试系统环境中、禁止开发和测试人员访问运行系统及其信息等,以减少对运行设施及其信息的未受权访问和带来的潜在风险。第四十三条定期根据外包服务协议中的安全要求,监视、评
12、审由外单位提供的服务、报告和记录,监督协议规定的信息安全条款和条件的严格执行。监视、评审内容包括监视服务执行效率,评审服务报告,审查外包服务的安全事件、操作问题、故障、失误追踪和毁坏的记录。第四十四条受权信息技术部负责工程施行经过的管理,工程施行前应制定具体的工程施行方案控制施行经过,并要求工程施行单位能正式地执行安全工程经过,并制定工程施行方面的管理制度,明确讲明施行经过的控制方法和人员行为准则。第四十五条新业务系统或升级版本在正式上线前,要进行适宜的测试,并根据验收要求和标准进行正式的验收,以证明全部验收准则完全被知足。第四十六条系统建设完成后应制定具体的系统交付清单,并根据交付清单对所交
13、接的设备、软件和文档等进行盘点;应提供系统建设经过中的文档和指导用户进行系统运行维护的文档,同时对负责系统运行维护的技术人员进行相应的技能培训。第四十七条信息技术部负责等级测评的管理,并在系统运行经过中,对信息系统应每年进行一次等级测评,应选择具有国家相关技术资质和安全资质的测评单位,发现不符合相应等级保护标准要求的及时整改;同时在系统发生变更时及时对系统进行等级测评,发现级别发生变化的及时调整级别并进行安全改造,发现不符合相应等级保护标准要求的及时整改。第四十八条在选择安全服务商时应符合国家的有关规定,并与选定的安全服务商签订与安全相关的协议,明确约定相关责任,同时确保选定的安全服务商提供技
14、术培训和服务承诺,必要的与其签订服务合同。五、系统运维策略第四十九条所有的资产要指定专人责任,并对责任人赋予相应的职责,确保所有资产都能够核查。第五十条根据资产的重要性、业务价值、依靠程度,对所有资产进行分类、分级,编制资产的清单。对资产清单妥善保管,并在资产变更时及时更新清单,确保能够对资产进行有效的保护。第五十一条应对磁带、磁盘、闪盘、可移动硬件驱动器、CD、DVD、打印媒体等进行有效的管理,防止非受权的使用和毁坏。对可移动存储介质的管理包括所有介质应存储在符合制造商讲明的安全、保密环境中,使用介质要进行受权、登记并追踪审计等。第五十二条应对不再需要的介质进行安全处置,降低介质敏感信息泄漏
15、给未受权人员的风险。第五十三条应对信息系统相关的各种设备包括备份和冗余设备、线路等指定专门的部门或人员定期进行维护管理。第五十四条应建立配套设施、软硬件维护方面的管理制度,对其维护进行有效的管理,包括明确维护人员的责任、涉外维修和服务的审批、维修经过的监督控制等,应确保信息处理设备必须经过审批才能带离机房或办公地点。第五十五条重要的纸质文档应实行借阅登记制度,未经信息技术部领导批准,任何人不得将技术文档转借、复制或对外公开;重要的电子文档应建立OA等电子化办公审批平台进行管理。第五十六条应对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警,构成记录并妥善保存;同时组织相关人员定期对监测和报警记录进行分析、评审,发现可疑行为,构成分析报告,并采取必要的应对措施。