单位公司企业信息安全策略总纲.docx

单位公司企业信息安全策略总纲 总则 为贯彻国家对信息安全的规定和要求，指导和规范AA省BB单位（公司）信息系统建设、使用、维护和管理过程中，实现信息系统安全防护的基本目的，提高信息系统的安全性，防范和控制系统故障和风险，确保信息系统安全、可靠、稳定运行,维护社会秩序、公共利益和国家安全，特制定《AA省BB单位（公司）信息安全策略总纲》(以下简称《总纲》)。 《总纲》根据国家信息安全相关政策法规而制定。 本制度适用于AA省BB单位（公司）信息系统，适用于AA省BB单位（公司）拟建、在建以及运行的非涉密信息系统。 信息安全工作总体方针 AA省BB单位（公司）信息系统的安全保护管理工作总体方针是“保持适度安全；管理与技术并重；全方位实施，全员参与；分权制衡，最小特权；尽量采用成熟的技术”。“预防为主”是AA省BB单位（公司）信息安全保护管理工作的基本方针。 《总纲》规定了AA省BB单位（公司）信息系统安全管理的体系、策略和具体制度，为信息化安全管理工作提供监督依据。 AA省BB单位（公司）信息系统安全管理体系是由信息安全策略总纲、安全管理制度、安全技术标准以及安全工作流程和操作规程组成的。 《总纲》是信息安全各个方面所应遵守的原则方法和指导性策略文件。 《总纲》是制定AA省BB单位（公司）信息安全管理制度和规定的依据。 AA省BB单位（公司）信息安全管理制度和规定了信息安全管理活动中各项管理内容。 AA省BB单位（公司）信息安全技术标准和规范是根据《总纲》中对信息安全方面相关的规定所引出的，其规定了信息安全中的各项技术要求。 AA省BB单位（公司）信息安全工作流程和操作规程详细规定了主要应用和事件处理的流程、步骤以及相关注意事项，并且作为具体工作时的具体依照。 信息安全总体策略 AA省BB单位（公司）信息系统总体安全保护策略是：系统资源的价值大小、用户访问权限的大小和系统重要程度的区别就是安全级别的客观体现。信息安全保护必须符合客观存在和发展规律，其分级、分区域、分类和分阶段是做好信息安全保护工作的前提。 AA省BB单位（公司）信息系统的安全保护策略由AA省BB单位（公司）网络安全与信息化工作领导小组负责制定与更新。 AA省BB单位（公司）网络安全与信息化工作领导小组根据信息系统的安全保护等级、安全保护需求和安全目标，结合AA省BB单位（公司）自身的实际情况，依据国家信息安全法规和标准，制定信息系统的安全保护实施细则和具体管理办法，并根据实际情况，及时调整和制定新的实施细则和具体管理办法。 AA省BB单位（公司）信息系统的安全保护工作应从技术体系和管理体系两个方面进行，技术体系包括物理环境安全、网络安全、主机安全、应用安全和数据安全等五个部分，管理体系包括安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等五个部分，由技术体系和管理体系共十个部分构成信息系统安全等级保护体系。 （一）物理环境安全包括：周边环境安全，门禁检查，防盗窃、防破坏、防火、防水、防潮、防雷击、防电磁泄露和干扰，电源备份和管理，设备的标识、使用、存放和管理等； （二）网络安全包括：网络的拓扑结构，网络的布线和防护，网络设备的管理和报警，网络攻击的监察和处理，网络安全审计和检查及边界完整性检查； （三）主机安全包括：主机的身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、监控和终端接入控制等； （四）应用安全包括：应用系统的身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性和保密性、抗抵赖、软件容错和资源控制等； （五）数据安全包括：数据传输的完整性和保密性、数据存储的完整性和保密性、数据的备份和恢复等； （六）安全管理制度是信息系统安全策略、方针性文件，规定信息安全工作的总体目标、范围、原则和安全框架，是管理制度体系的灵魂和核心文件； （七）通过构建和完善信息安全组织架构的措施，明确不同安全组织和不同安全角色的定位、职责以及相互关系，强化信息安全的专业化管理，实现对安全风险的有效控制； （八）人员安全管理包括人员录用、人员管理、人员考核、保密协议、培训、离岗离职等多个方面； （九）系统建设管理根据信息密级、系统重要性和安全策略将信息系统划分为不同的安全域，针对不同的安全域确定不同的信息安全保护等级，采取相应的保护。信息系统安全等级的定级决定了系统方案的设计、实施、安全措施、运行维护等信息系统建设的各个环节。信息系统定级遵循“谁建设、谁定级”的原则； （十）系统运维管理对信息系统进行综合监控管理，对支撑重要信息系统的资源进行监控保护，确保密码防护、病毒防护、系统变更等事件按照规定的信息安全管理策略实行，建立安全管理监控中心，实现对人、事件、流程、资产等方面的综合管理。 安全管理 AA省BB单位（公司）信息系统定级备案管理完