三级等保-安全管理制度-信息安全管理策略

1、三级等保-安全管理制度-信息 安全管理策略作者: 日期:*主办部门：系统运维部执笔人：审核人:XXXXX信息安全管理策略V0.XXX-XXX-XX-010 0 12014年3月17日本文件中出现的任何文字叙述、文档格式、插图、照片、 方法、过程等内容，除另有特别注明，版权均属XXXXX所有，受到 有关产权及版权法保护。任何个人、机构未经XXXXX的书面 授权许可，不得以任何方式复制或引用本文件的任何片断。文件版本信息版本日期拟稿和修改说明V 0 . 12014. 3. 17拟稿文件版本信息说明记录本文件提交时当前有效的版本控制信息，当前版本文件 有效期将在新版本文档生效时自动结束。文件版本小于

2、1.0时, 表示该版本文件为草案，仅可作为参照资料之目的。阅送范围 内部发送部门：综合部、系统运维部总目录第一章总则1第二章信息安全方针1。第三章佶息安全策略2第四章附则13。第一条 为规范XXXXX信息安全系统，确保业务系统安全、稳定和可靠的运行，提升服务质量，不断推动信息安全工作 的健康发展。根据中华人民共和国计算机信息系统安全保护条 例、信息安全技术信息系统安全等级保护基本要求(GB/T 2 2 2 39- 2 0 08)、金融行业信息系统信息安全等级保护实施指 引(JR/T 00712 012)、金融行业信息系统信息安全等级保 护测评指南(JR/T 0 0722012)，并结合XX X

3、XX实际情况, 特制定本策略。第二条本策略为XXXXX信息安全管理的纲领性文件，明 确提出XXXXX在信息安全管理方面的工作要求，指导信息安全 管理工作。为信息安全管理制度文件提供指引，其它信息安全相 关文件在制定时不得违背本策略中的规定。第三条 网络与信息安全工作领导小组负责制定信息安全 管理策略。第二章信息安全方针第四条XXXXX的信息安全方针为：安全第一、综合防范、 预防为主、持续改进。(一) 安全第一：信息安全为业务的可靠开展提供基础保障。把信息安全作为信息系统建设和业务经营的首要任务;（二）综合佛范：管理措施和技术措施并重，建立有效的识别 和预防信息安全风险机制，合理选择安全控制方式

4、，使信息安全 风险的发生概率降低到可接受水平；（三）预防为主:依据国家、行业监管机构相关规定和信息 安全管理最佳实践，根据信息资产的重要性等级,对重要信息资 产采取有效措施消除可能的隐患，降低信息安全事件的发生概 率；（四）持续改进：建立全面覆盖信息安全各个管理域的，可度 量的、可管理的管理机制，并在此基础上建立持续改进的体系框 架，不断自我完善，为业务的平稳运行提供可靠的安全保障。第五条XXXXX信息安全管理的总体目标包括：（一）信息安全管理体系建设和运行符合国家政府机关、监 管机构和主管部门的相关强制性规定、规则及适用的相关惯例、 准则和协议；（二）确保信息系统能够持续、可靠、正常地运行，

5、为用户 提供及时、稳定和高质量的信息技术服务并不断改进；（三）保护信息系统及数据的机密性、完整性和可用性，保证 其不因偶然或者恶意侵犯而遭受破坏、更改及泄露。第三章信息安全策略第六条安全管理制度（一）应形成由管理规定、管理规范、操作流程等构成的全面的信息安全管理制度体系。（二）安全管理制度应具有统一的格式，并进行版本控制，通 过正式有效的方式发布。（三）应定期对安全管理制度进行检查和审定，对存在不足 或需要改进的安全管理制度进行修订。第七条安全管理机构（一）信息安全管理工作实行统一领导、分级管理，建立网络 与信息安全工作领导小组，指导信息安全管理工作，决策信息安 全重大事宜。（二）设立系统安全

6、管理员、网络安全管理员、安全专员等 岗位，并配备专职人员，实行A、B岗制度。（三）应加强内部之间，以及外部监管机构、公安机关、供 应商和安全组织的合作与沟通。第八条员工信息安全管理（一）公司应制定安全用工原则，尤其是信息系统相关人员、 敏感信息处理人员的录用、考核、转岗、离职等环节应有具体的 安全要求。（二）信息技术总部应定期组织针对员工的信息安全培训，以 增强安全意识、提高安全技能、明确安全职责，应对安全教育和 培训的情况和结果进行记录并归档保存。（三）在岗位职责的描述中，应该阐明员工安全责任。（四）公司制定和落实各种有关信息系统安全的奖惩条例，处罚和奖励必须分明。第九条-第三方信息安全管理

7、（一）根据第三方所要访问的信息资产的等级及访问方式来 进行风险评估，确定其安全风险。（二）根据风险评估的结果，采取适当的控制方法对第三方访 问进行安全控制，保护公司信息资产的安全。（三）第三方对敏感的信息资产进行访问时，应签订保密协议 或正式的合同。在协议及合同中应该明确第三方的安全责任和必 须遵守的安全要求。（四）明确外包系统/软件开发的安全要求。（五）必须确保与第三方信息交换中各环节的安全。第十条信息系统建设安全管理（一）在项目立项前，必须明确信息系统的安全等级、安全 目标及所有的安全需求并文档化。安全需求的确定过程必须是成 熟的、有效的。（二）必须通过对安全需求进行详细的分析，制定安全设

8、计 方案，明确安全控制措施及所采取的安全技术。（三）根据设计方案的要求，对使用的软硬件产品进行选型和 测试，最终确定具体采用的产品。（四）根据设计方案和选定的产品编制实施方案。在实施方 案中必须考虑到实施过程中的风险，必须包含详细的项目实施计 划、实施步骤、测试方案和风险应对措施。（五）应制定软件开发管理制度和代码编写安全规范，明确 说明开发过程的控制方法和人员行为准则。（六）必须对实施过程进行安全管理，明确实施过程中各种 活动的程序及职责，并形成文件。（七）应根据信息系统等级，在上线前完成信息系统安全防 护措施的实施，包括基线设置等。同时还应建立必要的机制，保 证能够对投产后的信息系统进行更

9、新升级。（八）必须根据验收流程，对系统进行必要的测试和评定。（九）系统下线必须按照严格的审批流程进行，确保系统下线 不对XXXXX的安全生产和业务持续性产生影响，并同步进行 系统数据的清除。第十一条机房安全管理（一）机房建设必须符合国家标准电子计算机机房设计规 范（GB50174- 2 008）和电子计算机机房施工及验收规范（G B50462-2008）k（二）依据信息资产的安全等级、设备对场地环境的要求、 易管理性等，合理划分机房区域，针对不同区域实施不同的安全 保护措施，确保所有设备及介质的安全。（三）由专人负责机房环境的日常维护、监控、报警和故障处 理工作。根据公司实际情况，建立机房值班

10、制度。（四）制定机房以及机房内不同区域的出入管理规定，明确门 禁管理、设备出入、人员出入（包括第三方）、出入审批、进出 日志记录保留和审核等工作的管理要求和流程。（五）制定有关机房工作守则，规范人员在机房内的行为。（六）对于机房内的文档资料应固定存放在带锁或密码的专 业文件柜中，由专人妥善保管并设置相应清单。第十二条信息资产管理（一）应对公司信息资产进行登记，建立资产清单，并指定 其安全责任人。该责任人需负责贯彻及监督相关安全策略、安全 规范、安全技术标准的实施。（二）根据机密性、完整性和可用性要求对信息资产进行分类 分级，确定不同级别信息资产在其生命周期内的保护要求。（三）必须明确信息资产访

11、问控制原则，并建立信息资产访 问的授权机制。第十三条介质管理（一）公司对介质的存放环境、标识、使用、维护、运输、 交接和销毁等方面做出规定，有介质的归档和访问记录，并对存 档介质的目录清单定期盘点。（二）存储介质的管理同信息资产管理相一致，根据所承载 数据和软件的重要程度对介质进行分类分级管理。（三）针对存放数据的存储介质应达到国家标准要求，进行 标识和定期抽检。（四）需要长期存放的存储介质，应该在介质有效期内进行转 存；明确数据转存的程序与职责。（五）应设立同城异地存放备份数据的场所。异地存放备份 数据的场所应该具备防盗、防水、防火设施和一定的抗震能力。第十四条监控管理（一）应对通信线路、网

12、络设备、主机和应用软件的运行状 况、网络流量、用户行为等进行监测和报警。（二）应定期对监测和报警记录进行分析、评审，发现可疑 行为，形成分析报告，发现重大隐患和运行事故应及时协调解决, 并报上安全相关部门。（三）应建立安全管理中心，对设备状态、恶意代码、补丁升 级、安全审计等安全相关事项进行集中管理。第十五条 网络安全管理（一）指定专人对网络进行管理，负责日常的网络维护和报 警信息处理工作。（二）制定网络访问控制机制，网络访问控制策略以“除明确 允许执行情况外必须禁止”为原则。（三）当远程访问信息系统时，应采取额外的安全管控措施， 以防止设备被窃、信息未授权泄露、远程非授权访问等风险。（四）定

13、期对网络系统进行漏洞扫描，对于发现的漏洞，在经 过风险评估、验证测试和充分准备后进行修补或升级。（五）重要网络设备开启日志和审计功能。（六）网络建设中应做到以下几点：1. 应遵循高可靠性、高安全性、高性能、可扩展性、可管理 性、标准化等原则；2. 建立网络容量规划机制，充分考虑未来新业务需求和公司 当前的系统服务能力及未来技术发展的趋势；3. 应对局域网、广域网、外部网安全通信连接可靠，采取必 要的技术手段，确保网络安全。第十六条 系统安全管理（一）日志安全管理应指定专人负责，具体负责日志的采集、 保存、备份和失效处理等工作。在条件允许的情况下，可采用技 术手段实现。（二）日志记录以保障审计及

14、追查的有效性为原则，具体情 况根据系统及应用的实际情况而定，日志记录作为作业计划的一 部分，必须严格定义日志记录的广度和深度，确保日志的完整性, 并满足审计工作的需要。管理员和操作员的活动应记入日志，并 确保无法被篡改。（三）重要日志必须安全地存储在介质中，并定期备份和检 查。第十七条恶意代码防范管理（一）专人负责计算机病毒防范工作的组织与实施；（二）建立计算机病毒预警机制，严格执行病毒检测及报告 程序;（三）指定专人负责跟踪厂商发布的漏洞补丁情况，定期对 服务器、网络、应用软件进行漏洞扫描；（四）对于确有必要升级的漏洞补丁，在安装前必须进行充 分的验证测试和风险评估。漏洞补丁的安装应参考变更

15、管理的要 求，进行实施方案和回退方案的审批；（五）如果无法及时完成漏洞补丁加载，应进行原因分析，并 采取一定的安全防护措施，必要时进行回退；（六）根据国家信息系统等级保护要求，对业务系统设计侵和 攻击防范的策略以及技术实施方案，在信息系统中实现入侵和攻 击防范；（七）根据日常安全监控、风险评估、信息安全检查和信息 安全审计的结果，调整入侵和攻击防范策略或采用新的、成熟的 技术产品；（八）定期对重要的信息系统进行代码审计、渗透测试等工 作，以及时掌握信息系统安全状况，防范入侵和攻击。第十八条密码管理（一）采取额外技术措施加强密码安全时，密码产品应符合 国家密码管理规定的密码技术和产品；第十九条变

16、更管理（一）必须对信息系统的所有操作建立有效的管理和监控机 制，确定相关人员及部门职责。（二）根据信息系统变更所涉及的信息资产的安全等级，对 信息系统变更进行分级，针对不同等级的信息系统变更以文档的 形式明确相应的审批管理程序。（三）在系统变更审批前，变更申请部门提交申请报告，变更 管理员要提交系统变更方案，明确变更存在的风险及对系统的影 响。（四）实施变更前，应该对变更内容进行严格测试。（五）严格遵照实施方案中所规定的流程实施变更，变更实施 过程应记录并妥善保存。第二十条备份和恢复管理（一）数据备份工作应指定专人负责；（二）根据系统的重要程度，制定相应的备份策略；（三）建立数据备份审核程序，

17、定期进行备份数据的检查工 作,确保备份数据的完整性和有效性；（四）对关键的系统和数据必须进行异地备份。对于在异地进 行备份的系统和数据的管理，要与本地的系统和数据管理保持一 致；（五）备份数据必须由专人负责保管，数据不得泄漏，保密 数据不得以明码形式存储和传输。（六）明确生产数据恢复的原则和审批程序；（七）制定数据备份恢复方案；（A）重要信息系统的恢复性测试在不影响生产环境运行的 情况下至少每年进行一次。根据恢复测试结果进行数据恢复过程 的调整。第二十一条安全事件管理（一）信息安全相关事项由网络与信息安全工作领导小组办 公室集中管理。（二）制定包括信息系统运行状况检测、异常处理、汇报等 的安全

18、监控工作制度，指定专人负责安全监控。（三）网络与信息安全工作领导小组办公室对安全监控的结 果进行定期检查，以保证安全监控结果的有效性和完整性。确保 安全监控结果可作为其他统计和分析工作的数据来源。（四）安全事件处理的原则是“积极预防、及时发现、快速响 应、确保恢复”。（五）网络与信息安全工作领导小组办公室建立详细的安全 事件响应机制，明确安全事件的发现、分析、处理、总结和奖惩 阶段的相关责任，最大限度地减少安全事件造成的损害。（六）对安全事件做好记录和存档工作，记录内容包括事件的 原因、处理过程、处理结果、建议改进的安全对策。第二十二条应急预案（一）分析业务中断可能造成的后果，以作为制定应急预案的依据。（二）制定应急预案并文档化，确定应急预案的总体策略， 确保重大故障时重要系统和业务的及时恢复。（四）定期测试应急预案,确保计划的有效性。（五）应急预案应定期检查、及时更新维护，以确保