信息安全管理策略

1、XXX必司 信息安全管理策略制度编号：0 一五年六月属性内容用户名称：文档主标题：文档副标题：文档编号：版本日期：制度版本作者：密级：文档变更历史版本修正日期修正人描述第一章总则 4第二章适用范围 4第三章术语定义 4第四章职责定义 5第五章管理要求 8第一节信息安全管理体系 8第二节风险管理策略 8第三节组织安全管理策略 9第四节人力资源安全管理策略 11第五节信息资产管理策略 14第六节访问控制管理策略 16第七节密码管理策略 21第八节物理和环境安全管理策略 22信息安全管理策略第一章 总则第一条 为明确XXXX公司（以下简称“双）的信息安全管 理职责和管理策略，依据管理体系总纲和信息科

2、技风险管 理策略，特制定本办法。第二条 信息安全管理的主要目标是控制信息安全风险，确 保XX信息的保密性、完整性和可用性。第二章 适用范围第三条本策略适用于 XX组织安全、人力资源安全、信息 资产、访问控制、密码、物理和环境安全、操作安全、网络和 通讯安全、系统获取开发和维护安全、供应商安全、信息安全 事件、业务连续性中的信息安全、以及合规等方面的管理。第四条 本策略适用于XX各部门，以及与XX合作的商业伙 伴、为XX提供服务的服务提供商及人员等。第三章 术语定义第五条 本办法涉及的术语包括：信息、信息安全、信息安 全管理体系、风险、保密性、完整性、可用性、风险评估、风险 处置、访问控制、信息

3、安全事态、信息安全事件、业务连续性。第六条 本办法涉及到术语定义，参见术语表。第4页/共27页信息安全管理策略第四章 职责定义第七条XX负责本管理领域规章制度的设计、推广、监督和改进。第八条 本办法涉及的角色包括：信息安全保护领导小组（以下简称“领导小组”）、信息安全保护工作小组（以下简称“工 作小组”）、安全管理员、安全员、信息资产责任人、全体人员（包 括公司员工，和相关外部人员）。第九条信息安全保护领导小组作为信息安全决策执行机构， 主要职责包括：（1） 负责分配和落实信息安全方面的角色和职责；（2） 负责根据国家信息安全的有关法律、法规、制度、 规范及XX信息安全管理策略，组织、制定、落

4、实 XX（言息安全方 面的各项规章制度、实施细则、安全目标及岗位安全责任；（三）负责批准实施信息安全的相关具体流程和方法；（4） 负责审批信息安全目标的执行情况；（5） 负责审定 XX风险接受准则，组织信息安全风险评 估和处置的开展；（六）负责决策信息安全风险是否要采取安全措施或增加 安全措施；（7） 负责评估新系统或服务的安全性弁监督上线实施；（8） 负责审批调查信息安全事件报告；（9） 负责确定信息安全方面的提议；第5页/共27页信息安全管理策略（十） 负责推动XX信息安全的各项工作。第十条信息安全保护工作小组是信息安全保护领导小组的 下设机构，工作小组由安全管理员和各部门安全员组成，负责

5、信息安全日常工作的具体执行，对领导小组负责，主要职责包括：（1） 负责领导小组指定日常事务的具体执行；（2） 负责根据信息安全的有关法律、法规、制度、规范 及XX信息安全管理规范，组织、协调、落实XX的信息安全工作；（3） 负责落实执行信息安全相关的具体制度；（4） 负责提交信息系统和信息资产需要采取的安全措施 或增加安全措施建议；（5） 负责根据领导小组的意见和建议及相关的流程，落 实新系统或服务的安全保护措施弁执行上线实施工作；（6） 负责调查信息安全事件，弁向领导小组提交相关书 面调查报告；（七）负责抽查弁监督安全措施的落实工作，及时汇总相 关安全问题上报领导小组。第十一条安全管理员作为

6、工作小组的负责人，由信息安全 保护领导小组任命和指导，直接对信息安全保护领导小组负责， 主要职责包括：（1） 负责组织XX内部信息安全意识和信息安全技术培训;第6页/共27页信息安全管理策略（2） 负责组织检查具体信息安全工作的执行情况，形成 汇总分析弁上报领导小组；（3） 负责上报弁调查信息安全事件，收集汇总信息安全 事件报告；（4） 负责收集汇总安全建设规划和改进意见。第十二条 安全员作为各部门具体信息安全日常工作的组 织者和检查者，由信息安全保护领导小组任命和指导， 其主要职 责包括：（1） 负责本部门内的信息安全意识培训；（2） 负责本部门具体信息安全工作的检查，形成汇总分 析弁上报安

7、全管理员；（3） 负责上报弁调查本部门内信息安全事件，提出安全 建设规划和改进意见等；第十三条信息资产责任人作为信息资产的负责人，主要职 责包括：（1） 对所承担的信息资产的信息安全负主要责任，负责 该项信息资产的日常保护；（2） 负责识别所承担信息资产的信息安全风险。第十四条全体人员作为信息安全管理工作的具体执行者， 其主要职责包括：（一） 了解弁执行信息安全方针，履行信息安全职责；（二）协助识别信息资产,执行相关信息资产的信息安全第7页/共27页信息安全管理策略要求;（3） 识别信息安全违规和信息安全事态，按要求及时上报弁协助处理。第五章管理要求第一节信息安全管理体系第十五条 信息安全管理

8、体系的适用范围为：（1） 管理范围：适用于 XX的信息安全管理；（2） 组织范围：适用于 XX所有部门。第十六条信息安全管理体系策划、实施、检查和改进的相 关要求，详见管理体系总纲。第十七条应根据信息科技风险管理策略的相关要求， 对信息安全管理的风险进行评估。第十八条应根据信息安全管理体系制度和该体系制订依 据标准的对应关系，编写适用性声明。第二节风险管理策略第十九条组织应定义弁应用风险评估过程，以确定需要 应对的风险和机会。（1） 应根据XX风险管理策略，制定风险管理制度，明确 风险评估的过程和方法；第8页/共27页信息安全管理策略（2） 实施风险评估时，应识别与信息保密性、完整性和 可用性

9、有关的风险；（3） 针对信息安全风险评估，应定义风险接受准则；（4） 风险评估的方法和要求，详见信息科技风险管理 策略。第二十条 组织应定义弁应用风险处置过程。（1） 应针对风险评估的结果，确定风险级别；（2） 应针对风险评估的结果，明确风险处置责任人，制 定、审批弁实施风险处置计划。第三节组织安全管理策略第二十一条 所有的信息安全职责应予以定义和分配。（1） 应建立统一、有效的信息安全管理架构，确定信息 安全角色和职责；（2） 应该落实信息安全管理职责至 XX各部门，弁建立适 当的沟通与交流机制。第二十二条 应分割冲突的责任及职责范围，以降低未授 权或无意识的修改或不当使用组织资产的机会。（

10、1） 应结合XX现状及安全相互约束性考虑，明确互斥、 不兼容的角色和职责；（2） 应制定角色和职责分离原则，弁坚持具体的职责分离实施结果。第9页/共27页信息安全管理策略第二十三条 应保持与政府相关部门的适当联系。（1） 应该建立XX与公安部门、人民银行、银监局 （会）、 国际金融业安全组织等机构之间的沟通与交流机制，建立弁维护联系清单；（2） 应与当地执法机关、管理机关、信息服务商和电信 运营商保持适当联系，确保在发生信息安全事件时能够得到及 时响应及必要帮助。第二十四条 应保持与特定利益集团、其他专业安全论坛 和专业协会的适当联系。（1） 应该建立 XX与国内信息安全组织或专家之间的交 流

11、机制，建立弁维护联系清单；（2） 应与外部其它组织间进行安全协作，监督、检查、 指导内部信息安全保护工作；（3） 应积极参加组织间信息安全方面的技术交流。第二十五条 无论项目类型，都应处理项目管理中的信息 安全问题。（1） 在项目实施过程中，应指定专人负责监督项目全生 命周期中的信息安全风险；（2） 在项目实施过程中，应评估弁处置项目中可能发生 的各项风险；（3） 在项目实施过程中，如发生信息安全事件，应参照 信息安全事件相关要求的处理。第10页/共27页信息安全管理策略第二十六条 应采用策略和支持性安全措施以管理使用移 动设备带来的风险。（1） 应制定使用个人移动设备的管理策略，明确使用个人

12、移动设备的审批流程，保护 XX信息安全；（2） 应明确使用移动设备时，需采用物理保护、访问控制、密码技术、备份和病毒防治等保护措施，确保XX信息不被泄露。第二十七条 应实施策略和支持性安全措施以保护在远程工作场地访问、处理或存储的信息。（1） 应进行网络控制，确保远程工作时，不能连接到生产环境；（2） 应明确移动设备的安全措施和操作标准；（3） 应采取合理的保护措施确保在公共场所使用移动设备办公时的信息安全；（4） 移动设备内存储的XX信息，应进行备份，弁妥善保 管备份信息。第四节 人力资源安全管理策略第二十八条对所有任用候选者的背景验证核查应按照相关法律、法规、道德规范进行，弁与业务要求、被

13、访问信息的类别和所察觉的风险相适宜。（1） 在新员工及其他外部人员进入 XX开展工作前，应第11页/共27页信息安全管理策略当明确其安全职责、强调其安全责任，弁进行背景调查；（2） 应通过对所有应聘者、合同方人员、和第三方人员 进行必要筛选和限制。第二十九条 与员工和承包方人员的合同协议中应声明他 们的和组织的信息安全职责。（1） 应与所有员工签署保密协议，作为雇用合同基本条 款和条件的一部分，保密协议应明确规定员工的信息安全责任、 保密要求及其违约时的法律责任；（2） 实习生、第三方人员在 XX工作前，应签署保密协 议，明确其信息安全责任、保密要求及其违约时的法律责任。第三十条管理者应要求所

14、有员工和承包方人员按照组织 已建立的策略和规程对信息安全尽心尽力。（1） 应制定管理制度，明确员工的信息安全职责；（2） 在XX岗位职责的描述中，应阐明岗位对应的信息安 全任务和职责；（3） 应明确员工有责任将影响信息安全的违规和事件通 过适当的管理渠道尽快上报。第三十一条 组织的所有员工，适当时，包括承包方人员， 应接受与其工作职能相关的适当的意识教育和培训，以及组织 方针策略及规程的定期更新的信息。（1） 所有员工、实习生、以及涉及的第三方人员，都应 该接受安全制度和流程方面的教育和培训；第12页/共27页信息安全管理策略（2） 应该组织员工接受信息安全技能培训，确保其保护 信息安全的能力

15、；（3） 应该对信息安全意识和信息安全技能培训的效果进 行检验。第三十二条 应有一个正式的、已传达的纪律处理过程， 以对信息安全违规的员工采取措施。（1） 应制定和落实有关信息安全的奖惩在制度，制度中 应明确员工被奖惩的适用情况、证据提供、奖惩手段、审批等 具体要求；（2） 应对奖惩机制的执行效果进行评估，弁加以改进。第三十三条 应明确任用终止或变更后仍持续有效的信息 安全责任和义务，传达给员工或承包方人员弁执行。（1） 员工离职或其合同到期时，应根据保密协议的相关 要求，对其工作进行审查；（2） 应明确员工在信息安全方面的职责、以及该职责在 聘用关系结束后的有效期；（3） 任用中止时，员工、

16、合同方人员和第三方人员应归 还其使用的设备弁清除相关信息，弁取消其对信息及信息资产 的使用权；（四）对于职责发生变化的员工、合同方人员和第三方人 员，对其所拥有的信息资产访问权要做相应的变更，弁立刻生 效。第13页/共27页信息安全管理策略第五节信息资产管理策略第三十四条 应识别与信息和信息处理设施相关的资产， 编制弁维护这些资产的清单。（1） 应对所有信息资产进行识别、建立资产清单；（2） 资产清单应由相关部门进行维护，确保清单的准确 性。第三十五条 清单中的资产应有责任人。（1） 明确定义信息资产责任人与信息资产管理人、使用 人和安全员的职责，建立信息资产问责制；（2） 对资产清单中的每项

17、资产，都应指定信息资产责任 人。第三十六条 与信息及信息和信息处理设施有关的资产的 可接受使用规则应被确定、形成文件弁加以实施。（1） 应制定信息资产管理制度，明确信息和信息资产的 管理要求；（2） 应根据信息和信息资产的生命周期，明确使用规则 和安全要求。第三十七条 信息应按照法律要求、价值、关键性以及它 对未授权泄露或修改的敏感性予以分级。（1） 应根据对信息的机密性、完整性、可用性进行级别 划分，制定XX信息分级机制；（2） 各部门应负责对管辖范围内的信息进行识别及定第14页/共27页信息安全管理策略级。第三十八条 应按照组织所采纳的信息分级机制，制定弁 实施一套合适的信息标记规程。（1

18、） 应根据信息分级和信息资产的分类机制，制定信息 资产的标识原则，弁应用到所有信息资产中；（2） 应对信息资产标识的实施情况进行检查，弁维护标 识的结果。第三十九条 应按照组织所采纳的信息分级机制，制定弁 实施资产处理的规程。（1） 应根据所承载信息级别的不同，明确信息资产的分 级机制；（2） 应根据信息资产的级别，分别制定其访问、存储和 处理的管理要求。第四十条 所有的员工和外部方人员在终止任用、合同或 协议时，应归还他们使用的所有组织资产。（1） 任用中止时，员工、合同方人员和第三方人员应归 还其使用的设备弁清除相关信息，弁取消其对信息及信息资产 的使用权；（2） 对于职责发生变化的员工、

19、合同方人员和第三方人 员，对其所拥有的信息资产访问权要做相应的变更。第四十一条 应按照组织采用的分级机制实施移动介质的管理规程。第15页/共27页信息安全管理策略（一） 应根据所承载信息级别的不同，定义不同种类移动介质的可承载的信息；（二）移动介质承载信息后，应根据其信息级别都应明确其访问、使用、移动和处置的管理要求。第四十二条 不再需要的介质，应使用正式的规程安全地 处置。（1） 应制定管理制度，规范介质的清除和销毁过程，弁 明确过程中的安全要求；（2） 应根据所承载信息级别以及介质形态的不同，定义 各类介质的清除和销毁的方式。第四十三条 包含信息的介质在运送时，应受到保护，以 防止未授权的

20、访问、不当使用或毁坏。（1） 应制定管理制度，明确介质在组织内和组织外的使 用和管理要求；（2） 应明确介质在组织区域外使用时，需采取的保护措 施，保护其免遭破坏、丢失和非法使用。第六节访问控制管理策略第四十四条 应基于业务和信息安全要求建立访问控制策 略，形成文件弁进行评审。（1） 应制定访问控制管理制度，根据XX对信息和信息资 产的管理要求，明确访问控制的授权原则；第16页/共27页信息安全管理策略（2） 应定义访问控制相关角色和职责，明确访问控制授 权过程要求；（3） 应将基于业务需要的访问控制规则向用户和服务提 供者明确地加以说明。第四十五条 用户应仅能访问已获得专门授权的网络和网 络

21、服务。（1） 应对内部和外部网络服务的访问加以控制，以确保 对XX内部网络与外部网络进行有效的隔离和控制；（2） 应对网络环境中用户和设备设置合适的身份鉴别机 制，弁根据控制规则和业务要求限制用户对网络和服务的访 问。第四十六条 应实施正式的用户注册及注销规程，以分配 访问权限。（1） 应制定用户账号管理制度，严格控制用户账户的注 册和使用；（2） 应明确用户在同一信息系统中，使用唯一的身份标 识；（3） 在对于业务或操作必要时，才允许使用组账号，组 账号的使用需经过审批，弁保留相应记录；（4） 人员离开XX后，应立即禁用或取消其用户账户；（5） 用户应该详细阅读有关访问权限的书面说明，弁且签

22、字以表明其接受访问条款。第17页/共27页信息安全管理策略第四十七条 应实施正式的用户访问开通过程，以分配或撤销所有系统和服务的所有用户类型的访问权限。（1） 应制定访问授权制度，明确在多用户信息科技系统中，用户权限申请、更改、撤销的审批程序；（2） 用户应该对其拥有的权限进行确认，表明其了解弁接受该权限；（3） 用户工作岗位变动后，应该立即修改其访问权限；第四十八条 应限制和控制特殊访问权限的分配及使用。（1） 信息系统的管理帐号或其它的特殊访问权限账号应被特别关注，弁制定相应的授权原则；（2） 应记录弁应维护特殊访问权限每个账户的授权过程；（3） 应明确特殊访问账号在不同职责中的分配，不允

23、许 任何用户够独自行使所有超级用户的所有超级权限。（4） 应制定特权账户分配原则，明确部分特殊账户权限 在完成特定任务后应该被立即收回， 确保特权被收回后，特权使 用者不再拥有多余的特权。第四十九条 应通过正式的管理过程控制保密认证信息的分配。（1） 应明确要求用户签署一份声明，以保证个人秘密鉴 别信息的保密性和组信息仅在该组成员范围内使用；（2） 若需要用户维护自己的秘密鉴别信息，应在初始时提供给他们一个安全的临时秘密鉴别信息，弁强制其在首次第18页/共27页信息安全管理策略使用时改变。第五十条资产责任人应定期复查用户的访问权限。（1） 应对用户获得的账户和权限进行记录，弁由相应资 产责任人

24、组织对账户和权限审计；（2） 资产责任人对其负责信息资产的用户访问权限授权 负责。第五十一条 所有员工、外部用户对信息和信息处理设施 的访问权限应在任用、合同或协议终止时予以移除，或在变更 时予以调整。（1） 人员任用终止时，其可访问的信息资产访问权限应 被撤销或暂停；（2） 人员任用的变更时，其可访问的信息资产访问权限 应被调整。第五十二条 应要求用户在使用保密认证信息时，遵循组 织的实践惯例。（1） 应明确管理要求，确保用户的保密秘密鉴别信息不 泄露给其他人；（2） 应采取相关措施，避免保留秘密鉴别信息的记录， 除非可以对其进行安全地存储及存储方法得到批准。第五十三条 应依照访问控制策略限

25、制对信息和应用系统 功能的访问。（1） 应根据XX业务和信息系统现状，定义访问授权原则;第19页/共27页信息安全管理策略（2） 应依据访问授权原则，明确对信息和应用系统的具 体访问控制措施；（3） 应对信息和应用系统相关的主机、网络和信息系统 的访问进行限制，仅在开通和授权方可开通；（4） 所有信息和信息资产只能由被授权的业务及人员使 用，所有设备的物理访问应当局限于得到授权的个人；（5） 所有最高权限都应该单独控制，使用最高权限时必 须进行审批，弁在使用后进行复核。第五十四条 在访问控制策略要求下，访问系统和应用应 通过安全登录规程加以控制。（1） 应明确管理要求，规定用户访问时，不应获得

26、任何 帮助消息，以免被非法用户利用；（2） 应明确只有在用户输入所有登录数据后，方可验证 登录信息；（3） 应限制用户不成功登录次数，以及用户登入系统的 时限。第五十五条口令管理系统应是交互式的，弁应确保优质的口令。（1） 应制定管理要求，明确采用交互式口令；（2） 应对口令的长度、复杂度、有效期等进行规范，确 保使用优质口令。第五十六条 对于可能超越系统和应用控制措施的实用工第20页/共27页信息安全管理策略具软件的使用应加以限制弁严格控制（1） 应制定管理要求，明确可在系统上运行的工具软件 清单，弁采取最小化安装原则，防止非授权使用；（2） 使用可能超越系统和应用控制措施的工具软件时， 应

27、保留其访问授权记录，弁采取双人操作的方式。第五十七条 应限制对程序源代码的访问。（1） 应建立统一的代码管理机制，实现对应用系统的代 码、版本进行安全有效的管理；（2） 应用系统代码库应采用软件配置管理系统进行管理， 通过管理措施，确保目标代码与源代码保持一致；（3） 应制定管理制度，对代码库的访问进行严格的访问 控制，代码库的变更遵循严格的控制流程。第七节密码管理策略第五十八条 应制定和实施保护信息的密码控制的使用策 略。（一） 应组织相应的专家或机构评审弁确定XX使用密码技术；（二）应制定管理制度，弁根据不同级别信息和访问控制 的要求，明确密码的分类及各类密码的管理要求。第五十九条 应制定

28、和实施贯穿整个密钥生命周期的密钥使用、保护和生存期的策略。第21页/共27页信息安全管理策略（1） 应制定密钥管理制度，明确密钥生产、 分发、存储、 恢复、更新和销毁全生命周期的管理要求；（2） 生产上使用的密钥严禁在开发或测试环境上使用， 禁止将生产数据提供给第三方；（3） 应制定针对密钥管理活动的审计机制。第八节物理和环境安全管理策略第六十条 应明确安全边界，以保护包含敏感或关键信息和 信息处理设施的区域。（1） 应依据是信息资产的安全等级、设备对场地环境的 要求、易管理性及物理空间分布等，划分物理安全区，确保所 有的设备及介质均处在物理安全区的保护之下；（2） 物理安全区应有明确的标志，

29、弁明确不同物理安全 区的保护措施；（3） 生产环境、测试环境、开发环境相互之间应定义明 确的物理安全边界。第六十一条 安全区域应由适合的入口控制所保护，以确 保只有授权的人员才允许访问。（1） 安全区应该配备相应的监控系统，弁在入口处明显 标示出该地点为安全控制地带；（2） 对每个安全区建立允许进出该安全区的内部人员清单，弁及时维护该清单;第22页/共27页信息安全管理策略（3） 对每个安全区建立外部人员进入该安全区的审批机 制。弁通过必要的控制措施，对进出安全区人员进行身份认证；（4） 所有进出安全区的人员都要有进出记录，记录保留 以备查；（5） 货物进入重要的物理安全区前，必须对其进行安全

30、 检查。第六十二条 应为办公室、房间和设施设计弁实施物理安 全措施。（一） 关键设施应尽可能避免安置在公众可访问的场地；（二）应尽量避免保密信息或活动对外部可视或可见。第六十三条 为防止自然灾难、恶意攻击和安全事故，应 设计和应用物理保护措施。（1） 物理安全区应依据国家相关的标准规范，选择合适 的场地，弁有完备的配电、照明、温湿度、防水、防火、防雷及 防盗等环境条件；（2） 应当对安放各安全区的建筑和环境安全进行检查和 测试；（3） 数据中心机房设施应符合国家 B级（含）以上标准, XX应严格按照国家相关部门条例、规范、制度贯彻执行；（4） 应在各安全区的合适位置安装防水、防火设备；（5）

31、应当在数据中心及机房中的合适位置以整齐的间距 安装烟、热探测器，用以在发生火灾时发出报警。第23页/共27页信息安全管理策略第六十四条 应设计和应用安全区域工作规程。（1） 应制定有关物理安全区工作守则，规范工作人员的 安全操作行为，加强已采取物理保护措施的安全区的安全；（2） 应严格控制物理安全区的进出，以及第三方人员在 安全区内的活动。第六十五条 应对出入口（例如交货和装载区域和未授权 人员可进入的其他位置）加以控制，如果可能，应与信息处理设 施隔离，以避免未授权访问。（1） 应指定特定物理安全区作为交货和装卸区域，外部 人员访问该区域时，需进行身份认证弁记录；（2） 应尽量选择远离信息系

32、统的区域作为交货和装卸区 域。第六十六条 应安置或保护设备，以减少由环境威胁和危 险所造成的各种风险以及未授权访问的机会。（1） 所有设备必须经过相关职能部门的授权才能使用， 弁详细记录每次使用的授权情况；（2） 与信息系统相关的设备，应放置在指定的物理安全 区，弁只能由被授权的人员访问；第六十七条 应保护设备使其免于由支持性设施的失效而 引起的电源故障和其他中断。（1） 应为数据中心提供至少两路独立连接主电源的供电 线路，以防止单条供电线路发生故障时的断电；第24页/共27页信息安全管理策略（2） 应为数据中心及机房提供不间断电源，从而在短时 间的断电或电压突降发生时为其提供不间断的供电；（3） 应为数据中心及机房准备后备发电设备，以防止供 电中断造成的信息系统不可用。第六十八条 应保证传输数据或支持信息服务的电源布缆 和通信布缆免受窃听、干扰或损坏。（1） 设计物理安全区时，应考虑布缆的需要；（2） 应制定布缆的相应要求，防止线路被窃