信息安全工作总体方针

1、信息安全工作总体方针第一章 总则第一条 为加强和规范省信息中心及直属直管各单位（以下简称“各单位” ） 信息系统安全工作， 提高中心信息系统整体安全防护水平， 实现信息安全的可控、 能控、在控，依据国家有关法律、法规的要求，制定本文档。第二条 本文档的目的是为中心信息系统安全管理提供一个总体的策略性架 构文件，该文件将指导中心信息系统的安全管理体系的建立。 安全管理体系的建 立是为中心信息系统的安全管理工作提供参照，以实现中心统一的安全策略管 理，提高整体的网络与信息安全水平， 确保安全控制措施落实到位， 保障网络通 信畅通和业务系统的正常运营。第三条 本文档适用于中心以中心下属各单位信息系统

2、资产和信息技术人员 的安全管理和指导， 适用于指导中心信息系统安全策略的制定、 安全方案的规划 和安全建设的实施，适用于中心安全管理体系中安全管理措施的选择。第四条 本办法所称信息系统指中心一体化企业级信息系统，主要包括一体 化企业级信息集成平台（以下简称“一体化平台”）和八大业务应用。 “一体化平台”包含信息网络、 数据交换、数据中心、应用集成和企业门户； “业 务应用”包含财务（资金）管理、营销管理、安全生产管理、协同办公、人力资 源管理、物资管理、项目管理、综合管理业务应用。第五条 引用标准及参考文件本文档的编制参照了以下国家、中心的标准和文件：（一）中华人民共和国计算机信息系统安全保护

3、条例（二）关于信息安全等级保护建设的实施指导意见（信息运安200927 号）（三）信息安全技术 信息系统安全等级保护基本要求 （GB/T22239-2008） （四）信息安全技术 信息系统安全管理要求（ GB/T 202692006） （五）信息系统等级保护 安全建设技术方案设计要求（报批稿） （六）关于开展信息安全等级保护安全建设整改工作的指导意见（公信安20091429 号）第二章 方针、目标和原则第六条 中心信息系统安全坚持“安全第一、预防为主，管理和技术并重， 综合防范”的总体方针，实现信息系统安全可控、能控、在控。依照“分区、分 级、分域”总体安全防护策略， 执行信息系统安全等级保护

4、制度。 管理信息网络 分为信息内网和信息外网， 实现“双机双网”， 信息内网定位为承载网络和内部 办公网络，信息外网定位为对外业务网络和访问互联网用户终端网络。信息内、 外网之间实施强逻辑隔离的措施。第七条 信息系统安全总体目标是确保信息系统持续、稳定、可靠运行和确 保信息内容的机密性、 完整性、可用性， 防止因信息系统本身故障导致信息系统 不能正常使用和系统崩溃， 抵御黑客、 病毒、恶意代码等对信息系统发起的各类 攻击和破坏， 防止信息内容及数据丢失和失密， 防止有害信息在网上传播， 防止 中心对外服务中断和由此造成的系统运行事故。第八条 信息安全工作的总体原则（1）基于安全需求原则组织机构

5、应根据其信息系统担负的使命， 积累的信息资产的重要性， 可能受 到的威胁及面临的风险分析安全需求， 按照信息系统等级保护要求确定相应的信 息系统安全保护等级， 遵从相应等级的规范要求， 从全局上恰当地平衡安全投入 与效果；（2）主要领导负责原则 主要领导应确立其组织统一的信息安全保障的宗旨和政策， 负责提高员工的 安全意识， 组织有效安全保障队伍， 调动并优化配置必要的资源， 协调安全管理 工作与各部门工作的关系，并确保其落实、有效；（3）全员参与原则 信息系统所有相关人员应普遍参与信息系统的安全管理，并与相关方面协 同、协调，共同保障信息系统安全；（4）系统方法原则按照系统工程的要求， 识别

6、和理解信息安全保障相互关联的层面和过程， 采 用管理和技术结合的方法，提高实现安全保障的目标的有效性和效率；5）持续改进原则安全管理是一种动态反馈过程， 贯穿整个安全管理的生存周期， 随着安全需 求和系统脆弱性的时空分布变化， 威胁程度的提高， 系统环境的变化以及对系统 安全认识的深化等， 应及时地将现有的安全策略、 风险接受程度和保护措施进行 复查、修改、 调整以至提升安全管理等级， 维护和持续改进信息安全管理体系的 有效性；（6）依法管理原则 信息安全管理工作主要体现为管理行为，应保证信息系统安全管理主体合 法、管理行为合法、管理内容合法、管理程序合法。对安全事件的处理，应由授 权者适时发

7、布准确一致的有关信息，避免带来不良的社会影响；（7）分权和授权原则对特定职能或责任领域的管理功能实施分离、 独立审计等实行分权， 避免权 力过分集中所带来的隐患， 以减小未授权的修改或滥用系统资源的机会。 任何实 体（如用户、管理员、进程、应用或系统）仅享有该实体需要完成其任务所必须 的权限，不应享有任何多余权限；（8）选用成熟技术原则 成熟的技术具有较好的可靠性和稳定性，采用新技术时要重视其成熟的程 度，并应首先局部试点然后逐步推广，以减少或避免可能出现的失误；（9）分级保护原则按等级划分标准确定信息系统的安全保护等级， 实行分级保护； 对多个子系 统构成的大型信息系统，确定系统的基本安全保

8、护等级，并根据实际安全需求， 分别确定各子系统的安全保护等级，实行多级安全保护；（10）管理与技术并重原则坚持积极防御和综合防范， 全面提高信息系统安全防护能力， 立足国情， 采 用管理与技术相结合， 管理科学性和技术前瞻性结合的方法， 保障信息系统的安 全性达到所要求的目标；（11）自保护和国家监管结合原则 对信息系统安全实行自保护和国家保护相结合。 组织机构要对自己的信息系 统安全保护负责，政府相关部门有责任对信息系统的安全进行指导、 监督和检查， 形成自管、 自查、自评和国家监管相结合的管理模式， 提高信息系统的安全保护 能力和水平，保障国家信息安全。第九条 在规划和建设信息系统时，信息

9、系统安全防护措施应按照“三 同步”原则，与信息系统建设同步规划、同步建设、同步投入运行。第三章 总体安全策略第十条 物理安全策略（ 1）机房和办公室必须选择在经过防震、 防火、 防雷击验收合格的办公大楼 内部，机房的窗户需要有防雨水渗透的能力；（ 2）机房的位置不能是大楼的地下室、 一楼房间或是大楼的顶层， 机房的正 上方不能是用水量大的房间；（3）机房出入口必须有专人值守，对工作人员进行登记；（4）进入机房的工作人员必须由安全管理员或机房管理员全程陪同；（5）机房内部必须划分重要设备区、一般设备区、过渡区等区域，对不同区 域分别进行管理，区域与区域之间进行物理隔离；（ 6）机房内部必须部署基

10、础防护系统和设备， 如电子门禁系统、 监控报警系 统、防雷设备、消防灭火系统、防水监控系统、温湿度控制系统、UPS供电系统和电磁屏蔽设备。第十一条 网络安全策略（1） 网络中必须部署路由器、交换机、防火墙、防毒墙、IPS 设备和内网 网络管理、补丁分发等系统（2）网络设备除接入交换机之外，必须进行双机热备，除接入交换机链接 工作终端的线路外，其他线路必须进行双线冗余；（3）整体网络不能出现流量瓶颈，保证带宽充足；（4）各部门必须划分不同网段的 IP 地址；（5）划分网络带宽，突出优先级；（6）网络边界处必须部署防火墙、 IPS 等安全设备；（7）网络设备必须开启日志审计功能； 第十二条 主机安

11、全策略（1）登录操作系统和数据库系统的用户必须进行身份标识和鉴别；（2）操作系统和数据库系统管理用户身份标识不能出现同名用户，口令应 有复杂度要求并定期更换；（3）操作系统和数据库系统必须启用登录失败处理功能；（4）对服务器进行远程管理时，必须采取必要措施，防止鉴别信息在网络 传输过程中被窃听；（5）为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名 具有唯一性，不能出重名情况；（6）操作系统和数据库必须及时删除多余的、过期的账户，避免共享账户 的存在；（7）主机必须开启日志审计功能；（8）主机必须安装防恶意代码产品，并进行统一管理；第十三条 应用安全策略（1）应用系统必须在登录时要

12、求输入用户名和口令；（2）登录应用系统必须进行两种或两种以上的复合身份验证（如用户名口 令+Ukey或用户名口令+IP与MAC地址绑定方式）;（3）应用系统中设置的用户都必须是唯一用户，不能名称相同，且不能出 现多人使用同一账户的情况；（4）应用系统必须开启登录失败处理功能；（5）应用系统必须开启登录连接超时自动退出等措施；（6）应用系统必须开启身份鉴别、用户身份标识唯一性检查、用户身份鉴 别信息复杂度检查以及登录失败处理功能，并根据安全策略配置相关参数；（7）应用系统必须开启日志审计功能；（8）应用系统存储用户信息的设备在销毁、修理或转其他用途时，必须清 楚内部存储的信息；第十四条 数据安全

13、策略（1）业务应用数据和设备配置文档都必须进行备份，以便发生问题时进行 恢复；（2）数据备份至其他设备上时，必须使用专门的备份通道，保证数据传输的完整性；（3）数据本机备份时应检测其完整性；（4）数据备份时必须使用专业的备份设备和工具，在数据传输和数据存储时，都必须是加密传输和存储；（5）数据进行异地备份时，必须利用通信网络将关键数据定时批量传送至 备用场地。第四章 附则第十五条本办法由中心信息领导委员会负责解释并督促执行。第十六条 各单位可根据本办法制定实施细则，报省中心备案。第十七条 本办法自印发之日起执行。物业安保培训方案为规范保安工作，使保安工作系统化/规范化，最终使保安具备满足工作需

14、要的知识和技能，特制定本教学教材大纲。一、课程设置及内容全部课程分为专业理论知识和技能训练两大科目。其中专业理论知识内容包括：保安理论知识、消防业务知识31、职业道德、法律常识、保安礼仪、救护知识。作技能训练内容包括：岗位操作指引、勤务技能、消防技能、军事技能。二培训的及要求培训目的1）保安人员培训应以保安理论知识、消防知识、法律常识教学为主，在教学过程中，应要求学员全面熟知保安理论知识及消防专业知识，在工作中的操作与运用，并基本掌握现场 保护及处理知识2 ）职业道德课程的教学应根据不同的岗位元而予以不同的内容，使保安在各自不同的工作岗位上都能养成具有本职业特点的良好职业道德和行为规范）法律

15、常识教学是理论课的主要内容之一，要求所有保安都应熟知国家有关法律、法规，成为懂法、知法、守法的公民，运用法律这一有力武器与违法犯罪分子作斗争。工作入口门 卫守护，定点守卫及区域巡逻为主要内容，在日常管理和发生突发事件时能够运用所学的技能保护公司财产以及自身安全。2、培训要求1）保安理论培训2）消防知识及消防器材的使用通过培训使保安熟知掌握消防工作的方针任务和意义，熟知各种防火的措施和消防器材设施的操作及使用方法，做到防患于未燃，保护公司财产和员工生命财产的安全。3）法律常识及职业道德教育通过法律常识及职业道德教育，使保安树立法律意识和良好的职业道德观念，能够运用法律知识正确处理工作中发生的各种

16、问题；增强保安人员爱岗敬业、无私奉献更好的为公司服务的精神。4）工作技能培训其中专业理论知识内容包括：保安理论知识、消防业务知识也、职业道德、法律常识、保安礼仪、救护知识。作技能训练内容包括：岗位操作指引、勤务技能、消防技能、军事技能。二培训的及要求培训目的安全生产目标责任书为了进一步落实安全生产责任制，做到“责、权、利”相结合，根据我公司2015年度安全生产目标的内容，现与财务部签订如下安全生产目标:目标值:1、全年人身死亡事故为零，重伤事故为零，轻伤人数为零。2、现金安全保管，不发生盗窃事故。3、每月足额提取安全生产费用，保障安全生产投入资金的到位。4、安全培训合格率为100%。二、本单位

17、安全工作上必须做到以下内容:1、对本单位的安全生产负直接领导责任，必须模范遵守公司的各项安全管理制度，不发布与公司安全管理制度相抵触的指令，严格履行本人的安全职责，确保安全责任制在本单位全面落实，并全力支持安全工作。2、保证公司各项安全管理制度和管理办法在本单位内全面实施，并自觉接受公司安全部门的监督和管理。3、在确保安全的前提下组织生产，始终把安全工作放在首位，当“安全与交货期、质量”发生矛盾时，坚持安全第一的原则。4、参加生产碰头会时，首先汇报本单位的安全生产情况和安全问题落实情况；在安排本单位生产任务时，必须安排安全工作内容，并写入记录。5、在公司及政府的安全检查中杜绝各类违章现象。6、组织本部门积极参加安全检查，做到有检查、有整改，记录全。7、以身作则，不违章指挥、不违章操作。对发现的各类违章现象负有查禁