系列信息安全管理制度分析

系列信息安全管理制度分析信息安全管理实务刑事执行专业教学资源库目录CONTENTS0102信息安全工作管理规定安全策略管理规定刑事执行专业教学资源库本策略与《省XXXX信息安全体系框架-组织体系和职责》共同为本单位基础安全策略，涉及其他各安全策略本策略适用于本单位本策略适用于本单位及下属各区县局所有信息安全工作，是信息安全工作的纲领性策略为了加强省XXXX（以下简称“本单位”）信息安全保障能力，建立健全本单位安全管理体系，提高整体网络与信息安全水平，保证网络通信畅通和业务系统的正常运营，提高网络服务质量，在本单位安全体系框架下，本策略明确本单位安全工作的展开办法，指导各部门展开各自安全工作信息安全工作管理规定01策略目标03使用人员及角色职责02适用范围04策略相关性1.总则刑事执行专业教学资源库信息安全工作管理规定2.信息安全工作的基本原则01020304等级划分同步规划、同步建设、同步运行三分技术、七分管理内外并重05060708整体规划，分步实施风险管理适度安全统一管理信息安全工作管理规定本单位信息安全领导小组：是本单位网络与信息安全工作的领导和决策机构；本单位信息安全工作组：是本单位信息安全工作的执行机构；本单位信息安全实施组：是本单位信息安全工作组的日常执行机构。该机构日常相关工作由本单位信息中心完成依据最小特权原则清晰划分岗位，在所有岗位职责中明确信息安全责任，要害工作岗位实现职责分离，关键事务双人临岗，重要岗位要有人员备份，定期进行人员的安全审查必须加强第三方访问和外包服务的安全控制，在风险评估的基础上制定安全控制措施，并与第三方本单位和外包服务本单位签署安全责任协议，明确其安全责任所有员工都应签署保密协议，并接受信息安全教育培训，提高安全意识，及时报告网络与信息安全事件01本单位网络与信息安全组织机构02加强内部人员安全管理03签署保密协议04加强第三方安全控制3.安全组织的工作管理信息安全工作管理规定0102034.安全体系的运作管理建设完整安全体系，实现从设计、实施、修改和维护生命周期的安全体系自身保障STEP1STEP2STEP3安全策略本身应规范从创建、执行、修改、到更新、废止等整个生命周期的维护保障本单位信息安全体系的建设和维护，要通过及时获知和评价信息安全的现状，通过对于安全现状的评估，实施信息安全建设工作，减少和降低信息安全风险，提高信息安全保障水平信息安全工作管理规定0102035.安全风险管理必须加强信息资产管理，建立和维护信息资产清单，维护最新的网络拓扑图，建立信息资产责任制，对信息资产进行分类管理和贴标签STEP1STEP2STEP3对安全威胁提前预警，及时将国内外安全信息通知本单位各级信息安全管理人员及员工，确保能够及时采取应对措施，以此降低本单位的信息安全风险应部署网络层面和系统层面的访问控制、安全审计以及安全监控技术措施，保障业务系统的安全运行刑事执行专业教学资源库信息安全工作管理规定6.运行维护安全管理0102030405加强机房和办公区域的安全管理，为设备的正常运行提供物理和环境安全保障建立日常维护操作规程和变更控制规程，规范日常运行维护操作，严格控制和审批任何变更行为加强本单位病毒防治工作，提升本单位病毒整体防护能力，降低并防范病毒对于本单位业务造成的影响加强用户帐号和权限管理，按照最小特权原则为用户分配权限，避免出现共用帐号的情况制定各业务系统的应急方案，及时发现、报告、处理和记录安全策略管理规定为了加强省XXXX（以下简称“本单位”）信息安全保障能力，建立健全本单位安全管理体系，提高整体信息安全水平，保证业务系统的正常运营，提高网络服务质量，在本单位安全体系框架下，本策略为规范本单位安全策略的制定、发布、修改、废止、检查和监督落实，建立科学和严谨的管理办法本策略适用于本单位信息中心及各部门安全专员本策略涉及本单位所有安全策略自身的所有生命周期内容，同时遵照本单位相关文件和文档管理制度1策略目标2适用范围3策略相关性1.总则安全策略的制定权限安全策略的制定权限安全策略的制定要求安全策略的制定要求安全策略管理规定2.本单位安全策略制定01本单位信息中心负责制定本单位层的安全策略，主要包括：本单位信息安全体系、本单位安全策略框架、本单位信息安全方针、本单位信息安全体系等级化标准、本单位安全技术标准和技术规范、本单位安全管理制度和规定、本单位安全组织机构和人员职责以及本单位用户协议02各县区局信息安全组织遵照本单位下发的安全策略，结合各县区局系统实际情况，制定和细化成适用于各县区局的具体管理办法、实施细则和操作规程等，不得与市局的规章制度相抵触，并须报市局信息中心备案04对本单位安全策略进行汇编时，必须保留各安全策略的版本控制信息和密级标识03本单位安全策略中不得出现本单位的涉密信息刑事执行专业教学资源库安全策略管理规定3.本单位安全策略发布0102030405安全策略必须以正式文件的形式发布施行本单位安全策略由本单位信息中心制订，由本单位信息安全领导小组审批、发布安全策略发布后，如有必要，应召集相关人员学习安全策略，详细讲解规章制度的内容并解答疑问安全策略修订后需要以正式文件的形式重新发布施行，修订后的策略也需信息安全领导小组审批签署发布的规章制度必须标明该规章制度的施行日期安全策略管理规定必须定期对安全策略进行评审，对其中不适用的或欠缺的条款，及时进行修改和补充。对已不适用的信息安全制度或规定应及时废止本单位层安全策略的修改与废止须经本单位信息安全领导小组审批确认，本单位信息中心备案当现行安全策略有下列情形之一时，必须及时修改当发生重大安全事件，暴露出安全策略存在漏洞和缺陷时；组织机构或生产系统进行重大调整和变更后；同一个事项在两个规章制度中规定不一致；与省局的安全策略相抵触；其它需要修改安全策略的情形因有关信息安全制度或规定废止，使该信息安全制度或规定失去依据，或与本单位现行上层策略相抵触；因已规定的事项已经执行完毕，没有存在必要；已被新的规章制度所替代当现行安全策略有下列情形之一时，必须及时予以废止4.本单位安全策略修改与废止安全策略管理规定5.本单位安全策略监督和检查安全策略发布实施后，各部门应就安全策略制度或规定的贯彻执行，执行中存在的问题以及对规章制度修改或废止的意见建议等情况进行检查和监督，并将意见和建议及时反馈给信息中心。为保障各项信息安全管理制度的贯彻落实，本单位信息中心必须定期检查安全策略的落实情况，信息安全管理制度的落实情况检查是信息安全检查工作的重要内容。信息安全检查工作结束后，在起草检查报告时，必须通报安全策略的落实情况，对执行不力的行为必须提出整改意见，限期纠改，并继续追踪其落实情况。安