信息安全总体方针
更新时间:2023-06-06 21:22:01 阅读量: 实用文档 文档下载
信息安全总体方针
信息安全总体方针
第一章总则
第一条为加强和规范我单位信息系统安全工作,提高信息系统整体安全防护水平,实现信息安全的可控、能控,依据国家有关法律、法规的要求,制定本方针。
第二条本方针的目的是为本部门信息系统安全管理提供一个总体性架构文件,该文件将指导本部门信息系统的安全管理体系建设。安全管理体系以实现统一的安全策略管理、提高整体的网络与信息安全水平、确保安全控制措施落实到位、保障网络通信畅通和业务系统的正常运营为建设目的。
第三条本方针适用于我单位信息系统资产和信息技术人员的安全管理,适用于指导我单位信息系统安全策略的制定、安全方案的规划和安全建设的实施,适用于我单位安全管理体系中安全管理措施的选择。
第四条引用标准及参考文件
本方针的编制参照了以下国家、行业的标准和文件:
(一)《中华人民共和国计算机信息系统安全保护条例》
(二)《通信网络安全防护管理办法》(工信部第11号)
(三)《关于信息安全等级保护建设的实施指导意见》(信息运安〔2009〕27 号)
(四)《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008)
(五)《信息安全技术信息系统安全管理要求》(GB/T 20269—2006)
(六)《信息系统等级保护安全建设技术方案设计要求》(报批稿)
互联网安全保护技术措施规定(公安部令第82号)
(八)计算机信息网络国际联网安全保护管理办法(公安部令第33号)
第二章方针、目标和原则
3
第五条信息系统安全建设坚持“安全第一、预防为主,管理和技术并重,综合防范”的总体方针,依照总体安全防护策略,执行信息系统安全等级保护制度。信息网络继续坚持内、外网之间实施物理隔离的办法。
第六条信息系统安全建设的总体目标是确保信息系统持续、稳定、可靠运行和确保信息内容的机密性、完整性、可用性,防止因信息系统本身故障导致信息系统不能正常使用和系统崩溃,抵御黑客、病毒、恶意代码等对信息系统发起的各类攻击和破坏,防止信息内容及数据丢失和失密,防止有害信息在网上传播,防止对外服务的计算机网络中断和由此造成的运行事故。
第七条信息安全工作的总体原则
(一)基于安全需求原则
管理机构应根据其信息系统担负的业务功能、积累的信息资产的重要性、可能受到的威胁及面临的风险分析安全需求,按照信息系统等级保护要求确定相应的信息系统安全保护等级,遵从相应等级的规范要求,从全局上平衡安全投入与效果;
(二)主要领导负责原则
主要领导应确立统一的信息安全保障宗旨和政策,负责指导提高全员安全意识的教育方法、培养优秀的安全技术队伍、调动并优化资源的配置、协调安全管理工作与各部门工作的关系,并确保其有效落实;
(三)全员参与原则
信息系统涉及的所有相关人员应积极参与信息系统的安全管理,并与相关方面协调,共同保障信息系统的安全;
(四)系统方法原则
按照系统工程的要求,识别和理解信息安全保障相互关联的层面和过程,采用管理和技术相结合的方法,保证安全保障工作的高效有序进行;
3
(五)持续改进原则
安全管理是一种动态反馈过程,贯穿整个安全管理的生存周期,随着安全需求和系统脆弱性的时空分布变化,威胁程度的提高,系统环境的变化以及对系统安全认识的深化等,应及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级,维护和持续改进信息安全管理体系的有效性;
(六)依法管理原则
信息安全管理工作主要体现为管理行为,应保证信息系统安全管理主体合法、管理行为合法、管理内容合法、管理程序合法。对安全事件的处理,应由授权者适时发布准确一致的有关信息,避免带来不良的社会影响;
(七)分权和授权原则
对特定职能或责任领域的管理功能实施分离、独立审计等实行分权,避免权力过分集中,带来隐患,以减少未授权的修改或滥用系统资源的机会。任何实体(如用户、管理员、进程、应用或系统)仅享有该实体需要完成其任务所必须的最小权限,不应享有任何多余权限;
(八)选用成熟技术原则
成熟的技术具有较好的可靠性和稳定性,采用新技术时要重视其成熟度,并应首先局部试点然后逐步推广,以减少或避免可能出现的失误;
(九)分等级保护原则
按等级划分标准确定信息系统的安全保护等级,实行分等级保护;对多个子系统构成的大型信息系统,确定系统的基本安全保护等级,并根据实际安全需求,分别确定各子系统的安全保护等级,实行多级安全保护;
(十)管理与技术并重原则
3
坚持积极防御和综合防范相结合,全面提高信息系统安全防护能力,立足国情,采用管理科学性和技术前瞻性结合的方法,保障信息系统的安全性达到所要求的目标;
(十一)自主保护和国家监管结合原则
对信息系统安全实行自主保护和国家保护相结合。组织机构要对自己的信息系统安全保护负责,相关部门有责任对信息系统的安全进行指导、监督和检查,形成自管、自查、自评和国家监管相结合的管理模式,提高信息系统的安全保护能力和水平,保障国家信息安全。
第八条在规划和建设信息系统时,信息系统安全防护措施应按照“三同步”原则,与信息系统建设同步规划、同步建设、同步投入运行。
第三章信息安全框架
第九条根据GB/T22239-2008《信息安全等级保护基本要求》,信息安全框架分为安全技术框架和安全管理框架。建立安全管理框架,包括安全管理机构、安全管理规定和制度,制定安全策略;建立安全运行中心,对全网进行全面管理、分析和故障支持响应;进行全网安全评估,建立内部评估规范,形成安全评估体系;有针对性地制定业务连续性计划策略,建设数据备份中心和灾难恢复中心;建立覆盖全网的安全技术体系,包括:物理安全、网络安全、主机安全、应用安全。
第四章附则
第十条本方针由我单位负责解释和修订。
第十一条本方针自印发之日起执行。
3
正在阅读:
信息安全总体方针06-06
赞美教师诗歌朗诵稿_百度文库05-21
创先争优简报(二)03-24
中融-中城建1号信托贷款集合资金信托计划尽调报告(推介) - 图文01-17
问卷编制310-16
八年级第二学期期末模拟考试数学试卷10-24
安全工程师案例分析真题及答案11-29
幼儿园燃气日常管理情况11-11
典当行业会计核算与税审重点05-28
- 教学能力大赛决赛获奖-教学实施报告-(完整图文版)
- 互联网+数据中心行业分析报告
- 2017上海杨浦区高三一模数学试题及答案
- 招商部差旅接待管理制度(4-25)
- 学生游玩安全注意事项
- 学生信息管理系统(文档模板供参考)
- 叉车门架有限元分析及系统设计
- 2014帮助残疾人志愿者服务情况记录
- 叶绿体中色素的提取和分离实验
- 中国食物成分表2020年最新权威完整改进版
- 推动国土资源领域生态文明建设
- 给水管道冲洗和消毒记录
- 计算机软件专业自我评价
- 高中数学必修1-5知识点归纳
- 2018-2022年中国第五代移动通信技术(5G)产业深度分析及发展前景研究报告发展趋势(目录)
- 生产车间巡查制度
- 2018版中国光热发电行业深度研究报告目录
- (通用)2019年中考数学总复习 第一章 第四节 数的开方与二次根式课件
- 2017_2018学年高中语文第二单元第4课说数课件粤教版
- 上市新药Lumateperone(卢美哌隆)合成检索总结报告
- 方针
- 总体
- 安全
- 信息
- 小尾寒羊高效饲养把三关
- 国家电网公司职称计算机水平考试上机试卷1
- Unit8SectionB第一课时
- 证券从业《证券市场基础知识》模拟试题及答案 1
- 乌龟靠垫的编织方法
- 平菇冷冻原种与常规原种栽培试验
- 第十一章练习题(收入费用利润)
- 休闲农业的现状及发展方向
- 第10章 工程项目资源计划
- 外企常用词汇及表达
- 2010全国教师技师培训计划(项目)
- 微观经济学重点知识复习提纲
- 某加油站的安全评价报告
- 中小学生艺术素质测评办法
- 大学德育答辩论文范文3篇.doc
- ICU护士准入测试题库 (1)
- 液晶平面显示器的驱动原理以及其技术
- 河南省商务厅 河南省公安厅
- 城市道路工程综合施工组织设计(交通、照明、绿化)_yg
- 高考作文使用比喻句讲解及精彩语段