ZD1.信息安全总体方针和安全策略

浙江纵横新创科技有限公司 信息安全总体方针与安全策略

第一章 总则

第一条 为建立、实施、运行、监督、评审、保持和改进文件化的信息安全管理体系，确定信息安全方针和目标，对信息安全风险进行有效管理，确保全体员工理解并遵照执行信息安全管理体系文件、持续改进信息安全管理体系的有效性，特制定本文件。

第二条 本文件适用于本单位信息系统的信息安全管理活动。

第二章 信息安全方针和总体目标

第三条 信息安全方针为：安全第一、综合防范、预防为主、持续改进。

a) 安全第一：信息安全为信息系统业务连续性提供基础保障，把

信息安全作为信息系统建设与系统运行的首要任务。 b) 综合防范：管理措施和技术措施并重，建立有效的识别和预防

信息安全风险机制，合理选择安全控制方式，使信息安全风险的发生概率降低到可接受水平。

c) 预防为主：依据国家相关规定和信息安全管理实践，根据信息

资产的重要性等级，定期对重要信息资产进行安全测评，采取有效措施消除可能的隐患，最大程度降低信息安全事件发生的概率。

d) 持续改进：建立全面覆盖信息安全各层面的安全管理机制，建

立持续改进的体系框架，不断自我完善，为业务的稳定运行提

1 / 13

供可靠的安全保障。 第四条 信息安全总体目标：

a) 保护信息系统及数据的完整性、可用性、机密性，不遭受破坏、更改及泄漏。

b) 确保信息系统连续、可靠、正常运行，提供及时、持续和高质量的服务并不断改进。

c) 信息安全管理体系建设和运行能满足信息系统日常安全管理的需要，并覆盖各个安全管理层面。

第三章 总体安全策略

4.1. 信息资产管理策略 4.1.1. 4.1.2.

各类信息资产由信息部门负责管理，责任到人。 对信息资产进行梳理，建立信息资产清单，明确各信息资

产的使用人员、运维人员、管理人员等相关责任人，制定各自的职责；信息资产清单应被定期维护与更新；定期对信息资产进行盘点，确保信息资产的账实相符合完好无损。 4.1.3.

为确保信息资产能受到适当的保护，信息应当分类以显示

其所需保护的要求、优先、程度。信息分类应按照业务对信息访问的需求，及这些需求带来的影响进行划分，分为非常重要、重要、一般三个等级。 4.1.4.

信息资产分类应该具有一定的灵活性。可以将信息资产分

为数据、软件、硬件、服务、文档、设备、人员及其它共8种类型，内容如下：

e) 数据：储存在电子媒介的各种数据资料，包括源代码、

2 / 13

数据库数据、各种数据资料、系统文档、运行管理制度、用户手册等。

f) 软件：应用软件、系统软件、开发工具和资源库等。 g) 硬件：服务器、路由器、交换机、硬件防火墙、交换机、备份存储设备等。

h) 文档：纸质的各种文件、项目过程文件、日常管理记录文件、发展规划等。

i) 设备：UPS电源设备、空调、保险柜、门禁、消防设施等。

j) 人员：各级员工、外包服务人员等。

4.1.5.

建立信息系统资产清单，明确每个信息系统的负责人和管

理员，并落实其岗位职责。按照国家《信息系统安全等级保护基本要求》（GB/T 22239-2008）的要求，对信息系统分级并按级别采取相应的安全保护措施。 4.1.6.

信息系统分级后所采取的对应安全保护措施，必须由相应

的负责人定期检查。 4.1.7.

各类信息资产必须进行标识管理，标识内容包括资产名称、

资产信息、所属系统、资产类别、重要级别、责任人等。

4.2. 人员安全管理策略 4.2.1.

人员安全管理策略中的“人员”包括所有内部员工和在本

单位工作的外部人员（如外包服务人员）。并应与所有人员签署雇佣合同，其中访问敏感信息人员应在访问信息处理设施前签署保密协议。

3 / 13

4.2.2. 内部员工应根据国家公务人员相关管理办法进行录用等管

理。关键岗位员工必须是内部员工，关键岗位人员需签署岗位安全协议。对关键岗位人员应实行定期考查制度，对安全意识和安全技能进行考察，并进行必要的安全教育和培训。 4.2.3.

常驻外部人员需根据实际业务需要进行雇佣，制定相应的

角色和职责要求，并形成书面文档记录。根据相关的法律、法规和道德标准，对人员进行背景验证检查，该检查应与业务要求、接触信息的类别及已知风险相适应，并需进行业务技能考核。 4.2.4.

常驻外部人员在雇佣中，应确保所有的人员了解威胁、相

关事宜以及应承担的责任和义务，并在日常工作中遵守信息安全政策，减少人为错误的风险。并定期进行与其工作职能相关的适当的安全意识培训和政策及程序的定期更新培训。 4.2.5.

常驻外部人员在雇佣终止或变更时，应确保人员离开公司

或雇佣变更时以一种有序的方式进行，并确保其归还所有设备及删除其所有访问权限。人员离任前要履行交接手续，确保密码、设备、技术资料及相关敏感信息等的移交。 4.2.6.

安全教育是指单位安全教育、部门教育和岗位教育。安全

教育制度应纳入本单位的所有员工教育体系。安全教育要结合实际情况，编制具体的安全教育计划，计划要有明确的针对性，并适时修正、变更或补充内容。安全教育要由办公室信息部门负责，每次安全教育必须有考核机制。新员工入职必须先经过安全教育。

4.3. 物理和环境安全管理策略 4.3.1.

设立物理安全保护区域，该区域包括放置重要或敏感的信

4 / 13

息处理、存储设备和网络设备等重要信息科技设备的区域。物理安全保护区域的出入口设置安全屏障（如门禁、门卫等）。 4.3.2.

确保只有经过授权的人员才可以访问物理安全保护区域，

整个访问过程应被监控和记录。 4.3.3.

采用双回路市电、UPS、发电机（车）等措施，保证设备电

力供应连续，保证带有数据或支持信息服务的电讯电缆不被侦听和破坏。 4.3.4.

建立严格的设备维护流程保证设备的可靠性和信息完整性，

一般情况下不允许信息处理设备带出机房，如需将设备带离机房需进行审批 。 4.3.5.

存储敏感信息的设备在进行设备报修或报废时，必须采用

安全的信息销毁措施。 4.3.6.

员工所属的便携式设备、台式机、笔记本、掌上电脑和其

他便携式电子设备由个人负责保护，不允许将这些设备放于无人看守的或是没有安全防范措施的环境中。 4.3.7.

内网办公电脑需根据安全要求统一安装防病毒软件，并设

置密码和屏幕保护，人员离开后需启动屏保或关机。 4.3.8.

人员离开后，门禁卡、重要文件等不允许摆放在桌面，需

妥善保管。 4.3.9. 员。

4.4. 网络安全管理策略 4.4.1.

对网络系统的运营与安全防范实行统一管理，对广域网、

5 / 13

外部人员来访需在接待室接待，不在办公区域接待来访人

本文来源：https://www.bwwdw.com/article/84dh.html