当前位置:文档之家 › 网络安全体系建设方案(2018)

网络安全体系建设方案(2018)

  • 格式:doc
  • 大小:1.04 MB
  • 文档页数:31

下载文档原格式

  / 31
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

...

网络安全体系建设方案(2018)

编制:

审核:

批准:

2018-xx-xx

目录

1 安全体系发布令 (2)

2 安全体系设计 (3)

2.1 总体策略 (4)

2.1.1 安全方针 (4)

2.1.2 安全目标 (4)

2.1.3 总体策略 (4)

2.1.4 实施原则 (4)

2.2 安全管理体系 (4)

2.2.1 组织机构 (5)

2.2.2 人员安全 (5)

2.2.3 制度流程 (5)

2.3 安全技术体系 (6)

2.3.1 物理安全 (6)

2.3.2 网络安全 (8)

2.3.3 主机安全 (11)

2.4.4 终端安全 (14)

2.4.5 应用安全 (15)

2.4.6 数据安全 (18)

2.4 安全运行体系 (19)

2.4.1 系统建设 (19)

2.4.2 系统运维 (23)

根据《网络安全法》《信息安全等级保护管理办法》的相关规范

及指导要求,参照GB/T22080-2008idtISO27001:2005 《信息技术- 安全技术- 信息安全管理体系要求》,为进一步加强公司运营系统及办

公系统的安全运行及防护,避免公司核心业务系统及日常办公系统遭

受到病毒、木马、黑客攻击等网络安全威胁,防止因网络安全事件(系统中断、数据丢失、敏感信息泄密)导致公司和客户的损失,制定本

网络安全体系。

本网络安全体系是公司的法规性文件,是指导公司各部门建立并实施信息安全管理、技术、运行体系的纲领和行动准则,用于贯彻公

司的网络安全管理方针、目标,实现网络安全体系有效运行、持续改进,体现公司对社会的承诺,现正式批准发布,自2018 年XX 月XX 日起实施。

全体员工必须严格按照本网络安全体系的要求,自觉遵循信息安全管理方针,贯彻实施本安全体系的各项要求,努力实现公司信息安全管理方针和目标。

总经理:

批准日期:2018-xx-xx

公司整体安全体系包括安全方针、目标及策略,分为信息安全管理、技术、运行三大体系,通过安全工作管理、统一技术管理、安全

运维管理三部分管理工作,实施具体的系统管理、安全管理及审计管理,来达到对计算环境、区域边界、网络通信的安全保障。

2.5总体策略

2.1.5安全方针

强化意识、规范行为、数据保密、信息完整。

2.1.6安全目标

信息网络的硬件、软件及其系统中的数据受到保护,电子文件能够永久保存而不受偶然的或者恶意的原因而遭到破坏、更改、泄露,

系统连续可靠正常地运行,信息服务不中断。

2.1.7总体策略

公司运营环境及运营系统需满足国家行业的规范要求,并实施三级等级保护及风险管理;

公司办公环境及办公系统满足通用信息化系统的运行要求,并实施二级等级保护;

公司自主(或外包)研发的网络安全软硬件产品必须符合相关国

家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测

符合要求后,方可对外销售。

2.1.8实施原则

谁主管谁负责、分级保护、技术与管理并重、全员参与、持续改进。

2.6安全管理体系

安全管理体系主要涉及组织机构、人员安全、制度标准三个方面的安全需求和控制措施。

2.7组织机构

分别建立安全管理机构和安全管理岗位的职责文件,对安全管理机构和网络安全负责人的职责进行明确,确定网络安全负责人,落实网络安全保护责任;建立信息发布、变更、审批等流程和制度类文件,增强制度的有效性;建立安全审核和检查的相关制度及报告方式。

目前公司设立了安全管理机构委员会,在岗位、人员、授权、沟通、检查各个环节进行决策、管理和监督,委员会由公司副总经理领导,成员包括各部门分管总监。

2.8人员安全

对人员的录用、离岗、考核、培训、安全意识教育等方面应通过

制度和操作程序进行明确,并对违反信息安全要求的相关人员进行惩罚。

根据可信雇员管理策略对所有人员进行安全背景审查、可信度鉴别和聘用,并签署安全保密协议;对人员离职需要有严格的管理程序,及时取消相应权限、清理物品并完成相关工作交接;将安全管理规范执行情况纳入日常绩效考核;定期对全体人员进行网络安全教育、技术培训和技能考核。

2.9制度流程

按照公司文件管理的有关规定制定、审定、发布、和修订内部安

全管理制度和操作规程,管理制度在发布前应经过公司安全委员会审批通过,对制度的评审工作应列入年度信息化安全工作会议。

应建立网络信息安全投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报。

同时为保证制度的严密性和持续性,各制度流程将会根据系统运营实际情况定期或不定期进行修订,修订的审批、发布流程与新增完全相同,将报安全委员会审批通过后实施。

2.10安全技术体系

安全技术体系主要包括:物理安全、网络安全、主机安全、终端

安全、应用安全、数据安全六个方面的安全需求和控制措施。

2.1.9物理安全

2.2.4电磁屏蔽

应采用接地方式防止外界电磁干扰和设备寄生耦合干扰;

电源线和通信线缆应隔离铺设,避免互相干扰;

应对关键设备和磁介质实施电磁屏蔽;

2.2.5物理分层

机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;

机房场地应避免设在建筑物的高层或地下室,以及用水设备的下

层或隔壁;

机房出入口应安排专人值守,控制、鉴别和记录进入的人员;

合集下载

相关主题