信息安全策略(模板27001)(精.选)
- 格式:doc
- 大小:241.50 KB
- 文档页数:46
信息安全策略 批准人签字 审核人签字 制订人签字
变更履历 序号 版本编号或更改记录编号 变化 状态 * 简要说明(变更内容、变更位置、变更原因和变更范围) 变更日期 变更人 审核人 批准人 批准日期
1 1.0 C 创建,全页。 *变化状态:C——创建,A——增加,M——修改,D——删除 目 录 1. 目的和范围 ......................... 错误!未指定书签。 2. 术语和定义 ......................... 错误!未指定书签。 3. 引用文件 ........................... 错误!未指定书签。 4. 职责和权限 ......................... 错误!未指定书签。 5. 信息安全策略 ....................... 错误!未指定书签。 5.1. 信息系统安全组织 ............. 错误!未指定书签。 5.2. 资产管理 ..................... 错误!未指定书签。 5.3. 人员信息安全管理 ............. 错误!未指定书签。 5.4. 物理和环境安全 ............... 错误!未指定书签。 5.5. 通信和操作管理 ............... 错误!未指定书签。 5.6. 信息系统访问控制 ............. 错误!未指定书签。 5.7. 信息系统的获取、开发和维护安全 错误!未指定书签。 5.8. 信息安全事故处理 ............. 错误!未指定书签。 5.9. 业务连续性管理 ............... 错误!未指定书签。 5.10. 符合性要求 .................. 错误!未指定书签。 1 附件 ............................... 错误!未指定书签。 1. 目的和范围 1) 本文档制定了的信息系统安全策略,作为信息安全的基本标准,是所有安全行为的指导方针,同时也是建立完整的安全管理体系最根本的基础。 2) 信息安全策略是在信息安全现状调研的基础上,根据27001的最佳实践,结合现有规章制度制定而成的信息安全方针和策略文档。本文档遵守政府制定的相关法律、法规、政策和标准。本安全策略得到领导的认可,并在公司内强制实施。 3) 建立信息安全策略的目的概括如下: a) 在内部建立一套通用的、行之有效的安全机制; b) 在的员工中树立起安全责任感; c) 在中增强信息资产可用性、完整性和保密性; d) 在中提高全体员工的信息安全意识和信息安全知识水平。
本安全策略适用于公司全体员工,自发布之日起执行。
2. 术语和定义 1) 解释 信息安全 是指保护信息资产免受多种安全威胁,保证业务
连续性,将安全事件造成的损失降至最小,同时最大限度地获得投资回报和商业机遇。
可用性 确保经过授权的用户在需要时可以访问信息并使用相关信息资产。 保密性 确保只有经过授权的人才能访问信息。 完整性 保护信息和信息的处理方法准确而完整。 保密信息 安全规章定义的密级信息。 信息安全策略 正确使用和管理信息资源并保护这些资源使得
它们拥有更好的保密性、完整性、可用性的策略。
风险评估 评估信息安全漏洞对信息处理设备带来的威胁和影响及其发生的可能性。 风险管理 以可以接受的成本,确认、控制、排除可能影响
信息系统的安全风险或将其带来的危害最小化的过程。
计算机机房 装有计算机主机、服务器和相关设备的,除了安
装和维护的情况外,不允许人员在里边工作的专用房间。
员工 在系统内工作的正式员工、雇佣的临时工作人员。 用户 被授权能使用系统的人员。 信息资产 与信息系统相关联的信息、信息的处理设备和服务。 信息资产责任人 是指对某项信息资产安全负责的人员。 合作单位 是指与有业务往来的单位,包括承包商、服务提
供商、设备厂商、外包服务商、贸易伙伴等。
第三方访问 指非本单位的人员对信息系统的访问。
外包服务 是指企业战略性选择外部专业技术和服务资源,
以替代内部部门和人员来承担企业系统或系统之上的业务流程的运营、维护和支持的服务。
安全事件 利用信息系统的安全漏洞,对信息资产的保密
性、完整性和可用性造成危害的事件。
故障 是指信息的处理、传输设备运行出现意外障碍,
以至影响信息系统正常运转的事件。
安全审计 通过将所选类型的事件记录在服务器或工作站
的安全日志中用来跟踪用户活动的过程。
超时设置 用户如果超过特定的时限没有进行动作,就触发
其他事件(如断开连接、锁定用户等)。 2) 词语使用 必须 表示强制性的要求。
应当 好的做法所要达到的要求,条件允许就要实施。
可以 表示希望达到的要求。
3. 引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。 1) 27001:2005 信息技术-安全技术-信息安全管理体系要求
2) 17799:2005 信息技术-安全技术-信息安全管理实施细则
4. 职责和权限 信息安全管控委员会:负责对信息安全策略进行编写、评审,监督和检查公司全体员工执行情况。 5. 信息安全策略 目标:为信息安全提供管理指导和支持,并与业务要求和相关的法律法规保持一致。 1) 策略下发 本策略必须得到管理层批准,并向所有员工和相关第三方公布传达,全体人员必须履行相关的义务,享受相应的权利,承担相关的责任。 2) 策略维护
本策略通过以下方式进行文档的维护工作: 必须每年按照《风险评估管理程序》进行例行的风险评估,如遇以下情况必须及时进行风险评估:
a) 发生重大安全事故 b) 组织或技术基础结构发生重大变更 c) 安全管理小组认为应当进行风险评估的 d) 其他应当进行安全风险评估的情形 风险评估之后根据需要进行安全策略条目修订,并在内公布传达。 3) 策略评审 每年必须参照《管理评审程序》执行公司管理评审。 4) 适用范围 适用范围是指本策略使用和涵盖的对象,包括现有的业务系统、硬件资产、 软件资产、信息、通用服务、物理安全区域等。对于即将投入使用和今后规划的信息系统项目也必须参照本策略执行。
5.1. 信息系统安全组织 目标:在组织内部管理信息安全,保持可被外部组织访问、处理、沟通或管理的信息及信息处理设备的安全。 1) 内部组织 公司的管理层对信息安全承担最终责任。管理者职责参见《信息安全管理手册》。 公司的信息系统安全管理工作采取信息安全管控委员会统一管理方式,其他相关部门配合执行。公司的内部信息安全组织包括信息安全管理小组,小组的人员组成以及相关职责参见《公司信息安全组织结构图》。 各个部门之间必须紧密配合共同进行信息安全系统的维护和建设。相关部门岗位的分工与责任参见《信息安全管理手册》。 任何新的信息系统处理设施必须经过管理授权的过程。并更新至《信息资产列表》。 信息系统内的每个重要的资产需要明确所有者、使用人员。参见《信息资产列表》 。 凡是涉及重要信息、机密信息(相关定义参见《信息资产鉴别和分类管理办法》等信息的处理,相关的工作岗位员工以及第三方都必须签署保密协议。 应当与政府机构保持必要的联系共同协调信息安全相关问题。这些部门包括执法部门、消防部门、上级监管部门、电信供应商等提供公共服务的部门。 应当与相关信息安全团体保持联系,以取得信息安全上必要的支持。这些团体包括外部安全咨询商、独立的安全技术专家等。 信息安全管理小组每年至少进行一次信息安全风险评估工作(参照《风险评估和风险管理程序》,并对安全策略进行复审。信息安全领导小组每年对风险评估结果和安全策略的修改进行审批。 每年或者发生重大信息安全变化时必须参照《内部审核管理程序》执行公司内部审核。 2) 外部组织 a) 第三方访问是指非人员对信息系统的访问。第三方至少包含如下人员:
➢ 硬件及软件技术支持、维护人员; ➢ 项目现场实施人员; ➢ 外单位参观人员; ➢ 合作单位人员; ➢ 客户; ➢ 清洁人员、送餐人员、快递、保安以及其它外包的支持服务人员;
b) 第三方的访问类型包括物理访问和逻辑访问。 ➢ 物理访问:重点考虑安全要求较高区域的访问,包括计算机机房、重要办公区域和存放重要物品区域等;
➢ 逻辑访问: 主机系统 网络系统 数据库系统 应用系统 c) 第三方访问需要进行以下的风险评估后方可对访问进行授权。
➢ 被访问资产是否会损坏或者带来安全隐患; ➢ 客户是否与有商业利益冲突; ➢ 是否已经完成了相关的权限设定,对访问加以控制; ➢ 是否有过违反安全规定的记录;