三级等保安全管理新规制度信息安全管理策略.docx

* 主办部门：系统运维部 执 笔 人： 审 核 人： XXXXX 信息安全管理策略V0.1 XXX-XXX-XX-01001 3月17日 [本文件中出现任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有尤其注明，版权均属XXXXX全部，受到相关产权及版权法保护。任何个人、机构未经XXXXX书面授权许可，不得以任何方法复制或引用本文件任何片断。] 文件版本信息 版本 日期 拟稿和修改 说明 V0.1 .3.17 拟稿 文件版本信息说明 统计本文件提交时目前有效版本控制信息，目前版本文件使用期将在新版本文档生效时自动结束。文件版本小于1.0 时，表示该版本文件为草案，仅可作为参考资料之目标。 阅送范围 内部发送部门：综合部、系统运维部 目 录 第一章 总则 1 第二章 信息安全方针 1 第三章 信息安全策略 2 第四章 附则 13 第一章 总则 第一条 为规范XXXXX信息安全系统，确保业务系统安全、稳定和可靠运行，提升服务质量，不停推进信息安全工作健康发展。依据《中国计算机信息系统安全保护条例》、《信息安全技术信息系统安全等级保护基础要求》（GB/T22239-）、《金融行业信息系统信息安全等级保护实施指导》（JR/T 0071—）、《金融行业信息系统信息安全等级保护测评指南》（JR/T 0072—），并结合XXXXX实际情况，特制订本策略。 第二条 本策略为XXXXX信息安全管理纲领性文件，明确提出XXXXX在信息安全管理方面工作要求，指导信息安全管理工作。为信息安全管理制度文件提供指导，其它信息安全相关文件在制订时不得违反本策略中要求。 第三条 网络和信息安全工作领导小组负责制订信息安全管理策略。 第二章 信息安全方针 第四条 XXXXX信息安全方针为：安全第一、综合防范、预防为主、连续改善。 （一）安全第一：信息安全为业务可靠开展提供基础保障。把信息安全作为信息系统建设和业务经营首要任务； （二）综合防范：管理方法和技术方法并重，建立有效识别和预防信息安全风险机制，合理选择安全控制方法，使信息安全风险发生概率降低到可接收水平； （三）预防为主：依据国家、行业监管机构相关要求和信息安全管理最好实践，依据信息资产关键性等级，对关键信息资产采取有效方法消除可能隐患，降低信息安全事件发生概率； （四）连续改善：建立全方面覆盖信息安全各个管理域，可度量、可管理管理机制，并在此基础上建立连续改善体系框架，不停自我完善，为业务平稳运行提供可靠安全保障。 第五条 XXXXX信息安全管理总体目标包含： （一）信息安全管理体系建设和运行符合国家政府机关、监管机构和主管部门相关强制性要求、规则及适用相关通例、准则和协议； （二）确保信息系统能够连续、可靠、正常地运行，为用户提供立即、稳定和高质量信息技术服务并不停改善； （三）保护信息系统及数据机密性、完整性和可用性，确保其不因偶然或恶意侵犯而遭受破坏、更改及泄露。 第三章 信息安全策略 第六条 安全管理制度 （一）应形成由管理要求、管理规范、操作步骤等组成全方面信息安全管理制度体系。 （二）安全管理制度应含有统一格式，并进行版本控制，经过正式有效方法公布。 （三）应定时对安全管理制度进行检验和审定，对存在不足或需要改善安全管理制度进行修订。 第七条 安全管理机构 （一）信息安全管理工作实施统一领导、分级管理，建立网络和信息安全工作领导小组，指导信息安全管理工作，决议信息安全重大事宜。 （二）设置系统安全管理员、网络安全管理员、安全专员等岗位，并配置专职人员，实施A、B 岗制度。 （三）应加强内部之间，和外部监管机构、公安机关、供给商和安全组织合作和沟通。 第八条 职员信息安全管理 （一）企业应制订安全用工标准，尤其是信息系统相关人员、敏感信息处理人员录用、考评、转岗、离职等步骤应有具体安全要求。 （二）信息技术总部应定时组织针对职员信息安全培训，以增强安全意识、提升安全技能、明确安全职责，应对安全教育和培训情况和结果进行统计并归档保留。 （三）在岗位职责描述中，应该说明职员安全责任。 （四）企业制订和落实多种相关信息系统安全奖惩条例，处罚和奖励必需分明。 第九条 第三方信息安全管理 （一）依据第三方所要访问信息资产等级及访问方法来进行风险评定，确定其安全风险。 （二）依据风险评定结果，采取合适控制方法对第三方访问进行安全控制，保护企业信息资产安全。 （三）第三方对敏感信息资产进行访问时，应签署保密协议或正式协议。在协议及协议中应该明确第三方安全责任和必需遵守安全要求。 （四）明确外包系统/软件开发安全要求。 （五）必需确保和第三方信息交换中各步骤安全。 第十条 信息系统建设安全管理 （一）在项目立项前，必需明确信息系统安全等级、安全目标及全部安全需求并文档化。安全需求确实定过程必需是成熟、有效。 （二）必需经过对安全需求进行具体分析，制订安全设计方案，明确安全控制方法及所采取安全技术。 （三）依据设计方案要求，对使用软硬件产品进行选型和测试，最终确定具体采取产品。 （四）依据设计方案和选定产品编制实施方案。在实施方案中必需考虑到实施过程中风险，必需包含具体项目实施计划、实施步骤、测试方案和风险应对方法。 （五）应制订软件开发管理制度和代码编写安全规范，明确说明开发过程控制方法和人员行为准则。 （六）必需对实施过程进行安全管理，明确实施过程中多种活动程序及职责，并形成文件。 （七）应依据信息系统等级，在上线前完成信息系统安全防护方法实施，包含基线设置等。同时还应建立必需机制，确保能够对投产后信息系统进行更新升级。 （八）必需依据验收步骤，对系统进行必需测试和评定。 （九）系统下线必需根据严格审批步骤进行，确保系统下线不对XXXXX安全生产和业务连续性产生影响，并同时进行系统数据清除。 第十一条 机房安全管理 （一）机房建设必需符合国家标准《电子计算机机房设计规范（GB50174-）》和《电子计算机机房施工及验收规范（GB50462-）》。 （二）依据信息资产安全等级、设备对场地环境要求、易管理性等，合理划分机房区域，针对不一样区域实施不一样安全保护方法，确保全部设备及介质安全。 （三）由专员负责机房环境日常维护、监控、报警和故障处理工作。依据企业实际情况，建立机房值班制度。 （四）制订机房和机房内不一样区域出入管理要求，明确门禁管理、设备出入、人员出入（包含第三方）、出入审批、进出日志统计保留和审核等工作管理要求和步骤。 （五）制订相关机房工作守则，规范人员在机房内行为。 （六）对于机房内文档资料应固定存放在带锁或密码专业文件柜中，由专员妥善保管并设置对应清单。 第十二条 信息资产管理 （一）应对企业信息资产进行登记，建立资产清单，并指定其安全责任人。该责任人需负责落实及监督相关安全策略、安全规范、安全技术标准实施。 （二）依据机密性、完整性和可用性要求对信息资产进行分类分级，确定不一样等级信息资产在其生命周期内保护要求。 （三）必需明确信息资产访问控制标准，并建立信息资产访问授权机制。 第十三条 介质管理 （一）企业对介质存放环境、标识、使用、维护、运输、交接和销毁等方面做出要求，有介质归档和访问统计，并对存档介质目录清单定时盘点。 （二）存放介质管理同信息资产管理相一致，依据所承载数据和软件关键程度对介质进行分类分级管理。 （三）针对存放数据存放介质应达成国家标准要求，进行标识和定时抽检。 （四）需要长久存放存放介质，应该在介质使用期内进行转存；明确数据转存程序和职责。 （五）应设置同城异地存放备份数据场所。异地存放备份数据场所应该含有防盗、防水、防火设施和一定抗震能力。 第十四条 监控管理 （一）应对通信线路、网络设备、主机和应用软件运行情况、网络流量、用户行为等进行监测和报警。 （二）应定时对监测和报警统计进行分析、评审，发觉可疑行为，形成份析汇报，发觉重大隐患和运行事故应立即协调处理，并报上安全相关部门。 （三）应建立安全管理中心，对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理。 第十五条 网络安全管理 （一）指定专员对网络进行管理，负责日常网络维护和报警信息处理工作。 （二）制订网络访问控制机制，网络访问控制策略以“除明确许可实施情况外必需严禁”为标准。 （三）当远程访问信息系统时，应采取额外安全管控方法，以预防设备被窃、信息未授权泄露、远程非授权访问等风险。 （四）定时对网络系统进行漏洞扫描，对于发觉漏洞，在经过风险评定、验证测试和充足准备后进行修补或升级。 （五）关键网络设备开启日志和审计功效。 （六）网络建设中应做到以下几点： 1.应遵照高可靠性、高安全性、高性能、可扩展性、可管理性、标准化等标准； 2.建立网络容量计划机制，充足考虑未来新业务需求和企业目前系统服务能力及未来技术发展趋势； 3.应对局域网、广域网、外部网安全通信连接可靠，采取必需技术手段，确保网络安全。 第十六条 系统安全管理 （一）日志安全管理应指定专员负责，具体负责日志采集、保留、备份和失效处理等工作。在条件许可情况下，可采取技术手段实现。 （二）日志统计以保障审计及追查有效性为标准，具体情况依据系统及应用实际情况而定，日志统计作为作业计划一部分，必需严格定义日志统计广度和深度，确保日志完整性，并满足审计工作需要。管理员和操作员活动应记入日志，并确保无法被篡改。 （三）关键日志必需安全地存放在介质中，并定时备份和检验。 第十七条 恶意代码防范管理 （一）专员负责计算机病毒防范工作组织和实施； （二）建立计算机病毒预警机制，严格实施病毒检测及汇报程序； （三）指定专员负责跟踪厂商公布漏洞补丁情况，定时对服务器、网络、应用软件进行漏洞扫描； （四）对于确有必需升级漏洞补丁，在安装前必需进行充足验证测试和风险评定。漏洞补丁安装应参考变更管理要求，进行实施方案和回退方案审批； （五）假如无法立即完成漏洞补丁加载，应进行原因分析，并采取一定安全防护方法，必需时进行回退； （六）依据国家信息系统等级保护要求，对业务系统设计侵和攻击防范策略和技术实施方案，在信息系统中实现入侵和攻击防范； （七）依据日常安全监控、风险评定、信息安全检验和信息安全审计结果，调整入侵和攻击防范策略或采取新、成熟技术产品； （八）定时对关键信息系统进行代码审计、渗透测试等工作，以立即掌握信息系统安全情况，防范入侵和攻击。 第十八条 密码管理 （一）采取额外技术方法加强密码安全时，密码产品应符合国家密码管理要求密码技术和产品； 第十九条 变更管理 （一）必需对信息系统全部操作建立有效管理和监控机制，确定相关人员及部门职责。 （二）依据信息系统变更所包含信息资产安全等级，对信息系统变更进行分级，针对不相同级信息系统变更以文档形式明确对应审批管理程序。 （三）在系统变更审批前，变更申请部门提交申请汇报，变更管理员要提交系统变更方案，明确变更存在风险及对系统影响。 （四）实施变更前，应该对变更内容进行严格测试。 （五）严格遵照实施方案中所要求步骤实施变更，变更实施过程应统计并妥善保留。 第二十条 备份和恢复管理 （一）数据备份工作应指定专员负责； （二）依据系统关键程度，制订对应备份策略； （三）建立数据备份审核程序，定时进行备份数据检验工作，确保备份数据完整性和有效性； （四）对关键系统和数据必需进行异地备份。对于在异地进行备份系统和数据管理，要和当地系统和数据管理保持一致； （五）备份数据必需由专员负责保管，数据不得泄漏，保密数据不得以明码形式存放和传输。 （六）明确生产数据恢复标准和审批程序； （七）制订数据备份恢复方案； （八）关键信息系统恢复性测试在不影响生产环境运行情况下最少每十二个月进行一次。依据恢复测试结果进行数据恢复过程调整。 第二十一条 安全事件管理 （一）信息安全相关事项由网络和信息安全工作领导小组办公室集中管理。 （二）制订包含信息系统运行情况检测、异常处理、汇报等安全监控工作制度，指定专员负责安全监控。 （三）网络和信息安全工作领导小组办公室对安全监控结果进行定时检验，以确保安全监控结果有效性和完整性。确保安全监控结果可作为其它统计和分析工作数据起源。 （四）安全事件处理标准是“主动预防、立即发觉、快速响应、确保恢复”。 （五）网络和信息安全工作领导小组办公室建立具体安全事件响应机制，明确安全事件发觉、分析、处理、总结和奖惩阶段相关责任，最大程度地降低安全事件造成损害。 （六）对安全事件做好统计和存档工作，统计内容包含事件原因、处理过程、处理结果、提议改善安全对策。 第二十二条 应急预案 （一）分析业务中止可能造成后果，以作为制订应急预案依据。 （二）制订应急预案并文档化，确定应急预案总体策略，确保重大故障时关键系统和业务立即恢复。 （四）定时测试应急预案，确保计划有效性。 （五）应急预案应定时检验、立即更新维护，以确保其有效性。 (六)应急预案内容最少应包含开启应急预案条件、应急处理步骤、系统恢复步骤和事后教育和培训等内容； （七）应从人力、设备、技术和财务等方面确保应急预案实施有足够资源保障； （八）应依据不一样应急恢复内容，确定演练周期并定时进行培训和演练； （九）应定时审查和更新应急预案。 第二十三条 审核和检验 （一）依据职责互斥标准，成立信息安全检验小组，定时对信息系统进行全方面、独立安全检验； （二）应从技术管理和业务保障等方面，进行全方面信息安全检验，检验依据为不一样时期信息安全要求； （三）信息安全检验工作应采取定时全方面检验和不定时专题检验相结合方法； （四）对于安全检验结果应给予跟踪落实，应对整改后结果进行复查并依据需要向企业领导汇报。 （五）信息安全审计是参考一定安全标准对运维过程和信息系统本身进行安全评价过程。此过程关键关注运维管理工作是否有效地保护了业务和信息系统安全； （六）对关键业务系统进行审计时，必需制订具体计划，尽可能降低对业务处理影响； （七）对信息安全审计发觉问题和隐患，责任部门应制订整改方法立即进行整改。整改过程中应预防引入新风险； （八）审计结果未经同意，不得向外披露； （九）对于安全审计结果应给予跟踪落实，应对整改后结果进行复查并依据需要向企业领导汇报。 第四章 附则 第二十四条 各部门可依据本策略制订对应实施细则。 第二十五条 本策略自颁布之日起实施。