.
主要包括:保护资产免受未授权的访问、泄漏、修改、销毁或干扰,执行特定的安全过程或活动,报告安全事件或其他风险。安全角色和职责必须清晰的传达给所有员工,确保他们能清楚各自的安全责任。 第三条 定期对各个岗位的人员进行安全技能及安全认知的考核,对关键岗位的人员要进行全面、严格的安全审查和技能考核。 第四条 外单位人员在访问中心信息处理设施前必须签署保密协议,保密协议内容包括外单位人员访问信息资产的权利、承担的安全责任、违反职责要承担的后果等。负责接待人员或部门要保证外单位人员了解保密协议的条款和内容,并同意协议规定的权利和责任。 第五条 单位主要领导承担管理职责,保证所有员工和外单位人员能按照安全方针、策略和程序进行日常工作。管理职责包括使所有员工和外单位人员清晰了解各自的安全角色和安全职责、提高他们的安全意识和安全技能等。
第六条 定期对所有员工进行安全培训,培训内容包括安全方针、策略、程序、信息处理设施正确使用方法、安全意识等。根据人员的安全角色和职责制定不同的墙训计划,保证所有员工和外单位人员能认识到信息安全问题和信息安全事件,并能按照各自的安全角色履行安全职责。
第七条 制定正式的纪律处理过程,来严肃处理安全违规的员工,并威慑其他员工,防止他们违反安全策略、程序和其他安全违规。纪律处理要正确、公平,要根据违规的性质、重要性和对业务的影响等因素区别对待。
精选文档
.
第八条 当员工离职或调离其他岗位、外单位人员合同期满时,立即终止原来的安全角色和安全职责,并通知中心所有员工,使所有员工能及时清楚人员的变化。
第九条 当员工离职或调离其他岗位、外单位人员合同期满时,及时归还其使用的所有资产,如设备、软件、文件、访问卡、电子资料等,防止对资产的
非授权使用,及时删除其对信息和信息处理设施的访问权限。 四、系统建设策略
第一条 信息系统建设前,应明确信息系统的边界和安全保护等级,并明确说明信息系统为某个安全保护等级的方法和理由,同时组织相关部门和有关安全技术专家对信息系统定级结果的合理性和正确性进行论证和审定,并确保信息系统的定级结果经过相关部门的批准。 第二条 信息技术部负责对信息系统的安全建设进行总体规划,制定近期和远期的安全建设工作计划;总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的合理性和正确性进行论证和审定,并且经过批准后,才能正式实施。信息系统建设方案必须进行安全论证,遵照相关标准,建立完善的身份验证、访问控制、安全保护和安全审计机制。核心业务系统必须采取基于协议交换的多层结构,确保客户端操作与数据服务端的物理无关性,并具备防止强力试探密码、防止异常中断后非法进入系统等安全防护功能。
第三条 信息技术部负责安全产品的采购,确保安全产品采购和使用
精选文档
.
符合国家的有关规定,而密码产品采购和使用符合国家密码主管部门的要求,在采购前应预光对产品进行选型测试,确定产品的候选范围,并定期审定和更新候选产品名单。
第四条 业务系统的开发、测试和运行设施要分离并进行控制,控制措施包括敏感数据不能拷贝到测试系统环境中、禁止开发和测试人员访问运行系统及其信息等,以减少对运行设施及其信息的未授权访问和带来的潜在风险。
第五条 定期根据外包服务协议中的安全要求,监视、评审由外单位提供的服务、报告和记录,监督协议规定的信息安全条款和条件的严格执行。监视、评审内容包括监视服务执行效率,评审服务报告,审查外包服务的安全事件、操作问题、故障、失误追踪和破坏的记录。 第六条 授权信息技术部负责工程实施过程的管理,工程实施前应制定详细的工程实施方案控制实施过程,并要求工程实施单位能正式地执行安全工程过程,并制定工程实施方面的管理制度,明确说明实施过程的控制方法和人员行为准则。
第七条 新业务系统或升级版本在正式上线前,要进行合适的测试,并根据验收要求和标准进行正式的验收,以证实全部验收准则完全被满足。
第八条 系统建设完成后应制定详细的系统交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点;应提供系统建设过程中的文档和指导用户进行系统运行维护的文档,同时对负责系统运行维护的技术人员进行相应的技能培训。
精选文档
.
第九条 信息技术部负责管理系统定级的相关材料,并控制这些材料的使用;将系统等级及相关材料报系统主管部门和相应公安机关备案。
第十条 信息技术部负责等级测评的管理,并在系统运行过程中,对三级信息系统应每年进行一次等级测评,应选择具有国家相关技术资质和安全资质的测评单位,发现不符合相应等级保护标准要求的及时整改;同时在系统发生变更时及时对系统进行等级测评,发现级别发生变化的及时调整级别并进行安全改造,发现不符合相应等级保护标准要求的及时整改。
第十一条在选择安全服务商时应符合国家的有关规定,并与选定的安全服务商签订与安全相关酌协议,明确约定相关责任,同时确保选定的安全服务商提供技术培训和服务承诺,必要的与其签订服务合同。 五、系统运维策略
第一条 所有的资产要指定专人责任,并对责任人赋予相应的职责,确保所有资产都可以核查。
第二条 根据资产的重要性、业务价值、依赖程度,对所有资产进行分类、分级,编制资产的清单。对资产清单妥善保管,并在资产变更时及时更新清单,确保可以对资产进行有效的保护。
第三条 应对磁带、磁盘、闪盘、可移动硬件驱动器、CD、DVD、打印媒体等进行有效的管理,防止非授权的使用和破坏。对可移动存储介质的管理包括所有介质应存储在符合制造商说明的安全、保密环境中,使用介质要进行授权、登记并追踪审计等。
精选文档
.
第四条 应对不再需要的介质进行安全处置,降低介质敏感信息泄漏给未授权人员的风险。
第五条 应对信息系统相关的各种设备(包括备份和冗余设备)、线路等指定专门的部门或人员定期进行维护管理。
第六条 应建立配套设施、软硬件维护方面的管理制度,对其维护进行有效的管理,包括明确维护人员的责任、涉外维修和服务的审批、维修过程的监督控制等,应确保信息处理设备必须经过审批才能带离机房或办公地点。
第七条 应对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警,形成记录并妥善保存;同时组织相关人员定期对监测和报警记录进行分析、评审,发现可疑行为,形成分析报告,并采取必要的应对措施。
第八条 应指定专人对网络和主机进行恶意代码检测并保存检测记录;定期检查信息系统内各种产品的恶意代码库的升级情况并进行记录,对主机防病毒产品、防病毒网关和邮件防病毒网关上截获的危险病毒或恶意代码进行及时分析处理,并形成书面的报表和总结汇报。 第九条 应建立变更簪理制度,系统发生变更前,制定变更方案,同时向主管领导申请,变更和变更方案经过评审、审批后方可实施变更,并在实施后将变更情况向相关人员通告。
第十条 遵照信息安全事故报告机制,报告可能对中心的信息资产安全造成影响的不同种类的安全事故和弱点,并确保所有的员工、合同方和外单位人员都遵守执行这套报告程序。
精选文档