信息安全总体策略
一、安全策略概述 (一)范围
信息安全关系到单位所有类型信息的存贮、处理或传输以及与其相关的硬件、软件及固件。本策略适用于单位所有部门的所有系统(以下简称系统)及相关人员。
(二)目标
信息安全的目标是确保系统系统的连续性,并通过一系列预防措施将系统可能受到的损害降到最低,将信息安全事故产生的影响降到最小。信息安全管理应在确保信息和计算机资产受到保护的同时,确保信息能够在允许的范围内正常运行使用。对每种资产的保护程度由以下四个基本要素决定:机密性、完整性、可用性、可审计性。
同时,本策略的目的也让单位员工能够了解信息安全问题以及个人的责任,并严格遵守本安全策略。促进信息安全策略的实现和普及是每个员工应尽的责任和义务。依照本安全策略,需要制定,信息安全相关的岗位及职责要求。
(三)遵循
单位所有员工都有责任学习、理解并遵守本策略,以保障单位信息安全工作。对违反本策略的行为,根据事件性质和违规的严重程度,采取相应的处罚措施。信息安全管理部门应根据违规的严重程度向相关领导提出建议惩罚措施。除
1
本策略中涉及的要求之外,单位所有部门及员工同样需要遵守相关国家法律和法规的要求。
信息安全总体策略由信息安全领导小组负责制定和解释,并每年组织一次对总体策略的修订和维护,由信息安全领导小组办公室在全单位发布。
单位已存在,但内容与本安全策略不符的管理规定,应以本安全策略的要求为准,并参考本安全策略及时进行修订。
(四)安全组织机构 1.信息安全组织机构
建立信息安全组织机构的目标是管理单位的信息安全。单位必须建立专门的信息安全领导小组,指定专职的信息安全管理员,不得与其它系统管理员、数据库管理员、应用系统管理员等管理人员角色重叠。
信息安全是全单位信息安全组织机构必须共同承担的责任。必须建立信息安全领导小组,由主管领导任组长,领导小组应能够:
(1)为单位的信息安全工作提供清晰的指导方向,可见的管理支持,明确的信息安全职责授权;
(2)审查、批准信息安全策略和岗位职责; (3)审查关键安全事件;
(4)审查、批准信息安全保障能力的控制措施和管理机制;
2
(5)保证必要的资源分配,以实现数据有效性以及信息安全管理体系的持续发展。
信息安全管理相关部门必须为建立和维持信息安全管理体系,协调相关活动,承担如下职责:
(1)调整并制定所有必要的信息安全管理制度、规程以及实施解释等;
(2)提议并配合执行信息安全相关的实施活动,如风险评估、资产分级分类等;
(3)主动采取单位内的信息安全措施,如安全意识培训及教育等;
(4)配合执行新系统或服务的特殊信息安全措施; (5)审查对信息安全策略的遵循性;
(6)审查、监控、协调对信息安全相关事件的评估和响应;
(7)配合并参与安全评估事项;
(8)定期向单位信息安全领导小组报告信息安全工作情况。
2.信息安全岗位及职责划分
安全岗位和职责的分配应该根据单位的具体情况,补充详细的环境、系统或服务的描述,这些描述必须明确定义个人资产(包括物理的和信息的)的职责和安全规程,单位具体的安全岗位及职责划分参见《信息化工作岗位设置及其职责》文件。
3
1.信息安全总体策略
