1、精選優質文檔-傾情為你奉上信息安全工作總體方針和安全策略1. 總體目標 以滿足業務運行要求，遵守行業規程，實施等級保護及風險管理，確保信息安全以及實現持續改進的目的等內容作為本單位信息安全工作的總體方針。以信息網絡的硬件、軟件及其系統中的數據受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常地運行，信息服務不中斷為總體目標。2. 范圍本案適用于xxxx信息安全整體工作。在全單位范圍內給予執行。3. 原則以誰主管誰負責為原則。4. 安全框架建立一套關于物理、主機、網絡、應用、數據、建設和管理等六個方面的安全需求、控制措施及執行程序，并在關聯制度文檔中定義出相關的安全角色，

2、并對其賦予管理職責。“以人為本”，通過對信息安全工作人員的安全意識培訓等方法不斷加強系統分布的合理性和有效性。4.1 物理方面依據實際情況建立機房管理制度，明確機房的出入管理辦法，機房介質存放方式，機房設備維護周期及維護方式，機房設備信息保密要求，機房溫濕度控制方式等環境要求。通過明確機房責任人、建立機房管理相關辦法、對維護和出入等過程建立記錄等方式對機房安全進行保護。4.2 網絡方面從技術角度實現網絡的合理分布、網絡設備的實施監控、網絡訪問策略的統一規劃、網絡安全掃描以及對網絡配置文件等必要信息進行定期備份。從管理角度明確網絡各個區域的安全責任人，建立網絡維護方面相關操作辦法，確保各信息系統

3、網絡運行情況穩定、可靠。4.3 主機方面要求各類主機操作系統和數據庫系統在滿足各類業務系統的正常運行條件下，建立系統訪問控制辦法、劃分系統使用權限、安裝惡意代碼防范軟件并對惡意代碼的檢查過程進行記錄。明確各類主機的責任人，對主機關鍵信息進行定期備份。 4.4 應用方面從技術角度實現應用系統的操作可控、訪問可控、通信可控。從管理角度實現各類控制辦法的有效執行，建立完善的維護操作規程以及明確定期備份內容。4.5 數據方面對xxxx各系統數據、設備配置信息、總體規劃信息等關鍵數據建立維護辦法，并由運維公司執行。通過匯報或存儲方式實現關鍵數據的安全傳輸、存儲和使用。4.6 建設和管理方面4.6.1 信

4、息安全管理機制成立信息安全管理主要機構或部門，設立安全主管等主要安全角色，依據信息安全等級保護二級標準（要求），建立信息系統的整體管理辦法。 4.6.2 信息安全管理組織分別建立安全管理崗位和機構的職責文件，對機構和人員的職責進行明確。建立信息發布、變更、審批等流程和制度類文件，增強制度的有效性。建立安全審核和檢查的相關制度及報告方式。4.6.3 人員安全管理要求對人員的錄用、離崗、考核、培訓、安全意識教育等方面應通過制度和操作程序進行明確。4.6.4 信息安全等級保護工作及風險評估要求定期對已備案的信息系統進行等級保護測評，以保證信息系統運行風險維持在較低水平，不斷增強系統的穩定性和安全性。4.6.5 報告安全事件要求對突發安全事件建立應急預案管理制度和相關操作辦法，并定期組織人員進行演練，以保證信息系統在面臨突發事件時能夠在較短時間內恢復正常的使用。4.6.6 業務持續性要求根據對系統的等級測評、風險評估等間接問題挖掘，及時改進信息系統的各類弊端，包括業務弊端，應建立相關改進措施或改進辦法，以保證對信息系統的業務持續性要求。4.6.7 違反信息安全要求的懲罰建立懲處辦法，對違