1、XXXf言息安全管理制度匯編信息安全制度XXX有限公司目錄 TOC o 1-5 h z 信息安全策略總綱 .3.第一章總則3.第二章信息安全工作總體方針3第三章總體安全策略4.第四章安全管理6.第五章制度的制定與發布12第六章制度的評審和修訂1 2第七章制度的授權和審批13第八章附則13信息安全策略總綱第一章總則第一條 為貫徹國家對信息安全的規定和要求，指導和規范 XXX 信息系統（以下簡稱“信息系統”）建設、使用、維護和管理過程中， 實現信息系統安全防護的基本目的， 提高信息系統的安全性，防范和 控制系統故障和風險，確保信息系統安全、可靠、穩定運行 ，維護社 會秩序、公共利益和國家安全，特制

2、定本制度。第二條 本制度根據國家信息安全相關政策法規而制定。第三條本制度適用于XXX以及其指定的信息系統運維單位。第二章信息安全工作總體方針第四條 信息系統的安全保護管理工作總體方針是“保持適度安 全；管理與技術并重；全方位實施，全員參與；分權制衡，最小特權； 盡量采用成熟的技術”。“預防為主”是信息安全保護管理工作的基 本方針。第五條 本文件規定了信息系統安全管理的體系、策略、具體制 度，為信息化安全管理工作提供監督依據。第六條信息系統安全管理體系是由信息安全策略、安全管理制 度、安全技術標準、以及安全工作流程和操作規程組成的。第七條信息系統安全策略是信息安全各個方面所應遵守的原則 方法和指

3、導性策略。第八條信息系統安全管理制度和規定是從安全策略總綱中規定 的各個安全方面所應遵守的原則方法和指導性策略引出的具體管理 規定、管理辦法和實施辦法，規定安全管理活動中各項管理內容。第九條信息系統安全技術標準和規范是從安全策略總綱中規定 的各個安全方面所應遵守的原則方法和指導性策略引出的具體的技 術標準和規范。第十條信息系統安全工作流程和操作規程詳細規定主要業務應 用和事件處理的流程、步驟以及相關注意事項，作為具體工作時的具 體依照。第三章總體安全策略第十一條信息系統總體安全保護策略是：系統基礎資源和信息資源的價值大小、用戶訪問權限的大小、系統中各子系統重要程度 的區別等就是級別的客觀體現。

4、信息安全保護必須符合客觀存在和發 展規律，其分級、分區域、分類和分階段是做好信息安全保護的前提。第十二條信息系統的安全保護策略由信息系統安全領導小組負責制定與更新。第十三條信息安全管理部門根據信息系統的保護等級、安全保護需求和安全目標，結合信息系統自身的實際情況，依據國家有關 安全法規和國家標準，授權制定信息系統的安全保護實施細則和具體 管理辦法，并根據環境、系統和威脅變化情況，及時調整和制定新的 實施細則和具體管理辦法。第十四條信息系統的安全防護工作應從物理、網絡、主機、應用、數據以及安全管理制度、安全管理機構、人員管理、系統建設 管理和系統運維管理十個部分進行，并構成系統整體安全控制機制。

5、（一）物理安全包括：周邊環境，門禁檢查，防火、防水、防潮、 防鼠和防雷，防電磁泄露和干擾，電源備份和管理，設備的標識、使 用、存放和管理等；（二）網絡安全包括：網絡的拓撲結構，網絡的布線和防護，網 絡設備的管理和報警，網絡攻擊的監察和處理等；（三）主機安全包括：主機的身份鑒別、訪問控制，主機安全審 計、入侵防范，主機的惡意代碼防范，終端接入控制和重要服務器的 監控等；（四）應用安全包括：系統登錄，權限劃分與識別，數據備份與 容災處理，運行管理和訪問控制，密碼保護機制和信息存儲管理，資 源控制和代碼安全等；（五）數據安全包括：數據傳輸的完整性和保密性，數據存儲的 完整性和保密性，數據的備份和恢復

6、。（六）安全管理制度是信息系統安全策略、方針性文件，規定信 息安全工作的總體目標、范圍、原則和安全框架，是管理制度體系的 靈魂和核心文件；（七）安全管理機構通過構建和完善信息安全組織架構，明確不同安全組織、不同安全角色的定位、職責以及相互關系，強化信息安 全的專業化管理，實現對安全風險的有效控制；（八）人員安全管理從人員錄用、人員管理、人員考核、保密協 議、培訓、離崗離職等多個方面都制定相應的管理制度和規定；（九）系統建設管理根據信息密級、系統重要性和安全策略將信 息系統劃分為不同的安全域，針對不同的安全域確定不同的信息安全 保護等級，并進行相應的保護。信息系統安全等級的定級決定了系統 方案的

7、設計、實施、安全措施、運行維護等信息系統建設的各個環節。 信息系統定級遵循“誰建設、誰定級”的原則；（十）系統運維管理對環境、資產、介質、設備進行綜合監控管 理，對支撐重要信息系統的資源進行監控保護，確保密碼防護、病毒防護和系統變更等事件要求按照定義好的安全管理策略措施，建立安全管理監控中心，實現對人、事件、流程和資產的綜合管理。第四章安全管理第十五條信息系統按照等級保護定級備案要求進行定級，參考信息系統安全保護等級定級指南 GB/T22240-2008，由XXX自主 定級并填寫定級備案表，經信息安全領導小組批準，由信息安全管理 部門負責信息系統向公安機關進行備案。第十六條信息系統業務應用需求

8、和設計單位，要充分考慮信息系統的安全需求分析，具體參考等級保護管理辦法、信息系統安全等級保護基本要求，參照信息系統安全等級保護實施指南、信息系統通用安全技術要求、信息系統安全工程管理要求、 信息系統等級保護安全設計技術要求等標準規范要求，結合信息 系統自身特點進行安全需求分析。（一）安全需求分析，至少包括以下信息安全方面的內容：.安全威脅分析；.系統脆弱性分析；.影響性分析；.風險分析；.系統安全需求；（二）可行性分析中須包括以下信息安全方面的內容：.明確項目的總體安全目標，并增加針對前面分析出的安全需求 所提出的相應安全對策，每個安全需求都至少對應一個安全對 策，安全對策的強度根據相應資產/

9、系統的重要性來選擇；.應描述如何從技術和管理兩個方面來實現所有的安全對策，并 形成安全方案；3,增加項目建設中的安全管理模式、安全組織結構、人員的安全 職責、建設實施中的安全操作程序和相應安全管理要求；.對安全方案進行成本-效益分析。.需求分析階段，必須明確地定義和商定信息系統的要求和準則, 并形成文件，便于后期驗收。相關安全需求的要求和準則應包 括：用戶管理，權限管理，日志管理和數據管理（存儲、傳輸） 第十七條 研究設計單位對于信息系統的安全設計，要求按照 國家相關信息安全相關標準，并按照安全需求分析評估得出的結論， 通過相關專家評審會后，綜合多方意見，進行安全設計。具體要求如下：.物理安全

10、-設計中要充分考慮到物理訪問控制、防盜竊和防破 壞、防雷擊、防火、防水、防潮、電力、物理位置、靜電、電 磁防護，做到增強控制，對出入、人員、電子設備共同監控等。.網絡安全-設計中要充分考慮到結構安全、訪問控制、設備防 護、安全審計、邊界完整性檢查、入侵防范、惡意代碼防范， 確保重要主機的優先級，做到應用層過濾，對設備的接入做一 定的非法外聯的定位、阻斷，對形成的記錄進行分析并形成報 表。.系統安全-設計中充分考慮身份鑒別、訪問控制、入侵防范、 惡意代碼防范、安全審計、資源控制、剩余信息保護、安全標 記和可信路徑，要求必須監控服務器相關服務，做到最小授權 原則，對形成的記錄進行分析并形成報表。.

11、數據安全-設計中充分數據完整性、備份和恢復以及數據保密 性。5,應用安全-設計中充分考慮身份鑒別、訪問控制、通信完整性、 軟件容錯、通信保密性、安全審計、資源控制、剩余信息保護、 抵賴性、安全標記、可信路徑。在系統安全規劃設計時，應該考慮系統的容量和資源的可用性， 以減少系統過載的風險，并應采取相應的保密措施，控制涉及核心數 據軟件設計的相關資料的使用，并應遵循以下原則：1,充分考慮應用安全實現的可控性， 以便盡可能地降低安全與應 用相結合過程的風險；2,保持安全與應用的相互獨立性，避免功能實現上的交叉或跨越；3.建立完善的安全控制機制，包括：用戶標識與認證、邏輯訪問 控制、公共訪問控制、審計

12、與跟蹤等。第十八條 信息系統安全建設管理需要按照國家信息安全標準 的相關要求，并在安全管理組織的領導下結合應用的實際情況，進行相關系統安全建設。在建設中應充分考慮系統定級管理、 安全方案設計管理、產品采 購和使用管理、自行軟件開發管理、外包軟件開發管理、工程實施管 理、測試驗收管理、系統交付管理、安全服務商選擇管理、系統備案 管理和等級測評管理等。信息系統安全建設管理要求將信息系統建設項目過程有效程序化，明確指定項目實施監理負責人， 對工程項目外包要求對應廢止和 暫停的項目，要確保相關的系統設計、文檔、代碼等的安全，對銷毀 過程要進行安全控制；對建設項目制定測試驗收要求， 除測試外還要 全面檢

13、查。第十九條 信息系統安全驗收管理按照國家相關信息安全標準 的相關要求進行驗收。項目驗收須得到各業務部門、信息安全領導小 組、信息安全管理部門共同確認簽字驗收。 項目應達到項目任務書中 制定的總體安全目標和安全指標，實現全部安全功能。驗收報告中應 包括項目設計總體安全目標及主要內容和項目中所采用的關鍵安全 技術內容。系統驗收并移交后，必須立即修改系統中相關的口令。信 息系統項目驗收應審查如下內容：.功能檢查：對軟件功能完整性、正確性進行審查和評價；.項目管理審查：對項目計劃、采用標準、需求方案及其執行情 況進行審查和評價；.測試結果審查：對項目測試報告、監理單位出具的監理報告等 進行審查；.技

14、術文檔檢查：對項目開發單位交付的文檔資料（紙質文檔和 電子文檔）進行審查。.系統交付時，應根據合同要求制定系統交付的清單；.系統運行所需要的全部設備；.系統運行所需要的全部軟件；.系統文檔，包括系統建設過程中的文檔，詳細的系統使用和維 護文檔；.系統應急方案；.系統使用培訓教材。系統建設項目有下列情況之一，不能通過安全驗收：.驗收文件、資料、數據不真實；.未達到安全設計要求；.設計不符合國家信息安全建設相關標準要求；.擅自修改設計目標和建設內容；.系統建設過程中出現重大問題，未能解決和做出說明，或存在 糾紛。項目驗收完畢后，系統建設部門應對負責系統使用和維護的人員 進行相應培訓，并履行服務承諾

15、。第二十條信息系統安全測評管理是按照國家相關信息安全標準測評的相關要求，在結合XXXW實際情況進行安全測評。項目驗收 時應按照信息安全法律法規和標準情況， 進行自評估或委托第三方測 評機構進行相關測評，測評報告將作為項目驗收的參考依據， 主要檢 查項目建設和管理是否符合有關信息安全法律、 法規和國家信息安全 建設相關標準。信息系統的安全性測試驗收應獨立進行， 測試程序應 包括以下內容：.測試驗收前根據設計方案或合同要求等制訂測試驗收方案，測 試驗收方案應對參與測試部門、人員、現場操作過程等進行要 求，并確保測試和接受標準被清晰定義并文檔化；.測試方案應通過XXX!目管理部門和信息安全領導小組的

16、論證 和審定；.嚴格依據測試方案進行測試，測試驗收過程中詳細記錄測試結 果；.審查主機端口開放情況是否符合系統說明，使用網絡偵聽工具 檢查通訊數據包是否符合系統說明， 并使用惡意代碼軟件檢測 軟件包中可能存在的惡意代碼等；.形成正式的，經過簽字確認的測試驗收報告。第二十一條安全運維管理是按照國家相關信息安全標準的相關 要求，項目驗收且系統建設符合相關標準， 在結合XXX的實際情況下 進行安全運維管理。運行維護管理部門接管后，由運行維護管理部門10 指定的信息運維單位負責信息系統的網絡安全、主機安全、數據安全、 系統運維等安全運維管理工作，由機房負責信息系統的物理安全， 信 息系統運維單位定期和

17、不定期對安全設備的策略進行檢查，確保安全 策略符合系統現狀的要求。信息系統安全運行維護項目應包括但不限 于以下內容：.對網絡的連通性、時延、丟包率、故障及攻擊事件等進行檢查；.對設備運行狀態檢查，包括 CP頃荷、連通性等；.對出口鏈路或關鍵鏈路流量檢查，設備備份工作等。.對設備和軟件的日志進行審計。.對設備和軟件分為版本升級和特征庫升級。.建立監控平臺，對設備安全漏洞、安全事件、設備的啟動和關 閉時間、系統日志等信息進行監控，制定各項計劃性的安全維 護工作。.建立單位作業計劃應包括安全設備維護、 安全監控、操作日志、 日志審核、故障管理、測試等，明確執行期限并落實到人。安 全維護作業計劃在編制

18、和確定后，各業務部門應根據其內容嚴 格執行，并定期對維護計劃執行情況進行總結分析。.定期出具安全運行維護報告，報告設計方面包括但不限于以下 內容：安全設備維護、安全監控、操作日志、日志審核、故障 管理、測試等工作。.對人員安全管理，簽訂安全運行崗位安全協議以及崗位變化， 制定考核指標，實施安全管理，制定培訓計劃，通過信息安全教育和 培訓，進行信息安全方面的培訓，明確崗位所要求遵守的信息安全制 度、技術規范以及操作流程。ii.對“第三方”人員進入機房訪問需要在信息系統運維單位人員的陪同下，信息系統運維單位人員出示客戶卡或運維單位的 介紹信 后，在機房值班處換取參觀卡，并填寫機房出入登記表才能進入 機房。接待人必須全程陪同臨時“第三方”人員，告知有關安全管理 規定，不應透露與“第三方”工作無關的信息，不得任其自行走動和 未經允許使用的計算機設備。第五章制度的制定與發布第二十二條信息安全領導小組通過對信息安全方針和目標的進 一步詮釋明確，審批和發布信息安全總體策略；信息安全管理部門負 責將具體的安全策略進一步明確細化為信息安全的管理規定和制度； 信息安全工作小組對管理層面的管理規定及制度進一步落實為具體 的管理細則、實施指南和操作流程。第二十三條