信息安全策略綱要1范圍信息系統是技術密集的大型復雜的網絡化人機系統，其面臨的安全問題非常突出。為了保障XX信息通信分公司(以下簡稱“公司”)信息系統的安全可靠運行,依據《信息系統安全等級保護基本要求》等相關標準法規制定本策略綱要。本綱要適用于公司信息系統。總體目標總體目標：保護公司信息系統的硬件、軟件、業務信息和數據、通信網絡設備等資源的安全，有效防范各類安全事故，合法合規發展各類信息系統，確保為社會提供高效穩定的電力服務。規范性引用文件下列文件中的條款通過本標準的引用而成為本標準的條款。凡注明日期的引用文件，其隨后所有的修改單或修訂版均不適用于本標準(不包括勘誤、通知單)，然而，鼓勵根據本標準達成協議的各方研究是否可使用這些文件的最新版本。凡未注日期的引用文件，其最新版本適用于本標準《信息安全技術信息系統安全保障評估框架》(GB/T20274.1-2006)《信息安全技術信息系統安全管理要求》(GB/T20269-2006)《信息安全技術信息系統安全等級保護基本要求》(GBT22239-2008)本標準未涉及的管理內容，參照國家、電力行業、南方電網公司的有關標準和規定執行。總體方針4.1組織與體制構筑確保信息安全所必需的組織與體制，明確其責任與權限。遵守法令法規遵守與信息安全有關的法令法規，制定并遵守按基本方針所制定的信息安全相關的規定。信息資產的分類與管理按照重要級別信息資產進行分類，并妥善管理。培訓與教育為使相關人員全面了解信息安全的重要性，適當開展針對性培訓與教育教育活動。使他們充分認識信息安全的重要性以及掌握正確的管理方法。物理性保護為避免非法入侵、干擾及破壞信息資產等事故的發生，對其保管場所與保管辦法加以明確。技術性保護為切實保護信息資產不受來自外部的非法入侵，對信息系統的登錄方法、使用限制、網絡管理等采取適當的措施。運用為確保基本方針的實際成效，在對遵守情況進行監督的同時，對違反基本方針時的處置辦法及針對來自外部的非法入侵等緊急事態采取的應對措施等加以規定。評價及復審隨著社會環境的變化、技術的進步等，應定期對基本方針與運用方式進行評價與復審安全策略安全管理制度在信息安全中，最活躍的因素是人，對人的管理包括法律、法規與政策的約束安全指南的幫助、安全意識的提高、安全技能的培訓、人力資源管理措施以及企業文化的熏陶，這些功能的實現都是以完備的安全管理政策和制度為前提。安全管理制度包括信息安全工作的總體方針、策略、規范各種安全管理活動的管理制度以及管理人員或操作人員日常操作的操作規程。安全管理制度重點關注管理制度、制定和發布、評審和修訂三方面。目的是根據系統的安全等級，依照國家相關法律法規及政策標準，建立信息安全的各項管理規范和技術標準，規范基礎設施建設、系統和網絡平臺建設、應用系統開發、運行管理等重要環節，奠定信息安全的基礎。安全管理機構建立組織管理體系是為了建立自上而下的信息安全工作管理體系，確定安全管理組織機構的職責，統籌規劃、專家決策，以推動信息安全工作的開展。公司成立信息安全領導小組，是信息安全的最高決策機構，負責研究重大事件落實方針政策，制定實施策略和原則，開展安全普及教育等。下設辦公室負責信息安全領導小組的日常事務。信息安全領導小組下設兩個工作組：信息安全工作組、應急處理工作組。組長均由公司負責人擔任。人員安全管理通過建立安全崗位責任制，最大限度降低人為失誤所造成的風險。人是決定性因素，人員安全管理的原則是：職責分離、有限授權、相互制約、任期審計。人員安全管理的要素包括：安全管理人員配備、信息系統關鍵崗位、人員錄用人員離崗、人員考核與審查、第三方人員管理等。信息安全人員的配備和變更情況，應向上一級單位報告、備案。信息安全人員調離崗位，必須嚴格辦理調離手續，承諾其調離后的保密義務。涉及公司業務核心技術的信息安全人員調離單位，必須進行離崗審計，并在規定的脫密期后，方可調離。系統建設管理信息系統的安全管理貫穿系統的整個生命周期，系統建設管理主要關注的是生命周期中的前三個階段（初始、采購、實施）中各項安全管理活動。系統建設管理分別從工程實施建設前、建設過程以及建設完畢交付等三方面考慮，具體包括系統定級、安全方案設計、產品采購和使用、自行軟件開發、外包軟件開發、工程實施、測試驗收、系統交付、系統備案、等級測評和安全服務商選擇十一個控制點。系統運維管理目的是保障信息系統日常運行的安全穩定，對運行環境、技術支持、操作使用、病毒防范、備份措施、文檔建立等全方位管理。包括用戶管理、運行操作管理、運行維護管理、外包服務管理、有關安全機制保障、安全管理控制平臺等方面的管理要素。對運行過程的任何變化，數據、軟件、物理設置等，都應實施技術監控和管理手段以確保其完整性，防止信息非法復制、篡改，任何查詢和變更操作需經過授權和合法性驗證。應急管理也是運維的重要內容，目的是分析信息系統可能出現的緊急事件或災難，建立一整套應急措施，以保障核心業務的快速恢復和持續穩定運行。應急計劃包括應急處理和災難恢復策略、應急計劃、應急計劃的實施保障等管理要素。在海南省電網公司統一的應急規劃下，針對信息系統面臨的各種應急場景編制相應的應急預案，并經過測試演練修訂，同時宣傳普及。物理安全目的是保護計算機設備、設施（含網絡）以及信息系統免遭自然災害和其他形式的破壞，保證信息系統的實體安全。有關物理環境的選址和設計應遵照相關標準，配備防火、防水、防雷擊、防靜電、防鼠害等機房措施，維持系統不間斷運行能力，確保信息系統運行的安全可靠對重要安全設備的選擇，需符合國家相關標準規范，相關證書齊全。嚴格確定設備的合法使用人，建立詳細運行日志和維護記錄。網絡安全目的是有效防范網絡體系的安全風險，為業務應用系統提供安全、可靠、穩定的網絡管理和技術平臺。對于依賴網絡架構安全的業務應用系統，需根據其安全級別，實施相應的訪問控制、身份認證、審計等安全服務機制；在網絡邊界處，需根據資源的保護等級，實施相應安全級別的防火墻、認證、審計、動態檢測等技術，防范信息資源的非法訪問、篡改和破壞。主機安全主機安全包括服務器、終端/工作站等在內的計算機設備在操作系統及數據庫系統層面的安全。終端/工作站是帶外設的臺式機與筆記本計算機，服務器則包括應用程序、網絡、web、文件與通信等服務器。主機承載著各種應用，是保護信息安全的中堅力量。主機安全需著重關注和加強身份鑒別、訪問控制、惡意代碼防范、安全審計、入侵防范幾個方面，同時定期或不定期的進行安全評估（含滲透性測試）和加固，實時確保主機的健壯性。5.9應用安全應用安全成是信息系統整體防御的最后一道防線，目的是保障業務應用系統開發過程及最終產品的安全性。在應用層面運行著信息系統的基于網絡的應用以及特定業務應用。基于網絡的應用是形成其他應用的基礎，是基本的應用；業務應用采納基本應用的功能以滿足特定業務的要求；故最終是保護系統的各種業務應用程序的安全運行。應用系統的總體需求計劃階段，應全面評估系統的安全風險，確定系統的訪問控制、身份認證、審計跟蹤等安全需求；總體架構設計階段，應實施安全需求設計,確立安全服務機制、開發人員技術要求和操作規程；應用系統的實現階段，應全程實施質量控制，防止程序后門，減少代碼漏洞；在上線運行之前，應充分進行局部功能、整體功能、壓力測試，以及系統安全性能、操作流程、應急方案的測試。5.10數據安全及備份恢復信息系統處理的各種數據（用戶數據、系統數據、業務數據等）在維持系統正常運行上起著至關重要的作用。由于信息系統的各個層面（網絡、主機、應用等）都對各類數據進行傳輸、存儲和處理等，因此，對數據的保護需要物理環境、網絡、數據庫和操作系統、應用程序等提供支持。數據備份也是防止數據被破壞后無法恢復的重要手段，而硬件備份等更是保證系統可用的重要內容。6附貝U本標準由XX公司信息通信分公司負責解釋。本標準自頒布之日起實行。關于安全管理制度的管理標準1引言本標準闡述了XX信息通信分公司(以下簡稱“公司”)在信息安全管理制度方面的基本任務和管理原則，確定了公司在信息安全管理制度方面的職責和義務，明確了公司信息安全管理制度在編寫、制定和發布、評審和修訂等過程中應遵守的原則與工作方式及流程。2規范性引用文件下列文件中的條款通過本標準的引用而成為本標準的條款。凡注明日期的引用文件，其隨后所有的修改單或修訂版均不適用于本標準(不包括勘誤、通知單)，然而，鼓勵根據本標準達成協議的各方研究是否可使用這些文件的最新版本。凡未注日期的引用文件，其最新版本適用于本標準《信息安全技術信息系統安全保障評估框架》(GB/T20274.1-2006)《信息安全技術信息系統安全管理要求》(GB/T20269-2006)《信息安全技術信息系統安全等級保護基本要求》(GBT22239-2008)本標準未涉及的管理內容，參照國家、電力行業、南方電網公司的有關標準和規定執行。3目標總體目標：為貫徹執行國家、地方和本行業有關信息化建設的方針政策，有效保障公司信息系統正常運行。公司信息系統管理的規范化、程序化、制度化，進一步提高管理制度的體系化和制定發布流程的標準化，特制定本制度。為更好的適應公司的企業文化，本標準參照南方電網信息安全管理制度的相關要求，并借鑒了國內外流行標準。具體建設目標：1)建立完整的信息安全管理體系和組織機構，提高信息安全管理的能力，完善各項業務和管理過程中的信息安全措施，確保信息安全管理正規有序。2）建立完整的信息安全運行體系，實現網絡系統安全系統的集中管理和透明化監控，提高對突發事件的應急響應處理能力，保證關鍵業務應用運行的可用性、可依賴性以及故障恢復能力。4術語和定義本標準采用以下術語和定義。制度：對流程具體實施辦法的解釋，規定必須的關鍵因素，指明各類表單的填寫要求等。流程：一個輸入到輸出的過程，一般以流程圖表示，標識關鍵環節和關鍵步驟，明確職責分工；表單：對每個關鍵環節進行控制的過程文檔，表單文件閉環后作為檔案文件進行管理總體方針第一章組織與體制構筑確保信息安全所必需的組織與體制，明確其責任與權限。第二章遵守法令法規遵守與信息安全有關的法令法規，制定并遵守按基本方針所制定的信息安全相關的規定。第三章信息資產的分類與管理按照重要級別信息資產進行分類，并妥善管理。第四章培訓與教育為使相關人員全面了解信息安全的重要性，適當開展針對性培訓與教育教育活動。使他們充分認識信息安全的重要性以及掌握正確的管理方法。第五章物理性保護為避免非法入侵、干擾及破壞信息資產等事故的發生，對其保管場所與保管辦法加以明確。第六章技術性保護為切實保護信息資產不受來自外部的非法入侵，對信息系統的登錄方法、使用限制、網絡管理等采取適當的措施。第七章運用為確保基本方針的實際成效，在對遵守情況進行監督的同時，對違反基本方針時的處置辦法及針對來自外部的非法入侵等緊急事態采取的應對措施等加以規定。第八章評價及復審隨著社會環境的變化、技術的進步等，應定期對基本方針與運用方式進行評價與復審。安全策略第一章安全管理機構建立組織管理體系是為了建立自上而下的信息安全工作管理體系，確定安全管理組織機構的職責，統籌規劃、專家決策，以推動信息安全工作的開展。公司成立信息安全領導小組，是信息安全的最高決策機構，負責研究重大事件落實方針政策，制定實施策略和原則，開展安全普及教育等。下設辦公室掛靠在公司信息中心，負責信息安全領導小組的日常事務。信息安全領導小組下設兩個工作組：信息安全工作組、應急處理工作組。第二章人員安全管理通過建立安全崗位責任制，最大限度降低人為失誤所造成的風險。人是決定性因素，人員安全管理的原則是：職責分離、有限授權、相互制約、任期審計。人員安全管理的要素包括：安全管理人員配備、信息系統關鍵崗位、人員錄用人員離崗、人員考核與審查、第三方人員管理等。信息安全人員的配備和變更情況，應向上一級單位報告、備案。信息安全人員調離崗位，必須嚴格辦理調離手續，承諾其調離后的保密義務。涉及XX業務核心技術的信息安全人員調離單位，必須進行離崗審計，并在規定的脫密期后，方可調離。第三章標準化管理應通過公司信息系統內部業務處理、操作流程、信息系統管理和技術等一系列標準化和規范化的過程，應根據系統的安全等級，依照國家相關法律法規及政策標準，建立信息安全的各項管理規范和技術標準，規范基礎設施建設、系統和網絡平臺建設、應用系統開發、運行管理等重要環節，奠定信息安全的基礎。第四章系統建設管理信息系統的安全管理貫穿系統的整個生命周期，系統建設管理主要關注的是生命周期中的前三個階段（初始、采購、實施）中各項安全管理活動。系統建設管理分別從工程實施建設前、建設過程以及建設完畢交付等三方面考慮，具體包括系統定級、安全方案設計、產品采購和使用、自行軟件開發、外包軟件開發、工程實施、測試驗收、系統交付、系統備案、等級測評和安全服務商選擇十一個控制點。第五章系統運維管理目的是保障信息系統日常運行的安全穩定，對運行環境、技術支持、操作使用病毒防范、備份措施、文檔建立等全方位管理。包括用戶管理、運行操作管理、運行維護管理、外包服務管理、有關安全機制保障、安全管理控制平臺等方面的管理要素。對運行過程的任何變化，數據、軟件、物理設置等，都應實施技術監控和管理手段以確保其完整性，防止信息非法復制、篡改，任何查詢和變更操作需經過授權和合法性驗證。應急管理也是運維的重要內容，目的是分析信息系統可能出現的緊急事件或災難，建立一整套應急措施，以保障核心業務的快速恢復和持續穩定運行。應急計劃包括應急處理和災難恢復策略、應急計劃、應急計劃的實施保障等管理要素。在公司統一的應急規劃下，針對信息系統面臨的各種應急場景編制相應的應急預案，并經過測試演練修訂，同時宣傳普及。第六章物理安全目的是保護計算機設備、設施（含網絡）以及信息系統免遭自然災害和其他形式的破壞，保證信息系統的實體安全。有關物理環境的選址和設計應遵照相關標準，配備防火、防水、防雷擊、防靜電、防鼠害等機房措施，維持系統不間斷運行能力，確保信息系統運行的安全可靠對重要安全設備的選擇，需符合國家相關標準規范，相關證書齊全。嚴格確定設備的合法使用人，建立詳細運行日志和維護記錄。第七章網絡安全目的是有效防范網絡體系的安全風險，為業務應用系統提供安全、可靠、穩定的網絡管理和技術平臺。對于依賴網絡架構安全的業務應用系統，需根據其安全級別，實施相應的訪問控制、身份認證、審計等安全服務機制；在網絡邊界處，需根據資源的保護等級，實施相應安全級別的防火墻、認證、審計、動態檢測等技術，防范信息資源的非法訪問、篡改和破壞。第八章主機安全主機安全包括服務器、終端/工作站等在內的計算機設備在操作系統及數據庫系統層面的安全。終端/工作站是帶外設的臺式機與筆記本計算機，服務器則包括應用程序、網絡、web、文件與通信等服務器。主機承載著各種應用，是保護信息安全的中堅力量。主機安全需著重關注和加強身份鑒別、訪問控制、惡意代碼防范、安全審計、入侵防范幾個方面，同時定期或不定期的進行安全評估（含滲透性測試）和加固，實時確保主機的健壯性。第九章應用安全應用安全成是信息系統整體防御的最后一道防線，目的是保障業務應用系統開發過程及最終產品的安全性。在應用層面運行著信息系統的基于網絡的應用以及特定業務應用。基于網絡的應用是形成其他應用的基礎，是基本的應用；業務應用采納基本應用的功能以滿足特定業務的要求；故最終是保護系統的各種業務應用程序的安全運行。應用系統的總體需求計劃階段，應全面評估系統的安全風險，確定系統的訪問控制、身份認證、審計跟蹤等安全需求；總體架構設計階段，應實施安全需求設計，確立安全服務機制、開發人員技術要求和操作規程；應用系統的實現階段，應全程實施質量控制，防止程序后門，減少代碼漏洞；在上線運行之前，應充分進行局部功能、整體功能、壓力測試，以及系統安全性能、操作流程、應急方案的測試。第十章數據安全及備份恢復信息系統處理的各種數據（用戶數據、系統數據、業務數據等）在維持系統正常運行上起著至關重要的作用。由于信息系統的各個層面（網絡、主機、應用等）都對各類數據進行傳輸、存儲和處理等，因此，對數據的保護需要物理環境、網絡數據庫和操作系統、應用程序等提供支持。數據備份也是防止數據被破壞后無法恢復的重要手段，而硬件備份等更是保證系統可用的重要內容。第十一章應急計劃目的是分析信息系統可能出現的緊急事件或災難，建立一整套應急措施，以保障核心業務的快速恢復和持續穩定運行。應急計劃包括應急處理和災難恢復策略、應急計劃、應急計劃的實施保障等管理要素。在公司統一的應急規劃下，針對信息系統面臨的各種應急場景編制相應的應急預案，并經過測試演練修訂，同時宣傳普及。職責分工a） 信息安全領導小組領導小組是信息安全的最高決策機構，批準公司信息安全總體策略規劃、管理規范和技術標準;確定公司信息安全各有關部門工作職責，指導、監督信息安全工作。b） 信息安全工作組貫徹執行公司信息安全領導小組的決議，協調和規范公司信息安全工作；組織有關人員進行信息安全制度類文件的編制（包括成立編制小組）、評審、修訂、發布、控制，并監督執行。c） 信息安全管理人