信息安全策略纲要

信息安全策略纲要1范围信息系统是技术密集的大型复杂的网络化人机系统，其面临的安全问题非常突 出为了保障XX信息通信分公司(以下简称“公司”)信息系统的安全可靠运行, 依据《信息系统安全等级保护基本要求》等相关标准法规制定本策略纲要本纲要 适采用于公司信息系统2 总体目标总体目标:保护公司信息系统的硬件、软件、业务信息和数据、通信网络设备 等资源的安全,有效防范各类安全事故,合法合规发展各类信息系统,确保为社会 提供高效稳定的电力服务3 规范性引采用文件下列文件中的条款通过本标准的引采用而成为本标准的条款凡注明日期的引 采用文件,其随后全部的修改单或修订版均不适采用于本标准(不包括勘误、通知 单),然而,鼓励据本标准达成协议的各方研究是否可使采用这些文件的最新版本 凡未注日期的引采用文件,其最新版本适采用于本标准《信息安全技术信息系统安全保障评估框架》 ( GB/T 20274.1-2006)《信息安全技术信息系统安全管理要求》 ( GB/T 20269-2006 )《信息安全技术信息系统安全等级保护基本要求》 ( GBT 22239-2008)本标准未涉以及的管理内容,参照国家、电力行业、南方电网公司的相关标准 和规定实施。

4 总体方针4.1组织与体制构筑确保信息安全所必需的组织与体制,明确其责任与权限4.2 遵守法令法规遵守与信息安全相关的法令法规,制定并遵守按照基本方针所制定的信息安全 相关的规定4.3 信息资产的分类与管理按照照重要级别信息资产进行分类，并妥善管理4.4 培训与教育为使相关人员全面了解信息安全的重要性，适当开展针对性培训与教育教育活 动使他们充分认识信息安全的重要性以以及掌握正确的管理方法4.5 物理性保护为防止非法入侵、干扰以及破坏信息资产等事故的发生，对其保管场所与保管 办法加以明确4.6 技术性保护为切实保护信息资产不受来自外部的非法入侵，对信息系统的登录方法、使采 用限制、网络管理等采取适当的措施4.7 运采用为确保基本方针的实际成效，在对遵守情况进行监督的同时，对违反基本方针 时的处置办法以及针对来自外部的非法入侵等紧急事态采取的应对措施等加以规定4.8 评价以及复审随着社会环境的变化、技术的进步等，应定期对基本方针与运采用方式进行评 价与复审5 安全策略5.1 安全管理制度在信息安全中，最活跃的因素是人，对人的管理包括法律、法规与政策的约束 安全指南的帮助、安全意识的提高、安全技能的培训、人力资源管理措施以以及企 业文化的熏陶，这些功能的实现都是以完备的安全管理政策和制度为之前提。

安全 管理制度包括信息安全工作的总体方针、策略、规范各种安全管理活动的管理制度 以以及管理人员或操作人员日常操作的操作规程安全管理制度重点关注管理制度、制定和公布、评审和修订三方面目的是据系统的安全等级，依照国家相关法律以及政策标准，设立信息安全的 各项管理规范和技术标准，规范基础设施建设、系统和网络平台建设、应采用系统 开发、运行管理等重要环节，奠定信息安全的基础5.2 安全管理机构设立组织管理体系是为了设立自上而下的信息安全工作管理体系，确定安全管 理组织机构的职责，统筹规划、专家决策，以推动信息安全工作的开展公司成立信息安全领导小组，是信息安全的最高决策机构，负责研究重大事件 推行方针政策，制定实施策略和原则，开展安全普以及教育等下设办公室负责信 息安全领导小组的日常事务信息安全领导小组下设两个工作组:信息安全工作组、应急处理工作组组长 均由公司负责人担任5.3 人员安全管理通过设立安全岗位责任制，最大限度降低人为失误所造成的风险人是决定性 因素，人员安全管理的原则是:职责分离、有限授权、相互制约、任期审计人员安全管理的要素包括:安全管理人员配备、信息系统关键岗位、人员录采 用、人员离岗、人员考核与审查、第三方人员管理等。

信息安全人员的配备和变更情况，应向上一级单位报告、备案信息安全人员调离岗位，须严格办理调离手续，承诺其调离后的保密义务涉 以及公司业务核心技术的信息安全人员调离单位，须进行离岗审计，并在规定的脱 密期后，方可调离5.4 系统建设管理信息系统的安全管理贯穿系统的整个生命周期，系统建设管理主要关注的是生 命周期中的之前三个阶段（初始、采购、实施）中各项安全管理活动系统建设管理分别从项目实施建设之前、建设过程以以及建设完毕交付等三方 面考虑，具体包括系统定级、安全方案设计、产品采购和使采用、自行软件开发、 外包软件开发、项目实施、测试验收、系统交付、系统备案、等级测评和安全服务 商选择十一个控制点5.5 系统运维管理目的是保障信息系统日常运行的安全稳定，对运行环境、技术支持、操作使采 用、病毒防范、备份措施、文档设立等全方位管理包括采用户管理、运行操作管 理、运行维护管理、外包服务管理、相关安全机制保障、安全管理控制平台等方面 的管理要素对运行过程的任何变化，数据、软件、物理设置等，都应实施技术监控和管理 手段以确保其完整性，防止信息非法复制、篡改，任何查询和变更操作需经过授权 和合法性验证。

应急管理也是运维的重要内容，目的是分析信息系统可能出现的紧急事件或灾 难，设立一整套应急措施，以保障核心业务的快速恢复和持续稳定运行应急计划 包括应急处理和灾难恢复策略、应急计划、应急计划的实施保障等管理要素在海南省电网公司统一的应急规划下，针对信息系统面临的各种应急场景编制 相应的应急预案，并经过测试演练修订，同时宣传普以及5.6 物理安全目的是保护计算机设备、设施（含网络）以以及信息系统免遭自然灾害和其他 形式的破坏，保障信息系统的实体安全相关物理环境的选址和设计应遵照相关标准，配备防火、防水、防雷击、防静 电、防鼠害等机房措施，维持系统不间断运行水平，确保信息系统运行的安全可靠对重要安全设备的选择，需符合国家相关标准规范，相关证书齐全严格确定设备的合法使采用人，设立详细运行日志和维护记录5.7 网络安全目的是有效防范网络体系的安全风险，为业务应采用系统提供安全、可靠、稳 定的网络管理和技术平台对于依赖网络架构安全的业务应采用系统，需据其安全级别，实施相应的访问 控制、身份认证、审计等安全服务机制；在网络边界处，需据资源的保护等级，实 施相应安全级别的防火墙、认证、审计、动态检测等技术，防范信息资源的非法访 问、篡改和破坏。

5.8 主机安全主机安全包括服务器、终端/工作站等在内的计算机设备在操作系统以及数据 库系统层面的安全终端/工作站是带外设的台式机与笔记本计算机，服务器则包括应采用程序、网络、web、文件与通信等服务器主机承载着各种应采用，是保 护信息安全的中坚力量主机安全需着重关注和加强身份鉴别、访问控制、恶意代码防范、安全审计、 入侵防范几个方面，同时定期或不定期的进行安全评估（含渗透性测试）和加固， 实时确保主机的健壮性5.9应采用安全应采用安全成是信息系统整体防御的最后一道防线，目的是保障业务应采用系 统开发过程以及最终产品的安全性在应采用层面运行着信息系统的基于网络的应采用以以及特定业务应采用基 于网络的应米用是形成其他应米用的基础，是基本的应米用；业务应米用米纳基本 应采用的功能以满足特定业务的要求；故最终是保护系统的各种业务应采用程序的 安全运行应采用系统的总体需求计划阶段，应全面评估系统的安全风险，确定系统的访 问控制、身份认证、审计跟踪等安全需求；总体架构设计阶段，应实施安全需求设 计，确立安全服务机制、开发人员技术要求和操作规程；应采用系统的实现阶段， 应全程实施质量控制，防止程序后门，减少代码漏洞；在上线运行之之前，应充分 进行局部功能、整体功能、压力测试，以以及系统安全性能、操作流程、应急方案 的测试。

5.10数据安全以及备份恢复信息系统处理的各种数据（采用户数据、系统数据、业务数据等）在维持系统 正常运行上起着至关重要的作采用由于信息系统的各个层面（网络、主机、应采 用等）都对各类数据进行传输、存储和处理等，因此，对数据的保护需物理环境、 网络、数据库和操作系统、应采用程序等提供支持数据备份也是防止数据被破坏后无法恢复的重要手段，而硬件备份等更是保障 系统可采用的重要内容6附贝U本标准由XX公司信息通信分公司负责解释本标准自颁布之日起实行。