信息安全策略.doc

信息安全策略


目录
1. 目的和范围 4
2. 术语和定义 4
3. 引用文件 5
4. 职责和权限 6
5. 信息安全策略 6
. 信息系统安全组织 6
. 资产管理 8
. 人员信息安全管理 9
. 物理和环境安全 11
. 通信和操作管理 13
. 信息系统访问控制 17
. 信息系统的获取、开发和维护安全 20
. 信息安全事故处理 23
. 业务连续性管理 24
. 符合性要求 26
1 附件 27
目的和范围
本文档制定了的信息系统安全策略,作为信息安全的基本标准,是所有安全行为的指导方针,同时也是建立完整的安全管理体系最根本的基础。
信息安全策略是在信息安全现状调研的基础上,根据ISO27001的最佳实践,结合现有规章制度制定而成的信息安全方针和策略文档。本文档遵守政府制定的相关法律、法规、政策和标准。本安全策略得到领导的认可,并在公司内强制实施。
建立信息安全策略的目的概括如下:
在内部建立一套通用的、行之有效的安全机制;
在的员工中树立起安全责任感;
在中增强信息资产可用性、完整性和保密性;
在中提高全体员工的信息安全意识和信息安全知识水平。
本安全策略适用于公司全体员工,自发布之日起执行。
术语和定义
解释
信息安全
是指保护信息资产免受多种安全威胁,保证业务连续性,将安全事件造成的损失降至最小,同时最大限度地获得投资回报和商业机遇。
可用性
确保经过授权的用户在需要时可以访问信息并使用相关信息资产。
保密性
确保只有经过授权的人才能访问信息。
完整性
保护信息和信息的处理方法准确而完整。
保密信息
安全规章定义的密级信息。
信息安全策略
正确使用和管理IT信息资源并保护这些资源使得它们拥有更好的保密性、完整性、可用性的策略。
风险评估
评估信息安全漏洞对信息处理设备带来的威胁和影响及其发生的可能性。
风险管理
以可以接受的成本,确认、控制、排除可能影响信息系统的安全风险或将其带来的危害最小化的过程。
计算机机房
装有计算机主机、服务器和相关设备的,除了安装和维护的情况外,不允许人员在里边工作的专用房间。
员工
在系统内工作的正式员工、雇佣的临时工作人员。
用户
被授权能使用IT系统的人员。
信息资产
与信息系统相关联的信息、信息的处理设备和服务。
信息资产责任人
是指对某项信息资产安全负责的人员。
合作单位
是指与有业务往来的单位,包括承包商、服务提供商、设备厂商、外包服务商、贸易伙伴等。
第三方访问
指非本单位的人员对信息系统的访问。
IT外包服务
是指企业战略性选择外部专业技术和服务资源,以替代内部部门和人员来承担企业IT系统或系统之上的业务流程的运营、维护和支持的IT服务。
安全事件
利用信息系统的安全漏洞,对信息资产的保密性、完整性和可用性造成危害的事件。
故障
是指信息的处理、传输设备运行出现意外障碍,以至影响信息系统正常运转的事件。
安全审计
通过将所选类型的事件记录在服务器或工作站的安全日志中用来跟踪用户活动的过程。
超时设置
用户如果超过特定的时限没有进行动作,就触发其他事件(如断开连接、锁定用户等)。
词语使用
必须
表示强制性的要求。
应当
好的做法所要达到的要求,条件允许就要实施。
可以
表示希望达到的要求。
引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
ISO/IEC 27001:2005 信息技术-安全技术-信息安全管理体系要求
ISO/IEC 17799:2005 信息技术-安全技术-信息安全管理实施细则
职责和权限
信息安全管控委员会:负责对信息安全策略进行编写、评审,监督和检查公司全体员工执行情况。
信息安全策略
目标:为信息安全提供管理指导和支持,并与业务要求和相关的法律法规保持一致。
策略下发
本策略必须得到管理层批准,并向所有员工和相关第三方公布传达,全体人员必须履行相关的义务,享受相应的权利,承担相关的责任。
策略维护
本策略通过以下方式进行文档的维护工作:
必须每年按照《风险评估管理程序》进行例行的风险评估,如遇以下情况必须及时进行风险评估:
发生重大安全事故
组织或技术基础结构发生重大变更
安全管理小组认为应当进行风险评估的
其他应当进行安全风险评估的情形
风险评估之后根据需要进行安全策略条目修订,并在内公布