本系列文章来自于此前的真实项目案例,是一个学校安全系统建设中部分服务的内容,是给该单位的一套《安全制度汇编》,本篇文章信息安全方针及安全策略,倒是契合当下网络安全态势。原文档开放下载中~

第一章 目的

第一条 为了深入贯彻落实国家信息安全政策文件要求和信息安全等级保护政策要求,加强重庆XX中学的信息安全管理工作,增强重庆XX中学全员信息安全意识,切实提高重庆XX中学信息系统安全保障能力,特制定本方针。

第二章 范围

第二条 适用于重庆XX中学信息安全管理活动。

第三章 职责

第三条 由领导和各科室主管为主体的信息安全领导小组负责文件的审核和修订,由网络安全办公室为主体的信息安全工作小组负责文件的贯彻和执行。

第四章 符合性

第四条 文件主要遵循《信息安全技术信息系统安全等级保护基本要求(GBT 22239-2008)》标准的要求,同时在部分环节也符合以下两个国际标准:

  1. ISO/IEC 27001 信息安全管理体系要求
  2. ISO/IEC 27002 信息技术安全技术—信息安全管理实践规范

第五章 信息安全总体方针

第五条 重庆XX中学总体安全方针为:提高人员信息安全风险意识,确保信息系统安全;强化信息安全管理,坚持以人为本。

第六章 方针主要内容

第六条 主要安全策略

  1. 信息安全是重庆XX中学及相关部门正常运行的重要保障,重庆XX中学将遵照“统一规划、分级管理、积极防范、人人有责”的原则,通过风险评估和风险管理,采取一切可能的措施,加强重庆XX中学信息安全的建设和管理。
  2. 重庆XX中学设立信息安全领导小组,信息安全领导小组是重庆XX中学信息安全管理的最高机构;网络安全办公室、运维人员、系统管理员等是XX中学信息安全日常工作和执行机构,负责重庆XX中学信息系统及信息安全的日常维护和管理工作。
  3. 重庆XX中学全体职工均有参与信息安全管理、保护重庆XX中学及相关部门信息安全的义务和责任。重庆XX中学全体职工应积极参加各种形式的信息安全教育和培训,遵守相关国家法律、法规、部门规章和行业规范,遵守重庆XX中学信息安全管理制度。
  4. 承载信息系统的所有软硬件设施及物理环境均应受 到适当的保护。
  5. 采取必要的措施保护重庆XX中学信息的机密性,以防止未经授权的不当存取;同时应确保信息不会在传递的过程中,或因无意间的行为透漏给未经授权的第三者。
  6. 采取必要的措施确保重庆XX中学信息的 完整性,以防止未经授权的篡改。
  7. 采取必要的措施确保重庆XX中学信息的可用性,以确保使用者需求可以得到满足。
  8. 采取必要的措施确保重庆XX中学信息的 连续性,以确保业务持续可用。
  9. 重庆XX中学相关的信息安全措施或规范应符合现行法令、法规的要求。
  10. 重庆XX中学全体员工都有责任通过适 当的上报机制,报告所发现的信息安全意外事故或信息安全弱点。
  11. 任何危及信息安全的行为,都应诉诸适当的惩罚程 序或法律行动。

第七条 信息安全目标:最大限度保证信息系统的完整性、保密性和可用性免遭破坏。确保每年信息安全重大事故的发生频率为可控范围内的最低。

第八条 信息安全管理框架

  1. 重庆XX中学信息安全管理框架是根据ISO/IEC 27001《信息安全管理体系要求》中的控制目标和控制项,并结合重庆XX中学的实际情况所建立的。 符合“PDCA”的管理模式。
    1. P(PLAN)过程是计划过程,指统一规划和设计重 庆市城市照明管理局的信息安全目标和安全控制策略,指导重庆XX中学整体的信息安全管理工作。
    2. D(DO) 过程是执行过程,指重庆XX中学在开展信息安全工作中需要落实的管理要求,包括信息安全组织制度管理、人员安全管理、系统建设安全管理、信息系统运维管理、变更管理和信息资产安全管理等,指导日常的信息安全管理工作。
    3. C(CHECK)过程是检查过程,指重庆XX中学开展信息安全工作的持续改进机制,通过信息安全风险评估、等级保护测评、检查,监督和审核等方式,指导信息安全管理体系控制要求不断完善。
    4. A(ACTION)过程是处置过程,指重庆市城市照明 管理局信息安全事件处置和应急预案,通过发现和总结信息安全问题,形成新的管理办法和控制措施,确保信息安全管理体系的适用性和有效性。
  2. 重庆XX中学信息安全管理框架通过 PDCA 各环节的不断完善,实现信息安全管理体系自身的持续改进, 从而提高信息安全管理体系的全面性、有效性和适用性。

第九条 信息安全管理原则

  1. 基于安全需求原则:重庆XX中学核心业务信息系统根据等级保护要求,定级为三级,安全需求主要参照三级等级保护要求,同时考虑可能受到的威胁及面临的风险分析安全需求,遵从三级等级保护的规范要求,从全局上恰当地平衡安全投入与效果。
  2. 主要领导负责原则:信息安全领导小组的主要领导确 立重庆XX中学信息安全保障的宗旨和政策,负责 提高全员的安全意识,组织有效的安全保障队伍,调动并优 化配置必要的资源,协调安全管理工作与各部门工作的关系, 并确保其落实、有效。
  3. 全员参与原则:与核心业务信息系统相关的所有运行维护人员应普遍参与信息系统的安全管理,并与相关方面协同、协调,共同保障信息系统安全。
  4. 持续改进原则:安全管理是一种动态反馈过程,贯穿整个安全管理的生命周期,随着安全需求和系统脆弱性的时空分布变化,威胁程度的提高,系统环境的变化以及对系统安全认识的深化等,应及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级,维护和持续改进信息安全管理体系的有效性。
  5. 依法管理原则:信息安全管理工作主要体现为管理行 为,应保证信息系统安全管理主体合法、管理行为合法、管 理内容合法、管理程序合法。对安全事件的处理,应由授权 者适时发布准确一致的有关信息,避免带来不良的社会影响。
  6. 选用成熟技术原则:成熟的技术具有较好的可靠性和稳定性,采用新技术时要重视其成熟的程度,并应首先局部试点然后逐步推广,以减少或避免可能出现的失误。
  7. 管理与技术并重原则:坚持积极防御和综合防范,全面提高信息系统安全防护能力,立足国情,采用管理与技术相结合,管理科学性和技术前瞻性结合的方法,保障信息系统的安全性达到所要求的目标。

第七章 个人操作管理

第十条 单位工作人员申请账户权限需填写《系统权限申请表》,经系统管理员批准后方可开通。账号申请表上应详细记录账号信息。

第十一条 人员离职或调职时需交回相关系统账号及密码,经系统管理员删除或变更账号后方能离职或调职。

第十二条 单位工作人员严禁私自在办公计算机上安装软件,以免造成病毒感染。严禁私自更改计算机的设置及安全策略。

第十三条 严格管理口令,包括口令的选择、保管和更换, 采取关闭guest 和匿名用户、增强管理员口令选择要求等措施。

第十四条 计算机设备应设屏幕密码保护的用户界面, 保证数据的机密性的安全。

相关文章

  • 网络与信息系统安全设计规范

    网络与信息系统安全设计规范

    为规范重庆XX中学信息系统安全设计过程,确保整个信息安全管理体系在信息安全设计阶段即符合国家相关标准和要求,特制订本规范。 第一章 目的 第一条 为规范重庆XX中学信息系统安全设计过程,确保整个信息安全管理体系在信息安全设计阶段即符合国家相关标准和要求,特制订本规范。 第二章 范围 第二条 本规范适用于重庆XX中学在信息安全设计阶段的要求和规范管理。 第三章 职责 第三条 网络安全办公室负责信息安全系统设计,并会同上级单位、相关部门和有关专家对设计方案进行评审后报信息安全领导小组批准。 第四章 …

  • 外包软件开发管理,信息安全管理制度

    外包软件开发管理,信息安全管理制度

    第一章 目的 第一条 明确重庆XX中学对于软件外包开发的过程控制方法,通过对外包软件过程的有效控制,使外包开发软件满足等级保护的规范和要求。 第二章 范围 第二条 本管理办法适用于重庆XX中学对于外包软件的开发管理。 第三章 职责 第三条 网络安全办公室负责对软件开发方(外包方)的调查、评定和选择。 第四条 网络安全办公室提出外包要求,并组织对外包要求的审核,确定后将细节要求纳入外包开发合同。 第五条 网络安全办公室实施对外包过程的控制,并组织在项目结束时对外包供方的评估。 第四章 管理细则 第…

  • 大数据信息系统中的系统审计、日志审计和数据库审计

    大数据信息系统中的系统审计、日志审计和数据库审计

    在服务器端部署轻量级蜜罐系统ShellLog,攻击者一旦入侵服务器将会获得console和正常使用的shell,该console基于攻击防御安全实践进行深度定制,一方面实现对攻击者渗透系统后主机操作系统后的shell操作全记录,记录攻击者或恶意使用用户登录服务器后的各项操作并形成分类日志,实时发送至蜜罐系统日志服务器。 管理后台能够对日志服务器的收集的日志进行分析和规则匹配,能够对高危操作命令、关联恶意操作命令,提权操作进行告警,还能够自定义安全规则,安全人员登录管理后台对告警shell操作进行…

  • 数据中心的主机安全建设,系统加固策略

    数据中心的主机安全建设,系统加固策略

    数据中心的主机包括物理服务器和虚拟化云主机,所有主机都面临入侵和攻击的风险。主机安全主要包括两个方面: 在主机上部署病毒/木马查杀软件,包括Linux和Windows系统,降低病毒/木马入侵主机和蔓延的风险。 对主机进行加固,降低主机遭受攻击和入侵的风险。 对于数据中心的服务器和云主机,无论系统或应用本身安全与否,都可能存在漏洞,安全管理员应负责定期(例如1月/次)对包括物理服务器和云主机等进行安全加固。 系统加固策略包括: 1、使用GRUB的password参数对GRUB设置密码,防止通过编辑…

  • 信息系统的系统交付管理

    信息系统的系统交付管理

    第一章 目的 第一条 为规范重庆XX中学系统建设管理和工程实施管理过程中的系统交付管理,特制订本管理办法。 第二章 范围 第二条 本规范适用于重庆XX中学项目管理、工程管理过程中的系统交付管理,对项目管理和工程管理过 程中的系统交付管理环节进行规范和约定。 第三章 职责 第三条 网络安全办公室负责项目类系统交付管理,办公室负责单一采购类系统交付管理。 第四章 管理细则 第四条 系统建设完成后,项目承建方要依据项目合同的交付部分向网络安全办公室进行项目交付,交付的内容至少包括:

  • PKI/CA身份认证系统具备哪些功能

    PKI/CA身份认证系统具备哪些功能

    PKI/CA 身份认证平台通过发放和维护数字证书来建立一套信任网络,在同一信任网络中的用户通过申请到的数字证书来完成身份认证和安全处理。PKI 从技术上解决了网络通信安全的种种障碍,CA 从运营、管理、规范、法律、人员等多个角度来解决了网络信任问题。 数据中心PKI/CA身份认证平台功能如下: 1 CA系统 1、证书管理:包括证书申请、证书下载、证书更新、证书注销、证书冻结、证书解冻、证书查询、证书归档; 2、模板管理:包括通用证书模板、签名证书模板、加密证书模板、设备证书模板、SSL服务器证书…

- 联 系 我 们 -

+86 186-2315-0440

在线咨询:点击这里给我发消息

电子邮箱:i@zzptech.com

工作时间:7*24h,全年无休

关注微信