本系列文章来自于此前的真实项目案例,是一个学校安全系统建设中部分服务的内容,是给该单位的一套《安全制度汇编》,本篇文章信息安全方针及安全策略,倒是契合当下网络安全态势。原文档开放下载中~

第一章 目的

第一条 为了深入贯彻落实国家信息安全政策文件要求和信息安全等级保护政策要求,加强重庆 XX 中学的信息安全管理工作,增强重庆 XX 中学全员信息安全意识,切实提高重庆 XX 中学信息系统安全保障能力,特制定本方针。

第二章 范围

第二条 适用于重庆 XX 中学信息安全管理活动。

第三章 职责

第三条 由领导和各科室主管为主体的信息安全领导小组负责文件的审核和修订,由网络安全办公室为主体的信息安全工作小组负责文件的贯彻和执行。

第四章 符合性

第四条 文件主要遵循《信息安全技术信息系统安全等级保护基本要求(GBT 22239-2008)》标准的要求,同时在部分环节也符合以下两个国际标准:

  1. ISO/IEC 27001 信息安全管理体系要求
  2. ISO/IEC 27002 信息技术安全技术—信息安全管理实践规范

第五章 信息安全总体方针

第五条 重庆 XX 中学总体安全方针为:提高人员信息安全风险意识,确保信息系统安全;强化信息安全管理,坚持以人为本。

第六章 方针主要内容

第六条 主要安全策略

  1. 信息安全是重庆 XX 中学及相关部门正常运行的重要保障,重庆 XX 中学将遵照“统一规划、分级管理、积极防范、人人有责”的原则,通过风险评估和风险管理,采取一切可能的措施,加强重庆 XX 中学信息安全的建设和管理。
  2. 重庆 XX 中学设立信息安全领导小组,信息安全领导小组是重庆 XX 中学信息安全管理的最高机构;网络安全办公室、运维人员、系统管理员等是 XX 中学信息安全日常工作和执行机构,负责重庆 XX 中学信息系统及信息安全的日常维护和管理工作。
  3. 重庆 XX 中学全体职工均有参与信息安全管理、保护重庆 XX 中学及相关部门信息安全的义务和责任。重庆 XX 中学全体职工应积极参加各种形式的信息安全教育和培训,遵守相关国家法律、法规、部门规章和行业规范,遵守重庆 XX 中学信息安全管理制度。
  4. 承载信息系统的所有软硬件设施及物理环境均应受 到适当的保护。
  5. 采取必要的措施保护重庆 XX 中学信息的机密性,以防止未经授权的不当存取;同时应确保信息不会在传递的过程中,或因无意间的行为透漏给未经授权的第三者。
  6. 采取必要的措施确保重庆 XX 中学信息的 完整性,以防止未经授权的篡改。
  7. 采取必要的措施确保重庆 XX 中学信息的可用性,以确保使用者需求可以得到满足。
  8. 采取必要的措施确保重庆 XX 中学信息的 连续性,以确保业务持续可用。
  9. 重庆 XX 中学相关的信息安全措施或规范应符合现行法令、法规的要求。
  10. 重庆 XX 中学全体员工都有责任通过适 当的上报机制,报告所发现的信息安全意外事故或信息安全弱点。
  11. 任何危及信息安全的行为,都应诉诸适当的惩罚程 序或法律行动。

第七条 信息安全目标:最大限度保证信息系统的完整性、保密性和可用性免遭破坏。确保每年信息安全重大事故的发生频率为可控范围内的最低。

第八条 信息安全管理框架

  1. 重庆 XX 中学信息安全管理框架是根据 ISO/IEC 27001《信息安全管理体系要求》中的控制目标和控制项,并结合重庆 XX 中学的实际情况所建立的。 符合“PDCA”的管理模式。
    1. P(PLAN)过程是计划过程,指统一规划和设计重 庆市城市照明管理局的信息安全目标和安全控制策略,指导重庆 XX 中学整体的信息安全管理工作。
    2. D(DO) 过程是执行过程,指重庆 XX 中学在开展信息安全工作中需要落实的管理要求,包括信息安全组织制度管理、人员安全管理、系统建设安全管理、信息系统运维管理、变更管理和信息资产安全管理等,指导日常的信息安全管理工作。
    3. C(CHECK)过程是检查过程,指重庆 XX 中学开展信息安全工作的持续改进机制,通过信息安全风险评估、等级保护测评、检查,监督和审核等方式,指导信息安全管理体系控制要求不断完善。
    4. A(ACTION)过程是处置过程,指重庆市城市照明 管理局信息安全事件处置和应急预案,通过发现和总结信息安全问题,形成新的管理办法和控制措施,确保信息安全管理体系的适用性和有效性。
  2. 重庆 XX 中学信息安全管理框架通过 PDCA 各环节的不断完善,实现信息安全管理体系自身的持续改进, 从而提高信息安全管理体系的全面性、有效性和适用性。

第九条 信息安全管理原则

  1. 基于安全需求原则:重庆 XX 中学核心业务信息系统根据等级保护要求,定级为三级,安全需求主要参照三级等级保护要求,同时考虑可能受到的威胁及面临的风险分析安全需求,遵从三级等级保护的规范要求,从全局上恰当地平衡安全投入与效果。
  2. 主要领导负责原则:信息安全领导小组的主要领导确 立重庆 XX 中学信息安全保障的宗旨和政策,负责 提高全员的安全意识,组织有效的安全保障队伍,调动并优 化配置必要的资源,协调安全管理工作与各部门工作的关系, 并确保其落实、有效。
  3. 全员参与原则:与核心业务信息系统相关的所有运行维护人员应普遍参与信息系统的安全管理,并与相关方面协同、协调,共同保障信息系统安全。
  4. 持续改进原则:安全管理是一种动态反馈过程,贯穿整个安全管理的生命周期,随着安全需求和系统脆弱性的时空分布变化,威胁程度的提高,系统环境的变化以及对系统安全认识的深化等,应及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级,维护和持续改进信息安全管理体系的有效性。
  5. 依法管理原则:信息安全管理工作主要体现为管理行 为,应保证信息系统安全管理主体合法、管理行为合法、管 理内容合法、管理程序合法。对安全事件的处理,应由授权 者适时发布准确一致的有关信息,避免带来不良的社会影响。
  6. 选用成熟技术原则:成熟的技术具有较好的可靠性和稳定性,采用新技术时要重视其成熟的程度,并应首先局部试点然后逐步推广,以减少或避免可能出现的失误。
  7. 管理与技术并重原则:坚持积极防御和综合防范,全面提高信息系统安全防护能力,立足国情,采用管理与技术相结合,管理科学性和技术前瞻性结合的方法,保障信息系统的安全性达到所要求的目标。

第七章 个人操作管理

第十条 单位工作人员申请账户权限需填写《系统权限申请表》,经系统管理员批准后方可开通。账号申请表上应详细记录账号信息。

第十一条 人员离职或调职时需交回相关系统账号及密码,经系统管理员删除或变更账号后方能离职或调职。

第十二条 单位工作人员严禁私自在办公计算机上安装软件,以免造成病毒感染。严禁私自更改计算机的设置及安全策略。

第十三条 严格管理口令,包括口令的选择、保管和更换, 采取关闭 guest 和匿名用户、增强管理员口令选择要求等措施。

第十四条 计算机设备应设屏幕密码保护的用户界面, 保证数据的机密性的安全。

相关文章

  • 监控中心管理制度、监控室管理制度模板

    监控中心管理制度、监控室管理制度模板

    展开文章目录 文章目录 一、行为准则 二、管理准则 三、保密准则 本《监控中心管理制度》是我司此前应用与一普通中学的弱电工程项目中,系作为机房建设服务内容的一部分(本项目中监控室和网络机房共用一室)。监控中心管理制度通用性强,适合各种应用环境,内容不多不少做一块挂墙的展板刚刚合适,各位同行可结合实际做一定的修改。 结合个人经验,我们认为再好的物理、设备环境,如果缺失了对应的管理制度,那么这个系统都不堪一击,要么逐渐臃肿失控,要么被攻击控制。 学校监控中心是学校视频监控系统、安防系统、网络系统的控…

  • 2023年网络安全十大发展趋势:隐私计算、数据安全、安全治理等

    2023 年网络安全十大发展趋势:隐私计算、数据安全、安全治理等

    展开文章目录 文章目录 一、数据安全治理成为数字经济的基石 二、智能网联汽车安全成为产业重点 三、关键信息基础设施保护领域成为行业增长点 四、隐私计算技术得到产学研界共同关注 五、数据安全产业迎来高速增长 六、国产密码技术将得到更加广泛地应用 七、供应链安全风险管理成为重要挑战 八、信创需求将全面爆发 九、网络安全云化服务被用户广泛接纳 十、人工智能网络攻防呈现对抗发展演化 近日,中国计算机学会(CCF)计算机安全专委会中来自国家网络安全主管部门、高校、科研院所、大型央企、民营企业的委员投票评选…

  • 电信和互联网企业网络数据安全合规性评估要点(2020 版)

    电信和互联网企业网络数据安全合规性评估要点(2020 版)

    为进一步指导电信和互联网企业做好网络数据安全合规性评估工作,提升数据安全保护水平,依据《网络安全法》《电信和互联网用户个人信息保护规定》等法律法规,参考《信息安全技术个人信息安全规范》等标准规范,制定本要点,供各企业在网络数据安全合规性评估中使用。 《电信和互联网企业网络数据安全合规性评估要点(2020 版)》主要包括以下几个方面:

  • 信息安全检查和审核管理

    信息安全检查和审核管理

    为形成信息安全检查和审核长效机制,提高重 庆市城市照明管理局全体职工信息安全意识,特制订本规范。 第一章 目的 第一条  为形成信息安全检查和审核长效机制,提高重 庆市城市照明管理局全体职工信息安全意识,特制订本规范。 第二章 范围 第二条 本管理制度适用于重庆 XX 中学在信息安全管理过程中的周期信息安全检查和审核管理。 第三章 职责 第三条 网络安全办公室负责协调,网络安全办公室安全管理员负责常规的信息系统安全检查和记录。信息安全工作小组负责对重庆 XX 中学在信息系统安全抽查, …

  • 视频防泄密安全防护解决方案

    视频防泄密安全防护解决方案

    展开文章目录 文章目录 1、前端接入层防护 1.1 准入控制 1.2 设备发现与识别 1.3 网络拓扑图绘制 1.4IP 地址池管理 1.5 设备管理 1.6GIS 地图物理定位 1.7 报警管理 1.8 图表管理 2、视频数据防护 2.1 视频数据资源访问安全 2.2 本地视频数据防拍照 2.3 视频数据本地存储安全 2.4 视频数据对外交互安全 2.5 视频数据导出安全 2.6 流程化审批管理 2.7 数据图表分析 视频防泄密,即类似于视频网闸的功能,以下方案文档基于金盾,若有需要请联系相关…

  • 信息系统建设服务商安全管理

    信息系统建设服务商安全管理

    第一章 目的 第一条 为了规范重庆 XX 中学信息系统建设和运行过程中服务商的选择,按照信息安全等级保护要求进行服务商管理,特制定本管理规范。 第二章 范围 第二条 本办法适用于重庆 XX 中学在信息化建设和运行过程中服务商选择的安全管理。 第三章 职责 第三条 较小项目由网络安全办公室负责服务商选择, 较大项目的服务商选择,可通过招标方式由招标小组进行选择,但须遵循本管理办法的要求。 第四章 管理细则 第四条 系统集成商的要求:要有一个国家权威部门系统工程师及数据库认证工程师; 第五条 工商要…

- 联 系 我 们 -

+86 186-2315-0440

在线咨询:点击这里给我发消息

电子邮箱:i@zzptech.com

工作时间:9:00~18:30,工作日

微信客服