本系列文章来自于此前的真实项目案例,是一个学校安全系统建设中部分服务的内容,是给该单位的一套《安全制度汇编》,本篇文章信息安全方针及安全策略,倒是契合当下网络安全态势。原文档开放下载中~

第一章 目的

第一条 为了深入贯彻落实国家信息安全政策文件要求和信息安全等级保护政策要求,加强重庆 XX 中学的信息安全管理工作,增强重庆 XX 中学全员信息安全意识,切实提高重庆 XX 中学信息系统安全保障能力,特制定本方针。

第二章 范围

第二条 适用于重庆 XX 中学信息安全管理活动。

第三章 职责

第三条 由领导和各科室主管为主体的信息安全领导小组负责文件的审核和修订,由网络安全办公室为主体的信息安全工作小组负责文件的贯彻和执行。

第四章 符合性

第四条 文件主要遵循《信息安全技术信息系统安全等级保护基本要求(GBT 22239-2008)》标准的要求,同时在部分环节也符合以下两个国际标准:

  1. ISO/IEC 27001 信息安全管理体系要求
  2. ISO/IEC 27002 信息技术安全技术—信息安全管理实践规范

第五章 信息安全总体方针

第五条 重庆 XX 中学总体安全方针为:提高人员信息安全风险意识,确保信息系统安全;强化信息安全管理,坚持以人为本。

第六章 方针主要内容

第六条 主要安全策略

  1. 信息安全是重庆 XX 中学及相关部门正常运行的重要保障,重庆 XX 中学将遵照“统一规划、分级管理、积极防范、人人有责”的原则,通过风险评估和风险管理,采取一切可能的措施,加强重庆 XX 中学信息安全的建设和管理。
  2. 重庆 XX 中学设立信息安全领导小组,信息安全领导小组是重庆 XX 中学信息安全管理的最高机构;网络安全办公室、运维人员、系统管理员等是 XX 中学信息安全日常工作和执行机构,负责重庆 XX 中学信息系统及信息安全的日常维护和管理工作。
  3. 重庆 XX 中学全体职工均有参与信息安全管理、保护重庆 XX 中学及相关部门信息安全的义务和责任。重庆 XX 中学全体职工应积极参加各种形式的信息安全教育和培训,遵守相关国家法律、法规、部门规章和行业规范,遵守重庆 XX 中学信息安全管理制度。
  4. 承载信息系统的所有软硬件设施及物理环境均应受 到适当的保护。
  5. 采取必要的措施保护重庆 XX 中学信息的机密性,以防止未经授权的不当存取;同时应确保信息不会在传递的过程中,或因无意间的行为透漏给未经授权的第三者。
  6. 采取必要的措施确保重庆 XX 中学信息的 完整性,以防止未经授权的篡改。
  7. 采取必要的措施确保重庆 XX 中学信息的可用性,以确保使用者需求可以得到满足。
  8. 采取必要的措施确保重庆 XX 中学信息的 连续性,以确保业务持续可用。
  9. 重庆 XX 中学相关的信息安全措施或规范应符合现行法令、法规的要求。
  10. 重庆 XX 中学全体员工都有责任通过适 当的上报机制,报告所发现的信息安全意外事故或信息安全弱点。
  11. 任何危及信息安全的行为,都应诉诸适当的惩罚程 序或法律行动。

第七条 信息安全目标:最大限度保证信息系统的完整性、保密性和可用性免遭破坏。确保每年信息安全重大事故的发生频率为可控范围内的最低。

第八条 信息安全管理框架

  1. 重庆 XX 中学信息安全管理框架是根据 ISO/IEC 27001《信息安全管理体系要求》中的控制目标和控制项,并结合重庆 XX 中学的实际情况所建立的。 符合“PDCA”的管理模式。
    1. P(PLAN)过程是计划过程,指统一规划和设计重 庆市城市照明管理局的信息安全目标和安全控制策略,指导重庆 XX 中学整体的信息安全管理工作。
    2. D(DO) 过程是执行过程,指重庆 XX 中学在开展信息安全工作中需要落实的管理要求,包括信息安全组织制度管理、人员安全管理、系统建设安全管理、信息系统运维管理、变更管理和信息资产安全管理等,指导日常的信息安全管理工作。
    3. C(CHECK)过程是检查过程,指重庆 XX 中学开展信息安全工作的持续改进机制,通过信息安全风险评估、等级保护测评、检查,监督和审核等方式,指导信息安全管理体系控制要求不断完善。
    4. A(ACTION)过程是处置过程,指重庆市城市照明 管理局信息安全事件处置和应急预案,通过发现和总结信息安全问题,形成新的管理办法和控制措施,确保信息安全管理体系的适用性和有效性。
  2. 重庆 XX 中学信息安全管理框架通过 PDCA 各环节的不断完善,实现信息安全管理体系自身的持续改进, 从而提高信息安全管理体系的全面性、有效性和适用性。

第九条 信息安全管理原则

  1. 基于安全需求原则:重庆 XX 中学核心业务信息系统根据等级保护要求,定级为三级,安全需求主要参照三级等级保护要求,同时考虑可能受到的威胁及面临的风险分析安全需求,遵从三级等级保护的规范要求,从全局上恰当地平衡安全投入与效果。
  2. 主要领导负责原则:信息安全领导小组的主要领导确 立重庆 XX 中学信息安全保障的宗旨和政策,负责 提高全员的安全意识,组织有效的安全保障队伍,调动并优 化配置必要的资源,协调安全管理工作与各部门工作的关系, 并确保其落实、有效。
  3. 全员参与原则:与核心业务信息系统相关的所有运行维护人员应普遍参与信息系统的安全管理,并与相关方面协同、协调,共同保障信息系统安全。
  4. 持续改进原则:安全管理是一种动态反馈过程,贯穿整个安全管理的生命周期,随着安全需求和系统脆弱性的时空分布变化,威胁程度的提高,系统环境的变化以及对系统安全认识的深化等,应及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级,维护和持续改进信息安全管理体系的有效性。
  5. 依法管理原则:信息安全管理工作主要体现为管理行 为,应保证信息系统安全管理主体合法、管理行为合法、管 理内容合法、管理程序合法。对安全事件的处理,应由授权 者适时发布准确一致的有关信息,避免带来不良的社会影响。
  6. 选用成熟技术原则:成熟的技术具有较好的可靠性和稳定性,采用新技术时要重视其成熟的程度,并应首先局部试点然后逐步推广,以减少或避免可能出现的失误。
  7. 管理与技术并重原则:坚持积极防御和综合防范,全面提高信息系统安全防护能力,立足国情,采用管理与技术相结合,管理科学性和技术前瞻性结合的方法,保障信息系统的安全性达到所要求的目标。

第七章 个人操作管理

第十条 单位工作人员申请账户权限需填写《系统权限申请表》,经系统管理员批准后方可开通。账号申请表上应详细记录账号信息。

第十一条 人员离职或调职时需交回相关系统账号及密码,经系统管理员删除或变更账号后方能离职或调职。

第十二条 单位工作人员严禁私自在办公计算机上安装软件,以免造成病毒感染。严禁私自更改计算机的设置及安全策略。

第十三条 严格管理口令,包括口令的选择、保管和更换, 采取关闭 guest 和匿名用户、增强管理员口令选择要求等措施。

第十四条 计算机设备应设屏幕密码保护的用户界面, 保证数据的机密性的安全。

相关文章

  • Web应用防护系统是什么?该怎么预防Web攻击

    Web 应用防护系统是什么?该怎么预防 Web 攻击

    大数据平台采用先进的多维防护体系,对 HTTP 数据流进行深度分析。通过对 WEB 应用安全的深入研究,固化了一套针对 WEB 攻击防护的专用特征规则库,规则涵盖诸如 SQL 注入、XSS(跨站脚本攻击)等 OWASP TOP10 中的 WEB 应用安全风险,及远程文件包含漏洞利用、目录遍历、OS 命令注入等当今黑客常用的针对 WEB 基础架构的攻击手段。 对于 HTTP 数据包内容具有完全的访问控制权限,检查所有经过网络的 HTTP 流量,回应请求并建立安全规则。一旦某个会话被控制,就会对内外…

  • PKI/CA身份认证系统具备哪些功能

    PKI/CA 身份认证系统具备哪些功能

    PKI/CA 身份认证平台通过发放和维护数字证书来建立一套信任网络,在同一信任网络中的用户通过申请到的数字证书来完成身份认证和安全处理。PKI 从技术上解决了网络通信安全的种种障碍,CA 从运营、管理、规范、法律、人员等多个角度来解决了网络信任问题。 数据中心 PKI/CA 身份认证平台功能如下: 1 CA 系统 1、证书管理:包括证书申请、证书下载、证书更新、证书注销、证书冻结、证书解冻、证书查询、证书归档; 2、模板管理:包括通用证书模板、签名证书模板、加密证书模板、设备证书模板、SSL 服…

  • 大数据信息系统中的系统审计、日志审计和数据库审计

    大数据信息系统中的系统审计、日志审计和数据库审计

    在服务器端部署轻量级蜜罐系统 ShellLog,攻击者一旦入侵服务器将会获得 console 和正常使用的 shell,该 console 基于攻击防御安全实践进行深度定制,一方面实现对攻击者渗透系统后主机操作系统后的 shell 操作全记录,记录攻击者或恶意使用用户登录服务器后的各项操作并形成分类日志,实时发送至蜜罐系统日志服务器。 管理后台能够对日志服务器的收集的日志进行分析和规则匹配,能够对高危操作命令、关联恶意操作命令,提权操作进行告警,还能够自定义安全规则,安全人员登录管理后台对告警 …

  • 安全服务内容有哪些?信息安全运维服务建设方案

    安全服务内容有哪些?信息安全运维服务建设方案

    网络安全服务对保障系统正常运行有重要的意义,通过完整的网络安全服务,可以使我们对自己的信息资产更加了解,发现脆弱点及风险点,有针对性的进行整改,封堵已存在的漏洞,更新系统的重要补丁,加强整体安全态势;针对已经发现的威胁,能够早发现早处理,防止威胁横向扩散,造成更大影响;针对可能存在的威胁,通过加强安全意识,降低风险发生概率,通过日志行为分析,发现可疑行为,及早进行处理,从而整体提高网络安全水平,保障业务系统不会被入侵,能够正常运行。 本次分享一个简单的、明确的、实用的网络安全服务方案模板,涉及到…

  • 信息安全部门岗位职责说明

    信息安全部门岗位职责说明

    本系列文章来自于此前的真实项目案例,是给一个学校的的一套《安全制度汇编》,本篇文章信息安全部门岗位职责说明,可以一定程度地规范岗位的职责、处罚等等。原文档开放下载中~ 第一章  目的 第一条 为规范信息安全管理系统中各安全岗位的人员职责,特制订本规范。 第二章  范围 第二条 本规范适用于重庆 XX 中学各信息安全管理岗位和人员。 第三章  职责 第三条 网络安全办公室主任负责分配、协调各信息安全管理岗位的人员角色和日常工作,各岗位人员负责本岗位的日常信息安全管理。 第四章 …

  • XXX信息系统网络安全服务内容和技术要求

    XXX 信息系统网络安全服务内容和技术要求

    面对当前信息系统安全面临的复杂、严峻形势,基础信息网络和重要信息系统一旦出现大的信息安全问题,不仅仅影响本单位、本行业,而是直接威胁社会稳定、经济发展甚至国家安全。因此,XXX 信息系统有必要进一步完善和加强信息安全保障体系。信息安全建设重在安全保障体系的建设,它是一个循序渐进、不断完善的过程,较好的方式是信息安全建设与系统建设同步规划、同步设计。同时,结合等级保护标准,逐步完善和加强安全保障体系建设,与信息安全行业的领先者强强联合,引入专业的安全服务、先进的安全管理理念,有效控制和降低信息系统…

- 联 系 我 们 -

+86 186-2315-0440

在线咨询:点击这里给我发消息

电子邮箱:i@zzptech.com

工作时间:7*24h,全年无休

关注微信