xx公司信息安全总体策略.docx

xx公司信息安全方针策略 第一章 总则 第一条 为加强和规范xx公司（以下简称“xx公司”）及各部门信息系统安全工作，提高本单位信息系统整体安全防护水平，实现信息安全的可控、能控、在控，依据国家有关法律、法规的要求，特制定本方针。 第二条 本文件的目的是为xx公司信息系统安全管理提供一个总体的策略性架构文件，该文件将指导xx公司信息系统的安全管理体系的建立。安全管理体系的建立是为xx公司信息系统的安全管理工作提供参照，以实现xx公司统一的安全策略管理，提高整体的网络与信息安全水平，确保安全控制措施落实到位，保障网络通信畅通和业务系统的正常运营。 第三条 本文件涵盖安全管理机构、人员安全管理、系统建设安全管理、系统运维安全管理、安全技术、业务运作安全管理等方面内容，适用于xx公司各部门信息系统资产和信息技术人员的安全管理和指导，适用于指导xx公司信息系统安全策略的制定、安全方案的规划和安全建设的实施，适用于xx公司安全管理体系中安全管理措施的选择。 第四条 引用标准及参考文件 本文档的编制参照了以下国家的标准和文件： （一）《中华人民共和国计算机信息系统安全保护条例》 （二）《关于信息安全等级保护建设的实施指导意见》（信息运安〔2009〕27 号） （三）《信息安全技术 信息系统安全等级保护基本要求》（GB/T 22239-2008） （四）《信息安全技术 信息系统安全管理要求》（GB/T 20269—2006） （五）《信息系统等级保护 安全建设技术方案设计要求》（报批稿） （六）《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信安[2009]1429号） （七）《征信机构信息安全规范》（JR/T 0117-2014）（以下简称：“征信规范”） 第二章 方针、目标和原则 第五条 xx公司信息系统安全坚持“安全第一、预防为主，管理和技术并重，综合防范”的总体方针，实现信息系统安全可控、能控、在控。依照“分区、分级、分域”总体安全防护策略，执行信息系统安全等级保护制度。管理信息网络分为统内网和外网，实现“双机双网”，内网定位为承载涉密数据，外网定位为对外业务网络和访问互联网用户终端网络。内、外网之间实施强逻辑隔离的措施。 第六条 信息系统安全总体目标是确保信息系统持续、稳定、可靠运行和确保信息内容的机密性、完整性、可用性，防止因信息系统本身故障导致信息系统不能正常使用和系统崩溃，抵御黑客、病毒、恶意代码等对信息系统发起的各类攻击和破坏，防止信息内容及数据丢失和失密，防止有害信息在网上传播，防止xx公司对外服务中断和由此造成的系统运行事故。 第七条 信息安全工作的总体原则 （1）基于安全需求原则 xx公司信息技术部需要根据征信信息系统担负的使命，积累的信息资产的重要性，可能受到的威胁及面临的风险分析安全需求，遵从信息系统等级保护的规范要求，恰当地平衡安全投入与效果； （2）主要领导负责原则 网络与信息安全领导小组确立xx公司信息安全保障的宗旨和政策，负责提高员工的安全意识，组织有效安全保障队伍，调动并优化配置必要的资源，协调安全管理工作与各部门工作的关系，并确保其落实、有效； （3）全员参与原则 信息系统所有相关人员需要普遍参与信息系统的安全管理，并与相关方面协同、协调，共同保障信息系统安全； （4）系统方法原则 按照系统工程的要求，识别和理解信息安全保障相互关联的层面和过程，采用管理和技术结合的方法，提高实现安全保障的目标的有效性和效率； （5）持续改进原则 随着安全需求和系统脆弱性的时空分布变化，威胁程度的提高，系统环境的变化以及对系统安全认识的深化等，及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级，维护和持续改进信息安全管理体系的有效性； （6）依法管理原则 保证信息系统安全管理主体合法、管理行为合法、管理内容合法、管理程序合法。对安全事件的处理，需要由授权者适时发布准确一致的有关信息，避免带来不良的社会影响； （7）分权和授权原则 对特定职能或责任领域的管理功能实施分离、独立审计等实行分权。任何实体（如用户、管理员、进程、应用或系统）仅享有该实体需要完成其任务所必须的权限； （8）选用成熟技术原则 成熟的技术具有较好的可靠性和稳定性，采用新技术时要重视其成熟的程度，并首先试点然后逐步推广； （9）分级保护原则 按等级划分标准确定信息系统的安全保护等级，实行分级保护； （10）管理与技术并重原则 采用管理与技术相结合，管理科学性和技术前瞻性结合的方法，保障信息系统的安全性达到所要求的目标； （11）自主保护和国家监管结合原则 xx公司在政府相关部门对信息系统的安全进行指导、监督和检查下，形成自管、自查、自评和国家监管相结合的管理模式，提高信息系统的安全保护能力和水平，保障国家信息安全。 第八条 在规划和建设信息系统时，信息系统安全防护措施应按照“三同步”原则，与信息系统建设同步规划、同步建设、同步投入运行。 第三章 安全管理 一、内部管理制度 第九条 根据本文件中征信系统建设管理及运维管理的条例，落实对机房管理、资产安全、设备管理、网络安全和系统安全等方面的信息安全管理。 第十条 对数据的存储、访问、使用、展示、备份与恢复、传输及样本数据处理等需要符合数据管理制度。 第十一条 需要根据重大事项报告和处置管理制度，有效避免和及时报告事故造成的危害。对重大信息安全事故及时向中国人民银行及其派出机构报告。 第十二条 根据信息安全检查制度，定期或根据需要（如可能存在安全隐患时）不定期开展安全自查工作，主动接受和配合中国人民银行及其派出机构的安全检查。 第十三条 根据信息安全内部审计制度，每两年1次（根据实际情况可增加），对可能带来信息安全风险的因素进行审计和评估。系统中的审计记录保存半年（根据实际情况可大于半年），纸质版审计记录保存三年（根据实际情况可大于三年）。 二、安全管理机构 第十四条 信息技术部在网络与信息安全领导小组管理下，负责信息安全管理工作。 第十五条 安全主管、信息安全管理员等各岗位需要履行岗位职责，遵守各自审批权限。各部门、各岗位之间，与同业机构、监管部门需要加强合作和沟通。 第十六条 加强安全主管、信息安全管理员、技术支持人员、业务操作人员、一般计算机用户等人员的安全管理，根据不同岗位的职责，对人员录用、离岗、考核和培训等工作进行规范。 三、系统建设管理 第十七条 安全产品、密码产品的采购和使用需要符合国家密码主管部门的规定，并指定专门部门负责采购。 第十八条 指定专门人员负责工程实施过程管理，控制工程实施过程。软件开发需要开发测试环境与实际运行环境物理分开，软件设计相关文档交由专人保管。外包软件开发的部分，要求开发单位提供软件源代码，并进行“后门”检测。 第十九条 征信系统测试验收需要包括安全性测试，对测试验收过程中形成的测试报告需要进行审定，签字确定。征信系统交付时需要制定交付清单，并进行设备、软件和文档清点。需要对系统运行维护技术人员进行技能培训。 第二十条 将系统等级及相关材料报中国人民银行及其派出机构备案。 第二十一条 征信系统上线运行前，进行安全规范测评。运行过程中，每两年对系统进行一次安全规范测评，测评报告报中国人民银行及其派出机构。 第二十二条 外包及安全服务商提供服务时，需要签订与安全相关的协议，明确约定相关责任。涉及敏感操作（如输入用户口令等）由xx公司人员进行操作。外包服务方需要遵守xx公司相关安全规定与操作规程，不得查看、复制或带离任何敏感信息。 四、系统运维管理 第二十三条 在读取移动存储设备上的数据、网络上接收文件或邮件之前，和外来计算机或存储设备接入网络系统之前需要进行病毒检查。 第二十四条 每半年修改一次密码，包括网络设备用户密码、操作系统用户密码、数据库用户密码和应用程序用户密码等。网络设备、操作系统、数据库和应用程序的超级管理员用户密码要纸质密封交专人保管。密码设置规则需要符合征信规范中相关要求。 第二十五条 征信系统发生变更前，需要经过审批，在做好征信数据的备份和恢复工作基础上，方可实施变更，并在实施后向相关人员通告。 第二十六条 安全事件处置和应急管理需符合安全事件报告和处置管理制度，重大事项处置和应急管理需符合重大事项报告和处置管理制度。 第四章 安全技术 第二十七条 为保障通信网络安全，征信系统面向互联网时，需使用强壮的加密算法和安全协议保证信息传输的机密性和完整性。征信系统服务器需使用安全的协议和强壮的加密算法进行安全、可靠的身份认证。 第二十八条 服务器端物理安全 （1）机房和办公场地选择在具有防震、防风和防雨等能力的建筑内。 （2）机房出入口安排专人值守，控制、鉴别和记录进入的人。需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围。 （3）主机房应安装必要的防盗报警设施和监控报警系统。应将通信线缆铺设在隐蔽处，可铺设在地下或管道中。 （4）防雷击、防火、防水防潮、防静电。 （5）设置温、湿度自动调节设施。 （6）在机房供电线路上配置稳压器和过电压防护设备，提供短期的备用电力供应。 （7）电源线和通信线缆隔离铺设，避免互相干扰。 第二十九条 服务器端网络安全 （1）保证接入网络的带宽满足业务高峰期需要。 （2）根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段。 （3）按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问。 （4）对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录。 （5）监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击和网络蠕虫攻击等。 （6）对登录网络设备的用户进行身份鉴别，限制非法登录次数，当网络登录连接超时自动退出。 （7）对网络