11資訊保安工作總體方針和安全策略

以滿足業務執行要求，遵守行業規程，實施等級保護及風險管理，確保資訊保安以及實現持續改進的目的等內容作為本單位資訊保安工作的總體方針。以資訊網路的硬體、軟體及其系統中的資料受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、洩露，系統連續可靠正常地執行，資訊服務不中斷為總體目標。

本案適用於某單位資訊保安整體工作。在全單位範圍內給予執行，由某部門對該項工作的落實和執行進行監督，由某部門配合某部門對本案的有效性進行持續改進。

以誰主管誰負責為原則（或者採用其他原則例如：「整體保護原則」、「適度保護的等級化原則」、「分域保護原則」、「動態保護原則」、「多級保護原則」、「深度保護原則」和「資訊流向原則」等）。

建立一套關於物理、主機、網路、應用、資料、建設和管理等六個方面的安全需求、控制措施及執行程式，並在關聯制度文件中定義出相關的安全角色，並對其賦予管理職責。「以人為本」，通過對資訊保安工作人員的安全意識培訓等方法不斷加強系統分布的合理性和有效性。

依據實際情況建立機房管理制度，明確機房的出入管理辦法，機房介質存放方式，機房裝置維護週期及維護方式，機房裝置資訊保密要求，機房溫濕度控制方式等等環境要求。通過明確機房責任人、建立機房管理相關辦法、對維護和出入等過程建立記錄等方式對機房安全進行保護。

從技術角度實現網路的合理分布、網路裝置的實施監控、網路訪問策略的統一規劃、網路安全掃瞄以及對網路配置檔案等必要資訊進行定期備份。從管理角度明確網路各個區域的安全責任人，建立網路維護方面相關操作辦法並由某人或某部門監督執行看，確保各資訊系統網路運**況穩定、可靠、正常的執行。

要求各類主機作業系統和資料庫系統在滿足各類業務系統的正常執行條件下，建立系統訪問控制辦法、劃分系統使用許可權、安裝惡意**防範軟體並對惡意**的檢查過程進行記錄。明確各類主機的責任人，對主機關鍵資訊進行定期備份。

從技術角度實現應用系統的操作可控、訪問可控、通訊可控。從管理角度實現各類控制辦法的有效執行，建立完善的維護操作規程以及明確定期備份內容。

對本單位或本部門的各類業務資料、裝置配置資訊、總體規劃資訊等等關鍵資料建立維護辦法，並由某部門或某人監督、執行。通過匯報或儲存方式實現關鍵資料的安全傳輸、儲存和使用。

成立資訊保安管理主要機構或部門，設立安全主管等主要安全角色，依據資訊保安等級保護**標準（要求），建立資訊系統的整體管理辦法。

分別建立安全管理崗位和機構的職責檔案，對機構和人員的職責進行明確。建立資訊發布、變更、審批等流程和制度類檔案，增強制度的有效性。建立安全審核和檢查的相關制度及報告方式。

對人員的錄用、離崗、考核、培訓、安全意識教育等方面應通過制度和操作程式進行明確。

定期對已備案的資訊系統進行等級保護測評，以保證資訊系統執行風險維持在較低水平，不斷增強系統的穩定性和安全性。

對突發安全事件建立應急預案管理制度和相關操作辦法，並定期組織人員進行演練，以保證資訊系統在面臨突發事件時能夠在較短時間內恢復正常的使用。

根據對系統的等級測評、風險評估等間接問題挖掘，及時改進資訊系統的各類弊端，包括業務弊端，應建立相關改進措施或改進辦法，以保證對資訊系統的業務持續性要求。

建立懲處辦法，對違反資訊保安總體方針、安全策略的、程式流程和管理措施的人員，依照問題的嚴重性進行懲罰。

5.1 《資訊保安各部門安全需求及控制措施》

5.2 《資訊保安各部門安全工作執行程式》

5.3 《機房安全管理制度》

5.4 《網路安全管理制度》

5.5 《系統安全管理制度》

5.6 《裝置操作規程》

5.7 《崗位職責檔案》

5.8 《資訊保安管理機構組成檔案》

5.9 《人事管理制度》/《員工手冊》

5.10 《應急預案管理制度》

5.11 《資訊保安等級保護測評報告》/《資訊保安風險評估報告》