01、信息安全工作总体规划V1.0

XXX单位信息安全工作总体方针V1.0目录1总则..........................................................................................................................11.1目标................................................................................................................11.2适用范围........................................................................................................11.3建设思路........................................................................................................11.4建设原则........................................................................................................31.5建设目标........................................................................................................42体系框架..................................................................................................................52.1安全模型........................................................................................................52.2体系框架........................................................................................................73建设内容................................................................................................................133.1组织机构......................................................................................................133.2人员管理......................................................................................................133.3物理管理......................................................................................................133.4网络管理......................................................................................................143.5系统管理......................................................................................................143.6应用管理......................................................................................................143.7数据管理......................................................................................................143.8运维管理......................................................................................................154总体安全策略........................................................................................................154.1物理安全策略..............................................................................................154.2网络安全策略..............................................................................................164.3主机安全策略..............................................................................................174.4应用安全策略..............................................................................................174.5数据安全策略..............................................................................................184.6病毒管理策略..............................................................................................195附则........................................................................................................................191/191总则为加强和规范XXX单位信息系统安全工作，提高信息系统整体安全防护水平，实现信息安全的可控、能控、在控，依据国家有关法律、法规的要求，制定本文档。1.1目标本文档的目的是为XXX单位信息系统安全管理提供一个总体安全架构文件，该文件将指导信息系统的安全管理体系的建立。安全管理体系的建立是为信息系统的安全管理工作提供参照，以实现统一的安全策略管理，提高整体的网络与信息安全水平，确保安全控制措施落实到位，保障网络通信畅通和业务系统的正常运营。1.2适用范围本文档适用于信息系统安全方案规划、安全建设实施和安全策略的制定。1.3建设思路XXX单位信息安全建设工作的总体思路如下图所示：2/19网络和信息技术信息化建设现状现存问题整体安全策略（建设目标、技术策略、管理策略）安全技术体系安全管理体系运营保障体系信息安全系统建设规划和实施方案信息安全技术和机制安全威胁和安全脆弱性建设现状发展趋势信息化建设是基于当前通用的网络与信息系统基础技术，针对安全性问题和支撑安全技术，通过安全评估，对信息化建设和信息安全建设进行分析和总结，其中包括对建设现状和发展趋势的完整分析，归纳出系统中当前存在和今后可能存在的安全问题，明确网络和信息系统运营所面临的安全风险级别。从支撑性安全技术展开，对现有网络和信息技术的固有缺陷出发，总结了普遍存在的安全威胁，并根据其它系统中的信息安全建设实践中的经验，从信息安全领域的完整框架、思路、技术和理念出发，提供完整的安全建设思路和方法。在此基础之上，对信息安全领域的理论、框架和技术基础与XXX单位的安全问题有机地进行结合，有针对性地提出XXX单位安全保障总体策略。安全保障总体策略包括了整体建设目标，安全技术策略，以及相应的管理策略。以安全保障总体策略为核心，分三个方面进行整体信息安全体系框架的制定，包括安全技术体系，安全管理体系和运营保障体系。在现实的运营过程中，安全保障不能够纯粹依靠安全技术来解决，更需要适当的安全管理，相互结合来提高整体安全性效果。在信息安全体系框架的指导下，依据相应的建设标准和管理规范，规划和制定详细的信息安全系统实施方案和运营维护计划。3/19信息安全体系建设的思路体现了以下的特点：统筹规划和设计在建设过程中占有非常重要的地位；充分结合建设现状与信息安全通用技术和理念；充分考虑了当前的建设现状以及未来业务发展的需要；注重安全管理体系的建设，以及管理、技术和保障的相互结合。1.4建设原则信息系统安全坚持“安全第一、预防为主，管理和技术并重，综合防范”的总体方针，实现信息系统安全可控、能控、在控。依照“分区、分级、分域”总体安全防护策略，执行信息系统安全等级保护制度。信息安全体系的建设，涉及面广、工作量大，必须坚持以下的原则，保证建设和运营的效果。统一规划要对的信息安全体系建设进行统一的规划，制定信息安全体系框架，明确保障体系中所包含的内容。同时，还要制定统一的信息安全建设标准和管理规范，使得信息安全体系建设能够遵循一致的标准，管理能够遵循一致的规范。分步有序实施信息安全体系的建设，内容庞杂，必须坚持分步骤的有序实施原则，循序渐进地进行。基于安全需求依据信息系统担负的使命，积累的信息资产的重要性以及可能受到的威胁及面临的风险分析安全需求，按照信息系统等级保护要求确定相应的信息系统安全保护等级，遵从相应等级的规范要求，从全局上恰当地平衡安全投入与效果。技术管理并重仅有全面的安全技术和机制是远远不够的，安全管理也具有同样的重要性，XXX单位信息安全体系的建设，必须遵循安全技术和安全管理并重的原则。制定统一的安全建设管理规范，指导的安全管理工作。4/19突出安全保障信息安全体系建设要突出安全保障的重要性，通过数据备份、冗余设计、应急响应、安全审计、灾难恢复等安全保障机制，保障业务的持续性和数据的安全性。持续改进信息系统安全管理是一种动态反馈过程，贯穿整个安全管理的生存周期，随着安全需求和系统脆弱性的时空分布变化，威胁程度的提高，系统环境的变化以及对系统安全认识的深化等，应及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级，维护和持续改进信息安全管理体系的有效性。依法管理信息安全管理工作主要体现为管理行为，应保证信息系统安全管理主体合法、管理行为合法、管理内容合法、管理程序合法。对安全事件的处理，应由授权者适时发布准确一致的有关信息，避免带来不良的社会影响。自保护和国家监管结合对信息系统安全实行自保护和国家保护相结合。组织机构要对自己的信息系统安全保护负责，政府相关部门有责任对信息系统的安全进行指导、监督和检查，形成自管、自查、自评和国家监管相结合的管理模式，提高信息系统的安全保护能力和水平，保障国家信息安全。1.5建设目标根据XXX单位信息安全体系建设需求和原则，XXX单位信息安全的建设目标，可以用“一个目标、两种手段、三个体系”进行概括。一个目标XXX单位信息安全的建