三级等保,安全管理制度,信息安全管理策略

.

*

主办部门：系统运维部

执笔人： 审核人：

XXXXX

信息平安管理策略V0.1 XXX-XXX-XX-01001

2021年3月17日

-

.可修编.

.

.

[本文件中出现的任文字表达、文档格式、插图、照片、法、过程等容，除另有特别注明，均属XXXXX所有，受到有关产权及法保护。任个人、机构未经XXXXX的书面授权可，不得以任式复制或引用本文件的任片断。]

文件版本信息 版本 V0.1

文件版本信息说明

记录本文件提交时当前有效的版本控制信息，当前版本文件有效期将在新版本文档生效时自动完毕。文件版本小于1.0 时，表示该版本文件为草案，仅可作为参照资料之目的。

阅送围

部发送部门：综合部、系统运维部

日期 2021.3.17 拟稿和修改 拟稿 说明 目录

第一章总那么1

-

.可修编.

.

.

第二章信息平安针1 第三章信息平安策略2 第四章附那么13

-

.可修编.

.

.

第一章总那么

第一条为规XXXXX信息平安系统，确保业务系统平安、稳定和可靠的运行，提升效劳质量，不断推动信息平安工作的安康开展。根据?中华人民国计算机信息系统平安保护条例?、?信息平安技术信息系统平安等级保护根本要求?〔GB/T22239-2021〕、?金融行业信息系统信息平安等级保护实施指引?〔JR/T 0071—2021〕、?金融行业信息系统信息平安等级保护测评指南?〔JR/T 0072—2021〕，并结合XXXXX实际情况，特制定本策略。

第二条本策略为XXXXX信息平安管理的纲领性文件，明确提出XXXXX在信息平安管理面的工作要求，指导信息平安管理工作。为信息平安管理制度文件提供指引，其它信息平安相关文件在制定时不得违背本策略中的规定。

第三条网络与信息平安工作领导小组负责制定信息平安管理策略。

第二章信息平安针

第四条XXXXX的信息平安针为：平安第一、综合防、预防为主、持续改良。

〔一〕平安第一：信息平安为业务的可靠开展提供根底保障。把信息平安作为信息系统建立和业务经营的首要任务；

〔二〕综合防：管理措施和技术措施并重，建立有效的识别和预防信息平安风险机制，合理选择平安控制式，使信息平安风险的发生概率降低到可承受水平；

-

.可修编.

.

.

〔三〕预防为主：依据、行业监管机构相关规定和信息平安管理最正确实践，根据信息资产的重要性等级，对重要信息资产采取有效措施消除可能的隐患，降低信息平安事件的发生概率；

〔四〕持续改良：建立全面覆盖信息平安各个管理域的，可度量的、可管理的管理机制，并在此根底上建立持续改良的体系框架，不断自我完善，为业务的平稳运行提供可靠的平安保障。

第五条 XXXXX信息平安管理的总体目标包括： 〔一〕信息平安管理体系建立和运行符合政府机关、监管机构和主管部门的相关强制性规定、规那么及适用的相关惯例、准那么和协议；

〔二〕确保信息系统能够持续、可靠、正常地运行，为用户提供及时、稳定和高质量的信息技术效劳并不断改良；

〔三〕保护信息系统及数据的XX性、完整性和可用性，保证其不因偶然或者恶意侵犯而遭受破坏、更改及泄露。

第三章信息平安策略

第六条平安管理制度

〔一〕应形成由管理规定、管理规、操作流程等构成的全面的信息平安管理制度体系。

〔二〕平安管理制度应具有统一的格式，并进展版本控制，通过正式有效的式发布。

〔三〕应定期对平安管理制度进展检查和审定，对存在缺乏或需要改良的平安管理制度进展修订。

-

.可修编.

.

.

第七条平安管理机构

〔一〕信息平安管理工作实行统一领导、分级管理，建立网络与信息平安工作领导小组，指导信息平安管理工作，决策信息平安重大事宜。

〔二〕设立系统平安管理员、网络平安管理员、平安专员等岗位，并配备专职人员，实行A、B 岗制度。

〔三〕应加强部之间，以及外部监管机构、公安机关、供给商和平安组织的合作与沟通。

第八条员工信息平安管理

〔一〕公司应制定平安用工原那么，尤其是信息系统相关人员、敏感信息处理人员的录用、考核、转岗、离职等环节应有具体的平安要求。

〔二〕信息技术总部应定期组织针对员工的信息平安培训，以增强平安意识、提高平安技能、明确平安职责，应对平安教育和培训的情况和结果进展记录并归档保存。

〔三〕在岗位职责的描述中，应该说明员工平安责任。 〔四〕公司制定和落实各种有关信息系统平安的奖惩条例，处分和奖励必须清楚。

第九条第三信息平安管理

〔一〕根据第三所要访问的信息资产的等级及访问式来进展风险评估，确定其平安风险。

-

.可修编.

.

.

〔二〕根据风险评估的结果，采取适当的控制法对第三访问进展平安控制，保护公司信息资产的平安。

〔三〕第三对敏感的信息资产进展访问时，应签订XX协议或正式的合同。在协议及合同中应该明确第三的平安责任和必须遵守的平安要求。

〔四〕明确外包系统/软件开发的平安要求。 〔五〕必须确保与第三信息交换中各环节的平安。 第十条信息系统建立平安管理

〔一〕在工程立项前，必须明确信息系统的平安等级、平安目标及所有的平安需求并文档化。平安需求确实定过程必须是成熟的、有效的。

〔二〕必须通过对平安需求进展详细的分析，制定平安设计案，明确平安控制措施及所采取的平安技术。

〔三〕根据设计案的要求，对使用的软硬件产品进展选型和测试，最终确定具体采用的产品。

〔四〕根据设计案和选定的产品编制实施案。在实施案中必须考虑到实施过程中的风险，必须包含详细的工程实施方案、实施步骤、测试案和风险应对措施。

〔五〕应制定软件开发管理制度和代码编写平安规，明确说明开发过程的控制法和人员行为准那么。

〔六〕必须对实施过程进展平安管理，明确实施过程中各种活动的程序及职责，并形成文件。

-

.可修编.

.

.

〔七〕应根据信息系统等级，在上线前完成信息系统平安防护措施的实施，包括基线设置等。同时还应建立必要的机制，保证能够对投产后的信息系统进展更新升级。

〔八〕必须根据验收流程，对系统进展必要的测试和评定。 〔九〕系统下线必须按照格的审批流程进展，确保系统下线不对XXXXX的平安生产和业务持续性产生影响，并同步进展系统数据的去除。

第十一条机房平安管理

〔一〕机房建立必须符合标准?电子计算机机房设计规〔GB50174-2021〕?和?电子计算机机房施工及验收规〔GB50462-2021〕?。

〔二〕依据信息资产的平安等级、设备对场地环境的要求、易管理性等，合理划分机房区域，针对不同区域实施不同的平安保护措施，确保所有设备及介质的平安。

〔三〕由专人负责机房环境的日常维护、监控、报警和故障处理工作。根据公司实际情况，建立机房值班制度。

〔四〕制定机房以及机房不同区域的出入管理规定，明确门禁管理、设备出入、人员出入〔包括第三〕、出入审批、进出日志记录保存和审核等工作的管理要求和流程。

〔五〕制定有关机房工作守那么，规人员在机房的行为。 〔六〕对于机房的文档资料应固定存放在带锁或密码的专业文件柜中，由专人妥善保管并设置相应清单。

-

.可修编.

.

.

第十二条信息资产管理

〔一〕应对公司信息资产进展登记，建立资产清单，并指定其平安责任人。该责任人需负责贯彻及监视相关平安策略、平安规、平安技术标准的实施。

〔二〕根据XX性、完整性和可用性要求对信息资产进展分类分级，确定不同级别信息资产在其生命期的保护要求。

〔三〕必须明确信息资产访问控制原那么，并建立信息资产访问的授权机制。

第十三条介质管理

〔一〕公司对介质的存放环境、标识、使用、维护、运输、交接和销毁等面做出规定，有介质的归档和访问记录，并对存档介质的目录清单定期盘点。

〔二〕存储介质的管理同信息资产管理相一致，根据所承载数据和软件的重要程度对介质进展分类分级管理。

〔三〕针对存放数据的存储介质应到达标准要求，进展标识和定期抽检。

〔四〕需要长期存放的存储介质，应该在介质有效期进展转存；明确数据转存的程序与职责。

〔五〕应设立同城异地存放备份数据的场所。异地存放备份数据的场所应该具备防盗、防水、防火设施和一定的抗震能力。

第十四条监控管理

-

.可修编.

.

.

〔一〕应对通信线路、网络设备、主机和应用软件的运行状况、网络流量、用户行为等进展监测和报警。

〔二〕应定期对监测和报警记录进展分析、评审，发现可疑行为，形成分析报告，发现重大隐患和运行事故应及时协调解决，并报上平安相关部门。

〔三〕应建立平安管理中心，对设备状态、恶意代码、补丁升级、平安审计等平安相关事项进展集中管理。

第十五条网络平安管理

〔一〕指定专人对网络进展管理，负责日常的网络维护和报警信息处理工作。

〔二〕制定网络访问控制机制，网络访问控制策略以“除明确允执行情况外必须制止〞为原那么。

〔三〕当远程访问信息系统时，应采取额外的平安管控措施，以防止设备被窃、信息未授权泄露、远程非授权访问等风险。

〔四〕定期对网络系统进展漏洞扫描，对于发现的漏洞，在经过风险评估、验证测试和充分准备后进展修补或升级。

〔五〕重要网络设备开启日志和审计功能。 〔六〕网络建立中应做到以下几点：

1.应遵循高可靠性、高平安性、高性能、可扩展性、可管理性、标准化等原那么；

2.建立网络容量规划机制，充分考虑未来新业务需求和公司当前的系统效劳能力及未来技术开展的趋势；

-

.可修编.

.

.

3.应对局域网、广域网、外部网平安通信连接可靠，采取必要的技术手段，确保网络平安。

第十六条系统平安管理

〔一〕日志平安管理应指定专人负责，具体负责日志的采集、保存、备份和失效处理等工作。在条件允的情况下，可采用技术手段实现。

〔二〕日志记录以保障审计及追查的有效性为原那么，具体情况根据系统及应用的实际情况而定，日志记录作为作业方案的一局部，必须格定义日志记录的广度和深度，确保日志的完整性，并满足审计工作的需要。管理员和操作员的活动应记入日志，并确保无法被篡改。

〔三〕重要日志必须平安地存储在介质中，并定期备份和检查。

第十七条恶意代码防管理

〔一〕专人负责计算机病毒防工作的组织与实施； 〔二〕建立计算机病毒预警机制，格执行病毒检测及报告程序；

〔三〕指定专人负责跟踪厂商发布的漏洞补丁情况，定期对效劳器、网络、应用软件进展漏洞扫描；

〔四〕对于确有必要升级的漏洞补丁，在安装前必须进展充分的验证测试和风险评估。漏洞补丁的安装应参考变更管理的要求，进展实施案和回退案的审批；

-

.可修编.

.

.

〔五〕如果无法及时完成漏洞补丁加载，应进展原因分析，并采取一定的平安防护措施，必要时进展回退；

〔六〕根据信息系统等级保护要求，对业务系统设计侵和攻击防的策略以及技术实施案，在信息系统中实现入侵和攻击防；

〔七〕根据日常平安监控、风险评估、信息平安检查和信息平安审计的结果，调整入侵和攻击防策略或采用新的、成熟的技术产品；

〔八〕定期对重要的信息系统进展代码审计、渗透测试等工作，以及时掌握信息系统平安状况，防入侵和攻击。

第十八条密码管理

〔一〕采取额外技术措施加强密码平安时，密码产品应符合密码管理规定的密码技术和产品；

第十九条变更管理

〔一〕必须对信息系统的所有操作建立有效的管理和监控机制，确定相关人员及部门职责。

〔二〕根据信息系统变更所涉及的信息资产的平安等级，对信息系统变更进展分级，针对不同等级的信息系统变更以文档的形式明确相应的审批管理程序。

〔三〕在系统变更审批前，变更申请部门提交申请报告，变更管理员要提交系统变更案，明确变更存在的风险及对系统的影响。

〔四〕实施变更前，应该对变更容进展格测试。

-

.可修编.

.

.

〔五〕格遵照实施案中所规定的流程实施变更，变更实施过程应记录并妥善保存。

第二十条备份和恢复管理

〔一〕数据备份工作应指定专人负责；

〔二〕根据系统的重要程度，制定相应的备份策略； 〔三〕建立数据备份审核程序，定期进展备份数据的检查工作，确保备份数据的完整性和有效性；

〔四〕对关键的系统和数据必须进展异地备份。对于在异地进展备份的系统和数据的管理，要与本地的系统和数据管理保持一致；

〔五〕备份数据必须由专人负责保管，数据不得泄漏，XX数据不得以明码形式存储和传输。

〔六〕明确生产数据恢复的原那么和审批程序； 〔七〕制定数据备份恢复案；

〔八〕重要信息系统的恢复性测试在不影响生产环境运行的情况下至少每年进展一次。根据恢复测试结果进展数据恢复过程的调整。

第二十一条平安事件管理

〔一〕信息平安相关事项由网络与信息平安工作领导小组办公室集中管理。

〔二〕制定包括信息系统运行状况检测、异常处理、汇报等的平安监控工作制度，指定专人负责平安监控。

-

.可修编.

.

.

〔三〕网络与信息平安工作领导小组办公室对平安监控的结果进展定期检查，以保证平安监控结果的有效性和完整性。确保平安监控结果可作为其他统计和分析工作的数据来源。

〔四〕平安事件处理的原那么是“积极预防、及时发现、快速响应、确保恢复〞。

〔五〕网络与信息平安工作领导小组办公室建立详细的平安事件响应机制，明确平安事件的发现、分析、处理、总结和奖惩阶段的相关责任，最大限度地减少平安事件造成的损害。

〔六〕对平安事件做好记录和存档工作，记录容包括事件的原因、处理过程、处理结果、建议改良的平安对策。

第二十二条应急预案

〔一〕分析业务中断可能造成的后果，以作为制定应急预案的依据。

〔二〕制定应急预案并文档化，确定应急预案的总体策略，确保重大故障时重要系统和业务的及时恢复。

〔四〕定期测试应急预案，确保方案的有效性。

〔五〕应急预案应定期检查、及时更新维护，以确保其有效性。

(六)应急预案容至少应包括启动应急预案的条件、应急处理流程、系统恢复流程和事后教育和培训等容；

〔七〕应从人力、设备、技术和财务等面确保应急预案的执行有足够的资源保障；

-

.可修编.

.

.

〔八〕应根据不同的应急恢复容，确定演练的期并定期进展培训和演练；

〔九〕应定期审查和更新应急预案。 第二十三条审核和检查

〔一〕根据职责互斥原那么，成立信息平安检查小组，定期对信息系统进展全面、独立的平安检查；

〔二〕应从技术管理和业务保障等面，进展全面的信息平安检查，检查依据为不同时期的信息平安要求；

〔三〕信息平安检查工作应采取定期全面检查和不定期的专项检查相结合的式；

〔四〕对于平安检查的结果应予以跟踪落实，应对整改后的结果进展复查并根据需要向公司领导汇报。

〔五〕信息平安审计是参照一定的平安标准对运维过程和信息系统本身进展平安评价的过程。此过程重点关注运维管理工作是否有效地保护了业务和信息系统的平安；

〔六〕对重要业务系统进展审计时，必须制定详细的方案，尽量减少对业务处理的影响；

〔七〕对信息平安审计发现问题和隐患，责任部门应制定整改措施及时进展整改。整改正程中应防止引入新的风险；

〔八〕审计结果未经批准，不得向外披露；

〔九〕对于平安审计的结果应予以跟踪落实，应对整改后的结果进展复查并根据需要向公司领导汇报。

-

.可修编.

.

.

第四章附那么

第二十四条各部门可根据本策略制定相应的实施细那么。 第二十五条本策略自公布之日起实行。

-

.可修编.