【文章內(nèi)容簡介】 ................2 第二條 適用范圍..........................................................................................................2 第三條 目標..................................................................................................................2 第四條 安全原則..........................................................................................................2 第五條 安全方針..........................................................................................................4 第六條 安全組織機構..................................................................................................4 第七條 安全管理人員策略..........................................................................................5 第八條 安全保密產(chǎn)品和工具......................................................................................7 第九條 物理和環(huán)境安全策略......................................................................................8 第十條 運行管理策略..................................................................................................9 第十一條 通訊和傳輸安全管理策略..........................................................................9 第十二條 信息設備安全策略....................................................................................10 第十三條 存儲設備安全............................................................................................11 第十四條 操作安全策略............................................................................................11 第十五條 訪問控制策略............................................................................................12 第十六條 導入導出策略............................................................................................13 第十七條 備份與恢復策略........................................................................................13 第十八條 設備維修策略............................................................................................14 第十九條設備報廢策略..............................................................................................14 第二十條 風險管理及安全審計策略........................................................................14 第二十一條 信息系統(tǒng)應急計劃和響應策略............................................................15 第二十二條 遵循性....................................................................................................15 第一條 概述根據(jù)《中華人民共和國保守國家秘密法》、《武器裝備科研生產(chǎn)單位保密資格審查認證管理辦法》、《武器裝備科研生產(chǎn)單位三級保密資格標準》等文件精神，結(jié)合本公司實際，特制定本安全策略文件。信息系統(tǒng)安全策略文件是公司計算機和信息系統(tǒng)全體管理和使用人員必須遵循的信息安全行為準則，由公司信息安全管理部門制訂及解釋，由公司保密委員會審批發(fā)布，并由信息安全管理部門組織公司全體人員學習與貫徹。公司涉密計算機及信息系統(tǒng)涉及到存儲、傳輸、處理國家秘密、公司商業(yè)秘密和業(yè)務關鍵信息，關系到公司的形象和公司業(yè)務的持續(xù)運行，必須保證其安全。因此，必須從技術、管理、運行等方面制定確保涉密計算機和信息系統(tǒng)持續(xù)可靠運行的安全策略，做好安全保障。第二條 適用范圍、處理或傳輸?shù)男畔⒓按尜A、處理或傳輸這些信息的硬件、軟件及固件。，適用于指導我單位信息系統(tǒng)安全策略的制定、安全方案的規(guī)劃和安全建設的實施，適用于我單位安全管理體系中安全管理措施的選擇。第三條 目標本方針的目的是為本公司信息系統(tǒng)安全管理提供一個總體性架構文件，該文件將指導本公司信息系統(tǒng)的安全管理體系建設。安全管理體系以實現(xiàn)統(tǒng)一的安全策略管理、提高整體的網(wǎng)絡與信息安全水平、確保安全控制措施落實到位、保障網(wǎng)絡通信暢通和業(yè)務系統(tǒng)的正常運營為建設目的。并通過一系列預防措施將信息安全可能受到的危害降到最低。信息安全管理應在確保信息和計算機受到保護的同時，確保計算機和信息系統(tǒng)能夠在允許的范圍內(nèi)正常運行使用。同時，本策略的目的也是讓所有員工能夠了解信息安全問題以及明確各自的信息安全職責，嚴格遵守本安全策略，并遵守國家相關的計算機或信息安全法律要求。第四條 安全原則(一)基于安全需求原則 技術部根據(jù)公司信息系統(tǒng)擔負的業(yè)務功能、積累的信息資產(chǎn)的重要性、可能受到的威脅及面臨的風險分析安全需求，按照信息系統(tǒng)等級保護要求確定相應的信息系統(tǒng)安全保護等級，遵從相應等級的規(guī)范要求，從全局上平衡安全投入與效果；(二)主要領導負責原則主要領導應確立統(tǒng)一的信息安全保障宗旨和政策，負責指導提高全員安全意識的教育方法、培養(yǎng)優(yōu)秀的安全技術隊伍、調(diào)動并優(yōu)化資源的配置、協(xié)調(diào)安全管理工作與各部門工作的關系，并確保其有效落實；(三)全員參與原則信息系統(tǒng)涉及的所有相關人員應積極參與信息系統(tǒng)的安全管理，并與相關方面協(xié)調(diào)，共同保障信息系統(tǒng)的安全；(四)系統(tǒng)方法原則按照系統(tǒng)工程的要求，識別和理解信息安全保障相互關聯(lián)的層面和過程，采用管理和技術相結(jié)合的方法，保證安全保障工作的高效有序進行；(五)持續(xù)改進原則安全管理是一種動態(tài)反饋過程，貫穿整個安全管理的生存周期，隨著安全需求和系統(tǒng)脆弱性的時空分布變化，威脅程度的提高，系統(tǒng)環(huán)境的變化以及對系統(tǒng)安全認識的深化等，應及時地將現(xiàn)有的安全策略、風險接受程度和保護措施進行復查、修改、調(diào)整以至提升安全管理等級，維護和持續(xù)改進信息安全管理體系的有效性；(六)依法管理原則信息安全管理工作主要體現(xiàn)為管理行為，應保證信息系統(tǒng)安全管理主體合法、管理行為合法、管理內(nèi)容合法、管理程序合法。對安全事件的處理，應由授權者適時發(fā)布準確一致的有關信息，避免帶來不良的社會影響；(七)分權和授權原則對特定職能或責任領域的管理功能實施分離、獨立審計等實行分權，避免權力過分集中，帶來隱患，以減少未授權的修改或濫用系統(tǒng)資源的機會。任何實體（如用戶、管理員、進程、應用或系統(tǒng)）僅享有該實體需要完成其任務所必須的最小權限，不應享有任何多余權限；(八)選用成熟技術原則成熟的技術具有較好的可靠性和穩(wěn)定性，采用新技術時要重視其成熟度，并應首先局部試點然后逐步推廣，以減少或避免可能出現(xiàn)的失誤；(九)分等級保護原則按等級劃分標準確定信息系統(tǒng)的安全保護等級，實行分等級保護；對多個子系統(tǒng)構成的大型信息系統(tǒng)，確定系統(tǒng)的基本安全保護等級，并根據(jù)實際安全需求，分別確定各子系統(tǒng)的安全保護等級，實行多級安全保護；(十)管理與技術并重原則堅持積極防御和綜合防范相結(jié)合，全面提高信息系統(tǒng)安全防護能力，立足國情，采用管理科學性和技術前瞻性結(jié)合的方法，保障信息系統(tǒng)的安全性達到所要求的目標；(十一)自主保護和國家監(jiān)管結(jié)合原則對信息系統(tǒng)安全實行自主保護和國家保護相結(jié)合。組織機構要對自己的信息系統(tǒng)安全保護負責，相關部門有責任對信息系統(tǒng)的安全進行指導、監(jiān)督和檢查，形成自管、自查、自評和國家監(jiān)管相結(jié)合的管理模式，提高信息系統(tǒng)的安全保護能力和水平，保障國家信息安全。第八條 在規(guī)劃和建設信息系統(tǒng)時，信息系統(tǒng)安全防護措施應按照“三同步”原則，與信息系統(tǒng)建設同步規(guī)劃、同步建設、同步投入運行。第五條 安全方針信息系統(tǒng)安全建設堅持“安全第一、預防為主，管理和技術并重，綜合防范”的總體方針，依照總體安全防護策略，執(zhí)行信息系統(tǒng)安全等級保護制度，信息網(wǎng)絡實行涉密電腦與其他電腦物理隔離，公司內(nèi)、外網(wǎng)之間物理隔離的方法。第六條 安全組織機構保密委員會保密辦公室涉密部門4，保密委員會主任由總經(jīng)理擔任，保密工作實行總經(jīng)理負責制，保密委員會由公司相關領導和部門主管組成，下設保密辦公室作為保密委員會的常設工作機構，并配備保密員，配備系統(tǒng)管理員、安全保密管理員、安全審計員；設置定密工作小組，明確定密責任人，按“業(yè)務誰主管、保密工作誰負責”原則，各部門主管負責本部門的保密管理工作。，負責領導信息安全管理體系的建立和信息安全管理的實施，主要包括：u 提供清晰的指導方向，可見的管理支持，明確的信息安全職責授權； u 審查、批準信息安全策略和崗位職責； u 審查業(yè)務關鍵安全事件；u 批準增強信息安全保障能力的關鍵措施和機制；u 保證必要的資源分配，以實現(xiàn)數(shù)據(jù)有效性以及信息安全管理體系的持續(xù)發(fā)展。，協(xié)調(diào)相關活動，主要承擔如下職責：u 調(diào)整并制定所有必要的信息安全管理規(guī)程、制度以及實施指南等； u 提議并配合執(zhí)行信息安全相關的實施方法和程序，如風險評估、信息管理分層等；u 主動采取部門內(nèi)的信息安全措施，如安全意識培訓及教育等； u 配合執(zhí)行新系統(tǒng)或服務的特殊信息安全措施； u 審查對信息安全策略的遵循性； u 配合并參與安全評估事項；u 根據(jù)信息安全管理體系的要求，定期向上級主管領導和保密委員會報告。第七條 安全管理人員策略為避免信息遭受人為過失、竊取、欺騙、濫用的風險，應當識別信息系統(tǒng)系統(tǒng)內(nèi)部每項工作的信息安全職責并補充相關的程序文件。公司全體人員都應該了解計算機及系統(tǒng)的網(wǎng)絡與信息安全需求，公司必須為全體人員提供足夠的培訓以達到該安全目的，并為他們提供報告安全事件和威脅的渠道。工作人員從事或離開崗位時必須進行信息安全考慮，相關的安全事項必須包括在工作描述或合同中。包括：u 對涉及訪問秘密或關鍵信息，或者訪問處理這些信息的系統(tǒng)的工作人員應進行嚴格審查和挑選；u 對信息系統(tǒng)具有特殊訪問權限的工作人員應該簽署承諾，保證不會濫用權限；u 當工作人員離開公司時應該移交信息系統(tǒng)的訪問權限，或工作人員在公司內(nèi)部更換工作崗位時應該重新檢查并調(diào)整其訪問權限。公司全體人員應了解計算機及信息系統(tǒng)的安全需求，并對如何安全地使用信息及相關系統(tǒng)和工具、信息安全策略和相關管理規(guī)定接受培訓，熟悉信息安全的實施并加強安全意識。必須建立有效的信息反饋渠道，以便于公司人員一旦發(fā)現(xiàn)安全威脅、事件和故障，能及時向有關領導報告。公司禁止工作人員濫用計算機及信息系統(tǒng)的計算機資源，僅為工作人員提供工作所需的信息處理設備。公司所有人員對系統(tǒng)網(wǎng)絡和計算資源的使用（包括訪問互聯(lián)網(wǎng)）都必須遵守計算機及信息系統(tǒng)的安全策略和標準及所有適用的法律。公司的計算機及信息系統(tǒng)應能防止使用人員連接到訪問含有色情、種族歧視及其他不良內(nèi)容的網(wǎng)站及某些非業(yè)務網(wǎng)站。包括但不限于以下例子是不可接受的使用行為：u 使用信息系統(tǒng)資源故意從事影響他人工作和生活的行為。u 工作人員通過信息系統(tǒng)的網(wǎng)絡服務及設備傳輸、存儲任何非法的、有威脅的、濫用的材料。u 任何工作人員使用信息系統(tǒng)的計算機工具、設備和互聯(lián)網(wǎng)訪問服務來從事用于個人獲益的商業(yè)活動（如炒股）。u 工作人員使用信息系統(tǒng)服務來參與任何政治或宗教活動。u 在沒有信息安全管理部門的事先允許或?qū)徟那闆r下，工作人員在使用的計算機中更改或安裝任何類型的計算機軟件和硬件。u 在沒有信息安全管理部門的事先允許或?qū)徟那闆r下，工作人員拷貝、安裝、處理或使用任何未經(jīng)許可的軟件。必須使用病毒檢測軟件對所有通過互聯(lián)網(wǎng)（或任何其他公網(wǎng)）從信息系統(tǒng)之外的途徑獲得的軟件和文件進行檢查，同時，在獲得這些軟件和文件之前，信息安全管理部門必須研究和確認使用這些工具的必要性。公司所有人員必須在開始工作前，親自簽訂信息系統(tǒng)保密協(xié)議。尊重互聯(lián)網(wǎng)上他人的知識產(chǎn)權。公司工作人員在被雇傭期間使用公司系統(tǒng)資源開發(fā)或設