【文章內(nèi)容簡(jiǎn)介】 ................2 第二條 適用范圍..........................................................................................................2 第三條 目標(biāo)..................................................................................................................2 第四條 安全原則..........................................................................................................2 第五條 安全方針..........................................................................................................4 第六條 安全組織機(jī)構(gòu)..................................................................................................4 第七條 安全管理人員策略..........................................................................................5 第八條 安全保密產(chǎn)品和工具......................................................................................7 第九條 物理和環(huán)境安全策略......................................................................................8 第十條 運(yùn)行管理策略..................................................................................................9 第十一條 通訊和傳輸安全管理策略..........................................................................9 第十二條 信息設(shè)備安全策略....................................................................................10 第十三條 存儲(chǔ)設(shè)備安全............................................................................................11 第十四條 操作安全策略............................................................................................11 第十五條 訪問控制策略............................................................................................12 第十六條 導(dǎo)入導(dǎo)出策略............................................................................................13 第十七條 備份與恢復(fù)策略........................................................................................13 第十八條 設(shè)備維修策略............................................................................................14 第十九條設(shè)備報(bào)廢策略..............................................................................................14 第二十條 風(fēng)險(xiǎn)管理及安全審計(jì)策略........................................................................14 第二十一條 信息系統(tǒng)應(yīng)急計(jì)劃和響應(yīng)策略............................................................15 第二十二條 遵循性....................................................................................................15 第一條 概述根據(jù)《中華人民共和國(guó)保守國(guó)家秘密法》、《武器裝備科研生產(chǎn)單位保密資格審查認(rèn)證管理辦法》、《武器裝備科研生產(chǎn)單位三級(jí)保密資格標(biāo)準(zhǔn)》等文件精神，結(jié)合本公司實(shí)際，特制定本安全策略文件。信息系統(tǒng)安全策略文件是公司計(jì)算機(jī)和信息系統(tǒng)全體管理和使用人員必須遵循的信息安全行為準(zhǔn)則，由公司信息安全管理部門制訂及解釋，由公司保密委員會(huì)審批發(fā)布，并由信息安全管理部門組織公司全體人員學(xué)習(xí)與貫徹。公司涉密計(jì)算機(jī)及信息系統(tǒng)涉及到存儲(chǔ)、傳輸、處理國(guó)家秘密、公司商業(yè)秘密和業(yè)務(wù)關(guān)鍵信息，關(guān)系到公司的形象和公司業(yè)務(wù)的持續(xù)運(yùn)行，必須保證其安全。因此，必須從技術(shù)、管理、運(yùn)行等方面制定確保涉密計(jì)算機(jī)和信息系統(tǒng)持續(xù)可靠運(yùn)行的安全策略，做好安全保障。第二條 適用范圍、處理或傳輸?shù)男畔⒓按尜A、處理或傳輸這些信息的硬件、軟件及固件。，適用于指導(dǎo)我單位信息系統(tǒng)安全策略的制定、安全方案的規(guī)劃和安全建設(shè)的實(shí)施，適用于我單位安全管理體系中安全管理措施的選擇。第三條 目標(biāo)本方針的目的是為本公司信息系統(tǒng)安全管理提供一個(gè)總體性架構(gòu)文件，該文件將指導(dǎo)本公司信息系統(tǒng)的安全管理體系建設(shè)。安全管理體系以實(shí)現(xiàn)統(tǒng)一的安全策略管理、提高整體的網(wǎng)絡(luò)與信息安全水平、確保安全控制措施落實(shí)到位、保障網(wǎng)絡(luò)通信暢通和業(yè)務(wù)系統(tǒng)的正常運(yùn)營(yíng)為建設(shè)目的。并通過一系列預(yù)防措施將信息安全可能受到的危害降到最低。信息安全管理應(yīng)在確保信息和計(jì)算機(jī)受到保護(hù)的同時(shí)，確保計(jì)算機(jī)和信息系統(tǒng)能夠在允許的范圍內(nèi)正常運(yùn)行使用。同時(shí)，本策略的目的也是讓所有員工能夠了解信息安全問題以及明確各自的信息安全職責(zé)，嚴(yán)格遵守本安全策略，并遵守國(guó)家相關(guān)的計(jì)算機(jī)或信息安全法律要求。第四條 安全原則(一)基于安全需求原則 技術(shù)部根據(jù)公司信息系統(tǒng)擔(dān)負(fù)的業(yè)務(wù)功能、積累的信息資產(chǎn)的重要性、可能受到的威脅及面臨的風(fēng)險(xiǎn)分析安全需求，按照信息系統(tǒng)等級(jí)保護(hù)要求確定相應(yīng)的信息系統(tǒng)安全保護(hù)等級(jí)，遵從相應(yīng)等級(jí)的規(guī)范要求，從全局上平衡安全投入與效果；(二)主要領(lǐng)導(dǎo)負(fù)責(zé)原則主要領(lǐng)導(dǎo)應(yīng)確立統(tǒng)一的信息安全保障宗旨和政策，負(fù)責(zé)指導(dǎo)提高全員安全意識(shí)的教育方法、培養(yǎng)優(yōu)秀的安全技術(shù)隊(duì)伍、調(diào)動(dòng)并優(yōu)化資源的配置、協(xié)調(diào)安全管理工作與各部門工作的關(guān)系，并確保其有效落實(shí)；(三)全員參與原則信息系統(tǒng)涉及的所有相關(guān)人員應(yīng)積極參與信息系統(tǒng)的安全管理，并與相關(guān)方面協(xié)調(diào)，共同保障信息系統(tǒng)的安全；(四)系統(tǒng)方法原則按照系統(tǒng)工程的要求，識(shí)別和理解信息安全保障相互關(guān)聯(lián)的層面和過程，采用管理和技術(shù)相結(jié)合的方法，保證安全保障工作的高效有序進(jìn)行；(五)持續(xù)改進(jìn)原則安全管理是一種動(dòng)態(tài)反饋過程，貫穿整個(gè)安全管理的生存周期，隨著安全需求和系統(tǒng)脆弱性的時(shí)空分布變化，威脅程度的提高，系統(tǒng)環(huán)境的變化以及對(duì)系統(tǒng)安全認(rèn)識(shí)的深化等，應(yīng)及時(shí)地將現(xiàn)有的安全策略、風(fēng)險(xiǎn)接受程度和保護(hù)措施進(jìn)行復(fù)查、修改、調(diào)整以至提升安全管理等級(jí)，維護(hù)和持續(xù)改進(jìn)信息安全管理體系的有效性；(六)依法管理原則信息安全管理工作主要體現(xiàn)為管理行為，應(yīng)保證信息系統(tǒng)安全管理主體合法、管理行為合法、管理內(nèi)容合法、管理程序合法。對(duì)安全事件的處理，應(yīng)由授權(quán)者適時(shí)發(fā)布準(zhǔn)確一致的有關(guān)信息，避免帶來不良的社會(huì)影響；(七)分權(quán)和授權(quán)原則對(duì)特定職能或責(zé)任領(lǐng)域的管理功能實(shí)施分離、獨(dú)立審計(jì)等實(shí)行分權(quán)，避免權(quán)力過分集中，帶來隱患，以減少未授權(quán)的修改或?yàn)E用系統(tǒng)資源的機(jī)會(huì)。任何實(shí)體（如用戶、管理員、進(jìn)程、應(yīng)用或系統(tǒng)）僅享有該實(shí)體需要完成其任務(wù)所必須的最小權(quán)限，不應(yīng)享有任何多余權(quán)限；(八)選用成熟技術(shù)原則成熟的技術(shù)具有較好的可靠性和穩(wěn)定性，采用新技術(shù)時(shí)要重視其成熟度，并應(yīng)首先局部試點(diǎn)然后逐步推廣，以減少或避免可能出現(xiàn)的失誤；(九)分等級(jí)保護(hù)原則按等級(jí)劃分標(biāo)準(zhǔn)確定信息系統(tǒng)的安全保護(hù)等級(jí)，實(shí)行分等級(jí)保護(hù)；對(duì)多個(gè)子系統(tǒng)構(gòu)成的大型信息系統(tǒng)，確定系統(tǒng)的基本安全保護(hù)等級(jí)，并根據(jù)實(shí)際安全需求，分別確定各子系統(tǒng)的安全保護(hù)等級(jí)，實(shí)行多級(jí)安全保護(hù)；(十)管理與技術(shù)并重原則堅(jiān)持積極防御和綜合防范相結(jié)合，全面提高信息系統(tǒng)安全防護(hù)能力，立足國(guó)情，采用管理科學(xué)性和技術(shù)前瞻性結(jié)合的方法，保障信息系統(tǒng)的安全性達(dá)到所要求的目標(biāo)；(十一)自主保護(hù)和國(guó)家監(jiān)管結(jié)合原則對(duì)信息系統(tǒng)安全實(shí)行自主保護(hù)和國(guó)家保護(hù)相結(jié)合。組織機(jī)構(gòu)要對(duì)自己的信息系統(tǒng)安全保護(hù)負(fù)責(zé)，相關(guān)部門有責(zé)任對(duì)信息系統(tǒng)的安全進(jìn)行指導(dǎo)、監(jiān)督和檢查，形成自管、自查、自評(píng)和國(guó)家監(jiān)管相結(jié)合的管理模式，提高信息系統(tǒng)的安全保護(hù)能力和水平，保障國(guó)家信息安全。第八條 在規(guī)劃和建設(shè)信息系統(tǒng)時(shí)，信息系統(tǒng)安全防護(hù)措施應(yīng)按照“三同步”原則，與信息系統(tǒng)建設(shè)同步規(guī)劃、同步建設(shè)、同步投入運(yùn)行。第五條 安全方針信息系統(tǒng)安全建設(shè)堅(jiān)持“安全第一、預(yù)防為主，管理和技術(shù)并重，綜合防范”的總體方針，依照總體安全防護(hù)策略，執(zhí)行信息系統(tǒng)安全等級(jí)保護(hù)制度，信息網(wǎng)絡(luò)實(shí)行涉密電腦與其他電腦物理隔離，公司內(nèi)、外網(wǎng)之間物理隔離的方法。第六條 安全組織機(jī)構(gòu)保密委員會(huì)保密辦公室涉密部門4，保密委員會(huì)主任由總經(jīng)理擔(dān)任，保密工作實(shí)行總經(jīng)理負(fù)責(zé)制，保密委員會(huì)由公司相關(guān)領(lǐng)導(dǎo)和部門主管組成，下設(shè)保密辦公室作為保密委員會(huì)的常設(shè)工作機(jī)構(gòu)，并配備保密員，配備系統(tǒng)管理員、安全保密管理員、安全審計(jì)員；設(shè)置定密工作小組，明確定密責(zé)任人，按“業(yè)務(wù)誰主管、保密工作誰負(fù)責(zé)”原則，各部門主管負(fù)責(zé)本部門的保密管理工作。，負(fù)責(zé)領(lǐng)導(dǎo)信息安全管理體系的建立和信息安全管理的實(shí)施，主要包括：u 提供清晰的指導(dǎo)方向，可見的管理支持，明確的信息安全職責(zé)授權(quán)； u 審查、批準(zhǔn)信息安全策略和崗位職責(zé)； u 審查業(yè)務(wù)關(guān)鍵安全事件；u 批準(zhǔn)增強(qiáng)信息安全保障能力的關(guān)鍵措施和機(jī)制；u 保證必要的資源分配，以實(shí)現(xiàn)數(shù)據(jù)有效性以及信息安全管理體系的持續(xù)發(fā)展。，協(xié)調(diào)相關(guān)活動(dòng)，主要承擔(dān)如下職責(zé)：u 調(diào)整并制定所有必要的信息安全管理規(guī)程、制度以及實(shí)施指南等； u 提議并配合執(zhí)行信息安全相關(guān)的實(shí)施方法和程序，如風(fēng)險(xiǎn)評(píng)估、信息管理分層等；u 主動(dòng)采取部門內(nèi)的信息安全措施，如安全意識(shí)培訓(xùn)及教育等； u 配合執(zhí)行新系統(tǒng)或服務(wù)的特殊信息安全措施； u 審查對(duì)信息安全策略的遵循性； u 配合并參與安全評(píng)估事項(xiàng)；u 根據(jù)信息安全管理體系的要求，定期向上級(jí)主管領(lǐng)導(dǎo)和保密委員會(huì)報(bào)告。第七條 安全管理人員策略為避免信息遭受人為過失、竊取、欺騙、濫用的風(fēng)險(xiǎn)，應(yīng)當(dāng)識(shí)別信息系統(tǒng)系統(tǒng)內(nèi)部每項(xiàng)工作的信息安全職責(zé)并補(bǔ)充相關(guān)的程序文件。公司全體人員都應(yīng)該了解計(jì)算機(jī)及系統(tǒng)的網(wǎng)絡(luò)與信息安全需求，公司必須為全體人員提供足夠的培訓(xùn)以達(dá)到該安全目的，并為他們提供報(bào)告安全事件和威脅的渠道。工作人員從事或離開崗位時(shí)必須進(jìn)行信息安全考慮，相關(guān)的安全事項(xiàng)必須包括在工作描述或合同中。包括：u 對(duì)涉及訪問秘密或關(guān)鍵信息，或者訪問處理這些信息的系統(tǒng)的工作人員應(yīng)進(jìn)行嚴(yán)格審查和挑選；u 對(duì)信息系統(tǒng)具有特殊訪問權(quán)限的工作人員應(yīng)該簽署承諾，保證不會(huì)濫用權(quán)限；u 當(dāng)工作人員離開公司時(shí)應(yīng)該移交信息系統(tǒng)的訪問權(quán)限，或工作人員在公司內(nèi)部更換工作崗位時(shí)應(yīng)該重新檢查并調(diào)整其訪問權(quán)限。公司全體人員應(yīng)了解計(jì)算機(jī)及信息系統(tǒng)的安全需求，并對(duì)如何安全地使用信息及相關(guān)系統(tǒng)和工具、信息安全策略和相關(guān)管理規(guī)定接受培訓(xùn)，熟悉信息安全的實(shí)施并加強(qiáng)安全意識(shí)。必須建立有效的信息反饋渠道，以便于公司人員一旦發(fā)現(xiàn)安全威脅、事件和故障，能及時(shí)向有關(guān)領(lǐng)導(dǎo)報(bào)告。公司禁止工作人員濫用計(jì)算機(jī)及信息系統(tǒng)的計(jì)算機(jī)資源，僅為工作人員提供工作所需的信息處理設(shè)備。公司所有人員對(duì)系統(tǒng)網(wǎng)絡(luò)和計(jì)算資源的使用（包括訪問互聯(lián)網(wǎng)）都必須遵守計(jì)算機(jī)及信息系統(tǒng)的安全策略和標(biāo)準(zhǔn)及所有適用的法律。公司的計(jì)算機(jī)及信息系統(tǒng)應(yīng)能防止使用人員連接到訪問含有色情、種族歧視及其他不良內(nèi)容的網(wǎng)站及某些非業(yè)務(wù)網(wǎng)站。包括但不限于以下例子是不可接受的使用行為：u 使用信息系統(tǒng)資源故意從事影響他人工作和生活的行為。u 工作人員通過信息系統(tǒng)的網(wǎng)絡(luò)服務(wù)及設(shè)備傳輸、存儲(chǔ)任何非法的、有威脅的、濫用的材料。u 任何工作人員使用信息系統(tǒng)的計(jì)算機(jī)工具、設(shè)備和互聯(lián)網(wǎng)訪問服務(wù)來從事用于個(gè)人獲益的商業(yè)活動(dòng)（如炒股）。u 工作人員使用信息系統(tǒng)服務(wù)來參與任何政治或宗教活動(dòng)。u 在沒有信息安全管理部門的事先允許或?qū)徟那闆r下，工作人員在使用的計(jì)算機(jī)中更改或安裝任何類型的計(jì)算機(jī)軟件和硬件。u 在沒有信息安全管理部門的事先允許或?qū)徟那闆r下，工作人員拷貝、安裝、處理或使用任何未經(jīng)許可的軟件。必須使用病毒檢測(cè)軟件對(duì)所有通過互聯(lián)網(wǎng)（或任何其他公網(wǎng)）從信息系統(tǒng)之外的途徑獲得的軟件和文件進(jìn)行檢查，同時(shí)，在獲得這些軟件和文件之前，信息安全管理部門必須研究和確認(rèn)使用這些工具的必要性。公司所有人員必須在開始工作前，親自簽訂信息系統(tǒng)保密協(xié)議。尊重互聯(lián)網(wǎng)上他人的知識(shí)產(chǎn)權(quán)。公司工作人員在被雇傭期間使用公司系統(tǒng)資源開發(fā)或設(shè)