【正文】 保障的重要性，通過(guò)數(shù)據(jù)備份、冗余設(shè)計(jì)、應(yīng)急響應(yīng)、安全審計(jì)、災(zāi)難恢復(fù)等安全保障機(jī)制，保障業(yè)務(wù)的持續(xù)性和數(shù)據(jù)的安全性。制定統(tǒng)一的安全建設(shè)管理規(guī)范，指導(dǎo)的安全管理工作。167。167。167。 統(tǒng)一規(guī)劃要對(duì)的信息安全體系建設(shè)進(jìn)行統(tǒng)一的規(guī)劃，制定信息安全體系框架，明確保障體系中所包含的內(nèi)容。信息安全體系的建設(shè)，涉及面廣、工作量大，必須堅(jiān)持以下的原則，保證建設(shè)和運(yùn)營(yíng)的效果。 建設(shè)原則信息系統(tǒng)安全堅(jiān)持“安全第一、預(yù)防為主，管理和技術(shù)并重，綜合防范”的總體方針，實(shí)現(xiàn)信息系統(tǒng)安全可控、能控、在控。 充分考慮了當(dāng)前的建設(shè)現(xiàn)狀以及未來(lái)業(yè)務(wù)發(fā)展的需要；167。 統(tǒng)籌規(guī)劃和設(shè)計(jì)在建設(shè)過(guò)程中占有非常重要的地位；167。 在信息安全體系框架的指導(dǎo)下，依據(jù)相應(yīng)的建設(shè)標(biāo)準(zhǔn)和管理規(guī)范，規(guī)劃和制定詳細(xì)的信息安全系統(tǒng)實(shí)施方案和運(yùn)營(yíng)維護(hù)計(jì)劃。 以安全保障總體策略為核心，分三個(gè)方面進(jìn)行整體信息安全體系框架的制定，包括安全技術(shù)體系，安全管理體系和運(yùn)營(yíng)保障體系。在此基礎(chǔ)之上，對(duì)信息安全領(lǐng)域的理論、框架和技術(shù)基礎(chǔ)與XXX單位的安全問(wèn)題有機(jī)地進(jìn)行結(jié)合，有針對(duì)性地提出XXX單位安全保障總體策略。 建設(shè)思路XXX單位信息安全建設(shè)工作的總體思路如下圖所示：信息化建設(shè)是基于當(dāng)前通用的網(wǎng)絡(luò)與信息系統(tǒng)基礎(chǔ)技術(shù)，針對(duì)安全性問(wèn)題和支撐安全技術(shù)，通過(guò)安全評(píng)估，對(duì)信息化建設(shè)和信息安全建設(shè)進(jìn)行分析和總結(jié)，其中包括對(duì)建設(shè)現(xiàn)狀和發(fā)展趨勢(shì)的完整分析，歸納出系統(tǒng)中當(dāng)前存在和今后可能存在的安全問(wèn)題，明確網(wǎng)絡(luò)和信息系統(tǒng)運(yùn)營(yíng)所面臨的安全風(fēng)險(xiǎn)級(jí)別。安全管理體系的建立是為信息系統(tǒng)的安全管理工作提供參照，以實(shí)現(xiàn)統(tǒng)一的安全策略管理，提高整體的網(wǎng)絡(luò)與信息安全水平，確保安全控制措施落實(shí)到位，保障網(wǎng)絡(luò)通信暢通和業(yè)務(wù)系統(tǒng)的正常運(yùn)營(yíng)。XXX單位信息安全工作總體方針目錄1 總則 1 目標(biāo) 1 適用范圍 1 建設(shè)思路 1 建設(shè)原則 3 建設(shè)目標(biāo) 52 體系框架 5 安全模型 6 體系框架 73 建設(shè)內(nèi)容 13 組織機(jī)構(gòu) 13 人員管理 13 物理管理 14 網(wǎng)絡(luò)管理 14 系統(tǒng)管理 14 應(yīng)用管理 14 數(shù)據(jù)管理 15 運(yùn)維管理 154 總體安全策略 15 物理安全策略 16 網(wǎng)絡(luò)安全策略 16 主機(jī)安全策略 17 應(yīng)用安全策略 18 數(shù)據(jù)安全策略 18 病毒管理策略 195 附則 201 總則為加強(qiáng)和規(guī)范XXX單位信息系統(tǒng)安全工作，提高信息系統(tǒng)整體安全防護(hù)水平，實(shí)現(xiàn)信息安全的可控、能控、在控，依據(jù)國(guó)家有關(guān)法律、法規(guī)的要求，制定本文檔。 目標(biāo)本文檔的目的是為XXX單位信息系統(tǒng)安全管理提供一個(gè)總體安全架構(gòu)文件，該文件將指導(dǎo)信息系統(tǒng)的安全管理體系的建立。 適用范圍本文檔適用于信息系統(tǒng)安全方案規(guī)劃、安全建設(shè)實(shí)施和安全策略的制定。從支撐性安全技術(shù)展開(kāi)，對(duì)現(xiàn)有網(wǎng)絡(luò)和信息技術(shù)的固有缺陷出發(fā)，總結(jié)了普遍存在的安全威脅，并根據(jù)其它系統(tǒng)中的信息安全建設(shè)實(shí)踐中的經(jīng)驗(yàn)，從信息安全領(lǐng)域的完整框架、思路、技術(shù)和理念出發(fā)，提供完整的安全建設(shè)思路和方法。安全保障總體策略包括了整體建設(shè)目標(biāo)，安全技術(shù)策略，以及相應(yīng)的管理策略。在現(xiàn)實(shí)的運(yùn)營(yíng)過(guò)程中，安全保障不能夠純粹依靠安全技術(shù)來(lái)解決，更需要適當(dāng)?shù)陌踩芾?，相互結(jié)合來(lái)提高整體安全性效果。 信息安全體系建設(shè)的思路體現(xiàn)了以下的特點(diǎn)：167。 充分結(jié)合建設(shè)現(xiàn)狀與信息安全通用技術(shù)和理念；167。 注重安全管理體系的建設(shè)，以及管理、技術(shù)和保障的相互結(jié)合。依照“分區(qū)、分級(jí)、分域”總體安全防護(hù)策略，執(zhí)行信息系統(tǒng)安全等級(jí)保護(hù)制度。167。同時(shí)，還要制定統(tǒng)一的信息安全建設(shè)標(biāo)準(zhǔn)和管理規(guī)范，使得信息安全體系建設(shè)能夠遵循一致的標(biāo)準(zhǔn)，管理能夠遵循一致的規(guī)范。 分步有序?qū)嵤┬畔踩w系的建設(shè)，內(nèi)容龐雜，必須堅(jiān)持分步驟的有序?qū)嵤┰瓌t，循序漸進(jìn)地進(jìn)行。 基于安全需求依據(jù)信息系統(tǒng)擔(dān)負(fù)的使命，積累的信息資產(chǎn)的重要性以及可能受到的威脅及面臨的風(fēng)險(xiǎn)分析安全需求，按照信息系統(tǒng)等級(jí)保護(hù)要求確定相應(yīng)的信息系統(tǒng)安全保護(hù)等級(jí)，遵從相應(yīng)等級(jí)的規(guī)范要求，從全局上恰當(dāng)?shù)仄胶獍踩度肱c效果。 技術(shù)管理并重僅有全面的安全技術(shù)和機(jī)制是遠(yuǎn)遠(yuǎn)不夠的，安全管理也具有同樣的重要性，XXX單位信息安全體系的建設(shè)，必須遵循安全技術(shù)和安全管理并重的原則。167。167。167。對(duì)安全事件的處理，應(yīng)由授權(quán)者適時(shí)發(fā)布準(zhǔn)確一致的有關(guān)信息，避免帶來(lái)不良的社會(huì)影響。 自保護(hù)和國(guó)家監(jiān)管結(jié)合對(duì)信息系統(tǒng)安全實(shí)行自保護(hù)和國(guó)家保護(hù)相結(jié)合。 建設(shè)目標(biāo)根據(jù)XXX單位信息安全體系建設(shè)需求和原則，XXX單位信息安全的建設(shè)目標(biāo)，可以用“一個(gè)目標(biāo)、兩種手段、三個(gè)體系”進(jìn)行概括。 一個(gè)目標(biāo)XXX單位信息安全的建設(shè)目標(biāo)是：基于安全基礎(chǔ)設(shè)施、以安全策略為指導(dǎo)，提供全面的安全服務(wù)內(nèi)容，覆蓋從物理、網(wǎng)絡(luò)、系統(tǒng)、直至數(shù)據(jù)和應(yīng)用平臺(tái)各個(gè)層面，以及保護(hù)、檢測(cè)、響應(yīng)、恢復(fù)等各個(gè)環(huán)節(jié)，構(gòu)建全面、完整、高效的信息安全體系，從而提高XXX單位信息系統(tǒng)的整體安全等級(jí)，為XXX單位的業(yè)務(wù)發(fā)展提供堅(jiān)實(shí)的信息安全保障。 兩種手段信息安全體系的建設(shè)應(yīng)該包括安全技術(shù)與安全管理兩種手段，其中安全技術(shù)手段是安全保障的基礎(chǔ)，安全管理手段是安全技術(shù)手段真正發(fā)揮效益的關(guān)鍵，管理措施的正確實(shí)施同時(shí)需要有技術(shù)手段來(lái)監(jiān)管和驗(yàn)證，兩者相輔相成，缺一不可。 三個(gè)體系XXX單位信息安全體系的建設(shè)最終形成3個(gè)主要體系，具體包括安全技術(shù)體系、安全管理體系、以及運(yùn)行保障體系。 安全模型根據(jù)XXX單位信息安全體系建設(shè)目標(biāo)和總體安全策略，建立了與之對(duì)