信息安全方针及安全策略

本系列文章来自于此前的真实项目案例，是一个学校安全系统建设中部分服务的内容，是给该单位的一套《安全制度汇编》，本篇文章信息安全方针及安全策略，倒是契合当下网络安全态势。原文档开放下载中~

第一章 目的

第一条 为了深入贯彻落实国家信息安全政策文件要求和信息安全等级保护政策要求，加强重庆 XX 中学的信息安全管理工作，增强重庆 XX 中学全员信息安全意识，切实提高重庆 XX 中学信息系统安全保障能力，特制定本方针。

第二章 范围

第二条 适用于重庆 XX 中学信息安全管理活动。

第三章 职责

第三条 由领导和各科室主管为主体的信息安全领导小组负责文件的审核和修订，由网络安全办公室为主体的信息安全工作小组负责文件的贯彻和执行。

第四章 符合性

第四条 文件主要遵循《信息安全技术信息系统安全等级保护基本要求（GBT 22239-2008）》标准的要求，同时在部分环节也符合以下两个国际标准：

1. ISO/IEC 27001 信息安全管理体系要求
2. ISO/IEC 27002 信息技术安全技术—信息安全管理实践规范

第五章 信息安全总体方针

第五条 重庆 XX 中学总体安全方针为：提高人员信息安全风险意识，确保信息系统安全；强化信息安全管理，坚持以人为本。

第六章 方针主要内容

第六条 主要安全策略

1. 信息安全是重庆 XX 中学及相关部门正常运行的重要保障，重庆 XX 中学将遵照“统一规划、分级管理、积极防范、人人有责”的原则，通过风险评估和风险管理，采取一切可能的措施，加强重庆 XX 中学信息安全的建设和管理。
2. 重庆 XX 中学设立信息安全领导小组，信息安全领导小组是重庆 XX 中学信息安全管理的最高机构；网络安全办公室、运维人员、系统管理员等是 XX 中学信息安全日常工作和执行机构，负责重庆 XX 中学信息系统及信息安全的日常维护和管理工作。
3. 重庆 XX 中学全体职工均有参与信息安全管理、保护重庆 XX 中学及相关部门信息安全的义务和责任。重庆 XX 中学全体职工应积极参加各种形式的信息安全教育和培训，遵守相关国家法律、法规、部门规章和行业规范，遵守重庆 XX 中学信息安全管理制度。
4. 承载信息系统的所有软硬件设施及物理环境均应受 到适当的保护。
5. 采取必要的措施保护重庆 XX 中学信息的机密性，以防止未经授权的不当存取；同时应确保信息不会在传递的过程中，或因无意间的行为透漏给未经授权的第三者。
6. 采取必要的措施确保重庆 XX 中学信息的 完整性，以防止未经授权的篡改。
7. 采取必要的措施确保重庆 XX 中学信息的可用性，以确保使用者需求可以得到满足。
8. 采取必要的措施确保重庆 XX 中学信息的 连续性，以确保业务持续可用。
9. 重庆 XX 中学相关的信息安全措施或规范应符合现行法令、法规的要求。
10. 重庆 XX 中学全体员工都有责任通过适 当的上报机制，报告所发现的信息安全意外事故或信息安全弱点。
11. 任何危及信息安全的行为，都应诉诸适当的惩罚程 序或法律行动。

第七条 信息安全目标：最大限度保证信息系统的完整性、保密性和可用性免遭破坏。确保每年信息安全重大事故的发生频率为可控范围内的最低。

第八条 信息安全管理框架

1. 重庆 XX 中学信息安全管理框架是根据 ISO/IEC 27001《信息安全管理体系要求》中的控制目标和控制项，并结合重庆 XX 中学的实际情况所建立的。 符合“PDCA”的管理模式。
   1. P（PLAN）过程是计划过程，指统一规划和设计重 庆市城市照明管理局的信息安全目标和安全控制策略，指导重庆 XX 中学整体的信息安全管理工作。
   2. D（DO) 过程是执行过程，指重庆 XX 中学在开展信息安全工作中需要落实的管理要求，包括信息安全组织制度管理、人员安全管理、系统建设安全管理、信息系统运维管理、变更管理和信息资产安全管理等，指导日常的信息安全管理工作。
   3. C（CHECK）过程是检查过程，指重庆 XX 中学开展信息安全工作的持续改进机制，通过信息安全风险评估、等级保护测评、检查，监督和审核等方式，指导信息安全管理体系控制要求不断完善。
   4. A（ACTION）过程是处置过程，指重庆市城市照明 管理局信息安全事件处置和应急预案，通过发现和总结信息安全问题，形成新的管理办法和控制措施，确保信息安全管理体系的适用性和有效性。
2. 重庆 XX 中学信息安全管理框架通过 PDCA 各环节的不断完善，实现信息安全管理体系自身的持续改进， 从而提高信息安全管理体系的全面性、有效性和适用性。

第九条 信息安全管理原则

1. 基于安全需求原则：重庆 XX 中学核心业务信息系统根据等级保护要求，定级为三级，安全需求主要参照三级等级保护要求，同时考虑可能受到的威胁及面临的风险分析安全需求，遵从三级等级保护的规范要求，从全局上恰当地平衡安全投入与效果。
2. 主要领导负责原则：信息安全领导小组的主要领导确 立重庆 XX 中学信息安全保障的宗旨和政策，负责 提高全员的安全意识，组织有效的安全保障队伍，调动并优 化配置必要的资源，协调安全管理工作与各部门工作的关系， 并确保其落实、有效。
3. 全员参与原则：与核心业务信息系统相关的所有运行维护人员应普遍参与信息系统的安全管理，并与相关方面协同、协调，共同保障信息系统安全。
4. 持续改进原则：安全管理是一种动态反馈过程，贯穿整个安全管理的生命周期，随着安全需求和系统脆弱性的时空分布变化，威胁程度的提高，系统环境的变化以及对系统安全认识的深化等，应及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级，维护和持续改进信息安全管理体系的有效性。
5. 依法管理原则：信息安全管理工作主要体现为管理行 为，应保证信息系统安全管理主体合法、管理行为合法、管 理内容合法、管理程序合法。对安全事件的处理，应由授权 者适时发布准确一致的有关信息，避免带来不良的社会影响。
6. 选用成熟技术原则：成熟的技术具有较好的可靠性和稳定性，采用新技术时要重视其成熟的程度，并应首先局部试点然后逐步推广，以减少或避免可能出现的失误。
7. 管理与技术并重原则：坚持积极防御和综合防范，全面提高信息系统安全防护能力，立足国情，采用管理与技术相结合，管理科学性和技术前瞻性结合的方法，保障信息系统的安全性达到所要求的目标。

第七章 个人操作管理

第十条 单位工作人员申请账户权限需填写《系统权限申请表》，经系统管理员批准后方可开通。账号申请表上应详细记录账号信息。

第十一条 人员离职或调职时需交回相关系统账号及密码，经系统管理员删除或变更账号后方能离职或调职。

第十二条 单位工作人员严禁私自在办公计算机上安装软件，以免造成病毒感染。严禁私自更改计算机的设置及安全策略。

第十三条 严格管理口令，包括口令的选择、保管和更换， 采取关闭 guest 和匿名用户、增强管理员口令选择要求等措施。

第十四条 计算机设备应设屏幕密码保护的用户界面， 保证数据的机密性的安全。