1 / 16 * 主办部门：系统运维部 执 笔 人： 审 核 人：

XXXXX 信息安全管理策略V0.1 XXX-XXX-XX-01001

2014年3月17日 2 / 16

[本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属XXXXX所有，受到有关产权及版权法保护。任何个人、机构未经XXXXX的书面授权许可，不得以任何方式复制或引用本文件的任何片断。]

文件版本信息 版本 日期 拟稿和修改 说明 V0.1 2014.3.17 拟稿

文件版本信息说明 记录本文件提交时当前有效的版本控制信息，当前版本文件有效期将在新版本文档生效时自动结束。文件版本小于1.0 时，表示该版本文件为草案，仅可作为参照资料之目的。

阅送范围 内部发送部门：综合部、系统运维部 3 / 16

目 录 第一章 总则 .................................................. 1 第二章 信息安全方针 .......................................... 1 第三章 信息安全策略 .......................................... 2 第四章 附则 ................................................. 13 第一章 总则 第一条 为规范XXXXX信息安全系统，确保业务系统安全、稳定和可靠的运行，提升服务质量，不断推动信息安全工作的健康发展。根据《中华人民共和国计算机信息系统安全保护条例》、《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）、《金融行业信息系统信息安全等级保护实施指引》（JR/T 0071—2012）、《金融行业信息系统信息安全等级保护测评指南》（JR/T 0072—2012），并结合XXXXX实际情况，特制定本策略。 第二条 本策略为XXXXX信息安全管理的纲领性文件，明确提出XXXXX在信息安全管理方面的工作要求，指导信息安全管理工作。为信息安全管理制度文件提供指引，其它信息安全相关文件在制定时不得违背本策略中的规定。 第三条 网络与信息安全工作领导小组负责制定信息安全管理策略。 第二章 信息安全方针 第四条 XXXXX的信息安全方针为：安全第一、综合防范、预防为主、持续改进。 （一）安全第一：信息安全为业务的可靠开展提供基础保障。把信息安全作为信息系统建设和业务经营的首要任务； （二）综合防范：管理措施和技术措施并重，建立有效的识别和预防信息安全风险机制，合理选择安全控制方式，使信息安全风险的发生概率降低到可接受水平； （三）预防为主：依据国家、行业监管机构相关规定和信息安全管理最佳实践，根据信息资产的重要性等级，对重要信息资产采取有效措施消除可能的隐患，降低信息安全事件的发生概率； （四）持续改进：建立全面覆盖信息安全各个管理域的，可度量的、可管理的管理机制，并在此基础上建立持续改进的体系框架，不断自我完善，为业务的平稳运行提供可靠的安全保障。 第五条 XXXXX信息安全管理的总体目标包括： （一）信息安全管理体系建设和运行符合国家政府机关、监管机构和主管部门的相关强制性规定、规则及适用的相关惯例、准则和协议； （二）确保信息系统能够持续、可靠、正常地运行，为用户提供及时、稳定和高质量的信息技术服务并不断改进； （三）保护信息系统及数据的机密性、完整性和可用性，保证其不因偶然或者恶意侵犯而遭受破坏、更改及泄露。 第三章 信息安全策略 第六条 安全管理制度 （一）应形成由管理规定、管理规范、操作流程等构成的全面的信息安全管理制度体系。 （二）安全管理制度应具有统一的格式，并进行版本控制，通过正式有效的方式发布。 （三）应定期对安全管理制度进行检查和审定，对存在不足或需要改进的安全管理制度进行修订。 第七条 安全管理机构 （一）信息安全管理工作实行统一领导、分级管理，建立网络与信息安全工作领导小组，指导信息安全管理工作，决策信息安全重大事宜。 （二）设立系统安全管理员、网络安全管理员、安全专员等岗位，并配备专职人员，实行A、B 岗制度。 （三）应加强内部之间，以及外部监管机构、公安机关、供应商和安全组织的合作与沟通。 第八条 员工信息安全管理 （一）公司应制定安全用工原则，尤其是信息系统相关人员、敏感信息处理人员的录用、考核、转岗、离职等环节应有具体的安全要求。 （二）信息技术总部应定期组织针对员工的信息安全培训，以增强安全意识、提高安全技能、明确安全职责，应对安全教育和培训的情况和结果进行记录并归档保存。 （三）在岗位职责的描述中，应该阐明员工安全责任。 （四）公司制定和落实各种有关信息系统安全的奖惩条例，处罚和奖励必须分明。 第九条 第三方信息安全管理 （一）根据第三方所要访问的信息资产的等级及访问方式来进行风险评估，确定其安全风险。 （二）根据风险评估的结果，采取适当的控制方法对第三方访问进行安全控制，保护公司信息资产的安全。 （三）第三方对敏感的信息资产进行访问时，应签订保密协议或正式的合同。在协议及合同中应该明确第三方的安全责任和必须遵守的安全要求。 （四）明确外包系统/软件开发的安全要求。 （五）必须确保与第三方信息交换中各环节的安全。 第十条 信息系统建设安全管理 （一）在项目立项前，必须明确信息系统的安全等级、安全目标及所有的安全需求并文档化。安全需求的确定过程必须是成熟的、有效的。 （二）必须通过对安全需求进行详细的分析，制定安全设计方案，明确安全控制措施及所采取的安全技术。 （三）根据设计方案的要求，对使用的软硬件产品进行选型和测试，最终确定具体采用的产品。 （四）根据设计方案和选定的产品编制实施方案。在实施方案中必须考虑到实施过程中的风险，必须包含详细的项目实施计划、实施步骤、测试方案和风险应对措施。 （五）应制定软件开发管理制度和代码编写安全规范，明确说明开发过程的控制方法和人员行为准则。 （六）必须对实施过程进行安全管理，明确实施过程中各种活动的程序及职责，并形成文件。 （七）应根据信息系统等级，在上线前完成信息系统安全防护措施的实施，包括基线设置等。同时还应建立必要的机制，保证能够对投产后的信息系统进行更新升级。 （八）必须根据验收流程，对系统进行必要的测试和评定。 （九）系统下线必须按照严格的审批流程进行，确保系统下线不对XXXXX的安全生产和业务持续性产生影响，并同步进行系统数据的清除。 第十一条 机房安全管理 （一）机房建设必须符合国家标准《电子计算机机房设计规范（GB50174-2008）》和《电子计算机机房施工及验收规范（GB50462-2008）》。 （二）依据信息资产的安全等级、设备对场地环境的要求、易管理性等，合理划分机房区域，针对不同区域实施不同的安全保护措施，确保所有设备及介质的安全。 （三）由专人负责机房环境的日常维护、监控、报警和故障处理工作。根据公司实际情况，建立机房值班制度。 （四）制定机房以及机房内不同区域的出入管理规定，明确门禁管理、设备出入、人员出入（包括第三方）、出入审批、进出日志记录保留和审核等工作的管理要求和流程。 （五）制定有关机房工作守则，规范人员在机房内的行为。 （六）对于机房内的文档资料应固定存放在带锁或密码的专业文件柜中，由专人妥善保管并设置相应清单。 第十二条 信息资产管理 （一）应对公司信息资产进行登记，建立资产清单，并指定其安全责任人。该责任人需负责贯彻及监督相关安全策略、安全规范、安全技术标准的实施。 （二）根据机密性、完整性和可用性要求对信息资产进行分类分级，确定不同级别信息资产在其生命周期内的保护要求。 （三）必须明确信息资产访问控制原则，并建立信息资产访问的授权机制。 第十三条 介质管理 （一）公司对介质的存放环境、标识、使用、维护、运输、交接和销毁等方面做出规定，有介质的归档和访问记录，并对存档介质的目录清单定期盘点。 （二）存储介质的管理同信息资产管理相一致，根据所承载数据和软件的重要程度对介质进行分类分级管理。 （三）针对存放数据的存储介质应达到国家标准要求，进行标识和定期抽检。 （四）需要长期存放的存储介质，应该在介质有效期内进行转存；明确数据转存的程序与职责。 （五）应设立同城异地存放备份数据的场所。异地存放备份数据的场所应该具备防盗、防水、防火设施和一定的抗震能力。 第十四条 监控管理 （一）应对通信线路、网络设备、主机和应用软件的运行状况、网络流量、用户行为等进行监测和报警。 （二）应定期对监测和报警记录进行分析、评审，发现可疑行为，形成分析报告，发现重大隐患和运行事故应及时协调解决，并报上安全相关部门。 （三）应建立安全管理中心，对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理。 第十五条 网络安全管理 （一）指定专人对网络进行管理，负责日常的网络维护和报警信息处理工作。 （二）制定网络访问控制机制，网络访问控制策略以“除明确允许执行情况外必须禁止”为原则。 （三）当远程访问信息系统时，应采取额外的安全管控措施，以防止设备被窃、信息未授权泄露、远程非授权访问等风险。 （四）定期对网络系统进行漏洞扫描，对于发现的漏洞，在经过风险评估、验证测试和充分准备后进行修补或升级。 （五）重要网络设备开启日志和审计功能。