上海海关学院信息安全管理方针科技处.docx
- 文档编号:9016223
- 上传时间:2023-02-02
- 格式:DOCX
- 页数:13
- 大小:23.94KB
上海海关学院信息安全管理方针科技处.docx
《上海海关学院信息安全管理方针科技处.docx》由会员分享,可在线阅读,更多相关《上海海关学院信息安全管理方针科技处.docx(13页珍藏版)》请在冰豆网上搜索。
上海海关学院信息安全管理方针科技处
上海海关学院信息安全管理方针
1总则
第一条【目的】本文件为上海海关学院(以下简称:
海关学院)信息安全管理的纲领性文件,明确提出海关学院在信息安全管理方面的工作要求,指导信息安全管理工作。
信息安全管理方针是海关学院领导层对信息安全目标的具体表述,为信息安全管理制度文件提供指引,其它文件在制定时不得违背本文件中的规定或与信息安全策略发生抵触。
以确保业务系统安全、稳定和可靠的运行,提升信息化服务质量,不断推动信息安全工作的健康发展。
第二条【依据】结合和参考《中华人民共和国计算机信息系统安全保护条例》、《信息安全等级保护管理办法试行》、《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008)等制定相关管理规范,并落实符合海关学院系统安全保护等级要求和管理方针。
第三条【范围】本文件适用于海关学院与信息安全相关的各项活动。
2信息安全组织策略
第四条建立针对内部组织和外部组织的安全策略,促进海关学院建立合理的信息安全管理组织机构与功能,以协调、监控信息安全目标的实现。
第五条信息安全组织策略一(内部建立信息安全管理架构)。
1.策略目标
实现在海关学院内部有效地管理信息安全。
2.策略内容
建立专门的信息安全组织体系,以管理信息安全事务,指导信息安全实践。
3.策略描述
通过建立信息安全管理组织,启动和控制海关学院范围内信息安全工作的实施,批准信息安全方针与策略,确定信息安全管理人员和职责分工,协调整个信息安全管理制度的推行和落实。
根据需要,还应建立与外部安全专家或组织的联系,方便跟踪行业趋势,学习各类先进的标准和评估方法。
第六条信息安全组织策略二(对访问海关学院信息资产的外部组织进行严格管理)。
1.策略目标
确保被外部组织访问的信息资产得到有效安全防护。
2.策略内容
海关学院信息处理设施和信息资产的安全性不应由于客户、第三方等外部组织的访问或由于引入外部产品或服务而降低。
当任何外部组织需要对内部信息处理设施进行访问、对信息资产进行处理时,内部相应接口部门应与外部组织签订协议,并采取有效措施进行安全控制。
3.策略描述
将不可避免地需要与外界进行业务往来与信息沟通,经常需要向外部组织开放其信息资产和信息处理设施。
因此,需要对由于外部组织访问而带来的安全风险进行评估,并根据风险水平,在必要时与外部组织签订协议,向其声明信息安全方针与策略,确定所需的安全控制措施。
3资产安全管理策略
第七条为有效地控制信息安全风险,首先需要识别信息资产。
只有对资产进行科学而有效地分类,并在各个管理层面落实对资产的保护责任,采用恰当的控制措施才能实现对信息资产的风险管理。
本节通过以下两个策略进行对信息资产的有效管理。
第八条资产管理策略一:
对信息资产建立问责机制,为实施适当保护奠定基础。
对所有信息资产进行识别,建立资产清单并说明使用规则,明确定义信息资产责任人及其职责,为信息资产建立问责机制。
第九条所有资产需标识出责任人,通常可定义为信息资产的所有者、保管者、维护者和使用者,同时需要明确不同责任主体的职责。
对信息资产的安全控制可以由信息资产所有者委派具体的保管者或维护者来承担,但所有者和使用者仍对资产承担一定的保护责任。
第一十条资产管理策略二:
通过对信息资产的分类,明确其可以得到适当程度的保护。
应按照信息资产的价值、法律要求及对组织的敏感程度和对业务支撑的关键程度来进行分类分级和资产表示。
第一十一条信息资产的分类分级及相关保护控制需要考虑业务需求以及与其相关的业务影响。
资产所有者的职责应包括确定资产的类别,进行必要的标识,并对其进行周期性评审,确保其与组织的内外环境变化相适应。
第一十二条信息资产的分类分级基于业务相关性,从资产的机密性、完整性和可用性三方面进行分别进行评估,并根据这三个方面考虑资产的保护级别
4人员安全管理策略
第一十三条网络与信息安全领导小组的成员要明确并履行各自的安全职责,包括信息资产保护的责任、执行特定安全过程的责任及授权级别,保证单位的安全责任能有效落实。
第一十四条保持与海关相关部门的及相关安全厂商的适当联系,并明确在发生重大信息安全事件后与相关部门进行联系,确保能及时得到相关部门组织的支持和帮助。
第一十五条定期(或出现重大安全变化时)对我院的信息安全方法和实施进行评审,确保管理信息安全方法的持续适宜性、充分性和有效性。
评审的对象包括控制目标、控制措施、安全策略、程序文件和作业指导书。
评审信息安全领导小组来启动,如果评审识别出信息安全方法和实施不符合当前的安全要求,信息安全领导小组要及时考虑纠正措施。
评审的结果要记录成文件,并报告给学院领导,得到授权后发布至我院全体员工。
第一十六条识别外部机构访问我院的信息和信息处理设施的风险,包括被访问的信息处理设施、访问类型、被访问信息的重要性、不被访问的信息需要的控制措施、外部访问的人员等,并在允许访问前实施适当的控制措施,确保外部机构的访问不影响信息和信息处理设施的安全。
第一十七条外部机构的人员在访问我院的资产前需要明确相关的安全要求,包括被资产的保护要求、访问控制策略、信息安全事故和安全违规的报告、承担的责任和业务。
通过签订协议来落实这些安全要求,保证外部机构人员不会对访问的资产造成破坏。
第一十八条在现有信息系统中新增产品或服务,以及对现有信息系统进行变更时,需要在相关的第三方协议中,明确体现所有涉及的安全要求,主要包括资产保护要求、安全职责要求、访问控制要求以及变更管理要求等方面,并保证严格执行第三方协议中规定的各项条款。
信息安全领导小组需要承担管理职责,保证所有员工和第三方人员能按照安全方针、策略和程序进行日常工作。
管理职责包括使所有员工和第三方人员清晰了解各自的安全角色和安全职责、提高他们的安全意识和安全技能等。
第一十九条定期对所有员工和第三方人员进行安全培训,培训内容包括单位的安全方针、策略、程序、信息处理设施正确使用方法、安全意识等。
根据人员的安全角色和职责制定不同的培训计划,保证所有工作人员和第三方人员能认识到信息安全问题和信息安全事件,并能按照各自的安全角色履行安全职责。
5物理环境安全策略
第二十条根据海关学院各区域资产的安全需求和风险评估结果,使用门禁、监视设备、访问控制手段等物理保护措施,来对边界提供物理保护,防止被未授权访问和恶意破坏。
第二十一条使用安全控制措施,对重要区域的入口进行控制,确保只有授权人员才可以访问物理机房及重要区域。
安全控制措施包括记录访问者进入和离开的时间,审计访问重要区域的行为,第三方人员需要有专人陪同等。
要对重要区域的访问权限定期进行评审,必要时进行更新和废除。
第二十二条使用物理保护措施,对来自外部和环境的威胁提供安全防护,防止由于火灾、洪水、地震、爆炸、社会动荡和其他形式的自然或人为灾难而引起的破坏。
物理保护措施包括危险或易燃材料在离重要区域安全距离以外的地方存放,恢复设备和备份媒体的存放地点与主场地要保持安全距离。
第二十三条我院校员工和第三方人员应严格遵守出入指南,避免由于误操作对重要区域设备造成的物理破坏并减少恶意活动,不允许非授权携带移动存储介质或其他记录设备。
第二十四条合理安置和保护设备,包括将设备安置到安全区域并尽量减少不必要的对安全区域的访问,将处理敏感数据的信息处理设施放在限制观测的位置,禁止在信息处理设施附近进食、喝饮和抽烟,以减少由环境威胁造成的风险和避免对设备的非授权访问。
第二十五条提供足够的支持性设施,包括使用不间断电源(UPS)及温度控制系统,定期进行检查、测试以确保功能有效等,来减少由于他们的故障或失效带来的风险,并使设备避免由他们引起的电源故障和其他中断。
第二十六条对传输数据和支持信息服务的电源布缆、通信布缆进行有效防护,保证他们免受损坏。
防护措施包括将电源和电信线路埋在地下,分开电源电缆和通信电缆以防止干扰,使用清晰的电缆识别标记以防止操作失误等。
第二十七条对设备进行正确维护,以确保其持续的可用性和完整性。
要按照设备供应商建议的时间间隔和规范对设备进行维护,对设备的修理和服务必须是已授权的维护人员,要保存所有可疑的、实际的故障和所有预防、纠正维护的记录,设备进行维护前需删除其中的敏感信息。
第二十八条包含储存介质的设备,要删除或安全重写敏感信息和注册软件,确保敏感信息和注册软件已被安全处置,避免由于草率处理或重用而导致信息泄漏。
第二十九条设备、信息或软件在带出单位场所时,要进行授权、记录,设置设备移动的时间限制,在返还时还应执行一致性检查并作送回记录,以保证设备被带出我院场所时仍有安全保障。
6信息处理安全策略
第三十条根据信息处理设施的管理、操作职责和程序,进行数据备份、设备维护、媒体处理和机房管理,确保能正确、安全的操作信息处理设施。
第三十一条严格控制信息处理设施和系统的变更,包括策划和测试变更、制定变更批准程序、向员工传递变更信息、制定变更反馈程序(即从不成功变更中退出和恢复的程序)等,避免对信息处理设施和系统的变更缺乏控制,降低系统故障和安全故障。
第三十二条业务系统的开发、测试和运行设施要分离并进行控制,控制措施包括敏感数据不能拷贝到测试系统环境中、禁止开发和测试人员访问运行系统及其信息等,以减少对运行设施及其信息的未授权访问及其带来的潜在风险。
第三十三条定期根据第三方服务协议中的安全要求,监视、评审由第三方提供的服务、报告和记录,监督协议规定的信息安全条款和条件的严格执行。
监视、评审内容包括监视服务执行效率,评审服务报告,审查第三方服务的安全事件、操作问题、故障、失误追踪和破坏的记录。
第三十四条规划新系统时,要对新系统的用户量、未来的能力需求等进行分析,评估出所需的系统性能,避免新系统出现过载等潜在的瓶颈。
第三十五条新业务系统或升级版本在正式上线前,要进行合适的测试,并根据验收要求和标准进行正式的验收,以证实全部验收准则完全被满足。
第三十六条在全网采取防病毒机制,来实现对病毒、木马、恶意代码、移动代码的预防、检测和查杀。
第三十七条制定详细的备份策略,使用足够的备份设施,定期对业务数据进行备份,确保业务数据在灾难或媒体故障后能及时进行恢复。
第三十八条在网络边界、安全域之间进行隔离和访问控制,使用网络安全审计系统对网络访问行为进行记录、监视和回放,保证对网络进行充分的管理和控制,防止威胁的发生,维护业务系统和信息的安全。
第三十九条应对磁盘、闪盘、可移动硬件驱动器、CD、DVD、打印媒体等进行有效的管理,防止非授权的使用和破坏。
对可移动存储介质的管理包括所有介质应存储在符合制造商说明的安全环境中,使用介质要进行授权、登记并追踪审计等。
第四十条应对不再需要的介质进行安全处置,降低介质敏感信息泄漏给未授权人员的风险。
第四十一条依据信息处理和储存程序,对信息进行有效的分类、处理、存储,防止信息的未授权泄漏和不当使用。
信息的处理和储存包括按照信息的分类级别来标记、处理信息,标识未授权人员的访问限制,维护已授权的信息使用者的正式记录,定期评审已授权使用者的使用记录等。
第四十二条严格遵照与外部单位之间交换信息和软件的协议,来保证信息传递的安全。
交换协议应考虑发送方、接收方的管理职责,确保交换信息的可追溯性和不可抵赖性,信息安全事故中的职责和义务等。
第四十三条包含信息的介质在往外运送时,要采取一定的保护措施,以防止未授权的访问、不当使用和毁坏。
采取的保护措施包括使用可靠的运输方式和人员,授权人员要经过领导的批准,包装要足以保护介质在运输期间可能出现的任何物理毁坏等。
第四十四条对在如邮件等电子消息发送中的信息提供安全保护,防止信息遭受未授权访问、修改或其他攻击。
第四十五条记录用户活动、异常和信息安全事件的日志信息,并保留一定的时间,以支持将来的调查和审计。
记录的日志应包含用户名称,日期、时间和关键事件的细节,终端身份或位置等信息。
第四十六条使用审计系统,以对信息处理设施的使用进行审计和监视,记录审计和监视结果,并定期评审,使管理员能及时了解设施的状态,并确保用户只执行被明确授权的操作。
第四十七条记录系统管理员和系统操作员的操作日志,并定期评审这些日志信息。
系统管理员和系统操作员的日志应包括事件发生的时间,涉及的帐号和管理员或操作员,事件或故障的信息内容等信息。
第四十八条记录信息处理设施报告的故障事件,并实施采取措施进行处理。
定期评审故障日志和故障处理措施,确保故障已经被正确处理。
第四十九条正确设置系统时钟,组织或安全域内的所有相关信息处理设施的时钟应使用已设的精确时间源进行同步,以确保日志记录时间的准确。
7访问控制安全策略
第五十条按照正式的用户注册及注销的程序,对所有信息系统及服务的访问权利进行授予和注销。
第五十一条所有管理性的特殊访问账户的用户必须有严格限制,使用管理性的特殊访问账号的个人都必须避免滥用职权,并且必须在网络与信息安全领导小组的指导下使用。
第五十二条共有的管理性的特殊访问账号的口令在人员离职或发生变更时必须更改。
第五十三条在系统只有一名管理员的情况下,口令必须由第三者进行恰当的保管,以便在紧急情况下其他人可以访问系统。
第五十四条当因内外部审核、软件开发、软件安装或其他规定需求而需要特殊访问账号时,账号必须被授权;创建的日期期限必须明确;工作结束时必须删除。
第五十五条创建的所有帐号都必须适用于系统和服务的要求和批准。
第五十六条原则上所有帐号都必须使用分配的用户进行唯一性标识。
第五十七条系统管理员或其他指定人员:
负责删除个人账号;必须将修改用户账号相关信息的过程文件化;必须评审现有账号的有效性,并将此过程文件化,当经授权管理者要求时,必须提供他们管理的系统账号的列表,必须与授权的管理者合作调查安全事故。
第五十八条所有口令都必须依据网络与信息安全领导小组规定的下列规则建立和执行:
必须定期更改;必须符合规定的最小长度;必须是字母和数字字符的组合;不能轻易联想到帐号所有者的特性:
用户名、绰号、亲属的姓名、生日等;不能用字典中的单词或首字母缩写。
第五十九条用户的帐号口令不能泄露给任何人,部门主管不能询问用户的帐户口令。
第六十条如果怀疑口令的安全性,应立即进行更改。
第六十一条管理员不能为了使用信息资源规避口令。
第六十二条用户不能通过自动登录的方式绕过口令登录程序。
第六十三条计算机设备如果无人值守必须启动口令保护屏保或注销。
第六十四条网络管理员拥有网络基础设施的控制权并对其负责,而且还要对基础设施的发展和增加进行管理。
第六十五条所有网络连接设备必须按照规范进行配置。
第六十六条所有连接到网络的硬件设备必须服务我院的管理和监控。
第六十七条在没有授权的情况下,不能对活动的网络管理设备的配置进行更改。
第六十八条支持协议的网络地址由网络管理员集中分配、注册和管理。
第六十九条我院使用的安全设备,如防火墙必须按照防火墙实施规范文件进行安装和配置。
第七十条未经我院批准不可以安装路由器、交换机、集线器、无线访问端口或软件提供网络服务。
第七十一条使用安全登录程序来控制对操作系统的访问,以减少未授权访问的机会。
第七十二条通过提供给用户唯一的识别码(用户ID)和选择一种适当的鉴别技术(密码手段)证实用户身份的方法,对访问操作系统的用户进行用户识别和鉴别。
第七十三条应严格控制对可能越过系统和应用程序控制的工具程序的使用,防止系统工具的滥用。
第七十四条在访问操作系统过程中,对于不活动的会话需要设定在一个的不活动周期后关闭,以防止未授权人员访问和拒绝服务攻击。
第七十五条基于各个业务应用要求,应严格限制用户对信息和应用系统功能的访问权限,防止对信息系统的未授权访问。
第七十六条需要连接互联网的计算机系统必须经书面申请和批准。
第七十七条对无人看守的笔记本电脑必须实施物理保护,必须放在带锁的办公室、文件柜内等。
8外包软件开发与维护策略
第七十八条在新的信息系统或增强已有信息系统的业务需求陈述中,需要识别和明确对安全控制的相关需求。
第七十九条对于输入应用系统的数据,需要加以验证,以确保数据是正确且适当的。
第八十条在设计和实施应用系统或业务系统的过程中,要求有控制措施,以检查系统运行的有效性和完整性,从而将系统运行失败的风险降到最低。
第八十一条在业务过程中,需要明确所有的需要完整性保护的信息,通过安全风险评估确认完整性保护需求,使用密码技术手段对完整性保护进行鉴别,从而保护信息的完整性。
第八十二条当需要通过网络通信方式进行业务,或通过网络来传输业务数据时,需要使用密码控制方法来实现通信安全或数据保护,主要包括密钥管理方法、密码策略实施的角色分配与安全职责等方面,以确保数据的保密性、完整性和不可否认性。
第八十三条在业务过程中,要求使用适当的密钥管理措施,主要包括分开密钥证书的生成、使用、变更、撤销、恢复、归档等操作,以防止使用的密码或密钥被修改、遗失和毁坏,从而防止通过密钥对信息的未授权访问。
第八十四条在操作系统上安装或升级软件时,需要按照既定流程来进行控制,使运行系统被损坏的风险减到最小。
第八十五条需要从访问控制程序是否适用测试应用系统、访问测试系统授权、测试后清除运行信息以及运行信息的拷贝和使用等几方面考虑对系统测试数据的保护。
第八十六条严格限制对程序源代码和相关事项(包括设计、规范、证明设计和确认设计)的访问,以防止带入一些非授权功能,避免对源代码的无意识的修改。
第八十七条在引进新的系统和对已有系统进行变更时,要按照既定的变更控制过程来进行,使信息系统的损坏减到最小。
第八十八条当操作系统发生变更后,应对一些关键业务应用系统进行审查和测试,以确保对业务操作或信息安全没有负面影响。
第八十九条定期评估现有信息系统的技术脆弱性,并采取打补丁等控制措施来处理相关风险。
9信息安全事故管理策略
第九十条遵照信息安全事故报告机制,报告可能对海关学院的信息化资产安全造成影响的不同种类的安全事故和弱点,并确保所有员工、合同方和第三方都遵守执行这套报告程序。
第九十一条信息安全事故和弱点应及时向信息安全领导小组报告,确保所有员工、合同方和第三方都获知安全事故内容。
第九十二条一旦信息安全事故和弱点报告上来,要立即明确责任,按照程序进行有效处理,启动适当的事故管理活动,包括事故管理程序中规定的恢复活动,确保能对信息安全事故做出快速、有效和有序的反应。
第九十三条信息安全领导小组在报告问题的工作人员协助下,负责启动、完成并文件化事故调查过程。
第九十四条应及时对信息安全事故的类型、频率和影响等进行评估,并采取适当措施防止事故再次发生。
第九十五条在事故调查过程中,信息安全领导小组负责搜集和整理实物和电子证据,证据的存储和处理要符合相关司法程序中的要求。
第九十六条在不牵涉到法律强制的地方,信息安全领导小组可以向海关学院领导建议惩戒措施,在牵涉到法律强制的地方,信息安全领导小组负责与外部组织以及法规强制部门的协调沟通。
10业务连续性管理策略
第九十七条为满足关键业务活动的连续性对信息安全的需求,要求海关学院人员执行和维护既定的业务连续性管理过程。
这个过程包括资产识别、业务影响分析、控制措施、计划测试与更新等。
第九十八条在日常的业务活动中,需要识别设备故障、人为错误、盗窃、火灾、自然灾害和恐怖事件等能引起业务流程中断的事件,定期进行风险评估,确定这些中断发生的概率和影响、损坏程度和复原所需时间。
第九十九条需要根据关键业务活动的目标制定业务连续性计划,并且需要满足信息安全相关要求,以确保在关键业务过程中断或失败后能够在要求的水平和要求的时间内恢复信息的可用性。
第一百条需要维持一个确定的业务连续性计划框架,应包含相关信息安全需求,并确保由此制定出的所有计划是一致的。
每一个业务连续性计划都需要说明计划实施的可行方法,指定计划责任人,并确定优先次序以进行测试和维护。
第一百零一条业务连续性计划要定期测试和更新,以确保其及时性和有效性。
10合规性管理策略
第一百零二条遵守所有与信息安全相关的法律法规、合同和安全要求,由科技处负责定期收集和整理,将这些内容形成文件并保持更新。
第一百零三条现有或新增的信息处理系统,必须符合知识产权相关的法律法规和合同要求。
第一百零四条各部门应按照相关法律法规要求,明确规定重要记录的保存期限并提供适当的保护,防止丢失、损坏和伪造。
第一百零五条各部门应按照国家有关规定对个人信息进行妥善管理与保护,防止丢失或泄露个人秘密。
第一百零六条所有信息处理设备,只允许完成岗位相关的信息处理任务或工作。
第一百零七条采用的加密技术必须符合国家相关法律的规定。
第一百零八条每年进行一次管理评审,以确保安全措施得到有效的实施和保持,符合已确定的信息安全要求,并输出相应的报告和表单。
第一百零九条每年进行一次技术符合性内部审查,确定信息系统是否符合安全实施标准,主要确定信息处理系统软硬件的控制措施得到实施,并保存审核的记录,对于不符合项需要给出纠正,并输出相应的报告和表单。
第一百一十条严格按照制定的审核程序对信息系统进行审核,在审核前必须制定详细的计划,尽量减少对业务处理的影响。
第一百一十一条对审计工具需加以保护,在不使用审计工具时,应将工具和工具产生的审计数据从服务器里彻底删除,将审计数据保存在特别保护的光盘中,防止任何可能的对工具及数据的滥用。
10附则
第一百一十二条本文件由科技处负责制定、解释和修改。
第一百一十三条本文件自发布之日起执行。
第一百一十四条
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 上海 海关 学院 信息 安全管理 方针 科技