信息安全总方针

发布者:信息化建设与管理中心发布时间:2015-09-16浏览次数:631

南京特殊教育师范学院信息安全管理体系文档信息安全总方针







南京特殊教育师范学院信息安全管理体系文档

信息安全总方针


(初稿V1.0





















南京特殊教育师范学院




编制说明

随着南京特殊教育师范学院各信息系统功能与规模的日益完善与扩大,为加强信息安全管理能力,提高信息系统安全服务水平,保障南京特殊教育师范学院各信息系统的安全运转,特制定南京特殊教育师范学院信息安全管理体系规范文档。

南京特殊教育师范学院信息安全管理体系文档主要依据ISO/IEC27001:2005《信息系统安全管理规范指南》、GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》、GB/T22240-2008《信息安全技术信息系统安全等级保护定级指南》和《教育行政部门及高等院校信息系统安全等级保护定级指南》,同时参考了国际和国内的其它信息安全标准,以及国家相关法律法规,并结合南京特殊教育师范学院的实际情况制定。

最终目标是建设完善南京特殊教育师范学院的信息安全管理体系,是南京特殊教育师范学院对信息系统及第三方供应商进行信息安全管理的重要依据,各相关单位必须结合具体情况将信息安全管理落实到实际的工作中。

南京特殊教育师范学院信息安全管理委员会负责对本规范进行解释和修改。

本规范自公布之日起实施。


第1条总则

  1. 南京特殊教育师范学院各信息系统目前已实现教学和行政业务的数字化、网络化,信息系统面临越来越多的安全风险和挑战。

  2. 为保证南京特殊教育师范学院信息系统安全,特制定以本文档为总纲的信息安全策略体系。

  3. 信息安全策略体系是由信息安全总纲为指导的一系列安全策略文档,结合有效的发布、执行和定期的检查等机制保证其对系统安全的指导和支持作用。

  4. 信息安全策略体系目标是保证南京特殊教育师范学院的信息系统的机密性(Confidentiality)、数据完整性(Integrity)和可用性(Availability)。

  5. 本策略体系适用于南京特殊教育师范学院各类信息系统的规划、建设及运维管理的整个生命周期。

第2条简介

  1. 信息安全总方针是纲领性的安全策略主文档,陈述南京特殊教育师范学院信息安全总目标、管理意图和指导原则,是南京特殊教育师范学院信息安全管理的根本性和指导性的策略。

  2. 南京特殊教育师范学院所有其它与信息安全相关的管理规定、技术指南、操作手册、工作细则、实施流程等文档都应遵照信息安全总方针定义的安全目标,不与之发生违背和抵触。

  3. 南京特殊教育师范学院的信息安全总方针应以恰当、易得、易懂的方式向预期使用者进行传达。信息安全总方针是建立策略体系,指导安全工作的基础。

  4. 安全策略文档覆盖以下的安全领域:安全策略、安全组织、资产分类及控制、人员安全、物理和环境安全、通信和操作管理、系统访问控制、系统开发与维护、业务保障连续性规划、安全审计、考核评估。

第3条组织和人员

  1. 建立和健全信息安全组织,设立由高层领导组成的信息安全委员会,对于信息安全方面的重大问题做出决策,并支持和推动信息安全工作在整个南京特殊教育师范学院范围内的实施。

  2. 南京特殊教育师范学院应该设置相应的信息安全管理机构,负责南京特殊教育师范学院信息系统的信息安全管理工作,各信息系统应配备专职安全管理员,由安全管理员具体执行本系统信息安全方面的相关工作。

  3. 南京特殊教育师范学院的安全管理机构职责如下:

  1. 根据本策略制定南京特殊教育师范学院系统的信息安全管理制度、标准规范和执行程序;

  2. 监督和指导信息安全工作的贯彻和实施;

  3. 考核和检查南京特殊教育师范学院各信息系统的信息安全工作情况,定期组织进行安全风险评估,并对出现的安全问题提出解决方案;

  4. 负责安全管理员的选用和监督;

  5. 参与南京特殊教育师范学院信息系统建设的方案论证,并提出相应的安全方面的建议;

  6. 南京特殊教育师范学院信息系统验收时,对信息安全方面的验收测试方案进行审查并参与验收;

  7. 信息安全管理机构由专职安全人员组成,专门负责安全体系的建设和维护。

  1. 制定并实施安全培训和教育计划,进行安全意识、技能和安全制度培训。

  2. 对于员工违反安全策略和安全流程,制定相应的纪律处分规定进行处罚。

第4条信息资产管理

  1. 信息资产鉴别和分类是整个南京特殊教育师范学院信息安全管理的基础。

  2. 制定信息资产鉴别和分类制度,鉴别信息资产的价值和等级,维护包含所有信息资产的清单。

  3. 建立信息分类方法和制度,根据机密程度和重要程度对数据和信息进行分类。

第5条安全运行管理

  1. 安全运作管理是整个信息安全工作的日常体现和执行环节。应该在本信息安全策略的指导下,制定并遵照安全维护的操作流程,实施信息安全运作。

  2. 应进行安全风险管理,以可以接受的成本或最小成本,确认、控制、排除可能影响南京特殊教育师范学院信息系统的安全风险,并将其带来的危害最小化。

  3. 定期进行安全风险评估,通过对安全管理策略、信息系统结构、网络、系统、数据库、业务应用等方面进行安全风险评估,确定所存在的安全隐患和安全风险,了解安全现状以及如何解决这些问题的方法。

  4. 对于南京特殊教育师范学院信息系统中重要服务器和网络设备,制定安全配置标准和规定来规范安全配置管理工作,建立配置更改管理制度,并进行定期的审计和检查。

  5. 对于外包开发的业务系统软件,应制定业务软件安全标准来进行规范,要求有完善的鉴别和认证、访问控制和日志审计功能,数据验证功能,杜绝木马和后门。建立源代码控制和软件版本控制机制。

  6. 建立第三方安全管理的规范和制度,并要求其严格遵守。严格控制第三方对南京特殊教育师范学院信息系统的访问,并在合同中规定其安全责任和安全控制要求,以维护第三方访问的安全性。

  7. 对于意外、灾难和入侵的处理,建立包含事件鉴别、事件恢复、犯罪取证、攻击者追踪的安全事件的紧急响应体系和机制,制定并遵照正确的安全事件处理流程,尽量减小安全事故和故障造成的损失,监督此类事件并从中吸取教训。

  8. 进行物理安全和环境安全的管理,确保机房管理制度得到执行。

第6条信息安全建设

  1. 南京特殊教育师范学院应加强信息安全建设,应该包含鉴别和认证,访问控制,审计和跟踪,响应和恢复,内容安全等五个方面的安全技术要素。

  2. 建立鉴别和认证的标准和机制,建立用户和口令管理的标准和制度。

  3. 建立完善的网络和系统的访问控制标准和机制,加强权限管理,进行网络分段与网段隔离,严格控制互联网出入口,严格管理远程访问和远程工作。

  4. 建立有效的审计和跟踪机制,建立日志存储、管理和分析机制,提高对安全事件的审计和事后追查能力,提高威慑力。

  5. 建立响应和恢复的标准和机制,建立有效的机制和技术手段来发现、监控、分析和处理安全事件和安全违背行为。

  6. 建立内容安全的标准和机制,保护软件和信息的完整性。建立针对恶意代码和病毒的保护和侦测措施,建立并遵守软件许可策略。

第7条业务连续性管理

  1. 应该实施业务连续性管理程序,预防和恢复控制相结合,将灾难和安全故障(可能是由于自然灾害、事故、设备故障和蓄意破坏等引起)造成的影响降低到可以接受的水平,以防止业务活动中断,保证重要业务流程不受重大故障和灾难的影响。

  2. 应该分析灾难、安全故障和服务损失的后果。应该制定和实施应急计划,确保能够在要求的时间内恢复业务流程。应该维护和执行此类计划,使之成为其它所有管理程序的一部分。

第8条安全审计

  1. 安全审计可由南京特殊教育师范学院内部的独立审计组织,或外聘的专业审计机构完成。审计人员应接受审计培训,掌握一定的技能和经验。当采用外聘审计机构时,应充分考虑其风险,并采取相应的控制措施。

  2. 为加强安全策略和控制措施的有效落实,系统责任人和维护人还应开展自查工作,并将之作为日常工作的一部分。

  3. 应采用以下措施控制安全审计过程。严密保护审计记录,防止审计记录用于不良目的,避免泄露被审计对象的安全属性遭到破坏。同时应严密保护审计工具,防止任何不当使用行为对系统的安全性造成威胁。

第9条审计和执行

  1. 为了确保安全策略系列文档的可用性,需要定期进行审查/更新或因为变更而进行更新,应建立定期审查/更新和变更更新的制度和机制,并执行。

  2. 本策略由南京特殊教育师范学院每年检核一次,根据检核结果进行修订,修订后重新颁布执行;

  3. 本策略的解释权归南京特殊教育师范学院

  4. 本策略自签发之日起生效。


Copyright © 南特信息化建设与管理中心 版权所有.   苏ICP备11063222号-1  苏公网安备 32011302320123号