信息安全方针及安全策略

1、总则

1.1、目的

为了深入贯彻落实国家信息安全政策文件要求和信息安全等级保护政策要求，加强网络安全与信息化管理部门的信息安全管理工作，增强全员信息安全意识，建立网络安全保障体系，明确网络安全管理职责，切实提高信息系统安全保障能力，保障信息系统的健康运行，结合XXXXX单位实际工作情况，制定本信息安全方针及安全策略。

1.2、范围

本方针适用于XXXXX单位信息安全管理活动。

1.3、职责

由领导和各部门负责人为主体的信息安全领导小组负责本方针文件的审核和修订，由网络安全与信息化管理部门为主体的信息安全工作小组负责本方针文件的贯彻和执行。

1.4、符合性

本方针文件主要遵循《信息安全技术信息系统安全等级保护基本要求（GBT 22239-2019）》、《中华人民共和国网络安全法》、《国家电子政务外网网络与信息安全管理暂行办法》、《广东省计算机信息系统安全保护条例》、《信息安全等级保护管理办法》、《广州市电子政务网络安全管理办法》等法律法规标准的要求，同时在部分环节也符合以下两个国际标准。

ISO/IEC 27001 信息安全管理体系要求

ISO/IEC 27002 信息技术—安全技术—信息安全管理实践规范

2、信息安全方针

XXXXX单位总体安全方针为：提高人员信息安全风险意识，确保信息系统安全；强化信息安全管理，坚持以人为本。

3、方针主要内容

3.1、主要安全策略

1）信息安全是相关部门正常经营的重要保障，网络安全与信息化管理部门遵循“同步规划、同步建设、同步测评、同步验收、同步运维”的建设原则，通过风险评估和风险管理，采取一切可能的措施，加强信息安全的建设和管理。

2）设立信息安全领导小组，信息安全领导小组是信息安全管理的最高机构；网络安全与信息化管理部门、运维人员、系统管理员等是信息安全日常工作和执行机构，负责信息系统及信息安全的日常维护和管理工作。

3）全体人员均有参与信息安全管理、保护及相关部门信息安全的义务和责任。全体职工应积极参加各种形式的信息安全教育和培训，遵守相关国家法律、法规、部门规章和行业规范，遵守信息安全管理制度。

4）承载信息系统的所有软硬件设施及物理环境均应受到适当的保护。

5）采取必要的措施保护信息的机密性，以防止未经授权的不当存取；同时应确保信息不会在传递的过程中，或因无意间的行为透漏给未经授权的第三者。

6）采取必要的措施确保信息的完整性，以防止未经授权的篡改。

7）采取必要的措施确保信息的可用性，以确保使用者需求可以得到满足。

8）采取必要的措施确保信息的连续性，以确保业务持续可用。

9）相关的信息安全措施或规范应符合现行法令、法规的要求。

10）全体人员都有责任通过适当的上报机制，报告所发现的信息安全意外事故或信息安全弱点。

11）任何危及信息安全的行为，都应诉诸适当的惩罚程序或法律行动。

3.2、信息安全目标

最大限度保证信息系统的完整性、保密性和可用性免遭破坏。确保每年信息安全重大事故（III级）的发生频率为可控范围内的最低，目标为“0”次。

3.3、信息安全管理框架

XXXXX单位的信息安全管理框架是根据GBT 22239-2019 《信息安全技术信息系统安全等级保护基本要求》和ISO/IEC 27001《信息安全管理体系要求》中的控制目标和控制项，并结合XXXXX单位的实际情况所建立的。符合“PDCA”的管理模式。

1. P（PLAN）过程是计划过程，指统一规划和设计XXXXX单位的信息安全目标和安全控制策略，指导XXXXX单位整体的信息安全管理工作。
2. D（DO) 过程是执行过程，指网络安全与信息化管理部门在开展信息安全工作中需要落实的管理要求，包括信息安全组织制度管理、人员安全管理、系统建设安全管理、信息系统运维管理、变更管理和信息资产安全管理等，指导日常的信息安全管理工作。
3. C（CHECK）过程是检查过程，指网络安全与信息化管理部门开展信息安全工作的持续改进机制，通过信息安全风险评估、等级保护测评、检查，监督和审核等方式，指导信息安全管理体系控制要求不断完善。
4. A（ACTION）过程是处置过程，指网络安全与信息化管理部门的信息安全事件处置和应急预案，通过发现和总结信息安全问题，形成新的管理办法和控制措施，确保信息安全管理体系的适用性和有效性。

XXXXX单位信息安全管理框架通过PDCA各环节的不断完善，实现信息安全管理体系自身的持续改进，从而提高信息安全管理体系的全面性、有效性和适用性。

3.4、信息安全管理原则

1）基于安全需求原则：XXXXX单位的信息系统按照等级保护要求，根据其在国家安全、经济建设、社会生活中的重要程度，遭受破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等，实现不同级别的安全保护能力。XXXXX单位的安全需求主要参照三级等级保护要求，同时考虑可能受到的威胁及面临的风险分析安全需求，遵从三级等级保护的规范要求，从全局上恰当地平衡安全投入与效果；

2）主要领导负责原则：信息安全领导小组的主要领导确立XXXXX单位的信息安全保障的宗旨和政策，负责提高全员的安全意识，组织有效的安全保障队伍，调动并优化配置必要的资源，协调安全管理工作与各部门工作的关系，并确保其落实、有效；

3）全员参与原则：与信息系统相关的所有运行维护人员应普遍参与信息系统的安全管理，并与相关方面协同、协调，共同保障信息系统安全；

4）持续改进原则：安全管理是一种动态反馈过程，贯穿整个安全管理的生命周期，随着安全需求和系统脆弱性的时空分布变化，威胁程度的提高，系统环境的变化以及对系统安全认识的深化等，应及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级，维护和持续改进信息安全管理体系的有效性；

5）依法管理原则：信息安全管理工作主要体现为管理行为，应保证信息系统安全管理主体合法、管理行为合法、管理内容合法、管理程序合法。对安全事件的处理，应由授权者适时发布准确一致的有关信息，避免带来不良的社会影响；

6）选用成熟技术原则：成熟的技术具有较好的可靠性和稳定性，采用新技术时要重视其成熟的程度，并应首先局部试点然后逐步推广，以减少或避免可能出现的失误；

7）管理与技术并重原则：坚持积极防御和综合防范，全面提高信息系统安全防护能力，立足国情，采用管理与技术相结合，管理科学性和技术前瞻性结合的方法，保障信息系统的安全性达到所要求的目标。

4、附则

本制度由XXXXX单位负责解释，自发布之日起实施。