ISMS-02-01-V1.0 信息安全方针
信息安全方针
第一章 总则
第一条 目的
为保证思度安全运营中心信息资产的保密性、完整性和可用性,保障思度安全运营中心信息系统安全稳定运行,确保各项业务顺利开展,特制定本方针。
第二条 适用范围
本信息安全方针适用于思度安全思度安全运营中心,是思度安全运营中心所有信息安全标准、规范、流程必须遵从的纲领性文件。
第二章 信息安全方针
第三条 安全方针
思度安全运营中心的信息安全方针是:预防为主,分级保护,分层负责,持续改进。
第四条 预防为主
思度安全运营中心信息安全工作贯彻预防为主的指导思想,采取各项主动预防措施,建立信息安全和操作风险防控体系,增强全员安全意识,完善应急机制,加强内部安全检查,做到防患于未然。
第五条 分级保护
思度安全运营中心按照信息系统的重要程度划分相应等级,根据信息系统的等级采取相应的保护措施,保证思度安全运营中心各信息系统得到适当等级的保护。
第六条 分层负责
思度安全运营中心建立层次化的信息安全组织,确保责任逐层分解并落实。
第七条 持续改进
思度安全运营中心按照PDCA模型进行信息安全管理的持续改进,保证思度安全运营中心的信息系统在动态变化的过程中始终得到全面的保护。
第三章 信息安全管理原则
第八条 责任制原则
思度安全运营中心信息安全管理工作实行"操作落实到人,布置落实到组,检查落实到中心,监督落实到专业组,考评落实到思度安全运营中心"的五级风险防范责任体系。
第九条 规范化原则
遵循适用法律法规、监管部门及总行的要求,参照行业规范及国内外的信息安全标准。
第十条 统筹性原则
信息安全管理工作贯穿于思度安全运营中心运行生产的全过程,实行技术和管理相结合,做到统筹兼顾。
第十一条 实用性原则
在确保信息安全的同时,各项控制措施注重实效性和可操作性。
第四章 信息安全组织机构
第十二条 组织架构
思度安全运营中心信息安全组织框架包括管理决策、监督检查、贯彻执行三个方面的职能。具体内容详见《信息安全组织建设管理规定》。
第五章 信息安全基本策略
第十三条 组织安全
目标:保证思度安全运营中心组织的安全;保持被外部各方访问、处理、沟通的思度安全运营中心信息及信息处理设施的安全。 策略:明确信息安全职责,严格执行审批授权;识别并定期评审反映思度安全运营中心信息保护需要的保密或非扩散的需求;识别来自涉及外部各方的业务过程的信息和信息处理设施的风险,并在允许访问前实施适当的控制。
第十四条 资产安全
目标:识别思度安全运营中心具有重要价值的信息资产,落实对这些信息资产的管理,并确保对这些信息资产的有效使用。 策略:对信息资产进行识别和管理;根据不同类型信息资产的特征,制定并实施正确使用信息资产的操作规程。
第十五条 分级保护
目标:按信息资产的重要程度对其进行分级保护。 策略:基于信息系统价值和等级划分制定不同的安全规范与策略,根据不同信息资产所需的保护要求,进行相应程度的保护。
第十六条 人员安全
目标:降低人为差错、盗窃、欺诈或滥用设施的风险。 策略:制定并实施对员工的任用前、任用中、任用后各阶段的规定,确保员工行为符合要求并能够忠于职守;制定并实施对外部人员合作前、合作中和合作结束后各阶段的信息安全管理要求,确保外部人员在思度安全运营中心工作期间履行其信息安全义务。
第十七条 安全意识
目标:确保思度安全运营中心员工和外部人员认识到信息安全的重要性,并在工作中贯彻执行信息安全方针,以降低信息安全事件的发生率。 策略:对思度安全运营中心员工和外部人员进行充分的信息安全意识培训,明确员工在工作中的信息安全职责,使其掌握所处岗位的信息安全技能;明确外部各方在思度安全运营中心工作时所应遵循的信息安全要求和所应履行的信息安全责任和义务。
第十八条 安全区域
目标:防止未经授权的活动对安全区域的访问、破坏及干扰。 策略:明确安全区域的边界,并采取适当的控制措施,如:物理隔离、门禁系统、视频监控等。
第十九条 设备设施安全
目标:防止信息处理设施的损失、损坏或信息泄露。 策略:准确识别并管理各类设备设施,并将其放置于适当的区域。
第二十条 网络安全管理
目标:维护网络服务的可用性,保证通过网络传输的信息的保密性和完整性。 策略:实施网络安全管理,划分网络安全区域,对网络设备、网络活动进行监控和管理,制定网络安全策略和操作规程,对网络信息及其支持设施进行保护。
第二十一条 操作安全
目标:确保设备设施和信息系统的安全操作。 策略:为所有设备设施和信息系统制定操作规程,建立事前防范、事中控制、事后纠正的动态管理机制,采用多层次的监督与检查措施。
第二十二条 岗位安全
目标:确保重要岗位职责分离且有AB角互为备份。 策略:以权限最小化原则进行授权,根据风险控制原则制定岗位职责、设置岗位备份,并对已获授权的部门和人员建立有效的评价和反馈机制。
第二十三条 恶意软件管理
目标:降低恶意软件对思度安全运营中心的影响。 策略:建立有效的计算机病毒预防、发现以及查杀机制,实施防止恶意软件的侦查与防护控制,并提高员工的防范意识。
第二十四条 数据存储
目标:降低由于未授权访问、信息泄露、数据损坏对数据造成的威胁。 策略:建立数据存储的制度、流程和操作规程;采用适当的数据加密技术以保护重要数据。
第二十五条 数据备份
目标:保证备份数据的完整性和可用性。 策略:根据备份策略对数据进行备份并定期对备份数据进行有效性测试。
第二十六条 数据传输
目标:防止对传输中数据的未授权访问、修改、移动或破坏。 策略:建立正式的交换策略和操作规程,保护各类交换信息的安全;明确介质管理要求,定期对介质实施检查,当介质不再需要时,应按照流程进行安全可靠的销毁。
第二十七条 第三方服务交付管理
目标:确保第三方交付的服务符合协议要求 策略:检查协议的要求,监管协议执行的一致性,以确保交付的服务满足与第三方商定的所有要求。
第二十八条 系统补丁管理
目标: 确保思度安全运营中心信息系统适时更新必要的系统补丁,以保证信息系统的安全。 策略:制定并实施补丁管理策略和操作规程。
第二十九条 访问控制策略
目标:对信息资产的访问进行控制,确保隔离运行、用户唯一、权限最小、职责分离、默认拒绝原则的有效落实。 策略:加强对思度安全运营中心资产的访问控制管理,规范用户管理、密码管理、系统配置等要求,并提出访问控制管理的各项基本要求。
第三十条 用户权限管理
目标:确保合法用户获取适当的访问权限,防止用户非授权访问。 策略:通过实施用户管理,确保相关人员获取适合其工作职责的访问权限,形成用户访问权限的清单并定期审核,用户离岗或离职时及时进行权限的调整和清除。
第三十一条 信息安全事件
目的:把信息安全事件的损害降到最低程度,监视并持续改进。 策略:信息安全事件应进行集中管控、统计、分析,并采取相应的措施,建立和完善信息安全事件的监测、报告、预警、处置、整改机制。
第三十二条 业务连续性
目标:防止业务活动的中断,保护关键业务过程不会受信息系统重大失效或自然灾害的影响,并确保及时恢复。 策略:识别可能导致业务过程中断的隐患,以及这类中断发生的可能性和影响、中断的信息安全后果;制定连续性计划和实施应急演练,以确保在关键业务过程中断或失效后能够根据要求及时恢复,并确保信息的可用。
第三十三条 符合法律法规要求
目标:保证日常工作符合法律法规的要求。 策略:通过建立制度完善信息安全相关法律法规收集和识别的要求,并在各项规章制度中体现相应要求并开展培训,使员工明确相关法律法规要求并遵照执行。
第三十四条 风险评估
目标:对影响信息资产的风险进行识别和评估,并通过执行适当的控制措施降低风险发生的可能性。 策略:对思度安全运营中心的重要信息资产进行威胁和弱点的分析和评估,制定并执行风险处理计划。
第六章 附则
本规定由思度安全运营中心制定、修订和解释。 本文件自发布之日起生效。