涉密计算机安全策略文件

涉密计算机安全策略文件

ID:20460030

大小:38.52 KB

页数:16页

时间:2018-10-10

涉密计算机安全策略文件_第1页
涉密计算机安全策略文件_第2页
涉密计算机安全策略文件_第3页
涉密计算机安全策略文件_第4页
涉密计算机安全策略文件_第5页
资源描述:

《涉密计算机安全策略文件》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、航天天绘科技有限公司涉密计算机及信息系统安全策略文件1概述涉密计算机及信息系统安全策略文件属于顶层的管理文档,是公司网络与信息安全保障工作的出发点和核心,是公司计算机与信息系统安全管理和技术措施实施的指导性文件。涉密计算机及信息系统安全策略文件是公司计算机和信息系统全体管理和使用人员必须遵循的信息安全行为准则,由公司信息安全管理部门制订及解释,由公司保密委员会审批发布,并由信息安全管理部门组织公司全体人员学习与贯彻。公司涉密计算机及信息系统涉及到存储、传输、处理国家秘密、公司商业秘密和业务关键信息,关系到公司的形象和公

2、司业务的持续运行,必须保证其安全。因此,必须从技术、管理、运行等方面制定确保涉密计算机和信息系统持续可靠运行的安全策略,做好安全保障。本策略文件主要内容包括:人员安全、资产分类与控制、物理和环境安全、系统开发和维护、访问控制、个人计算机安全、风险管理、业务持续性管理与灾难恢复、计算机与网络运行管理、遵循性等十个方面。2适用范围2.1本策略所称的涉密计算机和信息系统指公司所有通过计算机及信息系统存贮、处理或传输的信息及存贮、处理或传输这些信息的硬件、软件及固件。2.2本策略适用于与公司涉密计算机及信息系统相关的所有部门及

3、人员。3目标制定涉密计算机及信息系统安全策略的目标就是确保公司掌握的国家秘密、公司商业秘密和业务关键信息的安全性,并通过一系列预防措施将信息安全可能受到的危害降到最低。信息安全管理应在确保信息和计算机受到保护的同时,确保计算机和信息系统能够在允许的范围内正常运行使用。同时,本策略的目的也是让所有员工能够了解信息安全问题以及明确各自的信息安全职责,严格遵守本安全策略,并遵守国家相关的计算机或信息安全法律要求。4组织4.1保密委员会是计算机及信息系统安全管理的领导机关,负责领导信息安全管理体系的建立和信息安全管理的实施,主

4、要包括:u提供清晰的指导方向,可见的管理支持,明确的信息安全职责授权;u审查、批准信息安全策略和岗位职责;u审查业务关键安全事件;u批准增强信息安全保障能力的关键措施和机制;u保证必要的资源分配,以实现数据有效性以及信息安全管理体系的持续发展。4.2信息安全管理部门具体负责建立和维持信息安全管理体系,协调相关活动,主要承担如下职责:u调整并制定所有必要的信息安全管理规程、制度以及实施指南等;u提议并配合执行信息安全相关的实施方法和程序,如风险评估、信息管理分层等;u主动采取部门内的信息安全措施,如安全意识培训及教育等;

5、u配合执行新系统或服务的特殊信息安全措施;u审查对信息安全策略的遵循性;u配合并参与安全评估事项;u根据信息安全管理体系的要求,定期向上级主管领导和保密委员会报告。5分层管理与控制5.1公司计算机及信息系统管理分为涉密计算机管理、内部网络(局域网)及计算机信息管理、互联网计算机信息管理三个管理层次。5.2涉密计算机只能处理涉及国家秘密的信息,实行物理隔离管理,只能由公司涉密人员使用,由公司保密员管理。涉密计算机信息数据必须被保护以防止被泄漏、破坏或修改。5.3内部网络(局域网)及计算机配置加密管理措施,与互联网隔离,配

6、置保密管理措施,只能通过局域网传输、储存技术文档、软件等涉及公司商业机密信息。上述信息必须定期备份进行保护,以免破坏和非授权修改。5.4互联网计算机主要处理来自于外部资源的普通信息,配置上网行为管理措施,同样在信息安全防护上进行安全考虑。5.5上述计算机及信息系统根据分层次管理的要求应当依据其分类进行物理标记。6人员安全策略为避免信息遭受人为过失、窃取、欺骗、滥用的风险,应当识别计算机及信息系统系统内部每项工作的信息安全职责并补充相关的程序文件。公司全体人员都应该了解计算机及系统的网络与信息安全需求,公司必须为全体人员

7、提供足够的培训以达到该安全目的,并为他们提供报告安全事件和威胁的渠道。6.1工作定义及资源的安全工作人员从事或离开岗位时必须进行信息安全考虑,相关的安全事项必须包括在工作描述或合同中。包括:u对涉及访问秘密或关键信息,或者访问处理这些信息的系统的工作人员应进行严格审查和挑选;u对信息系统具有特殊访问权限的工作人员应该签署承诺,保证不会滥用权限;u当工作人员离开公司时应该移交信息系统的访问权限,或工作人员在公司内部更换工作岗位时应该重新检查并调整其访问权限。6.2员工培训公司全体人员应了解计算机及信息系统的安全需求,并对

8、如何安全地使用信息及相关系统和工具、信息安全策略和相关管理规定接受培训,熟悉信息安全的实施并加强安全意识。6.3事件报告必须建立有效的信息反馈渠道,以便于公司人员一旦发现安全威胁、事件和故障,能及时向有关领导报告。6.4信息处理设备可接受的使用策略公司禁止工作人员滥用计算机及信息系统的计算机资源,仅为工作人员提供工作所需的信息处理

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。