1、1. 總體目標以滿足業務運行要求，遵守行業規程，實施等級保護和風險管理，確保信息 安全以和實現持續改進的目的等內容作為本單位信息安全工作的總體方針。 以信 息網絡的硬件、 軟件和其系統中的數據受到保護， 不受偶然的或者惡意的原因而 遭到破壞、 更改、泄露，系統連續可靠正常地運行， 信息服務不中斷為總體目標。2. 范圍本案適用于某單位信息安全整體工作。在全單位范圍內給予執行，由某部門 對該項工作的落實和執行進行監督， 由某部門配合某部門對本案的有效性進行持 續改進。3. 原則以誰主管誰負責為原則（或者采用其他原則例如： “整體保護原則”、“適度保 護的等級化原則”、“分域保護原則”、“動態保護原

2、則”、“多級保護原則”、“深度 保護原則”和“信息流向原則”等） 。4. 策略框架建立一套關于物理、主機、網絡、應用、數據、建設和管理等六個方面的安 全需求、 控制措施和執行程序， 并在關聯制度文檔中定義出相關的安全角色， 并 對其賦予管理職責。“以人為本”，通過對信息安全工作人員的安全意識培訓等方 法不斷加強系統分布的合理性和有效性。4.1 物理方面依據實際情況建立機房管理制度， 明確機房的出入管理辦法， 機房介質存放方式，機房設備維護周期和維護方式， 機房設備信息保密要求， 機房溫濕度控制方式等等環境要求。通過明確機房責任人、 建立機房管理相關辦法、 對維護和出入等過程建立記錄等方式對機房

3、安全進行保護。4.2 網絡方面從技術角度實現網絡的合理分布、 網絡設備的實施監控、 網絡訪問策略的統 一規劃、網絡安全掃描以和對網絡配置文件等必要信息進行定期備份。 從管理角 度明確網絡各個區域的安全責任人， 建立網絡維護方面相關操作辦法并由某人或 某部門監督執行看，確保各信息系統網絡運行情況穩定、可靠、正常的運行。4.3 主機方面要求各類主機操作系統和數據庫系統在滿足各類業務系統的正常運行條件 下，建立系統訪問控制辦法、劃分系統使用權限、 安裝惡意代碼防范軟件并對惡 意代碼的檢查過程進行記錄。 明確各類主機的責任人， 對主機關鍵信息進行定期 備份。4.4 應用方面從技術角度實現應用系統的操作

4、可控、 訪問可控、通信可控。從管理角度實 現各類控制辦法的有效執行，建立完善的維護操作規程以和明確定期備份內容。4.5 數據方面對本單位或本部門的各類業務數據、 設備配置信息、 總體規劃信息等等關鍵 數據建立維護辦法，并由某部門或某人監督、 執行。通過匯報或存儲方式實現關 鍵數據的安全傳輸、存儲和使用。4.6 建設和管理方面4.6.1 信息安全管理機制成立信息安全管理主要機構或部門，設立安全主管等主要安全角色，依據信息安全等級保護三級標準（要求） ，建立信息系統的整體管理辦法4.6.2 信息安全管理組織分別建立安全管理崗位和機構的職責文件，對機構和人員的職責進行明確。 建立信息發布、變更、審批

5、等流程和制度類文件，增強制度的有效性。建立安全 審核和檢查的相關制度和報告方式。4.6.3 人員安全管理要求對人員的錄用、離崗、考核、培訓、安全意識教育等方面應通過制度和操作 程序進行明確。4.6.4 信息安全等級保護工作和風險評估要求定期對已備案的信息系統進行等級保護測評，以保證信息系統運行風險維持 在較低水平，不斷增強系統的穩定性和安全性。4.6.5 報告安全事件要求對突發安全事件建立應急預案管理制度和相關操作辦法，并定期組織人員進 行演練，以保證信息系統在面臨突發事件時能夠在較短時間內恢復正常的使用。4.6.6 業務持續性要求根據對系統的等級測評、風險評估等間接問題挖掘，和時改進信息系統的各 類弊端， 包括業務弊端， 應建立相關改進措施或改進辦法， 以保證對信息系統的 業務持續性要求。4.6.7 違反信息安全要求的懲罰建立懲處辦法，對違反信息安全總體方針、安全策略的、程序流程和管理措 施的人員，依照問題的嚴重性進行懲罰。5. 相關文件5.1 信息安全各部門安全需求和控制措施5.2 信息安全各部門安全工作執行程序5.3 機房安全管理制度5.4 網絡安全管理制度5.5 系統安全管理制度5.6 設