系统运行管理制度 网络安全之安全策略和管理制度

安全策略和管理系统侧重于安全策略和管理系统的制定、发布、审查和修订。根据体系的安全水平，按照国家有关法律法规和政策标准，制定总体工作方针和安全战略，规范各项安全管理活动的管理制度，为管理者或操作者进行的日常操作建立操作规程。

通过建立各种信息安全管理规范和技术标准，规范基础设施建设、系统和网络平台建设、应用系统开发和运行管理等重要环节，为信息安全奠定基础，形成由安全政策、管理制度和操作规程组成的全面系统的信息安全管理体系。

1、安全策略和管理体系的风险

安全策略的风险

信息安全策略是信息安全管理的重要组成部分。信息安全战略的缺失或缺失会影响信息安全保护的完整性、计划性和规范性，不利于各项措施和管理手段的实施，会给信息安全的整体指导和应急指挥带来危害，造成信息安全漏洞或救援混乱。

管理体系风险

安全管理系统在信息安全管理中起着约束和控制的作用。安全体系不完善，或不能贯穿信息安全管理的各个方面和全过程。特别是有老系统负责新技术，缺乏动态持续的管理体系。此外，内部制约机制不健全，检查监督不到位，无法及时发现潜在的信息安全风险并快速解决。

2、安全策略和管理体系的目标

安全策略的目标

信息安全政策是组织和机构信息安全的基本指导原则。为了更好地进行信息安全保护，应制定总体政策和安全管理政策，说明机构安全工作的总体目标、范围、原则和安全框架，明确需要保护什么，为什么保护，由谁保护。

目标是形成组织的纲领性安全策略文件，包括确定安全策略和制定安全策略，从而结合一系列基本要求、行业基本要求和安全防护的特殊要求，构建组织对象的安全技术架构和安全管理架构。

管理体系的目标

根据组织的整体安全战略和业务应用要求，制定信息安全管理体系，加强过程管理和关键信息基础设施管理的风险分析和防范，建立安全管理活动中各项管理内容的安全管理体系，规范安全管理人员或操作人员的日常管理操作，建立规范、规范、精简的操作流程。包括安全管理方法、标准、导则和程序等。

3.安全方针和管理体系的要求

安全策略的要求

应制定信息安全的总体政策和安全战略，并说明组织安全工作的总体目标、范围、原则和安全框架。

管理体系要求

1)针对安全管理活动中的各种管理内容建立安全管理体系。

2)对于要求管理者或操作者进行的日常管理操作，应建立操作规程。

3)应形成由安全政策、管理制度、操作程序和记录表组成的综合信息安全管理体系。

4.安全方针和管理体系的措施

安全政策措施

1)确定安全策略

形成安全政策文件，明确安全工作的使命和意愿，明确信息安全的总体目标，对应信息安全的责任机构和职责，建立安全工作的运行模式。

信息系统的安全管理需要明确信息系统的安全管理目标和范围，应包括建立相应的安全管理机构，制定包括系统设施和运行在内的系统安全目标和范围规划文件，制定相应的安全运行程序，制定信息系统的风险管理计划，为满足相应级别的技术要求提供相应的管理保证。提供信息系统安全的自动监控和审计；提供信息系统的认证、接受和使用授权；为信息系统提供强制安全保护的能力，并设置必要的强制安全管理措施，以确保数据和信息免受未经授权的泄漏和破坏，并确保信息系统的安全运行。

例1:实施ISO 27001管理体系的组织的明确的安全方针和目标

①信息安全政策

加强信息系统安全，确保重要信息系统的物理安全、运行安全和数据安全。

② ISMS政策

XX按照建立、实施、运行、监控、评审、维护和改进的方法论，建立和运行基于风险管理的XX信息安全管理体系，同时履行国家法律、行业法规和合同规定的安全要求和义务，实现XX信息安全目标。

③信息安全目标

业务系统可用性:保证XX业务的安全运行和系统的安全稳定。

确保各种机密材料不泄露，机密信息不泄露给未经授权的人员。

安全事故:不发生主营业务系统瘫痪，重要数据丢失或损坏，严重影响正常业务发展的情况。

④数据收集、统计和分析

信息安全管理工作组负责每月总结XX业务的安全情况，报告重要的安全事件和故障，报告主要业务系统的运行数据。

对于达不到信息安全目标的，由信息安全管理工作组分析原因，找出解决办法，形成处理意见，上报网络安全与信息化领导小组。

2)制定整体安全策略

按照国家政策法规和技术管理标准进行保护；阐明经理对信息系统安全的承诺，并说明组织管理信息系统安全的方法；说明信息系统安全的总体目标、范围和安全框架；确认支持信息系统安全目标和原则的管理意图；简要说明对组织具有重要意义的安全方针、原则、标准和符合性要求；在接受信息系统安全监管职能部门监督检查的前提下，按照国家政策法规和技术管理标准进行自我保护；明确划分信息系统的安全防护等级，制定目标策略、规划策略、组织策略、人员策略、管理策略、安全技术策略、控制策略、生命周期策略、投资策略、质量策略等。，从而形成系统的信息系统安全策略。

3)安全策略管理的制定

在建立和制定安全策略时，我们可以考虑目的、完整性、适用性、可行性和一致性，并遵循设置计划、职位、定位、人员配备、目标和工作流程的准则。可以根据不同的安全级别制定不同的信息安全管理策略。

系统化安全管理策略制定:由信息化领导小组组织制定，由信息化领导小组组织提出指导思想。安全职能部门负责制定系统的信息系统安全管理策略，包括总体策略和具体策略，并以文件形式表达。

安全策略的格式一般是:目标、范围、策略内容、角色职责、执行纪律、技术术语、版本历史等。

4)安全管理政策的发布

信息系统安全管理策略应以文档的形式发布，根据不同的安全级别对应不同的安全管理策略发布要求。

安全管理方针的系统发布:在安全管理方针发布相对完整的基础上，标明安全管理方针文件的发布范围，并对收发文件进行登记。

修订后发布:对于只需要少量修订的修订，可以通过追加变更的方式发布；需要进行重大修改的政策修订可以用另一种方式重新发布。

例2:实施ISO 27001管理体系的组织的明确的信息安全管理策略

①目的

本文件旨在确保实现XX信息安全目标，具体如下:

确保信息系统的完整性、保密性、可用性、及时性、可审计性和可控性，确保系统稳定、可靠、安全运行；

加强XX计算机信息系统的安全保护，保证XX计算机信息系统的安全稳定运行，保证XX各项业务的顺利开展。

通过具体工作中的信息安全管理规定，可以提高全体员工的安全意识，增强XX工作过程中的信息安全，最终保证XX的所有信息得到有效安全的管理，维护XX的利益。

该系统是XX各级组织在制定信息安全相关措施、标准、规范和实施细则时必须遵守的信息安全管理要求。

②信息安全原则

为了保证XX信息系统安全管理的一致性，在考虑信息系统规划、设计、开发、建设、运维、变更和废弃的安全性时，应充分遵循以下安全原则:

责任制原则:XX计算机信息系统安全防护实行“谁主管谁负责”、“预防为主、综合治理”、“系统防范与技术防范相结合”的原则，加强制度建设，逐步建立计算机信息系统安全防护责任制。

标准化原则:遵循国内外信息安全标准和行业规范，如等级保护；

统筹原则:信息安全工作贯穿信息化全过程，坚持统筹规划，突出重点，推进安全与发展，管理与技术并重，应急防御与长效机制相结合；

实用原则:在保证信息安全的前提下，注重实效，避免重复投资和盲目投资，积极采用成熟的先进技术和国家法律法规允许的专业安全服务，降低成本，确保安全稳定运行。

③物理和环境安全

关键或敏感信息的存储及其处理设备应放置在安全的地方，并应使用相应的安全保护设备和访问控制手段，保护信息或设备免受未经授权的访问、损坏或干扰。

严格控制人员进出安全区域，使用必要的监控设备或手段对安全区域内人员的行为进行监控。

用于存储关键或敏感信息的介质或设备在离开工作环境、运输、携带或在外部使用时，应采取保护措施，以防止信息被盗和损坏。

如果存储关键或敏感信息的介质或设备不再使用或用于其他目的，其中的数据应完全销毁。应注意选择数据销毁手段，确保数据无法恢复。

不得与任何外部第三方共享业务数据。如有特殊需要，须经XX最高领导批准。

④运营管理

明确所有信息处理操作的流程和流程中各环节的职责，确保信息处理流程的安全性和正确性。

信息系统必须建立详细的操作规范和要求，这些操作规范应记录在案，定期检查并及时更新。

根据信息使用特点制定备份策略和恢复流程，保留一个或多个数据备份，并练习数据恢复流程。

信息系统应记录运行日志、事件日志和错误日志，根据信息等级和类型设置日志信息的保留期，并在适当的时候监控设备运行和运行环境。

⑤访问控制

建立控制信息系统访问权和服务使用权分配的正式流程。这些流程应涉及用户访问生命周期的所有阶段，从最初的新用户注册到因不再需要访问信息系统和服务而最终取消用户注册，并定期检查用户的访问权限。

XX统一建立工作人员身份信息数据库，为每位工作人员提供相应的身份证。所有信息必须通过实名访问，除非明确标注可以匿名访问或使用其他认证策略。借阅、复印纸质文件，需凭身份证实名登记，进入信息系统必须使用统一的用户实名认证。

信息的逻辑访问权限应仅授予合法用户，信息系统功能的用户访问权限应根据确定的业务访问控制策略进行控制；防止非法访问可以覆盖系统措施的实用程序和软件；只能向信息所有人、其他指定的法人或定义的用户组提供信息访问权限。

⑥系统开发和维护

新系统和改进后的系统都要考虑到建设过程中信息安全的需要，并采取相应的防范措施。

系统开发过程的产品应严格管理，确保无关人员无法接触，并能有效控制这些产品的传播范围。

对于系统中不可避免地需要暴露的敏感信息，必须采取有效措施，确保该信息不会被无关人员获取或非法使用。

在系统开发过程中，必须有配套的项目管理，确保相关项目涉及的信息能够得到有效管理。

系统维护必须有明确的权限，系统中的重要数据必须由专人管理。

开发、测试和在线环境是分离的，重要系统的开发、测试和维护职责必须分离。系统开发或变更结束后，开发团队应向维护团队正式移交系统，并提供必要的技术文件。

⑦信息安全风险评估和审计

信息安全风险评估的主要目的是发现XX信息管理中的安全漏洞，评估信息安全风险对XX的影响，并提出相应的改进措施。

信息安全风险评估主要由XX承担，XX制定相关风险评估模型，定期评估各种系统和流程。

信息安全审计的目的是检查各级组织和系统是否按照XX相关制度和流程进行信息安全管理。

XX根据相关内部审计制度建立信息安全审计体系。所有系统、组织和个人必须严格按照安全审计标准开展相关工作，并在关键信息的生命周期内对其进行安全审计。

所有涉及信息安全的系统和组织都必须严格按照XX信息安全审计体系建立具体的可审计机制，任何关键信息的安全管理流程都必须是可审计的。

XX成立了安全审计小组，定期对各系统和组织的信息安全管理进行审计。所有组织和个人都必须积极配合XX的信息安全审计工作。

5)安全管理策略的评审和修订

网络安全与信息化领导小组和信息安全职能部门负责文件的审核和修订；安全政策和体系的有效性应定期按程序进行评审，并保持必要的评审记录和依据；每个政策和系统文件都应有相应的负责人，根据明确规定的评审和修订程序来维护政策。

6)安全管理方针的保持

安全政策文件由指定人员保管，制定借贷政策时限制借贷范围，并由本级负责人审批登记。

安全管理体系措施

1)分类建立管理体系

根据安全管理活动中的各种管理内容，建立相应的管理体系。

制定机房、主机设备、媒体安全、网络设施、物理设施分类标识等系统资源安全管理规定；

制定系统和数据库的安全管理规定，如安全配置、系统分布和运行、系统文档、测试和漏洞评估、系统信息安全备份及相关操作规程等；

制定网络连接检查和评估、网络使用授权、网络检测、网络设施变更控制及相关操作规程等网络安全管理规定；

制定应用安全评估、应用系统授权、应用系统配置管理、应用系统文档管理及相关操作规程等应用安全管理规定；

制定人员安全管理、安全意识和安全技术教育、运行安全、系统运行记录、保护、系统维护、网络互联、安全审计、安全事件报告、事故处理、应急管理、灾难恢复等操作安全管理规定及相关操作规程；

制定信息分类标识、分类信息管理、文档管理、存储介质管理、信息披露和发布审批管理、第三方访问控制等管理制度及相关操作规程。

例3:制定其他与信息安全相关的管理制度

管理体系参考目录见表1。

表1管理体系参考目录

2)建立操作程序

针对不同的管理体系，为相应的管理者或操作者所进行的日常管理操作建立相应的操作规程。

3)形成制度化管理体系

根据国际标准化组织/IEC 27001标准和信息系统生命周期的理念，制定信息安全管理政策和策略，采用风险管理方法对信息安全管理进行规划、实施、审查和检查，完善信息安全管理实施的工作体系。包括信息安全管理手册、适用性描述、管理体系和规范、业务流程和记录表格等。

示例4:信息系统生命周期安全管理系统

①系统分析阶段

系统分析，又称系统调查与分析，是信息系统生命周期的第一阶段，也是最重要的环节。在这个阶段，将会有对信息系统安全的建设和使用的需求。信息系统的风险和策略应纳入信息系统建设和使用的决策中。从信息系统建设开始，就要综合考虑系统安全需求，使信息系统建设和信息系统安全建设能够同步规划和实施。在这个阶段，我们可以通过风险评估来满足自己的业务信息安全需求，并定义风险控制目标和安全控制措施。在这个阶段，我们需要管理风险评估过程。

②系统开发阶段

系统设计和开发阶段的工作是系统分析阶段的详细、深入和具体体现。在这一阶段，应根据系统需求、风险和策略将信息系统安全作为一个整体来考虑，并设计和构建系统架构，以建立信息系统安全的总体规划和全球愿景。在这个阶段，需要重点关注软件开发的管理、开发安全和外包软件开发过程。

③系统实施阶段

系统实现是新系统开发的最后阶段。实施是指实施上述系统设计和开发阶段的成果。系统实施和交付阶段的主要任务是:根据总体设计方案购买和安装网络系统；建立制度；程序设计和调试；整理基础数据；培训操作员和调试。在这个阶段，IT需要重点关注IT产品采购、项目实施、系统交付和项目测试验收的管理。

④系统运行维护阶段

信息系统进入运维阶段后，全面保障信息系统的管理、运维和用户能力，是信息系统安全正常运行的根本保证。在这个阶段，需要管理系统、保护、系统备份和恢复、系统安全、配置更改、用户标识和密码等。

信息系统投入运行后，就不是静态的了。通过执行和发现新的安全风险，或者随着业务和需求的变化，外部环境的变化，产生新的需求或者增强原有的需求，因此应该重新进入信息系统的分析阶段。

⑤系统废弃阶段

当信息系统的保障不能满足现有需求时，信息系统进入废弃阶段。这个阶段包括放弃信息、硬件和软件。此阶段的活动可能包括软件和硬件的信息传输、备份、丢弃、销毁和分类处理。

4)管理体系的制定和发布

安全管理制度应当内容清晰、术语规范、用词准确、表述简洁；要求具有较强的可操作性、统一性、稳定性和时效性，覆盖物理、网络、主机系统、数据、应用和管理等信息安全的各个方面，并以正式有效的方式发放给相关人员，并进行版本控制。

安全管理体系的制定和发布应有明确规定的程序，不同的安全等级应对应不同的体系和发布要求。

信息安全职能部门负责制定系统安全管理体系发布的信息系统安全管理体系，以文件形式表达，经信息化领导小组讨论通过，由信息化领导小组负责人批准发布。应标明放行范围，并登记收发文件。

信息安全政策和管理体系发布后，应定期对安全管理体系的合理性和适用性进行论证和验证，对不足或需要改进的安全管理体系进行修订。

5)管理体系的评审和修订

管理体系的评审和修订应由信息安全负责人和信息安全职能部门进行。对管理体系中的缺陷应定期或不定期进行评审，当出现重大安全事故、组织或技术基础设施出现新的漏洞和变化时，应及时进行相应的评审和修订；定期论证和审查安全管理体系的合理性和适用性，确保管理体系的适宜性和有效性；对于评审后需要修订的战略和体系文件，应明确指定人员限期完成，由原出版机构按规定公布修订内容；保密信息安全政策、规章制度及相关操作规程文件的审查和修订应在相应范围内进行；必要时，可以邀请组织的保密管理部门参与文件的审查和修改，并征求国家指定的专门部门或者机构的意见；应及时评审安全政策和体系的有效性，并保持必要的评审记录和依据。

6)管理体系的保管

管理体系文件和操作规程文件应由专人保管。制定借贷策略和制度文件，以及相关操作规程文件，限制借贷范围，并由本级负责人审批登记。

例5:实施ISO 27001管理体系的明确文件控制和记录控制策略

①一般规则

XX信息安全管理体系文件包括:

●记录的信息安全政策和控制目标。

●信息安全管理手册。

● XX规定、XX管理规定、XX控制规定及本手册要求的其他配套规范。

●为确保信息安全流程的有效规划、运行和控制而制定的文件化操作规范。

●ISMS要求的信息安全风险评估报告、风险处理计划和记录。

●相关法律法规和信息安全标准。

②文件控制

XX制定并实施文档管理，管理信息安全管理体系所需的文档。对信息安全管理体系和受控文件中的一级、二级、三级和四级文件的编制、审核、批准、标识、分发、使用、修订、失效和回收做出规定，确保信息安全管理体系的有效运行，以确保:

●文件在发布前应按照规定的审批权限进行审批。

●必要时审查和更新文件，并根据规定的权限重新批准。

●标记文件的修订，确保文件的更改状态清晰。

●信息安全管理工作组应确保所有使用文件的地方都能获得相关文件的有效和最新版本。

●保持文件清晰，易于识别。

●文件可由需要的人获得，并根据适用于其类别的程序进行转移、储存和最终销毁。

●各部门获得的外部文件应进行标识并受控分发，以确保外部文件得到标识。

文件的分发受到控制。

信息安全管理工作组应控制过期文件的使用。各部门如需保存作废文件，应向信息安全管理工作组报告，以防止作废文件的非预期使用。

如果无效文件出于任何目的需要保存，应适当标记。

③记录控制

XX通过各控制程序要求的记录，证明信息安全管理体系的建立、实施、运行、监控、评审、维护和改进的有效性和合规性，并记录与信息安全相关的事件。

XX在信息安全管理体系中对记录的识别、保存、保护、检索、保存期限和处置进行管理，确保记录清晰，便于识别和检索。

信息安全管理体系中的记录应考虑相关法律法规的要求。

例6:实施ISO 27001管理体系的组织的明确的内部审计策略

XX每年对内部信息安全管理体系进行审核，以确定信息安全管理体系的控制目标、控制措施、流程和程序是否为:

●符合标准和相关法律法规的要求。

●满足确定的信息安全要求。

●有效实施和维护。

●按预期实施。

①内部审计规划

信息安全管理工作组应考虑待审核流程和区域的状态和重要性以及之前审核的结果，规划审核计划。编制年度内部审计计划，确定审计准则、范围、频率和方法。

每次审核前，信息安全管理工作组应编制内部审核计划，确定审核标准、范围、时间表和审核团队。审计师的选择和审计的实施应确保审计过程的客观性和公正性。审核员不应该审核自己的工作。

②内部审计的实施

审核应按照审核计划的要求进行，包括:召开首次会议，明确审核的目的和范围，采用的方法和程序；实施现场审核，核对相关文件、记录、凭证，与相关人员沟通，根据检查情况填写检查表；分析检查内容，召开第一次和最后一次内部审核会议，公布审核意见和不符合报告；审核组长准备审核报告。

对于审核中提出的不符合报告，责任部门应制定纠正措施，信息安全管理工作组应对被审核部门纠正措施的实施情况进行跟踪和验证。

内部审计报告应是管理评审的内容之一。