信息安全策略.doc

信息安全策略.doc机电工程学院信息系统等级保护安全整改方案
.....................................................................................................................................................
.2
机电工程学院信息系统等级保护安全整改方案
目的和范围
本文档制定了的信息系统安全策略，作为信息安全的基本标准，是所有安全行为的指导方针，同时也是建立完整的安全管理体系最根本的基础。
2)信息安全策略是在信息安全现状调研的基础上，根据ISO27001的最佳实践，
结合现有规章制度制定而成的信息安全方针和策略文档。本文档遵守政府制定的相关法
律、法规、政策和标准。本安全策略得到领导的认可，并在公司内强制实施。
建立信息安全策略的目的概括如下：
a)在内部建立一套通用的、行之有效的安全机制；
b)在的员工中树立起安全责任感；
c)在中增强信息资产可用性、完整性和保密性；
在中提高全体员工的信息安全意识和信息安全知识水平。
本安全策略适用于公司全体员工，自发布之日起执行。
术语和定义
解释
信息安全是指保护信息资产免受多种安全威胁，保证业务连续性，将安全事件造成的
损失降至最小，同时最大限度地获得投资回报和商业机遇。
可用性确保经过授权的用户在需要时可以访问信息并使用相关信息资产。
保密性确保只有经过授权的人才能访问信息。
.3
机电工程学院信息系统等级保护安全整改方案
完整性
保护信息和信息的处理方法准确而完整。
保密信息
安全规章定义的密级信息。
信息安全策略
正确使用和管理IT信息资源并保护这些资源使得它们拥有更好的保密性、
完整性、可用性的策略。
风险评估
评估信息安全漏洞对信息处理设备带来的威胁和影响及其发生的可能性。
风险管理
以可以接受的成本，确认、控制、排除可能影响信息系统的安全风险或将其
带来的危害最小化的过程。
计算机机房
装有计算机主机、服务器和相关设备的，除了安装和维护的情况外，不允许
人员在里边工作的专用房间。
员工
在系统内工作的正式员工、雇佣的临时工作人员。
用户
被授权能使用IT系统的人员。
信息资产
与信息系统相关联的信息、信息的处理设备和服务。
信息资产责任人
是指对某项信息资产安全负责的人员。
合作单位
是指与有业务往来的单位，包括承包商、服务提供商、设备厂商、外包服务
商、贸易伙伴等。
第三方访问
指非本单位的人员对信息系统的访问。
IT外包服务
是指企业战略性选择外部专业技术和服务资源，以替代内部部门和人员来承
担企业IT系统或系统之上的业务流程的运营、维护和支持的
IT服务。
安全事件
利用信息系统的安全漏洞，对信息资产的保密性、完整性和可用性造成危害
的事件。
.4
机电工程学院信息系统等级保护安全整改方案
故障是指信息的处理、传输设备运行出现意外障碍，以至影响信息系统正常运转
的事件。
安全审计通过将所选类型的事件记录在服务器或工作站的安全日志中用来跟踪用户
活动的过程。
超时设置用户如果超过特定的时限没有进行动作，就触发其他事件（如断开连接、锁
定用户等）。
2)词语使用
必须表示强制性的要求。
应当好的做法所要达到的要求，条件允许就要实施。
可以表示希望达到的要求。

下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，