1  总则

第一条     【依据】结合和参考《中华人民共和国计算机信息系统安全保护条例》、《信息安全等级保护管理办法试行》、《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）等制定相关管理规范，并落实符合市信息中心系统安全保护等级要求和管理方针。

第三条      建立针对内部组织和外部组织的安全策略，促进市信息中心建立合理的信息安全管理组织机构与功能，以协调、监控信息安全目标的实现。

第五条  策略目标

实现在市信息中心内部有效地管理信息安全。

2.  策略描述

通过建立信息安全管理组织，启动和控制市信息中心范围内信息安全工作的实施，批准信息安全方针与策略，确定信息安全管理人员和职责分工，协调整个信息安全管理制度的推行和落实。

根据需要，还应建立与外部安全专家或组织的联系，方便跟踪行业趋势，学习各类先进的标准和评估方法。

第六条  策略目标

确保被外部组织访问的信息资产得到有效安全?护。

2.  策略描述

将不可避免地需要与外界进行业务往来与信息沟通，经常需要向外部组织开放其信息资产和信息处理设施。因此，需要对由于外部组织访问而带来的安全风险进行评估，并根据风险水平，在必要时与外部组织签订协议，向其声明信息安全方针与策略，确定所需的安全控制措施。

3  资产安全管理策略

第七条      资产管理策略一：对信息资产建立问责机制，为实施适当保护奠定基础。对所有信息资产进行识别，建立资产清单并说明使用规则，明确定义信息资产责任人及其职责，为信息资产建立问责机制。

第九条      资产管理策略二：通过对信息资产的分类，明确其可以得到适当程度的保护。应按照信息资产的价值、法律要求及对组织的敏感程度和对业务支撑的关键程度来进行分类分级和资产表示。

第十一条   信息资产的分类分级基于业务相关性，从资产的机密性、完整性和可用性三方面进行分别进行评估，并根据这三个方面考虑资产的保护级别

4  人员安全管理策略

第十三条   保持与信用信息相关部门的及相关安全厂商的适当联系，并明确在发生重大信息安全事件后与相关部门进行联系，确保能及时得到相关部门组织的支持和帮助。

第十五条   识别外部机构访问市信息中心的信息和信息处理设施的风险，包括被访问的信息处理设施、访问类型、被访问信息的重要性、不被访问的信息需要的控制措施、外部访问的人员等，并在允许访问前实施适当的控制措施，确保外部机构的访问不影响信息和信息处理设施的安全。

第十七条   在现有信息系统中新增产品或服务，以及对现有信息系统进行变更时，需要在相关的第三方协议中，明确体现所有涉及的安全要求，主要包括资产保护要求、安全职责要求、访问控制要求以及变更管理要求等方面，并保证严格执行第三方协议中规定的各项条款。信息安全领导小组需要承担管理职责，保证所有员工和第三方人员能按照安全方针、策略和程序进行日常工作。管理职责包括使所有员工和第三方人员清晰了解各自的安全角色和安全职责、提高他们的安全意识和安全技能等。

第十九条   根据市信息中心各区域资产的安全需求和风险评估结果，使用门禁、监视设备、访问控制手段等物理保护措施，来对边界提供物理保护，防止被未授权访问和恶意破坏。

第二十一条     使用物理保护措施，对来自外部和环境的威胁提供安全防护，防止由于火灾、洪水、地震、爆炸、社会动荡和其他形式的自然或人为灾难而引起的破坏。物理保护措施包括危险或易燃材料在离重要区域安全距离以外的地方存放，恢复设备和备份媒体的存放地点与主场地要保持安全距离。

第二十三条     合理安置和保护设备，包括将设备安置到安全区域并尽量减少不必要的对安全区域的访问，将处理敏感数据的信息处理设施放在限制观测的位置，禁止在信息处理设施附近进食、喝饮和抽烟，以减少由环境威胁造成的风险和避免对设备的非授权访问。

第二十五条     对传输数据和支持信息服务的电源布缆、通信布缆进行有效防护，保证他们免受损坏。防护措施包括将电源和电信线路埋在地下，分开电源电缆和通信电缆以防止干扰，使用清晰的电缆识别标记以防止操作失误等。

第二十七条     包含储存介质的设备，要删除或安全重写敏感信息和注册软件，确保敏感信息和注册软件已被安全处置，避免由于草率处理或重用而导致信息泄漏。

第二十九条   根据信息处理设施的管理、操作职责和程序，进行数据备份、设备维护、媒体处理和机房管理，确保能正确、安全的操作信息处理设施。

第三十一条     业务系统的开发、测试和运行设施要分离并进行控制，控制措施包括敏感数据不能拷贝到测试系统环境中、禁止开发和测试人员访问运行系统及其信息等，以减少对运行设施及其信息的未授权访问及其带来的潜在风险。

第三十三条     规划新系统时，要对新系统的用户量、未来的能力需求等进行分析，评估出所需的系统性能，避免新系统出现过载等潜在的瓶颈。

第三十五条     在全网采取防病毒机制，来实现对病毒、木马、恶意代码、移动代码的预防、检测和查杀。

第三十七条     在网络边界、安全域之间进行隔离和访问控制，使用网络安全审计系统对网络访问行为进行记录、监视和回放，保证对网络进行充分的管理和控制，防止威胁的发生，维护业务系统和信息的安全。

第三十九条   应对不再需要的介质进行安全处置，降低介质敏感信息泄漏给未授权人员的风险。

第四十一条     严格遵照与外部单位之间交换信息和软件的协议，来保证信息传递的安全。交换协议应考虑发送方、接收方的管理职责，确保交换信息的可追溯性和不可抵赖性，信息安全事故中的职责和义务等。

第四十三条     对在如邮件等电子消息发送中的信息提供安全保护，防止信息遭受未授权访问、修改或其他攻击。

第四十五条     使用审计系统，以对信息处理设施的使用进行审计和监视，记录审计和监视结果，并定期评审，使管理员能及时了解设施的状态，并确保用户只执行被明确授权的操作。

第四十七条     记录信息处理设施报告的故障事件，并实施采取措施进行处理。定期评审故障日志和故障处理措施，确保故障已经被正确处理。

第四十九条   按照正式的用户注册及注销的程序，对所有信息系统及服务的访问权利进行授予和注销。

第五十一条     共有的管理性的特殊访问账号的口令在人员离职或发生变更时必须更改。

第五十三条     当因内外部审核、软件开发、软件安装或其他规定需求而需要特殊访问账号时，账号必须被授权；创建的日期期限必须明确；工作结束时必须删除。

第五十五条     原则上所有帐号都必须使用分配的用户进行唯一性标识。

第五十七条     所有口令都必须依据网络与信息安全领导小组规定的下列规则建立和执行：必须定期更改；必须符合规定的最小长度；必须是字母和数字字符的组合；不能轻易联想到帐号所有者的特性：用户名、绰号、亲属的姓名、生日等；不能用字典中的单词或首字母缩写。

第五十九条   如果怀疑口令的安全性，应立即进行更改。

第六十一条     用户不能通过自动登录的方式绕过口令登录程序。

第六十三条     网络管理员拥有网络基础设施的控制权并对其负责，而且还要对基础设施的发展和增加进行管理。

第六十五条     所有连接到网络的硬件设备必须服务市信息中心的管理和监控。

第六十七条     支持协议的网络地址由网络管理员集中分配、注册和管理。

第六十九条   未经市信息中心批准不可以安装路由器、交换机、集线器、无线访问端口或软件提供网络服务。

第七十一条     通过提供给用户唯一的识别码（用户ID）和选择一种适当的鉴别技术（密码手段）证实用户身份的方法，对访问操作系统的用户进行用户识别和鉴别。

第七十三条     在访问操作系统过程中，对于不活动的会话需要设定在一个的不活动周期后关闭，以防止未授权人员访问和拒绝服务攻击。

第七十五条     需要连接互联网的计算机系统必须经书面申请和批准。

第七十七条     在新的信息系统或增强已有信息系统的业务需求陈述中，需要识别和明确对安全控制的相关需求。

第七十九条   在设计和实施应用系统或业务系统的过程中，要求有控制措施，以检查系统运行的有效性和完整性，从而将系统运行失败的风险降到最低。

第八十一条     当需要通过网络通信方式进行业务，或通过网络来传输业务数据时，需要使用密码控制方法来实现通信安全或数据保护，主要包括密钥管理方法、密码策略实施的角色分配与安全职责等方面，以确保数据的保密性、完整性和不可否认性。

第八十三条     在操作系统上安装或升级软件时，需要按照既定流程来进行控制，使运行系统被损坏的风险减到最小。

第八十五条     严格限制对程序源代码和相关事项（包括设计、规范、证明设计和确认设计）的访问，以防止带入一些非授权功能，避免对源代码的无意识的修改。

第八十七条     当操作系统发生变更后，应对一些关键业务应用系统进行审查和测试，以确保对业务操作或信息安全没有负面影响。

第八十九条   遵照信息安全事故报告机制，报告可能对市信息中心的信息化资产安全造成影响的不同种类的安全事故和弱点，并确保所有员工、合同方和第三方都遵守执行这套报告程序。

第九十一条     一旦信息安全事故和弱点报告上来，要立即明确责任，按照程序进行有效处理，启动适当的事故管理活动，包括事故管理程序中规定的恢复活动，确保能对信息安全事故做出快速、有效和有序的反应。

第九十三条     应及时对信息安全事故的类型、频率和影响等进行评估，并采取适当措施防止事故再次发生。

第九十五条     在不牵涉到法律强制的地方，信息安全领导小组可以向市信息中心领导建议惩戒措施，在牵涉到法律强制的地方，信息安全领导小组负责与外部组织以及法规强制部门的协调沟通。

10  业务连续性管理策略

第九十七条     在日常的业务活动中，需要识别设备故障、人为错误、盗窃、火灾、自然灾害和恐怖事件等能引起业务流程中断的事件，定期进行风险评估，确定这些中断发生的概率和影响、损坏程度和复原所需时间。

第九十九条      需要维持一个确定的业务连续性计划框架，应包含相关信息安全需求，并确保由此制定出的所有计划是一致的。每一个业务连续性计划都需要说明计划实施的可行方法，指定计划责任人，并确定优先次序以进行测试和维护。

第百一条   遵守所有与信息安全相关的法律法规、合同和安全要求，由科技处负责定期收集和整理，将这些内容形成文件并保持更新。

第百三条   各部门应按照相关法律法规要求，明确规定重要记录的保存期限并提供适当的保护，防止丢失、损坏和伪造。

第百五条   所有信息处理设备，只允许完成岗位相关的信息处理任务或工作。

第百七条   每年进行一次管理评审，以确保安全措施得到有效的实施和保持，符合已确定的信息安全要求，并输出相应的报告和表单。

第百九条   严格按照制定的审核程序对信息系统进行审核，在审核前必须制定详细的计划，尽量减少对业务处理的影响。

第百十一条     本文件由市信息中心负责制定、解释和修改。

第百十三条    本文件自发布之日起执行。

上海市信息中心

二〇一四年九月