策略管理

原标题：网络安全之安全策略和管理制度

安全策略和管理制度重点关注安全策略、管理制度的制定和发布、评审和修订等方面。根据

系统的安全等级，依照国家相关法律法规及政策标准，制定工作的总体方针和安全策略，规

范各种安全管理活动的管理制度，对管理人员或操作人员执行的日常操作建立操作规程。

通过建立信息安全的各项管理规范和技术标准，规范基础设施建设、系统和网络平台建设、

应用系统开发、运行管理等重要环节，奠定信息安全的基础，形成由安全政策、管理制度、

操作规程等构成的全面的、系统的信息安全管理制度体系。

1、安全策略和管理制度的风险

（1）安全策略的风险

信息安全策略是信息安全管理的重要组成部分，信息安全策略的缺失或不细致、不规范，将

影响信息安全保护工作的整体性、计划性和规范性，对于各项措施和管理手段的落地实施存

在不利影响，将会对信息安全的整体指导和应急指挥带来危害，产生信息安全漏洞或造成救

援混乱。

（2）管理制度的风险

安全管理制度在信息安全管中起约束和控制作用，安全制度不健全，或者不能贯穿信息安全

管理的各方面、全流程，特别是存在老制度管新技术，缺乏动态的、持续的管理制度，加之

内部制约机制不完善、检查督导不到位，致使信息安全隐患无法得到及时识别、快速解决。

2、安全策略和管理制度的目标

（1）安全策略的目标

信息安全策略是一个组织、机构关于信息安全的基本指导规则，为更好的开展信息安全保护

工作，应制定总体方针和安全管理策略，说明机构安全工作的总体目标、范围、原则和安全

框架，明确需要保护什么，为什么需要保护和由谁进行保护。

目标是形成机构纲领性的安全策略文件，包括确定安全方针，制定安全策略，以便结合基本

要求系列标准、行业基本要求和安全保护特殊要求，构建机构对象的安全技术体系结构和安

全管理体系结构。

（2）管理制度的目标

根据机构的总体安全策略和业务应用需求，制定信息安全管理制度，加强过程管理和关键信

息基础设置管理的风险分析和防范，对安全管理活动中的各类管理内容建立安全管理制度，

对安全管理人员或操作人员执行的日常管理操作进行规范，建立标准化、规范化、流程化的

操作规程。包括安全管理办法、标准、指引和程序等。

3、安全策略和管理制度的要求

（1）安全策略的要求

应制定信息安全工作的总体方针和安全策略，说明机构安全工作的总体目标、范围、原则和

安全框架等。

（2）管理制度的要求

1）应对安全管理活动中的各类管理内容建立安全管理制度。

2）应对要求管理人员或操作人员执行的日常管理操作建立操作规程。

3）应形成由安全策略、管理制度、操作规程、记录表单等构成的全面的信息安全管理制度体

系。

4、安全策略和管理制度的措施

（1）安全策略的措施

1）确定安全方针

形成安全方针文件，阐明安全工作的使命和意愿，定义信息安全的总体目标，对应信息安全

责任机构和职责，建立安全工作运行模式等。

信息系统的安全管理需要明确信息系统的安全管理目标和范围，应包括针对涉及国家安全、

社会秩序、经济建设和公共利益的信息和信息系统，建立相应的安全管理机构，制定包括系

统设施和操作等内容的系统安全目标与范围计划文件，制定相应的安全操作规程，制定信息

系统的风险管理计划，为达到相应等级技术要求提供相应的管理保证；提供信息系统安全的

自动监视和审计；提供信息系统的认证、验收及使用的授权的规定；提供对信息系统进行强

制安全保护的能力和设置必要的强制性安全管理措施，确保数据信息免遭非授权的泄露和破

坏，保证信息系统安全运行。

例1：实施ISO27001管理体系的组织明确的安全方针和目标

①信息安全方针

加强信息系统安全保障工作，确保重要信息系统的实体安全、运行安全和数据安全。

②ISMS（信息安全管理体系）方针

XX依据建立、实施、运行、监视、评审、保持和改进的方法论，基于风险管理建立并运行

XX信息安全管理体系，同时履行国家法律、行业法规及合同所规定的安全要求及义务，实现

XX信息安全目标。

③信息安全目标

业务系统可用性：确保XX业务安全运营，系统安全稳定。

保证各种需要保密的资料（包括电子文档、磁带等）不被泄密，涉密信息不泄漏给非授权人

员。

安全事故：不发生主要业务系统瘫痪、重要数据丢失和损坏，而严重影响正常业务开展的情

况。

④数据收集、统计和分析

信息安全管理工作小组负责按月总结XX业务安全情况，报告重要安全事件和故障，汇报主要

业务系统的运行数据。

对于未达成信息安全目标的，信息安全管理工作小组分析原因，找出解决办法，形成处理意

见，并上报网络安全与信息化领导小组。

2）制定总体安全策略

依照国家政策法规和技术及管理标准进行保护；阐明管理者对信息系统安全的承诺，并陈述

组织机构管理信息系统安全的方法；说明信息系统安全的总体目标、范围和安全框架；申明

支持信息系统安全目标和原则的管理意向；简要说明对组织机构有重大意义的安全方针、原

则、标准和符合性要求；在接受信息系统安全监管职能部门监督、检查的前提下，依照国家

政策法规和技术及管理标准自主进行保护；明确划分信息系统（分系统/域）的安全保护等级

（按区域分等级保护）制定目标策略、规划策略、机构策略、人员策略、管理策略、安全技

术策略、控制策略、生存周期策略、投资策略、质量策略等，形成体系化的信息系统安全策

略。

3）安全策略管理的制定

在建立和制定安全策略时，可从目的性、完整性、适用性、可行性、一致性等方面考虑，遵

循定方案、定岗、定位、定员、定目标、定工作流程的方针。根据不同安全等级可分别制定

不同的信息安全管理策略。

体系化的安全管理策略制定：应由与信息化领导小组组织制定，由该领导小组组织并提出指

导思想，安全职能部门负责具体制定体系化的信息系统安全管理策略，包括总体策略和具体

策略，并以文件形式表述。

安全策略的格式一般为：目标、范围、策略内容、角色责任、执行纪律、专业术语、版本历

史等。

4）安全管理策略的发布

信息系统安全管理策略应以文档形式发布，根据不同安全等级分别对应不同的安全管理策略

发布要求。

体系化的安全管理策略的发布（等保三级）：在较完整的安全管理策略发布的基础上，安全管

理策略文档应注明发布范围，并有收发文登记。

修订后的发布：对只需进行少量修改的修订，可采取追加改动的方式发布；对需要进行较大

修改的策略修订，可采取替代方式重新发布。

例2：实施ISO27001管理体系的组织明确的信息安全管理策略

①目的

制定本文件目的在于确保XX信息安全目标的实现，信息安全目标如下：

确保信息系统的完整性、保密性、可用性、时效性、可审查性和可控性，保证系统的稳定、

可靠和安全运行；

加强XX计算机信息系统安全保护工作，保障XX计算机信息系统安全、稳定运行，确保XX

各项业务的顺利开展。

通过对具体工作中关于信息安全管理的规定，提高全体工作人员的安全意识，增强XX工作过

程中信息的安全保障，最终确保XX所有信息得到有效的安全管理，维护XX利益。

本制度是XX各级组织制定信息安全的相关措施、标准、规范及实施细则都必须遵守的信息

安全管理要求。

②信息安全原则

为了保证XX信息系统安全管理的一致性，在对信息系统的规划设计、开发建设、运行维护

和变更废弃进行安全性考虑时，应充分遵循以下安全原则：

责任制原则：XX计算机信息系统安全保护工作实行“谁主管谁负责”“预防为主、综合治理”

“制度防范和技术防范相结合”的原则，加强制度建设，逐级建立计算机信息系统安全保护

责任制；

规范化原则：遵循国内、国际的信息安全标准及行业规范，如等级保护；

全面统筹原则：信息安全保障工作贯穿于信息化全过程，坚持统筹规划、突出重点，安全与

发展并进，管理与技术并重，应急防御与长效机制相结合；

实用性原则：在确保信息安全的前提下，讲究实效，避免重复投资和盲目投资，积极采用国

家法律法规允许的、成熟的先进技术和专业安全服务，降低成本，保障安全稳定运行。

③实体和环境安全

关键或敏感信息的存放及其处理设备需要放在安全的地方，并使用相应的安全防护设备和准

入控制手段进行保护，确保这些信息或设备免受未经授权的访问、损害或者干扰。

严格控制进出安全区域的人员，并使用必要的监控设备或手段监视人员在安全区域的行为。

存放关键或敏感信息的介质或设备离开工作环境（安全区域），运输、携带或在外部使用时需

采取保护手段，防止信息被窃取和损坏。

存放关键或敏感信息的介质或设备，如果不再使用或转作其他用途，应将其中的数据进行彻

底销毁。应注意选择数据销毁手段，确保数据真正无法恢复。

不得与任何外部的第三方共享业务数据，如有特殊需要，必须通过XX的最高领导层批准。

④操作管理

明确所有信息处理操作的流程，明确流程中每个环节的责任，确保信息处理过程安全无误。

信息系统必须建立详细的操作规范和要求，并对这些操作规范进行备案，进行定期检查，及

时更新操作规范。

根据信息使用特性建立备份策略和恢复流程，留存一个或多个数据备份，并演练数据恢复流

程。

信息系统应记录操作日志、事件日志和错误日志，根据信息等级和类型制定日志信息的保存

期限（根据网络安全法要求，不得少于6个月），并且在适当的时候可监视设备运行和操作环

境情况。

⑤访问控制

制定正式流程控制信息系统访问权限与服务使用权限的分配。这些流程应该涉及用户访问生

命周期的各个阶段，从初期的新用户注册到用户因不再要求对信息系统和服务进行访问而最

终取消注册，定期对用户访问权限进行检查。

XX统一建立工作人员的身份信息库，并为每位工作人员配备相应身份卡，所有信息必须使用

实名访问，除非信息明确标注可被匿名访问或使用其他认证策略。对于纸质文档的借阅、复

印等需用身份卡进行实名登记，对于信息系统的访问必须使用统一的用户实名认证。

信息的逻辑访问权仅应授予合法用户，根据已经确定的业务访问控制策略来控制信息系统功

能的用户访问权；防止能够越过系统措施的实用程序和软件的非法访问；仅能向信息所有者、

其他指定的合法个人或定义的用户组提供信息访问。

⑥系统开发和维护

新系统和改进系统在建设过程中都应该考虑信息安全的需求，并采取相应的防范措施。

系统开发过程的产物（如设计文档、源、等）应严格管理，确保无关人员无法接触，并可有

效控制这些产物传播范围。

对于系统中不可避免需要暴露的敏感信息，必须采取有效措施确保信息不会被无关人员获取

或者确保信息不可被非法使用。

系统开发过程必须有配套的项目管理工作，以保证相关项目中可能涉及信息得到有效的管理。

系统维护必须做到权限清晰，系统中的重要数据必须指定专人负责数据管理。

开发、测试和线上环境分开，重要系统的开发、测试和维护职责必须分离。系统开发或变更

结束，开发团队应与维护团队进行正式的系统交接工作，并提供必要的技术文档。

⑦信息安全风险评估和审计

信息安全风险评估主要是为了发现XX信息管理的安全漏洞，评估信息安全风险对XX的影响

以及提出相应改进的措施。

信息安全风险评估主要由XX承担，由其制定相关风险评估模型并定期对各系统和流程进行

评估。

信息安全审计主要是为了审核各级组织和系统是否按照XX相关制度和流程进行信息安全管

理。

XX根据相关内部审计制度建立信息安全审计制度，各系统和组织、个人必须严格按照安全审

计规范开行相关工作，对于关键信息在其生命周期内都需要进行安全审计。

任何涉及信息安全的各系统和组织必须严格按照XX信息安全审计制度建立具体的可审计机

制，任何关键信息的安全管理过程必须是可以被审计的。

XX成立安全审计小组，定期审计各系统和组织的信息安全管理工作，各组织和个人必须积极

配合XX信息安全审计工作。

5）安全管理策略的评审和修订

应由网络安全与信息化领导小组和信息安全职能部门负责文档的评审和修订；应对安全策略

和制度的有效性进行程序化、周期性评审，并保留必要的评审记录和依据；每个策略和制度

文档应有相应责任人，根据明确规定的评审和修订程序对策略进行维护。

6）安全管理策略的保管

安全策略文档应由指定专人保管，制定借阅策略时应限定借阅范围，并经过相应级别负责人

审批和登记。

（2）安全管理制度的措施

1）分类建立管理制度

根据安全管理活动中的各类管理内容建立相应的管理制度。

制定机房、主机设备、介质安全、网络设施、物理设施分类标记等系统资源安全管理规定；

制定安全配置、系统分发和操作、系统文档、测试和脆弱性评估、系统信息安全备份和相关

的操作规程等系统和数据库方面的安全管理规定；

制定网络连接检查评估、网络使用授权、网络检测、网络设施（设备和协议）变更控制和相

关的操作规程等方面的网络安全管理规定；

制定应用安全评估、应用系统使用授权、应用系统配置管理、应用系统文档管理和相关的操

作规程等方面的应用安全管理规定；

制定人员安全管理、安全意识与安全技术教育、操作安全、和、系统运行记录、防护、系统

维护、网络互联、安全审计、安全事件报告、事故处理、应急管理、灾难恢复和相关的操作

规程等方面的运行安全管理规定；

制定信息分类标记、涉密信息管理、文档管理、存储介质管理、信息披露与发布审批管理、

第三方访问控制和相关的操作规程等方面的信息安全管理规定等在内的管理制度。

例3：制定其他与信息安全相关的管理制度

管理制度参考目录，见表1。

表1管理制度参考目录

2）建立操作规程

根据不同的管理制度，针对相应的管理人员或操作人员执行的日常管理操作建立相应操作规

程。

3）形成制度管理体系

按照ISO/IEC27001标准和信息系统生命周期的思想，制定信息安全管理方针和策略，采用

风险管理的方法进行信息安全管理计划、实施、评审检查、改进的信息安全管理执行的工作

体系。包括信息安全管理手册、适用性说明、管理制度与规范、业务流程和记录表单等。

例4：信息系统全生命周期安全管理体系

①系统分析阶段

系统分析，也叫系统调查与分析，是信息系统生命周期的第一个阶段，也是最重要的一个环

节。此阶段会产生信息系统安全保障建设和使用的需求，信息系统的风险及策略应加入至信

息系统建设和使用的决策中，从信息系统建设的开始就应综合考虑系统的安全保障要求，使

信息系统的建设和信息系统安全保障的建设同步规划、同步实施。此阶段可通过风险评估建

立满足自身的业务信息安全需求，明确风险控制目标及安全管控措施，此阶段需要对风险评

估过程进行管理。

②系统开发阶段

系统设计开发阶段的工作是对系统分析阶段的细化、深入和具体体现。在此阶段要基于系统

需求和风险、策略将信息系统安全保障作为一个整体，进行系统体系的设计和建设，以建立

信息系统安全保障整体规划和全局视野，此阶段需要着重对软件开发、开发安全和外包软件

开发过程进行管理。

③系统实施阶段

系统实施是新系统开发工作的最后一个阶段。所谓实施指的是将上述系统设计开发阶段的结

果在上实现。系统实施交付阶段的主要任务是：按总体设计方案购置和安装网络系统；建立

系统；程序设计与调试；整理基础数据；培训操作人员和试运行。此阶段需要着重对IT产

品采购、工程实施、系统交付和工程测试验收等进行管理。

④系统运行维护阶段

信息系统进入运行维护阶段后，对信息系统的管理、运行维护和使用人员的能力等方面进行

综合保障，是信息系统得以安全正常运行的根本保证。此阶段需要对系统、防护、系统备份

和恢复、系统安全、、配置变更和用户标识与口令等进行管理。

信息系统投入运行后并不是一成不变的，通过进行和发现新的安全风险，或着业务和需求的

变更、外界环境的变更产生新的要求或增强原有的要求，应重新进入信息系统的分析阶段。

⑤系统废弃阶段

当信息系统的保障不能满足现有要求时，信息系统进入废弃阶段。此阶段涉及对信息、硬件

和软件的废弃。此阶段的活动可能包括信息的转移、备份、丢弃、销毁以及对软硬件进行的

密级处理。

4）管理制度的制定和发布

安全管理制度制定时应内容明确、术语规范、用词准确、表述简洁；要求具有很强的操作性、

统一性、稳定性、时效性，覆盖物理、网络、主机系统、数据、应用和管理等信息安全的各

个层面，通过正式、有效的方式发布到相关人员，并进行版本控制。

安全管理制度的制定及发布，应有明确规定的程序，不同安全等级应分别对应不同的制度和

发布要求。

体系化的安全管理制度的发布应由信息安全职能部门负责制定信息系统安全管理制度，并以

文档形式表述，经与信息化领导小组讨论通过，由与信息化领导小组负责人审批发布，应注

明发布范围并有收发文登记。

信息安全策略和管理制度制度发布后，应定期对安全管理制度的合理性和适用性进行论证和

审定，对存在不足或需要改进的安全管理制度进行修订。

5）管理制度的评审和修订

管理制度的评审和修订应由分管信息安全的负责人和信息安全职能部门负责文档的评审和修

订；应定期或阶段性审查管理制度存在的缺陷，并在发生重大安全事故、出现新的漏洞以及

机构或技术基础结构发生变更时，及时进行相应的评审和修订；定期对安全管理制度的合理

性和适用性进行论证和审定，保证管理制度的适宜性和有效性；对评审后需要修订的策略和

制度文档，应明确指定人员限期完成，并由原发布机构对修订内容按规定发布；对涉密的信

息安全策略、规章制度和相关的操作规程文档的评审和修订应在相应范围内进行；必要时可

请组织机构的保密管理部门参加文档的评审和修订，应征求国家指定的专门部门或机构的意

见；应对安全策略和制度的有效性及时进行专项评审，并保留必要的评审记录和依据。

6）管理制度的保管

对管理制度文档及操作规程文档，应指定专人保管；制定借阅策略和制度文档，以及相关的

操作规程文档，应限定借阅范围，并经过相应级别负责人审批和登记。

例5：实施ISO27001管理体系的组织明确的文件控制与记录控制策略

①总则

XX信息安全管理体系文件包括：

●文件化的信息安全方针、控制目标。

●信息安全管理手册（本手册包括信息安全适用范围及引用的标准）。

●本手册要求的《XX规定》、《XX管理规定》、《XX控制规定》等支持性规范。

●确保有效策划、运作和控制信息安全过程所制定的文件化操作规范。

●《信息安全风险评估报告》、《风险处理计划》以及ISMS要求的记录类。

●相关的法律、法规和信息安全标准。

②文件控制

XX制定并实施文档管理，对信息安全管理体系所要求的文件进行管理。对信息安全管理体系

内一、二、三、四级文件及为保证信息安全管理体系有效运行的受控文件的编制、评审、批

准、标识、发放、使用、修订、作废、回收等管理工作做出规定，以确保：

●文件在发放前应按规定的审核和批准权限进行批准后才能发布。

●必要时对文件进行评审与更新，并按规定的权限重新批准。

●对文件的修订进行标识，确保文件的更改状态清晰明了。

●信息安全管理工作小组应确保所有使用文件的场所能够获得有关文件的有效的最新版本。

●文件保持清晰、易于识别。

●文件可以被需要者所获得，并根据适用于他们类别的程序进行转移、存储和最终销毁。

●各部门获得外来文件应进行标识并控制发放，确保外来文件得到识别。

文件的分发得到控制。

信息安全管理工作小组应控制作废文件的使用，若各部门有必要保存作废文件时，应向信息

安全管理工作小组报告，防止作废文件的非预期使用。

若因任何目的需保留作废文件时，应对其进行适当的标识。

③记录控制

XX通过各控制程序所要求的记录证明信息安全管理体系建立、实施、运行、监视、评审、保

持和改进的有效性和符合性，并记录与信息安全有关的事件。

XX对信息安全管理体系内记录的标识、保存、保护、检索、保存期限和处置等信息进行管理，

确保记录清晰、易于识别和检索。

信息安全管理体系内的记录应考虑相关法律法规要求。

例6：实施ISO27001管理体系的组织明确的内部审核策略

XX按年度进行内部信息安全管理体系审核，以确定信息安全管理体系的控制目标、控制措施、

过程和程序是否：

●符合标准的要求和相关法律法规的要求。

●符合已识别的信息安全要求。

●得到有效的实施和维护。

●按预期执行。

①内审策划

信息安全管理工作小组应考虑拟审核的过程和区域的状况和重要性以及以往审核的结果，对

审核方案进行策划。应编制内审年度计划，确定审核的准则、范围、频次和方法。

每次审核前，信息安全管理工作小组应编制内审计划，确定审核的准则、范围、日程和审核

组。审核员的选择和审核的实施应确保审核过程的客观性和公正性。审核员不应审核自己的

工作。

②内审实施

应按审核计划的要求实施审核，包括：进行首次会议，明确审核的目的和范围、采用的方法

和程序；实施现场审核，检查相关文件、记录和凭证，与相关人员进行交流，按照检查的情

况填写检查表；对检查内容进行分析，召开内审首次会议、末次会议，宣布审核意见和不符

合报告；审核组长编制审核报告。

对审核中提出的不符合项报告，责任部门应编制纠正措施，由信息安全管理工作小组对受审

部门的纠正措施的实施情况进行跟踪、验证。

内部审核报告应作为管理评审的内容之一。

责任编辑：