2018年公司网络安全体系构建与安全管理策略

网络安全体系建设方案（2018）旨在遵循《网络安全法》和《信息安全等级保护管理办法》等相关法规，以GB/T22080-2008idtISO27001:2005的信息安全管理标准为基础，构建一套全面的网络安全框架。该方案旨在确保公司运营系统和办公系统的稳定性和安全性，防范病毒、木马、黑客攻击等威胁，防止数据丢失、敏感信息泄露以及因网络安全问题导致的经济损失。 方案的核心内容包括以下几个方面： 1. **安全体系设计**： - 安全体系分为三个主要部分：信息安全管理、技术和运行。通过安全工作管理、统一技术管理和安全运维管理，确保计算环境、区域边界和网络通信的安全。 - **安全方针**：强调员工的安全意识、规范行为，保护数据和信息完整。 - **安全目标**：保护硬件、软件和数据免受破坏、更改和泄露，保证系统稳定运行和服务不间断。 2. **等级保护和风险管理**： - 公司运营环境和系统需遵循国家行业的三级等级保护标准，确保安全级别。 - 办公环境和办公系统则采用二级等级保护，符合通用信息化系统的运行要求。 - 自主或外包研发的产品必须通过国家强制性标准的安全认证和检测。 3. **实施原则**： - 责任明确，实行“谁主管谁负责”原则。 - 实施分级保护，根据系统的重要程度采取不同的安全措施。 - 技术手段与管理措施相结合，全员参与并持续改进。 4. **安全管理体系**： - 包括组织机构、人员安全和制度标准三个方面： - 建立安全管理机构和岗位职责文件，明确网络安全责任。 - 设立网络安全负责人，确保责任落实。 - 制定信息发布、变更和审批流程，确保信息安全制度的执行。 这份网络安全体系建设方案为公司的信息安全管理提供了全面的框架，通过明确的责任划分、严格的等级保护措施和全员参与的方式，旨在建立一个有效抵御网络安全威胁的防护体系，确保公司业务的稳定运行和客户数据的安全。