2024年3月28日发(作者:)

信息系统安全总体策略

I

第一章总则

第一条为加强和规范信息系统安全工作,提高信息系统整体安全防护水平,

实现信息安全的可控、能控、在控,依据国家有关法律、法规的要求,制定本策

略。

第二条本策略的目的是为信息系统安全管理提供一个总体的策略性架构文

件,指导信息系统的安全体系的建立,以实现统一的安全策略管理,提高整体的

网络与信息安全水平,确保安全控制措施落实到位,保障网络通信畅通和业务系

统的正常运营。

第三条本策略适用于信息系统资产和信息技术人员的安全管理,指导信息系

统安全方案的规划和安全建设的实施,以及安全管理体系的制定。

第四条本策略引用标准及参考文件

本文档的编制参照了以下国家的标准和文件:

(一)《中华人民共和国计算机信息系统安全保护条例》

(二)《信息系统安全等级保护基本要求》(GB/T 22239-2008)

(三)《信息系统安全管理要求》(GB/T 20269—2006)

(四)《信息系统安全设计要求》(报批稿)

(五)《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安

[2009]1429号)

第二章方针、目标和原则

第五条信息系统安全工作的总体方针是:安全第一、预防为主,管理和技术

并重,综合防范,实现信息系统安全可控、能控、在控。具体做法是依照“分区、

分级、分域”总体安全防护策略,执行信息系统安全等级保护制度;管理信息网

络分为信息内网和信息外网,实现“两网隔离”,信息内网定位为内部办公网络,

信息外网定位为对外业务网络和访问互联网用户终端网络。信息内、外网之间实

施强逻辑隔离的措施。

1