网络安全之安全策略和管理制度 黄金期货交易策略制定原则有哪些内容和要求

（2）管理制度的目标

根据机构的总体安全策略和业务应用需求，制定信息安全管理制度，加强过程管理和关键信息基础设置管理的风险分析和防范，对安全管理活动中的各类管理内容建立安全管理制度，对安全管理人员或操作人员执行的日常管理操作进行规范，建立标准化、规范化、流程化的操作规程。包括安全管理办法、标准、指引和程序等。

3、安全策略和管理制度的要求

（1）安全策略的要求

应制定信息安全工作的总体方针和安全策略，说明机构安全工作的总体目标、范围、原则和安全框架等。

（2）管理制度的要求

1）应对安全管理活动中的各类管理内容建立安全管理制度。

2）应对要求管理人员或操作人员执行的日常管理操作建立操作规程。

3）应形成由安全策略、管理制度、操作规程、记录表单等构成的全面的信息安全管理制度体系。

4、安全策略和管理制度的措施

（1）安全策略的措施

1）确定安全方针

形成安全方针文件，阐明安全工作的使命和意愿，定义信息安全的总体目标，对应信息安全责任机构和职责，建立安全工作运行模式等。

信息系统的安全管理需要明确信息系统的安全管理目标和范围，应包括针对涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统，建立相应的安全管理机构，制定包括系统设施和操作等内容的系统安全目标与范围计划文件，制定相应的安全操作规程，制定信息系统的风险管理计划，为达到相应等级技术要求提供相应的管理保证；提供信息系统安全的自动监视和审计；提供信息系统的认证、验收及使用的授权的规定；提供对信息系统进行强制安全保护的能力和设置必要的强制性安全管理措施，确保数据信息免遭非授权的泄露和破坏，保证信息系统安全运行。

例1：实施ISO 27001管理体系的组织明确的安全方针和目标

① 信息安全方针

加强信息系统安全保障工作，确保重要信息系统的实体安全、运行安全和数据安全。

② ISMS（信息安全管理体系）方针

XX 依据建立、实施、运行、监视、评审、保持和改进的方法论，基于风险管理建立并运行XX信息安全管理体系，同时履行国家法律、行业法规及合同所规定的安全要求及义务，实现XX信息安全目标。

③ 信息安全目标

业务系统可用性：确保XX业务安全运营，系统安全稳定。

保证各种需要保密的资料（包括电子文档、磁带等）不被泄密，涉密信息不泄漏给非授权人员。

安全事故：不发生主要业务系统瘫痪、重要数据丢失和损坏，而严重影响正常业务开展的情况。

④ 数据收集、统计和分析

信息安全管理工作小组负责按月总结XX业务安全情况，报告重要安全事件和故障，汇报主要业务系统的运行数据。

对于未达成信息安全目标的，信息安全管理工作小组分析原因，找出解决办法，形成处理意见，并上报网络安全与信息化领导小组。

2）制定总体安全策略

依照国家政策法规和技术及管理标准进行保护；阐明管理者对信息系统安全的承诺，并陈述组织机构管理信息系统安全的方法；说明信息系统安全的总体目标、范围和安全框架；申明支持信息系统安全目标和原则的管理意向；简要说明对组织机构有重大意义的安全方针、原则、标准和符合性要求；在接受信息系统安全监管职能部门监督、检查的前提下，依照国家政策法规和技术及管理标准自主进行保护；明确划分信息系统（分系统/域）的安全保护等级（按区域分等级保护）制定目标策略、规划策略、机构策略、人员策略、管理策略、安全技术策略、控制策略、生存周期策略、投资策略、质量策略等，形成体系化的信息系统安全策略。

3）安全策略管理的制定

在建立和制定安全策略时，可从目的性、完整性、适用性、可行性、一致性等方面考虑，遵循定方案、定岗、定位、定员、定目标、定工作流程的方针。根据不同安全等级可分别制定不同的信息安全管理策略。

体系化的安全管理策略制定：应由与信息化领导小组组织制定，由该领导小组组织并提出指导思想，安全职能部门负责具体制定体系化的信息系统安全管理策略，包括总体策略和具体策略，并以文件形式表述。

安全策略的格式一般为：目标、范围、策略内容、角色责任、执行纪律、专业术语、版本历史等。

4）安全管理策略的发布

信息系统安全管理策略应以文档形式发布，根据不同安全等级分别对应不同的安全管理策略发布要求。

体系化的安全管理策略的发布（等保三级）：在较完整的安全管理策略发布的基础上，安全管理策略文档应注明发布范围，并有收发文登记。

修订后的发布：对只需进行少量修改的修订，可采取追加改动的方式发布；对需要进行较大修改的策略修订，可采取替代方式重新发布。

例2：实施ISO 27001管理体系的组织明确的信息安全管理策略

① 目的

制定