坚持积极防御和综合防范相结合,全面提高信息系统安全防护能力,立足国情,采用管理科学性和技术前瞻性结合的方法,保障信息系统的安全性达到所要求的目标;
(十一)自主保护和国家监管结合原则
对信息系统安全实行自主保护和国家保护相结合。组织机构要对自己的信息系统安全保护负责,相关部门有责任对信息系统的安全进行指导、监督和检查,形成自管、自查、自评和国家监管相结合的管理模式,提高信息系统的安全保护能力和水平,保障国家信息安全。
第八条在规划和建设信息系统时,信息系统安全防护措施应按照“三同步”原则,与信息系统建设同步规划、同步建设、同步投入运行。
第三章信息安全框架
第九条根据GB/T22239-2008《信息安全等级保护基本要求》,信息安全框架分为安全技术框架和安全管理框架。建立安全管理框架,包括安全管理机构、安全管理规定和制度,制定安全策略;建立安全运行中心,对全网进行全面管理、分析和故障支持响应;进行全网安全评估,建立内部评估规范,形成安全评估体系;有针对性地制定业务连续性计划策略,建设数据备份中心和灾难恢复中心;建立覆盖全网的安全技术体系,包括:物理安全、网络安全、主机安全、应用安全。
第四章附则
第十条本方针由我单位负责解释和修订。
第十一条本方针自印发之日起执行。
3