ISMSB信息安全管理规范Word文档格式.docx
《ISMSB信息安全管理规范Word文档格式.docx》由会员分享,可在线阅读,更多相关《ISMSB信息安全管理规范Word文档格式.docx(19页珍藏版)》请在冰豆网上搜索。
1.5设备管理5
1.5.1总则5
1.5.2系统主机维护管理办法5
1.5.3涉密计算机安全管理办法7
1.6系统安全管理8
1.7恶意代码防范管理9
1.8变更管理9
1.9安全事件处置9
1.10监控管理和安全管理中心10
1.11数据安全管理10
1.12网络安全管理11
1.13操作管理13
1.14安全审计管理办法13
1.15信息系统应急预案14
1.16附表错误!
未定义书签。
1信息安全规范
1.1总则
第1条为明确岗位职责,规范操作流程,确保公司信息系统的安全,根据《中华人民共和国计算机
信息系统安全保护条例》等有关规定,结合公司实际,特制订本制度。
第2条信息系统是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
第3条信息安全系统遵循安全性、可行性、效率性、可承担性的设计原则,将从物理安全、网络安全、支撑层系统安全、应用层系统安全、数据及资料安全几方面进行部署实施。
1.2环境管理
第1条信息机房由客户安排指定,但应该满足如下的要求:
1、物理位置的选择(G3)
序号
等级保护要求
1
机房应选择在具有防震、防风和防雨等能力的建筑内。
2
机房场地应避免设在建筑物的高层或地下室,以及用水设备的
下层或隔壁,如果不可避免,应采取有效防水措施。
2、防雷击(G3)
机房建筑应设置避雷装置。
应设置防雷保安器,防止感应雷。
3
机房应设置交流电源地线。
3、防火(G3)
机房应设置火灾自动消防系统,能够自动检测火情、自动报警,
并自动灭火。
机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料。
机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。
4、防水和防潮(G3)
主机房尽量避开水源,与主机房无关的给排水管道不得穿过主
机房,与主机房相关的给排水管道必须有可靠的防渗漏措施;
应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。
5、防静电(G3)
主要设备应采用必要的接地防静电措施。
机房应采用防静电地板。
6、温湿度控制(G3)
机房应设置温、湿度自动调节设施,使机房温、湿度的变化在
设备运行所允许的范围之内。
7、电磁防护(S2)
应采用接地方式防止外界电磁干扰和设备奇生耦合干扰。
电源线和通信线缆应隔离铺设,避免互相干扰。
应对关键设备和磁介质实施电磁屏蔽。
8、物理访问控制(G3)
机房各出入口应安排专人值守或配置电子门禁系统,控制、鉴别和记录进入的人员。
需进入机房的来访人员应经过申请和审批流程,并限制和监控
其活动范围。
应对机房划分区域进行管理,区域和区域之间应用物理方式隔
断,在重要区域前设置交付或安装等过渡区域;
4
重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。
9、防盗窃和防破坏(G3)
应将主要设备放置在机房内。
应将设备或主要部件进行固定,并设置明显的不易除去的标记。
应将通信线缆铺设在隐蔽处,可铺设在地下或管道中。
应对介质分类标识,存储在介质库或档案至中。
第2条由客户指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理。
第3条出入机房要有登记记录。
非机房工作人员不得进入机房。
外来人员进机房参观需经保密办批
准,并有专人陪同。
第4条进入机房人员不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质、食品等对设
备正常运行构成威胁的物品。
严禁在机房内吸烟。
严禁在机房内堆放与工作无关的杂物。
。
加
第5条机房内应按要求配置足够量的消防器材,并做到三定(定位存放、定期检查、定时更换)
强防火安全知识教育,做到会使用消防器材。
加强电源管理,严禁乱接电线和违章用电。
发现火险隐患,及时报告,并采取安全措施。
第6条机房应保持整洁有序,地面清洁。
设备要排列整齐,布线要正规,仪表要齐备,工具要到位,
资料要齐全。
机房的门窗不得随意打开。
第7条每天上班前和下班后对机房做日常巡检,检查机房环境、电源、设备等并做好相应记录(见
表一)。
第8条对临时进入机房工作的人员,不再发放门禁卡,在向用户单位保密部门提出申请得到批准后,
由安全保密管理员陪同进入机房工作。
1.3资产管理
第1条编制并保存与信息系统相关的资产清单,包括资产责任部门、重要程度和所处位置等内容。
第2条规定信息系统资产管理的责任人员或责任部门,并规范资产管理和使用的行为。
第3条根据资产的重要程度对资产进行标识管理。
第4条对信息分类与标识方法作出规定,并对信息的使用、传输和存储等进行规范化管理。
1.4介质管理
第1条建立介质安全管理制度,对介质的存放环境、使用、维护和销毁等方面作出规定。
第2条建立移动存储介质安全管理制度,对移动存储介质的使用进行管控。
第3条确保介质存放在安全的环境中,对各类介质进行控制和保护,并实行存储环境专人管理。
第4条对介质在物理传输过程中的人员选择、打包、交付等情况进行控制,对介质归档和查询等进行登记记录,并根据存档介质的目录清单定期盘点。
第5条对存储介质的使用过程、送出维修以及销毁等进行严格的管理,对带出工作环境的存储介质进行内容加密和监控管理,对送出维修或销毁的介质应首先清除介质中的敏感数据,对保密性较高的存储介质未经批准不得自行销毁。
第6条根据数据备份的需要对某些介质实行异地存储,存储地的环境要求和管理方法应与本地相同
第7条对重要数据或软件采用加密介质存储,并根据所承载数据和软件的重要程度对介质进行分类和标识管理。
1.5设备管理
1.5.1总则
第1条由系统管理员对信息系统相关的各种设备(包括备份和冗余设备)、线路等进行定期维护管理。
第2条建立基于申报、审批和专人负责的设备安全管理制度。
第3条建立明确维护人员的责任、涉外维修和服务的审批、维修过程的监督控制的管理制度。
第4条对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理,按操作规程实现主要设备(包括备份和冗余设备)的启动/停止、加电/断电等操作
第5条确保信息处理设备必须经过审批才能带离机房或办公地点。
1.5.2系统主机维护管理办法
第1条系统主机由系统管理员负责维护,未经允许任何人不得对系统主机进行更改操作。
第2条根据系统设计方案和应用系统运行要求进行主机系统安装、调试,建立系统管理员账户,设置管理员密码,建立用户账户,设置系统策略、用户访问权利和资源访问权限,并根据安全风险最小化原则及运行效率最大化原则配置系统主机。
第3条建立系统设备档案(见表二)、包括系统主机详细的技术参数,如:
品牌、型号、购买日期、序列号、硬件配置信息、软件配置信息、网络配置信息、系统配置信息,妥善保管系统主机保修卡,在系统主机软硬件信息发生变更时对设备档案进行及时更新。
第4条每周修改系统主机管理员密码,密码长度不得低于八位,要求有数字、字母并区分大小写。
第5条每周通过系统性能分析软件对系统主机进行运行性能分析,并做详细记录(见表四),根据分析情况对系统主机进行系统优化,包括磁盘碎片整理、系统日志文件清理,系统升级等。
第6条每周对系统日志、系统策略、系统数据进行备份,做详细记录(见表四)。
第7条每天检查系统主机各硬件设备是否正常运行,并做详细记录(见表五)。
第8条每天检查系统主机各应用服务系统是否运行正常,并做详细记录(见表五)。
第9条每天记录系统主机运行维护日记,对系统主机运行情况进行总结。
第10条在系统主机发生故障时应及时通知用户,用最短的时间解决故障,保证系统主机尽快正常运
行,并对系统故障情况做详细记录(见表六)。
第11条每月对系统主机运行情况进行总结、并写出系统主机运行维护月报,上报保密办。
第12条系统主机的信息安全等级保持要求:
1、身份鉴别
对登录操作系统的用户进行身份标识和鉴别。
操作系统和数据库系统管理用户身份鉴别信息应不易被冒用,口令复杂度应满
足要求并定期更换。
口令长度不得小于8位,且为子母、数子或特殊子符的混合组合,用户名和口令禁止相同。
启用登录失败处理功能,可米取结束会话、限制非法登录次数和自动退出等措施。
限制同一用户连续失败登录次数。
当对服务器进行远程管理时,采取必要措施,防止鉴别信息在网络传输过程中
被窃听。
5
为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一
性。
2、访问控制
启用访问控制功能,依据安全策略控制用户对资源的访问。
根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所
需的最小权限。
实现操作系统和数据库系统特权用户的权限分离。
限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令。
及时删除多余的、过期的帐户,避免共享帐户的存在。
3、剩余信息保护
保证操作系统和数据库系统用户的鉴别信息所在的存储空间,被释放或再分配
给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中。
确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新
分配给其他用户前得到完全清除。
4、入侵防范
操作系统应遵循最小安装的原则,仅安装必要的组件和应用程序,并通过设置
升级服务器等方式保持系统补丁及时得到更新,补丁安装前应进行安全性和兼
容性测试。
能够检测到对重要服务器进行入侵的行为,能够记录入侵的源IP、攻击的类
型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警。
能够对重要程序的完整性进行检测,并具有完整性恢复的能力。
5、恶意代码防范
在本机安装防恶意代码软件或独立部署恶意代码防护设备,代码软件版本和恶意代码库。
并及时更新防恶意
支持防恶意代码的统一管理。
主机防恶意代码产品应具有与网络防恶意代码产品不冋的恶意代码库。
6、资源控制
通过设定终端接入方式、网络地址范围等条件限制终端登录。
根据安全策略设置登录终端的操作超时锁定。
根据需要限制单个用户对系统资源的最大或最小使用限度。
对重要服务器进行监视,包括监视服务器的CPU硬盘、内存、网络等资源的
使用情况。
升级会员 