信息安全管理制度实施指南.docx

信息安全管理制度实施指南.docx

《信息安全管理制度实施指南.docx》由会员分享，可在线阅读，更多相关《信息安全管理制度实施指南.docx（44页珍藏版）》请在冰豆网上搜索。

信息安全管理制度实施指南

xxxx信息安全管理制度实施指南

V1.0

1策略管理6

1.1安全策略和管理制度6

1.1.1信息安全策略6

1.1.2信息安全管理制度6

1.1.3行为规范7

1.2安全规划7

1.2.1系统安全规划7

1.2.2系统安全规划的更新8

1.2.3阶段性行动计划8

2组织管理8

2.1组织机构8

2.1.1信息安全管理机构8

2.1.2信息安全管理人员9

2.2人员安全9

2.2.1工作岗位风险分级9

2.2.2人员审查9

2.2.3人员工作合同终止10

2.2.4人员调动10

2.2.5工作协议和条款10

2.2.6第三方人员安全11

2.2.7人员处罚11

2.3安全意识和培训11

2.3.1安全意识11

2.3.2安全培训12

2.3.3安全培训记录12

3运行管理13

3.1风险评估和认证认可13

3.1.1安全分类13

3.1.2风险评估13

3.1.3风险评估更新14

3.1.4安全认证14

3.1.5安全认可14

3.1.6持续监控15

3.2系统与服务采购15

3.2.1资源分配15

3.2.2生命周期支持16

3.2.3采购16

3.2.4信息系统文件16

3.2.5软件使用限制16

3.2.6用户安装的软件17

3.2.7安全设计原则17

3.2.8外包信息系统服务17

3.2.9开发配置管理18

3.2.10开发安全测试评估18

3.3配置管理18

3.3.1基线配置19

3.3.2配置变更控制19

3.3.3监督配置变更20

3.3.4变更访问限制20

3.3.5配置策略设置20

3.3.6功能最小化20

3.4应急计划和事件响应21

3.4.1应急计划21

3.4.2应急响应培训21

3.4.3应急和事件响应计划测试21

3.4.4应急和事件响应计划更新22

3.4.5事件处理22

3.4.6事件监控22

3.4.7事件报告23

3.4.8事件响应支持23

3.5系统管理与维护23

3.5.1安全管理技术24

3.5.2常规维护24

3.5.3维护工具管理24

3.5.4远程维护24

3.5.5维护人员25

3.5.6维护及时性25

4技术管理25

4.1标识鉴别25

4.1.1身份标识和鉴别25

4.1.2设备标识和鉴别26

4.1.3标识管理26

4.1.4鉴别管理27

4.1.5登录和鉴别反馈27

4.2访问控制28

4.2.1账户管理28

4.2.2强制访问29

4.2.3信息流控制29

4.2.4职责分离30

4.2.5最小权限30

4.2.6不成功登录尝试30

4.2.7系统使用情况31

4.2.8最近登录情况31

4.2.9并发会话控制32

4.2.10会话锁定32

4.2.11会话终止32

4.2.12对访问控制的监督和审查33

4.2.13不需鉴别或认证的行为33

4.2.14自动化标记33

4.2.15远程访问控制34

4.2.16无线接入访问控制34

4.2.17便携式移动设备的访问控制34

4.2.18个人信息系统35

4.3系统与信息完整性35

4.3.1漏洞修补35

4.3.2防恶意代码攻击36

4.3.3输入信息的限制36

4.3.4错误处理36

4.3.5输出信息的处理和保存37

4.4系统与通信保护37

4.4.1应用系统分区37

4.4.2安全域划分38

4.4.3拒绝服务保护38

4.4.4边界保护38

4.4.5网络连接终止38

4.4.6公共访问保护38

4.4.7移动代码39

4.5介质保护39

4.5.1介质访问39

4.5.2介质保存39

4.5.3信息彻底清除40

4.5.4介质的废弃40

4.6物理和环境保护40

4.6.1物理访问授权41

4.6.2物理访问控制41

4.6.3显示介质访问控制41

4.6.4物理访问监视41

4.6.5来访人员控制42

4.6.6来访记录42

4.6.7环境安全42

4.7检测和响应42

4.7.1事件审计43

4.7.2审计记录的内容44

4.7.3审计处理44

4.7.4审计的监控、分析和报告44

4.7.5审计信息保护45

4.7.6审计保留45

4.7.7入侵检测45

4.7.8漏洞扫描45

4.7.9安全告警和响应46

4.8备份与恢复46

4.8.1信息系统备份46

4.8.2备份存储地点47

4.8.3备份处理地点47

4.8.4信息系统恢复与重建47

1策略管理

安全策略是高层管理层决定的一个全面的声明，它规定在组织中安全问题扮演什么样的角色。

组织安全策略为机构内部未来的所有安全活动提供了范围和方向。

1.1安全策略和管理制度

对各级部门制定总体的信息安全策略、信息安全管理制度和相应的行为规范，指导信息安全保障工作更好的开展。

1.1.1信息安全策略

信息安全策略是高级管理层决定的一个全面的声明，它规定在组织中安全问题扮演什么样的角色。

它能够为信息安全提供符合业务要求和相关法律法规的管理指导和支持。

要求

对各级部门制定总体信息安全策略，详细阐述目标、范围、角色、责任以及合规性等；制定高层信息安全策略，部门级安全策略，系统级安全策略；开发、发布、并定期更新信息安全策略；

内容

信息安全策略的内容要覆盖安全规划、组织机构、人员安全、安全意识和培训、风险评估、认证认可、系统与服务采购、配置管理、应急计划、事件响应、系统维护、标识鉴别、访问控制、系统与信息完整性、系统与通信保护、抗抵赖、介质保护、物理和环境保护、检测响应恢复等各方面；

信息安全策略定义了明确所要保护的总体安全目标与范围；

信息安全策略经过本级主管信息工作的领导批准，正式颁布，并定期根据实施效果进行修订。

1.1.2信息安全管理制度

信息安全管理制度是为了更好地保证系统的信息安全，是信息安全策略的进一步实施的具体化。

要求

制定严格的规范化的信息安全管理制度，以促进信息安全策略的实施；

内容

对信息的生成、存储、查看、传输、复制、备份、归档、销毁等制定严格的管理制度；

对信息系统中设备与系统的接入、运行、维护、管理的规定；

有安全管理值班制度与事故报告处理制度，应急响应预案以及各种应用系统用户授权管理与系统运行管理规定等；

根据管理制度的执行情况定期审核，修订。

1.1.3行为规范

行为规范规定了系统的各类使用和管理人员的岗位职责，规定了各类人员的责任和所允许信息系统的权利。

要求

对信息系统的各类使用和管理人员的岗位职责、行为规范制定管理规定，并描述其责任和所允许的访问信息和信息系统的正当行为；

所有用户在被授权访问信息系统之前，应以书面签认方式确认其已经知悉、理解并愿意遵守相关的规范。

内容

管理制度印发给有关管理和应用人员，并抽查，以验证其是否了解应遵守的行为规范。

1.2安全规划

制定较为完整的信息安全规划，以指导信息安全保障工作的开展。

安全规划包括系统安全规划、系统安全规划的更新、阶段性行动计划。

1.2.1系统安全规划

系统安全规划是对信息系统安全一个全面的规划，用来描述系统的安全要求和满足安全规划采用的安全控制措施。

要求

为信息系统制定并实施安全规划，对系统的安全要求以及满足这些安全需求的在用的或计划采用的安全控制措施进行描述；

高层领导应审核、批准安全规划，并采用统一规划、分步实施的原则贯彻执行。

内容

结合xxxx的信息系统安全的总体目标和安全需求，制定针对性的信息安全规划；

1.2.2系统安全规划的更新

系统安全是一个动态的过程，系统安全规划要定期审核并修订，当发生重大变更时，要用时对系统安全规划进行更新。

要求

定期审核并修订信息系统安全规划，以解决在计划实施中或安全控制评估中发现的问题，以及应对信息系统或组织的变更。

内容

定期或发生重大变更时，对信息安全规划进行审核和修订；

信息安全规划的修改要严格遵守相关的策略和流程，并得到主管领导的批准。

1.2.3阶段性行动计划

信息系统的生命周期有不同的阶段，在每一个阶段信息系统的安全需求是不同的，要对每个阶段编制、开发或更新信息系统的行动计划。

要求

编制开发和更新信息系统的活动和里程碑计划，并将已计划的、已实施的、和经过评估的行为文件化，以减少或消除系统中已知的脆弱性。

内容

有相应的活动和里程碑计划；

活动和里程碑计划是在安全控制措施评估结果、安全影响分析和持续性监控活动的基础上进行更新的。

2组织管理

2.1组织机构

2.1.1信息安全管理机构

要求

组建本单位的信息安全管理机构，该机构应由主管本单位信息安全工作的领导、负责具体工作的网络、安全管理人员组成，责任到人，具有领导信息安全工作、制定安全策略、监督管理等职能。

内容

组建信息安全管理机构及其机构组成，人员设置,并文件化；

组建的信息安全管理机构有明确的信息安全管理职能（包括物理安全管理、身份鉴别管理、访问控制管理、安全审计管理、安全教育与培训等）；

组建的信息安全管理机构是自上而下，分级负责的。

2.1.2信息安全管理人员

要求

信息安全管理机构中的安全管理人员应分权负责，以限制具有超级权限的人员存在。

内容

信息安全管理机构中的管理人员分权负责，系统管理员、安全管理员、安全审计员等分别都是由不同的人员担任；

各种设备与系统由相关的管理责任人，具有信息资产清单，并明文规定责任人的职责，责任人对其管理的设备及责任清楚。

2.2人员安全

人员安全主要包括工作岗位风险分级、人员审查、人员工作合同终止、人员调动、工作协议和条款、第三方人员安全以及人员处罚等几个方面。

2.2.1工作岗位风险分级

要求

对工作岗位进行风险分级，并制定针对在各级岗位工作的人员审查机制；

定期复核和修订不同工作岗位的风险分级。

内容

制定并实施工作岗位风险分级的制度；

定期复核、修订工作岗位的风险分级。

2.2.2人员审查

要求

结合自身的业务需求、相关的法律法规、被访问信息的分类及面临风险等因素，对工作人员、合作者、第三方人员进行人员背景审查；

在授权之前对需要访问信息和信息系统的人员进行审查；

制定人员审查流程，流程应描述进行人员审查的方式和限制条件，如规定谁有资格进行审查，在何时，通过什么方式，因为什么原因来进行审查等等。

内容

制定有关人员背景审查的制度和流程，并依此进行人员审查、核实工作。

2.2.3人员工作合同终止

要求

当人员工作合同终止时，应终止人员对信息系统的访问，并确保其归还所拥有与组织相关的资产；

制定员工注册和注销流程，来授予和撤销员工对信息系统和服务的访问权限。

内容

明确规定和指派职责，以处理人员工作合同终止事宜；

及时移除或封堵工作合同终止的人员对信息和信息处理系统的访问权限，包括物理和逻辑访问；

及时更改工作合同终止人员所知晓的账户密码。

2.2.4人员调动

要求

当工作人员被重新分配或调动到单位其它工作岗位时，应复