A+版大型企业信息安全管理制度实施指南.docx

1、A+版大型企业信息安全管理制度实施指南【A+版】大型企业信息安全管理制度实施指南1 策略管理 61.1 安全策略和管理制度 61.1.1 信息安全策略 61.1.2 信息安全管理制度 61.1.3 行为规范 71.2 安全规划 71.2.1 系统安全规划 71.2.2 系统安全规划的更新 81.2.3 阶段性行动计划 82 组织管理 82.1 组织机构 82.1.1 信息安全管理机构 82.1.2 信息安全管理人员 92.2 人员安全 92.2.1 工作岗位风险分级 92.2.2 人员审查 92.2.3 人员工作合同终止 102.2.4 人员调动 102.2.5 工作协议和条款 102.2.6

2、 第三方人员安全 112.2.7 人员处罚 112.3 安全意识和培训 112.3.1 安全意识 112.3.2 安全培训 122.3.3 安全培训记录 123 运行管理 133.1 风险评估和认证认可 133.1.1 安全分类 133.1.2 风险评估 133.1.3 风险评估更新 143.1.4 安全认证 143.1.5 安全认可 143.1.6 持续监控 153.2 系统与服务采购 153.2.1 资源分配 153.2.2 生命周期支持 163.2.3 采购 163.2.4 信息系统文件 163.2.5 软件使用限制 163.2.6 用户安装的软件 173.2.7 安全设计原则 173.

3、2.8 外包信息系统服务 173.2.9 开发配置管理 183.2.10 开发安全测试评估 183.3 配置管理 183.3.1 基线配置 193.3.2 配置变更控制 193.3.3 监督配置变更 203.3.4 变更访问限制 203.3.5 配置策略设置 203.3.6 功能最小化 203.4 应急计划和事件响应 213.4.1 应急计划 213.4.2 应急响应培训 213.4.3 应急和事件响应计划测试 213.4.4 应急和事件响应计划更新 223.4.5 事件处理 223.4.6 事件监控 223.4.7 事件报告 233.4.8 事件响应支持 233.5 系统管理与维护 233.

4、5.1 安全管理技术 243.5.2 常规维护 243.5.3 维护工具管理 243.5.4 远程维护 243.5.5 维护人员 253.5.6 维护及时性 254 技术管理 254.1 标识鉴别 254.1.1 身份标识和鉴别 254.1.2 设备标识和鉴别 264.1.3 标识管理 264.1.4 鉴别管理 274.1.5 登录和鉴别反馈 274.2 访问控制 284.2.1 账户管理 284.2.2 强制访问 294.2.3 信息流控制 294.2.4 职责分离 304.2.5 最小权限 304.2.6 不成功登录尝试 304.2.7 系统使用情况 314.2.8 最近登录情况 314.

5、2.9 并发会话控制 324.2.10 会话锁定 324.2.11 会话终止 324.2.12 对访问控制的监督和审查 334.2.13 不需鉴别或认证的行为 334.2.14 自动化标记 334.2.15 远程访问控制 344.2.16 无线接入访问控制 344.2.17 便携式移动设备的访问控制 344.2.18 个人信息系统 354.3 系统与信息完整性 354.3.1 漏洞修补 354.3.2 防恶意代码攻击 364.3.3 输入信息的限制 364.3.4 错误处理 364.3.5 输出信息的处理和保存 374.4 系统与通信保护 374.4.1 应用系统分区 374.4.2 安全域划

6、分 384.4.3 拒绝服务保护 384.4.4 边界保护 384.4.5 网络连接终止 384.4.6 公共访问保护 384.4.7 移动代码 394.5 介质保护 394.5.1 介质访问 394.5.2 介质保存 394.5.3 信息彻底清除 404.5.4 介质的废弃 404.6 物理和环境保护 404.6.1 物理访问授权 414.6.2 物理访问控制 414.6.3 显示介质访问控制 414.6.4 物理访问监视 414.6.5 来访人员控制 424.6.6 来访记录 424.6.7 环境安全 424.7 检测和响应 424.7.1 事件审计 434.7.2 审计记录的内容 444

7、.7.3 审计处理 444.7.4 审计的监控、分析和报告 444.7.5 审计信息保护 454.7.6 审计保留 454.7.7 入侵检测 454.7.8 漏洞扫描 454.7.9 安全告警和响应 464.8 备份与恢复 464.8.1 信息系统备份 464.8.2 备份存储地点 474.8.3 备份处理地点 474.8.4 信息系统恢复与重建 471 策略管理安全策略是高层管理层决定的一个全面的声明 ，它规定在组织中安全问题扮演什么样的角色。组织安全策略为机构内部未来的所有安全活动提供了范围和方向。1.1 安全策略和管理制度对各级部门制定总体的信息安全策略、信息安全管理制度和相应的行为规范

8、，指导信息安全保障工作更好的开展。1.1.1 信息安全策略信息安全策略是高级管理层决定的一个全面的声明，它规定在组织中安全问题扮演什么样的角色。它能够为信息安全提供符合业务要求和相关法律法规的管理指导和支持。要求对各级部门制定总体信息安全策略，详细阐述目标、范围、角色、责任以及合规性等；制定高层信息安全策略，部门级安全策略，系统级安全策略；开发、发布、并定期更新信息安全策略；内容信息安全策略的内容要覆盖安全规划、组织机构、人员安全、安全意识和培训、风险评估、认证认可、系统与服务采购、配置管理、应急计划、事件响应、系统维护、标识鉴别、访问控制、系统与信息完整性、系统与通信保护、抗抵赖、介质保护、

9、物理和环境保护、检测响应恢复等各方面；信息安全策略定义了明确所要保护的总体安全目标与范围；信息安全策略经过本级主管信息工作的领导批准，正式颁布，并定期根据实施效果进行修订。1.1.2 信息安全管理制度信息安全管理制度是为了更好地保证系统的信息安全，是信息安全策略的进一步实施的具体化。要求制定严格的规范化的信息安全管理制度，以促进信息安全策略的实施；内容对信息的生成、存储、查看、传输、复制、备份、归档、销毁等制定严格的管理制度；对信息系统中设备与系统的接入、运行、维护、管理的规定；有安全管理值班制度与事故报告处理制度，应急响应预案以及各种应用系统用户授权管理与系统运行管理规定等；根据管理制度的执

10、行情况定期审核，修订。1.1.3 行为规范行为规范规定了系统的各类使用和管理人员的岗位职责，规定了各类人员的责任和所允许信息系统的权利。要求对信息系统的各类使用和管理人员的岗位职责、行为规范制定管理规定，并描述其责任和所允许的访问信息和信息系统的正当行为；所有用户在被授权访问信息系统之前，应以书面签认方式确认其已经知悉、理解并愿意遵守相关的规范。内容管理制度印发给有关管理和应用人员，并抽查，以验证其是否了解应遵守的行为规范。1.2 安全规划制定较为完整的信息安全规划，以指导信息安全保障工作的开展。安全规划包括系统安全规划、系统安全规划的更新、阶段性行动计划。1.2.1 系统安全规划系统安全规划

11、是对信息系统安全一个全面的规划，用来描述系统的安全要求和满足安全规划采用的安全控制措施。要求为信息系统制定并实施安全规划，对系统的安全要求以及满足这些安全需求的在用的或计划采用的安全控制措施进行描述；高层领导应审核、批准安全规划，并采用统一规划、分步实施的原则贯彻执行。内容结合xxxx的信息系统安全的总体目标和安全需求，制定针对性的信息安全规划；1.2.2 系统安全规划的更新系统安全是一个动态的过程，系统安全规划要定期审核并修订，当发生重大变更时，要用时对系统安全规划进行更新。要求定期审核并修订信息系统安全规划，以解决在计划实施中或安全控制评估中发现的问题，以及应对信息系统或组织的变更。内容定

12、期或发生重大变更时，对信息安全规划进行审核和修订；信息安全规划的修改要严格遵守相关的策略和流程，并得到主管领导的批准。1.2.3 阶段性行动计划信息系统的生命周期有不同的阶段，在每一个阶段信息系统的安全需求是不同的，要对每个阶段编制、开发或更新信息系统的行动计划。要求编制开发和更新信息系统的活动和里程碑计划，并将已计划的、已实施的、和经过评估的行为文件化，以减少或消除系统中已知的脆弱性。内容有相应的活动和里程碑计划；活动和里程碑计划是在安全控制措施评估结果、安全影响分析和持续性监控活动的基础上进行更新的。2 组织管理2.1 组织机构2.1.1 信息安全管理机构要求组建本单位的信息安全管理机构，

13、该机构应由主管本单位信息安全工作的领导、负责具体工作的网络、安全管理人员组成，责任到人，具有领导信息安全工作、制定安全策略、监督管理等职能。内容组建信息安全管理机构及其机构组成，人员设置,并文件化；组建的信息安全管理机构有明确的信息安全管理职能（包括物理安全管理、身份鉴别管理、访问控制管理、安全审计管理、安全教育与培训等）；组建的信息安全管理机构是自上而下，分级负责的。2.1.2 信息安全管理人员要求信息安全管理机构中的安全管理人员应分权负责，以限制具有超级权限的人员存在。内容信息安全管理机构中的管理人员分权负责，系统管理员、安全管理员、安全审计员等分别都是由不同的人员担任；各种设备与系统由相

14、关的管理责任人，具有信息资产清单，并明文规定责任人的职责，责任人对其管理的设备及责任清楚。2.2 人员安全人员安全主要包括工作岗位风险分级、人员审查、人员工作合同终止、人员调动、工作协议和条款、第三方人员安全以及人员处罚等几个方面。2.2.1 工作岗位风险分级要求对工作岗位进行风险分级，并制定针对在各级岗位工作的人员审查机制；定期复核和修订不同工作岗位的风险分级。内容制定并实施工作岗位风险分级的制度；定期复核、修订工作岗位的风险分级。2.2.2 人员审查要求结合自身的业务需求、相关的法律法规、被访问信息的分类及面临风险等因素，对工作人员、合作者、第三方人员进行人员背景审查；在授权之前对需要访问

15、信息和信息系统的人员进行审查；制定人员审查流程，流程应描述进行人员审查的方式和限制条件，如规定谁有资格进行审查，在何时，通过什么方式，因为什么原因来进行审查等等。内容制定有关人员背景审查的制度和流程，并依此进行人员审查、核实工作。2.2.3 人员工作合同终止要求当人员工作合同终止时，应终止人员对信息系统的访问，并确保其归还所拥有与组织相关的资产；制定员工注册和注销流程，来授予和撤销员工对信息系统和服务的访问权限。内容明确规定和指派职责，以处理人员工作合同终止事宜；及时移除或封堵工作合同终止的人员对信息和信息处理系统的访问权限，包括物理和逻辑访问；及时更改工作合同终止人员所知晓的账户密码。2.2

16、.4 人员调动要求当工作人员被重新分配或调动到单位其它工作岗位时，应复查信息系统和设施的访问授权，并采取适当的措施（如重新发放身份卡，关闭原有账户的同时创建新账户，更改系统的访问授权等）。内容对人员调动采取适当的安全措施。2.2.5 工作协议和条款要求在对需要访问信息和信息系统的人员进行访问授权之前，签署适当的工作协议和条款（如，保密协议、按规定进行使用的协议、行为规范等）。内容制定和签署相关的工作协议和条款。2.2.6 第三方人员安全要求建立针对第三方人员（如服务机构、合作方、信息系统开发商、信息技术服务、应用系统外包、网络和安全管理等）的安全要求，并不断监督其遵从安全要求的情况以确保足够安

17、全。内容明确第三方参与的业务过程对信息和信息处理设施带来的风险，并采取适当的控制措施；同第三方签订的安全协议中，覆盖第三方在访问、处理、通信、管理组织信息或信息处理设施、增加产品或服务等活动中所有相关的安全要求，并清晰定义了其安全角色和责任。2.2.7 人员处罚要求建立正规的程序，处罚或制裁未遵守信息安全策略和流程的员工。内容在信息安全策略和程序文档中制定了关于人员处罚的相关程序。2.3 安全意识和培训安全意识和培训的目标是确保用户清楚信息安全威胁和利害关系。在安全程序、设备和信息系统的使用过程中培训工作人员，使工作人员有良好的安全意识，以降低可能的安全风险。安全意识和培训涉及以下内容：安全意

18、识、安全培训、安全培训记录。2.3.1 安全意识要求根据信息系统的特定安全要求，制定具有针对性的安全意识培训内容，确保所有人员（包括领导和普通工作人员）在被授权访问信息系统之前进行了基本的信息安全意识培训，并且定期进行培训。内容相关人员具备基本的信息安全意识。2.3.2 安全培训要求制定安全培训计划，并且定期按照计划进行培训；确定每个工作人员在信息系统中的安全角色和职责，将这些角色和职责文档化，在工作人员被授权访问系统之前提供适合的信息系统安全培训；依据自身的特定要求和工作人员授权访问的信息系统的不同，制定针对性较强的安全培训内容；确保系统管理员，管理者和其他有权访问系统层软件的人员在从事本职

19、工作之前进行了必要的技术培训。内容根据安全培训计划和安全培训教材以及工作人员的安全角色和职责制定针对性较强的信息安全培训；根据安全培训记录并结合安全培训计划，在适当的时间，对相关各类人员进行了必要的信息安全培训。2.3.3 安全培训记录要求记录并监督工作人员的信息系统安全培训过程，包括一些基本安全意识和安全技能培训，并应形成相关的培训记录。内容有相应的安全培训记录。3 运行管理3.1 风险评估和认证认可风险评估是对信息和信息处理设施所面临的威胁及其影响以及信息系统脆弱性及其发生可能性的评估。3.1.1 安全分类 在于对不同类别的信息和信息系统提供出不同等级的安全保护。要求对信息系统及其处理、加

20、工和存储的信息进行分类，并对不同类别的信息和信息系统应达到的提出安全保护要求；将安全分类作为涉及整个单位的一项工作，并将安全分类的依据和结果记录形成文件，由主管领导审核并批准。内容根据法律要求，对敏感性和关键性等因素对信息及信息系统进行分类。3.1.2 风险评估风险评估应包括评价风险程度的系统化的方法（风险分析）以及将估计的风险与风险准则进行比较从而确定风险重要程度的过程（风险评估）。要求标识信息系统的资产价值，识别信息系统面临的自然和人为的威胁，识别信息系统的脆弱性，分析各种威胁发生的可能性，并定量或定性的描述可能造成的损失、评估系统的风险级别；定期进行风险评估，以定期审核系统的安全风险和已

21、实施的安全控制的效果。内容对系统的资产价值进行了分级，信息系统面临的自然和人为的威胁有所定义，信息系统的脆弱性所在，对威胁发生的可能性有相对准确的分级，定量或定性描述结果符合系统的现状；在进行风险评估时，选择的服务商有相关的资质证明，其所依据的评估流程、评估方法是有效的和规范的；对安全控制的措施以及现有控制措施正确实施的程度是按照计划实施、产生的，其输出的结果满足系统的安全需求。3.1.3 风险评估更新信息系统的风险评估处于一个动态平衡状态，当系统内部有所变化，相对应的风险级别发生新的更新以符合新的风险状态。要求当信息系统发生重大变更时，应重新进行风险评估；制定相关规定，说明哪些是信息系统的重

22、大变动。内容当信息系统发生重大变更时，如设备改变或其它影响系统安全状态时，进行了风险评估更新，并对以前的风险评估有更新记录；有针对风险评估更新而制定的具体标准。3.1.4 安全认证保障信息系统安全技术产品具有可靠的安全保障能力。要求当前投入使用的信息系统安全技术产品应该按照有关法律法规得到国家权威机构的测评和认证，以确定信息安全技术产品的功能和性能可以满足系统的安全需求；邀请国家权威机构对本单位信息系统进行测评和认证，以确定信息系统的技术控制措施，安全管理规章和工程建设过程可以为系统的安全提供充分的保障；安全认证应结合到系统开发的生命周期（SDLC）中,并贯穿在生命周期的各个阶段。内容当前使用

23、的信息安全产品得到中国信息安全产品测评认证中心、公安部、国家保密局等国家权威部门的相关认证；通过国家权威机构对信息系统的安全保障能力的测评认证；认证结果对于当前系统是有效的（认证结果距检查时间不超过两年，得到认证后没有对系统进行较大的改动）。3.1.5 安全认可保障信息系统的安全运行。要求信息系统运行之前，以及信息安全产品投入正式使用之前需得到国家权威机构和上级主管部门的认可。内容信息系统的技术控制措施，安全管理规章和工程建设过程符合有关规定，并通过了有关的评估和认证；当前使用的信息安全产品符合相关规定，并通过了有关的评估和认证。3.1.6 持续监控保障信息系统安全的持续性、稳定性。要求监控信

24、息系统现有的安全控制措施，有计划地持续进行配置管理、信息系统组件控制、系统变更后的安全影响分析、现有安全控制措施评估和状态汇报等工作。内容制定并实施有关的规定，取得相应的认证认可，对系统的安全控制措施和安全保障能力进行持续的监控。3.2 系统与服务采购系统和服务采购涉及到资源分配、生命周期支持、信息系统文件、软件使用限制、用户安装的软件、安全设计原则、外包信息系统服务、开发人员配置管理、开发人员安全测试十个项目内容。3.2.1 资源分配要求定义投资控制过程所需的保护信息系统资源的范围；在信息系统规划中要确定安全要求；规划和预算文件中，要建立信息系统安全项目，将主要的规划和投资控制过程整合到一起

25、。内容定义投资控制的范围；信息系统规划中定义了相应的安全要求。3.2.2 生命周期支持要求管理信息系统要有其相应的生命周期；为系统开发生命周期安全考虑提供相应的实施指南。内容在相关的信息管理系统中明确关于系统生命周期的说明；有对应系统开发周期的相应的实施指南。3.2.3 采购要求采购合同中要明确定义相关的安全要求、安全规范和基于风险评估的信息系统要求；在信息系统所要求的文档中要包括安全配置说明和安全实施指南。内容采购合同满足该行业相关的安全需求；在信息系统所要求的文档中包括了相应的安全配置说明和安全实施指南。3.2.4 信息系统文件要求确保信息系统拥有完整齐全的文档，包括系统的详细设计方案和实

26、施方案，配置、安装和运行信息系统且能正确配置系统安全特性的指南；保证全部文档可用，并受到保护；提供描述信息系统中安全控制的功能属性文件。内容信息系统文件（如安全设计方案、建设方案、管理员和用户指南、系统安全配置参考文件等）完整，清晰地定义了文档的授权级别。3.2.5 软件使用限制要求对软件的使用进行限制；软件和所用相关文档与合同协商和法律版本一致；对软件和相关的文档的数量进行相应的许可保护，并对软件的复制和分发进行控制。内容制定软件使用政策，遵守软件许可协议，禁止使用盗版软件；控制用户可访问的范围，监控异常情况。例如：进行URL限制，关注异常流量等，对可疑问题是否及时上报；工作人员接收权威发布

27、部门发布的软件的相关信息，不接收和传播未经确认的信息。3.2.6 用户安装的软件要求对软件的下载和安装要有明确的规定；对软件的类型进行识别和分类，确认哪些是可以下载和安装的，哪些是被禁止的。内容有软件下载和安装的规定；安全软件的升级过程有相应的变更控制流程进行控制。3.2.7 安全设计原则要求使用安全工程原则设计和实施信息系统。内容组织机构采用信息系统安全工程原则来设计、开发和实施信息系统。3.2.8 外包信息系统服务要求执行和维护在服务协议中规定的信息安全服务提供级别；对第三方的服务提供进行管理；对第三方的服务的监控和审核进行管理；对第三方服务变更进行管理。(由于所涉及的业务系统，业务过程和

28、风险再评估的重要性，要对服务的变更过程进行管理，包括为改进现有的信息安全策略，流程和控制措施所实施的变更)。内容验证协议的执行情况，监控实际操作与协议的符合程度，对与协议不符的地方进行相应的管理，来确保第三方所提供的服务达到了协议中的要求；第三方实施了在第三方服务提供中所规定的安全控制措施，服务定义和提供服务的级别。3.2.9 开发配置管理要求对信息系统的开发要建立和实施配置管理计划，控制在开发过程中的变更，跟踪安全错误，要进行变更授权，提供计划和实施文档。内容为信息系统开发建立和实施了相应的配置管理计划；在控制可发过程之中的变更有记录。3.2.10 开发安全测试评估要求对信息系统开发要建立安

29、全测试和评估计划，并实施相应的计划，将相应的计划文档化。开发安全测试和评估结果应提交用于信息系统交付的安全认证和认可过程。内容开发的、在行业网上使用并涉及行业关键信息和数据的软件系统进行了安全评估，并通过了安全审核；对测试应用系统实施了访问控制；系统真实运行的信息复制到测试应用系统前先经过了正式授权；对系统真实运行的信息和使用情况进行了记录，以便审核追踪。3.3 配置管理配置管理是信息系统运行管理的一个重要组成部分。对网络设备、安全设备、操作系统、应用系统和数据库系统的配置进行正确有效的管理，是保证信息系统正常运行和消除系统安全风险最基本，最必要的手段。信息系统的管理和维护人员要在明确安全需求

30、的基础上，熟悉各个软硬件设备的当前配置情况，并在信息系统出现变更时按照配置管理策略和配置管理流程对配置进行及时的修改和记录。信息系统的管理和维护人员应该编制系统资产清单和当前系统的基线配置来记载系统中所有软硬件设备的基本信息（包括系统中各软硬件的生产厂商，产品类别，序列号，版本号以及该资产在系统中的物理位置和逻辑位置）和当前的配置情况。要将对资产清单和基线配置的更新作为系统更新或扩展的一项必要工作，保证资产清单和基线配置能反映系统当前的真实情况。并逐步使用自动化的工具（网管系统、安全集中管理平台等）自动生成和维护资产清单和基线配置。3.3.1 基线配置要求编制系统资产清单和当前系统的基线配置；对资产清单和基线配置的更新作为系统更新或扩展的一项必要工作；使用自动化工具自动生成和维护资产清单和基线配置。内容通过资产调查，确定系统中所有资产的基本信息；基线配置文档的完整性和准确性；实现网络设备和安全设备的集中管理，具备自动生成网络设备和安全设备的基线配置的能力。3.3.2 配置变更控制要求对配置的变更进