信息安全管理人员的要求.docx

1、信息安全管理人员的要求Dont live in the eyes of others, let alone live in the mouths of others.（WORD文档/A4打印/可编辑/页眉可删）信息安全管理人员的要求 一、网络安全管理员主要负责全公司网络（包含局域网、广域网）的系统安全性。二、 负责日常操作系统、网管系统、邮件系统的安全补丁、漏洞检测及修补、病毒防治等工作。三、 网络安全管-理-员应经常保持对最新技术的掌握，实时了解internet的动向，做到预防为主。四、 良好周密的日志记录以及细致的分析经常是预测攻击，定位攻击，以及遭受攻击后追查攻击者的有力武器。察觉到网络

2、处于被攻击状态后，网络安全管-理-员应确定其身份，并对其发出警告，提前制止可能的网络犯罪，若对方不听劝告，在保护系统安全的情况下可做善意阻击并向主管领导汇报。五、 在做好本职工作的同时，应协助机房管理人员进行机房管理，严格按照机房制度执行日常维护。六、 每月安全管理人员应向主管人员提交当月值班及事件记录，并对系统记录文件保存收档，以备查阅。具体文件及方法见附件。附件：在nt中是使用administrative tools菜单中event viewer查看系统的system、security、application日志文件。对netware而言，错误日志是syslog.err文件，通过sysco

3、n菜单中supervisor options下view file server errorlog观察记录，另外文卷错误日志文件是各文卷中的vollog.log以及事务跟踪处理系统错误日志文件sys:文卷中的ttslog.err文件。七、 unix中各项日志包括/usr/adm目录下的系统错误登记文件message、使用su命令的记录文件sulog、每个用户记录上次注册时间的登记文件lastlog、系统中注册用户的有关信息文件wtmp、每个用户所执行命令的内容项文件acct以及/etc目录下当前注册用户的有关信息文件utmp和其他应用程序产生的日志文件。对于其中的一些日志文件，可以采用who或w

4、命令查看当前系统的登录使用者（xenix系统中还可以用whodo命令确定当前用户的行为）；last命令查看以前的登录情况，这些命令都可以合并使用grep进行条件控制选择过滤；用find查看文件及其属主，特别监控具有根访问权的进程及文件以及检查开机文件/etc/nf、/etc/rc.local、/etc/passwd和corn或at运行的文件，并用corntab l 与corntab r命令对用户的corntab文件进行列出与删除管理；使用ls lr生成主检查表，并定期生成新表，使用diff命令进行比较，并使检查通过的新表成为新的主检查表，直到下一次检查为止。强烈建议在nf中注释掉所有的r打头的

5、命令文件，以及去掉/etc/hosts.equiv中的所有项并不允许用户设立个人的.rhosts文件，使可信主机不予设立或为空以加强系统的安全。一、出入管理1、 严禁非机房工作人员进入机房，特殊情况需经中心值班负责人批准，并认真填写登记表后方可进入。2、 进入机房人员应遵守机房管理制度，更换专用工作鞋；机房工作人员必须穿着工作服。3、 进入机房人员不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质等对设备正常运行构成威胁的物品。二、安全管理1、 操作人员随时监控中心设备运行状况，发现异常情况应立即按照预案规程进行操作，并及时上报和详细记录。2、 非机房工作人员未经许可不得擅自上机操作和对

6、运行设备及各种配置进行更改。3、 严格执行密码管理规定，对操作密码定期更改，超级用户密码由系统管-理-员掌握。4、 机房工作人员应恪守保密制度，不得擅自泄露中心各种信息资料与数据。5、 中心机房内严禁吸烟、喝水、吃食物、嬉戏和进行剧烈运动，保持机房安静。6、 不定期对机房内设置的消防器材、监控设备进行检查，以保证其有效性。三、操作管理1、 中心机房的数据实行双人作业制度；操作人员遵守值班制度，不得擅自脱岗。2、 值班人员必须认真、如实、详细填写机房日志等各种登记簿，以备后查。3、 严格按照每日预制操作流程进行操作，对新上业务及特殊情况需要变更流程的应事先进行详细安排并书面报负责人批准签字后方可

7、执行；所有操作变更必须有存档记录。4、 每日对机房环境进行清洁，以保持机房整洁；每周进行一次大清扫，对机器设备吸尘清洁。5、 值班人员必须密切监视中心设备运行状况以及各网点运行情况，确保安全、高效运行。6、 严格按规章制度要求做好各种数据、文件的备份工作。中心服务器数据库要定期进行双备份，并严格实行异地存放、专人保管。所有重要文档定期整理装订，专人保管，以备后查。四、运行管理1、 中心机房和开发调试机房隔离分设。未经负责人批准，不得在中心机房设备上编写、修改、更换各类软件系统及更改设备参数配置。2、 各类软件系统的维护、增删、配置的更改，各类硬件设备的添加、更换必需经负责人书面批准后方可进行；

8、必须按规定进行详细登记和记录，对各类软件、现场资料、档案整理存档。3、 为确保数据的安全保密，对各业务单位、业务部门送交的数据及处理后的数据都必须按有关规定履行交接登记手续。4、 部门负责人应定期与不定期对制度的执行情况进行检查，督促各项制度的落实，并作为人员考核之依据。数据中心信息安全管理及管控要求一、 数据中心信息安全管理总体要求1、信息安全管理架构与人员能力要求1.1信息安全管理架构IDC在当前管理组织架构基础上，建立信息安全管理委员会，涵盖信息安全管理、应急响应、审计、技术实施等不同职责，并保证职责清晰与分离，并形成文件。1.2人员能力具备标准化 信息安全管理体系内部审核员、CISP(

9、Certified Information Security Professional，国家注册信息安全专家)等相关资质人员。5星级IDC至少应具备一名合格的标准化信息安全管理内部审核员、一名标准化 主任审核员。4星级IDC至少应至少具备一名合格的标准化信息安全管理内部审核员2、信息安全管理体系文件要求，根据IDC业务目标与当前实际情况，建立完善而分层次的IDC信息安全管理体系及相应的文档，包含但不限于如下方面：2.1信息安全管理体系方针文件包括IDC信息安全管理体系的范围，信息安全的目标框架、信息安全工作的总方向和原则，并考虑IDC业务需求、国家法律法规的要求、客户以及合同要求。2.2风险评

10、估内容包括如下流程：识别IDC业务范围内的信息资产及其责任人;识别资产所面临的威胁;识别可能被威胁利用的脆弱点;识别资产保密性、完整性和可用性的丧失对IDC业务造成的影响;评估由主要威胁和脆弱点导致的IDC业务安全破坏的现实可能性、对资产的影响和当前所实施的控制措施;对风险进行评级。2.3风险处理内容包括：与IDC管理层确定接受风险的准则，确定可接受的风险级别等;建立可续的风险处理策略：采用适当的控制措施、接受风险、避免风险或转移风险;控制目标和控制措施的选择和实施，需满足风险评估和风险处理过程中所识别的安全要求，并在满足法律法规、客户和合同要求的基础上达到最佳成本效益。2.4文件与记录控制明

11、确文件制定、发布、批准、评审、更新的流程;确保文件的更改和现行修订状态的标识、版本控制、识别、访问控制有完善的流程;并对文件资料的传输、贮存和最终销毁明确做出规范。记录控制内容包括：保留信息安全管理体系运行过程执行的记录和所有发生的与信息安全有关的重大安全事件的记录;记录的标识、贮存、保护、检索、保存期限和处置所需的控制措施应形成文件并实施。2.5内部审核IDC按照计划的时间间隔进行内部ISMS审核，以确定IDC的信息安全管理的控制目标、控制措施、过程和程序符标准化标准和相关法律法规的要求并得到有效地实施和保持。五星级IDC应至少每年1次对信息安全管理进行内部审核。四星级IDC应至少每年1次对

12、信息安全管理进行内部审核。2.6纠正与预防措施IDC建立流程，以消除与信息安全管理要求不符合的原因及潜在原因，以防止其发生，并形成文件的纠正措施与预防措施程序无2.7控制措施有效性的测量定义如何测量所选控制措施的有效性;规定如何使用这些测量措施，对控制措施的有效性进行测量(或评估)。2.8管理评审IDC管理层按计划的时间间隔评审内部信息安全管理体系，以确保其持续的适宜性、充分性和有效性，最终符合IDC业务要求。五星级IDC管理层应至少每年1次对IDC的信息安全管理体系进行评审四星级IDC管理层应至少每年1次对IDC的信息安全管理体系进行评审。2.9适用性声明适用性声明必须至少包括以下3项内容：

13、 IDC所选择的控制目标和控制措施，及其选择的理由;当前IDC实施的控制目标和控制措施;标准化附录A中任何控制目标和控制措施的删减，以及删减的正当性理由。2.10业务连续性过业务影响分析，确定IDC业务中哪些是关键的业务进程，分出紧急先后次序; 确定可以导致业务中断的主要灾难和安全失效、确定它们的影响程度和恢复时间; 进行业务影响分析，确定恢复业务所需要的资源和成本，决定对哪些项目制作业务连续性计划(BCP)/灾难恢复计划(DRP)。2.11其它相关程序另外，还应建立包括物理与环境安全、信息设备管理、新设施管理、业务连续性管理、灾难恢复、人员管理、第三方和外包管理、信息资产管理、工作环境安全管

14、理、介质处理与安全、系统开发与维护、法律符合性管理、文件及材料控制、安全事件处理等相关流程与制度。二、信息安全管控要求1、安全方针信息安全方针文件与评审建立IDC信息安全方针文件需得到管理层批准、发布并传达给所有员工和外部相关方。至少每年一次或当重大变化发生时进行信息安全方针评审。2、信息安全组织2.1 内部组织2.1.1信息安全协调、职责与授权信息安全管理委员会包含IDC相关的不同部门的代表;所有的信息安全职责有明确成文的规定;对新信息处理设施，要有管理授权过程。2.1.2保密协议IDC所有员工须签署保密协议，保密内容涵盖IDC内部敏感信息;保密协议条款每年至少评审一次。2.1.3权威部门与

15、利益相关团体的联系与相关权威部门(包括，公安部门、消防部门和监管部门)建立沟通管道;与安全专家组、专业协会等相关团体进行沟通。2.1.4独立评审参考“信息安全管理体系要求”第5和第8条关于管理评审、内部审核的要求，进行独立的评审。审核员不能审核评审自己的工作;评审结果交管理层审阅。2.2 外方管理2.2.1外部第三方的相关风险的识别将外部第三方(设备维护商、服务商、顾问、外包方临时人员、实习学生等)对IDC信息处理设施或信息纳入风险评估过程，考虑内容应包括：需要访问的信息处理设施、访问类型(物理、逻辑、网络)、涉及信息的价值和敏感性，及对业务运行的关键程度、访问控制等相关因素。建立外部第三方信息安全管理相关管理制度与流程。2.2.2客户有关的安全问题针对客户信息资产的保护，根据合同以及相关法律、法规要求，进行恰当的保护。2.2.3处理第三方协议中的安全问题涉及访问、处理、交流(或管理)IDC及IDC客户的信息或信息处理