(完整版)涉密计算机安全策略文件
涉密电脑安全问题预案范文
一、预案背景随着信息化时代的到来,涉密电脑已成为国家安全、企业和个人信息安全的重要载体。
为保障涉密电脑的安全运行,防止涉密信息泄露,特制定本预案。
二、预案目标1. 提高涉密电脑的安全防护能力,确保涉密信息不被非法获取、篡改或泄露。
2. 建立健全涉密电脑安全管理制度,规范涉密电脑的使用和维护。
3. 加强员工安全意识教育,提高全员安全防范能力。
三、组织机构及职责1. 成立涉密电脑安全领导小组,负责制定、实施和监督本预案的执行。
2. 设立涉密电脑安全管理员,负责日常安全管理、安全检查和应急处置。
四、安全措施1. 物理安全(1)涉密电脑应存放在安全可靠的场所,防止被盗、被毁。
(2)限制无关人员进入涉密电脑存放区域,确保场所安全。
(3)设置防盗报警系统,及时发现并处理异常情况。
2. 网络安全(1)使用防火墙、入侵检测系统等网络安全设备,防止恶意攻击和非法访问。
(2)对涉密电脑进行安全加固,关闭不必要的网络服务,降低安全风险。
(3)定期更新操作系统和软件补丁,修复已知安全漏洞。
3. 数据安全(1)对涉密数据进行分类分级,制定相应的保密措施。
(2)采用加密技术对涉密数据进行加密存储和传输,确保数据安全。
(3)定期备份涉密数据,防止数据丢失或损坏。
4. 用户管理(1)严格审查涉密电脑用户资格,确保用户具备相应的保密意识和能力。
(2)对用户进行安全培训,提高用户安全意识。
(3)实行用户权限分级管理,限制用户对涉密信息的访问权限。
五、安全检查与评估1. 定期对涉密电脑进行安全检查,发现问题及时整改。
2. 对涉密电脑安全防护措施进行评估,不断完善安全管理体系。
六、应急处置1. 发现涉密电脑安全事件时,立即启动应急预案,采取相应措施。
2. 及时上报涉密电脑安全事件,配合相关部门进行调查和处理。
3. 对涉密电脑安全事件进行总结,分析原因,完善预案。
七、预案实施与监督1. 本预案由涉密电脑安全领导小组负责实施和监督。
2. 各部门、单位应按照本预案要求,落实安全措施,确保涉密电脑安全。
涉密计算机安全策略配置完整版
涉密计算机安全策略配置HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】涉密计算机安全策略配置一、物理安全防护1、安装防盗铁门2、安装红外报警器3、放置密码文件柜4、涉密电脑实行物理隔离二、硬件相关设置1、禁止使用无线设备(无线键盘、鼠标、网卡、红外、蓝牙、modem等);2、未经许可不得使用视频、音频输入设备、读卡器设备、刻录设备;3、接入红黑电源隔离插座;4、与非密设备间隔一米以上。
三、主板BIOS相关设置1、设置BIOS系统密码,该密码由安全保密管理员掌握;2、设置BIOS开机密码,该密码由用户掌握;3、BIOS最优先启动设置为硬盘启动,其余优先启动全部关闭;四、操作系统1、禁止安装番茄花园、雨林木风等经处理的操作系统,禁止安装Ghost版操作系统;2、更改A d m i n i s t r a t o r用户名并设置密码,禁用Guest帐户,删除多余帐户;3、关闭操作系统的默认共享,同时禁止设置其它共享;4、设置屏保时间10分钟,屏保恢复需用密码;5、不得安装《软件白名单》外的软件;6、对操作系统与数据库进行补丁升级(每季度一次〉;7、定期输出安全审计记录报告(每月一次)8、清理一切私人信息:私人照片、mp3、电影等等。
9、根据规定设置系统策略,关闭非必要服务;〔见后)五、安全保密防护软件的部署1、安装正版杀毒软件,涉密计算机(瑞星杀毒软件),涉密中间机、非涉密中间机(瑞星杀毒软件);杀毒软件每半个月更新一次病毒库并全盘扫描;2、安装主机监控审计软件与介质绑定系统;六、关闭计算机不必要的应用服务原则:在没有特殊情况下应当关闭不必要的服务。
如果有特殊需求,应当主动申请提出。
详细配置说明七、按以下要求配置操作系统策略。
涉密计算机安全保密策略档案表
涉密计算机和信息系统安全保密策略一、鉴别策略:1、用户终端设置BIOS启动口令2、登陆操作系统时需要身份鉴别。
身份鉴别为实名制,必须使用用户数码密钥并输入正确的用户名和密码后登陆系统。
3、用户名或密码错误三次以后自动锁定用户密码钥匙,需管理员进行解锁后方可使用。
4、用户身份鉴别成功后闲置时间超过5分钟需要新进行身份鉴别。
二、账户策略1、密码必须符合复杂性。
2、密码长度最小值为10个字符3、密码最长存留时间为30天4、复位账户锁定计数器1分钟之后5、账户锁定阀值:3次无效登陆三、本地策略1、启动监控:监控应用程序运行。
2、启动监控:监控移动介质使用。
3、启动日志:文档打印操作。
4、禁用:printscren 功能按键5、物理拆除:软盘驱动器。
6、禁用:光盘驱动器。
7、禁用:扫描仪、照相机。
8、禁用:调制解调器。
9、禁用:串行通讯口。
10、禁用:并行通讯口。
11、禁用:1394通讯口12、禁用:wifi无线网卡13、禁用:蓝牙设备四:网络安全1、禁用:本地连接。
2、禁用:网络修改。
3、禁用:新增加网卡。
4、禁用:红外设备。
5、禁用:PCMCIA设备。
五:软件安全1、用过合法渠道或官方网站定期下载系统补丁软件,并及时更新2、所有新的或变更的软件测试其:可用性、可靠性、可溶性、可恢复性和错误处理能力。
六:病毒防范1、安装2种以上可靠防毒软件,并定期查杀病毒。
2、对将要上传的文件资料进行病毒查杀在制作光盘3、对系统进行实时监测和过滤。
4、及时更新病毒库。
5、对发现的病毒及时查杀,可以的文件及时上报做好详细记录。
涉密计算机安全策略配置
涉密计算机安全策略配置一、物理安全防护1、安装防盗铁门2、安装红外报警器3、放置密码文件柜4、涉密电脑实行物理隔离二、硬件相关设置1、禁止使用无线设备(无线键盘、鼠标、网卡、红外、蓝牙、modem等);2、未经许可不得使用视频、音频输入设备、读卡器设备、刻录设备;3、接入红黑电源隔离插座;4、与非密设备间隔一米以上。
三、主板BIOS相关设置1、设置BIOS系统密码,该密码由安全保密管理员掌握;2、设置BIOS开机密码,该密码由用户掌握;3、BIOS最优先启动设置为硬盘启动,其余优先启动全部关闭;四、操作系统1、禁止安装番茄花园、雨林木风等经处理的操作系统,禁止安装Ghost版操作系统;2、更改A d m i n i s t r a t o r用户名并设置密码,禁用Guest帐户,删除多余帐户;3、关闭操作系统的默认共享,同时禁止设置其它共享;4、设置屏保时间10分钟,屏保恢复需用密码;5、不得安装《软件白名单》外的软件;6、对操作系统与数据库进行补丁升级(每季度一次〉;7、定期输出安全审计记录报告(每月一次)8、清理一切私人信息:私人照片、mp3、电影等等。
9、根据规定设置系统策略,关闭非必要服务;〔见后)五、安全保密防护软件的部署1、安装正版杀毒软件,涉密计算机(瑞星杀毒软件),涉密中间机、非涉密中间机(瑞星杀毒软件);杀毒软件每半个月更新一次病毒库并全盘扫描;2、安装主机监控审计软件与介质绑定系统;六、关闭计算机不必要的应用服务原则:在没有特殊情况下应当关闭不必要的服务。
如果有特殊需求,应当主动申请提出。
详细配置说明七、按以下要求配置操作系统策略。
XX公司涉密计算机安全策略文件-12页精选文档
航天天绘科技有限公司涉密计算机及信息系统安全策略文件1 概述涉密计算机及信息系统安全策略文件属于顶层的管理文档,是公司网络与信息安全保障工作的出发点和核心,是公司计算机与信息系统安全管理和技术措施实施的指导性文件。
涉密计算机及信息系统安全策略文件是公司计算机和信息系统全体管理和使用人员必须遵循的信息安全行为准则,由公司信息安全管理部门制订及解释,由公司保密委员会审批发布,并由信息安全管理部门组织公司全体人员学习与贯彻。
公司涉密计算机及信息系统涉及到存储、传输、处理国家秘密、公司商业秘密和业务关键信息,关系到公司的形象和公司业务的持续运行,必须保证其安全。
因此,必须从技术、管理、运行等方面制定确保涉密计算机和信息系统持续可靠运行的安全策略,做好安全保障。
本策略文件主要内容包括:人员安全、资产分类与控制、物理和环境安全、系统开发和维护、访问控制、个人计算机安全、风险管理、业务持续性管理与灾难恢复、计算机与网络运行管理、遵循性等十个方面。
2 适用范围2.1本策略所称的涉密计算机和信息系统指公司所有通过计算机及信息系统存贮、处理或传输的信息及存贮、处理或传输这些信息的硬件、软件及固件。
2.2本策略适用于与公司涉密计算机及信息系统相关的所有部门及人员。
3 目标制定涉密计算机及信息系统安全策略的目标就是确保公司掌握的国家秘密、公司商业秘密和业务关键信息的安全性,并通过一系列预防措施将信息安全可能受到的危害降到最低。
信息安全管理应在确保信息和计算机受到保护的同时,确保计算机和信息系统能够在允许的范围内正常运行使用。
同时,本策略的目的也是让所有员工能够了解信息安全问题以及明确各自的信息安全职责,严格遵守本安全策略,并遵守国家相关的计算机或信息安全法律要求。
4 组织4.1保密委员会是计算机及信息系统安全管理的领导机关,负责领导信息安全管理体系的建立和信息安全管理的实施,主要包括:◆提供清晰的指导方向,可见的管理支持,明确的信息安全职责授权;◆审查、批准信息安全策略和岗位职责;◆审查业务关键安全事件;◆批准增强信息安全保障能力的关键措施和机制;◆保证必要的资源分配,以实现数据有效性以及信息安全管理体系的持续发展。
保密认证涉密计算机安全防护策略
保密认证涉密计算机安全防护策略保密认证涉密计算机安全防护策略涉密计算机安全防护策略一、范围本安全策略说明了为使涉密单机符合《涉及国家秘密的信息系统分级保护技术要求》所应采取的一系列技术上的防护措施和手段以及相关要求。
本安全策略适用于涉密信息系统内的涉密单机的技术防护。
二、规范性引用文件BMB2-1998 《使用现场的信息设备电磁泄露发射检查测试方法和安全判据》BMB4-2000 《电磁干扰器技术要求和测试方法》BMB5-2000 《涉密信息设备使用现场的电磁泄露发射防护要求》GB 9361-1988 《计算站场地安全要求》三、术语和定义涉密单机:涉密计算机单机是指不与其他计算机相连接,单独存储、处理国家秘密信息的计算机(含便携式计算机)。
密级标识:用于标明信息秘密等级的数字化信息。
四、概述国家秘密信息的密级分为秘密级、机密级和绝密级。
涉密计算机应根据所处理的信息的最高等级由低到高划分为秘密级、机密级和绝密级三个等级。
在满足基本要求的基础上,根据等级划分情况选择相应等级的保护要求进行保护,然后再结合安全风险分析进行部分调整。
五、涉密计算机基本防护要求5.1 物理隔离涉密计算机严禁直接或间接连接国际互联网或者其他公共信息网络,必须实行物理隔离。
5.2 安全保密产品的选择涉密计算机中使用的安全保密产品原则上应选用国产设备。
安全保密产品应通过国家相关主管部门授权的评测机构的检测。
5.3 密级标识涉密计算机上的信息应有相应的密级标识。
六、涉密计算机防护要求6.1 物理安全6.1.1 环境安全6.1.1.1 重要涉密部位和机房选址6.1.1.1.1 秘密级a) 应选择远离境外驻华机构、境外人员驻地等涉外场所的场地或部位;机房选址应满足GB 9361-1988中B类安全机房场地选择要求。
6.1.1.1.2 机密级a) 应满足6.1.1.1.1的全部要求;b) 增强要求:应选择远离商业、娱乐、旅游、餐饮和宾馆等人员复杂的公共场所以及对外业务服务区的场地或部位。
涉密计算机安全保密策略
文件编号
页数
受控状态
涉密计算机安全保密策略
BM-QP-01
1/7
1、目的
为规范公司涉密计算机信息的安全、保密和管理,结合公司实际,制定本安全策略。本安全策略是在保证涉密计算机物理安全和运行安全的基础上,确保涉密信息在产生、存储、传递和处理过程中保密、完整、可用。
本安全策略以确保涉密计算机信息的保密性为主,以“多重保护、最小授权、综合防护”为原则,从物理安全、技术安全和管理安全等方面采取各种措施,分层防护,使各种保护措施相互补充,防止一层措施被突破后,涉密计算机信息的安全受到严重威胁。
5、资产现状与风险分析
5.1资产现状
公司采用单台计算机处理涉密信息、没有建设涉密信息系统。
重要资产包括:涉密计算机、外部设备、软件、信息资源、存储设备等,核心资产是涉密信息。
5.2主要的安全威胁
5.2.1非法访问
未经授权使用资产,包括非法用户进行违法操作及合法用户以未授权的方式进行操作。
编制
审核
核准
3/7
7.1.1环境安全
环境安全是指涉密计算机所在环境的安全。涉密计算机安置在经保密工作领导小组审批确定的保密要害部位。场地的选择应符合下列要求;
1.避开易发生火灾危险程度高的区域;
2.避开有害气体来源以及存放腐蚀、易燃、易爆物品的地方;
3.避开低洼、潮湿、落雷区域;
4.避开强震动源和强噪音源;
5.避开强电磁场的干扰;
2、使用范围
本安全策略适用于公司涉密办公用计算机信息的安全保密管理,适用于公司全体涉密人员,适用于工作时间和非工工作时间。
3、定义
无
4、作业指导
公司涉密计算机信息安全的保护范围是涉密计算机应用过程中涉及到的各种资产,包括:
涉密计算机安全保密策略档案表(共5篇)
涉密计算机安全保密策略档案表(共5篇)第一篇:涉密计算机安全保密策略档案表涉密计算机和信息系统安全保密策略一、鉴别策略:1、用户终端设置BIOS启动口令2、登陆操作系统时需要身份鉴别。
身份鉴别为实名制,必须使用用户数码密钥并输入正确的用户名和密码后登陆系统。
3、用户名或密码错误三次以后自动锁定用户密码钥匙,需管理员进行解锁后方可使用。
4、用户身份鉴别成功后闲置时间超过5分钟需要新进行身份鉴别。
二、账户策略1、密码必须符合复杂性。
2、密码长度最小值为10个字符3、密码最长存留时间为30天4、复位账户锁定计数器1分钟之后5、账户锁定阀值:3次无效登陆三、本地策略1、启动监控:监控应用程序运行。
2、启动监控:监控移动介质使用。
3、启动日志:文档打印操作。
4、禁用:printscren 功能按键5、物理拆除:软盘驱动器。
6、禁用:光盘驱动器。
7、禁用:扫描仪、照相机。
8、禁用:调制解调器。
9、禁用:串行通讯口。
10、禁用:并行通讯口。
11、禁用:1394通讯口12、禁用:wifi无线网卡13、禁用:蓝牙设备四:网络安全1、禁用:本地连接。
2、禁用:网络修改。
3、禁用:新增加网卡。
4、禁用:红外设备。
5、禁用:PCMCIA设备。
五:软件安全1、用过合法渠道或官方网站定期下载系统补丁软件,并及时更新2、所有新的或变更的软件测试其:可用性、可靠性、可溶性、可恢复性和错误处理能力。
六:病毒防范1、安装2种以上可靠防毒软件,并定期查杀病毒。
2、对将要上传的文件资料进行病毒查杀在制作光盘3、对系统进行实时监测和过滤。
4、及时更新病毒库。
5、对发现的病毒及时查杀,可以的文件及时上报做好详细记录。
第二篇:涉密计算机保密管理制度涉密计算机(含笔记本电脑)保密管理制度一、按照“谁主管谁负责、谁运行谁负责”的原则,保密员负责保密计算机系统的安全和保密管理;二、设计国家秘密的信息(以下简称涉密信息)应当在涉密信息系统中处理。
非涉密信息系统不得处理涉密信息。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
航天天绘科技有限公司涉密计算机及信息系统安全策略文件1 概述涉密计算机及信息系统安全策略文件属于顶层的管理文档,是公司网络与信息安全保障工作的出发点和核心,是公司计算机与信息系统安全管理和技术措施实施的指导性文件。
涉密计算机及信息系统安全策略文件是公司计算机和信息系统全体管理和使用人员必须遵循的信息安全行为准则,由公司信息安全管理部门制订及解释,由公司保密委员会审批发布,并由信息安全管理部门组织公司全体人员学习与贯彻。
公司涉密计算机及信息系统涉及到存储、传输、处理国家秘密、公司商业秘密和业务关键信息,关系到公司的形象和公司业务的持续运行,必须保证其安全。
因此,必须从技术、管理、运行等方面制定确保涉密计算机和信息系统持续可靠运行的安全策略,做好安全保障。
本策略文件主要内容包括:人员安全、资产分类与控制、物理和环境安全、系统开发和维护、访问控制、个人计算机安全、风险管理、业务持续性管理与灾难恢复、计算机与网络运行管理、遵循性等十个方面。
2 适用范围2.1本策略所称的涉密计算机和信息系统指公司所有通过计算机及信息系统存贮、处理或传输的信息及存贮、处理或传输这些信息的硬件、软件及固件。
2.2本策略适用于与公司涉密计算机及信息系统相关的所有部门及人员。
3 目标制定涉密计算机及信息系统安全策略的目标就是确保公司掌握的国家秘密、公司商业秘密和业务关键信息的安全性,并通过一系列预防措施将信息安全可能受到的危害降到最低。
信息安全管理应在确保信息和计算机受到保护的同时,确保计算机和信息系统能够在允许的范围内正常运行使用。
同时,本策略的目的也是让所有员工能够了解信息安全问题以及明确各自的信息安全职责,严格遵守本安全策略,并遵守国家相关的计算机或信息安全法律要求。
4 组织4.1保密委员会是计算机及信息系统安全管理的领导机关,负责领导信息安全管理体系的建立和信息安全管理的实施,主要包括:◆提供清晰的指导方向,可见的管理支持,明确的信息安全职责授权;◆审查、批准信息安全策略和岗位职责;◆审查业务关键安全事件;◆批准增强信息安全保障能力的关键措施和机制;◆保证必要的资源分配,以实现数据有效性以及信息安全管理体系的持续发展。
4.2信息安全管理部门具体负责建立和维持信息安全管理体系,协调相关活动,主要承担如下职责:◆调整并制定所有必要的信息安全管理规程、制度以及实施指南等;◆提议并配合执行信息安全相关的实施方法和程序,如风险评估、信息管理分层等;◆主动采取部门内的信息安全措施,如安全意识培训及教育等;◆配合执行新系统或服务的特殊信息安全措施;◆审查对信息安全策略的遵循性;◆配合并参与安全评估事项;◆根据信息安全管理体系的要求,定期向上级主管领导和保密委员会报告。
5 分层管理与控制5.1公司计算机及信息系统管理分为涉密计算机管理、内部网络(局域网)及计算机信息管理、互联网计算机信息管理三个管理层次。
5.2 涉密计算机只能处理涉及国家秘密的信息,实行物理隔离管理,只能由公司涉密人员使用,由公司保密员管理。
涉密计算机信息数据必须被保护以防止被泄漏、破坏或修改。
5.3 内部网络(局域网)及计算机配置加密管理措施,与互联网隔离,配置保密管理措施,只能通过局域网传输、储存技术文档、软件等涉及公司商业机密信息。
上述信息必须定期备份进行保护,以免破坏和非授权修改。
5.4 互联网计算机主要处理来自于外部资源的普通信息,配置上网行为管理措施,同样在信息安全防护上进行安全考虑。
5.5上述计算机及信息系统根据分层次管理的要求应当依据其分类进行物理标记。
6 人员安全策略为避免信息遭受人为过失、窃取、欺骗、滥用的风险,应当识别计算机及信息系统系统内部每项工作的信息安全职责并补充相关的程序文件。
公司全体人员都应该了解计算机及系统的网络与信息安全需求,公司必须为全体人员提供足够的培训以达到该安全目的,并为他们提供报告安全事件和威胁的渠道。
6.1工作定义及资源的安全工作人员从事或离开岗位时必须进行信息安全考虑,相关的安全事项必须包括在工作描述或合同中。
包括:◆对涉及访问秘密或关键信息,或者访问处理这些信息的系统的工作人员应进行严格审查和挑选;◆对信息系统具有特殊访问权限的工作人员应该签署承诺,保证不会滥用权限;◆当工作人员离开公司时应该移交信息系统的访问权限,或工作人员在公司内部更换工作岗位时应该重新检查并调整其访问权限。
6.2员工培训公司全体人员应了解计算机及信息系统的安全需求,并对如何安全地使用信息及相关系统和工具、信息安全策略和相关管理规定接受培训,熟悉信息安全的实施并加强安全意识。
6.3事件报告必须建立有效的信息反馈渠道,以便于公司人员一旦发现安全威胁、事件和故障,能及时向有关领导报告。
6.4信息处理设备可接受的使用策略公司禁止工作人员滥用计算机及信息系统的计算机资源,仅为工作人员提供工作所需的信息处理设备。
公司所有人员对系统网络和计算资源的使用(包括访问互联网)都必须遵守计算机及信息系统的安全策略和标准及所有适用的法律。
公司的计算机及信息系统应能防止使用人员连接到访问含有色情、种族歧视及其他不良内容的网站及某些非业务网站。
包括但不限于以下例子是不可接受的使用行为:◆使用信息系统资源故意从事影响他人工作和生活的行为。
◆工作人员通过信息系统的网络服务及设备传输、存储任何非法的、有威胁的、滥用的材料。
◆任何工作人员使用信息系统的计算机工具、设备和互联网访问服务来从事用于个人获益的商业活动(如炒股)。
◆工作人员使用信息系统服务来参与任何政治或宗教活动。
◆在没有信息安全管理部门的事先允许或审批的情况下,工作人员在使用的计算机中更改或安装任何类型的计算机软件和硬件。
◆在没有信息安全管理部门的事先允许或审批的情况下,工作人员拷贝、安装、处理或使用任何未经许可的软件。
6.5处理从互联网下载的软件和文件必须使用病毒检测软件对所有通过互联网(或任何其他公网)从信息系统之外的途径获得的软件和文件进行检查,同时,在获得这些软件和文件之前,信息安全管理部门必须研究和确认使用这些工具的必要性。
6.6工作人员保密协议公司所有人员必须在开始工作前,亲自签订计算机及信息系统保密协议。
6.7知识产权权利尊重互联网上他人的知识产权。
公司工作人员在被雇佣期间使用公司系统资源开发或设计的产品,无论是以何种方式涉及业务、产品、技术、处理器、服务或研发的资产,都是公司的专有资产。
7 物理和环境安全策略计算机信息和其他用于存储、处理或传输信息的物理设施,例如硬件、磁介质、电缆等,对于物理破坏来说是易受攻击的,同时也不可能完全消除这些风险。
因此,应该将这些信息及物理设施放置于适当的环境中并在物理上给予保护使之免受安全威胁和环境危害。
7.1安全区域根据信息安全的分层管理,应将支持涉密信息或关键业务活动的信息技术设备放置在安全区域中。
安全区域应当考虑物理安全边界控制及有适当的进出控制措施保护,安全区域防护等级应当与安全区域内的信息安全等级一致,安全区域的访问权限应该被严格控制。
7.2设备安全对支持涉密信息或关键业务过程(包括备份设备和存储过程)的设备应该适当地在物理上进行保护以避免安全威胁和环境危险。
包括:◆设备应该放置在合适的位置或加强保护,将被如水或火破坏、干扰或非授权访问的风险降低到可接受的程度。
◆对涉密信息或关键业务过程的设备应该进行保护,以免受电源故障或其他电力异常的损害。
◆对计算机和设备环境应该进行监控,必要的话要检查环境的影响因素,如温度和湿度是否超过正常界限。
◆对设备应该按照生产商的说明进行有序地维护。
◆安全规程和控制措施应该覆盖该设备的安全性要求。
◆设备包括存储介质在废弃使用之前,应该删除其上面的数据。
7.3物理访问控制信息安全管理部门应建立访问控制程序,控制并限制所有对计算计及信息系统计算、存储和通讯系统设施的物理访问。
应有合适的出入控制来保护安全场所,确保只允许授权的人员进入。
必须仅限公司工作人员和技术维护人员访问公司办公场所、布线室、机房和计算基础设施。
7.4建筑和环境的安全管理为确保计算机处理设施能正确的、连续的运行,应至少考虑及防范以下威胁:偷窃、火灾、温度、湿度、水、电力供应中断、爆炸物、吸烟、灰尘、振动、化学影响等。
必须在安全区域建立环境状况监控机制,以监控厂商建议范围外的可能影响信息处理设施的环境状况。
应在运营范围内安装自动灭火系统。
定期测试、检查并维护环境监控警告机制,并至少每年操作一次灭火设备。
7.5保密室、计算机房访问记录管理保密室、计算机房应设立物理访问记录,信息安全管理部门应定期检查物理访问记录本,以确保正确使用了这项控制。
物理访问记录应至少保留12个月,以便协助事件调查。
应经信息安全管理部门批准后才可以处置记录,并应用碎纸机处理。
8计算机和网络运行管理策略计算机和信息系统所拥有的和使用的大多数信息都在计算机上进行处理和存储。
为了保护这些信息,需要使用安全且受控的方式管理和操作这些计算机,使它们拥有充分的资源。
由于公司计算机和信息系统采用三层管理模式,不排除联接到外部网络,计算机和信息系统的运行必须使用可控且安全的方式来管理,网络软件、数据和服务的完整性和可用性必须受到保护。
8.1操作规程和职责应该制定管理和操作所有计算机和网络所必须的职责和规程,来指导正确的和安全的操作。
这些规程包括:◆数据文件处理规程,包括验证网络传输的数据;◆对所有计划好的系统开发、维护和测试工作的变更管理规程;◆为意外事件准备的错误处理和意外事件处理规程;◆问题管理规程,包括记录所有网络问题和解决办法(包括怎样处理和谁处理);◆事故管理规程;◆为所有新的或变更的硬件或软件,制定包括性能、可用性、可靠性、可控性、可恢复性和错误处理能力等方面的测试/评估规程;◆日常管理活动,例如启动和关闭规程,数据备份,设备维护,计算机和网络管理,安全方法或需求;◆当出现意外操作或技术难题时的技术支持合同。
8.2操作变更控制对信息处理设施和系统控制不力是导致系统或安全故障的常见原因,所以应该控制对信息处理设施和系统的变动。
应落实正式的管理责任和措施,确保对设备、软件或程序的所有变更得到满意的控制。
8.3介质的处理和安全性应该对计算机介质进行控制,如果必要的话需要进行物理保护:◆可移动的计算机介质应该受控;◆应该制定并遵守处理包含机密或关键数据的介质的规程;◆与计算相关的介质应该在不再需要时被妥善废弃。
8.4鉴别和网络安全鉴别和网络安全包括以下方面:◆网络访问控制应包括对人员的识别和鉴定;◆用户连接到网络的能力应受控,以支持业务应用的访问策略需求;◆专门的测试和监控设备应被安全保存,使用时要进行严格控制;◆通过网络监控设备访问网络应受到限制并进行适当授权;◆应配备专门设备自动检查所有网络数据传输是否完整和正确;◆应评估和说明使用外部网络服务所带来的安全风险;◆根据不同的用户和不同的网络服务进行网络访问控制;◆对IP地址进行合理的分配;◆关闭或屏蔽所有不需要的网络服务;◆隐藏真实的网络拓扑结构;◆采用有效的口令保护机制,包括:规定口令的长度、有效期、口令规则或采用动态口令等方式,保障用户登录和口令的安全;◆应该严格控制可以对重要服务器、网络设备进行访问的登录终端或登录节点,并且进行完整的访问审计;◆严格设置对重要服务器、网络设备的访问权限;◆严格控制可以对重要服务器、网络设备进行访问的人员;◆保证重要设备的物理安全性,严格控制可以物理接触重要设备的人员,并且进行登记;◆对重要的管理工作站、服务器必须设置自动锁屏或在操作完成后,必须手工锁屏;◆严格限制进行远程访问的方式、用户和可以使用的网络资源;◆接受远程访问的服务器应该划分在一个独立的网络安全区域;◆安全隔离措施必须满足国家、行业的相关政策法规。