ISMS-B-2015 信息安全管理规范
ISMS信息安全管理及相关标准简介
信息安全管理及相关标准简介一、社会发展对信息资源的依赖程度人类正进入信息化社会,社会发展对信息资源的依赖程度越来越大,从人们日常生活、组织运作到国家管理,信息资源都是不可或缺的重要资源,没有各种信息的支持,现代社会将不能生存和发展。
在信息社会中,一方面信息已成为人类重要资产,在政治、经济、军事、教育、科技、生活等方面发挥着重要作用,另一方面计算机技术的迅猛发展而带来的信息安全问题正变得日益突出。
由于信息具有易传播、易扩散、易毁损的特点,信息资产的比传统的实物资产更加脆弱,更容易受到损害,使组织在业务运作过程中面临大量的风险。
其风险主要来源于组织管理、信息系统、信息基础设施等方面的固有薄弱环节,以及大量存在于组织内、外的各种威胁,因此对信息系统需要加以严格管理和妥善保护。
信息可以理解为消息、情报、数据或知识,它可以以多种形式存在,可以是组织中信息设施中存储与处理的数据、程序,可以是打印出来的或写出来的论文、电子邮件、设计图纸、业务方案,也可以显示在胶片上或表达在会话中消息。
所有的组织都有他们各自处理信息的形式,例如,银行、保险和信用卡公司都需要处理消费者信息,卫生保健部门需要管理病人信息,政府管理部门存储机密的和分类信息。
无论组织对这些信息采用什么样的共享、处理和存储方式,都需要对敏感信息加以安全、妥善的保护,不仅要保证信息处理和传输过程是可靠的、有效的,而且要求重要的敏感信息是机密的、完整的和真实的。
为达到这样的目标,组织必须采取一系列适当的信息安全控制措施才可以使信息避免一系列威胁,保障业务的连续性,最大限度地减少业务的损失,最大限度地获取投资回报。
在ISO27002中,对信息的定义更确切、具体:“信息是一种资产,像其他重要的业务资产一样,对组织具有价值,因此需要妥善保护”。
通过风险评估与控制,不但能确保企业持续营运,还能减少企业在面对类似‘911事件’之时出现的危机。
二、信息安全的内容网络技术的发展加速了信息的传输和处理,缩短了人们之间的时空距离,方便了交流;同时对信息安全提出了新的挑战。
信息安全管理体系(ISMS)的建立与运行
信息安全管理体系(ISMS)的建立与运行随着互联网的快速发展,信息技术的应用越来越广泛,各种信息系统成为企业、机构和个人工作与生活中不可或缺的一部分。
然而,与此同时也带来了信息安全的挑战,如数据泄露、网络攻击等。
为了保护信息资产的安全,许多组织开始建立和运行信息安全管理体系(ISMS)。
一、信息安全管理体系的定义信息安全管理体系是指由一系列的政策、规程、流程以及控制措施组成的体系,目的是确保信息资产的机密性、完整性和可用性,同时管理各种信息安全风险。
ISMS的建立和运行需要全面考虑组织内外的各种因素,包括技术、人员、流程等方面的要求。
二、信息安全管理体系的建立过程1. 确定ISMS的目标和范围在建立ISMS之前,组织需要明确目标和范围。
目标是指建立ISMS的目的和期望达到的效果,范围是指ISMS所适用的信息系统和相关流程的范围。
确定目标和范围是建立ISMS的基础步骤。
2. 进行信息资产评估与风险管理信息资产评估是识别和分类信息资产,并评估其价值和风险程度。
风险管理是指根据评估结果制定相应的控制措施,降低风险发生的可能性和影响程度。
3. 制定信息安全策略和政策信息安全策略是指组织对信息安全的整体战略和规划,包括对资源的投入、目标的设定和实施手段等。
信息安全政策是具体的规范和指导文件,明确组织对信息安全的要求和要求。
4. 设计和实施信息安全控制措施根据信息安全策略和政策,设计和实施相应的信息安全控制措施。
这包括技术措施、管理措施和组织措施等。
技术措施主要包括访问控制、加密、备份和恢复等;管理措施主要包括人员培训、安全审计和合规监测等;组织措施主要包括角色分工、责任制定和安全文化的培养等。
5. 进行监控和改进ISMS的建立和运行是一个持续的过程,组织需要定期进行监控和改进。
监控包括评估控制措施的有效性、检测潜在的安全事件和漏洞等;改进包括根据监控结果进行调整和优化,提高ISMS的效果。
三、信息安全管理体系的运行1. 信息安全意识培训组织需要对员工进行信息安全意识培训,提高员工对信息安全的认识和重视程度。
信息安全管理体系(ISMS)内部讲解稿
信息安全管理体系(ISMS)内部讲解稿北京卓越同舟:罗晓峰什么是ISMS?ISMS是信息安全管理体系的英文缩写,ISO27001是规范信息安全管理体系的国际标准,它起源于英国标准协会(BSI)20世纪90年代制定的英国国家标准:BS7799,经过十年的不断完善,国际标准化组织(ISO)和国际电工学会(IEC)联合将BS7799标准转化为正式的国际标准,在2005年10月15日正式发布、其全称为:《ISO/IEC 27001:2005 信息技术 安全技术 信息安全管理体系 要求》。
ISO27001标准发布后迅速得到全球各国各类组织的接受和认可,为世界所有国家和地区、所有类型、所有规模的组织系统和全面解决信息安全问题提供了有力武器。
该标准采用了成熟的PDCA过程方法和先进的风险评估、风险管理理念,针对企业信息安全管理设置了11个大类,制定了39个控制目标及133个控制措施。
通过规范组织建立、实施和保持信息安全管理体系,实施全面系统化地信息安全管理,并持续改进组织的信息安全管理绩效,有效保障组织的信息安全。
在ISO27001标准发布后,国际标准化组织在不断研究标准的更新换版和增加新的管理标准。
目前,国际标准化组织已经在信息安全管理领域颁布了11个信息安全系列标准,完善和壮大了信息安全管理标准家族。
信息安全的重要性当今社会是信息爆炸的时代,信息成为了组织赖以生存的重要资产,我们平时接触到的制度、记录、数据、计划、方案、系统软件、应用软件、工具软件、存储传输信息和使用信息的设备、对信息使用和操作的人员、应用和提供信息的各种服务等等都是信息资产,其价值与日俱增,重要性关系到组织的生存和发展,与此同时信息也面临着各种各样和越来越多的安全威胁。
信息安全事件一旦发生,将对组织的信息资产造成破坏,给组织带来直接的经济损失,损害组织的声誉和公众形象,使组织丧失市场机会和竞争力,甚至威胁到组织的生存。
因此,组织需要采取针对性的手段和方法来加强信息安全管理,例如:电脑病毒有导致信息资产失窃或损坏的危险,可安装防火墙、杀毒软件,并对电脑进行定期查毒;组织OA办公系统有导致重要信息资料被无关人员读取的风险,可根据职权规定不同的访问权限;关键业务服务器损坏可导致组织业务停顿,可以配备异地备用服务器并及时备份数据;聘请外公司人员为本公司工作,有公司信息资料流失的危险,应与外公司人员签订保密协议;为防止内、外部人员和工业间谍的窃取,可采用分权限的门禁系统,防止各种人员进入无权限工作场所,作废的文件资料在监视下进行销毁等。
ISMS手册-信息安全管理体系手册
信息安全管理IT服务管理体系手册发布令本公司按照ISO20000:2005《信息技术服务管理—规范》和ISO27001:2005《信息安全管理体系要求》以及本公司业务特点编制《信息安全管理&IT服务管理体系手册》,建立与本公司业务相一致的信息安全与IT服务管理体系,现予以颁布实施。
本手册是公司法规性文件,用于贯彻公司信息安全管理方针和目标,贯彻IT服务管理理念方针和服务目标。
为实现信息安全管理与IT服务管理,开展持续改进服务质量,不断提高客户满意度活动,加强信息安全建设的纲领性文件和行动准则。
是全体员工必须遵守的原则性规范。
体现公司对社会的承诺,通过有效的PDCA活动向顾客提供满足要求的信息安全管理和IT服务。
本手册符合有关信息安全法律法规要求以及ISO20000:2005《信息技术服务管理—规范》、ISO27001:2005《信息安全管理体系要求》和公司实际情况。
为能更好的贯彻公司管理层在信息安全与IT服务管理方面的策略和方针,根据ISO20000:2005《信息技术服务管理—规范》和ISO27001:2005《信息安全管理体系要求》的要求任命XXXXX为管理者代表,作为本公司组织和实施“信息安全管理与IT服务管理体系”的负责人。
直接向公司管理层报告。
全体员工必须严格按照《信息安全管理&IT服务管理体系手册》要求,自觉遵守本手册各项要求,努力实现公司的信息安全与IT服务的方针和目标。
管理者代表职责:a) 建立服务管理计划;b) 向组织传达满足服务管理目标和持续改进的重要性;e) 确定并提供策划、实施、监视、评审和改进服务交付和管理所需的资源,如招聘合适的人员,管理人员的更新;1.确保按照ISO207001:2005标准的要求,进行资产识别和风险评估,全面建立、实施和保持信息安全管理体系;按照ISO/IEC 20000 《信息技术服务管理-规范》的要求,组织相关资源,建立、实施和保持IT服务管理体系,不断改进IT服务管理体系,确保其有效性、适宜性和符合性。
信息安全服务管理规范
信息安全服务管理规范信息安全服务管理规范(ISMS)是指在组织内建立和实施一套持续不断的信息安全管理机制、流程和方法,旨在确保组织能够对信息资产进行全面的管理和保护。
该规范可以涵盖从信息安全政策制定到信息安全事件响应的全过程,为组织提供一种科学、规范的管理方式,以确保信息安全工作的有效实施。
一、规范制定与实施1.组织应根据自身的信息安全需求制定并定期更新信息安全策略,以确保信息资产得到合理的保护。
2.组织应制定详细的信息安全管理流程、规程和方法,以确保信息安全管理工作的规范实施。
3.组织应确保信息安全管理流程、规程和方法能够与组织内部其他管理系统相衔接,形成一个完整的管理体系。
4.组织应指定信息安全管理人员,负责信息安全管理工作的日常运行和监督。
二、信息资产管理1.组织应对所有的信息资产进行全面的分类、识别和管理,并建立相应的信息资产清单。
2.组织应对信息资产进行风险评估,根据风险评估结果确定相应的信息安全控制措施。
3.组织应对信息资产进行定期的备份和恢复,以确保信息资产的完整性和可用性。
4.组织应对信息资产进行访问控制,建立适当的权限和访问控制机制,以防止未经授权的访问和使用。
三、人员管理1.组织应对所有员工进行信息安全教育和培训,提高员工的信息安全意识和技能。
2.组织应制定并实施人员离职时的信息安全处理程序,以确保离职员工不再具有对信息资产的未授权访问权限。
3.组织应建立信息安全意识培训的考核机制,对参与培训的员工进行考核,以确保培训效果的达到。
四、物理环境管理1.组织应确保信息系统和信息资产得到合理的物理保护,确保信息系统和信息资产的安全性和可用性。
2.组织应对机房、服务器及其他重要信息系统设备进行定期巡检和维护,确保设备的正常运行。
3.组织应确保机房和其他重要区域设有门禁和监控系统,以防止未经授权的人员进入,并对设备和区域进行实时监控。
五、安全事件管理1.组织应建立完善的安全事件管理流程,对信息安全事件进行及时的响应和处置。
网络信息安全管理体系(ISMS)的建立与运作
网络信息安全管理体系(ISMS)的建立与运作随着互联网的快速发展和普及,网络信息安全问题日益引起人们的关注。
为了保护个人、组织和国家的网络信息安全,建立网络信息安全管理体系(ISMS)成为当务之急。
本文将探讨网络信息安全管理体系的建立与运作。
一、网络信息安全管理体系的定义与目标网络信息安全管理体系(Information Security Management System,ISMS)是一种基于国际标准(如ISO 27001)、策略和程序的一套综合性安全控制措施,旨在管理组织的信息资产,确保其机密性、完整性和可用性。
ISMS的主要目标是:1. 保护组织的信息资产免受未经授权的访问、使用、披露、破坏、修改、复制或泄漏;2. 遵守法律法规和合同要求,保障信息资产的合规性;3. 确保持续的业务连续性,降低信息安全事件对组织的影响;4. 提升信息安全意识和能力,建立安全文化。
二、网络信息安全管理体系的建立与运作步骤1. 制定网络信息安全政策网络信息安全政策应由企业高层领导制定,并明确表述企业的信息安全目标和原则。
该政策应与组织的使命和价值观保持一致,并经常进行评估和修订。
2. 进行信息资产风险评估通过对组织的信息资产进行全面的风险评估,识别潜在的威胁和漏洞。
评估结果将帮助决策者确定需要采取哪些安全措施,并为后续的安全管理决策提供科学依据。
3. 制定信息安全控制措施根据信息资产风险评估的结果,制定适当的信息安全控制措施,包括技术控制、物理控制和组织控制等方面。
措施应根据风险的优先级和严重性进行优先级排序,并制定相应的实施计划。
4. 实施信息安全控制措施将制定好的信息安全控制措施付诸实施,并确保其得到全面有效执行。
这包括组织培训、技术实施、安全意识教育等方面的工作。
同时,确保员工、供应商和合作伙伴遵守相关安全规定。
5. 进行内部审核和管理评审定期进行ISMS内部审核,评估安全措施的有效性和合规性。
内部审核应由一支独立的团队进行,确保评审的客观性和准确性。
《信息技术安全技术信息安全管理
ISO/IEC 17799:2000 开始修订 2005
ISO/IEC 17799 更改编号为 ISO/IEC 27002
2007
2008年12月1日
二、国家标准GB/T 22081:2008研究及编制背景 简介
2008年12月1日
9
研究背景信息
2002年,在全国信安标委WG7工作组的组织下,启动了 ISO/IEC 17799:2000的转标工作。2005年,作为国家标 准发布,即GB/T 19716:2005《信息技术 信息安全管理 实用规则》。 随着国际ISO/IEC 27000标准族研究的全面推进,以及 它所带来的对国内外企业市场竞争的影响,为了能与国 际信息安全管理体系认证形势相衔接,并给国内企业和 机构的信息安全管理工作提供参考,在长期跟踪研究国 际信息安全管理体系标准族发展动态的同时,2006年, 正式启动对GB/T 19716:2005的修订工作。2008年, GB/T 22081:2008《信息技术 安全技术 信息安全管理 实用规则》发布。
2008年12月1日 11
GB/T 22081:2008的编制过程
2005年,跟踪国际标准17799的发展动态,组织专家等同转化, 多次研讨; 2006年,作为原国信办组织的“信息安全管理标准应用试点”的基 础标准之一,在税务、证券等重要信息系统和北京市、上海市、 武汉钢铁集团公司等单位进行试用; 2007年2月-3月,就标准的编制原则、标准的编制进度安排以及 标准编写组成员单位组成等问题组织专家进行讨论和研究,修改 完善文本,形成标准征求意见稿; 2007年3月30日,邀请重要应用信息系统部门相关领导以及全国 信安标委的部分专家在北京召开征求意见会; 2007年3月至8月,对反馈意见进行汇总和处理,进一步修改完善 标准文本,形成标准送审稿; 2007年9月6日,信安标委秘书处在北京召开送审稿专家审定会, 与会专家就送审稿提出了修改意见和建议,希望编制组根据专家 意见进行修改后尽快形成报批稿。
信息安全管理体系(ISMS)
信息安全管理体系(ISMS)信息安全是现代社会中不可或缺的重要组成部分,信息安全管理体系(ISMS)作为信息安全管理的一种方法论和规范,旨在确保组织在信息处理过程中的安全性,包括信息的机密性、完整性和可用性。
本文将对信息安全管理体系的概念、实施步骤和重要性进行探讨。
一、概念信息安全管理体系(ISMS)是指组织在信息处理过程中建立和维护的一系列政策、规程、过程、技术和措施,旨在管理和保护信息资产的安全。
ISMS的目标是确保组织能够正确有效地处理和保护信息,预防和减少信息泄露和安全漏洞所带来的潜在风险。
二、实施步骤1. 制定政策与目标:组织应在信息安全管理体系中明确信息安全的政策和目标,并将其与组织的整体战略和目标相结合。
这些政策和目标应该是明确的、可测量的,能够为其他步骤提供指导。
2. 风险评估与控制:通过风险评估,组织可以确定其关键信息资产的安全威胁,并采取适当的措施来最小化或消除这些威胁。
风险评估应基于科学的方法,包括信息资产的价值评估、威胁的概率评估和影响的评估。
3. 资源分配与培训:组织需要为ISMS分配足够的资源,包括人力、物力和财力。
此外,组织还需培训员工,提高其对信息安全的认识和技能,确保他们能够正确使用和维护ISMS所需的工具和技术。
4. 持续改进:ISMS应作为组织的持续改进过程的一部分,持续评估、监控和改进ISMS的有效性和符合性。
组织应定期进行内部审计和管理评审,以确保ISMS的运行符合预期,并根据评审结果进行必要的改进。
三、重要性信息安全管理体系(ISMS)的实施对组织具有重要的意义和价值。
首先,ISMS可以帮助组织建立和维护信息资产的安全性。
通过制定明确的政策和措施,组织可以控制和减少信息泄露的风险,保护关键信息资产的机密性和完整性。
其次,ISMS可以帮助组织合规。
随着信息安全法律法规的不断完善和加强,组织需要确保其信息安全管理符合相应的法规要求。
ISMS 可以帮助组织建立符合法规要求的信息安全管理体系,并提供相应的管理和技术措施来满足法规的要求。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全管理制度规范页脚内容0目录1 信息安全规范 (3)1.1 总则 (3)1.2 环境管理 (3)1.3 资产管理 (8)1.4 介质管理 (8)1.5 设备管理 (9)1.5.1 总则 (9)1.5.2 系统主机维护管理办法 (10)1.5.3 涉密计算机安全管理办法 (14)1.6 系统安全管理 (15)1.7 恶意代码防范管理 (17)1.8 变更管理 (17)1.9 安全事件处置 (18)1.10 监控管理和安全管理中心 (18)1.11 数据安全管理 (19)1.12 网络安全管理 (20)页脚内容11.13 操作管理 (24)1.14 安全审计管理办法 (24)1.15 信息系统应急预案 (25)页脚内容21信息安全规范1.1总则第1条为明确岗位职责,规范操作流程,确保公司信息系统的安全,根据《中华人民共和国计算机信息系统安全保护条例》等有关规定,结合公司实际,特制订本制度。
第2条信息系统是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
第3条信息安全系统遵循安全性、可行性、效率性、可承担性的设计原则,将从物理安全、网络安全、支撑层系统安全、应用层系统安全、数据及资料安全几方面进行部署实施。
1.2环境管理第1条信息机房由客户安排指定,但应该满足如下的要求:1、物理位置的选择(G3)页脚内容32、防雷击(G3)3、防火(G3)4、防水和防潮(G3)页脚内容45、防静电(G3)6、温湿度控制(G3)7、电磁防护(S2)页脚内容58、物理访问控制(G3)页脚内容69、防盗窃和防破坏(G3)第2条由客户指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理。
第3条出入机房要有登记记录。
非机房工作人员不得进入机房。
外来人员进机房参观需经保密办批准,并有专人陪同。
第4条进入机房人员不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质、食品等对设备正常运行构成威胁的物品。
严禁在机房内吸烟。
严禁在机房内堆放与工作无关的杂物。
第5条机房内应按要求配置足够量的消防器材,并做到三定(定位存放、定期检查、定时更换)。
加强防火安全知识教育,做到会使用消防器材。
加强电源管理,严禁乱接电线和违章用电。
发现火险隐患,及时报告,并采取安全措施。
页脚内容7第6条机房应保持整洁有序,地面清洁。
设备要排列整齐,布线要正规,仪表要齐备,工具要到位,资料要齐全。
机房的门窗不得随意打开。
第7条每天上班前和下班后对机房做日常巡检,检查机房环境、电源、设备等并做好相应记录(见表一)。
第8条对临时进入机房工作的人员,不再发放门禁卡,在向用户单位保密部门提出申请得到批准后,由安全保密管理员陪同进入机房工作。
1.3资产管理第1条编制并保存与信息系统相关的资产清单,包括资产责任部门、重要程度和所处位置等内容。
第2条规定信息系统资产管理的责任人员或责任部门,并规范资产管理和使用的行为。
第3条根据资产的重要程度对资产进行标识管理。
第4条对信息分类与标识方法作出规定,并对信息的使用、传输和存储等进行规范化管理。
1.4介质管理第1条建立介质安全管理制度,对介质的存放环境、使用、维护和销毁等方面作出规定。
第2条建立移动存储介质安全管理制度,对移动存储介质的使用进行管控。
第3条确保介质存放在安全的环境中,对各类介质进行控制和保护,并实行存储环境专人管理。
第4条对介质在物理传输过程中的人员选择、打包、交付等情况进行控制,对介质归档和查页脚内容8询等进行登记记录,并根据存档介质的目录清单定期盘点。
第5条对存储介质的使用过程、送出维修以及销毁等进行严格的管理,对带出工作环境的存储介质进行内容加密和监控管理,对送出维修或销毁的介质应首先清除介质中的敏感数据,对保密性较高的存储介质未经批准不得自行销毁。
第6条根据数据备份的需要对某些介质实行异地存储,存储地的环境要求和管理方法应与本地相同第7条对重要数据或软件采用加密介质存储,并根据所承载数据和软件的重要程度对介质进行分类和标识管理。
1.5设备管理1.5.1总则第1条由系统管理员对信息系统相关的各种设备(包括备份和冗余设备)、线路等进行定期维护管理。
第2条建立基于申报、审批和专人负责的设备安全管理制度。
第3条建立明确维护人员的责任、涉外维修和服务的审批、维修过程的监督控制的管理制度。
第4条对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理,按操作规程实现主要设备(包括备份和冗余设备)的启动/停止、加电/断电等操作第5条确保信息处理设备必须经过审批才能带离机房或办公地点。
页脚内容91.5.2系统主机维护管理办法第1条系统主机由系统管理员负责维护,未经允许任何人不得对系统主机进行更改操作。
第2条根据系统设计方案和应用系统运行要求进行主机系统安装、调试,建立系统管理员账户,设置管理员密码,建立用户账户,设置系统策略、用户访问权利和资源访问权限,并根据安全风险最小化原则及运行效率最大化原则配置系统主机。
第3条建立系统设备档案(见表二)、包括系统主机详细的技术参数,如:品牌、型号、购买日期、序列号、硬件配置信息、软件配置信息、网络配置信息、系统配置信息,妥善保管系统主机保修卡,在系统主机软硬件信息发生变更时对设备档案进行及时更新。
第4条每周修改系统主机管理员密码,密码长度不得低于八位,要求有数字、字母并区分大小写。
第5条每周通过系统性能分析软件对系统主机进行运行性能分析,并做详细记录(见表四),根据分析情况对系统主机进行系统优化,包括磁盘碎片整理、系统日志文件清理,系统升级等。
第6条每周对系统日志、系统策略、系统数据进行备份,做详细记录(见表四)。
第7条每天检查系统主机各硬件设备是否正常运行,并做详细记录(见表五)。
第8条每天检查系统主机各应用服务系统是否运行正常,并做详细记录(见表五)。
第9条每天记录系统主机运行维护日记,对系统主机运行情况进行总结。
第10条在系统主机发生故障时应及时通知用户,用最短的时间解决故障,保证系统主机尽快正常运行,并对系统故障情况做详细记录(见表六)。
第11条每月对系统主机运行情况进行总结、并写出系统主机运行维护月报,上报保密办。
页脚内容10第12条系统主机的信息安全等级保持要求:1、身份鉴别2、访问控制页脚内容113、剩余信息保护4、入侵防范页脚内容125、恶意代码防范页脚内容136、资源控制1.5.3涉密计算机安全管理办法第1条涉密计算机安全管理由安全保密管理员专人负责,未经允许任何人不得进行此项操作。
第2条根据网络系统安全设计要求制定、修改、删除涉密计算机安全审计策略,包括打印控制策略、外设输入输出控制策略、应用程序控制策略,并做记录。
第3条每日对涉密计算机进行安全审计,及时处理安全问题,并做详细记录(见表十八),遇有重大问题上报保密部门。
第4条涉密计算机的新增、变更、淘汰需经保密部门审批,审批通过后由安全保密管理员统页脚内容14一进行操作,并做详细记录(见表十八)。
第5条新增涉密计算机联入涉密网络,需经保密办审批,由安全保密管理员统一进行操作,并做详细记录(见表十八)。
1.6系统安全管理第1条根据业务需求和系统安全分析确定系统的访问控制策略。
页脚内容15第2条定期进行漏洞扫描,对发现的系统安全漏洞及时进行修补。
第3条安装系统的最新补丁程序,在安装系统补丁前,首先在测试环境中测试通过,并对重要文件进行备份后,方可实施系统补丁程序的安装。
第4条依据操作手册对系统进行维护,详细记录操作日志,包括重要的日常操作、运行维护记录、参数的设置和修改等内容,严禁进行未经授权的操作。
第5条定期对运行日志和审计数据进行分析,以便及时发现异常行为。
第6条信息系统的运行维护由系统管理员负责维护,未经允许任何人不得对信息系统进行任何操作。
第7条根据信息系统的设计要求及实施细则安装、调试、配置信息系统,建立信息系统管理员账号,设置管理员密码,密码要求由数字和字母组成,区分大小写,密码长度不得低于8位。
第8条对信息系统的基本配置信息做详细记录,包括系统配置信息、用户帐户名称,系统安装目录、数据文件存贮目录,在信息系统配置信息发生改变时及时更新记录(见表三)。
第9条每周对信息系统系统数据、用户ID文件、系统日志进行备份,并做详细记录(见表四),备份介质交保密办存档。
第10条当信息系统用户发生增加、减少、变更时,新建用户帐户,新建用户邮箱,需经保密单位审批,并填写系统用户申请单或系统用户变更申请单(见表七),审批通过后,由系统管理员进行操作,并做详细记录。
第11条根据用户需求设置信息系统各功能模块访问权限,并提交保密办审批。
页脚内容16第12条每天检查信息系统各项应用功能是否运行正常,并做详细记录(见表五)。
第13条在信息系统发生故障时,应及时通知用户,并用最短的时间解决故障,保证信息系统尽快正常运行,并对系统故障情况做详细记录(见表六)。
第14条每天记录信息系统运行维护日志,对信息系统运行情况进行总结。
第15条每月对信息系统运行维护情况进行总结,并写出信息系统维护月报,并上报保密办。
1.7恶意代码防范管理第1条通过培训及标识提高所有用户的防病毒意识,及时告知防病毒软件版本,在读取移动存储设备上的数据以及网络上接收文件或邮件之前,先进行病毒检查,对外来计算机或存储设备接入网络系统之前也应进行病毒检查。
第2条信息安全专员对网络和主机进行恶意代码检测并保存检测记录。
第3条定期检查信息系统内各种产品的恶意代码库的升级情况并进行记录,对主机防病毒产品、防病毒网关和邮件防病毒网关上截获的危险病毒或恶意代码进行及时分析处理,并形成报表和总结汇报。
1.8变更管理第1条确认系统中要发生的变更,并制定变更方案。
第2条建立变更管理制度,系统发生变更前,向主管领导申请,变更和变更方案经过评审、审批后方可实施变更,并在实施后将变更情况向相关人员通告。
第3条建立变更控制的申报和审批文件化程序,对变更影响进行分析并文档化,记录变更实施过程,并妥善保存所有文档和记录。
页脚内容17第4条建立中止变更并从失败变更中恢复的文件化程序,明确过程控制方法和人员职责,必要时对恢复过程进行演练。
1.9安全事件处置第1条报告所发现的安全弱点和可疑事件,但任何情况下用户均不应尝试验证弱点。
第2条制定安全事件报告和处置管理制度,明确安全事件的类型,规定安全事件的现场处理、事件报告和后期恢复的管理职责。
第3条根据国家相关管理部门对计算机安全事件等级划分方法和安全事件对本系统产生的影响,对本系统计算机安全事件进行等级划分。
第4条制定安全事件报告和响应处理程序,确定事件的报告流程,响应和处置的范围、程度,以及处理方法等。