ISMS-B-2015 信息安全管理规范
ISMS-B-01信息安全风险管理程序
深圳市ABC有限公司信息安全风险管理程序编号:ISMS-B-01版本号:V1.0编制:AAA 日期:2023-11-01 审核:BBB 日期:2023-11-01 批准:CCC 日期:2023-11-01受控状态1 目的为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式,将信息安全风险控制在可接受的水平,特制定本程序。
2 范围本程序适用信息安全管理体系(ISMS)范围内信息安全风险评估活动的管理。
3 职责3.1 信息安全管理小组负责牵头成立风险评估小组。
3.2 风险评估小组负责编制《信息安全风险评估计划》,确认评估结果,形成《信息安全风险评估报告》。
3.3 各部门负责本部门使用或管理的资产的识别和风险评估,并负责本部门所涉及的资产的具体安全控制工作。
4 相关文件《信息安全管理手册》《商业秘密管理程序》5 程序5.1 风险评估前准备5.1.1 成立风险评估小组信息安全小组牵头成立风险评估小组,小组成员应包含信息安全重要责任部门的成员。
5.1.2 制定计划风险评估小组制定《信息安全风险评估计划》,下发各部门。
5.2 资产赋值5.2.1 部门赋值各部门风险评估小组成员识别本部门资产,并进行资产赋值。
5.2.2 赋值计算资产赋值的过程是对资产在保密性、完整性、可用性的达成程度进行分析,并在此基础上得出综合结果的过程。
5.2.3 保密性(C)赋值根据资产在保密性上的不同要求,将其分为五个不同的等级,分别对应资产在保密性上的应达成的不同程度或者保密性缺失时对整个组织的影响。
5.2.4 完整性(I)赋值根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产在完整性上的达成的不同程度或者完整性缺失时对整个组织的影响。
完整性(I)赋值的方法5.2.5 可用性(A)赋值根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上的达成的不同程度。
可用性(A)赋值的方法5.2.7 导出资产清单识别出来的信息资产需要详细登记在《信息资产清单》中。
信息安全国家标准目录
信息安全国家标准目录
(2016版)
全国信息安全标准化技术委员会秘书处
2017年2月
一、基础标准
1
2
3
4
5
6
7
8
9
本标准就信息安全治理的概念和原则提供指南,通过本标准,组织可
以对其范围内的信息安全相关活动进行评价、指导、监视和沟通。
本标准适用于所有类型和规模的组织。
10
11
12
13
信息技术开放系统
互连开放系统安全框
架第1部分:概述
14
信息技术开放系统
互连开放系统安全框
架第2部分:鉴别框架
信息技术开放系统
互连开放系统安全框
架第3部分:访问控制
框架
信息技术开放系统
互连开放系统安全框
架第4部分:抗抵赖框
架
15
信息技术开放系统
互连开放系统安全框
架第5部分:机密性
框架
信息技术开放系统
互连开放系统安全框
架第6部分: 完整性
框架
信息技术开放系统
互连开放系统安全框
架第7部分: 安全审
计和报警框架
16
17
二、技术与机制标准
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
三、管理与服务标准
34
35
36
37
38
39
40
41
四、测评标准
42
43
44
45
46
47
48。
ISMS信息安全管理体系审核考前点题卷二(题库)
ISMS信息安全管理体系审核考前点题卷二(题库)[单选题]1.信息安全管理体系审核范围的确定需考(江南博哥)虑()A.业务范围和边界B.组织和物理范围边界C.资产和技术范围和边界D.以上全部参考答案:D[单选题]2.确定资产的可用性要求须依据:A.授权实体的需求B.信息系统的实际性能水平C.组织可支付的经济成本D.最高管理者的决定参考答案:A[单选题]3.下列不属于GB/T22080-2016/ISO/IEC27001:2013附录A中A8资产管理规定的控制目标的是()A.资产归还B.资产分发C.资产的处理D.资产清单参考答案:B[单选题]4.关于认证机构的每次监督审核应至少审查的内容,以下说法错误的是()A.ISMS在实现客户信息安全方针的目标的有效性B.所确定的控制措施的变更,但不包括SOA的变更C.合规性的定期评价与评审情况D.控制措施的实施和有效性参考答案:B[单选题]5.信息安全管理体系认证是:()。
A.与信息安全管理体系有关的规定要求得到满足的证实活动B.对信息系统是否满足有关的规定要求的评价C.信息安全管理体系认证不是合格评定活动D.是信息系统风险管理的实施活动参考答案:A[单选题]6.下列哪项不属于信息安全风险评估过程。
()A.识别信息安全风险B.处置信息安全风险C.分析信息安全风险D.评价信息安全风险参考答案:B[单选题]7.信息安全管理体系审核时,为了获取审核证据,应考虑的信息源为()A.受审核方的业务系统相关的活动和数据B.受审核方场所中己确定为信息安全管理体系范围内的相关过程和活动C.受审核方申请信息安全管理体系认证范围内的业务过程和活动D.以上全部参考答案:C[单选题]8.系统备份与普通数据备份的不同在于,它不仅备份系统中的数据,还备份系统中安装的应用程序,数据库系统、用户设置、系统参数等信息,以便迅速()A.恢复全部程序B.恢复网络设置C.恢复所有数据D.恢复整个系统参考答案:D[单选题]9.GB/T22080-2016标准中要求保护“测试数据”,以下符合这一要求的情况是()A.确保使用生产环境数据用于测试时真实、准确B.确保对信息系统测试所获得的数据的访问控制C.对用于信息系统测试的数据进行匿名化处理D.以上全部参考答案:B[单选题]10.包含储存介质的设备的所有项目应进行核查,以确保在处置之前,()和注册软件己被删除或安全地覆盖A.系统软件B.游戏软件C.杀毒软件D.任何敏感信息参考答案:D[单选题]11.表示客体安全级别并描述客体敏感性的一组信息,是()A.敏感性标记,是可信计算机基中强制访问控制决策的依据B.关键性标记,是可信计算机基中强制访问控制决策的依据C.关键性等级标记,是信息资产分类分级的依据D.敏感性标记,是表明访问者安全权限级别参考答案:A[单选题]12.不属于WEB服务器的安全措施的是()A.保证注册帐户的时效性B.删除死帐户C.强制用户使用不易被破解的密码D.所有用户使用一次性密码参考答案:D[单选题]13.末次会议包括()A.请受审核方确认不符合报告、并签字B.向受审核方递交审核报告C.双方就审核发现的不同意见进行讨论D.以上都不准确参考答案:C[单选题]14.认证审核时,审核组应()A.在审核前将审核计划提交受审核方,并与受审核方进行沟通得到确认B.在审核中将审核计划提交受审核方,并与受审核方进行沟通得到认定C.在审核后将审核计划提交受审核方,并与受审核方进行沟通得到确认D.在审核后将审核计划提交受审核方,并与受审核方进行沟通得到认可参考答案:A[单选题]15.认证审核时,审核组拟抽查的样本应()A.由受审核方熟悉的人员事先选取,做好准备B.由审核组明确总体并在受控状态下独立抽样C.由审核组和受审核方人员协商抽样D.由受审核方安排的向导实施抽样参考答案:B[单选题]16.对于“监控系统”的存取与使用,下列正确的是()A.监控系统所产生的记录可由用户任意存取B.计算机系统时钟应予同步C.只有当系统发生异常事件及其他安全相关事件时才需进行监控D.监控系统投资额庞大,并会影响系统效能,因此可以予以暂时省略参考答案:B[单选题]17.开发、测试和()设施应分离,以减少未授权访问或改变运行系统的风险。
ISMS【信息安全系列培训】【00】【基本概念】
中的风险
及所规划的管理体系框 架, 制定管理规章和制
度。
项目管理
31
信息安全管理体系的发展
32
通信保密阶段(CoMSEC)
通信保密阶段开始于20世纪40年代,其时代标志是1949年香农发表的《保密系统 的信息理论》,该理论首次将密码学的研究纳入了科学的轨道。
33
计算机安全阶段(CoMPUSEC)
技 术 要 素
5. 物理/环境安全:物理/环境管理包括区域安全和设 备安全 区域安全:
1. 消防安全管理
UPS、柴油机) 2. 机房环境的温湿度(空
2. 人员出入管理
3. 设备出入管理 4. 强行闯入的检测 5. 区域内工作的规范
调等)
3. 渗水检测 4. 老鼠等小动物的防范 5. 机房的布线/布局的 规范与合理性
设备安全:
1. 动力设施(配电、
30
实施信息安全管理体系需要进行的工作
转变管理(持续沟通 + 培训 + 宣贯)
风险评估
主要目标:
主要目标:
主要目标:
主要目标:
主要目标:
主要目标:
1) 项目启动 2) 基本调研
1) 根据业务流程识别信息 及信息保存/生存环境
2) 识别信息在生存周期
1) 规划信息安全技术体系 框架
5
什么是信息?
信息是对事物的存在方式、运动状态以及事物间相互联系特性的表述
象其他重要业务资产一样,信息也是对组织业务至关重要的一种资产,因此需要加以适当地保护。在业务环境互连日益增加的情况下这
一点显得尤为重要。这种互连性的增加导致信息暴露于日益增多的、 范围越来越广的威胁和脆弱性当中(也可参考关于信息系统和网络 的安全的OECD指南)。
信息系统数据安全管理制度
信息系统数据安全管理制度1、存放备份数据的介质必须具有明确的标识。
备份数据必须异地存放,并明确落实异地备份数据的管理职责;2、注意计算机重要信息资料和数据存储介质的存放、运输安全和保密管理,保证存储介质的物理安全。
3、任何非应用性业务数据的使用及存放数据的设备或介质的调拨、转让、废弃或销毁必须严格按照程序进行逐级审批,以保证备份数据安全完整。
4、数据恢复前,必须对原环境的数据进行备份,防止有用数据的丢失。
数据恢复过程中要严格按照数据恢复手册执行,出现问题时由技术部门进行现场技术支持。
数据恢复后,必须进行验证、确认,确保数据恢复的完整性和可用性。
5、数据清理前必须对数据进行备份,在确认备份正确后方可进行清理操作。
历次清理前的备份数据要根据备份策略进行定期保存或永久保存,并确保可以随时使用。
数据清理的实施应避开业务高峰期,避免对联机业务运行造成影响。
6、需要长期保存的数据,数据管理部门需与相关部门制定转存方案,根据转存方案和查询使用方法要在介质有效期内进行转存,防止存储介质过期失效,通过有效的查询、使用方法保证数据的完整性和可用性。
转存的数据必须有详细的文档记录。
7、非本单位技术人员对本公司的设备、系统等进行维修、维护时,必须由本公司相关技术人员现场全程监督。
计算机设备送外维修,须经设备管理机构负责人批准。
送修前,需将设备存储介质内应用软件和数据等涉经营管理的信息备份后删除,并进行登记。
对修复的设备,设备维修人员应对设备进行验收、病毒检测和登记。
8、管理部门应对报废设备中存有的程序、数据资料进行备份后清除,并妥善处理废弃无用的资料和介质,防止泄密。
9、运行维护部门需指定专人负责计算机病毒的防范工作,建立本单位的计算机病毒防治管理制度,经常进行计算机病毒检查,发现病毒及时清除。
10、营业用计算机未经有关部门允许不准安装其它软件、不准使用来历不明的载体(包括软盘、光盘、移动硬盘等)。
信息安全管理体系ISMS内审员培训教材
1.5 审核概论—审核分类
第一方审核--(通常)指的是组织内部的自我审查改进。 第二方审核--(通常)指的是供方(提供商)或客户对组织的审核。 第三方审核--(通常)指的是认证机构对组织的审核。
1.6 审核概论—内审目的
1.7 审核概论—审核时机、范围及频度
ISMS内审的时机、范围和频度 按计划时间间隔; 一般至少每年应覆盖ISMS所涉及的部门、过程一次; 最初建立体系时频度可适当多一些; 特殊情况: 发生重大信息安全事件或用户重大 投诉 组织机构、场地、信息方针、目标等发生了变化; 接受第二、三方审核前。
1.纠正措施计划是 否按规定限期完成 2.计划中各项措施 是否都已完成 3.完成后的效果如 何 4.实施情况是否可 查 5整体验证评价
2 审核策划与准备
明确审核决定 确定审核组 文件审核 编制审核计划 编制审核检查表 发布审核通知
2.1 明确审核决定
审核目的--确保信息安全管理体系建立、实施、运行、保持和 改进活动的有效性与符合性
不符合项:未满足审核准则要求发现项。 不符合项分类:
按性质上分: • 体系性不符合 • 实施性不符合 • 效果性不符合 按不符合程度分: • 观察项 • 一般不符合 • 严重不符合
3.5.1 不符合项判定
观察项:不会对安全造成有意义的影响,可能有潜在影响的 一种发现。
例如:某部门在资产识别过程中,发现刚购置一台新设备,但未验收使用, 所以识别时未将其列入资产清单中。
3.3 审核方法--逆向追踪取证
逆向追踪取证 从已形成的结果追溯到影响因素的控制; 按照业务流程的逆向顺序; 从现场记录查询到到文件要求,确保实施的和要求的一致。 优点 从结果找问题,针对性强,有利于发现问题。 缺点 问题复杂时不易理清,对审核的知识面要求较高。
ISMS-B-06 信息安全目标管理程序
1. 目的
为确保信息安全管理体系(ISMS)的有效实施,根据公司信息安全方针制定信息安全目标,并规定信息安全目标的计算方法,以便于目标达成情况的考核,特制定本程序。
2. 范围
本程序适用于本公司的管理体系覆盖的所有部门。
3. 职责与权限
3.1 最高管理者:
组织制订并批准企业的信息安全目标。
3.2 管理者代表:
每年组织相关部门对信息安全目标进行统计、分析。
3.3 各部门:
负责与本部门相关的信息安全目标的统计、分析,当目标不能达标时,进行原因分析并进行改进。
4. 相关文件
a)《信息安全管理手册》
b)《信息安全事件管理程序》
5. 术语定义
无
6. 控制程序
6.1本公司信息安全目标
1) 安全事件发生次数:
重大安全事件目标值:0次/年,较大安全事件目标值:不大于4次/年,一般安全事件目标值:不大于8次/年。
2) 信息泄密次数:
保证各种需要保密的资料(包括电子文档、磁带等)不被泄密,确保秘密、机密信息不泄漏给非授权人员。
信息泄密次数目标值:0次/年
6.2各部门信息安全目标
6.3数据收集、提供、统计和分析
6.3.1在每年年底前,以上部门将本部门统计好的数据提交给信息安全委员会,由信息安全委员会进行汇总。
6.3.2对于未达成信息安全目标的,相关部门要进行原因分析,并提解决办法;对于连续未达成目标的,要按照《纠正预防措施程序》进行纠正和预防处理。
7 附件、记录
7.1 《信息安全目标统计表》。
信息安全管理与IT服务管理体系手册ISMS手册
发布令本公司按照ISO20000:2005《信息技术服务管理—规范》和ISO27001:2005《信息安全管理体系要求》以及本公司业务特点编制《信息安全管理&IT服务管理体系手册》,建立与本公司业务相一致的信息安全与IT服务管理体系,现予以颁布实施。
本手册是公司法规性文件,用于贯彻公司信息安全管理方针和目标,贯彻IT服务管理理念方针和服务目标。
为实现信息安全管理与IT服务管理,开展持续改进服务质量,不断提高客户满意度活动,加强信息安全建设的纲领性文件和行动准则。
是全体员工必须遵守的原则性规范。
体现公司对社会的承诺,通过有效的PDCA活动向顾客提供满足要求的信息安全管理和IT服务。
本手册符合有关信息安全法律法规要求以及ISO20000:2005《信息技术服务管理—规范》、ISO27001:2005《信息安全管理体系要求》和公司实际情况。
为能更好的贯彻公司管理层在信息安全与IT服务管理方面的策略和方针,根据ISO20000:2005《信息技术服务管理—规范》和ISO27001:2005《信息安全管理体系要求》的要求任命XXXXX为管理者代表,作为本公司组织和实施“信息安全管理与IT服务管理体系”的负责人。
直接向公司管理层报告。
全体员工必须严格按照《信息安全管理&IT服务管理体系手册》要求,自觉遵守本手册各项要求,努力实现公司的信息安全与IT服务的方针和目标。
管理者代表职责:a) 建立服务管理计划;b) 向组织传达满足服务管理目标和持续改进的重要性;e) 确定并提供策划、实施、监视、评审和改进服务交付和管理所需的资源,如招聘合适的人员,管理人员的更新;1.确保按照ISO207001:2005标准的要求,进行资产识别和风险评估,全面建立、实施和保持信息安全管理体系;按照ISO/IEC 20000 《信息技术服务管理-规范》的要求,组织相关资源,建立、实施和保持IT服务管理体系,不断改进IT服务管理体系,确保其有效性、适宜性和符合性。
ISMS-数据备份管理规定
用户名称:XXXX数据备份管理规定目录1目的和范围 (1)2引用文件 (1)3职责和权限 (1)4备份管理 (1)4.1数据类型 (1)4.2备份策略 (2)4.3备份的验证 (2)4.4备份数据的管理 (3)5实施策略 (3)6相关记录 (3)1 目的和范围为确保数据的完整性及有效性,以便在发生信息安全事故时能够准确及时的恢复数据,避免业务的中断,特制定本规定。
2 引用文件1) 下列文件中的条款通过本规定的引用而成为本规定的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本标准。
2) ISO/IEC 27001:2005 信息技术-安全技术-信息安全管理体系要求3) ISO/IEC 27002:2005 信息技术-安全技术-信息安全管理实施细则4) 系统维护与监控管理规定3 职责和权限信息系统部是数据备份实施的部门,负责备份软件的选择、使用及维护,备份的执行、测试及数据的恢复。
4 备份管理4.1 数据类型1) 信息系统部根据业务的实际情况,制定《备份策略明细表》,识别需要备份的数据。
备份数据包含,但不仅限于以下:a) 项目VSS数据库的数据,包括项目代码、文档等;b) AS400服务器数据;c) 其他业务数据;d) 个人工作数据;2) 备份数据类型不包括需要备份的日志数据,日志备份见《系统监控管理规定》4.2 备份策略1) 信息系统部根据《备份策略明细表》,明确各项备份数据备份的详细策略。
2) 信息系统部负责建立备份环境,安装调试备份软件。
3) 各业务部门根据信息系统部的要求,将备份数据纳入到制定的备份路径下。
4) 信息系统部配置备份软件,做好备份策略。
5) 备份数据存放于磁带机上,磁带机放置于安全的区域。
6) 每天备份负责人查看前一天的数据备份情况,如备份不成功,则手动或重新配置备份软件,再次对数据进行备份。
信息安全管理
1.信息安全属性(CIM):⑴完整性(2)可用性(3)保密性(4)可控性(5)可靠性2.管理的特征:计划、组织、领导、控制3.信息安全管理的内容:信息安全政策制定、风险评估、控制目标与方式的选择、制定规范的操作流程、信息安全培训4.信息安全管理原则:计划、策略、项目、保护、人员、项目管理5.BS7799:是有英国首先颁布的6.风险管理的概述:知己知彼7.传统信息的组成要素:人员、过程、数据、软件、硬件8.信息安全的3中政策:(1)企业信息安全政策(EISP)(2)特定问题安全政策(ISSP)(3)特定系统政策(SysSP)9.应急计划的组件:事故响应、灾难恢复、商务持续性10.危机管理:灾难期间和之后采取的行动11.用于恢复持续性之外的其他意图:(1)电子拱桥:把大批数据转移到站外设备上(2)远程日志:把实时交易转移到站外设备上(3)数据库镜像:不只处理完全相同的实时数据存储,而且吧远程站点的数据库复制到多个服务器上12.项目计划元素:工作时间、项目成果、资源13.项目计划的考虑因素:资金、优先权、时间和进度安排、人员配置、采购、机构的可行性、培训14.由旧系统向新系统的转换策略:直接转换、分阶段实施、示范实施、并行操作15.靶心模型:政策→网络→系统→应用程序(由外向内聚合)16.物理威胁的类型:自然灾害、人的干涉、紧急事件17.身份标识和验证技术:密码、生物测定学、标记、权证18.访问控制管理:(1)账户管理、(2)账户、日志和定期监控(3)访问权限的许可权19.机房的环境条件:(1)温度与湿度(2)空气含尘浓度(3)噪声(4)电磁干扰(5)振动(6)静电(7)灯光(8)接地20.安全事故与故障的反应过程:发现→报告→响应→评价→惩戒21.影响软件安全的因素(判断题P136 瞅瞅就行)22.软件版本控制的目的:(1)保证所用的软件的合法性和安全性(2)保证所用的软件都是正版软件(3)保证软件在运行过程中不会发生故障和软件错误23.软件适用于维护(判断题P145 瞅瞅就行)24.软件的可靠性:指软件在特定的条件及规定的时间内不发生任何故障且可以正常的运行,完成其规定的功能,不发生差错25.系统运行安全审查目标:可靠性、可用性、保密性、完整性、不可抵赖性、可控性26.性能管理:可测量网络中的硬件、软件、和媒体的性能。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全管理制度规范 样式编号 ISMS-B-2015
编制 审核 批准 密级 内部 版本 V1.0 发布日期 2015年8月 目录 1 .................................................................................................................. 信息安全规范 3 1.1 总则 .................................................................................................................. 3 1.2 环境管理 ............................................................................................................ 3 1.3 资产管理 ............................................................................................................ 5 1.4 介质管理 ............................................................................................................ 6 1.5 设备管理 ............................................................................................................ 6 1.5.1 ........................................................................................................... 总则 6 1.5.2 .................................................................................. 系统主机维护管理办法 6 1.5.3 ............................................................................... 涉密计算机安全管理办法 9 1.6 系统安全管理 ...................................................................................................... 9 1.7 恶意代码防范管理 .............................................................................................. 11 1.8 变更管理 .......................................................................................................... 11 1.9 安全事件处置 .................................................................................................... 11 1.10 ...................................................................................... 监控管理和安全管理中心 12 1.11 ...................................................................................................... 数据安全管理 12 1.12 ...................................................................................................... 网络安全管理 13 1.13 ............................................................................................................ 操作管理 15 1.14 ................................................................................................ 安全审计管理办法 16 1.15 ................................................................................................ 信息系统应急预案 16 1.16 .................................................................................................................. 附表 17 1 信息安全规范 1.1 总则 第1条 为明确岗位职责,规范操作流程,确保公司信息系统的安全,根据《中华人民共和国计算机信息系统安全保护条例》等有关规定,结合公司实际,特制订本制度。 第2条 信息系统是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 第3条 信息安全系统遵循安全性、可行性、效率性、可承担性的设计原则,将从物理安全、网络安全、支撑层系统安全、应用层系统安全、数据及资料安全几方面进行部署实施。 1.2 环境管理 第1条 信息机房由客户安排指定,但应该满足如下的要求: 1、物理位置的选择(G3) 序号 等级保护要求 1 机房应选择在具有防震、防风和防雨等能力的建筑内。
2 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁,如果不可避免,应采取有效防水措施。
2、防雷击(G3) 序号 等级保护要求 1 机房建筑应设置避雷装置。 2 应设置防雷保安器,防止感应雷。 3 机房应设置交流电源地线。 3、防火(G3) 序号 等级保护要求
1 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火。
2 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料。 3 机房应采取区域隔离防火措施,将重要设备与其他设备隔 离开。 4、防水和防潮(G3) 序号 等级保护要求
1 主机房尽量避开水源,与主机房无关的给排水管道不得穿过主机房,与主机房相关的给排水管道必须有可靠的防渗漏措施; 2 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。 5、防静电(G3) 序号 等级保护要求 1 主要设备应采用必要的接地防静电措施。 2 机房应采用防静电地板。 6、温湿度控制(G3) 序号 等级保护要求
1 机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。 7、电磁防护(S2) 序号 等级保护要求 1 应采用接地方式防止外界电磁干扰和设备寄生耦合干扰。 2 电源线和通信线缆应隔离铺设,避免互相干扰。 3 应对关键设备和磁介质实施电磁屏蔽。 8、物理访问控制(G3) 序号 等级保护要求
1 机房各出入口应安排专人值守或配置电子门禁系统,控制、鉴别和记录进入的人员。
2 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围。
3 应对机房划分区域进行管理,区域和区域之间应用物理方式隔断,在重要区域前设置交付或安装等过渡区域; 4 重要区域应配置电子门禁系统,控制、鉴别和记录进入的 人员。 9、防盗窃和防破坏(G3) 序号 等级保护要求 1 应将主要设备放置在机房内。
2 应将设备或主要部件进行固定,并设置明显的不易除去的标记。 3 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中。 4 应对介质分类标识,存储在介质库或档案室中。
第2条 由客户指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理。 第3条 出入机房要有登记记录。非机房工作人员不得进入机房。外来人员进机房参观需经保密办批准,并有专人陪同。 第4条 进入机房人员不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质、食品等对设备正常运行构成威胁的物品。严禁在机房内吸烟。严禁在机房内堆放与工作无关的杂物。 第5条 机房内应按要求配置足够量的消防器材,并做到三定(定位存放、定期检查、定时更换)。加强防火安全知识教育,做到会使用消防器材。加强电源管理,严禁乱接电线和违章用电。发现火险隐患,及时报告,并采取安全措施。 第6条 机房应保持整洁有序,地面清洁。设备要排列整齐,布线要正规,仪表要齐备,工具要到位,资料要齐全。机房的门窗不得随意打开。 第7条 每天上班前和下班后对机房做日常巡检,检查机房环境、电源、设备等并做好相应记录(见表一)。 第8条 对临时进入机房工作的人员,不再发放门禁卡,在向用户单位保密部门提出申请得到批准后,由安全保密管理员陪同进入机房工作。 1.3 资产管理 第1条 编制并保存与信息系统相关的资产清单,包括资产责任部门、重要程度和所处位置等内容。 第2条 规定信息系统资产管理的责任人员或责任部门,并规范资产管理和使用的行为。 第3条 根据资产的重要程度对资产进行标识管理。