ISMS-B-2015 信息安全管理规范
信息安全管理制度规范
目录
1.................................................................................................................. 信息安全规范3
1.1总则 (3)
1.2环境管理 (3)
1.3资产管理 (5)
1.4介质管理 (6)
1.5设备管理 (6)
1.5.1 ........................................................................................................... 总则6
1.5.2 .................................................................................. 系统主机维护管理办法6
1.5.3 ............................................................................... 涉密计算机安全管理办法9
1.6系统安全管理 (9)
1.7恶意代码防范管理 (11)
1.8变更管理 (11)
1.9安全事件处置 (11)
1.10 ...................................................................................... 监控管理和安全管理中心12
1.11 ...................................................................................................... 数据安全管理12
1.12 ...................................................................................................... 网络安全管理13
1.13 ............................................................................................................ 操作管理15
1.14 ................................................................................................ 安全审计管理办法16
1.15 ................................................................................................ 信息系统应急预案16
1.16 .................................................................................................................. 附表17
1信息安全规范
1.1总则
第1条为明确岗位职责,规范操作流程,确保公司信息系统的安全,根据《中华人民共和国计算机信息系统安全保护条例》等有关规定,结合公司实际,特制订本制度。
第2条信息系统是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
第3条信息安全系统遵循安全性、可行性、效率性、可承担性的设计原则,将从物理安全、网络安全、支撑层系统安全、应用层系统安全、数据及资料安全几方面进行部署实施。
1.2环境管理
第1条信息机房由客户安排指定,但应该满足如下的要求:
1、物理位置的选择(G3)
2、防雷击(G3)
3、防火(G3)
4、防水和防潮(G3)
5、防静电(G3)
6、温湿度控制(G3)
7、电磁防护(S2)
8、物理访问控制(G3)
9、防盗窃和防破坏(G3)
第2条由客户指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理。
第3条出入机房要有登记记录。非机房工作人员不得进入机房。外来人员进机房参观需经保密办批准,并有专人陪同。
第4条进入机房人员不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质、食品等对设备正常运行构成威胁的物品。严禁在机房内吸烟。严禁在机房内堆放与工作无关
的杂物。
第5条机房内应按要求配置足够量的消防器材,并做到三定(定位存放、定期检查、定时更换)。加强防火安全知识教育,做到会使用消防器材。加强电源管理,严禁乱接电线和违
章用电。发现火险隐患,及时报告,并采取安全措施。
第6条机房应保持整洁有序,地面清洁。设备要排列整齐,布线要正规,仪表要齐备,工具要到位,资料要齐全。机房的门窗不得随意打开。
第7条每天上班前和下班后对机房做日常巡检,检查机房环境、电源、设备等并做好相应记录(见表一)。
第8条对临时进入机房工作的人员,不再发放门禁卡,在向用户单位保密部门提出申请得到批准后,由安全保密管理员陪同进入机房工作。
1.3资产管理
第1条编制并保存与信息系统相关的资产清单,包括资产责任部门、重要程度和所处位置等内容。
第2条规定信息系统资产管理的责任人员或责任部门,并规范资产管理和使用的行为。
第3条根据资产的重要程度对资产进行标识管理。
第4条对信息分类与标识方法作出规定,并对信息的使用、传输和存储等进行规范化管理。
1.4介质管理
第1条建立介质安全管理制度,对介质的存放环境、使用、维护和销毁等方面作出规定。
第2条建立移动存储介质安全管理制度,对移动存储介质的使用进行管控。
第3条确保介质存放在安全的环境中,对各类介质进行控制和保护,并实行存储环境专人管理。
第4条对介质在物理传输过程中的人员选择、打包、交付等情况进行控制,对介质归档和查询等进行登记记录,并根据存档介质的目录清单定期盘点。
第5条对存储介质的使用过程、送出维修以及销毁等进行严格的管理,对带出工作环境的存储介质进行内容加密和监控管理,对送出维修或销毁的介质应首先清除介质中的敏感数
据,对保密性较高的存储介质未经批准不得自行销毁。
第6条根据数据备份的需要对某些介质实行异地存储,存储地的环境要求和管理方法应与本地相同
第7条对重要数据或软件采用加密介质存储,并根据所承载数据和软件的重要程度对介质进行分类和标识管理。
1.5设备管理
1.5.1总则
第1条由系统管理员对信息系统相关的各种设备(包括备份和冗余设备)、线路等进行定期维护管理。
第2条建立基于申报、审批和专人负责的设备安全管理制度。
第3条建立明确维护人员的责任、涉外维修和服务的审批、维修过程的监督控制的管理制度。
第4条对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理,按操作规程实现主要设备(包括备份和冗余设备)的启动/停止、加电/断电等操作第5条确保信息处理设备必须经过审批才能带离机房或办公地点。
1.5.2系统主机维护管理办法
第1条系统主机由系统管理员负责维护,未经允许任何人不得对系统主机进行更改操作。
第2条根据系统设计方案和应用系统运行要求进行主机系统安装、调试,建立系统管理员账户,设置管理员密码,建立用户账户,设置系统策略、用户访问权利和资源访问权限,
并根据安全风险最小化原则及运行效率最大化原则配置系统主机。
第3条建立系统设备档案(见表二)、包括系统主机详细的技术参数,如:品牌、型号、购买日期、序列号、硬件配置信息、软件配置信息、网络配置信息、系统配置信息,妥善保
管系统主机保修卡,在系统主机软硬件信息发生变更时对设备档案进行及时更新。
第4条每周修改系统主机管理员密码,密码长度不得低于八位,要求有数字、字母并区分大小写。
第5条每周通过系统性能分析软件对系统主机进行运行性能分析,并做详细记录(见表四),根据分析情况对系统主机进行系统优化,包括磁盘碎片整理、系统日志文件清理,系统
升级等。
第6条每周对系统日志、系统策略、系统数据进行备份,做详细记录(见表四)。
第7条每天检查系统主机各硬件设备是否正常运行,并做详细记录(见表五)。
第8条每天检查系统主机各应用服务系统是否运行正常,并做详细记录(见表五)。
第9条每天记录系统主机运行维护日记,对系统主机运行情况进行总结。
第10条在系统主机发生故障时应及时通知用户,用最短的时间解决故障,保证系统主机尽快正常运行,并对系统故障情况做详细记录(见表六)。
第11条每月对系统主机运行情况进行总结、并写出系统主机运行维护月报,上报保密办。
第12条系统主机的信息安全等级保持要求:
1、身份鉴别
2、访问控制
3、剩余信息保护
4、入侵防范
5、恶意代码防范
6、资源控制
1.5.3涉密计算机安全管理办法
第1条涉密计算机安全管理由安全保密管理员专人负责,未经允许任何人不得进行此项操作。
第2条根据网络系统安全设计要求制定、修改、删除涉密计算机安全审计策略,包括打印控制策略、外设输入输出控制策略、应用程序控制策略,并做记录。
第3条每日对涉密计算机进行安全审计,及时处理安全问题,并做详细记录(见表十八),遇有重大问题上报保密部门。
第4条涉密计算机的新增、变更、淘汰需经保密部门审批,审批通过后由安全保密管理
员统一进行操作,并做详细记录(见表十八)。
第5条新增涉密计算机联入涉密网络,需经保密办审批,由安全保密管理员统一进行操作,并做详细记录(见表十八)。
1.6系统安全管理
第1条根据业务需求和系统安全分析确定系统的访问控制策略。
第2条定期进行漏洞扫描,对发现的系统安全漏洞及时进行修补。
第3条安装系统的最新补丁程序,在安装系统补丁前,首先在测试环境中测试通过,并对重要文件进行备份后,方可实施系统补丁程序的安装。
第4条依据操作手册对系统进行维护,详细记录操作日志,包括重要的日常操作、运行维护记录、参数的设置和修改等内容,严禁进行未经授权的操作。
第5条定期对运行日志和审计数据进行分析,以便及时发现异常行为。
第6条信息系统的运行维护由系统管理员负责维护,未经允许任何人不得对信息系统进行任何操作。
第7条根据信息系统的设计要求及实施细则安装、调试、配置信息系统,建立信息系统管理员账号,设置管理员密码,密码要求由数字和字母组成,区分大小写,密码长度不得低于8位。
第8条对信息系统的基本配置信息做详细记录,包括系统配置信息、用户帐户名称,系
统安装目录、数据文件存贮目录,在信息系统配置信息发生改变时及时更新记录(见表三)。
第9条每周对信息系统系统数据、用户ID文件、系统日志进行备份,并做详细记录(见表四),备份介质交保密办存档。
第10条当信息系统用户发生增加、减少、变更时,新建用户帐户,新建用户邮箱,需经保密单位审批,并填写系统用户申请单或系统用户变更申请单(见表七),审批通过后,由系统管理员进行操作,并做详细记录。
第11条根据用户需求设置信息系统各功能模块访问权限,并提交保密办审批。
第12条每天检查信息系统各项应用功能是否运行正常,并做详细记录(见表五)。
第13条在信息系统发生故障时,应及时通知用户,并用最短的时间解决故障,保证信息系统尽快正常运行,并对系统故障情况做详细记录(见表六)。
第14条每天记录信息系统运行维护日志,对信息系统运行情况进行总结。
第15条每月对信息系统运行维护情况进行总结,并写出信息系统维护月报,并上报保密办。
1.7恶意代码防范管理
第1条通过培训及标识提高所有用户的防病毒意识,及时告知防病毒软件版本,在读取移动存储设备上的数据以及网络上接收文件或邮件之前,先进行病毒检查,对外来计算机或存储设备接入网络系统之前也应进行病毒检查。
第2条信息安全专员对网络和主机进行恶意代码检测并保存检测记录。
第3条定期检查信息系统内各种产品的恶意代码库的升级情况并进行记录,对主机防病毒产品、防病毒网关和邮件防病毒网关上截获的危险病毒或恶意代码进行及时分析处理,并形成报表和总结汇报。
1.8变更管理
第1条确认系统中要发生的变更,并制定变更方案。
第2条建立变更管理制度,系统发生变更前,向主管领导申请,变更和变更方案经过评审、审批后方可实施变更,并在实施后将变更情况向相关人员通告。
第3条建立变更控制的申报和审批文件化程序,对变更影响进行分析并文档化,记录变更实施过程,并妥善保存所有文档和记录。
第4条建立中止变更并从失败变更中恢复的文件化程序,明确过程控制方法和人员职责,必要时对恢复过程进行演练。
1.9安全事件处置
第1条报告所发现的安全弱点和可疑事件,但任何情况下用户均不应尝试验证弱点。
第2条制定安全事件报告和处置管理制度,明确安全事件的类型,规定安全事件的现场处理、事件报告和后期恢复的管理职责。
第3条根据国家相关管理部门对计算机安全事件等级划分方法和安全事件对本系统产生的影响,对本系统计算机安全事件进行等级划分。
第4条制定安全事件报告和响应处理程序,确定事件的报告流程,响应和处置的范围、程度,以及处理方法等。
第5条在安全事件报告和响应处理过程中,分析和鉴定事件产生的原因,收集证据,记录处理过程,总结经验教训,制定防止再次发生的补救措施,过程形成的所有文件和记录均
应妥善保存。
第6条对造成系统中断和造成信息泄密的安全事件应采用不同的处理程序和报告程序。
1.10监控管理和安全管理中心
第1条对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警,形成记录并妥善保存。
第2条信息安全专员组织相关人员定期对监测和报警记录进行分析、评审,发现可疑行为,形成分析报告,并采取必要的应对措施。
第3条对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理。
1.11数据安全管理
第1条凡涉及公司机密的数据或文件,非工作需要不得以任何形式转移,更不得透露给他人。离开原工作岗位的员工由所在部门负责人将其所有工作资料收回并保存。
第2条计算机终端用户务必将重要数据存放在计算机硬盘中除系统盘分区(操作系统所在的硬盘分区,一般是C盘)外的硬盘分区。计算机信息系统发生故障,应及时与信息专员联
系并采取保护数据安全的措施。
第3条计算机终端用户未做好备份前不得删除任何硬盘数据。对重要的数据应准备双份,存放在不同的地点;对采用磁性介质或光盘保存的数据,应做好防磁、防火、防潮和防
尘工作,并定期进行检查、复制,防止由于磁性介质损坏,丢失数据。
1、数据保密性
2、备份和恢复
1.12网络安全管理
第1条信息安全专员对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作。
第2条根据厂家提供的软件升级版本对网络设备进行更新,并在更新前对现有的重要文件进行备份。
第3条定期对网络系统进行漏洞扫描,对发现的网络系统安全漏洞进行及时的修补。
第4条实现设备的最小服务配置,并对配置文件进行定期离线备份。
第5条保证所有与公司外部网络的连接均得到授权和批准。
第6条依据安全策略允许或者拒绝便携式和移动式设备的网络接入。
第7条未进行安全配置、未装防火墙或杀毒软件的计算机终端,不得连接公司网络和服务器。公司员工应定期对所配备的计算机终端的操作系统、杀毒软件等进行升级和更新,并定期进行病毒查杀。
第8条计算机终端用户应使用复杂密码,并定期更改。公司员工应妥善保管根据职责权限所掌握的各类办公账号和密码,严禁随意向他人泄露、借用自己的账号和密码。
第9条IP地址为计算机网络的重要资源,公司员工应在信息专员的规划下使用这些资源,不得擅自更改。对于影响网络的系统服务,公司员工应在信息专员的指导下使用,禁止随意开启、关闭计算机中的系统服务,保证计算机网络畅通运行。
第10条经远程通信传送的程序或数据,必须经过检测确认无病毒后方可安装和使用。
11.1网络系统运行维护管理办法
第1条网络系统运行维护由系统管理员专人负责,未经允许任何人不得对网络系统进行操作。
第2条根据网络系统设计方案和实施细则安装、调试、配置网络系统,包括交换机配置、路由器配置,建立管理员账号,设置管理员密码,并关闭所有远程管理端口。
第3条建立系统设备档案(见表二),包括交换机、路由器的品牌、型号、序列号、购买日期、硬件配置信息,详细记录综合布线系统信息配置表,交换机系统配置,路由器系统配置,网络拓扑机构图,VLAN划分表,并在系统配置发生变更时及时对设备档案进行更新。
第4条每天检查网络系统设备(交换机、路由器)是否正常运行。
第5条每周对网络系统设备(交换机、路由器)进行清洁。
第6条每周修改网络系统管理员密码。
第7条每周检测网络系统性能,包括数据传输的稳定性、可靠性、传输速率。
第8条网络变更后进行网络系统配置资料备份。
第9条当网络系统发生故障时,应及时通知用户,并在最短的时间内解决问题,保证网络系统尽快正常运行,并对系统故障情况作详细记录(见表六)。
第10条每月对网络系统运行维护情况进行总结,并作出网络系统运行维护月报。
11.2 网络病毒入侵防范管理办法
第1条网络病毒入侵防护系统由系统管理员专人负责,任何人未经允许不得进行此项操作。
第2条根据网络系统安全设计要求安装、配置瑞星网络病毒防护系统,包括服务器端系统配置和客户机端系统配置,开启客户端防病毒系统的实时监控。
第3条每日监测防病毒系统的系统日志,检测是否有病毒入侵、安全隐患等,对所发现的问题进行及时处理,并做详细记录(见表八)。
第4条每周登陆防病毒公司网站,下载最新的升级文件,对系统进行升级,并作详细记录(见表九)。
第5条每周对网络系统进行全面的病毒查杀,对病毒查杀结果做系统分析,并做详细记录(见表十)。
第6条每日浏览国家计算机病毒应急处理中心网站,了解最新病毒信息发布情况,及时向用户发布病毒预警和预防措施。
11.3 网络信息安全策略管理办法
第1条网络安全策略管理由安全保密管理员专职负责,未经允许任何人不得进行此项操作。
第2条根据网络信息系统的安全设计要求及主机审计系统数据的分析结果,制定、配置、修改、删除主机审计系统的各项管理策略,并做记录(见表十一)。
第3条根据网络信息系统的安全设计要求制定、配置、修改、删除网络安全评估分析系统的各项管理策略,并做记录(见表十一)。
第4条根据网络信息系统的安全设计要求制定、配置、修改、删除入侵检测系统的各项管理策略,并做记录(见表十一)。
第5条根据网络信息系统的安全设计要求制定、配置、修改、删除、内网主机安全监控与审计系统的各项管理策略,并做记录(见表十一)。
第6条每周对网络信息系统安全管理策略进行数据备份,并作详细记录(见表十二)。
第7条网络信息安全技术防护系统(主机审计系统、漏洞扫描系统、防病毒系统、内网主机安全监控与审计系统)由网络安全保密管理员统一负责安装和卸载。
11.4 网络信息系统安全检查管理办法
第1条网络信息系统安全检查由安全保密管理员专职负责执行,未经允许任何人不得进行此项操作。
第2条每天根据入侵检测系统的系统策略检测、审计系统日志,检查是否有网络攻击、异常操作、不正常数据流量等,对异常情况做及时处理,遇有重大安全问题上报保密办,并做详细记录(见表十三)。
第3条每周登陆入侵检测系统产品网站,下载最新升级文件包,对系统进行更新,并做详细记录(见表十四)。
第4条每月通过漏洞扫描系统对网络系统终端进行安全评估分析,并对扫描结果进行分析,及时对终端系统漏洞及安全隐患进行处理,作详细记录(见表十五),并将安全评估分析报告上报保密办。
第5条每周登录全评估产品网站,下载最新升级文件包,对系统进行更新,并作详细记
录(见表十六)。
每周备份入侵检测系统和漏洞扫描系统的审计信息,并作详细记录(见表十七)。
1.13操作管理
第1条信息专员应收集计算机信息系统常见故障及排除方法并整理成指导手册,供公司员工学习参考,并根据工作需要对公司员工进行定期或不定期的计算机应用技能培训。
第2条计算机终端用户在工作中遇到计算机信息系统问题,应先自行参照指导手册处理;若手册和之前培训中均未涉及此类问题,应及时与信息专员或软件开发单位、硬件供应
商联系,尽快解决问题。
1.14安全审计管理办法
第1条网络信息安全审计系统由安全保密管理员负责,未经允许任何人不得进行此项操作。
第2条根据网络系统主机安全设计要求安装、配置、管理主机安全审计系统,制定审计规则,包括系统运行状态、用户登录信息,网络文件共享操作等。
第3条每日查看安全审计系统信息,对审计结果进行分析整理,及时处理所发生的设备安全问题,并做详细记录(见表十九)。
第4条每周备份设备安全审计系统审计信息,并做详细记录(见表二十)。
第5条每月对主机安全审计系统记录信息进行分析总结,并向保密部门提交分析报告。
1.15信息系统应急预案
第1条系统管理人员参与制定各种意外事件处置预案,并具体执行,包括火灾、停电、设备故障等,每年进行预案演练。
第2条遇到火灾应根据火情采取以下措施:
1.如火情较轻时,应立即切断机房总电源,并迅速用消防器材,力争把火扑灭、控制在初期阶段,同时上报客户保卫部门。
2.如火情严重应迅速拨打报警电话“119”,同时通知集团保卫部门,听从消防工作人员的现场指挥,协助处理有关事项。
第3条如遇机房突发性停电,应迅速通知用户,同时关闭设备电源,来电后,及时通知用户,并检测设备是否正常运行。
第4条系统出现灾难性故障时,系统管理员应立刻通知部门主管,制定详细的系统恢复方案。
遇紧急情况,值班员应立即通知保密办和系统管理员,保持24小时通讯畅通,随时处理紧急事件。
第5条