ISMSB信息安全管理标准规范.doc
《ISMSB信息安全管理标准规范.doc》由会员分享,可在线阅读,更多相关《ISMSB信息安全管理标准规范.doc(16页珍藏版)》请在咨信网上搜索。
1、信息安全管理制度规范样式编号ISMS-B-编制审核同意密级内部版本V1.0公布日期8月目录1信息安全规范31.1总则31.2环境管理31.3资产管理51.4介质管理61.5设备管理61.5.1总则61.5.2系统主机维护管理措施61.5.3涉密计算机安全管理措施91.6系统安全管理91.7恶意代码防范管理111.8变更管理111.9安全事件处理111.10监控管理和安全管理中心121.11数据安全管理121.12网络安全管理131.13操作管理151.14安全审计管理措施161.15信息系统应急预案161.16附表171 信息安全规范1.1 总则第1条 为明确岗位职责,规范操作步骤,确保企业信
2、息系统安全,依据中国计算机信息系统安全保护条例等相关要求,结合企业实际,特制订本制度。 第2条 信息系统是指由计算机及其相关和配套设备、设施(含网络)组成,根据一定应用目标和规则对信息进行采集、加工、存放、传输、检索等处理人机系统。第3条 信息安全系统遵照安全性、可行性、效率性、可负担性设计标准,将从物理安全、网络安全、支撑层系统安全、应用层系统安全、数据及资料安全几方面进行布署实施。1.2 环境管理第1条 信息机房由用户安排指定,但应该满足以下要求:1、物理位置选择(G3)序号等级保护要求1机房应选择在含有防震、防风和防雨等能力建筑内。2机房场地应避免设在建筑物高层或地下室,和用水设备下层或
3、隔壁,假如不可避免,应采取有效防水方法。2、防雷击(G3)序号等级保护要求1机房建筑应设置避雷装置。2应设置防雷保安器,预防感应雷。3机房应设置交流电源地线。3、防火(G3)序号等级保护要求1机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火。2机房及相关工作房间和辅助房应采取含有耐火等级建筑材料。3机房应采取区域隔离防火方法,将关键设备和其它设备隔离开。4、防水和防潮(G3)序号等级保护要求1主机房尽可能避开水源,和主机房无关给排水管道不得穿过主机房,和主机房相关给排水管道必需有可靠防渗漏方法;2应采取方法预防雨水经过机房窗户、屋顶和墙壁渗透。5、防静电(G3)序号等级保护要
4、求1关键设备应采取必需接地防静电方法。2机房应采取防静电地板。6、温湿度控制(G3)序号等级保护要求1机房应设置温、湿度自动调整设施,使机房温、湿度改变在设备运行所许可范围之内。7、电磁防护(S2)序号等级保护要求1应采取接地方法预防外界电磁干扰和设备寄生耦合干扰。2电源线和通信线缆应隔离铺设,避免相互干扰。3应对关键设备和磁介质实施电磁屏蔽。8、物理访问控制(G3)序号等级保护要求1机房各出入口应安排专员值守或配置电子门禁系统,控制、判别和统计进入人员。2需进入机房来访人员应经过申请和审批步骤,并限制和监控其活动范围。3应对机房划分区域进行管理,区域和区域之间应用物理方法隔断,在关键区域前设
5、置交付或安装等过渡区域;4关键区域应配置电子门禁系统,控制、判别和统计进入人员。9、防偷窃和防破坏(G3)序号等级保护要求1应将关键设备放置在机房内。2应将设备或关键部件进行固定,并设置显著不易除去标识。3应将通信线缆铺设在隐蔽处,可铺设在地下或管道中。4应对介质分类标识,存放在介质库或档案室中。第2条 由用户指定专门部门或人员定时对机房供配电、空调、温湿度控制等设施进行维护管理。第3条 出入机房要有登记统计。非机房工作人员不得进入机房。外来人员进机房参观需经保密办同意,并有专员陪同。第4条 进入机房人员不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质、食品等对设备正常运行组成威胁物品
6、。严禁在机房内吸烟。严禁在机房内堆放和工作无关杂物。第5条 机房内应按要求配置足够量消防器材,并做到三定(定位存放、定时检验、定时更换)。加强防火安全知识教育,做到会使用消防器材。加强电源管理,严禁乱接电线和违章用电。发觉火险隐患,立即汇报,并采取安全方法。第6条 机房应保持整齐有序,地面清洁。设备要排列整齐,布线要正规,仪表要齐备,工具要到位,资料要齐全。机房门窗不得随意打开。第7条 天天上班前和下班后对机房做日常巡检,检验机房环境、电源、设备等并做好对应统计(见表一)。第8条 对临时进入机房工作人员,不再发放门禁卡,在向用户单位保密部门提出申请得到同意后,由安全保密管理员陪同进入机房工作。
7、1.3 资产管理第1条 编制并保留和信息系统相关资产清单,包含资产责任部门、关键程度和所处位置等内容。第2条 要求信息系统资产管理责任人员或责任部门,并规范资产管理和使用行为。第3条 依据资产关键程度对资产进行标识管理。第4条 对信息分类和标识方法作出要求,并对信息使用、传输和存放等进行规范化管理。1.4 介质管理第1条 建立介质安全管理制度,对介质存放环境、使用、维护和销毁等方面作出要求。第2条 建立移动存放介质安全管理制度,对移动存放介质使用进行管控。第3条 确保介质存放在安全环境中,对各类介质进行控制和保护,并实施存放环境专员管理。第4条 对介质在物理传输过程中人员选择、打包、交付等情况
8、进行控制,对介质归档和查询等进行登记统计,并依据存档介质目录清单定时盘点。第5条 对存放介质使用过程、送出维修和销毁等进行严格管理,对带出工作环境存放介质进行内容加密和监控管理,对送出维修或销毁介质应首先清除介质中敏感数据,对保密性较高存放介质未经同意不得自行销毁。第6条 依据数据备份需要对一些介质实施异地存放,存放地环境要求和管理方法应和当地相同第7条 对关键数据或软件采取加密介质存放,并依据所承载数据和软件关键程度对介质进行分类和标识管理。1.5 设备管理1.5.1 总则第1条 由系统管理员对信息系统相关多种设备(包含备份和冗余设备)、线路等进行定时维护管理。第2条 建立基于申报、审批和专
9、员负责设备安全管理制度。第3条 建立明确维护人员责任、涉外维修和服务审批、维修过程监督控制管理制度。第4条 对终端计算机、工作站、便携机、系统和网络等设备操作和使用进行规范化管理,按操作规程实现关键设备(包含备份和冗余设备)开启/停止、加电/断电等操作第5条 确保信息处理设备必需经过审批才能带离机房或办公地点。1.5.2 系统主机维护管理措施第1条 系统主机由系统管理员负责维护,未经许可任何人不得对系统主机进行更改操作。第2条 依据系统设计方案和应用系统运行要求进行主机系统安装、调试,建立系统管理员账户,设置管理员密码,建立用户账户,设置系统策略、用户访问权利和资源访问权限,并依据安全风险最小
10、化标准及运行效率最大化标准配置系统主机。第3条 建立系统设备档案(见表二)、包含系统主机具体技术参数,如:品牌、型号、购置日期、序列号、硬件配置信息、软件配置信息、网络配置信息、系统配置信息,妥善保管系统主机保修卡,在系统主机软硬件信息发生变更时对设备档案进行立即更新。第4条 每七天修改系统主机管理员密码,密码长度不得低于八位,要求有数字、字母并区分大小写。第5条 每七天经过系统性能分析软件对系统主机进行运行性能分析,并做具体统计(见表四),依据分析情况对系统主机进行系统优化,包含磁盘碎片整理、系统日志文件清理,系统升级等。第6条 每七天对系统日志、系统策略、系统数据进行备份,做具体统计(见表
11、四)。第7条 天天检验系统主机各硬件设备是否正常运行,并做具体统计(见表五)。第8条 天天检验系统主机各应用服务系统是否运行正常,并做具体统计(见表五)。第9条 天天统计系统主机运行维护日志,对系统主机运行情况进行总结。第10条 在系统主机发生故障时应立即通知用户,用最短时间处理故障,确保系统主机立即正常运行,并对系统故障情况做具体统计(见表六)。第11条 每个月对系统主机运行情况进行总结、并写出系统主机运行维护月报,上报保密办。第12条 系统主机信息安全等级保持要求:1、身份判别序号等级保护要求1对登录操作系统用户进行身份标识和判别。2操作系统和数据库系统管理用户身份判别信息应不易被冒用,口
12、令复杂度应满足要求并定时更换。口令长度不得小于8位,且为字母、数字或特殊字符混合组合,用户名和口令严禁相同。3启用登录失败处理功效,可采取结束会话、限制非法登录次数和自动退出等方法。限制同一用户连续失败登录次数。4当对服务器进行远程管理时,采取必需方法,预防判别信息在网络传输过程中被窃听。5为操作系统和数据库系统不一样用户分配不一样用户名,确保用户名含有唯一性。2、访问控制序号等级保护要求1启用访问控制功效,依据安全策略控制用户对资源访问。2依据管理用户角色分配权限,实现管理用户权限分离,仅授予管理用户所需最小权限。3实现操作系统和数据库系统特权用户权限分离。4限制默认帐户访问权限,重命名系统
13、默认帐户,修改这些帐户默认口令。5立即删除多出、过期帐户,避免共享帐户存在。3、剩下信息保护序号等级保护要求1确保操作系统和数据库系统用户判别信息所在存放空间,被释放或再分配给其它用户前得到完全清除,不管这些信息是存放在硬盘上还是在内存中。2确保系统内文件、目录和数据库统计等资源所在存放空间,被释放或重新分配给其它用户前得到完全清除。4、入侵防范序号等级保护要求1操作系统应遵照最小安装标准,仅安装必需组件和应用程序,并经过设置升级服务器等方法保持系统补丁立即得到更新,补丁安装前应进行安全性和兼容性测试。2能够检测到对关键服务器进行入侵行为,能够统计入侵源IP、攻击类型、攻击目标、攻击时间,并在
14、发生严重入侵事件时提供报警。3能够对关键程序完整性进行检测,并含有完整性恢复能力。5、恶意代码防范序号等级保护要求1在本机安装防恶意代码软件或独立布署恶意代码防护设备,并立即更新防恶意代码软件版本和恶意代码库。2支持防恶意代码统一管理。3主机防恶意代码产品应含有和网络防恶意代码产品不一样恶意代码库。6、资源控制序号等级保护要求1经过设定终端接入方法、网络地址范围等条件限制终端登录。2依据安全策略设置登录终端操作超时锁定。3依据需要限制单个用户对系统资源最大或最小使用程度。4对关键服务器进行监视,包含监视服务器CPU、硬盘、内存、网络等资源使用情况。5能够对系统服务水平降低到预先要求最小值进行检
15、测和报警。1.5.3 涉密计算机安全管理措施第1条 涉密计算机安全管理由安全保密管理员专员负责,未经许可任何人不得进行此项操作。第2条 依据网络系统安全设计要求制订、修改、删除涉密计算机安全审计策略,包含打印控制策略、外设输入输出控制策略、应用程序控制策略,并做统计。第3条 每日对涉密计算机进行安全审计,立即处理安全问题,并做具体统计(见表十八),遇有重大问题上报保密部门。第4条 涉密计算机新增、变更、淘汰需经保密部门审批,审批经过后由安全保密管理员统一进行操作,并做具体统计(见表十八)。第5条 新增涉密计算机联入涉密网络,需经保密办审批,由安全保密管理员统一进行操作,并做具体统计(见表十八)
16、。1.6 系统安全管理第1条 依据业务需求和系统安全分析确定系统访问控制策略。序号等级保护要求1启用访问控制功效,依据安全策略控制用户对资源访问。2依据管理用户角色分配权限,实现管理用户权限分离,仅授予管理用户所需最小权限。3实现操作系统和数据库系统特权用户权限分离。4限制默认帐户访问权限,重命名系统默认帐户,修改这些帐户默认口令。5立即删除多出、过期帐户,避免共享帐户存在。6对关键信息资源设置敏感标识,系统不支持设置敏感标识,应采取专用安全设备生成敏感标识,用以支持强制访问控制机制。7依据安全策略严格控制用户对有敏感标识关键信息资源操作。第2条 定时进行漏洞扫描,对发觉系统安全漏洞立即进行修
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ISMSB 信息 安全管理 标准规范
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【精***】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【精***】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。