信息化安全管理制度.docx
《信息化安全管理制度.docx》由会员分享,可在线阅读,更多相关《信息化安全管理制度.docx(28页珍藏版)》请在咨信网上搜索。
信息化平安管理制度 中国建筑第四工程局珠海公司深圳分公司 2015年5月 4.5设备报废 4.5.1 长期闲置或不再使用的设备可向主管部门提出调拨或报废申请,由主管部 门根据设备的完好率、使用年限等因数决定进行调拨或报废。 4.5.2 对机关、各单位确无使用价值的设备的报废申请,由主管部门核准后报领 导批准,并由财务部门备案。 4.5.3 由于使用人员重大责任事故而造成的设备报废,必须追究当事人的责任, 经领导批准后,再作报废处理,并由财务部备案。 4.5.4 机关及各工程大额设备(单件购买价超过五万)的调拨和报废工作原那么上采 用各分支机构提申请,企业主管部门审核批准的方式。 4.5.5 设备报废依据分公司及各工程相关财务管理方法和有关规定执行,对报废 设备上保存的存贮介质要进行清除,防止泄密。 5软件平安管理制度 5.1 软件的选型 5.1.1 应用软件在开发或购买之前应正式立项,成立由技术人员、业务人员和管 理人员共同组成的工程小组并建立软件质量保证体系。 5.1.2 选用的软件必须是正版软件。 5.2 软件平安审查 5.2.1 软件在正式使用之前应进行必要的平安功能检测,保证业务能正常平安可 靠的运行。不得建立无关的用户,测试用户在完成测试后必须加以限制或删除。 5.2.2 应用软件在正式投入使用前必须经过内部评审,确认系统功能、测试结果 和试运行结果均满足设计要求,技术文档齐全,并经分管领导批准。 5.2.3 重要的业务应用系统应具有如下平安特性: 1)自动记录全部操作过程; 2)关键数据不得以明码存放; 3)无法绕过应用界面直接查看或操作数据库; 4)系统管理与业务操作权限严格分开; 5)防止异常中断后非法进入系统; 6)提供超时键盘锁定功能; 7)业务数据在通信网络上以加密方式传输; 8)应存储一年以上完整的系统运行记录; 9)提供系统运行状态监控模块; 10)提供数据接口,满足稽核、审计及技术监控的要求; 11)其它有助于控制业务操作风险的功能特性。 5.2.4 系统软件应具备如下平安功能: 1)身份验证功能,防止非法用户随意进入系统; 2)访问控制功能,防止系统中出现越权访问; 3)故障恢复功能,能够自动或在人工干预下从故障状态恢复到正常状态而不致造 成系统混乱和数据丧失; 4)平安保护功能,对信息的交换、传输、存储提供平安保护; 5)平安审计功能,便于应用系统建立访问用户资源的审计记录; 6)分权制约功能,支持对操作员和管理员的权限别离与相互制约。 5.2.5 系统软件应到达相应的商业应用平安级别才能投入正常使用。 5.2.6 数据库管理软件除上述功能要求外,还应具有数据库的平安性、完整性、 一致性及可恢复性保障机制。 527应用软件应具备基本的访问控制和平安审计功能。 5.3 软件使用与维护 5.3.1 应规定软件的使用范围和使用权限。 5.3.2 严禁擅自使用外来的磁盘、磁带和光盘。如工作需要,必须在确保无计算 机病毒、计算机系统工作平安的情况下,经信息中心批准,并做好登记后方可使 用。 5.3.3 软件使用人员应经过适当的操作培训和平安教育。 5.3.4 信息技术人员不得擅自进行软件维护和系统参数调整。 5.3.5 应采取有效措施,防止对应用软件的非法修改。 5.3.6 机关及各工程部设专人负责业务软件的版本升级,及时为软件缺陷打补丁, 每半年检查一次。 5.4 软件平安跟踪与报告 5.4.1 机关及工程部设专人负责跟踪系统软件的平安补丁,及时弥补平安漏洞, 每半年检查一次。 5.4.2 关键的业务系统软件和应用软件必须启用其自身的平安审计留痕功能,便 于系统建立访问用户资源的审计记录。 543专人负责定期检查和跟踪审计日志,及时发现问题,并生成日志分析报告, 544定期对系统产生的日志进行转存和清除。 6数据平安管理制度 6. 1数据保密性管理 6.1.1 对系统数据实施严格的平安与保密管理,防止系统数据的非法生成、变更、 泄露、丧失与破坏。 6.1.2 关键业务数据不得泄露,禁止外传。 6.1.3 重要数据的处理过程中,被批准使用数据人员以外的其它人员不应进入机 房工作;处理结束后,应清除不能带走的本作业数据;妥善处理打印结果,任何 记有重要信息的废弃物在处理前应进行粉碎。 6.1.4 各业务数据仅用于明确规定的目的,未经批准不得它用。 6.1.5 无正当理由和有关批准手续,不得查阅业务系统内涉及个人隐私的数据; 经正式批准查阅数据时必须登记,并由查阅人签字。 6.1.6 涉密数据不得以明码形式存储和传输。 6.1.7 根据数据的保密规定和用途,确定数据使用人员的存取权限、存取方式和 审批手续。 6.1.8 在数据的传输过程中采用各种加密手段进行保障,如利用SSL、PGP等技 术手段。 6.1.9 未经允许,不准将机房设备、维护用品、软盘、资料等私自带出机房,如 有特殊情况,需经负责人同意并进行登记后方可带出。 6.2 数据访问控制管理 6.2.1 设置系统管理员岗位,对系统数据实行专人管理。 6.2.2 设置数据库管理员岗位,对业务数据实行专人管理。 6.2.3 数据库管理系统的口令必须由专人掌管,并定期更换。禁止同一人掌管操 作系统口令和数据库管理系统口令。 6.2.4 重要数据的处理过程中,被批准使用数据人员以外的其它人员不应进入机 房工作。处理结束后,应清除不能带走的本作业数据。应妥善处理打印结果,任 何记有重要信息的废弃物在处理前应进行粉碎。 6.2.5 对数据的备份、恢复、转出、转入的权限都应严加控制。严禁未经授权将 财务数据等拷贝出系统,转给无关的人员或单位;严禁未经授权进行数据恢复或 转入操作。 6.2.6 采用实时监控机制,及时发现不良信息或破坏性数据,对其采取封堵、清 除等相应平安控制措施。 6.2.7 对监控或检测到的可疑数据采用跟踪机制,并对其进行可控性操作,以便 发现其最终企图。 6.3 数据备份管理 6.3.1 绝密级重要信息的涉密系统的数据应异地备份。如果日常工作对涉密系统 的依赖性特别强,应该建立远程的应急处理和灾难恢复中心。 6.3.2 每个工作日结束后必须制作数据的备份并异地存放,保证系统发生故障时 能够快速恢复。 6.3.3 关键业务数据必须定期、完整、真实、准确地转储到不可更改的介质上, 并要求集中和异地保存,保存期限至少15年。 6.3.4 备份的数据必须指定专人负责保管,由计算机信息技术人员按规定的方法 同数据保管员进行数据的交接。交接后的备份数据应在指定的数据保管室或指定 的场所保管。 6.3.5 数据保管员必须对备份数据进行规范的登记管理。 636备份数据不得更改。 6.3.7 备份数据保管地点应有防火、防热、防潮、防尘、防磁、防盗设施。 6.3.8 陈旧的备份要销毁,不能直接扔掉; 6.3.9 对于每个系统或每组系统,要有成文的备份策略,包含:什么时间,用什 么方式(完全、增量)进行备份,保存的介质,保存期限;备份的频率,负责监 视、检查正确备份操作的人员;确定索引要保存的期限,保存的地点,以及如何 从档案中删除; 6.3.10 要有成文的恢复策略,包含:负责监视、检查正确恢复操作的人员; 6.3.11 对于使用的工具和恢复的操作要在详细的描述;还要记录预期的恢复时 间; 6.4 数据存储管理 6.4.1 设专人负责数据存储设备的使用和平安,包括磁盘阵列、磁带、光盘等的 平安。 6.4.2 采用专门的数据备份和容灾平安解决方案及存储设备。 6.4.3 备份数据除了备份在本地机器上外,还需准确地转储到不可更改的介质上。 6.4.4 为保证数据不被删除或修改以及能长时间保存,要求采用只读式数据记录 设备。 6.5 数据完整性管理 6.5.1 业务数据不得随意更改。 6.5.2 对数据备份和审计记录定期进行查验。 6.5.3 保障传输过程中的数据完整性平安。 1)业务数据的传输必须经过专用加密软件或设备进行加密、压缩、打包传输; 2)用于传输和接收数据的机器均安装防黑客与防病毒程序。 6.5.4 保障对在线存储数据的完整性平安,定期用硬盘整理程序对存储在线数据 的硬盘进行一次整理,并随机抽取其中的几组数据进行解压、还原,检查其内容 是否正确与完整。 7密码管理制度 用户名和密码的组合定义了系统中用户的身份,采取平安的密码策略是防止 非法访问系统的最重要的手段。密码设置需要遵循如下相关制度规范。 7.1 密码的内容 7.1.1 密码的设置要符合强密码规范和密码复杂性要求 7.1.2 应将数字、大写字母、小写字母、非字母字符混合起来; 7.1.3 应易于记忆(不用写下来)、应易于输入(不易被偷看到); 7.1.4 长度至少为六个字符; 7.1.5 不包含用户名、真实姓名或分公司名称、生日、车牌号、 号码; 7.1.6 不是完整的字典中的词汇; 7.2 密码使用规范 7.2.1 不要将密码写下来,不要通过电子邮件传输; 7.2.2 不要使用缺省设置的密码; 7.2.3 不要将密码告诉别人; 7.2.4 如果系统的密码泄漏了,立即更改; 7.2.5 不要共享超级用户的口令; 7.2.6 如果可能,不同平台上的用户口令要一致。如果用户只需要记住一个口令 就会选择质量较高的密码; 7.2.7 所有系统集成商在施工期间设立的缺省密码在系统投入使用之前都要删除 或更改; 7.2.8 密码要以加密形式保存,加密算法强度要高; 7.2.9 在输入时密码不能明码显示出来; 7.2.10 一个用户不能(从密码文件中)读取其它用户的(加密)密码; 7.2.11 不能在软件中放入明文形式的口令。如果可能,在软件中也不要存放加密 后的密码。 7.2.12 要指定密码的最短有效期、最长有效期、最短长度; 7.2.13 要指定所允许的口令内容。系统要根据这些规那么检查口令的内容,符合要 求才接受; 7.2.14 除了系统管理员外,一般用户不能改变其它用户的口令; 7.2.15 如果需要特殊用户的口令(比方说UNIX下的Oracle),要禁止通过该用 户进行交互式登录; 7.2.16 如果可能,强制用户在第一次登录后改变口令; 7.2.17 在要求较高的情况下可以使用强度更高的认证机制; 7.2.18 如果可能的话,可以使用自己密码生成器帮助用户选择口令; 7.2.19 要定时(每周一次)运行密码检查器来查找强度太弱的口令。 8业务系统平安管理制度 8.1 业务系统网络平安管理 8.1.1 业务系统所使用的网络系统平安性设计和关键平安产品(采用加密技术) 与业务软件在设计上要紧密结合。 8.1.2 必须采用内外网隔离机制,防止通过通信手段对内部网络中的重要数据和 业务渗透和操纵。 8.1.3 在网络系统与Internet的接入处,应具采用防火墙隔离等防止外部人员非 法进入的平安措施,Internet联网的出入口必须采取有效的平安保密措施,确保 为用户提供平安的服务。 8.1.4 采用入侵检测或网络监测设备,实时监控业务系统的入侵事件,寻找有攻 击企图和未经授权的行为,当发现网络违规模式和未授权的网络访问时,根据系 统平安策略及时做出反响。 8.1.5 定期对操作系统进行平安漏洞扫描,及时发现最新平安问题,通过升级、 打补丁或加固等方式解决。 8.1.6 对应用系统进行平安漏洞扫描和人工检查,发现应用层的平安问题,并通 过加固或开发商改造的方式尽快解决问题。 8.1.7 数据通信过程中,通过数据加密、数字签名、层层过滤的方式保证用户数 据的平安。 8.2 业务系统操作平安管理 8.2.1 操作权限管理 8.2.2 操作人员应有互不相同的用户名,定期更换操作口令,严禁操作人员泄露 自己的操作口令。 8.2.3 不得建立无关的用户,测试用户在完成测试后必须加以限制或删除;保证 用户的唯一性,不得多人使用一个用户;关键的用户要加密码等限制。 8.2.4 对于用户的权限应严格设置,保证用户权限的合理性,尤其是一些公共用 户(如行情揭示等)。 8.2.5 各岗位操作权限要严格按岗位职责设置,应定期检查操作员的权限。 8.2.6 采取严密的平安措施防止无关用户进入系统。 8.2.7 数据库管理系统的口令必须由业务系统的管理员或信息中心专人掌管,并 要求定期更换。禁止同一人掌管操作系统口令和数据库管理系统口令。 8.2.8 重要岗位的登录过程应增加必要的限制措施。 8.2.9 操作规范管理 1)建立业务系统有关维护的操作流程,使用时严格按照操作流程。 2)硬件设备的操作使用严格执行设备操作管理规定,定期对有关设备进行保养, 保持机房和设备的整洁,严禁违规违章操作,确保机房、硬件设备的平安。 3)建立操作监控机制,保证网络系统的正常运行,及时发现操作中出现的错误。 8.2.10 操作责任管理 1)禁止越权非法操作,造成损失由操作者承当全部责任。 2)操作职责分配到个人,操作责任明确。 8.3 业务持续性管理 8.3.1 定期评估网络信息系统所面临的风险、风险发生的概率及影响。 8.3.2 定期了解哪些中断可能影响业务,并确立信息处理设备的业务目的。 8.3.3 购置适当的保险使风险转移。 8.3.4 制订及文档化与业务目的一致的业务持续性策略。 8.3.5 定期测试及更新正在推行的计划与过程。 8.3.6 保证对业务持续性的管理被整合到组织的流程和结构中,指定单位的适当 级别员工负责业务持续性的管理。 8.3.7 利用风险评估的结果制订一个战略计划来确定业务连续性的整个大概做 法。制订计划维护在重要业务进程中断或失效后在限定时间内恢复业务的操作。 业务连续性计划过程应包括以下方面: 1)确定及统一所有的责任和紧急处理程序; 2)实施紧急程序,以便在规定时间内恢复系统。应特别注意评估外部业务的依赖 和现有已签订的合同; 3)记录已统一的程序与处理; 4)由具有合适教育背景的员工负责紧急程序及处理,包括危机管理; 5)计划的测试及更新。 8.3.8 制定技术平台的可持续性规划,保证系统的扩展性和开放性。 1)保持系统平台的扩展性,使得当业务需求增长时,系统能平滑升级或扩容,保 证业务的可持续性增长且整个系统的低本钱线性扩充。 2)保持系统平台的开放性,使得每种业务服务通过标准数据交换接口调用系统的 核心功能。开放式集成框架可最大限度地重用系统的核心功能,具有良好的开放 性,便于系统维护和扩充。 8.4 业务系统信息存储加密 8.4.1 信息存储加密的主要方式有文件加密和数据库加密。 8.4.2 数据库加密的基本方式可以分库外加密和库内加密。数据库加密应满足以 下基本要求: 1)确定及统一所有的责任和紧急处理程序; 2)数据加密后,存储空间没有明显的增加。 3)为维护系统原有性能,加密和解密的速度应足够快。 4)加密系统要有灵活的授权机制,数据库加密后,应允许用户以不同的粒度进行 访问控制。 5)加密后对数据库的查询、检索、修改、更新要灵活、简便。 8.4.3 信息存储加密的具体要求见国家保密指南BMZ1-2000《涉及国家秘密的计 算机信息系统保密技术要求》的规定。 业务系统应具备完整性校验,防止信息被非法篡改、插入和删除。 业务系统应支持数字签名功能,防止发送方在发出数据后又否认自己发送过此数 据,并防止接收方收到数据后又否认收到过此数据。 9网络运维管理制度 9.1 网络平安规范 9.1.1 文档 所有的网络配置都要有文档,文档包含如下: 1)机房网络拓扑记录; 2)系统测试或工程实施时添加的用户权限记录; 3)设备采购验收记录; 4)机房值班日值等; 5)机房运维交接文档。 9.1.2 认证 1)对于分公司内部的任何主体要能够识别与认证; 2)如果可能,对于登录多个系统的用户采取统一的机制,防止记忆多个用户名个 口令。 9.1.3 审计 1)系统中的用户要对自己的行为负责,要遵守网络用户使用规范; 2)重要的网络结点(如路由器)要有日志,最好是统一日志,并定期对这些日志 进行分析,检查违规行为。建立统一的时钟服务器,保证日志信息的准确性。 3)重要资源的访问控制表要每六个月审计一次。 9.1.4 访问控制 1)敏感的网络结点配置:不需要的网络服务要禁止,严格配置提供的网络服务, 并安装所有与平安有关的补丁; 2)公开访问的网络,并且有秘密信息要在其上传输,就需要加密。 3)受限访问的网络,线缆不能通过公共场所,要在接线管内,接口只设在授权的 用户处。如果布线施工是外单位完成的,要进行检查。 9.1.5 准确性 重要的网络结点要定期检查数据的完整性。 9.1.6 数据交换 1)秘密信息要使用经过证实的传输机制进行传输; 2)登录过程的信息(用户名、口令)不能以明文的形式在网上传输; 3)计算机之间的网络服务要经过相互认证; 4)保护网络不被监听。一般的工作人员不能使用网络监听工具如tcpdump, sniffit, snoop, etherfind等。网络要使用交换设备划分成子网,不使用的网络接口要禁 止。尽量使用加密的通信,如ssh。 5)重要数据在内部网上传输时要考虑加密,在公网上传输时必须要加密; 6)如果可能,网络线路要防止电磁监听; 7)传输信息时发送者和接收者的身份要附在信息上,由负责传输的设备进行检 查; 8)重要数据不能发送给未授权的用户或等平安级别的系统。 9)在一些应用中(如email)中,要采取手段证明发送者和接收者的身份。 9.1.7 服务可靠性 1)网络要持续不断的运行。维护工作要在用户使用量小的时候进行。 2)要监视网络的运行情况,注意错误和性能问题。尽量在发生之前采取保护措施。 3)系统升级、配置改变要有记录,系统安装时,所有节点应该包含下面的信息: 主机名、机器厂商/型号、IP地址、MAC地址、连线情况、质保结束日期、网 络平安 1总那么 1 1.1 引言 1 1.2 信息系统控制总体规划原那么 1 2人员平安管理 1 2.1 个人平安规范 1 2.2 个人操作管理 2 2.3 个人平安防护 2 3机房平安管理制度 3 3.1 机房建设 3 3.2 设施平安 3 3.3 物理平安技术控制 4 3.4 环境平安 4 3.5 机房出入制度 5 4设备平安管理制度 5 4.1 设备选型 5 4.2 设备购置与安装 5 4.3 设备登记与使用 6 4.4 设备维护 6 4.5 设备报废 7 5软件平安管理制度 7 5.1 软件的选型 7 5.2 软件平安审查 7 5.3 软件使用与维护 8 5.4 软件平安跟踪与报告 8 6数据平安管理制度 9 6.1 数据保密性管理 9 6.2 数据访问控制管理 9 6.3 数据备份管理 10 管理人员联系 。 9.2 远程访问规范 1)连接外部网络的接口如果有损于平安策略,多个网络(X.25,拨号网络,Internet, 网等)互连; 2)对于外部网络的访问必须要通过防火墙; 3)防火墙要有平安策略并定期进行检查、审计。 9.3 用户访问控制规范 9.3.1 为防止非法用户使用信息网络资源,必须访问用户的合法性进行鉴别,对 于鉴别失败必须进行处理,当不成功鉴别尝试次数到达门限值时,系统应拒绝该 用户的访问,加以记录并自动告警。对用户访问控制的规范应遵循: 1)所有的用户都要经过授权; 2)用户有在自己的环境里设置对象特权的权力; 3)禁止用户删除在共享目录下其它用户的文件; 4)可以通过制定的策略控制用户对于系统中所有对象的访问; 5)用户不能检查授予其它用户的访问控制权限; 6)要能够提供强制性的访问控制 9.3.2 身份鉴别的具体要求见国家保密指南BMZ1-2000《涉及国家秘密的计算机 信息系统 保密技术要求》的规定。 9.4 登录策略 9.4.1 基本原那么:用最少的时间、最小的权限来完成其工作; 9.4.2 仅给经过授权的用户保存账号; 9.4.3 用户名和组的结构应该在整个单位内部是统一的(字母的数目、组成); 9.4.4 不要使用guest用户,如果要用,应该有很强的平安限制; 9.4.5 用户和组要由系统管理员进行管理,不能由用户自己管理; 9.4.6 不能设置多人共用的账号; 9.4.7 用户名和密码不能在同一次通信中传输; 9.4.8 当一个工作人员离开岗位后,其账号要及时删除; 9.4.9 15分钟空闲后系统应该加锁,并由密码保护; 9.4.10 用户应用程序及其系统配置只能由用户本人可写,而且不能被他人读取; 9.4.11 对于用户违反平安策略的选择要及时通知; 9.4.12 如果一个用户账号(超级用户除外)在较段的时间内连续登录失败,应暂 时禁止此账号,并通知用户; 9.4.13 当用户登录后要显示这些信息: 1)通知用户潜在的对系统的滥用; 2)上一次成功和失败登录的时间和地点 9.4.14 仅在需要的时候才允许登录功能(比方说在周一到周五的工作时间) 9.4.15 禁止使用超级用户的账号直接登录,尤其是当有多人同时管理一个系统 时。 9.4.16 要能够对用户账号设置过期时间。 9.4.17 每个用户要由名称或数字进行标识,并附属于一个组; 9.4.18 如果必须存在公用的账号,其工作环境要加以严格的限制; 9.4.19 在拨号服务器上,应该: 1)三次不成功地登录后就断开 的连接; 2)要能够指定在什么时间、什么端口是可以使用的 9.4.20 每个用户在系统中应该只有一个账号 9.4.21 用户创立文件的掩码不能使文件对所有的用户是可读/写的 9.4.22 当前目录不能包含在系统的搜索路径之中; 9.4.23 用户登录输入错误用户名或密码时,系统应该显示相同的提示信息。系统 不能提供合法账号的信息; 9.4.24 如果用户输入了错误的用户名/密码,要等待1秒钟后再次提示登录;如 果第二次失败,就等待2秒钟;下一次就等待3秒钟。这样可以防止攻击者采 用自动登录程序; 1)系统管理用户组的成员要由管理部门来授权; 2)要能够指定一个用户同时可以登录的数目。 9.5 日常审计制度 1)为网络受到的入侵进行评估,提高网络的平安性,需要对网络定期做审计。 2)要建立全网统一的时钟服务器,所有的服务器要同步自己的时钟,以保证审计 日志中时间戳的有效性。 3)平安审计的具体要求见国家保密指南BMZ1-2000《涉及国家秘密的计算机信息 系统保密技术要求》的规定。 9.6 攻击与入侵管理制度 网络运行维护工程师在发现可疑网络攻击和入侵迹象时.,必须尽快处理并记 录,在必要时请示主管部门领导,组织技术力量按照下面步骤进行处理: 9.6.1 分析判断:对可疑攻击和入侵行为进行必要的观察与分析,以判别是否属 于共计或入侵行为。 9.6.2 入侵或攻击的中止:经过分析,在必要时,应立即断开网络连接,将遭受 攻击的网段隔离出来。采取有效措施,终止对系统的破坏行为。 9.6.3 记录和备份:记录发现网络入侵或攻击的当前时间,备份系统日志以及其 它网络平安相关的重要文件,保存内存中的进程列表和网络连接状态,并且翻开 进程记录功能。 9.6.4 恢复:如果系统受到严重破坏,影响网络业务功能,立即调用备件恢复系 统。 9.6.5 定位:对该入侵或攻击行为进行大量的日志、分析工作。同时竭尽全力地 判断寻找攻击源。 9.6.6 汇报:将入侵的详细情况逐级向主管领导和有关主管部门汇报并请示处理 方法。 9.7 申告受理和障碍处理制度 9.7.1 机房应24小时受理用户申告,并作好记录,要求有闻必录。 9.7.2 一旦受理了用户的障碍申告,应尽快判断故障段落,并修复或转报有关单 位。 9.7.3 凡故障转报外单位或外部门时,都应向对方询要对方受理人的姓名,并填 写在故障处理记录上。障碍转报后仍应积极配合和催促处理。 9.7.4 故障一旦修复,机房应立即通知用户,详细填写各类记录。 10网络建设平安管理制度 10.1 信息平安保障产品的选型原那么 10.1.1 企业的信息平安保障方案应提出平安防护产品的选型原那么,通常包括: 1)各种平安防护产品的接入应该不明显影响网络系统运行效率,并满足工作的要 求。 2)网络系统中使用的平安保障产品原那么上选用国产设备,只有在无相应国产设备 时方可选用经国家主管部门批准的国外设备。 3)网络系统中使用的网络信息平安保障产品必须通过国家主管部门指定的测评 机构的检测。 4)网络系统中使用的涉及密码技术的网络信息平安保障产品必须获得国家密码 主管部门的批准。 5)网络系统中使用的网络信息平安保障产品必须具有自我保护能力。 6)网络网系统中使用的网络信息平安保障产品应符合相关的国家标准。 10.2 招标的平安管理 1)平安工程的招标可以采用公开招标或者邀标的形式; 2)参与竞标的厂商至少在三家以上,并持有国家直属机关颁发的相关证书; 3)分公司网络平安管理小组负责招标的筹划工作; 4)编写标书过程中小组成员不得与相关厂商做私下交流,泄漏招标信息; 5)开标前网络平安管理小组的成员不能以任何方式想外提供倾向性信息; 6)标书完成后小组成员不得在公开发放之前提供给可能参与工程的分公司或相 关人员; 7)工程开标后小组成员不得因为私人原因干扰评标的结果。 10.3 维修与报废 1)要求平安产品的免费保修时间最短为一年,采取终身维修制度; 2)出现产品质量问题后应及时通知供货商或厂家解决问题,必要时要求供货商或 厂家采用产品更换的方式进行产品维修; 3)要求产品报废周期最短为3年,3年内的产品质量问题应责成供货商或厂家 负责解决,由于系统升级而造成的产品更新不在受此规范约束; 4)平安产品的报废应根据硬件管理规范中的条例执行,在报废前清空设备内的全 部配置信息,软件安装信息以及人员、组织结构等信息,最大可能的保证涉密信 息的平安; 11计算机病毒防范制度 11.1.1 计算机病毒防治包括预防病毒、检测病毒和消除病毒。 11.1.2 各使用人或部门应采用信息平安主管部门批准的查毒、杀毒,包括服务器 和客户端的查毒、杀毒。 11.1.3 禁止使用来历不明、未经杀毒的软件,不阅读和下载来历不明的电子邮件 或文件,严格控制并阻断计算机病毒的来源。 11.1.4 分公司和个人不得制作计算机病毒。 11.1.5 分公司和个人不得有以下传播计算机病毒的行为: 1)故意输入计算机病毒,危害计算机信息系统平安; 2)向他人提供含有计算机病毒的文件、软件、媒体; 3)销售、出租、附赠含有计算机病毒的媒体; 4)其他传播计算机病毒的行为。 11.1.6 网络管理人员应有较强的病毒防范意识,定期进行病毒检测(特别是邮件 服务器),发现病毒立即处理并通知管理部门或专职人员。 11.1.7 采用国家许可的正版防病毒软件并及时更新软件版本。 11.1.8 未经上级管理人员许可,所有人员不得在自己或他人使用的计算机上安装 新软件,假设确为需要安装,安装前应进行病毒例行检测。 11.1.9 经远程通信传送的程序或数据,必须经过检测确认无病毒后方可使用。 11.1.10 不允许使用来历不明、未经杀毒的软件,不阅读和下载来历不明的电子 邮件或文件,严格控制并阻断计算机病毒的来源。 12信息平安审计制度 12.1.1 在对计算机平安要求较高的场合,必须建立审计制度,配备专职审计人员。 12.1.2 审计人员应该是精通业务,对计算机系统有较好的掌握又有一定实际工作 经验的高级技术人员。 12.1.3 在系统设计阶段就应有审计人员参加,以评价系统设计是否满足平安要 求。 12.1.4 在系统设计中增加平安控制以后,要重新评价系统,以保证系统功能不退 化。 12.1.5 系统平安控制包括以下几方面: 12.1.6 实体控制:防止天灾、人为事故以及电气和机械支持系统的失效。 12.1.7 系统控制:涉及系统的逻辑和实体结构以及有关硬、软件的保护措施。 12.1.8 管理控制:有关人员、文件资料的处理、存贮等类似事务的平安制度及有 关规定。 12.1.9 系统运行状态下的审计应包括: 1)故意输入计算机病毒,危害计算机信息系统平安; 2)故意输入计算机病毒,危害计算机信息系统平安; 3)数据输人阶段。由于多数问题是因数据输入时的错误造成的,放这个阶段应作 为重点进行调查。 4)数据的处理过程。选择一个处理过程,对其每个环节进行跟踪检查,以便发现 非法行为。 5)计算机程序的检查。必须保存所有程序的完整技术说明文件及其拷贝,以便必 要时对重要的程序审查程序代码。 6)远程通信环节。由于租用邮电通信线路,数据传送过程中被截取的可能性难以 防止,所以必须对加密手段进行认真研究,并通过测试防止对通信系统的渗透。 7)输出的用途及利用。 8)系统的管理环节。如:岗位责任制的划分与别离状况、用户、程序员、操作员 是否有越权行为等。 12.1.10 审计方法主要有以下两种: 1)检查性审计。对正常运行的系统的某一局部进行抽样检查。如:抽样打印某部 分文件,寻找错误或矛盾。将预期结果的一批数据送人系统进行处理,核对 结果。追踪检查某一交易的所有环节并进行核对等。 2)攻击性审计。由审计人员采用各种非法分子可能采取的手段及可能出现的意外 情况对系统进行渗透,或破坏的试验,分析成功的可能性及所需的条件,找出系 统的薄弱环节及其相应的对策。 12.1.11 审计工作应该长期不间断地进行,以对非法行为形成一种威慑力量。 12.1.12 重要的计算机系统应定期与公安机关的计算机监察部门共同进行平安检 查。 13应急管理制度 13.1 应急响应计划 13.1.1 应急计划必须形成文字。 13.1.2 应急计划应针对可能发生的故障制定紧急处理程序,描述各种平安事件发 生后的应急方案。 13.1.3 紧急处理程序应发放到每位员工。 13.1.4 设专职人员负责应急恢复工作,定期对应急人员培训应急计划中的各种应 急恢复方案和技术措施。 13.1.5 建立应急事件库,包括各种发生过的或很可能发生的具体平安事件,以及 每种平安事件的最正确应急措施和备用方案,以便为后面的应急恢复工作做好知识 储藏。另外,库中还应当包括发生过的平安事件的应急响应详细记录。 13.1.6 应急恢复人员要定期对应急恢复计划中各种平安事件的应急恢复方案进 行演练和测试,确保应急恢复方案的可行性和可靠性,锻炼应急恢复人员的应急 响应速度和熟练程度,每次应急恢复演练和测试均应当作详细的记录。 13.1.7 购买专业平安服务商长期的快速、高效应急恢复服务,在分公司自己的技 术人员不能 解决问题时能尽快通过远程或本地响应帮助调查事件发生的原因,控制事件影响 范围并清除事件的来源。 13.2 应急事件处理 13.2.1 发生平安故障时,快速确定故障范围并启动相应程度的应急计划。在条件 允许的情况下保护好现场以便进行事故鉴定。 13.2.2 处理事故必须有明确的应急响应流程,包括区分操作的优先次序、评估事 故的损害、报告和报警过程等。 13.2.3 事故中恢复系统包含事后分析事故的类型、事故的起因和预防类似事故再 次发生的步骤。正式报告应该有事件正确的时间顺序,连同进一步的平安措施的 建议一起上交给管理层。 13.2.4 发生事故后认真总结经验教训,针对存在的平安薄弱环节进行限期整改。 明确表述事故处理过程,方便万一出现下次同类事故的处理。 13.2.5 建立健全技术事故的防范对策,严格按本规范要求建设、管理信息系统的 硬件设施和软件环境,定期进行事故防范演习,针对薄弱环节不断改进完善。 14附录:参考文献 1)中共中央保密委员会办公室、国家保密局关于国家秘密载体保密管理的规定 【厅[2000]58号】 2)涉及国家秘密的计算机信息系统平安保密方案设计指南BMZ2-2001 3)国家标准GB9361-1988《计算站场地平安要求》 4)国家标准GB2887-2000《电子计算机场地通用规范》 5)国家标准GB50174-1993《电子计算机机房设计规范》 6)国家标准GB9254-1998《信息技术设备的无线电骚扰限值和测量方法》 7)国家公共平安和保密标准GGBB1-1999《信息设备电磁泄漏发射限值》 8)国家保密标准BMB2-1998《使用现场的信息设备电磁泄漏发射检查测试方法 和平安判据》 9)国家保密标准BMB3-1999《处理涉密信息的电磁屏蔽室的技术要求和测试方 法》 10)国家保密标准BMB4-2000《电磁干扰器技术要求和测试方法》 11)国家保密标准BMB5-2000《涉密信息设备使用现场的电磁泄漏发射防护要 求》 12)国家保密标准BMZ1-2000《涉及国家秘密的计算机信息系统保密技术要求》 13)中华人民共各国公安部令32号《计算机信息系统平安专用产品检测和销售 许可证管理方法》 14)国家保密局文件《计算机信息系统保密管理暂行规定》(国保发[1998] 1号) 15)中央保密委员会办公室、国家保密局文件《涉及国家秘密的通信、办公自动 化和计算机信息系统审批暂行方法》(中保办发[1998] 6号) 16)中华人民共和国公安部令第51号《计算机病毒防治管理方法》 17)国家保密局发布《计算机信息系统国际联网保密管理规定》 6.4 数据存储管理 10 6.5 数据完整性管理 11 7密码管理制度 11 7.1 密码的内容 11 7.2 密码使用规范 11 8业务系统平安管理制度 12 8.1 业务系统网络平安管理 12 8.2 业务系统操作平安管理 13 8.3 业务持续性管理 14 8.4 业务系统信息存储加密 14 8.5 业务系统信息完整性校验与抗抵赖 15 9网络运维管理制度 15 9.1 网络平安规范 15 9.2 远程访问规范 16 9.3 用户访问控制规范 17 9.4 登录策略 17 9.5 日常审计制度 18 9.6 攻击与入侵管理制度 19 9.7 申告受理和障碍处理制度 19 10」信息平安保障产品的选型原那么 19 10.2 招标的平安管理 20 10.3 维修与报废 20 11计算机病毒防范制度 20 12信息平安审计制度 21 13应急管理制度 22 13.1 应急响应计划 22 13.2 应急事件处理 23 14附录:参考文献 23 信息化平安管理制度 1总那么 1.1 引言 为了适应企业日显重要的信息平安的需要,加强分公司信息的平安管理,规 范网络信息活动,促进深圳分公司信息化建设健康有序开展,在分公司信息化领 导小组的指导下,特制定本管理制度。 1.2 信息系统控制总体规划原那么 1.2.1 管理机构 深圳分公司信息平安管理的机构是机关信息化领导小组和工程信息化领导 小组。 1.2.2 高度重视、专人负责 各级领导应对信息系统控制及平安问题高度重视,深圳公司及工程设立了专 门的部门、分配专人负责信息系统的控制及平安工作。 1.2.3 平安第一 信息系统的控制是分公司信息流转的前提和保证,信息的建立、传输、保存 必须保证平安。 1.2.4 分级管理 信息系统的控制应分不同的等级进行管理。 2人员平安管理 2.1 个人平安规范 2.1.1 分公司和个人不得利用企业和国际互联网制作、复制、查阅和传播以下信 息: 1)煽动抗拒、- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息化 安全管理 制度
咨信网温馨提示:
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【二***】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【二***】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【二***】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【二***】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。
关于本文