《ISMSB2015信息安全管理规范分解》由会员分享,可在线阅读,更多相关《ISMSB2015信息安全管理规范分解(15页珍藏版)》请在金锄头文库上搜索。
1、信息安全管理制度规范样式编号ISMS-B-2015编制审核批准密级内部版本V1.0发布日期2015年8月目录1信息安全规范31.1总则31.2环境管理31.3资产管理51.4介质管理61.5设备管理61.5.1总则61.5.2系统主机维护管理办法61.5.3涉密计算机安全管理办法91.6系统安全管理91.7恶意代码防范管理111.8变更管理111.9安全事件处置111.10监控管理和安全管理中心121.11数据安全管理121.12网络安全管理131.13操作管理151.14安全审计管理办法161.15信息系统应急预案161.16附表171 信息安全规范1.1 总则第1条 为明确岗位职责,规范操
2、作流程,确保公司信息系统的安全,根据中华人民共和国计算机信息系统安全保护条例等有关规定,结合公司实际,特制订本制度。 第2条 信息系统是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。第3条 信息安全系统遵循安全性、可行性、效率性、可承担性的设计原则,将从物理安全、网络安全、支撑层系统安全、应用层系统安全、数据及资料安全几方面进行部署实施。1.2 环境管理第1条 信息机房由客户安排指定,但应该满足如下的要求:1、物理位置的选择(G3)序号等级保护要求1机房应选择在具有防震、防风和防雨等能力的建筑内。2机房场
3、地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁,如果不可避免,应采取有效防水措施。2、防雷击(G3)序号等级保护要求1机房建筑应设置避雷装置。2应设置防雷保安器,防止感应雷。3机房应设置交流电源地线。3、防火(G3)序号等级保护要求1机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火。2机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料。3机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。4、防水和防潮(G3)序号等级保护要求1主机房尽量避开水源,与主机房无关的给排水管道不得穿过主机房,与主机房相关的给排水管道必须有可靠的防渗漏措施;2应采取措施防止雨水
4、通过机房窗户、屋顶和墙壁渗透。5、防静电(G3)序号等级保护要求1主要设备应采用必要的接地防静电措施。2机房应采用防静电地板。6、温湿度控制(G3)序号等级保护要求1机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。7、电磁防护(S2)序号等级保护要求1应采用接地方式防止外界电磁干扰和设备寄生耦合干扰。2电源线和通信线缆应隔离铺设,避免互相干扰。3应对关键设备和磁介质实施电磁屏蔽。8、物理访问控制(G3)序号等级保护要求1机房各出入口应安排专人值守或配置电子门禁系统,控制、鉴别和记录进入的人员。2需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围。3
5、应对机房划分区域进行管理,区域和区域之间应用物理方式隔断,在重要区域前设置交付或安装等过渡区域;4重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。9、防盗窃和防破坏(G3)序号等级保护要求1应将主要设备放置在机房内。2应将设备或主要部件进行固定,并设置明显的不易除去的标记。3应将通信线缆铺设在隐蔽处,可铺设在地下或管道中。4应对介质分类标识,存储在介质库或档案室中。第2条 由客户指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理。第3条 出入机房要有登记记录。非机房工作人员不得进入机房。外来人员进机房参观需经保密办批准,并有专人陪同。第4条 进入机房人员不得携带任
6、何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质、食品等对设备正常运行构成威胁的物品。严禁在机房内吸烟。严禁在机房内堆放与工作无关的杂物。第5条 机房内应按要求配置足够量的消防器材,并做到三定(定位存放、定期检查、定时更换)。加强防火安全知识教育,做到会使用消防器材。加强电源管理,严禁乱接电线和违章用电。发现火险隐患,及时报告,并采取安全措施。第6条 机房应保持整洁有序,地面清洁。设备要排列整齐,布线要正规,仪表要齐备,工具要到位,资料要齐全。机房的门窗不得随意打开。第7条 每天上班前和下班后对机房做日常巡检,检查机房环境、电源、设备等并做好相应记录(见表一)。第8条 对临时进入机房工作的人员,
7、不再发放门禁卡,在向用户单位保密部门提出申请得到批准后,由安全保密管理员陪同进入机房工作。1.3 资产管理第1条 编制并保存与信息系统相关的资产清单,包括资产责任部门、重要程度和所处位置等内容。第2条 规定信息系统资产管理的责任人员或责任部门,并规范资产管理和使用的行为。第3条 根据资产的重要程度对资产进行标识管理。第4条 对信息分类与标识方法作出规定,并对信息的使用、传输和存储等进行规范化管理。1.4 介质管理第1条 建立介质安全管理制度,对介质的存放环境、使用、维护和销毁等方面作出规定。第2条 建立移动存储介质安全管理制度,对移动存储介质的使用进行管控。第3条 确保介质存放在安全的环境中,
8、对各类介质进行控制和保护,并实行存储环境专人管理。第4条 对介质在物理传输过程中的人员选择、打包、交付等情况进行控制,对介质归档和查询等进行登记记录,并根据存档介质的目录清单定期盘点。第5条 对存储介质的使用过程、送出维修以及销毁等进行严格的管理,对带出工作环境的存储介质进行内容加密和监控管理,对送出维修或销毁的介质应首先清除介质中的敏感数据,对保密性较高的存储介质未经批准不得自行销毁。第6条 根据数据备份的需要对某些介质实行异地存储,存储地的环境要求和管理方法应与本地相同第7条 对重要数据或软件采用加密介质存储,并根据所承载数据和软件的重要程度对介质进行分类和标识管理。1.5 设备管理1.5
9、.1 总则第1条 由系统管理员对信息系统相关的各种设备(包括备份和冗余设备)、线路等进行定期维护管理。第2条 建立基于申报、审批和专人负责的设备安全管理制度。第3条 建立明确维护人员的责任、涉外维修和服务的审批、维修过程的监督控制的管理制度。第4条 对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理,按操作规程实现主要设备(包括备份和冗余设备)的启动/停止、加电/断电等操作第5条 确保信息处理设备必须经过审批才能带离机房或办公地点。1.5.2 系统主机维护管理办法第1条 系统主机由系统管理员负责维护,未经允许任何人不得对系统主机进行更改操作。第2条 根据系统设计方案和应用
10、系统运行要求进行主机系统安装、调试,建立系统管理员账户,设置管理员密码,建立用户账户,设置系统策略、用户访问权利和资源访问权限,并根据安全风险最小化原则及运行效率最大化原则配置系统主机。第3条 建立系统设备档案(见表二)、包括系统主机详细的技术参数,如:品牌、型号、购买日期、序列号、硬件配置信息、软件配置信息、网络配置信息、系统配置信息,妥善保管系统主机保修卡,在系统主机软硬件信息发生变更时对设备档案进行及时更新。第4条 每周修改系统主机管理员密码,密码长度不得低于八位,要求有数字、字母并区分大小写。第5条 每周通过系统性能分析软件对系统主机进行运行性能分析,并做详细记录(见表四),根据分析情
11、况对系统主机进行系统优化,包括磁盘碎片整理、系统日志文件清理,系统升级等。第6条 每周对系统日志、系统策略、系统数据进行备份,做详细记录(见表四)。第7条 每天检查系统主机各硬件设备是否正常运行,并做详细记录(见表五)。第8条 每天检查系统主机各应用服务系统是否运行正常,并做详细记录(见表五)。第9条 每天记录系统主机运行维护日记,对系统主机运行情况进行总结。第10条 在系统主机发生故障时应及时通知用户,用最短的时间解决故障,保证系统主机尽快正常运行,并对系统故障情况做详细记录(见表六)。第11条 每月对系统主机运行情况进行总结、并写出系统主机运行维护月报,上报保密办。第12条 系统主机的信息
12、安全等级保持要求:1、身份鉴别序号等级保护要求1对登录操作系统的用户进行身份标识和鉴别。2操作系统和数据库系统管理用户身份鉴别信息应不易被冒用,口令复杂度应满足要求并定期更换。口令长度不得小于8位,且为字母、数字或特殊字符的混合组合,用户名和口令禁止相同。3启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施。限制同一用户连续失败登录次数。4当对服务器进行远程管理时,采取必要措施,防止鉴别信息在网络传输过程中被窃听。5为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。2、访问控制序号等级保护要求1启用访问控制功能,依据安全策略控制用户对资源的访问。2根据
13、管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限。3实现操作系统和数据库系统特权用户的权限分离。4限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令。5及时删除多余的、过期的帐户,避免共享帐户的存在。3、剩余信息保护序号等级保护要求1保证操作系统和数据库系统用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中。2确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除。4、入侵防范序号等级保护要求1操作系统应遵循最小安装的原则,仅安装必要的组件和应用程序,
14、并通过设置升级服务器等方式保持系统补丁及时得到更新,补丁安装前应进行安全性和兼容性测试。2能够检测到对重要服务器进行入侵的行为,能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警。3能够对重要程序的完整性进行检测,并具有完整性恢复的能力。5、恶意代码防范序号等级保护要求1在本机安装防恶意代码软件或独立部署恶意代码防护设备,并及时更新防恶意代码软件版本和恶意代码库。2支持防恶意代码的统一管理。3主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库。6、资源控制序号等级保护要求1通过设定终端接入方式、网络地址范围等条件限制终端登录。2根据安全策略设置登录终端的操作超时锁定。3根据需要限制单个用户对系统资源的最大或最小使用限度。4对重要服务器进行监视,包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况。5能够对系统的服务水平降低到预先规定的最小值进行检测和报警。1.5.3 涉密计算机安全管理办法第1条 涉密计算机安全管理由安全保密管理员专人负责,未经允许任何人不得进行此项操作。第2条 根据网络系统安全设计要求制定、修改、删除涉密计算机安全审计策略,包括打印控制策略、外设输入输出控制策略、应用程序控制策略,并做记录。第3条 每日对涉密计算机进
