《信息系统安全管理制度2013修改版)》由会员分享,可在线阅读,更多相关《信息系统安全管理制度2013修改版)(30页珍藏版)》请在金锄头文库上搜索。
1、信息系统安全管理制度冯亚峰 2013/5/17*1 目的本管理制度从物理安全、软件安全和网络安全角度出发,规范公司内职员的计算 机使用行为习惯,以保证公司网络正常运转。2. 适用范围全公司范围内3. 引用文件无4 .定义物理安全就是要保证计算机系统有一个安全的物理环境,对接触计算机系统 的人员有一套完善的技术控制手段,且充分考虑到自然灾害可能对计算机系统造 成的威胁并加以规避。软件安全是指保证计算机软件的完整性及软件不会被破坏或泄漏,这里所说 的软件包括系统软件、数据库管理软件、应用软件及相关资料。软件的完整性是 指系统软件、数据库管理软件、应用软件及相关资料的完整性以及系统所拥有的 和产生的
2、信息的完整性、有效性等。网络安全是指保证网络上的信息能正确、准确地传给网络上提出信息要求的 用户。在此过程中,信息不会泄漏,不会被未经授权的人员窃取、偷看或修改。 网络安全除了要保证网络实体(如计算机房、计算机硬件、附属设备和网络通信 线路等)的安全外,主要还必须保障系统安全和应用软件安全,保证系统软件和 应用软件在网络环境下不被非法复制、篡改,不受计算机病毒的侵害,软件的安 全是网络安全中的关键问题。5. 主体内容5.1物理安全管理*5.1.1我公司数据中心及容灾机房环境安全管理口 机房应该选用专用的建筑物,尽量选择水源充足、市电电源比较稳定可 靠、交通通信方便、自然环境清洁的地方;口 机房
3、需有完备的动环监控设备,如支持机房信息设备工作8小时的UPS ;提 供机房恒温、恒湿的专业空调;机房内部环境温度、湿度、烟雾、漏水、市 电供电状态检测及报警设备;机房视频监控设备等。当机房动环数据超过安 全值,通过手机短信报警方式送达机房管理员。口 机房地板应铺设抗静电活动地板;口 主机房中各类管线宜暗敷,当管线需穿楼层时,宜设计技术竖井;口 为保证操作人员的安全,机房应设置疏散照明设备和安全出口标志;口 机房的屋顶应具有吸湿性小、隔热性能好的特性,并具有良好的防渗漏性 能;机房的门应做到防火;门框尺寸便于设备的通过;密封性好,并具有自 闭功能,能双向开闭;口 机房窗户选用铝合金双层窗,密封性
4、良好;口 机房最小使用面积不小于30帛;口 设备运转时,机房的温度应保持在1825。之间,相对湿度应在4565% ;口 空气含尘浓度、噪声、电磁干扰、振动、静电、灯光以及接地情况都直接影 响设备的使用;口 机房应具备阻燃、防水、防雷击、抗震功能,同时严禁存放易燃、易爆、 易腐蚀、强磁等物品;口 机房应在醒目位置安放干粉灭火装置,灭火装置周围严禁堆放物品。口 符合EHS1400相关标准;口 为了保护计算机系统的安全,应该采用一定的隔离控制手段。计算机房的 所有房门都应该足够结实,能防止非法的进入,机房宜设单独出入口,避免 人流、物流交叉;口 信息中心机房加设指纹识别门禁,对中心机房的出入进行严格
5、登记管理。*5.1.2机房的访问控制机房作为核心的机要部位不允许未经批准的人员进入,原则上不允许外来人 员参观。对于经信息中心经理批准进入机房的人员,必须有专人陪同,并尽量避 免参观机要部位。口 对于机房的访问者,在纸质计算机房访问人员登记表(见附件一)上登记来访者的姓名、性别、单位、电话、证件号码、进出时间、来访目的和 携带物品进行记录,以备核查;口 不得随意在机房内照相、录像、录音或使用其他记录仪器设备。5.2设备安全管理5.2.1设备选型 口 严禁采购和使用未经国家信息安全评测机构认可的信息安全产品;口 尽量避免直接采用境外的密码设备;口 必须采用境外信息安全产品时,该产品必须通过国家信
6、息安全测评机构的认 证;口 严禁使用未经国家密码管理部门批准和未经国家信息安全质量认证的国内 密码设备。*5.2.2设备检测信息系统中的所有安全设备必须是经过国家信息安全产品测评认证的合 格产品,其电磁辐射强度、可靠性及兼容性也应符合安全管理等级要求。凡购回的设备均应在测试环境下经过连续72小时以上的单机运行测试和 联机48小时的应用系统兼容性运行测试;并形成设备检测测试记录报告。*5.2.3设备安装口 设备符合系统选型要求并获批准后,方可购置安装;口 通过上述“设备检测”项的测试后,设备才能进入试运行阶段,试运行时间 的长短可根据需要自行确定;口 通过试运行的设备才能投入生产系统,正式运行。
7、*5.2.4设备使用管理口 由设备负责人负责设备的使用登记,登记内容应包括运行的起止时间、累计 运行小时数及运行状况等;口 由负责人负责进行设备的日常清洗和定期保养维护,做好维修记录,保证设 备处于最佳状态;口 一旦设备出现故障,负责人应立即如实填写故障报告,通知有关人员处 理;如需维修时必须记录维修对象、故障原因、排除方法、主要维修过程以 及维修人员、维修时间等有关情况;*5.2.5设备存储管理口 设备负责人应保证设备在其出厂标称的使用环境(如温度、湿度、电压、电磁干扰和粉尘度等)下工作。口 需要有设备存储状态的详细记录以及定期巡检记录。口 必须定期对存储环境进行清洁和核查。口 安全产品及保
8、密设备应单独存储并有相应的保护措施。5.3软件安全管理*5.3.1计划及选型公司信息中心根据公司信息化的发展及各个业务部门的特殊使用申请于每年年底 制定次年的软件购买计划和费用预算并上报总师和总裁/执行总裁批准;批准后信息 中心协同业务部门成立选型小组,开始软件的调研和选型。*5.3.2采购及测试采购计划内的软件,在OA的“业务流程审批(新)IT服务”上填写软件(无形 资产)项目执行审批表(见附件二),走计划内软件采购流程;采购计划外的软 件,在OA的“业务流程审批(新)IT服务”上填写计划外软件(无形资产)项目申 请表(见附件三),走计划外软件采购流程。要避免采购不合法软件,软件必须经过一段
9、试用测试后才可以正式购买;软件进 公司后必需经过预安装在测试环境下进行相应测试,以确定该软件和常见的应用、其 他常用的软件之间的兼容性;这种方法既适用于新购置的软件,也适于经过更新、升 级的已有软件;测试中要先提出部署方案和测试计划,经测试小组及信息中心经理批 准后方可开始测试;测试过程中要做到随时可以退回到初始状态的功能,由于目前公 司条件所限,信息中心网络环境就作为测试用的测试环境,所有安装软件必须经过测 试环境的检验方可正式发布;通过建立软件档案,将安装情况记录、归档;软件的安 装必须由信息中心人员和软件供应商或软件编制人员按照规定的步骤进行安装。*5.3.3验收和存储在完成软件的验收过
10、程中,要相应记录软件产品的名称、版本号和序列号,产 品的数量,产品的授权及授权时间段,收到订购软件的日期,以及其他购买合同的详 细情况。5.3.4维护和监控信息中心指定专门人员负责监控软件的各种使用情况,负责组织和完善对系统所 拥有的有效特许的各种软件的拷贝目录和拷贝份数;建立和保存适当的文档来记录首 次和每年软件管理和清理的结果,并在以后跟踪新增加的软件的拷贝安装与使用,存 入档案;对安全系统所使用的计算机、服务器定期进行检查,以保证系统所使用的 软件合法和安全,并检查文档的完整性和正确性。在软件进行维护时,专人对维护过 程做相应记录并记录在软件登记数据库中。所有记录按不同的软件功能以周报、
11、月报 和季报的方式记录在案。*5.3.5软件使用口 在公司内必须使用公司认可授权的正版软件,禁止使用盗版软件,所有软件 的安装必需由信息中心或专业指定人员来完成,个人不得私自安装软件,或擅 自卸载预装软件;如由于私自安装软件造成计算机宕机、瘫痪或遭受病毒、木 马者一律由本人自行负责;如果由于私自安装软件造成对公司网络的攻击,将 提交部门总经理处理。口 如有特殊情况需要下载安装程序者,需在OA的“业务流程审批(新)IT服 务”中填写软件安装单(见附件四),并由部门总经理批准后由信息中 心统一安装。口 采取防范措施,减少使用外来软件或文件可能产生的风险。口 对于支持关键业务程序的系统软件和数据,应
12、该进行定期检测。口 防止非法文件对计算机系统中的软件或数据进行非法修改或调查。口 在使用软件前,应对来源不详的软件及相关文件或从不可靠的网站上下载的 软件及相关文件进行必要的检查。*5. 4 应用系统安全管理目前我公司的主要应用系统包括:PDM、PLM、CAPP、ERP、QMS、K3、 OA等,任何一个系统都要经过一个开发生命周期来完成,包括:系统规划、系统 分析、系统设计、系统实施和系统运行等5个阶段。应用软件开发版本管理是提高软件可靠性的重要措施,也是加强应用软件开发 关键技术安全保密的主要措施之一。在应用软件生命周期内,从开始设计到最后投 入使用,每个设计版本都会分别对应一个工作状态,不
13、同状态的版本具有不同的使 用控制权限。在具体版本管理中,要以版本产生的先后次序来管理设计阶段产生的 版本。当产生一个新版本时,应自动地或由开发者按标准要求赋予一个版本号。一 个软件的版本号应按照版本产生的时间顺序赋值,所赋值不能再用。版本的顺序 号应反映软件产生的时间顺序,应遵循版本号越高该版本产生的时间越晚的规则。 每个版本都应有对应的相关文档。应用软件的可靠性对计算机系统的运行和使用有着极大的影响。软件的可靠性 是指软件在指定的环境下,在给定的时间内,不发生故障的性能,或者指软件在规 定的时间内和规定的条件下,能正常地执行其规定的功能而无差错的概率。建立输 入安全控制原则,进入应用系统的数
14、据必须有正确的格式与内容,经过检查后,再 存储到计算机的存储介质上。*5.5 操作安全管理操作安全管理是计算机及网络安全的重要环节,合理规划和设定企业网络的管 理和操作权限在很大程度上能够决定整个网络的安全系数。公司采用域管理方式管理公司内的每一个客户端,所有公司局域网内的客户端 必需登陆公司域,使用公司域账户才能正常使用公司内、外网服务。公司以外的人 员进入公司后,如果要接入公司局域网内的,必需由被访问单位事先提出申请,并 将预接入机器拿至信息中心进行配置调试和更改后方可使用,否则外公司人员将不 能接入公司网内,也不能通过公司局域网连接外部的Internet网络。*5.5.1公司域用户访问管
15、理:我公司用“域”管理的方式来进行用户的入网访问管理。域的英文叫做Domain简单地解释,就是网络上的一块行政区。在 “域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工 作,相当于一个单位的门卫一样,称为“域控制器”。“域控制器”中包含了由 这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网 络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账 号是否存在、密码是否正确。如果以上信息不正确,域控制器就拒绝这个用户从 这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,只能以 对等网用户的方式访问 Windows共享出来的资源,这样就在一定程度上保护 了网络上的资源。因此要求我公司内所有计算机账户归入公司域内统一管理。 口 密码最小长度为8个字符; 口 密码最小有效期1天,最长有效期90天; 口 密码字符必需由复合型的数字和字母共同构成; 口 新密码不得重复使用最近的6个老密码,即6组密码为一个循环使用周 期;口 密码连续3次输入错误,账户将被锁定,必需提请信息中心管理员才能解 除锁定。口 各部门有特权的管理账户将被统一划分到一个组,统一受信息中心监控; 口 客户端账户超过30分钟不活动者,系统将被锁定,只有输入密码才能打开;口 账户最长有效期为90
