信息系统安全评测管理制度

《信息系统安全评测管理制度》由会员分享，可在线阅读，更多相关《信息系统安全评测管理制度（10页珍藏版）》请在金锄头文库上搜索。

1、信息系统安全评测管理根据国家对网络与信息安全工作的指导意见的要 求，各部门、小组有责任做好本公司信息系统及网站 的安全管理工作，并按照“谁主管谁负责，谁运营谁 负责，谁使用谁负责”的原则，网络与信息系统的主 管部门承担系统的安全管理和监督责任，网络与信息 系统的运行维护部门承担系统的技术安全保障责任， 网络与信息系统的使用小组和个人承担系统操作与信 息内容的直接安全责任。为进一步加强和规范公司信息系统及网站的安全 管理，适应新形势下对网络信息安全管理的需要，根 据中华人民共和国网络安全法、中国互联网管理 条例，结合公司实际情况，遵循科学性、全面性、可 行性和稳定性建立了一个综合评价指标体系。网

2、络与 信息系统的主管部门负责对新建信息系统进行安全评 测，评测通过后才可以上线运行。具体的评测指标内容如下：1、实体与环境安全实体与环境指计算机设备及计算机网管人员工作 的场所，这个场所内外的环境条件必须满足计算机设 备和网管人员的要求。对于各种灾害、故障要采取充 分的预防措施，万一发生灾害或故障，应能采取应急 措施，将损失降到最低限度。（1）机房周围环境机房是否建在电力、水源充足、自 然环境清洁、通讯、交通运输方便的地方。（2）机房周围100m内有无危险建筑危险建筑：指易 燃、易爆、有害气体等存在的场所，如加油站、煤气 站、煤气管道等。（3）有无监控系统监控系统：指对系统运行的外围环 境、操

3、作环境实施监控（视）的设施，及时发现异常， 可根据使用目的不同配备以下监视设备，如红外线传 感器、监视摄像机等设备。（4）有无防火、防水措施防火：指机房内安装有火灾 自动报警系统，或有适用于计算机机房的灭火器材， 如卤代烷1211和1301自动消防系统或灭火器。防水： 指机房内无渗水、漏水现象，如机房上层有用水设施 需加防水层，有暖气装置的机房沿机房地面周围应设 排水沟，应注意对暖气管道定期检查和维修。是否装 有漏水传感器。（5）机房有无环境测控设施（温度、湿度和洁净度）， 如温湿度传感器温度控制：指机房有空调设备，机房 温度保持在1824摄氏度。湿度控制：指相对湿度保 持在40%60%。洁净

4、度控制：机房和设备应保持清洁、 卫生，进出机房换鞋，机房门窗具有封闭性能。（6）有无防雷措施（具有防雷装置，接地良好）：计 算机机房是否符合GB157建筑防雷设计规范中的 防雷措施。在雷电频繁区域，是否装设有浪涌电压吸 收装置。（7）有无备用电源和自备发电机。（8）是否使用UPS：即不间断电源，是一种含有储能 装置，以逆变器为主要组成部分的恒压频的不间断电 源。主要用于给单台计算机、计算机网络系统或其它 电力电子设备提供不间断的电力供应。（9）是否有防静电措施（采用防静电地板，设备接地 良好），当采用地板下布线方式时，可铺设防静电活动 地板。当采用架空布线方式时，应采用静电耗散材料 作为铺垫材

5、料。通信设备的静电地板、终端操作台地 线应分别接到总地线母体汇流排上定期（如一周）对 防静电设施进行维护和检验。（10）是否保证持续供电设备是否采用双路市电供电， 提供冗余备份，并配有实时告警监控设备。是否与空 调、照明用电分开，专线供电。（11）是否有防盗措施中心有人值班，出入口安装防 盗安全门，窗户安装金属防护装置，机房装有无线电 遥控防盗联网设施。2、组织管理与安全制度（1）有无专门的信息安全组织机构和专职的信息安全 人员，信息安全组织机构的成立与信息安全人员的任 命必须有有关单位的正式文件。（2）有无健全的信息安全管理的规章制度，而且规章 制度上墙；是否严格执行各项规章制度和操作规程，

6、 有无违章操作的情况。（3）是否有信息安全人员的配备，调离有严格的管理 制度。（4）设备与数据管理制度是否完备，设备实行包干管 理负责制，每台设备都应有专人负责保管（包括说明 书及有关附件）；在使用设备前，应掌握操作规程，阅 读有关手册，经培训合格后方可进行相关操作；禁止 在计算上运行与业务无关的程序，未经批准，不得变 更操作系统和网络设置，不得任意加装设备。（5）是否有登记建档制度，登记建档是做好网络安全 工作的前提，一些技术资料对网络安全工作很重要， 要注意收集和保存。可从以下几个方面检查相关文档: 策略文档（如，法规文件、指示）、系统文档（如，系 统用指南、系统管理员手册、系统设计和需求

7、文档、 采购文档）、及安全相关的文档（如以前的审计报告、 风险评估报告、系统测试结果、系统安全计划、安全 策略）都可提供系统使用的或计划的安全控制方面的 信息。任务影响分析或资产重要性评估可提供有关系 统和数据重要性及敏感性的信息。设计资料，如网络 拓扑结构图，综合布线结构图等。安装资料，包括安 装竣工及验收的技术文件和资料。设备升级维修记录 等。（6）是否有紧急事故处理预案，为减少计算机系统故 障的影响，尽快恢复系统，应制定故障的应急措施和 恢复规程以及自然灾害时的措施，制成手册，以备参 考。（7）是否有完整的信息安全培训计划和培训制度，开 展网络安全教育是为了使所有人员了解网络安全的基 本

8、常识及网络安全的重要性，要坚持经常的、多样化 的安全教育工作，广播、图片、标语、报告培训班都 是可以采用的宣传教育方式。（8）各类人员的安全职责是否明确，能否胜任网络安 全管理工作。应对网络管理人员严格分工，使其职责 分明，要对网络管理人员定期进行安全培训及考核，对关键岗位人员，应该持有相应的认证。3、安全技术措施（1）是否有灾难恢复的技术对策，是否为网络中断和 灾难做好准备，以及如何快速反应将中断和损失降至 最小。灾难恢复措施包括灾难预防制度、灾难演习制 度及灾难恢复制度。（2）是否有系统安全审计功能，安全审计功能主要是 监控来自网络内部和外部的用户活动，侦察系统中存 在现有和潜在的威胁，对

9、与安全有关的活动的相关信 息进行识别，记录，存储和分析，安全审计系统往往 对突发事件进行报警和响应。（3）是否有系统操作日志，系统操作日志：指每天开、 关机，设备运行状况等文字记录。（4）是否有服务器备份措施，服务器数据备份是预防 灾难的必要手段。随着对网络应用的依赖性越来越强 和网络数据量的日益增加，企业对数据备份的要求也 在不断提高。许多数据密集型的网络，重要数据往往 存储在多个网络节点上，除了对中心服务器备份之外， 还需要对其他服务器或工作站进行备份，有的甚至要 对整个网络进行数据备份，即全网备份。（5）是否有防黑客入侵设施，防黑客入侵设施主要是 设置防火墙和入侵检测等设施。防火墙是为了

10、监测并 过滤所有内部网与外部网之间的信息交换，保护着内 部网络敏感的数据不被偷窃和破坏，并记录内外通讯 的有关状态信息日志。防火墙有三种类型，包括过滤 防火墙、代理型防火墙和状态监测型防火墙。入侵监 测系统处于防火墙之后对网络活动进行实时检测。许 多情况下，由于可以记录和禁止网络活动，所以入侵 监测系统是防火墙的延续。它们可以和防火墙和路由 器配合工作。它通过对计算机网络或计算机系统中若 干关键点收集信息并对其分析，从中发现网络或系统 中是否有违反安全策略的行为和被攻击的迹象。（6）是否有计算机病毒防范措施，计算机病毒防范措 施：备有病毒预防及消除的软、硬件产品，并能定期 的升级。设置客户端级

11、防护、邮件服务器级防护和应 用服务器级防护。4、网络与通信安全（1）放置通信设施的场所是否设有醒目标志，从安全 防范的角度考虑，安装有关通信设备的地方不应加标 志。配线架或MODEM柜应加锁，禁止无关人员入内。（2）重要通信线路及通信控制装置是否均有备份，重 要的通信线双重化以及线路故障时采用DDN通信线或 电话线ISDN等后备功能；从计算中心连出的重要通信 线路应采用不同路径备份方式。（3）是否采取加密措施，数据加密技术是保护传输数 据免受外部窃听的最好办法，其可以将数据变只有授 权接收者才能还原并阅读的编码。其过程就是取得原 始信息并用发送者和接收者都知道的一种特殊信息来 制作编码信息形成

12、密文。（4）系统运行状态有无安全审计跟踪措施，安全审计 是模拟社会检察机构在计算机系统中监视、记录和控 制用户活动的一种机制。它是影响系统安全的访问和 访问企图留下线索，以便事后分析和追查，其目标是 检测和判定对系统的恶意攻击和误操作，对用户的非 法活动起到威慑作用，为系统提供进一步的安全可靠 性。（5）网络与信息系统是否加有访问控制措施，访问控 制措施：指能根据工作性质和级别高低，划分系统用 户的访问权限。对用户进行分组管理，并且应该是针 对安全性问题而考虑的分组。5、软件与信息安全（1）操作系统及数据库是否有访问控制措施，把整个 系统的用户根据需要分为不同级别；不同级别的用户 享有对系统的

13、文件、数据、网络、进程等资源的权限， 并进行记费管理；还可根据不同的用户设置不同的安 全策略，将超级用户的权限细化（可分为系统管理员、 安全管理员、数据库管理员、用户管理员等）。（2）应用软件是否有防破坏措施，对应用程序安全的 考虑可以遵循如下的方向：对通用应用，如消息传递、 文件保护、软硬件交付等，制定通用技术要求；对于 特定的复杂应用，可分解为通用应用，同时考虑互操 作性问题。一般来讲，应用程序的安全机制应该包括 以下内容：身份标识与鉴别、数据保密性、数据完整 性、数据可用性、配置管理等。（3）对数据库及系统状态有无监控设施，可以使用系 统安全检测工具来定期扫描系统，查看系统是否存在 各种

14、各样的漏洞。（4）是否有用户身份识别措施，身份认证与数字签名 策略，身份认证是证明某人或某物身份的过程，当用 户之间建立连接时，为了防止非法连接或被欺骗，就 可实施身份确认，以确保只有合法身份的用户才能与 之建立连接。(5) 系统用户信息是否采用备份，日常备份制度是系 统备份方案的具体实施细则，应严格按照制度进行日 常备份，否则将无法达到备份方案的目标。此外，还 要认真完成一些管理工作，如：定期检查，确保备份 的正确性；将备份磁带保存在异地一个安全的地方(如 专门的磁带库)；按照数据增加和更新速度选择恰当的 备份数据。系统备份不仅备份系统中的数据，还要备 份系统中安装的应用程序、数据库系统、用户设置、 系统参数等信息。