信息安全管理系统的规范
信息安全管理系统的规范
第二部分:信息安全管理系统的规范
1
1. 范围
BS 7799的这个部分指明了对建立、实现和文档化信息安全管理系统(ISMSs)的需求。它指明了将要按照个别机构的需要而实现的安全控制的需求。
注:第一部分给出了对最佳惯例的推荐建议,这些惯例支持该规范中的需求。BS 7799的这个部分的条款4给出的那些控制目标和控制来自于BS 7799-1:1999并与改部分的内容保持一致。
2. 术语与定义
为了BS 7799的这个部分,BS 7799-1给出的定义适用于该部分,并有以下专用术语: 2.1 适用性说明
适用于机构的安全要求的目标和控制的批评。
3.信息安全管理系统的要求
3.1概要
机构应建立及维护一个信息安全管理系统,目的是保护信息资产,订立机构的风险管理办法、安全控制目标及安全控制,以及达到什么程度的保障。
3.2建立一个管理框架
以下的步骤是用来找出及记录安全控制目标及安全控制的(参看图一):
a) 应定义信息安全策略;
b) 应定义信息安全管理系统的范围,定义范围可以是机构的特征、位置、资产及
技术;
c) 应进行合适的风险评估。风险评估应确认对资产的安全威胁、漏洞及对机构的
冲击,从而定出风险的严重程度;
d) 根据机构的信息安全策略及所要求达到的保障程度定出要管理的风险;
e) 从以下第四条款选出机构要实现的安全控制目标及要实施的安全控制;
f) 应准备一份适用性声明书,说明选出哪些安全控制目标及安全控制以及选择的
原因。
以上步骤应定期重复,确定系统的适用性。
2
3.3实施
选出的安全控制目标及安全控制应由机构有效地执行,实施控制的执行程序是否有效应根据4.10.2的规定进行检查。
3.4文档
信息安全管理系统的说明文档应包括以下信息:
a) 按照3.2所定的步骤实现的证据;
b) 管理架构的总结,其中包括信息安全策略、在适用性声明书所提及的安全控制
目标和已经实现的安全控制;
c) 为了实现3.3所指定的控制而采用的程序;这些程序应该刻画责任以及相关行
动;
d) 覆盖该ISMS中的管理和操作的程序,这些程序应该指出有哪些责任及其有关
行动。
3.5文档控制
机构应建立控制3.4所要求的所有文档的维护程序,以保证文档:
a) 随时可用;
b) 按照机构的安全策略定期检查并在必要时做出修正;
c) 在版本控制下进行维护,保证在有效运作信息安全管理系统的所有地方随时可
用;
d) 及时去掉过时的内容;
e) 标识并且保留过时的、法律需要的、或作为知识储备的部分。
文档应该是清晰可读的、标有日期(及版本日期)的、可以确认的,并且在指定时间内有序维护和保管。
3
第一步策略文件定义策略
ISMS 的范围定义ISMS 第二步的范围
信息资产
风险评估威胁、漏洞第三步进行风险评冲击估
结果与结论
机构的风险管第四步理办法管理这些风所要求达到的险保障程度
选定的控制选项
此部分的第三第五步段所列的安全选择控制目
控制目标和控标以及要实
制现的控制
不在BS7799的
其它安全控制
选定的控制目标及控制
适用性说明书撰写适用性第六步说明书
图一:建立一个管理架构 3.6记录
记录,作为信息安全管理系统运行所得结果的证据,应被妥善维护以便证明和BS-7799这
4
个部分的要求的遵从性对系统和机构来说是合适的,如来访者列表、审计记录、访问的授权等。
机构应建立和维护一套程序来识别、维护、保管和处理这些证明遵从性的记录。记录应清晰可读、可识别并可追溯到有关活动。记录的储存及维护应该注意保证随时能用、不被破坏、变坏或丢失。
5
4.详细监控
4.1安全策略
4.1.1 信息安全策略
目标:为信息安全提供管理方向和支持。
4.1.1.1信息安全策略文档
一份策略文档须由管理层所认可,出版并传达到全体员工。 4.1.1.2检查和评价
策略须定期检查,并在存在有影响的变化时保持它的适用性。 4.2安全组织
4.2.1信息安全基础设施
目标:在机构内部管理信息安全。
4.2.1.1 管理层信息安全论坛
为了保证有一个清晰的方向和来自管理层的可见的对安全主动性的支持,建立管理层论坛是
必要的。
4.2.1.2 信息安全的协调
如果从组织的规模方面来说是合适的,则可以建立一个由来自于组织内部有关部门的管理层
代表组成的论坛,并被用于协调信息安全控制的实施。 4.2.1.3 信息安全职责的分配
对个人资产的保护和执行特定安全过程的责任须应该明确定义。
6
4.2.1.4 信息处理设施的授权过程
新信息处理设施的管理授权过程将被建立起来。
4.2.1.5 专家信息安全建议
有关信息安全的建议将由内部人员或外部专家所提供,并且在组织内部沟通交流。 4.2.1.6 各机构之间的协作
与法律实施权威、管理机构、信息服务供应商和电讯经营者之间的适当联络将要被维护和保持。
4.2.1.7 信息安全的独立检查
信息安全策略的实施将被独立审查。
4.2.2第三方访问的安全
目标:维护被第三方访问的信息处理设施和信息资产的安全。
4.2.2.1第三方访问的风险的识别
与来自于第三方的对组织的信息处理设施的访问相联系的风险应该被评估,并且合适的安全控制应该被实现。
4.2.2.2在第三方合同中的安全要求
有任何涉及第三方访问组织的信息处理设施的安排时,须签订一个正式的包含所有必须的安全要求的合同。
4.2.3外部采购
目标:当为了信息处理而需要向外部的其他组织采购时,维持信息的安全。4.2.3.1 在外购合同中的安全要求
在组织外购的安全要求中,全部或部分的信息系统、网络和/或桌面环境的管理和控制须在由双方协商一致的合同中写明。
7
4.3资产分类与控制
4.3.1资产的可说明性
目标:维护对组织资产的适度保护。
4.3.1.1资产的盘点
所有重要资产的目录应该起草并加以维护。
4.3.2信息分类
目标:保证信息资产得到适度的保护
4.3.2.1分类方针
信息的分类和相关保护控制将会适合于信息共享和限制的商务需要和这些需要对商务的影响。
4.3.2.2信息标签和处理
依据该机构采取的信息分类模式,一套信息标签和处理程序应该被定义。
4.4人员安全
4.4.1工作定义和资源中的安全
目标:减少因人为的错误、偷窃、欺骗或误用设施而引起的风险。 4.4.1.1工作责任的安全
在机构的信息安全策略中所制定的安全角色和职责,应该在工作职责定义的适当地方以文件
形式确定下来。
4.4.1.2员工筛选和策略
确认对长期雇员的检查在工作申请时就已经定义好了。
8
4.4.1.3保密协议
雇员将签订一份保密协议作为他们的最初条款和雇佣条件的一部分。
4.4.1.4雇佣的条款和条件
雇佣的条款和条件应该包括雇员在信息安全方面的责任。
4.4.2 用户培训
目标:培养用户的信息安全意识,使用户能在日常工作中用团队的安全策略来要求自己。 4.4.2.1 信息安全教育和培训
所有的团队员工,以及相关的第三方用户,都应当接收适当的安全策略培训和机构策略和程序的更新。
4.4.3 安全事故与故障的处理
目标:把突发安全事故与故障的危害性降到最低,监控并从中吸取教训。
4.4.3.1 报告突发安全事故
突发安全事故应通过适当的管理渠道尽快报告出来。
4.4.3.2 报告安全弱点
信息服务的使用者应当记录并报告观察到的和可疑的系统或服务的安全弱点或系统面临的威胁。
4.4.3.3 报告软件故障
报告软件故障的程序应该建立并遵循。
4.4.3.4 从事故中吸取教训
应建立适当的机制来监测和量化突发安全事件的类型、程度和损失。
9
4.4.3.5 纠正过程
员工对团队对安全策略的违反都应当有一个正式的纠正过程。
4.5物理与环境的安全
4.5.1 安全地区
目标:防止对业务前提和信息的非授权访问、破坏和干扰。
4.5.1.1 物理安全边界
应对包含信息处理设施的地区使用安全的边界。
4.5.1.2 物理接口控制
安全地区应该通过合适的入口控制进行保护,从而保证只有合法员工才可以访问这些地区。 4.5.1.3 保护办公室、房间和设施
应建立安全地区以保护那些有特殊安全需求的办公室、房间和设施。
4.5.1.4 在安全地区工作
在安全地区工作时应采取附加的控制和方针来加强由保护安全地区的物理控制所提供的安全性。
4.5.1.5 隔离的运输和装载地区
运输和装载地区应该受到控制,如果可能,应该和信息处理设施隔离开来以避免非授权访问。 4.5.2 设备安全
目标:防止资产的丢失、破坏,防止商业活动的中断。
4.5.2.1 设备放置地点的选择与保护
设备应当安置在合适的地点并受到保护以减少来自环境的威胁,减少被非授权访问的机会。
10
4.5.2.2 电源供应
设备应当为应对电源失败和电力异常而采取适当的保护措施。
4.5.2.3 电缆安全
传输数据和支持信息服务的通讯线路和电力线缆应该受到保护以免被侦听和毁坏。 4.5.2.4 设备维护
设备应当根据制造商的说明和使用手册来维护,以保证连续性的可靠性和完整性。 4.5.2.5 在机构外部使用设备时应注意的安全性
对在机构外部使用的设备应当建立安全程序和控制。
4.5.2.6 设备应该被安全地处理掉和再使用
在设备被处理掉和再使用以前应当删除设备含有的所有信息。
4.5.3 一般控制
目标:防止信息和信息处理工具遭受危害和被偷窃。
4.5.3.1 清洁桌面与清洁屏幕策略
应当制定并执行清洁桌面与清洁屏幕策略,以减少非授权访问、信息的丢失与毁坏。 4.5.3.2 资产的删除
属于机构的设备、信息或软件,未经许可不得擅自删除。
4.6通讯与操作的管理
4.6.1 操作过程与职责
目标:确保对信息处理设备的操作是正确的、安全的。
11
4.6.1.1 记录操作过程
4.1.1.1中描述的安全策略中标出的操作过程应当被记录并得到相应的维护。
4.6.1.2 针对操作变化的控制
信息处理工具和系统的任何变化都应当得到控制。
4.6.1.3 事件管理程序
应建立必要的事件管理职责和程序以保证对安全事件能做出迅速、有效以及有序的响应。 4.6.1.4 职责分离
应对职责进行分离以便于减少对信息和服务的非授权修改和误用。
4.6.1.5 开发设施与操作设施的分离
在项目完成过程中应当将开发测试设施和操作设施分离开来。
4.6.1.6 外部设施管理
在使用外部设施管理服务之前,应当弄清楚将要面临的风险、采取订约人认可的控制,并合并到合同中。
4.6.2 系统计划与验收
目标:使系统失败的风险减到最小。
4.6.2.1 容量计划
应当监测系统容量需求,并对未来的系统容量需求做出计划,以确保采用合适的处理能力和存储容量。
4.6.2.2 系统验收
应对新的信息系统及其升级及新版本建立验收标准,并采取相应的测试。
12
4.6.3 针对恶意软件的防护
目标:保护软件及信息的完整性。
4.6.3.1 采取控制来防范恶意软件
使用探测与防范措施来防止恶意软件的侵害,并实现合适的提高用户警觉性的程序。
4.6.4 内务处理
目标:维护在信息处理和通讯服务中的数据完整性和可靠性。 4.6.4.1 信息备份
应对商业信息及软件进行经常性的备份
4.6.4.2 操作员日志
操作人员应当建立起记录操作的日志。
4.6.4.3 出错日志
出现的错误应被报告并采取纠正措施。
4.6.5 网络管理
目标:保护网络中的信息及其支持基础设施。
4.6.
5.1 网络控制
采取一定范围的控制措施以获得及维护网络的安全。
4.6.6 介质处理和安全
目标:防止资产损失及商业活动的中断
4.6.6.1 计算机可移动介质的管理
计算机可移动介质的管理,包括磁带、磁盘、盒带以及打印出来的报表都应当受到控制。
13
4.6.6.2 介质处理
当不再使用时,介质应得到安全处理。
4.6.6.3 信息处理程序
应建立信息的处理及存储机制以免信息被非法泄漏及误用。
4.6.6.4 系统文档的安全
系统文档应受到保护以免未经授权的访问。
4.6.7 信息及软件的交换
目标:防止信息交换过程中信息的丢失、修改及误用。
4.6.7.1 信息和软件的交流协议
应对机构之间的信息和软件交流,不管是以电子方式还是以手工方式,都应当建立正式的协议。
4.6.7.2 传输过程中的介质安全
传输过程中的媒介应受到保护,以免于未经授权的访问、误用和破坏。
4.6.7.3 电子商务安全
电子商务应当受到保护,使之免受欺诈、合同纠纷、信息泄漏或篡改等行为的危害。 4.6.7.4 电子邮件安全
应该建立电子邮件的使用策略并采取控制措施来减少由于电子邮件的使用而带来的风险。 4.6.7.5 电子办公系统的安全
应采取适当的策略与方针以控制与电子办公系统有关的商业安全风险。
14
4.6.7.6 信息发布系统的安全
在信息发布以前,应当有个正式的授权过程,并且这些信息的完整性应受到保护以阻止未经授权的修改。
4.6.7.7 其它方式的信息交换
应采取一定的程序与控制以保证信息在使用音频、传真、视频等通讯工具进行传输时的安全性。
4.7 访问控制
4.7.1 访问控制的商业需求
目标:控制对特定信息的访问。
4.7.1.1 访问控制策略
访问控制的商业需求应当正式定义并形成文档,访问受限于控制策略的规定。
4.7.2 用户访问管理
目标:防止未经授权的访问。
4.7.2.1 用户注册
对于所有的多用户信息系统和服务都应当有一个正式的用户注册与撤销的过程以授予访问权限。
4.7.2.2 特权管理
特权的分配与使用应该受到限制与控制。
4.7.2.3 用户口令管理
口令的分配应通过一个正式的管理程序来控制。
15
4.7.2.4 用户访问权限审查
应当启动一个正式的程序周期性地在一定时间间隔后审查用户的访问权限。
4.7.3 用户职责
目标:防止未经授权的用户访问
4.7.3.1 口令的使用
用户在口令的选择与使用上应遵从良好的安全实践经验。 4.7.3.2 易被忽略的用户设备
用户应保证那些易被忽略的设备得到合适的保护。 4.7.4 网络访问控制
目标:保护网络服务
4.7.4.1 网络服务的使用策略
用户应当只能够直接访问那些被授权了的服务。 4.7.4.2 增强的路径
从用户终端到服务器服务的路径应被控制。 4.7.4.3 外部连接的用户认证远程用户的访问应经过认证。
4.7.4.4 节点认证
对外部计算机系统的连接应该经过认证。 4.7.4.5 对远程诊断端口的保护对诊断端口的访问应得到安全的控制。
16
4.7.4.6 网络隔离
应采取一定的控制措施把网络按照信息服务、用户和信息系统分为不同的组。
4.7.4.7 网络连接控制
在共享网络中,用户的连接容量应受到限制,相关访问控制策略请参看
4.7.1.1。 4.7.4.8 网络路由控制
共享网络应有路由控制以确保计算机连接与信息流不违背4.7.1.1中描述的商业应用的访问控制策略。
4.7.4.9 网络服务的安全性
应提供单位使用的所有网络服务的安全属性的清晰描述。
4.7.5 操作系统访问控制
目标:防止未经授权的计算机访问。
4.7.
5.1 自动终端认证
应使用自动终端认证系统来对到特定位置和便携式设备的连接。 4.7.5.2 终端登录过程
对信息服务的访问应使用安全的登录过程。
4.7.
5.3 用户标识和认证
所有的用户都应有一个独一无二的标识供他们个人单独使用,这样就可以追踪用户的行为到相应的责任个人。
4.7.
5.4 口令管理系统
口令管理系统应提供有效的、交互式的工具来确保口令的质量。
17
4.7.
5.5 系统工具的使用
系统工具的使用应受到限制和得到紧密控制。
4.7.
5.6 用警告信息保护用户
Duress alarm to safeguard users Duress alarm shall be provided for users who might be the target of coercion.
为可能成为监禁目标的用户提供警告信号。
4.7.
5.7 终端超时
高风险地区或与高风险系统相连的非活动终端在处于一段时期的非活动状态后应当断开连接以防止未经授权的用户访问。
4.7.
5.8 连接时间的限制
应对那些需要采取特殊安全措施的高风险应用使用连接时间的限制。
4.7.6 应用系统的访问控制
目标:防止对信息系统中信息的未经授权的访问。
4.7.6.1 信息访问限制
对信息和应用程序系统功能的访问应受到限制,相关访问控制策略请参看
4.7.1.1。 4.7.6.2 敏感系统的隔离
敏感系统应当有专用的隔离的运行环境。
4.7.7 监控对系统的访问和使用
目标:探测未经授权的行为。
18
4.7.7.1 事件日志
应提供对异常事件和与安全相关事件的审计日志,以便于今后的调查和对访问控制的监测。 4.7.7.2 监控对系统的使用情况
应建立监控信息处理工具的使用情况的过程,并周期性察看日常监控的结果。
4.7.7.3 时钟同步
计算机时钟应当同步以便于准确记录日志。
4.7.8 移动计算与远程工作
目标:确保使用移动计算或远程工作工具时的信息安全。
4.7.8.1 移动计算
应采用正规的策略和合适的控制以保护使用移动计算工具的工作安全,尤其是在那些不受保护的环境下工作时。
4.7.8.2 远程工作
应设计策略和程序来授权和控制远程工作的活动。
4.8 系统开发与维护
4.8.1 系统的安全需求
目标:确保信息系统采取了足够的安全措施。
4.8.1.1 安全需求分析与描述
新系统的商业需求或者对现有系统的增强都应该指定对安全控制的需求。
4.8.2 应用系统的安全
目标:防止应用软件系统中用户数据的丢失、篡改和误用。
19
4.8.2.1 对输入数据进行有效性确认
应用软件系统的输入数据应当经过确认以保证它们是正确、合适的。 4.8.2.2 对内部处理的控制
正确性检查应当和系统有机结合,以便检测被处理的数据的退化。 4.8.2.3 消息认证
应对那些对消息内容完整性有安全需求的应用软件建立消息认证机制。
4.8.2.4 对输出数据进行有效性确认
应用软件系统的输出数据应当经过确认以保证对存储的信息的处理是正确合适的。
4.8.3 密码控制
目标:保护信息的机密性、真实性和完整性。
4.8.3.1 密码控制的使用策略
应建立并遵守用于对信息进行保护的的密码控制的使用策略。 4.8.3.2 加密应对敏感或机密数据进行加密。
4.8.3.3 数字签名
应采用数字签名方法来保护电子信息的真实性与完整性。 4.8.3.4 不可否认服务
应使用不可否认服务来解决关于事件是否出现的冲突。
20
4.8.3.5 密钥管理
密钥管理基于一套标准、过程和方法,用来支持密码技术的使用。
4.8.4 系统文件的安全性
目标:确保IT项目和支持行为是在安全的模式下进行。 4.8.4.1 对业务软件的控制
应对业务系统的软件实现情况进行控制。
4.8.4.2 对系统测试数据的保护
测试数据应受到保护和控制。
4.8.4.3 对程序源代码库的访问控制
应对程序源代码库进行严格的访问控制。
4.8.5 在软件开发与支持过程中的安全性目标:维护应用软件系统和信息的安全性。
4.8.
5.1 变化控制程序
信息系统的变化的实现应该通过使用正式的改变控制程序进行严格控制,使信息系统崩溃的
可能性降到最低。
4.8.
5.2 针对操作系统变化的技术审查应用系统在操作系统发生变化时应当进行审查和测试。 4.8.5.3 限制对软件包的修改
防止对软件包的修改,任何必要的修改应受到严格的控制。
21
4.8.
5.4 隐蔽信道和特洛依木马代码
软件的购买、使用和修改应受到控制和检测,以避免可能的隐蔽信道和特洛依木马代码。 4.8.5.5 外包软件开发
应采取必要的控制措施来使公开源码的软件开发更安全。
4.9 业务连续性管理
4.9.1 业务连续性管理的各个方面
目标:保持业务活动的连续性,保护关键的项目开发过程不受主要失败或灾难的影响。 4.9.1.1 业务连续性管理的进程
为了开发与维护整个机构的业务的连续性,应建立一个管理进程。
4.9.1.2 业务连续性与影响分析
为了业务连续性的整体解决方法,基于合适的风险评估的战略计划应该被制定出来。 4.9.1.3 连续性计划的撰写与实施
计划应该被制定以维护和及时恢复已经中断或失败后的关键业务的运行。
4.9.1.4 业务连续性计划的框架
应当有一个单独的业务连续性计划被维护以保证所有计划的一致性和确定测试与维护的优先级。
4.9.1.5 测试、维护与重新评估业务连续性计划
项目开发连续性计划应当经常测试与维护以保证该计划是最新的和有效的。
22
4.10遵循性
4.10.1 与法律要求的一致性
目标:避免与任何刑事或民事法律、法规、规章制度、合同条款以及安全需求发生冲突。 4.10.1.1 识别适用的立法
对每一个信息系统都应当明确指出所有相关的法规、规章以及合同要求并形成文档。 4.10.1.2 知识产权
应采取适当的措施以保证在使用与知识产权相关的材料和软件产品时不违反法律规定。 4.10.1.3 保护机构的文档记录
重要的机构档案应受到保护,以防止丢失、破坏和假冒。
4.10.1.4 数据保护与个人信息隐私
应根据相关法律采取必要的控制来保护个人信息。
4.10.1.5 防止信息处理设备的误用
应对信息处理设备的使用采用授权管理以防止这些工具的误用。
4.10.1.6 密码控制制度
采取控制措施来保证与用于控制访问和使用密码技术的国家协议、法律法规的一致性。 4.10.1.7 证据收集
如果针对个人或机构的行动涉及民事或刑事的法律,则所出示的证物必须与相关法律所列出的条款以及将要受理此案件的法庭的规定相一致。这包括与任何已公布的产生可接受的证据的标准或惯例代号的遵循性。
23
4.10.2 安全策略与技术遵循性的复审
目标:确保系统与机构的安全策略和标准相一致。
4.10.2.1 安全策略遵循性
经理应确保本部门所有的安全过程在责任区得到正确实施,并且机构内部的所有部门应当进
行经常性的检查以确保与安全策略和标准相一致。
4.10.2.2 技术遵循性检查
应当经常对信息系统进行检查以保证与安全实施标准相一致。
4.10.3 系统审计的考虑
目标:最大化有效性并最小化对和/或来自系统审计进程的干扰。
4.10.3.1 系统审计控制
应对业务系统的审计做出计划,以便于把业务过程中断的风险降到最低。
4.10.3.2 系统审计工具的保护
系统审计工具的访问应受到保护以防止可能发生的误用或危害。
24
重大事件期间网络与信息安全管理规定
**集团有限公司 重大事件期间网络与信息安全管理规定(试行) 第一章总则 第一条为切实做好**集团有限公司网络与信息安全防护工作,建立有效的安全防护体系,进一步提高预防和控制网络与信息安全突发事件的能力和水平,减轻或消除突发事件的危害和影响,确保重大事件期间网络与信息安全,制定本管理规定。 第二条本规定所指的重大事件是指需要保供电的国家、省政府层面的重大活动,如重大会议、重大体育赛事等。 第三条集团公司重大事件期间网络与信息安全管理要坚持以加强领导,落实信息安全责任地;高度重视,强化安全防范措施;周密部署,加强各相关方协作为原则,以确保重大事件期间不出现因网络与信息安全问题造成不良的社会影响,确保重大事件期间不出现因网络与信息安全问题造成的安全生产事故为目标。 第四条集团公司重大事件期间网络与信息安全管理工作范围包括:集团广域网、各局域网、电力二次系统、重要信息系统以及信息安全。各单位的网络与信息安全专项工作组应在集团公司网络与信息安全应急工作小组的指导下,负责本单位网络与信息安全防范和整改工作。
第五条重大事件期间在时间上分为三个阶段,分别是准备阶段、实施阶段和总结阶段。时间划分为重大事件起始日期前两个月为准备阶段;从重大事件起始日期至结束日期为实施阶段;从重大事件结束日期后半个月为总结阶段。各阶段网络与信息安全的管理工作内容有所侧重。 第六条本规定适用于集团公司总部和系统各单位。 第七条集团公司重大事件期间网络与信息安全管理工作由集团公司信息中心归口管理。 第二章准备阶段管理 第八条组织开展网络与信息安全查检工作,网络与信息安全采取自查和现场抽查相结合的方式,先开展各单位内部的网络与信息安全自查,在各单位自查的基础上,由集团公司组织相关人员对部分单位进行现场专项检查。 第九条网络与信息安全检查内容至少应包括管理制度建设、网络边界完整性检查和访问控制、电力二次系统安全分区、电力二次系统网络接口及防护、电力二次系统通用防护措施、安全审计、已采取的防范网络攻击技术措施、重要网站网页自动恢复措施、网络设备防护、系统运行日志留存及数据备份措施等。具体的检查内容见附件1《网络与信息安全检查表》。 第十条对于检查发现的安全陷患,各单位应制定整改
信息安全管理系统
信息安全管理系统 一、产品聚焦 1、随着企业信息化进程的不断推进,信息安全问题日益凸显。信息技术水平不断在提升的同时,为何信息泄露,信息安全事件仍然时有发生 2、对于信息安全事件为何我们不能更多的在“事前”及时的发现并控制,而是在“事后”进行补救 3、信息安全管理工作“三分技术、七分管理”的原因何在 4、信息安全管理工作种类繁多,安全管理人员疲于应付,是否有合适的管理手段对其归类,有的放矢,加强针对性、提升工作效率是否需要有持续提升信息安全意识和增强知识学习的管理体系 二、产品简介 该产品通过与企业信息安全管理的现状紧密结合,融合国际主流及先进的风险管理方法、工具、设计理念,有效结合国内外对信息安全管理工作提出的相关安全标准体系要求,通过建立企业信息安全风险全生命周期、全面风险来源、全目标管理的全方位风险管理模型,以监测预警防风险、风险流程查隐患、风险应对控事态、监督评价促改进、保障体系提意识,保证信息安全风险管理在企业的落地生效。 三、产品特点 1、业务的无缝集成 无缝集成企业终端防护类安全系统、边界防护类安全系统、系统防护类安全系统、数据防护类安全系统、综合监管类安全管理系统以及相关的基础认证和授权平台等,实现对信息安全事件引发因素的全面监测和智能分析,有的放矢的对信息安全工作进行管理。 2、“上医未病,自律慎独”的风险管理体系 目标鲜明、方法合理、注重实效,为企业信息化进程保驾护航。基于企业现有管理制度和安全防御体系构建,实现系统的行之有效、行之有依。 3、合理的改进咨询建议 通过系统建设对企业信息安全管理现状进行梳理和分析,提供合理有效的改进咨询建议。 4、创新实用的管理工具 蝴蝶结模型、风险矩阵、风险热图等主流风险管理模型的实用化创新应用;德尔菲打分法、层次分析法、灰色评价法等科学分析方法的灵活嵌入;正态分布、泊松分布等概率模型的预测分析,致力于提升风险管理工作的精细度和准确度。 5、预置的信息安全风险事件库 由信息安全及风险管理专家组成的专家团队结合国内外的相关信息安全管理标准梳理的风险事件库基础信息,可在系统建设初期提供有力的业务数据支持。 6、持续渐进的信息安全知识管理 信息安全风险知识管理不仅仅是信息安全相关知识的积累和技术的提升、还在于信息安全管理意识的提升,通过信息安全知识管理体系的建立,提升全员的信息安全管理意识,并提供最新的信息安全知识储备。 四、应用效果 对信息安全风险管理全过程的数据、重点关注的风险主题进行全方位的数据分析,采用科学合理的数据分析模型,以灵活多样化的图表进行展现以辅助决策。 五、产品功能 1、目标管理 维护企业信息安全战略目标、不同层级风险管理目标、目标预警指标、目标风险等。以目标为龙头开展企业信息安全风险管理工作。 2、风险识别 利用层次分析法逐层分析,识别企业信息安全工作中包含的资产、资产脆弱性和面临的威胁,全面辨识风险源并制定相应的防控措施,并针对风险事件制定缓解措施。 3、风险评估 创新利用科学合理的风险评估方法对威胁发生概率、严重程度进行评估,量化风险指数,借助评估工具得出防范风险优先级并对风险分布进行展示。 4、监测预警 依托企业现有的信息安全防范体系架构,设置风险监控点,以风险管理视角对各重要的信息安全指标进行实时的数据监控,发挥信息系统“摄像头”的职能,针对信息安全关注的重大风险进行实时预警提示,确保风险的提前警示和预先处理。
信息安全管理制度 (2)
信息安全管理制度 为加强公司各信息系统管理,保证信息系统安全,根据《中华人民共和国保守国家秘密法》和国家保密局《计算机信息系统保密管理暂行规定》、国家保密局《计算机信息系统国际联网保密管理规定》,及上级信息管理部门的相关规定和要求,结合公司实际,制定本制度。 本制度包括网络安全管理、信息系统安全保密制度、信息安全风险应急预案 网络安全管理制度 第一条公司网络的安全管理,应当保障网络系统设备和配套设施的安全,保障信息的安全,保障运行环境的安全。 第二条任何单位和个人不得从事下列危害公司网络安全的活动: 1、任何单位或者个人利用公司网络从事危害公司计算机网络及信息系统的安全。 2、对于公司网络主结点设备、光缆、网线布线设施,以任何理由破坏、挪用、改动。 3、未经允许,对信息网络功能进行删除、修改或增加。 4、未经允许,对计算机信息网络中的共享文件和存储、处理或传输的数据和应用程序进行删除、修改或增加。 5、故意制作、传播计算机病毒等破坏性程序。
6、利用公司网络,访问带有“黄、赌、毒”、反动言论内容的网站。 7、向其它非本单位用户透露公司网络登录用户名和密码。 8、其他危害信息网络安全的行为。 第三条各单位信息管理部门负责本单位网络的安全和信息安全工作,对本单位单位所属计算机网络的运行进行巡检,发现问题及时上报信息中心。 第四条连入公司网络的用户必须在其本机上安装防病毒软件,一经发现个人计算机由感染病毒等原因影响到整体网络安全,信息中心将立即停止该用户使用公司网络,待其计算机系统安全之后方予开通。 第五条严禁利用公司网络私自对外提供互联网络接入服务,一经发现立即停止该用户的使用权。 第六条对网络病毒或其他原因影响整体网络安全的子网,信息中心对其提供指导,必要时可以中断其与骨干网的连接,待子网恢复正常后再恢复连接。
网络和信息安全管理平台的设计与实现
龙源期刊网 https://www.wendangku.net/doc/75105397.html, 网络和信息安全管理平台的设计与实现 作者:宫正 来源:《科学与信息化》2020年第13期 摘要随着现代计算机通信技术和现代网络通信技术的不断发展,互联网在现代人们的日常社会经济生活中一直占据着重要的应用地位,网络通信技术的不断成熟等也使得它被人们逐渐了解和重视。对网络用户信息和保护个人隐私的进行保护就显得非常的重要,然而在现代我国的网络和信息安全管理平台中,仍然存在一些问题。因此,本文通过针对当前网络安全环境下的信息安全存在问题,分析了网络安全信息管理服务平台实现系统的不断完善和快速发展,建立一个不断完善的企业网络安全信息管理服务平台。希望能够起到一定的借鉴作用。 关键词信息网络;安全信息管理;平台;设计;实现 引言 随着国民经济的不断快速发展和国家信息化体系建设的进一步深入发展,互联网的应用规模也随之不断扩大,信息网络安全事件层出不穷。为了有效应对网络信息安全上的威胁,网络和信息安全管理平台系统可以通过及时检测安全系统漏洞以及扫描应用程序中存在的病毒和下载装有安全防火、的安全杀毒防护软件等多种措施来有效保证当前网络信息系统的安全。然而,许多安全防护产品在实际使用后仍然产生了一系列安全问题。例如,网络经济信息安全产品由于功能分散,尚未基本形成统一规范的网络安全信息管理体系。其次,各种安全防护产品之间往往缺乏统一的沟通管理和联合调度工作机制,难以相互支持、系统开展工作。因此,相应类型的网络安全技术产品的应用很难及时得到有效性的发挥。不同安全设备的风险管理和安全控制系统平台功能有很大不同。安全设备管理人员在网络设备的日常使用和安全管理方法中,通过使用相应的安全管理服务平台进而实现对所有网络安全设备、系统和网络用户的安全管理这种情况,非常不方便。因此,建立了一个标准化的网络安全信息综合管理服务平台非常的重要。本文通过对网络和信息安全管理平台的主要功能,网络安全信息管理平台的系统框架和网络信息安全管理平台的设计与实践进行了一定的分析,希望可以起到借鉴作用[1]。 1 网络安全综合管理服务平台的主要功能 1.1 提高管理服务能力 网络安全信息系统管理可以根据网络拓扑图和数据树形图分别显示网络区域内安全系统管理和网络设备间的部署、运行系统状态以及管理的各种相关基本信息。 1.2 具有战略经营管理领导能力
ISMS手册信息安全管理体系手册
ISMS 手册-信息安全管理体系手册7 信息安全管理IT 服务管理体系手册 发布令 本公司按照ISO20000:2005 《信息技术服务管理—规范》和ISO27001 :2005 《信息安全管理体系要求》以及本公司业务特点编制《信息安全管理&IT 服务管理体系手册》,建立与本公司业务相一致的信息安全与IT 服务管理体系, 现予以颁布实施。 本手册是公司法规性文件,用于贯彻公司信息安全管理方针和目标,贯彻IT 服务管理理念方针和服务目标。为实现信息安全管理与IT 服务管理,开展持续改进 服务质量,不断提高客户满意度活动,加强信息安全建设的纲领性文件和行动准 则。是全体员工必须遵守的原则性规范。体现公司对社会的承诺,通过有效的PDCA 活动向顾客提供满足要求的信息安全管理和IT 服务。 本手册符合有关信息安全法律法规要求以及ISO20000:2005 《信息技术服务 管理—规范》、ISO27001 :2005 《信息安全管理体系要求》和公司实际情况。为能更好的贯彻公司管理层在信息安全与IT 服务管理方面的策略和方针,根据 ISO20000:2005 《信息技术服务管理—规范》和ISO27001 :2005 《信息安全管理体系要求》的要求任命XXXXX 为管理者代表,作为本公司组织和实施“信息安全管理与IT 服务管理体系”的负责人。直接向公司管理层报告。 全体员工必须严格按照《信息安全管理&IT 服务管理体系手册》要求,自觉遵守本手册各项要求,努力实现公司的信息安全与IT 服务的方针和目标。 管理者代表职责:
a)建立服务管理计划; b)向组织传达满足服务管理目标和持续改进的重要性; e)确定并提供策划、实施、监视、评审和改进服务交付和管理所需的资源,如招聘合适的人员,管理人员的更新; 1.确保按照ISO207001:2005 标准的要求,进行资产识别和风险评估,全面建立、实施和保持信息安全管理体系;按照ISO/IEC20000 《信息技术服务管理-规范》的要求,组织相关资源,建立、实施和保持IT 服务管理体系,不断改进IT 服务管理体系,确保其有效性、适宜性和符合性。 2.负责与信息安全管理体系有关的协调和联络工作;向公司管理层报告 IT 服务管理体系的业绩,如:服务方针和服务目标的业绩、客户满意度状况、各项服务活动及改进的要求和结果等。 3.确保在整个组织内提高信息安全风险的意识; 4.审核风险评估报告、风险处理计划; 5.批准发布程序文件; 6.主持信息安全管理体系内部审核,任命审核组长,批准内审工作报告; 向最高管理者报告信息安全管理体系的业绩和改进要求,包括信息安全管理体系运行情况、内外部审核情况。 7.推动公司各部门领导,积极组织全体员工,通过工作实践、教育培训、业务指导等方式不断提高员工对满足客户需求的重要性的认知程度,以及为达到公司服 务管理目标所应做出的贡献。 总经理:
信息系统数据安全管理制度
数据管理制度 第一条为加强数据管理,规范数据备份、保管与抽检、恢复、使用、清理与转存、销毁等行为,确保各类数据的完整性、保密性和可用性, 特制定本管理规范。 第二条本规定适用于XXXXXXX局信息部门、相关业务部门等。 第三条数据是指计算机系统存储的信息,可按数据类别和数据来源等进行分类。 1)根据数据类别,数据分可为业务数据(各应用数据库和文件),资源类数据(如日志、版本、操作系统文件、产品库、参数、配 置、代码等); 2)根据数据产生的环境,将数据分为生产数据、交换数据、决策数据、测试数据、研发数据和灾备数据。 第四条数据管理策略是指数据管理的基本规则和约定,包括数据备份策略、数据保管策略、数据抽检方案、数据恢复、清理和转存策略等。 第五条为了保证数据管理的规范化,应设置数据管理人员、数据管理实施人员、数据技术支持人员。 第六条数据管理人员的主要职责是: 1)负责建立和维护本单位的数据清单,对本单位的数据进行统一管理; 2)负责牵头组织技术支持人员制定数据管理策略(备份、保管、恢复、清理、转存策略及抽检方案); 3)负责组织定期根据数据抽检方案对数据存储介质进行抽检和恢复。 第七条数据管理实施人员的主要职责是:
1)负责数据管理策略的实施; 2)负责存储介质的管理。 第八条数据技术支持人员的主要职责是: 1)负责提供数据管理技术支持(如主机系统、网络、应用、开放平台等); 2)负责提供数据管理和维护的技术方案; 3)负责制定数据备份、恢复、清理、转存策略和抽检验证方案; 4)负责制定相应的数据操作手册; 5)负责在项目投产交接时,提交明确的数据生命周期策略。 第九条数据管理人员应牵头组织技术支持人员制定数据备份策略和数据备份操作手册。 第十条数据备份策略的制定应综合系统性能、存储容量、数据量增长速度、业务需求、备份方式、存储介质、存储介质型号、有效期等因素。 备份策略的制定应考虑在特殊日、版本升级日增加备份。 第十一条数据管理实施人员要根据操作手册进行备份。备份时,要仔细检查备份作业或备份程序的执行结果,核实目标备份与源备份内容一致, 确保备份数据的完整性和正确性。 第十二条数据管理实施人员应及时记录备份情况,包括备份作业、备份周期、时间、内容、数据保存期限、存储介质型号、介质容量、业务种类、 转存情况、异地备份记录、相关变更记录等信息,并进行当日备份 的问题记录。 第十三条数据管理人员应对本单位保管的各类数据进行汇总管理。 第十四条数据管理实施人员应编制数据存储介质保管清单,清单内容应包括介质编号、备份内容、备份时间和保留期限等重要信息。 第十五条存放备份数据的介质应该具有明确的标识。标识应该使用统一的命名规范,注明介质编号、备份内容、备份时间和有效期等。
企业信息安全管理办法
信息安全管理办法 第一章总则 第一条为加强公司信息安全管理,推进信息安全体系建设,保障信息系统安全稳定运行,根据国家有关法律、法规和《公司信息化工作管理规定》,制定本办法。 第二条本办法所指的信息安全管理,是指计算机网络及信息系统(以下简称信息系统)的硬件、软件、数据及环境受到有效保护,信息系统的连续、稳定、安全运行得到可靠保障。 第三条公司信息安全管理坚持“谁主管谁负责、谁运行谁负责”的基本原则,各信息系统的主管部门、运营和使用单位各自履行相关的信息系统安全建设和管理的义务与责任。 第四条信息安全管理,包括管理组织与职责、信息安全目标与工作原则、信息安全工作基本要求、信息安全监控、信息安全风险评估、信息安全培训、信息安全检查与考核。 第五条本办法适用于公司总部、各企事业单位及其全体员工。 第二章信息安全管理组织与职责 第六条公司信息化工作领导小组是信息安全工作的最高决策机构,负责信息安全政策、制度和体系建设规划的审批,部署并协调信息安全体系建设,领导信息系统等级保护工作。 第七条公司建立和健全由总部、企事业单位以及信息技术支持单位三方面组成,协调一致、密切配合的信息安全组织和责任体系。各级信息安全组织均要明确主管领导,确定相关责任,设置相应岗位,配备必要人员。 第八条信息管理部是公司信息安全的归口管理部门,负责落实信息化工作领导小组的决策,实施公司信息安全建设与管理,确保重要信息系统的有效保护和安全运行。具体职责包括:组织制定和实施公司信息安全政策标准、管理制度和体系建设规划,组织实施信息安全项目和培训,组织信息安全工作的监督和检查。 第九条公司保密部门负责信息安全工作中有关保密工作的监督、检查和指导。
网络与信息安全保障措施(详细)
信息安全管理制度 1.信息管理部职责 1.1 公司设立信息管理部门,设部门经理一名。 1.2 信息管理部门为网络安全运行的归口部门,负责计算机网络系统的日常维护和管理。 1.3 负责系统软件的调研、采购、安装、升级、保管工作。 1.4 负责软件有效版本的管理。 1.5 信息管理部门为计算机系统、网络、数据库安全管理的归口管理部门。 1.6 信息管理人员负责计算机网络、办公自动化、销售经营各类应用软件的安全运行;服务器安全运行和数据备份;internet对外接口安全以及计算机系统防病毒管理;各种软件的用户密码及权限管理;协助职能科室进行数据备份和数据归档(如财务、采购、销售等)。 1.7 信息管理人员执行企业保密制度,严守企业商业机密。 1.8员工执行计算机安全管理制度,遵守企业保密制度。 1.9系统管理员的密码必须由信息管理部门相关人员掌握。 1.10 负责公司网络系统基础线路的实施及维护。 2.信息管理细则 2.1网络系统维护 2.1.1 系统管理员每日定时对机房内的网络服务器、各类生产经营应用的数据库服务器及相关网络设备进行日常巡视,并填写《网络运行日志》记录各类设备的运行状况及相关事件。 2.1.2 对于系统和网络出现的异常现象信息管理部应及时组织相关人员进行分析,制定处理方案,采取积极措施,并如实将异常现象记录在《网络运行日志》。针对当时没有解决的问题或重要的问题应将问题描述、分析原因、处理方案、处理结果、预防措施等内容记录在《网络问题处理跟踪表》上。部门负责人要跟踪检查处理结果。 2.1.3 定时对相关服务器数据备份进行检查。(包括对系统的自动备份及季度或
网络数据和信息安全管理规范
网络数据和信息安全管 理规范 IMB standardization office【IMB 5AB- IMBK 08- IMB 2C】
X X X X有限公司 WHB-08 网络数据和信息安全管理规范 版本号: A/0 编制人: XXX 审核人: XXX 批准人: XXX 20XX年X月X日发布 20XX年X月X日实施
目的 计算机网络为公司局域网提供网络基础平台服务和互联网接入服务。为保证公司计算机信息及网络能够安全可靠的运行,充分发挥信息服务方面的重要作用,更好的为公司运营提供服务,依据国家有关法律、法规的规定,结合公司实际情况制定本规定。 术语 本规范中的名词术语(比如“计算机信息安全”等)符合国家以及行业的相关规定。 计算机信息安全是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法系统辨识,控制。即确保信息的完整性、保密性、可用性和可控性。包括操作系统安全、数据库安全、病毒防护、访问权限控制、加密与鉴别等七个方面。 狭义上的计算机信息安全,是指防止有害信息在计算机网络上的传播和扩散,防止计算机网络上处理、传输、存储的数据资料的失窃和毁坏,防止内部人员利用计算机网络制作、传播有害信息和进行其他违法犯罪活动。 网络安全,是指保护计算机网络的正常运行,防止网络被入侵、攻击等,保证合法用户对网络资源的正常访问和对网络服务的正常使用。 计算机及网络安全员,是指从事的保障计算机信息及网络安全工作的人员。 普通用户,是指除了计算机及网络安全员之外的所有在物理或者逻辑上能够访问到互联网、企业计算机网及各应用系统的公司内部员工。 主机系统,指包含服务器、工作站、个人计算机在内的所有计算机系统。本规定所称的重要主机系统指生产、办公用的Web服务器、Email服务器、DNS服务器、OA服务器、企业运营管理支撑系统服务器、文件服务器、各主机系统等。 网络服务,包含通过开放端口提供的网络服务,如WWW、Email、FTP、Telnet、DNS等。有害信息,参见国家现在法律法规的定义。
网络及信息安全管理制度汇编
中心机房管理制度 计算机机房属机密重地。为做到严格管理,保证安全,特制订如下制度: 第一条中心机房的管理由系统管理员负责,非机房工作人员未经允许不准进入,机房门口明显位置应张贴告示:“机房重地,非请莫入”。 第二条机房内应保持整洁,严禁吸烟、吃喝、聊天、会客、休息。不准在计算机及工作台附近放置可能危及设备安全的物品。 第三条机房内严禁一切与工作无关的操作。严禁外来信息载体带入机房,未经允许不准将机器设备和数据带出机房。 第四条认真做好机房内各类记录介质的保管工作,落实专人收集、保管,信息载体必须安全存放并严密保管,防止丢失或失效。机房资料外借必须经批准并履行手续,方可借出。作废资料严禁外泄。 第五条机房工作人员要随时掌握机房运行环境和设备运行状态,保证设备随时畅通。机房设备开关必须先经检查确认正常后再按顺序依次开关机。 第六条机房工作人员对机房存在的隐患及设备故障要及时报告,并与有关部门及时联系处理。非常情况下应立即采取应急措施并保护现场。
第七条机房设备应由专业人员操作、使用,禁止非专业人员操作、使用。对各种设备应按规范要求操作、保养。发现故障,应及时报请维修,以免影响工作。 第八条外单位人员因工作需要进入机房时,必须报经局领导审批后方可进入,进入机房后须听从工作人员的指挥,未经许可,不得触及机房内设施。 第九条外来人员参观机房,须指定人员陪同。操作人员按陪同人员要求可以在电脑演示、咨询;对参观人员不合理要求,陪同人员应婉拒,其他人员不得擅自操作。 第十条中心机房处理秘密事务时,不得接待参观人员或靠近观看。
网络安全管理制度 第一条严格遵守法律、行政法规和国家其他有关规定,确保计算机信息系统的安全。 第二条连入局域网的用户严禁访问外部网络,若因工作需要,上网查询信息,允许访问与工作相关的网站,但须报告计算机管理部门,并在专业人员的指导下完成。非本局工作人员不允许上网查询信息。严禁访问宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪等违法网站。禁止在网络上聊天及玩游戏。 第三条加强信息发布审核管理工作。发布网络信息不得有危害国家安全、泄露国家秘密,侵犯国家、社会、集体的利益和公民的合法权益的内容出现。 第四条禁止非工作人员操纵系统,禁止不合法的登录情况出现。遇到安全问题应及时向计算机管理部门报告,并采取措施及时解决。 第五条局域网要采取安全管理措施,保障计算机网络设备和配套设施的安全,保障信息的安全,保障运行环境的安全。 第六条不得利用局域网络从事危害本局利益、集体利益和发表不适当的言论,不得危害计算机网络及信息系统的安全。在局域网上不允许进行干扰任何网络用户、破坏网络
企业信息安全系统管理系统问题研究
实用标准文档录目 I要 ............................................................................................................... 摘....................................................................................................... 1 一、绪论....................................................................... 1 .(一)研究背景和意义....................................................................................... 1 研究背景 1........................................................................................ 3 研究意义 2............................................................................. 4 (二)国外研究综述....................................................................................... 4 国外研究1.2.国研究 . (4) 二、企业信息安全管理现状 (5) 三、企业信息安全管理存在的问题及原因分析 (6) (一)存在问题 (6) 1.企业信息安全意识淡薄 (6) 2.信息安全技术不够先进 (7) 3.企业信息安全相关法律法规不够完善 (7) (二)原因分析 (7) 1.需要提升企业信息安全意识 (7) 2.需要提升信息安全技术 (8) 3.需要落实现有企业信息安全相关法律法规 (8)
系统与信息安全管理
一、资源界定 1、业务系统信息安全包括托管在联通机房的所有服务器、网络线 路、网络设备、安装在服务器上的操作系统、业务系统、应用系 统、软件、网络设备上的OS、配置等软硬件设施。 2、任何人未经允许不得对业务系统所包含的软硬件进行包括访问, 探测,利用,更改等操作。 二、网络管理 1、网络结构安全管理 A、网络物理结构和逻辑结构定期更新,拓扑结构图上应包含 IP地址,网络设备名称,专线供应商名称及联系方式,专 线带宽等,并妥善保存,未经许可不得对网络结构进行修 改。 B、网络结构必须严格保密,禁止泄漏网络结构相关信息。 C、网络结构的改变,必须提交更改预案,并经过信息总监的 批准方可进行。 2、网络访问控制 D、络访问控制列表包括山石磊科路由和华三S5620的ACL。
E、妥善保管现有的网络访问控制列表,其中应包含网络设备 及型号,网络设备的管理IP,当前的ACL列表,更新列表 的时间,更新的内容等。 F、定期检查网络访问控制列表与业务需求是否一致,如不一 致,申请更新ACL。 G、未经许可不得进行ACL相关的任何修改。 H、ACL时,必须备份原有ACL,以防误操作。 I、ACL配置完成以后,必须测试。 J、禁止泄漏任何ACL配置。 3、网络络设备安全 K、妥善保管现有网络设备清单,包括供应商及联系人信息,设备型号,IP地址,系统版本,设备当前配置清单。 L、定期检查设备配置是否与业务需求相符,如有不符,申请更新配置。 M、配置网络设备时,必须备份原有配置,以防误操作。 N、配置完成之后,必须进行全面测试。 O、禁止在网络设备上进行与工作无关的任何测试。 P、未经许可不得进行任何配置修。 Q、禁止泄漏网络设备配置。
信息安全管理系统的规范
信息安全管理系统的规范 第二部分:信息安全管理系统的规范 1 1. 范围 BS 7799的这个部分指明了对建立、实现和文档化信息安全管理系统(ISMSs)的需求。它指明了将要按照个别机构的需要而实现的安全控制的需求。 注:第一部分给出了对最佳惯例的推荐建议,这些惯例支持该规范中的需求。BS 7799的这个部分的条款4给出的那些控制目标和控制来自于BS 7799-1:1999并与改部分的内容保持一致。 2. 术语与定义 为了BS 7799的这个部分,BS 7799-1给出的定义适用于该部分,并有以下专用术语: 2.1 适用性说明 适用于机构的安全要求的目标和控制的批评。 3.信息安全管理系统的要求 3.1概要 机构应建立及维护一个信息安全管理系统,目的是保护信息资产,订立机构的风险管理办法、安全控制目标及安全控制,以及达到什么程度的保障。 3.2建立一个管理框架 以下的步骤是用来找出及记录安全控制目标及安全控制的(参看图一): a) 应定义信息安全策略; b) 应定义信息安全管理系统的范围,定义范围可以是机构的特征、位置、资产及 技术;
c) 应进行合适的风险评估。风险评估应确认对资产的安全威胁、漏洞及对机构的 冲击,从而定出风险的严重程度; d) 根据机构的信息安全策略及所要求达到的保障程度定出要管理的风险; e) 从以下第四条款选出机构要实现的安全控制目标及要实施的安全控制; f) 应准备一份适用性声明书,说明选出哪些安全控制目标及安全控制以及选择的 原因。 以上步骤应定期重复,确定系统的适用性。 2 3.3实施 选出的安全控制目标及安全控制应由机构有效地执行,实施控制的执行程序是否有效应根据4.10.2的规定进行检查。 3.4文档 信息安全管理系统的说明文档应包括以下信息: a) 按照3.2所定的步骤实现的证据; b) 管理架构的总结,其中包括信息安全策略、在适用性声明书所提及的安全控制 目标和已经实现的安全控制; c) 为了实现3.3所指定的控制而采用的程序;这些程序应该刻画责任以及相关行 动; d) 覆盖该ISMS中的管理和操作的程序,这些程序应该指出有哪些责任及其有关
信息安全管理系统标准
信息安全管理系统标准 ISO/IEC 27001:2005-信息安全管理系统标准 在日趋网络化的世界里,「信息」对建立竞争优势起着举足轻重的作用。但它同时也是柄双刃剑,当信息被意外或刻意的传给恶意的接收者时,同样的信息也可能导致一所机构倒闭。在当今的信息时代,科技无疑为我们解决了不少问题。国际标准组织(ISO)应此类需求,制定了 ISO 27001:2005标准,为如何建立、推行、维持及改善信息安全管理系统提供帮助。信息安全管理系统(ISMS)是高层管理人员用以监察及控制信息安全、减少商业风险和确保保安系统持续符合企业、客户及法律要求的一个体系。ISO/IEC 27001:2005 能协助机构保护专利信息,同时也为制定统一的机构保安标准搭建了一个平台,更有助于提升安全管理的实务表现和增强机构间商业往来的信心与信任。 什么机构可采用 ISO/IEC 27001:2005 标准, 任何使用内部或外部电脑系统、拥有机密资料及/或依靠信息系统进行商业活动地机构,均可采用 ISO/IEC 27001:2005标准。简单的说,也就是那些需要处理信息、并认识到信息保护重要性的机构。 ISO/IEC 27001 的控制目标及措施 ISO/IEC 27001制定的宗旨是确保机构信息的机密性、完整性及可用性,为达成上述宗旨,该标准共提出了39个控制目标及134项控制措施,推行ISO/IEC 27001标准的机构可在其中选择适用于其业务的控制措施,同时也可增加其他的控制措施。而与ISO/IEC 27001相辅的 ISO 17799:2005 标准是信息安全管理的实务守则,为如何推行控制措施提供指引。 安全政策 1 2 安全管理的组织工作 2 11 资产管理 2 5
网络信息安全管理制度
目录 一、物理访问制度ISMS-3001 (1) 1.目的 (1) 2.范围 (1) 3.职责 (1) 4.员工外出管理 (1) 5.来宾出入管理规定 (1) 6.相关记录无 (2) 二、外部相关方信息安全管理规程ISMS-3002 (2) 1.目的 (2) 2.范围 (2) 3.职责 (2) 4.管理规定 (2) 三、与政府相关资质申报及年审规定ISMS-3003 (3) 1.目的: (3) 2.职责: (3) 3.技术部相关管理要求: (3) 4.相关资质申报年审管理要求 (3) 四、信息系统容量规划及验收管理制度ISMS-3004 (4) 1.目的 (4) 2.范围 (4) 3.职责 (4) 4.内容 (4) 五、信息资产密级管理规定ISMS-3005 (4) 1.目的 (5) 2.范围 (5) 3.保密信息定义 (5) 4.秘密等级区分 (5) 5.信息的分类 (5)
6.保密文件的标识 (5) 7.传送 (6) 8.其它 (6) 六、信息系统设备管理规定ISMS-3006 (6) 1.目的和范围 (7) 2.引用文件 (7) 3.职责 (7) 4.设备管理流程 (7) 5.实施策略 (10) 6.相关记录 (10) 七、机房管理规定ISMS-3007 (10) 1.目的和范围 (10) 2.引用文件 (11) 3.职责和权限 (11) 4.机房出入制度 (11) 5.机房环境管理 (11) 6.机房设备管理 (12) 7.相关记录 (12) 八、笔记本电脑管理规定ISMS-3008 (13) 1.目的 (13) 2.引用文件 (13) 3.职责和权限 (13) 4.笔记本电脑使用规定 (13) 5.安全配置规定 (14) 6.外部人员使用笔记本的规定 (14) 7.客户现场管理规定 (15) 8.实施策略 (15) 9.相关记录 (15) 九、介质管理规定ISMS-3009 (15) 1.目的和范围 (15) 2.引用文件 (15)
公司信息安全管理制度
鑫欧克公司信息安全管理制度 一、信息安全指导方针 保障信息安全,创造用户价值,切实推行安全管理,积极预防风险,完善控制措施,信息安全,人人有责,不断提高顾客满意度。 二、计算机设备管理制度 1、计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 2、非本单位技术人员对我单位的设备、系统等进行维修、维护时,必须由本单位相关技术人员现场全程监督。计算机设备送外维修,须经有关部门负责人批准。 3、严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许带电插拨计算机外部设备接口,计算机出现故障时应及时向电脑负责部门报告,不允许私自处理或找非本单位技术人员进行维修及操作。三、操作员安全管理制度 (一)操作代码是进入各类应用系统进行业务操作、分级对数据存取进行控制的代码。操作代码分为系统管理代码和一般操作代码。代码的设置根据不同应用系统的要求及岗位职责而设置; (二)系统管理操作代码的设置与管理
1、系统管理操作代码必须经过经营管理者授权取得; 2、系统管理员负责各项应用系统的环境生成、维护,负责一般操作代码的生成和维护,负责故障恢复等管理及维护; 3、系统管理员对业务系统进行数据整理、故障恢复等操作,必须有其上级授权; 4、系统管理员不得使用他人操作代码进行业务操作; 5、系统管理员调离岗位,上级管理员(或相关负责人)应及时注销其代码并生成新的系统管理员代码; (三)一般操作代码的设置与管理 1、一般操作码由系统管理员根据各类应用系统操作要求生成,应按每操作用户一码设置。 2、操作员不得使用他人代码进行业务操作。 3、操作员调离岗位,系统管理员应及时注销其代码并生成新的操作员代码。 四、密码与权限管理制度 1、密码设置应具有安全性、保密性,不能使用简单的代码和标记。密码是保护系统和数据安全的控制代码,也是保护用户自身权益的控制代码。密码分设为用户密码和操作密码,用户密码是登陆系统时所设的密码,操作密码是进入各应用系统的操作员密码。密码设置不应是名字、生日,重复、顺序、规律数字等容易猜测的数字和字符串; 2、密码应定期修改,间隔时间不得超过一个月,如发
网络信息安全管理制度
*******公司网络安全管理制度 根据有关计算机、网络和信息安全的相关法律、法规和安全规定,结合本单位网络系统建设的实际情况,制定网络安全管理制度,成立本单位网络安全小组: 组长:****** 副组长:****** 成员:********************* 一、网络安全管理领导小组职责 1.组织宣传计算机信息网络安全管理方面的法律、法规和有关政策; 2.拟定并组织实施本单位计算机信息网络安全管理的 各项规章制度; 3.定期组织检查计算机信息网络系统安全运行情况,及时排除各种信息安全隐患; 4.负责组织本单位信息安全审查; 5.负责组织本单位计算机使用人员的安全教育和培训; 6.发生安全信息事故或计算机违法犯罪案件时,应立即向公安机关网监部门或网络安全信息部门报告并采取妥善 措施,保护现场,避免危害的扩散。 二、网络管理员职责 1.协助分管领导制定网络建设及网络发展规划,确定网络安全及资源共享策略; 2.负责单位公共网络设施,如服务器、交换机、集线器、
防火墙、网关、配线架、网线、接插件等的维护和管理; 3.负责服务器和系统软件的安装、维护、调整及更新; 4.负责账号管理、资源分配、数据安全和系统安全管理; 5.监视网络运行,调整网络参数,调度网络资源,保持网络安全、稳定、畅通; 6.负责系统备份和网络数据备份; 7.保管设备规格及配置单、网络管理记录、网络运行记录、网络检修记录等网络资料; 8.定期对网络的效能和业务电脑性能进行评价,对网络结构、网络管理进行优化维护。 三、机房安全管理制度 机房是支持信息系统正常运行的重要场所,为保证机房设备与信息的安全,保障机房有良好的运行环境,机房内严禁堆放易燃、易爆物品;机房内或附近应配备足够的消防器材,严格加强机房安全管理,采取防火防盗、防潮防雷等措施,保障机房内配电系统和电器安全,发现问题应及时维修更换。 1.机房消防安全设施应包括:①24小时不间断空调系统,机房内保持一定的温度和湿度;②安装湿度和温度显示装置; ③安装烟雾感应探测器和温度感应探测器;④安装火灾报警和自动灭火系统;⑤配备手动灭火器; 2.管理人员应严格遵守操作规程,对各类设备、设施实行规范措施,并做好日常维护和保养。定时做好服务器等设备的日志和存档工作,任何人不得删除运行记录的文档;
信息安全系统管理系统要求规范
信息安全管理规范公司
版本信息 当前版本: 最新更新日期: 最新更新作者: 作者: 创建日期: 审批人: 审批日期: 修订历史 版本号更新日期修订作者主要修订摘要
Table of Contents(目录) 1. 公司信息安全要求 (5) 1.1信息安全方针 (5) 1.2信息安全工作准则 (5) 1.3职责 (6) 1.4信息资产的分类规定 (6) 1.5信息资产的分级(保密级别)规定 (7) 1.6现行保密级别与原有保密级别对照表 (7) 1.7信息标识与处置中的角色与职责 (8) 1.8信息资产标注管理规定 (9) 1.9允许的信息交换方式 (9) 1.10信息资产处理和保护要求对应表 (9) 1.11口令使用策略 (11) 1.12桌面、屏幕清空策略 (11) 1.13远程工作安全策略 (12) 1.14移动办公策略 (12) 1.15介质的申请、使用、挂失、报废要求 (13) 1.16信息安全事件管理流程 (14) 1.17电子邮件安全使用规范 (16) 1.18设备报废信息安全要求 (17) 1.19用户注册与权限管理策略 (17) 1.20用户口令管理 (18) 1.21终端网络接入准则 (18) 1.22终端使用安全准则 (18) 1.23出口防火墙的日常管理规定 (19) 1.24局域网的日常管理规定 (19) 1.25集线器、交换机、无线AP的日常管理规定 (19) 1.26网络专线的日常管理规定 (20) 1.27信息安全惩戒 (20) 2. 信息安全知识 (21) 2.1什么是信息? (21) 2.2什么是信息安全? (21)
网络信息安全管理制度
网络信息安全管理制度大全 一、电脑设备管理 (2) 二、软件管理 (4) 三、数据安全管理 (6) 四、网络信息安全管理 (7) 五、病毒防护管理 (8) 六、下载管理 (8) 七、机房管理 (8) 八、备份及恢复 (11)
一、电脑设备管理 1、计算机基础设备管理 2、各部门对该部门的每台计算机应指定保管人,共享计算机则由部门指定人员 保管,保管人对计算机软、硬件有使用、保管责任。 3、公司计算机只有网络管理员进行维护时有权拆封,其它员工不得私自拆开封。 4、计算机设备不使用时,应关掉设备的电源。人员暂离岗时,应锁定计算机。 5、计算机为公司生产设备,不得私用,转让借出;除笔记本电脑外,其它设备 严禁无故带出办公生产工作场所。 6、按正确方法清洁和保养设备上的污垢,保证设备正常使用。 7、计算机设备老化、性能落后或故障严重,不能应用于实际工作的,应报信息 技术部处理。 8、计算机设备出现故障或异常情况(包括气味、冒烟与过热)时,应当立即关 闭电源开关,拔掉电源插头,并及时通知计算机管理人员检查或维修。 9、公司计算机及周边设备,计算机操作系统和所装软件均为公司财产,计算机 使用者不得随意损坏或卸载。 10、公司电脑的IP地址由网络管理员统一规划分配,员工不得擅自更改其IP 地址,更不得恶意占用他人的地址。计算机保管人对计算机软硬负保管之责,使用者如有使用不当,造成毁损或遗失,应负赔偿责任。
11、保管人和使用人应对计算机操作系统和所安装软件口令严格保密,并至少每 180天更改一次密码,密码应满足复杂性原则,长度应不低于8位,并由大写字母、小写字母、数字和标点符号中至少3类混合组成;对于因为软件自身原因无法达到要求的,应按照软件允3许的最高密码安全策略处理。 12、重要资料、电子文档、重要数据等不得放在桌面、我的文档和系统盘(一般 为C盘)以免系统崩溃导致数据丢失。与工作相关的重要文件及数据保存两份以上的备份,以防丢失。公司设立文件服务器,重要文件应及时上传备份,各部门专用软件和数据由计算机保管人定期备份上传,需要信息技术部负责备份的应填写《数据备份申请表》,数据中心信息系统数据应按《备份管理》备份。 13、正确开机和关机。开机时,先开外设(显示器、打印机等),再开主机;关 机时,应先退出应用程序和操作系统,再关主机和外设,避免非正常关机。 14、公司邮箱帐号必须由本帐号职员使用,未经公司网络管理员允许不得将帐号 让与他人使用,如造成公司损失或名誉影响,公司将追究其个人责任,并保留法律追究途径。 15、未经允许,员工不得在网上下载软件、音乐、电影或者电视剧等,不得使用 BT、电驴、POCO等严重占用带宽的P2P下载软件。员工在上网时,除非工作需要,不允许使用QQ、MSN等聊天软件。员工不得利用公司电脑及网络资源玩游戏,浏览与工作无关的网站。若发现信息技术部可暂停其Internet使用权限,并报相关领导处理。不得随意安装工作不需要的软件。公司拥有的授权软件软件须报公司副总审批通过后由信息技术部或授权相关部门执行。 16、计算机出现重大故障,如硬盘损坏,计算机保管人应立即向部门负责人和信 息技术部报告,并填写《设备故障登记表》。 17、员工离职时,人力资源应及时通知信息技术部取消其所有的IT资源使用权 限,回收其电脑并保留一个星期,若一个星期之内人事部没有招到新员工顶替,电脑将备份数据后入库。 18、如需要私人计算机连接到公司网络,需信息技术部授权并进行登记。 19、不得随意安装软件,软件安装按照《软件管理》实施。 20、所有计算机设备必须统一安装防病毒软件,未经信息技术部同意,不得私自 在计算机中安装非公司统一规定的任何防病毒软件及个人防火墙。所有计算机必须及时升级操作系统补丁和防病毒软件。 21、任何人不得在公司的局域网上制造传播任何计算机病毒,不得故意引入病 毒。