网络信息安全管理制度

网络信息安全管理制度--版本V1.0

5)网管软件的监控记录 6)管理员和系统操作员记录 7)故障日志

十六、 补丁管理规定ISMS-3016

1. 目的

为规范公司操作系统及其他网络设备的安全补丁管理操作流程，保护信息系统安全，特制定本规定。

2. 引用文件

(1)下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。

(2)ISO/IEC27001:2005信息技术-安全技术-信息安全管理体系要求 (3)ISO/IEC27002:2005信息技术-安全技术-信息安全管理实施细则 3. 职责与权限

技术部：负责操作系统及网络设备安全补丁管理工作，包括补丁公告、补丁评估和补丁列表的维护工作：

(1)负责应用系统和数据库系统相关安全补丁。

(2)负责WINDOWS平台相关安全补丁（包括Office等MICROSOFT颁布的补丁）。

(3)负责网络设备相关安全补丁。 (4)负责安全产品相关安全补丁。 4. 补丁管理规定 Windows操作系统补丁：

(1)公司重要服务器的补丁由技术部下载、测试及安装。综合部的开发服

31

网络信息安全管理制度--版本V1.0

务器，由技术部进行补丁的下载、测试及安装。

(2)技术部在发现windows操作系统发布新补丁后，在公司的公共平台上发出补丁更新通告，各部门的负责人统一安排部门进行补丁升级。

(3)技术部每季度对补丁更新情况进行抽查。 5. 其他补丁：

(1)技术部制定《补丁管理策略明细表》，评审并明确需要进行补丁管理的补丁类型。

(2)评审并明确需要进行补丁测试的补丁类型。

(3)对重要服务器进行评审，得出在升级系统补丁前应进行测评的服务器列表,填写《重要服务器补丁测试记录表》

(4)对需要手工下载管理的补丁类型，需要检查补丁的来源是可靠的，如果可能，在收到补丁包后，用防病毒软件检查。

(5)服务器在安装补丁应采用手工升级，并延迟补丁发布后一星期，避免最新补丁本身问题给服务器带来的风险。

(6)当供应商发布紧急的非常规的安全补丁时，系统管理员备份好系统后，必须立即进行响应。

(7)对重要服务器的补丁每季度进行一次检查。并填写《重要服务器补丁检查表》.

(8)重要网络设备的补丁每季度进行一次检查。并填写《网络设备补丁检查表》.

6. 实施策略

(1)补丁管理规定中涉及到的表单包括《补丁管理策略明细表》、《重要服务器补丁检查表》、《重要服务器补丁测试记录》、《网络设备补丁检查表》4个表单。

(2)技术部制定《补丁管理策略明细表》

(3)技术部对重要服务器在升级系统补丁前应进行测评,填写《重要服务器补丁测试记录表》

32

网络信息安全管理制度--版本V1.0

(4)技术部对重要服务器/网络设备的补丁每季度进行一次检查。并填写《重要服务器补丁检查表》和《网络设备补丁检查表》.

7. 相关记录

本程序发生的记录汇总表 表16-1 ISMS文件日常应用表

表号 记录编号 记录名称 补丁管理策略明细表 保管 场所 综合部 综合部 综合部 综合部 保存期限 3年 3年 3年 3年 保存形式 电子 电子 纸质 纸质 备注 表A.1 ISMS-3019-01 表A.2 ISMS-3019-02 重要服务器补丁测试记录表 表A.3 ISMS-3019-03 重要服务器补丁检查表 表A.4 ISMS-3019-04 网络设备补丁检查表

十七、 信息系统审核规范ISMS-3017

1. 目的和范围

确保本公司制定的信息安全策略和规定能够定期评审和正确执行。 2. 术语和定义

ISO/IEC27001:2005《信息技术-安全技术-信息安全管理体系要求》 ISO/IEC27002:2005《信息技术-安全技术-信息安全管理实施细则》规定的术语适用于本标准。

3. 引用文件

下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。

ISO/IEC27001:2005信息技术-安全技术-信息安全管理体系要求 ISO/IEC27002:2005信息技术-安全技术-信息安全管理实施细则

33

网络信息安全管理制度--版本V1.0

合规性管理程序 补丁管理规定 4. 职责和权限

(1)制定信息系统安全审核策略 (2)对信息系统进行定期审核 5. 活动描述

(1)技术部根据公司情况，制定出公司在用户管理、权限管理、漏洞扫描、渗透测试等方面的审核策略，必要时填写《信息系统定期评审策略明细表》

(2)管理人员应确保在其职责范围内的所有安全程序被正确地执行，以确保符合安全策略及标准。

(3)管理人员应对自己职责范围内的信息处理是否符合合适的安全策略、标准和任何其它安全要求进行定期评审。

(4)信息系统应被定期检查是否符合安全实施标准。

(5)任何技术符合性检查应仅由有能力的、已授权的人员来完成，或在他们的监督下完成。

(6)涉及对运行系统检查的审核要求和活动，应谨慎地加以规划并取得批准，以便最小化造成业务过程中断的风险。

(7)漏洞扫描管理：

1)管理员应定期进行漏洞扫描，客户端和服务器可考虑使用奇虎360工具进行漏洞扫描。

2)根据漏洞扫描结果，管理员应及时根据《补丁管理规定》及时修补系统漏洞。

3)渗透测试管理：

4)技术符合性检查应由有经验的系统工程师手动执行（如需要，利用合适的软件工具支持），或者由技术专家用自动工具来执行，此工具可生成供后续解释的技术报告。

5)如果使用渗透测试或脆弱性评估，则应格外小心，因为这些活动可能

34

网络信息安全管理制度--版本V1.0

导致系统安全的损害。这样的测试应预先计划，形成文件，且重复执行。

6. 审核注意事项：

(1)应与合适的管理者商定审核要求； (2)应商定和控制检查范围；

(3)检查应限于对软件和数据的只读访问；

(4)非只读的访问应仅用于对系统文件的单独拷贝，当审核完成时，应擦除这些拷贝，或者按照审核文件要求，具有保留这些文件的义务，则要给予适当的保护；

(5)应明确地识别和提供执行检查所需的资源； (6)应识别和商定特定的或另外的处理要求；

(7)应监视和记录所有访问，以产生参照踪迹；对关键数据或系统，应考虑使用时间戳参照踪迹；

(8)应将所有的程序、要求和职责形成文件； (9)执行审核的人员应独立于审核活动。 相关记录

表17-1 信息系统定期评审表

序号 A.1 记录编号 ISMS-3020-01 报告/记录名称 信息系统定期评审明细表 保管场所 技术部 期限 3年 保存形式 电子文档 备注

十八、 基础设施及服务器网络管理制度ISMS-3018

1. 机房安全管理程序 （1）总则

1）为加强信息机房（计算机房）及其设备安全管理，预防信息设备事故发生，根据国家法律、法规及行业安全管理要求，制定本规定。

2）信息机房是指公司为保证信息化管理工作需要，专门用于存放提供电子信息服务、信息储存设备、服务器、电脑、交换机、备用电源等信息设备

35