.
第十一条对安全事故进行分类和分级,及时对信息安全事故的类型、频率和影响等进行评估,并采取适当措施防止事故再次发生。 第十二条应建立应急预案,在统一的应急预案框架下制定不同事件的应急预案,应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容;同时应从人力、设备、技术和财务等方面确保应急预案的执行有足够的资源保障。 六、物理安全策略
第一条 信息技术部负责机房安全,并配备机房安全管理人员,对机房的出入、服务器的开机或关机等工作进行管理;应定期对机房供配电、空调、温湿度控制等设施进行维护管理。
第二条 应建立机房安全管理制度,对有关机房物理访问,物品带进、带出机房和机房环境安全等方面的管理作出规定。
第三条 在机房内设置安全防盗报警装置和监控系统来实现防盗、防毁、保障设备的安全。
第四条 按照相关设计规范和技术要求,在机房设计和建设中做好静电防护设施、防雷装置和接地保护系统。
第五条 必须建立警报系统,在发现擅自进入受控区域时发出警报。 第六条 对于重要的数据要进行备份,备份数据的存放位置应符合 GBJ45-82中规定的一级耐火等级,符合防火、防高温、防水、防震等要求;定期对备份数据进行检查,保证其可用性。
第七条 信息系统所使用的链路必须符合国家相关的技术标准和规定。链路安全包括链路本身的物理安全和键路上所传输信息的安全。
精选文档
.
七、主机安全策略
第一条 应指定专人对系统进行管理,划分系统管理员角色,明确各个角色的权限、责任和风险,权限设定应当遵循最小授权原则;并建立系统安全管理制度,对系统安全策略、安全配置、日志管理和日常操作流程等方面作出具体规定;同时依据操作手册对系统进行维护,详细记录操作日志,包括重要的日常操作、运行维护记录、参数的设置和修改等内容,严禁进行未经授权的操作。
第二条 应提高全体用户的防病毒意识,安装防病毒软件,及时告知防病毒软件版本,在读取移动存储设备上的数据以及网络上接收文件或邮件之前,先进行病毒检查,对外来计算机或存储设备接入网络系统之前也应进行病毒检查。
第三条 当因内外部审核、软件开发、软件安装或其他规定需求而需要特殊的访问账号时,账号必须被授权;创建的日期期限必须明确;工作结束时此账号必须删除。
第四条 所有账号都必须使用分配的用户进行唯一性标识。 第五条 应指派专人负责删除个人账号;必须将修改用户账号相关信息的过程文件化;必须定期评审现有账号的有效性,并将此过程文件化。
第六条 操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新。 第七条 应定期的对服务器和重要客户端上的每个操作系统用户和数据库用户进行审计,审计内容包括重要用户行为、系统资源的异常
精选文档
.
使用和重要系统命令的使用等系统内重要的安全相关事件。 第八条 在访问操作系统过程中,对于不活动的会话必须设定在一个不潘动周期后关闭,以防止未授权人员访问和拒绝服务攻击。 第九条 记录系统管理员和系统操作员的操作日志,并定期评审这些日志信息。系统管理员和系统操作员的日志应包括事件发生的时间,涉及的帐号和管理员或操作员,事件或故障的信息内容等信息。 八、网络安全策略
第一条 应建立网络安全管理制度,对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面作出规定;同时应指定专人对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作;应实现设备的最小服务配置,并对配置文件进行定期离线备份;
第二条 应定期对网络系统进行漏洞扫描,对发现的网络系统安全漏洞进行及时的修补;应根据厂家提供的软件升级版本对网络设备进行更新,并在更新前对现有的重要文件进行备份。
第三条 应保证所有与外部系统的连接均得到授权和批准;并依据安全策略允许或者拒绝便携式和移动式设备的网络接入;同时定期检查违反规定拨号上网或其他违反网络安全策略的行为。
第四条 计算机设备如果无人值守必须启动口令保护(屏保或注销)。 第五条 网络基础设施支持一系列合理定义的、被认可的网络协议,使用任何未经认可的协议都必须经过公司的批准。
第六条 防火墙必须按照防火墙实施规范文件进行安装和配置。
精选文档
.
第七条 未经单位批准不可以安装路由器、交换机、集线器或者无线访问端口。
第八条 在未经单位批准的情况下,用户不得安装网络硬件或软件提供网络服务。
第九条 在网络边界、安全域之间使用防火墙或VLAN进行逻辑隔离和访问控制,使用网络安全审计系统对网络访问行为进行记录、监视和回放,保证对网络进行充分的管理和控制,防止威胁的发生,维护业务系统和信息的安全。
第十条 记录日志的设施和日志信息应加以保护,防止被篡改和未授权访间。 九、应用安全策略
第一条 所有访问应用的账号都必须使用分配的用户进行唯一性标识。
第二条 基于各个业务应用要求,应严格限制用户对信息和应用系统功能的访问权限,防止对信息系统的未授权访问。 第三条 对应用系统进行安全访问的控制。
第四条 对应用系统自身产生的日志文件与系统日志进行审计,记录用户活动、异常和信息安全事件的日志信息,并保留一定的时间,以支持将来的调查和审计。 十、数据安全和备份恢复策略
第一条 应建立备份与恢复管理相关的安全管理制度,对备份信息的备份方式、备份频度、存储介质和保存期等进行规范。
精选文档
.
第二条 应采用加密或其他保护措施实现系统管理数据、鉴别信息和重要业务数据传输和存储的保密性。
第三条 应制定详细的备份策略,使用足够的备份设施,定期对业务数据进行备份,确保业务数据在灾难或媒体故障后能及时进行恢复。
第十章制定和发布管理
第一条 公司信息安全管理体系规范文件由信息技术部(或者信息安全等级保护工作小组)负责起草或组织起草。起草的规范性文件应当结构严谨、内容完备、形式规范、条理清楚、用词准确、文字简洁。 第二条 文件的发布应遵照统一的格式,进行版本控制;并应注明发布范围,对收发文进行登记。
第三条 对需要废止的管理制度由信息安全等级保护领导小组明文废止或者宣布失效。
第四条 对新制定的规范可以替代旧的规范的,应当在新的规范中列出详细目录,明文废止被替代的规范。
第十一章评审和修订
第一条 文件评审方画,公司信息安全等级保护工作小组定期(至少每年一次)开展等级保护管理体系的评审工作,以确保整个等级保护管理体系的充份性、适当性和有效性。
第二条 评审工作必须至少每年举行一次,发生以下情况时,也需要启动管理评审工作:
第三条 系统业务发生重大变更。 第四条 系统信息安全策略的重大变更。
精选文档
科技公司信息安全管理制度
