5A文資訊保安管理制度實施指南

2023-01-05 13:09:06 字數 6598 閱讀 5064

gggg資訊保安管理制度實施指南

v1.0

1 策略管理 6

1.1 安全策略和管理制度 6

1.1.1 資訊保安策略 6

1.1.2 資訊保安管理制度 6

1.1.3 行為規範 7

1.2 安全規劃 7

1.2.1 系統安全規劃 7

1.2.2 系統安全規劃的更新 8

1.2.3 階段性行動計畫 8

2 組織管理 8

2.1 組織機構 8

2.1.1 資訊保安管理機構 8

2.1.2 資訊保安管理人員 9

2.2 人員安全 9

2.2.1 工作崗位風險分級 9

2.2.2 人員審查 9

2.2.3 人員工作合同終止 10

2.2.4 人員調動 10

2.2.5 工作協議和條款 10

2.2.6 第三方人員安全 11

2.2.7 人員處罰 11

2.3 安全意識和培訓 11

2.3.1 安全意識 11

2.3.2 安全培訓 12

2.3.3 安全培訓記錄 12

3 執行管理 13

3.1 風險評估和認證認可 13

3.1.1 安全分類 13

3.1.2 風險評估 13

3.1.3 風險評估更新 14

3.1.4 安全認證 14

3.1.5 安全認可 14

3.1.6 持續監控 15

3.2 系統與服務採購 15

3.2.1 資源分配 15

3.2.2 生命週期支援 16

3.2.3 採購 16

3.2.4 資訊系統檔案 16

3.2.5 軟體使用限制 16

3.2.6 使用者安裝的軟體 17

3.2.7 安全設計原則 17

3.2.8 外包資訊系統服務 17

3.2.9 開發配置管理 18

3.2.10 開發安全測試評估 18

3.3 配置管理 18

3.3.1 基線配置 19

3.3.2 配置變更控制 19

3.3.3 監督配置變更 20

3.3.4 變更訪問限制 20

3.3.5 配置策略設定 20

3.3.6 功能最小化 20

3.4 應急計畫和事件響應 21

3.4.1 應急計畫 21

3.4.2 應急響應培訓 21

3.4.3 應急和事件響應計畫測試 21

3.4.4 應急和事件響應計畫更新 22

3.4.5 事件處理 22

3.4.6 事件監控 22

3.4.7 事件報告 23

3.4.8 事件響應支援 23

3.5 系統管理與維護 23

3.5.1 安全管理技術 24

3.5.2 常規維護 24

3.5.3 維護工具管理 24

3.5.4 遠端維護 24

3.5.5 維護人員 25

3.5.6 維護及時性 25

4 技術管理 25

4.1 標識鑑別 25

4.1.1 身份標識和鑑別 25

4.1.2 裝置標識和鑑別 26

4.1.3 標識管理 26

4.1.4 鑑別管理 27

4.1.5 登入和鑑別反饋 27

4.2 訪問控制 28

4.2.1 賬戶管理 28

4.2.2 強制訪問 29

4.2.3 資訊流控制 29

4.2.4 職責分離 30

4.2.5 最小許可權 30

4.2.6 不成功登入嘗試 30

4.2.7 系統使用情況 31

4.2.8 最近登入情況 31

4.2.9 併發會話控制 32

4.2.10 會話鎖定 32

4.2.11 會話終止 32

4.2.12 對訪問控制的監督和審查 33

4.2.13 不需鑑別或認證的行為 33

4.2.14 自動化標記 33

4.2.15 遠端訪問控制 34

4.2.16 無線接入訪問控制 34

4.2.17 可攜式移動裝置的訪問控制 34

4.2.18 個人資訊系統 35

4.3 系統與資訊完整性 35

4.3.1 漏洞修補 35

4.3.2 防惡意**攻擊 36

4.3.3 輸入資訊的限制 36

4.3.4 錯誤處理 36

4.3.5 輸出資訊的處理和儲存 37

4.4 系統與通訊保護 37

4.4.1 應用系統分割槽 37

4.4.2 安全域劃分 38

4.4.3 拒絕服務保護 38

4.4.4 邊界保護 38

4.4.5 網路連線終止 38

4.4.6 公共訪問保護 38

4.4.7 移動** 39

4.5 介質保護 39

4.5.1 介質訪問 39

4.5.2 介質儲存 39

4.5.3 資訊徹底清除 40

4.5.4 介質的廢棄 40

4.6 物理和環境保護 40

4.6.1 物理訪問授權 41

4.6.2 物理訪問控制 41

4.6.3 顯示介質訪問控制 41

4.6.4 物理訪問監視 41

4.6.5 來訪人員控制 42

4.6.6 來訪記錄 42

4.6.7 環境安全 42

4.7 檢測和響應 42

4.7.1 事件審計 43

4.7.2 審計記錄的內容 44

4.7.3 審計處理 44

4.7.4 審計的監控、分析和報告 44

4.7.5 審計資訊保護 45

4.7.6 審計保留 45

4.7.7 入侵檢測 45

4.7.8 漏洞掃瞄 45

4.7.9 安全告警和響應 46

4.8 備份與恢復 46

4.8.1 資訊系統備份 46

4.8.2 備份儲存地點 47

4.8.3 備份處理地點 47

4.8.4 資訊系統恢復與重建 47

安全策略是高層管理層決定的乙個全面的宣告,它規定在組織中安全問題扮演什麼樣的角色。組織安全策略為機構內部未來的所有安全活動提供了範圍和方向。

對各級部門制定總體的資訊保安策略、資訊保安管理制度和相應的行為規範,指導資訊保安保障工作更好的開展。

資訊保安策略是高階管理層決定的乙個全面的宣告,它規定在組織中安全問題扮演什麼樣的角色。它能夠為資訊保安提供符合業務要求和相關法律法規的管理指導和支援。

要求對各級部門制定總體資訊保安策略,詳細闡述目標、範圍、角色、責任以及合規性等;制定高層資訊保安策略,部門級安全策略,系統級安全策略;開發、發布、並定期更新資訊保安策略;

內容資訊保安策略的內容要覆蓋安全規劃、組織機構、人員安全、安全意識和培訓、風險評估、認證認可、系統與服務採購、配置管理、應急計畫、事件響應、系統維護、標識鑑別、訪問控制、系統與資訊完整性、系統與通訊保護、抗抵賴、介質保護、物理和環境保護、檢測響應恢復等各方面;

資訊保安策略定義了明確所要保護的總體安全目標與範圍;

資訊保安策略經過本級主管資訊工作的領導批准,正式頒布,並定期根據實施效果進行修訂。

資訊保安管理制度是為了更好地保證系統的資訊保安,是資訊保安策略的進一步實施的具體化。

要求制定嚴格的規範化的資訊保安管理制度,以促進資訊保安策略的實施;

內容對資訊的生成、儲存、檢視、傳輸、複製、備份、歸檔、銷毀等制定嚴格的管理制度;

對資訊系統中裝置與系統的接入、執行、維護、管理的規定;

有安全管理值班制度與事故報告處理制度,應急響應預案以及各種應用系統使用者授權管理與系統執行管理規定等;

根據管理制度的執**況定期審核,修訂。

行為規範規定了系統的各類使用和管理人員的崗位職責,規定了各類人員的責任和所允許資訊系統的權利。

要求對資訊系統的各類使用和管理人員的崗位職責、行為規範制定管理規定,並描述其責任和所允許的訪問資訊和資訊系統的正當行為;

所有使用者在被授權訪問資訊系統之前,應以書面簽認方式確認其已經知悉、理解並願意遵守相關的規範。

內容管理制度印發給有關管理和應用人員,並抽查,以驗證其是否了解應遵守的行為規範。

制定較為完整的資訊保安規劃,以指導資訊保安保障工作的開展。安全規劃包括系統安全規劃、系統安全規劃的更新、階段性行動計畫。

系統安全規劃是對資訊系統安全乙個全面的規劃,用來描述系統的安全要求和滿足安全規劃採用的安全控制措施。

要求為資訊系統制定並實施安全規劃,對系統的安全要求以及滿足這些安全需求的在用的或計畫採用的安全控制措施進行描述;

高層領導應審核、批准安全規劃,並採用統一規劃、分步實施的原則貫徹執行。

內容結合gggg的資訊系統安全的總體目標和安全需求,制定針對性的資訊保安規劃;

系統安全是乙個動態的過程,系統安全規劃要定期審核並修訂,當發生重大變更時,要用時對系統安全規劃進行更新。

要求定期審核並修訂資訊系統安全規劃,以解決在計畫實施中或安全控制評估中發現的問題,以及應對資訊系統或組織的變更。

內容定期或發生重大變更時,對資訊保安規劃進行審核和修訂;

資訊保安規劃的修改要嚴格遵守相關的策略和流程,並得到主管領導的批准。

資訊系統的生命週期有不同的階段,在每乙個階段資訊系統的安全需求是不同的,要對每個階段編制、開發或更新資訊系統的行動計畫。

要求編制開發和更新資訊系統的活動和里程碑計畫,並將已計畫的、已實施的、和經過評估的行為檔案化,以減少或消除系統中已知的脆弱性。

內容有相應的活動和里程碑計畫;

活動和里程碑計畫是在安全控制措施評估結果、安全影響分析和持續性監控活動的基礎上進行更新的。

要求組建本單位的資訊保安管理機構,該機構應由主管本單位資訊保安工作的領導、負責具體工作的網路、安全管理人員組成,責任到人,具有領導資訊保安工作、制定安全策略、監督管理等職能。

內容組建資訊保安管理機構及其機構組成,人員設定,並檔案化;

組建的資訊保安管理機構有明確的資訊保安管理職能(包括物理安全管理、身份鑑別管理、訪問控制管理、安全審計管理、安全教育與培訓等);

組建的資訊保安管理機構是自上而下,分級負責的。

要求資訊保安管理機構中的安全管理人員應分權負責,以限制具有超級許可權的人員存在。

內容資訊保安管理機構中的管理人員分權負責,系統管理員、安全管理員、安全審計員等分別都是由不同的人員擔任;

各種裝置與系統由相關的管理責任人,具有資訊資產清單,並明文規定責任人的職責,責任人對其管理的裝置及責任清楚。

人員安全主要包括工作崗位風險分級、人員審查、人員工作合同終止、人員調動、工作協議和條款、第三方人員安全以及人員處罰等幾個方面。

要求對工作崗位進行風險分級,並制定針對在各級崗位工作的人員審查機制;

定期複核和修訂不同工作崗位的風險分級。

內容制定並實施工作崗位風險分級的制度;

定期複核、修訂工作崗位的風險分級。

要求結合自身的業務需求、相關的法律法規、被訪問資訊的分類及面臨風險等因素,對工作人員、合作者、第三方人員進行人員背景審查;

在授權之前對需要訪問資訊和資訊系統的人員進行審查;

制定人員審查流程,流程應描述進行人員審查的方式和限制條件,如規定誰有資格進行審查,在何時,通過什麼方式,因為什麼原因來進行審查等等。

內容制定有關人員背景審查的制度和流程,並依此進行人員審查、核實工作。

要求當人員工作合同終止時,應終止人員對資訊系統的訪問,並確保其歸還所擁有與組織相關的資產;

制定員工註冊和登出流程,來授予和撤銷員工對資訊系統和服務的訪問許可權。

內容明確規定和指派職責,以處理人員工作合同終止事宜;

及時移除或封堵工作合同終止的人員對資訊和資訊處理系統的訪問許可權,包括物理和邏輯訪問;

及時更改工作合同終止人員所知曉的賬戶密碼。

資訊保安管理制度

為加強公司各資訊系統管理,保證資訊系統安全,根據 中華人民共和國保守國家秘密法 和國家保密局 計算機資訊系統保密管理暫行規定 國家保密局 計算機資訊系統國際聯網保密管理規定 及上級資訊管理部門的相關規定和要求,結合公司實際,制定本制度。本制度包括網路安全管理 資訊系統安全保密制度 資訊保安風險應急預...

資訊保安管理制度

為維護公司資訊保安,保證公司網路環境的穩定,特制定本制度。第一條資訊保安是指通過各種計算機 網路 內部資訊平台 和密碼技術,保護資訊在傳輸 交換和儲存過程中的機密性 完整性和真實性。具體包括以下幾個方面。1 資訊處理和傳輸系統的安全。系統管理員應對處理資訊的系統進行詳細的安全檢查和定期維護,避免因為...

資訊保安管理制度

一 計算機安全管理 1 醫院計算機操作人員必須按照計算機正確的使用方法操作計算機系統。嚴禁暴力使用計算機或蓄意破壞計算機軟硬體。2 未經許可,不得擅自拆裝計算機硬體系統,若須拆裝,則通知資訊科技術人員進行。3 計算機的軟體安裝和解除安裝工作必須由資訊科技術人員進行。4 計算機的使用必須由其合法授權者...