ISMSB信息安全管理规范.docx
《ISMSB信息安全管理规范.docx》由会员分享,可在线阅读,更多相关《ISMSB信息安全管理规范.docx(19页珍藏版)》请在冰点文库上搜索。
ISMSB信息安全管理规范
信息安全管理制度规范
样式编号
ISMS-B-2015
编制
审核
批准
密级
内部
版本
V1.0
发布日期
2015年8月
1信息安全规范
1.1总则
第1条为明确岗位职责,规范操作流程,确保公司信息系统的安全,根据《中华人民共和国计算机信息系统安全保护条例》等有关规定,结合公司实际,特制订本制度。
第2条信息系统是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
第3条信息安全系统遵循安全性、可行性、效率性、可承担性的设计原则,将从物理安全、网络安全、支撑层系统安全、应用层系统安全、数据及资料安全几方面进行部署实施。
1.2环境管理
第1条信息机房由客户安排指定,但应该满足如下的要求:
1、物理位置的选择(G3)
序号
等级保护要求
1
机房应选择在具有防震、防风和防雨等能力的建筑内。
2
机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁,如果不可避免,应采取有效防水措施。
2、防雷击(G3)
序号
等级保护要求
1
机房建筑应设置避雷装置。
2
应设置防雷保安器,防止感应雷。
3
机房应设置交流电源地线。
3、防火(G3)
序号
等级保护要求
1
机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火。
2
机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料。
3
机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。
4、防水和防潮(G3)
序号
等级保护要求
1
主机房尽量避开水源,与主机房无关的给排水管道不得穿过主机房,与主机房相关的给排水管道必须有可靠的防渗漏措施;
2
应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。
5、防静电(G3)
序号
等级保护要求
1
主要设备应采用必要的接地防静电措施。
2
机房应采用防静电地板。
6、温湿度控制(G3)
序号
等级保护要求
1
机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
7、电磁防护(S2)
序号
等级保护要求
1
应采用接地方式防止外界电磁干扰和设备寄生耦合干扰。
2
电源线和通信线缆应隔离铺设,避免互相干扰。
3
应对关键设备和磁介质实施电磁屏蔽。
8、物理访问控制(G3)
序号
等级保护要求
1
机房各出入口应安排专人值守或配置电子门禁系统,控制、鉴别和记录进入的人员。
2
需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围。
3
应对机房划分区域进行管理,区域和区域之间应用物理方式隔断,在重要区域前设置交付或安装等过渡区域;
4
重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。
9、防盗窃和防破坏(G3)
序号
等级保护要求
1
应将主要设备放置在机房内。
2
应将设备或主要部件进行固定,并设置明显的不易除去的标记。
3
应将通信线缆铺设在隐蔽处,可铺设在地下或管道中。
4
应对介质分类标识,存储在介质库或档案室中。
第2条由客户指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理。
第3条出入机房要有登记记录。
非机房工作人员不得进入机房。
外来人员进机房参观需经保密办批准,并有专人陪同。
第4条进入机房人员不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质、食品等对设备正常运行构成威胁的物品。
严禁在机房内吸烟。
严禁在机房内堆放与工作无关的杂物。
第5条机房内应按要求配置足够量的消防器材,并做到三定(定位存放、定期检查、定时更换)。
加强防火安全知识教育,做到会使用消防器材。
加强电源管理,严禁乱接电线和违章用电。
发现火险隐患,及时报告,并采取安全措施。
第6条机房应保持整洁有序,地面清洁。
设备要排列整齐,布线要正规,仪表要齐备,工具要到位,资料要齐全。
机房的门窗不得随意打开。
第7条每天上班前和下班后对机房做日常巡检,检查机房环境、电源、设备等并做好相应记录(见表一)。
第8条对临时进入机房工作的人员,不再发放门禁卡,在向用户单位保密部门提出申请得到批准后,由安全保密管理员陪同进入机房工作。
1.3资产管理
第1条编制并保存与信息系统相关的资产清单,包括资产责任部门、重要程度和所处位置等内容。
第2条规定信息系统资产管理的责任人员或责任部门,并规范资产管理和使用的行为。
第3条根据资产的重要程度对资产进行标识管理。
第4条对信息分类与标识方法作出规定,并对信息的使用、传输和存储等进行规范化管理。
1.4介质管理
第1条建立介质安全管理制度,对介质的存放环境、使用、维护和销毁等方面作出规定。
第2条建立移动存储介质安全管理制度,对移动存储介质的使用进行管控。
第3条确保介质存放在安全的环境中,对各类介质进行控制和保护,并实行存储环境专人管理。
第4条对介质在物理传输过程中的人员选择、打包、交付等情况进行控制,对介质归档和查询等进行登记记录,并根据存档介质的目录清单定期盘点。
第5条对存储介质的使用过程、送出维修以及销毁等进行严格的管理,对带出工作环境的存储介质进行内容加密和监控管理,对送出维修或销毁的介质应首先清除介质中的敏感数据,对保密性较高的存储介质未经批准不得自行销毁。
第6条根据数据备份的需要对某些介质实行异地存储,存储地的环境要求和管理方法应与本地相同
第7条对重要数据或软件采用加密介质存储,并根据所承载数据和软件的重要程度对介质进行分类和标识管理。
1.5设备管理
1.5.1总则
第1条由系统管理员对信息系统相关的各种设备(包括备份和冗余设备)、线路等进行定期维护管理。
第2条建立基于申报、审批和专人负责的设备安全管理制度。
第3条建立明确维护人员的责任、涉外维修和服务的审批、维修过程的监督控制的管理制度。
第4条对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理,按操作规程实现主要设备(包括备份和冗余设备)的启动/停止、加电/断电等操作
第5条确保信息处理设备必须经过审批才能带离机房或办公地点。
1.5.2系统主机维护管理办法
第1条系统主机由系统管理员负责维护,未经允许任何人不得对系统主机进行更改操作。
第2条根据系统设计方案和应用系统运行要求进行主机系统安装、调试,建立系统管理员账户,设置管理员密码,建立用户账户,设置系统策略、用户访问权利和资源访问权限,并根据安全风险最小化原则及运行效率最大化原则配置系统主机。
第3条建立系统设备档案(见表二)、包括系统主机详细的技术参数,如:
品牌、型号、购买日期、序列号、硬件配置信息、软件配置信息、网络配置信息、系统配置信息,妥善保管系统主机保修卡,在系统主机软硬件信息发生变更时对设备档案进行及时更新。
第4条每周修改系统主机管理员密码,密码长度不得低于八位,要求有数字、字母并区分大小写。
第5条每周通过系统性能分析软件对系统主机进行运行性能分析,并做详细记录(见表四),根据分析情况对系统主机进行系统优化,包括磁盘碎片整理、系统日志文件清理,系统升级等。
第6条每周对系统日志、系统策略、系统数据进行备份,做详细记录(见表四)。
第7条每天检查系统主机各硬件设备是否正常运行,并做详细记录(见表五)。
第8条每天检查系统主机各应用服务系统是否运行正常,并做详细记录(见表五)。
第9条每天记录系统主机运行维护日记,对系统主机运行情况进行总结。
第10条在系统主机发生故障时应及时通知用户,用最短的时间解决故障,保证系统主机尽快正常运行,并对系统故障情况做详细记录(见表六)。
第11条每月对系统主机运行情况进行总结、并写出系统主机运行维护月报,上报保密办。
第12条系统主机的信息安全等级保持要求:
1、身份鉴别
序号
等级保护要求
1
对登录操作系统的用户进行身份标识和鉴别。
2
操作系统和数据库系统管理用户身份鉴别信息应不易被冒用,口令复杂度应满足要求并定期更换。
口令长度不得小于8位,且为字母、数字或特殊字符的混合组合,用户名和口令禁止相同。
3
启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施。
限制同一用户连续失败登录次数。
4
当对服务器进行远程管理时,采取必要措施,防止鉴别信息在网络传输过程中被窃听。
5
为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。
2、访问控制
序号
等级保护要求
1
启用访问控制功能,依据安全策略控制用户对资源的访问。
2
根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限。
3
实现操作系统和数据库系统特权用户的权限分离。
4
限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令。
5
及时删除多余的、过期的帐户,避免共享帐户的存在。
3、剩余信息保护
序号
等级保护要求
1
保证操作系统和数据库系统用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中。
2
确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除。
4、入侵防范
序号
等级保护要求
1
操作系统应遵循最小安装的原则,仅安装必要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新,补丁安装前应进行安全性和兼容性测试。
2
能够检测到对重要服务器进行入侵的行为,能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警。
3
能够对重要程序的完整性进行检测,并具有完整性恢复的能力。
5、恶意代码防范
序号
等级保护要求
1
在本机安装防恶意代码软件或独立部署恶意代码防护设备,并及时更新防恶意代码软件版本和恶意代码库。
2
支持防恶意代码的统一管理。
3
主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库。
6、资源控制
序号
等级保护要求
1
通过设定终端接入方式、网络地址范围等条件限制终端登录。
2
根据安全策略设置登录终端的操作超时锁定。
3
根据需要限制单个用户对系统资源的最大或最小使用限度。
4
对重要服务器进行监视,包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况。
5
能够对系统的服务水平降低到预先规定的最小值进行检测和报警。
1.5.3涉密计算机安全管理办法
第1条涉密计算机安全管理由安全保密管理员专人负责,未经允许任何人不得进行此项操作。
第2条根据网络系统安全设计要求制定、修改、删除涉密计算机安全审计策略,包括打印控制策略、外设输入输出控制策略、应用程序控制策略,并做记录。
第3条每日对涉密计算机进行安全审计,及时处理安全问题,并做详细记录(见表十八),遇有重大问题上报保密部门。
第4条涉密计算机的新增、变更、淘汰需经保密部门审批,审批通过后由安全保密管理员统一进行操作,并做详细记录(见表十八)。
第5条新增涉密计算机联入涉密网络,需经保密办审批,由安全保密管理员统一进行操作,并做详细记录(见表十八)。
1.6系统安全管理
第1条根据业务需求和系统安全分析确定系统的访问控制策略。
序号
等级保护要求
1
启用访问控制功能,依据安全策略控制用户对资源的访问。
2
根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限。
3
实现操作系统和数据库系统特权用户的权限分离。
4
限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令。
5
及时删除多余的、过期的帐户,避免共享帐户的存在。
6
对重要信息资源设置敏感标记,系统不支持设置敏感标记的,应采用专用安全设备生成敏感标记,用以支持强制访问控制机制。
7
依据安全策略严格控制用户对有敏感标记重要信息资源的操作。
第2条定期进行漏洞扫描,对发现的系统安全漏洞及时进行修补。
第3条安装系统的最新补丁程序,在安装系统补丁前,首先在测试环境中测试通过,并对重要文件进行备份后,方可实施系统补丁程序的安装。
第4条依据操作手册对系统进行维护,详细记录操作日志,包括重要的日常操作、运行维护记录、参数的设置和修改等内容,严禁进行XX的操作。
第5条定期对运行日志和审计数据进行分析,以便及时发现异常行为。
第6条信息系统的运行维护由系统管理员负责维护,未经允许任何人不得对信息系统进行任何操作。
第7条根据信息系统的设计要求及实施细则安装、调试、配置信息系统,建立信息系统管理员账号,设置管理员密码,密码要求由数字和字母组成,区分大小写,密码长度不得低于8位。
第8条对信息系统的基本配置信息做详细记录,包括系统配置信息、用户帐户名称,系统安装目录、数据文件存贮目录,在信息系统配置信息发生改变时及时更新记录(见表三)。
第9条每周对信息系统系统数据、用户ID文件、系统日志进行备份,并做详细记录(见表四),备份介质交保密办存档。
第10条当信息系统用户发生增加、减少、变更时,新建用户帐户,新建用户邮箱,需经保密单位审批,并填写系统用户申请单或系统用户变更申请单(见表七),审批通过后,由系统管理员进行操作,并做详细记录。
第11条根据用户需求设置信息系统各功能模块访问权限,并提交保密办审批。
第12条每天检查信息系统各项应用功能是否运行正常,并做详细记录(见表五)。
第13条在信息系统发生故障时,应及时通知用户,并用最短的时间解决故障,保证信息系统尽快正常运行,并对系统故障情况做详细记录(见表六)。
第14条每天记录信息系统运行维护日志,对信息系统运行情况进行总结。
第15条每月对信息系统运行维护情况进行总结,并写出信息系统维护月报,并上报保密办。
1.7恶意代码防范管理
第1条通过培训及标识提高所有用户的防病毒意识,及时告知防病毒软件版本,在读取移动存储设备上的数据以及网络上接收文件或邮件之前,先进行病毒检查,对外来计算机或存储设备接入网络系统之前也应进行病毒检查。
第2条信息安全专员对网络和主机进行恶意代码检测并保存检测记录。
第3条定期检查信息系统内各种产品的恶意代码库的升级情况并进行记录,对主机防病毒产品、防病毒网关和邮件防病毒网关上截获的危险病毒或恶意代码进行及时分析处理,并形成报表和总结汇报。
1.8变更管理
第1条确认系统中要发生的变更,并制定变更方案。
第2条建立变更管理制度,系统发生变更前,向主管领导申请,变更和变更方案经过评审、审批后方可实施变更,并在实施后将变更情况向相关人员通告。
第3条建立变更控制的申报和审批文件化程序,对变更影响进行分析并文档化,记录变更实施过程,并妥善保存所有文档和记录。
第4条建立中止变更并从失败变更中恢复的文件化程序,明确过程控制方法和人员职责,必要时对恢复过程进行演练。
1.9安全事件处置
第1条报告所发现的安全弱点和可疑事件,但任何情况下用户均不应尝试验证弱点。
第2条制定安全事件报告和处置管理制度,明确安全事件的类型,规定安全事件的现场处理、事件报告和后期恢复的管理职责。
第3条根据国家相关管理部门对计算机安全事件等级划分方法和安全事件对本系统产生的影响,对本系统计算机安全事件进行等级划分。
第4条制定安全事件报告和响应处理程序,确定事件的报告流程,响应和处置的范围、程度,以及处理方法等。
第5条在安全事件报告和响应处理过程中,分析和鉴定事件产生的原因,收集证据,记录处理过程,总结经验教训,制定防止再次发生的补救措施,过程形成的所有文件和记录均应妥善保存。
第6条对造成系统中断和造成信息泄密的安全事件应采用不同的处理程序和报告程序。
1.10监控管理和安全管理中心
第1条对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警,形成记录并妥善保存。
第2条信息安全专员组织相关人员定期对监测和报警记录进行分析、评审,发现可疑行为,形成分析报告,并采取必要的应对措施。
第3条对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理。
1.11数据安全管理
第1条凡涉及公司机密的数据或文件,非工作需要不得以任何形式转移,更不得透露给他人。
离开原工作岗位的员工由所在部门负责人将其所有工作资料收回并保存。
第2条计算机终端用户务必将重要数据存放在计算机硬盘中除系统盘分区(操作系统所在的硬盘分区,一般是C盘)外的硬盘分区。
计算机信息系统发生故障,应及时与信息专员联系并采取保护数据安全的措施。
第3条计算机终端用户未做好备份前不得删除任何硬盘数据。
对重要的数据应准备双份,存放在不同的地点;对采用磁性介质或光盘保存的数据,应做好防磁、防火、防潮和防尘工作,并定期进行检查、复制,防止由于磁性介质损坏,丢失数据。
1、数据保密性
序号
等级保护要求
1
采用加密或其他保护措施实现系统管理数据、鉴别信息和重要业务数据传输保密性;
2、备份和恢复
序号
等级保护要求
1
提供数据本地备份与恢复功能,对重要信息进行备份,数据备份至少每天一次,已有数据备份可完全恢复至备份执行时状态,并对备份可恢复性进行定期演练,备份介质场外存放。
(增强)
2
提供异地数据备份功能,利用通信网络将关键数据定时批量传送至备用场地;
3
应提供主要网络设备、通信线路和数据处理系统的硬件冗余,保证系统的高可用性。
1.12网络安全管理
第1条信息安全专员对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作。
第2条根据厂家提供的软件升级版本对网络设备进行更新,并在更新前对现有的重要文件进行备份。
第3条定期对网络系统进行漏洞扫描,对发现的网络系统安全漏洞进行及时的修补。
第4条实现设备的最小服务配置,并对配置文件进行定期离线备份。
第5条保证所有与公司外部网络的连接均得到授权和批准。
第6条依据安全策略允许或者拒绝便携式和移动式设备的网络接入。
第7条未进行安全配置、未装防火墙或杀毒软件的计算机终端,不得连接公司网络和服务器。
公司员工应定期对所配备的计算机终端的操作系统、杀毒软件等进行升级和更新,并定期进行病毒查杀。
第8条计算机终端用户应使用复杂密码,并定期更改。
公司员工应妥善保管根据职责权限所掌握的各类办公账号和密码,严禁随意向他人泄露、借用自己的账号和密码。
第9条IP地址为计算机网络的重要资源,公司员工应在信息专员的规划下使用这些资源,不得擅自更改。
对于影响网络的系统服务,公司员工应在信息专员的指导下使用,禁止随意开启、关闭计算机中的系统服务,保证计算机网络畅通运行。
第10条经远程通信传送的程序或数据,必须经过检测确认无病毒后方可安装和使用。
11.1网络系统运行维护管理办法
第1条网络系统运行维护由系统管理员专人负责,未经允许任何人不得对网络系统进行操作。
第2条根据网络系统设计方案和实施细则安装、调试、配置网络系统,包括交换机配置、路由器配置,建立管理员账号,设置管理员密码,并关闭所有远程管理端口。
第3条建立系统设备档案(见表二),包括交换机、路由器的品牌、型号、序列号、购买日期、硬件配置信息,详细记录综合布线系统信息配置表,交换机系统配置,路由器系统配置,网络拓扑机构图,VLAN划分表,并在系统配置发生变更时及时对设备档案进行更新。
第4条每天检查网络系统设备(交换机、路由器)是否正常运行。
第5条每周对网络系统设备(交换机、路由器)进行清洁。
第6条每周修改网络系统管理员密码。
第7条每周检测网络系统性能,包括数据传输的稳定性、可靠性、传输速率。
第8条网络变更后进行网络系统配置资料备份。
第9条当网络系统发生故障时,应及时通知用户,并在最短的时间内解决问题,保证网络系统尽快正常运行,并对系统故障情况作详细记录(见表六)。
第10条每月对网络系统运行维护情况进行总结,并作出网络系统运行维护月报。
11.2网络病毒入侵防范管理办法
第1条网络病毒入侵防护系统由系统管理员专人负责,任何人未经允许不得进行此项操作。
第2条根据网络系统安全设计要求安装、配置瑞星网络病毒防护系统,包括服务器端系统配置和客户机端系统配置,开启客户端防病毒系统的实时监控。
第3条每日监测防病毒系统的系统日志,检测是否有病毒入侵、安全隐患等,对所发现的问题进行及时处理,并做详细记录(见表八)。
第4条每周登陆防病毒公司网站,下载最新的升级文件,对系统进行升级,并作详细记录(见表九)。
第5条每周对网络系统进行全面的病毒查杀,对病毒查杀结果做系统分析,并做详细记录(见表十)。
第6条每日浏览国家计算机病毒应急处理中心网站,了解最新病毒信息发布情况,及时向用户发布病毒预警和预防措施。
11.3网络信息安全策略管理办法
第1条网络安全策略管理由安全保密管理员专职负责,未经允许任何人不得进行此项操作。
第2条根据网络信息系统的安全设计要求及主机审计系统数据的分析结果,制定、配置、修改、删除主机审计系统的各项管理策略,并做记录(见表十一)。
第3条根据网络信息系统的安全设计要求制定、配置、修改、删除网络安全评估分析系统的各项管理策略,并做记录(见表十一)。
第4条根据网络信息系统的安全设计要求制定、配置、修改、删除入侵检测系统的各项管理策略,并做记录(见表十一)。
第5条根据网络信息系统的安全设计要求制定、配置、修改、删除、内网主机安全监控与审计系统的各项管理策略,并做记录(见表十一)。
第6条每周对网络信息系统安全管理策略进行数据备份,并作详细记录(见表十二)。
第7条网络信息安全技术防护系统(主机审计系统、漏洞扫描系统、防病毒系统、内网主机安全监控与审计系统)由网络安全保密管理员统一负责安装和卸载。
11.4网络信息系统安全检查管理办法
第1条网络信息系统安全检查由安全保密管理员专职负责执行,未经允许任何人不得进行此项操作。
第2条每天根据入侵检测系统的系统策略检测、审计系统日志,检查是否有网络攻击、异常操作、不正常数据流量等,对异常情况做及时处理,遇有重大安全问题上报保密办,并做详细记录(见表十三)。
第3条每周登陆入侵检测系统产品网站,下载最新升级文件包,对系统进行更新,并做详细记录(见表十四)。
第4条每月通过漏洞扫描系统对网络系统终端进行安全评估分析,并对扫描结果进行分析,及时对终端系统漏洞及安全隐患进行处理,作详细记录(见表十五),并将安全评估分析报告上报保密办。
第5条每周登录全评估产品网站,下载最新升级文件包,对系统进行更新,并作详细记录(见表十六)。
每周备份入侵检测系统和漏洞扫描系统的审计信息,并作详细记录(见表十七)。
1.13操作管理
第1条信息专员应收集计算机信息系统常见故障及排除方法并整理成指导手册,供公司员工学习参考,并根据工作需要对公司员工进行定期或不定期的计算机应用技能培训。
第2条计算机终端用户在工作中遇到计算机信息系统问题,应先自行参照指导手册处理;若手册和之前培训中均未涉及此类问题,应及时与信息专员或软件开发单位、硬件供应商联系,尽快解决问题。
1.14安全审计管理办法
第1条网络信息安全审计系统由安全保密管理员负责,未经允许任何人不得进行此项操作。
升级会员 