《信息安全管理制度信息框架及管理规定(共5页).docx》由会员分享,可在线阅读,更多相关《信息安全管理制度信息框架及管理规定(共5页).docx(5页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、精选优质文档-倾情为你奉上信息安全框架及管理规定第一章 资源界定第1条 业务系统信息安全包括托管在联通机房的所有服务器、网络线路、网络设备、 安装在服务器上的操作系统、业务系统、应用系统、软件、网络设备上的OS、配置等软硬件设施第2条 任何人未经允许不得对业务系统所包含的软硬件进行包括访问,探测,利用,更改等操作第二章 网络管理第1条 网络结构安全管理1 网络物理结构和逻辑结构定期更新,拓扑结构图上应包含IP地址,网络设备名称,专线供应商名称及联系方式,专线带宽等,并妥善保存,未经许可不得对网络结构进行修改2 网络结构必须严格保密,禁止泄漏网络结构相关信息3 网络结构的改变,必须提交更改预案,
2、并经过信息总监的批准方可进行 第2条 网络访问控制1 网络访问控制列表包括ASA5510和联想网御的ACL2 妥善保管现有的网络访问控制列表,其中应包含网络设备及型号,网络设备的管理IP,当前的ACL列表,更新列表的时间,更新的内容等3 定期检查网络访问控制列表与业务需求是否一致,如不一致,申请更新ACL4 未经许可不得进行ACL相关的任何修改5 更新ACL时,必须备份原有ACL,以防误操作6 ACL配置完成以后,必须测试7 禁止泄漏任何ACL配置第3条 网络设备安全1 妥善保管现有网络设备清单,包括供应商及联系人信息,设备型号,IP地址,系统版本,设备当前配置清单2 定期检查设备配置是否与业
3、务需求相符,如有不符,申请更新配置3 配置网络设备时,必须备份原有配置,以防误操作4 配置完成之后,必须进行全面测试5 禁止在网络设备上进行与工作无关的任何测试6 未经许可不得进行任何配置修改7 禁止泄漏网络设备配置第4条 IP地址管理1 妥善保管现有IP地址清单,其中应包含服务器型号,操作系统版本,是否支持远程登录及远程登录方式,IP地址,子网掩码,网关,dns信息2 实时更新IP地址清单,并制定检查计划,如有多余的IP,及时清理和更新3 禁止泄漏IP地址清单第三章 操作系统管理第1条 操作系统安装运行及更新1 操作系统安装过程必须遵循操作系统安装部署规定2 不得安装与业务系统无关的其他系统
4、功能和服务3 定期检查操作系统的端口开放情况,并维护操作系统端口开放列表,制定定期检查端口计划4 系统安装完成后加入域,并登录域检查服务启动情况,并进行必要的授权5 安装完成后必须完成补丁的安装6 操作系统的重要补丁应及时更新,其他补丁可定期更新7 禁止泄漏操作系统版本及相关任何信息第2条 应用软件更新1 维护应用软件的安装列表,列表中应包含,IP地址,应用软件名称,版本,更新网址,安装时间,异常记录和更新记录2 制定定期扫描应用软件的版本更新的时间计划3 在不影响业务系统的情况下,及时更新应用软件版本4 对应用软件的更新做好记录第3条 域帐号和系统权限管理1 维护域帐号及每台系统的权限清单,
5、其中应包含IP,操作系统版本,系统帐号及权限分配,安全组2 制定定期检查域帐号计划,以保证及时做到帐号在系统中的权限是最新的3 禁止泄漏域帐号信息4 每个用户只能使用自己的帐号,如需权限,填写申请表5 每个系统需维护3个系统管理组:moniter、log、backup第4条 系统操作日志和登录日志审计1 制定计划定期检查系统日志是否正常工作,日志审核是否开启2 检查日志容量大小,是否需要增加容量3 定期备份日志,并记录备份时间4 维护和更新日志检查和备份清单5 禁止泄漏日志信息第四章 业务系统管理第1条 业务系统的运行管理1 建立并维护业务系统运行清单,其中应包含操作系统版本,IP地址,业务系
6、统及版本,业务系统供应商及联系方式,异常记录,更新记录,检查记录2 制定计划对业务系统的健康检查3 及时报告业务系统存在的任何异常情况,并记录4 禁止泄漏任何业务系统相关信息第2条 业务系统日志管理1 开启业务系统的日志2 制定计划定期检查业务系统的日志3 制定计划定期备份业务系统的日志4 分析业务系统的日志,并及时报告5 禁止泄漏日志信息第3条 业务系统帐号及权限管理1 维护业务系统帐号及权限列表,其中应包括操作系统版本,IP地址,业务系统版本,帐号,权限及帐号和权限变更记录2 制定计划定期检查帐号与业务需求是否匹配3 对异常情况及时报告第4条 机密文件及数据管理1 文件管理分为3个等级,秘
7、密、机密、绝密2 秘密级别的采用权限管理的方式3 机密级别的采用加密方式管理4 绝密级别的采用加密和离线并行的方式管理,比如使用加密U盘5 定期做好备份,每个人的机密数据自己负责备份,部门的机密数据由部门负责人指定人员备份第5条 业务系统版本更新1 对业务系统的版本定期进行检查,与供应商定期沟通是否有新版本需要更新2 更新版本前做好备份,并测试备份的可用性和可靠性3 完成版本备份后应全面测试新版本的安全可靠和稳定,并密切关注新版本的运行情况第五章 服务器管理第1条 服务器性能1 监控服务器性能,并分析制约服务器性能的瓶颈2 对服务器硬盘、cpu或内存的使用率超过80%并持续半个小时以上,必须向
8、信息总监汇报3 对服务器性能状态进行记录,并保存至少一个月第2条 服务器保修及售后服务 1 维护和更新服务器清单,其中应包含服务器型号,供应商及其联系方式,采购时间,维修记录,更换零部件记录,IP地址,业务系统等2 制定服务器检查计划,对超过5年的服务器应缩短硬盘和数据的备份时间间隔第六章 备份和恢复管理第1条 备份软件和媒介管理1 备份软件及相关license应妥善保管2 对备份软件的操作应形成文档3 对备份的媒介应选择安全性高的场所保存,比如银行,保险箱等第2条 备份系统状态、日志、数据库 1 制定备份计划,并选择在业务相对空闲时进行备份2 对备份的命名应严格按照既定的命名规则,以防恢复出
9、错3 备份完成后及时检查备份日志是否健康,备份是否成功4 对异常情况进行记录5 维护备份列表第3条 数据恢复管理1 备份完成后,测试数据备份的可靠性2 恢复数据测试,并及时查看恢复日志3 对异常情况进行记录第七章 远程访问管理第1条 远程访问的方式 1 远程访问必须采用加密方式,如ssh和vpn2 如发现有其他方式被允许或可能被允许登录,必须第一时间向信息总监报告第2条 远程访问管理 1 通过Key或者数字证书进行身份验证2 定期检查和核实登录权限的分配是否与业务需求和系统管理相符3 维护远程访问帐号列表第八章 变更管理第1条 鉴定和记录重大变更1 鉴定变更的重要性,是否影响业务,是否需要供应
10、商支持,是否有技术难点,是否有遗留问题2 记录重大变更,包括变更内容,变更背景,操作人,责任人,影响,恢复时间,是否成功,是否有遗留问题,是否有供应商支持,联系方式等3 变更完成后,形成变更文档,技术相关文档,以备类似变更的借鉴第2条 计划和测试变更1 计划变更的时间,预估变更的操作时间和结束时间2 制定变更预案,操作步骤3 对变更进行测试第3条 变更的流程1 制定变更的流程,包括审批流程,操作流程,变更结果报告第4条 变更失败的回退流程1 制定变更失败的回退流程,从失败的变更和不可预见的事故中恢复第九章 突发事故管理第1条 报告信息安全事故1 建立报告流程,应包括处理人,所有采取的行动,恢复
11、完成后的反馈,时间记录等第2条 突发事故中采取的行为1 注意到所有的现场相关细节,并记录2 不采取自己的任何行动,但立即汇报给信息总监第3条 收集突发事故的数据,日志,证据1 保存所有有关的日志数据等证据2 根据日志进行内部问题分析3 根据分析结果采取必要措施,以改进和规范系统的运行,以防止再次发生第4条 恢复业务1 采取行动,恢复安全漏洞和系统故障,并审查业务恢复情况2 确认和测试业务系统的完整性第十章 权限管理第1条 管理所有密码,汇总密码清单,清单中应包括业务系统,操作系统,数据库,网络设备,vpn,ssh等所有用户和所有密码第2条 密码应保存3次更新记录,并记录每次更新的时间和计划下次更新的时间第3条 所有密码必须符合复杂度要求:三种不同字符,7位字符以上第4条 定期对密码进行修改第5条 此清单为绝密,未经允许任何人不得私自访问此文件第6条 此清单必须加密保存专心-专注-专业