网络信息通信和操作管理制度.doc

上传人:帮**** 文档编号:3563684 上传时间:2020-09-18 格式:DOC 页数:9 大小:45.50KB
返回 下载 相关 举报
网络信息通信和操作管理制度.doc_第1页
第1页 / 共9页
网络信息通信和操作管理制度.doc_第2页
第2页 / 共9页
点击查看更多>>
资源描述

《网络信息通信和操作管理制度.doc》由会员分享,可在线阅读,更多相关《网络信息通信和操作管理制度.doc(9页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、网络信息通信和操作管理制度 9.1 操作程序和职责 9.1.1 规范的操作程序 第80条 必须为所有的业务系统建立操作程序,其内容包括但不限于: 1)系统重启、备份和恢复的措施 2)一般性错误处理的操作指南 3)技术支持人员的联系方法 4)与其它系统的依赖性和处理的优先级 5)硬件的配臵管理 第81条 操作程序必须征得管理者的同意才能对其进行修改。操作程序必须及时更新,更新条件包括但不限于: 1)应用软件的变更 2)硬件配臵的变更 9.1.2 变更控制 第82条 必须建立变更管理程序来控制系统的变更,所有变更都必须遵守变更管理程序的要求。程序内容包括但不限于 1)识别和记录变更请求 2)评估变

2、更的可行性、变更计划和可能带来的潜在影响 3)变更的测试 4)审批的流程 5)明确变更失败的恢复计划和责任人 6)变更的验收 第83条 重要变更必须制定计划,并在测试环境下进行足够的测试后,才能在生产系统中实施。所有变更必须包括变更失败的应对措施和恢复计划。所有变更必须获得授权和批准,变更的申请和审批不得为同一个员工。对变更需要涉及的硬件、软件和信息等对象都应标识出来并进行相应评估。变更在实施前必须通知到相关人员。 第84条 变更的实施应该安排在对业务影响最小的时间段进行,尽量减少对业务正常运营的影响。在生产系统安装或更新软件前,必须对系统进行备份。变更完成后,相关的文档(如系统需求文档、设计

3、文档、操作手册、用户手册等)必须得到更新,旧的文档必须进行备份。 第85条 必须对变更进行复查,以确保变更没有对原来的系统环境造成破坏。必须完整记录整个变更过程,并将其妥善保管。变更的记录应至少每月复查一次。 9.1.3 职责分离 第86条 系统管理员和系统开发人员的职责必须明确分开。同一处理过程中的重要任务不应该由同一个人来完成,以防止欺诈和误操作的发生。 第87条 所有职责分离的控制必须记录归档,作为责任分工的依据。无法采取职责分离时,必须采取其它的控制,比如活动监控、审核跟踪评估以及管理监督等。 9.1.4 开发、测试和生产系统分离 第88条 不应给开发人员提供超过其开发所需范围的权限。

4、如果开发人员需要访问生产系统,必须经过运营人员的授权和管理。 第89条 生产、测试和开发应分别使用不同的系统环境。开发人员不得在生产环境中更改编码或操作生产系统。不得在生产系统上擅自安装开发工具(比如编译程序及其他系统公用程序等),并做好已有开发工具的访问控制。开发和测试环境使用的测试数据不能包含有敏感信息。 9.1.5 事件管理程序 第90条 必须建立事件管理程序,并根据事件影响的严重程度制订其所属类别,同时说明相应的处理方法和负责人。必须根据事件的严重程度,定义响应的范围、时间和完成事件处理的时间。 第91条 系统的修复必须得到系统管理者的批准方可执行。 第92条 所有事件报告必须记录归档

5、,并由部门主管或指定人员妥善保管。必须对事件的处理情况进行监控,对超时的处理提出改进建议并跟进改进效果。 9.2 第三方服务交付管理 9.2.1 服务交付 第93条 第三方提供的服务必须满足安全管理制度的要求。第三方提供的服务必须满足公司业务连续性的要求。 第94条 必须保留第三方提供的服务、报告和记录并定期评审,至少每半年一次。评审内容应包括:1) 服务内容和质量是否满足合同要求; 2) 服务报告是否真实。 9.2.2 第三方服务的变更管理 第95条 服务改变时,必须重新对服务是否满足安全管理办法进行评估。在服务变更时需要考虑: 1) 服务价格的增长; 2) 新的服务需求; 3) 公司信息安

6、全管理制度的变化; 4) 公司在信息安全方面新的控制。 9.3 针对恶意软件的保护措施 9.3.1 对恶意软件的控制 第96条 必须建立一套病毒防治体系,以便防止病毒对公司带来的影响。所有服务器、个人电脑和笔记本电脑都应该安装公司规定的防病毒软件,并及时更新防病毒软件。所有存进计算机的信息(例如接收到的邮件、下载的文件等)都必须经过病毒扫描。员工和第三方厂商从外界带来的存储介质在使用之前必须进行病毒扫描。 第97条 所有员工都应该接受防病毒知识的培训和指导。 第98条 公司内发现的病毒、计算机或应用程序的异常行为,都必须作为安全事件进行报告。 第99条 必须定期审核控制恶意软件措施的有效性。一

7、旦发现感染病毒,必须立刻把机器从网络中断开。在病毒没有被彻底清除之前,严禁将其重新连接到网络上。 9.4 备份 9.4.1 信息备份 第100条 所有服务器、个人电脑和笔记本电脑必须根据业务需求定期进行备份。系统在重大变更之前和之后必须进行备份。 第101条 备份管理办法必须获得管理层的审批以确保符合业务需求。备份管理办法必须至少每季度进行一次复查,以确保没有发生未授权或意外的更改。 第102条 应该保留多于1个备份周期的备份,但重要业务信息应至少保留3个备份周期的备份。备份资料和相应的恢复操作手册必须定期传送到异地进行保存。异地必须与主站点有一定的距离,以避免受主站点的灾难波及。 第103条

8、 必须对异地保存的备份信息实施安全保护措施,其保护标准应和主站点相一致。必须定期测试备份介质,确保其可用性。必须定期检查和测试恢复步骤,确保它们的有效性。备份系统必须进行监控,以确保其稳定性和可用性。 9.5 网络管理 9.5.1 网络控制 第104条 网络管理和操作系统管理的职责应该彼此分离,并由不同的员工承担。必须明确定义网络管理的职责和义务。只有得到许可的员工才能够使用网络管理系统。 第105条 必须建立相应的控制机制,保护路由表和防火墙安全管理办法等网络参数的完整性。保护通过公网传送敏感数据的机密性、完整性和可用性。 第106条 进行网络协议兼容性的评估时应考虑将来新增网络设备的要求。

9、任何准备接进网络的新设备,在进网前都必须通过协议兼容性的评估和安全检查。 第107条 必须对网络进行监控和管理。所有网络故障都必须向上级报告。 第108条 必须建立互联网的访问管理办法。除非得到授权,否则禁止访问外部网络的服务。 9.6 介质的管理 9.6.1 可移动介质的管理 第109条 可移动计算机存储介质(比如磁带、光盘等)必须有适当的访问控制。存储介质上必须设臵标签,以标识其类型和用途。标签应使用代码,以避免直接标识存储介质上的内容。标识用的代码需要记录并归档。 第110条 必须建立和维护介质清单,并对介质的借用和归还进行记录。应确保备有足够的存储介质,以备使用。 第111条 存放在存

10、储介质内的绝密和机密信息必须受到妥善保护。 第112条 存储介质的存放环境必须满足介质要求的环境条件(比如温度、湿度、空气质量等)。 第113条 备份介质必须存储在防火柜中。应该对介质的寿命进行管理,在介质寿命结束前一年,将信息拷贝到新的介质中。 9.6.2 介质的销毁 第114条 应建立存储介质的报废规范,包括但不限于: 1)纸质文档 2)语音资料及其他录音带 3)复写纸 4)磁带 5)磁盘 6)光存储介质 第115条 所有不会被再利用的敏感文档都必须根据定义的信息密级采取适当的方式进行销毁。 第116条 所有报废及过期的存储介质必须妥善销毁。 9.6.3 信息处理程序 第117条 介质的信

11、息分类,必须采用存放信息中的最高保密等级。 第118条 应根据介质中信息的分类级别,采取相应措施来保护介质的输出环境。 9.6.4 系统文档的安全 第119条 存取含有敏感信息的文档,必须获得相应文档管理者的批准。含有敏感信息的文档应保存在安全的地方,未经许可不得访问。含有敏感信息的文档通过内部网等提供访问的,应采用访问控制加以保护。 9.7 信息交换 9.7.1 信息交换管理办法和程序 第120条 必须根据信息的类型和保密级别,定义信息在交换过程中应遵循的安全要求。 第121条 所有员工和第三方人员都必须遵守公司的信息交换管理办法。 第122条 未经许可,公司内部不允许安装、使用无线通信设备

12、。 第123条 使用加密技术保护信息的保密性、完整性和真实性。敏感信息带出公司必须获得直接领导或信息管理者的授权。 第124条 必须建立控制机制来保护利用音频、传真和视频通信设备进行交换的信息。 第125条 电话录音系统应该配臵密码,以防非法访问。 第126条 在使用传真机中已存储的号码时,传真之前必须验证号码。 第127条 移动通讯设备(比如手机,PDA等)不应存储公司敏感信息。 9.7.2 交换协议 第128条 跟外界进行信息和软件交换必须签署协议,其内容必须包括: 1)发送方和接收方的责任 2)明确发送和接收的方式 3)制定信息封装和传输的技术标准 4)数据丢失的相关责任 5)声明信息的

13、保密级别和保护要求 6)声明信息和软件的所有权、版权和其他相关因素 9.7.3 物理介质传输 第129条 必须建立传输存储介质的安全标准。应使用可靠的传输工具或传递人,授权的传递人必须接受适当监管并进行其身份的检查。应确保敏感信息的机密性、完整性和可用性在传输全程中受到保护。 第130条 存放介质的容器在运输过程前必须密封。信息分类不应该标识在容器的外面。包装应该非常结实,确保介质在运输过程中不受到损坏。 9.7.4 电子消息 第131条 电子化办公系统必须建立相应的管理办法和控制机制,并阐明下列内容: 1)确定不能被共享的信息的类型或密级 2)系统用户的权限 3)系统的访问控制 4)与系统相

14、关的备份管理办法 第132条 除非获得安全管理委员会的授权,否则禁止使用公司以外的电子系统(比如BBS、MSN、QQ等)进行跟公司相关的活动。 第133条 电子邮件内的信息必须根据其信息分类的安全要求去处理和保护。用于连接外网的邮件网关必须安装防病毒软件,检查进出的电子邮件。必须对Internet屏蔽邮件系统的内网IP地址。 第134条 员工使用公司的邮件系统时只能进行与业务相关的活动。所有在公司的邮件系统上产生及存储的邮件都是公司资产。公司有权查看和监控所有邮件。未经授权,严禁使用公司以外的邮箱处理公司业务。所有对外发送的邮件都必须加上责任声明。 9.7.5 业务信息系统 第135条 在业务

15、系统进行信息共享时,必须保证信息的完整性、可用行和保密性。必须保证重要信息在交换过程中的保密性。 9.8 电子商务服务 9.8.1 电子商务 第136条 必须采取适当措施,保证电子交易过程的机密性、完整性和可用性。 第137条 电子商务的交易必须制定相关的交易声明,以明确注意事项和相关责任。在电子商务的协议中,必须明确欺诈行为和未能交付的责任。 第138条 电子交易必须设臵并维护适当的访问控制。身份验证技术必须满足业务的实际要求。 第139条 必须保留并维护所有电子商务交易过程中的记录和日志。 第140条 应该使用加密、电子证书、数字签名等技术保护电子商务安全。 9.8.2 在线交易 第141

16、条 必须保护在线交易信息,避免不完整的传输、路由错误、未授权的消息更改、未授权的信息信息泄漏、复制和回复。 第142条 在线交易中必须使用数字证书保护交易安全。交易中必须使用加密技术对所有通信内容加密。在线交易必须使用安全的通讯协议。 第143条 在线交易信息必须保存在公司内部的存储环境,存储环境不能被从Internet直接访问。 第144条 在线交易必须遵守国家、地区和行业相关的法律法规。 9.8.3 公共信息 第145条 必须确保公共信息系统中信息的完整性,并防止非授权的修改。 第146条 信息的发布必须遵守国家法律法规的要求。通过信息发布系统向内部和公众发布的信息都必须经过公司相关部门的

17、检查和审批。信息在发布之前必须经过核对,确认其正确性和完整性。必须对敏感信息的处理和存储过程进行保护。 9.9 监控 9.9.1 日志 第147条 所有操作系统、应用系统都必须具有并启用日志记录功能。 第148条 日志记录信息必须包括但不限于: 1)用户ID; 2)每项操作的日期和时间(至少要精确到秒); 3)来源的标识或位臵; 4)成功的系统访问尝试; 5)失败或被拒绝的系统访问尝试; 第149条 日志类型包括但不限于: 1)应用日志; 2)系统日志; 3)安全日志; 4)操作日志; 5)问题记录。 第150条 必须确保日志记录功能在任何时候都能正常运行。应该有机制监控日志的容量变化,在容量

18、耗尽之前发出报警信息。 第151条 除非特别声明,所有日志都必须被分类为“机密”。日志应该定期复查,至少每月一次。 9.9.2 监控系统的使用 第152条 不同的信息处理设备所要求的监控等级应该通过风险评估来决定,必须考虑下列要素: 1)系统的访问; 2)所有特权操作; 3)未授权的访问尝试; 4)系统警报或故障。 第153条 应每天定时监控网络(包括网络性能和网络故障),并根据产生的报告,对异常变化的网络流量,作进一步分析,以发现潜在的网络安全问题。 9.9.3 日志信息保护 第154条 必须保证日志不能被修改或删除,所有对于日志文件的访问(如删除、写、读或添加)尝试都应该有相应记录。 第1

19、55条 除非特别声明,日志必须至少保存1年。只有授权的员工才能访问并使用日志。必须采取控制措施保护日志的完整性。 9.9.4 管理员和操作员日志 第156条 系统管理员和操作员的操作必须被记录日志。 第157条 日志记录应包括重要的操作,例如与用户管理相关的操作(用户帐号的创建、删除、权限设臵、修改)、与财务相关的操作等。 第158条 管理员和重要系统的操作员日志应该至少每周复查一次。对于重要的财务系统和业务系统每天都要复查。 9.9.5 故障日志 第159条 必须启动故障日志功能。 第160条 必须保证故障记录的跟进处理,确保问题得到完全解决,并且其纠正措施不会带来新的安全问题。所有故障记录都应该向上级汇报并记录归档。 第161条 故障记录应妥善保管,防止被损坏,必要时应该进行备份。 9.9.6 时钟同步 第162条 所有系统应该使用时钟同步服务,并使用同一时钟源。 第163条 所有系统中的时间允许最多一分钟的偏差。 第164条 对于不能进行时钟同步的系统,必须对时间进行每月一次的检查。

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 技术资料 > 技术方案

本站为文档C TO C交易模式,本站只提供存储空间、用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。本站仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知淘文阁网,我们立即给予删除!客服QQ:136780468 微信:18945177775 电话:18904686070

工信部备案号:黑ICP备15003705号© 2020-2023 www.taowenge.com 淘文阁