ISMSB信息安全管理规范

信息安全管理制度规范

1信息安全规范

1.1总则

第1条为明确岗位职责;规范操作流程;确保公司信息系统的安全;根据中华人民共和国计算机信息系统安全保护条例等有关规定;结合公司实际;特制订本制度..

第2条信息系统是指由计算机及其相关的和配套的设备、设施含网络构成的;按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统..

第3条信息安全系统遵循安全性、可行性、效率性、可承担性的设计原则;将从物

理安全、网络安全、支撑层系统安全、应用层系统安全、数据及资料安全几方面进行部署实施..

1.2环境管理

第1条信息机房由客户安排指定;但应该满足如下的要求：

1、物理位置的选择G3

2、防雷击G3

3、防火G3

4、防水和防潮G3

5、防静电G3

6、温湿度控制G3

7、电磁防护S2

8、物理访问控制G3

9、防盗窃和防破坏G3

第2条由客户指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施

进行维护管理..

第3条出入机房要有登记记录..非机房工作人员不得进入机房..外来人员进机房参观需经保密办批准;并有专人陪同..

第4条进入机房人员不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质、食品等对设备正常运行构成威胁的物品..严禁在机房内吸烟..严禁在机

房内堆放与工作无关的杂物..

第5条机房内应按要求配置足够量的消防器材;并做到三定定位存放、定期检查、定时更换..加强防火安全知识教育;做到会使用消防器材..加强电源管理;

严禁乱接电线和违章用电..发现火险隐患;及时报告;并采取安全措施..

第6条机房应保持整洁有序;地面清洁..设备要排列整齐;布线要正规;仪表要齐备;

工具要到位;资料要齐全..机房的门窗不得随意打开..

第7条每天上班前和下班后对机房做日常巡检;检查机房环境、电源、设备等并做好相应记录见表一..

第8条对临时进入机房工作的人员;不再发放门禁卡;在向用户单位保密部门提出申请得到批准后;由安全保密管理员陪同进入机房工作..

1.3资产管理

第1条编制并保存与信息系统相关的资产清单;包括资产责任部门、重要程度和所处位置等内容..

第2条规定信息系统资产管理的责任人员或责任部门;并规范资产管理和使用的行为..

第3条根据资产的重要程度对资产进行标识管理..

第4条对信息分类与标识方法作出规定;并对信息的使用、传输和存储等进行规范

化管理..

1.4介质管理

第1条建立介质安全管理制度;对介质的存放环境、使用、维护和销毁等方面作出规定..

第2条建立移动存储介质安全管理制度;对移动存储介质的使用进行管控..

第3条确保介质存放在安全的环境中;对各类介质进行控制和保护;并实行存储环境专人管理..

第4条对介质在物理传输过程中的人员选择、打包、交付等情况进行控制;对介质归档和查询等进行登记记录;并根据存档介质的目录清单定期盘点..

第5条对存储介质的使用过程、送出维修以及销毁等进行严格的管理;对带出工作环境的存储介质进行内容加密和监控管理;对送出维修或销毁的介质应首先清除介质中的敏感数据;对保密性较高的存储介质未经批准不得自行销毁..第6条根据数据备份的需要对某些介质实行异地存储;存储地的环境要求和管理方法应与本地相同

第7条对重要数据或软件采用加密介质存储;并根据所承载数据和软件的重要程度对介质进行分类和标识管理..

1.5设备管理

1.5.1总则

第1条由系统管理员对信息系统相关的各种设备包括备份和冗余设备、线路等进行定期维护管理..

第2条建立基于申报、审批和专人负责的设备安全管理制度..

第3条建立明确维护人员的责任、涉外维修和服务的审批、维修过程的监督控制的

管理制度..

第4条对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理;按操作规程实现主要设备包括备份和冗余设备的启动/停止、加电/

断电等操作

第5条确保信息处理设备必须经过审批才能带离机房或办公地点..

1.5.2系统主机维护管理办法

第1条系统主机由系统管理员负责维护;未经允许任何人不得对系统主机进行更改操作..

第2条根据系统设计方案和应用系统运行要求进行主机系统安装、调试;建立系统管理员账户;设置管理员密码;建立用户账户;设置系统策略、用户访问权利

和资源访问权限;并根据安全风险最小化原则及运行效率最大化原则配置系

统主机..

第3条建立系统设备档案见表二、包括系统主机详细的技术参数;如：品牌、型号、购买日期、序列号、硬件配置信息、软件配置信息、网络配置信息、系统配

置信息;妥善保管系统主机保修卡;在系统主机软硬件信息发生变更时对设

备档案进行及时更新..

第4条每周修改系统主机管理员密码;密码长度不得低于八位;要求有数字、字母并区分大小写..

第5条每周通过系统性能分析软件对系统主机进行运行性能分析;并做详细记录见表四;根据分析情况对系统主机进行系统优化;包括磁盘碎片整理、系统日志

文件清理;系统升级等..

第6条每周对系统日志、系统策略、系统数据进行备份;做详细记录见表四..

第7条每天检查系统主机各硬件设备是否正常运行;并做详细记录见表五..

第8条每天检查系统主机各应用服务系统是否运行正常;并做详细记录见表五..

第9条每天记录系统主机运行维护日记;对系统主机运行情况进行总结..

第10条在系统主机发生故障时应及时通知用户;用最短的时间解决故障;保证系统主机尽快正常运行;并对系统故障情况做详细记录见表六..

第11条每月对系统主机运行情况进行总结、并写出系统主机运行维护月报;上报保密办..

第12条系统主机的信息安全等级保持要求：

1、身份鉴别

2、访问控制