ISMSB信息安全管理规范

信息安全管理制度规范

1.5 设备管理 ....................................

1.5.1 .................................................................. 总贝

y 1.5.2 .............................................. 系统主机维护管理办法

1.5.3 ............................................ 涉密计算机安全管理办法

1.6 系统安全管理 ..................................

1.7 恶意代码防范管理 ................................

1.8 变更管理 ......................... 错误!未定义书签。

1.9 安全事件处置 ..................................

1.10 监控管理和安全管理中心 .............................

1.11数据安全管理 ..................................

1.12网络安全管理 ...................................

1.13 操作管理 ....................................

1.14

安全审计管理办法 ...............................

目录 1 信息安全规范 1.1 总则.

1.2 环境管理..… 1.3 资产管理..…

1.4 介质管理.....

1.15信息系统应急预案...............................

1.16附表 ......................................

1 信息安全规范

1.1总则

第1条为明确岗位职责，规范操作流程，确保公司信息系统的安全，根据《中华人民共和国计算机信息系统安全保护条例》等有关规定，结合公司实际，特制订本制度。

第2条信息系统是指由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

第3条信息安全系统遵循安全性、可行性、效率性、可承担性的设计原则，将从物理安全、网络安全、支撑层系统安全、应用层系统安全、数据及资料安全几方面进行部署实施。

1.2环境管理

第1条信息机房由客户安排指定，但应该满足如下的要求：

1

2、防雷击（

3、防火(G3)

4、防水和防潮

5、防静电

6

7、电磁防护

8

9、防盗窃和防破坏

第2条由客户指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施

进行维护管理。

第3条出入机房要有登记记录。非机房工作人员不得进入机房。外来人员进机房参

观需经保密办批准，并有专人陪同。

第4条进入机房人员不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物

质、食品等对设备正常运行构成威胁的物品。严禁在机房内吸烟。严禁在机房内堆放与工作无关的杂物。

第5条机房内应按要求配置足够量的消防器材，并做到三定（定位存放、定期检查、定时更换）。加强防火安全知识教育，做到会使用消防器材。加强电源管理，严禁乱接电线和违章用电。发现火险隐患，及时报告，并采取安全措施。

第6条机房应保持整洁有序，地面清洁。设备要排列整齐，布线要正规，仪表要齐

备，工具要到位，资料要齐全。机房的门窗不得随意打幵。

第7条每天上班前和下班后对机房做日常巡检，检查机房环境、电源、设备等并做

第8条对临时进入机房工作的人员，不再发放门禁卡，在向用户单位保密部门提出申请得到批准后，由安全保密管理员陪同进入机房工作。

1.3 资产管理

第1条编制并保存与信息系统相关的资产清单，包括资产责任部门、重要程度和所处位置等内容。第2条规定信息系统资产管理的责任人员或责任部门，并规范资产管理和使用的行为。

第3条根据资产的重要程度对资产进行标识管理。

第4条对信息分类与标识方法作出规定，并对信息的使用、传输和存储等进行规范化管理。

1.4 介质管理

第1条建立介质安全管理制度，对介质的存放环境、使用、维护和销毁等方面作出规定。

第2条建立移动存储介质安全管理制度，对移动存储介质的使用进行管控。

第3条确保介质存放在安全的环境中，对各类介质进行控制和保护，并实行存储环境专人管理。第4条对介质在物理传输过程中的人员选择、打包、交付等情况进行控制，对介质归档和查询等进行登记记录，并根据存档介质的目录清单定期盘点。

第5条对存储介质的使用过程、送出维修以及销毁等进行严格的管理，对带出工作环境的存储介质进行内容加密和监控管理，对送出维修或销毁的介质应首先清除介质中的敏感数据，对保

密性较高的存储介质未经批准不得自行销毁第6条根据数据备份的需要对某些介质实行异地存储，存储地的环境要求和管理方法应与本地相同

第7条对重要数据或软件采用加密介质存储，并根据所承载数据和软件的重要程度对介质进行分类和标识管理。

1.5 设备管理

1.5.1 总则

第1条由系统管理员对信息系统相关的各种设备（包括备份和冗余设备）、线路等

进行定期维护管理。

第2条建立基于申报、审批和专人负责的设备安全管理制度。

第3条建立明确维护人员的责任、涉外维修和服务的审批、维修过程的监督控制的管理制度。

第4条对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理，按操作规程实现主要设备（包括备份和冗余设备）的启动/ 停止、加电/ 断电等操作

第5条确保信息处理设备必须经过审批才能带离机房或办公地点。

1.5.2 系统主机维护管理办法

第1条系统主机由系统管理员负责维护，未经允许任何人不得对系统主机进行更改操作。

第2条根据系统设计方案和应用系统运行要求进行主机系统安装、调试，建立系统管理员账户，设置管理员密码，建立用户账户，设置系统策略、用户访问权利和资源访问权限，并根据安

全风险最小化原则及运行效率最大化原则配置系统主机