软件系统安全规范样本
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
一、引言
1.1目的
随着计算机应用的广泛普及,计算机安全已成为衡量计算机系统 性能的一个重要指标。
计算机系统安全包含两部分内容,一是保证系统正常运行,避免 各种非故意的错误与损坏;二是防止系统及数据被非法利用或破 坏。两者虽有很大不同,但又相互联系,无论从管理上还是从技术 上都难以截然分开,因此,计算机系统安全是一个综合性的系统 工程。
2. 3. 6.6因系统维修或其它原因需外国籍人进入机房时,必须 始终有人陪同。
2. 3. 6.7进出口的钥匙应保存在约定的场所,由专人管理,并 明确其责任。记录最初人室者及最后离室者和钥匙交换时间。
2. 3. 6.8在无警卫的场合,必须保证室内无人时,关锁所有出 入口。
2. 3. 6.9禁止携带与上机工作无关的物品进入机房。
2.3安全管理
2.3, 1应根据系统所处理数据的秘密性和重要性确定安全等级, 井据此釆用有关规范和制定相应管理制度。
2. 3.2安全等级可分为保密等级和可靠性等级两种,系统的保密 等级与可靠性等级能够不同。
2. 3. 2.1保密等级应按有关规定划为绝密、机密、秘密。
2. 3. 2.2可靠性等级可分为三级。对可靠性要求最高的为A级,
2.1.2建立安全组织:
2. 1. 2.1安全组织由单位主要领导人领导,不能隶属于计算机 运行或应用部门。
2. 1. 2.2安全组织由管理、系统分析、软件、硬件、保卫、 审计、人事、通信等有关方面人员组成。
2. 1. 2.3安全负责人负责安全组织的具体工作。
2. 1. 2.4安全组织的任务是根据本单位的实际情况定期做风险 分析,提出相应的对策并监督实施。
识别以外,还要考虑其它出入管理措施,如:安装自动识别登记系统,采用磁卡、结构编码卡或带有徽电脑及存储器的身份卡等手段,对人员进行自动识别、登记及出入管理。
2. 3. 6.4短期工作人员或维修人员的证件,应注明有效日期,届
时收回。
2. 3. 6.5参观人员必须由主管部门办理参观手续,参观时必须 有专人陪同。
2. 3. 10.1对系统进行维护时,应采取数据保护措施。如:数据 转贮、抹除、卸下磁盘磁带,维护时安全人员必须在场等。运程 维护时,应事先通知。
2. 3.6制定严格的计算中心出入管理制度:
2. 3. 6.1计算机中心要实行分区控制,限制工作人员出入与己 无关的区域。
2.3・6・2规模较大的计算中心,可向所有工作人员,包括来自 外单位的人员,发行带有照片的身份证件,并定期进行检查或更 换。
2. 3. 6.3安全等级较高的计算机系'统,除采取身份证件进行
2.1.3安全负责人制:
2. 1. 3.:[确定安全负责人对本单位的计算机安全负全部责任。
2. 1. 3.2只有安全负责人或其指定的专人才有权存取和修改系 统授权表及系统特权口令。
2. 1. 3.3安全负责人要审阅每天的违章报告,控制台操作记录、 系统日志、系统报警记录、系统活动统计、警卫报告、加班报 表及其它与安全有关的材料。
2. 3.8制定严格的操作规程:
2. 3. 8.I系统操作人员应为专职,操作时要有两名操作人员在 场。
2. 3. 8.2对系统开发人员和系统操作人员要进行职责分离。
2. 3.9制定系统运行记录编写制度,系统运行记录包括系统名称、
姓名、操作时间、处理业务名称、故障记录及处理情况等。
2.3・10制定完备的系统维护制度:
系统运行所要求的最低限度可靠性为C级,介于中间的为B级。
2. 3.3用于重要部门的计算机系统投入运行前,应请公安机关的 计算机监察部门进行安全检査。
2. 3.4必须制定有关电源设备、空凋设备,防水防盗消防等防
范设备的管理规章制度。确定专人负责设备维护和制度实施。
2. 3.5应根据系统的重要程度,设立监视系统,分别监视设备的 运行情况或工作人员及用户的操作情况,或安装自动录象等记录 装置。对这些设备必须制定管理制度,并确定负责人。
2. 3.6・10对于带进和带出的物品,如有疑问,庞进行査验。
2. 3.7制定严格的技术文件管理制度。
2. 3. 7.1计算机系统的技术文件如说明书、手册等应妥善保存, 要有严格的借阅手续,不得损坏及丢失。
2.3・1.2应备有关计算机系统操作手册规定的文件。
2. 3. 7.3庞常备计算机系统出现故障时的替代措施及恢复顺序 所规定的文件。
本规范对涉及计算机系统安、全的各主要环节做了具体的说明, 以便计算机系统的设计、安装பைடு நூலகம்运行及监察部门有一个衡量系统 安全的依据。
1.2范围
本规范是一份指导性文件,适用于国家各部门的计算机系统。
在弓I用本规范时,要根据各单位的实际情况,选择适当的范不强求全面釆用。
二、安全组织与管理
2・1安全机构
2.1.1单位最高领导必须主管计算机安全工作。
2. 2.3所有工作人员除进行业务培训外,还必须进行相应的计算 机安全课程培训,才能进入系统工作。
2. 2.4人事部门应定期对系统所有工作人员从政治思想、业务 水平、工作表现等方面进行考核,对不适于接触信息系统的人员 要适时调离。
2. 2.5对调离人员,特别是在不情愿的情况下被调走的人员,必 须认真办理手续。除人事手续外,必须进行调离谈话,申明其调离 后的保密义务,收回所有钥匙及证件,退还全部技术手册及有关 材料。系统必须更换口令和机要锁。在调离决定通知本人的同时, 必须立即进行上述工作,不得拖延。
2. 1. 3.4安全负责人负责制定安全培训计划。
2. 1. 3.5若终端分布在不同地点,则各地都应有地区安全负责 人,可设专职,也能够兼任,并接受中心安全负责人的领导。
2. 1. 3.6各部门发现违章行为,应向中心安全负责人报告,系 统中发现违章行为要通知各地有关安全负责人。
2. 1.4计算机系统的建设应与计算机安全工作同步进行。
2.2人事管理
2. 2.1人员审査:必须根据计算机系统所定的密级确定审査标准。 如:处理机要信息的系统,接触系统的所有工作人员必须按机要 人员的标准进行审查。
2.2・2关键岗位的人选。如:系统分析员,不但要有严格的政审, 还要考虑其现实表现、工作态度、道德修养和业务能力等方面。 尽可能保证这部分人员安全可靠。
1.1目的
随着计算机应用的广泛普及,计算机安全已成为衡量计算机系统 性能的一个重要指标。
计算机系统安全包含两部分内容,一是保证系统正常运行,避免 各种非故意的错误与损坏;二是防止系统及数据被非法利用或破 坏。两者虽有很大不同,但又相互联系,无论从管理上还是从技术 上都难以截然分开,因此,计算机系统安全是一个综合性的系统 工程。
2. 3. 6.6因系统维修或其它原因需外国籍人进入机房时,必须 始终有人陪同。
2. 3. 6.7进出口的钥匙应保存在约定的场所,由专人管理,并 明确其责任。记录最初人室者及最后离室者和钥匙交换时间。
2. 3. 6.8在无警卫的场合,必须保证室内无人时,关锁所有出 入口。
2. 3. 6.9禁止携带与上机工作无关的物品进入机房。
2.3安全管理
2.3, 1应根据系统所处理数据的秘密性和重要性确定安全等级, 井据此釆用有关规范和制定相应管理制度。
2. 3.2安全等级可分为保密等级和可靠性等级两种,系统的保密 等级与可靠性等级能够不同。
2. 3. 2.1保密等级应按有关规定划为绝密、机密、秘密。
2. 3. 2.2可靠性等级可分为三级。对可靠性要求最高的为A级,
2.1.2建立安全组织:
2. 1. 2.1安全组织由单位主要领导人领导,不能隶属于计算机 运行或应用部门。
2. 1. 2.2安全组织由管理、系统分析、软件、硬件、保卫、 审计、人事、通信等有关方面人员组成。
2. 1. 2.3安全负责人负责安全组织的具体工作。
2. 1. 2.4安全组织的任务是根据本单位的实际情况定期做风险 分析,提出相应的对策并监督实施。
识别以外,还要考虑其它出入管理措施,如:安装自动识别登记系统,采用磁卡、结构编码卡或带有徽电脑及存储器的身份卡等手段,对人员进行自动识别、登记及出入管理。
2. 3. 6.4短期工作人员或维修人员的证件,应注明有效日期,届
时收回。
2. 3. 6.5参观人员必须由主管部门办理参观手续,参观时必须 有专人陪同。
2. 3. 10.1对系统进行维护时,应采取数据保护措施。如:数据 转贮、抹除、卸下磁盘磁带,维护时安全人员必须在场等。运程 维护时,应事先通知。
2. 3.6制定严格的计算中心出入管理制度:
2. 3. 6.1计算机中心要实行分区控制,限制工作人员出入与己 无关的区域。
2.3・6・2规模较大的计算中心,可向所有工作人员,包括来自 外单位的人员,发行带有照片的身份证件,并定期进行检查或更 换。
2. 3. 6.3安全等级较高的计算机系'统,除采取身份证件进行
2.1.3安全负责人制:
2. 1. 3.:[确定安全负责人对本单位的计算机安全负全部责任。
2. 1. 3.2只有安全负责人或其指定的专人才有权存取和修改系 统授权表及系统特权口令。
2. 1. 3.3安全负责人要审阅每天的违章报告,控制台操作记录、 系统日志、系统报警记录、系统活动统计、警卫报告、加班报 表及其它与安全有关的材料。
2. 3.8制定严格的操作规程:
2. 3. 8.I系统操作人员应为专职,操作时要有两名操作人员在 场。
2. 3. 8.2对系统开发人员和系统操作人员要进行职责分离。
2. 3.9制定系统运行记录编写制度,系统运行记录包括系统名称、
姓名、操作时间、处理业务名称、故障记录及处理情况等。
2.3・10制定完备的系统维护制度:
系统运行所要求的最低限度可靠性为C级,介于中间的为B级。
2. 3.3用于重要部门的计算机系统投入运行前,应请公安机关的 计算机监察部门进行安全检査。
2. 3.4必须制定有关电源设备、空凋设备,防水防盗消防等防
范设备的管理规章制度。确定专人负责设备维护和制度实施。
2. 3.5应根据系统的重要程度,设立监视系统,分别监视设备的 运行情况或工作人员及用户的操作情况,或安装自动录象等记录 装置。对这些设备必须制定管理制度,并确定负责人。
2. 3.6・10对于带进和带出的物品,如有疑问,庞进行査验。
2. 3.7制定严格的技术文件管理制度。
2. 3. 7.1计算机系统的技术文件如说明书、手册等应妥善保存, 要有严格的借阅手续,不得损坏及丢失。
2.3・1.2应备有关计算机系统操作手册规定的文件。
2. 3. 7.3庞常备计算机系统出现故障时的替代措施及恢复顺序 所规定的文件。
本规范对涉及计算机系统安、全的各主要环节做了具体的说明, 以便计算机系统的设计、安装பைடு நூலகம்运行及监察部门有一个衡量系统 安全的依据。
1.2范围
本规范是一份指导性文件,适用于国家各部门的计算机系统。
在弓I用本规范时,要根据各单位的实际情况,选择适当的范不强求全面釆用。
二、安全组织与管理
2・1安全机构
2.1.1单位最高领导必须主管计算机安全工作。
2. 2.3所有工作人员除进行业务培训外,还必须进行相应的计算 机安全课程培训,才能进入系统工作。
2. 2.4人事部门应定期对系统所有工作人员从政治思想、业务 水平、工作表现等方面进行考核,对不适于接触信息系统的人员 要适时调离。
2. 2.5对调离人员,特别是在不情愿的情况下被调走的人员,必 须认真办理手续。除人事手续外,必须进行调离谈话,申明其调离 后的保密义务,收回所有钥匙及证件,退还全部技术手册及有关 材料。系统必须更换口令和机要锁。在调离决定通知本人的同时, 必须立即进行上述工作,不得拖延。
2. 1. 3.4安全负责人负责制定安全培训计划。
2. 1. 3.5若终端分布在不同地点,则各地都应有地区安全负责 人,可设专职,也能够兼任,并接受中心安全负责人的领导。
2. 1. 3.6各部门发现违章行为,应向中心安全负责人报告,系 统中发现违章行为要通知各地有关安全负责人。
2. 1.4计算机系统的建设应与计算机安全工作同步进行。
2.2人事管理
2. 2.1人员审査:必须根据计算机系统所定的密级确定审査标准。 如:处理机要信息的系统,接触系统的所有工作人员必须按机要 人员的标准进行审查。
2.2・2关键岗位的人选。如:系统分析员,不但要有严格的政审, 还要考虑其现实表现、工作态度、道德修养和业务能力等方面。 尽可能保证这部分人员安全可靠。