信息安全管理制度總體規(guī)劃

1、辦公精品歡迎下載安全管理制度總體規(guī)劃一、建立信息安全管理制度的必要性因為大運會對于信息系統(tǒng)高度依賴，而所面對的信息安全狀況非常復雜。病 毒木馬、非法入侵、數(shù)據(jù)泄密、服務癱瘓、漏洞攻擊等安全事件都有可能發(fā)生。 從辦公PC筆記本電腦、可移動存儲，再到 U盤以及PDA等，安全問題出現(xiàn)的 途徑也是千奇百怪。然而信息安全不僅僅是個技術問題，而是管理、章程、制度和技術手段以及 各種系統(tǒng)的結合。實現(xiàn)信息安全不僅需要采用技術措施，還需要借助于技術以外 的其它手段，如規(guī)范安全標準和進行信息安全管理。正因為如此，對大運會而言，建立信息安全管理制度，將大運會的安全風險 控制在可接受的范圍內，減少因安全事件帶來的破壞

2、和損失。 更重要的，是可以 保證大運會業(yè)務的持續(xù)性。二、建立信息安全管理制度的內容2.1安全管理機構崗位設置制度制定安全管理機構崗位制度，包括如下內容：成立指導和管理信息安全工作的領導小組；設立信息安全管理工作小組，設立安全主管、安全管理各個方面的負責人，并定義各負責人的職責；設立系統(tǒng)管理員、網(wǎng)絡管理員、安全管理員等崗位，并定義各個工作崗位的職責；人員配備制度對于人員配備的要求如下: 應配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡管理員、安全管理員等；應配備專職安全管理員，不可兼任；關鍵事務崗位應配備多人共同管理。日常安全運維制度制定日常安全運維制度，包括如下內容：定義安全管理員定期進行安全檢查的內容，例如

3、系統(tǒng)日常運行、系統(tǒng)漏 洞和數(shù)據(jù)備份等情況；定義定期進行全面安全檢查的內容，例如現(xiàn)有安全技術措施的有效性、 安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等； 制定安全檢查表格，匯總安全檢查數(shù)據(jù)，形成安全檢查報告；2.2人員安全管理人員安全各個軟硬件及服務廠商應簽署安全責任書，保證參與大運會項目的人員安全。安全管理制度學習應對各類人員進行安全管理制度學習培訓。外部人員訪問管理制度制定外部人員訪問管理制度，包括如下內容：制定外部人員訪問受控區(qū)域的申請及審批流程；定義外部人員允許訪問的區(qū)域、系統(tǒng)、設備、信息等內容。用戶信息安全手冊制定用戶信息安全手冊，包括如下內容：規(guī)范終端電腦防病毒及網(wǎng)絡接入安

4、全；規(guī)范終端電腦安全策略；規(guī)范終端用戶行為；2.3系統(tǒng)運維管理機房管理制度制定機房管理制度，包括如下內容：定義定期對機房進行維護管理的內容，例如溫度、防潮等等；定義機房安全責任人；對機房的出入、服務器的開機或關機等工作進行 管理；定義機房物理訪問，物品帶進、帶出機房等等的安全規(guī)定；資產(chǎn)管理制度制定資產(chǎn)管理制度，包括如下內容：制定信息系統(tǒng)相關的資產(chǎn)清單，例如資產(chǎn)責任人員、重要程度和所處位 置等內容；定義信息系統(tǒng)資產(chǎn)管理的責任人員；定義資產(chǎn)的重要程度，對資產(chǎn)進行標識管理；制定資產(chǎn)信息分類與標識規(guī)定；設備管理制度制定設備管理制度，包括如下內容：定義信息系統(tǒng)相關的各種設備定期檢查的內容；定義設備安全管

5、理責任人；定義軟硬件維護方面的安全規(guī)范，例如維護人員的責任、涉外維修和服 務的審批、維修過程的監(jiān)督控制等；定義終端計算機、工作站、便攜機、系統(tǒng)和網(wǎng)絡等設備的操作和使用規(guī)范；應確保信息處理設備必須經(jīng)過審批才能帶離機房或辦公地點。網(wǎng)絡安全管理制度 制定網(wǎng)絡安全管理制度，包括如下內容：定義網(wǎng)絡安全管理內容，例如對運行日志、網(wǎng)絡監(jiān)控記錄進行分析和處理工作；對網(wǎng)絡安全配置、日志保存時間、安全策略、升級與打補丁、 口令更新周期等方面的安全規(guī)定；定義軟硬件設備的軟件版本升級安全規(guī)范；定義網(wǎng)絡系統(tǒng)進行漏洞掃描的時間定期；定義設備的最小服務配置規(guī)范；定義便攜式和移動式設備的網(wǎng)絡接入的安全策略；定義撥號上網(wǎng)或其他

6、違反網(wǎng)絡安全策略的行為的檢測規(guī)范。操作系統(tǒng)安全管理制度制定系統(tǒng)安全管理制度，包括如下內容：定義系統(tǒng)的訪問控制策略；定義對系統(tǒng)進行漏洞掃描的周期；定義系統(tǒng)安裝最新補丁的流程；定義系統(tǒng)安全策略、安全配置、日志管理和日常操作流程；定義系統(tǒng)管理責任人，劃分系統(tǒng)管理員角色，明確各個角色的權限、責任和風險，權限設定應當遵循最小授權原則；定義操作手冊對系統(tǒng)進行維護，詳細記錄操作日志，嚴禁進行未經(jīng)授權 的操作；惡意代碼防范管理制度制定惡意代碼防范管理制度，包括如下內容：定義主機或者移動存儲在接入網(wǎng)絡前進行病毒檢查規(guī)范；對網(wǎng)絡和主機進行惡意代碼檢測并保存檢測記錄；定義惡意代碼庫的升級策略并進行記錄；對主機防病毒產(chǎn)品、防病毒網(wǎng)關和郵件防病毒網(wǎng)關上截獲的危險病毒或惡意代碼進行及時分析處理，并形成報告。密碼管理制度制定密碼管理制度，包括如下內容：定義密碼使用策略，使用符合國家密碼管理規(guī)定的密碼技術和產(chǎn)品備份與恢復管理制度制定備份與恢復管理制度，包括如下內容：定義備份信息的備份方式、備份頻度、存儲介質和保存期等規(guī)范； 定義需要定期備份的重要業(yè)務信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等； 制定數(shù)據(jù)的備份策略和恢復策略；制定定期執(zhí)行恢復程序，進行數(shù)據(jù)恢復演練。安全事件處置