系統(tǒng)安全管理規(guī)章制度(供參考)

1、精選優(yōu)質(zhì)文檔-傾情為你奉上××系統(tǒng)安全管理制度文檔編號(hào)版本號(hào)1.0日 期2013.05文檔控制擬 制:審 核:責(zé)任人:文檔修改記錄修改日期修改人修改內(nèi)容簡(jiǎn)述版本號(hào)2013年5月制訂1.0目錄專(zhuān)心-專(zhuān)注-專(zhuān)業(yè)1 目的為了保護(hù)××基礎(chǔ)設(shè)施和關(guān)鍵業(yè)務(wù)信息安全，防止未經(jīng)授權(quán)的訪問(wèn)，確保信息系統(tǒng)的機(jī)密性、完整性和可用性，特制定本管理辦法。2 范圍本辦法適用于××網(wǎng)絡(luò)中運(yùn)行的各類(lèi)系統(tǒng)，以及承載上述應(yīng)用系統(tǒng)的主機(jī)、數(shù)據(jù)庫(kù)、中間件、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等組成的IT基礎(chǔ)設(shè)施。3 流程3.1 物理環(huán)境安全管理3.1.1 物理環(huán)境安全的目的是保護(hù)信息系統(tǒng)的服

2、務(wù)器、網(wǎng)絡(luò)設(shè)備、存儲(chǔ)設(shè)備、終端等基礎(chǔ)設(shè)施免受非法的物理訪問(wèn)，避免自然災(zāi)害和環(huán)境危害。3.1.2 關(guān)鍵或敏感的網(wǎng)絡(luò)與信息處理設(shè)施應(yīng)被放置在安全區(qū)域內(nèi)，由指定的安全邊界予以保護(hù)。根據(jù)不同的安全需求等級(jí)，劃分不同的安全區(qū)域。3.1.3 系統(tǒng)生產(chǎn)機(jī)房的安全管理包括機(jī)房環(huán)境要求、機(jī)房門(mén)禁及出入管理、機(jī)房保密要求、機(jī)房值班人員管理要求。3.2 信息資產(chǎn)安全管理3.2.1 資產(chǎn)安全管理信息資產(chǎn)安全的目的是以可以接受的成本，確認(rèn)、控制、排除可能影響信息資產(chǎn)的安全風(fēng)險(xiǎn)或?qū)⑵鋷?lái)的危害最小化。系統(tǒng)信息資產(chǎn)安全的主要內(nèi)容包括安全管理和風(fēng)險(xiǎn)評(píng)估。3.2.2 數(shù)據(jù)安全管理3.2.2.1 數(shù)據(jù)安全管理的目的是加強(qiáng)

3、5;×系統(tǒng)數(shù)據(jù)安全保護(hù)，規(guī)范相關(guān)的開(kāi)發(fā)、運(yùn)維、使用和審計(jì)流程，對(duì)數(shù)據(jù)泄漏及篡改做到事前預(yù)防、事中控制和事后審計(jì)，確?？蛻?hù)和企業(yè)經(jīng)營(yíng)核心數(shù)據(jù)的高機(jī)密性。3.2.2.2 數(shù)據(jù)安全管理主要包括數(shù)據(jù)安全分級(jí)標(biāo)準(zhǔn)、保護(hù)標(biāo)準(zhǔn)、安全保護(hù)方案的制定和部署、訪問(wèn)控制和使用規(guī)定。3.2.3 風(fēng)險(xiǎn)評(píng)估3.2.3.1 風(fēng)險(xiǎn)評(píng)估的目的是通過(guò)對(duì)IT系統(tǒng)的安全狀況進(jìn)行評(píng)估，及時(shí)發(fā)現(xiàn)風(fēng)險(xiǎn)，并提出防范建議。3.2.3.2 安全管理員根據(jù)管理需要，組織第三方人員進(jìn)行風(fēng)險(xiǎn)評(píng)估，提交風(fēng)險(xiǎn)評(píng)估報(bào)告，提出風(fēng)險(xiǎn)防范控制建議。3.2.3.3 安全管理員應(yīng)組織相關(guān)人員對(duì)風(fēng)險(xiǎn)評(píng)估報(bào)告進(jìn)行評(píng)審，確定需執(zhí)行的防范措施。防范措施的落實(shí)情況應(yīng)

4、做為下一次的風(fēng)險(xiǎn)評(píng)估的重點(diǎn)內(nèi)容之一。3.2.3.4 風(fēng)險(xiǎn)評(píng)估應(yīng)至少每年進(jìn)行一次。3.3 安全訪問(wèn)控制管理3.3.1 安全訪問(wèn)控制是指基于業(yè)務(wù)系統(tǒng)的安全需求對(duì)系統(tǒng)和數(shù)據(jù)的訪問(wèn)進(jìn)行控制，包括限制訪問(wèn)權(quán)限與能力，限制使用網(wǎng)絡(luò)與相關(guān)系統(tǒng)及存儲(chǔ)數(shù)據(jù)的過(guò)程，包括××業(yè)務(wù)系統(tǒng)的接入管理，系統(tǒng)帳號(hào)口令和權(quán)限管理。3.3.2 接入管理的目的是防范系統(tǒng)及終端的接入變更給生產(chǎn)環(huán)境帶來(lái)的風(fēng)險(xiǎn)，規(guī)范訪問(wèn)資源的行為，確保信息網(wǎng)絡(luò)安全。主要包括接入和退網(wǎng)的流程規(guī)范要求。3.3.3 帳號(hào)口令和權(quán)限管理的目的是保證各個(gè)系統(tǒng)的帳號(hào)、口令和權(quán)限的合理分配和安全管理，降低由于盜用、濫用、越權(quán)等威脅帶來(lái)的風(fēng)險(xiǎn)，切實(shí)

5、保護(hù)公司和客戶(hù)權(quán)益。主要包括密碼口令管理規(guī)則、各級(jí)帳號(hào)的申請(qǐng)、審批、取消流程。3.4 系統(tǒng)開(kāi)發(fā)安全管理3.4.1 系統(tǒng)開(kāi)發(fā)安全是指在系統(tǒng)開(kāi)發(fā)設(shè)計(jì)、實(shí)施、優(yōu)化和驗(yàn)收時(shí)充分考慮安全性和安全需求，確保整個(gè)應(yīng)用程序系統(tǒng)的可靠性和穩(wěn)定性，降低系統(tǒng)崩潰對(duì)重要數(shù)據(jù)造成的影響。3.4.2 系統(tǒng)開(kāi)發(fā)設(shè)計(jì)需遵循安全技術(shù)規(guī)范，包括××安全技術(shù)規(guī)范。3.4.3 項(xiàng)目集成規(guī)范評(píng)審及設(shè)計(jì)評(píng)審階段，安全管理員必須組織進(jìn)行安全相關(guān)評(píng)審，未達(dá)到安全技術(shù)規(guī)范要求的項(xiàng)目，由集成商和軟件開(kāi)發(fā)商進(jìn)行整改，直至達(dá)到要求。3.4.4 應(yīng)用系統(tǒng)開(kāi)發(fā)任務(wù)外包給第三方時(shí)，應(yīng)將安全要求在雙方認(rèn)可的合同或協(xié)議中給予明確規(guī)定。3.

6、4.5 在系統(tǒng)開(kāi)發(fā)過(guò)程中要求開(kāi)發(fā)設(shè)施、測(cè)試設(shè)施與實(shí)際生產(chǎn)設(shè)施的分離，防止開(kāi)發(fā)人員和測(cè)試人員對(duì)生產(chǎn)設(shè)施構(gòu)成安全威脅，防止開(kāi)發(fā)人員對(duì)程序進(jìn)行惡意或非惡意的破壞。3.4.6 系統(tǒng)在正式上線前應(yīng)進(jìn)行安全評(píng)估測(cè)試，驗(yàn)證應(yīng)用系統(tǒng)是否滿(mǎn)足安全技術(shù)規(guī)范要求，不滿(mǎn)足安全要求則不允許上線。3.4.7 系統(tǒng)在正式上線后應(yīng)進(jìn)行WEB安全掃描，根據(jù)掃描結(jié)果組織安全加固。3.4.8 針對(duì)系統(tǒng)上線前后安全評(píng)估發(fā)現(xiàn)的問(wèn)題，根據(jù)相關(guān)管理辦法進(jìn)行考核。3.4.9 在系統(tǒng)開(kāi)發(fā)和維護(hù)階段要對(duì)程序源代碼進(jìn)行嚴(yán)格的安全控制，包括訪問(wèn)控制和變更控制，開(kāi)發(fā)設(shè)計(jì)相關(guān)的文檔及程序代碼作為公司的商業(yè)機(jī)密，未經(jīng)公司認(rèn)可不得對(duì)外泄漏。3.5 日常運(yùn)營(yíng)

7、安全管理3.5.1 防病毒管理3.5.1.1 安全管理員負(fù)責(zé)建立集中管理的防病毒體系，××業(yè)務(wù)系統(tǒng)接入設(shè)備統(tǒng)一部署客戶(hù)端的防病毒軟件；3.5.1.2 安全維護(hù)員檢查全省所有防病毒服務(wù)器的運(yùn)行狀態(tài)和升級(jí)病毒代碼庫(kù)，發(fā)布病毒預(yù)警通知和執(zhí)行防范措施；3.5.1.3 安全維護(hù)員審計(jì)防病毒日志，對(duì)終端防病毒情況進(jìn)行分析、處理和考核，并將防病毒考核結(jié)果提交安全管理員，由安全管理員分析確定；3.5.1.4 安全管理員在評(píng)估防病毒產(chǎn)品新版本可靠性和風(fēng)險(xiǎn)后，組織和安排相關(guān)人員及時(shí)完成公司防病毒服務(wù)器的軟件升級(jí)；3.5.1.5 系統(tǒng)管理員配合安全維護(hù)員完成防病毒軟件的安裝和病毒的查殺。3.5.

8、2 防火墻管理3.5.2.1 安全管理員負(fù)責(zé)防火墻部署方案的設(shè)計(jì)及防火墻策略的管理；3.5.2.2 安全維護(hù)員負(fù)責(zé)防火墻設(shè)備的日常維護(hù)及防火墻策略的配置；3.5.2.3 防火墻策略變更需通過(guò)變更流程執(zhí)行，經(jīng)安全管理員審批后，由安全維護(hù)員完成配置，并及時(shí)更新防火墻策略文檔；3.5.2.4 安全管理員每月審核防火墻策略，定期組織不符合安全域管理的策略進(jìn)行評(píng)審，制定改進(jìn)計(jì)劃并督促改進(jìn)，對(duì)無(wú)法進(jìn)行整改的策略明確說(shuō)明理由，提交安全負(fù)責(zé)人審核。3.5.2.5 安全維護(hù)員每月分析防火墻安全日志，提交安全事件分析報(bào)告，由安全管理員審核。3.5.3 入侵檢測(cè)及防護(hù)管理3.5.3.1 安全維護(hù)員實(shí)時(shí)監(jiān)控入侵檢測(cè)及

9、防護(hù)系統(tǒng)的報(bào)警信息，發(fā)現(xiàn)問(wèn)題及時(shí)進(jìn)行分析處理；3.5.3.2 安全維護(hù)員應(yīng)整理入侵檢測(cè)特征庫(kù)的發(fā)布信息，提交安全管理員確認(rèn)，如需更新，由安全管理員負(fù)責(zé)部署入侵檢測(cè)特征庫(kù)升級(jí)的實(shí)施；3.5.3.3 安全維護(hù)員每月提交入侵檢測(cè)事件分析報(bào)告，安全管理員根據(jù)報(bào)告制定策略調(diào)整方案并安排部署實(shí)施。3.5.4 安全補(bǔ)丁管理3.5.4.1 安全補(bǔ)丁等級(jí)原則上可分為三級(jí)：緊急、重要、一般，3.5.4.2 安全維護(hù)員負(fù)責(zé)補(bǔ)丁管理系統(tǒng)的維護(hù)。3.5.4.3 安全管理員和系統(tǒng)管理員進(jìn)行核實(shí)，確認(rèn)需要加載的補(bǔ)丁，系統(tǒng)管理員進(jìn)行補(bǔ)丁加載，安全維護(hù)員進(jìn)行核查和結(jié)果通報(bào)。3.5.5 安全評(píng)估與加固管理安全評(píng)估與加固包括新入網(wǎng)

10、設(shè)備安全評(píng)估與加固和在線系統(tǒng)例行安全評(píng)估和加固兩種：3.5.5.1 新入網(wǎng)設(shè)備安全評(píng)估與加固² 設(shè)備入網(wǎng)時(shí)，必須根據(jù)××安全配置要求和××安全掃描及加固管理辦法要求對(duì)新入網(wǎng)系統(tǒng)進(jìn)行初步加固。² 安全維護(hù)員對(duì)入網(wǎng)設(shè)備進(jìn)行掃描與評(píng)估，提交評(píng)估報(bào)告和安全加固建議。² 安全管理員組織協(xié)調(diào)進(jìn)行安全加固，并對(duì)加固情況進(jìn)行復(fù)核，直至符合安全基線要求。² 未達(dá)到安全基線要求的系統(tǒng)原則上不允許上線，因特殊原因必須上線的系統(tǒng)，需明確說(shuō)明理由并制定改進(jìn)計(jì)劃，由安全負(fù)責(zé)人審核后方可上線，安全管理員督促進(jìn)行整改。3.5.5.2 在線生產(chǎn)系統(tǒng)

11、例行評(píng)估和加固² 安全管理員定期根據(jù)××安全配置要求和××安全掃描及加固管理辦法要求，組織在線系統(tǒng)的安全評(píng)估與加固工作，至少每年進(jìn)行一次。² 安全維護(hù)員負(fù)責(zé)安全掃描與評(píng)估，提交安全掃描報(bào)告與安全加固建議。² 安全管理員根據(jù)安全掃描報(bào)告與安全加固建議制定安全加固方案，召集安全維護(hù)員、系統(tǒng)管理員、應(yīng)用管理員等相關(guān)人員進(jìn)行評(píng)審，包括加固方案的可行性以及加固對(duì)系統(tǒng)的影響。² 安全管理員根據(jù)評(píng)審結(jié)果組織安全加固，系統(tǒng)管理員、應(yīng)用管理員根據(jù)加固方案進(jìn)行加固，直至符合安全基線要求。² 未達(dá)到安全基線要求，因特殊原因無(wú)法

12、進(jìn)行加固的內(nèi)容需要說(shuō)明理由，并制定改進(jìn)計(jì)劃，由安全負(fù)責(zé)人審核，安全管理員督促進(jìn)行整改。3.5.5.3 安全管理員每年組織更新各系統(tǒng)安全加固技術(shù)規(guī)范，作為各系統(tǒng)實(shí)施安全加固的依據(jù)。3.5.6 終端安全管理3.5.6.1 安全管理員制定終端管理系統(tǒng)的安全策略，安全維護(hù)員進(jìn)行具體的安全策略配置；3.5.6.2 網(wǎng)絡(luò)系統(tǒng)管理員負(fù)責(zé)對(duì)允許接入局域網(wǎng)終端進(jìn)行資源分配；3.5.6.3 安全維護(hù)員完成終端接入的用戶(hù)帳號(hào)的創(chuàng)建、刪除和權(quán)限設(shè)置，并進(jìn)行終端資產(chǎn)的錄入更新；3.5.6.4 ××安全維護(hù)員對(duì)曾發(fā)生過(guò)安全事件的終端進(jìn)行復(fù)核，作為對(duì)××終端管理工作的考核依據(jù)。3.5

13、.7 備份管理3.5.7.1 備份管理包括備份策略的制定、備份作業(yè)執(zhí)行、恢復(fù)性測(cè)試和備份介質(zhì)管理；3.5.7.2 備份管理具體內(nèi)容參見(jiàn)××數(shù)據(jù)備份管理辦法。安全管理的審計(jì)稽核3.5.8 安全管理審計(jì)稽核的目的是保證安全管理相關(guān)策略、流程和要求的有效執(zhí)行，通過(guò)基于操作日志的安全審計(jì)和日常運(yùn)營(yíng)安全執(zhí)行情況的審計(jì)及時(shí)發(fā)現(xiàn)執(zhí)行問(wèn)題和安全隱患。3.5.9 基于操作日志的安全審計(jì)3.5.9.1 目的是為有效監(jiān)督對(duì)IT系統(tǒng)敏感數(shù)據(jù)的訪問(wèn)和關(guān)鍵操作行為，及時(shí)發(fā)現(xiàn)違規(guī)操作和安全隱患，確保IT系統(tǒng)的安全性、完整性、可用性。3.5.9.2 安全審計(jì)管理主要包括審計(jì)的基礎(chǔ)要求、審計(jì)內(nèi)容和規(guī)則、審計(jì)流程3.5.10 日常運(yùn)營(yíng)安全審計(jì)3.5.10.1 安全審計(jì)員應(yīng)每月對(duì)日常運(yùn)營(yíng)安全管理要求的執(zhí)行情況進(jìn)行審計(jì)稽核。3.5.10.2 日常運(yùn)營(yíng)安全審計(jì)應(yīng)包括以下內(nèi)容：² n 安全事件處理規(guī)范性² n 防病毒維護(hù)管理規(guī)范性 ² n 防火墻維護(hù)管理規(guī)范性 ² n 入侵檢測(cè)維護(hù)管理規(guī)范性 ² n 安全補(bǔ)丁維護(hù)管理規(guī)范性 ² n 評(píng)估加固工作規(guī)范性 3.6 安全管理衡量指標(biāo)3.