信息安全管理人员的要求

信息安全管理人员的要求信息安全办理人员的要求一、网络安全办理员主要负责全公司网络（包含局域网、广域网）的系统安全性。二、 负责日常操作系统、网管系统、邮件系统的安全补丁、漏洞检测及修补、病毒防治等工作。三、 网络安全管-理-员应经常保持对最新技术的掌握，实时了解internet的动向，做到预防为主。四、 良好周密的日志记录以及细致的分析经常是预测攻击，定位攻击，以及遭受攻击后追查攻击者的有力兵器。察觉到网络处于被攻击状态后，网络安全管理-员应确定其身份，并对其发出警告，提前避免可能的网络犯罪，若对方不听劝告，在庇护系统安全的情况下可做善意阻击并向主管领导报告请示。五、 在做好本职工作的同时，应协助机房办理人员进行机房办理，严格按照机房制度执行日常维护。六、 每月安全办理人员应向主管人员提交当月值班及事件记录，并对系统记录文件保留收档，以备查阅。具体文件及方法见附件。附件：在nt中是使用administrativetools菜单中eventviewer查看系统的system、security、application日志文件。对netware而言，错误日志是sys$log.err文件，通过syscon菜单中supervisoroptions下viewfileservererrorlog不雅察记录，别的文卷错误日志文件是各文卷中的vol$log.log以及事务跟踪处理系统错误日志文件sys:文卷中的tts$log.err文件。七、 unix中各项日志包罗/usr/adm目录下的系统错误登记文件message、使用su命令的记录文件sulog、每个用户记录上次注册时间的登记文件lastlog、系统中注册用户的有关信息文件wtmp、每个用户所执行命令的内容项文件acct以及/etc目录下当前注册用户的有关信息文件utmp和其他应用程序产生的日志文件。对于其中的一些日志文件，可以采用who或w命令查看当前系统的登录使用者（xenix系统中还可以用whodo命令确定当前用户的行为）；last命令查看以前的登录情况，这些命令都可以合并使用grep进行条件控制选择过滤；用find查看文件及其属主，特别监控具有根拜候权的进程及文件以及检查开机文件/etc/nf、/etc/rc.local、/etc/passwd和corn或at运行的文件，并用corntab—l与corntab—r命令对用户的corntab文件进行列出与删除办理;使用ls—lr生成主检查表，并按期生成新表，使用diff命令进行比力，并使检查通过的新表成为新的主检查表，直到下一次检查为止。强烈建议在nf中注释掉所有的r打头的命令文件，以及去掉/etc/hosts.equiv中的所有项并不允许用户设立个人的.rhosts文件，使可信主机不予设立或为空以加强系统的安全。一、 出入办理1、 严禁非机房工作人员进入机房，特殊情况需经中心值班负责人批准，并认真填写登记表后方可进入。2、 进入机房人员应遵守机房办理制度，更换专用工作鞋；机房工作人员必需穿着工作服。3、 进入机房人员不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质等对设备正常运行构成威胁的物品。二、 安全办理1、操作人员随时监控中心设备运行状况，发现异常情况应立即按照预案规程进行操作，并及时上报和详细记录。2、 非机房工作人员未经许可不得擅自上机操作和对运行设备及各种配置进行更改。3、 严格执行密码办理规定，对操作密码按期更改，超级用户密码由系统管理-员掌握。4、 机房工作人员应恪守保密制度，不得擅自泄露中心各种信息资料与数据。5、 中心机房内严禁吸烟、喝水、吃食物、嬉戏和进行剧烈运动，保持机房安静。6、 不按期对机房内设置的消防器材、监控设备进行检查，以包管其有效性。三、 操作办理1、 中心机房的数据实行双人作业制度；操作人员遵守值班制度，不得擅自脱岗。2、 值班人员必需认真、如实、详细填写《机房日志》等各种登记簿，以备后查。3、 严格按照每日预制操作流程进行操作，对新上业务及特殊情况需要变动流程的应事先进行详细安排并书面报负责人批准签字后方可执行；所有操作变动必需有存档记录。4、 每日对机房环境进行清洁，以保持机房整洁；每周进行一次大清扫，对机器设备吸尘清洁。5、 值班人员必需密切监视中心设备运行状况以及各网点运行情况，确保安全、高效运行。6、 严格按规章制度要求做好各种数据、文件的备份工作。中心办事器数据库要按期进行双备份，并严格实行异地存放、专人保管。所有重要文档按期整理装订，专人保管，以备后查。四、 运行办理1、 中心机房和开发调试机房隔离分设。未经负责人批准，不得在中心机房设备上编写、修改、更换各类软件系统及更改设备参数配置。2、 各类软件系统的维护、增删、配置的’更改，各类硬件设备的添加、更换必需经负责人书面批准后方可进行；必需按规定进行详细登记和记录，对各类软件、现场资料、档案整理存档。3、 为确保数据的安全保密，对各业务单位、业务部门送交的数据及处理后的数据都必需按有关规定履行交接登记手续。4、 部门负责人应按期与不按期对制度的执行情况进行检查，督促各项制度的落实，并作为人员考核之依据。数据中心信息安全办理及管控要求2015-09-0420:31I#2楼一、数据中心信息安全办理总体要求1、 信息安全办理架构与人员能力要求1.1信息安全办理架构IDC在当前办理组织架构基础上，建立信息安全办理委员会，涵盖信息安全办理、应急响应、审计、技术实施等不同职责，并包管职责清晰与分离，并形成文件。1.2人员能力具备标准化信息安全办理体系内部审核员、CISP（CertifiedInformationSecurityProfessional，国家注册信息安全专家）等相关资质人员。5星级IDC至少应具备一名合格的标准化信息安全办理内部审核员、一名标准化主任审核员。4星级IDC至少应至少具备一名合格的标准化信息安全办理内部审核员2、 信息安全办理体系文件要求，按照IDC业务目标与当前实际情况，建立完善而分层次的IDC信息安全办理体系及相应的文档，包含但不限于如下方面：2.1信息安全办理体系方针文件包罗IDC信息安全办理体系的范围，信息安全的目标框架、信息安全工作的总标的目的和原则，并考虑IDC业务需求、国家法律法规的要求、客户以及协议要求。2.2风险评估内容包罗如下流程：识别IDC业务范围内的信息资产及其责任人;识别资产所面临的威胁；识别可能被威胁利用的脆弱点;识别资产保密性、完整性和可用性的丧失对IDC业务造成的影响;评估由主要威胁和脆弱点导致的IDC业务安全破坏的现实可能性、对资产的影响和当前所实施的控制办法;对风险进行评级。2.3风险处理内容包罗：与IDC办理层确定接受风险的准则，确定可接受的风险级别等;建立可续的风险处理策略：采用适当的控制办法、接受风险、避免风险或转移风险;控制目标和控制办法的选择和实施，需满足风险评估和风险处理过程中所识别的安全要求，并在满足法律法规、客户和协议要求的基础上达到最佳成本效益。2.4文件与记录控制明确文件制定、发布、批准、评审、更新的流程;确保文件的更改和现行修订状态的标识、版本控制、识别、拜候控制有完善的流程;并对文件资料的传输、贮存和最终销毁明确做出规范。记录控制内容包罗:保留信息安全办理体系运行过程执行的记录和所有发生的与信息安全有关的重大安全事件的记录;记录的标识、贮存、庇护、检索、保留期限和处置所需的控制办法应形成文件并实施。2.5内部审核IDC按照计划的时间间隔进行内部ISMS审核，以确定IDC的信息安全办理的控制目标、控制办法、过程和程序符标准化标准和相关法律法规的要求并得到有效地实施和保持。五星级IDC应至少每年1次对信息安全办理进行内部审核。四星级IDC应至少每年1次对信息安全办理进行内部审核。2.6纠正与预防办法IDC建立流程，以消除与信息安全办理要求不符合的原因及潜在原因，以防止其发生，并形成文件的纠正办法与预防办法程序无2.7控制办法有效性的测量定义如何测量所选控制办法的有效性;规定如何使用这些测量办法，对控制办法的有效性进行测量(或评估)。2.8办理评审IDC办理层按计划的时间间隔评审内部信息安全办理体系，以确保其持续的适宜性、充分性和有效性，最终符合IDC业务要求。五星级IDC办理层应至少每年1次对IDC的信息安全办理体系进行评审四星级IDC办理层应至少每年1次对IDC的信息安全办理体系进行评审。2.9适用性声明适用性声明必需至少包罗以下3项内容：IDC所选择的控制目标和控制办法，及其选择的理由;当前IDC实施的控制目标和控制办法;标准化附录A中任何控制目标和控制办法的删减，以及删减的正当性理由。2.10业务连续性过业务影响分析，确定IDC业务中哪些是关键的业务进程，分出紧急先后次序；确定可以导致业务中断的主要灾难和安全失效、确定它们的影响程度和恢复时间；进行业务影响分析，确定恢复业务所需要的资源和成本，决定对哪些项目制作业务连续性计划(BCP)/灾难恢复计划(DRP)。2.11其它相关程序别的，还应建立包罗物理与环境安全、信息设备办理、新设施办理、业务连续性办理、灾难恢复、人员办理、第三方和外保证理、信息资产办理、工作环境安全办理、介质处理与安全、系统开发与维护、法律符合性办理、文件及材料控制、安全事件处理等相关流程与制度。二、信息安全管控要求1、 安全方针信息安全方针文件与评审建立IDC信息安全方针文件需得到办理层批准、发布并传达给所有员工和外部相关方。至少每年一次或当重大变化发生时进行信息安全方针评审。2、 信息安全组织2.1内部组织2.1.1信息安全协调、职责与授权信息安全办理委员会包含IDC相关的不同部门的代表;所有的信息安全职责有明确成文的规定;对新信息处理设施，要有办理授权过程。2.1.2保密合同IDC所有员工须签署保密合同，保密内容涵盖IDC内部敏感信息;保密合同条款每年至少评审一次。2.1.3权威部门与利益相关团体的联系与相关权威部门（包罗，公安部门、消防部门和监管部门）建立沟通管道;与安全专家组、专业协会等相关团体进行沟通。2.1.4独立评审参考“信息安全办理体系要求”第5和第8条关于办理评审、内部审核的要求，进行独立的评审。审核员不能审核评审本身的工作;评审结果交办理层审阅。2.2外方办理2.2.1外部第三方的相关风险的识别将外部第三方（设备维护商、办事商、顾问、外包方临时人员、实习学生等对IDC信息处理设施或信息纳入风险评估过程，考虑内容应包罗：需要拜候的信息处理设施、拜候类型（物理、逻辑、网络）、涉及信息的价值和敏感性，及对业务运行的关键程度、拜候控制等相关因素。建立外部第三方信息安全办理相关办理制度与流程。2.2.2客户有关的安全问题针对客户信息资产的庇护，按照协议以及相关法律、法规要求，进行恰当的庇护。2.2.3处理第三方合同中的安全问题涉及拜候、处理、交流:或办理）IDC及IDC客户的信息或信息处理设施的第三方合同，需涵盖所有相关的安全要求。3、 信息资产办理3.1资产办理职责3.1.1资产清单与责任人IDC对所有信息资产度进行识别，将所有重要资产都进行登记、建立清单文件并加以维护。IDC中所有信息和信息处理设施相关重要资产需指定责任人。3.1.2资产使用指定信息与信息处理设施使用相关规则，形成了文件并加以实施。3.2信息资产分类3.2.1资产分类办理按照信息资产对IDC业务的价值、法律要求、敏感性和关键性进行分类，建立一个信息分类指南。信息分类指南应涵盖外来的信息资产，尤其是来自客户的信息资产。3.2.2信息的标识表记标帜和处理按照IDC所采纳的分类指南建立和实施一组合适的信息标识表记标帜和处理程序。4、 人力资源安全这里的人员包罗IDC雇员、承包方人员和第三方等相关人员。4.1信息安全角色与职责人员职责说明表现信息安全相关角色和要求。4.2背景调查人员任职前按照职责要求和岗位对信息安全的要求，采取必要的背景验证。4.3雇用的条款和条件人员雇佣后，应签署必要的协议，明确雇佣的条件和条款，并包含信息安全相关要求。4.4信息安全意识、教育和培训入职新员工培训应包含IDC信息安全相关内容。至少每年一次对人员进行信息安全意识培训。4.5安全违纪处理针对安全违规的人员，建立正式的纪律处理程序。4.6雇佣的终止与变动IDC应清晰规定和分配雇用终止或雇用变动的职责;雇佣合同终止于变动时，及时收回相关信息资产，并调整或撤销相关拜候控制权限。5、 物理与环境安全5.1安全区域5.1.1边界安全与出入口控制按照边界内资产的安全要求和风险评估的结果对IDC物理区域进行分区、分级办理，不同区域边界与出入口需建立卡控制的入口或有人办理的接待台。入侵检测与报警系统覆盖所有门窗和出入口，并按期检测入侵检测系统的有效性。机房大楼应有7x24小时的专业保安人员，出入大楼需登记或持有通行卡。机房安全出口不少于两个，且要保持畅通，不成放置杂物。5星级IDC：出入记录至少保留6个月，视频监控至少保留1个月。4星级IDC：出入记录至少保留6个月，视频监控至少保留1个月。5.1.2IDC机房环境安全记录拜候者进入和离开IDC的日期和时间，所有的拜候者要需要经过授权。建立访客控制程序，对办事商等外部人员实现有效管控。所有员工、办事商人员和第三方人员以及所有拜候者进入IDC