ISMSB信息安全管理标准规范VIP

信息安全管理制度规范样式编号ISMS-B-编制审核同意密级内部版本V1.0公布日期8月目录1 信息安全规范 31.1 总则 31.2 环境管理 31.3 资产管理 51.4 介质管理 61.5 设备管理 61.5.1 总则 61.5.2 系统主机维护管理措施 61.5.3 涉密计算机安全管理措施 91.6 系统安全管理 91.7 恶意代码防范管理 111.8 变更管理 111.9 安全事件处理 111.10 监控管理和安全管理中心 121.11 数据安全管理 121.12 网络安全管理 131.13 操作管理 151.14 安全审计管理措施 161.15 信息系统应急预案 161.16 附表 17

信息安全规范总则为明确岗位职责，规范操作步骤，确保企业信息系统安全，依据《中国计算机信息系统安全保护条例》等相关要求，结合企业实际，特制订本制度。信息系统是指由计算机及其相关和配套设备、设施（含网络）组成，根据一定应用目标和规则对信息进行采集、加工、存放、传输、检索等处理人机系统。信息安全系统遵照安全性、可行性、效率性、可负担性设计标准，将从物理安全、网络安全、支撑层系统安全、应用层系统安全、数据及资料安全几方面进行布署实施。环境管理信息机房由用户安排指定，但应该满足以下要求：1、物理位置选择(G3)序号等级保护要求1机房应选择在含有防震、防风和防雨等能力建筑内。2机房场地应避免设在建筑物高层或地下室，和用水设备下层或隔壁,假如不可避免，应采取有效防水方法。2、防雷击(G3)序号等级保护要求1机房建筑应设置避雷装置。2应设置防雷保安器，预防感应雷。3机房应设置交流电源地线。3、防火(G3)序号等级保护要求1机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火。2机房及相关工作房间和辅助房应采取含有耐火等级建筑材料。3机房应采取区域隔离防火方法，将关键设备和其它设备隔离开。4、防水和防潮(G3)序号等级保护要求1主机房尽可能避开水源，和主机房无关给排水管道不得穿过主机房,和主机房相关给排水管道必需有可靠防渗漏方法；2应采取方法预防雨水经过机房窗户、屋顶和墙壁渗透。5、防静电(G3)序号等级保护要求1关键设备应采取必需接地防静电方法。2机房应采取防静电地板。6、温湿度控制(G3)序号等级保护要求1机房应设置温、湿度自动调整设施，使机房温、湿度改变在设备运行所许可范围之内。7、电磁防护(S2)序号等级保护要求1应采取接地方法预防外界电磁干扰和设备寄生耦合干扰。2电源线和通信线缆应隔离铺设，避免相互干扰。3应对关键设备和磁介质实施电磁屏蔽。8、物理访问控制(G3)序号等级保护要求1机房各出入口应安排专员值守或配置电子门禁系统，控制、判别和统计进入人员。2需进入机房来访人员应经过申请和审批步骤，并限制和监控其活动范围。3应对机房划分区域进行管理，区域和区域之间应用物理方法隔断，在关键区域前设置交付或安装等过渡区域；4关键区域应配置电子门禁系统，控制、判别和统计进入人员。9、防偷窃和防破坏(G3)序号等级保护要求1应将关键设备放置在机房内。2应将设备或关键部件进行固定，并设置显著不易除去标识。3应将通信线缆铺设在隐蔽处，可铺设在地下或管道中。4应对介质分类标识，存放在介质库或档案室中。由用户指定专门部门或人员定时对机房供配电、空调、温湿度控制等设施进行维护管理。出入机房要有登记统计。非机房工作人员不得进入机房。外来人员进机房参观需经保密办同意，并有专员陪同。进入机房人员不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质、食品等对设备正常运行组成威胁物品。严禁在机房内吸烟。严禁在机房内堆放和工作无关杂物。机房内应按要求配置足够量消防器材，并做到三定（定位存放、定时检验、定时更换）。加强防火安全知识教育，做到会使用消防器材。加强电源管理，严禁乱接电线和违章用电。发觉火险隐患，立即汇报，并采取安全方法。机房应保持整齐有序，地面清洁。设备要排列整齐，布线要正规，仪表要齐备，工具要到位，资料要齐全。机房门窗不得随意打开。天天上班前和下班后对机房做日常巡检，检验机房环境、电源、设备等并做好对应统计（见表一）。对临时进入机房工作人员，不再发放门禁卡，在向用户单位保密部门提出申请得到同意后，由安全保密管理员陪同进入机房工作。资产管理编制并保留和信息系统相关资产清单，包含资产责任部门、关键程度和所处位置等内容。要求信息系统资产管理责任人员或责任部门，并规范资产管理和使用行为。依据资产关键程度对资产进行标识管理。对信息分类和标识方法作出要求，并对信息使用、传输和存放等进行规范化管理。介质管理建立介质安全管理制度，对介质存放环境、使用、维护和销毁等方面作出要求。建立移动存放介质安全管理制度，对移动存放介质使用进行管控。确保介质存放在安全环境中，对各类介质进行控制和保护，并实施存放环境专员管理。对介质在物理传输过程中人员选择、打包、交付等情况进行控制，对介质归档和查询等进行登记统计，并依据存档介质目录清单定时盘点。对存放介质使用过程、送出维修和销毁等进行严格管理，对带出工作环境存放介质进行内容加密和监控管理，对送出维修或销毁介质应首先清除介质中敏感数据，对保密性较高存放介质未经同意不得自行销毁。依据数据备份需要对一些介质实施异地存放，存放地环境要求和管理方法应和当地相同对关键数据或软件采取加密介质存放，并依据所承载数据和软件关键程度对介质进行分类和标识管理。设备管理总则由系统管理员对信息系统相关多种设备（包含备份和冗余设备）、线路等进行定时维护管理。建立基于申报、审批和专员负责设备安全管理制度。建立明确维护人员责任、涉外维修和服务审批、维修过程监督控制管理制度。对终端计算机、工作站、便携机、系统和网络等设备操作和使用进行规范化管理，按操作规程实现关键设备（包含备份和冗余设备）开启/停止、加电/断电等操作确保信息处理设备必需经过审批才能带离机房或办公地点。系统主机维护管理措施系统主机由系统管理员负责维护，未经许可任何人不得对系统主机进行更改操作。依据系统设计方案和应用系统运行要求进行主机系统安装、调试，建立系统管理员账户，设置管理员密码，建立用户账户，设置系统策略、用户访问权利和资源访问权限，并依据安全风险最小化标准及运行效率最大化标准配置系统主机。建立系统设备档案（见表二）、包含系统主机具体技术参数，如：品牌、型号、购置日期、序列号、硬件配置信息、软件配置信息、网络配置信息、系统配置信息，妥善保管系统主机保修卡，在系统主机软硬件信息发生变更时对设备档案进行立即更新。每七天修改系统主机管理员密码，密码长度不得低于八位，要求有数字、字母并区分大小写。每七天经过系统性能分析软件对系统主机进行运行性能分析，并做具体统计（见表四），依据分析情况对系统主机进行系统优化，包含磁盘碎片整理、系统日志文件清理，系统升级等。每七天对系统日志、系统策略、系统数据进行备份，做具体统计（见表四）。天天检验系统主机各硬件设备是否正常运行，并做具体统计（见表五）。天天检验系统主机各应用服务系统是否运行正常，并做具体统计（见表五）。天天统计系统主机运行维护日志，对系统主机运行情况进行总结。在系统主机发生故障时应立即通知用户，用最短时间处理故障，确保系统主机立即正常运行，并对系统故障情况做具体统计（见表六）。每个月对系统主机运行情况进行总结、并写出系统主机运行维护月报，上报保密办。系统主机信息安全等级保持要求：1、身份判别序号等级保护要求1对登录操作系统用户进行身份标识和判别。2操作系统和数据库系统管理用户身份判别信息应不易被冒用，口令复杂度应满足要求并定时更换。口令长度不得小于8位，且为字母、数字或特殊字符混合组合，用户名和口令严禁相同。3启用登录失败处理功效，可采取结束会话、限制非法登录次数和自动退出等方法。限制同一用户连续失败登录次数。4当对服务器进行远程管理时，采取必需方法，预防判别信息在网络传输过程中被窃听。5为操作系统和数据库系统不一样用户分配不一样用户名，确保用户名含有唯一性。2、访问控制序号等级保护要求1启用访问控制功效，依据安全策略控制用户对资源访问。2依据管理用户角色分配权限，实现管理用户权限分离，仅授予管理用户所需最小权限。3实现操作系统和数据库系统特权用户权限分离。4限制默认帐户访问权限，重命名系统默认帐户，修改这些帐户默认口令。5立即删除多出、过期帐户，避免共享帐户存在。3、剩下信息保护序号等级保护要求1确保操作系统和数据库系统用户判别信息所在存放空间，被释放或再分配给其它用户前得到完全清除，不管这些信息是存放在硬盘上还是在内存中。2确保系统内文件、目录和数据库统计等资源所在存放空间，被释放或重新分配给其它用户前得到完全清除。4、入侵防范序号等级保护要求1操作系统应遵照最小安装标准，仅安装必需组件和应用程序，并经过设置升级服务器等方法保持系统补丁立即得到更新，补丁安装前应进行安全性和兼容性测试。2能够检测到对关键服务器进行入侵行为，能够统计入侵源IP、攻击类型、攻击目标、攻击时间，并在发生严重入侵事件时提供报警。3能够对关键程序完整性进行检测，并含有完整性恢复能力。5、恶意代码防范序号等级保护要求1在本机安装防恶意代码软件或独立布署恶意代码防护设备，并立即更新防恶意代码软件版本和恶意代码库。2支持防恶意代码统一管理。3主机防恶意代码产品应含有和网络防恶意代码产品不一样恶意代码库。6、资源控制序号等级保护要求1经过设定终端接入方法、网络地址范围等条件限制终端登录。2依据安全策略设置登录终端操作超时锁定。3依据需要限制单个用户对系统资源最大或最小使用程度。4对关键服务器进行监视，包含监视服务器CPU、硬盘、内存、网络等资源使用情况。5能够对系统服务水平降低到预先要求最小值进行检测和报警。涉密计算机安全管理措施涉密计算机安全管理由安全保密管理员专员负责，未经许可任何人不得进行此项操作。依据网络系统安全设计要求制订、修改、删除涉密计算机安全审计策略，包含打印控制策略、外设输入输出控制策略、应用程序控制策略，并做统计。每日对涉密计算机进行安全审计，立即处理安全问题，并做具体统计（见表十八），遇有重大问题上报保密部门。涉密计算机新增、变更、淘汰需经保密部门审批，审批经过后由安全保密管理员统一进行操作，并做具体统计（见表十八）。新增涉密计算机联入涉密网络，需经保密办审批，由安全保密管理员统一进行操作，并做具体统计（见表十八）。系统安全管理依据业务需求和系统安全分析确定系统访问控制策略。序号等级保护要求1启用访问控制功效，依据安全策略控制用户对资源访问。2依据管理用户角色分配权限，实现管理用户权限分离，仅授予管理用户所需最小权限。3实现操作系统和数据库系统特权用户权限分离。4限制默认帐户访问权限，重命名系统默认帐户，修改这些帐户默认口令。5立即删除多出、过期帐户，避免共享帐户存在。6对关键信息资源设置敏感标识，系统不支持设置敏感标识，应采取专用安全设备生成敏感标识，用以支持强制访问控制机制。7依据安全策略严格控制用户对有敏感标识关键信息资源操作。定时进行漏洞扫描，对发觉系统安全漏洞立即进行修补。安装系统最新补丁程序，在安装系统补丁前，首先在测试环境中测试经过，并对关键文件进行备份后，方可实施系统补丁程序安装。依据操作手册对系统进行维护，具体统计操作日志，包含关键日常操作、运行维护统计、参数设置和修改等内容，严禁进行未经授权操作。定时对运行日志和审计数据进行分析，方便立即发觉异常行为。信息系统运行维护由系统管理员负责维护，未经许可任何人不得对信息系统进行任何操作。依据信息系统设计要求及实施细则安装、调试、配置信息系统，建立信息系统管理员账号，设置管理员密码，密码要求由数字和字母组成，区分大小写，密码长度不得低于8位。对信息系统基础配置信息做具体统计，包含系统配置信息、用户帐户名称，系统安装目录、数据文件存贮目录，在信息系统配置信息发生改变时立即更新统计（见表三）。每七天对信息系统系统数据、用户ID文件、系统日志进行备份，并做具体统计（见表四），备份介质交保密办存档。当信息系统用户发生增加、降低、变更时，新建用户帐户，新建用户邮箱，需经保密单位审批，并填写系统用户申请单或系统用户变更申请单（见表七），审批经过后，由系统管理员进行操作，并做具体统计。依据用户需求设置信息系统各功效模块访问权限，并提交保密办审批。天天检验信息系统各项应用功效是否运行正常，并做具体统计（见表五）。在信息系统发生故障时，应立即通知用户，并用最短时间处理故障，确保信息系统立即正常运行，并对系统故障情况做具体统计（见表六）。天天统计信息系统运行维护日志，对信息系统运行情况进行总结。每个月对信息系统运行维护情况进行总结，并写出信息系统维护月报，并上报保密办。恶意代码防范管理经过培训及标识提升全部用户防病毒意识，立即通知防病毒软件版本，在读取移动存放设备上数据和网络上接收文件或邮件之前，优异行病毒检验，对外来计算机或存放设备接入网络系统之前也应进行病毒检验。信息安全专员对网络和主机进行恶意代码检测并保留检测统计。定时检验信息系统内多种产品恶意代码库升级情况并进行统计，对主机防病毒产品、防病毒网关和邮件防病毒网关上截获危险病毒或恶意代码进行立即分析处理，并形成报表和总结汇报。变更管理确定系统中要发生变更，并制订变更方案。建立变更管理制度，系统发生变更前，向主管领导申请，变更和变更方案经过评审、审批后方可实施变更，并在实施后将变更情况向相关人员通告。建立变更控制申报和审批文件化程序，对变更影响进行分析并文档化，统计变更实施过程，并妥善保留全部文档和统计。建立中止变更并从失败变更中恢复文件化程序，明确过程控制方法和人员职责，必需时对恢复过程进行演练。安全事件处理汇报所发觉安全弱点和可疑事件，但任何情况下用户均不应尝试验证弱点。制订安全事件汇报和处理管理制度，明确安全事件类型，要求安全事件现场处理、事件汇报和后期恢复管理职责。依据国家相关管理部门对计算机安全事件等级划分方法和安全事件对本系统产生影响，对本系统计算机安全事件进行等级划分。制订安全事件汇报和响应处理程序，确定事件汇报步骤，响应和处理范围、程度，和处理方法等。在安全事件汇报和响应处理过程中，分析和判定事件产生原因，搜集证据，统计处理过程，总结经验教训，制订预防再次发生补救方法，过程形成全部文件和统计均应妥善保留。对造成系统中止和造成信息泄密安全事件应采取不一样处理程序和汇报程序。监控管理和安全管理中心对通信线路、主机、网络设备和应用软件运行情况、网络流量、用户行为等进行监测和报警，形成统计并妥善保留。信息安全专员组织相关人员定时对监测和报警统计进行分析、评审，发觉可疑行为，形成份析汇报，并采取必需应对方法。对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理。数据安全管理凡包含企业机密数据或文件，非工作需要不得以任何形式转移，更不得透露给她人。离开原工作岗位职员由所在部门责任人将其全部工作资料收回并保留。计算机终端用户务必将关键数据存放在计算机硬盘中除系统盘分区(操作系统所在硬盘分区，通常是C盘)外硬盘分区。计算机信息系统发生故障，应立即和信息专员联络并采取保护数据安全方法。计算机终端用户未做好备份前不得删除任何硬盘数据。对关键数据应准备双份，存放在不一样地点；对采取磁性介质或光盘保留数据，应做好防磁、防火、防潮和防尘工作，并定时进行检验、复制，预防因为磁性介质损坏，丢失数据。1、数据保密性序号等级保护要求1采取加密或其它保护方法实现系统管理数据、判别信息和关键业务数据传输保密性；2、备份和恢复序号等级保护要求1提供数据当地备份和恢复功效，对关键信息进行备份，数据备份最少天天一次，已经有数据备份可完全恢复至备份实施时状态，并对备份可恢复性进行定时演练，备份介质场外存放。（增强）2提供异地数据备份功效，利用通信网络将关键数据定时批量传送至备用场地；3应提供关键网络设备、通信线路和数据处理系统硬件冗余，确保系统高可用性。网络安全管理信息安全专员对网络进行管理，负责运行日志、网络监控统计日常维护和报警信息分析和处理工作。依据厂家提供软件升级版本对网络设备进行更新，并在更新前对现相关键文件进行备份。定时对网络系统进行漏洞扫描，对发觉网络系统安全漏洞进行立即修补。实现设备最小服务配置，并对配置文件进行定时离线备份。确保全部和企业外部网络连接均得到授权和同意。依据安全策略许可或拒绝便携式和移动式设备网络接入。未进行安全配置、未装防火墙或杀毒软件计算机终端，不得连接企业网络和服务器。企业职员应定时对所配置计算机终端操作系统、杀毒软件等进行升级和更新，并定时进行病毒查杀。计算机终端用户应使用复杂密码，并定时更改。企业职员应妥善保管依据职责权限所掌握各类办公账号和密码，严禁随意向她人泄露、借用自己账号和密码。IP地址为计算机网络关键资源，企业职员应在信息专员计划下使用这些资源，不得私自更改。对于影响网络系统服务，企业职员应在信息专员指导下使用，严禁随意开启、关闭计算机中系统服务，确保计算机网络通畅运行。经远程通信传送程序或数据，必需经过检测确定无病毒后方可安装和使用。11.1网络系统运行维护管理措施网络系统运行维护由系统管理员专员负责，未经许可任何人不得对网络系统进行操作。依据网络系统设计方案和实施细则安装、调试、配置网络系统，包含交换机配置、路由器配置，建立管理员账号，设置管理员密码，并关闭全部远程管理端口。建立系统设备档案（见表二），包含交换机、路由器品牌、型号、序列号、购置日期、硬件配置信息，具体统计综合布线系统信息配置表，交换机系统配置，路由器系统配置，网络拓扑机构图，VLAN划分表，并在系统配置发生变更时立即对设备档案进行更新。天天检验网络系统设备（交换机、路由器）是否正常运行。每七天对网络系统设备（交换机、路由器）进行清洁。每七天修改网络系统管理员密码。每七天检测网络系统性能，包含数据传输稳定性、可靠性、传输速率。网络变更后进行网络系统配置资料备份。当网络系统发生故障时，应立即通知用户，并在最短时间内处理问题，确保网络系统立即正常运行，并对系统故障情况作具体统计（见表六）。每个月对网络系统运行维护情况进行总结，并作出网络系统运行维护月报。11.2网络病毒入侵防范管理措施网络病毒入侵防护系统由系统管理员专员负责，任何人未经许可不得进行此项操作。依据网络系统安全设计要求安装、配置瑞星网络病毒防护系统，包含服务器端系统配置和用户机端系统配置，开启用户端防病毒系统实时监控。每日监测防病毒系统系统日志，检测是否有病毒入侵、安全隐患等，对所发觉问题进行立即处理，并做具体统计（见表八）。每七天登陆防病毒企业网站，下载最新升级文件，对系统进行升级，并作具体统计（见表九）。每七天对网络系统进行全方面病毒查杀，对病毒查杀结果做系统分析，并做具体统计（见表十）。每日浏览国家计算机病毒应急处理中心网站，了解最新病毒信息公布情况，立即向用户公布病毒预警和预防方法。11.3网络信息安全策略管理措施网络安全策略管理由安全保密管理员专职负责，未经许可任何人不得进行此项操作。依据网络信息系统安全设计要求及主机审计系统数据分析结果，制订、配置、修改、删除主机审计系统各项管理策略，并做统计（见表十一）。依据网络信息系统安全设计要求制订、配置、修改、删除网络安全评定分析系统各项管理策略，并做统计（见表十一）。依据网络信息系统安全设计要求制订、配置、修改、删除入侵检测系统各项管理策略，并做统计（见表十一）。依据网络信息系统安全设计要求制订、配置、修改、删除、内网主机安全监控和审计系统各项管理策略，并做统计（见表十一）。每七天对网络信息系统安全管理策略进行数据备份，并作具体统计（见表十二）。网络信息安全技术防护系统（主机审计系统、漏洞扫描系统、防病毒系统、内网主机安全监控和审计系统）由网络安全保密管理员统一负责安装和卸载。11.4网络信息系统安全检验管理措施网络信息系统安全检验由安全保密管理员专职负责实施，未经许可任何人不得进行此项操作。天天依据入侵检测系统系统策略检测、审计系统日志，检验是否有网络攻击、异常操作、不正常数据流量等，对异常情况做立即处理，遇有重大安全问题上