基层单位信息系统安全等级保护三级管理制度信息系统运行和维护管理规定.doc
9页
基层单位信息系统安全等级保护三级管理制度信息系统运行和维护管理规定 版本号1.0.0423信息系统运行和维护管理规定第一章总则第一条为了进一步规范我单位信息系统运行和维护管理工作,根据《信息安全等级保护管理办法》、《信息系统安全管理要求》(GBT20269-xx)和其他有关法律法规的规定,结合本单位实际,特制定本规定 第二条本规定适用于我单位信息系统安全管理人员和技术人员进行信息系统运行和维护管理工作,包括用户管理、运行操作管理、运行维护管理、外包服务管理、安全机制保障、安全集中管理 第三条信息系统运行和维护管理的责任部门为我单位信息系统安全管理中心 第二章用户管理第四条用户管理的内容包括五个方面用户分类管理、系统用户管理、普通用户管理、机构外部用户管理、临时用户管理 第五条应按审查和批准的用户分类清单,建立用户和分配权限 用户分类清单应包括信息系统的所有用户的清单,以及各类用户的权限;用户权限发生变化时应及时更改用户清单内容;必要时可以对有关用户开启审计功能 第六条系统用户应由信息安全职能部门的主管领导指定,授权应以满足其工作需要的最小权限为原则;系统用户应接受审计;对重要信息系统的系统用户,应进行人员的严格审查,符合要求的人员才能给予授权;对系统用户应能区分责任到个人,不应以部门或组作为责任人;在关键信息系统中,对系统用户的授权操作,必须有两人在场,并经双重认可后方可操作;操作过程应自动产生不可更改的审计日志。
第七条普通用户应保护好口令等身份鉴别信息;系统用户口令每季度进行更换;发现系统的漏洞、滥用或违背安全行为应及时报告;不应透露与组织机构有关的非公开信息;不应故意进行违规的操作;不应在不符合敏感信息保护要求的系统中保存和处理高敏感度的信息;不应使用各种非正版软件和不可信的自由软件;应在系统规定的权限内进行操作,必要时某些重要操作应得到批准;用户应保管好自己的身份鉴别信息载体,不得转借他人 第八条应对机构外部用户明确说明使用者的责任、义务和风险,并要求提供合法使用的声明;外部用户应保护口令等身份鉴别信息;外部用户只能是应用层的用户;可对特定外部用户提供专用通信通道、端口、特定的应用或数据协议、以及专用设备等;在关键部位,一般不允许设置外部用户 第九条临时用户的设置和期限必须经过审批,使用完毕或到期应及时删除,设置与删除均应记录备案;对主要部位的临时用户应进行审计,并在删除前进行风险评估;在关键部位,一般不允许设置临时用户 第三章运行操作管理第十条运行操作管理的内容包括七个方面服务器操作管理、终端计算机操作管理、便携机操作管理、网络及安全设备操作管理、业务应用操作管理、变更控制和重用管理、信息交换管理。
第十一条对服务器的操作应由授权的系统管理员实施;应按操作规程实现服务器的启动/停止、加电/断电等操作;实现操作的身份鉴别管理;第十二条用户在使用自己的终端计算机时,应设置开机、屏幕保护、目录共享口令;非组织机构配备的终端计算机未获批准,不能在办公场所使用;及时安装经过许可的软件和补丁程序,不得自行安装及使用其它软件和自由下载软件;未获批准,严禁使用Modem拨号、无线网卡等方式或另辟通路接入其它网络;建立身份鉴别机制;第十三条便携机需设置开机口令和屏保口令;因工作岗位变动不再需要使用便携机时,应及时办理资产转移或清退手续,并删除机内的敏感数据;在本地网络工作时应按终端计算机的要求执行;在本地之外网络接入过的便携机,需要接入本地网络前应进行必要的安全检查;第十四条对网络及安全设备的操作应由授权的系统管理员实施;应按操作规程实现网络设备和安全设备的接入/断开、启动/停止、加电/断电等操作;维护网络和安全设备的运行环境及配置和服务设定;对实施网络及安全设备操作的管理员应进行身份鉴别;第十五条业务应用系统应对操作人员进行身份鉴别;业务应用系统应能够以菜单等方式限制操作人员的访问权限;业务应用操作程序应形成正式文档,需要进行改动时应得到管理层授权;这些操作步骤应指明具体执行每个作业的指令,至少包括指定需要处理和使用的信息;明确操作步骤,包括与其它系统的相互依赖性、操作起始和结束的时间;说明处理错误或其它异常情况的指令,系统出现故障时进行重新启动和恢复的措施,以及在出现意外的操作或技术问题时需要技术支持的联系方法;第十六条任何变更控制和设备重用必须经过申报和审批才能进行,同时还有以下要求注意识别重大变更,并进行记录;评估这些变更的潜在影响;向所有相关人员通报变更细节;明确中止变更并从失败变更中恢复的责任和处理方法;重用设备中原有信息的清除;对操作系统、数据库、应用系统、人员、服务等的变更控制应制度化;对信息系统的任何变更必须考虑全面安全事务一致性。
第十七条在公众网站、内部网站发布的信息,以及提供查询的信息应符合国家有关政策法规的规定;对所公布的信息应采取适当的安全措施保护其完整性;应保护业务应用中的信息交换的安全性,防止欺诈、合同纠纷以及泄露或修改信息事件的发生;第四章运行维护管理第十八条运行维护管理的内容包括四个方面日常运行安全管理、运行状况监控、软件硬件维护管理、外部服务方访问管理 第十九条应通过正式授权程序委派专人负责系统运行的安全管理;应建立运行值班等有关安全规章制度;应正确实施为信息系统可靠运行而采取的各种检测、监控、审计、分析、备份及容错等方法和措施;应对运行安全进行监督检查;应明确各个岗位人员对信息系统各类资源的安全责任;应明确信息系统安全管理人员和普通用户对信息系统资源的访问权限;按风险管理计划和操作规程定期对信息系统的运行进行风险分析与评估,并向管理层提交正式的风险分析报告 第二十条所有的系统日志应保留一定期限,不能被改变,只允许授权用户访问;日志应有脱机保存的介质;信息系统应使用统一的时间,以确保记录日志准确;日志应定期处理并产生报告;审计日志须经授权方可查阅;应告知用户某些行为是会被审计的。
第二十一条应明确信息系统的软件、硬件维护的人员和责任,规定维护的时限,以及设备更新和替换的管理办法;制定有关软件、硬件维修的制度;对需要外出维修的设备,应经过审批,磁盘数据应进行删除;外部维修人员进入机房维修,应经过审批,并有专人负责陪同 第二十二条对外部服务方访问的要求,应经过相应的申报和审批程序;应对外部服务方访问建立相应的安全管理制度;外部服务方访问应签署保密合同;应对外部服务方访问进行风险分析和评估;应对外部服务方访问实施严格控制;应对外部服务方访问实施监视 第五章外包服务管理第二十三条外包服务管理的内容包括三个方面外包服务合同管理、外包服务商管理、外包服务的运行管理 第二十四条对由外部服务商承担完成的外包服务,应签署正式的书面合同,至少包括对符合法律要求的说明,对外包服务的风险的说明,对外包服务合同各方的安全责任界定,对控制安全风险应采用的控制措施的说明,对外包服务风险发生时应采取措施的说明,对外包服务的期限、中止的条件和善后处理的事宜以及由此产生责任问题的说明,对审计人员权限的说明 第二十五条应选择具有相应服务资质并信誉好的外包服务商;对较为重要的业务应用,应在行业认可或者是经过上级主管部门批准的范围内,选择具有相应服务资质并信誉好的可信的外包服务商;关键的或涉密的业务应用,一般不应采用外包服务方式。
第二十六条对外包服务的业务应用系统运行的安全状况应进行监控和检查,应定期进行评估,出现问题应遵照合同规定及时处理和报告;当出现重大安全问题或隐患时应进行重新评估,提出改进意见,直至停止外包服务 第六章安全机制保障第二十七条安全机制保障的内容包括七个方面身份鉴别机制管理、访问控制机制管理、系统安全管理、网络安全管理、应用系统安全管理、病毒防护管理、密码管理 第二十八条对网络、操作系统、数据库系统等系统管理员和应用系统管理员以及普通用户,应明确使用和保护身份鉴别机制的责任,采用不可伪造的鉴别信息进行身份鉴别,采用有关身份鉴别和认证系统的管理维护措施;应指定安全管理人员定期进行检查,鉴别信息应进行相应的保护 第二十九条应根据自主访问控制机制的要求,由授权用户为主、客体设置相应访问的参数;应将自主访问控制与审计密切结合,实现对自主访问控制过程的审计,使访问者必须为自己的行为负责;并保证最高管理层对自主访问控制管理的掌握 第三十条应对操作系统和数据库管理系统按其安全技术和机制的不同要求实施相应的安全管理;应通过正式授权程序委派专人负责系统安全管理;建立系统安全配置、备份等安全管理规章制度;按规章制度的要求及时进行补丁升级;应进行日常安全管理,包括对用户安全使用进行指导和审计等;应根据访问控制安全策略的要求,全面考虑和统一设置、维护用户及主、客体的标记信息。
第三十一条应对网络按其安全技术和机制的不同要求实施相应的安全管理;应通过正式授权程序指定网络安全管理人员;应按有关规程对网络安全进行定期评估,不断完善网络安全策略,建立、健全网络安全管理和配置的规章制度;第三十二条应对应用系统按其安全技术和机制的不同要求实施相应的安全管理;应通过正式授权程序委派专人负责应用系统的安全管理,应明确管理范围、管理事务、管理规程,以及应用系统软件的安全配置、备份等安全工作;第三十三条通过正式授权程序对病毒防护委派专人负责检查网络和主机的病毒检测并保存记录;使用外部移动存储设备之前应进行病毒检查;要求从不信任网络上所接收的文件或邮件,在使用前应首先检查是否有病毒;对非的内部计算机设备,以及外来或新增计算机做到入网前进行杀毒和补丁检测;第三十四条应按国家密码主管部门的规定,对信息系统中使用的密码算法和密钥进行管理;应按国家有关法律法规要求,对信息系统中包含密码的软、硬件信息处理模块的进、出口进行管理;应按国家密码主管部门的规定,对信息系统中以密码为基础的安全机制实施分等级管理 第七章安全集中管理第三十五条安全集中管理的内容包括三个方面安全机制集中控管、安全信息集中管理、安全机制整合。
第三十六条安全机制集中控管要求能够对信息系统所涉及的计算机、网络以及应用系统的安全机制实施统一管理、统一监控、统一审计、协同防护,根据网络结构,按照分布式多层次的管理结构,进行分层分级联合方式的集中安全管理,发挥安全机制的整体作用,提高安全防护的等级和水平 第三十七条将信息系统所涉及的计算机、网络以及应用系统的安全信息实施统一管理、综合分析,发挥安全信息的整体作用;通过对关键区域安全信息的集中管理,应能够对关键区域的安全信息的处理,采用相应的访问控制和保护措施;根据核心区域安全信息的需要,通过对安全信息的集中管理,制定专项的安全控制和保护措施 第三十八条安全机制整合要求包括资产信息管理、网络异常流量监控、安全事件监控管理、脆弱性管理、安全策略管理、安全预警管理 第八章附则第三十九条本规定由单位信息安全领导小组负责解释 第四十条违反本规定,发生信息安全事件的,按照事件造成的损失和后果,依据国家有关法律法规进行处罚 第四十一条本规定自发布之日起施行 内容仅供参考 。
