制度体系之---信息安全管理制度实施指南

1、制度体系之 信息安全管理制度实施指南1策略管理61。1安全策略和管理制度61.1.1信息安全策略61.1.2信息安全管理制度61.1.3行为规范71。2安全规划71。2。1系统安全规划71。2.2系统安全规划的更新81。2.3阶段性行动计划82组织管理82。1组织机构82.1.1信息安全管理机构82.1.2信息安全管理人员92。2人员安全92.2。1工作岗位风险分级92.2.2人员审查92.2。3人员工作合同终止102。2.4人员调动102.2。5工作协议和条款102。2.6第三方人员安全112.2.7人员处罚112。3安全意识和培训112。3。1安全意识112.3.2安全培训122。3。3安全培训记录123运行管理133。1风险评估和认证认可133。1.1安全分类133。1。2风险评估133。1.3风险评估更新143。1.4安全认证143.1.5安全认可143。1。6持续监控153。2系统与服务采购153.2.1资源分配153。2。2生命周期支持163.2。3采购163.2.4信息系统文件163.2。5软件使用限制163。2.6用户安装的软件173.2。7安全设计原则173。2.8外

2、包信息系统服务173。2。9开发配置管理183。2.10开发安全测试评估183。3配置管理183。3.1基线配置193.3.2配置变更控制193。3。3监督配置变更203.3。4变更访问限制203.3.5配置策略设置203。3.6功能最小化203.4应急计划和事件响应213。4。1应急计划213。4。2应急响应培训213。4.3应急和事件响应计划测试213。4。4应急和事件响应计划更新223。4。5事件处理223。4.6事件监控223.4。7事件报告233。4。8事件响应支持233。5系统管理与维护233。5。1安全管理技术243.5。2常规维护243.5。3维护工具管理243。5.4远程维护243。5。5维护人员253。5。6维护及时性254技术管理254。1标识鉴别254.1。1身份标识和鉴别254。1.2设备标识和鉴别264。1.3标识管理264.1。4鉴别管理274.1。5登录和鉴别反馈274.2访问控制284。2。1账户管理284。2.2强制访问294.2.3信息流控制294。2.4职责分离304.2。5最小权限304。2。6不成功登录尝试304.2.7系统使用情况314。2

3、。8最近登录情况314。2。9并发会话控制324.2.10会话锁定324.2.11会话终止324.2。12对访问控制的监督和审查334。2.13不需鉴别或认证的行为334.2.14自动化标记334.2。15远程访问控制344。2。16无线接入访问控制344.2.17便携式移动设备的访问控制344。2.18个人信息系统354.3系统与信息完整性354.3.1漏洞修补354.3.2防恶意代码攻击364.3。3输入信息的限制364.3。4错误处理364。3。5输出信息的处理和保存374.4系统与通信保护374.4.1应用系统分区374.4.2安全域划分384.4。3拒绝服务保护384.4。4边界保护384。4。5网络连接终止384。4.6公共访问保护384。4.7移动代码394。5介质保护394.5。1介质访问394.5。2介质保存394.5。3信息彻底清除404.5。4介质的废弃404。6物理和环境保护404。6.1物理访问授权414.6.2物理访问控制414。6。3显示介质访问控制414。6.4物理访问监视414。6.5来访人员控制424.6.6来访记录424.6.7环境安全424.7检

4、测和响应424。7。1事件审计434。7。2审计记录的内容444.7。3审计处理444.7。4审计的监控、分析和报告444。7.5审计信息保护454。7.6审计保留454.7。7入侵检测454。7。8漏洞扫描454。7。9安全告警和响应464.8备份与恢复464.8。1信息系统备份464。8.2备份存储地点474.8。3备份处理地点474.8.4信息系统恢复与重建471 策略管理安全策略是高层管理层决定的一个全面的声明 ,它规定在组织中安全问题扮演什么样的角色。组织安全策略为机构内部未来的所有安全活动提供了范围和方向。1.1 安全策略和管理制度对各级部门制定总体的信息安全策略、信息安全管理制度和相应的行为规范,指导信息安全保障工作更好的开展。1.1.1 信息安全策略信息安全策略是高级管理层决定的一个全面的声明，它规定在组织中安全问题扮演什么样的角色。它能够为信息安全提供符合业务要求和相关法律法规的管理指导和支持。要求对各级部门制定总体信息安全策略，详细阐述目标、范围、角色、责任以及合规性等;制定高层信息安全策略，部门级安全策略，系统级安全策略；开发、发布、并定期更新信息安全策略;内容信

5、息安全策略的内容要覆盖安全规划、组织机构、人员安全、安全意识和培训、风险评估、认证认可、系统与服务采购、配置管理、应急计划、事件响应、系统维护、标识鉴别、访问控制、系统与信息完整性、系统与通信保护、抗抵赖、介质保护、物理和环境保护、检测响应恢复等各方面;信息安全策略定义了明确所要保护的总体安全目标与范围；信息安全策略经过本级主管信息工作的领导批准,正式颁布,并定期根据实施效果进行修订.1.1.2 信息安全管理制度信息安全管理制度是为了更好地保证系统的信息安全，是信息安全策略的进一步实施的具体化.要求制定严格的规范化的信息安全管理制度，以促进信息安全策略的实施；内容对信息的生成、存储、查看、传输、复制、备份、归档、销毁等制定严格的管理制度；对信息系统中设备与系统的接入、运行、维护、管理的规定；有安全管理值班制度与事故报告处理制度，应急响应预案以及各种应用系统用户授权管理与系统运行管理规定等;根据管理制度的执行情况定期审核，修订.1.1.3 行为规范行为规范规定了系统的各类使用和管理人员的岗位职责，规定了各类人员的责任和所允许信息系统的权利。要求对信息系统的各类使用和管理人员的岗位职责、行

6、为规范制定管理规定，并描述其责任和所允许的访问信息和信息系统的正当行为；所有用户在被授权访问信息系统之前，应以书面签认方式确认其已经知悉、理解并愿意遵守相关的规范.内容管理制度印发给有关管理和应用人员,并抽查，以验证其是否了解应遵守的行为规范.1.2 安全规划制定较为完整的信息安全规划，以指导信息安全保障工作的开展。安全规划包括系统安全规划、系统安全规划的更新、阶段性行动计划.1.2.1 系统安全规划系统安全规划是对信息系统安全一个全面的规划,用来描述系统的安全要求和满足安全规划采用的安全控制措施。要求为信息系统制定并实施安全规划，对系统的安全要求以及满足这些安全需求的在用的或计划采用的安全控制措施进行描述；高层领导应审核、批准安全规划，并采用统一规划、分步实施的原则贯彻执行.内容结合xxxx的信息系统安全的总体目标和安全需求，制定针对性的信息安全规划；1.2.2 系统安全规划的更新系统安全是一个动态的过程，系统安全规划要定期审核并修订，当发生重大变更时,要用时对系统安全规划进行更新。要求定期审核并修订信息系统安全规划，以解决在计划实施中或安全控制评估中发现的问题,以及应对信息系统或组

7、织的变更.内容定期或发生重大变更时，对信息安全规划进行审核和修订；信息安全规划的修改要严格遵守相关的策略和流程，并得到主管领导的批准。1.2.3 阶段性行动计划信息系统的生命周期有不同的阶段，在每一个阶段信息系统的安全需求是不同的，要对每个阶段编制、开发或更新信息系统的行动计划.要求编制开发和更新信息系统的活动和里程碑计划，并将已计划的、已实施的、和经过评估的行为文件化，以减少或消除系统中已知的脆弱性.内容有相应的活动和里程碑计划；活动和里程碑计划是在安全控制措施评估结果、安全影响分析和持续性监控活动的基础上进行更新的.2 组织管理2.1 组织机构2.1.1 信息安全管理机构要求组建本单位的信息安全管理机构，该机构应由主管本单位信息安全工作的领导、负责具体工作的网络、安全管理人员组成，责任到人，具有领导信息安全工作、制定安全策略、监督管理等职能。内容组建信息安全管理机构及其机构组成，人员设置,并文件化；组建的信息安全管理机构有明确的信息安全管理职能（包括物理安全管理、身份鉴别管理、访问控制管理、安全审计管理、安全教育与培训等）；组建的信息安全管理机构是自上而下，分级负责的。2.1.2

8、信息安全管理人员要求信息安全管理机构中的安全管理人员应分权负责，以限制具有超级权限的人员存在。内容信息安全管理机构中的管理人员分权负责,系统管理员、安全管理员、安全审计员等分别都是由不同的人员担任；各种设备与系统由相关的管理责任人，具有信息资产清单,并明文规定责任人的职责,责任人对其管理的设备及责任清楚。2.2 人员安全人员安全主要包括工作岗位风险分级、人员审查、人员工作合同终止、人员调动、工作协议和条款、第三方人员安全以及人员处罚等几个方面。2.2.1 工作岗位风险分级要求对工作岗位进行风险分级，并制定针对在各级岗位工作的人员审查机制；定期复核和修订不同工作岗位的风险分级.内容制定并实施工作岗位风险分级的制度;定期复核、修订工作岗位的风险分级。2.2.2 人员审查要求结合自身的业务需求、相关的法律法规、被访问信息的分类及面临风险等因素，对工作人员、合作者、第三方人员进行人员背景审查;在授权之前对需要访问信息和信息系统的人员进行审查;制定人员审查流程，流程应描述进行人员审查的方式和限制条件，如规定谁有资格进行审查,在何时，通过什么方式，因为什么原因来进行审查等等。内容制定有关人员背景审查的制度和流程，并依此进行人员审查、核实工作。2.2.3 人员工作合同终止要求当人员工作合同终止时，应终止人员对信息系统的访问，并确保其归还所拥有与组织相关的资产；制定员工注册和注销流程，来授予和撤销员工对信息系统和服务的访问权限。内容明确规定和指派职责，以处理人员工作合同终止事宜;及时移除或封堵工作合同终止的人员对信息和信息处理系统的访问权限，包括物理和逻辑访问;及时更改工作合同终止人员所知晓的账户密码。2.2.4 人员调动要求当工作人员被重新分配或调动到单位其它工作岗位时，应复查信息系统和设施的访问授权，并采取适当的措施（

《制度体系之---信息安全管理制度实施指南》由会员m****分享，可在线阅读，更多相关《制度体系之---信息安全管理制度实施指南》请在金锄头文库上搜索。