信息安全管理制度總體規(guī)劃

1、辦公精品歡迎下載安全管理制度總體規(guī)劃一、建立信息安全管理制度的必要性因?yàn)榇筮\(yùn)會(huì)對(duì)于信息系統(tǒng)高度依賴，而所面對(duì)的信息安全狀況非常復(fù)雜。病 毒木馬、非法入侵、數(shù)據(jù)泄密、服務(wù)癱瘓、漏洞攻擊等安全事件都有可能發(fā)生。 從辦公PC筆記本電腦、可移動(dòng)存儲(chǔ)，再到 U盤以及PDA等，安全問題出現(xiàn)的 途徑也是千奇百怪。然而信息安全不僅僅是個(gè)技術(shù)問題，而是管理、章程、制度和技術(shù)手段以及 各種系統(tǒng)的結(jié)合。實(shí)現(xiàn)信息安全不僅需要采用技術(shù)措施，還需要借助于技術(shù)以外 的其它手段，如規(guī)范安全標(biāo)準(zhǔn)和進(jìn)行信息安全管理。正因?yàn)槿绱?，?duì)大運(yùn)會(huì)而言，建立信息安全管理制度，將大運(yùn)會(huì)的安全風(fēng)險(xiǎn) 控制在可接受的范圍內(nèi)，減少因安全事件帶來的破壞

2、和損失。 更重要的，是可以 保證大運(yùn)會(huì)業(yè)務(wù)的持續(xù)性。二、建立信息安全管理制度的內(nèi)容2.1安全管理機(jī)構(gòu)崗位設(shè)置制度制定安全管理機(jī)構(gòu)崗位制度，包括如下內(nèi)容：成立指導(dǎo)和管理信息安全工作的領(lǐng)導(dǎo)小組；設(shè)立信息安全管理工作小組，設(shè)立安全主管、安全管理各個(gè)方面的負(fù)責(zé)人，并定義各負(fù)責(zé)人的職責(zé)；設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位，并定義各個(gè)工作崗位的職責(zé)；人員配備制度對(duì)于人員配備的要求如下: 應(yīng)配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等；應(yīng)配備專職安全管理員，不可兼任；關(guān)鍵事務(wù)崗位應(yīng)配備多人共同管理。日常安全運(yùn)維制度制定日常安全運(yùn)維制度，包括如下內(nèi)容：定義安全管理員定期進(jìn)行安全檢查的內(nèi)容，例如

3、系統(tǒng)日常運(yùn)行、系統(tǒng)漏 洞和數(shù)據(jù)備份等情況；定義定期進(jìn)行全面安全檢查的內(nèi)容，例如現(xiàn)有安全技術(shù)措施的有效性、 安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等； 制定安全檢查表格，匯總安全檢查數(shù)據(jù)，形成安全檢查報(bào)告；2.2人員安全管理人員安全各個(gè)軟硬件及服務(wù)廠商應(yīng)簽署安全責(zé)任書，保證參與大運(yùn)會(huì)項(xiàng)目的人員安全。安全管理制度學(xué)習(xí)應(yīng)對(duì)各類人員進(jìn)行安全管理制度學(xué)習(xí)培訓(xùn)。外部人員訪問管理制度制定外部人員訪問管理制度，包括如下內(nèi)容：制定外部人員訪問受控區(qū)域的申請(qǐng)及審批流程；定義外部人員允許訪問的區(qū)域、系統(tǒng)、設(shè)備、信息等內(nèi)容。用戶信息安全手冊(cè)制定用戶信息安全手冊(cè)，包括如下內(nèi)容：規(guī)范終端電腦防病毒及網(wǎng)絡(luò)接入安

4、全；規(guī)范終端電腦安全策略；規(guī)范終端用戶行為；2.3系統(tǒng)運(yùn)維管理機(jī)房管理制度制定機(jī)房管理制度，包括如下內(nèi)容：定義定期對(duì)機(jī)房進(jìn)行維護(hù)管理的內(nèi)容，例如溫度、防潮等等；定義機(jī)房安全責(zé)任人；對(duì)機(jī)房的出入、服務(wù)器的開機(jī)或關(guān)機(jī)等工作進(jìn)行 管理；定義機(jī)房物理訪問，物品帶進(jìn)、帶出機(jī)房等等的安全規(guī)定；資產(chǎn)管理制度制定資產(chǎn)管理制度，包括如下內(nèi)容：制定信息系統(tǒng)相關(guān)的資產(chǎn)清單，例如資產(chǎn)責(zé)任人員、重要程度和所處位 置等內(nèi)容；定義信息系統(tǒng)資產(chǎn)管理的責(zé)任人員；定義資產(chǎn)的重要程度，對(duì)資產(chǎn)進(jìn)行標(biāo)識(shí)管理；制定資產(chǎn)信息分類與標(biāo)識(shí)規(guī)定；設(shè)備管理制度制定設(shè)備管理制度，包括如下內(nèi)容：定義信息系統(tǒng)相關(guān)的各種設(shè)備定期檢查的內(nèi)容；定義設(shè)備安全管

5、理責(zé)任人；定義軟硬件維護(hù)方面的安全規(guī)范，例如維護(hù)人員的責(zé)任、涉外維修和服 務(wù)的審批、維修過程的監(jiān)督控制等；定義終端計(jì)算機(jī)、工作站、便攜機(jī)、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備的操作和使用規(guī)范；應(yīng)確保信息處理設(shè)備必須經(jīng)過審批才能帶離機(jī)房或辦公地點(diǎn)。網(wǎng)絡(luò)安全管理制度 制定網(wǎng)絡(luò)安全管理制度，包括如下內(nèi)容：定義網(wǎng)絡(luò)安全管理內(nèi)容，例如對(duì)運(yùn)行日志、網(wǎng)絡(luò)監(jiān)控記錄進(jìn)行分析和處理工作；對(duì)網(wǎng)絡(luò)安全配置、日志保存時(shí)間、安全策略、升級(jí)與打補(bǔ)丁、 口令更新周期等方面的安全規(guī)定；定義軟硬件設(shè)備的軟件版本升級(jí)安全規(guī)范；定義網(wǎng)絡(luò)系統(tǒng)進(jìn)行漏洞掃描的時(shí)間定期；定義設(shè)備的最小服務(wù)配置規(guī)范；定義便攜式和移動(dòng)式設(shè)備的網(wǎng)絡(luò)接入的安全策略；定義撥號(hào)上網(wǎng)或其他

6、違反網(wǎng)絡(luò)安全策略的行為的檢測(cè)規(guī)范。操作系統(tǒng)安全管理制度制定系統(tǒng)安全管理制度，包括如下內(nèi)容：定義系統(tǒng)的訪問控制策略；定義對(duì)系統(tǒng)進(jìn)行漏洞掃描的周期；定義系統(tǒng)安裝最新補(bǔ)丁的流程；定義系統(tǒng)安全策略、安全配置、日志管理和日常操作流程；定義系統(tǒng)管理責(zé)任人，劃分系統(tǒng)管理員角色，明確各個(gè)角色的權(quán)限、責(zé)任和風(fēng)險(xiǎn)，權(quán)限設(shè)定應(yīng)當(dāng)遵循最小授權(quán)原則；定義操作手冊(cè)對(duì)系統(tǒng)進(jìn)行維護(hù)，詳細(xì)記錄操作日志，嚴(yán)禁進(jìn)行未經(jīng)授權(quán) 的操作；惡意代碼防范管理制度制定惡意代碼防范管理制度，包括如下內(nèi)容：定義主機(jī)或者移動(dòng)存儲(chǔ)在接入網(wǎng)絡(luò)前進(jìn)行病毒檢查規(guī)范；對(duì)網(wǎng)絡(luò)和主機(jī)進(jìn)行惡意代碼檢測(cè)并保存檢測(cè)記錄；定義惡意代碼庫的升級(jí)策略并進(jìn)行記錄；對(duì)主機(jī)防病毒產(chǎn)品、防病毒網(wǎng)關(guān)和郵件防病毒網(wǎng)關(guān)上截獲的危險(xiǎn)病毒或惡意代碼進(jìn)行及時(shí)分析處理，并形成報(bào)告。密碼管理制度制定密碼管理制度，包括如下內(nèi)容：定義密碼使用策略，使用符合國家密碼管理規(guī)定的密碼技術(shù)和產(chǎn)品備份與恢復(fù)管理制度制定備份與恢復(fù)管理制度，包括如下內(nèi)容：定義備份信息的備份方式、備份頻度、存儲(chǔ)介質(zhì)和保存期等規(guī)范； 定義需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等； 制定數(shù)據(jù)的備份策略和恢復(fù)策略；制定定期執(zhí)行恢復(fù)程序，進(jìn)行數(shù)據(jù)恢復(fù)演練。安全事件處置