版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
1、xxx 通信有限責(zé)任公司 核心資產(chǎn)安全管理制度xxx通信有限責(zé)任公司2004 年 1 月目錄目錄 3一、硬件安全管理 4二、軟件安全管理 7三、數(shù)據(jù)安全管理10一、硬件安全管理1 設(shè)備選型1) 業(yè)務(wù)系統(tǒng)設(shè)備的選型與采購(gòu)由信息中心統(tǒng)一歸口管理。2) 設(shè)備選型的原則是在滿足工作需要的前提下,保證所選產(chǎn)品的先進(jìn)性和實(shí)性,避免過(guò)早被淘汰,但也不要搞超前消費(fèi)而造成資金的浪費(fèi)。3) 選或購(gòu)置涉密設(shè)備時(shí)應(yīng)符合有關(guān)規(guī)定,確保這些設(shè)備的可靠性。2 設(shè)備購(gòu)置與安裝1) 對(duì)大宗采購(gòu)的設(shè)備要在國(guó)內(nèi)和國(guó)際廠商間進(jìn)行招標(biāo),并根據(jù)廠商的產(chǎn)品性能、質(zhì)量、價(jià)格和售后服務(wù)等指標(biāo)做出優(yōu)化選擇,實(shí)行集中采購(gòu)。2) 下屬機(jī)構(gòu)購(gòu)置的設(shè)備
2、,都要填寫(xiě)購(gòu)置申請(qǐng)表上報(bào)信息中心,經(jīng)信息中心和其他相關(guān)部門(mén)審批后由信息中心負(fù)責(zé)購(gòu)置。3) 新購(gòu)置的網(wǎng)絡(luò)設(shè)備及網(wǎng)絡(luò)安全產(chǎn)品應(yīng)經(jīng)過(guò)安全檢測(cè)和實(shí)際測(cè)試,測(cè)試合格后方能投入使。4) 復(fù)雜的設(shè)備由廠商或集成商負(fù)責(zé)安裝調(diào)試,保證設(shè)備的可靠運(yùn)行。5) 關(guān)鍵的設(shè)備由信息技術(shù)人員經(jīng)過(guò)培訓(xùn)進(jìn)行安裝。3 設(shè)備登記與使1) 建立設(shè)備登記檔案,詳細(xì)記錄每臺(tái)設(shè)備的名稱、規(guī)格、配置、裝載軟件、單價(jià)、購(gòu)入日期、供貨商、存放地點(diǎn)、使用部門(mén)、耐用年限等參數(shù),關(guān)鍵設(shè)備應(yīng)建立維護(hù)檔案。2) 設(shè)備應(yīng)由網(wǎng)管人員登記網(wǎng)絡(luò)拓?fù)鋱D,所有帶網(wǎng)卡的設(shè)備都應(yīng)登記網(wǎng)卡號(hào),嚴(yán)格限定相應(yīng)的網(wǎng)絡(luò)權(quán)限。3) 所有設(shè)備都應(yīng)粘貼印有其設(shè)備編號(hào)、名稱、類別、使用部
3、門(mén)的標(biāo)簽, 并填寫(xiě)一式兩份的固定資產(chǎn)登記卡,一份交使用部門(mén)的行政秘書(shū)或各單位的管理部門(mén)保管,另一份留信息中心保管。4) 各部門(mén)及個(gè)人領(lǐng)用的設(shè)備應(yīng)實(shí)行個(gè)人負(fù)責(zé)制,每臺(tái)設(shè)備有專人負(fù)責(zé)管理和使用,不得隨意轉(zhuǎn)借,更不得交給無(wú)關(guān)人員使用。5) 各部門(mén)間設(shè)備的調(diào)撥由調(diào)入部門(mén)填寫(xiě)設(shè)備調(diào)入申請(qǐng)單,由調(diào)入部門(mén)、調(diào)出部門(mén)及相關(guān)部門(mén)負(fù)責(zé)人簽字同意后方可進(jìn)行調(diào)撥。6) 對(duì)于不再需要或長(zhǎng)期閑置的設(shè)備,各部門(mén)應(yīng)及時(shí)歸還給資產(chǎn)管理部門(mén),以充分發(fā)揮設(shè)備的使用價(jià)值。4 設(shè)備維護(hù)1) 遵守定期維護(hù)檢查制度,對(duì)關(guān)鍵設(shè)備的維護(hù)與維修要建立詳細(xì)的維護(hù)檔案,凡因疏于保養(yǎng)而造成的設(shè)備損壞或工作延誤將追究當(dāng)事人的責(zé)任。2) 建立設(shè)備管理維護(hù)
4、記錄,實(shí)行維護(hù)記錄制度。對(duì)故障發(fā)生的時(shí)間、表現(xiàn)、采取的解決措施、結(jié)果及軟硬件的升級(jí)情況等進(jìn)行 詳細(xì)記錄,并由系統(tǒng)管理員予以簽字,以便今后解決故障。3) 建立相關(guān)電子設(shè)備的維護(hù)和維修手冊(cè),詳細(xì)記錄各廠商的聯(lián)系電話、服務(wù)熱線等信息。4) 設(shè)備自然使用損壞后,當(dāng)事人需填寫(xiě)故障維修申請(qǐng)單報(bào)信息中心, 由信息中心指派專人檢查損壞情況后進(jìn)行維修,對(duì)無(wú)法當(dāng)時(shí)維修好的設(shè)備聯(lián)系廠商或維修單位進(jìn)行修理。5) 非信息中心指定維護(hù)人員不得私自拆卸電子設(shè)備、不得維修設(shè)備或更換零件,凡因此而造成的設(shè)備損壞或配件丟失由當(dāng)事人負(fù)責(zé)賠償。6) 系統(tǒng)設(shè)備的擴(kuò)容和升級(jí)應(yīng)由信息中心考察必要性和可行性,經(jīng)領(lǐng)導(dǎo)批準(zhǔn)后,統(tǒng)一安排購(gòu)買配件和
5、實(shí)施升級(jí)。任何人不得自行聯(lián)系設(shè)備升級(jí)。5 設(shè)備報(bào)廢1) 長(zhǎng)期閑置或不再使用的設(shè)備可向信息中心提出調(diào)撥或報(bào)廢申請(qǐng), 由信息中心根據(jù)設(shè)備的完好率、使用年限等因數(shù)決定進(jìn)行調(diào)撥或報(bào)廢。2) 對(duì)各部門(mén)內(nèi)確無(wú)使用價(jià)值的設(shè)備的報(bào)廢申請(qǐng),由信息中心核準(zhǔn)后報(bào)領(lǐng)導(dǎo)批準(zhǔn),并由財(cái)務(wù)部備案。3) 由于使用人員重大責(zé)任事故而造成的部門(mén)內(nèi)的設(shè)備報(bào)廢,必須追究當(dāng)事人的責(zé)任,經(jīng)領(lǐng)導(dǎo)批準(zhǔn)后,再作報(bào)廢處理,并由財(cái)務(wù)部備案。4) 各分支機(jī)構(gòu)大額設(shè)備(單件購(gòu)買價(jià)超過(guò)五萬(wàn))的調(diào)撥和報(bào)廢工作原則上采用各單位提申請(qǐng),信息中心審核批準(zhǔn)的方式。5) 設(shè)備報(bào)廢依據(jù)財(cái)務(wù)管理辦法和有關(guān)規(guī)定執(zhí)行,對(duì)報(bào)廢設(shè)備上保存的存貯介質(zhì)要進(jìn)行清除,防止泄密。二、軟件
6、安全管理1 軟件的選型1) 應(yīng)用軟件在開(kāi)發(fā)或購(gòu)買之前應(yīng)正式立項(xiàng),成立由技術(shù)人員、業(yè)務(wù)人員和管理人員共同組成的項(xiàng)目小組并建立軟件質(zhì)量保證體系。2) 選用的軟件必須是正版軟件。2 軟件安全檢測(cè)審查1) 軟件在正式使用之前應(yīng)進(jìn)行必要的安全功能檢測(cè),保證業(yè)務(wù)能正常安全可靠的運(yùn)行。不得建立無(wú)關(guān)的用戶,測(cè)試用戶在完成測(cè)試后必須加以限制或刪除。2) 應(yīng)用軟件在正式投入使用前必須經(jīng)過(guò)內(nèi)部評(píng)審,確認(rèn)系統(tǒng)功能、測(cè)試結(jié)果和試運(yùn)行結(jié)果均滿足設(shè)計(jì)要求,技術(shù)文檔齊全,并經(jīng)分管領(lǐng)導(dǎo)批準(zhǔn)。3) 重要的業(yè)務(wù)應(yīng)用系統(tǒng)應(yīng)具有如下安全特性:4) 自動(dòng)記錄全部操作過(guò)程;5) 關(guān)鍵數(shù)據(jù)不得以明碼存放;6) 無(wú)法繞過(guò)應(yīng)用界面直接查看或操作
7、數(shù)據(jù)庫(kù);7) 系統(tǒng)管理與業(yè)務(wù)操作權(quán)限嚴(yán)格分開(kāi);8) 防止異常中斷后非法進(jìn)入系統(tǒng);9) 提供超時(shí)鍵盤(pán)鎖定功能;10) 業(yè)務(wù)數(shù)據(jù)在通信網(wǎng)絡(luò)上以加密方式傳輸;11) 應(yīng)存儲(chǔ)一年以上完整的系統(tǒng)運(yùn)行記錄;12) 提供系統(tǒng)運(yùn)行狀態(tài)監(jiān)控模塊;13) 提供數(shù)據(jù)接口,滿足稽核、審計(jì)及技術(shù)監(jiān)控的要求;14) 其它有助于控制業(yè)務(wù)操作風(fēng)險(xiǎn)的功能特性。15) 系統(tǒng)軟件應(yīng)具備如下安全功能:16) 身份驗(yàn)證功能,防止非法用戶隨意進(jìn)入系統(tǒng);17) 訪問(wèn)控制功能,防止系統(tǒng)中出現(xiàn)越權(quán)訪問(wèn);18) 故障恢復(fù)功能,能夠自動(dòng)或在人工干預(yù)下從故障狀態(tài)恢復(fù) 到正常狀態(tài)而不致造成系統(tǒng)混亂和數(shù)據(jù)丟失;19) 安全保護(hù)功能,對(duì)信息的交換、傳輸、
8、存儲(chǔ)提供安全保護(hù);20) 安全審計(jì)功能,便于應(yīng)用系統(tǒng)建立訪問(wèn)用戶資源的審計(jì)記 錄;21) 分權(quán)制約功能,支持對(duì)操作員和管理員的權(quán)限分離與相互 制約。22) 系統(tǒng)軟件應(yīng)達(dá)到相應(yīng)的安全級(jí)別才能投入正常使用。23) 數(shù)據(jù)庫(kù)管理軟件除上述功能要求外,還應(yīng)具有數(shù)據(jù)庫(kù)的安 全性、完整性、一致性及可恢復(fù)性保障機(jī)制。24) 應(yīng)用軟件應(yīng)具備基本的訪問(wèn)控制和安全審計(jì)功能。3 軟件系統(tǒng)開(kāi)發(fā)1) 根據(jù)應(yīng)用系統(tǒng)對(duì)安全的要求,同步進(jìn)行安全保密設(shè)計(jì)。2) 軟件開(kāi)發(fā)過(guò)程應(yīng)符合GB/T8566-1995 信息技術(shù)軟件生存期過(guò)程。3) 開(kāi)發(fā)維護(hù)人員與操作人員必須實(shí)行崗位分離,開(kāi)發(fā)環(huán)境和現(xiàn)場(chǎng)必須與生產(chǎn)環(huán)境和現(xiàn)場(chǎng)隔離。4) 軟件設(shè)計(jì)
9、方案、數(shù)據(jù)結(jié)構(gòu)、加密算法、源代碼等技術(shù)資料嚴(yán)禁流入生產(chǎn)現(xiàn)場(chǎng)、散失和外泄。5) 開(kāi)發(fā)的軟件應(yīng)遵循上述2.2 中的安全特性和功能。4 軟件使用與維護(hù)1) 應(yīng)規(guī)定軟件的使用范圍和使用權(quán)限。2) 嚴(yán)禁擅自使用外來(lái)的磁盤(pán)、磁帶和光盤(pán)。如工作需要,必須在確保無(wú)計(jì)算機(jī)病毒、計(jì)算機(jī)系統(tǒng)工作安全的情況下,經(jīng)信息中心批準(zhǔn),并做好登記后方可使用。3) 軟件使用人員應(yīng)經(jīng)過(guò)適當(dāng)?shù)牟僮髋嘤?xùn)和安全教育。4) 信息技術(shù)人員不得擅自進(jìn)行軟件維護(hù)和系統(tǒng)參數(shù)調(diào)整。5) 應(yīng)采取有效措施,防止對(duì)應(yīng)用軟件的非法修改。6) 設(shè)專人負(fù)責(zé)業(yè)務(wù)軟件的版本升級(jí),及時(shí)為軟件缺陷打補(bǔ)丁。5 軟件安全跟蹤與報(bào)告1) 設(shè)專人負(fù)責(zé)跟蹤系統(tǒng)軟件的安全補(bǔ)丁,及
10、時(shí)彌補(bǔ)安全漏洞。2) 關(guān)鍵的業(yè)務(wù)系統(tǒng)軟件和應(yīng)用軟件必須啟用其自身的安全審計(jì)留痕功能,便于系統(tǒng)建立訪問(wèn)用戶資源的審計(jì)記錄。3) 專人負(fù)責(zé)定期檢查和跟蹤審計(jì)日志,及時(shí)發(fā)現(xiàn)問(wèn)題,并生成日志分析報(bào)告。4) 定期對(duì)系統(tǒng)產(chǎn)生的日志進(jìn)行轉(zhuǎn)存和清除。三、數(shù)據(jù)安全管理1 數(shù)據(jù)保密性管理1) 對(duì)系統(tǒng)數(shù)據(jù)實(shí)施嚴(yán)格的安全與保密管理,防止系統(tǒng)數(shù)據(jù)的非法生成、變更、泄露、丟失與破壞。2) 關(guān)鍵業(yè)務(wù)數(shù)據(jù)不得泄露,禁止外傳。3) 重要數(shù)據(jù)的處理過(guò)程中,被批準(zhǔn)使用數(shù)據(jù)人員以外的其它人員不應(yīng)進(jìn)入機(jī)房工作;處理結(jié)束后,應(yīng)清除不能帶走的本作業(yè)數(shù)據(jù);妥善處理打印結(jié)果,任何記有重要信息的廢棄物在處理前應(yīng)進(jìn)行粉碎。4) 各業(yè)務(wù)數(shù)據(jù)僅用于明
11、確規(guī)定的目的,未經(jīng)批準(zhǔn)不得它用。5) 無(wú)正當(dāng)理由和有關(guān)批準(zhǔn)手續(xù),不得查閱客戶資料;經(jīng)正式批件查閱數(shù)據(jù)時(shí)必須登記,并由查閱人簽字。6) 涉密數(shù)據(jù)不得以明碼形式存儲(chǔ)和傳輸。7) 根據(jù)數(shù)據(jù)的保密規(guī)定和用途,確定數(shù)據(jù)使用人員的存取權(quán)限、存取方式和審批手續(xù)。8) 在數(shù)據(jù)的傳輸過(guò)程中采用各種加密手段進(jìn)行保障,如利用SSL、 PGP 等技術(shù)手段。9) 未經(jīng)允許,不準(zhǔn)將機(jī)房設(shè)備、維護(hù)用品、軟盤(pán)、資料等私自帶出機(jī)房, 如有特殊情況,需經(jīng)負(fù)責(zé)人同意并進(jìn)行登記后方可帶出。2 數(shù)據(jù)訪問(wèn)控制管理1) 設(shè)置系統(tǒng)管理員崗位,對(duì)系統(tǒng)數(shù)據(jù)實(shí)行專人管理。2) 設(shè)置數(shù)據(jù)庫(kù)管理員崗位,對(duì)業(yè)務(wù)數(shù)據(jù)實(shí)行專人管理。3) 數(shù)據(jù)庫(kù)管理系統(tǒng)的口
12、令必須由專人掌管,并定期更換。禁止同一人掌管操作系統(tǒng)口令和數(shù)據(jù)庫(kù)管理系統(tǒng)口令。4) 重要數(shù)據(jù)的處理過(guò)程中,被批準(zhǔn)使用數(shù)據(jù)人員以外的其它人員不應(yīng)進(jìn)入機(jī)房工作。處理結(jié)束后,應(yīng)清除不能帶走的本作業(yè)數(shù)據(jù)。 應(yīng)妥善處理打印結(jié)果,任何記有重要信息的廢棄物在處理前應(yīng)進(jìn)行粉碎。5) 對(duì)數(shù)據(jù)的備份、恢復(fù)、轉(zhuǎn)出、轉(zhuǎn)入的權(quán)限都應(yīng)嚴(yán)加控制。嚴(yán)禁未經(jīng)授權(quán)將財(cái)務(wù)數(shù)據(jù)等拷貝出系統(tǒng),轉(zhuǎn)給無(wú)關(guān)的人員或單位;嚴(yán)禁未經(jīng)授權(quán)進(jìn)行數(shù)據(jù)恢復(fù)或轉(zhuǎn)入操作。6) 采用實(shí)時(shí)監(jiān)控機(jī)制,及時(shí)發(fā)現(xiàn)不良信息或破壞性數(shù)據(jù),對(duì)其采取封堵、清除等相應(yīng)安全控制措施。7) 對(duì)監(jiān)控或檢測(cè)到的可疑數(shù)據(jù)采用跟蹤機(jī)制,并對(duì)其進(jìn)行可控性操作,以便發(fā)現(xiàn)其最終企圖。3 數(shù)據(jù)備
13、份管理1) 每個(gè)工作日結(jié)束后必須制作數(shù)據(jù)的備份并異地存放,保證系統(tǒng)發(fā)生故障時(shí)能夠快速恢復(fù)。2) 關(guān)鍵業(yè)務(wù)數(shù)據(jù)必須定期、完整、真實(shí)、準(zhǔn)確地轉(zhuǎn)儲(chǔ)到不可更改的介質(zhì)上,并要求集中和異地保存,保存期限至少15 年。3) 備份的數(shù)據(jù)必須指定專人負(fù)責(zé)保管,由營(yíng)業(yè)部計(jì)算機(jī)信息技術(shù)人員按規(guī)定的方法同數(shù)據(jù)保管員進(jìn)行數(shù)據(jù)的交接。交接后的備份數(shù)據(jù)應(yīng)在指定的數(shù)據(jù)保管室或指定的場(chǎng)所保管。4) 數(shù)據(jù)保管員必須對(duì)備份數(shù)據(jù)進(jìn)行規(guī)范的登記管理。5) 備份數(shù)據(jù)不得更改。6) 備份數(shù)據(jù)保管地點(diǎn)應(yīng)有防火、防熱、防潮、防塵、防磁、防盜設(shè)施。5 數(shù)據(jù)存儲(chǔ)管理1) 設(shè)專人負(fù)責(zé)數(shù)據(jù)存儲(chǔ)設(shè)備的使用和安全,包括磁盤(pán)陣列、磁帶、光盤(pán)等的安全。2) 采用專門(mén)的數(shù)據(jù)備份和容災(zāi)安全解決方案及存儲(chǔ)設(shè)備。3) 備份數(shù)據(jù)除了備
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 濾泡性咽炎的健康宣教
- 抗利尿激素不適當(dāng)分泌綜合征的臨床護(hù)理
- 副耳的健康宣教
- 慢性萎縮性肢端皮炎的臨床護(hù)理
- 《進(jìn)階策略銷售培訓(xùn)》課件
- 急性尿潴留的護(hù)理
- 子宮縱膈的健康宣教
- 嚴(yán)重急性呼吸綜合征的臨床護(hù)理(修正)
- 產(chǎn)后豆腐渣樣白帶的健康宣教
- 孕期肩頸疼的健康宣教
- 人教版高一地理必修一期末試卷
- 山東省臨沂市2023-2024學(xué)年高二上學(xué)期1月期末地理試題 附答案
- 2024-2025學(xué)年北師大版九年級(jí)上冊(cè)數(shù)學(xué)期末測(cè)試綜合練習(xí)題(原卷版)-A4
- 2025北京語(yǔ)言大學(xué)新編長(zhǎng)聘人員招聘21人筆試備考試題及答案解析
- 博鰲機(jī)場(chǎng)控制區(qū)證件培訓(xùn)專項(xiàng)測(cè)試卷
- 珠寶鑒賞智慧樹(shù)知到期末考試答案章節(jié)答案2024年同濟(jì)大學(xué)
- 國(guó)家開(kāi)放大學(xué)《中文學(xué)科論文寫(xiě)作》形考任務(wù)1-4參考答案
- 礦山資源動(dòng)態(tài)儲(chǔ)量管理要求
- GB∕T 16754-2021 機(jī)械安全 急停功能 設(shè)計(jì)原則
- 中國(guó)美食英文介紹ppt課件
- 語(yǔ)文課外閱讀興趣小組活動(dòng)記錄
評(píng)論
0/150
提交評(píng)論