ISMSB2015 信息安全管理規(guī)范

1、信息安全管理制度規(guī)范樣式編號ISMS-B-2015編制審核批準密級內(nèi)部版本V1.0發(fā)布日期2015年8月目錄1信息安全規(guī)范31.1總則31.2環(huán)境管理31.3資產(chǎn)管理51.4介質(zhì)管理61.5設備管理6總則6系統(tǒng)主機維護管理辦法6涉密計算機安全管理辦法91.6系統(tǒng)安全管理91.7惡意代碼防范管理111.8變更管理111.9安全事件處置111.10監(jiān)控管理和安全管理中心121.11數(shù)據(jù)安全管理121.12網(wǎng)絡安全管理131.13操作管理151.14安全審計管理辦法161.15信息系統(tǒng)應急預案161.16附表171 信息安全規(guī)范1.1 總則第1條 為明確崗位職責，規(guī)范操作流程，確保公司信息系統(tǒng)的安全

2、，根據(jù)中華人民共和國計算機信息系統(tǒng)安全保護條例等有關規(guī)定，結(jié)合公司實際，特制訂本制度。 第2條 信息系統(tǒng)是指由計算機及其相關的和配套的設備、設施（含網(wǎng)絡）構(gòu)成的，按照一定的應用目標和規(guī)則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)。第3條 信息安全系統(tǒng)遵循安全性、可行性、效率性、可承擔性的設計原則，將從物理安全、網(wǎng)絡安全、支撐層系統(tǒng)安全、應用層系統(tǒng)安全、數(shù)據(jù)及資料安全幾方面進行部署實施。1.2 環(huán)境管理第1條 信息機房由客戶安排指定，但應該滿足如下的要求：1、物理位置的選擇(G3)序號等級保護要求1機房應選擇在具有防震、防風和防雨等能力的建筑內(nèi)。2機房場地應避免設在建筑物的高層或地下

3、室，以及用水設備的下層或隔壁,如果不可避免，應采取有效防水措施。2、防雷擊(G3)序號等級保護要求1機房建筑應設置避雷裝置。2應設置防雷保安器，防止感應雷。3機房應設置交流電源地線。3、防火(G3)序號等級保護要求1機房應設置火災自動消防系統(tǒng)，能夠自動檢測火情、自動報警，并自動滅火。2機房及相關的工作房間和輔助房應采用具有耐火等級的建筑材料。3機房應采取區(qū)域隔離防火措施，將重要設備與其他設備隔離開。4、防水和防潮(G3)序號等級保護要求1主機房盡量避開水源，與主機房無關的給排水管道不得穿過主機房,與主機房相關的給排水管道必須有可靠的防滲漏措施；2應采取措施防止雨水通過機房窗戶、屋頂和墻壁滲透。

4、5、防靜電(G3)序號等級保護要求1主要設備應采用必要的接地防靜電措施。2機房應采用防靜電地板。6、溫濕度控制(G3)序號等級保護要求1機房應設置溫、濕度自動調(diào)節(jié)設施，使機房溫、濕度的變化在設備運行所允許的范圍之內(nèi)。7、電磁防護(S2)序號等級保護要求1應采用接地方式防止外界電磁干擾和設備寄生耦合干擾。2電源線和通信線纜應隔離鋪設，避免互相干擾。3應對關鍵設備和磁介質(zhì)實施電磁屏蔽。8、物理訪問控制(G3)序號等級保護要求1機房各出入口應安排專人值守或配置電子門禁系統(tǒng)，控制、鑒別和記錄進入的人員。2需進入機房的來訪人員應經(jīng)過申請和審批流程，并限制和監(jiān)控其活動范圍。3應對機房劃分區(qū)域進行管理，區(qū)域

5、和區(qū)域之間應用物理方式隔斷，在重要區(qū)域前設置交付或安裝等過渡區(qū)域；4重要區(qū)域應配置電子門禁系統(tǒng)，控制、鑒別和記錄進入的人員。9、防盜竊和防破壞(G3)序號等級保護要求1應將主要設備放置在機房內(nèi)。2應將設備或主要部件進行固定，并設置明顯的不易除去的標記。3應將通信線纜鋪設在隱蔽處，可鋪設在地下或管道中。4應對介質(zhì)分類標識，存儲在介質(zhì)庫或檔案室中。第2條 由客戶指定專門的部門或人員定期對機房供配電、空調(diào)、溫濕度控制等設施進行維護管理。第3條 出入機房要有登記記錄。非機房工作人員不得進入機房。外來人員進機房參觀需經(jīng)保密辦批準，并有專人陪同。第4條 進入機房人員不得攜帶任何易燃、易爆、腐蝕性、強電磁、

6、輻射性、流體物質(zhì)、食品等對設備正常運行構(gòu)成威脅的物品。嚴禁在機房內(nèi)吸煙。嚴禁在機房內(nèi)堆放與工作無關的雜物。第5條 機房內(nèi)應按要求配置足夠量的消防器材，并做到三定（定位存放、定期檢查、定時更換）。加強防火安全知識教育，做到會使用消防器材。加強電源管理，嚴禁亂接電線和違章用電。發(fā)現(xiàn)火險隱患，及時報告，并采取安全措施。第6條 機房應保持整潔有序，地面清潔。設備要排列整齊，布線要正規(guī)，儀表要齊備，工具要到位，資料要齊全。機房的門窗不得隨意打開。第7條 每天上班前和下班后對機房做日常巡檢，檢查機房環(huán)境、電源、設備等并做好相應記錄（見表一）。第8條 對臨時進入機房工作的人員，不再發(fā)放門禁卡，在向用戶單位保

7、密部門提出申請得到批準后，由安全保密管理員陪同進入機房工作。1.3 資產(chǎn)管理第1條 編制并保存與信息系統(tǒng)相關的資產(chǎn)清單，包括資產(chǎn)責任部門、重要程度和所處位置等內(nèi)容。第2條 規(guī)定信息系統(tǒng)資產(chǎn)管理的責任人員或責任部門，并規(guī)范資產(chǎn)管理和使用的行為。第3條 根據(jù)資產(chǎn)的重要程度對資產(chǎn)進行標識管理。第4條 對信息分類與標識方法作出規(guī)定，并對信息的使用、傳輸和存儲等進行規(guī)范化管理。1.4 介質(zhì)管理第1條 建立介質(zhì)安全管理制度，對介質(zhì)的存放環(huán)境、使用、維護和銷毀等方面作出規(guī)定。第2條 建立移動存儲介質(zhì)安全管理制度，對移動存儲介質(zhì)的使用進行管控。第3條 確保介質(zhì)存放在安全的環(huán)境中，對各類介質(zhì)進行控制和保護，并實

8、行存儲環(huán)境專人管理。第4條 對介質(zhì)在物理傳輸過程中的人員選擇、打包、交付等情況進行控制，對介質(zhì)歸檔和查詢等進行登記記錄，并根據(jù)存檔介質(zhì)的目錄清單定期盤點。第5條 對存儲介質(zhì)的使用過程、送出維修以及銷毀等進行嚴格的管理，對帶出工作環(huán)境的存儲介質(zhì)進行內(nèi)容加密和監(jiān)控管理，對送出維修或銷毀的介質(zhì)應首先清除介質(zhì)中的敏感數(shù)據(jù)，對保密性較高的存儲介質(zhì)未經(jīng)批準不得自行銷毀。第6條 根據(jù)數(shù)據(jù)備份的需要對某些介質(zhì)實行異地存儲，存儲地的環(huán)境要求和管理方法應與本地相同第7條 對重要數(shù)據(jù)或軟件采用加密介質(zhì)存儲，并根據(jù)所承載數(shù)據(jù)和軟件的重要程度對介質(zhì)進行分類和標識管理。1.5 設備管理1.5.1 總則第1條 由系統(tǒng)管理員

9、對信息系統(tǒng)相關的各種設備（包括備份和冗余設備）、線路等進行定期維護管理。第2條 建立基于申報、審批和專人負責的設備安全管理制度。第3條 建立明確維護人員的責任、涉外維修和服務的審批、維修過程的監(jiān)督控制的管理制度。第4條 對終端計算機、工作站、便攜機、系統(tǒng)和網(wǎng)絡等設備的操作和使用進行規(guī)范化管理，按操作規(guī)程實現(xiàn)主要設備（包括備份和冗余設備）的啟動/停止、加電/斷電等操作第5條 確保信息處理設備必須經(jīng)過審批才能帶離機房或辦公地點。1.5.2 系統(tǒng)主機維護管理辦法第1條 系統(tǒng)主機由系統(tǒng)管理員負責維護，未經(jīng)允許任何人不得對系統(tǒng)主機進行更改操作。第2條 根據(jù)系統(tǒng)設計方案和應用系統(tǒng)運行要求進行主機系統(tǒng)安裝、

10、調(diào)試，建立系統(tǒng)管理員賬戶，設置管理員密碼，建立用戶賬戶，設置系統(tǒng)策略、用戶訪問權(quán)利和資源訪問權(quán)限，并根據(jù)安全風險最小化原則及運行效率最大化原則配置系統(tǒng)主機。第3條 建立系統(tǒng)設備檔案（見表二）、包括系統(tǒng)主機詳細的技術(shù)參數(shù)，如：品牌、型號、購買日期、序列號、硬件配置信息、軟件配置信息、網(wǎng)絡配置信息、系統(tǒng)配置信息，妥善保管系統(tǒng)主機保修卡，在系統(tǒng)主機軟硬件信息發(fā)生變更時對設備檔案進行及時更新。第4條 每周修改系統(tǒng)主機管理員密碼，密碼長度不得低于八位，要求有數(shù)字、字母并區(qū)分大小寫。第5條 每周通過系統(tǒng)性能分析軟件對系統(tǒng)主機進行運行性能分析，并做詳細記錄（見表四），根據(jù)分析情況對系統(tǒng)主機進行系統(tǒng)優(yōu)化，包括

11、磁盤碎片整理、系統(tǒng)日志文件清理，系統(tǒng)升級等。第6條 每周對系統(tǒng)日志、系統(tǒng)策略、系統(tǒng)數(shù)據(jù)進行備份，做詳細記錄（見表四）。第7條 每天檢查系統(tǒng)主機各硬件設備是否正常運行，并做詳細記錄（見表五）。第8條 每天檢查系統(tǒng)主機各應用服務系統(tǒng)是否運行正常，并做詳細記錄（見表五）。第9條 每天記錄系統(tǒng)主機運行維護日記，對系統(tǒng)主機運行情況進行總結(jié)。第10條 在系統(tǒng)主機發(fā)生故障時應及時通知用戶，用最短的時間解決故障，保證系統(tǒng)主機盡快正常運行，并對系統(tǒng)故障情況做詳細記錄（見表六）。第11條 每月對系統(tǒng)主機運行情況進行總結(jié)、并寫出系統(tǒng)主機運行維護月報，上報保密辦。第12條 系統(tǒng)主機的信息安全等級保持要求：1、身份鑒別

12、序號等級保護要求1對登錄操作系統(tǒng)的用戶進行身份標識和鑒別。2操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份鑒別信息應不易被冒用，口令復雜度應滿足要求并定期更換。口令長度不得小于8位，且為字母、數(shù)字或特殊字符的混合組合，用戶名和口令禁止相同。3啟用登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施。限制同一用戶連續(xù)失敗登錄次數(shù)。4當對服務器進行遠程管理時，采取必要措施，防止鑒別信息在網(wǎng)絡傳輸過程中被竊聽。5為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性。2、訪問控制序號等級保護要求1啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問。2根據(jù)管理用戶的角色分配權(quán)限，實現(xiàn)管

13、理用戶的權(quán)限分離，僅授予管理用戶所需的最小權(quán)限。3實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離。4限制默認帳戶的訪問權(quán)限，重命名系統(tǒng)默認帳戶，修改這些帳戶的默認口令。5及時刪除多余的、過期的帳戶，避免共享帳戶的存在。3、剩余信息保護序號等級保護要求1保證操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶的鑒別信息所在的存儲空間，被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中。2確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前得到完全清除。4、入侵防范序號等級保護要求1操作系統(tǒng)應遵循最小安裝的原則，僅安裝必要的組件和應用程序，并通過設置升級服務器等方式保持

14、系統(tǒng)補丁及時得到更新，補丁安裝前應進行安全性和兼容性測試。2能夠檢測到對重要服務器進行入侵的行為，能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間，并在發(fā)生嚴重入侵事件時提供報警。3能夠?qū)χ匾绦虻耐暾赃M行檢測，并具有完整性恢復的能力。5、惡意代碼防范序號等級保護要求1在本機安裝防惡意代碼軟件或獨立部署惡意代碼防護設備，并及時更新防惡意代碼軟件版本和惡意代碼庫。2支持防惡意代碼的統(tǒng)一管理。3主機防惡意代碼產(chǎn)品應具有與網(wǎng)絡防惡意代碼產(chǎn)品不同的惡意代碼庫。6、資源控制序號等級保護要求1通過設定終端接入方式、網(wǎng)絡地址范圍等條件限制終端登錄。2根據(jù)安全策略設置登錄終端的操作超時鎖定。3根據(jù)需

15、要限制單個用戶對系統(tǒng)資源的最大或最小使用限度。4對重要服務器進行監(jiān)視，包括監(jiān)視服務器的CPU、硬盤、內(nèi)存、網(wǎng)絡等資源的使用情況。5能夠?qū)ο到y(tǒng)的服務水平降低到預先規(guī)定的最小值進行檢測和報警。1.5.3 涉密計算機安全管理辦法第1條 涉密計算機安全管理由安全保密管理員專人負責，未經(jīng)允許任何人不得進行此項操作。第2條 根據(jù)網(wǎng)絡系統(tǒng)安全設計要求制定、修改、刪除涉密計算機安全審計策略，包括打印控制策略、外設輸入輸出控制策略、應用程序控制策略，并做記錄。第3條 每日對涉密計算機進行安全審計，及時處理安全問題，并做詳細記錄（見表十八），遇有重大問題上報保密部門。第4條 涉密計算機的新增、變更、淘汰需經(jīng)保密部

16、門審批，審批通過后由安全保密管理員統(tǒng)一進行操作，并做詳細記錄（見表十八）。第5條 新增涉密計算機聯(lián)入涉密網(wǎng)絡，需經(jīng)保密辦審批，由安全保密管理員統(tǒng)一進行操作，并做詳細記錄（見表十八）。1.6 系統(tǒng)安全管理第1條 根據(jù)業(yè)務需求和系統(tǒng)安全分析確定系統(tǒng)的訪問控制策略。序號等級保護要求1啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問。2根據(jù)管理用戶的角色分配權(quán)限，實現(xiàn)管理用戶的權(quán)限分離，僅授予管理用戶所需的最小權(quán)限。3實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離。4限制默認帳戶的訪問權(quán)限，重命名系統(tǒng)默認帳戶，修改這些帳戶的默認口令。5及時刪除多余的、過期的帳戶，避免共享帳戶的存在。6對重要信息資源設置

17、敏感標記，系統(tǒng)不支持設置敏感標記的，應采用專用安全設備生成敏感標記，用以支持強制訪問控制機制。7依據(jù)安全策略嚴格控制用戶對有敏感標記重要信息資源的操作。第2條 定期進行漏洞掃描，對發(fā)現(xiàn)的系統(tǒng)安全漏洞及時進行修補。第3條 安裝系統(tǒng)的最新補丁程序，在安裝系統(tǒng)補丁前，首先在測試環(huán)境中測試通過，并對重要文件進行備份后，方可實施系統(tǒng)補丁程序的安裝。第4條 依據(jù)操作手冊對系統(tǒng)進行維護，詳細記錄操作日志，包括重要的日常操作、運行維護記錄、參數(shù)的設置和修改等內(nèi)容，嚴禁進行未經(jīng)授權(quán)的操作。第5條 定期對運行日志和審計數(shù)據(jù)進行分析，以便及時發(fā)現(xiàn)異常行為。第6條 信息系統(tǒng)的運行維護由系統(tǒng)管理員負責維護，未經(jīng)允許任何

18、人不得對信息系統(tǒng)進行任何操作。第7條 根據(jù)信息系統(tǒng)的設計要求及實施細則安裝、調(diào)試、配置信息系統(tǒng)，建立信息系統(tǒng)管理員賬號，設置管理員密碼，密碼要求由數(shù)字和字母組成，區(qū)分大小寫，密碼長度不得低于8位。第8條 對信息系統(tǒng)的基本配置信息做詳細記錄，包括系統(tǒng)配置信息、用戶帳戶名稱，系統(tǒng)安裝目錄、數(shù)據(jù)文件存貯目錄，在信息系統(tǒng)配置信息發(fā)生改變時及時更新記錄（見表三）。第9條 每周對信息系統(tǒng)系統(tǒng)數(shù)據(jù)、用戶ID文件、系統(tǒng)日志進行備份，并做詳細記錄（見表四），備份介質(zhì)交保密辦存檔。第10條 當信息系統(tǒng)用戶發(fā)生增加、減少、變更時，新建用戶帳戶，新建用戶郵箱，需經(jīng)保密單位審批，并填寫系統(tǒng)用戶申請單或系統(tǒng)用戶變更申請單

19、（見表七），審批通過后，由系統(tǒng)管理員進行操作，并做詳細記錄。第11條 根據(jù)用戶需求設置信息系統(tǒng)各功能模塊訪問權(quán)限，并提交保密辦審批。第12條 每天檢查信息系統(tǒng)各項應用功能是否運行正常，并做詳細記錄（見表五）。第13條 在信息系統(tǒng)發(fā)生故障時，應及時通知用戶，并用最短的時間解決故障，保證信息系統(tǒng)盡快正常運行，并對系統(tǒng)故障情況做詳細記錄（見表六）。第14條 每天記錄信息系統(tǒng)運行維護日志，對信息系統(tǒng)運行情況進行總結(jié)。第15條 每月對信息系統(tǒng)運行維護情況進行總結(jié)，并寫出信息系統(tǒng)維護月報，并上報保密辦。1.7 惡意代碼防范管理第1條 通過培訓及標識提高所有用戶的防病毒意識，及時告知防病毒軟件版本，在讀取移

20、動存儲設備上的數(shù)據(jù)以及網(wǎng)絡上接收文件或郵件之前，先進行病毒檢查，對外來計算機或存儲設備接入網(wǎng)絡系統(tǒng)之前也應進行病毒檢查。第2條 信息安全專員對網(wǎng)絡和主機進行惡意代碼檢測并保存檢測記錄。第3條 定期檢查信息系統(tǒng)內(nèi)各種產(chǎn)品的惡意代碼庫的升級情況并進行記錄，對主機防病毒產(chǎn)品、防病毒網(wǎng)關和郵件防病毒網(wǎng)關上截獲的危險病毒或惡意代碼進行及時分析處理，并形成報表和總結(jié)匯報。1.8 變更管理第1條 確認系統(tǒng)中要發(fā)生的變更，并制定變更方案。第2條 建立變更管理制度，系統(tǒng)發(fā)生變更前，向主管領導申請，變更和變更方案經(jīng)過評審、審批后方可實施變更，并在實施后將變更情況向相關人員通告。第3條 建立變更控制的申報和審批文件

21、化程序，對變更影響進行分析并文檔化，記錄變更實施過程，并妥善保存所有文檔和記錄。第4條 建立中止變更并從失敗變更中恢復的文件化程序，明確過程控制方法和人員職責，必要時對恢復過程進行演練。1.9 安全事件處置第1條 報告所發(fā)現(xiàn)的安全弱點和可疑事件，但任何情況下用戶均不應嘗試驗證弱點。第2條 制定安全事件報告和處置管理制度，明確安全事件的類型，規(guī)定安全事件的現(xiàn)場處理、事件報告和后期恢復的管理職責。第3條 根據(jù)國家相關管理部門對計算機安全事件等級劃分方法和安全事件對本系統(tǒng)產(chǎn)生的影響，對本系統(tǒng)計算機安全事件進行等級劃分。第4條 制定安全事件報告和響應處理程序，確定事件的報告流程，響應和處置的范圍、程度

22、，以及處理方法等。第5條 在安全事件報告和響應處理過程中，分析和鑒定事件產(chǎn)生的原因，收集證據(jù)，記錄處理過程，總結(jié)經(jīng)驗教訓，制定防止再次發(fā)生的補救措施，過程形成的所有文件和記錄均應妥善保存。第6條 對造成系統(tǒng)中斷和造成信息泄密的安全事件應采用不同的處理程序和報告程序。1.10 監(jiān)控管理和安全管理中心第1條 對通信線路、主機、網(wǎng)絡設備和應用軟件的運行狀況、網(wǎng)絡流量、用戶行為等進行監(jiān)測和報警，形成記錄并妥善保存。第2條 信息安全專員組織相關人員定期對監(jiān)測和報警記錄進行分析、評審，發(fā)現(xiàn)可疑行為，形成分析報告，并采取必要的應對措施。第3條 對設備狀態(tài)、惡意代碼、補丁升級、安全審計等安全相關事項進行集中管

23、理。1.11 數(shù)據(jù)安全管理第1條 凡涉及公司機密的數(shù)據(jù)或文件，非工作需要不得以任何形式轉(zhuǎn)移，更不得透露給他人。離開原工作崗位的員工由所在部門負責人將其所有工作資料收回并保存。第2條 計算機終端用戶務必將重要數(shù)據(jù)存放在計算機硬盤中除系統(tǒng)盤分區(qū)(操作系統(tǒng)所在的硬盤分區(qū)，一般是C盤)外的硬盤分區(qū)。計算機信息系統(tǒng)發(fā)生故障，應及時與信息專員聯(lián)系并采取保護數(shù)據(jù)安全的措施。第3條 計算機終端用戶未做好備份前不得刪除任何硬盤數(shù)據(jù)。對重要的數(shù)據(jù)應準備雙份，存放在不同的地點；對采用磁性介質(zhì)或光盤保存的數(shù)據(jù)，應做好防磁、防火、防潮和防塵工作，并定期進行檢查、復制，防止由于磁性介質(zhì)損壞，丟失數(shù)據(jù)。1、數(shù)據(jù)保密性序號等

24、級保護要求1采用加密或其他保護措施實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務數(shù)據(jù)傳輸保密性；2、備份和恢復序號等級保護要求1提供數(shù)據(jù)本地備份與恢復功能，對重要信息進行備份，數(shù)據(jù)備份至少每天一次，已有數(shù)據(jù)備份可完全恢復至備份執(zhí)行時狀態(tài)，并對備份可恢復性進行定期演練，備份介質(zhì)場外存放。（增強）2提供異地數(shù)據(jù)備份功能，利用通信網(wǎng)絡將關鍵數(shù)據(jù)定時批量傳送至備用場地；3應提供主要網(wǎng)絡設備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余，保證系統(tǒng)的高可用性。1.12 網(wǎng)絡安全管理第1條 信息安全專員對網(wǎng)絡進行管理，負責運行日志、網(wǎng)絡監(jiān)控記錄的日常維護和報警信息分析和處理工作。第2條 根據(jù)廠家提供的軟件升級版本對網(wǎng)絡設備進行更

25、新，并在更新前對現(xiàn)有的重要文件進行備份。第3條 定期對網(wǎng)絡系統(tǒng)進行漏洞掃描，對發(fā)現(xiàn)的網(wǎng)絡系統(tǒng)安全漏洞進行及時的修補。第4條 實現(xiàn)設備的最小服務配置，并對配置文件進行定期離線備份。第5條 保證所有與公司外部網(wǎng)絡的連接均得到授權(quán)和批準。第6條 依據(jù)安全策略允許或者拒絕便攜式和移動式設備的網(wǎng)絡接入。第7條 未進行安全配置、未裝防火墻或殺毒軟件的計算機終端，不得連接公司網(wǎng)絡和服務器。公司員工應定期對所配備的計算機終端的操作系統(tǒng)、殺毒軟件等進行升級和更新，并定期進行病毒查殺。第8條 計算機終端用戶應使用復雜密碼，并定期更改。公司員工應妥善保管根據(jù)職責權(quán)限所掌握的各類辦公賬號和密碼，嚴禁隨意向他人泄露、借

26、用自己的賬號和密碼。第9條 IP地址為計算機網(wǎng)絡的重要資源，公司員工應在信息專員的規(guī)劃下使用這些資源，不得擅自更改。對于影響網(wǎng)絡的系統(tǒng)服務，公司員工應在信息專員的指導下使用，禁止隨意開啟、關閉計算機中的系統(tǒng)服務，保證計算機網(wǎng)絡暢通運行。第10條 經(jīng)遠程通信傳送的程序或數(shù)據(jù)，必須經(jīng)過檢測確認無病毒后方可安裝和使用。 11.1網(wǎng)絡系統(tǒng)運行維護管理辦法第1條 網(wǎng)絡系統(tǒng)運行維護由系統(tǒng)管理員專人負責，未經(jīng)允許任何人不得對網(wǎng)絡系統(tǒng)進行操作。第2條 根據(jù)網(wǎng)絡系統(tǒng)設計方案和實施細則安裝、調(diào)試、配置網(wǎng)絡系統(tǒng)，包括交換機配置、路由器配置，建立管理員賬號，設置管理員密碼，并關閉所有遠程管理端口。第3條 建立系統(tǒng)設備

27、檔案（見表二），包括交換機、路由器的品牌、型號、序列號、購買日期、硬件配置信息，詳細記錄綜合布線系統(tǒng)信息配置表，交換機系統(tǒng)配置，路由器系統(tǒng)配置，網(wǎng)絡拓撲機構(gòu)圖，VLAN劃分表，并在系統(tǒng)配置發(fā)生變更時及時對設備檔案進行更新。第4條 每天檢查網(wǎng)絡系統(tǒng)設備（交換機、路由器）是否正常運行。第5條 每周對網(wǎng)絡系統(tǒng)設備（交換機、路由器）進行清潔。第6條 每周修改網(wǎng)絡系統(tǒng)管理員密碼。第7條 每周檢測網(wǎng)絡系統(tǒng)性能，包括數(shù)據(jù)傳輸?shù)姆€(wěn)定性、可靠性、傳輸速率。第8條 網(wǎng)絡變更后進行網(wǎng)絡系統(tǒng)配置資料備份。第9條 當網(wǎng)絡系統(tǒng)發(fā)生故障時，應及時通知用戶，并在最短的時間內(nèi)解決問題，保證網(wǎng)絡系統(tǒng)盡快正常運行，并對系統(tǒng)故障情況

28、作詳細記錄（見表六）。第10條 每月對網(wǎng)絡系統(tǒng)運行維護情況進行總結(jié)，并作出網(wǎng)絡系統(tǒng)運行維護月報。11.2 網(wǎng)絡病毒入侵防范管理辦法第1條 網(wǎng)絡病毒入侵防護系統(tǒng)由系統(tǒng)管理員專人負責，任何人未經(jīng)允許不得進行此項操作。第2條 根據(jù)網(wǎng)絡系統(tǒng)安全設計要求安裝、配置瑞星網(wǎng)絡病毒防護系統(tǒng)，包括服務器端系統(tǒng)配置和客戶機端系統(tǒng)配置，開啟客戶端防病毒系統(tǒng)的實時監(jiān)控。第3條 每日監(jiān)測防病毒系統(tǒng)的系統(tǒng)日志，檢測是否有病毒入侵、安全隱患等，對所發(fā)現(xiàn)的問題進行及時處理，并做詳細記錄（見表八）。第4條 每周登陸防病毒公司網(wǎng)站，下載最新的升級文件，對系統(tǒng)進行升級，并作詳細記錄（見表九）。第5條 每周對網(wǎng)絡系統(tǒng)進行全面的病毒查

29、殺，對病毒查殺結(jié)果做系統(tǒng)分析，并做詳細記錄（見表十）。第6條 每日瀏覽國家計算機病毒應急處理中心網(wǎng)站，了解最新病毒信息發(fā)布情況，及時向用戶發(fā)布病毒預警和預防措施。11.3 網(wǎng)絡信息安全策略管理辦法第1條 網(wǎng)絡安全策略管理由安全保密管理員專職負責，未經(jīng)允許任何人不得進行此項操作。第2條 根據(jù)網(wǎng)絡信息系統(tǒng)的安全設計要求及主機審計系統(tǒng)數(shù)據(jù)的分析結(jié)果，制定、配置、修改、刪除主機審計系統(tǒng)的各項管理策略，并做記錄（見表十一）。第3條 根據(jù)網(wǎng)絡信息系統(tǒng)的安全設計要求制定、配置、修改、刪除網(wǎng)絡安全評估分析系統(tǒng)的各項管理策略，并做記錄（見表十一）。第4條 根據(jù)網(wǎng)絡信息系統(tǒng)的安全設計要求制定、配置、修改、刪除入侵

30、檢測系統(tǒng)的各項管理策略，并做記錄（見表十一）。第5條 根據(jù)網(wǎng)絡信息系統(tǒng)的安全設計要求制定、配置、修改、刪除、內(nèi)網(wǎng)主機安全監(jiān)控與審計系統(tǒng)的各項管理策略，并做記錄（見表十一）。第6條 每周對網(wǎng)絡信息系統(tǒng)安全管理策略進行數(shù)據(jù)備份，并作詳細記錄（見表十二）。第7條 網(wǎng)絡信息安全技術(shù)防護系統(tǒng)（主機審計系統(tǒng)、漏洞掃描系統(tǒng)、防病毒系統(tǒng)、內(nèi)網(wǎng)主機安全監(jiān)控與審計系統(tǒng)）由網(wǎng)絡安全保密管理員統(tǒng)一負責安裝和卸載。11.4 網(wǎng)絡信息系統(tǒng)安全檢查管理辦法第1條 網(wǎng)絡信息系統(tǒng)安全檢查由安全保密管理員專職負責執(zhí)行，未經(jīng)允許任何人不得進行此項操作。第2條 每天根據(jù)入侵檢測系統(tǒng)的系統(tǒng)策略檢測、審計系統(tǒng)日志，檢查是否有網(wǎng)絡攻擊、異常操作、不正常數(shù)據(jù)流量等，對異常情況做及時處理，遇有重大安全問題上報保密辦