信息安全制度管理.docVIP

Slide 2: ?上 海 市 业 余 科 技 学 院一、信息安全管理制度（1）只要符合国家信息安全法律、法规的规定，各单位、组织可以根据自身的实际情况和特点，制定信息安全管理制度，其具体内容如下：P113（1）安全策略与制度；（2）安全风险管理；（3）人员和组织安全管理；（4）环境与设备安全管理；（5）网络与通信安全管理；（6）应用与业务安全管理；（7）数据安全和加密管理；（8）项目工程安全管理；（9）运行和维护安全管理；（10）业务连续性管理；（11）合规性管理；（12）主机与系统安全管理； Slide 3: ?上 海 市 业 余 科 技 学 院二、信息安全管理制度示例（1）（一）物理环境安全管理规范1.安全域为了防止非法进入、危害和干扰，确保内部设备的运行安全和信息安全，应在计算机机房内部划分安全域。安全域包括主机、网络、打印、操作、介质等。严格控制人员出入安全域。2.门禁控制( 必须设置控制人员出入的门禁系统（如磁卡、指纹识别等），并建立24小时值班制度。( 门禁系统按照最小授权原则，严格控制计算机机房及内部各安全域的人员出入。3 .监控与报警计算机机房必须安装摄像监控系统，对机房大门和重要区域进行监控和记录，在发现异常情况时，启动报警系统，报警系统与保安系统和公安部110联动。4.人员安全管理对于机房工作人员，按照其工作岗位职能进行不同级别的授权，严格控制人员访问机房内部区域的权限，确保机房物理环境的安全。 Slide 4: ?上 海 市 业 余 科 技 学 院二、信息安全管理制度示例（2）5.设备放置与保护设备放置与保护的原则： 关键设备和需要特别保护的设备，应在物理上实现有效隔离。 设备放置应有助于控制并降低潜在威胁和风险。设备放置应考虑便于维护。 设备应放置在相应的安全域中。6.电源管理 配电系统应有详细的配线图； 配电柜设备要放置在便于维护的明显位置，注意各线路负载； 增加、迁移、变更设备时，必须及时修改配线图； 对于要求双路供电的设备，双路电源必须来自不同的UPS。 Slide 5: ?上 海 市 业 余 科 技 学 院二、信息安全管理制度示例（3）7.电缆管理 计算机机房内，电源电缆和通信电缆应铺设在地板下，通过屏蔽保护以避免干扰； 根据设备的用电负荷合理选用电缆； 对于多路主干通信线路进入计算机机房，应采用不同的方向，不同电缆井的入户方式，以降低外界施工带来的破坏风险。8.环境管理和维护 定时检查和记录机房环境的温度、湿度等。 定时检查各种环境设备的运转状况； 定期对各种环境设备进行例行检修；9.设备常规管理建立签收制度，设立专职介质管理岗位，严格管理各种存储介质和信息报表文档。介质在报废之前应删除信息，并集中统一保管，按照相应规范的保密性要求进行报废处理。不得在机房内拍照，不得随意取走机房内的设备和资料。 Slide 6: ?上 海 市 业 余 科 技 学 院二、信息安全管理制度示例（4）10.设备变更管理对任何设备的迁移、扩容和升级、维修、施工等操作均应制定相应的制度和标准工作流程，实施结结束，应向安检部门递交相应的记录和技术文档。11.设备故障处理 将故障分为两类：一类：电源等系统故障；二类：空调、门禁等故障； 发生一类故障应及时采取应急措施，如切换到UPS等；发生二类故障时，应尽快找故障原因并排除故障。12.管理制度和规定应当制定严密的规范和各项管理制度，包括值班制度、机房管理规定等。 Slide 7: ?上 海 市 业 余 科 技 学 院二、信息安全管理制度示例（5）（二）终端计算机安全使用规范（1）安装防病毒软件，在线自动更新功能；（2）将IE浏览器的安全级别调整为“中”，将隐私级别设置为“中高”；（3）应安装操作系统的最新补丁软件包，弥补安全漏洞；（4）启动操作系统的自动更新服务；（5）设置登录密码，并定期修改；（6）清除IE浏览器的临时文件夹，防止部分敏感内容泄露；（7）注意定期备份重要文件；（8）注意不要随意打开邮件，并立即予以删除；（9）禁止私自修改系统的计算机命名标识和网络配置；（10）禁止在办公网络中使用调制解调器拨号上网；（11）禁止私自安装各种应用软件；（12）禁止访问互联网上与工作无关或来历不明的站点，禁止从互联网上下载与工作无关的文件。 Slide 8: ?上 海 市 业 余 科 技 学 院二、信息安全管理制度示例（6）（三）防火墙系统管理规范防火墙是企业网络安全的关键设备，是不同网络安全域间通信流的唯一通道，能根据企业有关的安全策略控制（允许、拒绝、监视和记录）进出网络的访