2014安全管理策略及规.docVIP

河南省数字证书有限责任公司 安全管理策略及规范 河南省数字证书认证中心 二零一一年九月二十三日 文档修订记录 序 号 修改时间 修 改 人 审 核 人 备 注 1 2007-05-18 李响 黄俊杰 编写文档。 2 2008-08-12 李响 黄俊杰 对人员角色进行重新定义及分配。 3 2009-03-12 李响 高守龙 对人员角色进行维护，增加安全管理委员会及安全管理小组。 4 2010-05-12 戴鑫征 李响 维护安全管理小组角色。 5 2011-09-12 戴鑫征、李响 陈小龙 维护安全管理委员会及安全小组角色。 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 1.河南CA安全概述 3 2. 安全方针 3 3. 安全组织 3 3.1企业信息基础架构 3 3.3 外包 4 4. 资产分类与控制 4 4. 人事安全 4 4.1工作说明及人力资源的安全 4 4.2 员工培训 5 4.3 安全及失效事件的响应 5 5. 实体、环境安全及操作管理 5 5.1 KMC区 6 5.2 DMZ区 6 5.3 操作区 8 5.4 CA安全区 16 5.5 主要角色描述及职责描述 19 6. 访问控制 24 6.1 访问控制的要求 24 6.2 使用者访问管理 24 7. 系统开发及维护 26 7.1 系统的安全要求 26 7.2 应用系统安全 27 7.3 系统文件的安全 27 7.4 开发和支持过程中的安全 27 8. 业务持续性管理 27 9. 符合性 27 9.1 法规要求的符合性 27 9.2 安全政策符合性及技术符合性的审查 28 1.河南CA安全概述 河南省数字证书有限责任公司（以下简称河南CA）是经国家批准的合法的第三方权威认证机构，是信息安全的基础设施，CA的安全运行对于整个社会的信息化发展、信息安全的保障有着重要意义。一旦CA运行出现严重安全问题，将直接威胁社会的信任体系，甚至导致社会秩序的混乱。 本安全管理策略就河南CA的安全目标、安全组织、资产分类及控制、人事安全、实体及环境安全、操作管理、访问控制、系统的开发及维护、业务持续性及法律法规符合性等方面进行规范，以保障河南CA的运行安全。 2. 安全方针 本策略的目标是为河南CA建立和管理一个有效的信息安全管理体系，来保证河南CA运营的安全性、连续性。 河南CA公司内所有员工都应该了解并接受河南CA的安全管理策略。 河南CA的安全策略是指导河南CA信息安全活动的根本制度，企业中的其他制度不得与本策略相矛盾。 河南CA的安全策略每年根据法律法规以及实际运营情况进行审查，并根据实际情况可以对策略进行修改、变更，以确保方针的适宜性。 3. 安全组织 3.1企业信息安全基础架构 河南CA设立安全管理委员会及安全管理小组负责公司的信息安全，保障公司业务运营的安全性、连续性。安全管理委员会负责对安全管理小组实施业务指导。安全管理委员会由河南省数字证书认证中心高管层和各有关部门相关负责人组成，由公司高层领导担任主任。 河南CA安全管理小组负责对公司安全策略进行制定、发布、修订及督导执行等工作。安全管理小组就公司的安全目标、安全组织、资产分类及控制、人事安全、实体及环境安全、操作管理、访问控制、系统的开发及维护、业务持续性及法律法规符合性等方面进行规范，以保障河南CA业务的正常运营。在需要和其他单位进行安全协作时，由安全管理小组来负责协调。安全管理小组组成人员由安全管理委员会进行任命。 安全管理委员会岗位组成：主任、副主任、成员。 安全管理小组岗位组成： 序号 系统角色名称 所属组别 岗位职责 1 首席安全官员 管理层 制定安全策略 2 安全官员 管理层 接受授权，安全管理，安全审查 3 CA系统管理员 系统运维 CA系统管理 4 CA审计员 系统运维 CA数据审计和统计 5 网络管理员 系统运维 网络系统日常维护 6 操作系统管理员 系统运维 操作系统密码分割掌管，配置管理 7 发布系统管理员 系统运维 发布系统掌管 8 目录服务管理员 系统运维 目录服务器掌管 9 加密机管理员 系统运维 加密机管理，管理员卡分开管理 10 密钥管理员 安全管理小组 加密机密钥卡分开管理 11 加密机操作员 系统运维 管理操作员卡，运行加密机 12 数据库管理员 系统运维 数据库日常维护 13 RA系统管理员 系统运维 RA系统管理 14 RA审计员 客户管理 RA数据审计和统计 15 RA审核员 运营制证