信息安全管理制度总体规划.doc

安全管理制度总体规划 一、建立信息安全管理制度的必要性 因为大运会对于信息系统高度依赖，而所面对的信息安全状况非常复杂。病毒木马、非法入侵、数据泄密、服务瘫痪、漏洞攻击等安全事件都有可能发生。从办公PC、笔记本电脑、可移动存储，再到U盘以及PDA等，安全问题出现的途径也是千奇百怪。 然而信息安全不仅仅是个技术问题，而是管理、章程、制度和技术手段以及各种系统的结合。实现信息安全不仅需要采用技术措施，还需要借助于技术以外的其它手段，如规范安全标准和进行信息安全管理。 正因为如此，对大运会而言，建立信息安全管理制度，将大运会的安全风险控制在可接受的范围内，减少因安全事件带来的破坏和损失。更重要的，是可以保证大运会业务的持续性。 二、建立信息安全管理制度的内容 2.1 安全管理机构 岗位设置制度 制定安全管理机构岗位制度，包括如下内容： 成立指导和管理信息安全工作的领导小组； 设立信息安全管理工作小组，设立安全主管、安全管理各个方面的负责人，并定义各负责人的职责； 设立系统管理员、网络管理员、安全管理员等岗位，并定义各个工作岗位的职责； 人员配备制度 对于人员配备的要求如下： 应配备一定数量的系统管理员、网络管理员、安全管理员等； 应配备专职安全管理员，不可兼任； 关键事务岗位应配备多人共同管理。 日常安全运维制度 制定日常安全运维制度，包括如下内容： 定义安全管理员定期进行安全检查的内容，例如系统日常运行、系统漏洞和数据备份等情况； 定义定期进行全面安全检查的内容，例如现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等； 制定安全检查表格，汇总安全检查数据，形成安全检查报告； 2.2 人员安全管理 人员安全 各个软硬件及服务厂商应签署安全责任书，保证参与大运会项目的人员安全。 安全管理制度学习 应对各类人员进行安全管理制度学习培训。 外部人员访问管理制度 制定外部人员访问管理制度，包括如下内容： 制定外部人员访问受控区域的申请及审批流程； 定义外部人员允许访问的区域、系统、设备、信息等内容。 用户信息安全手册 制定用户信息安全手册，包括如下内容： 规范终端电脑防病毒及网络接入安全； 规范终端电脑安全策略； 规范终端用户行为； 2.3 系统运维管理 机房管理制度 制定机房管理制度，包括如下内容： 定义定期对机房进行维护管理的内容，例如温度、防潮等等； 定义机房安全责任人；对机房的出入、服务器的开机或关机等工作进行管理； 定义机房物理访问，物品带进、带出机房等等的安全规定； 资产管理制度 制定资产管理制度，包括如下内容： 制定信息系统相关的资产清单，例如资产责任人员、重要程度和所处位置等内容； 定义信息系统资产管理的责任人员； 定义资产的重要程度，对资产进行标识管理； 制定资产信息分类与标识规定； 设备管理制度 制定设备管理制度，包括如下内容： 定义信息系统相关的各种设备定期检查的内容； 定义设备安全管理责任人； 定义软硬件维护方面的安全规范，例如维护人员的责任、涉外维修和服务的审批、维修过程的监督控制等； 定义终端计算机、工作站、便携机、系统和网络等设备的操作和使用规范； 应确保信息处理设备必须经过审批才能带离机房或办公地点。 网络安全管理制度 制定网络安全管理制度，包括如下内容： 定义网络安全管理内容，例如对运行日志、网络监控记录进行分析和处理工作；对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面的安全规定； 定义软硬件设备的软件版本升级安全规范； 定义网络系统进行漏洞扫描的时间定期； 定义设备的最小服务配置规范； 定义便携式和移动式设备的网络接入的安全策略； 定义拨号上网或其他违反网络安全策略的行为的检测规范。 操作系统安全管理制度 制定系统安全管理制度，包括如下内容： 定义系统的访问控制策略； 定义对系统进行漏洞扫描的周期； 定义系统安装最新补丁的流程； 定义系统安全策略、安全配置、日志管理和日常操作流程； 定义系统管理责任人，划分系统管理员角色，明确各个角色的权限、责任和风险，权限设定应当遵循最小授权原则； 定义操作手册对系统进行维护，详细记录操作日志，严禁进行未经授权的操作； 恶意代码防范管理制度 制定恶意代码防范管理制度，包括如下内容： 定义主机或者移动存储在接入网络前进行病毒检查规范； 对网络和主机进行恶意代码检测并保存检测记录； 定义恶意代码库的升级策略并进行记录； 对主机防病毒产品、防病毒网关和邮件防病毒网关上截获的危险病毒或恶意代码进行及时分析处理，并形成报告。 密码管理制度 制定密码管理制度，包括如下内容： 定义密码使用策略，使用符合国家密码管理规定的密码技术和产品。 备份与恢复管理制度 制定备份与恢