密码演示文稿.PPT

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 系统建设管理--工程实施 与工程实施单位签订与安全相关的协议，约束工程实施单位的行为； 指定或授权专门的人员或部门负责工程实施过程的管理； 制定详细的工程实施方案控制实施过程，并要求工程实施单位能正式地执行安全工程过程； 制定工程实施方面的管理制度明确说明实施过程的控制方法和人员行为准则。 系统建设管理--工程验收 对系统进行安全性测试验收； 在测试验收前根据设计方案或合同要求等制订测试验收方案，测试验收过程中详细记录测试验收结果，形成测试验收报告； 委托公正的第三方测试单位对系统进行测试，并出具测试报告； 制定系统测试验收方面的管理制度，明确说明系统测试验收的控制方法和人员行为准则； 指定或授权专门的部门负责系统测试验收的管理，并按照管理制度的要求完成系统测试验收工作； 组织相关部门和相关人员，对系统测试验收报告进行审定，没有疑问后由双方签字。 系统建设管理--系统交付 明确系统的交接手续，并按照交接手续完成交接工作； 由系统建设方完成对委托建设方的运维技术人员的培训； 由系统建设方提交系统建设过程中的文档和指导用户进行系统运行维护的文档； 由系统建设方进行服务承诺，并提交服务承诺书，确保对系统运行维护的支持； 制定系统交付方面的管理制度，明确说明系统交付的控制方法和人员行为准则； 指定或授权专门的部门负责系统交付的管理工作，并按照管理制度的要求完成系统交付工作。 系统运维管理 环境管理 资产管理 介质管理 设备管理 监控管理 网络安全管理 系统安全管理 恶意代码防范管理 密码管理 变更管理 备份与恢复管理 安全事件管理 应急预案管理 系统运维管理--环境管理 对机房供配电、空调、温湿度控制等设施指定专人或专门的部门定期进行维护管理； 配备机房安全管理人员，对机房的出入、服务器的开机或关机等工作进行管理； 建立机房安全管理制度，对有关机房物理访问，物品带进、带出机房和机房环境安全等方面作出规定； 加强对办公环境的保密性管理，如工作人员调离办公室应立即交还该办公室钥匙和不在办公区接待来访人员等； 有指定的部门负责机房安全，并配置电子门禁系统，对机房来访人员实行登记记录和电子记录双重备案管理； 对办公环境的人员行为，如工作人员离开座位应确保终端计算机退出登录状态和桌面上没有包含敏感信息的纸档文件等作出规定。 系统运维管理--资产管理 建立资产安全管理制度，规定信息系统资产管理的责任人员或责任部门，并规范资产管理和使用的行为； 编制并保存与信息系统相关的资产、资产所属关系、安全级别和所处位置等信息的资产清单； 根据资产的重要程度对资产进行定性赋值和标识管理，根据资产的价值选择相应的管理措施； 规定信息分类与标识的原则和方法，并对信息的使用、存储和传输作出规定。 系统运维管理--介质管理 建立介质安全管理制度，对介质的存放环境、使用、维护和销毁等方面作出规定； 有介质的归档和查询记录，并对存档介质的目录清单定期盘点； 对于需要送出维修或销毁的介质，应首先清除介质中的敏感数据，防止信息的非法泄漏； 根据数据备份的需要对某些介质实行异地存储，存储地的环境要求和管理方法应与本地相同； 根据所承载数据和软件的重要程度对介质进行分类和标识管理，并实行存储环境专人管理； 对介质的物理传输过程中人员选择、打包、交付等情况进行控制； 对存储介质的使用过程、送出维修以及销毁进行严格的管理，保密性较高的信息存储介质未经批准不得自行销毁； 必要时应对重要介质数据和软件采取加密存储，对带出工作环境的存储介质进行内容加密和监控管理； 对存放在介质库中的介质定期进行完整性和可用性检查，确认其数据或软件没有受到损坏或丢失。 系统运维管理--设备管理 对信息系统相关的各种设备、线路等指定专人或专门的部门定期进行维护管理； 对信息系统的各种软硬件设备的选型、采购、发放或领用等过程建立基于申报、审批和专人负责的管理制度； 对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理； 对带离机房或办公地点的信息处理设备进行控制； 按操作规程实现服务器的启动/停止、加电/断电等操作，加强对服务器操作的日志文件管理和监控管理，并对其定期进行检查； 建立配套设施、软硬件维护方面的管理制度，对软硬件维护进行有效的管理，包括明确维护人员的责任、涉外维修和服务的审批、维修过程的监督控制等； 在安全管理机构统一安全策略下对服务器进行系统配置和服务设定，并实施配置管理。 系统运维管理--监控管理 进行主机运行监视，包括监视主机的CPU、硬盘、内存和网络等资源的