ISO27001服务器安全管理规范.docVIP

xx公司ISO27001： 服务器安全管理规范 目 录 TOC \o 1-3 \h \z \u 11407 1.目的 2 25646 2.适用范围 3 14013 3.责任人 3 30141 4.安全管理规范 3 27625 4.1名词定义 3 10832 4.2服务器权限管理规范 3 7431 4.3服务器管理权限和应用系统权限移交工作规范 4 18706 4.3.1交接前的准备工作 4 20113 4.3.2交接的基本程序 4 7843 4.4操作系统口令和登陆管理规范 4 21617 4.4.1帐户口令创建更改 4 10726 4.4.2登录生产机 4 18969 4.4.3创建口令 4 14396 4.4.4口令长度和复杂度 5 12366 4.4.5口令传送方式 5 13461 4.4.6口令保存方式 5 1662 4.4.7口令实效 5 18424 4.4.8跳板机设置 5 9112 4.6密码修改流程 5 8060 4.7安全事件的定义 5 29368 4.7.1定义为一般性安全事件 5 2750 4.7.2定义为重大安全事件 6 6698 4.8安全事件的处理及通报 6 32605 4.8.1安全事件的处理： 6 1936 5.帐户密码安全管理规范 6 12548 5.1规范内容 6 29231 5.2密码管理级别 6 11012 5.3密码审核制度： 7 11442 5.4密码使用制度 7 32661 5.5核心系统密码管理 8 10715 5.6帐户密码制定方案 8 555 5.6.1密码创建策略 8 29699 5.6.2密码组合策略 8 28049 5.6.3定制口令 8 5465 5.6.4密码规则 8 7068 5.7帐户密码保存方案 9  1.　目的 防止非法操作、正确管理用户、保证生产系统的可用性、完整性、保密性，以及规范服务器的访问和维护工作 2.　适用范围 服务部以及其他系统权限的管理部门 3. 责任人 所有拥有登陆服务器和应用系统权限的相关人员 4.　安全管理规范 4.1　名词定义 非安全服务器：正在由运营、开发进行安装生产服务过程的服务器。 安全服务器：开发完成生产服务的安装，并通过安全审核的服务器。 密码安全规定：生产服务器登陆密码是由大于10位的字母（区分大小写）、数字、特殊字符组合而成。 4.2　服务器权限管理规范 新上线服务器后，需开远程登陆的维护访问权限，按照密码安全规定，建立帐户如：lilm_bj等(账户名用每个人名字的拼音字母)同时限制访问ip范围为：运维跳板机IP，备份跳板机IP。形成新安全服务器。 开发及业务部门在需使用登陆服务器时，需向维护部门申请权限。申请时间最长不超过1个月，申请权限后，服务部修改《服务部设备权限(口令)表》，进行记录，并将《权限申请表》存档记录，变更新安全服务器为非安全服务器，放开对开发/业务员工办公IP及帐户的访问。 服务部每月根据《服务部权限(口令)表》统计出非安全服务器，进行检查服务器的访问安全措施，对于因申请到期须进行回收权限的情况，联系申请人，进行确认，如果还需要，续填《权限申请表》，如果不需要，进行权限回收。 在开发/业务部门须释放权限(包括开发完成，需求完毕，申请期限到期)后，服务部取消对开发/业务员工办公IP及帐户的访问，修改超级用户口令，并删除或修改账户。进行记录，变更非安全服务器为安全服务器。 拥有服务器登陆账户和密码的人员不得将自己的用户名和密码以明文的方式记录在自己的办公电脑上，需要密码加密。 登陆到生产服务器进行操作时，不得未经注销，就离开自己的电脑。 未得服务部们安全管理员的允许，任何人员不得私自安装来历不明的软件、也不得修改服务器的网络和安全配置。 拥有生产服务器登陆权限的人员要定期对自己的办公电脑进行安全检查和病毒扫描（每1星期一次）。 对于安全服务器，由服务部3个月改变一次所有服务器的超级和普通账户的登陆密码。 4.3　服务器管理权限和应用系统权限移交工作规范 4.3.1　交接前的准备工作 拥有服务器权限或者应用系统权限的员工作调动或因故离职，必须将本人所经管服务器管理权限和应用系统权限全部移交给接管人员。服务器权限和应用系统权限办理移交必须作好以下准备工作： 整理应该移交的各项资料，对未了事项和遗留问题要写出书面说明材料。 编制移交清册，列明移交凭证、帐号、密码、ip地址、服务器用途、服务器上运行的程序、目前的安全策略、有无发生过重大安全事故，服务器操作系统类型等内容。 4.3.