信息安全管理体系.docx

信息安全管理体系

在这个信息化时代，信息安全管理体系是每个安装有信息系统的单位非常有必要建立的文件体系。

总的来说，信息安全管理体系大致可分为两个部分：环境安全和系统安全。

1.环境安全

（1）应制定程序文件对用于采集、处理、记录、报告、贮存或恢复数据和信息的信息系统进行维护，以保证正常运作并提供必要的环境和操作条件保持数据和信息的完整性，并记录；计算机设施及设备应保持清洁，放置地点和环境应符合厂商的规定（如通风、静电、温度、湿度）。

（2）计算机的放置应符合消防要求。

（3）应对通行区内的电线和计算机缆线设定保护措施。

（4）应为系统服务器和数据处理有关的计算机配备不间断电源（UPS），以防止数据的损坏或丢失。

（5）应制定防止未授权者访问信息设施的规定和措施。

（6）可根据权限分配设定不同人员的权限，防止越级访问和非法访问。

2.系统安全

（1）应对信息系统的使用进行授权。系统的授权应详细，应对接触信息系统资料、更改结果、更改账单或改变计算机程序等人员进行授权。

（2）所有授权进入单位信息系统的人员应维护所有计算机和系统中各种资料的机密性。

单位各部门和网络管理中心应确保：

（a）建立和实施程序，始终保护所有计算机和信息系统中数据的完整性；

（b）计算机程序和其它方法足以保护数据和信息的收集、处理、记录、报告、贮存或恢复，防止意外或非法人员获取、修改或破坏。

（3）不应在实验室计算机中非法安装软件。

（4）如果不同的计算机系统的信息可相互通过本部门计算机系统获得，应设有适当的计算机安全措施防止非授权获得这些信息。

（5）应设有适当的计算机安全措施，防止通过其他计算机系统非授权获得任何部门信息及非授权进行更改。

（6）应保护机构内部和外部通过网络传输的数据，以免被非法接收或拦截。