第一篇:ISO13335-1信息安全管理指南
内容 前言 介绍 1.范围 2.参考 3.定义 4.结构 5.目标 6.背景
7.IT安全管理的概念
7.1方法
7.2目标、策略和原则 8.安全原理
8.1特性
8.2威胁
8.3脆弱性
8.4影响
8.5危险
8.6安全保障
8.7存留下的危险
8.8约束 9.IT安全管理进程
9.1配置管理
9.2管理
9.3危险管理
9.4危险分析
9.5责任
9.6安全警告
9.7监控
9.8偶发事件处理计划和灾难性恢复 10.模式 11.总结
前言
ISO(国际标准组织)和IEC(国际电子技术委员会)形成了世界指定标准系统ISO或IEC的成员,各个组织通过加入发展国际组织而建立的技术委员会处理科技活动的特殊领域。ISO和IEC技术委员会在共同感兴趣的领域合作。其它的国际组织与ISO和IEC合作,也加入了这项工作,无论是政府还是非政府性。
在信息科技领域,ISO和IEC己建立了一个联合委员会,ISO/IEC JTCI技术委员会,主要的任务就是准备国际标准,但在特殊情况下,技术委员会可能建议公开以下类型的技术报道:
——类型1,当公开的一个国际标准不能得到必要的支持时,无论这个标准花费了多少精力。
——类型2,当研究对象滞后于技术发展或由于任何其它原因,它有发展前途但在短时期内不可能与国际标准取得一致时。
——类型3,当技术委员会收到一些不同类型的符合国际标准的数据时。类型1和类型2的技术报告是否被转化为国际标准取决于将其公开3年后的反馈汇报。
类型3的技术报告只有当提供的资料被认为不再合法或有用才有必要再复查。
ISO/IEC TR13335,属于第3种技术类型,由联合技术委员会准备。ISO/IEC JTCI,信息技术,subcommittee2T,IT安全技术。ISO/IEC TR13335包含以下几部分:
——第一部分:IT安全性的概念和模式 ——第二部分:IT安全的管理和计划 ——第三部分:IT安全性的管理技术
附加部分以后将加在技术报告中
介绍
技术报告的目标为IT安全管理方面提供保障,而不是解决方法,为IT安全负责的组织中的那些单独的个体应该能在报告中不断调整内容以满足特定的需要,技术报告的主要目的是:
定义和描述与IT安全管理相关的概念 辨别IT安全管理与IT一般管理的关系 提供几个能解释IT安全的模型 提供IT安全管理的一般向导
ISO/IEC TR 13335有几个组成部分。第一部分是基本概念概述和用于描述IT安全管理的几个模型。这些内容适用于那些对IT安全负责的管理者和那些对一个机构的整个安全程序负责的管理者
第二部分是描述管理和计划,这一部分与那些负责管理一个机构的IT系统的管理者有关。这些管理者可以是:
负责总览设计,实现,测试,获得或操纵IT系统的管理者 负责大大利用IT系统的管理者
第三部分对那些在一个工程生命周期过程中从事管理工作的安全技术做了描述,比如:计划、设计、实现、测试、获得操作
另外的部分根据需要加入指定的地方
信息技术——IT安全管理向导 第一部分:IT安全概念的模型
1.范围:
ISO/IEC TR 13335包含IT安全管理向导,ISO/IEC TR 13335的第1部分,陈述了基本管理概念和模型,这些概念和模型对引入IT安全管理非常重要。这些概念和模型在其它部分作了进一步地讨论和开发,并提供了更详细的向导。这些部分可用来辨别和管理IT安全的所有方面。第1部分对完整理解ISO/IEC 13335的以下部分是很重要的。
2.参考
ISO 7498—2:1989;Jnform
systems—open systems
Interannectorn—Basic Referenle Model—part2:Security Architecture 3.定义
以下定义用于ISO/IEC TR 13335的三个部分。
3.1责任:
3.2资源:
3.3
3.4
3.5
3.6保密性:所有非有效信息和未对非授权个人、实体、工程公布的信息(ISO 7498-2:1989)
3.7数据完整:数据没有被一种非正规的方式变更或破坏。(ISO 7498-2:1989)
3.8冲突:非期待事件的发现。
3.9完整性:见数据完整和系统完整。
3.10 IT安全:所有与定义、完成、保持信心、完整性、有效性、可数性、可靠性、可倍度有关的东西。
3.11 IT安全政策:控制资源(含敏感信息)在一个组织或IT系统动作、保护、分配的法规、命令和策略。
3.12可靠性:预期的行为和结论的可靠性。
3.13剩余风险:(系统)维护正常进行时仍存在的风险。
3.14风险:一个规定威胁将利用一个或一组系统资源的弱点导致其损失或破坏的可能性。
3.15风险分析:认证安全风险,决定其重要性,认证需维护区域的过程。
3.16风险管理:认证、控制、消灭或最小化不确定因素对系统资源的影响的过程。
3.17维护:减少风险的策略、程序和技巧。
3.18系统完整:系统完全按照规定的方式动作,而不会受到有计划的或突出的不规范操作的影响。
3.19威胁:导致对系统或组织有害的,未预料的事件发生的可能性。
3.20弱点:一个或一组资源中,能被威胁利用的弱点之处。
4.结构
这份ISO/IEC TR 13335报告是这样组织的:条款5提出报告的目标;条款6介绍IT安全的动作需要的背景知识;条款8介绍一些IT安全的组成;条款9讨论IT安全组织所需过程;条款10一般性的讨论几个对理解本报告有益的几个模型;条款11是对这部分的小结。
5.目标
ISO/IEC TR 13335面向多量读者,第一部分的目标是描绘在IT安全管理方面的各种话题,同时对IT安全的基础概念和模型作简要的介绍。为了提供一高水平的管理概要,所有材料都简明扼要。这样它将适合在一些组织里面负责安全的高级管理人员,同时为对报告其余部分的人介绍IT安全知识。第二部分和第三部分为那些直接对IT安全的执行和检测负责的个人提供广泛的信息和材料,这些以第一部分介绍的概念和模型为基础。
这个报告不是为了介绍一个独特的IT安全的管理方法。相反,它先总体介绍一些有用的概念和模型,最后具体讨论对IT安全管理有效和技术和工具。这些素材广泛适用于不同类型下的管理和组织环境。这个报告的组织方式允许对材料进行整理以满足其组织和具体管理方式的需要。
6.背景
政府和商业机构依赖于信息应用来管理他们的商业活动。缺乏信息和服务的可信度,完整性,有关性,责任性,真实性和可靠性会对组织产生不利影响。结果,在组织内部急切需要信息保护和信息安全技术管理,在当前环境里面,这种保护信息的需要尤其重要,因为许多组织靠IT系统的网络连接在一起。
IT安全管理用来获得和保持可信度,完整性,有效性,责任性,真实性和可靠性。IT安全管理功能如下:
·决定有组织性的IT安全目标、策略和政策; ·决定有组织的IT安全的需要;
·认证和分析对组织内的IT资源的安全威胁; ·认证和分析风险; ·具体化合适的维护;
·检测维护的执行和动作,这些维护对于保护组织内的信息和服务很有必要;
·发展和执行安全意识项目; ·对事情进行检测和反应
为了达到IT安全管理的要求,安全性必须是组织的整个管理计划的一部分。事实上,这个报告提到的一些话题有更泛的内涵。这个报告不以广泛管理问题为核心,而是聚焦于话题的安全性方面及它们在整体上是如何联系等问题。7.IT安全管理的概念
按下来采用的概念要考虑到组织动作的环境和文化,因为他们可能对安全的整体处理有重要影响。而且,他们对组织的具体部门的保护起作用。在某些情况下,政府利用立法和执法来履行职能。但在其它情况下,政府则是负责任的管理者的主人。这个问题对采用的提议有不可忽视的作用。7.1提议
一个系统的提议对组织IT安全性的认证需求是十分必要的。这对于IT安全的执行同样必要。这个过程可以参考IT安全管理并且包括以下活动。
·IT安全政策的发展; ·组织内的角色和责任的认证; ·风险管理,包括认证和评估以下:
—资源保护
—威胁
—弱点
—影响 —风险
—维护
—剩余风险 —约束 ·构造管理; ·变化管理;
·意外的计划及灾难恢复计划; ·维护的选择和执行; ·安全意识; ·其它,包括
—维修
—安全检查
—检测
—复查 —事件处理 7.2目标、策略和政策
公司的安全目标、策略和政策(见图1)对组织内IT安全有效性形成一个基础。他们支持组织的活动并且保证维护间的一致性。目标确证该达到什么;策略确认怎样达到这些目标;而政策确认该做什么。
目标,管理和政策按公司层到管理层阶级地发展。他们应该反映组织需要并且考虑各种组织约束,且保证在各层次获得一致性。安全性在组织内对各管理层负责,而且出现在整个使用期循环中。它们应该基于定期安全检查(如风险分析,安全检查)和事件目标的变化上进行维护和更新。
集体安全政策主要由安全理论和指令组成。集体安全策略必须反映更广泛集体策略,包括那些个人权利,合法要求及标准。
集体安全策略必须反映必要的安全原理和指令及组织内IT系统的广泛应用。
一个IT系统安全策略必须反映包含在集体IT安全策略之中的安全原理和指令。它还应该包含使用中安全需要和维护的具体细节以及如何正确适用才能确保足够安全。在所有情况中,采取和组织活动需要相关的方法是很重要的。IT系统安全目标、策略和政策就安全方面表述了对IT系统的要求。它们通常用一种自然的语言来表达,但应该用数理的正式的语言来描述。包括以下:
·可信度
·完整性
·有效性
·责任性 ·真实性
·可靠性
目标、策略和政策的建立组织的安全层次,风险容纳的入口以及组织的偶然性需求。
8.安全组成
接下来的条款介绍与安全管理过程相关的主要成份。逐一介绍各成份和认证各要素。有关这些要素的具体描述和讨论以及他们之间的关系放在本报告的其它部分。8.1资源
资源的合理管理对组织的成功很重要,并且对各管理层负主要责任。一个组织的资源包括:
·物理资源(如:电脑硬件、通信设备、建筑); ·信息/数据(如:文档、数据库); ·软件;
·生产某种产品或提供某种服务的能力; ·人; ·非实体(心情、评价)
大多数或所有的资源对于保证对其保护程度都是有价值的。如果资源没有得到保护,那么对可接受风险的评估就很必要了。
以安全展望来看,如果组织的资源没有论证,就不可能执行和保持一个成功的安全项目。在许多情况下,论证资源和指定价值的过程可以高水平的完成而不需要一个昂贵的、详细的、花时间的分析。这种分析的详细程度必须由所需时间与钱财与资源的价值的比来测定。在任何情况下,详细程度应该由基本安全目标决定在许多情况下,这么做对资源组情况有用。
资源属性包括它们的价值或敏感性,以及所有继承的维护。资源保护的需要受它们对某些威胁时呈现的弱点影响。如果这些方面对资源所有者来说十分明显,它们就应该在这个程度上被控制。组织的运行环境和文化可能影响资源和它们的属性。例如,在一些文化氛围里认为个人隐私的保护十分重要而另一些则对这一点不重视。环境和文化的变动对国际组织以及IT系统在国际范围的应用十分重要。8.2威胁
资源要面对施工威胁。威胁有导致意想不到的事故并对系统和组织以及其资源产生危害的可能。这些伤害将对IT系统和服务正在处理的信息产生定向或不定的攻击,如它的非正常破坏、泄露、修改、讹误、无法得到、损失。威胁需要利用资源的弱点去成功攻击资源。威胁可以是自然的、人为的、突发的或积累的。突发的和积累的威胁都要被论证和作可能性评估。
威胁的例子如下:
统计的数据与各种环境威胁是有效的。它应该在威胁评估过程中获得和使用的。这些威胁可能会冲击某一组织的具体部分,如对个人机的破坏。有些威胁对于存在于某一系统或组织的周边环境有普遍影响,如飓风或闪电对建筑物的毁坏。组织内可能会产生某种威胁,如雇员或外部的蓄意破坏,如恶意乱砍或工业间谍活动。资源破坏中的有害事件引起的破坏可能是暂时的,也可能是永久的。
由威胁和引起的伤害程度不尽相同原因如下: ·软件病毒会因其活动产生相应程度破坏 ·某一区域的地震会对某地产生不同力度 以下威胁常带有一定的严重性,例如: ·被描述为破坏性或非破坏性的病毒 ·地震的强度为描述为Richter规模
一些威胁影响多种资源。依据资源不同,它们会产生不同影响。例如,软件病毒对某一个人机的影响是有限的;但是,同样的软件病毒对基于文件服务器的网络将有广泛的破坏。其它威胁或不同区域的同一病毒可能在他们引起的破坏性方面是一致的。如果其破坏性是一致的,那么可采用普通的处理。但如果其破坏性变化多端,则需对每一威胁性进行更具体处理。威胁关于其自身有能提供有用信息的特点。信息如下:
来源,如内部和外部 动机,如财政获得,竞争优势 出现频率,和 威胁严重性
组织所处的环境和文化对威胁的运行有重要意义。在某些文化下,某些威胁不认为有害,当确认威胁时,必须考虑到环境和文化的方方面面。8.3弱点
和资源相关的弱点位于包括物理布局、组织、过程、人员、管理、经营、硬件、软件及信息等处。他们可能会被对IT系统或活动目标有害的威胁所利用。弱点本身并无危害,它只是在某种情况容许威胁影响资源。除非资源本身有所改变使弱点无处藏身,弱点才不复存在。
含系统不足的弱点可能被开发并导致不良影响。它们是允许威胁起危害的机会。例如,缺乏登录控制装置将可能发生侵入并导致资源丢失。在某一具体系统或组织内,不是所有弱点都可被威胁接受。弱点与相关的威胁有直接关系。然而,由于环境变化,所有弱点都应受检测以确认那些暴于危险中的新旧威胁。
弱点分析是可能被己认证威胁的弱点检查。这种分析必须考虑到环境和己存的维护。某一系统或资源的弱点对威胁而言都很容易对系统带来伤害。8.4影响
影响就是由人为或突发性引起的不利事件对资源的破坏。这种影响可能是某种资源的破坏,IT系统的毁坏,以及失去可信度,完整性,有效性,责任性,真实性和可靠性。可能还有间接影响包括财政流失,市场份额丧失或公司形象。衡量影响可以在不利事故的后果与维护所耗费用之间进行权衡。不利事故发生的频率也应考虑在内。因为某一事件引起危害较低,但多件时却很有害。在风险评估和维护选择上,对影响评估很重要。
数量上和质量上对影响衡量方式很多,例如: ·建立财政支出
·分配严重性的观察范围,如1—10,及 ·从预先定义目录选用如低、中、高 8.5风险
风险是潜在可能性,即威胁,将会对资源产生丢失或破坏,因此直接或间接影响到组织。单一或多个威胁将产生单一或多个弱点。
—风险说明书描述了某一威胁或一组威胁可能对某一弱点或一组弱点产生危害。风险由两大因素来定性:发生不利事件的可能性及其影响。任何资源,威胁,弱点及维护上的变化均对风险有重要后果。早期检测及获得环境或系统内变化的知识将更有利于采取合适措施来减轻风险。8.6维护
维护是能防止威胁、降低弱点、缩小不利事件影响,检测意外事故和设施恢复。有效安全通常需要各种维护以提供资源的多层安全。例如,登录控制装置应用于电脑应该受到检查控制,人员程序、练习和物理安全的支持。一些维护己存在于环境部份中,或作为资源的固有方面,或可能己在系统或组织内占一席之地。
维护承担以下一种或多种功能:检测阻碍、防止、限制、纠正、恢复、监控和监察。对一正常运行的安全程序而言,选择一种合适的维护显得很重要。许多维护可实现多种功能。选择能满足多功能的维护是行之有效的。以下例子举出维护的可用区域,包括:
·物理环境
·科技环境(硬盘、软盘和通信)·人员,及 ·经营
安全意识是一种与个人领域相关的维护。但基于其重要性,将在9.6节讨论这一话题。组织运作的环境和文化对所选的维护和组织的安全意识有重要影响。某些维护还会就组织对安全的态度发送强而清晰的信息。因此,选择一种对组织运行的文化和(或)社会无攻击的维护很重要。维护例子如下
·网络防火墙壁 ·网络检测与分析 ·可信度过 ·数码
·杀毒软件包 ·保留能源供给,及 ·信息备份 ·登录控制装置 8.7剩余风险
维护仅仅只能部份组合风险。部份的组合可能达到,但达到得越多,耗费得也越多。这就是剩余风险。它接受部份判断是否安全适合组织的需要。这个过程是风险容纳。
管理应该就事情发生的影响和可能性认知所有的剩余风险。如果剩余风险层还未被接受,那么那些能够接受意外事故影响及能主管维护的执行的人应作出接受剩余风险的决定。8.8约束
约束受到组织运行中环境的影响。例子如下:
·组织
·财政
·环境
·人员
·时间
·法律 ·工业,及
·文化/社会
在选择的执行维护时所有这些因素都应考虑到。存在的及新的约束应定期检查并认识到些许变化。还应提到约束会随时间、地理、社会进化及组织文化的变化而变化。组织运行下的环境和文化会对某些安全要素产生影响,特别是威胁,风险和维护。
9.IT安全管理过程
IT安全管理是由其它许多过程组成。某些过程,如结构管理和变化管理更多适用于纪律,而非安全。己试验的过程表明在IT安全管理中风险管理和其从属过程的风险分析。图2显示了IT安全管理的多个方面,包括风险管理、风险分析、变化管理和结构管理。9.1结构管理
结构管理就是保持系统变化轨迹的过程,可以正式或非正式地进行。其目的是为了保证整个组织的安全性以及系统变化不会降低维护的有效性。
结构管理的目标是弄清发生了什么变化,而不是将安全作为阻止IT系统变化的手段。在某些情况下,会有理由产生变化以减低安全。这种安全性的减低应得到评估并且以各相关因素为基础作出管理决定。换句话说,系统的变化应充分反映安全相关物。结构管理的另一目标是保证系统内的变化能在其它文档中有所反应,如事故恢复和偶然性计划。如果这一变化是主要的,那么有必要重新分析某些或整个系统维护。9.2变化管理
变化管理是当IT系统发生变化时用来帮助认证新的安全需求的过程。IT系统及其运作的环境是不断变化的。这些变化是新IT特性和服务可利率的结果或新威胁和弱点的发现。IT系统的变化包括:
·新过程 ·硬件修正
·新特征 ·新用户,包括外部组成或用名组,及 ·软件更新 ·附加网络和互相联络
当IT系统发生变化时,有必要弄清这些变化带给安全系统怎样的影响。如果系统有一参构控制板或其它组织结构来管理系统变化,那么IT安全管理员应有权决定这些变化是否及如何影响其安全性。对于涉及购买新硬盘、软盘及服务的主要变化,则需要分析以决定新的安全要求。另一方面,许多系统产生少量的变化更自然的并不需要太多的分析,而主要变化则需要此类分析。对这两种变化而言,应该做一个能认识其获利与支出的风险评估。对于次要变化而言,在集会时己评估过,但其结果和管理意见还需存档。9.3风险管理
风险管理在整个系统循环中是最有效的活动。这种风险管理过程其自身就是一主要循环活动。当整个循环开始时,在整个系统循环内的任一点都可启动。这一策略说明对系统的检查可在预定时间或系统循环中的任一点进行。这也将有紧跟上次检查后采取的行动,其目的是检测维护的执行情况。在系统的设计和发展过程中,需要进行风险管理,以确保安全性是从最有效时间内设计和执行的。当系统发生重大变化时,风险管理应该运作起来。第10节,图4,表时风险管理中涉及元素。
无论运用何种风险管理方法或技巧,在确保整个系统得到合理保护的情况下,权衡时间和用来认证执行维护的资源显得很重要。
风险管理是比较维护的获利与支出的评估风险,和产生与整个IT安全政策和目标一致的执行策略和系统安全政策的过程。不同类型的维护应用不同的获利支出分析。应选择与风险及潜在影响相关的维护。同时应考虑可接受的剩余风险水平。
还应注意维护本身还可能包含弱点,因此导致新风险。所以在选择合适维护时要考虑既要降低风险,同时又不产生新风险。
以下部份将提供有关风险管理过程的细节。9.4风险分析
风险分析是为认证那些需要控制的接受的风险。IT安全的内容中,风险分析包含对资源价值、威胁和弱点的分析。风险是基于由可信度、完整性、有效性、可靠性、真实性及负责性所引起的潜在影响来评估。风险分析的结果类似于资源风险的评估。
风险分析是风险管理的一部份,并且对整个系统简要分析情况下没有必要时间及资源上的投资就可以完成。这将决定那个系统能很好受到一系列实践和控制及那些受益于一具体风险分析检测的保护。一系列实践由一组导航及底线控制组成,底线控制被用来满足底线保护的需要。9.5可靠性
有效的安全性要求可靠性及对安全责任的分工和理论。责任性和可靠性应该成为资源的主人、提供者和使用者。结果,对有效的安全性很重要的是资源所有者,及其相关的资源责任,提供者和IT系统的使用者。
安全意识是有效安全的重要元素。缺乏安全意识和安全实践的不足都将降低维护的有效性。组织内的个人一向被认为是安全链上最弱的一环。为了确保组织内存在足够水平的安全意识,有必要建立和维护一有效的安全意识项目。安全意识项目的目标是为了向雇员、伙伴和客户解释:
·安全目标,策略和政策,及
·对安全的需要,及与之相关的角色和责任
此外,项目还需激发雇员、伙伴和客户,从确保他接受安全的责任。在日常活动之中,安全意识项目应在组织内面向全合体来执行。同时有必要对组织内有不同角色和责任,处于不同地位的人分发不同的意识材料。需进行广泛的重要的安全意识项目。再一项进行基于前一课之础,以安全概念开始,并贯穿安全执行与检测的责任性与始终。
组织内的安全意识项目包含很多活动。其一是安全意识材料的产生和分发(海报、公告、传单、简报),材料的目的是为了加强雇员和合同工的意识观念。另一活动是一些培训雇员的课程,以提高其安全实践能力。最后,在一些具体安全话题方面应提供专业的教育。在某些情况下,在其它培训项目中输以安全信息很有效,这种方法与安全意识项目相比是可选的。为了建立一满足文化和行政需求的安全意识项目,以下方面需考虑到:
·需求分析 ·项目发送 ·检测 ·意识项目内容 9.7检测
维护应受到检测是为了确保他们功能正常,并且环境内的变化不会使其无效。自动检查和分析对于帮助既定节目很有效。这些工具可用来检测突发事件,且它们会有一些阻碍作用。
安全维护的有效性应定期确认。这可以通过检测来确认维护正起作用。许多维护能生产对安全性有意义检测有用的输出如:测速器、警报记录等,一般的系统审查功能能提供安全方面有用的信息,并投入使用之中。9.9意外计划和灾难恢复
意外计划包括当支持运行时如何运转事业的信息以及IT系统是否有效。这些计划应提及以下诸条:
·障碍物的不同长度 ·不同类型设备的丢失
·进入场所的物理入口的安全丢失;及 ·需要返回到如果破坏设发生就会存在的状态。
灾难恢复计划描述如何运行—受到意外事件影响的IT系统,IT恢复计划包括:
·形成灾难的标准 ·激活恢复计划的责任 ·不同恢复活动的责任,以及 ·恢复活动的描述
10.模型
IT系统管理中存在很多模型。然而,ISO/IEC TR 13335部份提供的模型对于理解IT安全管理有重要概念。以下描述:
·安全要素关系 ·风险管理关系 ·IT安全过程的管理
这些概念提前介绍了组织的目标,以及形成组织内IT安全的计划,策略和政策。其目的是为确保一组织有能力进行其活动,并将风险控制在可接受水平。安全不会是百分百有效,所以别定意外恢复计划及减低毁坏程度为最小范围。
IT系统安全是多元化问题可以多方面来考虑。因此,为了决定和认证—全球一致的IT安全策略和政策,组织应考虑所有方面。图3显示资源如何潜在地屈服于各种威胁。这些威胁不断变化并且只有部份己知。
模型显示:
·含不断变化,部份可知的威胁的环境 ·组织的资源 ·资源的弱点
·保护资源及降低威胁影响的维护 ·限制风险的维护,以及 ·可为组织接受的剩余风险
如图3所示,一些维护应有效降低与多威胁及多弱点相关的风险。一些维护用来降低组织可接受程度的剩余风险。当风险认为可接受时,即使威胁存在,也不必执行维护了。在某些情况下,可能存在某种弱点,但还没有己知的威胁。维护可能去检测其威胁环境以确保不会产生利用弱点的威胁。图3没有提利的约束,也影响维护的选择。
图4说明与风险管理相关的安全要素之间的联系。为简明扼要,只显示其主要关系。
图5、6、7显示保护要求、威胁、弱点、资源价值各自之间的关系。某些IT安全管理策略包含这些数据中的某些方面。然而,某些策略则高于一些重要方面,因此,图4提供更广泛的策略用来作为ISO/IEC TR 13335的基础。
P17为图5、6、7 P18 IT安全管理是一个应考虑安全循环过程。这些方面在第二部份ISO/IEC TR 13335进一步检测。第三部份讲座安全管理的技术。图8的过程模型说明与IT安全管理相关要素。图8将在第二部份具体讨论。
11.结论
ISO/IEC TR 13335这部份讨论的概念和模型或保护系统IT资源的策略。由于科技与信息服务应用发展的迅速变化,应经常在组织内检测其策略和相关安全政策。ISO/IEC TR 13335的其它部份将进一步描述这些概念和模型如何在组织内更有效地运作。
(The Eed)
第二篇:信息安全管理
概述
1、信息安全定义:在技术上和管理上为数据处理系统建立的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭至破坏、更改和泄露
2、分类:实体安全、运行安全、信息安全、管理安全
3、信息安全保障:人员、技术、管理
4、管理活动的五个基本要素:
谁来管:管理主体,回答由谁管的问题;
管什么:管理客体,回答管什么的问题;
怎么管:组织的目的要求,回答如何管的问题;
靠什么管:组织环境或条件,回答在什么情况下管的问题。
管得怎么样:管理能力和效果,回答管理成效问题。
5、信息安全管理是通过维护信息的机密性、完整性和可用性等,来管理和保护信息资产的一项体制,是对信息安全保障进行指导、规范和管理的一系列活动和过程。
6、信息安全管理是信息安全保障体系建设的重要组成部分
7、信息安全管理的内容:安全方针和策略;组织安全;资产分类与控制;人员安全;物理与环境安全;通信、运行与操作安全;访问控制;
第三篇:信息安全管理规定
信息安全管理规定
目 录
1.1.1信息安全管理规定...................................................2
一、总则........................................................2
二、适用范围....................................................2
三、职责........................................................2
四、管理规定....................................................2
五、信息安全风险评估............................................6
六、附则........................................................7 1.1.2.计算机病毒防范管理规定........................................8 1.1.3信息系统管理制度.................................................11
一、业务主管职责...............................................11
二、系统管理员具体职责:.......................................12
三、系统管理员操作管理制度.....................................12
四、系统管理员备份管理制度.....................................13
五、软件管理制度...............................................13
六、数据管理制度...............................................14
七、系统维护管理制度...........................................15
八、档案及数据管理制度.........................................16 1.1.4中心机房管理规定.................................................18
一、机房人员日常行为准则.......................................18
二、机房安全制度...............................................18
三、机房用电安全制度...........................................19
四、机房消防安全制度...........................................19
五、机房硬件设备安全使用制度...................................20
六、软件安全使用制度...........................................21
七、机房资料、文档和数据安全制度...............................22
八、机房财产登记和保护制度.....................................22
九、机房巡检制度...............................................22
信息安全管理规定
1.1.1信息安全管理规定
一、总则
为加强公司管理处计算机信息体系资产安全的保护,保障公司信息化体系连续可靠正常地运行,根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际网管理暂行规定》和相关行政法规,结合公司管理处实际状况,特制订本规定。
二、适用范围
本规定适用于公司管理处所有员工,所有公司电子信息设备、版权软件、电子信息系统、电子信息文件、客户和厂商及兄弟单位提供给公司的所有电子信息资料的安全管理。
三、职责
3.1技术保障部负责本规定的制订和修订。3.2各级部门主管负责本规定在本部门的落实。
3.3技术保障部负责对本规定的执行情况开展定期或不定期的检查和指导。
四、管理规定 4.1电子产品资产管理
4.1.1公司所有办公电脑(含笔记本电脑)与相关电子产品属公司资产,任何部门及个人无权侵占、挪为私用。4.1.2公司所有办公电脑及相关电子产品由技术保障部统一做资产编号、建立台帐、调度分配,并发放给对应的使用人员,资产挂靠人有该资产使用权,同时需承担保管义务,任何遗失、人为破坏行为,需按照资产折旧值赔偿。4.1.3公司所有办公电脑及相关电子产品是公司配备给部门或个人的工作工具,任何人无权利用其做个人经营或工作无关事宜,一经发现提报人力资源部据公司相关规定处分。4.1.4未经许可,不得擅自使用他人电脑,所有用户需设置5分钟密码屏保,以确保离开后电脑不被他人使用。4.1.5人员离职、调岗时,请参照人事人员离职/换岗流程通知技术保障部协助所属部门交接人员备份信息资料,接收、重新分配电脑。4.2账号及密码安全管理
4.2.1公司各自岗位管理员及用户无条件对本人所负责的相关信息系统及软硬件密码负直接管理责任,未经上级主管审批,不得将自己的账号及密码告诉其他人,造成损失者,对账户及密码拥有人员酌情处分。
4.2.2机房设备及服务器、各信息系统管理员账号统一由技术保障部对应责任岗位负责,并定期修改密码;密码需统一登记在册,并及时更新,由技术保障部经理负责,出现重大泄露事件,对部门经理及相关责任人处分。4.2.3公司官网、微信、微博等与公司宣传有关的账号、密码,统一由市场营销部门对应岗位负责。
4.2.4因工作需要,在政府或第三方机构等网站注册的账号、密码,分别由各责任部门自行负责。
4.2.5具有信息系统权限的人员离职、调岗时,必须由技术保障部会签离职、调岗相关单据,以及时处理相关权限。4.3计算机系统安全管理
4.3.1公司所有办公电脑系统权限、安装软件、端口使用权限全部由技术保障部根据本规定统一设置、管控,特殊岗位因工作需要开通权限,需经申请批准后由技术保障部执行,任何未经批准擅自更改者视情节严重性进行处分。4.3.2未经技术保障部备案许可,严禁擅自安装自带软件,私自安装软件造成的版权纠纷,将由个人承担全部相关法律责任。
4.3.3公司所有办公电脑严禁安装游戏、工作无关软件,技术保障部不定期检查,对并违规行为做通报。4.4网络及应用系统安全管理
4.4.1任何部门和个人,不得利用计算机信息系统和网络系统从事危害国家利益、集体利益和公民合法权益的活动,不得利用国际互联网制作、复制、查阅和传播违法信息,任何利用公司网络所作的违法行为属个人行为,将全部由个人承担相关法律责任,公司将配合相关部门严厉查处。4.4.1.1煽动抗拒、违法乱纪、颠覆国家政权、分裂国家、破坏民族团结的;
4.4.1.2捏造或者歪曲事实,散布谣言,扰乱社会秩序的; 4.4.1.3宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪的;
4.4.1.4公然侮辱他人或者捏造事实诽谤他人的。4.4.2任何部门和个人不得从事下列危害公司或公共计算机信息系统和网络系统安全的活动,违者全部由个人承担相关法律责任,并视情节严重性请相关部门追究法律责任。4.4.2.1故意制作、传播计算机病毒等破坏性程序的; 4.4.2.2故意攻击公共网络、公共服务器、公司网络、公司服务器的;
4.4.2.3其他故意危害公共网络、公司网络安全的行为。4.4.3 电脑IP地址是公司网络管理的最重要基础,公司所有办公电脑(含笔记本电脑)由技术保障部统一分配IP地址,任何部门或个人无权擅自修改IP地址。
4.4.4不得利用公司网络打游戏、看电影、下载工作无关资料。
4.4.5不得在公司内部安装、使用网络代理软件,以扰乱网络管理机制。
4.4.6技术保障部需定期检查、通报公司网络使用状况,并对违规者申请处分。4.5信息资料安全管理
4.5.1公司所有信息资料属公司资产,各部门与个人有义务承担本部门或个人信息资料的保密责任,并对所辖机密资料的安全承担连带责任。
4.5.2各部门主管需逐级制订本部门机密资料的内容、受限范围、发放审批机制,并定期检查、更新。
4.5.3未经批准,不得把本部门机密资料放置在公共网络、内部不受限共享夹、或以其他任何方式发送给受限范围以外的人员;任何有意、无意的泄密行为都是公司严厉禁止的,直至追究法律责任。
4.5.4对于部分有备份安全需求的部门,可申请由技术保障部统一安排部署备份服务器及备份机制。4.6中心机房安全管理
详见《公司管理处中心机房管理规定》。4.7计算机病毒防范
详见《公司管理处计算机病毒防范管理规定》 4.8监控资料安全管理
4.8.1监控资料调阅管理部门为技术保障部,安防监控录像调阅请参照综合管理部相关规定。
五、信息安全风险评估 5.1随着信息技术的不断发展、重大信息系统环境的不断改进和改变,每年至少要进行一次信息安全风险评估,对相关的制度进行重新审核,并更新不适当的内容。
六、附则
6.1本规定由技术保障部负责解释。
1.1.2.计算机病毒防范管理规定
为加强计算机的安全监察工作,预防和控制计算机病毒,保障计算机系统的正常运行,根据国家有关规定,结合实际情况,制定本制度。
一、凡在公司内所辖计算机进行操作、运行、管理、维护、使用计算机系统以及购置、维修计算机及其软件的部门,必须遵守本制度。
二、本办法所称计算机病毒,是指编制或者在计算机程序中插入的破坏计算机系统功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
三、任何工作人员不得制作和传播计算机病毒。
四、任何工作人员不得有下列传播计算机病毒的行为: 故意输入计算机病毒,危害计算机信息系统安全。向计算机应用部门提供含有计算机病毒的文件、软件、媒体。购置和使用含有计算机病毒的媒体。
五、预防和控制计算机病毒的安全管理工作,由技术保障部负责实施管理。其主要职责是
制定计算机病毒防治管理制度和技术规程,并检查执行情况; 采取计算机病毒安全技术防治措施;
对计算机信息系统使用人员进行计算机病毒防治教育和培训; 及时检测、清除计算机系统中的计算机病毒,并做好检测、清除的记录;
购置和使用具有计算机信息系统安全专用产品销售许可证的计算机病毒防治产品;
对因计算机病毒引起的计算机信息系统瘫痪、程序和数据严重破坏等重大事故及时做好记录,评估事故损失,保护现场并向公安机关报告。
六、计算机安全管理部门应加强对计算机操作人员的审查,并定期进行安全教育和培训。
七、计算机信息系统应用部门应建立计算机运行记录制度,未经审定的任何程序、指令或数据,不得输入计算机系统运行。
八、计算机安全管理部门应对引起的计算机及其软件进行计算机病毒检测,发现染有计算机病毒的,应采取措施加以消除,在未消除病毒之前不准投入使用。
九、通过网络进行电子邮件或文件传输,应及时对传输媒体进行病毒检测,接收到邮件时也要及时进行病毒检测,以防止计算机病毒的传播。
十、积极接受公安机关对计算机病毒防治管理工作的监督、检查和指导。
十一 现对日常使用计算机做出如下建议 及时安装系统补丁。建议使用系统自带的更新程序进行系统更新,不要使用诸如360安全卫士或qq电脑管家进行更新 安装杀毒软件。可以安装360等免费杀毒软件。
定期扫描系统是否感染有病毒,3天左右一次,可以在下班前或中午吃饭的时候进行全盘病毒查杀。定期更新防病毒软件。
不要乱点击链接和下载软件,目前许多下载网站都带有推广链接,很容易造成误操作.如需要下载软件,请到正规官方网站上下载.不要访问无名和不熟悉的网站,防止受到恶意代码攻击或是恶意篡改注册表和IE主页.不要陌生人和不熟悉的网友聊天,特别是那些QQ病毒携带者,因为他们不时自动发送消息,这也是其中毒的明显特征.关闭无用的应用程序,因为那些程序对系统往往会构成威胁,同时还会占用内存,降低系统运行速度.安装软件时,切记不要安装其捆绑软件,尤其是部分流氓软件,一旦安装,想要卸载十分麻烦,甚至于需要重装系统才能清除.不要随意执行附件中的可执行文件,一般以.com,.exe.bat作为后缀名 这些附件极有可能带有计算机病毒或是黑客程序,轻易运行,很可能带来不可预测的结果。对于这些可执行程序附件都必须检查,确定无异后才可使用。不要随意打开附件中的文档文件 对方发送过来的电子函件及相关附件的文档,首先要用另存为命令(Save As)保存到本地硬盘,待用病毒查杀软件检查无毒后才可以打开使用。如果用鼠标直接点击两下DOC、XLS等附件文档,会自动启用Word或 Excel,如有附件中有病毒则会立刻传染;如有是否启用宏的提示,那绝对不要轻易打开,否则极有可能感染上邮件病毒。
不要直接运行附件 对于文件扩展名很怪的附件,或者是带有脚本文件如*.VBS、*.SHS等的附件,千万不要直接打开,一般可以删除包含这些附件的电子函件,以保证计算机系统不受计算机病毒的侵害,或经过扫描之后打开。
邮件设置如果是使用Outlook作为收发电子邮件软件的话,应当进行一些必要的设置。选择工具菜单中的选项命令,在安全中设置附件的安全性为高;在其他中按高级选项按钮,按加载项管理器按钮,不选中服务器脚本运行。最后按确定按钮保存设置。
外来U盘、移动硬盘、光盘等最好在装有杀毒软件的电脑上查毒确认无病毒后再打开、执行、拷贝。1.1.3信息系统管理制度
一、业务主管职责
财务、综管、营销、运营等重点业务主管,负责协调本业务范围内信息系统的总体运行工作。具体职责包括:
1、负责本部门信息化岗位的设定和分配,结合本部门情况确定每个岗位的职责;
2、分配每一岗位人员操作权限,以书面形式通知系统管理员;
3、根据本单位的实际情况,总结系统存在的问题,并提出改进的建议;
4、研究本单位的需求,对信息系统提出新需求或升级的请求;
二、系统管理员具体职责:
1、负责系统软件、硬件及数据库的安装与升级;
2、负责系统软件、硬件及数据库所有技术问题,保障系统正常运行;
3、负责服务器的硬软件资源分配,监控网络的运行;
4、负责数据的备份与备份的恢复工作;
5、负责公司用户权限的分配管理工作,做好数据的保密工作;
6、负责组织信息系统的培训工作;
三、系统管理员操作管理制度
1、操作人员(包括专业维护人员)必须严格按照操作权限操作,不得越权操作。每次操作应记录相应的操作日记,日记包括操作时间、执行命令等。
2、操作人员离开系统时,应退出系统或进行系统封锁。
3、管理员每周应检查数据备份情况,每月应将其刻录成光盘。
4、系统管理员变动前必须办理交接手续,经接管人员或监交人员与系统管理员双方签字确认,作为档案存档。
四、系统管理员备份管理制度 具体内容包括:
(1)管辖范围内的服务器地址分布;
(2)网络服务器口令、数据库超级口令、公司信息系统管理员口令;
(3)每年的历史数据备份,本年的所有的数据备份;(4)系统培训资料;(5)系统维护记录本;
(6)所有版本的公司信息系统软件;(7)所有版本的数据库管理系统软件;(8)其他应交接的内容。
(9)对交接内容应进行相应的测试,以确保交接质量。一旦交接,接替人员或监交人员应立即更换所有口令,并开始承担系统管理员的所有工作。
五、软件管理制度
1、信息系统功能改动时,应对其功能改动部分进行认真测试研究,确定新增功能的用法,防止工作的盲目性。
2、公司在组织软件的升级工作时,一般应在同一个会计期间内一次性更换所有在用软件,升级前应通知各用户,并对功能更动部分加以说明。
3、要严格保护所有在用软件的版权,包括网络、数据库、操作系统、软件等。严禁将软件以任何形式出售、转让或赠送给该范围以外的任何单位或个人。
4、各单位要制定具体的防病毒措施。所有来历不明的媒体介质在使用前必须经过病毒检测,对所有在用计算机尤其是 NT 服务器必须定期进行病毒检测。使用网络的单位要严防病毒通过网络传播,办公用计算机不能装入各种游戏软件。
六、数据管理制度
1、信息系统的数据管理是指数据不丢失、不损毁、不向无关人员泄露、不被非法修改,保障数据的安全要从技术和管理两个方面着手,做好安全保密工作。
2、要经常对系统中的数据进行备份,以便在计算机发生故障时可将数据恢复到最近状态。数据备份的目标是防止任何时间发生的硬、软件故障以及人为失误造成的数据损毁,因此原则上要求在发生业务的当天都进行备份。具体备份模式为:
(1)每天在服务器上作一数据备份,(2)每周作一个异地备份,每月制作一份数据光盘;(3)每年年末制作双备份, 存储于不同的地点。
3、对备份的数据应加强管理,防止被非法拷贝或毁坏。
4、采取各种措施来保障上网数据的安全性。要严密控制好数据库及其服务器的口令,控制好各用户的口令。
七、系统维护管理制度
1、系统维护管理是指为保障系统正常运行而进行的对硬件、网络、数据库、操作系统、软件及相关办公自动化软件进行的安装、修正、更新版本、扩展、备份等操作以及对软件应用模式的设计及实施工作。系统的维护管理工作由系统管理员或由系统管理员授权的专业维护人员负责进行。未经系统管理员授权的人员不得进行系统维护操作。
2、未经系统管理员许可,不得在公司信息系统服务器上安装其它硬、软件,不得改变系统的运行环境。
3、系统运行时,应获得充分的维护保障。系统发生影响正常运行的故障时,系统理员应及时给予处理。属于系统优化或不影响正常业务流程的问题,系统管理员应进行合理的预计,提前规划,制定实施方案以确保系统的平稳运行。
4、系统运行中出现故障或出现不明意义的提示时,操作人员应保护现场,及时与系统管理员联系。由于操作人员擅自处理故障而引起的后果由操作人员自己负责。
5、系统管理员在不能直接排除故障并且没有替代解决方案,应请求上一级部门系统管理员或专业维护人员的技术支持。
6、要建立系统管理维护记录本实行系统维护记录制度。对故障的发生时间、表现、解决办法及结果等进行详细的记录,并由维护人员或系统管理员签字。系统管理维护记录本的登记要条理清楚、时间准确,字迹工整。
7、对于两个以上的系统维护管理人员应进行合理的分工,充分发挥系统管理员的作用,不断加强系统维护的技术保障,逐步形成一套有效的系统维护管理体制。
八、档案及数据管理制度
1、公司信息系统档案包括:(1)数据库备份资料 ;(2)软件升级前的数据库备份;
(3)打印输出的经过盖章签字的会计资料;
(4)每年一次的经系统管理员签字的系统管理维护记录本存档;
(5)所有版本的系统、网络、数据库、软件;(6)软件的开发文档、源程序;(7)其他应该存档的资料或数据。
2、打印输出的凭证、报表、帐簿等各种会计资料的保存按财政部《会计档案管理办法》 执行。数据库的备份要永久保留。以胶片、磁、光等介质保存的数据的档案应按照有关规定保存在温湿度适宜、阳光不直射,并且不能被损害的场所。
3、以磁介质存储的数据应定期更换新的介质进行再拷贝。
4、本章未及内容按照财政部《会计档案管理办法》 执行。附件:补丁更新记录台帐、数据备份登记台帐、服务器等设备维护登记表、档案移交登记表的样本。
1.1.4中心机房管理规定
为进一步做好公司信息化管理工作,提高精细化管理水平,降低办公费用消耗,确保公司网络通讯系统的畅通,按照公司《信息安全管理规定》,特制订中心机房管理规定。
本规定适用于中心机房的管理,机房工作人员要认真遵守,并作为日常行为规范。
一、机房人员日常行为准则
1.1必须注意环境卫生。禁止在机房内抽烟、吃食物、随地吐痰,保持机房无尘洁净环境。
1.2机房用品要各归其位,不能随意乱放,不许堆放杂物。注意检查机房的防晒、防水、防潮,维持机房环境通爽,保证机房的适当温度和适度。
1.3中心机房每周清扫一次,物品要摆放整齐,保持安静清洁的工作环境。
二、机房安全制度
2.1禁止带领与机房工作无关的人员进出机房,建立机房准入制度,凡进入机房人员必须得到技术保障部经理允许,并进行登记(格式见《公司管理处机房出入登记表》),由技术保障部人员全程陪同。
2.2未经主管领导批准,禁止将密码、信息外借透露给其它人员,同时有责任对信息保密。对于泄露信息的情况要及时上报,并积极主动采取措施保证机房安全。2.3重点做好机房防火、防水、防潮湿、防干燥、防短路、防断路、防老鼠、防盗、防高温,出现机房盗窃、破门、火警、水浸、110报警等严重事件时,网络信息工作人员有义务以最快的速度和最短的时间到达现场,协助处理相关的事件。
2.4工作人员离开工作区域前,应保证工作区域内保存的重要文件、资料、设备、数据处于安全保护的状态。
三、机房用电安全制度
3.1机房工作人员应学习常规的用电安全操作知识,了解机房内部的供电、用电设施的操作规程。掌握机房用电应急处理步骤、措施、要领。定期检查供电、用电设备、设施。
3.2机房不得乱拉乱接电线及用电设备。如发现用电安全隐患,应及时采取措施解决,不能解决的必须及时向主管领导汇报。
3.3在危险性高的位置应张贴相应的安全操作方法、警示以及指引,实际操作时应严格执行。
3.4在外部供电系统停电时,机房工作人员应全力配合完成停电应急工作,启动应急设备,或及时关闭计算机系统。
四、机房消防安全制度
4.1机房管理人员应熟悉机房内部消防安全操作规则,了解消防设备操作原理、掌握消防应急处理步骤、措施和要领。4.2工作人员要保护消防设备不被破坏。如发现消防安全隐患,应及时采取措施解决,不能解决的应及时向相关负责人员提出解决。
4.3最后离开机房的工作人员,应检查消防设备的工作状态消防器材的完好,关闭将会带来消防隐患的设备,采取措施保证无人状态下的消防安全。
五、机房硬件设备安全使用制度
5.1机房人员必须熟知机房内设备的基本安全操作规则。应定期检查、整理硬件物理连接线路,定期检查硬件运作状态。
5.2禁止随意在设备上进行安装、拆卸硬件、或随意更改设备连线、禁止随意进行硬件复位。禁止在服务器上进行试验性质的配置操作,需要对服务器进行配置,应在其它可进行试验的机器上调试通过并确认可行后,才能对服务器进行准确的配置。
5.3对影响到全公司的硬件设备的更改、调试等操作应预先发布通知,并且应有充分的时间、方案、人员准备,才能进行硬件设备的更改。对重大设备设置的更改,必须首先形成方案文件,经过讨论确认可行后,由具备资格的技术人员进行更改和调整,并应做好详细的更改和操作记录。对设备的更改、升级、配置等操作之前,应对更改、升级、配置所带来的负面后果做好充分的准备,必要时需要先准备好后备配件和应急措施。
5.4不允许任何人在服务器、交换设备等核心设备上进行与工作范围无关的任何操作。不允许他人操作机房内部的设备,对于核心服务器和设备的调整配置,需要主管领导同意后才能进行。
5.5要注意和落实硬件设备的维护保养措施。
六、软件安全使用制度
6.1必须定期检查软件的运行状况、定期进行数据和软件日志备份。
6.2禁止在工作服务器上进行试验性质的软件调试,禁止在服务器随意安装软件。需要对服务器进行配置,必须在其它可行试验的机器上调试通过并确认可行后,才能对服务器进行准确的配置。
6.3对会影响到全局的软件更改、调试等操作应发布通知,并且应有充分时间、方案、人员准备,才能进行软件配置的更改。对重大软件配置的更改,应先形成方案文件,经过讨论确定可行后,由具备资格的技术人员进行更改,并应做好详细的更改和操作记录。对软件的更改、升级、配置等操作之前,应对更改、升级、配置所带来的负面后果做好充分的准备,必要时需要先备份原有软件系统和落实好应急措施。
七、机房资料、文档和数据安全制度
7.1资料、文档、数据等必须有效组织、整理和归档备案。禁止任何人员将机房内的资料、文档、数据、配置参数等信息擅自以任何形式提供给其他无关人员或向外随意传播。
7.2对于牵涉到网络安全、数据安全的重要信息、密码、资料、文档等等必须妥善存放。外来工作人员的确需要翻阅文档、资料或者查询相关数据的,应由机房工作人员代为查阅,并只能向其提供与其当前工作内容相关的数据或资料。
7.3重要资料、文档、数据应采取对应的技术手段进行加密、存储和备份。对于加密的数据应保证其可还原性,防止遗失重要数据。
八、机房财产登记和保护制度
8.1机房的日常物品、设备、消耗品等必须有清晰的数量、型号登记记录,对于公共使用的物品和重要设备,必须履行借取和归还登记手续。
8.2机房工作人员应有义务安全和小心使用机房的任何设备、仪器等物品,对于使用过程中损坏、消耗、遗失的物品应汇报登记,并对责任人追究相关责任。
8.3未经主管领导同意,不允许向他人外借提供机房设备和物品。
九、机房巡检制度 9.1机房工作人员每日对中心机房按照《机房巡检标准》进行巡检
第四篇:信息安全管理协议书
信息安全管理协议书
甲 方 :
乙 方 :中国电信股份有限公司金华分公司
甲乙双方就乙方为甲方提供网站接入服务经友好协商达成如下协议:
甲方为乙方用户,IP,甲方在乙方接入的网站所从事的业务严格遵守法律、法规、规章及政府部门、行业协会、行业组织的相关规定(包括但不限于:信部电[2005]501号《互联网站管理工作细则》、国务院292号令《互联网信息服务管理办法》),不从事任何违反法规的行为,不在互联网上散布谣言、发布扰乱社会秩序的信息、不发布组织或实施过激行为的信息、对所属的网站加强监管,发现违法的相关内容及时进行制止和清理。
甲方严格按照依据《非经营性互联网备案管理办法》等法律法规履行网站备案手续。承诺提交的所有备案信息真实有效,当备案信息发生变化时会及时提交更新信息。如因未及时更新而导致备案信息不准确,乙方有权依法对接入网站进行关闭处理,如备案信息不真实,将关闭网站并注销备案。
甲方网站内容如涉及新闻、出版、教育、医疗保健、药品和医疗器械、广播电视节目、音频在线视频、电子公告服务、游戏或其他需要相关部门进行专项审批的网站必须到相关部门通过前置审批后再到乙方进行网站报备工作。
乙方妥善保管核验过程中获取的网站主办者证件信息、照片信息、《网站备案信息真实性核验单》、与网站主办者签署的各项协议,保证信息不泄露,承担对网站主办者提交材料的信息安全保密管理责任。
乙方有权对甲方的网站备案和信息内容进行监管,有权在发现甲方的网站上存在备案问题或非法信息问题时,关停网站或服务器;若因甲方监管不力,未及时进行网站备案或由于服务器上存在非法网站、非法信息导致的一切后果(包括但不限于经济责任、行政责任、法律责任等)由甲方自行承担,与乙方无关。
甲方代表签字:乙方代表签字:
单位盖章:单位盖章:
年月日年月日
第五篇:信息安全管理协议书
信息安全管理协议书
根据中华人民共和国工业和信息化部、公安部等部委关于加强在公共信息服务中传播信息管理的有关规定及国家有关部门的相关精神,用户应自觉遵守《计算机信息网络国际联网安全保护管理办法》、《非经营性互联网信息备案管理办法》、《关于切实开展互联网站清理整顿工作的通知》(信部电〔2005〕92号)、《关于加强互联网站备案管理的工作方案》(工信部电管【2009】188号)、《中华人民共和国电信条例》、工业和信息化部关于进一步落实网站备案信息真实性核验工作方案(试行){工信部电管[2010]64号}文件及其它有关法律、法规,不得从事任何违法违规行为,应严格履行国家行业管理和信息安全管理部门的各项规定,做到证照齐全、手续完备、服从监管。
一、为了保证信息安全,所有互联网用户必须遵守国家公共信息服务的有关规定:
1.不得利用国际联网制作、复制和传播下列信息:
1)
煽动抗拒、破坏宪法和法律、行政法规实施的;
2)
煽动颠覆国家主权,推翻社会主义制度的;
3)
煽动分裂国家、破坏国家统一的;
4)
煽动民族仇恨、民族歧视,破坏民族团结的;
5)
捏造或者歪曲事实,散布谣言,扰乱社会秩序的;
6)
宣传封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖犯罪的;
7)
公然侮辱他人或者捏造事实诽谤他人的;
8)
损害国家机关信誉的;
9)
其它违反宪法和法律、行政法规的。
2.根据不得有悖社会公德、损害青少年身心健康的标准,集中对以下十三个方面的低俗内容在本公司网站内进行核查清理:
1)
表现或隐晦表现性行为、令人产生性联想、具有挑逗性或者污辱性的内容;
2)
对人体性部位的直接暴露和描写;
3)
对性行为、性过程、性方式的描述或者带有性暗示、性挑逗的语言;
4)
对性部位描述、暴露,或者只用很小遮盖物的内容;
5)
全身或者隐私部位未着衣物,仅用肢体掩盖隐私部位的内容;
6)
带有侵犯个人隐私性质的走光、偷拍、漏点等内容;
7)
以挑逗性标题吸引点击的;
8)
相关部门禁止传播的色情、低俗小说,音视频内容,包括一些电影的删节片断;
9)
一夜情、换妻、SM等不正当交友信息;
10)
情色动漫;
11)
宣扬血腥暴力、恶意谩骂、侮辱他人等内容;
12)
非法性用品广告和性病治疗广告;
13)
未经他人允许或利用“人肉搜索”恶意传播他人隐私信息。
3.根据国务院令292号《互联网信息服务管理办法》的规定,国家对经营性互联网信息服务实行许可制度(即电信增值业务经营许可证,可简称ICP证);未取得许可或者未履行备案手续的,不得从事互联网信息服务。
1)所有从事网站服务的单位,必须遵守“先备案,后开通网站”。根据国家相关文件要求,所有互联网网站必须在工信部备案网站上(www.xiexiebang.com)取得备案编号。用户应保证所有托管域名已备案。未备案网站不得接入互联网。
2)从事互联网信息服务,拟开办电子公告服务的,应当在申请经营性互联网信息服务许可或者办理非经营性互联网信息服务备案时,按照国家有关规定提出专项申请或者专项备案,未得到相关部门批复,不得擅自开启电子公告服务。
3)拟从事新闻、出版、教育、医疗保健、药品和医疗器械、文化、广播电影电视节目等互联网信息服务,根据法律、行政法规以及国家有关规定应经有关主管部门审核同意的,在履行备案手续时,还应向其住所所在地省通信管理局提交相关主管部门审核同意的文件。
4.用户应当加强日常管理,通过技术手段和人工相结合的方法,检查本单位是否存在网站未备案现象,并及时报光环新网进行备案处理。
5.根据工业和信息化部关于进一步落实网站备案信息真实性核验工作方案(试行){工信部电管[2010]64号}文件,网站主办者承诺:协助接入服务单位建立网站主办者资料档案,妥善保管核验过程中获取的网站主办者证件信息、照片信息、《网站备案信息真实性核验单》、与网站主办者签署的各项协议。上述资料至少留存5年以上,以备通信行业主管部门依法进行检查,网站主办者应提交真实信息并对其真实性负责。
6.除上述法律法规外,网站主办者还承诺将遵守各项相关法律法规,配合相关机构与部门做好互联网管理工作.二、根据中华人民共和国工业和信息化部令第5号《电信业务经营许可管理办法》,互联网用户必须遵守以下规定:
1.对于由光环新网分配的IP地址,各互联网单位未经光环新网许可,不得将IP转租给其他单位或个人使用。同时,IP使用单位必须按照网安部门工信部的相关要求做好ICP/IP登记及备案手续,并确保使用的IP地址的落地使用人基本信息,否则光环新网可单方面终止与此客户的合同且不构成违约。
2.严禁盗用未分配给用户的IP地址。
3.除提供正常服务外,严禁使用一切手段从事危害网络运行和侵犯其他用户利益的黑客行为。
三、本协议书构成北京光环新网科技股份有限公司与互联网接入用户所定协议的不可分割之组成部分,具有同等法律效力。
四、对于违反上述规定的用户,将接受相关部门规定处罚;同时,北京光环新网科技股份有限公司有权启动相应的处罚机制,并暂停直至终止提供网络服务,且不构成违约责任。
五、我作为互联网接入用户,已认真阅读了责任书的全部内容,并同意遵守其所有规定
网站负责人签字:
单
位
盖
章
:
日期:
****年**月**日
![下载ISO13335-1信息安全管理指南[5篇模版]word格式文档](http://static.xiexiebang.com/skin/default/images/icon_word.png){kind=icon}
点击咨询 