第一篇:涉密计算机审计报告
涉密计算机安全保密审计报告
一. 涉密计算机概况
涉密机台数:3
涉密机编号:
位置:
二. 安全审计策略
(1)一般审计日志项目:
a.授权访问的细节(用户ID、日期、访问的文件、使用的工具)。b.所有特殊权限操作。
c.未授权的访问尝试。
d.系统故障及其处置。
e.防护系统的激活和停用。
f.涉密机管理员的活动日志。包括:事件(成功的或失败的)发生的时间、关于事件(例如处理的文件)或故障(发生的差错和采取的纠正措施)的信息、涉及的帐号和管理员或操作员、涉及的过程
(2)日志保留要求:
保留前所有的日志记录。
(3)日志保护要求:
应保护日志信息,以防止篡改和未授权的访问,避免导致错误的安全判断。
a.应向信息系统日志管理员沟通日志保护的重要性,日志管理的纪
律。
b.应定期评审日志管理员的工作,必要时进行调整。
c.设定合理的日志文件介质存储能力的界限,避免不能记录事件或过
去记录事件被覆盖。
(4)故障日志处置要求:
a.涉密机管理员负责记录与信息处理或通信系统的问题有关的用户
或系统程序所报告的故障。
b.涉密机管理员负责分析故障日志,提出纠正和纠正措施的建议。
c.涉密机管理员实施纠正和纠正措施。
(5)时钟同步要求:
确保所有信息处理设施的时钟与本地标准时间保持同步。涉密机管理员负责每月校验和校准一次时钟。
(6)定期监视评审的安排:保密办应当组织分析涉密机审计事件、异常事
件和行为,依据安全审计策略,每隔3个月,编制《涉密计算机安全保密审计报告》
a.监视评审组:由总经理确定。
三. 审计事件分析
各个用户访问的情况:ID、日期、访问的文件、使用的工具。
所有特殊权限操作:
未授权的访问尝试:
系统故障及其处置:
防护系统的激活和停用:
系统管理员和系统操作员的活动日志:
四. 异常事件和行为分析
无异常情况。
五. 结论
涉密机管理规范,运行正常,维护到位。
签字:
日期:
第二篇:计算机涉密自查报告
定西市安定区永定路小学
关于切实加强计算机、移动存储介质及国家秘密载体
保密管理工作的自查报告
按照安定区教育体育局《关于切实加强计算机、移动存储介质及国家秘密载体保密管理的通知》(安教发【2011】384号)文件精神,我校严格按文件要求对学校的计算机保密工作进行了自查,特汇报如下:
一、高度重视
作为教育机构,我校把保密工作作为一项重要工作常抓不懈。明确了保密工作的领导机构和人员,成立了由校长刘建国任组长,书记郭天宝、副校长王旭东、办公室主任爨晓平等为成员的安全保卫保密工作领导小组,制定了《永定路小学涉密计算机及网络管理制度》并且落实了保密工作岗位负责制。做到了保密工作机构、人员、职责、制度“四落实”。
二、计算机保密管理现状
我校共有非涉密计算机8台。所有电脑都配备了杀毒软件,能定期杀毒与升级。对于非涉密单机的管理,都设置了开机密码,并能作到定期更换,同时明确非涉密单机不得处理涉密信息。对于计算机存储介质(U盘、移动硬盘等)的管理,采取专人保管、涉密文件单独存放,严禁携带存有涉密内容的磁介质到上网的计算机上加工、贮存、传递处理文件。
到目前为止,我校未发生一起计算机泄密事故。
三、计算机保密工作落实情况
(一)以宣传教育为主导,强化保密意识 为加强计算机及其网络的保密管理,防止计算机及其网络泄密事件发生,确保国家秘密信息安全,在计算机网络管理人员以及操作计算机的领导干部、涉密人员中强化计算机保密安全意识,我校采取多种方式,多渠道对计算机保密相关人员进行宣传教育。一是将《计算机及其网络保密管理规定》予以转发至各办公室,要求结合实际,认真组织学习,并抓好贯彻落实。二是进行警示教育。
(二)以制度建设为保障,严格规范管理
加强制度建设,是做好计算机保密管理的保障。为了构筑科学严密的制度防范体系,不断完善各项规章制度,规范计算机及其网络的保密管理,我校主要采取了以下几项措施:一是认真贯彻执行上级保密部门文件的有关项规定和要求,不断增强依法做好计算机保密管理的能力;二是制定《永定路小学涉密计算机及网络管理制度》;三是严格涉密信息流转的规范性,弥补管理上存在的空挡;四是针对信息发布中存在的不规范等问题,及时制定涉密信息发布审查制度,要求对上网信息严格审查、严格控制、严格把关,从制度上杜绝泄密隐患,做到“上网信息不涉密、涉密信息不上网”。
(三)以督促检查为手段,堵塞管理漏洞
为了确保计算机及其网络保密管理工作各项规章制度的落实,及时发现计算机保密工作中存在的泄密隐患,堵塞管理漏洞,我校十分重视对计算机及其网络保密工作的督促检查,采取自查与抽查相结合,常规检查与重点检查相结合,定期检查与突击检查相结合等方式,对计算机及其网络管理制度的落实情况、涉密网络的建设和使用情况以及涉密计算机、涉密网络采取的管理和防范措施的落实情况进行检查。今年以来,我校对计算机及其网络的情况进行了一次全面检查,通过检查,查找计算机保密工作中存在的管理漏洞,并整改到位。
通过自查,我校的计算机保密工作能做到制度到位、管理到位、检查到位,但也存在一定的问题,主要是计算机防范技术有待学习提高。
二〇一一年十月十九日
第三篇:非涉密计算机自查报告
XXXXXXXXXXXXXXXX 关于非涉密办公电脑是否处理密件的
自查报告
为更好地做好保密工作,杜绝非涉密办公电脑处理密件的行为,根据XXXXX要求,我局围绕非涉密计算机、移动存储介质、办公网络使用情况等进行了自查。现将有关情况汇报如下:
一、对局内所有办公电脑、移动存储介质和网络进行全面检查。局内X台办公电脑,均未发现非涉密计算机在连接互联网的计算机中制作、存储、传递和处理涉密文件、信息以及机关内部资料的行为;未感染木马病毒;未安装无线网卡等设备;未使用非涉密移动存储介质;无违规上国际互联网及其他公共信息网的记录。安全情况良好。
二、加强保密工作培训,提高保密工作意识。为提高全局领导干部的保密工作意识,提高保密工作能力,组织大家认真学习了《国家保密法》、《中华人民共和国保守国家秘密法实施办法》等法律法规。组织全局领导干部认真观看警示教育影片,使大家进一步认识到了泄密事件造成的严重后果,从而自觉维护国家安全和利益。
XXXXXXXXXXXXX
XX年XX月XX日
第四篇:涉密计算机管理规定(范文)
天津开发区管委会涉密计算机及涉密网络保密管理
规定
第一条 为加强天津开发区管委会涉密计算机及涉密网络的管理,保障办公使用过程中国家秘密的安全,避免计算机病毒等非法入侵,根据《中华人民共和国保守国家秘密法》、国家保密局《计算机信息系统保密管理暂行规定》、《计算机信息系统国际互联网保密管理规定》及天津市有关规定,结合开发区实际,制定本规定。
第二条 本规定所称的涉密计算机及涉密网络是指处理、存储和传输涉密信息的单机、笔记本电脑、涉密信息系统及涉密网络等。
第三条 本规定适用于天津开发区管委会(党组)各部门、各单位,各直属事业单位、有关事业单位及直属企业(以下简称各部门、各单位)。
第四条 开发区管委会(党组)办公室对本规定第三条所指各部门、各单位执行本规定负有指导、监督、检查职责。各部门、各单位主要领导,对本部门、本单位执行本规定负有指导、监督、检查职责。
第五条 涉密计算机投入使用前,要进行必要的安全检查,不允许进行各种形式的有线及无线的网络连接,不允许使用无线功能的键盘鼠标进行操作。
第六条 涉密计算机应为专人专用,用户应定期修改机器登录密码,密码要求8位以上并有英文大小写和数字的混排。
第七条 涉密网络由各单位指派专人负责接入管理,不允许私自将笔记本电脑、小交换机、无线设备接入涉密网点。
第八条 涉密网络需要使用移动介质前,应先检查移动介质是否存在病毒、木马等恶意程序。
第九条 涉密人员因工作变化、调动等原因需要开始或停止使用涉密计算机及涉密网络的,所在部门应备案登记,并提交书面申请由领导批准后再由网络管理人员开通或关闭相应权限。
第十条 涉密计算机及涉密网络所在的场所,必须采取必要的安全防护措施,安装防盗门和报警器及监控设备等必要措施,并指定专人进行日常管理,严禁无关人员进入该场所。
第十一条 涉密计算机及涉密网络设备需要维修的,必须到天津市保密局指定的维修单位维修。涉密计算机等设备送修前必须将涉密存储部件拆除并妥善保管;如需请外来人员维修,单位应派人全程监督修理过程。涉密存储部件出现故障,如不能保证安全保密,必须按涉密载体予以销毁。
第十二条 涉密计算机如需恢复其存储信息,必须到天津市保密局指定的具有保密资质的单位进行处理,并将废旧的存储介质收回。
第十三条 禁止将涉密计算机转为非涉密环境使用,禁止进行公益捐赠或销售。
第十四条 报废、销毁涉密设备应当严格履行审批、清点、登记手续,送至市保密局指定的销毁单位销毁,任何单位和个人不得擅自销毁。
第十五条 管理人员违反本规定,情节较轻的,应责令改正,给予批评教育;情节严重,造成泄露机密的,按照有关保密规定给予责任人行政或党纪处分;构成犯罪的,移交司法机关,依法追究刑事责任。
第十六条 本规定由开发区管委会(党组)办公室负责解释,自印发之日起实施。各部门、各单位内部相关规定与本规定不一致的,以本规定为准。
第五篇:涉密计算机及信息系统安全策略
涉密计算机及信息系统安全策略文件 概述
涉密计算机及信息系统安全策略文件属于顶层的管理文档,是公司网络与信息安全保障工作的出发点和核心,是公司计算机与信息系统安全管理和技术措施实施的指导性文件。涉密计算机及信息系统安全策略文件是公司计算机和信息系统全体管理和使用人员必须遵循的信息安全行为准则,由公司信息安全管理部门制订及解释,由公司保密委员会审批发布,并由信息安全管理部门组织公司全体人员学习与贯彻。
公司涉密计算机及信息系统涉及到存储、传输、处理国家秘密、公司商业秘密和业务关键信息,关系到公司的形象和公司业务的持续运行,必须保证其安全。因此,必须从技术、管理、运行等方面制定确保涉密计算机和信息系统持续可靠运行的安全策略,做好安全保障。
本策略文件主要内容包括:物理安全策略、信息安全策略、运行管理策略、备份与恢复策略、应急计划和响应策略、计算机病毒与恶意代码防护策略、身份鉴别策略、访问控制策略、信息完整性保护策略、安全审计策略等十个方面。2 适用范围
2.1本策略所称的涉密计算机和信息系统指公司所有通过计算机及信息系统存贮、处理或传输的信息及存贮、处理或传输这些信息的硬件、软件及固件。
2.2本策略适用于与公司涉密计算机及信息系统相关的所有部门及人员。3 目标
制定涉密计算机及信息系统安全策略的目标就是确保公司掌握的国家秘密、公司商业秘密和业务关键信息的安全性,并通过一系列预防措施将信息安全可能受到的危害降到最低。信息安全管理应在确保信息和计算机受到保护的同时,确保计算机和信息系统能够在允许的范围内正常运行使用。
同时,本策略的目的也是让所有员工能够了解信息安全问题以及明确各自的信息安全职责,严格遵守本安全策略,并遵守国家相关的计算机或信息安全法律要求。4 组织 4.1保密委员会是计算机及信息系统安全管理的领导机关,负责领导信息安全管理体系的建立和信息安全管理的实施,主要包括:
提供清晰的指导方向,可见的管理支持,明确的信息安全职责授权; 审查、批准信息安全策略和岗位职责; 审查业务关键安全事件;
批准增强信息安全保障能力的关键措施和机制;
保证必要的资源分配,以实现数据有效性以及信息安全管理体系的持续发展。
4.2信息安全管理部门具体负责建立和维持信息安全管理体系,协调相关活动,主要承担如下职责:
调整并制定所有必要的信息安全管理规程、制度以及实施指南等; 提议并配合执行信息安全相关的实施方法和程序,如风险评估、信息管理分层等;
主动采取部门内的信息安全措施,如安全意识培训及教育等; 配合执行新系统或服务的特殊信息安全措施; 审查对信息安全策略的遵循性; 配合并参与安全评估事项;
根据信息安全管理体系的要求,定期向上级主管领导和保密委员会报告。分层管理与控制
5.1公司计算机及信息系统管理分为涉密计算机管理、内部网络(局域网)及计算机信息管理、互联网计算机信息管理三个管理层次。
5.2 涉密计算机只能处理涉及国家秘密的信息,实行物理隔离管理,只能由公司涉密人员使用,由公司保密员管理。涉密计算机信息数据必须被保护以防止被泄漏、破坏或修改。
5.3 内部网络(局域网)及计算机配置加密管理措施,与互联网隔离,配置保密管理措施,只能通过局域网传输、储存技术文档、软件等涉及公司商业机密信息。上述信息必须定期备份进行保护,以免破坏和非授权修改。
5.4 互联网计算机主要处理来自于外部资源的普通信息,配置上网行为管理 2 措施,同样在信息安全防护上进行安全考虑。
5.5上述计算机及信息系统根据分层次管理的要求应当依据其分类进行物理标记。
物理安全策略
6.4信息处理设备可接受的使用策略
公司禁止工作人员滥用计算机及信息系统的计算机资源,仅为工作人员提供工作所需的信息处理设备。公司所有人员对系统网络和计算资源的使用(包括访问互联网)都必须遵守计算机及信息系统的安全策略和标准及所有适用的法律。
公司的计算机及信息系统应能防止使用人员连接到访问含有色情、种族歧视及其他不良内容的网站及某些非业务网站。
包括但不限于以下例子是不可接受的使用行为:
使用信息系统资源故意从事影响他人工作和生活的行为。
工作人员通过信息系统的网络服务及设备传输、存储任何非法的、有威胁的、滥用的材料。
任何工作人员使用信息系统的计算机工具、设备和互联网访问服务来从事用于个人获益的商业活动(如炒股)。
工作人员使用信息系统服务来参与任何政治或宗教活动。
在没有信息安全管理部门的事先允许或审批的情况下,工作人员在使用的计算机中更改或安装任何类型的计算机软件和硬件。
在没有信息安全管理部门的事先允许或审批的情况下,工作人员拷贝、安装、处理或使用任何未经许可的软件。6.5处理从互联网下载的软件和文件
必须使用病毒检测软件对所有通过互联网(或任何其他公网)从信息系统之外的途径获得的软件和文件进行检查,同时,在获得这些软件和文件之前,信息安全管理部门必须研究和确认使用这些工具的必要性。
6.6工作人员保密协议
公司所有人员必须在开始工作前,亲自签订计算机及信息系统保密协议。6.7知识产权权利
尊重互联网上他人的知识产权。
公司工作人员在被雇佣期间使用公司系统资源开发或设计的产品,无论是以何种方式涉及业务、产品、技术、处理器、服务或研发的资产,都是公司的专有资产。物理和环境安全策略
计算机信息和其他用于存储、处理或传输信息的物理设施,例如硬件、磁介质、电缆等,对于物理破坏来说是易受攻击的,同时也不可能完全消除这些风险。因此,应该将这些信息及物理设施放置于适当的环境中并在物理上给予保护使之免受安全威胁和环境危害。
7.1安全区域
根据信息安全的分层管理,应将支持涉密信息或关键业务活动的信息技术设备放置在安全区域中。安全区域应当考虑物理安全边界控制及有适当的进出控制措施保护,安全区域防护等级应当与安全区域内的信息安全等级一致,安全区域的访问权限应该被严格控制。
7.2设备安全
对支持涉密信息或关键业务过程(包括备份设备和存储过程)的设备应该适当地在物理上进行保护以避免安全威胁和环境危险。包括:
设备应该放置在合适的位置或加强保护,将被如水或火破坏、干扰或非授权访问的风险降低到可接受的程度。
对涉密信息或关键业务过程的设备应该进行保护,以免受电源故障或其他电力异常的损害。
对计算机和设备环境应该进行监控,必要的话要检查环境的影响因素,如温度和湿度是否超过正常界限。
对设备应该按照生产商的说明进行有序地维护。 安全规程和控制措施应该覆盖该设备的安全性要求。 设备包括存储介质在废弃使用之前,应该删除其上面的数据。7.3物理访问控制
信息安全管理部门应建立访问控制程序,控制并限制所有对计算计及信息系统计算、存储和通讯系统设施的物理访问。应有合适的出入控制来保护安全场所,确保只允许授权的人员进入。必须仅限公司工作人员和技术维护人员访问公司办 4 公场所、布线室、机房和计算基础设施。
7.4建筑和环境的安全管理
为确保计算机处理设施能正确的、连续的运行,应至少考虑及防范以下威胁:偷窃、火灾、温度、湿度、水、电力供应中断、爆炸物、吸烟、灰尘、振动、化学影响等。
必须在安全区域建立环境状况监控机制,以监控厂商建议范围外的可能影响信息处理设施的环境状况。应在运营范围内安装自动灭火系统。定期测试、检查并维护环境监控警告机制,并至少每年操作一次灭火设备。
7.5保密室、计算机房访问记录管理
保密室、计算机房应设立物理访问记录,信息安全管理部门应定期检查物理访问记录本,以确保正确使用了这项控制。物理访问记录应至少保留12个月,以便协助事件调查。应经信息安全管理部门批准后才可以处置记录,并应用碎纸机处理。
8计算机和网络运行管理策略
计算机和信息系统所拥有的和使用的大多数信息都在计算机上进行处理和存储。为了保护这些信息,需要使用安全且受控的方式管理和操作这些计算机,使它们拥有充分的资源。
由于公司计算机和信息系统采用三层管理模式,不排除联接到外部网络,计算机和信息系统的运行必须使用可控且安全的方式来管理,网络软件、数据和服务的完整性和可用性必须受到保护。
8.1操作规程和职责
应该制定管理和操作所有计算机和网络所必须的职责和规程,来指导正确的和安全的操作。这些规程包括:
数据文件处理规程,包括验证网络传输的数据;
对所有计划好的系统开发、维护和测试工作的变更管理规程; 为意外事件准备的错误处理和意外事件处理规程;
问题管理规程,包括记录所有网络问题和解决办法(包括怎样处理和谁处理); 事故管理规程; 为所有新的或变更的硬件或软件,制定包括性能、可用性、可靠性、可控性、可恢复性和错误处理能力等方面的测试/评估规程;
日常管理活动,例如启动和关闭规程,数据备份,设备维护,计算机和网络管理,安全方法或需求;
当出现意外操作或技术难题时的技术支持合同。8.2操作变更控制
对信息处理设施和系统控制不力是导致系统或安全故障的常见原因,所以应该控制对信息处理设施和系统的变动。应落实正式的管理责任和措施,确保对设备、软件或程序的所有变更得到满意的控制。
8.3介质的处理和安全性
应该对计算机介质进行控制,如果必要的话需要进行物理保护: 可移动的计算机介质应该受控;
应该制定并遵守处理包含机密或关键数据的介质的规程; 与计算相关的介质应该在不再需要时被妥善废弃。8.4鉴别和网络安全
鉴别和网络安全包括以下方面:
网络访问控制应包括对人员的识别和鉴定;
用户连接到网络的能力应受控,以支持业务应用的访问策略需求; 专门的测试和监控设备应被安全保存,使用时要进行严格控制; 通过网络监控设备访问网络应受到限制并进行适当授权; 应配备专门设备自动检查所有网络数据传输是否完整和正确; 应评估和说明使用外部网络服务所带来的安全风险; 根据不同的用户和不同的网络服务进行网络访问控制; 对IP地址进行合理的分配; 关闭或屏蔽所有不需要的网络服务; 隐藏真实的网络拓扑结构;
采用有效的口令保护机制,包括:规定口令的长度、有效期、口令规则或采用动态口令等方式,保障用户登录和口令的安全;
应该严格控制可以对重要服务器、网络设备进行访问的登录终端或登录 6 节点,并且进行完整的访问审计;
严格设置对重要服务器、网络设备的访问权限; 严格控制可以对重要服务器、网络设备进行访问的人员;
保证重要设备的物理安全性,严格控制可以物理接触重要设备的人员,并且进行登记;
对重要的管理工作站、服务器必须设置自动锁屏或在操作完成后,必须手工锁屏;
严格限制进行远程访问的方式、用户和可以使用的网络资源; 接受远程访问的服务器应该划分在一个独立的网络安全区域; 安全隔离措施必须满足国家、行业的相关政策法规。
个人终端用户(包括个人计算机)的鉴别,以及连接到所有办公自动化网络和服务的控制职责,由信息安全管理部门决定。
8.5操作人员日志
操作人员应保留日志记录。根据需要,日志记录应包括: 系统及应用启动和结束时间; 系统及应用错误和采取的纠正措施; 所处理的数据文件和计算机输出; 操作日志建立和维护的人员名单。8.6错误日志记录
对错误及时报告并采取措施予以纠正。应记录报告的关于信息处理错误或通信系统故障。应有一个明确的处理错误报告的规则,包括:1)审查错误日志,确保错误已经得到满意的解决;2)审查纠正措施,确保没有违反控制措施,并且采取的行动都得到充分的授权。
8.7网络安全管理策略
网络安全管理的目标是保证网络信息安全,确保网络基础设施的可用性。网络管理员应确保计算机信息系统的数据安全,保障连接的服务的有效性,避免非法访问。应该注意以下内容:
应将网络的操作职责和计算机的操作职责分离;
制定远程设备(包括用户区域的设备)的管理职责和程序;
应采取特殊的技术手段保护通过公共网络传送的数据的机密性和完整性,并保护连接的系统,采取控制措施维护网络服务和所连接的计算机的可用性;
信息安全管理活动应与技术控制措施协调一致,优化业务服务能力; 使用远程维护协议时,要充分考虑安全性。8.8电子邮件安全策略
计算机和信息系统应制定有关使用电子邮件的策略,包括: 对电子邮件的攻击,例如病毒、拦截;
必要时,使用相关技术保护电子邮件的机密性、完整性和不可抵赖。8.9病毒防范策略
病毒防范包括预防和检查病毒(包括实时扫描/过滤和定期检查),主要内容包括:
控制病毒入侵途径; 安装可靠的防病毒软件; 对系统进行实时监测和过滤; 定期杀毒; 及时更新病毒库; 及时上报; 详细记录。
防病毒软件的安装和使用由信息安全管理部门专门的病毒防范管理员执行。严格控制盗版软件及其它第三方软件的使用,必要时,在运行前先对其进行病毒检查。
内部工作人员因为上不安全的网站下载文件或其他方式导致中毒,造成的后果由其本人负责。
8.10备份与恢复策略
定义计算机及信息系统备份与恢复应该采用的基本措施: 建立有效的备份与恢复机制; 定期检测自动备份系统是否正常工作;
明确备份的操作人员职责、工作流程和工作审批制度;
建立完善的备份工作操作技术文档;
明确恢复的操作人员职责、工作流程和工作审批制度; 建立完善的恢复工作操作技术文档; 针对建立的备份与恢复机制进行演习; 对备份的类型和恢复的方式进行明确的定义; 妥善保管备份介质。8.11加密策略
对于应用系统安全需求分析中要求采用加密措施,或相关法规中要求采用加密措施的处理,一定要满足要求。
采用加密技术或选用加密产品,要求符合国家有关政策或行业规范的要求。选用的加密机制与密码算法应符合国家密码政策,密钥强度符合国家规定。对于敏感或重要信息,要求通过加密保障其私密性、通过信息校验码或数字签名保障其完整性、通过数字签名保障其不可否认性。
要求采用高强度的密钥管理系统,保证密钥全过程的安全。包括密钥的生成、使用、交换、传输、保护、归档、销毁等。
对敏感或重要密钥,要求分人制衡管理。
对敏感或重要密钥,要求采用一定的密钥备份措施以保障在密钥丢失、破坏时系统的可用性。
密钥失密或怀疑失密时,必须及时向安全主管部门报告,更新密钥。并采取有效措施,防止再次发生类似情况。9访问控制策略
为了保护计算机系统中信息不被非授权的访问、操作或破坏,必须对信息系统和数据实行控制访问。
计算机系统控制访问包括建立和使用正式的规程来分配权限,并培训工作人员安全地使用系统。对系统进行监控检查是否遵守所制定的规程。
9.1计算机访问控制
应该根据相关国家法律的要求和指导方针控制对信息系统和数据的访问: 计算机活动应可以被追踪到人;
访问所有多用户计算机系统应有正式的用户登记和注销规程; 应使用有效的访问系统来鉴别用户;
应通过安全登录进程访问多用户计算机系统; 特殊权限的分配应被安全地控制;
用户选择和使用密码时应慎重参考良好的安全惯例; 用户应确保无人看管的设备受到了适当的安全保护; 应根据系统的重要性制定监控系统的使用规程。 必须维护监控系统安全事件的审计跟踪记录; 为准确记录安全事件,计算机时钟应被同步。10风险管理及安全审计策略
信息安全审计及风险管理对于帮助公司识别和理解信息被攻击、更改和不可用所带来的(直接和间接的)潜在业务影响来说至关重要。所有信息内容和信息技术过程应通过信息安全审计活动及风险评估活动来识别与它们相关的安全风险并执行适当的安全对策。
计算机及信息系统的信息安全审计活动和风险评估应当定期执行。特别是系统建设前或系统进行重大变更前,必须进行风险评估工作。
信息安全审计应当3个月进行一次,并形成文档化的信息安全审计报告。信息安全风险评估应当至少1年一次,可由公司自己组织进行或委托有信息系统风险评估资质的第三方机构进行。信息安全风险评估必须形成文档化的风险评估报告。
11信息系统应急计划和响应策略
11.1信息应急计划和响应的必要性
应该制定和实施应急计划和响应管理程序,将预防和恢复控制措施相结合,将灾难和安全故障(可能是由于自然灾害、事故、设备故障和蓄意破坏等引起)造成的影响降低到可以接受的水平。
应该分析灾难、安全故障和服务损失的后果。制定和实施应急计划,确保能够在要求的时间内恢复业务的流程。应该维护和执行此类计划,使之成为其它所有管理程序的一部分。
11.2应急计划和响应管理程序
应该在整个计算机信息系统内部制定应急计划和响应的管理流程。包括以下 主要内容:
考虑突发事件的可能性和影响。
了解中断信息系统服务可能对业务造成的影响(必须找到适当的解决方案,正确处理较小事故以及可能威胁组织生存的大事故),并确定信息处理设施的业务目标。
适当考虑风险处理措施,可以将其作为业务连续性程序的一部分。 定期对应急计划和响应程序进行检查和进行必要的演练,确保其始终有效。
适当地对技术人员进行培训,让他们了解包括危机管理在内的应急程序。
12遵循性
计算机及信息系统必须遵守国家法律和法规的要求。
公司所有工作人员都有责任学习、理解并遵守安全策略,以确保公司敏感信息的安全。对违反安全策略的行为,根据事件性质和违规的严重程度,采取相应的处罚措施。信息安全管理部门应根据违规的严重程度向相关领导提出建议惩罚措施。除本安全策略中涉及的要求之外,所有部门和工作人员同样需要遵守相关国家法律和法规的要求。
计算机和信息系统安全策略文件由信息安全管理部门负责制定和解释,由公司保密委员会审批发布。
公司已存在的但内容与本安全策略文件不符的管理规定,应以本安全策略的要求为准,并参考本安全策略及时进行修订。
点击咨询 