第一篇:机房安全等级和分区保护
第十八条机房安全等级和分区保护:
(一)市级联社的主机房定为C级;重要业务系统的微机房定为D级;县联社管理的机房定为D级。
(二)机房内部划分为核心区、生产区、辅助区,各区之间应为物理割断。C级机房划分为核心区和辅助区;D级机房划分为生产区和辅助区。
●核心区是指安装有主计算机、主通信机、网络通信及控制设备、磁盘机、光盘机等数据存储设备、数据存储介质库、系统操作室等机房要害区域。允许计算机安全管理员、系统管理员或系统值班员等两人以上同时进出,其他人员进入核心区须经部门领导批准并由以上人员之一全程陪同;
●生产区是指信用社业务前端设备操作室、打印机室、数据资料室、介质交接室、运行值班室等金融业务运作区域和各部门或县级联社的微机房。允许经业务部门领导批准的业务操作人员进出,系统开发人员不得进入生产区;维护人员进出须有业务操作人员陪同。在非工作时间进入生产区,必须经主管领导批准,至少有两人同行;
●辅助区划分为三类:第一类包括供电设备用房,如配电室、不间断电源(UPS)室、发电机室等;第二类包括消防、空调设备用房,如火警监控室、空调监控室等;第三类包括机房工作人员共用房间,如办公室、卫生间等。允许从事该项工作的人员进出。
第二篇:等级保护-中心机房管理制度
Iyunke信息化管理制度
中心机房管理制度
为科学、有效地管理中心机房,保证网络系统安全、高效运行和使用,结合本局网络结构及运行情况,特制定如下制度,请遵照执行。
一、机房日常管理
1.管理目标是保证中心机房设备与信息的安全,保障机房具有良好的运行环境和工作环境。
2.机房日常管理指定专人负责。
3.机房钥匙要严格保管,不得随意转借,一旦丢失要及时报告并积极寻找,并采取有效措施予以补救。
4.无关人员未经批准不得进入机房,更不得动用机房设备、物品和资料,确因工作需要,相关人员需要进入机房操作必须经过批准方可在管理人员的指导或协同下进行。
5.机房应保持清洁、卫生,温度、湿度适可,机房内严禁吸烟,严禁携带无关物品尤其是易燃、易爆物品及其他危险品进入机房。
6.消防物品要放在指定位置,任何人不得随意挪动;机房工作人员要掌握防火技能,定期检查消防设施是否正常。出现异常情况应立即采取切断电源、报警、使用灭火设备等正确方式予以处理。
7.硬件设备要注意维护和保养,做到设备物卡相符、设备使
Iyunke信息化管理制度
用状态记录完整。
8.建立机房登记制度,对本地局域网、广域网的运行情况建立档案。未发生故障或故障隐患时,网管人员不可对中继、光纤、网线及各种设备进行任何调试,对所发生的故障、处理过程和结果等要做好详细记录。
9.网管人员应做好网络安全工作,严格保密服务器的各种帐号,监控网络上的数据流,从中检测出攻击的行为并给予响应和处理。
10.网管人员要对数据实施严格的安全与保密管理,防止系统数据的非法生成、变更、泄露、丢失及破坏。网管人员应在数据库的系统认证、系统授权、系统完整性、补丁和修正程序方面实时修改。
二、设备管理
1.网管人员对各种网络设备的使用需按操作程序或使用说明书进行。
2.经常对硬件设备进行检查、测试和修理,确保其运行完好。3.所有贵重设备均由专人保管,专人使用,不得外借或由非专业人员单独操作。
4.中心机房的所有设备未经许可一律不得挪用和外借,特殊情况经批准后办理借用手续,借用期间如有损坏由借用单位或使用人员负责赔偿。
5.硬件设备发生损坏、丢失等事故,应及时上报,填写报告
Iyunke信息化管理制度
单并按有关规定处理。
6.中心机房及其附属设备的管理(登记)与维修由网管人员负责。设备管理人员每半年要核准一次设备登记情况。
7.中心机房主机(系统服务器)、网络服务器及其外围设备由网管人员每周进行一次例行检查和维护,尤其是设备供电、运行状态是否正常等要时常检查和维护。
三、系统软件、应用软件管理
1.软件要定期进行系统维护与备份,备份至少保持一式两套,并存放在温度湿度适宜的磁介质库存中。
2.应用软件、应用数据应根据运行频率进行定期或不定期的备份工作,备份软件和数据亦应存放于的磁介质库存中。
3.应用软件的源程序除了在磁介质上备份以外,网管员应自己进行备份,以防应用程序发生意外,难以恢复。
4.为了便于对系统软件进行应用与管理,机房中须备有与系统软件有关的使用手册和各种指南等资料,以便维护人员查阅。其资料未经许可,任何人不得拿出机房。
5.应用软件人员应将项目的调研资料、各阶段的设计说明书、图表、源程序、应用系统运行流程图等进行分类归档,以便查阅。
6.当应用软件修改时,具体的功能修改、逻辑修改、程序变动等,都应有相应的文档记录,以备查阅。
7.为确保软件系统的安全,磁介质除了应有专人管理外,还
Iyunke信息化管理制度
应配备防火器具,确立防磁、防静电、防灰尘等有效措施(建筑上保证),磁介质保管要明确责任,遵守出入库制度。
四、计算机病毒防范管理
1.网管人员应有较强的病毒防范意识,定期进行病毒检测(特别是服务器),发现病毒应立即处理。
2.采用国家许可的正版防病毒软件并及时更新软件版本。3.未经领导许可,网管人员不得在服务器上安装新软件,若确实需要安装,安装前应进行病毒例行检测。
4.经远程通信传送的程序或数据,必须经过检测确认无病毒后方可使用。
五、数据保密及数据备份
1.根据数据的保密规定和用途,确定使用人员的存取权限、存取方式和审批手续。
2.禁止泄露、外借和转移专业数据信息。3.未经批准不得随意更改业务数据。
4.网管人员制作数据的备份要异地存放,确保系统一旦发生故障时能够快速恢复,备份数据不得更改。
5.业务数据必须定期、完整、真实、准确地转储到不可更改的介质上,并要求集中和异地保存,保存期限至少2年。
6.备份的数据由网管人员负责保管,备份的数据应在指定的数据保管室或指定的场所保管。
7.备份数据资料保管地点应有防火、防热、防潮、防尘、防
Iyunke信息化管理制度
磁、防盗设施。
六、安全检查管理
1.中心机房安全是关系到行业安全的一件大事,是保证各个业务系统正常工作的前提条件,因此必须坚持定期安全检查。
2.中心机房自检每年进行一次,且须认真做好检查记录。3.对检查中发现的问题将进行限期整改。
附1:网络管理员职责
1.主要负责全市网络(包含局域网、广域网、城域网)的系统安全性及正常运行。
2.负责日常操作系统、网管系统、邮件系统的安全补丁、漏洞检测及修补、病毒防治等工作。
3.应经常保持对最新技术的掌握,实时了解INTERNET的动向,做到病毒预防为主。
4.良好周密的日志记录以及细致的分析是预测攻击,定位攻击,以及遭受攻击后追查攻击者的有力武器。察觉到网络处于被攻击状态后,网管员应确定其身份,并对其发出警告,提前制止可能的网络犯罪,若对方不听劝告,在保护系统安全的情况下可做善意阻击并向主管领导汇报。
5.对机房进行管理,严格按照机房制度执行日常维护。6.每月管理人员应向主管领导提交当月值班及事件记录,并对系统记录文件保存收档,以备查阅。具体文件及方法见附
Iyunke信息化管理制度
件。
7.严格控制进入机房人员,不允许私自带他人入内。8.要定期检查机房及各种安全设备,做好记录确保安全。9.对机房各种设备均应建立技术档案,认真填写、妥善保管登记备案。
10.定期对机器进行维护,保证机器正常运行。
11.负责对门、窗、灯、电源、机器的安全情况进行全面检查、管理,全面保证机房的安全无误。
12.搞好机房卫生,保持一个良好的环境。
13.不允许私自将机房内的设备、工具、部件等带出机房,借物须办理借物手续。
14.对因责任心不强而造成事故和严重后果的,要追究责任。
附2:计算机使用和管理制度
信息中心电脑管理和维护由专职管理人员负责,并完整保存计算机及其相关设备的驱动程序、保修卡及重要随机文件。
1.未经许可,不准随便动用电脑设备。
2.未经许可,任何人不准更换电脑硬件和软件,拒绝使用来历不明的软件和光盘。
3.严格按规定程序开启和关闭电脑系统。(1)开机流程:
Iyunke信息化管理制度
接通电源→打开显示器、打印机等外设→开通电脑主机→按显示菜单提示,键入规定口令或密码→在权限内对工作任务进行操作。
(2)关机流程:
退出应用程序、各个子目录→关断主机→关闭显示器、打印机等外设→切断电源。
4.使用人员如发现计算机系统运行异常应及时与管理员联系,非专业管理人员不得擅自拆开计算机调换设备配件。
5.外请人员对电脑进行维修时,单位应有人自始至终地陪同,电脑维修维护过程中,首先确保对单位信息进行拷贝,防止遗失。
6.凡因个人使用不当所造成的电脑维护费用和损失,使用者是否赔偿由单位视情决定。
7.计算机及其相关设备的报废需经过本局办公室或专职人员鉴定,确认不符合使用要求后方可申请报废。
Iyunke信息化管理制度
本制度提供各单位专门用于机房内部,作为机房工作人员的日常行为规范。
一、机房人员日常行为准则
1、必须注意环境卫生。禁止在机房、办公室内吃食物、抽烟、随地吐痰;对于意外或工作过程中弄污机房地板和其它物品的,必须及时采取措施清理干净,保持机房无尘洁净环境。
2、必须注意个人卫生。工作人员仪表、穿着要整齐、谈吐文雅、举止大方。
3、机房用品要各归其位,不能随意乱放。
4、机房应安排人员值日,负责机房的日常整理和行为督导。
5、进出机房必须换鞋,雨具、鞋具等物品要按位摆放整齐。
6、注意检查机房的防晒、防水、防潮,维持机房环境通爽,注意天气对机房的影响,下雨天时应及时主动检查和关闭窗户、检查去水通风等设施。
7、机房内部不应大声喧哗、注意噪音/音响音量控制、保持安静的工作环境。
8、坚持每天下班之前将桌面收拾干净、物品摆放整齐。
二、机房保安制度
1、出入机房应注意锁好防盗门。对于有客人进出机房,机房相关的工作人员应负责该客人的安全防范工作。最后离开机房的人员必须自觉检查和关闭所有机房门窗、锁定防盗装置。应主动拒绝陌生人进出机房。
2、工作人员离开工作区域前,应保证工作区域内保存的重要文件、资料、设备、数据处于安全保护状态。如检查并锁上自己工作柜枱、锁定工作电脑、并将桌面重要资料和数据妥善保存等等。
3、工作人员、到访人员出入应登记。
4、外来人员进入必须有专门的工作人员全面负责其行为安全。
5、未经主管领导批准,禁止将机房相关的钥匙、保安密码等物品和信息外借或透露给其它人员,同时有责任对保安信息保密。对于遗失钥匙、泄露保安信息的情况要即时上报,并积极主动采取措施保证机房安全。
6、机房人员对机房保安制度上的漏洞和不完善的地方有责任及时提出改善建议。
Iyunke信息化管理制度
7、禁止带领与机房工作无关的人员进出机房。
8、绝不允许与机房工作无关的人员直接或间接操纵机房任何设备。
9、出现机房盗窃、破门、火警、水浸、110报警等严重事件时,机房工作人员有义务以最快的速度和最短的时间到达现场,协助处理相关的事件。
三、机房用电安全制度
1、机房人员应学习常规的用电安全操作和知识,了解机房内部的供电、用电设施的操作规程。
2、机房人员应经常实习、掌握机房用电应急处理步骤、措施和要领。
3、机房应安排有专业资质的人员定期检查供电、用电设备、设施。
4、不得乱拉乱接电线,应选用安全、有保证的供电、用电器材。
5、在真正接通设备电源之前必须先检查线路、接头是否安全连接以及设备是否已经就绪、人员是否已经具备安全保护。
6、严禁随意对设备断电、更改设备供电线路,严禁随意串接、并接、搭接各种供电线路。
7、如发现用电安全隐患,应即时采取措施解决,不能解决的必须及时向相关负责人员提出解决。
8、机房人员对个人用电安全负责。外来人员需要用电的,必须得到机房管理人员允许,并使用安全和对机房设备影响最少的供电方式。
9、机房工作人员需要离开当前用电工作环境,应检查并保证工作环境的用电安全。
10、最后离开机房的工作人员,应检查所有用电设备,应关闭长时间带电运作可能会产生严重后果的用电设备。
11、禁止在无人看管下在机房中使用高温、炽热、产生火花的用电设备。
12、在使用功率超过特定瓦数的用电设备前,必须得到上级主管批准,并在保证线路保险的基础上使用。
Iyunke信息化管理制度
13、在危险性高的位置应张贴相应的安全操作方法、警示以及指引,实际操作时应严格执行。
14、在外部供电系统停电时,机房工作人员应全力配合完成停电应急工作。
15、应注意节约用电。
四、机房消防安全制度
1、机房工作人员应熟悉机房内部消防安全操作和规则,了解消防设备操作原理、掌握消防应急处理步骤、措施和要领。
2、任何人不能随意更改消防系统工作状态、设备位置。需要变更消防系统工作状态和设备位置的,必须取得主管领导批准。工作人员更应保护消防设备不被破坏。
3、应定期进行消防演习、消防常识培训、消防设备使用培训。
4、如发现消防安全隐患,应即时采取措施解决,不能解决的应及时向相关负责人员提出解决。
5、应严格遵守张贴于相应位置的操作和安全警示及指引。
6、最后离开的机房工作人员,应检查消防设备的工作状态,关闭将会带来消防隐患的设备,采取措施保证无人状态下的消防安全。
五、机房用水制度
1、禁止将供水管道和设施安装在机房内。
2、应格遵守张贴于相应位置的安全操作、警示以及安全指引。
六、机房硬件设备安全使用制度
1、机房人员必须熟知机房内设备的基本安全操作和规则。
2、应定期检查、整理硬件物理连接线路,定期检查硬件运作状态(如设备指示灯、仪表),定期调阅硬件运作自检报告,从而及时了解硬件运作状态。
3、禁止随意搬动设备、随意在设备上进行安装、拆卸硬件、或随意更改设备连线、禁止随意进行硬件复位。
Iyunke信息化管理制度
4、禁止在服务器上进行试验性质的配置操作,需要对服务器进行配置,应在其它可进行试验的机器上调试通过并确认可行后,才能对服务器进行准确的配置。
5、对会影响到全局的硬件设备的更改、调试等操作应预先发布通知,并且应有充分的时间、方案、人员准备,才能进行硬件设备的更改。
6、对重大设备配置的更改,必须首先形成方案文件,经过讨论确认可行后,由具备资格的技术人员进行更改和调整,并应做好详细的更改和操作记录。对设备的更改、升级、配置等操作之前,应对更改、升级、配置所带来的负面后果做好充分的准备,必要时需要先准备好后备配件和应急措施。
7、不允许任何人在服务器、交换设备等核心设备上进行与工作范围无关的任何操作。未经上级允许,更不允许他人操作机房内部的设备,对于核心服务器和设备的调整配置,更需要小组人员的共同同意后才能进行。
8、要注意和落实硬件设备的维护保养措施。
七、软件安全使用制度
1、必须定期检查软件的运行状况、定期调阅软件运行日志记录,进行数据和软件日志备份。
2、禁止在服务器上进行试验性质的软件调试,禁止在服务器随意安装软件。需要对服务器进行配置,必须在其它可进行试验的机器上调试通过并确认可行后,才能对服务器进行准确的配置。
3、对会影响到全局的软件更改、调试等操作应先发布通知,并且应有充分的时间、方案、人员准备,才能进行软件配置的更改。
4、对重大软件配置的更改,应先形成方案文件,经过讨论确认可行后,由具备资格的技术人员进行更改,并应做好详细的更改和操作记录。对软件的更改、升级、配置等操作之前,应对更改、升级、配置所带来的负面后果做好充分的准备,必要时需要先备份原有软件系统和落实好应急措施。
5、不允许任何人员在服务器等核心设备上进行与工作范围无关的软件调试和操作。未经上级允许,不允许带领、指示他人进入机房、对网络及软件环境进行更改和操作。
6、应严格遵守张贴于相应位置的安全操作、警示以及安全指引。
八、机房资料、文档和数据安全制度
1、资料、文档、数据等必须有效组织、整理和归档备案。
Iyunke信息化管理制度
2、禁止任何人员将机房内的资料、文档、数据、配置参数等信息擅自以任何形式提供给其它无关人员或向外随意传播。
3、对于牵涉到网络安全、数据安全的重要信息、密码、资料、文档等等必须妥善存放。外来工作人员的确需要翻阅文档、资料或者查询相关数据的,应由机房相关负责人代为查阅,并只能向其提供与其当前工作内容相关的数据或资料。
4、重要资料、文档、数据应采取对应的技术手段进行加密、存储和备份。对于加密的数据应保证其可还原性,防止遗失重要数据。
九、机房财产登记和保护制度
1、机房的日常物品、设备、消耗品等必须有清晰的数量、型号登记记录,对于公共使用的物品和重要设备,必须建立一套较为完善的借取和归还制度进行管理。
2、机房工作人员应有义务安全和小心使用机房的任何设备、仪器等物品,在使用完毕后,应将物品归还并存放于原处,不应随意摆放。
3、对于使用过程中损坏、消耗、遗失的物品应汇报登记,并对责任人追究相关责任。
4、未经主管领导同意,不允许向他人外借或提供机房设备和物品。
十、团队精神和相互协作
1、机房工作小组人员应树立团队协作精神。
2、任何将要发生的给其他人员工作和安排产生影响的事情,或需要与其他工作人员互相协调的事情,应先提出和协调一致,禁止个人独断独行的作风。
3、工作分工要明确,责任要到位、工作计划要清晰,工作总结要具体。
4、小组人员有义务服从工作安排,并有义务对工作安排提出更加合理化建议和意见。
5、营造民主协作的工作环境,任何人员有权利和义务组织、联络其他小组成员、主管领导等展开讨论、开展会议、及时反映问题、做到相互沟通、协同工作。
第三篇:信息安全等级保护
信息安全等级保护(二级)信息安全等级保护(二级)备注:其中黑色字体为信息安全等级保护第二级系统要求,蓝色字体为第三级系统等保要求。
一、物理安全
1、应具有机房和办公场地的设计/验收文档(机房场地的选址说明、地线连接要求的描述、建筑材料具有相应的耐火等级说明、接地防静电措施)
2、应具有有来访人员进入机房的申请、审批记录;来访人员进入机房的登记记录
3、应配置电子门禁系统(三级明确要求);电子门禁系统有验收文档或产品安全认证资质,电子门禁系统运行和维护记录
4、主要设备或设备的主要部件上应设置明显的不易除去的标记
5、介质有分类标识;介质分类存放在介质库或档案室内,磁介质、纸介质等分类存放
6、应具有摄像、传感等监控报警系统;机房防盗报警设施的安全资质材料、安装测试和验收报告;机房防盗报警系统的运行记录、定期检查和维护记录;
7、应具有机房监控报警设施的安全资质材料、安装测试和验收报告;机房监控报警系统的运行记录、定期检查和维护记录
8、应具有机房建筑的避雷装置;通过验收或国家有关部门的技术检测;
9、应在电源和信号线上增加有资质的防雷保安器;具有防雷检测资质的检测部门对防雷装置的检测报告
10、应具有自动检测火情、自动报警、自动灭火的自动消防系统;自动消防系统的运行记录、检查和定期维护记录;消防产品有效期合格;自动消防系统是经消防检测部门检测合格的产品
11、应具有除湿装置;空调机和加湿器;温湿度定期检查和维护记录
12、应具有水敏感的检测仪表或元件;对机房进行防水检测和报警;防水检测装置的运行记录、定期检查和维护记录
13、应具有温湿度自动调节设施;温湿度自动调节设施的运行记录、定期检查和维护记录
14、应具有短期备用电力供应设备(如UPS);短期备用电力供应设备的运行记录、定期检查和维护记录
15、应具有冗余或并行的电力电缆线路(如双路供电方式)
16、应具有备用供电系统(如备用发电机);备用供电系统运行记录、定期检查和维护记录
二、安全管理制度
1、应具有对重要管理操作的操作规程,如系统维护手册和用户操作规程
2、应具有安全管理制度的制定程序:
3、应具有专门的部门或人员负责安全管理制度的制定(发布制度具有统一的格式,并进行版本控制)
4、应对制定的安全管理制度进行论证和审定,论证和审定方式如何(如召开评审会、函审、内部审核等),应具有管理制度评审记录
5、应具有安全管理制度的收发登记记录,收发应通过正式、有效的方式(如正式发文、领导签署和单位盖章等)----安全管理制度应注明发布范围,并对收发文进行登记。
6、信息安全领导小组定期对安全管理制度体系的合理性和适用性进行审定,审定周期多长。(安全管理制度体系的评审记录)
7、系统发生重大安全事故、出现新的安全漏洞以及技术基础结构和组织结构等发生变更时应对安全管理制度进行检查,对需要改进的制度进行修订。(应具有安全管理制度修订记录)
三、安全管理机构
1、应设立信息安全管理工作的职能部门
2、应设立安全主管、安全管理各个方面的负责人
3、应设立机房管理员、系统管理员、网络管理员、安全管理员等重要岗位(分工明确,各司其职),数量情况(管理人员名单、岗位与人员对应关系表)
4、安全管理员应是专职人员
5、关键事物需要配备2人或2人以上共同管理,人员具体配备情况如何。
6、应设立指导和管理信息安全工作的委员会或领导小组(最高领导是否由单位主管领导委任或授权的人员担任)
7、应对重要信息系统活动进行审批(如系统变更、重要操作、物理访问和系统接入、重要管理制度的制定和发布、人员的配备和培训、产品的采购、外部人员的访问等),审批部门是何部门,审批人是何人。审批程序:
8、应与其它部门之间及内部各部门管理人员定期进行沟通(信息安全领导小组或者安全管理委员会应定期召开会议)
9、应组织内部机构之间以及信息安全职能部门内部的安全工作会议文件或会议记录,定期:
10、信息安全管理委员会或领导小组安全管理工作执行情况的文件或工作记录(如会议记录/纪要,信息安全工作决策文档等)
11、应与公安机关、电信公司和兄弟单位等的沟通合作(外联单位联系列表)
12、应与供应商、业界专家、专业的安全公司、安全组织等建立沟通、合作机制。
13、聘请信息安全专家作为常年的安全顾问(具有安全顾问名单或者聘请安全顾问的证明文件、具有安全顾问参与评审的文档或记录)
14、应组织人员定期对信息系统进行安全检查(查看检查内容是否包括系统日常运行、系统漏洞和数据备份等情况)
15、应定期进行全面安全检查(安全检查是否包含现行技术措施有效性和管理制度执行情况等方面、具有安全检查表格,安全检查报告,检查结果通告记录)
四、人员安全管理
1、何部门/何人负责安全管理和技术人员的录用工作(录用过程)
2、应对被录用人的身份、背景、专业资格和资质进行审查,对技术人员的技术技能进行考核,技能考核文档或记录
3、应与录用后的技术人员签署保密协议(协议中有保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内容)
4、应设定关键岗位,对从事关键岗位的人员是否从内部人员中选拔,是否要求其签署岗位安全协议。
5、应及时终止离岗人员的所有访问权限(离岗人员所有访问权限终止的记录)
6、应及时取回离岗人员的各种身份证件、钥匙、徽章等以及机构提供的软硬件设备等(交还身份证件和设备等的登记记录)
7、人员离岗应办理调离手续,是否要求关键岗位调离人员承诺相关保密义务后方可离开(具有按照离岗程序办理调离手续的记录,调离人员的签字)
8、对各个岗位人员应定期进行安全技能考核;具有安全技能考核记录,考核内容要求包含安全知识、安全技能等。
9、对关键岗位人员的安全审查和考核与一般岗位人员有何不同,审查内容是否包括操作行为和社会关系等。
10、应对各类人员(普通用户、运维人员、单位领导等)进行安全教育、岗位技能和安全技术培训。
11、应针对不同岗位制定不同的培训计划,并按照计划对各个岗位人员进行安全教育和培训(安全教育和培训的结果记录,记录应与培训计划一致)
12、外部人员进入条件(对哪些重要区域的访问须提出书面申请批准后方可进入),外部人员进入的访问控制(由专人全程陪同或监督等)
13、应具有外部人员访问重要区域的书面申请
14、应具有外部人员访问重要区域的登记记录(记录描述了外部人员访问重要区域的进入时间、离开时间、访问区域、访问设备或信息及陪同人等)
五、系统建设管理
1、应明确信息系统的边界和安全保护等级(具有定级文档,明确信息系统安全保护等级)
2、应具有系统建设/整改方案
3、应授权专门的部门对信息系统的安全建设进行总体规划,由何部门/何人负责
4、应具有系统的安全建设工作计划(系统安全建设工作计划中明确了近期和远期的安全建设计划)
5、应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略等相关配套文件进行论证和审定(配套文件的论证评审记录或文档)
6、应对总体安全策略、安全技术框架、安全管理策略等相关配套文件应定期进行调整和修订
7、应具有总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的维护记录或修订版本
8、应按照国家的相关规定进行采购和使用系统信息安全产品
9、安全产品的相关凭证,如销售许可等,应使用符合国家有关规定产品
10、应具有专门的部门负责产品的采购
11、采购产品前应预先对产品进行选型测试确定产品的候选范围,形成候选产品清单,是否定期审定和更新候选产品名单
12、应具有产品选型测试结果记录和候选产品名单及更新记录(产品选型测试结果文档)
13、应具有软件设计相关文档,专人保管软件设计的相关文档,应具有软件使用指南或操作手册
14、对程序资源库的修改、更新、发布应进行授权和批准
15、应具有程序资源库的修改、更新、发布文档或记录
16、软件交付前应依据开发协议的技术指标对软件功能和性能等进行验收检测
17、软件安装之前应检测软件中的恶意代码(该软件包的恶意代码检测报告),检测工具是否是第三方的商业产品
18、应具有软件设计的相关文档和使用指南
19、应具有需求分析说明书、软件设计说明书、软件操作手册等开发文档
20、应指定专门部门或人员按照工程实施方案的要求对工程实施过程进行进度和质量控制
21、应具有工程实施过程应按照实施方案形成各种文档,如阶段性工程进程汇报报告,工程实施方案
22、在信息系统正式运行前,应委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试(第三方测试机构出示的系统安全性测试验收报告)
23、应具有工程测试验收方案(测试验收方案与设计方案或合同要求内容一致)
24、应具有测试验收报告
25、应指定专门部门负责测试验收工作(具有对系统测试验收报告进行审定的意见)
26、根据交付清单对所交接的设备、文档、软件等进行清点(系统交付清单)
27、应具有系统交付时的技术培训记录
28、应具有系统建设文档(如系统建设方案)、指导用户进行系统运维的文档(如服务器操作规程书)以及系统培训手册等文档。
29、应指定部门负责系统交付工作
30、应具有与产品供应商、软件开发商、系统集成商、系统运维商和等级测评机构等相关安全服务商签订的协议(文档中有保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等内容
31、选定的安全服务商应提供一定的技术培训和服务
32、应与安全服务商签订的服务合同或安全责任合同书
11、采购产品前应预先对产品进行选型测试确定产品的候选范围,形成候选产品清单,是否定期审定和更新候选产品名单
12、应具有产品选型测试结果记录和候选产品名单及更新记录(产品选型测试结果文档)
13、应具有软件设计相关文档,专人保管软件设计的相关文档,应具有软件使用指南或操作手册
14、对程序资源库的修改、更新、发布应进行授权和批准
15、应具有程序资源库的修改、更新、发布文档或记录
16、软件交付前应依据开发协议的技术指标对软件功能和性能等进行验收检测
17、软件安装之前应检测软件中的恶意代码(该软件包的恶意代码检测报告),检测工具是否是第三方的商业产品
18、应具有软件设计的相关文档和使用指南
19、应具有需求分析说明书、软件设计说明书、软件操作手册等开发文档
20、应指定专门部门或人员按照工程实施方案的要求对工程实施过程进行进度和质量控制
21、应具有工程实施过程应按照实施方案形成各种文档,如阶段性工程进程汇报报告,工程实施方案
22、在信息系统正式运行前,应委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试(第三方测试机构出示的系统安全性测试验收报告)
23、应具有工程测试验收方案(测试验收方案与设计方案或合同要求内容一致)
24、应具有测试验收报告
25、应指定专门部门负责测试验收工作(具有对系统测试验收报告进行审定的意见)
26、根据交付清单对所交接的设备、文档、软件等进行清点(系统交付清单)
27、应具有系统交付时的技术培训记录
28、应具有系统建设文档(如系统建设方案)、指导用户进行系统运维的文档(如服务器操作规程书)以及系统培训手册等文档。
29、应指定部门负责系统交付工作
30、应具有与产品供应商、软件开发商、系统集成商、系统运维商和等级测评机构等相关安全服务商签订的协议(文档中有保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等内容
31、选定的安全服务商应提供一定的技术培训和服务
32、应与安全服务商签订的服务合同或安全责任合同书
六、系统运维管理
1、应指定专人或部门对机房的基本设施(如空调、供配电设备等)进行定期维护,由何部门/何人负责。
2、应具有机房基础设施的维护记录,空调、温湿度控制等机房设施定期维护保养的记录
3、应指定部门和人员负责机房安全管理工作
4、应对办公环境保密性进行管理(工作人员离开座位确保终端计算机退出登录状态、桌面上没有包含敏感信息的纸档文件)
5、应具有资产清单(覆盖资产责任人、所属级别、所处位置、所处部门等方面)
6、应指定资产管理的责任部门或人员
7、应依据资产的重要程度对资产进行标识
8、介质存放于何种环境中,应对存放环境实施专人管理(介质存放在安全的环境(防潮、防盗、防火、防磁,专用存储空间))
9、应具有介质使用管理记录,应记录介质归档和使用等情况(介质存放、使用管理记录)
10、对介质的物理传输过程应要求选择可靠传输人员、严格介质的打包(如采用防拆包装置)、选择安全的物理传输途径、双方在场交付等环节的控制
11、应对介质的使用情况进行登记管理,并定期盘点(介质归档和查询的记录、存档介质定期盘点的记录)
12、对送出维修或销毁的介质如何管理,销毁前应对数据进行净化处理。(对带出工作环境的存储介质是否进行内容加密并有领导批准。对保密性较高的介质销毁前是否有领导批准)(送修记录、带出记录、销毁记录)
13、应对某些重要介质实行异地存储,异地存储环境是否与本地环境相同(防潮、防盗、防火、防磁,专用存储空间)
14、介质上应具有分类的标识或标签
15、应对各类设施、设备指定专人或专门部门进行定期维护。
16、应具有设备操作手册
17、应对带离机房的信息处理设备经过审批流程,由何人审批(审批记录)
18、应监控主机、网络设备和应用系统的运行状况等
19、应有相关网络监控系统或技术措施能够对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警
20、应具有日常运维的监控日志记录和运维交接日志记录
21、应定期对监控记录进行分析、评审
22、应具有异常现象的现场处理记录和事后相关的分析报告
23、应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等相关事项进行集中管理
24、应指定专人负责维护网络安全管理工作
25、应对网络设备进行过升级,更新前应对现有的重要文件是否进行备份(网络设备运维维护工作记录)
26、应对网络进行过漏洞扫描,并对发现的漏洞进行及时修补。
27、对设备的安全配置应遵循最小服务原则,应对配置文件进行备份(具有网络设备配置数据的离线备份)
28、系统网络的外联种类(互联网、合作伙伴企业网、上级部门网络等)应都得到授权与批准,由何人/何部门批准。应定期检查违规联网的行为。
29、对便携式和移动式设备的网络接入应进行限制管理
30、应具有内部网络外联的授权批准书,应具有网络违规行为(如拨号上网等)的检查手段和工具。
31、在安装系统补丁程序前应经过测试,并对重要文件进行备份。
32、应有补丁测试记录和系统补丁安装操作记录
33、应对系统管理员用户进行分类(比如:划分不同的管理角色,系统管理权限与安全审计权限分离等)
34、审计员应定期对系统审计日志进行分析(有定期对系统运行日志和审计数据的分析报告)
35、应对员工进行基本恶意代码防范意识的教育,如告知应及时升级软件版本(对员工的恶意代码防范教育的相关培训文档)
36、应指定专人对恶意代码进行检测,并保存记录。
37、应具有对网络和主机进行恶意代码检测的记录
38、应对恶意代码库的升级情况进行记录(代码库的升级记录),对各类防病毒产品上截获的恶意代码是否进行分析并汇总上报。是否出现过大规模的病毒事件,如何处理
39、应具有恶意代码检测记录、恶意代码库升级记录和分析报告 40、应具有变更方案评审记录和变更过程记录文档。
41、重要系统的变更申请书,应具有主管领导的批准
42、系统管理员、数据库管理员和网络管理员应识别需定期备份的业务信息、系统数据及软件系统(备份文件记录)
43、应定期执行恢复程序,检查和测试备份介质的有效性
44、应有系统运维过程中发现的安全弱点和可疑事件对应的报告或相关文档
45、应对安全事件记录分析文档
46、应具有不同事件的应急预案
47、应具有应急响应小组,应具备应急设备并能正常工作,应急预案执行所需资金应做过预算并能够落实。
48、应对系统相关人员进行应急预案培训(应急预案培训记录)
49、应定期对应急预案进行演练(应急预案演练记录)50、应对应急预案定期进行审查并更新
51、应具有更新的应急预案记录、应急预案审查记录。
第四篇:安全等级保护管理办法
安全等级保护管理办法
为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规制定以下办法:
第1条 网络安全策略管理由安全保密管理员专职负责,未经允许任何人不得进行此项操作。
第2条 根据网络信息系统的安全设计要求及主机审计系统数据的分析结果,制定、配置、修改、删除主机审计系统的各项管理策略,并做记录。
第3条 根据网络信息系统的安全设计要求制定、配置、修改、删除网络安全评估分析系统的各项管理策略,并做记录。
第4条 根据网络信息系统的安全设计要求制定、配置、修改、删除入侵检测系统的各项管理策略,并做记录。
第5条 根据网络信息系统的安全设计要求制定、配置、修改、删除、内网主机安全监控与审计系统的各项管理策略,并做记录。
第6条 每周对网络信息系统安全管理策略进行数据备份,并作详细记录。第7条 网络信息安全技术防护系统(主机审计系统、漏洞扫描系统、防病毒系统、内网主机安全监控与审计系统)由网络安全保密管理员统一负责安装和卸载。
第8条 网络信息系统安全检查由安全保密管理员专职负责执行,未经允许任何人不得进行此项操作。
第9条 每天根据入侵检测系统的系统策略检测、审计系统日志,检查是否有网络攻击、异常操作、不正常数据流量等,对异常情况做及时处理,遇有重大安全问题上报保密局,并做详细记录。
第10条 每周登陆入侵检测系统产品网站,下载最新升级文件包,对系统进行更新,并做详细记录。
第11条 每月通过漏洞扫描系统对网络系统终端进行安全评估分析,并对扫描结果进行分析,及时对终端系统漏洞及安全隐患进行处理,作详细记录,并将安全评估分析报告上报保密办。
第12条 每周登录全评估产品网站,下载最新升级文件包,对系统进行更新,并作详细记录。
第13条 每周备份入侵检测系统和漏洞扫描系统的审计信息,并作详细记录。第14条 涉密计算机安全管理由安全保密管理员专人负责,未经允许任何人不得进行此项操作。
第15条 根据网络系统安全设计要求制定、修改、删除涉密计算机安全审计策略,包括打印控制策略、外设输入输出控制策略、应用程序控制策略,并做记录。
第16条 每日对涉密计算机进行安全审计,及时处理安全问题,并做详细记录,遇有重大问题上报保密部门。
第17条 涉密计算机的新增、变更、淘汰需经保密部门审批,审批通过后由安全保密管理员统一进行操作,并做详细记录。
第18条 新增涉密计算机联入涉密网络,需经保密局审批,由安全保密管理员统一进行操作,并做详细记录。
第五篇:机房建设等级保护二级要求
机房环境建设等级保护二级要求
依据国家等级保护要求,等级保护二级的机房环境应满足以下要求:
1)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。
2)具备防盗窃和防破坏能力:
a)主要设备放置在机房内,并将设备或主要部件进行固定,设置明显的不易除去的标记;
b)通信线缆铺设在隐蔽处,可铺设在地下或管道中;
c)主机房应安装必要的防盗报警设施。
3)机房建筑应设置避雷装置,并为机房内所有交流电源接地防静电措施。
4)机房应设置灭火设备和火灾自动报警系统。
5)具备防水和防潮能力:
a)机房内水管安装不得穿过机房屋顶和活动地板下;
b)窗户、屋顶和墙壁等具有防雨水渗透能力;
c)机房应具备防止水蒸气结露和地下积水的转移与渗透。
6)机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
7)机房供电线路上配置稳压器和过电压防护设备,并提供短期的备用电力供应,至少满足关键设备在断电情况下的正常运行要求。
8)电源线和通信线缆应隔离铺设,避免互相干扰。