返回
应用系统安全改造监督规范(范本)

应用系统安全改造监督规范(范本)

ID:18573050

大小:73.00 KB

页数:7页

时间:2018-09-18

应用系统安全改造监督规范(范本)_第1页
应用系统安全改造监督规范(范本)_第2页
应用系统安全改造监督规范(范本)_第3页
应用系统安全改造监督规范(范本)_第4页
应用系统安全改造监督规范(范本)_第5页
资源描述:

《应用系统安全改造监督规范(范本)》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、某某石油管理局企业标准应用系统安全改造监督规范1适用范围本标准规定了某某石油管理局应用系统安全改造监督规范。本标准适用于某某油田(企业内部)应用系统安全改造管理方的权责、施工方的权责、施工方资格审查、施工方方案预审、施工方案实施、评估与审计、管理方应该注意的事项、认证与批准等。2规范解释权本规定适用于某某油田管理局信息安全管理中心和下属各单位中心机房。3管理方的权责1)根据工作量的大小,应成立专门的或者兼职的领导小组督察改造工作。2)提供信息系统要求达到的安全目标(参见其它规范),以及评估标准。3

2、)安全目标,以及改造措施的设定要综合考虑上级和下级相关单位。4)对系统安全目标,以及拟采用的安全方案应该上报上级机关审批。5)对重要的应用系统的安全改造,有权利和责任对施工方案做出评审。6)对施工方的申请,要求有义务做出积极的响应。7)提供系统安全现状,根据工作量的大小,以书面形式提交。8)提供系统安全规范。9)提供系统安全目标。10)提供系统软、硬件设备的说明书,必要的技术资料。11)提供系统改造时必要的用户名,口令、密码。12)提供系统改造时资源设备的保护要求。13)提供必要的场地以及配合工作

3、人员。14)提供基础的工作环境,比如电源,网络接口等。4施工方的权责1)提供必要的资格证明。2)提供详细的施工方案。1)要求对重要设备的物理安全做出承诺。2)对改造中涉及到的重要系统,数据的访问有义务向管理方申请,并作记录。3)对重要系统参数的设置,修改有义务向施工方做出书面说明。4)改造后要求写出总结文档。5施工方资格审查1)根据改造工作的任务量,安全要求级别酌情使用如下规范:2)施工方要求有合法的身份证明。3)施工方必须有一定的从事该业务的资质和经济实力。4)必须有与其业务量相适应的工程技术人

4、员和技术工人。5)从事安全改造的技术人员要求政治过关,遵纪守法。6)对涉及财务等重要系统的安全改造,不能由内部人员从事。6施工方方案预审1)方案中要对安全的需求,做出分析说明并且提出明确的安全策略。2)方案要求对方案实施后可达到的安全目标做出说明或解释。3)要求方案对每一个安全策略,要求对其安全功能和代价做出详细的说明。4)要求方案对改造中将要采购的软件、硬件设备做出说明。5)要求方案对改造中将涉及到的设施改动做出说明。6)要求方案对改造工程做出总体预算。7)要求方案对改造工期安排,改造对现行业务

5、的影响程度作详细说明。8)要求方案对改造中要求管理方承诺的服务做出说明。9)要求方案对改造过程中可能出现的意外情况(例如,系统死锁),以及相关的防护、补救措施做出说明。10)管理方应当根据实际情况评审方案。11)权衡施工方案的实施对业务造成的影响。12)权衡安全需求与所付出的资金的代价。13)权衡改造中的风险代价与业务持续性和安全性要求。14)权衡给施工方提供的服务与可能造成的安全隐患之间的矛盾。15)权衡新设备的利用率与业务安全需求之间的关系。7施工方案实施1)要求监督施工进度,工期原则上不能延

6、期。2)工程间歇,系统不能停留在不安全状态。3)对重要的系统,在安全改造之前,应当对信息系统资源和施工方人员进行登记,备案。1)对改造中涉及到的重要数据,必须备份。2)启用新的应用软件,应当交管理方系统维护人员安装到业务系统,并做好日志记录。3)对存有重要数据的故障设备修理时,管理方必须安排专人在场监督。4)对改造过程中出现的意外情况,要求做好日志记录。8验收与测试.评估与审计1)应用系统安全改造施工之后,施工方应该归还相关资料,提交工程报告。2)应用系统安全改造施工之后,管理局信息中心依据合同对

7、工程进行验收。3)测试过程必须在管理局技术委员会的监督下进行,由管理局信息中心与施工方共同参与测试。4)管理局技术委员会对应用系统的安全性能以及安全等级做出评估,保证系统安全改造后的安全性能和等级达到合同中所规定的安全目标。5)考察应用系统是否达到要求的安全要求并作测试纪录。6)改造施工后,测试操作系统加固以及安装最新的安全补丁情况是否达到所规定的安全目标。7)改造施工后,施工方就还可能出现的安全漏洞以及补救措施等向管理局信息中心进行说明,避免出现不必要的操作错误和安全隐患。8)应用系统授权人应该

8、考察评估结果,用以决定是否可以接收系统运行的风险。9管理方应该注意的事项1)系统安全改造之后,对分配给施工方人员的权力应当交还系统管理员。2)系统改造之后,必须对系统日志做出审计。3)系统管理员对超级用户口令,其它用户名和口令等登录信息的进行重新设置。4)系统管理员可以根据需要对其它的网络进出口的口令重新设置。10认证与批准认证与批准是针对自动信息系统和其他保护措施的技术或非技术安全特征的一种复杂评估。其目的是确定某一特定设计和实施满足指定的安全需求集的程度,并由指定的批准授权机构

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。