欢迎来到天天文库
浏览记录
ID:20679162
大小:202.00 KB
页数:15页
时间:2018-10-14
《isms-b-2015 信息安全管理规范》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、信息安全管理制度规范样式编号ISMS-B-2015编制审核批准密级内部版本V1.0发布日期2015年8月目录1信息安全规范31.1总则31.2环境管理31.3资产管理51.4介质管理61.5设备管理61.5.1总则61.5.2系统主机维护管理办法61.5.3涉密计算机安全管理办法91.6系统安全管理91.7恶意代码防范管理111.8变更管理111.9安全事件处置111.10监控管理和安全管理中心121.11数据安全管理121.12网络安全管理131.13操作管理151.14安全审计管理办法161.15信息系统应急预案161.16附表171信息安全
2、规范1.1总则第1条为明确岗位职责,规范操作流程,确保公司信息系统的安全,根据《中华人民共和国计算机信息系统安全保护条例》等有关规定,结合公司实际,特制订本制度。第2条信息系统是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。第3条信息安全系统遵循安全性、可行性、效率性、可承担性的设计原则,将从物理安全、网络安全、支撑层系统安全、应用层系统安全、数据及资料安全几方面进行部署实施。1.2环境管理第1条信息机房由客户安排指定,但应该满足如下的要求:1、物理位置的选
3、择(G3)序号等级保护要求1机房应选择在具有防震、防风和防雨等能力的建筑内。2机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁,如果不可避免,应采取有效防水措施。2、防雷击(G3)序号等级保护要求1机房建筑应设置避雷装置。2应设置防雷保安器,防止感应雷。3机房应设置交流电源地线。3、防火(G3)序号等级保护要求1机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火。2机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料。3机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。4、防水和防潮(G3)序号等级保护要
4、求1主机房尽量避开水源,与主机房无关的给排水管道不得穿过主机房,与主机房相关的给排水管道必须有可靠的防渗漏措施;2应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。5、防静电(G3)序号等级保护要求1主要设备应采用必要的接地防静电措施。2机房应采用防静电地板。6、温湿度控制(G3)序号等级保护要求1机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。7、电磁防护(S2)序号等级保护要求1应采用接地方式防止外界电磁干扰和设备寄生耦合干扰。2电源线和通信线缆应隔离铺设,避免互相干扰。3应对关键设备和磁介质实施电磁屏蔽。8、物
5、理访问控制(G3)序号等级保护要求1机房各出入口应安排专人值守或配置电子门禁系统,控制、鉴别和记录进入的人员。2需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围。3应对机房划分区域进行管理,区域和区域之间应用物理方式隔断,在重要区域前设置交付或安装等过渡区域;4重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。9、防盗窃和防破坏(G3)序号等级保护要求1应将主要设备放置在机房内。2应将设备或主要部件进行固定,并设置明显的不易除去的标记。3应将通信线缆铺设在隐蔽处,可铺设在地下或管道中。4应对介质分类标识,存储在介质库或档案室
6、中。第1条由客户指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理。第2条出入机房要有登记记录。非机房工作人员不得进入机房。外来人员进机房参观需经保密办批准,并有专人陪同。第3条进入机房人员不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质、食品等对设备正常运行构成威胁的物品。严禁在机房内吸烟。严禁在机房内堆放与工作无关的杂物。第4条机房内应按要求配置足够量的消防器材,并做到三定(定位存放、定期检查、定时更换)。加强防火安全知识教育,做到会使用消防器材。加强电源管理,严禁乱接电线和违章用电。发现火险隐患,及时报告,并采
7、取安全措施。第5条机房应保持整洁有序,地面清洁。设备要排列整齐,布线要正规,仪表要齐备,工具要到位,资料要齐全。机房的门窗不得随意打开。第6条每天上班前和下班后对机房做日常巡检,检查机房环境、电源、设备等并做好相应记录(见表一)。第7条对临时进入机房工作的人员,不再发放门禁卡,在向用户单位保密部门提出申请得到批准后,由安全保密管理员陪同进入机房工作。1.1资产管理第1条编制并保存与信息系统相关的资产清单,包括资产责任部门、重要程度和所处位置等内容。第2条规定信息系统资产管理的责任人员或责任部门,并规范资产管理和使用的行为。第3条根据资产的重要程度
8、对资产进行标识管理。第4条对信息分类与标识方法作出规定,并对信息的使用、传输和存储等进行规范化管理。1.2介质管理第1条建立介质安全管理
此文档下载收益归作者所有