系统安全管理规定.doc

系统安全管理规定.doc

ID:20807712

大小:134.81 KB

页数:13页

时间:2018-10-16

系统安全管理规定.doc_第1页
系统安全管理规定.doc_第2页
系统安全管理规定.doc_第3页
系统安全管理规定.doc_第4页
系统安全管理规定.doc_第5页
资源描述:

《系统安全管理规定.doc》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、系统安全管理规定文档号CSLJC_COM_STD_ISMS_1202_P_V0.1密级ISO27001信息安全管理体系文件系统安全管理规定ISMS-MP-A.12-01活动签名日期创建成涛2011-8-24审核批准II系统安全管理规定文档变更历史作者(或修订人)版本号日期修改内容与原因成涛V0.12011-8-24新建评审记录评审方式版本号日期评审意见文档状态:草稿II系统安全管理规定目录1概述11.1目的11.2定义11.3范围11.4原则12角色与职责13安全要求23.1系统安全规划要求23.2系统运行与维护安全要求23.3操作系统安全配置策略53.3.1Windo

2、ws系统安全配置管理策略53.3.2UNIX系统安全管理策略84附录10II系统安全管理规定1概述1.1目的为了加强公司各类计算机系统的安全运维管理,特制定本规定。1.2定义本程序引用ISO/IEC17799:2005标准中的术语。1.3范围本文档适用于公司建立的信息安全管理体系。1.4原则本文档将依据信息技术和信息安全技术的不断发展和信息安全风险与信息安全保护目标的不断变化而进行版本升级。2角色与职责表2-1系统安全管理规定的角色和职责序号角色职责1信息安全管理委员会负责对系统安全管理进行指导和检查2系统运维部负责生产环境系统的维护工作3系统支援及负责系统安全管理的落

3、地和实施工作10系统安全管理规定维护部4员工遵守公司系统安全管理规定1安全要求122.1系统安全规划要求1、系统在投入使用前需要做好前期的规划和设计,除了要满足公司目前业务需要外还要考虑该业务系统将来的应用需求,使系统具有一定的扩充能力。2、系统服务器操作系统应选用正版软件并且遵守软件规定的最终用户使用协议,禁止使用盗版软件。3、新规划使用系统应考虑和原来系统的兼容性问题。4、在新系统安装之前应有详细的实施计划,并严格按照计划来实施。5、在新系统安装完成,投入使用前,应对所有组件包括设备、服务或应用进行连通性测试、性能测试、安全性测试,并在《系统测试记录》做详细记录,最

4、终形成测试报告。6、在新系统安装完成,测试通过,投入使用前,应删除测试用户和口令,最小化合法用户的权限,最优化配置,应及时对系统软件、文件和重要数据进行备份。2.2系统运行与维护安全要求1、各个系统设备应进行资产登记。2、系统的帐号、口令应符合《帐号与密码安全管理规定》,并定期对帐号口令实施安全评估。10系统安全管理规定3、严格限制操作系统管理员权限帐号和普通账号的数量和使用范围。对于系统管理员的帐号要详细登记备案,编制《管理员权限账号记录》,每季度对该记录进行审核,更新帐号记录。4、操作系统帐号的申请与变更参考《帐号与密码安全管理规定》3.5节“账号权限控制流程”。5

5、、严格禁止非本系统管理、维护人员直接进入主机设备进行操作,若在特殊情况下(如系统维修、升级等)需要外部人员(主要是指厂家技术工程师、非本系统技术工程师、安全管理员等)进入主机设备进行操作时,必须由维护人员员亲自登录,并对操作全过程进行记录备案。6、应尽可能减少主机设备的远程管理方式。7、严禁随意安装、卸载系统组件和驱动程序,如确实需要,应及时评测可能由此带来的影响;如果需要安装补丁程序,参考《病毒与补丁安全管理规定》进行安装。8、禁止主机系统上开放具有“写”权限的共享目录,如果确实必要,优先考虑建立FTP站点,紧急情况下可临时开放,但要设置强共享口令,并在使用完之后立刻

6、取消共享;应禁止不被系统明确使用的服务、协议和设备的特性,避免使用不安全的服务。9、应严格并且合理的分配服务安装分区或者目录的权限,如果可能的话,给每项服务安装在独立分区;取消或者修改服务的banner信息;避免让应用服务运行在root或者administrator权限下。10、应严格控制重要文件的许可权和拥有权,重要的数据应当加密存放在主机上,取消匿名FTP访问,并合理使用信任关系。11、应对日志功能的启用、日志记录的内容、日志的管理形式、日志的审查分析做出明确的规定;对于重要主机系统,应建立集中的日志管理服务器,实现对重要主机系统日志的统一管理,以利于对主机系统日志

7、的审查分析;应保证各设备的系统日志处于运行状态,并定期对日志做一次全面的分析,对登录的用户、登录时间、所做的配置和操作做检查,在发现有异常的现象时应及时向相关人员报告,日志审核要求详见《安全审计管理规定》。10系统安全管理规定12、应及时监视、收集主机设备操作系统生产厂商公布的软件以及补丁更新,要求下载补丁程序的站点必须是相应的官方站点,并对更新软件或补丁进行评测,在获得部门领导的批准下,对实际环境实施软件更新或者补丁安装;必须订阅CERT(计算机紧急响应小组)公告或其他专业安全机构提供的安全漏洞信息的相关资源,应立即提醒信息安全工作组任

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。