返回
信息项目方案安全管理目标规章制度规则方针

信息项目方案安全管理目标规章制度规则方针

ID:42706358

大小:23.88 KB

页数:9页

时间:2019-09-20

信息项目方案安全管理目标规章制度规则方针_第1页
信息项目方案安全管理目标规章制度规则方针_第2页
信息项目方案安全管理目标规章制度规则方针_第3页
信息项目方案安全管理目标规章制度规则方针_第4页
信息项目方案安全管理目标规章制度规则方针_第5页
资源描述:

《信息项目方案安全管理目标规章制度规则方针》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、\信息安全管理制度1.安全管理制度要求1.1总则为了切实有效的保证公司信息安全,提高信息系统为公司生产经营的服务能力,特制定交互式信息安全管理制度,设定管理部门及专业管理人员对公司整体信息安全进行管理,以确保网络与信息安全。1.1.1建立文件化的安全管理制度,安全管理制度文件应包括:a)安全岗位管理制度;b)系统操作权限管理;c)安全培训制度;d)用户管理制度;e)新服务、新功能安全评估;f)用户投诉举报处理;g)信息发布审核、合法资质查验和公共信息巡查;h)个人电子信息安全保护;i)安全事件的监测、报告和应急处置制度;j)现行法律、法规、规章、标准和行政审

2、批文件。1.1.2安全管理制度应经过管理层批准,并向所有员工宣传2.机构要求2.1法律责任2.1.1互联网交互式服务提供者应是一个能够承担法律责任的组织或个人。2.1.2互联网交互式服务提供者从事的信息服务有行政许可的应取得相应许可。\3.人员安全管理3.1安全岗位管理制度建立安全岗位管理制度,明确主办人、主要负责人、安全责任人的职责:岗位管理制度应包括保密管理。3.2关键岗位人员3.2.1关键岗位人员任用之前的背景核查应按照相关法律、法规、道德规范和对应的业务要求来执行,包括:1.个人身份核查;2.个人履历的核查;3.学历、学位、专业资质证明;4.从事关键

3、岗位所必须的能力。3.2.2应与关键岗位人员签订保密协议。3.3安全培训建立安全培训制度,定期对所有工作人员进行信息安全培训,提高全员的信息安全意识,包括:1.上岗前的培训;2.安全制度及其修订后的培训;3.法律、法规的发展保持同步的继续培训。3.4人员离岗应严格规范人员离岗过程:a)及时终止离岗员工的所有访问权限;b)关键岗位人员须承诺调离后的保密义务后方可离开;c)配合公安机关工作的人员变动应通报公安机关。\4.访问控制管理4.1访问管理制度建立包括物理的和逻辑的系统访问权限管理制度。4.2权限分配按以下原则根据人员职责分配不同的访问权限:a)角色分离,

4、如访问请求、访问授权、访问管理;b)满足工作需要的最小权限;c)未经明确允许,则一律禁止。4.3特殊权限限制和控制特殊访问权限的分配和使用:a)标识出每个系统或程序的特殊权限;b)按照“按需使用”、“一事一议”的原则分配特殊权限;c)记录特殊权限的授权与使用过程;d)特殊访问权限的分配需要管理层的批准。注:特殊权限是系统超级用户、数据库管理等系统管理权限。4.4权限的检查定期对访问权限进行检查,对特殊访问权限的授权情况应在更频繁的时间间隔内进行检查,如发现不恰当的权限设置,应及时予以调整。5网络与主机系统的安全5.1网络与主机系统的安全应维护使用的网络与主机系

5、统的安全,包括:a)实施计算机病毒等恶意代码的预防、检测和系统被破坏后的恢复措施;\b)实施7×24h网络入侵行为的预防、检测与响应措施;c)适用时,对重要文件的完整性进行检测,并具备文件完整性受到破坏后的恢复措施;d)对系统的脆弱性进行评估,并采取适当的措施处理相关的风险。注:系统脆弱性评估包括采用安全扫描、渗透测试等多种方式。5.2备份5.2.1应建立备份策略,有足够的备份设施,确保必要的信息和软件在灾难或介质故障时可以恢复。5.2.2网络基础服务(登录、消息发布等)应具备容灾能力。5.3安全审计5.3.1应记录用户活动、异常情况、故障和安全事件的日志。

6、5.3.2审计日志内容应包括:a)用户注册相关信息,包括:1)用户唯一标识;2)用户名称及修改记录;3)身份信息,如姓名、证件类型、证件号码等;4)注册时间、IP地址及端口号;5)电子邮箱地址和于机号码;6)用户备注信息;7)用户其他信息。b)群组、频道相关信息,包括:1)创建时间、创建人、创建人IP地址及端口号;2)删除时间、删除人、删除人IP地址及端口号;3)群组组织结构;4)群组成员列表。c)用户登录信息,包括:1)用户唯一标识;2)登录时间;3)退出时间;4)IP地址及端口号。d)用户信息发布日志,包括:\1)用户唯一标识;2)信息标识;3)信息发布

7、时间;4)IP地址及端口号;5)信息标题或摘要,包括图片摘要。e)用户行为,包括:1)进出群组或频道;2)修改、删除所发信息;3)上传、下载文件。5.3.3应确保审计日志内容的可溯源性,即可追溯到真实的用户ID、网络地址和协议。电子邮件、短信息、网络电话、即时消息、网络聊天等网络消息服务提供者应能防范伪造、隐匿发送者真实标记的消息的措施;涉及地址转换技术的服务,如移动上网、网络代理、内容分发等应审计转换前后的地址与端口信息;涉及短网址服务的,应审计原始URL与短URL之间的映射关系。5.3.4应保护审计日志,保证无法单独中断审计进程,防止删除、修改或覆盖审计日

8、志。5.3.5应能够根据公安机关要求留

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。