信息安全制度实施指南
信息安全管理制度实施指南
V1.0
1
.. 策略管理
................................................................. 6
1.1安全策略和管理制度
.......................................................................................... 6
1.1.1
信息安全策略
. 6
1.1.2
信息安全管理制度
. 6
1.1.3
行为规范
. 7
1.2安全规划
........................................................................................................... 7
1.2.1
系统安全规划
. 7
1.2.2
系统安全规划的更新
. 8
1.2.3
阶段性行动计划
. 8
2
.. 组织管理
................................................................. 8
2.1组织机构
........................................................................................................... 8
2.1.1
信息安全管理机构
. 8
2.1.2
信息安全管理人员
. 9
2.2人员安全
........................................................................................................... 9
2.2.1
工作岗位风险分级
. 9
2.2.2
人员审查
. 10
2.2.3
人员工作合同终止
. 10
2.2.4
人员调动
. 10
2.2.5
工作协议和条款
. 11
2.2.6
第三方人员安全
. 11
2.2.7
人员处罚
. 11
2.3安全意识和培训
............................................................................................... 11
2.3.1
安全意识
. 12
2.3.2
安全培训
. 12
2.3.3
安全培训记录
. 12
3
.. 运行管理
................................................................ 13
3.1风险评估和认证认可
........................................................................................ 13
3.1.1
安全分类
. 13
3.1.2
风险评估
. 13
3.1.3
风险评估更新
. 14
3.1.4
安全认证
. 14
3.1.5
安全认可
. 15
3.1.6
持续监控
. 15
3.2系统与服务采购
............................................................................................... 15
3.2.1
资源分配
. 16
3.2.2
生命周期支持
. 16
3.2.3
采购
. 16
3.2.4
信息系统文件
. 16
3.2.5
软件使用限制
. 17
3.2.6
用户安装的软件
. 17
3.2.7
安全设计原则
. 17
3.2.8
外包信息系统服务
. 18
3.2.9
开发配置管理
. 18
3.2.10
开发安全测试评估
. 18
3.3配置管理
.......................................................................................................... 19
3.3.1
基线配置
. 19
3.3.2
配置变更控制
. 20
3.3.3
监督配置变更
. 20
3.3.4
变更访问限制
. 20
3.3.5
配置策略设置
. 21
3.3.6
功能最小化
. 21
3.4应急计划和事件响应
........................................................................................ 21
3.4.1
应急计划
. 21
3.4.2
应急响应培训
. 22
3.4.3
应急和事件响应计划测试
. 22
3.4.4
应急和事件响应计划更新
. 22
3.4.5
事件处理
. 23
3.4.6
事件监控
. 23
3.4.7
事件报告
. 23
3.4.8
事件响应支持
. 24
3.5系统管理与维护
............................................................................................... 24
3.5.1
安全管理技术
. 24
3.5.2
常规维护
. 24
3.5.3
维护工具管理
. 25
3.5.4
远程维护
. 25
3.5.5
维护人员
. 25
3.5.6
维护及时性
. 26
4
.. 技术管理
................................................................ 26
4.1标识鉴别
.......................................................................................................... 26
4.1.1
身份标识和鉴别
. 26
4.1.2
设备标识和鉴别
. 27
4.1.3
标识管理
. 27
4.1.4
鉴别管理
. 27
4.1.5
登录和鉴别反馈
. 28
4.2访问控制
.......................................................................................................... 29
4.2.1
账户管理
. 29
4.2.2
强制访问
. 29
4.2.3
信息流控制
. 30
4.2.4
职责分离
. 30
4.2.5
最小权限
. 31
4.2.6
不成功登录尝试
. 31
4.2.7
系统使用情况
. 32
4.2.8
最近登录情况
. 32
4.2.9
并发会话控制
. 32
4.2.10
会话锁定
. 33
4.2.11
会话终止
. 33
4.2.12
对访问控制的监督和审查
. 33
4.2.13
不需鉴别或认证的行为
. 34
4.2.14
自动化标记
. 34
4.2.15
远程访问控制
. 35
4.2.16
无线接入访问控制
. 35
4.2.17
便携式移动设备的访问控制
. 35
4.2.18
个人信息系统
. 36
4.3系统与信息完整性
............................................................................................ 36
4.3.1
漏洞修补
. 37
4.3.2
防恶意代码攻击
. 37
4.3.3
输入信息的限制
. 37
4.3.4
错误处理
. 37
4.3.5
输出信息的处理和保存
. 38
4.4系统与通信保护
............................................................................................... 38
4.4.1
应用系统分区
. 38
4.4.2
安全域划分
. 39
4.4.3
拒绝服务保护
. 39
4.4.4
边界保护
. 39
4.4.5
网络连接终止
. 39
4.4.6
公共访问保护
. 40
4.4.7
移动代码
. 40
4.5介质保护
.......................................................................................................... 40
4.5.1
介质访问
. 41
4.5.2
介质保存
. 41
4.5.3
信息彻底清除
. 41
4.5.4
介质的废弃
. 41
4.6物理和环境保护
............................................................................................... 42
4.6.1
物理访问授权
. 42
4.6.2
物理访问控制
. 42
4.6.3
显示介质访问控制
. 43
4.6.4
物理访问监视
. 43
4.6.5
来访人员控制
. 43
4.6.6
来访记录
. 43
4.6.7
环境安全
. 44
4.7检测和响应
...................................................................................................... 44
4.7.1
事件审计
. 45
4.7.2
审计记录的内容
. 45
4.7.3
审计处理
. 46
4.7.4
审计的监控、分析和报告
. 46
4.7.5
审计信息保护
. 46
4.7.6
审计保留
. 47
4.7.7
入侵检测
. 47
4.7.8
漏洞扫描
. 47
4.7.9
安全告警和响应
. 48
4.8备份与恢复
...................................................................................................... 48
4.8.1
信息系统备份
. 48
4.8.2
备份存储地点
. 49
4.8.3
备份处理地点
. 49
4.8.4
信息系统恢复与重建
. 49
更多内容请下载附件
1 策略管理
安全策略是高层管理层决定的一个全面的声明,它规定在组织中安全问题扮演什么样的角色。组织安全策略为机构内部未来的所有安全活动提供了范围和方向。
1.1安全策略和管理制度
对各级部门制定总体的信息安全策略、信息安全管理制度和相应的行为规范,指导信息安全保障工作更好的开展。
1.1.1 信息安全策略
信息安全策略是高级管理层决定的一个全面的声明,它规定在组织中安全问题扮演什么样的角色。它能够为信息安全提供符合业务要求和相关法律法规的管理指导和支持。
要求
对各级部门制定总体信息安全策略,详细阐述目标、范围、角色、责任以及合规性等;制定高层信息安全策略,部门级安全策略,系统级安全策略;开发、发布、并定期更新信息安全策略;
内容
信息安全策略的内容要覆盖安全规划、组织机构、人员安全、安全意识和培训、风险评估、认证认可、系统与服务采购、配置管理、应急计划、事件响应、系统维护、标识鉴别、访问控制、系统与信息完整性、系统与通信保护、抗抵赖、介质保护、物理和环境保护、检测响应恢复等各方面;
信息安全策略定义了明确所要保护的总体安全目标