第1页 / 共49页
第2页 / 共49页
第3页 / 共49页
第4页 / 共49页
第5页 / 共49页
第6页 / 共49页
第7页 / 共49页
第8页 / 共49页
信息安全制度实施指南.doc
1策略管理
1.1安全策略和管理制度
1.1.1信息安全策略
1.1.2信息安全管理制度
1.1.3行为规范
1.2安全规划
1.2.1系统安全规划
1.2.2系统安全规划的更新
1.2.3阶段性行动计划
2组织管理
2.1组织机构
2.1.1信息安全管理机构
2.1.2信息安全管理人员
2.2人员安全
2.2.1工作岗位风险分级
2.2.2人员审查
2.2.3人员工作合同终止
2.2.4人员调动
2.2.5工作协议和条款
2.2.6第三方人员安全
2.2.7人员处罚
2.3安全意识和培训
2.3.1安全意识
2.3.2安全培训
2.3.3安全培训记录
3运行管理
3.1风险评估和认证认可
3.1.1安全分类
3.1.2风险评估
3.1.3风险评估更新
3.1.4安全认证
3.1.5安全认可
3.1.6持续监控
3.2系统与服务采购
3.2.1资源分配
3.2.2生命周期支持
3.2.3采购
3.2.4信息系统文件
3.2.5软件使用限制
3.2.6用户安装的软件
3.2.7安全设计原则
3.2.8外包信息系统服务
3.2.9开发配置管理
3.2.10开发安全测试评估
3.3配置管理
3.3.1基线配置
3.3.2配置变更控制
3.3.3监督配置变更
3.3.4变更访问限制
3.3.5配置策略设置
3.3.6功能最小化
3.4应急计划和事件响应
3.4.1应急计划
3.4.2应急响应培训
3.4.3应急和事件响应计划测试
3.4.4应急和事件响应计划更新
3.4.5事件处理
3.4.6事件监控
3.4.7事件报告
3.4.8事件响应支持
3.5系统管理与维护
3.5.1安全管理技术
3.5.2常规维护
3.5.3维护工具管理
3.5.4远程维护
3.5.5维护人员
3.5.6维护及时性
4技术管理
4.1标识鉴别
4.1.1身份标识和鉴别
4.1.2设备标识和鉴别
4.1.3标识管理
4.1.4鉴别管理
4.1.5登录和鉴别反馈
4.2访问控制
4.2.1账户管理
4.2.2强制访问
4.2.3信息流控制
4.2.4职责分离
4.2.5最小权限
4.2.6不成功登录尝试
4.2.7系统使用情况
4.2.8最近登录情况
4.2.9并发会话控制
4.2.10会话锁定
4.2.11会话终止
4.2.12对访问控制的监督和审查
4.2.13不需鉴别或认证的行为
4.2.14自动化标记
4.2.15远程访问控制
4.2.16无线接入访问控制
4.2.17便携式移动设备的访问控制
4.2.18个人信息系统
4.3系统与信息完整性
4.3.1漏洞修补
4.3.2防恶意代码攻击
4.3.3输入信息的限制
4.3.4错误处理
4.3.5输出信息的处理和保存
4.4系统与通信保护
4.4.1应用系统分区
4.4.2安全域划分
4.4.3拒绝服务保护
4.4.4边界保护
4.4.5网络连接终止
4.4.6公共访问保护
4.4.7移动代码
4.5介质保护
4.5.1介质访问
4.5.2介质保存
4.5.3信息彻底清除
4.5.4介质的废弃
4.6物理和环境保护
4.6.1物理访问授权
4.6.2物理访问控制
4.6.3显示介质访问控制
4.6.4物理访问监视
4.6.5来访人员控制
4.6.6来访记录
4.6.7环境安全
4.7检测和响应
4.7.1事件审计
4.7.2审计记录的内容
4.7.3审计处理
4.7.4审计的监控、分析和报告
4.7.5审计信息保护
4.7.6审计保留
4.7.7入侵检测
4.7.8漏洞扫描
4.7.9安全告警和响应
4.8备份与恢复
4.8.1信息系统备份
4.8.2备份存储地点
4.8.3备份处理地点
4.8.4信息系统恢复与重建
xxxx 信息安全管理制度实施指南
V1.0
1 策略管理 ................................................................. 7
1.1 安全策略和管理制度 ....................................................................................................7
1.1.1 信息安全策略 ....................................................................................................7
1.1.2 信息安全管理制度 ............................................................................................7
1.1.3 行为规范 ............................................................................................................ 8
1.2 安全规划 ........................................................................................................................ 8
1.2.1 系统安全规划 ....................................................................................................8
1.2.2 系统安全规划的更新........................................................................................9
1.2.3 阶段性行动计划................................................................................................9
2 组织管理 ................................................................. 9
2.1 组织机构 ........................................................................................................................ 9
2.1.1 信息安全管理机构 ............................................................................................9
2.1.2 信息安全管理人员 ..........................................................................................10
2.2 人员安全 ...................................................................................................................... 10
2.2.1 工作岗位风险分级 ..........................................................................................10
2.2.2 人员审查 ..........................................................................................................10
2.2.3 人员工作合同终止 ..........................................................................................11
2.2.4 人员调动 .......................................................................................................... 11
2.2.5 工作协议和条款.............................................................................................. 11
2.2.6 第三方人员安全..............................................................................................12
2.2.7 人员处罚 ..........................................................................................................12
2.3 安全意识和培训 ..........................................................................................................12
2.3.1 安全意识 ..........................................................................................................12
2.3.2 安全培训 ..........................................................................................................13
2.3.3 安全培训记录 ..................................................................................................13
3 运行管理 ................................................................ 14
3.1 风险评估和认证认可 ..................................................................................................14
3.1.1 安全分类 ..........................................................................................................14
3.1.2 风险评估 ..........................................................................................................14
3.1.3 风险评估更新 ..................................................................................................15
3.1.4 安全认证 ..........................................................................................................15
3.1.5 安全认可 ..........................................................................................................15
3.1.6 持续监控 ..........................................................................................................16
3.2 系统与服务采购 ..........................................................................................................16
3.2.1 资源分配 ..........................................................................................................16
3.2.2 生命周期支持 ..................................................................................................17
3.2.3 采购 .................................................................................................................. 17
3.2.4 信息系统文件 ..................................................................................................17
3.2.5 软件使用限制 ..................................................................................................17
3.2.6 用户安装的软件..............................................................................................18
3.2.7 安全设计原则 ..................................................................................................18
3.2.8 外包信息系统服务 ..........................................................................................18
3.2.9 开发配置管理 ..................................................................................................19
3.2.10
开发安全测试评估 ..................................................................................19
3.3 配置管理 ...................................................................................................................... 19
3.3.1 基线配置 ..........................................................................................................20
3.3.2 配置变更控制 ..................................................................................................20
3.3.3 监督配置变更 ..................................................................................................21
3.3.4 变更访问限制 ..................................................................................................21
3.3.5 配置策略设置 ..................................................................................................21
3.3.6 功能最小化......................................................................................................21
3.4 应急计划和事件响应 ..................................................................................................22
3.4.1 应急计划 ..........................................................................................................22
3.4.2 应急响应培训 ..................................................................................................22
3.4.3 应急和事件响应计划测试..............................................................................22
3.4.4 应急和事件响应计划更新..............................................................................23
3.4.5 事件处理 ..........................................................................................................23
3.4.6 事件监控 ..........................................................................................................23
3.4.7 事件报告 ..........................................................................................................24
3.4.8 事件响应支持 ..................................................................................................24
3.5 系统管理与维护 ..........................................................................................................24
3.5.1 安全管理技术 ..................................................................................................25
3.5.2 常规维护 ..........................................................................................................25
3.5.3 维护工具管理 ..................................................................................................25
3.5.4 远程维护 ..........................................................................................................25
3.5.5 维护人员 ..........................................................................................................26
3.5.6 维护及时性......................................................................................................26
4 技术管理 ................................................................ 26
4.1 标识鉴别 ...................................................................................................................... 26
4.1.1 身份标识和鉴别..............................................................................................26
4.1.2 设备标识和鉴别..............................................................................................27
4.1.3 标识管理 ..........................................................................................................27
4.1.4 鉴别管理 ..........................................................................................................28
4.1.5 登录和鉴别反馈..............................................................................................28
4.2 访问控制 ...................................................................................................................... 29
4.2.1 账户管理 ..........................................................................................................29
4.2.2 强制访问 ..........................................................................................................30
4.2.3 信息流控制......................................................................................................30
4.2.4 职责分离 ..........................................................................................................31
4.2.5 最小权限 ..........................................................................................................31
4.2.6 不成功登录尝试..............................................................................................31
4.2.7 系统使用情况 ..................................................................................................32
4.2.8 最近登录情况 ..................................................................................................32
4.2.9 并发会话控制 ..................................................................................................33
4.2.10
4.2.11
4.2.12
4.2.13
4.2.14
会话锁定 ..................................................................................................33
会话终止 ..................................................................................................33
对访问控制的监督和审查......................................................................34
不需鉴别或认证的行为 ..........................................................................34
自动化标记..............................................................................................34
4.2.15
4.2.16
4.2.17
4.2.18
远程访问控制 ..........................................................................................35
无线接入访问控制 ..................................................................................35
便携式移动设备的访问控制 ..................................................................35
个人信息系统 ..........................................................................................36
4.3 系统与信息完整性 ......................................................................................................36
4.3.1 漏洞修补 ..........................................................................................................36
4.3.2 防恶意代码攻击..............................................................................................37
4.3.3 输入信息的限制..............................................................................................37
4.3.4 错误处理 ..........................................................................................................37
4.3.5 输出信息的处理和保存 ..................................................................................38
4.4 系统与通信保护 ..........................................................................................................38
4.4.1 应用系统分区 ..................................................................................................38
4.4.2 安全域划分......................................................................................................39
4.4.3 拒绝服务保护 ..................................................................................................39
4.4.4 边界保护 ..........................................................................................................39
4.4.5 网络连接终止 ..................................................................................................39
4.4.6 公共访问保护 ..................................................................................................39
4.4.7 移动代码 ..........................................................................................................40
4.5 介质保护 ...................................................................................................................... 40
4.5.1 介质访问 ..........................................................................................................40
4.5.2 介质保存 ..........................................................................................................40
4.5.3 信息彻底清除 ..................................................................................................41
4.5.4 介质的废弃......................................................................................................41
4.6 物理和环境保护 ..........................................................................................................41
4.6.1 物理访问授权 ..................................................................................................42
4.6.2 物理访问控制 ..................................................................................................42
4.6.3 显示介质访问控制 ..........................................................................................42
4.6.4 物理访问监视 ..................................................................................................42
4.6.5 来访人员控制 ..................................................................................................43
4.6.6 来访记录 ..........................................................................................................43
4.6.7 环境安全 ..........................................................................................................43
4.7 检测和响应 .................................................................................................................. 43
4.7.1 事件审计 ..........................................................................................................44
4.7.2 审计记录的内容..............................................................................................45
4.7.3 审计处理 ..........................................................................................................45
4.7.4 审计的监控、分析和报告..............................................................................45
4.7.5 审计信息保护 ..................................................................................................46
4.7.6 审计保留 ..........................................................................................................46
4.7.7 入侵检测 ..........................................................................................................46
4.7.8 漏洞扫描 ..........................................................................................................46
4.7.9 安全告警和响应..............................................................................................47
4.8 备份与恢复 .................................................................................................................. 47
4.8.1 信息系统备份 ..................................................................................................47
4.8.2 备份存储地点 ..................................................................................................48
4.8.3 备份处理地点 ..................................................................................................48
4.8.4 信息系统恢复与重建......................................................................................48
1 策略管理
安全策略是高层管理层决定的一个全面的声明 ,它规定在组织中安全问题扮演什么样
的角色。组织安全策略为机构内部未来的所有安全活动提供了范围和方向。
1.1 安全策略和管理制度
对各级部门制定总体的信息安全策略、信息安全管理制度和相应的行为规范,指导信息
安全保障工作更好的开展。
1.1.1 信息安全策略
信息安全策略是高级管理层决定的一个全面的声明,它规定在组织中安全问题扮演什么
样的角色。它能够为信息安全提供符合业务要求和相关法律法规的管理指导和支持。
要求
对各级部门制定总体信息安全策略,详细阐述目标、范围、角色、责任以及合规性等;
制定高层信息安全策略,部门级安全策略,系统级安全策略;开发、发布、并定期更新信息
安全策略;
内容
信息安全策略的内容要覆盖安全规划、组织机构、人员安全、安全意识和培训、风险评
估、认证认可、系统与服务采购、配置管理、应急计划、事件响应、系统维护、标识鉴别、
访问控制、系统与信息完整性、系统与通信保护、抗抵赖、介质保护、物理和环境保护、检
测响应恢复等各方面;
信息安全策略定义了明确所要保护的总体安全目标与范围;
信息安全策略经过本级主管信息工作的领导批准,正式颁布,并定期根据实施效果进行
修订。
1.1.2 信息安全管理制度
信息安全管理制度是为了更好地保证系统的信息安全,是信息安全策略的进一步实施的
具体化。
要求
制定严格的规范化的信息安全管理制度,以促进信息安全策略的实施;
内容
对信息的生成、存储、查看、传输、复制、备份、归档、销毁等制定严格的管理制度;
对信息系统中设备与系统的接入、运行、维护、管理的规定;
有安全管理值班制度与事故报告处理制度,应急响应预案以及各种应用系统用户授权管
理与系统运行管理规定等;
根据管理制度的执行情况定期审核,修订。
1.1.3 行为规范
行为规范规定了系统的各类使用和管理人员的岗位职责,规定了各类人员的责任和所允
许信息系统的权利。
要求
对信息系统的各类使用和管理人员的岗位职责、行为规范制定管理规定,并描述其责任
和所允许的访问信息和信息系统的正当行为;
所有用户在被授权访问信息系统之前,应以书面签认方式确认其已经知悉、理解并愿意
遵守相关的规范。
内容
管理制度印发给有关管理和应用人员,并抽查,以验证其是否了解应遵守的行为规范。
1.2 安全规划
制定较为完整的信息安全规划,以指导信息安全保障工作的开展。安全规划包括系统安
全规划、系统安全规划的更新、阶段性行动计划。
1.2.1 系统安全规划
系统安全规划是对信息系统安全一个全面的规划,用来描述系统的安全要求和满足安全
规划采用的安全控制措施。
要求
为信息系统制定并实施安全规划,对系统的安全要求以及满足这些安全需求的在用的或
计划采用的安全控制措施进行描述;
高层领导应审核、批准安全规划,并采用统一规划、分步实施的原则贯彻执行。
内容
结合 xxxx 的信息系统安全的总体目标和安全需求,制定针对性的信息安全规划;
相关推荐
2023年江西萍乡中考道德与法治真题及答案.doc
2012年重庆南川中考生物真题及答案.doc
2013年江西师范大学地理学综合及文艺理论基础考研真题.doc
2020年四川甘孜小升初语文真题及答案I卷.doc
2020年注册岩土工程师专业基础考试真题及答案.doc
2023-2024学年福建省厦门市九年级上学期数学月考试题及答案.doc
2021-2022学年辽宁省沈阳市大东区九年级上学期语文期末试题及答案.doc
2022-2023学年北京东城区初三第一学期物理期末试卷及答案.doc
2018上半年江西教师资格初中地理学科知识与教学能力真题及答案.doc
2012年河北国家公务员申论考试真题及答案-省级.doc
2020-2021学年江苏省扬州市江都区邵樊片九年级上学期数学第一次质量检测试题及答案.doc
2022下半年黑龙江教师资格证中学综合素质真题及答案.doc
