資源描述:
《【9A文】系統(tǒng)安全管理規(guī)定》由會員上傳分享,免費在線閱讀�����,更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫����。
1、【MeiWei_81重點借鑒文檔】文檔號CSLJC_COM_STD_ISMS_1202_P_V0.1密級ISO27001信息安全管理體系文件系統(tǒng)安全管理規(guī)定ISMS-MP-A.12-01活動簽名日期創(chuàng)建成濤20RR-8-24審核批準(zhǔn)【MeiWei_81重點借鑒文檔】【MeiWei_81重點借鑒文檔】文檔變更歷史作者(或修訂人)版本號日期修改內(nèi)容與原因成濤V0.120RR-8-24新建評審記錄評審方式版本號日期評審意見文檔狀態(tài):草稿【MeiWei_81重點借鑒文檔】【MeiWei_81重點借鑒文檔】目錄1概述11.1目的11.2定
2��、義11.3范圍11.4原則12角色與職責(zé)13安全要求23.1系統(tǒng)安全規(guī)劃要求23.2系統(tǒng)運行與維護(hù)安全要求23.3操作系統(tǒng)安全配置策略53.3.1Windows系統(tǒng)安全配置管理策略53.3.2UNIR系統(tǒng)安全管理策略84附錄10【MeiWei_81重點借鑒文檔】【MeiWei_81重點借鑒文檔】1概述1.1目的為了加強公司各類計算機系統(tǒng)的安全運維管理�,特制定本規(guī)定。1.2定義本程序引用ISO/IEC17799:20RR標(biāo)準(zhǔn)中的術(shù)語�。1.3范圍本文檔適用于公司建立的信息安全管理體系。1.4原則本文檔將依據(jù)信息技術(shù)和信息安全技術(shù)的不
3����、斷發(fā)展和信息安全風(fēng)險與信息安全保護(hù)目標(biāo)的不斷變化而進(jìn)行版本升級。2角色與職責(zé)表2-1系統(tǒng)安全管理規(guī)定的角色和職責(zé)序號角色職責(zé)1信息安全管理委員會負(fù)責(zé)對系統(tǒng)安全管理進(jìn)行指導(dǎo)和檢查2系統(tǒng)運維部負(fù)責(zé)生產(chǎn)環(huán)境系統(tǒng)的維護(hù)工作3系統(tǒng)支援及維護(hù)部負(fù)責(zé)系統(tǒng)安全管理的落地和實施工作4員工遵守公司系統(tǒng)安全管理規(guī)定【MeiWei_81重點借鑒文檔】【MeiWei_81重點借鑒文檔】1安全要求122.1系統(tǒng)安全規(guī)劃要求1�、系統(tǒng)在投入使用前需要做好前期的規(guī)劃和設(shè)計�����,除了要滿足公司目前業(yè)務(wù)需要外還要考慮該業(yè)務(wù)系統(tǒng)將來的應(yīng)用需求����,使系統(tǒng)具有一定的擴充能力�。2
4、����、系統(tǒng)服務(wù)器操作系統(tǒng)應(yīng)選用正版軟件并且遵守軟件規(guī)定的最終用戶使用協(xié)議,禁止使用盜版軟件���。3��、新規(guī)劃使用系統(tǒng)應(yīng)考慮和原來系統(tǒng)的兼容性問題����。4�����、在新系統(tǒng)安裝之前應(yīng)有詳細(xì)的實施計劃��,并嚴(yán)格按照計劃來實施。5�����、在新系統(tǒng)安裝完成���,投入使用前,應(yīng)對所有組件包括設(shè)備�、服務(wù)或應(yīng)用進(jìn)行連通性測試、性能測試��、安全性測試�,并在《系統(tǒng)測試記錄》做詳細(xì)記錄,最終形成測試報告��。6�、在新系統(tǒng)安裝完成,測試通過��,投入使用前���,應(yīng)刪除測試用戶和口令�,最小化合法用戶的權(quán)限�����,最優(yōu)化配置,應(yīng)及時對系統(tǒng)軟件�����、文件和重要數(shù)據(jù)進(jìn)行備份��。2.2系統(tǒng)運行與維護(hù)安全要求1��、各個系統(tǒng)
5��、設(shè)備應(yīng)進(jìn)行資產(chǎn)登記��。2�、系統(tǒng)的帳號、口令應(yīng)符合《帳號與密碼安全管理規(guī)定》��,并定期對帳號口令實施安全評估���。3�����、嚴(yán)格限制操作系統(tǒng)管理員權(quán)限帳號和普通賬號的數(shù)量和使用范圍���。對于系統(tǒng)管理員的帳號要詳細(xì)登記備案����,編制《管理員權(quán)限賬號記錄》���,每季度對該記錄進(jìn)行審核����,更新帳號記錄��。4���、操作系統(tǒng)帳號的申請與變更參考《帳號與密碼安全管理規(guī)定》3.5節(jié)“賬號權(quán)限控制流程”。5��、嚴(yán)格禁止非本系統(tǒng)管理�、維護(hù)人員直接進(jìn)入主機設(shè)備進(jìn)行操作,若在特殊情況下(如系統(tǒng)維修�、升級等)需要外部人員(主要是指廠家技術(shù)工程師、非本系統(tǒng)技術(shù)工程師�、安全管【MeiWei_8
6、1重點借鑒文檔】【MeiWei_81重點借鑒文檔】理員等)進(jìn)入主機設(shè)備進(jìn)行操作時���,必須由維護(hù)人員員親自登錄����,并對操作全過程進(jìn)行記錄備案。6���、應(yīng)盡可能減少主機設(shè)備的遠(yuǎn)程管理方式���。7、嚴(yán)禁隨意安裝���、卸載系統(tǒng)組件和驅(qū)動程序��,如確實需要����,應(yīng)及時評測可能由此帶來的影響�����;如果需要安裝補丁程序����,參考《病毒與補丁安全管理規(guī)定》進(jìn)行安裝�����。8�����、禁止主機系統(tǒng)上開放具有“寫”權(quán)限的共享目錄�,如果確實必要����,優(yōu)先考慮建立FTP站點,緊急情況下可臨時開放��,但要設(shè)置強共享口令�����,并在使用完之后立刻取消共享��;應(yīng)禁止不被系統(tǒng)明確使用的服務(wù)�、協(xié)議和設(shè)備的特性�����,避免使用
7、不安全的服務(wù)��。9��、應(yīng)嚴(yán)格并且合理的分配服務(wù)安裝分區(qū)或者目錄的權(quán)限�,如果可能的話,給每項服務(wù)安裝在獨立分區(qū)���;取消或者修改服務(wù)的banner信息��;避免讓應(yīng)用服務(wù)運行在root或者administrator權(quán)限下���。10、應(yīng)嚴(yán)格控制重要文件的許可權(quán)和擁有權(quán)�����,重要的數(shù)據(jù)應(yīng)當(dāng)加密存放在主機上�����,取消匿名FTP訪問����,并合理使用信任關(guān)系����。11�、應(yīng)對日志功能的啟用、日志記錄的內(nèi)容��、日志的管理形式���、日志的審查分析做出明確的規(guī)定���;對于重要主機系統(tǒng),應(yīng)建立集中的日志管理服務(wù)器����,實現(xiàn)對重要主機系統(tǒng)日志的統(tǒng)一管理,以利于對主機系統(tǒng)日志的審查分析����;應(yīng)保證各設(shè)備
8�、的系統(tǒng)日志處于運行狀態(tài),并定期對日志做一次全面的分析�,對登錄的用戶�����、登錄時間�、所做的配置和操作做檢查����,在發(fā)現(xiàn)有異常的現(xiàn)象時應(yīng)及時向相關(guān)人員報告,日志審核要求詳見《安全審計管理規(guī)定》����。12、應(yīng)及時監(jiān)視����、收集主機設(shè)備操作系統(tǒng)生產(chǎn)廠商公布的軟件以及補丁更新,要求下載補
