ISMS-B-2015信息安全管理规范

信息安全管理制度规范目录1信息安全规范.................................................................................................................................................2样式编号ISMS-B-2015编制审核批准密级内部版本V1.0发布日期2015年8月1.1总则..................................................................................................................................................21.2环境管理..........................................................................................................................................21.3资产管理..........................................................................................................................................41.4介质管理..........................................................................................................................................41.5设备管理..........................................................................................................................................51.5.1总则.........................................................................................................................................51.5.2系统主机维护管理办法.........................................................................................................51.5.3涉密计算机安全管理办法.....................................................................................................81.6系统安全管理..................................................................................................................................81.7恶意代码防范管理..........................................................................................................................91.8变更管理..........................................................................................................................................91.9安全事件处置................................................................................................................................101.10监控管理和安全管理中心............................................................................................................101.11数据安全管理................................................................................................................................101.12网络安全管理.................................................................................................................................111.13操作管理........................................................................................................................................131.14安全审计管理办法........................................................................................................................141.15信息系统应急预案........................................................................................................................141.16附表...................................................................................................................错误!未定义书签。1信息安全规范1.1总则第1条为明确岗位职责，规范操作流程，确保公司信息系统的安全，根据《中华人民共和国计算机信息系统安全保护条例》等有关规定，结合公司实际，特制订本制度。第2条信息系统是指由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。第3条信息安全系统遵循安全性、可行性、效率性、可承担性的设计原则，将从物理安全、网络安全、支撑层系统安全、应用层系统安全、数据及资料安全几方面进行部署实施。1.2环境管理第1条信息机房由客户安排指定，但应该满足如下的要求：1、物理位置的选择(G3)序号等级保护要求1机房应选择在具有防震、防风和防雨等能力的建筑内。2机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁,如果不可避免，应采取有效防水措施。2、防雷击(G3)序号等级保护要求1机房建筑应设置避雷装置。2应设置防雷保安器，防止感应雷。3机房应设置交流电源地线。3、防火(G3)序号等级保护要求1机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火。2机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料。3机房应采取区域隔离防火措施，将重要设备与其他设备隔离开。4、防水和防潮(G3)序号等级保护要求1主机房尽量避开水源，与主机房无关的给排水管道不得穿过主机房,与主机房相关的给排水管道必须有可靠的防渗漏措施；2应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。5、防静电(G3)序号等级保护要求1主要设备应采用必要的接地防静电措施。2机房应采用防静电地板。6、温湿度控制(G3)序号等级保护要求1机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。7、电磁防护(S2)序号等级保护要求1应采用接地方式防止外界电磁干扰和设备寄生耦合干扰。2电源线和通信线缆应隔离铺设，避免互相干扰。3应对关键设备和磁介质实施电磁屏蔽。8、物理访问控制(G3)序号等级保护要求1机房各出入口应安排专人值守或配置电子门禁系统，控制、鉴别和记录进入的人员。2需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围。3应对机房划分区域进行管理，区域和区域之间应用物理方式隔断，在重要区域前设置交付或安装等过渡区域；4重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。9、防盗窃和防破坏(G3)序号等级保护要求1应将主要设备放置在机房内。2应将设备或主要部件进行固定，并设置明显的不易除去的标记。3应将通信线缆铺设在隐蔽处，可铺设在地下或管道中。4应对介质分类标识，存储在介质库或档案室中。第2条由客户指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理。第3条出入机房要有登记记录。非机房工作人员不得进入机房。外来人员进机房参观需经保密办批准，并有专人陪同。第4条进入机房人员不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质、食品等对设备正常运行构成威胁的物品。严禁在机房内吸烟。严禁在机房内堆放与工作无关的杂物。第5条机房内应按要求配置足够量的消防器材，并做到三定（定位存放、定期检查、定时更换）。加强防火安全知识教育，做到会使用消防器材。加强电源管理，严禁乱接电线和违章用电。发现火险隐患，及时报告，并采取安全措施。第6条机房应保持整洁有序，地面清洁。设备要排列整齐，布线要正规，仪表要齐备，工具要到位，资料要齐全。机房的门窗不得随意打开。第7条每天上班前和下班后对机房做日常巡检，检查机房环境、电源、设备等并做好相应记录（见表一）。第8条对临时进入机房工作的人员，不再发放门禁卡，在向用户单位保密部门提出申请得到批准后，由安全保密管理员陪同进入机房工作。1.3资产管理第1条编制并保存与信息系统相关的资产清单，包括资产责任部门、重要程度和所处位置等内容。第2条规定信息系统资产管理的责任人员或责任部门，并规范资产管理和使用的行为。第3条根据资产的重要程度对资产进行标识管理。第4条对信息分类与标识方法作出规定，并对信息的使用、传输和存储等进行规范化管理。1.4介质管理第1条建立介质安全管理制度，对介质的存放环境、使用、维护和销毁等方面作出规定。第2条建立移动存储介质安全管理制度，对移动存储介质的使用进行管控。第3条确保介质存放在安全的环境中，对各类介质进行控制和保护，并实行存储环境专人管理。第4条对介质在物理传输过程中的人员选择、打包、交付等情况进行控制，对介质归档和查询等进行登记记录，并根据存档介质的目录清单定期盘点。第5条对存储介质的使用过程、送出维修以及销毁等进行严格的管理，对带出工作环境的存储介质进行内容加密和监控管理，对送出维修或销毁的介质应首先清除介质中的敏感数据，对保密性较高的存储介质未经批准不得自行销毁。第6条根据数据备份的需要对某些介质实行异地存储，存储地的环境要求和管理方法应与本地相同第7条对重要数据或软件采用加密介质存储，并根据所承载数据和软件的重要程度对介质进行分类和标识管理。1.5设备管理1.5.1总则第1条由系统管理员对信息系统相关的各种设备（包括备份和冗余设备）、线路等进行定期维护管理。第2条建立基于申报、审批和