系统安全管理规章制度(供参考)

1××系统安全管理制度文档编号版本号1.0日期2013.052文档控制拟制:审核:责任人:文档修改记录修改日期修改人修改内容简述版本号2013年5月制订1.03目录1目的........................................................................................................................12范围........................................................................................................................13流程........................................................................................................................13.1物理环境安全管理.......................................................................................................13.2信息资产安全管理.......................................................................................................13.2.1资产安全管理...................................................................................................13.2.2数据安全管理...................................................................................................13.2.3风险评估...........................................................................................................23.3安全访问控制管理.......................................................................................................23.4系统开发安全管理.......................................................................................................23.5日常运营安全管理.......................................................................................................33.5.1防病毒管理.......................................................................................................33.5.2防火墙管理.......................................................................................................43.5.3入侵检测及防护管理.......................................................................................43.5.4安全补丁管理...................................................................................................43.5.5安全评估与加固管理.......................................................................................53.5.6终端安全管理...................................................................................................63.5.7备份管理...........................................................................................................6安全管理的审计稽核...............................................................................................................63.6安全管理衡量指标.......................................................................................................74附加说明................................................................................................................811目的为了保护××基础设施和关键业务信息安全，防止未经授权的访问，确保信息系统的机密性、完整性和可用性，特制定本管理办法。2范围本办法适用于××网络中运行的各类系统，以及承载上述应用系统的主机、数据库、中间件、网络设备、安全设备等组成的IT基础设施。3流程3.1物理环境安全管理3.1.1物理环境安全的目的是保护信息系统的服务器、网络设备、存储设备、终端等基础设施免受非法的物理访问，避免自然灾害和环境危害。3.1.2关键或敏感的网络与信息处理设施应被放置在安全区域内，由指定的安全边界予以保护。根据不同的安全需求等级，划分不同的安全区域。3.1.3系统生产机房的安全管理包括机房环境要求、机房门禁及出入管理、机房保密要求、机房值班人员管理要求。3.2信息资产安全管理3.2.1资产安全管理信息资产安全的目的是以可以接受的成本，确认、控制、排除可能影响信息资产的安全风险或将其带来的危害最小化。系统信息资产安全的主要内容包括安全管理和风险评估。3.2.2数据安全管理3.2.2.1数据安全管理的目的是加强××系统数据安全保护，规范相关的开发、运维、使用和审计流程，对数据泄漏及篡改做到事前预防、事中控制和事后审计，确保客户和企业经营核心数据的高机密性。3.2.2.2数据安全管理主要包括数据安全分级标准、保护标准、2安全保护方案的制定和部署、访问控制和使用规定。3.2.3风险评估3.2.3.1风险评估的目的是通过对IT系统的安全状况进行评估，及时发现风险，并提出防范建议。3.2.3.2安全管理员根据管理需要，组织第三方人员进行风险评估，提交风险评估报告，提出风险防范控制建议。3.2.3.3安全管理员应组织相关人员对风险评估报告进行评审，确定需执行的防范措施。防范措施的落实情况应做为下一次的风险评估的重点内容之一。3.2.3.4风险评估应至少每年进行一次。3.3安全访问控制管理3.3.1安全访问控制是指基于业务系统的安全需求对系统和数据的访问进行控制，包括限制访问权限与能力，限制使用网络与相关系统及存储数据的过程，包括××业务系统的接入管理，系统帐号口令和权限管理。3.3.2接入管理的目的是防范系统及终端的接入变更给生产环境带来的风险，规范访问资源的行为，确保信息网络安全。主要包括接入和退网的流程规范要求。3.3.3帐号口令和权限管理的目的是保证各个系统的帐号、口令和权限的合理分配和安全管理，降低由于盗用、滥用、越权等威胁带来的风险，切实保护公司和客户权益。主要包括密码口令管理规则、各级帐号的申请、审批、取消流程。3.4系统开发安全管理3.4.1系统开发安全是指在系统开发设计、实施、优化和验收时充分考虑安全性和安全需求，确保整个应用程序系统的可靠性和稳定性，降低系统崩溃对重要数据造成的影响。3.4.2系统开发设计需遵循安全技术规范，包括《××安全技术规范》。33.4.3项目集成规范评审及设计评审阶段，安全管理员必须组织进行安全相关评审，未达到安全技术规范要求的项目，由集成商和软件开发商进行整改，直至达到要求。3.4.4应用系统开发任务外包给第三方时，应将安全要求在双方认可的合同或协议中给予明确规定。3.4.5在系统开发过程中要求开发设施、测试设施与实际生产设施的分离，防止开发人员和测试人员对生产设施构成安全威胁，防止开发人员对程序进行恶意或非恶意的破坏。3.4.6系统在正式上线前应进行安全评估测试，验证应用系统是否满足安全技术规范要求，不满足安全要求则不允许上线。3.4.7系统在正式上线后应进行WEB安全扫描，根据扫描结果组织安全加固。3.4.8针对系统上线前后安全评估发现的问题，根据相关管理办法进行考核。3.4.9在系统开发和维护阶段要对程序源代码进行严格的安全控制，包括访问控制和变更控制，开发设计相关的文档及程序代码作为公司的商业机密，未经公司认可不得对外泄漏。3.5日常运营安全管理3.5.1防病毒管理3.5.1.1安全管理员负责建立集中管理的防病毒体系，××业务系统接入设备统一部署客户端的防病毒软件；3.5.1.2安全维护员检查全省所有防病毒服务器的运行状态和升级病毒代码库，发布病毒预警通知和执行防范措施；3.5.1.3安全维护员审计防病毒日志，对终端防病毒情况进行分析、处理和考核，并将防病毒考核结果提交安全管理员，由安全管理员分析确定；3.5.1.4安全管理员在评估防病毒产品新版本可靠性和风险后，4组织和安排相关人员及时完成公司防病毒服务器的软件升级；3.5.1.5系统管理员配合安全维护员完成防病毒软件的安装和病毒的查杀。3.5.2防火墙管理3.5.2.1安全管理员负责防火墙部署方案的设计及防火墙策略的管理；3.5.2.2安全维护员负责防火墙设备的日常维护及防火墙策略的配置；3.5.2.3防火墙策略变更需通过变更流程执行，经安全管理员审批后，由安全维护员完成配置，并及时更新防火墙策略文档；3.5.2.4安全管理员每月审核防火墙策略，定期组织不符合安全域管理的策略进行评审，制定改进计划并督促改进，对无法进行整改的策略明确说明理由，提交安全负责人审核。3.5.2.5安全维护员每月分析防火墙安全日志，提交安全事件分析报告，由安全管理员审核。3.5.3入侵检测及防护管理3.5.3.1安全维护员实时监控入侵检测及防护系统的报警信息，发现问题及时进行分析处理；3.5.3.2安全维护员应整理入侵检测特征库的发布信息，提交安全管理员确认，如需更新，由安全管理员负责部署入侵检测特征库升级的实施；3.5.3.3安全维护员每月提交入侵检测事件分析报告，安全管理员根据报告制定策略调整方案并安排部署实施。3.5.4安全补丁管理3.5.4.1安全补丁等级原则上可分为三级：紧急、重要、一般，53.5.4.2安全维护员负责补丁管理系统的维护。3.5.4.3安全管理员和系统管理员进行核实，确认需要加载的补丁，系统管理员进行补丁加载，安全维护员进行核查和结果通报。3.5.5安全评估与加固管理安全评估与加固包括新入网设备安全评估与加固和在线系统例行安全评估和加固两种：