• 信息安全等级保护之管理要求→系统运维管理→密码管理

    一、要求内容  应建立密码使用管理制度,使用符合国家密码管理规定的密码技术和产品。  二、实施建议  建立密码使用制度,内容应当包括密码的设定要求(长度、复杂度)、修改要求(定期修改)、管理要求(分段管理、密码使用和修改的记录),以及对于特殊密码设备的管理,如令牌、密钥、生物识别设备等。  三、常见问题  某些公司没有建立密码管理的要求。  四、实施难点  无。  五、测评方法  形式 访谈,检查。 对象 安全管理员,密码管理制度。  实施  a) 应访谈安全管理员,询问密码算法和...
      2014-10-30 04:02:28   1782    信息安全
  • 信息安全等级保护之管理要求→系统运维管理→恶意代码防范管理

    一、要求内容  a)应提高所有用户的防病毒意识,及时告知防病毒软件版本,在读取移动存储设备上的数据以及网络上接收文件或邮件之前,先进行病毒检查,对外来计算机或存储设备接入网络系统之前也应进行病毒检查;  b)应指定专人对网络和主机进行恶意代码检测并保存检测记录;  c)应对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等作出明确规定;  d)应定期检查信息系统内各种产品的恶意代码库的升级情况并进行记录,对主机防病毒产品、防病毒网关和邮件防病毒网关上截获的危险病毒或恶意代码进行及时分析处理,并形成书面的报表和总结汇...
      2014-10-30 04:01:53   4916    信息安全
  • 信息安全等级保护之管理要求→系统运维管理→系统安全管理

    一、要求内容  a)应根据业务需求和系统安全分析确定系统的访问控制策略;  b)应定期进行漏洞扫描,对发现的系统安全漏洞及时进行修补;  c)应安装系统的最新补丁程序,在安装系统补丁前,首先在测试环境中测试通过,并对重要文件进行备份后,方可实施系统补丁程序的安装;  d)应建立系统安全管理制度,对系统安全策略、安全配置、日志管理、日常操作流程等方面作出具体规定;  e)应指定专人对系统进行管理,划分系统管理员角色,明确各个角色的权限、责任和风险,权限设定应当遵循最小授权原则;  f)应依据操作手册对系统进行维护,...
      2014-10-30 04:00:53   1557    信息安全
  • 信息安全等级保护之管理要求→系统运维管理→网络安全管理

    一、要求内容  a)应指定专人对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作;  b)应建立网络安全管理制度,对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面作出规定;  c)应根据厂家提供的软件升级版本对网络设备进行更新,并在更新前对现有的重要文件进行备份;  d)应定期对网络系统进行漏洞扫描,对发现的网络系统安全漏洞进行及时的修补;  e)应实现设备的最小服务配置和优化配置,并对配置文件进行定期离线备份;  f)应保证所有与外部系统的连接均得到授权和批准;&n...
      2014-10-30 03:59:25   1551    信息安全
  • 信息安全等级保护之管理要求→系统运维管理→监控管理和安全管理中心

    一、要求内容  a)应对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警,形成记录并妥善保存;  b)应组织相关人员定期对监测和报警记录进行分析、评审,发现可疑行为,形成分析报告,并采取必要的应对措施;  c)应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理。  二、实施建议  通过建立安全运行中心(SOC)来实现集中统一的监控管理功能,SOC的具体功能将可能包括资产管理、安全事件管理、威胁脆弱性管理、安全预警、安全知识管理、监控管理等方面。  ...
      2014-10-30 03:57:37   1131    信息安全
  • 信息安全等级保护之管理要求→系统运维管理→设备管理

    一、要求内容  a)应对信息系统相关的各种设备(包括备份和冗余设备)、线路等指定专门的部门或人员定期进行维护管理;  b)应建立基于申报、审批和专人负责的设备安全管理制度,对信息系统的各种软硬件设备的选型、采购、发放和领用等过程进行规范化管理;  c)应建立配套设施、软硬件维护方面的管理制度,对其维护进行有效的管理,包括明确维护人员的责任、涉外维修和服务的审批、维修过程的监督控制等;  d)应对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理,按操作规程实现设备(包括备份和冗余设备)的启动/停止、...
      2014-10-30 03:56:51   1635    信息安全
  • 信息安全等级保护之管理要求→系统运维管理→介质管理

    一、要求内容  a)应建立介质安全管理制度,对介质的存放环境、使用、维护和销毁等方面作出规定;  b)应确保介质存放在安全的环境中,对各类介质进行控制和保护,实行存储环境专人管理,并根据存档介质的目录清单定期盘点;  c)应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制,并对介质的归档和查询等进行登记记录;  d)应对存储介质的使用过程、送出维修以及销毁等进行严格的管理,重要数据的存储介质带出工作环境必须进行内容加密并进行监控管理,对于需要送出维修或销毁的介质应采用多次读写覆盖、清除敏感或秘密数据、对无法...
      2014-10-30 03:55:44   1889    信息安全
  • 信息安全等级保护之管理要求→系统运维管理→资产管理

    一、要求内容  a)应编制并保存与信息系统相关的资产清单,包括资产责任部门、重要程度和所处位置等内容;  b)应建立资产安全管理制度,规定信息系统资产管理的责任人员或责任部门,并规范资产管理和使用的行为;  c)应根据资产的重要程度对资产进行标识管理,根据资产的价值选择相应的管理措施;  d)应对信息分类与标识方法作出规定,并对信息的使用、传输和存储等进行规范化管理。  二、实施建议  编制各部门的信息资产清单可以了解各部门信息资产的管理情况,同时也是信息资产风险评估的基础,资产清单记录的内容越详细对资产的管...
      2014-10-30 03:54:32   1833    信息安全
  • 信息安全等级保护之管理要求→系统运维管理→环境管理

    一、要求内容  a)应指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理;  b)应指定部门负责机房安全,并配备机房安全管理人员,对机房的出入、服务器的开机或关机等工作进行管理;  c)应建立机房安全管理制度,对有关机房物理访问,物品带进、带出机房和机房环境安全等方面的管理作出规定;  d)应加强对办公环境的保密性管理,规范办公环境人员行为,包括工作人员调离办公室应立即交还该办公室钥匙、不在办公区接待来访人员、工作人员离开座位确保终端计算机退出登录状态和桌面上没有包含敏感信息的纸档文件等;  ...
      2014-10-30 03:53:02   1464    信息安全
  • 信息安全等级保护之管理要求→系统建设管理→安全服务商选择

    一、要求内容  a)应确保安全服务商的选择符合国家的有关规定;  b)应与选定的安全服务商签订与安全相关的协议,明确约定相关责任;  c)应确保选定的安全服务商提供技术培训和服务承诺,必要的与其签订服务合同。  二、实施建议  服务商的选择要从技术资质、财务能力、人员流动情况、行业口碑、行业经验等多方面进行考虑,同时要明确与服务商之间的责任关系。  三、常见问题  大多公司都没有都服务商选择的具体要求,经常是启动一个项目就重新选择一次,没有严格标准可以参考,主要是依靠个人的经验。  四、实施难点&nb...
      2014-10-30 03:51:55   6579    信息安全

联系我们

在线咨询: 点击这里给我发消息

邮件:731000228@qq.com