信息安全管理制度信息框架及管理规定

信息安全框架及管理规定第一章 资源界定第1条 业务系统信息安全包括托管在联通机房的所有服务器、网络线路、网络设备、 安装在服务器上的操作系统、业务系统、应用系统、软件、网络设备上的OS、配置等软硬件设施第2条 任何人未经允许不得对业务系统所包含的软硬件进行包括访问，探测，利用，更改等操作第二章 网络管理第1条 网络结构安全管理1 网络物理结构和逻辑结构定期更新，拓扑结构图上应包含IP地址，网络设备名称，专线供应商名称及联系方式，专线带宽等，并妥善保存，未经许可不得对网络结构进行修改2 网络结构必须严格保密，禁止泄漏网络结构相关信息3 网络结构的改变，必须提交更改预案，并经过信息总监的批准方可进行 第2条 网络访问控制1 网络访问控制列表包括ASA5510和联想网御的ACL2 妥善保管现有的网络访问控制列表，其中应包含网络设备及型号，网络设备的管理IP，当前的ACL列表，更新列表的时间，更新的内容等3 定期检查网络访问控制列表与业务需求是否一致，如不一致，申请更新ACL4 未经许可不得进行ACL相关的任何修改5 更新ACL时，必须备份原有ACL，以防误操作6 ACL配置完成以后，必须测试7 禁止泄漏任何ACL配置第3条 网络设备安全1 妥善保管现有网络设备清单，包括供应商及联系人信息，设备型号，IP地址，系统版本，设备当前配置清单2 定期检查设备配置是否与业务需求相符，如有不符，申请更新配置3 配置网络设备时，必须备份原有配置，以防误操作4 配置完成之后，必须进行全面测试5 禁止在网络设备上进行与工作无关的任何测试6 未经许可不得进行任何配置修改7 禁止泄漏网络设备配置第4条 IP地址管理1 妥善保管现有IP地址清单，其中应包含服务器型号，操作系统版本，是否支持远程登录及远程登录方式，IP地址，子网掩码，网关，dns信息2 实时更新IP地址清单，并制定检查计划，如有多余的IP，及时清理和更新3 禁止泄漏IP地址清单第三章 操作系统管理第1条 操作系统安装运行及更新1 操作系统安装过程必须遵循操作系统安装部署规定2 不得安装与业务系统无关的其他系统功能和服务3 定期检查操作系统的端口开放情况，并维护操作系统端口开放列表，制定定期检查端口计划4 系统安装完成后加入域，并登录域检查服务启动情况，并进行必要的授权5 安装完成后必须完成补丁的安装6 操作系统的重要补丁应及时更新，其他补丁可定期更新7 禁止泄漏操作系统版本及相关任何信息第2条 应用软件更新1 维护应用软件的安装列表，列表中应包含，IP地址，应用软件名称，版本，更新网址，安装时间，异常记录和更新记录2 制定定期扫描应用软件的版本更新的时间计划3 在不影响业务系统的情况下，及时更新应用软件版本4 对应用软件的更新做好记录第3条 域帐号和系统权限管理1 维护域帐号及每台系统的权限清单，其中应包含IP，操作系统版本，系统帐号及权限分配，安全组2 制定定期检查域帐号计划，以保证及时做到帐号在系统中的权限是最新的3 禁止泄漏域帐号信息4 每个用户只能使用自己的帐号，如需权限，填写申请表5 每个系统需维护3个系统管理组：moniter、log、backup第4条 系统操作日志和登录日志审计1 制定计划定期检查系统日志是否正常工作，日志审核是否开启2 检查日志容量大小，是否需要增加容量3 定期备份日志，并记录备份时间4 维护和更新日志检查和备份清单5 禁止泄漏日志信息第四章 业务系统管理第1条 业务系统的运行管理1 建立并维护业务系统运行清单，其中应包含操作系统版本，IP地址，业务系统及版本，业务系统供应商及联系方式，异常记录，更新记录，检查记录2 制定计划对业务系统的健康检查3 及时报告业务系统存在的任何异常情况，并记录4 禁止泄漏任何业务系统相关信息第2条 业务系统日志管理1 开启业务系统的日志2 制定计划定期检查业务系统的日志3 制定计划定期备份业务系统的日志4 分析业务系统的日志，并及时报告5 禁止泄漏日志信息第3条 业务系统帐号及权限管理1 维护业务系统帐号及权限列表，其中应包括操作系统版本，IP地址，业务系统版本，帐号，权限及帐号和权限变更记录2 制定计划定期检查帐号与业务需求是否匹配3 对异常情况及时报告第4条 机密文件及数据管理1 文件管理分为3个等级，秘密、机密、绝密2 秘密级别的采用权限管理的方式3 机密级别的采用加密方式管理4 绝密级别的采用加密和离线并行的方式管理，比如使用加密U盘5 定期做好备份，每个人的机密数据自己负责备份，部门的机密数据由部门负责人指定人员备份第5条 业务系统版本更新1 对业务系统的版本定期进行检查，与供应商定期沟通是否有新版本需要更新2 更新版本前做好备份，并测试备份的可用性和可靠性3 完成版本备份后应全面测试新版本的安全可靠和稳定，并密切关注新版本的运行情况第五章 服务器管理第1条 服务器性能1 监控服务器性能，并分析制约服务器性能的瓶颈2 对服务器硬盘、cpu或内存的使用率超过80%并持续半个小时以上，必须向信息总监汇报3 对服务器性能状态进行记录，并保存至少一个月第2条 服务器保修及售后服务 1 维护和更新服务器清单，其中应包含服务器型号，供应商及其联系方式，采购时间，维修记录，更换零部件记录，IP地址，业务系统等2 制定服务器检查计划，对超过5年的服务器应缩短硬盘和数据的备份时间间隔第六章 备份和恢复管理第1条 备份软件和媒介管理1 备份软件及相关license应妥善保管2 对备份软件的操作应形成文档3 对备份的媒介应选择安全性高的场所保存，比如银行，保险箱等第2条 备份系统状态、日志、数据库 1 制定备份计划，并选择在业务相对空闲时进行备份2 对备份的命名应严格按照既定的命名规则，以防恢复出错3 备份完成后及时检查备份日志是否健康，备份是否成功4 对异常情况进行记录5 维护备份列表第3条 数据恢复管理1 备份完成后，测试数据备份的可靠性2 恢复数据测试，并及时查看恢复日志3 对异常情况进行记录第七章 远程访问管理第1条 远程访问的方式 1 远程访问必须采用加密方式，如ssh和vpn2 如发现有其他方式被允许或可能被允许登录，必须第一时间向信息总监报告第2条 远程访问管理 1 通过Key或者数字证书进行身份验证2 定期检查和核实登录权限的分配是否与业务需求和系统管理相符3 维护远程访问帐号列表第八章 变更管理第1条 鉴定和记录重大变更1 鉴定变更的重要性，是否影响业务，是否需要供应商支持，是否有技术难点，是否有遗留问题2 记录重大变更，包括变更内容，变更背景，操作人，责任人，影响，恢复时间，是否成功，是否有遗留问题，是否有供应商支持，联系方式等3 变更完成后，形成变更文档，技术相关文档，以备类似变更的借鉴第2条 计划和测试变更1 计划变更的时间，预估变更的操作时间和结束时间2 制定变更预案，操作步骤3 对变更进行测试第3条 变更的流程1 制定变更的流程，包括审批流程，操作流程，变更结果报告第4条 变更失败的回退流程1 制定变更失败的回退流程，从失败的变更和不可预见的事故中恢复第九章 突发事故管理第1条 报告信息安全事故1 建立报告流程，应包括处理人，所有采取的行动，恢复完成后的反馈，时间记录等第2条 突发事故中采取的行为1 注意到所有的现场相关细节，并记录2 不采取自己的任何行动，但立即汇报给信息总监第3条 收集突发事故的数据，日志，证据1 保存所有有关的日志数据等证据2 根据日志进行内部问题分析3 根据分析结果采取必要措施，以改进和规范系统的运行，以防止再次发生第4条 恢复业务1 采取行动，恢复安全漏洞和系统故障，并审查业务恢复情况2 确认和测试业务系统的完整性第十章 权限管理第1条 管理所有密码，汇总