信息系统安全管理规范管理规范

附录17信息系统安全管理规范目录TOC\o"1-3"\u第一章总则 1第二章物理安全管理 1第三章网络系统安全管理 4第四章信息安全管理 6第五章口令管理 8第六章人员组织管理 10网络信息系统的安全管理的最根本核心是人员管理，提高安全意识，行于具体的安全技术工作中。为此，安全的人事组织管理重要基于下列三个原则。 10（一）多人负责 10（二）任期有限 11（三）职责明确 11第七章附则 13

信息系统安全管理规范第一章总则第一条为了确保我司信息系统的安全，根据中华人民共和国有关计算机、网络和信息安全的有关法律、法规和安全规定，结合我司信息系统建设的实际状况，特制订本规定。第二条各单位应据此制订具体的安全管理规定。第三条本规定所指的信息网络系统，是指由计算机（涉及有关和配套设备）为终端设备，运用计算机、通信、网络等技术进行信息采集、解决、存储和传输的设备、技术、管理的组合。第四条本规定合用于我司所属的网络系统、单机，以及下属单位通过其它方式接入到我司网络系统的单机和局域网系统。第五条接入范畴。我司信息系统全网第六条信息网络系统安全的含义是通过多个计算机、网络、密码技术和信息安全技术，在实现网络系统安全的基础上，保护信息在传输、交换和存储过程中的机密性、完整性和真实性。第二章物理安全管理第七条物理安全是指保护计算机网络设施以及其它媒体免遭地震、水灾、火灾等环境事故与人为操作失误或错误，以及计算机犯罪行为而造成的破坏。第八条为了保障信息网络系统的物理安全，对系统所在环境的安全保护，应恪守国标GB50173－93《电子计算机机房设计规范》、国标GB2887－89《计算站场地技术条件》、GB9361－88《计算站场地安全规定》。第九条网络设备、设施应配备对应的安全保障方法，涉及防盗、防毁、防电磁干扰等，并定时或不定时地进行检查。第十条对重要网络设备配备专用电源或电源保护设备，确保其正常运行。第十一条我司信息系统所使用的链路必须符合国家有关的技术原则和规定。第十二条链路安全涉及链路本身的物理安全和链路上所传输的信息的安全。物理安全指链路的物理介质符合国家的技术原则，安装架设符合国家有关建设规范，含有稳定、安全、可靠的使用性。传输信息的安全是指传输不同密级信息的链路采用对应级别的密码技术和设备或其它技术方法，保障所传输信息含有可靠的反截获、反破译和反篡改能力。第十三条链路安全重要采用密码技术，用于传输涉及秘密的链路必须使用获取认证的密码技术和设备。第十四条链路加密方法的申请遵照国家《涉及秘密的通信、办公自动化和计算机信息系统审批暂行方法》执行。第十五条涉密系统单位须根据国家的有关规定和法律法规建立保密管理制度。第十六条客户机的物理安全管理（一）客户机指全部连接到我司信息网络系统的个人计算机、工作站、服务器、网络打印机及多个终端设备；（二）使用人员应爱惜客户机及与之有关的网络连接设备（涉及网卡、网线、集线器、调制解调器等），按规操作，不得对其实施人为损坏；（三）客户机使用人员不得私自更改网络设立，杜绝一切影响网络正常运行的行为发生；（四）网络中的终端计算机在使用完毕后应及时关闭计算机和电源；（五）客户机使用人员不得运用客户机进行违法活动。第十七条紧急状况（一）火灾发生。切断电源，快速报警，根据火情，选择对的的灭火方式灭火；（二）水灾发生。切断电源，快速报告有关部门，尽量地搞清水灾因素，采用关闭阀门、排水、堵漏、防洪等方法；（三）地震发生。切断电源，避免引发短路和火灾；（四）密码设备丢失。根据中办的有关规定解决。第三章网络系统安全管理第十八条网络系统安全的内涵涉及五个方面：机密性：确保信息不暴露给未授权的实体或进程；完整性：未经授权的人不能修改数据，只有得到允许的人才干修改数据，并且能够分辨出被篡改的数据。可用性：得到授权的实体在正当的范畴内能够随时随处访问数据，网络的攻击者不能妨碍网络资源的正当使用。可控性：能够控制授权范畴内的信息流向和行为方式。可审查性：一旦出现安全问题，网络系统能够提供调查的根据和手段。第十九条涉及国家机密、部门敏感信息的局域网的安全原则不得低于中华人民共和国国标《计算机信息系统安全保护等级划分准则》（GB17859-1999）中规定的第二级－系统审计保护级。第二十条根据有关规定以及我国现在的安全技术水平，内部信息网络系统与外部公共信息网络系统必须物理隔离。第二十一条接入INTERNET公共信息网的重要信息网络系统须安装防火墙或其它安全设备。入网的安全设备必须含有国家保密局、公安部、中国国家信息安全测评认证中心的技术鉴定、销售许可和产品评测等资质，并符合国家的有关规定。第二十二条网络管理员应尽量地改善网络系统的安全方略设立，尽量减少安全漏洞。关闭不使用的服务，对不同级别的网络顾客设立对应的资源访问权限。重要网络系统的安全配备应达成中华人民共和国国标《计算机信息系统安全保护等级划分准则》（GB17859-1999）中规定的第二级－系统审计保护级以上。第二十三条网络管理员应当做好系统统计，定时检查，发现问题，及时解决。第二十四条重要的信息网络系统自运行开始必须作好备份与恢复等应急方法，一旦系统出现问题能够及时恢复正常。网络管理员负责网络系统的备份与恢复的技术规划、实施和操作，并作好具体的统计。第二十五条管理员应对操作系统和数据库管理系统中进行系统运行统计（Log）和数据库运行统计（DataBaseLog）的转储保存以备查。第二十六条重要大型数据库必须运行于专门的服务器或工作站上，并异地备份。第二十七条网络安全检测。为使网络长久保持较高的安全水平，网络管理员应当用网络安全检测工具对网络系统进行安全性分析，及时发现并修正存在的安全漏洞。网络管理员在系统检测完毕后，应编写检测报告，需具体记叙检测的对象、手段、成果、建议和实施的补救方法与安全方略。检测报告存入系统档案。第二十八条网络反病毒。病毒的危害性巨大，对系统和信息的破坏程度含有不可测性，计算机顾客和系统管理员应针对具体状况采用防止病毒技术、检测病毒技术和杀毒技术。第四章信息安全管理第二十九条信息安全是指通过多个计算机、网络和密码技术，保护信息在传输、交换和存储过程中的机密性、完整性和真实性。具体涉及下列几个方面。（一）信息解决和传输系统的安全系统管理员应对解决信息的系统进行具体的安全检查和定时维护，避免由于系统崩溃和损坏而对系统内存储、解决和传输的信息造成破坏和损失。（二）信息内容的安全侧重于保护信息的机密性、完整性和真实性。系统管理员应对所负责系统的安全性进行评测，采用技术方法对所发现的漏洞进行补救，避免窃取、冒充信息等。（三）信息传输安全要加强对信息的审查，避免和控制非法、有害的信息通过我部的信息网络系统传输，避免对国家利益、公共利益以及个人利益造成损害。第三十条我司涉及秘密信息的安全工作实施首长负责制。我司所属单位涉及秘密信息的安全工作实施单位一把手负责制。第三十一条信息的内部管理（一）各单位在向部网络系统提交信息前要作好查毒、杀毒工作，确保信息文献无毒上载；（二）根据状况，采用网络病毒监测、查毒、杀毒等技术方法，提高网络的整体抗病毒能力；（三）各应用单位对本单位所负责的信息必须作好备份；（四）各单位应对本单位的信息进行审查，各网站和栏目信息的负责单位必须对所公布信息制订审查制度，对信息来源的正当性，公布范畴，信息栏目维护的负责人等作出明确的规定。信息公布后还要随时检查信息的完整性、正当性；如发现被删改，应及时报告办公厅和信息中心；（五）涉及秘密的信息的存储、传输等应指定专人负责，并严格按照国家有关保密的法律、法规执行；（六）涉及秘密的土地、矿产资源、海洋、测绘等信息，未经所属单位安全主管负责人的同意不得在网络上公布和明码传输；（七）个人计算机中的涉密文献不可设立为共享，个人电子邮件的收发要实施病毒查杀。第三十二条信息加密（一）涉及秘密的信息，其电子文档资料须加密存储；（二）涉及国家和部门利益的敏感信息的电子文档资料应当加密存储；（三）涉及社会安定的敏感信息的电子文档资料应当加密存储；（四）涉及秘密、国家与部门利益和社会安定的秘密信息和敏感信息在传输过程中视状况及国家的有关规定采用文献加密传输或链路传输加密。第三十三条任何单位和个人不得从事下列活动：（一）运用信息网络系统制作、传输、复制有害信息；（二）入侵别人计算机；（三）未经允许使用别人在信息网络系统中未公开的信息；（四）未经授权对信息网络系统中存储、解决或传输的信息（涉及系统文献和应用程序）进行增加、修改、复制和删除等；（五）未经授权查阅别人邮件；（六）盗用别人名义发送电子邮件；（七）故意干扰网络的畅通运行；（八）从事其它危害信息网络系统安全的活动。第五章口令管理第三十四条含有口令功效的计算机、网络设备等系统解决秘密信息，必须使用口令对顾客的身份进行验证和确认。对于重要网络系统，使用单位要有专职或兼职系统保密员，负责日常的口令管理工作。第三十五条系统保密员负责给新增加的顾客分派初始口令；指导顾客对的使用口令；检查顾客使用口令状况；协助顾客启动被锁定的口令，对非法操作及时查明因素；解决口令使用过程中出现的问题；协助顾客保护秘密不受侵害；定时向主管领导和单位保密机构报告口令使用状况和需要解决的问题。第三十六条定时更换口令。口令的最长使用时间不能超出六个月，在涉密较多、人员复杂、保密条件较差的地方应尽量缩短口令的使用时间。当口令使用期满时，应更换新的口令。第三十七条系统保密员必须有能力更改口令。当口令使用期满、被其别人知悉或认为口令不保密时，系统保密员可按照口令更改程序变换口令。口令更换操作应在保密条件下进行。第三十八条对口令数据库的访问和存取必须加以控制，以避免口令被非法修改或泄露。当系统提供的访问和存取控制机制不够完善时或机制即使完善，但可能出现系统转储等状况时，应对存储的口令加密。第三十九条口令的密级与系统解决秘密信息的密级相似。根据《涉及秘密的通信、办公自动化和计算机信息系统审批暂行方法》第十七条的规定，涉密系统的身份认证应当符合下列规定：（一）口令应当由系统安全保密管理人员集中产生供顾客选用，并有口令更换统计，不得由顾客产生；（二）解决秘密级信息的系统口令长度不得少于六个字符，口令更换周期不得长于一种月；解决机密级信息的系统，口令长度不得少于八个字符，口令更换周期不得长于一周；解决绝密级信息的系统，应当采用一次性口令或生理特性等强认证方法；（三）口令必须加密存储，并且确保口令寄存载体的物理安全；（四）口令在网络中必须加密传输。第四十条顾客应记住自己的口令，不应把它记载在不保密的媒介物上，严禁将口令贴在终端上。输入的口令不应显示在显示终端上。第六章人员组织管理第四十一条安全的人员组织管理原则网络信息系统的安全管理的最根本核心是人员管理，提高安全意识，行于具体的安全技术工作中。为此，安全的人事组织管理重要基于下列三个原则。（一）多人负责每一项与安全有关的活动，都必须有两人或多人在场。这些人应是系统主管领导指派的，工作认真可靠，能胜任此项工作；他们应当订立工作状况统计以证明安全工作已得到保障。负责的安全活动范畴涉及：1.访问控制使用证件的发放与回收；2.信息解决系统使用的媒介发放与回收；3.解决保密信息；4.硬件和软件的维护；5.系统软件的设计、实现和修改；6.重要程序和数据的删除和销毁等。（二）任期有限任何人最佳不要长久担任与安全有关的职务，遵照任期有限原则，工作人员应不定时地循环任职，并规定对工作人员进行轮流培训，以使任期有限制度切实可行。（三）职责明确在信息解决系统工作的人员不要探询、理解或参加职责以外的任何与安全有关的事情，除非系统主管领导同意。出于对安全的考虑，下面每组内的两项信息解决工作应当尽量分开。1.系统管理与计算机编程；2.机密资料的接受和传送；3.安全管理和系统管理；4.访问证件的管理与其它工作；5.计算机操作与信息解决系统使用媒介的保管等。第四十二条安全的人事组织管理的实现信息系统的安全管理部门应根据管理原则和该系统解决数据的保密性，制订对应的管理制度或采用对应的规范。具体工作是：（一）根据工作的重要程度，拟定该系统的安全等级；（二）根据拟定的安全等级，拟定安全管理的范畴；（三）制订对应的机房出入管理制度；对于安全等级规定较高的系统，要实施分区控制，限制工作人员出入与己无关的区域。出入管理可采用证件识别或安装自动识别登记系统，采用磁卡、身份卡等手段，对人员进行识别、登记和管理。（四）制订严格