ISMS-C-08 技术符合性管理规定-22080 ISO27001体系

记录控制程序文件编号：ISMS-C-02版本：A/0页码：第4页共4页版本更改履历制订/修订审批生效日期A/0编制审核批准日期日期日期分发栏：⑴市场中心⑵项目中心⑶模具中心⑷采购部⑸品质中心⑹货仓课⑺财务部⑻总经办⑼人力资源中心⑽设备课⑾计划部⑾生产中心1.目的为规范公司在信息技术符合性上的控制，特制定本规定。2.范围本规定适用于公司信息系统相关技术措施的选择及控制。3.职责与权限3.1信息管理部负责对公司信息系统技术符合性的管理及协调处理。4.相关文件无5.术语定义无6.管理规定6.1计算机系统6.1.1计算机系统包括服务器(主机)、桌面机的硬件和系统软件。6.1.2计算机系统可采用数据库服务器、应用服务器、桌面工作站三层架构技术，并将服务器的分散管理逐步做到地理集中、物理集中、数据集中的集中式管理，最终实现应用的集中。最大限度地提高系统的可靠性、安全性、可管理性、易维护性和设备利用率。6.1.3根据数据和事务处理能力以及安全可靠性方面的要求，数据库服务器(主机)可选用小型机或高档微机服务器。对重要服务器的选型，均应充分考虑在技术上实现多机的集群功能和在管理上降低运行维护的成本。6.1.4根据应用系统的需要，原则上，应用服务器应选用高档PC服务器，必要时也可选用专用工作站。6.1.5桌面工作站一般选用PC机，操作系统可选Windows系列。对于特殊应用的需要也可选UNIX或Linux工作站。6.2网络系统6.2.1网络系统平台包括网络布线、网络交换机、集线器、路由器等主要设备的硬件和软件。6.2.2网络布线可选用符合EIA/TIA-568、ISO/IEC11801标准要求的国内外公司的产品。一般选用超五类非屏蔽双绞线到桌面和垂直布线，对于距离限制或重要应用场所的垂直布线应考虑采用多模光纤布线，对户外双绞线应布设信息防雷装置。6.2.3信息网络主干层应优先选用千兆以太网技术，主干层交换机优先考虑采用支持标准的多层交换技术，备具有冗余通道。6.2.4网络的工作站接入层优先选用快速以太网交换技术，根据应用业务类型、服务质量要求和网络预算，也可采用以太网的一种技术或几种技术的综合。6.2.5局域网、内部网采用网络交换技术。设备选型应充分考虑网络的安全保密性、可靠性、兼容性、可管理性、可扩展性。例如，为了保证网络的安全性和多应用系统的易管理性，接入层交换机采用支持多虚拟网划分技术和IP地址端口绑定技术。6.3安全系统6.3.1安全问题是企业应用的保证，应采取整体和积极的安全防范策略。安全系统平台包括整个信息系统安全体系所涉及到的硬件和软件。6.3.2整体的安全体系应覆盖OSI的七个层次，通过每个层次的安全措施来保证信息系统的安全。服务器、数据库系统、应用系统的安全平台由这些系统本身提供的安全措施构成。根据网上不同子网的网络性能和不同业务系统和用户具体的安全需求，网络安全平台可采用以下成熟的安全防范技术和产品。a)数据加密传输：支持DES、IDEA、RSA等算法。支持SHTTP、SSL、IPsec等网络安全协议。认证：除身份验证外，对根据需要对关键系统实现数字签名和数字证明。支持采用X.509的数字证书、DSS数字签名标准、Koreros身份认证协议等。b)商用密码管理：系统的数据加密只能使用经国家密码管理部门认可的商用密码产品，不得使用自行研制的或者境外生产的密码产品。任何人不得非法攻击商用密码，不得利用商用密码危害国家的安全和利益、危害社会治安或者进行其他违法犯罪活动的要求。c)存取控制：包括人员限制、数据标识、权限控制、类型控制和风险分析。防火墙：包过滤实现对通过防火墙的IP包地址、TCP/UDP的PortID(端口标识符)及ICMP进行检查。能实现FTP、TELNET、HTTP、SMTP、RLOGIN、SSL、X-WINDOWS等代理服务。虚拟网划分(VLAN)：网络可以针对不同的应用和应用者在应用中的不同角色，进行基于交换机端口、基于协议、基于IP地址、基于MAC地址以及基于策略的VLAN。虚拟专网(VPN)：支持Point-to-PointTunnelingProtocol(PPTP)、Lay2TunnelingProtocol(L2TP)、IPSecurity(IPsec)、Layer2Forwarding(L2F)等几种隧道(Tunnel)方式和PPTP、IPsec、L2TP、L2F等Tunnel协议。d)跟踪审计：实现安全事件记录、攻击监控、检查安全漏洞。e)病毒防治：全面的病毒防治系统，实现实时检测、清除病毒。f)备份和恢复：自动备份和恢复、跨网络备份、提供高速备份能力。6.4应用系统6.4.1应用系统平台包括数据库、WEB服务、电子邮件和文件服务等涉及到的软件。6.4.2大型或关键事务处理(操作型处理)系统的数据库管理系统采用ORACLE公司的产品，中小型或非关键事务处理系统的数据库管理系统可选用Microsoft公司的SQLServer、Access数据库系统。6.4.3电子邮件可采用Microsoft公司的Exchange邮件服务器，或其他邮件系统。6.4.4Web服务器和浏览器可统一采用Microsoft公司的IIS和IE。6.5运行管理6.5.1信息系统运行管理可采取集中管理和分散管理相结合的管理策略。所配置的运行管理系统包括对信息系统各类资源实现有效单点管理和集成管理的硬件和软件。