第一篇:涉密計算機審計報告
涉密計算機安全保密審計報告
一. 涉密計算機概況
涉密機臺數:3
涉密機編號:
位置:
二. 安全審計策略
(1)一般審計日志項目:
a.授權訪問的細節(用戶ID、日期、訪問的文件、使用的工具)。b.所有特殊權限操作。
c.未授權的訪問嘗試。
d.系統故障及其處置。
e.防護系統的激活和停用。
f.涉密機管理員的活動日志。包括:事件(成功的或失敗的)發生的時間、關于事件(例如處理的文件)或故障(發生的差錯和采取的糾正措施)的信息、涉及的帳號和管理員或操作員、涉及的過程
(2)日志保留要求:
保留前所有的日志記錄。
(3)日志保護要求:
應保護日志信息,以防止篡改和未授權的訪問,避免導致錯誤的安全判斷。
a.應向信息系統日志管理員溝通日志保護的重要性,日志管理的紀
律。
b.應定期評審日志管理員的工作,必要時進行調整。
c.設定合理的日志文件介質存儲能力的界限,避免不能記錄事件或過
去記錄事件被覆蓋。
(4)故障日志處置要求:
a.涉密機管理員負責記錄與信息處理或通信系統的問題有關的用戶
或系統程序所報告的故障。
b.涉密機管理員負責分析故障日志,提出糾正和糾正措施的建議。
c.涉密機管理員實施糾正和糾正措施。
(5)時鐘同步要求:
確保所有信息處理設施的時鐘與本地標準時間保持同步。涉密機管理員負責每月校驗和校準一次時鐘。
(6)定期監視評審的安排:保密辦應當組織分析涉密機審計事件、異常事
件和行為,依據安全審計策略,每隔3個月,編制《涉密計算機安全保密審計報告》
a.監視評審組:由總經理確定。
三. 審計事件分析
各個用戶訪問的情況:ID、日期、訪問的文件、使用的工具。
所有特殊權限操作:
未授權的訪問嘗試:
系統故障及其處置:
防護系統的激活和停用:
系統管理員和系統操作員的活動日志:
四. 異常事件和行為分析
無異常情況。
五. 結論
涉密機管理規范,運行正常,維護到位。
簽字:
日期:
第二篇:計算機涉密自查報告
定西市安定區永定路小學
關于切實加強計算機、移動存儲介質及國家秘密載體
保密管理工作的自查報告
按照安定區教育體育局《關于切實加強計算機、移動存儲介質及國家秘密載體保密管理的通知》(安教發【2011】384號)文件精神,我校嚴格按文件要求對學校的計算機保密工作進行了自查,特匯報如下:
一、高度重視
作為教育機構,我校把保密工作作為一項重要工作常抓不懈。明確了保密工作的領導機構和人員,成立了由校長劉建國任組長,書記郭天寶、副校長王旭東、辦公室主任爨曉平等為成員的安全保衛保密工作領導小組,制定了《永定路小學涉密計算機及網絡管理制度》并且落實了保密工作崗位負責制。做到了保密工作機構、人員、職責、制度“四落實”。
二、計算機保密管理現狀
我校共有非涉密計算機8臺。所有電腦都配備了殺毒軟件,能定期殺毒與升級。對于非涉密單機的管理,都設置了開機密碼,并能作到定期更換,同時明確非涉密單機不得處理涉密信息。對于計算機存儲介質(U盤、移動硬盤等)的管理,采取專人保管、涉密文件單獨存放,嚴禁攜帶存有涉密內容的磁介質到上網的計算機上加工、貯存、傳遞處理文件。
到目前為止,我校未發生一起計算機泄密事故。
三、計算機保密工作落實情況
(一)以宣傳教育為主導,強化保密意識 為加強計算機及其網絡的保密管理,防止計算機及其網絡泄密事件發生,確保國家秘密信息安全,在計算機網絡管理人員以及操作計算機的領導干部、涉密人員中強化計算機保密安全意識,我校采取多種方式,多渠道對計算機保密相關人員進行宣傳教育。一是將《計算機及其網絡保密管理規定》予以轉發至各辦公室,要求結合實際,認真組織學習,并抓好貫徹落實。二是進行警示教育。
(二)以制度建設為保障,嚴格規范管理
加強制度建設,是做好計算機保密管理的保障。為了構筑科學嚴密的制度防范體系,不斷完善各項規章制度,規范計算機及其網絡的保密管理,我校主要采取了以下幾項措施:一是認真貫徹執行上級保密部門文件的有關項規定和要求,不斷增強依法做好計算機保密管理的能力;二是制定《永定路小學涉密計算機及網絡管理制度》;三是嚴格涉密信息流轉的規范性,彌補管理上存在的空擋;四是針對信息發布中存在的不規范等問題,及時制定涉密信息發布審查制度,要求對上網信息嚴格審查、嚴格控制、嚴格把關,從制度上杜絕泄密隱患,做到“上網信息不涉密、涉密信息不上網”。
(三)以督促檢查為手段,堵塞管理漏洞
為了確保計算機及其網絡保密管理工作各項規章制度的落實,及時發現計算機保密工作中存在的泄密隱患,堵塞管理漏洞,我校十分重視對計算機及其網絡保密工作的督促檢查,采取自查與抽查相結合,常規檢查與重點檢查相結合,定期檢查與突擊檢查相結合等方式,對計算機及其網絡管理制度的落實情況、涉密網絡的建設和使用情況以及涉密計算機、涉密網絡采取的管理和防范措施的落實情況進行檢查。今年以來,我校對計算機及其網絡的情況進行了一次全面檢查,通過檢查,查找計算機保密工作中存在的管理漏洞,并整改到位。
通過自查,我校的計算機保密工作能做到制度到位、管理到位、檢查到位,但也存在一定的問題,主要是計算機防范技術有待學習提高。
二〇一一年十月十九日
第三篇:非涉密計算機自查報告
XXXXXXXXXXXXXXXX 關于非涉密辦公電腦是否處理密件的
自查報告
為更好地做好保密工作,杜絕非涉密辦公電腦處理密件的行為,根據XXXXX要求,我局圍繞非涉密計算機、移動存儲介質、辦公網絡使用情況等進行了自查。現將有關情況匯報如下:
一、對局內所有辦公電腦、移動存儲介質和網絡進行全面檢查。局內X臺辦公電腦,均未發現非涉密計算機在連接互聯網的計算機中制作、存儲、傳遞和處理涉密文件、信息以及機關內部資料的行為;未感染木馬病毒;未安裝無線網卡等設備;未使用非涉密移動存儲介質;無違規上國際互聯網及其他公共信息網的記錄。安全情況良好。
二、加強保密工作培訓,提高保密工作意識。為提高全局領導干部的保密工作意識,提高保密工作能力,組織大家認真學習了《國家保密法》、《中華人民共和國保守國家秘密法實施辦法》等法律法規。組織全局領導干部認真觀看警示教育影片,使大家進一步認識到了泄密事件造成的嚴重后果,從而自覺維護國家安全和利益。
XXXXXXXXXXXXX
XX年XX月XX日
第四篇:涉密計算機管理規定(范文)
天津開發區管委會涉密計算機及涉密網絡保密管理
規定
第一條 為加強天津開發區管委會涉密計算機及涉密網絡的管理,保障辦公使用過程中國家秘密的安全,避免計算機病毒等非法入侵,根據《中華人民共和國保守國家秘密法》、國家保密局《計算機信息系統保密管理暫行規定》、《計算機信息系統國際互聯網保密管理規定》及天津市有關規定,結合開發區實際,制定本規定。
第二條 本規定所稱的涉密計算機及涉密網絡是指處理、存儲和傳輸涉密信息的單機、筆記本電腦、涉密信息系統及涉密網絡等。
第三條 本規定適用于天津開發區管委會(黨組)各部門、各單位,各直屬事業單位、有關事業單位及直屬企業(以下簡稱各部門、各單位)。
第四條 開發區管委會(黨組)辦公室對本規定第三條所指各部門、各單位執行本規定負有指導、監督、檢查職責。各部門、各單位主要領導,對本部門、本單位執行本規定負有指導、監督、檢查職責。
第五條 涉密計算機投入使用前,要進行必要的安全檢查,不允許進行各種形式的有線及無線的網絡連接,不允許使用無線功能的鍵盤鼠標進行操作。
第六條 涉密計算機應為專人專用,用戶應定期修改機器登錄密碼,密碼要求8位以上并有英文大小寫和數字的混排。
第七條 涉密網絡由各單位指派專人負責接入管理,不允許私自將筆記本電腦、小交換機、無線設備接入涉密網點。
第八條 涉密網絡需要使用移動介質前,應先檢查移動介質是否存在病毒、木馬等惡意程序。
第九條 涉密人員因工作變化、調動等原因需要開始或停止使用涉密計算機及涉密網絡的,所在部門應備案登記,并提交書面申請由領導批準后再由網絡管理人員開通或關閉相應權限。
第十條 涉密計算機及涉密網絡所在的場所,必須采取必要的安全防護措施,安裝防盜門和報警器及監控設備等必要措施,并指定專人進行日常管理,嚴禁無關人員進入該場所。
第十一條 涉密計算機及涉密網絡設備需要維修的,必須到天津市保密局指定的維修單位維修。涉密計算機等設備送修前必須將涉密存儲部件拆除并妥善保管;如需請外來人員維修,單位應派人全程監督修理過程。涉密存儲部件出現故障,如不能保證安全保密,必須按涉密載體予以銷毀。
第十二條 涉密計算機如需恢復其存儲信息,必須到天津市保密局指定的具有保密資質的單位進行處理,并將廢舊的存儲介質收回。
第十三條 禁止將涉密計算機轉為非涉密環境使用,禁止進行公益捐贈或銷售。
第十四條 報廢、銷毀涉密設備應當嚴格履行審批、清點、登記手續,送至市保密局指定的銷毀單位銷毀,任何單位和個人不得擅自銷毀。
第十五條 管理人員違反本規定,情節較輕的,應責令改正,給予批評教育;情節嚴重,造成泄露機密的,按照有關保密規定給予責任人行政或黨紀處分;構成犯罪的,移交司法機關,依法追究刑事責任。
第十六條 本規定由開發區管委會(黨組)辦公室負責解釋,自印發之日起實施。各部門、各單位內部相關規定與本規定不一致的,以本規定為準。
第五篇:涉密計算機及信息系統安全策略
涉密計算機及信息系統安全策略文件 概述
涉密計算機及信息系統安全策略文件屬于頂層的管理文檔,是公司網絡與信息安全保障工作的出發點和核心,是公司計算機與信息系統安全管理和技術措施實施的指導性文件。涉密計算機及信息系統安全策略文件是公司計算機和信息系統全體管理和使用人員必須遵循的信息安全行為準則,由公司信息安全管理部門制訂及解釋,由公司保密委員會審批發布,并由信息安全管理部門組織公司全體人員學習與貫徹。
公司涉密計算機及信息系統涉及到存儲、傳輸、處理國家秘密、公司商業秘密和業務關鍵信息,關系到公司的形象和公司業務的持續運行,必須保證其安全。因此,必須從技術、管理、運行等方面制定確保涉密計算機和信息系統持續可靠運行的安全策略,做好安全保障。
本策略文件主要內容包括:物理安全策略、信息安全策略、運行管理策略、備份與恢復策略、應急計劃和響應策略、計算機病毒與惡意代碼防護策略、身份鑒別策略、訪問控制策略、信息完整性保護策略、安全審計策略等十個方面。2 適用范圍
2.1本策略所稱的涉密計算機和信息系統指公司所有通過計算機及信息系統存貯、處理或傳輸的信息及存貯、處理或傳輸這些信息的硬件、軟件及固件。
2.2本策略適用于與公司涉密計算機及信息系統相關的所有部門及人員。3 目標
制定涉密計算機及信息系統安全策略的目標就是確保公司掌握的國家秘密、公司商業秘密和業務關鍵信息的安全性,并通過一系列預防措施將信息安全可能受到的危害降到最低。信息安全管理應在確保信息和計算機受到保護的同時,確保計算機和信息系統能夠在允許的范圍內正常運行使用。
同時,本策略的目的也是讓所有員工能夠了解信息安全問題以及明確各自的信息安全職責,嚴格遵守本安全策略,并遵守國家相關的計算機或信息安全法律要求。4 組織 4.1保密委員會是計算機及信息系統安全管理的領導機關,負責領導信息安全管理體系的建立和信息安全管理的實施,主要包括:
? 提供清晰的指導方向,可見的管理支持,明確的信息安全職責授權; ? 審查、批準信息安全策略和崗位職責; ? 審查業務關鍵安全事件;
? 批準增強信息安全保障能力的關鍵措施和機制;
? 保證必要的資源分配,以實現數據有效性以及信息安全管理體系的持續發展。
4.2信息安全管理部門具體負責建立和維持信息安全管理體系,協調相關活動,主要承擔如下職責:
? 調整并制定所有必要的信息安全管理規程、制度以及實施指南等; ? 提議并配合執行信息安全相關的實施方法和程序,如風險評估、信息管理分層等;
? 主動采取部門內的信息安全措施,如安全意識培訓及教育等; ? 配合執行新系統或服務的特殊信息安全措施; ? 審查對信息安全策略的遵循性; ? 配合并參與安全評估事項;
? 根據信息安全管理體系的要求,定期向上級主管領導和保密委員會報告。分層管理與控制
5.1公司計算機及信息系統管理分為涉密計算機管理、內部網絡(局域網)及計算機信息管理、互聯網計算機信息管理三個管理層次。
5.2 涉密計算機只能處理涉及國家秘密的信息,實行物理隔離管理,只能由公司涉密人員使用,由公司保密員管理。涉密計算機信息數據必須被保護以防止被泄漏、破壞或修改。
5.3 內部網絡(局域網)及計算機配置加密管理措施,與互聯網隔離,配置保密管理措施,只能通過局域網傳輸、儲存技術文檔、軟件等涉及公司商業機密信息。上述信息必須定期備份進行保護,以免破壞和非授權修改。
5.4 互聯網計算機主要處理來自于外部資源的普通信息,配置上網行為管理 2 措施,同樣在信息安全防護上進行安全考慮。
5.5上述計算機及信息系統根據分層次管理的要求應當依據其分類進行物理標記。
物理安全策略
6.4信息處理設備可接受的使用策略
公司禁止工作人員濫用計算機及信息系統的計算機資源,僅為工作人員提供工作所需的信息處理設備。公司所有人員對系統網絡和計算資源的使用(包括訪問互聯網)都必須遵守計算機及信息系統的安全策略和標準及所有適用的法律。
公司的計算機及信息系統應能防止使用人員連接到訪問含有色情、種族歧視及其他不良內容的網站及某些非業務網站。
包括但不限于以下例子是不可接受的使用行為:
? 使用信息系統資源故意從事影響他人工作和生活的行為。
? 工作人員通過信息系統的網絡服務及設備傳輸、存儲任何非法的、有威脅的、濫用的材料。
? 任何工作人員使用信息系統的計算機工具、設備和互聯網訪問服務來從事用于個人獲益的商業活動(如炒股)。
? 工作人員使用信息系統服務來參與任何政治或宗教活動。
? 在沒有信息安全管理部門的事先允許或審批的情況下,工作人員在使用的計算機中更改或安裝任何類型的計算機軟件和硬件。
? 在沒有信息安全管理部門的事先允許或審批的情況下,工作人員拷貝、安裝、處理或使用任何未經許可的軟件。6.5處理從互聯網下載的軟件和文件
必須使用病毒檢測軟件對所有通過互聯網(或任何其他公網)從信息系統之外的途徑獲得的軟件和文件進行檢查,同時,在獲得這些軟件和文件之前,信息安全管理部門必須研究和確認使用這些工具的必要性。
6.6工作人員保密協議
公司所有人員必須在開始工作前,親自簽訂計算機及信息系統保密協議。6.7知識產權權利
尊重互聯網上他人的知識產權。
公司工作人員在被雇傭期間使用公司系統資源開發或設計的產品,無論是以何種方式涉及業務、產品、技術、處理器、服務或研發的資產,都是公司的專有資產。物理和環境安全策略
計算機信息和其他用于存儲、處理或傳輸信息的物理設施,例如硬件、磁介質、電纜等,對于物理破壞來說是易受攻擊的,同時也不可能完全消除這些風險。因此,應該將這些信息及物理設施放置于適當的環境中并在物理上給予保護使之免受安全威脅和環境危害。
7.1安全區域
根據信息安全的分層管理,應將支持涉密信息或關鍵業務活動的信息技術設備放置在安全區域中。安全區域應當考慮物理安全邊界控制及有適當的進出控制措施保護,安全區域防護等級應當與安全區域內的信息安全等級一致,安全區域的訪問權限應該被嚴格控制。
7.2設備安全
對支持涉密信息或關鍵業務過程(包括備份設備和存儲過程)的設備應該適當地在物理上進行保護以避免安全威脅和環境危險。包括:
? 設備應該放置在合適的位置或加強保護,將被如水或火破壞、干擾或非授權訪問的風險降低到可接受的程度。
? 對涉密信息或關鍵業務過程的設備應該進行保護,以免受電源故障或其他電力異常的損害。
? 對計算機和設備環境應該進行監控,必要的話要檢查環境的影響因素,如溫度和濕度是否超過正常界限。
? 對設備應該按照生產商的說明進行有序地維護。? 安全規程和控制措施應該覆蓋該設備的安全性要求。? 設備包括存儲介質在廢棄使用之前,應該刪除其上面的數據。7.3物理訪問控制
信息安全管理部門應建立訪問控制程序,控制并限制所有對計算計及信息系統計算、存儲和通訊系統設施的物理訪問。應有合適的出入控制來保護安全場所,確保只允許授權的人員進入。必須僅限公司工作人員和技術維護人員訪問公司辦 4 公場所、布線室、機房和計算基礎設施。
7.4建筑和環境的安全管理
為確保計算機處理設施能正確的、連續的運行,應至少考慮及防范以下威脅:偷竊、火災、溫度、濕度、水、電力供應中斷、爆炸物、吸煙、灰塵、振動、化學影響等。
必須在安全區域建立環境狀況監控機制,以監控廠商建議范圍外的可能影響信息處理設施的環境狀況。應在運營范圍內安裝自動滅火系統。定期測試、檢查并維護環境監控警告機制,并至少每年操作一次滅火設備。
7.5保密室、計算機房訪問記錄管理
保密室、計算機房應設立物理訪問記錄,信息安全管理部門應定期檢查物理訪問記錄本,以確保正確使用了這項控制。物理訪問記錄應至少保留12個月,以便協助事件調查。應經信息安全管理部門批準后才可以處置記錄,并應用碎紙機處理。
8計算機和網絡運行管理策略
計算機和信息系統所擁有的和使用的大多數信息都在計算機上進行處理和存儲。為了保護這些信息,需要使用安全且受控的方式管理和操作這些計算機,使它們擁有充分的資源。
由于公司計算機和信息系統采用三層管理模式,不排除聯接到外部網絡,計算機和信息系統的運行必須使用可控且安全的方式來管理,網絡軟件、數據和服務的完整性和可用性必須受到保護。
8.1操作規程和職責
應該制定管理和操作所有計算機和網絡所必須的職責和規程,來指導正確的和安全的操作。這些規程包括:
? 數據文件處理規程,包括驗證網絡傳輸的數據;
? 對所有計劃好的系統開發、維護和測試工作的變更管理規程; ? 為意外事件準備的錯誤處理和意外事件處理規程;
? 問題管理規程,包括記錄所有網絡問題和解決辦法(包括怎樣處理和誰處理); ? 事故管理規程; ? 為所有新的或變更的硬件或軟件,制定包括性能、可用性、可靠性、可控性、可恢復性和錯誤處理能力等方面的測試/評估規程;
? 日常管理活動,例如啟動和關閉規程,數據備份,設備維護,計算機和網絡管理,安全方法或需求;
? 當出現意外操作或技術難題時的技術支持合同。8.2操作變更控制
對信息處理設施和系統控制不力是導致系統或安全故障的常見原因,所以應該控制對信息處理設施和系統的變動。應落實正式的管理責任和措施,確保對設備、軟件或程序的所有變更得到滿意的控制。
8.3介質的處理和安全性
應該對計算機介質進行控制,如果必要的話需要進行物理保護: ? 可移動的計算機介質應該受控;
? 應該制定并遵守處理包含機密或關鍵數據的介質的規程; ? 與計算相關的介質應該在不再需要時被妥善廢棄。8.4鑒別和網絡安全
鑒別和網絡安全包括以下方面:
? 網絡訪問控制應包括對人員的識別和鑒定;
? 用戶連接到網絡的能力應受控,以支持業務應用的訪問策略需求; ? 專門的測試和監控設備應被安全保存,使用時要進行嚴格控制; ? 通過網絡監控設備訪問網絡應受到限制并進行適當授權; ? 應配備專門設備自動檢查所有網絡數據傳輸是否完整和正確; ? 應評估和說明使用外部網絡服務所帶來的安全風險; ? 根據不同的用戶和不同的網絡服務進行網絡訪問控制; ? 對IP地址進行合理的分配; ? 關閉或屏蔽所有不需要的網絡服務; ? 隱藏真實的網絡拓撲結構;
? 采用有效的口令保護機制,包括:規定口令的長度、有效期、口令規則或采用動態口令等方式,保障用戶登錄和口令的安全;
? 應該嚴格控制可以對重要服務器、網絡設備進行訪問的登錄終端或登錄 6 節點,并且進行完整的訪問審計;
? 嚴格設置對重要服務器、網絡設備的訪問權限; ? 嚴格控制可以對重要服務器、網絡設備進行訪問的人員;
? 保證重要設備的物理安全性,嚴格控制可以物理接觸重要設備的人員,并且進行登記;
? 對重要的管理工作站、服務器必須設置自動鎖屏或在操作完成后,必須手工鎖屏;
? 嚴格限制進行遠程訪問的方式、用戶和可以使用的網絡資源; ? 接受遠程訪問的服務器應該劃分在一個獨立的網絡安全區域; ? 安全隔離措施必須滿足國家、行業的相關政策法規。
個人終端用戶(包括個人計算機)的鑒別,以及連接到所有辦公自動化網絡和服務的控制職責,由信息安全管理部門決定。
8.5操作人員日志
操作人員應保留日志記錄。根據需要,日志記錄應包括: ? 系統及應用啟動和結束時間; ? 系統及應用錯誤和采取的糾正措施; ? 所處理的數據文件和計算機輸出; ? 操作日志建立和維護的人員名單。8.6錯誤日志記錄
對錯誤及時報告并采取措施予以糾正。應記錄報告的關于信息處理錯誤或通信系統故障。應有一個明確的處理錯誤報告的規則,包括:1)審查錯誤日志,確保錯誤已經得到滿意的解決;2)審查糾正措施,確保沒有違反控制措施,并且采取的行動都得到充分的授權。
8.7網絡安全管理策略
網絡安全管理的目標是保證網絡信息安全,確保網絡基礎設施的可用性。網絡管理員應確保計算機信息系統的數據安全,保障連接的服務的有效性,避免非法訪問。應該注意以下內容:
應將網絡的操作職責和計算機的操作職責分離;
? 制定遠程設備(包括用戶區域的設備)的管理職責和程序;
? 應采取特殊的技術手段保護通過公共網絡傳送的數據的機密性和完整性,并保護連接的系統,采取控制措施維護網絡服務和所連接的計算機的可用性;
? 信息安全管理活動應與技術控制措施協調一致,優化業務服務能力; ? 使用遠程維護協議時,要充分考慮安全性。8.8電子郵件安全策略
計算機和信息系統應制定有關使用電子郵件的策略,包括: ? 對電子郵件的攻擊,例如病毒、攔截;
? 必要時,使用相關技術保護電子郵件的機密性、完整性和不可抵賴。8.9病毒防范策略
病毒防范包括預防和檢查病毒(包括實時掃描/過濾和定期檢查),主要內容包括:
? 控制病毒入侵途徑; ? 安裝可靠的防病毒軟件; ? 對系統進行實時監測和過濾; ? 定期殺毒; ? 及時更新病毒庫; ? 及時上報; ? 詳細記錄。
防病毒軟件的安裝和使用由信息安全管理部門專門的病毒防范管理員執行。嚴格控制盜版軟件及其它第三方軟件的使用,必要時,在運行前先對其進行病毒檢查。
內部工作人員因為上不安全的網站下載文件或其他方式導致中毒,造成的后果由其本人負責。
8.10備份與恢復策略
定義計算機及信息系統備份與恢復應該采用的基本措施: ? 建立有效的備份與恢復機制; ? 定期檢測自動備份系統是否正常工作;
? 明確備份的操作人員職責、工作流程和工作審批制度;
? 建立完善的備份工作操作技術文檔;
? 明確恢復的操作人員職責、工作流程和工作審批制度; ? 建立完善的恢復工作操作技術文檔; ? 針對建立的備份與恢復機制進行演習; ? 對備份的類型和恢復的方式進行明確的定義; ? 妥善保管備份介質。8.11加密策略
對于應用系統安全需求分析中要求采用加密措施,或相關法規中要求采用加密措施的處理,一定要滿足要求。
采用加密技術或選用加密產品,要求符合國家有關政策或行業規范的要求。選用的加密機制與密碼算法應符合國家密碼政策,密鑰強度符合國家規定。對于敏感或重要信息,要求通過加密保障其私密性、通過信息校驗碼或數字簽名保障其完整性、通過數字簽名保障其不可否認性。
要求采用高強度的密鑰管理系統,保證密鑰全過程的安全。包括密鑰的生成、使用、交換、傳輸、保護、歸檔、銷毀等。
對敏感或重要密鑰,要求分人制衡管理。
對敏感或重要密鑰,要求采用一定的密鑰備份措施以保障在密鑰丟失、破壞時系統的可用性。
密鑰失密或懷疑失密時,必須及時向安全主管部門報告,更新密鑰。并采取有效措施,防止再次發生類似情況。9訪問控制策略
為了保護計算機系統中信息不被非授權的訪問、操作或破壞,必須對信息系統和數據實行控制訪問。
計算機系統控制訪問包括建立和使用正式的規程來分配權限,并培訓工作人員安全地使用系統。對系統進行監控檢查是否遵守所制定的規程。
9.1計算機訪問控制
應該根據相關國家法律的要求和指導方針控制對信息系統和數據的訪問: ? 計算機活動應可以被追蹤到人;
? 訪問所有多用戶計算機系統應有正式的用戶登記和注銷規程; ? 應使用有效的訪問系統來鑒別用戶;
? 應通過安全登錄進程訪問多用戶計算機系統; ? 特殊權限的分配應被安全地控制;
? 用戶選擇和使用密碼時應慎重參考良好的安全慣例; ? 用戶應確保無人看管的設備受到了適當的安全保護; ? 應根據系統的重要性制定監控系統的使用規程。? 必須維護監控系統安全事件的審計跟蹤記錄; ? 為準確記錄安全事件,計算機時鐘應被同步。10風險管理及安全審計策略
信息安全審計及風險管理對于幫助公司識別和理解信息被攻擊、更改和不可用所帶來的(直接和間接的)潛在業務影響來說至關重要。所有信息內容和信息技術過程應通過信息安全審計活動及風險評估活動來識別與它們相關的安全風險并執行適當的安全對策。
計算機及信息系統的信息安全審計活動和風險評估應當定期執行。特別是系統建設前或系統進行重大變更前,必須進行風險評估工作。
信息安全審計應當3個月進行一次,并形成文檔化的信息安全審計報告。信息安全風險評估應當至少1年一次,可由公司自己組織進行或委托有信息系統風險評估資質的第三方機構進行。信息安全風險評估必須形成文檔化的風險評估報告。
11信息系統應急計劃和響應策略
11.1信息應急計劃和響應的必要性
應該制定和實施應急計劃和響應管理程序,將預防和恢復控制措施相結合,將災難和安全故障(可能是由于自然災害、事故、設備故障和蓄意破壞等引起)造成的影響降低到可以接受的水平。
應該分析災難、安全故障和服務損失的后果。制定和實施應急計劃,確保能夠在要求的時間內恢復業務的流程。應該維護和執行此類計劃,使之成為其它所有管理程序的一部分。
11.2應急計劃和響應管理程序
應該在整個計算機信息系統內部制定應急計劃和響應的管理流程。包括以下 主要內容:
? 考慮突發事件的可能性和影響。
? 了解中斷信息系統服務可能對業務造成的影響(必須找到適當的解決方案,正確處理較小事故以及可能威脅組織生存的大事故),并確定信息處理設施的業務目標。
? 適當考慮風險處理措施,可以將其作為業務連續性程序的一部分。? 定期對應急計劃和響應程序進行檢查和進行必要的演練,確保其始終有效。
? 適當地對技術人員進行培訓,讓他們了解包括危機管理在內的應急程序。
12遵循性
計算機及信息系統必須遵守國家法律和法規的要求。
公司所有工作人員都有責任學習、理解并遵守安全策略,以確保公司敏感信息的安全。對違反安全策略的行為,根據事件性質和違規的嚴重程度,采取相應的處罰措施。信息安全管理部門應根據違規的嚴重程度向相關領導提出建議懲罰措施。除本安全策略中涉及的要求之外,所有部門和工作人員同樣需要遵守相關國家法律和法規的要求。
計算機和信息系統安全策略文件由信息安全管理部門負責制定和解釋,由公司保密委員會審批發布。
公司已存在的但內容與本安全策略文件不符的管理規定,應以本安全策略的要求為準,并參考本安全策略及時進行修訂。
點擊咨詢 