制度体系之- 信息安全管理制度实施指南

制度体系之 - 信息安全管理制度

实施指南

1

策略管理 ................................................................ 7 1.1

安全策略和管理制度 ................................................................................................... 7 1.1.1 1.1.2 1.1.3 1.2

信息安全策略 ................................................................................................... 7 信息安全管理制度 ........................................................................................... 7 行为规范 ........................................................................................................... 8

安全规划 ....................................................................................................................... 8 1.2.1 1.2.2 1.2.3

系统安全规划 ................................................................................................... 8 系统安全规划的更新 ....................................................................................... 9 阶段性行动计划 ............................................................................................... 9

2 组织管理 ................................................................ 9 2.1

组织机构 ....................................................................................................................... 9 2.1.1 2.1.2 2.2

信息安全管理机构 ........................................................................................... 9 信息安全管理人员 ......................................................................................... 10

人员安全 ..................................................................................................................... 10 2.2.1 2.2.2 2.2.3 2.2.4 2.2.5 2.2.6 2.2.7

工作岗位风险分级 ......................................................................................... 10 人员审查 ......................................................................................................... 10 人员工作合同终止 ......................................................................................... 11 人员调动 ......................................................................................................... 11 工作协议和条款 ............................................................................................. 11 第三方人员安全 ............................................................................................. 12 人员处罚 ......................................................................................................... 12

2.3 安全意识和培训 ......................................................................................................... 12 2.3.1 2.3.2 2.3.3

安全意识 ......................................................................................................... 12 安全培训 ......................................................................................................... 13 安全培训记录 ................................................................................................. 13

3 运行管理 ............................................................... 14 3.1

风险评估和认证认可 ................................................................................................. 14 3.1.1 3.1.2

安全分类 ......................................................................................................... 14 风险评估 ......................................................................................................... 14

3.1.3 3.1.4 3.1.5 3.1.6 3.2

风险评估更新 ................................................................................................. 15 安全认证 ......................................................................................................... 15 安全认可 ......................................................................................................... 15 持续监控 ......................................................................................................... 16

系统与服务采购 ......................................................................................................... 16 3.2.1 3.2.2 3.2.3 3.2.4 3.2.5 3.2.6 3.2.7 3.2.8 3.2.9 3.2.10

资源分配 ......................................................................................................... 16 生命周期支持 ................................................................................................. 17 采购 ................................................................................................................. 17 信息系统文件 ................................................................................................. 17 软件使用限制 ................................................................................................. 17 用户安装的软件 ............................................................................................. 18 安全设计原则 ................................................................................................. 18 外包信息系统服务 ......................................................................................... 18 开发配置管理 ................................................................................................. 19

开发安全测试评估 ................................................................................. 19

3.3 配置管理 ..................................................................................................................... 19 3.3.1 3.3.2 3.3.3 3.3.4 3.3.5 3.3.6

基线配置 ......................................................................................................... 20 配置变更控制 ................................................................................................. 20 监督配置变更 ................................................................................................. 21 变更访问限制 ................................................................................................. 21 配置策略设置 ................................................................................................. 21 功能最小化 ..................................................................................................... 21

3.4 应急计划和事件响应 ................................................................................................. 22 3.4.1 3.4.2 3.4.3 3.4.4 3.4.5 3.4.6 3.4.7

应急计划 ......................................................................................................... 22 应急响应培训 ................................................................................................. 22 应急和事件响应计划测试 ............................................................................. 22 应急和事件响应计划更新 ............................................................................. 23 事件处理 ......................................................................................................... 23 事件监控 ......................................................................................................... 23 事件报告 ......................................................................................................... 24

3.4.8 3.5

事件响应支持 ................................................................................................. 24

系统管理与维护 ......................................................................................................... 24 3.5.1 3.5.2 3.5.3 3.5.4 3.5.5 3.5.6

安全管理技术 ................................................................................................. 25 常规维护 ......................................................................................................... 25 维护工具管理 ................................................................................................. 25 远程维护 ......................................................................................................... 25 维护人员 ......................................................................................................... 26 维护及时性 ..................................................................................................... 26

4 技术管理 ............................................................... 26 4.1

标识鉴别 ..................................................................................................................... 26 4.1.1 4.1.2 4.1.3 4.1.4 4.1.5 4.2

身份标识和鉴别 ............................................................................................. 26 设备标识和鉴别 ............................................................................................. 27 标识管理 ......................................................................................................... 27 鉴别管理 ......................................................................................................... 28 登录和鉴别反馈 ............................................................................................. 28

访问控制 ..................................................................................................................... 29 4.2.1 4.2.2 4.2.3 4.2.4 4.2.5 4.2.6 4.2.7 4.2.8 4.2.9 4.2.10 4.2.11 4.2.12 4.2.13 4.2.14

账户管理 ......................................................................................................... 29 强制访问 ......................................................................................................... 30 信息流控制 ..................................................................................................... 30 职责分离 ......................................................................................................... 31 最小权限 ......................................................................................................... 31 不成功登录尝试 ............................................................................................. 31 系统使用情况 ................................................................................................. 32 最近登录情况 ................................................................................................. 32 并发会话控制 ................................................................................................. 33

会话锁定 ................................................................................................. 33 会话终止 ................................................................................................. 33 对访问控制的监督和审查 ..................................................................... 34 不需鉴别或认证的行为 ......................................................................... 34 自动化标记 ............................................................................................. 34

4.2.15 4.2.16 4.2.17 4.2.18 4.3

远程访问控制 ......................................................................................... 35 无线接入访问控制 ................................................................................. 35 便携式移动设备的访问控制 ................................................................. 35 个人信息系统 ......................................................................................... 36

系统与信息完整性 ..................................................................................................... 36 4.3.1 4.3.2 4.3.3 4.3.4 4.3.5

漏洞修补 ......................................................................................................... 36 防恶意代码攻击 ............................................................................................. 37 输入信息的限制 ............................................................................................. 37 错误处理 ......................................................................................................... 37 输出信息的处理和保存 ................................................................................. 38

4.4 系统与通信保护 ......................................................................................................... 38 4.4.1 4.4.2 4.4.3 4.4.4 4.4.5 4.4.6 4.4.7

应用系统分区 ................................................................................................. 38 安全域划分 ..................................................................................................... 39 拒绝服务保护 ................................................................................................. 39 边界保护 ......................................................................................................... 39 网络连接终止 ................................................................................................. 39 公共访问保护 ................................................................................................. 39 移动代码 ......................................................................................................... 40

4.5 介质保护 ..................................................................................................................... 40 4.5.1 4.5.2 4.5.3 4.5.4

介质访问 ......................................................................................................... 40 介质保存 ......................................................................................................... 40 信息彻底清除 ................................................................................................. 41 介质的废弃 ..................................................................................................... 41

4.6 物理和环境保护 ......................................................................................................... 41 4.6.1 4.6.2 4.6.3 4.6.4 4.6.5 4.6.6

物理访问授权 ................................................................................................. 42 物理访问控制 ................................................................................................. 42 显示介质访问控制 ......................................................................................... 42 物理访问监视 ................................................................................................. 42 来访人员控制 ................................................................................................. 43 来访记录 ......................................................................................................... 43

要求

信息系统运行之前，以及信息安全产品投入正式使用之前需得到国家权威机构和上级主管部门的认可。 内容

信息系统的技术控制措施，安全管理规章和工程建设过程符合有关规定，并通过了有关的评估和认证；

当前使用的信息安全产品符合相关规定，并通过了有关的评估和认证。

3.1.6 持续监控

保障信息系统安全的持续性、稳定性。 要求

监控信息系统现有的安全控制措施，有计划地持续进行配置管理、信息系统组件控制、系统变更后的安全影响分析、现有安全控制措施评估和状态汇报等工作。 内容

制定并实施有关的规定，取得相应的认证认可，对系统的安全控制措施和安全保障能力进行持续的监控。

3.2 系统与服务采购

系统和服务采购涉及到资源分配、生命周期支持、信息系统文件、软件使用限制、用户安装的软件、安全设计原则、外包信息系统服务、开发人员配置管理、开发人员安全测试十个项目内容。

3.2.1 资源分配

要求

定义投资控制过程所需的保护信息系统资源的范围；

在信息系统规划中要确定安全要求；规划和预算文件中，要建立信息系统安全项目，将主要的规划和投资控制过程整合到一起。 内容

定义投资控制的范围；

信息系统规划中定义了相应的安全要求。

3.2.2 生命周期支持

要求

管理信息系统要有其相应的生命周期；

为系统开发生命周期安全考虑提供相应的实施指南。 内容

在相关的信息管理系统中明确关于系统生命周期的说明； 有对应系统开发周期的相应的实施指南。

3.2.3 采购

要求

采购合同中要明确定义相关的安全要求、安全规范和基于风险评估的信息系统要求； 在信息系统所要求的文档中要包括安全配置说明和安全实施指南。 内容

采购合同满足该行业相关的安全需求；

在信息系统所要求的文档中包括了相应的安全配置说明和安全实施指南。

3.2.4 信息系统文件

要求

确保信息系统拥有完整齐全的文档，包括系统的详细设计方案和实施方案，配置、安装和运行信息系统且能正确配置系统安全特性的指南；

保证全部文档可用，并受到保护；

提供描述信息系统中安全控制的功能属性文件。 内容

信息系统文件（如安全设计方案、建设方案、管理员和用户指南、系统安全配置参考文件等）完整，清晰地定义了文档的授权级别。

3.2.5 软件使用限制

要求

对软件的使用进行限制；

软件和所用相关文档与合同协商和法律版本一致；

对软件和相关的文档的数量进行相应的许可保护，并对软件的复制和分发进行控制。 内容

制定软件使用政策，遵守软件许可协议，禁止使用盗版软件；

控制用户可访问的范围，监控异常情况。例如：进行URL限制，关注异常流量等，对可疑问题是否及时上报；

工作人员接收权威发布部门发布的软件的相关信息，不接收和传播未经确认的信息。

3.2.6 用户安装的软件

要求

对软件的下载和安装要有明确的规定；

对软件的类型进行识别和分类，确认哪些是可以下载和安装的，哪些是被禁止的。 内容

有软件下载和安装的规定；

安全软件的升级过程有相应的变更控制流程进行控制。

3.2.7 安全设计原则

要求

使用安全工程原则设计和实施信息系统。 内容

组织机构采用信息系统安全工程原则来设计、开发和实施信息系统。

3.2.8 外包信息系统服务

要求

执行和维护在服务协议中规定的信息安全服务提供级别； 对第三方的服务提供进行管理； 对第三方的服务的监控和审核进行管理；

对第三方服务变更进行管理。(由于所涉及的业务系统，业务过程和风险再评估的重要性，要对服务的变更过程进行管理，包括为改进现有的信息安全策略，流程和控制措施所实施的变更)。

内容

验证协议的执行情况，监控实际操作与协议的符合程度，对与协议不符的地方进行相应的管理，来确保第三方所提供的服务达到了协议中的要求；

第三方实施了在第三方服务提供中所规定的安全控制措施，服务定义和提供服务的级别。

3.2.9

要求

开发配置管理

对信息系统的开发要建立和实施配置管理计划，控制在开发过程中的变更，跟踪安全错误，要进行变更授权，提供计划和实施文档。 内容

为信息系统开发建立和实施了相应的配置管理计划； 在控制可发过程之中的变更有记录。

3.2.10 开发安全测试评估

要求

对信息系统开发要建立安全测试和评估计划，并实施相应的计划，将相应的计划文档化。开发安全测试和评估结果应提交用于信息系统交付的安全认证和认可过程。 内容

开发的、在行业网上使用并涉及行业关键信息和数据的软件系统进行了安全评估，并通过了安全审核；

对测试应用系统实施了访问控制；

系统真实运行的信息复制到测试应用系统前先经过了正式授权； 对系统真实运行的信息和使用情况进行了记录，以便审核追踪。

3.3 配置管理

配置管理是信息系统运行管理的一个重要组成部分。对网络设备、安全设备、操作系统、应用系统和数据库系统的配置进行正确有效的管理，是保证信息系统正常运行和消除系统安

全风险最基本，最必要的手段。

信息系统的管理和维护人员要在明确安全需求的基础上，熟悉各个软硬件设备的当前配置情况，并在信息系统出现变更时按照配置管理策略和配置管理流程对配置进行及时的修改和记录。

信息系统的管理和维护人员应该编制系统资产清单和当前系统的基线配置来记载系统中所有软硬件设备的基本信息（包括系统中各软硬件的生产厂商，产品类别，序列号，版本号以及该资产在系统中的物理位置和逻辑位置）和当前的配置情况。要将对资产清单和基线配置的更新作为系统更新或扩展的一项必要工作，保证资产清单和基线配置能反映系统当前的真实情况。并逐步使用自动化的工具（网管系统、安全集中管理平台等）自动生成和维护资产清单和基线配置。

3.3.1 基线配置

要求

编制系统资产清单和当前系统的基线配置；

对资产清单和基线配置的更新作为系统更新或扩展的一项必要工作； 使用自动化工具自动生成和维护资产清单和基线配置。 内容

通过资产调查，确定系统中所有资产的基本信息； 基线配置文档的完整性和准确性；

实现网络设备和安全设备的集中管理，具备自动生成网络设备和安全设备的基线配置的能力。

3.3.2 配置变更控制

要求

对配置的变更进行记录和控制；

使用自动化的工具来记录和控制配置变更。 内容

对配置变更进行记录； 配置变更遵循科学规范的流程；

使用了对配置变更进行控制和记录的自动化工具。

本文来源：https://www.bwwdw.com/article/1f4f.html