还剩60页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
烟草行业信息安全保障体系建设指南国家烟草专卖局二〇〇八年四月前 言烟草行业信息安全保障体系是行业信息化健康发展的基础和保障,是行业各级数据中心的重要组成部分为推进行业信息安全保障体系建设,提高信息安全管理水平和保障能力,国家烟草专卖局制订了《烟草行业信息安全保障体系建设指南》(以下简称《指南》)行业各单位要结合本单位实际情况认真落实《指南》的各项要求,构建“组织机制、规章制度、技术架构”三位一体的信息安全保障体系,做到信息安全工作与信息化建设同步规划、同步建设、协调发展《指南》按照《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发
[2003]27号)的要求,依照《信息系统安全保障评估框架》GB/T20274—2006等有关国家标准,运用目前信息安全领域广泛应用的思想和方法,明确了烟草行业信息安全保障体系建设的总体原则和建设内容,对行业信息安全策略的制订,以及信息安全管理、技术和运维三大体系的建设工作提出了指导性意见和要求由于水平所限,对《指南》中的不足之处,望各单位在应用过程中提出宝贵意见《指南》由国家烟草专卖局烟草经济信息中心和中国信息安全产品测评认证中心共同组织编写《指南》编写组组长高锦;副组长陈彤;主要成员张雪峰,王海清,耿刚勇,张利,孙成昊,黄云海,耿欣,刘辉等目录TOC\o1-2\h\z\u1范围12引用和参考文献
12.1国家信息安全标准、指南
12.2国际信息安全标准
22.3行业规范33术语定义和缩略语
33.1安全策略
33.2安全管理体系
33.3安全技术体系
33.4安全运维体系
43.5信息系统
43.6缩略语44信息安全保障体系建设总体要求
54.1信息安全保障体系建设框架
54.2信息安全保障体系建设原则
74.3信息安全保障体系建设基本过程85信息安全保障体系建设规划96安全策略
106.1总体方针
116.2分项策略127管理体系
137.1组织机构
137.2规章制度
167.3人员安全
167.4安全教育和培训208技术体系
228.1访问控制
238.2信息系统完整性保护
288.3系统与通信保护
318.4物理环境保护
348.5检测与响应
378.6安全审计
398.7备份与恢复409运维体系
439.1流程和规范
449.2安全分级
449.3风险评估
459.4阶段性工作计划
479.5采购与实施过程管理
489.6日常维护管理
519.7应急计划和事件响应
549.8绩效评估与改进571范围本《指南》明确了行业信息安全保障体系建设的总体原则和建设内容,对行业信息安全策略的制订,以及信息安全管理体系、信息安全技术体系和信息安全运维体系的建设工作提出了指导意见和要求《指南》中涉及的信息安全,是指由信息系统产生的信息的保密性、完整性和可用性不遭受破坏本《指南》仅适用于行业中不涉及国家秘密的信息系统,涉及国家秘密的信息系统的安全保护工作应按照国家及国家局保密部门的相关规定进行2引用和参考文献本文在编制过程中,依据和参考了国内外信息安全方面的相关标准、法规、指南以及烟草行业的相关标准规范,主要包括国家信息安全标准、指南GB/T20274—2006信息系统安全保障评估框架GB/T
19715.1—2005信息技术—信息技术安全管理指南第1部分信息技术安全概念和模型GB/T
19715.2—2005信息技术—信息技术安全管理指南第2部分管理和规划信息技术安全GB/T19716—2005信息技术—信息安全管理实用规则GB/T18336—2001信息技术—安全技术—信息技术安全性评估准则GB17859—1999计算机信息系统安全保护等级划分准则电子政务信息安全等级保护实施指南试行(国信办
[2005]25号)GB/T20984—2007http://gb.sac.gov.cn/stdlinfo/servlet/com.sac.sacQuery.GjbzcxDetailServletstd_code=GB/T%2020984-2007信息安全技术信息安全风险评估规范GB/T20988—2007http://gb.sac.gov.cn/stdlinfo/servlet/com.sac.sacQuery.GjbzcxDetailServletstd_code=GB/T%2020988-2007信息系统灾难恢复规范GB/Z20986—2007http://gb.sac.gov.cn/stdlinfo/servlet/com.sac.sacQuery.GjbzcxDetailServletstd_code=GB/Z%2020986-2007信息安全事件分类分级指南国际信息安全标准ISO/IEC27001:2005信息安全技术 信息系统安全管理要求ISO/IEC13335—1:2004信息技术信息技术安全管理指南第1部分信息技术安全概念和模型ISO/IECTR15443—1:2005信息技术安全保障框架第一部分概述和框架ISO/IECTR15443—2:2005信息技术安全保障框架第二部分保障方法ISO/IECWD15443—3信息技术安全保障框架第三部分保障方法分析ISO/IECPDTR19791:2004信息技术安全技术运行系统安全评估行业规范烟草行业计算机网络和信息安全技术与管理规范国烟法
[2003]17号烟草行业计算机网络建设技术与管理规范国烟办综
[2006]312号3术语定义和缩略语下列术语和定义适用于本《指南》安全策略安全策略是为保障一个单位信息安全而规定的若干安全规划、过程、规范和指导性文件等安全管理体系安全管理体系简称“管理体系”,是为保障信息安全以“安全策略”为核心而采取的一系列管理措施的总和,内容主要包括建立健全组织机构和管理制度、实施人员管理和安全教育等安全技术体系安全技术体系简称“技术体系”,是为保障“安全策略”的贯彻落实而采取的一系列技术措施的总和,内容主要包括访问控制、信息完整性保护、系统与通信保护、物理与环境保护、检测与响应、安全审计、备份与恢复等安全运维体系安全运维体系简称“运维体系”,是为保障管理措施和技术措施有效执行“安全策略”而采取的一系列活动的总和,内容主要包括制订流程和规范、制订阶段性工作计划、开展风险评估、实施安全分级、规范产品与服务采购、加强维护管理、安全事件响应、绩效评估与改进等信息系统信息系统是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统缩略语PDCA 规划实施检查调整(PlanDoCheckAction)P2DR2 策略防护检测响应恢复(PolicyProtectionDetectionResponseRecovery)MAC 介质存取控制(MediaAccessControl)IP 网际协议(http://www.acronymfinder.com/acronym.aspxrec=%7B91FB3B2B-89E8-11D4-8351-00C04FC2C2BF%7D\oMoreinfoanddirectlinkforthismeaning...InternetProtocol)EAP 扩展鉴权协议(http://www.acronymfinder.com/acronym.aspxrec=%7B940ED58C-89E8-11D4-8351-00C04FC2C2BF%7D\oMoreinfoanddirectlinkforthismeaning...ExtensibleAuthenticationProtocol)CNCERT国家计算机网络应急技术处理协调中心NationalComputerNetworkEmergencyResponseTechnicalTeamIDS入侵侦测系统(http://www.acronymfinder.com/acronym.aspxrec=%7B97C3CE6B-89E8-11D4-8351-00C04FC2C2BF%7D\oMoreinfoanddirectlinkforthismeaning...IntrusionDetectionSystem)IPS 入侵防护系统(http://www.acronymfinder.com/acronym.aspxrec=%7B1A3C9E8C-CA4A-43F1-B643-AE9BB51F2218%7D\oMoreinfoanddirectlinkforthismeaning...IntrusionPreventionSystem)DoS拒绝服务(DenialOfService)AV病毒防护Anti—VirusPKI 公钥基础设施PublicKeyInfrastructurePMI 特权管理基础设施(http://www.acronymfinder.com/acronym.aspxrec=%7BD59DED45-6504-11D5-8383-00C04FC2C2BF%7D\oMoreinfoanddirectlinkforthismeaning...PermissionManagementInfrastructure)CA 数字证书认证机构(CertificateAuthority)注凡在本文中使用但未定义的术语按相关国家标准或规范解释,无相关国家标准或规范的,按学术界惯例解释本文中除非特殊说明,所指行业均为烟草行业4信息安全保障体系建设总体要求信息安全保障体系建设框架根据《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发
[2003]27号)(以下简称27号文件)的精神,按照《信息系统安全保障评估框架》(GB/T20274—2006)、《信息安全管理实用规则》(GB/T19716—2005)等有关标准要求,本《指南》提出了以策略为核心,管理体系、技术体系和运维体系共同支撑的行业信息安全保障体系框架(如图1—1)图1—1行业信息安全保障体系框架在安全策略方面,应依据国家信息安全战略的方针政策、法律法规、制度,按照行业标准规范要求,结合自身的安全环境,制订完善的信息安全策略体系文件信息安全策略体系文件应覆盖信息安全工作的各个方面,对管理、技术、运维体系中的各种安全控制措施和机制的部署提出目标和原则在管理体系方面,应按照27号文件的有关要求,将“安全策略”提出的目标和原则形成具体的、可操作的信息安全管理制度,组建信息安全组织机构,加强对人员安全的管理,提高全行业的信息安全意识和人员的安全防护能力,形成一支过硬的信息安全人才队伍在技术体系方面,应按照P2DR2模型,通过全面提升信息安全防护、检测、响应和恢复能力,保证信息系统保密性、完整性和可用性等安全目标的实现在运维体系方面,应制订和完善各种流程规范,制订阶段性工作计划,开展信息安全风险评估,规范产品与服务采购流程,同时坚持做好日常维护管理、应急计划和事件响应等方面的工作,以保证安全管理措施和安全技术措施的有效执行信息安全保障体系建设原则行业信息安全保障体系建设应遵循以下原则1同步建设原则信息安全保障体系建设应与信息化建设同步规划,同步建设,协调发展,要将信息安全保障体系建设融入到信息化建设的规划、建设、运行和维护的全过程中1综合防范原则信息安全保障体系建设要根据信息系统的安全级别,采用适当的管理和技术措施,降低安全风险,综合提高保障能力1动态调整原则信息安全保障体系建设要根据信息资产的变化、技术的进步、管理的发展,结合信息安全风险评估,动态调整、持续改进信息安全保障体系,贯彻“以安全保发展,在发展中求安全”的精神,保障和促进行业业务的发展1符合性原则信息安全保障体系建设要符合国家的有关法律法规和政策精神,以及行业有关制度和规定,同时应符合有关国家技术标准,以及行业的技术标准和规范信息安全保障体系建设基本过程信息安全保障体系建设是管理与技术紧密结合,集“组织机构、规章制度、技术架构”三位一体的系统工程,也是与信息化同步发展,不断提高和完善的动态过程行业信息安全保障体系的建设与发展遵循《ISO/IEC27001:2005信息技术—安全技术—信息安全管理系统要求》提出的PDCA(Plan—Do—Check—Action)循环模式(如下图)“P”是规划过程,根据信息化建设的需求和信息安全风险现状,结合信息系统等级保护的要求,提出信息安全保障体系建设的总体目标、实施步骤和资源分配方式;“D”是实施过程,依据规划制订信息安全策略,给信息安全保障体系建设提供明确的目标和原则并通过安全管理体系、安全技术体系和安全运维体系的建立实施,贯彻和落实安全策略“C”是检查过程,通过检查和评估及时发现信息安全保障体系存在的弱点和不足“A”是纠正调整过程,它是一个阶段任务的结束,也是新的阶段工作的开始,该过程针对信息安全保障体系运行过程中发现的新风险,以及信息化发展中出现的新需求,采取纠正和调整措施并根据信息化的发展提出新一轮建设规划,从而使信息安全保障体系循环提高、持续发展应根据国家局的总体要求和自身实际情况,从PDCA循环的某一环节入手,作为本单位信息安全保障体系建设的切入点,按照本《指南》提出的建设内容,持续不断地提高和完善信息安全保障体系5信息安全保障体系建设规划信息安全保障体系建设规划(简称安全规划)是描述信息安全保障体系建设的总体目标、实施步骤、时间计划以及资金、人员等资源的分配方式的文件安全规划的表现形式可以是信息化建设总体规划文件的一个部分,也可以是单独的信息安全规划文件,或是结合具体技术细节而形成的信息安全保障体系建设方案安全规划的内容应覆盖安全策略建设、安全管理体系建设、安全技术体系建设和安全运维体系建设等方面安全保障体系规划的制订工作,可以邀请具有相关专业知识和经验的外部专家或安全服务机构协助完成要求1)安全规划要符合本单位信息化发展战略的总体要求,应与信息化建设的实际需求和信息安全风险的实际状况相结合,遵循国家的法律法规、技术标准和行业的有关规定并且具有明确的指导性和可实施性2)应制订本系统所有单位共同执行的统一的安全规划制订安全规划应做好三个方面工作,一要对本单位信息安全的基本现状进行科学、全面的调研分析,准确了解本单位各信息系统的功能作用、系统架构以及在安全方面存在的隐患和弱点;二要根据安全建设需求,对所需的资金、人员和政策进行分析;三要依据分析结果以及安全保障体系建设总体原则,区分主次,突出重点,制订总体目标、实施步骤和资源分配方式3)安全规划要有时效性,制订完成后,应确保相关人员全面了解规划的内容和要求并及时实施在安全规划执行过程中,应及时开展阶段性或整体的绩效评估工作6安全策略安全策略是一个单位对信息安全目标和工作原则的规定,其表现形式是一系列安全策略体系文件安全策略是信息安全保障体系的核心,是信息安全管理工作、技术工作和运维工作的目标和依据安全策略体系文件应由总体方针和分项策略两个层次组成并具备以下七个特性指导性安全策略体系文件应对单位整体信息安全工作提供全局性的指导原则性安全策略体系文件不涉及具体技术细节,不需要规定具体的实现方式,只需要指出要完成的目标可行性安全策略体系文件应适应本单位的现实情况和可预见的变化,在当前和未来的一段时间内切实可行动态性安全策略体系文件应有明确的时效性,不能长期一成不变随着信息安全形势的动态变化和信息技术的不断发展,需要对策略体系文件进行不断的调整和修正可审核性安全策略体系文件应可作为审核和评价本单位内部对信息安全策略遵守和执行情况的依据非技术性安全策略体系文件不是具体的技术解决方案,应以非技术性的语言详细说明文档化安全策略体系文件应用清晰和完整的文档进行描述总体方针总体方针是指导本单位所有信息安全工作的纲领性文件,是信息安全决策机构对信息安全工作的决策和意图的表述总体方针的作用在于统一对信息安全工作的认识,规定信息安全的基本架构,明确信息安全的根本目标和原则要求1总体方针应紧紧围绕行业的发展战略,符合本单位实际的信息安全需求,能保障与促进信息化建设的顺利进行,避免理想化与不可操作性1总体方针中须明确阐述本单位所有信息化建设项目在规划设计、开发建设、运行维护和变更废弃等各阶段,应遵循的总体原则和要求1总体方针应经过本单位信息安全决策机构批准并使之具备指导和规范信息安全工作的效力1总体方针中应规定其自身的时效性,当信息系统运行环境发生重大变化时,应及时对总体安全策略进行必要的调整,调整后的策略必须经过信息安全决策机构批准分项策略分项策略是在总体方针的指导下,对信息安全某一方面工作的目标和原则进行阐述的文件要求1分项策略要依据总体方针制订,明确信息安全各方面工作的目标和原则1分项策略应包括但不限于以下内容物理安全策略、网络安全策略、系统安全策略、应用安全策略、数据安全策略、病毒防护策略、安全教育策略、信息系统备份与恢复策略、业务连续性策略、账号口令策略、安全审计策略、系统开发策略、人员安全策略等1分项策略中必须明确负责执行该策略的责任单位(部门)、该策略的适用范围、该策略所针对的信息安全工作的目标和原则1分项策略中应规定其自身的时效性,当信息系统运行环境发生变化时,应及时对分项策略进行必要的调整7管理体系安全管理体系的作用是通过建立健全组织机构、规章制度,以及通过人员安全管理、安全教育与培训和各项管理制度的有效执行,来落实人员职责,确定行为规范,保证技术措施真正发挥效用,与技术体系共同保障安全策略的有效贯彻和落实信息安全管理体系主要包括组织机构、规章制度、人员安全、安全教育和培训等四个方面内容组织机构建立信息安全组织机构的目的是通过合理的组织结构设置、人员配备和工作职责划分,对信息安全工作实行全方位管理,充分发挥各部门和各类人员在信息安全工作中的作用,共同遵守和执行安全规章制度,以保障信息安全策略的贯彻落实信息安全组织机构应由决策机构、管理机构和执行机构三个层面组成
7.
1.1决策机构信息安全决策机构处于安全组织机构的第一个层次,是本单位信息安全工作的最高管理机构,按照国家和国家局的方针、政策和要求,对本单位信息安全进行统一领导和管理要求1应成立由本单位主要领导负责、各有关部门参加的信息安全工作领导小组作为信息安全决策机构1信息安全决策机构应承担如下主要工作职责审议和批准信息安全保障体系建设规划、信息安全策略、规章制度和信息安全工程建设方案等,为本单位信息安全保障体系建设提供各类必要的资源,对信息安全的宏观问题进行决策,审定信息安全重大突发事件应急预案
7.
1.2管理机构信息安全管理机构处于安全组织机构的第二个层次,在决策机构的领导下,负责组织制订信息安全保障体系建设规划,以及信息安全的管理、监督、检查、考核等工作日常的信息安全管理工作主要由信息化工作部门负责要求1应成立由信息化工作部门牵头,保密、行政、人事和业务等相关部门共同参与组成的信息安全管理机构并明确该机构的成员应在信息化工作部门设立专门组织或指定专职人员,负责管理信息安全日常事务1信息安全管理机构应承担的职责主要包括信息安全保障体系建设规划、安全策略、规章制度的制订并组织贯彻落实;规章制度执行情况的监督与检查;信息安全建设项目的组织实施;人员安全,安全教育与培训的实施;协调信息安全日常工作中的各项事宜等1应在安全规章制度中明确安全管理机构中各部门和各类人员的工作职责与责任
7.
1.3执行机构信息安全执行机构处于信息安全组织机构的第三个层次,在管理层的领导下,负责保证信息安全技术体系的有效运行及日常维护,通过具体技术手段落实安全策略,消除安全风险,以及发生安全事件后的具体响应和处理要求1执行机构应由信息化工作部门具体负责信息系统管理和信息安全管理工作的技术人员及相关部门的专职(或兼职)信息安全员组成应至少设置系统管理员、网络管理员、信息安全管理员等岗位,并确定各个岗位的岗位职责、访问权限关键操作应配备多人共同负责,关键岗位应定期轮岗1信息安全管理员的主要职责是管理维护本单位信息安全设备,监测本单位信息安全状态,进行安全审计,在发生安全事件后及时组织有关技术人员进行事件响应原则上信息安全管理员不应由系统管理员、网络管理员、数据库管理员等兼任1应明确重要信息资产的安全负责人,有关责任人应清楚地了解自己担负的安全责任1信息系统的使用部门要设立专职(或兼职)的信息安全员,参与相应信息系统的安全管理,指导本部门各项安全措施的落实1计算机和信息系统使用人员都有义务参与信息安全工作,贯彻执行各项安全规章制度规章制度信息安全规章制度是所有与信息安全有关的人员必须共同遵守的行为准则信息安全规章制度的作用在于通过规范所有与信息安全有关人员的行为来保证实现安全策略中规定的目标和原则要求1信息安全规章制度内容应包括但不限于以下几方面信息安全组织机构和岗位职责、人员管理制度、信息安全工作考核制度、信息系统采购开发与设计实施管理制度、机房安全管理制度、核心资产安全管理制度、密码管理制度、数据备份管理制度、业务连续性管理制度、计算机终端管理制度、应用系统日常操作安全管理制度、网络设备日常操作安全管理制度、安全设备日常操作管理制度等1信息安全管理制度必须符合安全策略和本单位的实际情况,其内容和要求应当清晰明确并且可执行、可审查1应通过下发文件、会议宣传和培训等多种方式确保所有相关人员知悉规章制度的内容和要求1应根据本单位实际情况的变化,及时对信息安全管理制度的可行性和实施效果进行评估并根据评估结果对其进行调整和完善人员安全人员安全是指通过管理控制手段,确保单位内部人员(特别是信息系统的管理维护人员)和第三方人员在安全意识、能力和素质等方面都满足工作岗位的安全要求,减少对信息安全有意或无意的人为威胁人员安全主要包括工作岗位风险分级、人员审核、工作协议、人员离职、人员调动及第三方人员安全等几个方面人员安全管理工作需要由信息安全管理机构和本单位有关行政管理部门共同完成
7.
1.4工作岗位风险分级工作岗位风险分级是依据本单位各工作岗位的职责范围和性质,划分岗位的信息安全风险级别,根据风险级别分配相应的信息访问权限要求1应在人员管理制度中,根据不同岗位的性质和工作职责,规定其信息安全风险级别并针对不同的岗位风险级别赋予信息访问权限1人员管理制度中有关工作岗位风险分级的规定,应在日常工作中得到落实,所有工作人员应当明确自己所在岗位的信息访问权限
7.
1.5人员审核人员审核是核查人员管理或使用信息系统,接触重要信息是否合适,是否值得信任的一项工作人员审核应采用技术技能测试、法律法规及相关管理规定了解情况的测试、人员背景审查等多种方式来进行要求1应结合本单位自身的业务需求、相关的法律法规、被访问信息的分类及面临风险等因素,在人员管理制度中规定人员审核的方法和流程,规定在不同的情况下何人负责审核,何时进行审核,依据什么标准,通过什么方式进行审核1应根据人员管理制度的有关规定,对内部工作人员进行定期考核,考核中发现问题时,应根据具体情况进行教育培训1应根据人员管理制度的有关规定,在合作者、第三方人员进入本单位工作前进行人员审查,未通过的人员不能获得信息的访问权限
7.
1.6工作协议对信息系统的维护人员和重要信息访问权限的管理人员(特别是数据库管理员、网络管理员、系统管理员等可查询及更改业务信息与系统配置的人员),应签订有关信息安全的工作协议,明确其应尽的安全保密义务,保证在岗工作期间和离岗后一定时期内,均不得违反工作协议,对违反工作协议的行为应制订惩处制约条款要求1应在人员管理制度中规定工作协议的内容(如保密协议条款、操作流程和规范等)、管理和落实工作协议的部门、以及签署工作协议的流程1重要信息系统的管理、维护和使用人员在上岗前,应严格按照信息安全规章制度中的有关规定签署工作协议
7.
1.7人员调动通过严格的管理手段,保证人员内部调动,不会对信息安全造成危害要求1工作人员岗位调动时,必须移交原工作岗位的工作资料和软硬件设备1工作人员岗位调动时,信息安全管理机构必须及时对其信息系统访问授权进行调整1工作人员岗位调动时,信息安全管理机构应告知其信息安全责任的变化和新的注意事项
7.
1.8人员离职通过严格的管理手段,保证工作人员离职后,不会对信息安全造成危害要求1对离职人员应立即终止其所有与原工作职责有关的信息访问权限1对离职人员应立即收回出入机房和其他重要办公场所的证件、钥匙、胸卡,以及单位提供的软硬件设备等1拥有重要信息访问权限的人员,在离职时应在有关部门办理严格的离职手续并明确离职后的保密义务
7.
1.9第三方人员安全第三方人员的管理是人员安全管理的重要内容第三方人员是指来自外单位的专业服务机构,为本单位提供应用系统开发、网络管理和安全支持等信息技术外包服务的工作人员第三方人员工作岗位和职责具有其特殊性,可以比较深入地了解本单位的信息系统情况和大量重要信息,因此由第三方人员导致泄密和系统遭受破坏的风险较大要求1应制订第三方人员安全管理规定,明确第三方人员在管理、使用和维护信息系统,安装部署信息化产品和提供信息化技术服务等活动中应遵守的安全要求并明确定义其安全角色和责任1第三方人员进入本单位开始工作前,应与其所在单位签订保密协议1信息安全管理机构应根据第三方人员安全管理规定,采取必要的管理和技术手段,对第三方人员是否遵从安全要求进行检查监督安全教育和培训安全教育和培训是通过宣传和教育的手段,确保相关工作人员和信息系统管理维护人员充分认识信息安全的重要性,具备符合要求的安全意识、知识和技能,提高其进行信息安全防护的主动性、自觉性和能力
7.
1.10安全教育安全教育是针对信息系统的所有合法用户进行的,目的是使其了解信息安全的基本常识、信息安全的重要性以及个人对信息安全应负的责任,确保其在工作中自觉地遵守相关安全制度,维护信息系统安全要求1应根据信息系统的特定安全要求,制订具有针对性的安全教育内容,确保所有人员在被授权访问信息系统之前已进行了基本的信息安全教育1通过安全教育活动,相关人员应具备基本的信息安全意识,了解信息安全常识、熟悉信息系统使用规范、安全职责和惩戒措施等
7.
1.11安全培训安全培训是指对本单位承担信息系统管理、使用和运行维护人员进行的专业培训安全培训应根据不同的岗位职责和安全责任,制订有针对性的培训计划、培训教材并保证所有相关人员在从事本职工作之前就接受了必要的信息安全管理和技术培训要求1应在工作人员被授予访问权限之前,依据其安全角色和职责,进行具有针对性的安全培训1应科学的制订培训计划,认真组织培训,及时验证培训效果并形成相关的培训记录1应为重要信息系统的信息安全工作人员参加专业的信息安全培训和职业资格认证提供条件,使其系统地、全面地提高信息安全知识和技能水平8技术体系信息安全技术体系的作用是通过使用安全产品和技术,支撑和实现安全策略,达到信息系统的保密、完整、可用等安全目标按照P2DR2模型,行业信息安全技术体系涉及信息安全防护、检测、响应和恢复四个方面的内容1防护通过访问控制、信息系统完整性保护、系统与通信保护、物理与环境保护等安全控制措施,使信息系统具备比较完善的抵抗攻击破坏的能力1检测通过采取入侵检测、漏洞扫描、安全审计等技术手段,对信息系统运行状态和操作行为进行监控和记录,对信息系统的脆弱性以及面临的威胁进行评估,及时发现安全隐患和入侵行为并发出告警1响应通过事件监控和处理工具等技术措施,提高应急处理和事件响应能力,保证在安全事件发生后能够及时进行分析、定位、跟踪、排除和取证1恢复通过建立信息系统备份和恢复机制,保证在安全事件发生后及时有效地进行信息系统设施和重要数据的恢复访问控制访问控制是对信息系统中发起访问的主体和被访问的数据、应用、人员等客体之间的访问活动进行控制,防止未经授权使用信息资源的安全机制访问控制包括对各类信息系统的用户进行有效的标识鉴别和权限管理,以及根据信息系统的安全需求对网络基础设施、操作系统、应用系统、远程访问、无线接入、用户终端的访问活动进行有效限制标识鉴别和权限管理是访问控制的核心与基础敏感信息、特殊功能的访问,必须有完整的日志记录日志记录的访问与分析用户应与产生此日志的操作用户分离
8.
1.1标识鉴别访问控制的过程中对访问者和被访问者身份的声明称为标识,对身份的确认称为鉴别标识与鉴别可以确定访问主体和访问客体的身份,是进行访问控制的前提信息系统中的访问主体和访问客体都可能是一个用户,或者一个设备,所以标识鉴别的对象应该既包括系统用户,又包括系统中的软硬件设备要求1信息系统中的用户应具有唯一的标识并且通过唯一的方法进行鉴别,应通过适当选择静态口令、一次性口令、数字证书、生物特征或多种方式相结合的方法来实现1当使用口令机制进行鉴别时,应采用组成复杂、不易猜测的口令并制订口令最大生命周期限制,禁止口令被多次重用1应保证口令文件安全及口令存放介质的物理安全,口令应加密存储,当口令需要网络传输时,必须进行加密1信息系统对用户的鉴别应具有时效性,当用户在规定的时间段内没有做任何操作和访问时,应重新进行鉴别1应使用已知的共享信息(如MAC地址、IP地址)或采取特定协议(如IEEE
802.1X,EAP,Radius)对网络设备进行标识和鉴别
8.
1.2权限管理权限管理是指限制和控制访问权限的分配和使用在进行权限管理时应当遵守最小特权原则要求1应采用适当的技术措施(如操作系统和应用系统的用户权限管理工具、PMI系统等)为系统中的用户和设备分配相应的访问权限1对用户的授权应以满足其工作需要的最小权限为原则,不应分配与用户职责无关的权限
8.
1.3网络访问控制网络访问控制是防止对网络服务的未授权访问网络访问控制首先要对各类网络进行清晰的边界划分,进而在网络边界部署技术措施并通过合理的配置使其有效发挥作用要求1应清晰划分外网与内网的边界并对内网中不同类型的网络(如骨干网、省域网、局域网、以及局域网内部的不同区域)进行严格划分1在网络边界处设置网络访问控制技术措施,保证用户只能按照其得到的授权使用网络服务
8.
1.4操作系统访问控制操作系统访问控制是防止对操作系统的未授权访问并在出现违规登录操作系统时发出警报要求1应使用具有安全登录功能的操作系统1重要操作系统口令应为8位以上,且由字母、数字和特殊符号共同组成1当访问者连续非法登录操作系统3次以上时应自动锁定该账户或延长该账户下一次登录的时间1应设置操作系统的最长访问时间,当用户对系统访问超时,须强制用户重新登录1当某一账户处于空闲状态一段时间后,操作系统能够自动锁定该账户,要求重新登录
8.
1.5应用系统访问控制应用系统访问控制是防止对应用系统功能和信息进行未授权访问要求1应用系统和数据库系统开发过程中,应设置必要的访问控制机制,保证用户对信息和应用系统功能的访问遵守已确定的访问控制策略1应用系统的访问控制机制应覆盖其所有用户,所有功能和信息,以及所有的操作行为1应根据应用系统的重要性设置访问控制的粒度,一般应用系统应达到访问主体为用户组级,访问客体为功能模块级,重要信息系统应达到访问主体为用户级,访问客体为文件、数据表级1应严格限制默认用户的访问权限
8.
1.6远程访问控制远程访问控制是指对来自外网(如广域网)对本单位内网(如局域网)的访问进行控制,防止远程用户的未授权访问,以及在远程访问过程中的信息泄露要求1应明确远程访问的授权范围和访问方式并使用必要的控制措施管理远程访问1应使用加密传输来保护远程访问会话的机密性1应对远程访问用户进行身份识别
8.
1.7无线接入访问控制无线接入访问控制是对使用无线通信技术接入内网的用户进行访问控制,防止通过无线技术进行的未授权访问要求1使用必要的无线接入访问控制技术,保证用户在通过无线接入内网前必须经过严格的身份鉴别1应使用必要的加密技术保护通过无线通信系统传输信息的完整性和保密性
8.
1.8用户终端访问控制用户终端访问控制是防止由于终端计算机使用人员的误操作、越权访问、安装和使用与工作无关的个人软件,影响信息系统的正常工作,造成信息安全风险要求1应采用适当的技术手段,对用户终端的违规操作(如安装和使用间谍黑客软件,未经授权使用拨号上网等)进行监测和有效控制1应通过适当的技术手段,防止未经授权的用户终端接入本单位网络系统尤其要防止外单位人员的用户终端在未经批准的情况下接入本单位网络系统1接入行业网络的用户终端应进行必要的安全检测,满足接入条件1因工作岗位变动不再需要使用用户终端时,应对其进行妥善处理并及时删除用户终端内敏感数据信息系统完整性保护信息系统的完整性是指信息系统没有遭受篡改或破坏为保持信息系统的完整性,在信息系统的采购和开发过程中,应当充分考虑相应的保护机制,如错误处理、输出信息校验,尽量消除信息系统存在的自身缺陷;在信息系统的运行阶段,应当使用适当的技术手段修补系统中存在的漏洞并采用技术措施防范恶意代码造成的破坏等
8.
1.9错误处理错误处理是指应用系统辨别和处理运行中由于操作不当和运行环境等因素造成的错误,以提高应用系统的容错能力要求1在应用系统的开发过程中,应充分考虑系统可能出现的操作错误,为操作界面提供撤销操作的功能;当某一功能发生错误故障时,尽量保障其他功能依然可用1应用系统应具备错误检测能力,在发生错误和故障时发出报错信息;报错信息应只显示给拥有授权的用户,防止报错信息为攻击者提供敏感信息和有关系统脆弱性的信息
8.
1.10输出信息处理应用系统应以正确的方式对输出的信息进行处理和保存,确保输出信息的完整性要求1应用系统应具备对系统输出信息进行校验的功能,保证输出信息的准确性1应用系统应能够为信息的阅读者或输出信息的接收系统提供用以确定输出信息完整性的信息1应用系统应能够对输出信息的去向进行记录
8.
1.11恶意代码防范恶意代码防范是通过部署恶意代码防护措施,降低由于恶意代码的传播造成的系统崩溃、数据丢失等安全风险要求1应在网络边界和网络中的服务器、用户终端等设备中部署恶意代码防范工具1必须在本单位的网络系统中部署病毒集中防御系统,对系统中的防病毒软件进行统一管理,防止恶意代码通过网络大范围传播1在重要应用系统的开发中,应当对应用程序代码进行安全性审查,识别应用系统中可能存在的后门、系统炸弹、隐蔽通道等恶意代码
8.
1.12漏洞修补漏洞修补是指分析信息系统中存在的安全漏洞,对受到这些漏洞影响的系统进行安全加固,防止攻击者利用漏洞对信息系统进行攻击要求1应及时跟踪国家有关部门(如公安部国家网络与信息安全通报中心、信产部CNCERT)、操作系统开发商和数据库系统开发商最新发布的漏洞公告,为信息系统获取相关的补丁软件1在对系统漏洞进行修补前,应对补丁文件的有效性和安全性进行测试1应采取有效的管理和技术措施,及时发现漏洞并及时修补
8.
1.13数据的完整性数据的完整性是指数据在输入、存储、处理和传输的过程中,没有发生错误、篡改和遗漏要求1应利用访问控制设备和信息系统本身的安全防护机制,防止篡改信息系统中的业务数据和配置信息1对自开发的应用系统应采用奇偶校验,循环冗余检验,哈希函数等技术机制或专门的技术产品来保证数据的完整性1应使用密码技术保证数据在网络中传输的完整性
8.
1.14垃圾邮件防范应采取适当的技术措施防止利用垃圾邮件对系统进行恶意攻击要求1应为本单位的邮件系统部署有效的反垃圾邮件工具1要避免本单位邮件系统成为垃圾邮件的源头系统与通信保护系统与通信保护是指通过一系列技术措施,保证信息系统的各个组成部分和信息系统中的通信活动按照安全策略正常工作包括以下内容安全域划分、拒绝服务保护、边界保护、传输加密、公钥基础设施和抗抵赖服务等
8.
1.15安全域划分在信息系统中,遵守相同的信息安全策略的集合(包括人员,软硬件设备)称为安全域它的目的是对信息系统中的不同安全等级区域分别进行保护要求1应根据网络结构、应用系统用途以及信息的安全等级等因素,对信息系统进行安全域的划分1应将不同用途的系统划分在不同安全域,应将信息系统用户功能区域与信息系统管理功能区域划分在不同安全域,应将应用服务(如门户网站、应用系统操作界面)与数据存储服务(如中间件服务器、数据库服务器)划分在不同安全域1应采用合理的技术措施对跨越安全域边界的访问进行有效控制
8.
1.16拒绝服务防范拒绝服务(DoS)是指系统被破坏或出现暂时不可用的故障,而导致服务的中断应通过部署网络边界防护设备和系统安全加固来降低拒绝服务攻击的风险要求1应在网络边界设备上制订访问控制规则,以保护本单位内网和局域网设备不受拒绝服务攻击的直接影响1对于互联网应用,应适当采用扩充系统容量、增加带宽、备份冗余等方式增强抵御拒绝服务攻击的能力1应及时进行系统安全加固,对存在的安全漏洞进行修补,避免利用系统漏洞的拒绝服务攻击
8.
1.17网络边界保护网络边界保护是在网络边界部署安全控制措施对网络通信进行监测和严格控制,以防止来自外部的攻击,保护信息系统关键信息的通信安全要求1应监视和控制本单位网络对外出口和内部网络边界的通信情况1应采用防火墙、代理服务器,路由器安全配置等方式对网络边界进行保护1在具有公众服务的边界出口处,应采用入侵防护系统IPS、病毒网关防护系统AV、流量整形系统等防护措施来加强保障
8.
1.18传输加密传输加密的目的是防止搭线窃听、诱骗等安全威胁,保护信息传输过程中的机密性要求1在传输涉及行业秘密或敏感信息时,应使用国家有关部门认可的或符合行业有关要求的加密设备进行加密传输
8.
1.19公钥基础设施公钥基础设施用于为信息系统用户提供第三方的身份标识和鉴别服务要求1应按照国家局的要求,建设、使用和规范管理PKI/CA认证体系,对重要信息系统必须使用PKI/CA认证体系进行用户身份的标识和鉴别
8.
1.20抗抵赖服务抗抵赖服务是指监控个人对信息系统执行特定的操作并对其进行准确记录抗抵赖服务的目的是防止用户不承认执行过某个操作而推卸责任要求1重要的应用系统应具有抗抵赖功能,能确定某人是否执行了某个特定的操作(如创建信息、发送信息、接收到信息等),并产生和储存相关的证据1应利用公钥基础设施为重要的网络设备和服务器建立有效抗抵赖措施物理环境保护物理环境保护是指将信息系统硬件设备放置在安全区域内并通过物理屏障、监控设施和保持良好的物理环境进行保护,避免对信息系统硬件物理上的破坏和干扰
8.
1.21物理访问控制物理访问控制是指通过物理屏障、监控设备、物理标识和人员监督等措施,保证只有经过授权的人员可以对信息系统的硬件设备进行访问要求1各类人员只有在持有访问许可时才可以接近信息系统核心硬件,对于不再需要进行访问的人员应及时收回访问许可1应当在信息系统核心硬件设施的物理访问进出点,对进出人员的访问许可进行核实,同时记录访问时间和事由1应通过定期检查和分析物理访问记录,及时发现违规或可疑的物理访问并及时采取补救或防范措施
8.
1.22传输介质保护传输介质保护是指防止传输信息的线缆遭到物理损坏,以致通信中断、通信效果下降或泄密要求1应在网络布线工程过程中严格遵守有关标准规范,保证布线的质量和工艺水平1应采取有效措施控制对本单位局域网信息传输线路的物理接触,以防止搭线窃听、传输过程中的数据篡改和干扰、以及对线缆的物理破坏1应尽量避免在网络中使用共享式网络设备,如HUB
8.
1.23存储介质保护存储介质是信息静态的载体,包括硬盘、光盘、U盘等多种形式介质保护是指对介质进行适当的标识和访问控制,以合理的方式进行介质的保存,传送和废弃要求1应在重要的存储介质上粘贴纸质标签,标签上要印有介质的编号、名称、类别、负责保管和使用的人员和部门,该介质使用范围的限制和操作中的注意事项等1应对重要存储介质进行妥善保管,保证只有经过授权的人可以访问存储有重要信息的介质并防止由于人为破坏,以及高温、潮湿等自然因素影响介质的可用性1对不再需要保留的重要信息或存储介质废弃时,应将其从存储介质中彻底清除
8.
1.24显示介质访问控制信息的显示介质,如计算机屏幕、传真机、扫描仪、打印机等,有可能成为泄密渠道显示介质访问控制是指防止未经授权的人,通过接近或使用信息显示介质,破坏信息的安全性应设置有效的访问控制措施,限制非授权人员偷窥或直接使用显示介质获取行业的重要信息要求1应有效防止非授权人员接近正在或可以显示重要信息的显示介质,防止未经授权的人员浏览显示内容1在显示介质无人值守时应该通过适当的标识鉴别机制防止未经授权的人员使用显示介质
8.
1.25机房环境安全计算机机房的环境安全必须符合国家有关规范和国家局有关规定的要求,为信息系统的正常稳定运行,提供良好的物理环境要求1省级以上单位或重要单位的机房应达到国家A级以上标准,其他单位机房应达到国家B级以上标准检测与响应检测与响应是指对信息安全事件进行预警、识别和分析并对已经发生的安全事件做出及时有效响应
8.
1.26入侵检测入侵检测是对信息系统的运行状况进行监视,以发现各种攻击企图、攻击行为或者攻击结果要求1应使用入侵检测工具对信息系统中的安全事件进行实时监控1应定期查看入侵检测工具生成的报警日志,及时发现信息系统中出现的攻击行为
8.
1.27漏洞扫描漏洞扫描是使用专用工具,及时检测、发现信息系统中关键设备存在的漏洞,为安全加固提供准备要求1已配备漏洞扫描工具的单位,信息安全管理员应能熟练使用漏洞扫描工具,及时更新漏洞扫描工具的软件版本和漏洞库,及时发现信息系统中存在的漏洞并且保证漏洞扫描工具的使用不会对信息安全造成负面影响1未配备漏洞扫描工具的单位,可采取委托第三方专业机构的方式,定期进行漏洞扫描1应针对漏洞扫描的结果,对重要信息系统及时进行安全加固
8.
1.28安全事件告警和响应信息安全事件告警和响应,是指在发生安全事件时发出告警信息并做出及时响应要求1应在网络中部署安全监控和审计设备并能通过适当的方式,及时向信息安全管理员发出安全事件的告警1应在保证业务连续性不受影响的前提下,选用带有自动响应机制的安全技术或设备,如IDS与防火墙联动、IPS、有过滤功能的内容审计系统,自动终止信息系统中发生的安全事件并保存有关记录安全审计安全审计是对信息系统中的操作行为和操作结果进行收集和准确记录并可以重现用户的操作行为的过程,为安全管理提供用于安全事件分析的数据与事后的行为取证
8.
1.29网络行为安全审计网络行为主要指使用者接入网络、使用网络资源的记录,也包括运维人员对网络的维护操作行为要求1应根据信息系统资产的重要性和风险情况,合理确定审计对象与审计内容并采用实用有效的审计工具1用户上网记录应包括登录网络时间、离开时间、登录地点、使用网络资源;若是维护人员还应包括维护系统的操作命令记录1安全事件记录应包括安全事件发生的时间、导致安全事件产生的使用者、事件的类型及事件造成的结果1应妥善保护信息系统中重要审计记录,防止丢失、损坏、伪造与篡改,保证审计信息的完整性1当审计目标范围较大、审计结果庞大复杂时,应采用专门的信息安全审计工具,对审计记录进行集中存储、分析和管理,提高审计工作的效率
8.
1.30业务合规性审计业务合规性审计指对有关行业涉密信息以及业务流程审批的操作规定,在业务系统中要可以记录业务流程操作过程与涉密信息使用记录并提供事后审计的功能要求1应根据行业相关的管理要求,合理确定审计对象与审计内容并采用有效的审计工具,必要时可以对业务开发单位提出审计开发要求1涉密信息使用记录包括信息标识、使用人员、使用时间、操作内容等1业务合规性检查包括业务是否符合有关审批规定、是否符合财务规定、是否符合行业的其他规定等1应对审计记录进行妥善的保护,防止丢失、损坏、伪造与篡改,保证审计信息的完整性1当审计目标范围较大、审计结果庞大复杂时,应采用专门的信息安全审计工具,对审计记录进行集中存储、分析和管理,提高审计工作的效率备份与恢复备份与恢复是指将信息和信息系统以某种方式进行复制,在其遭受破坏或故障时,重新加以利用的一个过程备份与恢复系统的建设,要根据信息和信息系统重要程度制订明确的备份恢复策略,采用必要的技术产品和备份恢复机制,实现备份恢复策略
8.
1.31信息系统备份信息系统备份是指对信息和信息系统软硬件进行备份,以便在信息或信息系统遭到破坏时重新恢复使用要求1应根据信息系统的重要性,合理选择适当的备份机制,对不同类型的信息和信息系统软硬件进行合理的备份1备份的对象不仅应包括业务信息和软硬件设备,还应包括用于恢复系统的配置信息1应采用有效的技术手段保证备份系统的可靠性和备份信息的完整性并且对备份系统的有效性进行定期测试
8.
1.32备用存储站点备用存储站点是指为重要信息建立的备用存储系统,以便在重要信息遭到破坏后对其进行恢复要求1应根据本单位特点和实际需求,为重要信息建设备用存储站点1备用存储站点应与主站点保持一致的安全防护等级1备用存储站点应与主站点保持足够的距离,以避免受到同一灾难的影响
8.
1.33备用处理站点备用处理站点是指为重要信息系统建立备用的处理系统,以保证重要信息系统在发生安全事件后可以保持处理能力的连续性要求1应根据本单位特点和实际需求,建立备用处理站点,当重要的信息处理能力失效后,可以及时使用备用处理站点保证数据处理的连续性1备用处理站点应与主站点保持一致的安全防护等级1应对备用处理站点进行有效配置,使之可以随时进入到正式运行状态1应定期对备用处理站点进行测试,检查备用处理站点的有效性
8.
1.34备份通信线路备份通信线路是指为重要信息系统建立的备用网络传输线路,在主线路不能正常工作时可以保持数据传输的能力要求1应为重要网络通信线路建立备份线路1备份线路与主线路应保持一致的安全防护等级1应定期测试备份通信线路,保证备份通信线路的有效性1互为备份的线路应避免同一性质故障的影响
8.
1.35信息系统恢复和重建信息系统恢复和重建是指信息系统的应用软件和系统软件被重新安装,最近备份的业务信息和配置信息仍然有效,在灾难发生后系统能够恢复正常运行要求1应参照国家公布的《信息系统灾难恢复指南》,采取技术措施并建立相应的流程,保证重要的业务系统在遭到破坏后可以迅速地恢复或重建1应定期组织重要信息系统恢复与重建的演练9运维体系信息安全运维体系的作用是在安全管理体系和安全技术体系的运行过程中,发现和纠正各类安全保障措施存在的问题和不足,保证它们稳定可靠运行,有效执行安全策略规定的目标和原则当运行维护过程中发现目前的信息安全保障体系不能满足本单位信息化建设的需要时,应当制订新的安全保障体系建设规划,进而通过新一轮信息安全保障体系建设,使安全保障体系的保障能力得到全面提升行业信息安全运维体系建设工作的内容应当包括制订流程和规范、制订阶段性工作计划、开展风险评估、实施安全分级、规范产品与服务采购、加强日常维护管理、提高紧急事件响应能力、进行绩效评估与改进等流程和规范流程和规范是指规定信息安全运行维护工作的具体内容,规范信息安全运行维护工作方式和次序的一系列文件流程和规范的作用是将信息安全维护工作规范化和标准化,保障信息安全策略和规章制度有效落实并便于审查要求1制订全面、合理、可行的流程和规范,其内容必须覆盖风险评估、产品与服务采购、系统维护、应急计划和事件响应等运行维护的各个方面1流程和规范应明确描述信息安全运行维护各项工作的工作程序、操作次序、记录表单和文档模版1应通过下发文件、会议宣贯、组织学习、专业培训等多种方式确保所有相关人员熟悉、理解和遵守相关的流程和规范1应定期审查流程和规范的执行情况,考核信息安全运维人员完成安全运维工作的规范程度1当流程和规范与总体安全策略和信息安全管理制度发生冲突,或者与实际情况产生矛盾的时候,应及时对其进行调整和完善安全分级安全分级是指对信息及信息系统,按照本单位的安全策略以及相关法规和标准的要求进行分级,以对不同类别的信息和信息系统提供不同等级的安全保护应按照国家有关标准、规范,遵照国家局关于行业信息系统安全等级保护工作的有关要求,确定本单位信息系统和信息子系统的安全级别分级应考虑如下要素1信息系统的资产价值1信息系统的业务信息类别1信息系统的服务范围1信息系统对业务的影响要求1应根据本单位实际情况对信息系统进行准确定级1应根据信息系统的定级情况,落实相应安全保障措施,达到相应的安全保障目标风险评估风险评估是指对信息系统面临的安全威胁,存在的脆弱性,以及它们综合作用带来负面影响的严重性和可能性进行系统化的分析和评价风险评估的作用是了解信息和信息系统面临的安全风险,为实施安全控制措施,降低安全风险提供依据
9.
1.1风险评估实施风险评估的实施是指选择适当的评估方法,由信息安全评估专业人员和信息系统用户共同参与,对信息安全风险进行评价的过程风险评估的实施应以《信息安全技术信息安全风险评估规范》、《信息安全技术信息系统安全保障评估框架》和国家的有关文件要求为依据行业的风险评估可采取自评估(自身发起)和检查评估(上级主管部门或国家有关职能部门发起)两种方式风险评估工作应委托具有相应资质的风险评估服务机构,有条件的单位也可依靠自己的技术力量进行应定期进行全面的风险评估并在下列情况下,及时对信息系统实施不同范围的风险评估1信息安全保障体系建设前期进行全面的风险评估1在技术平台进行大规模更新时,进行全面的风险评估1重要信息系统升级时,针对信息系统可能受到影响的部分进行风险评估1对目前的重要信息系统增加新应用时,针对信息系统可能受到影响的部分进行风险评估1在与其他单位(部门)进行网络互联时,针对重要信息系统可能受到影响的部分进行风险评估1在发生信息安全事件之后,或怀疑可能会发生安全事件时,针对信息系统可能受到影响的部分进行风险评估要求1应根据实际情况制订风险评估工作计划并通过风险评估的实施,确定信息系统的资产价值,识别信息系统面临的威胁,识别信息系统的脆弱性,分析各种威胁发生的可能性并分析可能造成的损失、评价系统的风险状况1对重要信息系统应定期进行风险评估,以评估系统的安全风险和已实施的安全控制措施的效果1要高度重视信息安全风险评估的组织管理工作,妥善保管风险评估报告,防止由于风险评估而引入新的风险委托的第三方机构必须具有相应的资质,并保持相对稳定,不宜频繁更换1上级单位应不定期对所属单位的信息安全状况进行检查评估,考核安全管理与技术措施落实情况,指导、促进安全水平的提升
9.
1.2信息安全审核信息安全审核是指本单位信息安全组织机构或上级主管部门,依据风险评估的结论,对信息系统风险状况和安全性进行的审查批准工作要求1重要的信息系统或重要信息系统中关键设备正式上线运行前,应将相应的风险评估报告上报信息安全组织机构或上级主管部门审核,得到认可后方可实施1重要信息系统进行重大变更时,在系统正式投入使用前,应将相应的风险评估报告上报信息安全组织机构或上级主管部门审核,得到认可后方可实施阶段性工作计划阶段性工作计划是指依据信息安全保障体系建设规划,针对本单位现阶段应开展的重点工作制订的短期工作计划要求1应根据信息安全保障体系建设规划,结合当前实际情况,明确现阶段急迫和关键的安全问题,以及解决这些安全问题的主要工作内容、工作方法、时间期限和资源投入等1在信息系统发生重大变更、风险评估中发现新的安全隐患时,应对信息安全阶段性工作计划及时进行相应地调整采购与实施过程管理采购与实施过程管理,是指在信息系统的采购和实施过程中,规范产品与服务的采购流程,严格工程实施过程管理,将信息安全体现和落实在信息化的规划和建设的过程中在信息系统产品与服务的采购和实施过程中,应在需求分析阶段考虑安全需求,在设计和开发阶段部署必要的安全措施,在测试和验收阶段对安全性进行测评
9.
1.3采购和开发管理采购和开发管理是指通过建立相应安全管理机制,在信息系统涉及的产品和服务的采购与开发过程中加强其安全性在信息化建设的采购和开发过程中,要明确信息系统的安全需求、安全指标和规范,对用于保护信息系统安全的投入予以充分考虑和合理分配并对采购对象的安全性进行严格的控制,以避免由于采购和开发的不当造成的安全隐患要求1应根据信息安全策略和信息系统的风险情况,在信息化建设项目需求书中明确信息系统的安全需求、安全指标和必须遵守的规范,以及服务商资格、能力等方面的要求1在信息系统采购和开发合同中,应对信息系统的安全指标和应达到的安全效果进行明确规定1采购的信息安全产品和提供安全服务的服务商应通过国家有关部门的测评或认证并具有国家主管部门的销售许可1重要信息系统的开发和建设必须经过信息安全管理机构对其设计方案的安全论证,安全论证应当考察安全措施的设计是否符合有关国家法规标准和本单位信息安全策略的要求,主要包括但不限于以下内容是否设计了必要的权限管理和访问控制功能;是否设计了必要的安全审计功能;是否设计了对存储和传输信息的机密性和完整性进行保护的必要措施;是否设计了软件容错和资源管理功能,以有效保障系统的可用性;是否在软件开发过程中通过有效措施保证代码安全1重要信息系统的开发和建设中的设计变更,不能给信息安全造成不可接受的负面影响,必要时要对设计变更进行安全论证1应对信息系统开发和建设的工程文档进行妥善保管,以避免攻击者利用工程文档中的信息对系统安全性造成危害1开发过程中应避免在代码中使用固定的用户名与密码,密码的存储必须进行加密,敏感信息必需进行权限控制
9.
1.4安全测评安全测评是指信息系统建设过程中,在采购和开发的软硬件产品正式上线前,对其安全性进行测试和评估安全测评的作用是确定信息系统的安全性,为工程的验收提供依据安全测评可以作为风险评估工作的一个步骤,也可以单独进行在必要时,可以委托专业的信息安全测评机构进行安全测评工作要求1在安全测评之前应编制产品安全测评方案和计划并考察其科学性和可行性1安全测评中尽量不要使用运行系统中的信息,在有必要将系统中的信息复制到测试系统时,测试人员应先经过相关管理人员的授权1安全测评完成之后,应立即在测试系统中检查并清除从运行系统中获取的信息1对安全测评生成的数据和结果进行妥善保管,以防止这些数据和结果被遗漏或篡改1安全测试结果要成为信息系统验收和交付的重要依据,如果测评中发现信息系统的安全性存在重大问题,则不能正式上线运行
9.
1.5外包运维服务外包运维服务是指将信息系统的运行维护工作交由外包运维服务商进行外包运维服务商对本单位信息系统具有较高的访问权限,信息化工作部门必须对外包运维服务工作提出严格的安全要求并进行严格的监督管理要求1应在信息系统运维服务协议(合同)中,明确外包运维服务应遵守的安全规定和通过服务应达到的安全效果,信息系统运维服务协议(合同)中必须包括保密协议或有关保密的协议条款1进行外包运维服务的服务商,必须具备国家有关部门颁发的相关服务资质,其中进行安全技术体系运行维护的服务商必须具备国家信息安全服务资质1进行安全技术体系运行维护的外包服务商,不能同时承担网络基础设施、重要应用系统和重要数据库系统的外包运行维护工作1进行外包运维服务的服务商必须服从单位制订的信息安全策略,安全管理规章制度和运行维护流程规范的要求日常维护管理在信息系统投入正式运行后,对信息系统进行妥善的日常维护管理,一方面可以监控系统中存在的安全隐患和漏洞并及时采取有效措施进行弥补;另一方面可以防止日常维护工作本身对信息系统安全性可能造成的危害
9.
1.6配置管理在配置管理工作中,有关人员应根据信息系统的安全需求,以及安全策略、信息安全管理规章制度和运行维护流程规范的有关要求,对网络设备、安全设备、操作系统、应用系统和数据库系统等软硬件设备的配置进行正确有效的安全设置,以降低信息安全风险要求1应编制和维护信息系统的资产清单和基线配置文件,使之与信息系统的真实情况保持一致1信息系统软硬件设备的配置应满足安全性要求,开启必要的安全功能,禁用不必要的软件功能模块,应用服务,网络端口和协议,以减少系统的安全漏洞1应采取管理手段和标识鉴别技术,确保只有拥有授权的人员才能对信息系统配置进行变更并对配置变更的过程进行监督和记录1在配置变更结束后,应对系统的安全性进行检查,保证配置变更没有影响系统应该具备的安全功能
9.
1.7定期维护管理有关人员在对信息系统进行定期维护时应严格遵守信息安全规章制度和运行维护流程规范,以提高系统的安全性要求1应根据安全需要,定期察看信息系统中与安全相关的状态信息和事件记录,监控信息系统安全风险和运行环境的变化,确定安全防护措施处于正常运行状态1定期维护工作结束后应检查信息系统的相关安全特性是否受到影响1如某些设备和部件需外出维修,应先将其存储的数据进行备份后彻底清除,防止敏感信息泄露如遇数据无法进行备份的情况,应指定专人监督维修过程1要对每次定期维护过程进行记录,记录中要包括维护时间、维护人员、维护内容概述(维护的目的、范围、过程和结果)、被移除或替换的设备等
9.
1.8维护工具管理漏洞扫描、渗透测试、错误诊断等系统维护工具,如使用不当可能会对系统安全造成很大的负面影响,因此必须对此类系统维护工具的使用进行严格的管理要求1应对可能给信息系统安全性造成负面影响的维护工具的使用进行严格的管理,保证只有经过授权的人员可以使用此类维护工具或查看维护工具中的信息1维护人员使用维护工具之前,应对工具进行安全性检查,防止维护工具的攻击性功能和携带的恶意代码对系统安全性产生负面影响1维护工具使用完毕后,要删除工具中携带的敏感信息,防止通过维护工具造成信息泄露
9.
1.9远程维护管理为防止远程维护对信息系统安全带来的威胁,应制订有关规章制度和流程规范,严格管理通过远程连接对信息系统进行的维护要求1信息系统开发商或集成商提供远程维护前,必须提交维护工作计划并经信息安全组织机构的审核批准1应通过技术手段,对远程维护过程进行严格的监督和控制1应对所有远程维护进行记录,以备需要时查看1应在远程维护结束后,及时关闭远程维护活动使用的进程和远程连接应急计划和事件响应应急计划是在信息系统发生紧急安全事件(包括入侵事件、软硬件故障、网络病毒、自然灾害等)之后,为尽快恢复其正常运行,降低安全事件的负面影响而制订的预案有关应急计划内容应包括计划制订、计划培训和计划演练事件响应是在安全事件发生后根据应急计划对事件进行监控、处置和报告,采取措施将损失降到最低程度并从中吸取教训的活动事件响应工作应包括事件监控和事件处置
9.
1.10应急计划制订针对重要信息系统制订应急计划,可以保证发生信息安全紧急事件后,有计划地进行有效响应要求1应根据国家局有关要求和对信息系统风险评估的结果,在应急计划中制订本单位的信息安全事件列表并将安全事件进行等级划分1应在应急计划中规定出现紧急事件时的人员职责与操作流程,发生紧急事件后的资源分配方案,系统软硬件设备、业务数据和配置数据的备份与恢复方法,针对应急计划的培训方案和针对应急计划的演练方案等1应在信息系统功能和运行环境发生变更或发现应急计划中存在缺陷时,对应急计划及时进行调整完善并及时通知相关人员
9.
1.11应急计划培训对参加执行应急计划的人员进行培训,可以使相关人员了解应急计划的内容,以保证出现信息安全紧急事件时迅速有效地执行应急计划要求1根据应急计划中规定的培训方案进行培训并保存培训记录1应急计划培训的内容应包括相关人员在紧急事件中应履行的职责,对系统故障进行测试、定位和排除所使用的技术和方法,有关信息安全的法律法规,有关国家机构、技术支持单位和本单位有关部门的联系方式等1培训结束后应考察学员的培训效果
9.
1.12应急计划演练对应急计划进行演练,可以检验应急计划的合理性和有效性要求1应定期进行应急计划演练,通过演练,检验应急计划的合理性和有效性,发现应急计划中存在的问题,并及时改进1如果信息系统有备用站点,应在备用站点演练应急计划,以评估备用站点支持应急计划的能力1应选择合适的演练时间,避免影响业务正常运行
9.
1.13事件监测事件监测是指对信息系统的运行状况进行持续的监视、分析和记录,以及时地发现系统中出现的安全事件要求1事件监测工作应遵照有关国家标准要求和国家局有关规定进行1应定期察看各种安全检测设备,如入侵检测系统,漏洞扫描系统,防病毒系统和安全审计系统等的日志信息和运行情况,以及时地发现系统中的异常情况1应及时分析系统中出现的异常情况,确定是否发生了安全事件并分析事件的原因,事件可能造成的影响,同时进行详细记录
9.
1.14事件处置在信息安全事件发生后,应对其进行妥善的处理,以最大限度地减低事件造成的危害要求1发生安全事件时,信息安全管理机构应及时组织有关人员进行分析,明确安全事件发生的原因、重要程度和影响范围并按照应急计划进行处置,同时采取有效措施提取和保护相关证据1信息安全管理机构应积极总结安全事件处置中的经验和教训,改进安全事件处理流程1应建立安全事件报告机制,根据安全事件的重要程度和影响范围逐级上报,当安全事件涉及国家安全或犯罪活动时,还应及时向当地国家安全部门或公安部门报告1应建立事件响应的支持力量(如外聘专家、安全服务商、国家专门的事件响应处理机构等),为事件响应工作提供建议和帮助绩效评估与改进绩效评估与改进的目的是通过对信息安全保障体系建设规划的执行情况进行全面测评和总结,准确了解信息安全保障体系实施的效果、存在的问题和安全需求变化并根据实际情况采取相应的纠正和调整措施,不断完善信息安全保障体系当通过绩效评估发现目前的信息安全保障体系已不适应本单位信息化建设的发展要求,不能有效防范所面临的安全风险时,应结合信息技术的进步并根据本单位新的信息安全保障需求,及时开展新一轮信息安全保障体系建设工作,使信息安全工作与信息化工作相协调,达到“以安全保发展,在发展中求安全”的目的要求1在信息安全保障体系建设规划的执行过程中,当一个阶段的建设工作结束以后或本单位信息化工作有重大发展时,以及整个规划完成以后,应及时组织绩效评估工作评估的内容应包括规划中的任务是否按期完成、是否达到预期效果、残余风险是否可以接受,以及安全保障体系与本单位信息化的发展是否相适应等1绩效评估可以与信息安全风险评估工作相结合应通过绩效评估发现问题并及时制订和落实改进措施1绩效评估工作可以委托第三方进行,但不能由参与了信息安全保障体系建设的信息安全服务商承担。