还剩7页未读,继续阅读
文本内容:
资产安全管理制度文档信息单位名称烟台市教育装备与技术研究中心文档名称资产安全管理制度文档编号YTEDU-CS-
4.9受控状态受控文件扩散范围内部使用制作人尹磊审核人姜静批准人冷作福页数共9页发布日期
2018.
10.10生效日期
2018.
10.10版本历史版本日期说明修订人
1.
02018.
10.10创建文件尹磊
2.
02019.
07.17修订尹磊资产安全管理制度第一章总则第一条本管理办法旨在对烟台市教育城域网核心机房内部重要的信息资产进行分类分级,以便对信息的分发和流转进行恰当的控制,确保信息资产的保密性、完整性和可用性能够实现第二条本管理办法适用于烟台市教育城域网核心机房第三条定义
(一)本制度所涉及的信息包括各种存储或者存在形式,包括但不限于电子信息、纸质数据文件、语音和图像等
(二)本制度所称信息是指以任何形式存在或传播的具有价值的内容,包括电子信息、纸质数据文件、语音图像等信息安全关注的是信息的保密性、可用性和完整性
(三)本制度所称信息资产是指任何对本单位具有价值的信息的存在形式或者载体,包括计算机硬件、通信设施、IT环境、数据库、软件、文档资料、信息服务和人员等,所有这些资产都需要妥善保护第二章组织与管理第四条机房管理人员负责组织本制度的贯彻落实第五条全体员工理解并遵守本制度定义的内容第六条本制度定义以下相关角色,履行相应的信息安全管理、执行和审核职责
(一)责任人,信息资产的创建者,或者主要用户所在单位或部门的负责人信息资产责任人对所属信息资产负直接责任其主要职责包括
1、理解和各种信息访问活动相关的安全风险;
2、根据单位信息密级划分标准来确定所属信息资产的级别;
3、根据单位相关策略确定并检查信息访问权限;
4、针对所属信息资产提出恰当的保护措施
(二)保管者,受信息资产责任人委托,对信息资产进行日常的管理,维护已经建立的保护措施资产保管者通常是本单位烟台市教育装备与技术研究中心或者代表(例如系统管理员)其主要职责包括
1、根据相关策略和信息资产责任人的要求,负责信息资产的维护操作和日常管理事务;
2、负责具体设置信息访问权限;
3、负责所管理的信息资产的安全控制;
4、部署恰当的安全机制,进行备份和恢复操作;
5、按照信息资产责任人的要求实施其他控制
(三)用户,信息资产的使用者,除了本单位内部员工,也可能是因为业务需要而访问本单位信息的客户或第三方组织其主要职责包括
1、向信息资产责任人申请信息访问;
2、按照单位信息安全策略要求正当访问信息,禁止非授权访问;
3、向相关组织报告隐患、故障或者违规事件第三章资产管理要求第七条信息资产分类信息资产责任人应该指导进行相关资产的调查,资产调查以业务流程为线索,包括各类输入、中间环节和输出信息,所有这些信息资产都为业务流程的运转提供支持信息资产可以分为以下几大类
(一)数据文件,通常包括各种电子文档业务数据、客户数据、配置文件、记录数据(日志、审计记录)、管理文件(策略、流程文件、操作手册等)、商务文件(合同、协议等)也包括以实物方式存在的资产各类电子数据的归档、打印件、书面管理文件、业务报表、包含重要商业成果的文件,还有胶片等
(二)软件资产,各种系统软件、应用软件(0A、业务软件等)和工具软件(开发系统、网管软件、安全软件等),包括操作系统、数据库应用程序、网络软件、办公应用系统、业务系统程序、软件开发工具等,这些软件资产负责处理、存储或传输各类信息
(三)实物资产,与业务相关的IT物理设备,包括计算机(工作站和服务器等)和网络通信设备、磁介质(磁带和磁盘等)、装置、环境等,这些实物资产容纳着软件和数据文件
(四)人员,承担某项与业务活动相关责任的角色和职位例如普通用户、系统管理员、网络管理员、保安、清洁员等,这些人员与各类数据、软件和实物资产的操作直接相关
(五)服务,安保(例如监控、门禁、保安等),环境服务(例如清洁),基础保障(供水、供热、供电),设备维护,通信服务(例如互联网接入)第八条信息资产属性保密性、完整性和可用性是评价资产的三个安全属性安全属性达成程度的不同将使资产具有不同的价值,而资产面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响第九条各部门根据业务流程列出信息资产清单并将每项资产的名称,资产编号,所处位置,资产价值,资产负责人等相关信息记录在《资产清单》第一节硬件安全管理第十条设备选型
(一)业务系统设备的选型与采购由烟台市教育装备与技术研究中心负责
(二)设备选型的原则是在满足工作需要的前提下,保证所选产品的先进性和实用性,避免过早被淘汰,但也不要搞超前消费而造成资金的浪费
(三)选用或购置涉密设备时应符合有关规定,确保这些设备的可靠性第十一条设备购置与安装
(一)对大宗采购的设备要在国内和国际厂商间进行招标,并根据厂商的产品性能、质量、价格和售后服务等指标做出优化选择,实行集中采购
(二)下属机构购置的设备,都要填写购置申请表上报烟台市教育装备与技术研究中心,经烟台市教育装备与技术研究中心和其他相关部门审批后由相关部门负责购置
(三)新购置的网络设备及网络安全产品应经过安全检测和实际测试,测试合格后方能投入使用
(四)复杂的设备由厂商或集成商负责安装调试,保证设备的可靠运行
(五)关键的设备由信息技术人员经过培训进行安装第十二条设备登记与使用
(一)建立设备登记档案,关键设备应建立维护档案
(二)设备应由网络管理员登记网络拓扑图,所有带网卡的设备都应登记网卡号,严格限定相应的网络权限
(三)所有设备都应填写固定资产登记卡,烟台市教育装备与技术研究中心保管
(四)各部门及个人领用的设备应实行个人负责制,每台设备有专人负责管理和使用,不得随意转借,更不得交给无关人员使用
(五)各部门间设备的调拨由调入部门填写设备调入申请单,由调入部门、调出部门及相关部门负责人签字同意后方可进行调拨
(六)对于不再需要或长期闲置的设备,各部门应及时归还给资产管理部门,以充分发挥设备的使用价值第十三条设备维护
(一)遵守定期维护检查制度,对关键设备的维护与维修要建立详细的维护档案
(二)建立设备管理维护记录,实行维护记录制度对故障发生的时间、表现、采取的解决措施、结果及软硬件的升级情况等进行详细记录
(三)建立相关电子设备的维护和维修手册,详细记录各厂商的联系电话、服务热线等信息
(四)设备自然使用损坏后,当事人需填写故障维修申请单报烟台市教育装备与技术研究中心,由烟台市教育装备与技术研究中心指派专人检查损坏情况后进行维修,对无法当时维修好的设备联系厂商或维修单位进行修理
(五)非烟台市教育装备与技术研究中心指定维护人员不得私自拆卸电子设备、不得维修设备或更换零件,凡因此而造成的设备损坏或配件丢失由当事人负责赔偿
(六)系统设备的扩容和升级应由烟台市教育装备与技术研究中心考察必要性和可行性,经领导批准后,统一安排购买配件和实施升级任何人不得自行联系设备升级第十四条设备报废
(一)长期闲置或不再使用的设备烟台市教育装备与技术研究中心根据设备的完好率、使用年限等因数决定进行调拨或报废
(二)对各部门内确无使用价值的设备的报废申请,由烟台市教育装备与技术研究中心核准后报相关部门批准
(三)由于使用人员重大责任事故而造成的部门内的设备报废,必须追究当事人的责任,经领导批准后,再作报废处理
(四)各部门大额设备(单件购买价超过五万)的调拨和报废工作按政府相关规定执行
(五)设备报废依据财务管理办法和有关规定执行,对报废设备上保存的存贮介质要进行清除,防止泄密第二节软件安全管理第十五条软件的选型
(一)应用软件在开发或购买之前应正式立项,成立由技术人员、业务人员和管理人员共同组成的项目小组并建立软件质量保证体系
(二)选用的软件必须是正版软件第十六条软件安全检测审查
(一)软件在正式使用之前应进行必要的安全功能检测,保证业务能正常安全可靠的运行不得建立无关的用户,测试用户在完成测试后必须加以限制或删除
(二)应用软件在正式投入使用前必须经过内部评审,确认系统功能、测试结果和试运行结果均满足设计要求,技术文档齐全,并经分管领导批准
(三)重要的业务应用系统应具有如下安全特性:
(四)自动记录全部操作过程;
(五)关键数据不得以明码存放;
(六)无法绕过应用界面直接查看或操作数据库;
(七)系统管理与业务操作权限严格分开;
(八)防止异常中断后非法进入系统;
(九)提供超时键盘锁定功能;(+)业务数据在通信网络上以加密方式传输;
(十一)应存储一年以上完整的系统运行记录;
(十二)提供系统运行状态监控模块;
(十三)提供数据接口,满足稽核、审计及技术监控的要求;
(十四)其它有助于控制业务操作风险的功能特性
(十五)系统软件应具备如下安全功能
(十六)身份验证功能,防止非法用户随意进入系统;
(十七)访问控制功能,防止越权访问;
(十八)故障恢复功能,能够自动或在人工干预下从故障状态恢复到正常状态而不致造成系统混乱和数据丢失;
(十九)安全保护功能,对信息的交换、传输、存储提供安全保护;
(二十)安全审计功能,便于应用系统建立访问用户资源的审计记录;
(二十一)分权制约功能,支持对操作员和管理员的权限分离与相互制约
(二十二)系统软件应达到相应的安全级别才能投入正常使用
(二十三)数据库管理软件除上述功能要求外,还应具有数据库的安全性、完整性、一致性及可恢复性保障机制
(二十四)应用软件应具备基本的访问控制和安全审计功能第十六条软件系统开发
(一)根据应用系统对安全的要求,同步进行安全保密设计
(二)软件开发过程应符合GB/T8566-1995《信息技术软件生存期过程》
(三)开发维护人员与操作人员必须实行岗位分离,开发环境和现场必须与生产环境和现场隔离
(四)软件设计方案、数据结构、加密算法、源代码等技术资料严禁流入生产现场、散失和外泄
(五)开发的软件应遵循上述
2.2中的安全特性和功能第十七条软件使用与维护
(一)应规定软件的使用范围和使用权限
(二)严禁擅自使用外来的磁盘、磁带和光盘如工作需要,必须在确保无计算机病毒、计算机系统工作安全的情况下,经烟台市教育装备与技术研究中心批准,并做好登记后方可使用
(三)软件使用人员应经过适当的操作培训和安全教育
(四)信息技术人员不得擅自进行软件维护和系统参数调整
(五)应采取有效措施,防止对应用软件的非法修改
(六)设专人负责业务软件的版本升级,及时为软件缺陷打补丁第十八条软件安全跟踪与报告
(一)设专人负责跟踪系统软件的安全补丁,及时弥补安全漏洞
(二)关键业务系统软件和应用软件必须启用其自身的安全审计留痕功能,便于系统建立访问用户资源的审计记录
(三)专人负责定期检查和跟踪审计日志,及时发现问题,并生成日志分析报告
(四)定期对系统产生的日志进行转存和清除第三节数据安全管理第十九条数据保密性管理
(一)对系统数据实施严格的安全与保密管理,防止系统数据的非法生成、变更、泄露、丢失与破坏
(二)关键业务数据不得泄露,禁止外传
(三)重要数据的处理过程中,被批准使用数据人员以外的其它人员不应进入机房工作;处理结束后,应清除不能带走的本作业数据;妥善处理打印结果,任何记有重要信息的废弃物在处理前应进行粉碎
(四)各业务数据仅用于明确规定的目的,未经批准不得它用
(五)无正当理由和有关批准手续,不得查阅客户资料;经正式批件查阅数据时必须登记,并由查阅人签字
(六)涉密数据不得以明码形式存储和传输
(七)根据数据的保密规定和用途,确定数据使用人员的存取权限、存取方式和审批手续
(八)在数据的传输过程中采用各种加密手段进行保障,如利用SSL、PGP等技术手段
(九)未经允许,不准将机房设备、维护用品、软盘、资料等私自带出机房,如有特殊情况,需经负责人同意并进行登记后方可带出第二十条数据访问控制管理
(一)设置系统管理员岗位,对系统数据实行专人管理
(二)设置数据库管理员岗位,对业务数据实行专人管理
(三)数据库管理系统的口令必须由专人掌管,并定期更换禁止同一人掌管操作系统口令和数据库管理系统口令
(四)在重要数据的处理过程中,被批准使用数据的人员以外的其它人员不应进入机房工作处理结束后,应清除不能带走的本次作业数据应妥善处理打印结果,任何记有重要信息的废弃物在处理前应进行粉碎
(五)对数据的备份、恢复、转出、转入的权限都应严加控制严禁未经授权将各种数据等拷贝出系统,转给无关的人员或单位;严禁未经授权进行数据恢复或转入操作
(六)采用实时监控机制,及时发现不良信息或破坏性数据,对其采取封堵、清除等相应安全控制措施
(七)对监控或检测到的可疑数据采用跟踪机制,并对其进行可控性操作,以便发现其最终企图第二十一条数据备份管理
(一)每个工作日结束后必须制作数据的备份并异地存放,保证系统发生故障时能够快速恢复
(二)关键业务数据必须定期、完整、真实、准确地转储到不可更改的介质上,并要求集中和异地保存
(三)备份数据必须指定专人负责保管,由烟台市教育装备与技术研究中心计算机信息技术人员按规定的方法同数据保管员进行数据的交接交接后的备份数据应在指定的数据保管室或指定的场所保管
(四)数据保管员必须对备份数据进行规范的登记管理
(五)备份数据不得更改
(六)备份数据保管地点应有防火、防热、防潮、防尘、防磁、防盗设施第二十二条数据存储管理
(一)设专人负责数据存储设备的使用和安全,包括磁盘阵列、磁带、光盘等的安全
(二)采用专门的数据备份和容灾安全解决方案及存储设备
(三)备份数据除了备份在本地机器上外,还需准确地转储到不可更改的介质上
(四)为保证数据不被删除或修改以及能够长时间保存,要求采用只读式数据记录设备第二十三条数据完整性管理
(一)业务数据不得随意更改
(二)对数据备份和审计记录定期进行查验
(三)保障传输过程中的数据完整性安全
(四)禁止用外网传输业务数据业务数据均通过内网专线传输,并利用专用加密软件加密、压缩、打包传输;
(五)用于传输和接收数据的机器均安装防黑客与防病毒程序
(六)保障对在线存储数据的完整性安全,每月用硬盘整理程序对存储在线数据的硬盘进行一次整理,并随机抽取其中的几组数据进行解压、还原,检查其内容是否正确与完整第四章附则第二十四条本制度由烟台市教育装备与技术研究中心负责解释和修订第二十五条本制度自印发之日起施行。