4.7.5 系统建设管理
系统建设管理的重点是与系统建设活动相关的过程管理,由于主要的建设活动是由服务方,如集成方、开发方、测评方、安全服务方等完成,运营使用单位人员的主要工作是对之进行管理,应制定系统建设相关的管理制度,明确系统定级备案、方案设计、产品采购使用、软件开发、工程实施、验收交付、等级测评、安全服务等活动的管理责任部门、具体的管理内容和控制方法,并按照管理制度落实各项管理措施,完整保存相关的管理记录和过程文档。
具体依据标准《基本要求》中系统建设管理。
4.7.6 系统运维管理
1、环境和资产安全管理制度
环境包括计算机、网络机房环境以及设置有网络终端的办公环境,明确环境安全管理的责任部门或责任人,加强对人员出入、来访人员的控制,对有关物理访问、物品进出和环境安全等方面作出规定。对重要区域设置门禁控制手段,或使用视频监控等措施。
资产包括介质、设备、设施、数据、软件、文档等,资产管理不等同于设备物资管理,而是从安全和信息系统角度对资产进行管理,将资产作为信息系统的组成部分,按其在信息系统中的作用进行管理。应明确资产安全管理的责任部门或责任人,对资产进行分类、标识,编制与信息系统相关的软件资产、硬件资产等资产清单。
具体依据标准《基本要求》中系统运维管理,同时可以参照《信息系统安全管理要求》等。 2、设备和介质安全管理制度
明确配套设施、软硬件设备管理、维护的责任部门或责任人,对信息系统的各种软硬件设备采购、发放、领用、维护和维修等过程进行控制,对介质的存放、使用、维护和销毁等方面作出规定,加强对涉外维修、敏感数据销毁等过程的监督控制。
具体依据标准《基本要求》中系统运维管理,同时可以参照《信息系统安全管理要求》等。 3、日常运行维护制度
明确网络、系统日常运行维护的责任部门或责任人,对运行管理中的日常操作、账号管理、安全配置、日志管理、补丁升级、口令更新等过程进行控制和管理;制订设备操作管理、业务应用操作管理、变更控制和重用管理、信息交换管理相应的管理制度;制定与信息系统安全管理相配套的规范和操作规程并落实执行;正确实施为信息系统可靠运行而采取的各种检测、监控、审计、
21
分析、备份及容错等方法和措施,对运行安全进行监督检查。
具体依据标准《基本要求》中系统运维管理,同时可以参照《信息系统安全管理要求》等。 4、集中安全管理制度
信息系统应按照统一的安全策略、安全管理要求,统一管理信息系统的安全运行,进行安全机制的配置与管理,对设备安全配置、恶意代码、补丁升级、安全审计等进行管理,对与安全有关的信息进行汇集与分析,对安全机制进行集中管理。
具体依据标准《基本要求》中系统运维管理,同时可以参照《信息系统等级保护安全设计技术要求》和《信息系统安全管理要求》等。
5、事件处置与应急响应制度
按照国家有关标准规定,确定信息安全事件的等级。结合信息系统安全保护等级,制定信息安全事件分级应急处置预案,明确应急处置策略,落实应急指挥部门、执行部门和技术支撑部门,建立应急协调机制。落实安全事件报告制度,信息系统发生较大、重大、特别重大安全事件时,运营使用单位按照相应预案开展应急处置,并及时向受理备案的公安机关报告。组织应急技术支撑力量和专家队伍,按照应急预案定期组织开展应急演练。
具体依据标准《基本要求》中系统运维管理,同时可以参照《信息安全事件分类分级指南》和《信息安全事件管理指南》等。
6、灾难备份制度
要对信息系统采取灾难备份措施,防止重大事故、事件发生。识别需要定期备份的重要业务信息、系统数据及软件系统等,制定数据的备份策略和恢复策略,建立备份与恢复管理相关的安全管理制度。
具体依据标准《基本要求》中系统运维管理和《信息系统灾难恢复规范》。 7、安全监测制度
开展信息系统实时安全监测,实现对物理环境、通信线路、主机、网络设备、用户行为和业务应用等的监测和报警,及时发现设备故障、病毒入侵、黑客攻击、误用和误操作等安全事件,以便及时对安全事件进行响应与处置。
具体依据标准《基本要求》中系统运维管理。 8、其他制度
对系统运行维护过程中的其它活动,如系统变更、密码使用等进行控制和管理。按国家密码管理部门的规定,对信息系统中密码算法和密钥的使用进行分级管理。
22
4.7.7 安全管理制度汇总
制定安全检查制度,明确检查的内容、方式、要求等,检查各项制度、措施的落实情况,并不断完善。定期对信息系统安全状况进行自查,第三季信息系统每年自查一次,第四级信息系统每半年自查一次。经自查,信息系统安全状况未达到安全保护等级要求的,应当进一步开展整改。
具体依据标准《基本要求》中安全管理机构,同时可以参照《信息系统安全管理要求》等。最终提交安全制度包括但不限于以下内容:
? 将乐县医院总体安全策略(组织、流程、策略、技术) ? 岗位安全责任制度 ? 第三方安全管理制度 ? 系统日常安全管理工作制度 ? 系统安全评估管理办法 ? 机房建设运行标准 ? 安全区域划分及管理规定 ? 管理信息区域网管制度 ? 系统建设管理制度 ? 设备入网安全管理制度 ? 系统软件和补丁管理制度 ? 备份与恢复管理制度 ? 账号和口令及权限管理制度 ? 介质管理
? 加密技术使用管理办法 ? 应急预案管理制度
? 安全事件报告和处置管理制度 ? 安全审计管理
五、 项目预算及配置清单
序号 产品名称 数量 价格 等保要求
23
网络安全-访问控制-网络边界部署防火墙或网闸 网络安全-入侵防范-入防御系统 网络安全-安全审计-网络运维管理安全审计 应用安全-安全审计-日志安全审计系统 应用安全-安全审计-数据库安全审计系统 主机安全-资源控制-对重要资源进行监视,最小值进行检测和报警 网络安全-访问控制-网络边界部署防火墙或网闸 主机安全-安全审计-采用终端管理系统实现安全审计 主机安全-安全审计-防病毒软件 1 网闸 1 2 3 4 5 入侵防御系统 运维审计系统(堡垒机) 日志审计系统 数据库安全审计系统 1 1 1 1 6 安全管理系统 1 7 防火墙 1 8 终端管理与杀毒软件(360天擎系统) 合计 大写:小写: 230 六、 附录:网神公司介绍
公司简介
网神信息技术(北京)股份有限公司,前身是原联想信息安全事业部,是集技术研发、生产制造、综合服务于一体的高科技信息安全方案、产品及服务提供商。
自成立以来,网神以政府为主要目标客户,为政府数字化、信息化建设提供网络安全保障,同时服务于金融,能源等国家经济命脉行业,迅速发展成为国内领先企业之一。网神拥有安全服务、安全管理、安全产品三大业务板块,优势集中,高效协同,快速响应,优质服务,为客户高效打造更加全面立体的可控安全防御体系。
24
相关推荐:
loading