2024年4月14日发(作者:)
控制点
环境管理
资产管理
介质管理
安全要求要求解读
a)应指定专门的部门或人是负责机房机房是存放等级保护对象基础设施的重要场
安全、对机房的出入进行管理,定期所,要落实机房环境的管理责任人,因此要确
对机房供配电、空调、温湿度控制,保机房的运行环境良好、安全,应对机房环境
消防等设施进行维护管理进行严格管理和控制
b)应建立机房安全管理制度,对有关
物理访问、物品进出和环境安全等方
为保证系统有个良好安会的运行环境,应针对
面的管理作出规定
机房建立管理规定或要求
加强内部办公环境的管理是控制网络安全风险
c)应不在重要区域接待来访人员,不的措施之一,为保证内部办公环境的独立性、
随意放置含有敏感信息的纸质文件和敏感性,应降低外部人员无意或有意访问内部
移动介质等区域的可能性,同时杜绝都员工因无意行为而
泄露敏感文档而导致网络安全事件的发生
a)应编制并保存与保护对象相关的资等级保护对象资产种类较多,如保护对象的
产清单,包括资产责任部门、重要程资产管理比较混乱,容易导致等级保护对象发
度和所处位置等内容生安全问题或不利于发生安全问题时有效应急
信息资产的重要程度不同,在系统中所起的作
b)根据资产的重要程度对资产进行标
用也不尽相同,应综合考虑资产的价值、在系
识管理,根据资产的价值选择相应的
统件的地位,作用等因素,按照重要程度高低
管理措施
对资产进行分类、分级管理,分类的原则应在
相关文档中选行明确,且需明确重要资产和非
重要资产在资产管理环节(如入库、维修、出
信息作为资产的一种,可根据其所属的类别不
c)应对信息分类与标识方法作出规同,重要程度不同进行信息的整理分类(一般
定,并对信息的使用,传输和存储等可分为:敏感、内部公开、对外公开等不同类
进行规范化管理别),不同类别的信息在使用、传输和存储等
方面管理要求也应不同
a)应将介质存放在安全的环境中,对
介质类型可包括纸介质、磁介质、光介质等,
各类介质进行控制和保护,实行存储
由于存储介质是用来存放系统相关数据的,因
介质专人管理,并根据存档介质的目
此,介质管理工作非常重要,如果管理不善,
录清单定期查点
可能会造成数据的丢失或损坏,应为存储介质
提供安全的存放环境并进行妥善的管控
b)应对介质的物理传输过程中的人员
需系统存在离线的存储备份介质应对其进行管
选择、打包、交付等情况进行控制,
控,如对介质进行两地传输时,应遵循一定的
并对介质的归等进行登记记录
管理要求,应选择可靠的传送人员,并对打包
交付过程签字确认等
a)应对各种设备(包括备份和冗余设对设备进行有效的维护管理,在一定程度上可
备)、线路等指定专门的部门成人员定降低系统发生安全问题的概率,应明确设备管
期进行维护管理理的责任部门或人员
b)应建立配套设施、软硬件维护方面
的管理制度。对其维护进行有效管
理,包括明确维护人员的责任、维修
和服务的审批、维修过程的监督控制
等
c)信息处理设备应经过审批才能带离
机房或办公地点,含有存储介质的设
备带出工作环境时其中重要数据应加
设备维护管
密
理
含有存储介质的设备在报废或重用
前,应进行完全清除或被安全覆盖,
保证该设备上的敏感数据和授权软件
系统的正常运行依赖于对设备的正确使用和维
护。为了保证对设备的正确使用和维护,应建
立相应的管理规定或要求,相关人员必须严格
按照规定要求对设备进行使用和维护,并认真
做好使用和维护记录
信息处理设备的流转容易引起信息泄露的风
险,必须严加管控,因此信息处理设备带离机
房或办公等常规使用的地点时必须经过审批或
采取加密的管控措施
存储介质在报废或重用时,容易引起敏感信息
的泄露,应采取相应的处理的措施施
安全漏洞和隐患是引起安全问题的主要根源,
d)应来取必要的措施识别安全漏洞和
采取有效的措施来及时识别系统漏洞和隐患,
隐患,对发现的安全漏洞和隐患及时
并对识别出的漏洞和隐患根据评估的情况进行
进行修补或评估可能的影响后进行修
修补
补
e)应定期开展安全测评,形成安全测定期开展安全测评有利于及时发现系统潜在的
评报告,采取措施应对发现的安全问安全问题,安全测评局限于风险评估、等级测
题评,只要是通过对系统的全面测试评估方法
a)应划分不同的管理员角色进行网络没有明确的责任和权限要求,容易发生泄职事
和系统的运维管理,明确各个角色的件,因此要对管理员进行明确的划分并进行岗
责任和权限位职责的定义
b)应指定专门的部门或人员进行账户
账户管理应由专门的部门或人员来负责,并对
管理,对申请账户、建立账户、删除
账户的生命周期进行管控
账户进行控制
c)应建立网络和系统安全管理制度,
对安全策略、账户管理、配置管理、
日志管理、日常操作、升级与补丁、
口令周期更新等方面做出规定
对系统和网络安全管理缺乏规范性指导或规范
性指导规定不一致,容易造成人员读职或无作
为,因此对网络和系统安全应建立相应的管理
策略和规程类的管理要求
d)应制定重要设备的配置和操作手配置规范和配置基线是保障等级保护对象安全
册,依据手册对设备进行安全配置和运行的基本前提,应对设备的配置和操作建立
优化配置等操作规范和配置基线
网络和系统
e)应详细记录运维操作日志,包括日运维操作日志缺失,不利于安全事件的回溯或
安全管理
常巡检工作、运行维护记录、参数的追踪,因此要对日常的记录运维操作日志进行
设置、修改等内容详细的记录
发布者:admin,转转请注明出处:http://www.yc00.com/news/1713062736a2175390.html
评论列表(0条)