文档介绍:一、引 言
1.1目标
伴随计算机应用广泛普及,计算机安全已成为衡量计算机系统性能一个关键指标。
计算机系统安全包含两部分内容,一是确保系统正常运行,避免多种非有意错误和损坏;二是预防系统及数据被非法利用或破坏。二者虽有很大不一样,但又相互联络,不管从管理上还是从技术上全部难以截然分开,所以,计算机系统安全是一个综合性系统工程。
本规范对包含计算机系统安、全各关键步骤做了具体说明,方便计算机系统设计、安装、运行及监察部门有一个衡量系统安全依据。
1.2范围
本规范是一份指导性文件,适适用于国家各部门计算机系统。
在弓I用本规范时,要依据各单位实际情况,选择合适范围,不强求全方面采取。
二、安全组织和管理
2.1安全机构
2.1.1单位最高领导必需主管计算机安全工作。
2.1.2建立安全组织:
2.1.2.1安全组织由单位关键领导人领导,不能隶属于计算机运行或应用部门。
2.1.2.2安全组织由管理、系统分析、软件、硬件、保卫、审计、人事、通信等相关方面人员组成。
2.1.2.3安全责任人负责安全组织具体工作。
2.1.2.4安全组织任务是依据本单位实际情况定时做风险分析,提出对应对策并监督实施。
2.1.3安全责任人制:
2.1.3.I确定安全责任人对本单位计算机安全负全部责任。
2.1.3.2只有安全责任人或其指定专员才有权存取和修改系统授权表及系统特权口令。
2.1.3.3安全责任人要审阅天天违章汇报,控制台操作统计、系统日志、系统报警统计、系统活动统计、警卫汇报、加班报表及其它和安全相关材料。
2.1.3.4安全责任人负责制订安全培训计划。
2.1.3.5若终端分布在不一样地点,则各地全部应有地域安全责任人,可设专职,也能够兼任,并接收中心安全责任人领导。
2.1.3.6各部门发觉违章行为,应向中心安全责任人汇报,系统中发觉违章行为要通知各地相关安全责任人。
2.1.4计算机系统建设应和计算机安全工作同时进行。
2.2人事管理
2.2.1人员审查:必需依据计算机系统所定密级确定审查标准。如:处理机要信息系统,接触系统全部工作人员必需按机要人员标准进行审查。
2.2.2关键岗位人选。如:系统分析员,不仅要有严格政审,还要考虑其现实表现、工作态度、道德修养和业务能力等方面。尽可能确保这部分人员安全可靠。
2.2.3全部工作人员除进行业务培训外,还必需进行对应计算机安全课程培训,才能进入系统工作。
2.2.4人事部门应定时对系统全部工作人员从政治思想、业务水平、工作表现等方面进行考评,对不适于接触信息系统人员要适时调离。
2.2.5对调离人员,尤其是在不情愿情况下被调走人员,必需认真办理手续。除人事手续外,必需进行调离谈话,申明其调离后保密义务,收回全部钥匙及证件,退还全部技术手册及相关材料。系统必需更换口令和机要锁。在调离决定通知本人同时,必需立即进行上述工作,不得拖延。
2.3,1应依据系统所处理数据秘密性和关键性确定安全等级,井据此采取相关规范和制订对应管理制度。
2.3.2安全等级可分为保密等级和可靠性等级两种,系统保密等级和可靠性等级能够不一样。
2.3.2.1保密等级应按相