文档介绍:机房安全管理 机房人员出入、巡检、操作和设备管理请参照《机房安全管理规定》。
网络安全管理
公司内部网络与互联网实行安全隔离,在网络边界处应部署防火墙或其他安全访问控制 设备,制定访问控制规则。
新增网络设备入网时,网络管理员应按照《机房安全管理 机房人员出入、巡检、操作和设备管理请参照《机房安全管理规定》。
网络安全管理
公司内部网络与互联网实行安全隔离,在网络边界处应部署防火墙或其他安全访问控制 设备,制定访问控制规则。
新增网络设备入网时,网络管理员应按照《网络设备安全配谿检查表》进行检查。经信 息安全管理员确认所有检查项检查结果全部为“是”后允许网络设备进入网络运行。
网络新建或改造,在投入使用前,网络管理员须进行网络连通性、冗余性和传输速度等 测试,信息安全管理员全程参与,确保网络系统安全。
当网络设备配谿发生变更时,须及时对网络设备配谿文件进行备份;网络设备配谿每三 个月进行全备份,网络设备配谿文件由网络管理员保管。
网络管理员应建立网络技术档案,技术文档包括拓扑结构(含分支网络)、网络设备配谿 等相关文档,网络技术文档由网络管理员保管。
主机安全管理
主机系统原则上仅开启必要的系统服务和功能,开启系统日志、安全日志。
主机运行维护人员应及时更新软件版本和病毒库;信息安全管理员负责制订统一的病毒管 理策略。
主机运行维护人员每个月通过防病毒管理软件查看所有主机的防病毒软件运行状态,如有 异常情况,主机运行维护人员需及时反馈给信息安全管理员进行处谿。
应用安全管理
重要信息系统应用开发应建立开发测试环境,开发测试的环境必须与实际运行环境分开, 信息系统开发、测试、修改工作不得在生产环境中进行。
新建信息系统入网前,系统管理员须进行由信息安全管理员参加的系统测试,并出具包含 身份鉴别、访问控制、安全审计等内容的系统泄密的责任,任何人不得向公司以外的任何单 位或个人泄露公司技术和商业机密,如因学术交流或论文发表涉及公司技术或商业机密,应 提前向公司汇报,并在获得批准同意后,方能以认可的形式对外发布。
定期对公司重要信息包括软件代码进行备份,备份完成后,做好登记工作。
数据库管理员负责对重要信息系统的数据库每周进行全备份,并对备份数据的有效性进行 检查。
存放备份数据的介质包括U盘、移动硬盘、光盘和纸质,所有备份介质必须明确标识备份 内容和时间,并实行异地存放。
数据恢复前,必须对原环境的数据进行备份,防止有用数据的丢失。数据恢复后,必须进 行验证、确认,确保数据恢复的完整性和可用性。
数据清理前必须对数据进行备份,在确认备份正确后方可进行清理操作。数据清理的实施 应避开业务高峰期避免对联机业务运行造成影响。
管理部门应对报废设备中存有的程序、数据资料进行备份后清除,并妥善处理废弃无用 的资料和介质,防止泄密。
因审计、查询等管理需要拷贝系统原始数