上海震旦职业学院信息安全管理体系通讯与操作管理制度.docx
《上海震旦职业学院信息安全管理体系通讯与操作管理制度.docx》由会员分享,可在线阅读,更多相关《上海震旦职业学院信息安全管理体系通讯与操作管理制度.docx(14页珍藏版)》请在第壹文秘上搜索。
1、上海震旦职业学院信息安全管理体系通讯与操作管理制度修改记录日期版本作者/修改者修订类型描述2014-12-201.0程茂华创建创建全页2015-02-231.1程茂华修改结合实际情况修订第三章-第三方服务交付 管理、第九条验收管理和第七章的网络安全管理条例第一章综述错误!未定义书签。第二章操作程序和责任错误!未定义书签。第三章第三方服务交付管理错误!未定义书签。第四章系统规划与验收错误!未定义书签。第五章防止恶意和移动代码错误!未定义书签。第六章备份错误!未定义书签。第七章网络安全管理错误!未定义书签。第八章介质处置错误!未定义书签。第九章信息的交换错误!未定义书签。第十章监控错误!未定义书签
2、。第一章综述第一条本制度确定一些关键控制点以便对通信和操作过程进行有效的安全管理,并建立信息处理设施 的管理和操作的职责和流程,包括开发适当的操作指导和事故处理流程。在适当的情况下,对职责进行 划分,以降低渎职或者故意滥用系统的风险,目标是确保员工能正确、安全地操作信息处理设施。第二章操作程序和责任第二条文件化的操作程序(-)操作程序应形成文件、保持并对所有需要的用户可用。(二)与信息处理和通信设施相关的系统活动应具备形成文件的程序,例如计算机启动和关机程序、 备份、设备维护、介质处理、计算机机房、邮件处置管理和物理安全等。(三)操作程序应详细规定执行每项工作的说明,其内容包括:1、信息处理和
3、处置;2、备份;3、时间安排要求,包括与其他系统的相互关系、最早工作开始时间和最后工作完成期限;4、对在工作执行期间可能出现的处理差错或其它异常情况的指导,包括对使用系统实用工具 的限制;5、出现不期望操作或技术困难事件时的支持性联络;6、特定输出及介质处理的指导,包括任务失败时输出的安全处置程序;7、系统失效时使用的系统重启和恢复程序;8、审核跟踪和系统日志信息的管理。(四)要将操作程序和系统活动文件化,其变更由信息中心负责人授权。技术上可行时,信息系统应 使用相同的程序、工具和实用程序进行一致的管理。第三条变更管理控制(一)操作系统和应用软件应有严格的变更管理控制。应考虑如下内容:1、重大
4、变更的标识和记录;2、变更的策划和测试:3、对这种变更的潜在影响的评估,包括安全影响;4、对建议变更的正式批准程序;5、向所有有关人员传达变更细节;6、返回程序,包括从不成功变更和未预料事件中退出和恢复的程序与职责。(二)数据中心确保对信息处理设施和系统的变更有适当控制,包括:1、变更前测试;2、所有变更相关信息的审计日志记录都必须保留最少一年。()具体变更管理控制参见变更管理规定。(四)批准变更请求后,操作人员在变更请求获得批准后约定的时间内实施变更,并确保不会对现有 的平台造成意外的服务影响。(五)安全审计组负责参与评审重大变更需求评审,确保变更不会造成安全影响。第四条软件开发、测试与运行
5、设施分离(-)数据中心开发、测试与运行设施必须分离,除非得到特别授权。(二)如果因工作原因需要进行上述活动,应遵守以下做法:1、上海震旦职业学院科技部联同开发方、运行方和需求方讨论潜在的安全风险并设计防范程 序;2、开发测试人员全权负责开发测试系统的管理,运行人员未经授权不得参与开发测试系统的 有关工作;3、运行人员全权负责生产系统的管理,开发测试人员未经授权不得参与生产系统的有关工 作;4、运行人员要密切监督生产系统,以保证开发、测试工作不会造成服务影响或安全事故;5、开发测试系统应当与生产系统分开,并清楚地标记测试周期和有关开发测试技术支持的联 系方式;6、对于需要在生产环境下进行的开发测
6、试工作,需要经过授权才能进行,并且在测试完成后, 需要立即从生产环境卸载;7、如果开发人员需要访问生产与运行设施,应当向数据中心相关人员申请;8、开发完成的应用项目在投入使用前,应当提交一份上线申请。在系统进入生产环境前, 确认以下操作:D 卸载与运行无关的开发、测试相关的工具、文件与数据等;2)修改默认用户名/密码。第三章第三方服务交付管理第五条服务交付第三方的服务交付协议应包括商定的安全措施、服务定义和交付质量。外包时,应确保安全得以 保证,并考察第三方的服务能力,及在故障或灾难发生后持续提供服务的能力。第六条 第三方服务的交付和管理(-)应定期对第三方的服务及相关的报告、记录、交付件进行
7、审查,审查方式包括数据中心的内部 审计,或聘请外面独立审计机构进行的审计。(二)数据中心对第三方服务的监督和评审应按照商定的信息安全条款执行,使信息安全事故和问题 得到适当的管理。监督和评审应涉及到如下内容:1、监督服务执行效率并检查对协议的符合程度;2、评审由第三方产生的服务报告、记录、交付件,定期安排项目进展会议;3、第三方应提供如下信息内容供数据中心评估:服务过程中所应用到的软硬件产品、所使用 的协议、系统部署及使用指南、知识产权、安全使用许可销售证明等;4、对第三方在交付服务过程中所进行的审核跟踪流程,及相关的安全事件、操作问题、故障、 失误追踪和破坏的记录等进行评审;5、对服务交付过
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 上海 震旦 职业学院 信息 安全管理 体系 通讯 操作 管理制度