運維規章文件初稿

科技小能手發表於2017-11-12

1.資訊與資料安全整體策略

Skip to end of metadata

Go to start of metadata

資訊總體安全策略

關於敏感資料失效後處理原則與操作方法
關於資料安全管理員與資料安全策略執行規章制度
關於限制訪問客戶敏感資料與資訊資料的制度。
關於可訪問敏感資料賬號或人員的定期review制度
關於生產系統與敏感資料系統的訪問控制制度
關於資料儲存介質USB, CDR, DVDR, floppy, backup tape等的重用與銷燬制度
關於業務持續化與容災相關的制度

2.資訊保安事故管理制度

Skip to end of metadat

Go to start of metadata

安全事故響應制度（資料故障事故過程中，必須包含告知客戶情況與進度的工作環節
定義安全響應小組的工作職責

3.關於資料銷燬的制度

Skip to end of metadata

Go to start of metadata

關於到期客戶資料處理的制度
關於資料銷燬的執行方法
關於包含資料的儲存介質如何處置、處理、清理、銷燬、重用的規定
關於儲存裝置下線、返修、退訂等情況下的處理流程
關於儲存下線前處理儲存介質中遺留敏感資料以及授權等資訊的處理

4.賬號管理制度

Skip to end of metadata

Go to start of metadata

原則上至少每年審計一次賬號訪問控制列表，包括各種應用與網路裝置等
關於賬號許可權管理的分級制度
1. 申請許可權制度
2. 被許可的許可權
3. 被授權的許可權
如何操作關於賬號許可權控制列表的定期審計和檢查

賬號授予與回收，普通賬號需要在授予的過程中同時完成賬號有效期的設定，禁止授予長效賬號

5.產品開發與上線流程制度

Skip to end of metadata

Go to start of metadata

目前上線OA的具體描述

6.關於敏感資料不進入測試或演示系統的制度

Skip to end of metadata

Go to start of metadata

資料生成與處理流程規範化

7.關於開發、測試與生產環境的區隔規定

Skip to end of metadata

Go to start of metadata

保證系統的獨立性，控制資料的隔離

8.關於網路裝置與網路環境安全標準

Skip to end of metadata

Go to start of metadata

關於無線網路使用的安全規範
Are all router, switches, wireless access points, and firewall configurations secured and conform to documented security standards
6.1. If wireless technology is used, is access to the network limited to authorized devices?

定期安排關於網路訪問行為與流量的安全檢查規範

9.關於資料中心等訪問的安全規範要求

Skip to end of metadata

Go to start of metadata

日誌跟蹤
定期的訪問日誌review，與review
訪問控制的管理

10.新人入職中關於資料安全相關的培訓

11.關於入侵檢測、漏洞檢測以及相關的安全規定

Skip to end of metadata

Go to start of metadata

內部引入入侵檢測與漏洞檢測的機制，定期形成檢測報告
引入第三方權威檢測機制，定期形成檢測報告並改進
資料安全小組需要定期更新管理關於安全規範的文件，包括常用的軟體需要使用的版本，必須更新的補丁、以及針對在安全檢測中發現的安全漏洞的程式碼編寫規範，並督促在自動的codereview系統中實現自動檢查

12.關於程式碼與敏感資訊的管理規定

Skip to end of metadata

Created and last modified by 興峰羅 on Mar 08, 2017

Go to start of metadata

原則：

公司銷售的是營銷軟體服務，團隊生產的程式碼正是這些軟體的核心（哪怕再簡單的一行程式碼，也蘊含著同事的努力）。為了保護團隊的工作成果，這裡明確關於程式碼管理原則與敏感資訊管理原則。

關於程式碼的管理規定：

數雲產品的業務程式碼屬於數雲的核心價值，在未備案的情況下，上傳到可公開檢索的平臺（GitHub/oschina，以及各類空間、微博等平臺），屬於洩密行為。

關於敏感資訊的管理規定:

和公司相關的所有敏感資訊，上傳或者外放到公共網際網路平臺（GitHub/oschina，以及各類空間、微博等平臺），屬於洩密行為。

敏感資訊包括：

各類使用者名稱、密碼
各類主機私網ip
各類Token
Appkey、Appsecret
其他類似關鍵敏感資訊

後期安全的管理工作：

公司會定期檢索GITHub OsChina等程式碼管理平臺，同時公司會根據檢索到的程式碼與安全敏感資訊，進行相關改進和處罰。

本文轉自 Bruceweien 51CTO部落格，原文連結:http://blog.51cto.com/bruceweien/1932427

相關文章

ELK運維文件
2024-01-25
運維
伺服器安全運維規範-安全運維
2019-12-12
伺服器運維
運維小哥談規則
2019-01-28
運維
dataguard 常規運維操作
2017-03-13
運維
運維85條軍規
2014-07-25
運維
運維的 85 條軍規
2013-06-22
運維
運維的85 條軍規
2013-06-22
運維
資料庫運維管理規範
2021-03-29
資料庫運維
伺服器安全運維規範—安全運維的事前、事中、事後
2017-11-27
伺服器運維
ElasticSearch 叢集的規劃部署與運維
2021-03-03
Elasticsearch運維
Linux運維工程師的操作規範
2022-11-23
Linux運維工程師
運維工作中sed常規操作命令梳理
2016-10-11
運維
第 7 章文件元素
2016-04-26
IT運維之自動化運維
2021-03-30
運維
Git忽略提交規則 - .gitignore配置運維總結
2018-12-14
Git運維
阿里超大規模 Flink 叢集運維實踐
2022-06-07
阿里運維
桌面管理系統協助規範日常運維工作
2010-11-08
運維
回首五年運維，運維需要思考
2020-12-18
運維
React 總結初稿一
2019-03-03
React
企業資料庫安全管理規範 | 運維進階
2023-04-24
資料庫運維
做運維的感悟(做運維需要考慮事,運維組織結構,運維學習地圖....)
2020-12-21
運維地圖
【IT運維】Linux運維需要掌握哪些技能？
2022-08-22
運維Linux
「滴滴運維」招聘——誠求運維架構師
2016-10-26
運維架構
《IT運維之道》——3.4落實整體運維
2017-05-02
運維
用自動化運維工具解放IT運維
2013-12-26
運維
運維摘要
2019-02-27
運維
運維管理
2017-06-17
運維
運維要求
2017-11-12
運維
業務運維
2015-08-29
運維
運維（一）
2015-11-12
運維
HTTP/2.0 草案初稿釋出
2013-08-01
HTTP
螞蟻金服 Service Mesh 大規模落地系列 - 運維篇
2020-01-02
運維
阿里超大規模 Flink 叢集運維體系介紹
2022-04-26
阿里運維
Linux運維命令重要嗎？運維入門
2020-10-29
Linux運維
集中運維與分散運維的比較 - thenewstack
2021-11-10
運維
運維經理的運維經驗總結
2016-09-08
運維
軟體工程文件規範--前景文件（轉）
2007-08-14
軟體工程
IT運維和自動化運維以及運維開發有啥不同？能解釋下嗎？
2021-09-23
運維