5-23安全運維管理

環境管理：

　　1.應指定專門的部門或人員負責機房安全,對機房出人進行管理,定期對機房供配電、空調、溫溼度控制、消防等設施進行維護管理。

　　2.應建立機房安全管理制度,對有關物理訪問、物品進出和環境安全等方面的管理作出規定

　　3.應不在重要區域接待來訪人員,不隨意放置含有敏感資訊的紙檔檔案和移動介質等。

資產管理：

　　1.應編制並儲存與保護物件相關的資產清單,包括資產責任部門、重要程度和所處位置等內容。

　　2.應根據資產的重要程度對資產進行標識管理,根據資產的價值選擇相應的管理措施。

　　3.應對資訊分類與標識方法作出規定,並對資訊的使用、傳輸和儲存等進行規範化管理。

介質管理：

　　1.應將介質存放在安全的環境中,對各類介質進行控制和保護,實行儲存介質專人管理,並根據存檔介質的目錄清單定期盤點。

　　2.應對介質在物理傳輸過程中的人員選擇、打包,交付等情況進行控制,並對介質的歸檔和查詢等進行登記記錄。

裝置維護管理：

　　1.應對各種裝置(包括備份和冗餘裝置)、線路等指定專門的部門或人員定期進行維護

　　2.應建立配套設施、軟硬體維護方面的管理制度,對其維護進行有效管理,包括明確維護人員的責任、維修和服務的審批、維修過程的監督控制等。

　　3.資訊處理裝置應經過審批才能帶離機房或辦公地點,含有儲存介質的裝置帶出工作環境時其中重要資料應加密。

　　4.含有儲存介質的裝置在報廢或重用前,應進行完全清除或被安全覆蓋,保證該裝置上的敏感資料和授權軟體無法被恢復重用。

漏洞和風險管理：

　　1.應採取必要的措施識別安全漏洞和隱患,對發現的安全漏洞和隱患及時進行修補或評估可能的影響後進行修補。

　　2.應定期開展安全測評,形成安全測評報告,採取措施應對發現的安全問題

網路和系統安全管理：

　　1.應劃分不同的管理員角色進行網路和系統的運維管理,明確各個角色的責任和許可權。

　　2.應指定專門的部門或人員進行賬戶管理,對申請賬戶、建立賬戶、刪除賬戶等進行控制。

　　3.應建立網路和系統安全管理制度,對安全策略、賬戶管理、配置管理、日誌管理、日常操作、

　　升級與打補丁、口令更新週期等方面作出規定。

　　4.應制定重要裝置的配置和操作手冊,依據手冊對裝置進行安全配置和最佳化配置等。

　　5.應詳細記錄運維操作日誌,包括日常巡檢工作、執行維護記錄、引數的設定和修改等內容。

　　6.應指定專門的部門或人員對日誌、監測和報警資料等進行分析、統計,及時發現可疑行為。

　　7.應嚴格控制變更性運維,經過審批後才可改變連線、安裝系統元件或調整配置引數，

　　操作過程中應保留不可更改的審計日誌,操作結束後應同步更新配置資訊庫。

　　8.應嚴格控制運維工具的使用,經過審批後才可接人進行操作,操作過程中應保留不可更改的審計日誌,操作結束後應刪除工具中的敏感資料

　　9.應嚴格控制遠端運維的開通,經過審批後才可開通遠端運維介面或通道,操作過中應保留不可更改的審計日誌,操作結束後立即關閉介面或通道

　　10.應保證所有與外部的連線均得到授權和批准,應定期檢查違反規定無線上網及其他違反網路安全策略的行為。

惡意程式碼防範管理：

　　1.應提高所有使用者的防惡意程式碼意識,對外來計算機或儲存裝置接入系統前進行惡意程式碼檢查等。

　　2.應定期驗證防範惡意程式碼攻擊的技術措施的有效性

配置管理：

　　1.應記錄和儲存基本配置資訊,包括網路拓撲結構、各個裝置安裝的軟體元件、軟體元件的版本和補丁資訊、各個裝置或軟體元件的配置引數等，

　　2.應將基本配置資訊改變納人變更範疇,實施對配置資訊改變的控制,並及時更新基本配置資訊庫。

密碼管理：

　　1.應遵循密碼相關的國家標準和行業標準

　　2.應使用國家密碼管理主管部門認證核准的密碼技術和產品。

變更管理：

　　1.應明確變更需求,變更前根據變更需求制定變更方案,變更方案經過評審、審批後方可實施。

　　2.應建立變更的申報和審批控制程式,依據程式控制所有的變更,記錄變更實施過程

　　3.應建立中止變更並從失敗變更中恢復的程式,明確過程控制方法和人員職責,必要時對恢復過程進行演練。

備份與回覆管理：

　　1.應識別需要定期備份的重要業務資訊、系統資料及軟體系統等

　　2.應規定備份資訊的備份方式、備份頻度、儲存介質、儲存期等

　　3.應根據資料的重要性和資料對系統執行的影響,制定資料的備份策略和恢復策略、備份程式和恢復程式等。

安全事件處置：

　　1.應及時向安全管理部門報告所發現的安全弱點和可疑事件

　　2.應制定安全事件報告和處置管理制度,明確不同安全事件的報告、處置和響應流程，規定安全事件的現場處理、事件報告和後期恢復的管理職責等。

　　3.應在安全事件報告和響應處理過程中,分析和鑑定事件產生的原因,收集證據,記錄處理過程，總結經驗教訓。

　　4.對造成系統中斷和造成資訊洩漏的重大安全事件應採用不同的處理程式和報告程式。

應急預案管理：

　　1.應規定統一的應急預案框架,包括啟動預案的條件、應急組織構成、應急資源保障事後教育和培訓等內容。

　　2.應制定重要事件的應急預案,包括應急處理流程、系統恢復流程等內容

　　3.應定期對系統相關的人員進行應急預案培訓,並進行應急預案的演練

　　4.應定期對原有的應急預案重新評估,修訂完善

外包運維管理：

　　1.應確保外包運維服務商的選擇符合國家的有關規定。

　　2.應與選定的外包運維服務商簽訂相關的協議,明確約定外包運維的範圍、工作內容

　　3.應保證選擇的外包運維服務商在技術和管理方面均應具有按照等級保護要求開展安全運維工作的能力,並將能力要求在簽訂的協議中明確。

　　4.應在與外包運維服務商簽訂的協議中明確所有相關的安全要求,如可能涉及對敏感資訊的訪問、處理、儲存要求,對IT基礎設施中斷服務的應急保障要求等