北京金辰西科尼安全印务有限公司程序文件 编号:J&C—B—A10—2009
通讯和操作管理程序 版本及修改状态: A/1
1、目的
通过规范通讯和操作管理,确保公司信息安全,特制定本程序。 2、范围
本程序适用于公司涉及计算机作业的全体人员。
3、操作程序和职责
3.1 本公司信息处理设施主要包括:计算机硬件及软件。
3.2 为计算机软硬件的正确、安全使用,总经理办公室应编制相关的操作程序。操作程序可以包括但不限于下列文件: 1)《硬件设备安全策略》 2)《信息备份制度》 3)《网络安全策略》 4)《介质管理规定》 5)《信息交换策略》 6)《系统监控管理规定》
3.3 操作程序应以文件或电子文档等形式予以发布,确保所有需要的用户可用。
3.4 总经理办公室应根据人员素质情况、计算机软硬件和系统变更情况,适时地对操作程序予以修改,并重新发布。
1)总经理办公室负责对重要的变更应进行验证和记录 2)总经理办公室负责对变更可能产生的影响进行评价 3)总经理办公室负责对计划的变更正式发布
4)总经理办公室负责对将变更的细节通知所有与之关联的人
3.5 各部门应划分部门内各岗位的职责范围和岗位责任,降低未授权或无意识的修改或不当使用组织资产的机会。
3.6 总经理办公室应确保测试和运行设施,避免相混,以避免对运行系统的操作风险。
1)测试的系统和运行的系统应分开在不同的环境下 2)运行活动和测试活动应分离
3)在运行系统中,如无需要,应对测试环境系统功能的使用
4)在运行系统和测试系统中使用不同的登录过程,为使用者设置不同的用户口令和界面使用中的不同提示
39
北京金辰西科尼安全印务有限公司程序文件 编号:J&C—B—A10—2009
通讯和操作管理程序 版本及修改状态: A/1
4、第三方服务交付管理
4.1 本公司信息安全系统涉及外委的,总经理办公室负责与外委方签订委托协议,协议中应规定外委方的安全控制措施、服务定义和交付水准。
4.2 总经理办公室应定期对外委方协议执行情况进行监督,发现问题及时要求外委方进行修正和整改。
4.3 总经理办公室负责外委服务的变更管理,必要时,经批准后保持和改进现有的信息安全方针策略、程序和控制措施。
5、系统规划和验收
5.1 总经理办公室负责对系统资源进行监视、调整;负责对未来容量要求进行预测,确保拥有所需的系统性能
1)应监视核心系统的资源,包括处理器、主存储设备、文件存储设备、打印机和其他输出设备,以及网络系统等
2)确定核心系统的资源跟随业务应用的发展的趋势,避免出现系统瓶颈 5.2 总经理办公室负责建立对新信息系统、升级及新版本的验收准则,并在开发中和验收前对系统进行测试,应考虑以下几个方面: 1)系统性能和容量的需求 2)错误恢复和意外处理计划
3)按照定义的标准进行准备过程和测试过程 4)已确定的适当的安全控制措施
5)验证新系统的安装不会对已存在的系统产生影响 6)验证新系统应满足组织的安全要求 7)新系统的操作使用培训
6、防范恶意和移动代码
总经理办公室负责实施恶意代码和移动代码的监测、预防和恢复的控制措施;负责建立相关程序以提高用户安全意识,考虑以下几个方面: 1)符合软件许可要求,禁止使用未授权的软件
2)建立保护策略以防从或其他媒体获得文件或软件 3)安装和定期升级病毒防护软件,扫描计算机和介质
4)定期巡视软件和系统状态,对于未经批准的文件存在或未授权系统更改都要正式调查
5)对于来源不明的文件都应进行病毒检查
6)对于电子邮件的附件和下载都应在使用前进行恶意软件检查
40
北京金辰西科尼安全印务有限公司程序文件 编号:J&C—B—A10—2009
通讯和操作管理程序 版本及修改状态: A/1
7)总经理办公室负责建立系统的防病毒控制过程,培训使用这些过程,报告和恢复病毒攻击
8)为保证业务连续性,应制定计划用于病毒攻击的恢复,包括数据和软件备份、恢复过程 7、备份
总经理办公室负责建立系统备份策略,定期备份和测试数据、软件。 1)总经理办公室负责定期对核心系统数据库和文件进行备份 2)备份介质应定期测试,保证必要时的紧急恢复 3)恢复过程应定期检查和测试,确保有效
8、网络安全管理
总经理办公室负责管理和控制网络,以防止威胁的发生,维护系统,确保使用网络的应用程序和传输信息的安全,详见《网络安全策略》。
9、介质处置
9.1 总经理办公室负责制定可移动介质的管理措施,详见《介质管理规定》。 9.2 对于不再使用的介质,总经理办公室负责制定发布正式处置措施,并进行安全可靠的处置。
9.3 总经理办公室负责建立信息处理和储存程序,以防止信息的未授权的泄漏或不当使用。
9.4 总经理办公室负责保护系统文件,以防止未授权的访问。
10、信息的交换
10.1 总经理办公室负责建立信息交换策略、程序和控制措施,以保护通过使用各种类型的通信设施的信息交换。
10.2 各部门与外部团体交换信息和软件时,应经总经理办公室审核后,签订协议,约定信息保密条款。
10.3 总经理办公室负责建立控制措施,用于包含信息的介质由公司向外运送时,防止未授权的访问、不当使用或毁坏。
10.4 总经理办公室负责建立控制措施,保护通过电子消息发送的信息。 10.5 总经理办公室负责建立和实施保护与业务系统互联的信息的措施。
11、监视
41
北京金辰西科尼安全印务有限公司程序文件 编号:J&C—B—A10—2009
通讯和操作管理程序 版本及修改状态: A/1
11.1 总经理办公室负责建立审核日志,记录用户活动、异常和信息安全事件,日志应至少保存三年。
11.2 总经理办公室负责建立信息处理设施的监视程序,对监视的结果进行评审,详见《系统监控管理规定》。
11.3 需保护记录日志信息和设施,以防止篡改和未授权的访问。 11.4 系统管理员和系统操作员的活动应记入日志。 11.5 系统故障应被记录、分析,并采取适当的控制措施。
11.6 本公司内的所有相关信息处理设施的时钟应使用已设的精确时间源进行同步。正确设置计算机时钟对确保审核记录的准确性是重要的,审核日志可用于调查或作为法律、法律案例的证据。不准确的审核日志可能妨碍调查,并损害这种证据的可信性。
12、相关文件和记录 《硬件设备安全策略》 《信息备份制度》 《网络安全策略》 《介质管理规定》 《信息交换策略》 《系统监控管理规定》
42
