信息安全管理制度.docx

信息安全框架及管理规定资源界定业务系统信息安全包括托管在联通机房的所有服务器、网络线路、网络设备、安装在服务器上的操作系统、业务系统、应用系统、软件、网络设备上的OS、配置等软硬件设施任何人未经允许不得对业务系统所包含的软硬件进行包括访问,探测,利用,更改等操作网络管理网络结构安全管理网络物理结构和逻辑结构定期更新,拓扑结构图上应包含IP地址,网络设备名称,专线供应商名称及联系方式,专线带宽等,并妥善保存,未经许可不得对网络结构进行修改网络结构必须严格保密,禁止泄漏网络结构相关信息网络结构的改变,必须提交更改预案,并经过信息总监的批准方可进行网络访问控制网络访问控制列表包括ASA5510和联想网御的ACL妥善保管现有的网络访问控制列表,其中应包含网络设备及型号,网络设备的管理IP,当前的ACL列表,更新列表的时间,更新的内容等定期检查网络访问控制列表与业务需求是否一致,如不一致,申请更新ACL未经许可不得进行ACL相关的任何修改更新ACL时,必须备份原有ACL,以防误操作ACL配置完成以后,必须测试禁止泄漏任何ACL配置网络设备安全妥善保管现有网络设备清单,包括供应商及联系人信息,设备型号,IP地址,系统版本,设备当前配置清单定期检查设备配置是否与业务需求相符,如有不符,申请更新配置配置网络设备时,必须备份原有配置,以防误操作配置完成之后,必须进行全面测试禁止在网络设备上进行与工作无关的任何测试未经许可不得进行任何配置修改禁止泄漏网络设备配置IP地址管理妥善保管现有IP地址清单,其中应包含服务器型号,操作系统版本,是否支持远程登录及远程登录方式,IP地址,子网掩码,网关,dns信息实时更新IP地址清单,并制定检查计划,如有多余的IP,及时清理和更新禁止泄漏IP地址清单操作系统管理操作系统安装运行及更新操作系统安装过程必须遵循操作系统安装部署规定不得安装与业务系统无关的其他系统功能和服务定期检查操作系统的端口开放情况,并维护操作系统端口开放列表,制定定期检查端口计划系统安装完成后加入域,并登录域检查服务启动情况,并进行必要的授权安装完成后必须完成补丁的安装操作系统的重要补丁应及时更新,其他补丁可定期更新禁止泄漏操作系统版本及相关任何信息应用软件更新维护应用软件的安装列表,列表中应包含,IP地址,应用软件名称,版本,更新网址,安装时间,异常记录和更新记录制定定期扫描应用软件的版本更新的时间计划在不影响业务系统的情况下,及时更新应用软件版本对应用软件的更新做好记录域帐号和系统权限管理维护域帐号及每台系统的权限清单,其中应包含IP,操作系统版本,系统帐号及权限分配,安全组制定定期检查域帐号计划,以保证及时做到帐号在系统中的权限是最新的禁止泄漏域帐号信息每个用户只能使用自己的帐号,如需权限,填写申请表每个系统需维护3个系统管理组:moniter、log、backup系统操作日志和登录日志审计制定计划定期检查系统日志是否正常工作,日志审核是否开启检查日志容量大小,是否需要增加容量定期备份日志,并记录备份时间维护和更新日志检查和备份清单禁止泄漏日志信息业务系统管理业务系统的运行管理建立并维护业务系统运行清单,其中应包含操作系统版本,IP地址,业务系统及版本,业务系统供应商及联系方式,异常记录,更新记录,检查记录制定计划对业务系统的健康检查及时报告业务系统存在的任何