信息安全管理办法【精】.doc

信息安全管理办法【精】.doc信息安全管理办法

目的
为指导安全等级保护相关工作,做好的信息安全保障工作。
范围
为信息安全职能部门进行监督、检查和指导的依据。随着内容的补充和丰富,为等级保护工作的开展提供指导。
术语
敏感数据
敏感数据是指一旦泄露可能会对用户或人民银行造成损失的数据,包括但不限于:
,如用户口令、密钥;
,如系统的密钥、关键的系统管理数据;
;
;
;
。
风险
某种威胁会利用一种资产或若干资产的脆弱性使这些资产损失或破坏的可能性。
安全策略
主要指为信息系统安全管理制定的行动方针、路线、工作方式、指导原则或程序。
安全需求
为使设备、信息、应用及设施符合安全策略的要求而需要采取的保护类型及保护等级。
完整性
包括数据完整性和系统完整性。数据完整性表征数据所具有的特征,即无论数据形式作何变化,数据的准确性和一致性均保持不变的程度;系统完整性表征系统在防止非授权用户修改或使用资源和防止授权用户不正确地修改或使用资源的情况下,系统能履行其操作目的的品质。
可用性
表征数据或系统根据授权实体的请求可被访问与使用程度的安全属性。
弱口令
指在计算机使用过程中,设置的过于简单或非常容易被破解的口令或密码。

信息安全保障总体框架
信息安全管理体系框架
安全管理内容

物理安全

机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。
物理访问控制
需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围;
机房划分为生产区、辅助区。
防盗窃和防破坏
应将主要设备放置在机房内;
应将设备或主要部件进行固定,并设置明显的不易除去的标记;
应将通信线缆铺设在隐蔽处,可铺设在地下或管道中;
应对介质分类标识,存储在介质库或档案室中;
主机房应安装必要的防盗报警设施。
防雷击
机房建筑应设置避雷装置;
机房应设置交流电源地线。
防火
机房应设置灭火设备和火灾自动报警系统。
防水和防潮
水管安装,不得穿过机房屋顶和活动地板下;
应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;
应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。
防静电
关键设备应采用必要的接地防静电措施。
温湿度控制
机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
电力供应
应在机房供电线路上配置稳压器和过电压防护设备;
应提供短期的备用电力供应,至少满足关键设备在断电情况下的正常运行要求;
机房重要区域、重要设备应提供UPS单独供电。
电磁防护
电源线和通信线缆应隔离铺设,避免互相干扰。
网络安全
结构安全
应保证关键网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;
应保证接入网络和核心网络的带宽满足业务高峰期需要;
应绘制与当前运行情况相符的网络拓扑结构图;
应根据各部门