规章制度体系之 - 信息安全管理制度实施指南.docVIP

制度体系之 - 信息安全管理制度 实施指南  1 策略管理 6 1.1 安全策略和管理制度 6 1.1.1 信息安全策略 6 1.1.2 信息安全管理制度 6 1.1.3 行为规范 7 1.2 安全规划 7 1.2.1 系统安全规划 7 1.2.2 系统安全规划的更新 8 1.2.3 阶段性行动计划 8 2 组织管理 8 2.1 组织机构 8 2.1.1 信息安全管理机构 8 2.1.2 信息安全管理人员 9 2.2 人员安全 9 2.2.1 工作岗位风险分级 9 2.2.2 人员审查 9 2.2.3 人员工作合同终止 10 2.2.4 人员调动 10 2.2.5 工作协议和条款 10 2.2.6 第三方人员安全 11 2.2.7 人员处罚 11 2.3 安全意识和培训 11 2.3.1 安全意识 11 2.3.2 安全培训 12 2.3.3 安全培训记录 12 3 运行管理 13 3.1 风险评估和认证认可 13 3.1.1 安全分类 13 3.1.2 风险评估 13 3.1.3 风险评估更新 14 3.1.4 安全认证 14 3.1.5 安全认可 14 3.1.6 持续监控 15 3.2 系统与服务采购 15 3.2.1 资源分配 15 3.2.2 生命周期支持 16 3.2.3 采购 16 3.2.4 信息系统文件 16 3.2.5 软件使用限制 16 3.2.6 用户安装的软件 17 3.2.7 安全设计原则 17 3.2.8 外包信息系统服务 17 3.2.9 开发配置管理 18 3.2.10 开发安全测试评估 18 3.3 配置管理 18 3.3.1 基线配置 19 3.3.2 配置变更控制 19 3.3.3 监督配置变更 20 3.3.4 变更访问限制 20 3.3.5 配置策略设置 20 3.3.6 功能最小化 20 3.4 应急计划和事件响应 21 3.4.1 应急计划 21 3.4.2 应急响应培训 21 3.4.3 应急和事件响应计划测试 21 3.4.4 应急和事件响应计划更新 22 3.4.5 事件处理 22 3.4.6 事件监控 22 3.4.7 事件报告 23 3.4.8 事件响应支持 23 3.5 系统管理与维护 23 3.5.1 安全管理技术 24 3.5.2 常规维护 24 3.5.3 维护工具管理 24 3.5.4 远程维护 24 3.5.5 维护人员 25 3.5.6 维护及时性 25 4 技术管理 25 4.1 标识鉴别 25 4.1.1 身份标识和鉴别 25 4.1.2 设备标识和鉴别 26 4.1.3 标识管理 26 4.1.4 鉴别管理 27 4.1.5 登录和鉴别反馈 27 4.2 访问控制 28 4.2.1 账户管理 28 4.2.2 强制访问 29 4.2.3 信息流控制 29 4.2.4 职责分离 30 4.2.5 最小权限 30 4.2.6 不成功登录尝试 30 4.2.7 系统使用情况 31 4.2.8 最近登录情况 31 4.2.9 并发会话控制 32 4.2.10 会话锁定 32 4.2.11 会话终止 32 4.2.12 对访问控制的监督和审查 33 4.2.13 不需鉴别或认证的行为 33 4.2.14 自动化标记 33 4.2.15 远程访问控制 34 4.2.16 无线接入访问控制 34 4.2.17 便携式移动设备的访问控制 34 4.2.18 个人信息系统 35 4.3 系统与信息完整性 35 4.3.1 漏洞修补 35 4.3.2 防恶意代码攻击 36 4.3.3 输入信息的限制 36 4.3.4 错误处理 36 4.3.5 输出信息的处理和保存 37 4.4 系统与通信保护 37 4.4.1 应用系统分区 37 4.4.2 安全域划分 38 4.4.3 拒绝服务保护 38 4.4.4 边界保护 38 4.4.5 网络连接终止 38 4.4.6 公共访问保护 38 4.4.7 移动代码 39 4.5 介质保护 39 4.5.1 介质访问 39 4.5.2 介质保存 39 4.5.3 信息彻底清除 40 4.5.4 介质的废弃 40 4.6 物理和环境保护 40 4.6.1 物理访问授权 41 4.6.2 物理访问控制 41 4.6.3 显示介质访问控制 41 4.6.4 物理访问监视 41 4.6.5 来访人员控制 42 4.6.6 来访记录 42 4.6.7 环境安全 42 4.7 检测和响应 42 4.7.1 事件审计 43 4.7.2 审计记录的内容 44 4.7.3 审计处理 44 4.7.4 审计的监控、分析和报告 44 4.7.5 审计信息保护 45 4.7.6 审计保留 45 4.7.7 入侵检测 45 4.7.8 漏洞扫描 45