文似观山不喜平 — — 观山文库◆记住我,来上我~

某局网络安全管理制度汇编(第14/22页)

转载 分享 时间: 加入收藏 共计55163个字,预计阅读时长184分钟

4、对于不同部门的计算机群应设置划分VLAN,达到限制广播范围,并能够形成虚拟工作组,动态管理网络。

六、对应用系统的访问权限:

1、当前系统拥有系统管理员组,最高权限,系统管理员对应用账户进行用户管理和权限的划分。

2、关闭和删除不必要的默认账户以及测试账户,关闭默认端口。

3、用户不得公用账户,新建账户必须修改默认口令,并定期修改口令。

账户权限等措施,账户分配的原则遵循最小化原则。

五、访问控制策略的管理

1、访问控制策略的制定、修改、审批管理。策略的制定、修改应提出申请,填写"访问策略变更审批表",并经信息化职能部门审批。审批同意后方可按照策略修改有关设备的配置,并要求做好相关的记录。

2、网络管理员、系统管理员、数据库管理员和安全管理员要求由不同的人专职或兼职担任。

3、安全管理员负责每月检查各种设备的配置及日志纪录,确定网络管理员、系统管理员、数据库管理员完全按照经过审批的网络访问控制策略配置有关设备且没有做过不正常的修改。

4、网络管理人员、系统管理员、数据库管理员和安全管理员应分别每季度向信息化职能部门的负责人报告有关设备的运行情况及审计情况,以备检查。有关的文档应归档保存。

22.安全事件定级

一、安全事件定义

信息安全事件是指对计算机系统或网络系统的可用性、完整性、保密性、真实性、可核查性和可靠性造成危害的事件,或者是在计算机系统或网络系统中发生的对社会造成负面影响的其他事件。

信息安全事件的主体是指信息安全事件的制造者或造成信息安全事件的最终原因。

信息安全事件的客体是指受信息安全事件影响或发生信息安全事件的计算机系统或网络系统。依据计算机系统和网络系统的特点,信息安全事件的客体可分为信息系统、信息内容和网络基础设施三大类。

二、信息安全事件分级

对信息安全事件分级是有效开展信息安全事件报告、应急处置、调查处理和评估备案等信息安全应急响应工作的必要条件。

1、分级参考要素

本章在明确信息安全事件分级要素的基础上,给出信息安全事件的分级规范。

信息安全事件分级的参考要素包括公众影响、业务影响和资产损失等三项。各参考要素分别说明如下:

(1)公众影响是衡量信息安全事件所造成的负面影响范围和程度的要素;

(2)业务影响是衡量信息安全事件对事发单位正常业务开展所造成的负面影响程度的要素;

(3)资产损失是衡量恢复系统正常运行和消除信息安全事件负面影响所需付出资金代价的要素。

2、事件的分级描述

根据信息安全事件所造成后果的严重程度,信息安全事件可划分为4个等级。其中1级危害程度最高,4级危害程度最低。2级和2级以上的信息安全事件称为重大信息安全事件。

各级别的信息安全事件具体描述如下:

1级:本级信息安全事件对计算机系统或网络系统所承载的业务、事发单位利益以及社会公共利益有极其严重的影响或破坏,对社会稳定造成一定危害;

2级:本级信息安全事件对计算机系统或网络系统所承载的业务、事发单位利益有较为严重的影响或破坏;

3级:本级信息安全事件对计算机系统或网络系统所承载的业务以及事发单位利益有一定的影响或破坏;

4级:本级信息安全事件对计算机系统或网络系统所承载的业务以及事发单位利益基本不影响或损害极小。

3、分级规范

(1)公众影响

依据信息安全事件的公众影响,对信息安全事件分级主要参考信息安全事件负面影响的范围和程度进行划分。分级结果如表3-1所示。

造成的影响

安全事件等级

对社会稳定造成影响的信息安全事件

1级

对事发单位的正常工作秩序、单位的形象和声誉等造成影响的信息安全事件

2级

只对事发单位部分人员的正常工作秩序造成影响的信息安全事件

3级

对事发单位基本不造成影响或损害极小的信息安全事件

4级

表3-1公众影响分级规范

(2)业务影响

根据信息安全事件的业务影响,对信息安全事件分级主要涉及信息系统的安全等级和业务中断的时间两个因素。业务影响参考要素分级规范如表3-2所示。

信息系统安全等级

中断4小时以内

4小时(含)以上,

8小时以内

8小时(含)以上

2级

4级

3级

2级

表3-2业务影响分级规范

(3)资产损失

根据信息安全事件的业务影响,对信息安全事件分级主要涉及信息系统的安全等级和业务中断的时间两个因素。业务影响参考要素分级规范如表3-2所示。

级别

合计资产损失(人民币)

1级

50万以上

2级

5-50万元之间

3级

5万元以下

4级

无资产损失

表3-3资产损失分级规范

23.年度安全培训计划

安全教育是安全管理工作的重要组成部分,是从根本上杜绝人的不安全行为的重要措施,也是预防和控制事故的重要手段之一。做好单位网络与信息安全教育培训工作,才能保证单位信息化工作的顺利进行。为使单位的网络信息安全培训计划有规划、有重点、有目的的进行,特制定年度安全教育培训计划。

一、基本思路

1、加强"安全第一、预防为主"的安全意识教育。安全意识教育就是通过对职工深入细致的思想工作,帮助职工端正事项,提高他们对安全生产的重要性的认识。在提高思想意识的基础上,才能正确理解并积极贯彻执行相关的安全生产规章制度,加强自身的保护意识,不违章操作,不违反劳动纪律,做到"三不伤害":不伤害自己、不伤害他人、不被他人伤害。

2、对部门各级管理人员、技术人员也应加强安全思想意识教育,确保他们在工作时做好带头作用。

3、将安全教育贯穿于工作的全过程中,加强全员参与的积极性和安全教育的长期性。做到"全员、全面、全过程"的安全教育。

4、开展多种渠道、多种形式的安全教育。安全教育形式要因地制宜,因人而异,灵活多用,尽量采用符合人的认识特点的、感兴趣的、易于接受的方式。针对本单位的具体情况,安全教育培训的形式主要有以下几个方面:

(1)会议形式。主要有:安全知识讲座、座谈会、先进经验交流会、事故教训现场会等。

(2)现场观摩演示形式。主要有:安全操作方法演示、消防演习、触电急救方法演示等。

二、培训计划

具体的培训方案应在培训的前一个月制定出来,并报领导审批,及时通知培训涉及的相关人员做好准备。

培训结束后,要对培训的效果进行全面的总结,并填写《安全教育培训记录》(附件24)。

不能按期举行的安全培训教育活动,要及时向上级报告,说明举行的具体时间和原因。

精选图文

221381
领取福利

微信扫码领取福利

微信扫码分享