一、引 言
目的
随着计算机应用的广泛普及,计算机安全已成为衡量计算机系统性能的一个重
要指标。
计算机系统安全包含两部分内容,一是保证系统正常运行,避免各种非故意的
错误与损坏;二是防止系统及数据被非法利用或破坏。两者虽有很大不同,但
又相互联系,无论从管理上还是从技术上都难以截然分开,因此,计算机系统
安全是一个综合性的系统工程。
本规范对涉及计算机系统安、全的各主要环节做了具体的说明,以便计算机系
统的设计、安装、运行及监察部门有一个衡量系统安全的依据。
范围
本规范是一份指导性文件,适用于国家各部门的计算机系统。
在弓 I 用本规范时,要根据各单位的实际情况,选择适当的范围,不强求全面
采用。
二、安全组织与管理
安全机构
单位最高领导必须主管计算机安全工作。
建立安全组织:
安全组织由单位主要领导人领导,不能隶属于计算机运行或应用部
门。
安全组织由管理、系统分析、软件、硬件、保卫、审计、人事、通
信等有关方面人员组成。
安全负责人负责安全组织的具体工作。
安全组织的任务是根据本单位的实际情况定期做风险分析,提出相
应的对策并监督实施。
安全负责人制:
确定安全负责人对本单位的计算机安全负全部责任。
只有安全负责人或其指定的专人才有权存取和修改系统授权表及系
统特权口令。
安全负责人要审阅每天的违章报告,控制台操作记录、系统日志、
系统报警记录、系统活动统计、警卫报告、加班报表及其他与安全有关的材料。
安全负责人负责制定安全培训计划。
若终端分布在不同地点,则各地都应有地区安全负责人,可设专职,
也可以兼任,并接受中心安全负责人的领导。
各部门发现违章行为,应向中心安全负责人报告,系统中发现违章
行为要通知各地有关安全负责人。
计算机系统的建设应与计算机安全工作同步进行。
人事管理
人员审查:必须根据计算机系统所定的密级确定审查标准。如:处理机
要信息的系统,接触系统的所有工作人员必须按机要人员的标准进行审查。
关键岗位的人选。如:系统分析员,不仅要有严格的政审,还要考虑其
现实表现、工作态度、道德修养和业务能力等方面。尽可能保证这部分人员安
全可靠。
所有工作人员除进行业务培训外,还必须进行相应的计算机安全课程培
训,才能进入系统工作。
人事部门应定期对系统所有工作人员从政治思想、业务水平、工作表现
等方面进行考核,对不适于接触信息系统的人员要适时调离。
对调离人员,特别是在不情愿的情况下被调走的人员,必须认真办理手
续。除人事手续外,必须进行调离谈话,申明其调离后的保密义务,收回所有
钥匙及证件,退还全部技术手册及有关材料。系统必须更换口令和机要锁。在
调离决定通知本人的同时,必须立即进行上述工作,不得拖延。
安全管理
,1 应根据系统所处理数据的秘密性和重要性确定安全等级,井据此采用有
关规范和制定相应管理制度。
软件系统安全规范 来自淘豆网m.daumloan.com转载请标明出处.
