文件编号:
OP-ITSM-020
文件名称:
信息安全管理规范
版本:
ﻩ为明确及落实「信息安全管理流程」的要求,清晰日常工作中的信息安全管理要求及措施,减少因信息安全做成的风险和业务损失。
2.0ﻩ适用范围
ﻩ此流程适用IT服务管理手册中定义的服务范围。
ﻩ适用参考「信息安全管理流程」中定义的明细管理范围。
3.0ﻩ相关流程
信息安全管理流程(OP-ITSM-015)
ﻩ变更管理流程(OP-ITSM-010)
事件和服务请求管理流程(OP-ITSM-007)
术语表
术语
说明
保密协议
保密协议是资方和劳方的双方行为,是通过合同约定劳方保密义务的手段,违反保密协议需要承担违约责任。
员工
信息技术部有雇佣合同的同事及临时工。
资产
对集团有价值的有形或无形物品, 例如可见的各类设备或不可见的系统数据。
机房环境
泛指放置运行硬体设备的环境。包括为保证环境条件达成所设置的 UPS、空调、配电系统、消防设备等设施。
机房区域
机房区域分为设备区域及控制区域, 设备区域指伺服器、网络设备等安装及提供服务的物理区域、控制区域是指KVM控制区域。
电脑网络
包括网络主机、网络设备及其相关配套的设备、设施(含网络线路)及相关软体等组成的架构。
操作系统
是管理电脑硬体与软体资源的电脑程式,同时也是电脑系统的核心与基石。
初始管理员账号
操作系统或伺服器平台,如:Windows 操作系统 的Administrator账号, SQL Server 伺服器 sa 帐号等。但不包括Domino。
数据库普通用户
指数据库系统中除初始管理员账号和数据库管理员外的其它账号。
角色职责表
角色
职责
部门主管
按本规范要求,保管初始管理员账号。
按本规范要求,对各管理员的角色进行合适的授权。
流程经理
按「信息安全管理流程」要求,依本规范要求进行对执行情况及效果、记录进行核查或审计。
按本规范要求,对相关记录进行审核。
5.0ﻩ内容
ﻩ5.1ﻩ规范说明
ﻩﻩ因适用范围及管理要求,本规范分成 8个不同领域明确信息安全要求。
ﻩﻩ5.
部门相应的职能小组负责按信息安全流程要求制定工作手则及指引。
每个信息安全领域每年最少一次对领域内的管理、技术进行工作检讨。
ﻩﻩ 5. 授权管理
因日常管理工作要求,部门遵循分层授权体系进行角色、分工管理。
账户管理
,不得将自己所拥有帐号转借给他人使用。
.、密码。一旦发生泄密事件,须立即通知上司或相关管理小组并安排更换密码。
.,使用完毕应尽快登出。
.4 员工在需要在自己不拥有帐号的系统进行操作时,应向相关的服务负责人进行帐号的申请。
5..5 员工不得以任何方式获取(或企图获取)他人账户。
ﻩ5. 初始管理员账号仅供处理系统设定及授权用途,基于安全理由, 除系统不支持多帐号管理情况外,此帐户将由部门主管统一保存, 并只可于有需要时使用。
.7ﻩ所有的管理员账户应尽量避免共用,可行下均需有独立的管理员账户。
管理员权限应及时跟进权限分配表并至少每年进行一次检查。
不得擅自更改或任意开放权限。
若拥有管理权的人不在﹐需要有一个应急安排。
所有申请的账户,要明确需要的权限,确保不需要的权限不要授予。
.4ﻩ密码管理
,并根据相关管理要求,定期或不定期更换修改密码,密码的设置上要符合保密性要求。
.
强密码定义为密码长度至少为八个字元。 需由大写英文, 小写英文, 数字及符号4项中的其中3项组成。
中等复杂密码:密码长度至少为八个字元。 需由大写英文, 小写英文, 数字及符号4项中的其中2项组成。
禁止设定使用者帐号、姓名、生日、身份证号码、电话号码或单位代名等与个人或单位相关的信息作为密码。
.4.3ﻩ密码策略
更换密码的间隔时间最长不得超过1年。
所有管理员权限的帐号密码均需使用强密码(包括但不限于初始管理员账号、伺服器管理员账号等)。
初始管理员账号及各管理员账户均有独立的管理员密码,不可重复。
对于临时短期授权使用的初始管理员密码,使用完成后
信息安全管理 来自淘豆网m.daumloan.com转载请标明出处.
