ISMS信息處理設備管理程序.doc

《ISMS信息處理設備管理程序.doc》由會員分享，可在線閱讀，更多相關《ISMS信息處理設備管理程序.doc（9頁珍藏版）》請在裝配圖網上搜索。

德信誠培訓網 信息處理設備管理程序 1 適用與目的 本程序適用于公司與IT相關各類信息處理設施（包括各類軟件、硬件、服務、傳輸線路）的引進、實施、維護等事宜的管理。 本程序通過對技術選型、驗收、實施、維護等過程中相關控制的明確規(guī)定來確保引進的信息處理設施的保密性、完整性和可用性。 2信息處理設施的分類 2.1 研發(fā)控制系統(tǒng)、數(shù)據存儲控制系統(tǒng)及其子系統(tǒng)設備，包括位于機房的服務器和位于使用區(qū)域的使用控制系統(tǒng)終端設備。 2.2 業(yè)務管理系統(tǒng)、財務管理系統(tǒng)，包括位于機房的服務器和位于使用區(qū)域的終端設備。 2.3 辦公用計算機設備，包括所有辦公室、會議室內的計算機、打印機，域控制服務器，DNS服務器、Email服務器等。 2.4 網絡設備，包括交換機、路由器、防火墻等。 2.5 其它辦公設備，包括電話設備、復印機、傳真機等。 3 職責 3.1 DXC主要負責全公司與IT相關各類信息處理設施及其服務的引進。包括制作技術規(guī)格書、進行技術選型、安裝和驗收等。DXC同時負責全公司網絡設備、研發(fā)控制系統(tǒng)、業(yè)務管理系統(tǒng)、財務管理系統(tǒng)日常管理與維護。 3.2 各部負責項目實施過程中設備及軟件系統(tǒng)的管理制度的執(zhí)行與維護。 3.3 DXC負責后勤系統(tǒng)設備及網絡系統(tǒng)、電話/網絡通訊與辦公系統(tǒng)的管理與維護。 4 信息處理設施的引進和安裝 4.1引進依賴 各部門必須采購的信息處理設施、外包開發(fā)信息系統(tǒng)項目或外包信息系統(tǒng)服務，得到本部門經理的批準后，向DXC提交申請。DXC以設備投資計劃，技術開發(fā)計劃為依據，結合對新技術的調查，作出是否引進的評價結果并向提出部門返回該信息。 本公司禁止員工攜帶個人或私有信息處理設施（例如便攜式電腦、家用電腦或手持設備PDA等）處理業(yè)務信息。 4.2進行技術選型 DXC負責對購入的信息處理設施的技術選型，并從技術角度對供應商進行評價。技術選型應該包含以下幾方面：性能、相關設施的兼容性、協(xié)作能力、技術發(fā)展能力等。 4.3編寫購入規(guī)格書 DXC根據要求，負責編寫即將購入的信息處理設施的購入規(guī)格書。規(guī)格書中應該包含技術規(guī)格、相關設施的性能（包括安全相關信息）、兼容性等要求，由DXC主管審批。 4.4定貨 由DXC按照公司采購流程，向經理層提出購買要求，并提供選型結果。經理層應按照要求辦理定貨手續(xù)。 4.5開箱檢查，安裝、調試，驗收 a) 開箱檢查 設備到貨后，DXC應負責開箱檢查，依照購買規(guī)格書和裝箱單核對數(shù)量及物品，確認有無損壞并記錄。必要時，應通知有關部門到場協(xié)同檢查。 b) 安裝、調試 引進的設施到位后，根據合同要求，由相關人員進行安裝、調試。在實施調試過程中出現(xiàn)的問題，必要時可通知相關部門共同進行。 c) 驗收 安裝調試完成以后，DXC應依據以下文件實施驗收： ·購入規(guī)格書 ·采購合同及其相關附件 ·調試時故障履歷 驗收原則上由DXC實施，必要時可要求相關部門參加。驗收的合格與否最終由DXC負責人作出判斷。 d) 驗收合格后，可向相關的使用部門移交。 5 信息處理設施的日常維護管理 5.1計算機設備管理 5.1.1 DXC負責計算機固定資產的標識，標識隨具體設備到使用各部門。計算機保管使用部門將計算機列入該部門信息資產清單。 5.1.2 各部門配備的計算機設備應與本部門的日常經營情況相適應，不得配備與工作不相符的高檔次或不必要的計算機設備。辦公場所不配備多媒體類計算機設備，原則上部門經理以上配備筆記本電腦，因工作需要配備筆記本電腦的需經主管副總批準。 5.1.3 計算機使用部門需配備計算機設備時，應按照本規(guī)定執(zhí)行。資產搬離安置場所，需要獲得部門經理的授權；遷移出公司，需要得到最高管理層的授權。 5.1.4 計算機使用部門填寫《物品領用單》，經過本部門經理簽字后提交行政部后領取計算機設備。計算機及附屬設備屬公司信息資產，在行政部備案。有關計算機設備所帶技術說明書、軟件由行政部保存。使用部門的使用人應妥善保管計算機及附屬設備，公用計算機設備由使用部門經理指定專人負責使用管理。 5.1.5 離職時，應將計算機交還DXC，由DXC注銷賬戶。 5.2計算機設備維護 5.2.1 計算機使用部門應將每部計算機落實到個人管理。計算機使用人員負責計算機的日常維護和保養(yǎng)；DXC按照《惡意軟件控制程序》要求進行計算機查毒和殺毒工作。 5.2.2 計算機使用部門發(fā)現(xiàn)故障或異常，可先報公司XX管理員處理，如其無法解決，則由XX管理員填寫《事態(tài)事件脆弱性記錄》向供應商申請維修。故障原因及處理結果應記入《事態(tài)事件脆弱性記錄》。 5.3計算機調配與報廢管理 5.3.1 用戶計算機更新后，原來的計算機由DXC根據計算機的技術狀態(tài)決定調配使用或予以報廢處理。 5.3.2 含有敏感信息的計算機調配使用或報廢前，計算機使用部門應與DXC共同采取安全可靠的方法將計算機內的敏感信息清除。 5.3.3 調配 5.3.3.1 部門內部的調配由使用部門自行處理，并通知DXC進行計算機配置變更，變更執(zhí)行《更改控制程序》。 5.3.3.2 部門間的調配管理：DXC收回因更新等原因不用的計算機設備，由變更部門變更信息資產清單，并按照本程序5.1.3、5.1.4要求重新分配使用。 5.4報廢處理 5.4.1 計算機設備采用集中報廢處理。報廢前由DXC向行政部提出報廢，經審核后由DXC實施報廢。 5.4.2 DXC按照批準的處置方案進行報廢處理，并變更固定資產清單。 5.5筆記本電腦安全管理 5.5.1 筆記本電腦應由被授權的使用人保管；對于需多人共用的筆記本電腦，應由部門負責人指定專人保管。 5.5.2 筆記本所帶附件應由使用者本人或部門負責人指定專人保管。 5.5.3 筆記本電腦使用時應防止惡意軟件的侵害，在系統(tǒng)中應安裝防病毒軟件，并由使用人對其定期升級，對系統(tǒng)定期查殺，DXC負責監(jiān)督。 5.5.4 筆記本電腦在移動使用中，不能隨意拉接網絡，需通過填寫《用戶授權申請表》向DXC提前提出需求，經DXC審批后方能接入網絡。 5.6計算機安全使用的要求 5.6.1 計算機設備為公司財產，應愛惜使用，按照正確的操作步驟操作。 5.6.2 使用計算機時應遵循信息安全策略要求執(zhí)行。 5.6.3 員工入職時，由其所在部門的部門經理根據該員工權限需要填寫《用戶授權申請表》，向研發(fā)部提出用戶開戶申請；離職時也需填寫《用戶授權申請表》通知研發(fā)部辦理銷戶。 5.6.4 新域用戶名為用戶姓名的拼音（有重名時另設），初始缺省密碼為XXXXX。用戶在第一次登錄系統(tǒng)時應變更密碼，密碼需要設置在6位以上（英文字母、數(shù)字或符號組合的優(yōu)質密碼）并注意保密。 5.6.5 各人使用自己的賬戶登錄，未經許可不得以他人用戶名登錄。若用戶遺忘密碼，應及時向研發(fā)部申請新密碼后登錄。 5.6.6 不得使用計算機設備處理正常工作以外的事務。 5.6.7 計算機的軟硬件設置管理由研發(fā)部進行，未經許可，任何人不得更換計算機硬件和軟件。 5.6.8 研發(fā)部負責初始軟件的安裝，公司嚴禁個人私自安裝和更改任何軟件。計算機用戶的軟件安裝與升級按照《更改控制程序》執(zhí)行。拒絕使用來歷不明的軟件和光盤。 5.6.9 嚴禁亂拉接電源，以防造成短路或失火。 5.6.10 計算機桌面要保持清潔，不得將秘密和（或）受控文件直接放置在桌面；計算機桌面必須設置屏幕保護，恢復時需用密碼確認（執(zhí)行密碼口令管理規(guī)定）。鎖屏時間可根據自己工作習慣設置鎖屏時間，但最高不得高于5分鐘。各部門負責人進行監(jiān)督。 5.7網絡安全使用的要求 5.7.1 對于網絡連接供應商，充分考慮其口碑和現(xiàn)有安全防范措施，在簽署保密協(xié)議的基礎上加以篩選。 5.7.2 對內設置必要的路由器防火墻，采用HTTP、FTP的連接方式，捆綁固定IP地址防止權限濫用。 6 信息處理設施的日常點檢 6.1 計算機的日常點檢 日常點檢的目的是確認系統(tǒng)硬件是否運行良好，有無硬件及程序上的報警，備份是否正常進行等。點檢的流程、責任、項目、點檢周期和記錄表詳由相應部門制定。如出現(xiàn)在檢查期人員外出等不在崗情況，需要在返回工作崗位時，立即補充完善。 6.2 網絡設備的管理與維護 點檢的流程、責任、項目、點檢周期和記錄表由DXC負責，特別的，在點檢中應包括對MAIL的點檢。 6.3 點檢策略 6.3.1 所有存在于計算機、網絡設備上的服務、入侵檢測系統(tǒng)、防火墻和其他網絡邊界訪問控制系統(tǒng)的系統(tǒng)審核、賬號審核和應用審核日志必須打開，如果有警報和警示功能必須打開。 6.3.2　審核日志必須保存一定的期限，任何個人和部門不得以任何理由刪除保存期之內的日志。 6.3.3　審核日志必須由該系統(tǒng)管理員定期檢查，特權使用、非授權訪問的試圖、系統(tǒng)故障和異常等內容應該得到評審，以查找違背信息安全的征兆和事實。 6.3.4 入侵檢測系統(tǒng)必須處于啟動狀態(tài)，日志保存一定的期限，定期評審異?，F(xiàn)象，對所有可疑或經確認的入侵行為和入侵企圖需及時匯報并采取相應的措施。  6.3.5 日志的配置最低要求 設備類型 日志內容 保存周期 檢查周期 服務系統(tǒng) 對外提供服務的 a)用戶標識符(ID)； b)登錄和注銷事件； c)若可能，終端位置； d)成功的失敗的登錄試圖。 ≥6個月 ≤2周 直接用于設計、存儲、檢測的控制、管理和查詢系統(tǒng) ≥12個月 ≤2周 全公司辦公系統(tǒng) ≥6個月 ≤5周 部門內部服務器 ≥6個月 ≤5周 其他服務器 ≥6個月 ≤5周 防火墻和路由器 系統(tǒng)配置更改日志 ≥1個月 ≤5周 訪問日志(方向、流量) ≥1個月 ≤5周 VPN網關 a)用戶標識符(ID)； b)登錄和注銷事件； c)終端位置； d)成功的失敗的登錄試圖。 ≥1周 ≤1周 入侵檢測系統(tǒng) 異常網絡連接的時間、IP、入侵類型 ≥3個月 ≤5周 遠程訪問系統(tǒng) a)用戶標識符(ID)； b)登錄和注銷事件； c)終端位置； d)成功的失敗的登錄試圖。 ≥3個月 ≤5周 6.3.6 DXC網絡管理員根據系統(tǒng)的安全要求確認其日志內容、保存周期、檢查周期，其最低要求不得低于上表的要求。如果因為日志系統(tǒng)本身原因不能滿足上表的最低要求，需要降低標準的，必須得到DXC主管或管理者代表的批準和備案。 6.3.7 DXC網絡管理員配置日志系統(tǒng)，并定期檢查日志內容，評審安全情況。評審的內容包括：授權訪問、特權操作、非授權的訪問試圖、系統(tǒng)故障與異常等情況，評審結束應形成《日志檢查記錄》。 6.4 資料的保存 6.4.1 設備的技術資料由設備所在的部門交由行政部保存并建立《受控文件和資料發(fā)放清單》，以備日后查閱。 6.4.2 設備廠商對設備進行維修后提供的維修（維護）記錄單，由DXC保存，以備日后查詢。 6.5 網絡掃描工具的安全使用管理 6.5.1 對網絡掃描工具的使用，必須得到管理者代表的授權，并保存使用的記錄。 7 其它要求 涉及應用系統(tǒng)軟件的開發(fā)（包括外包軟件開發(fā)）的項目，還需執(zhí)行《系統(tǒng)開發(fā)與維護控制程序》的相關要求。 8 相關文件 2 《系統(tǒng)開發(fā)與維護控制程序》 2 《系統(tǒng)邏輯訪問管理制度》  9 記錄 記錄名稱 保存部門 保存期限 《用戶授權申請表》 3年 《日志檢查評審記錄》 5年 《變更申請表》 3年 《日常點檢記錄表》 3年 更多免費資料下載請進：http://www.55top.com 好好學習社區(qū)