2024信息系統(tǒng)運(yùn)行維護(hù)標(biāo)準(zhǔn)

信息系統(tǒng)運(yùn)行維護(hù)標(biāo)準(zhǔn)信息系統(tǒng)運(yùn)行維護(hù)標(biāo)準(zhǔn)范圍本標(biāo)準(zhǔn)規(guī)定了信息系統(tǒng)運(yùn)行及維護(hù)全過(guò)程的管理標(biāo)準(zhǔn)，適用于公司信息系統(tǒng)安全管理人員和技術(shù)人員進(jìn)行信息系統(tǒng)運(yùn)行和維護(hù)管理工作，包括用戶管理、運(yùn)行操作管理、運(yùn)行維護(hù)管理、安全機(jī)制保障、安全集中管理。規(guī)范性引用文件下列文件中的條款通過(guò)本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。GB/T22239–2008信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求GB/T202692006信息安全技術(shù)信息系統(tǒng)安全管理要求定義和術(shù)語(yǔ)信息系統(tǒng)lnformationsystem是由計(jì)算機(jī)硬件、網(wǎng)絡(luò)和通信設(shè)備、計(jì)算機(jī)軟件、信息資源、信息用戶和規(guī)章制度組成的以處理信息流為目的的人機(jī)一體化系統(tǒng)。用戶管理用戶管理內(nèi)容用戶管理的內(nèi)容包括五個(gè)方面：用戶分類(lèi)管理系統(tǒng)用戶管理普通用戶管理機(jī)構(gòu)外部用戶管理臨時(shí)用戶管理用戶分類(lèi)管理按照不同的用戶類(lèi)型，由數(shù)據(jù)服務(wù)部建立用戶分類(lèi)清單，分配用戶權(quán)限。用戶分類(lèi)清單應(yīng)包括信息系統(tǒng)的所有用戶的清單，以及各類(lèi)用戶的權(quán)限。用戶分類(lèi)清單由專(zhuān)人管理和維護(hù)。用戶權(quán)限發(fā)生變化時(shí)應(yīng)及時(shí)更改用戶清單內(nèi)容。必要時(shí)可以對(duì)有關(guān)用戶開(kāi)啟審計(jì)功能。系統(tǒng)用戶管理系統(tǒng)用戶由數(shù)據(jù)服務(wù)部負(fù)責(zé)人指定，授權(quán)應(yīng)以滿足其工作需要的最小權(quán)限為原則。系統(tǒng)用戶應(yīng)接受審計(jì)。對(duì)重要信息系統(tǒng)的系統(tǒng)用戶，應(yīng)進(jìn)行人員的嚴(yán)格審查，符合要求的人員才能給予授權(quán)。系統(tǒng)用戶責(zé)任到個(gè)人，不應(yīng)以部門(mén)或組作為責(zé)任人。在關(guān)鍵信息系統(tǒng)中，對(duì)系統(tǒng)用戶的授權(quán)操作，必須有兩人在場(chǎng)，并經(jīng)雙重認(rèn)可后方可操作，操作過(guò)程應(yīng)自動(dòng)產(chǎn)生不可更改的審計(jì)日志。普通用戶管理普通用戶應(yīng)保護(hù)好口令（密碼）等身份鑒別信息，發(fā)現(xiàn)系統(tǒng)的漏洞、濫用或違背安全行為時(shí)應(yīng)及時(shí)報(bào)告。不應(yīng)透露與組織機(jī)構(gòu)有關(guān)的非公開(kāi)信息。普通用戶不應(yīng)故意進(jìn)行違規(guī)的操作，以及在不符合敏感信息保護(hù)要求的系統(tǒng)中保存和處理高敏感度的信息。不應(yīng)使用各種非正版軟件和不可信的自由軟件。普通用戶只能在系統(tǒng)規(guī)定的權(quán)限內(nèi)進(jìn)行操作，必要時(shí)某些重要操作應(yīng)得到批準(zhǔn)。4.r機(jī)構(gòu)外部用戶管理數(shù)據(jù)服務(wù)部在分配機(jī)構(gòu)外部用戶管理權(quán)限時(shí)，應(yīng)對(duì)機(jī)構(gòu)外部用戶明確說(shuō)明使用者的責(zé)任、義務(wù)和風(fēng)險(xiǎn)，并要求提供合法使用的聲明。外部用戶只能是應(yīng)用層的用戶。機(jī)構(gòu)外部用戶可對(duì)特定外部用戶提供專(zhuān)用通信通道、端口、特定的應(yīng)用或數(shù)據(jù)協(xié)議、以及專(zhuān)用設(shè)備等。在關(guān)鍵部位，一般不允許設(shè)置外部用戶。臨時(shí)用戶管理臨時(shí)用戶的設(shè)置和期限必須經(jīng)過(guò)數(shù)據(jù)服務(wù)部負(fù)責(zé)人的審批，使用完畢或到期應(yīng)及時(shí)刪除，設(shè)置與刪除均應(yīng)記錄備案。管理人員應(yīng)對(duì)主要部位的臨時(shí)用戶應(yīng)進(jìn)行審計(jì)，并在刪除前進(jìn)行風(fēng)險(xiǎn)評(píng)估。在關(guān)鍵部位，一般不允許設(shè)置臨時(shí)用戶。r運(yùn)行操作管理運(yùn)行操作管理內(nèi)容運(yùn)行操作管理包括七個(gè)方面：服務(wù)器操作管理終端計(jì)算機(jī)操作管理便攜機(jī)操作管理網(wǎng)絡(luò)及安全設(shè)備操作管理業(yè)務(wù)應(yīng)用操作管理變更控制和重用管理信息交換管理服務(wù)器操作管理對(duì)服務(wù)器的操作應(yīng)由授權(quán)的系統(tǒng)管理員實(shí)施，并按操作規(guī)程執(zhí)行服務(wù)器的啟動(dòng)/停止、加電/斷電等操作，以及身份鑒別管理。終端計(jì)算機(jī)操作管理用戶在使用自己的終端計(jì)算機(jī)時(shí)，應(yīng)設(shè)置開(kāi)機(jī)、屏幕保護(hù)、目錄共享口令。非組織機(jī)構(gòu)配備的終端計(jì)算機(jī)未獲批準(zhǔn)，不能在辦公場(chǎng)所使用。用戶應(yīng)及時(shí)安裝經(jīng)過(guò)許可的軟件和補(bǔ)丁程序，不得自行安裝及使用其它軟件和自由下載軟件。未獲批準(zhǔn)，嚴(yán)禁使用Modem撥號(hào)、無(wú)線網(wǎng)卡等方式或另辟通路接入其它網(wǎng)絡(luò)。便攜機(jī)操作管理便攜機(jī)需設(shè)置開(kāi)機(jī)口令和屏?？诹?。因工作崗位變動(dòng)不再需要使用便攜機(jī)時(shí)，應(yīng)及時(shí)辦理資產(chǎn)轉(zhuǎn)移或清退手續(xù)，并刪除機(jī)內(nèi)的敏感數(shù)據(jù)。在本地網(wǎng)絡(luò)工作時(shí)應(yīng)按終端計(jì)算機(jī)的要求執(zhí)行。在本地之外網(wǎng)絡(luò)接入過(guò)的便攜機(jī)，需要接入本地網(wǎng)絡(luò)前應(yīng)進(jìn)行必要的安全檢查。r.r網(wǎng)絡(luò)及安全設(shè)備操作管理對(duì)網(wǎng)絡(luò)及安全設(shè)備的操作應(yīng)由授權(quán)的系統(tǒng)管理員實(shí)施。授權(quán)的系統(tǒng)管理員應(yīng)按操作規(guī)程進(jìn)行網(wǎng)絡(luò)設(shè)備和安全設(shè)備的接入/斷開(kāi)、啟動(dòng)/停止、加電/斷電等操作，維護(hù)網(wǎng)絡(luò)和安全設(shè)備的運(yùn)行環(huán)境、配置和服務(wù)設(shè)定，對(duì)實(shí)施網(wǎng)絡(luò)及安全設(shè)備操作的管理員應(yīng)進(jìn)行身份鑒別。業(yè)務(wù)應(yīng)用操作管理業(yè)務(wù)應(yīng)用系統(tǒng)應(yīng)對(duì)操作人員進(jìn)行身份鑒別。業(yè)務(wù)應(yīng)用系統(tǒng)應(yīng)能夠以菜單等方式限制操作人員的訪問(wèn)權(quán)限。由數(shù)據(jù)服務(wù)部主持制定業(yè)務(wù)應(yīng)用操作程序，并形成正式文檔。業(yè)務(wù)應(yīng)用操作程序應(yīng)指明具體執(zhí)行每個(gè)作業(yè)的指令，至少包括：指定需要處理和使用的信息；明確操作步驟，包括與其它系統(tǒng)的相互依賴性、操作起始和結(jié)束的時(shí)間；說(shuō)明處理錯(cuò)誤或其它異常情況的指令；系統(tǒng)出現(xiàn)故障時(shí)進(jìn)行重新啟動(dòng)和恢復(fù)的措施；出現(xiàn)意外的操作或技術(shù)問(wèn)題時(shí)需要技術(shù)支持的聯(lián)系方法。變更控制和重用管理任何變更控制和設(shè)備重用必須經(jīng)過(guò)申報(bào)和審批才能進(jìn)行，同時(shí)還有以下要求：注意識(shí)別重大變更，并進(jìn)行記錄；評(píng)估這些變更的潛在影響；向所有相關(guān)人員通報(bào)變更細(xì)節(jié)；明確中止變更并從失敗的變更中恢復(fù)的責(zé)任和處理方法；重用設(shè)備中原有信息的清除。數(shù)據(jù)服務(wù)部應(yīng)形成書(shū)面規(guī)定，以對(duì)操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)、人員、服務(wù)等的變更進(jìn)行標(biāo)準(zhǔn)控制。信息系統(tǒng)的任何變更都必須考慮全面的安全性。信息交換管理在公眾網(wǎng)站、內(nèi)部網(wǎng)站發(fā)布的信息，以及提供查詢的信息應(yīng)符合國(guó)家有關(guān)政策法規(guī)的規(guī)定。對(duì)所公布的信息應(yīng)采取適當(dāng)?shù)陌踩胧?，以保護(hù)其完整性。應(yīng)保護(hù)業(yè)務(wù)應(yīng)用中的信息交換的安全性，防止欺詐、合同糾紛以及泄露或修改信息事件的情況發(fā)生。運(yùn)行維護(hù)管理運(yùn)行維護(hù)管理內(nèi)容運(yùn)行維護(hù)管理包括四個(gè)方面：日常運(yùn)行安全管理運(yùn)行狀況監(jiān)控軟件硬件維護(hù)管理外部服務(wù)方訪問(wèn)管理日常運(yùn)行安全管理數(shù)據(jù)服務(wù)部應(yīng)通過(guò)正式授權(quán)程序委派專(zhuān)人負(fù)責(zé)系統(tǒng)運(yùn)行的安全管理。建立運(yùn)行值班等有關(guān)安全規(guī)章制度。正確實(shí)施為信息系統(tǒng)可靠運(yùn)行而采取的各種檢測(cè)、監(jiān)控、審計(jì)、分析、備份及容錯(cuò)等方法和措施。定期對(duì)運(yùn)行安全進(jìn)行監(jiān)督檢查。明確各個(gè)崗位人員對(duì)信息系統(tǒng)各類(lèi)資源的安全責(zé)任，明確信息系統(tǒng)安全管理人員和普通用戶對(duì)信息系統(tǒng)資源的訪問(wèn)權(quán)限。按風(fēng)險(xiǎn)管理計(jì)劃和操作規(guī)程定期對(duì)信息系統(tǒng)的運(yùn)行進(jìn)行風(fēng)險(xiǎn)分析與評(píng)估，并向管理層提交正式的風(fēng)險(xiǎn)分析報(bào)告。運(yùn)行狀況監(jiān)控所有的系統(tǒng)日志應(yīng)保留一定期限，日志不能更改，只允許授權(quán)用戶訪問(wèn)。日志應(yīng)有脫機(jī)保存的介質(zhì)。信息系統(tǒng)應(yīng)使用統(tǒng)一的時(shí)間，以確保記錄日志準(zhǔn)確。定期清理日志，并形成日志清理報(bào)告。審計(jì)日志須經(jīng)數(shù)據(jù)服務(wù)部負(fù)責(zé)人授權(quán)方可查閱，并告知用戶某些行為會(huì)被審計(jì)。軟件硬件維護(hù)管理由數(shù)據(jù)服務(wù)部明確信息系統(tǒng)的軟件、硬件維護(hù)的人員和責(zé)任，規(guī)定維護(hù)的時(shí)限，以及設(shè)備更新和替換的辦法。制定有關(guān)軟件、硬件維修的制度。對(duì)需要外出維修的設(shè)備，應(yīng)經(jīng)過(guò)綜合部、數(shù)據(jù)服務(wù)部審批，磁盤(pán)數(shù)據(jù)應(yīng)進(jìn)行刪除。外部維修人員進(jìn)入機(jī)房維修，應(yīng)經(jīng)過(guò)綜合部審批，并有數(shù)據(jù)服務(wù)部專(zhuān)人負(fù)責(zé)陪同。6.r外部服務(wù)方訪問(wèn)管理對(duì)外部服務(wù)方訪問(wèn)的要求，應(yīng)經(jīng)過(guò)總經(jīng)理審批，由數(shù)據(jù)服務(wù)部備案。由數(shù)據(jù)服務(wù)部主導(dǎo)，必要時(shí)綜合部協(xié)助，對(duì)外部服務(wù)方訪問(wèn)建立相應(yīng)的安全管理制度。外部服務(wù)方訪問(wèn)應(yīng)簽署保密合同。數(shù)據(jù)服務(wù)部應(yīng)對(duì)外部服務(wù)方訪問(wèn)進(jìn)行風(fēng)險(xiǎn)分析和評(píng)估。對(duì)外部服務(wù)方訪問(wèn)實(shí)施嚴(yán)格控制，必要時(shí)實(shí)施監(jiān)視。安全機(jī)制保障安全機(jī)制保障內(nèi)容安全機(jī)制保障包括七個(gè)方面：身份鑒別機(jī)制管理訪問(wèn)控制機(jī)制管理系統(tǒng)安全管理網(wǎng)絡(luò)安全管理應(yīng)用系統(tǒng)安全管理病毒防護(hù)管理密碼管理身份鑒別機(jī)制管理對(duì)網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)等系統(tǒng)管理員和應(yīng)用系統(tǒng)管理員以及普通用戶，應(yīng)明確使用和保護(hù)身份鑒別機(jī)制的責(zé)任，采用不可偽造的鑒別信息進(jìn)行身份鑒別，采用有關(guān)身份鑒別和認(rèn)證系統(tǒng)的管理維護(hù)措施。應(yīng)指定安全管理人員定期進(jìn)行檢查，鑒別信息應(yīng)進(jìn)行相應(yīng)的保護(hù)。訪問(wèn)控制機(jī)制管理應(yīng)根據(jù)自主訪問(wèn)控制機(jī)制的要求，由授權(quán)用戶為主、客體設(shè)置相應(yīng)訪問(wèn)的參數(shù)。應(yīng)將自主訪問(wèn)控制與審計(jì)密切結(jié)合，實(shí)現(xiàn)對(duì)自主訪問(wèn)控制過(guò)程的審計(jì)，使訪問(wèn)者為自己的行為負(fù)責(zé)，并保證最高管理層對(duì)自主訪問(wèn)控制管理的掌握。系統(tǒng)安全管理應(yīng)對(duì)操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)按其安全技術(shù)和機(jī)制的不同要求實(shí)施相應(yīng)的安全管理。數(shù)據(jù)服務(wù)部應(yīng)通過(guò)正式授權(quán)程序委派專(zhuān)人負(fù)責(zé)系統(tǒng)安全管理。建立系統(tǒng)安全配置、備份等安全管理規(guī)章制度，按規(guī)章制度的要求及時(shí)進(jìn)行補(bǔ)丁升級(jí)。嚴(yán)格按照要求進(jìn)行日常安全管理，包括對(duì)用戶安全使用進(jìn)行指導(dǎo)和審計(jì)等。應(yīng)根據(jù)訪問(wèn)控制安全策略的要求，全面考慮和統(tǒng)一設(shè)置、維護(hù)用戶及主、客體的標(biāo)記信息。7.r網(wǎng)絡(luò)安全管理對(duì)網(wǎng)絡(luò)按其安全技術(shù)和機(jī)制的不同要求實(shí)施相應(yīng)的安全管理。通過(guò)正式授權(quán)程序指定網(wǎng)絡(luò)安全管理人員。按有關(guān)規(guī)程對(duì)網(wǎng)絡(luò)安全進(jìn)行定期評(píng)估，不斷完善網(wǎng)絡(luò)安全策略，建立、健全網(wǎng)絡(luò)安全管理和配置的規(guī)章制度。應(yīng)用系統(tǒng)安全管理對(duì)應(yīng)用系統(tǒng)按其安全技術(shù)和機(jī)制的不同要求實(shí)施相應(yīng)的安全管理。通過(guò)正式授權(quán)程序委派專(zhuān)人負(fù)責(zé)應(yīng)用系統(tǒng)的安全管理，明確管理范圍、管理事務(wù)、管理規(guī)程，以及應(yīng)用系統(tǒng)軟件的安全配置、備份等安全工作。病毒防護(hù)管理通過(guò)正式授權(quán)程序?qū)Σ《痉雷o(hù)委派專(zhuān)人負(fù)責(zé)檢查網(wǎng)絡(luò)和主機(jī)的病毒檢測(cè)并保存記錄。使用外部移動(dòng)存儲(chǔ)設(shè)備之前應(yīng)進(jìn)行病毒檢查。要求從不信任網(wǎng)絡(luò)上接收的文件或郵件，在使用前應(yīng)首先檢查是否有病毒。對(duì)非在線的內(nèi)部計(jì)算機(jī)設(shè)備，以及外來(lái)或新增計(jì)算機(jī)做到入網(wǎng)前進(jìn)行殺毒和補(bǔ)丁檢測(cè)。密碼管理按國(guó)家密碼主管部門(mén)的規(guī)定，對(duì)信息系統(tǒng)中使用的密碼算法和密鑰進(jìn)行管理。按國(guó)家有關(guān)法律法規(guī)要求，對(duì)信息系統(tǒng)中包含密碼的軟、硬件信息處理模塊的進(jìn)、出口進(jìn)行管理。按國(guó)家密碼主管部門(mén)的規(guī)定，對(duì)信息系統(tǒng)中以密碼為基礎(chǔ)的安全機(jī)制實(shí)施分等級(jí)管理。安全集中管理安全集中管理內(nèi)容安全集中管理包括三個(gè)方面：安全機(jī)制集中控管安全信息集中管理安全機(jī)制整合安全機(jī)制集中控管安全機(jī)制集中控管要求能夠?qū)π畔⑾到y(tǒng)所涉及的計(jì)算機(jī)、網(wǎng)絡(luò)以及應(yīng)用系統(tǒng)的安全機(jī)制實(shí)施統(tǒng)一管理、統(tǒng)一監(jiān)控、統(tǒng)一審計(jì)、協(xié)同防護(hù)，根據(jù)網(wǎng)絡(luò)結(jié)構(gòu)，按照分布式多層次的管理結(jié)構(gòu)，進(jìn)行分層分級(jí)聯(lián)合方式的集中安全管理，發(fā)揮安全機(jī)制的整體作用，提高安全防護(hù)的等級(jí)和水平