跳转至

ISMS-02-21-V1.0 日常运行安全管理规定

日常运行安全管理规定

第一章 总则

第一条 目的

为规范思度安全运营中心日常运行安全管理和监督检查,规范员工安全行为,特制定本规定。

第二条 适用范围

适用于思度安全运营中心职责范围内各类信息系统的日常运维操作活动。

第二章 组织与职责

第三条 风险管理组

思度安全运营中心风险管理组负责监督各部门在日常运维操作中对本规定的执行情况。

第四条 各部门安全组

负责监督和检查本部门在日常运维操作中对本规定的执行情况。

第五条 各部门

负责根据本规定落实具体的控制措施,实施职责范围内的日常运维操作的安全管理,定期开展自查工作。

第六条 全体员工

必须严格遵守本规定及所属部门有关运维操作的各项安全管理要求。

第三章 基本原则

第七条 基本原则

日常操作行为应遵循"视野可及"、"行为可控"、"痕迹可审"的原则。

第八条 职责分离

生产运维操作应遵循职责分离的原则。

第九条 测试运营分离

日常运行维护工作应遵循开发、测试和运营环境严格分离的原则,禁止在思度安全运营中心生产环境中进行开发、测试相关工作。

第十条 权限最小化

员工权限的分配应遵循权限最小化原则,仅为员工授予履行其职责所必需的最低权限。

第四章 流程文件与操作手册

第十一条 建立流程文件

各部门应对各类日常运维操作建立流程文件,流程文件中应明确责任人、操作流程和相关角色等关键要素,操作流程发生变化时应及时对流程文件进行修订和更新。

第十二条 编制操作手册

各部门应根据安全要求,流程文件、技术规范等要求编制操作手册并适时更新;根据操作手册实施操作时应进行记录,各部门应妥善保留记录,并定期组织对记录文件的检查。

第十三条 培训与考试

各部门应定期组织对员工进行制度文件,流程文件和操作手册培训,并进行必要的考试。

第五章 运维值班与事件报告

第十四条 运维值班要求

各部门应安排好运维值班时间,确保运维值班人员满足值班工作的要求。

第十五条 监控与巡视

员工在值班期间应做好运行监控,设备巡视。

第十六条 异常事件报告和处置

值班期间发生异常事件,应按照《思度安全信息安全事件报告管理办法》进行报告和处置;发现信息安全事件或隐患应按照《信息安全事件管理规定》进行报告和处置。

第六章 变更管理

第十七条 基本要求

各部门应对变更进行严格管理,消除或降低变更风险。确保变更的实施必须得到审批,变更前进行风险评估,变更完成后进行变更结果的验证,具体要求详见《变更管理流程》。

第十八条 制订回退方案

由思度安全运营中心内部提交的变更申请,应评估变更可能导致的潜在风险,对高风险变更应制订回退方案和应急预案(删除)。对中型及重大级别变更要求回退和应急预案,其他变更级别要求回退步骤。

第十九条 变更材料检查

由思度安全内部其他相关部门提交的变更申请,思度安全运营中心变更评议机构应评估变更相关材料的完整性、实施变更的可操作性和时间窗口。

第二十条 变更审批

所有变更均应经过相应层面的审批,实施部门和配合部门在变更实施完成后应进行变更验证。紧急变更可用通过口头形式审批但事后必须补单。

第七章 日志管理

第二十一条 日志保存要求

各部门应明确日志(包括系统活动日志、故障日志、管理员日志、操作员日志等)保存的要求,定期对日志文件进行归档保存,以便于日志的查询、分析和审计。

第二十二条 日志安全防护

各部门应实施管理和技术控制措施,对日志文件加以保护,防止未授权的访问和篡改,避免日志文件的不可使用、丢失或损坏。

第二十三条 日志审计与分析

各部门应对日志进行审计和分析,并进行记录,在日志分析中发现异常信息时,应及时进行报告。思度安全运营中心风险管理组负责对各部门的日志审计和分析工作进行抽查。

第八章 可移动介质管理

第二十四条 质申请管理

申领使用可移动介质时,应经过审批,并进行记录。

第二十五条 保护措施

不同用途的可移动介质应采取相应的保护措施,防止信息资产泄露或者遭受未授权的修改、移动或销毁。 (一) 生产用可移动介质应用于生产设备之间或生产设备与办公设备之间传输生产相关的必要信息; (二) 生产用可移动介质禁止带出思度安全运营中心; (三) 办公用可移动介质禁止接入生产设备; (四) 存储有思度安全运营中心秘密的办公用可移动介质禁止带出思度安全运营中心;存储有思度安全运营中心内部使用数据或文档的办公用可移动介质在带离思度安全运营中心后,使用者必须保证其安全性。

第二十六条 丢失管理

可移动介质受到破坏或丢失时,使用者应立即通报思度安全运营中心风险管理组。

第二十七条 数据清除要求

可移动介质使用完毕后,对于可重复读写的可移动介质应及时清空内容,对于不可重复读写的可移动介质应妥善进行保管,避免非授权访问。

第二十八条 介质销毁要求

对于不再使用的可移动介质,应实施适当的保管或销毁。具体要求详见《可移动介质管理实施细则》。

第九章 恶意代码及移动代码防护

第二十九条 恶意代码防范要求

各部门应按思度安全统一要求安装用于防范恶意代码的软件,及时安装补丁、更新恶意代码库;思度安全运营中心风险管理组应定期进行统一的恶意代码扫描和检查。

第三十条 禁止运行移动代码

各部门应严格控制移动代码的使用,没有得到批准的移动代码不得运行。

第十章 其他管理要求

第三十一条 容量管理

各部门应做好容量监控工作,确保思度安全运营中心拥有足够的能力以满足当前和未来一段时间业务发展的需求。

第三十二条 时钟同步

应采取管理或技术措施确保生产环境中的设备、网络和系统的时钟同步,应通过设置时钟同步服务器、人工定期核对等方式确保门禁、监控等安保系统与生产环境保持时钟同步。采用人工核对方式确保时钟同步的,应每季度进行一次核对并填写《NTP检查及调整记录》。

第三十三条 集中监控

各部门应采取措施确保各自职责范围内直接用于监控生产运行的系统平台得到适当的集中,应用、系统、网络、机房环境及硬件设备的监控终端应集中在生产运维区。

第三十四条 补丁管理

各部门应及时关注技术漏洞和补丁的最新情况,结合现状评估安装补丁的必要性,从正规途径获得经过测试的补丁,及时并正确地安装补丁。

第三十五条 密钥管理

各部门应严格管理职责范围内用于加解密的密钥,应安排专人管理密钥,并对密钥的使用进行记录。

第三十六条 配置管理

运维管理中配置项(CI)及其属性、管理关系的管理具体要求详见《思度安全运营中心配置管理流程》。

第三十七条 软件管理

生产环境中不得安装与生产无关的软件,生产相关软件在安装前应经过版权确认和安装审批;办公环境不得安装盗版软件。

第三十八条 保密管理

用户离开工作岗位时,应锁定计算机系统的登录状态,并将涉及思度安全运营中心秘密的文件锁到抽屉或柜子中。

第十一章 附则

本规定由思度安全运营中心制定、修订和解释。 本文件自发布之日起生效。

Back to top