7.2.5系統運行維護管理
7.2.5.1環境管理(G3)
這壹要求包括:
a)應指定專門部門或人員對機房的供配電、空調、溫濕度控制等設施進行定期維護和管理;
b)應指定壹個部門負責機房的安全,並配備機房安全管理人員,管理機房的準入和服務器的啟動或關閉;
c)建立機房安全管理制度,對機房的物理出入、物品的進出和機房環境安全的管理做出規定;
d)應加強辦公環境的保密管理,規範工作人員在辦公環境中的行為,包括工作人員調離辦公室時應立即交回辦公室鑰匙,不在辦公區域接待訪客,確保離開座位時終端電腦處於非登錄狀態,桌面上沒有包含敏感信息的紙質文件。
7.2.5.2資產管理公司(G3)
這壹要求包括:
A)應編制並保存與信息系統相關的資產清單,包括資產的責任部門、重要性和位置等。
b)建立資產安全管理制度,明確信息系統資產管理的責任人員或部門,規範資產管理和使用行為;
c)資產應根據其重要性進行標識管理,並根據其價值選擇相應的管理措施;
d)規定信息的分類和識別方法,規範信息的使用、傳遞和存儲。
7.2.5.3媒體管理(G3)
這壹要求包括:
A)應建立介質安全管理制度,規定介質的儲存環境、使用、維護和銷毀;
b)確保介質儲存在安全的環境中,對各種介質進行控制和保護,並由專人管理儲存環境;
c)對物理傳輸過程中介質的人員選擇、包裝和交付進行控制,對介質歸檔和查詢進行登記和記錄,並根據歸檔介質的盤點清單進行定期盤點;
GB/T 22239—2008
28
d)嚴格管理存儲介質的使用過程、發送維護和銷毀,對帶出工作環境的存儲介質的內容進行加密和監控,首先從發送維護或銷毀的介質中刪除敏感數據,未經批準不得銷毀高保密性的存儲介質;
e)根據數據備份的需要,部分介質應存放在不同的地方,存放地點的環境要求和管理方法應與當地相同;
f)重要介質中的數據和軟件應加密存儲,並根據數據和軟件的重要性對介質進行分類和標識。
7.2.5.4設備管理(G3)
這壹要求包括:
a)指定專門部門或人員對信息系統相關的各種設備(包括備份和冗余設備)和線路進行定期維護和管理;
b)建立以申報、審批和專人負責為基礎的設備安全管理制度,規範信息系統各類軟硬件設備的選型、采購、發放和領用;
c)應建立配套設施、軟件和硬件維護的管理體系,對其維護進行有效管理,包括明確維護人員的職責,審批涉外維護和服務,並對維護過程進行監督和控制。
d)規範終端計算機、工作站、筆記本電腦、系統和網絡的操作和使用,按照操作規程實現主要設備(包括備份和冗余設備)的啟動/停止、加電/斷電等操作;
e)確保信息處理設備必須經過批準才能帶出機房或辦公室。
7.2.5.5監控管理與安全管理中心(G3)
這壹要求包括:
a)對通信線路、主機、網絡設備和應用軟件的運行狀態、網絡流量和用戶行為進行監控和報警,形成記錄並妥善保存;
b)組織相關人員定期分析和審查監控和報警記錄,發現可疑行為,形成分析報告,並采取必要的對策;
c)建立安全管理中心,集中管理設備狀態、惡意代碼、補丁升級、安全審計等安全相關事宜。
7.2.5.6網絡安全管理(G3)
這壹要求包括:
a)指定專人管理網絡,負責運行日誌和網絡監控記錄的日常維護,以及告警信息的分析和處理;
b)應建立網絡安全管理制度,規定網絡安全配置、日誌存儲時間、安全策略、升級和打補丁、密碼更新周期等。
c)網絡設備應根據制造商提供的軟件升級版本進行更新,更新前應對現有的重要文件進行備份;
d)定期對網絡系統進行漏洞掃描,及時修復發現的網絡系統安全漏洞;
e)應實現設備的最低服務配置,並定期離線備份配置文件;
f)確保與外部系統的所有連接都經過授權和批準;
g)應根據安全策略允許或拒絕便攜式和移動設備的網絡訪問;
GB/T 22239—2008
29
h)應定期檢查違反規定的撥號上網或其他違反網絡安全政策的行為。
7.2.5.7系統安全管理(G3)
這壹要求包括:
a)根據業務需求和系統安全分析確定系統的訪問控制策略;
b)定期進行漏洞掃描,及時修復發現的系統安全漏洞;
c)應安裝系統的最新補丁。在安裝系統補丁之前,系統補丁必須在測試環境中測試合格,並且重要文件已經備份後才能安裝;
d)建立系統安全管理制度,對系統安全策略、安全配置、日誌管理和日常操作流程做出具體規定;
e)指定專人管理系統,劃分系統管理員的角色,明確每個角色的權限、責任和風險。權限設置應遵循最小授權原則;
f)按照操作手冊對系統進行維護,詳細記錄操作日誌,包括重要的日常操作、操作和維護記錄、參數設置和修改等。嚴禁越權操作;
g)應定期分析運行日誌和審計數據,以便及時發現異常行為。
7.2.5.8惡意代碼防範管理(G3)
這壹要求包括:
a)所有用戶都應具備防病毒意識,及時告知防病毒軟件的版本,在讀取移動存儲設備上的數據和在網絡上接收文件或郵件之前檢查病毒,在將外來計算機或存儲設備接入網絡系統之前也要檢查病毒;
b)指定專人檢測網絡和主機上的惡意代碼,並保存檢測記錄;
c)反惡意代碼軟件的授權使用、惡意代碼庫的升級、定期報告等。應明確界定;
d)定期檢查並記錄信息系統中各類產品的惡意代碼庫升級情況,對主機殺毒產品、殺毒網關、郵件殺毒網關截獲的危險病毒或惡意代碼及時進行分析處理,並形成書面報表和總結報告。
7.2.5.9密碼管理(G3)
應當建立密碼使用管理制度,使用符合國家密碼管理規定的密碼技術和產品。
變更管理(G3)
這壹要求包括:
a)應確認系統的變更,並制定變更計劃;
b)應建立變更管理系統。系統變更前,應向主管領導提出申請。變更和變更計劃經審批後方可實施,實施後應通知相關人員;
c)應建立變更控制的申報和批準的文件化程序,應對變更的影響進行分析並形成文件,記錄變更的實施過程,並妥善保存所有文件和記錄;
d)應建立停止變更和從失敗的變更中恢復的文件化程序,應規定過程控制方法和人員職責,必要時應演練恢復過程。
備份和恢復管理(G3)
這壹要求包括:
a)確定需要定期備份的重要業務信息、系統數據和軟件系統;
GB/T 22239—2008
30
b)建立與備份和恢復管理相關的安全管理制度,規範備份信息的備份方式、備份頻率、存儲介質和存儲期限;
c)根據數據的重要性及其對系統運行的影響,制定數據的備份策略和恢復策略,備份策略應規定備份數據的位置、文件命名規則、介質更換頻率和異地傳輸數據的方法;
d)應建立控制數據備份和恢復過程的程序,並記錄備份過程,妥善保存所有文件和記錄;
e)應定期執行恢復程序,檢查和測試備份介質的有效性,以確保在恢復程序規定的時間內完成備份的恢復。
7.2.5.12安全事件處理(G3)
這壹要求包括:
a)應報告發現的安全弱點和可疑事件,但在任何情況下,用戶都不應試圖驗證這些弱點;
b)建立安全事件報告和處置的管理制度,明確安全事件的類型,明確安全事件現場處理、事件報告和事後恢復的管理職責;
c)本系統的計算機安全事件應根據國家相關管理部門的計算機安全事件分類方法和安全事件對本系統的影響進行分類;
d)應制定安全事件的報告和響應程序,確定事件的報告過程、響應和處置的範圍和程度以及處理方法;
e)在安全事件的報告和響應過程中,分析和確定事件發生的原因,收集證據,記錄處理過程,總結經驗教訓,制定補救措施,防止事件再次發生。過程中形成的所有文件和記錄應妥善保存;
f)對於導致系統中斷和信息泄露的安全事件,應采用不同的處理程序和報告程序。
7.2.5.13應急計劃管理(G3)
這壹要求包括:
a)應在統壹的應急計劃框架下制定不同事件的應急計劃,應急計劃應包括啟動應急計劃的條件、應急處理流程、系統恢復流程、事後教育和培訓等。
b)從人力、設備、技術、資金等方面保證應急預案的實施有足夠的資源;
c)應對與體系相關的人員進行應急預案培訓,培訓每年至少舉行壹次;
d)應急預案應定期演練,演練周期應根據不同的應急恢復內容確定;
e)應急預案中需要根據實際情況定期評審和更新的內容應予以規定並相應實施。