网络安全管理规范Word下载.docx

网络安全管理规范Word下载.docx

《网络安全管理规范Word下载.docx》由会员分享，可在线阅读，更多相关《网络安全管理规范Word下载.docx（15页珍藏版）》请在冰豆网上搜索。

5.网络安全管理应建立并不断积累完善针对实际情况的各类安全管理章程

或规定，全面提高的网络安全管理水平。

1.4制定与实施

本安全管理办法遵照我国信息安全的有关法律法规，并结合具体的情况，依

据中国医药集团公司颁布的各种服务管理规定和安全管理规定而制定。

第二章安全组织结构

2.1安全组织结构建立原则

本章描述安全组织的建设，包括建立原则，组织设置，组织职责，针对人员的安全管理，和涉及应该指定的安全管理制度。

中国医药集团公司网络安全组织体系是中国医药集团公司安全体系的组织保障。

应遵循中国医药集团公司相关的规章制度、维护规程，制定的安全管理制度和内部的法规政策，指导、监督、考核安全制度的执行，确保全网安全工作的有序进行。

采取中国医药集团总公司安全组织主管与各分支机构兼管相结合的组织建设原则。

2.2安全组织设置

2.2.1中国医药集团安全协调组织

1．中国医药集团公司安全主管人员

2．中国医药集团公司安全专家指导人员。

2.2.2中国医药集团安全响应中心

2．中国医药集团公司安全运营管理人员：

由中国医药集团公司信息中心从事安全工作的管理和技术人员组成。

2.2.3各分支机构安全组织

1）各分支机构网络安全主管人员：

由相关主管人员组成。

2）各分支机构原则上不设置专职的安全管理机构，但应设立专（兼）职安全管理员，由从事安全工作的管理人员、技术人员或业务监管人员担任。

2.3安全组织职责

2.3.1中国医药集团公司安全协调组织职责

1.中国医药集团公司网络安全主管人员：

1）贯彻、落实中国医药集团公司关于计算机安全以及通信网络安全工作的规章、规程；

2）研究决定系统安全工作的重大事项；

3）制定系统安全工作和中国医药集团公司所管设备的规范、制度；

4）组织、领导安全相关的工作。

2.中国医药集团公司网络安全专家指导人员：

1）在安全主管人员的领导下，从理论上、技术上，宏观上指导中国医药集团网络安全体系建设。

2）发生重大安全事件时，协调各公司资源共同处理。

3）定期分析研究全网的安全管理问题，并提出相应的改进措施、意见和办法

3．中国医药集团公司安全协调组织具体职责：

1）制定安全管理制度，统一对网络安全工作进行管理。

2）协助指导并监督各分支机构的安全管理人员进行本网管理范围内的日常安全

管理和安全制度的执行。

3）协助指导各分支机构安全管理人员处理网络中发生的重大安全事故，必要时派人到事故点处理。

4）负责和监督对各分支机构安全管理人员的安全技术培训工作。

2.3.2中国医药集团公司安全响应中心职责

1.中国医药集团公司安全主管人员：

1）贯彻、落实中国医药集团公司关于网络安全工作的策略、制度；

2）研究决定骨干网设备安全工作的重大事项；

3）制定骨干网设备安全工作的实施细则；

4）组织、领导各分支机构网络相关的安全工作

2.安全响应中心安全管理人员：

1）具体组织落实中国医药集团公司网络安全工作主管人员的工作计划；

2）指导、监督、协调、规范骨干网系统安全工作的开展；

3）对骨干网的网络运行和设备的安全实施监控管理；

4）管理和维护、处理骨干网的具体安全工作；

3．安全响应中心具体职责：

1）对骨干网的网络运行和设备的安全实施监控管理，实施日常安全管理和监督

安全管理制度的执行；

2）负责骨干网网络设备和系统的安全评估和定期系统安全性增强。

3）配合安全管理人员对骨干网相关安全事件处理；

4）贯彻和执行网络安全管理办法及原则，并对骨干网的安全运营提出相应工作

细则和操作规章制度，并组织实施；

2.3.3各分支机构安全组织职责

1.各分支机构网络安全主管人员：

2）研究决定分支机构网络设备安全工作的重大事项；

3）制定分支机构网络设备安全工作的实施细则；

4）组织、领导分支机构网络相关的安全工作。

2.各分支机构安全管理人员：

1）具体执行集团总公司网络安全主管人员的工作计划；

2）指导、监督、协调、规范分支机构网络安全工作的开展；

3）管理、维护和处理分支机构网络的安全工作。

3．分支机构安全组织具体职责

1）对分支机构网络设备的安全实施监控管理，实施日常安全管理和监督安全管理制度的执行；

2）负责本网网络设备和系统的安全评估和定期系统安全性增强；

3）定期分析研究全网的安全管理问题，并提出相应的改进措施、意见和办法；

4）配合集团总公司安全管理人员对骨干网相关安全事件处理；

5）处理本网络中发生的重大安全事故，向中国医药集团公司安全工作小组上报安全事故情况；

6）贯彻和执行集团总公司网络安全管理办法及原则，提出分支机构内的相应工作细则和操作规章制度，并组织实施；

7）负责和组织相关人员的安全技术培训工作。

2.4人员安全管理

人员安全管理的主要内容包括：

1.关键岗位人选：

对关键岗位人员进行审查，保证具备较强业务技术能力，确

保可信可靠，胜任本职工作。

2.人员考核：

应定期组织对在中从事关键业务的人员进行全面考核；

对违规人

员视情节轻重进行批评、教育、调离工作岗位。

3.人员调离：

关键岗位人员调离，应严格办理调离手续。

自人员调离决定通知之日起，应及时更换系统口令和机要锁。

4.人员培训：

应定期对相关安全工作人员进行安全知识和安全意识培训。

第三章基本安全管理制度

3.1入网安全管理制度

入网安全管理制度内容包括：

1.无关主机不得随意入网，所有需要入网的主机必须经过审批同意后方能入网；

2.所有入网的主机必须经过安全配置，打补丁、改密码、病毒查杀等，确认满足安全运行要求后方能上线；

3.所有入网的主机必须实时进行攻击检测和定期的脆弱性检查，如发现有安全威胁的主机一律强制下网；

4.主机入网后，需上报上级安全主管人员，以便实时监控和检查；

3.2操作安全管理制度

1.明确安全职责：

按照分工协作,互相制约的原则制定各类系统操作人员职责。

职责不允许交叉覆盖；

2.履行安全职责：

各类人员必须按规定行事，不得从事超越自己职责以外的任

何作业；

3.岗位监督：

进行系统维护、复原、强行更改数据时，至少有两名操作人员相

互监督操作，并进行详细的登记及签名；

4.稽核：

安全管理人员有权对一线操作、管理人员进行监督与核查；

3.3机房与设施安全管理制度

按照国家《计算机场地安全要求》、《计算站场地技术条件》等标准，对场地与设施进行安全等级划分，制定安全管理规定的技术措施和管理办法。

主要内容包括：

1）场地与设施的物理安全管理：

􀀹

●选择安全的机房场地：

●配备防火、防水、防静电、防雷击、防鼠害等机房安全设施；

●机房装修、供配电系统。

空调系统、电磁波辐射控制等应满足相应的技

术标准。

2）机房出入控制：

对内部人员和外部人员进出工作现场都做相应的限制和规定，并进行登记。

3）电磁波的辐射控制与防护：

防止计算机系统受工作环境中电磁波干扰，避免计算机电磁波辐射造成的信息泄露。

4）媒体管理：

对各种信息存储媒休，按照所存储信息的重要度分成不同的安全等级，严格保管，确保存储信息的保密性、完整性和可用性。

3.4设备安全使用管理制度

设备安全使用管理制度包括：

1）设备使用管理包括指定专人负责设备的使用、建立详细的运行日志、设备的

维护和定期保养、设备故障处理等。

2）设备维修管理包括指定专人负责设备的维修，建立满足正常运行的最低要求

的易损件备件库，记录设备维修对象、故障原因、排除方法、主要维修过程及其它的有关情况。

3）设备仓储管理指未被使用或修复后性能正常的各种设备的集中统一管理。

3.5应用系统安全管理

1）指定应用系统管理人员

2）管理人员应有操作日志（如日志、改变记录、升级安装过程等）

3）有相应的应急恢复管理制度

3.6媒体/技术文档安全管理制度

各级安全管理机构应制定技术文档资料的管理制度，明确管理方法与管理人员职责。

媒体是指以光盘、软盘、磁带等形式存放数据的载体。

技术文档是指相关数据以纸张形式存放的实体。

1.媒体安全包括：

包括媒体数据的安全及媒体本身的安全。

1）安全存放管理：

技术资料存放的环境必须具有安全防护与保密设施，对重要的技术资料，应进行备份和异地存放。

2）媒体的管理：

●媒体进行分类、编目、登记、归档；

●需要利用媒体的人员必须经过申请、审批和登记，并对所有使的资料承担保管与保密义务；

3）妥善处理失效的媒体：

对报废的媒体要有严格的销毁和监销措施。

2.技术文档安全包括：

2）技术资料的管理：

􀁺

●建立技术资料档案室；

●技术资料必须进行分类、编目、登记、归档；

●需要利用技术资料的人员必须经过申请、审批和登记，并对所有使用的资料承担保管与保密义务。

3）妥善处理失效的技术文档资料：

对报废的技术资料要有严格的销毁和监销措施。

第四章用户权限管理

用户权限管理是网络安全管理的一项重要内容。

本章对全网的用户权限进行

了划分，并明确了用户登陆管理和用户口令管理的一些办法。

4.1用户权限

全网中不同设备的权限配置和功能实现虽然有所差别，但都应在确保安全的基础上尽可能提供用户分级管理的功能。

原则上用户权限可分为系统管理级、操作配置级和监控查看级等三个级别。

1）系统管理级：

拥有所有权限。

2）操作配置级：

具备修改配置权限，但不具备用户管理权限。

3）监控查看级：

具备查看系统配置文件和设备运行状态的权限。

用户权限的设置应遵循以下原则：

1）特权分散原则：

维护管理的重要操作权力分散给若干个程序、节点或用户，必须由规定的若干个具有特权的程序、节点或用户到齐后才能实现该