信息安全产品采购、使用管理制度.docx
40墨值下载
信息安全产品采购、使用管理制度
1 总则
1.1 为了推动 XX 信息通信分公司(以下简称“公司”)信息系统管理的规范化、
程序化、制度化,加强信息安全产品的管理,规范安全设备购置、管理、应用、维
护、维修及报废等方面的工作,保护信息系统安全,制定本制度。
1.2 信息安全软硬件设备的管理须严格遵循已颁布的《信息系统软硬件设备管
理制度》。本制度作为《信息系统软硬件设备管理制度》的补充,适用于公司的信
息安全软硬件设备的管理工作。
2 规范性引进文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡注明日期的引用
文件,其随后所有的修改单或修订版均不适用于本标准(不包括勘误、通知单),
然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡未
注日期的引用文件,其最新版本适用于本标准
《信息安全技术 信息系统安全保障评估框架》(GB/T 20274.1-2006)
《信息安全技术 信息系统安全管理要求》(GB/T 20269-2006 )
《信息安全技术 信息系统安全等级保护基本要求》(GBT 22239-2008)
本标准未涉及的管理内容,参照国家、电力行业、南方电网公司的有关标准和
规定执行。
3 设备采购
3.1 网络安全设备选型应根据国家电力行业有关规定选择经过国家有关权威部
门的测评或认证的产品。
3.2 所有安全设备后均需进行严格检测,凡购回的设备均应在测试环境下经过
连续 72 小时以上的单机运行测试和联机 48 小时的应用系统兼容性运行测试。严
禁将未经测试验收或验收不合格的设备交付使用。
3.3 通过上述测试后,设备才能进入试运行阶段。试运行时间的长短可根据需
要自行确定。通过试运行的设备,才能投入生产系统,正式运行。
4 设备管理
4.1 每台(套)安全设备的使用均应指定专人负责,均应设定严格的管理员身
份鉴别和访问控制,严禁盗用帐号和密码,超越管理权限,非法操作安全设备。
4.2 安全设备的口令不得少于 10 位,须使用包含大小写字母、数字等在内的
不易猜测的强口令,并遵循省电网公司统一的帐号口令管理办法。
4.3 安全设备的网络配置应遵循统一的规划和分配,相关网络配置应向信息中
心网络管理部门备案。
4.4 安全设备的安全策略应进行统一管理,安全策略固化后的变更应经过信息
中心审核批准,并及时更新策略配置库。
4.5 关键的安全设备须有备机备件,由信息中心统一进行保管、分发和替换。
4.6 加强安全设备外联控制,严禁擅自接入国际互联网或其他公众信息网络。
4.7 因工作需要,设备需携带出工作环境时,应递交申请并由相关责任人签字
并留档。
4.8 存储介质(含磁盘、磁带、光盘和优盘)的管理应遵循:
如因工作原因需使用外来介质,应首先进行病毒检查。
存储介质上粘贴统一标识,注明编号、部门、责任人。
存储介质如有损坏或其他原因更换下来的,需交回信息中心处理。
4.9 安全设备的使用管理:
安全设备每月详细检查一次,记录并分析相关日志,对可疑行为及时进行处理;
关键安全设备每天须进行日常巡检;
当设备的配置更改时,应做好配置的备份工作;
安全设备出现故障要立即报告主管领导,并及时通知系统集成商或有关单位进
行故障排除,处理过程要有文档记录;
安全设备操作,应填写操作记录和技术文档。
of 3
40墨值下载
【版权声明】本文为墨天轮用户原创内容,转载时必须标注文档的来源(墨天轮),文档链接,文档作者等基本信息,否则作者和墨天轮有权追究责任。如果您发现墨天轮中有涉嫌抄袭或者侵权的内容,欢迎发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。
下载排行榜
评论