下载文档原格式
信息系统使用管理规范
标题:信息系统使用管理规范
在当前的数字化时代,信息系统的使用已经成为我们日常生活和工作中的重要部分。
无论是学校、企业,还是政府,都依赖于信息系统来处理和储存大量的信息。
然而,随着信息系统的普及,如何合理、安全地使用这些系统也成为了我们面临的重要问题。
为此,制定一套明确的信息系统使用管理规范至关重要。
一、合理使用信息系统
1、目的性使用:用户应明确使用信息系统的目的,不进行非法的活动,不利用信息系统进行欺诈行为。
2、避免滥用:用户应避免对信息系统进行滥用,不得利用系统进行恶意攻击、散播虚假信息或垃圾信息。
3、保护系统资源:用户有责任保护系统的资源和环境,避免资源的过度占用和浪费。
二、安全使用信息系统
1、密码保护:用户应设置复杂且难以被猜测的密码,并定期更换。
禁止泄露个人密码,防止未经授权的访问。
2、防范病毒和黑客攻击:用户应安装防病毒软件,并定期进行更新。
不得私自解除或关闭安全防护设施。
3、防止数据泄露:用户应严格控制信息的传播,避免敏感信息的泄露,对重要文件进行加密处理。
三、责任与监督
1、用户需对自己的行为负责,如有违反规定的行为,将按照相关制度进行处理。
2、建立完善的监督机制,对信息系统的使用情况进行实时监控,发现问题及时处理。
总结:
制定和实施信息系统使用管理规范,不仅有利于保护系统的安全和稳定,还能提高信息使用的效率和效果。
用户应按照规范进行操作,共同营造一个安全、健康、有序的信息系统使用环境。
XXX科技有限公司
网络设备安全配置管理程序
编号:ISMS-B-24
版本号:V1.0
编制:日期:
审核:日期:
批准:日期:
受控状态
1 目的
为确保网络安全,依据安全策略,加强与信息相关网络设备的配置管理,特制定本程序。
2 范围
本程序适用于在组织内使用的所有主要网络设备的安全参数设置管理,包括:
a)防火墙设备及软硬件;
b)网关设备及软硬件;
c)网络交换机及HUB等。
3 职责
3.1 综合管理部
负责对组织内所有主要网络设备的配置和参数设定。
4 相关文件
《信息安全管理手册》
《信息系统访问与使用监控管理程序》
5 程序
5.1 网络设备安全配置策略
5.1.1 通用策略
网络设备的配置必须由IT人员实施。
设备系统日志的记录内容和保存期限应该符合《信息系统访问与使用监控管理程序》。
i文件编号 文件版本 密级ISMS-A-02 V1. 0 秘密XXX 有限公司 信息安全适用性声明(依据 GB/T 22080-2016 idt ISO/IEC27001:2013 标准编制)编 号:SANDSTONE-ISMS-A-02 版本号:V1.0受控状态编制:XXX 日期:2019-11-01 审核:XX 日期:2019-11-01 批准:XX日期:2019-11-01XXX 有限公司信息安全适用性声明受控文件1目的与范围本声明描述了在GB/T 22080-2016 idt ISO/IEC27001:2013附录A中,适用于本公司信息安全管理体系的目标/控制、是否选择这些目标/控制的理由、公司现行的控制方式、以及实施这些控制所涉及的相关文件。
2相关文件信息安全管理手册、程序文件、策略文件3职责信息安全适用性声明由信息安全小组编制、修订,总经理批准。
4声明本公司按GB/T 22080-2016 idt ISO/IEC27001:2013建立信息安全管理体系。
根据公司风险评估的结果和风险可接受水平,ISO27001:2013附录A的所有条款适用于本公司信息安全管理体系,无删减条款。
2A.5信息安全策略A.6信息安全组织3A.7人力资源安全45A.8资产管理67A.9访问控制8910A11物理和环境安全策略策略,会受到资产丢失、失窃实施,各部门负责人负责监督。
或遭到非法访问的威胁。
各部门员工自觉履行该策略的日常实施。
A.12运行安全A.13通信安全A.15供应商关系A.16信息安全事件管理。
《网络安全管理员》技师理论知识练习题库一、单选题(共60题,每题1分,共60分)1、哪些属于《网络安全法》规定的网络安全相关教育与培训内容:()。
A、网络安全法条款解析B、安全风险评估C、web攻防D、以上都是正确答案:A2、下列关于ISO15408 信息技术安全评估准则(简称 CC)通用性的特点,即给出通用的表达方式,描述不正确的是()。
A、如果用户、开发者、评估者和认可者都使用 CC 语言,互相就容易理解沟通B、通用性的特点对规范实用方案的编写和安全测试评估都具有重要意义C、通用性的特点是在经济全球化发展、全球信息化发展的趋势下,进行合格评定和评估结果国际互认的需要D、通用性的特点使得 CC 也适用于对信息安全建设工程实施的成熟度进行评估正确答案:D3、我国在1999年发布的国家标准()为信息安全等级保护奠定了基础。
A、GB 17799B、GB 15408C、GB 17859D、GB 14430正确答案:C4、某网站管理员小邓在流量监测中发现近期网站的入站ICMP流量上升了250%,尽管网站没有发现任何的性能下降或其他问题。
但为了安全起见,他仍然向主管领导提出了应对策略,作为主管负责人,请选择有效的针对此问题的应对措施:()。
A、在防火墙上设置策略,阻止所有的ICMP流量进入(关掉ping)B、删除服务器上的ping.exe程序C、增加带宽以应对可能的拒绝服务攻击D、增加网站服务器以应对即将来临的拒绝服务攻击正确答案:A5、关于Windows系统的日志审核功能,错误的说法是:()。
A、如果启用了“无法记录安全审核则立即关闭系统”这条安全策略,有可能对正常的生产业务产生影响B、进程审核,会产生大量日志C、特殊对象审核,可以用来检测重要文件或目录D、日志文件可以用事件查看器或者记事本来直接查看正确答案:D6、以下操作系统补丁的说法,错误的是:A、按照其影响的大小可分为“高危漏洞”的补丁,软件安全更新的补丁,可选的高危漏洞补丁,其他功能更新补丁,无效补丁B、给操作系统打补丁,不是打得越多越安全C、补丁安装可能失败D、补丁程序向下兼容,比如能安装在Windows操作系统的补丁一定可以安装在Windows XP系统上正确答案:D7、在OSI七个层次的基础上,将安全体系划分为四个级别,以下哪一个不属于四个级别:()A、链路级安全B、应用级安全C、系统级安全D、网络级安全正确答案:A8、关于风险要素识别阶段工作内容叙述错误的是:()。
网络安全管理员技师考试题(附答案)一、单选题(共40题,每题1分,共40分)1.对公民、法人和其他组织的合法权益造成特别严重损害,定义为几级()A、第一级B、第四级C、第二级D、第五级E、第三级正确答案:C2.信息安全等级保护的5个级别中,()是最高级别,属于关系到国计民生的最关键信息系统的保护。
A、监督保护级B、自主保护级C、专控保护级D、指导保护级E、强制保护级正确答案:C3.关于“死锁”,下列说法中正确的是()。
A、只有出现并发操作时,才有可能出现死锁B、死锁是操作系统中的问题,数据库系统中不存在C、当两个用户竞争相同的资源时不会发生死锁D、在数据库操作中防止死锁的方法是禁止两个用户同时操作数据库正确答案:A4.下面关于对上网行为描述说法正确的是()。
A、查杀病毒B、防DOSC、优化系统D、提高网速正确答案:B5.为了使交换机故障排除工作有章可循,我们可以在故障分析时,按照()的原则来排除交换机的故障。
A、内而外B、先易后难C、由近到远D、由硬软硬正确答案:B6.通过反复尝试向系统提交用户名和密码以发现正确的用户密码的攻击方式称为:A、账户信息收集B、密码分析C、密码嗅探D、密码暴力破解正确答案:D7.非对称加密需要()对密钥:A、3B、0或1C、1或2D、0或2正确答案:B8.NTFS文件系统中,()可以限制用户对磁盘的使用量A、磁盘配额B、文件加密C、稀松文件支持D、活动目录正确答案:A9.通过建立、监控和维护配置管理数据库,正确识别所有配置项,记录配置项当前和(),为信息系统运维服务实现提供基础数据保障。
A、系统设备B、设备状态C、历史状态D、系统状态正确答案:C10.在 Windows 文件系统中,()支持文件加密。
A、FAT16B、NTFSC、FAT32D、EXT3正确答案:B11.下面不属于虚拟化平台的是()。
A、VmwareB、Hyper-vC、CitrixD、DOS正确答案:D12.下列安全协议中,()可用于安全电子邮件加密。
信息系统安全管理流程信息系统安全管理流程是保护组织信息系统免受恶意攻击和未经授权访问的重要步骤。
以下是一种常见的信息系统安全管理流程,它帮助组织建立合适的安全策略,并监控和改善系统安全性。
1. 风险评估:首先,组织应该对其信息系统进行综合的风险评估。
这包括识别可能的威胁和漏洞,评估它们对组织和系统的威胁程度,并确定适当的安全措施。
这个过程有助于组织建立一个基于风险的安全策略。
2. 安全策略制定:根据风险评估结果,组织应制定适当的安全策略。
这包括定义安全目标,确定安全措施和制定详细的安全政策,指导组织的信息系统安全实践。
安全策略应该是全面而综合的,包括技术、人员和物理安全措施。
3. 安全控制实施:在安全策略的指导下,组织应实施适当的安全控制措施。
这包括技术措施,如防火墙、入侵检测系统和加密;人员措施,如培训和社会工程学防范;以及物理措施,如访问控制和设备保护。
这些措施应根据风险评估的结果和安全策略的要求来选择和配置。
4. 安全监测和检测:组织应建立有效的安全监测和检测机制,以及及时发现和应对安全威胁。
这可能包括实时监控系统活动、日志分析、网络流量分析和入侵检测。
组织还应定期进行漏洞扫描和安全评估,以确保系统的安全性。
5. 安全事件响应:当发生安全事件时,组织应有一个有效的应急响应计划。
这包括明确的责任分工、快速的响应流程、恢复和修复措施,以及通知合适的利益相关方。
安全事件响应计划应定期测试和演练,以确保其有效性和适应性。
6. 安全改进和维护:组织应定期评估和改进其信息系统安全措施。
这包括安全事件的回顾和分析、漏洞修复、安全控制的持续改进和员工培训等。
安全维护是一个持续的过程,组织应确保信息系统的安全性能和保护能力与威胁环境的演变保持一致。
通过遵循这样的信息系统安全管理流程,组织可以建立一个安全可靠的信息系统,保护其敏感数据和业务免受威胁。
这需要积极的管理和持续的投入,以确保安全策略的有效实施和维护。
管理程序名称涉及部门及角色相关文件[RC-IS-C-01]管理评审程序总经理、综合管理部《信息安全管理手册》《文件控制程序》《记录控制程序》[RC-IS-C-02]内部审核管理程序综合管理部、信息安全管理小组、其他各部门《信息安全管理手册》[RC-IS-C-03]纠正措施控制程序综合管理部、信息安全管理小组《信息安全管理手册》《文件控制程序》[RC-IS-C-04]预防措施控制程序综合管理部、信息安全管理小组《信息安全管理手册》《文件控制程序》[RC-IS-C-05]文件控制程序总经理、信息安全管理小组负责人、信息安全管理小组《信息安全管理手册》《信息安全适用性声明》《商业秘密管理程序》《信息安全法律法规[RC-IS-C-06]记录控制程序安全管理小组《信息安全管理手册》《信息安全管理文件标识规范》《商业秘密管理程序》《重要信息备份管理程序》《信息安全记录分类[RC-IS-C-07]信息安全法律法规管理程序综合管理部、各部门《信息安全管理手册》《文件控制程序》[RC-IS-C-08]信息分类管理程序综合管理部《中华人民共和国保守国家秘密法》《信息安全管理手册》[RC-IS-C-09]信息安全风险管理程序信息安全管理小组、风险评估小组、各部门《信息安全管理手册》《商业秘密管理程序》[RC-IS-C-10]安全区域管理程序综合管理部、其他部门《信息安全管理手册》《安全区域管理程序》[RC-IS-C-11]信息安全事件管理程序技术服务部、各系统使用人员《信息安全管理手册》《信息安全奖惩管理程序》[RC-IS-C-12]信息安全沟通协调管理程序信息安全管理小组、其他部门《信息安全管理手册》《组织管理》《职责权限》《信息安全法律法规管理程序》[RC-IS-C-13]网络设备安全配置管理程序技术服务部《信息安全管理手册》《信息系统访问与使用监控管理程序》[RC-IS-C-14]信息处理设施安装使用管理程序综合管理部《信息安全管理手册》《产品开发管理规范》《项目开发管理规范[RC-IS-C-15]信息处理设施维护管理程序综合管理部《信息安全管理手册》[RC-IS-C-16]用户访问管理程序综合管理部、技术服务部《信息安全管理手册》《口令策略》[RC-IS-C-17]第三方服务管理程序综合管理部、商务拓展部、其他相关部门《信息安全管理手册》《相关方信息安全管理程序》《安全区域管理程序》《信息系统访问与使[RC-IS-C-18]相关方信息安全管理程序综合管理部、各相关部门《安全区域管理程序》《物理访问策略》《用户访问管理程序[RC-IS-C-19]业务持续性管理程序综合管理部、各相关部门《信息安全事件管理程序》。
企业公司信息系统使用管理制度规定第一章总则为规范企业公司信息系统的使用,保障信息安全,提升工作效率,制定本管理制度。
本制度适用于公司内所有部门和员工,在使用信息系统时必须遵守本制度规定。
第二章信息系统使用权限管理1. 申请权限员工如需使用信息系统,需向所在部门主管提出申请,并填写《信息系统使用申请表》。
主管审核后,可将申请转至信息系统部门,经该部门审批后方可获得使用权限。
2. 权限范围信息系统使用权限根据岗位需要,分为管理员权限和普通用户权限。
管理员权限仅限于系统管理人员和部门主管,普通用户权限根据工作需要设置。
3. 权限变更员工如需变更权限,须提出书面申请并经上级主管批准,方可进行变更,变更后需重新进行权限调整。
第三章信息系统安全管理1. 密码保护所有员工在使用信息系统时,必须遵守密码保护规定,定期更换密码,并不得将密码告知他人。
如密码泄露或忘记,需及时向信息系统部门报备,并重新设置密码。
2. 审计监控系统管理员应定期对信息系统进行审计监控,追踪系统访问日志,发现异常情况及时处理,并向上汇报。
3. 数据备份公司信息系统部门应定期对重要数据进行备份,确保在数据丢失或系统受损时可及时恢复,提高系统稳定性和安全性。
第四章信息系统操作规范1. 禁止操作禁止在未经授权的情况下擅自修改系统配置、删除系统文件,尤其是重要数据文件。
一经发现,将受到相应处罚。
2. 审批流程对于涉及重要资料操作,必须按照公司规定的审批流程进行,确保操作的合理性和安全性。
3. 系统维护信息系统部门应定期对系统进行维护和升级,确保系统运行平稳,提供员工良好的工作环境。
第五章违规与处罚1. 违规行为任何违反信息系统使用规定的行为,包括但不限于擅自篡改数据、泄露公司机密信息等,一经发现,将受到相应处罚。
2. 处罚措施违规行为将根据情节严重程度,依法予以处理,包括口头警告、书面警告、停止使用信息系统权限、经济处罚等。
第六章其他规定1. 本制度经公司领导审批后生效,公司有权对制度内容进行解释和修订。
目录
目录 (1)
1 目的 (2)
2 范围 (2)
3 职责 (2)
4 相关文件 (2)
5 程序 (2)
6 记录 (4)
1 目的
为确保公司信息安全活动符合信息安全管理法律法规的要求及确保公司信息安全方针和程序的有效实施,特制定本程序。
2 范围
本程序适用于有信息系统的部门信息系统安全工作的管理。
3 职责
3.1 各部门
有信息系统的部门,负责对该部门信息系统安全监控和日志的审核管理。
4 相关文件
《信息安全管理手册》
《信息安全事件管理程序》
5 程序
5.1 日志
技术部负责生成记录信息,系统网络设备运行状况、网络流量、用户活动、例外和信息安全事件的监测日志,并保存半年,以支持将来的调查和访问控制监视活动。
其他有信息系统的部门,负责该部门信息系统涉密电脑设备运行状况等信息安全事件的日志监测,并保存半年以上,以支持将来的调查和访问控制监视活动。
日志记录设施以及日志信息应该被保护,防止被篡改和未经授权的访问,包括:
a)对记录的信息类型的更改;
b)日志文件被编辑或删除;
c)超过日志文件媒介的存储容量,导致事件记录故障或者将以往记录的事件覆盖。
具体措施如下:
a)系统管理员不允许删除或关闭其自身活动的日志。
b)应当使用监视程序以确保所有系统管理员和操作用户只执行被明确授权的活动,审计内容应
细化到个人而不是共享帐号。
审计至少包括用户ID、系统日志、操作记录等。
c)可以实施安全产品或调整配置,以记录和审计用户活动、系统、安全产品和信息安全事件产
生的日志,并按照约定的期限保留,以支持将来的调查和访问控制监视。
d)在内网中配置日志涉密电脑,专门收集主机、网络设备、安全产品的日志,以避免日志被破
坏或覆盖。
e)在网络中配置时钟涉密电脑,被审计的信息设备应同时钟涉密电脑的时间保持同步,以避免
审计上的漏洞。
5.2 日志审核
各部门制定该部门负责的信息设备系统的日志审核周期,并做好《日志审核记录》。
对审核中发现的问题,应及时报告技术部进行处理。
对审核发现的事件,按《信息安全事件管理程序》进行。
5.3 巡视巡检
巡视人员负责每天监控巡视,给部门安全管理员每周进行一次监控巡视。
新系统投入运行前必须对系统的监控巡视人员进行技术培训和技术考核。
监控巡视人员按信息资源管理系统的要求进行系统监控和巡视,并填写运维记录报告。
监控巡视期间发现问题,应及时处理,并在运维记录中填写异常情况。
监控巡视人员应进行机房环境、信息网络、应用系统的巡视,每天记录机房温度、防病毒情况、应用系统运行情况等。
巡视人员的巡视巡检按《信息处理设施维护管理程序》进行。
5.4 职责分离
为防止非授权的更改或误用信息或服务的机会,按要求进行职责分配,系统管理员不能由安全管理员兼任。
6 记录
《日志配置要求》
《日志审核记录》
《重要涉密电脑和设备日志明细表》。
