任人需负责贯彻及监督相关安全策略、安全规范、安全技术标准的实施。(二)根据机密性、完整性和可用性要求对信息资产进行分类分级,确定不同级别信息资产在其生命周期内的保护要求。(三)必须明确信息资产访问控制原则,并建立信息资产访问的授权机制。第十三条介质管理(一)公司对介质的存放环境、标识、使用、维护、运输、交接和销毁等方面做出规定,有介质的归档和访问记录,并对存档介质的目录清单定期盘点。(二)存储介质的管理同信息资产管理相一致,根据所承载数据和软件的重要程度对介质进行分类分级管理。(三)针对存放数据的存储介质应达到国家标准要求,进行标识和定期抽检。(四)需要长期存放的存储介质,应该在介质有效期内进行转存;明确数据转存的程序与职责。(五)应设立同城异地存放备份数据的场所。异地存放备份数据的场所应该具备防盗、防水、防火设施和一定的抗震能力。第十四条监控管理(一)应对通信线路、网络设备、主机和应用软件的运行状况、网络流量、用户行为等进行监测和报警。(二)应定期对监测和报警记录进行分析、评审,发现可疑行为,形成分析报告,发现重大隐患和运行事故应及时协调解决,并报上安全相关部门。(三)应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理。第十五条网络安全管理(一)指定专人对网络进行管理,负责日常的网络维护和报警信息处理工作。(二)制定网络访问控制机制,网络访问控制策略以“除明确允许执行情况外必须禁止”为原则。(三)当远程访问信息系统时,应采取额外的安全管控措施,以防止设备被窃、信息未授权泄露、远程非授权访问等风险。(四)定期对网络系统进行漏洞扫描,对于发现的漏洞,在经过风险评估、验证测试和充分准备后进行修补或升级。(五)重要网络设备开启日志和审计功能。(六)网络建设中应做到以下几点:1.应遵循高可靠性、高安全性、高性能、可扩展性、可管理性、标准化等原则;
全文预览
