怒江州统计局信息安全产品采购、使用管理制度
1 总则
1.1 为加强全州统计系统信息安全产品的管理,规范安全设备购置、管理、应用、维护、维修及报废等方面的工作,保护信息系统安全,制定本制度。
1.2 信息安全软硬件设备的管理须严格遵循已颁布的《信息系统软硬件设备管理制度》。本制度作为《信息系统软硬件设备管理制度》的补充,适用于怒江州统计局的信息安全软硬件设备的管理工作。
2 设备采购
2.1 网络安全设备选型应根据国家有关规定选择经过国家有关权威部门的测评或认证的产品。
2.2 所有安全设备均需进行严格检测,凡购回的设备均应在测试环境下经过连续 72 小时以上的单机运行测试和联机 48 小时的应用系统兼容性运行测试。严禁将未经测试验收或验收不合格的设备交付使用。
2.3 通过上述测试后,设备才能进入试运行阶段。试运行时间的长短可根据需要自行确定。通过试运行的设备,才能投入生产系统,正式运行。
3 设备管理
3.1 每台(套)安全设备的使用均应指定专人负责,均应设定严格的管理员身份鉴别和访问控制,严禁盗用账号和密码,超越管理权限,非法操作安全设备。
3.2 安全设备的口令不得少于 10 位,须使用包含大小写字母、数字等在内的不易猜测的强口令。
3.3 安全设备的网络配置应遵循统一的规划和分配,相关网络配置应向信息科备案。
3.4 安全设备的安全策略应进行统一管理,安全策略固化后的变更应经过信息科审核批准,并及时更新策略配置库。
3.5 关键的安全设备须有备机备件,由信息科统一进行保管、分发和替换。
3.6 加强安全设备外联控制,严禁擅自接入国际互联网或其他公众信息网络。
3.7 因工作需要,设备需携带出工作环境时,应递交申请并由相关责任人签字并留档。
3.8 存储介质的管理应遵循。如因工作原因需使用外来介质,应首先进行病毒检查;存储介质上粘贴统一标识,注明编号、部门、责任人;存储介质如有损坏或其他原因更换下来的,需交回信息中心处理。
3.9 安全设备的使用管理。安全设备每月详细检查一次,记录并分析相关日志,对可疑行力及时进行处理;关键安全设备每天须进行日常巡检;当设备的配置更改时,应做好配置的备份工作;安全设备出现故障要立即报告主管领导,并及时通知系统集成商或有关单位进行故障排除,处理过程要有文档记录;安全设备操作,应填写操作记录和技术文档。
3.10 设备相应责任人负责。建立详细的运行日志记录、备份制度;负责设备的使用登记,登记内容应包括运行起止时间、累计运行时数及运行状况等;负责进行设备的日常清洗及定期保养维护,做好维护记录,保证设备处于最佳状态;一旦设备出现故障,责任人应立即如实填写故障报告,通知有关人员理;设备责任人应保证设备在其出厂标称的使用环境(如温度、湿度、电压、电磁干扰、粉尘度等)下工作。
3.11 及时关注下发的各类信息安全通告,关注最新的病毒防治信息和提示,根据要求调节相应设备参数配置。
3.12 安全管理员应界定重要设备,对重要设备的配置技术文档进行备份。
