怒江州统计局系统安全风险管理制度
第一条本管理制度仅适用于怒江州统计局为系统安全风险管理提供指导。通过加强对信息系统的安全管理,以防止对网络和系统的未授权访问,达到确保网络和信息系统安全。
第二条怒江州统计局系统安全风险管理主要职责如下:
(1)负责制定和管理本文件;
(2)负责制定网络访问控制策略和系统安全访问控制;
(3)负责受理网络的访问申请和授权,系统的访问和授权;
(4)负责网络设备状态、网络运行状况、信息系统设备的日常检查工作;
(5)负责维护网络运行记录。
第三条管理员在网络系统规划、升级、改造建设过程中,应组织相关专家对网络安全建设方案进行评审,使方案满足全州统计系统网络安全管理要求。
第四条管理员负责网络的安全防护,在网络边界处采取安全措施进行有效隔离防护,并对违规行为进行检查和阻断。
第五条管理员负责网络的VLAN和安全域划分,不同业务应用系统尽量安排在不同的安全域中,各VLAN和安全域间应采取有效的访问控制措施。
第六条管理员对网络设备、网络设备之间的连接线缆进行标识,重要网络端口也须进行详细标识。
第七条管理员采取开启网络设备日志,记录与网络安全相关的操作与活动。
第八条管理员在网络关键位置采取网络审计手段,对网络访问操作行为进行记录,把审计日志进行记录保存。
第九条管理员制定网络备份策略(如网络配置备份、硬件备份)并备份。
第十条管理员根据网络备份策略定期做好网络配置备份、网络设备日志的备份。
第十一条管理员做好网络配置、网络设备日志及网络设备备件的保存与管理,保证备份的安全性。
第十二条管理员定期对配置备份及设备备件进行测试,保证其可用性。
第十三条管理员制定详细的网络检查项目,负责进行网络系统运行的日常检查工作。
第十四条管理员定期对网络设备配置进行检查和评估,确保网络配置与安全策略保持一致。
第十五条管理员定期对网络安全设备的补丁升级。在补丁升级前,需在测试环境下测试无误后,再对业务系统内的运行设备进行升级。
第十六条管理员安全管理员每月定期对网络和安全设备的口令进行更改,对口令的长度和复杂度需满足相关保密要求。
第十七条管理员修改过的安全配置和安全策略应及时备份。
第十八条管理员定期对网络运行的日志和审计数据进行收集和存储。
第十九条管理员制定网络访问控制策略,并根据实际情况的变化进行变更。
第二十条管理员在系统规划、升级、改造建设过程中,应组织相关专家对安全系统建设方案进行评审,使方案满足系统安全管理要求。
第二十一条管理员对系统设备重要网络端口须进行详细标识。
第二十二条管理员采取开启系统日志,记录与系统安全相关的操作与活动。
第二十三条管理员制定系统策略(如系统配置备份、硬件备份)并备份。
第二十四条管理员根据系统备份策略定期做好系统配置备份、系统设备日志的备份。
第二十五条管理员每定期对系统设备的补丁升级。在补丁升级前,需在测试环境下测试无误后,再对业务系统内的运行系统进行升级。
第二十六条管理员定期对系统运行的日志和审计数据进行收集和存储。
第二十七条本制度自下发之日起实施。
