xx运营商网络与信息安全管理办法

xx运营商网络与信息安全管理办法内容摘要：

员传达变更细节； 变更失败的恢复措施和责任； 变更成功与失败回退后的验证测试； 保留所有与变更相关信息的审核日志； 变更后的重新评估。 迅速响应 建立安全事件管理责任和程序，迅速、有效和有序地对安全事件响应。 安全事件响应管理应按以下要求进行： 建立涵盖所有潜在的安全事件类型的响应程序； 除 正常的用以尽快恢复系统或服务的应急方案之外，还应包括事件通报、分析总结、弥补措施、检查审计等内容； 明确授权可以进行安全事件处理的人员； 严格遵守安全事件处理流程，严禁随意操作，避免更大损失； 在必要时，应收集并保护相关记录和证据。 设备分离 开发、测试与现网设备要分离 以有效降低运行系统被破坏或非授权访问的风险，按下列控制措施执行： 前期开发调试工作与现网设备尽可能实现物理分离或逻辑分离，例如：独立的实验环境、不同的计算机或不同的域、目录等； 后期在现网进行测试时，必须做好必要的安 全防护措施，并对其进行安全检查。 第 13条 物理与环境安全管理 场地标准 依据《计算机场地安全要求》、《计算机场地技术条件》标准进行。 制制 度度 制制 定定 对 IT 网络的场地与设施进行安全等级划分，制定安全管理规定的技术措施和管理办法。 安安 全全 区区 域域 保保 护护 包括安全边界建立、出入控制、物理保护、安全区域工作规章制度建立、送货、装卸区与设备的隔离等。 设设 备备 安安 全全 包括设备安置及物理保护、电源保护、线缆安全、工作区域外设备的安全、设备处置与重用的安全等。 存存 储储 媒媒 介介 安安 全全 包括可移动存储媒介的管理、存储媒介的处置、信息处置程序、系统文档的安全管理等。 第 14条 设备安全使用管理 设设 备备 使使 用用 管管 理理 包括指定专人负责设备的使用、建立详细的运行日志、设备的维护和定期保养、设备故障处理等。 设设 备备 维维 修修 管管 理理 包括指定专人负责设备的维修，建立满足正常运行的最低要求的易损件备件库，记录设备维修对象、故障原因、排除方法、主要维修过程及其它的有关情况。 备备 品品 备备 件件 管管 理理 指指 未未 被被 使使 用用 或或 修修 复复 后后 性性 能能 正正 常常 的的 各各 种种 设设 备备 的的 集集 中中 统统一一 管管 理理。 第 15条 操作系统和数据库安全管理 应从以下几方面对操作系统和数据库进行安全管理： 系统要求、运行安全。 运行日志安全管理。 备份安全管理、异常情况管理。 系统安全恢复管理。 操作系统有关安全方面的补丁和版本升级。 第 16条 安全软件版本管理 从以下几方面进行安全软件版本管理： 所有安全软件（如：安全访问软件、病毒防护软件、入侵检测软件等）尽可能选择经实践验证稳定运行的版本，不应立即使用厂商发布的最新版本，但病毒代码库和系统漏洞库例外。 在风险分析的基础上，厂商发布的安全补丁应进行功能测试，并在规定期限内投入应用。 功能测试应确保安全服务、安全机制的完善性和有效性，并符合相关规定，同时还应确保其变化不会影响其他安 全控制措施。 如果出现确实无法按时完成安全补丁加载的例外情况，资产责任人应向安全组织汇报不能完成的原因，采取的临时措施，及后续工作计划，并得到安全组织的批准。 所有安全软件的升级必须由变更控制流程进行控制。 第 17条 系统文档安全管理 系统文档包含一系列敏感信息，比如应用流程、程序、数据结构、授权流程的说明。 应采取下列控制程序，避免系统非法访问。 安全保存系统文档。 将系统文档的访问列表控制在最小范围，并由应用责任人授权。 有效的保护保存在公共网络的系统文档或者通过公共网络提供的系统文 档。 第 18条 审计管理 安全审计要保持独立性，审计方与被审计方应保持相对独立，即不能自己审计自己的工作，以确保审计结果的公正可靠。 安全审计包含但不限于如下内容： 审计系统安全日志内容。 审计相关网络设备日志。 审计日常报警信息。 审计网。