&&天气预报：市区今天晚上到明天晚上多云间晴，最低气温22℃，最高气温32℃。
当前位置：
政务服务中心 网络与信息安全
&&&发布时间：&&&来源：攀枝花市政府服务中心&&&选择阅读字体：[ 大 中 小 ] 阅读次数：
四川省地方标准
政务服务中心 网络与信息安全
2013&--实施
四川省质量技术监督局发布&&&
DB51/T 16262013
本标准由四川省人民政府政务服务中心提出并归口。
本标准由四川省质量技术监督局批准。
本标准起草单位：四川省标准化研究院、四川省人民政府政务服务中心。
本标准主要起草人：杨路、牛建平、岳立、罗光辉、刘志禄、张凯峰、张应杰、罗定兰、杨玲、李旭峰、周磊。
政务服务中心 网络与信息安全
本标准规定了政务服务中心网络和信息安全管理原则、策略和应急响应等。
本标准适用于四川省省、市（州）、县（市、区）人民政府政务服务中心。
乡镇 （街道 ）便民服务中心可参考本标准执行。
全面设计、整体部署、需求主导、重点突出、&灵活配置、动态部署、制度建设、安全培训。
安全体系包括管理层安全、物理层安全、网络层安全、系统层安全、应用层安全、响应及备份恢复等技术层面等。
安全管理应符合 ISO/IEC 10181、GB/T 9387.2、GB/T 15278、GB/T 等标准的相关要求，并符合以下安全策略：
a)重点保障电子政务外网与互联网之间的连接和数据交换安全；
b)重点保障电子政务外网和电子政务内网的信息传输和应用安全；
c)重点保障政务服务中心应用软件系统及门户网站等的信息准确性、安全性；
d)满足信息系统安全等级保护的最低保护要求，即基本安全要求。
5　物理层安全
物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故，人为操作失误或错误以及各种计算机犯罪行为导致的破坏过程。主要包括三个方面：
a)环境安全：对系统所在环境的安全保护，如区域保护和灾难保护。应符合 GB50173、GB2887、GB9361 等标准的要求；
b)设备安全：主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等以及设备冗余备份；
c)媒体安全：包括媒体数据的安全及媒体本身的安全，为了防止系统中的信息在空间上的扩散，应在物理上采取一定的防护措施，以减少或干扰扩散出去的空间信号。
6　网络层安全
6.1　防火墙
防火墙产品应满足以下条件：
a)基于状态检测的分组过滤；
b)多级的立体访问控制机制；
c)面向对象的管理机制；
d)支持多种连接方式，透明、路由；
e)支持 OSPF、IPX、NETBEUI、SNMP 等协议；
f)具有双向的地址转换能力；
g)透明应用代理功能；
h)一次性口令认证机制；
i)带宽管理能力；
j)内置了一定的入侵检测功能或能够与入侵检测设备联动；
k)远程管理能力；
l)负载均衡；
m)支持动态 IP 地址
n)内嵌 VPN 功能支持；
o)灵活的审计、日志功能。
6.2　入侵检测安全技术
网络入侵检测系统应能满足以下要求：
a)能在网络环境下实现实时地、分布协同地全面检测可能的入侵行为；
b)能及时识别各种黑客攻击行为，发现攻击时阻断或弱化攻击行为、并能详细记录，生成入侵检测报告，及时向管理员报警；
c)能够按照管理者需要进行多个层次的扫描，按照特定的时间、广度和粒度的需求配置多个扫描；
d)能够支持大规模并行检测，能够方便地对大的网络同时执行多个检测；
e)所采用的入侵检测产品和技术不能被绕过或旁路；
f)检测和扫描行为不能影响正常的网络连接服务和网络的效率；
g)检测的特征库要全面并能够及时更新；
h)安全检测策略可由用户自行设定，对检测强度和风险程度进行等级管理，用户可根据不同，需求选择相应的检测策略；
i)能够帮助建立安全策略，具有详细的帮助数据库，协助管理员实现网络的安全，并且制定实际的、可强制执行的网络安全策略。
6.3　数据传输安全
为保证数据传输的机密性和完整性，针对使用特定功能如网上办事、网上审批等用户宜采用身份认证、数字防伪等技术。
7　系统层安全
7.1　操作系统安全
操作系统安全管理应从物理安全、登录安全、用户安全、文件系统和打印机安全、注册表安全、安全、数据安全、 各应用系统安全等方面制定强化安全措施。
7.2　数据库安全
数据库管理系统应具有如下能力：
a)自主访问控制（DAC）：DAC 用来决定用户是否有权访问数据库对象；
b)验证：保证只有授权的合法用户才能注册和访问；
c)授权：对不同的用户访问数据库授予不同的权限。
d)审计：监视各用户对数据库施加的动作，数据库管理系统应能提供与安全相关事件的审计 能力，如试图改变访问控制许可权、试图创建、拷贝、清除或执行数据库；
e)系统应提供在数据库级和纪录级标识数据库信息的能力。
8　应用层安全
8.1　身份认证技术
电子政务大厅应设立系统管理人员、信息发布人员、业务办理人员、在线巡查人员等不同的管理权限，必须有严格的身份认证和权限设置功能，并建立安全责任制度。
对网上办事、网上咨询、网上投诉等服务，应当建立相应的申请人身份认证服务。
8.2　防病毒技术
病毒防范系统由防病毒代理和防病毒服务器端组成，应配置成分布式运行和集中管理。
9　管理层安全
9.1　管理体系
9.1.1　主要内容
四川省政务大厅系统的安全管理体系主要包括安全管理机构、安全管理制度和安全教育培训等方面。
通过组建完整的四川省政务大厅系统的信息网络安全管理机构，设置安全管理人员，规划安全策略、确定安全管理机制、明确安全管理原则和完善安全管理措施，制定严格的安全管理制度，合理地协调法律、技术和管理三种因素，实现对系统安全管理的科学化、系统化、法制化和规范化，达到保障四川省政务大厅系统安全的目的。安全管理体系结构如图所示。
图1 四川省政务大厅系统安全管理体系结构
9.1.2　安全管理机构建设
按照统一领导和分级管理的原则，四川省政务大厅系统的安全管理必须设立专门的管理机构，配备相应的安全管理人员，并实行一把手责任制，明确主管领导，落实部门责任，各尽其职。其主要内容包括：各级管理机构的建立；各级管理机构的职能、权限划分；人员岗位、数量、职责的确定。
主要组建机构包括：
a)安全管理决策机构；
b)安全管理日常执行机构；
c)安全管理应急响应小组。
9.1.3　安全管理制度建设
9.1.3.1　安全管理制度主要包括：安全人员管理、技术安全管理、场地设施安全管理。
9.1.3.2　安全人员的管理主要包括：人员审查、岗位人选、人员培训、签订保密合同、人员调离等。
9.1.3.3　技术安全管理主要包括：软件管理、设备管理、介质管理、信息管理、技术文档管理、传输链路和网络互连管理、应急响应计划等技术方面的管理。
9.1.3.4　场地设施安全管理主要包括：场地管理分类、管理要求、出入控制、电磁波防护、磁场防护、机房管理制度等。
9.1.4　安全教育和培训
根据用户的不同层次制定相应的教育培训计划及培训方案。为了将安全隐患减少到最低，不仅需要对安全管理员进行专业性的安全技术培训，还需要加强对一般办公人员的信息安全教育，普及信息安全基本知识，通过对用户的不断教育和培训，增强全体工作人员的信息安全意识、法制观念和技术防范水平，确保四川省政务大厅系统网络的安全运行。 9.2　安全人员管理
9.2.1　主要内容
信息系统的运行是依靠在各级党政机构工作的人员来具体实施的，他们既是信息系统安全的主体，也是系统安全管理的对象。所以，要确保信息系统的安全，首先应加强人事安全管理。
安全人员应包括：密钥管理员、系统安全管理员、系统管理员、办公自动化操作人员、安全设备操作员、软硬件维修人员和警卫人员。
其中密钥管理员、系统管理员、系统安全管理员必须由不同人员担当。
2.2　人员审查
人员审查必须根据信息系统所规定的安全等级确定审查标准。人员应具有政治可靠、思想进步、作风正派、技术合格等基本素质。
9.2.3　人员培训
应定期对从事操作和维护信息系统的工作人员进行培训，包括：计算机操作维护培训、应用软件操作培训、信息系统安全培训等，保证只有经过培训的人员才能上岗。
对于涉及安全设备操作和管理的人员，除进行上述培训外，还应由相应部门进行安全专门培训，上岗后仍需不定期接受安全教育和培训。
对于安全负责人要进行高级安全培训，并且取得上岗证书后方可任职。
9.2.4　考核
人事部门要定期组织对信息系统所有的工作人员从政治思想、业务水平、工作表现、遵守安全规程等方面进行考核。对于考核发现有违反安全法规行为的人员或发现不适于接触信息系统的人员要及时调离岗位，不应让其再接触系统。
9.2.5　信息安全责任合同
对所有进入信息系统工作的人员，均应签定信息安全责任合同，承诺其对系统应尽的安全义务，保证在岗工作期间和离岗后一定时期内，均不得违反信息安全责任合同，泄露系统秘密。对违反信息安全责任合同的应有惩处条款，对接触秘密信息的人员应规定在离岗后的相应时间内不得离境。
9.2.6　人员调离
对调离人员，特别是因不适合安全管理要求被调离的人员，必须严格办理调离手续，进行调离谈话、承诺其调离后的保密义务，交回所有钥匙及证件，退还全部技术手册、软件及有关资料，更换系统口令和机要锁。
10　应急响应计划
10.1　主要内容
通过建立应急相应机构，制定应急响应预案，通过建立专家资源库、厂商资源库等人力资源措施，通过对应急响应预案不低于一年两次的演练，可以在发生紧急事件时，做到规范化操作，更快的恢复应用和数据，并最大可能地减少损失。
10.2　紧急事件
a)当硬件受到破坏性攻击不能正常发挥其部分功能或全部功能时；
b)当软件受到破坏性攻击不能正常发挥其部分功能或全部功能时；
c)当软件受到计算机病毒的侵害，局部或全部数据和功能受到损坏，使系统不能工作或工作效率急剧下降；
d)当物理设备被人为毁坏，无法正常工作；
e)当受到自然灾害的破坏，如：地震、水灾、火灾、雷电；
f)当出现意外停电而又无后备供电措施；
g)当重要的关键岗位人员不能上岗。
10.3　应急计划要求
a)应急计划应条理清楚、语言简洁、步骤分明、具有强可操作性；
b)应急计划应有多种备用方案，每种方案均可独立实施，应有各种方案的优先排序；
c)应急计划应有明确的负责人与各级责任人的职责；
d)应急计划应便于培训和实施演习；
e)应急计划简单流程图应公布在显著和方便的位置，以便发生事故时，能迅速、方便地执行。
10.4　应急演练
10.4.1　应制定和实现恢复过程计划。
10.4.2　应定期进行应急计划的演习，使每个工作人员知晓应急知识和在应急计划中应采取的措施和应负的责任，以利于紧急事故出现时能迅速执行应急计划。
攀枝花市人民政府 市政务服务中心 主办
攀枝花市信息化工作领导小组办公室 攀枝花市电子政务办公室 技术支持
ICP备案编号：蜀ICP备软件中心获得ISO27001信息安全管理体系审核认证
日，中国银行软件中心作为中国金融行业首家独立以软件开发中心申请并通过ISO审核认证的组织，在北京总部举行了软件中心ISO信息安全管理体系认证审核的证书颁授仪式。软件中心孟茜总经理、总经理室成员及中心五地各级员工代表参加本次颁授仪式。
证书颁授仪式由刘述忠主任工程师主持，会议回顾了中心信息安全管理体系建设的工作历程，姚丹副总经理对中心信息安全管理体系的建设工作进行了总结和展望；中国信息安全认证中心魏昊主任进行颁证致辞，魏主任表示中国银行作为金融行业领头羊之一，软件中心担负着中国银行业务系统安全开发保障的重任，通过建立信息安全管理体系来提升应用系统安全水平，在全国同行业中处于领先水平。
在热烈的掌声中，孟茜总经理从中国信息安全中心主任魏昊主任手中接过ISO信息安全管理体系认证证书。这标志着软件中心在ISO管理标准实践上的又一次提升，在信息安全管理体系的发展道路上又向前迈进了一步；也是对今年6月1日正式颁布实施《网络安全法》的进一步贯彻落实。
孟茜总经理对软件中心未来的管理体系建设和持续改进提出了工作要求：要始终坚持“服务客户、技术先进、安全合规、优质高效”的管理目标，坚持不懈抓好体系建设和过程改进工作，通过三体系融合并在中心的良性运转，推动中心各项业务持续稳定发展，从而实现我们“打造一流的中心 服务最好的银行”的战略目标。
撰稿：信息安全与标准管理部
编辑：办公室
责任编辑：
声明：本文由入驻搜狐号的作者撰写，除搜狐官方账号外，观点仅代表作者本人，不代表搜狐立场。
今日搜狐热点拒绝访问 |
| 百度云加速
请打开cookies.
此网站 () 的管理员禁止了您的访问。原因是您的访问包含了非浏览器特征(39c34c94f5d643d7-ua98).
重新安装浏览器，或使用别的浏览器服务电话：
您当前位置： &
ISO2700信息安全管理体系概述案例下载
&&&& 目前，在信息安全管理体系方面，ISO――信息安全管理体系标准已经成为世界上应用最广泛与典型的信息安全管理标准。标准适用于各种性质、各种规模的组织，如政府、银行、电讯、研究机构、外包服务企业、软件服务企业等。
&&&&& 2008年6月，ISO27001同等转换成国内标准GB/T，并在日正式实施。
&&&&& 经过多年的发展，信息安全管理体系国际标准已经出版了一系列的标准，其中ISO/IEC27001是可用于认证的标准，其他标准可为实施信息安全管理的组织提供实施的指南。
&&&&& 2013年10月，为适应信息安全管理的发展趋势，ISO组织发布了ISO/IEC -信息安全管理体系标准，新版标准相对旧版标准作了较大修订，为组织加强信息安全管理提供的指导。
ISO27001标准内容简介
&&&&&&ISO2标准包括14控制领域、35个控制目标和113项控制措施，为组织提供全方位的信息安全保障。
ISO版新标准特点：
&&&& &1)采用新结构
&&&&&&& 在ISO新版当中采用ISO导则83做结构性要求，这个结构未来在ISO其他标准改版中会普遍采用，将未企业管理体系融合提供了统一的体系架构，管理体系融合将更加便捷。新结构保持与PDCA方法的对应关系。
&&&& 2）控制更精简
&&&&&&&&ISO中将旧版133个控制项缩减到113个，合并了类型的控制措施（如变更管理），新增的控制项目比如对智能型装置的管理、强化ICT供应链的委外管理、以及系统开发项目管理的信息安全要求等，以反映目前信息安全的发展趋势。ISO将通信与操作管理领域拆分为通信安全与操作安全两个领域，比旧版标准更清晰的反应了实际的需求，与企业的信息系统的管理实践结合更紧密。ISO将旧版业务连续性管理更新为信息安全方面的业务连续性管理，表述更准确。
&&&& 3）提供更多参考
&&&&&&& 此次ISO也新增许多指引供企业参考，组织可以通过不同的方面以及风险进行深度的强化，通过ISO 27001认证只是基本要求。目前ISO 27000系列指引编号已超过44号（001-044），例如金融服务、数字鉴识、供应链管理、软件开发测试等，企业组织可参考这些指引做升级的要求。
[]&&&[]上一条：下一条：
友情链接：}