宁波市政务云计算中心-信息安全运维管理制度.docx

文件名称宁波市云计算中心电子政务云平台信息安全运维管理制度密级内部文件编号CSC20023版 本 号V2.0编写部门运营管理部编 写 人王子龙审 批 人发布时间宁波市政务云计算信息安全体系运维管理制度 宁波市政务云计算中心2015.8文档修改记录修订前版本修订内容 完成日期 修订人修订后版本1 2 3 4 备注:“草稿”状态的文档版本为0.Y.Z,Y≥0,Z0,Y、Z的数值不断累加;“正式发布”状态的文档版本为X.Y,X≥1,Y≥0,且X、Y值不断累加;“正在修改”状态的文档指对“正式发布”后的文档进行修改,文档版本为X.Y.Z,其中X.Y同修改之前的文档版本号,Z0,Z的数值不断累加。目 录第一章、环境管理规定31.1、总则31.2、细则3机房卫生制度3机房用电制度4机房消防安全制度5机房空调温湿度控制6机房保密制度6机房财产保护制度7机房设备出入制度7第二章、数据备份与恢复管理制度92.1、总则92.2、细则9需要备份的项目9备份介质的保管9备份策略10恢复与备份11第三章、监控管理和安全管理中心管理制度123.1、总则123.2、细则12监控管理12安全管理中心13第四章、密码使用管理制度144.1、总则144.2、细则14第五章、应用软件安全维护管理制度155.1、总则155.2、细则15第一章、环境管理规定1.1、总则 为规范计算机中心的环境,保证中心的环境整洁,建立完善的环境管理制度,制定本办法。

此办法适用宁波市政务云计算中心环境管理。1.2、细则机房卫生制度必须注意环境卫生。禁止在机房内吃食物、抽烟、随地吐痰;对于意外或工作过程中弄污机房地板和其它物品的,必须及时采取措施清理干净,保持机房无尘洁净环境。必须注意个人卫生。工作人员仪表、穿着要整齐、谈吐文雅、举止大方。机房用品要各归其位,不能随意乱放。机房应安排人员值日,负责机房的日常整理和行为督导。机房应安排人员值日,负责机房的日常整理和行为督导。注意检查机房的防晒、防水、防潮,维持机房环境通爽,注意天气对机房的影响,下雨天时应及时主动检查去水通风等设施。所有机房内的施工,在施工结束后,施工人员要将施工过程中产生的垃圾等清扫干净、物品摆放整齐。机房用电制度机房人员应学习常规的用电安全操作和知识,了解机房内部的供电、用电设施的操作规程。机房应机房人员应学习常规的用电安全操作和知识,了解机房内部的供电、用电设施的操作规程。安排有专业资质的人员定期检查供电、用电设备、设施。不得乱拉乱接电线,应选用安全、有保证的供电、用电器材。在真正接通设备电源之前必须先检查线路、接头是否安全连接以及设备是否已经就绪、人员是否已经具备安全保护。严禁随意对设备断电、更改设备供电线路,严禁随意串接、并接、搭接各种供电线路。

如发现用电安全隐患,应即时采取措施解决,不能解决的必须及时向相关负责人员提出解决。机房人员对个人用电安全负责。外来人员需要用电的,必须得到机房管理人员允许,并使用安全和对机房设备影响最少的供电方式。机房工作人员需要离开当前用电工作环境,应检查并保证工作环境的用电安全。最后离开机房的工作人员,应检查所有用电设备,应关闭长时间带电运作可能会产生严重后果的用电设备。禁止在无人看管下在机房中使用高温、炽热、产生火花的用电设备。在使用功率超过特定瓦数的用电设备前,必须得到机房管理人员批准,并在保证线路保险的基础上使用。在外部供电系统停电时,机房工作人员应全力配合完成停电应急工作。应注意节约用电。机房消防安全制度机房工作人员应熟悉机房内部消防安全操作和规则,了解消防设备操作原理。任何人不能随意更改消防系统工作状态、设备位置。需要变更消防系统工作状态和设备位置的,必须取得机房管理人员批准。工作人员更应保护消防设备不被破坏。如发现消防安全隐患,应即时采取措施解决,不能解决的应及时向相关负责人员提出解决。最后离开的机房工作人员,应检查消防设备的工作状态,关闭将会带来消防隐患的设备,采取措施保证无人状态下的消防安全。

机房空调温湿度控制机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。机房温度维持在22-25度左右,上下偏差不超过2度。机房湿度在5%-75%之间。机房定期开启温湿度机。机房值班工程师记录温度、湿度值,发现异常情况及时汇报。小问题当时解决,如果遇到设备故障,及时通报给主管领导。机房运维管理人员在接到报警后,及时处理维护各种设备,进行相关保养和维修。机房保密制度机房资料、文档、数据等必须有效组织、整理和归档备案。禁止任何人员将机房内的资料、文档、数据、配置参数等信息擅自以任何形式提供给其它无关人员或向外随意传播。对于牵涉到网络安全、数据安全的重要信息、密码、资料、文档等等必须妥善存放。外来工向其提供与其当前工作内容相关的数据或资料。作人员的确需要翻阅文档、资料或者查询相关数据的,应由机房相关负责人代为查阅,并只能重要资料、文档、数据应采取对应的技术手段进行加密、存储和备份。对于加密的数据应保证其可还原性,防止遗失重要数据。机房管理人员调离,应移交机房管理权限和资料。由相关人员和该员工一起回顾其签订的保密协议,并使该员工明确所有保密事项。机房管理人员未经审批不得在机房内接待外来访问人员。

机房财产保护制度机房工作人员应有义务安全和小心使用机房的任何设备、仪器等物品,在使用完毕后,应将物品归还并存放于原处,不应随意摆放。机房对于使用过程中损坏、遗失的物品应汇报登记,并对责任人追究相关责任。机房内未经机房管理人员同意,不允许向他人外借或提供机房设备和物品。机房设备出入制度机房内进出设备需记录设备进出单位、责任人、日期、设备明细等,参见《进出机房设备登记表》。机房进出设备需得到宁波市政务云计算中心信息部门认可,客户授权方可操作。参考具体的实施方案。第二章、数据备份与恢复管理制度2.1、总则 为规范信息系统备份与恢复管理工作,确保各系统连续、稳定运行,保证备份设备及数据的有效性、可用性和完整性,制定本管理办法。 2.2、细则需要备份的项目(1)用户重要业务系统数据(2)重要网络设备配置及日志(3)重要安全设备配置及日志(4)重要业务系统日志(5)重要系统在备份前和备份更后都需要做数据备份。备份介质的保管备份信息的备份方式分为本地备份和异地备份两种。备份介质需保留两份,其中一份为异地存放。本地备份手动备份,每天做增量备份数据存放在本地机房的磁盘阵列中,每周做一次全备。异地备份通过netvault每小时备份重要系统,每周做一次全备,数据存放在政府机房存储服务器上。

备份介质如可移动硬盘、磁带、光盘等,由各相关部门统一编号,标明备份内容、日期及保存期限。且备份介质应在备份当日进行有效性检验,以保证数据的可用性。并规定备份额度。 备份介质要定期进行有效性检查,磁带六个月检查一次,可移动硬盘及光盘一年检查一次。由各系统负责部门制定本系统备份数据的保存期限和备份介质的替换频率。数据离站运输时,由各系统负责部门派专人全程陪同,以保证数据的保密性。信息系统重要设备需有主备机,主机、备机的运行环境和参数设置完全一致,备机数据与主机数据最多保持一天的差距。建立销毁超过保存期备份介质的审批登记制度,并采取相应的的安全销毁措施。备份策略在信息系统空闲时间,每天做一次数据备份,每月至少做一次全备份。国庆节、春节等重要节假日之前,做所有系统的数据全备份。信息系统的系统软件、应用软件等进行打补丁、修改、参数调整等系统变更工作之前,需做系统及数据的全备份。运行设备的硬件维护前做系统及数据的全备份。数据备份保存期时间为半年。系统备份、网络设备备份、安全设备备份、数据备份由相关的管理人员进行备份操作。恢复与备份宁波市政务云计算中心信息部门负责系统恢复演练的组织与技术工作。每年组织至少1次以上恢复演练工作,确保可在恢复程序规定的时间内完成备份的恢复。

宁波市政务云计算中心信息部门定期检查备份介质是否齐全、备份数据是否完整,以确保介质的可用性。按照控制数据备份和恢复过程的程序,备份责任人在备份结束后 对备份过程进行电子文档记录。各信息系统在备份时中发现问题要及时解决。 对违反本规定的部门和个人,造成业务数据丢失等重大事故,由上级主管对其进行严肃处理,直接责任人员给予行政处分。第三章、监控管理和安全管理中心管理制度3.1、总则为保障信息中心信息系统安全运行, 实时监控系统资源的使用情况,发现异常,及时解决, 提高解决故障的效率,将故障影响降到最低,,制定本管理办法。此管理办法适用于纳入监控中心和安全管理中心的软、硬件设备。 宁波市政务云计算中心部门负责对监控中心和安全管理中心的统一管理。3.2、细则监控管理 建立监控中心,监控管理内容涵盖对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等。 监控管理员负责对监控报警进行记录,并保存报警记录。 系统运维负责人组织相关人员定期对监测和报警记录进行分析和评审。 当发现可疑行为时,及时通知相关部门,按照对系统影响的严重程度和应急处置流程对该行为进行及时处理。安全管理中心 建立安全管理中心,为对安全相关事项进行集中管理。

安全管理中心管理内容包括:设备状态、恶意代码、补丁升级、安全审计等安全相关事项。密码使用管理制度4.1、总则第一条、为规范计算机系统密码使用管理,确保密码不外泄和不被非法使用,保证信息保密性和完整性,制定本办法。第二条、此办法中涉及的密码管理适用于所有信息系统。4.2、细则第三条、使用符合国家密码管理规定的密码技术和产品,密码技术及产品具有相关的资质证书。第四条、信息部应在与外部加密服务提供商(如认证中心)之间的服务协议或合同中,涵盖责任、服务可靠性以及服务响应时间等内容。应用软件安全维护管理制度5.1、总则为规范应用软件维护工作,保障应用软件平稳有效和持续运行,制定本管理办法。此管理办法适用于宁波市政务云计算中心信息部门负责研发或购买的应用软件。由信息部门专人负责应用软件的安全维护工作。5.2、细则由应用负责人根据应用软件使用情况,遵循最小授权原则划分角色及权限,明确各角色的权限和风险。应用负责人须根据业务需求和系统安全分析明确系统的访问控制策略。(由应用负责人提供)应用负责人定期对应用系统进行漏洞扫描,对发现的系统安全漏洞及时进行修补,并形成漏洞扫描报告。漏洞扫描报告涵盖存在的漏

© 版权声明
THE END
喜欢就支持一下吧
点赞0 分享
评论 抢沙发
头像
来说点什么吧!
提交
头像

昵称

取消
昵称表情代码图片

    暂无评论内容