系统运维中安全控制要求落地(中):安全基线管理、补丁管理、防病毒、账号口令管理
一、基础架构基线管理
负责人:基础架构主管
落地工作:在项目管理制度-上线阶段-基础架构安全基线实施确认表
时间点:系统上线前
输出:NA
2、新增系统安全基线配置规范
负责人:信息安全岗位
落地工作:信息系统设计完成后,按照新增的系统类型增加系统安全配置规范。
时间点:信息系统设计完成后
输出:《系统安全基线配置规范》
3、组织系统安全基线配置规范修订
负责人:信息安全岗位
落地工作:确定配置基线更新时间节点,每年按时间节点组织配置基线更新。
时间点:每年一次
输出:《系统安全基线配置规范》
4、系统安全基线配置检查
负责人:信息安全岗位
落地工作::确定配置基线更新时间节点,每年按时间节点组织配置基线检查。
时间点:每年一次
输出:检查记录
5、系统安全基线配置加固
负责人:基础架构主管
落地工作:按安全基线配置检查的结果,对系统进行安全加固。
时间点:配置检查结束后
输出:系统配置变更记录
二、补丁管理
1、跟踪系统最新漏洞信息
负责人:信息安全岗位
落地工作:每月跟踪并发布系统最新漏洞信息,重大安全漏洞随时发布。
时间点:每月一次/随时
输出:《系统漏洞信息通报》
2、系统补丁修复测试
负责人:系统管理员
落地工作:收到漏洞信息后,对系统补丁进行测试,编制测试报告。
时间点:收到漏洞信息后
输出:《系统补丁修复测试报告》
3、系统漏洞补丁修复实施申请(变更申请)
负责人:系统管理员
落地工作:根据系统补丁修复需求提出变更申请,并实施补丁修复。
时间点:补丁修复测试完成后
输出:《系统变更申请表》
4、系统漏洞检查测试(漏洞扫描)
负责人:信息安全岗位
落地工作:定期进行系统漏洞扫描
时间点:每月一次
输出:扫描报告
三、账号口令管理
1、应用系统用户账号开通、变更
负责人:应用管理员
落地工作:执行应用系统权限申请单
时间点:用户申请审批后
输出:《应用系统权限申请单》
2、创建并更新应用系统账号登记表
负责人:应用管理员
落地工作:加入到应用系统开发基线要求中。将登记表中融入到服务请求中。
时间点:用户账号开通、变更后
输出:应用系统账号登记表
3、系统管理员账号开通、变更
负责人:系统管理员
落地工作:创建账号权限申请单,加入服务请求管理制度中。测试环境账号权限管理也包含在内。
时间点:申请审批通过后
输出:《统管理员账号及权限管理表》
4、创建并更新系统管理员账号权限备案表
负责人:信息安全岗
落地工作:创建系统管理员账号权限备案表,加入服务请求管理制度中。
时间点:申请审批通过后
输出:《系统管理员账号权限备案表》
5、重要系统、核心系统账号权限清查
负责人:系统管理员
落地工作:确定系统账号权限清查时间,按时间进行账号权限清查。
时间点:每年一次
输出:清查记录
四、防病毒管理
1、防病毒服务器检查。(病毒库、病毒查杀等)
负责人:防病毒管理员
落地工作:每周运维总结含有防病毒检查
时间点:每周一次
输出:NA
2、防病毒定期扫描检测。(全网)
负责人:防病毒管理员
落地工作:每周运维总结含有防病毒检查
时间点:每周一次
输出:NA
扩展 · 本文相关链接
感谢关注“微言晓意(WeYanXY)”!
微言晓意(WeYanXY)专注于网络安全、IT治理、风险管理、监管合规、IT审计等专业领域,兼顾于一切文、史、哲、杂的东拉西扯,同时也会记录一些个人的读书笔记与成长经历。