第一章 总则
第一条 为了为加强对网络设备、主机操作系统、数据库系统、应用系统日志和制度流程、人员的安全审计管理,加强对拥有特殊权限的管理员的管理,及时发现安全策略、安全制度以及其他管理文档的不足,特制定本文件。
第二章 适用范围
第二条 本文件适用于武汉学院信息系统中网络设备、主机操作系统、数据库系统和应用系统的管理人员以及使用人员。
第三章 术语定义
第三条 特权用户是指操作系统的系统管理员用户、数据库管理员、网络设备管理员、安全设备管理员、应用系统管理员。
第四条 普通用户是除特权用户以外的所有用户。
第四章 日志审计
第五条 网络设备、操作系统、数据库系统、应用系统、安全设备等系统的日志审计功能应全部开启,管理员根据实际需要修改默认设置。
第六条 网络设备、操作系统、数据库系统、应用系统、安全设备等敏感信息操作的相关日志(如与工作秘密相关等),根据风险和重要性的原则确定审计内容。
第七条 网络设备、安全设备的系统和报警日志由网络管理员进行至少每月一次的安全审核,并填写网络及安全设备日志审核记录以及时发现问题,并根据问题采取相应措施。
第八条 操作系统的操作记录由系统管理员根据操作系统日志文件对用户操作时的用户识别符、登录时间、注销时间、操作结果等要素进行至少每月一次的安全审核,并填写主机操作系统日志审核记录。
第九条 数据库系统的直接访问修改操作通过填写数据库系统访问修改操作审核记录的方式进行登记记录,并由数据库管理员对用户操作时的用户识别符、登录时间、注销时间、操作结果等要素进行至少每月一次的安全审核,并填写数据库系统日志审核记录。
第十条 应用系统管理员根据应用日志文件对用户识别符、访问时间、操作结果等要素进行至少每月一次的安全审核,并填写应用系统日志审核记录。
第十一条 网络设备、操作系统、数据库系统、应用系统、安全设备等系统日志由相应的管理员根据实际情况定期进行转存和清理,以保障系统日志有足够的存储空间。管理员负责管理转存的日志,确保这些数据的安全。必要时将日志保存纳入相关备份策略中进行定期备份。
第十二条 日志的保留期视日志规模、存储容量及其它需求等因素而定,但不得短于相应的日志审核周期。在日志保留期内,任何人都不得对原始日志和记录进行更改、删除等操作。
第五章 岗位审计
第十三条 建立明确的岗位任职资格,各岗位职能要严格按岗位进行独立设置,所有的岗位职能不能有遗漏。
第十四条 安全管理员不担任网络、系统、数据库、应用管理等其他业务岗位。系统管理员和数据库管理员不能由同一人担任。
第十五条 网络、系统、数据库、应用等岗位均由多人担任,以进行人员备份。
第十六条 应用管理岗位的职责根据实际情况进行细化,应用系统管理员不承担对业务数据内容的管理。
第十七条 信息系统管理人员上岗时应与单位签订安全保密协议,并进行必要的上岗培训,合格后才能上岗。信息系统关键岗位人员应与单位签订安全岗位责任书。
第十八条 所有离岗人员必须严格办理离岗手续,除承诺的保密义务外,应交回所有的密钥、技术文档,中心应及时更换信息系统的密钥。
第十九条 网络安全与信息化领导小组每季度组织一次对岗位考核,填写季度绩效考核表,考核结果直接决定岗位任职资格,及时调换不符合要求的管理员。
第二十条 完善奖罚机制,以发现系统中存在的更多安全问题,避免因失职造成的安全事件发生。
第六章 行为审计
第二十一条 管理员必须明确知道个人岗位的职权和责任。在职权范围内开展个人的工作,在职权范围内出现的安全事件应由个人承担相应的责任。管理员应维护好自己管理范围内的资产管理清单、认真记录日常维护记录、安全事件记录等。
第二十二条 管理员无论是在远程终端操作还是到机房实地操作,操作完毕后都必须认真填写管理员日常维护记录表。发生信息安全事件则及时填写信息安全事故调查分析及处理报告。以上两个表格每周以电子文档提交并存储,每月汇总后提交信息系统负责人备查,作为对个人工作审计的内容。
第二十三条 管理员应定期向信息系统负责人提交系统运行情况和异常事件报告,作为对整体安全状况了解的依据。
第二十四条 一般情况下,除安全管理员之外,禁止其他人员使用口令破解程序、网络监听软件和端口扫描软件等网络安全软件,执行用户口令破解、网络流量监听、网络安全漏洞扫描等操作。在必要时安全管理员可授权其他管理员进行上述操作。
第二十五条 出现重大安全事故时,不得向上级瞒报,应及时通知相关人员进行处理和解决,尽可能降低影响和损失。
第二十六条 网络安全与信息化领导小组应每季度对安全管理员、网络管理员、系统管理员、网络管理员等管理员的日常工作行为(包括日常操作、授权、备份等)进行审核,保证行为的正确性和合法性,填写管理员行为审核记录。
第七章 权限审计
第二十七条 特权用户审计:
(一)由安全专职管理员负责特权用户权限审计工作。
(二)对于特权用户每季度进行一次定期审计。
(三)在人员有岗位变动的时候(提升、降级、雇用终止、入职)进行复查审计。
(四)审计过程采用访谈的形式与管理员沟通,确认用户与权限设置的原则(或需求),即确定系统需要的最小权限。
(五)在权限审计的过程中,采用抽样的方式进行审计,根据不同的系统,抽取多个用户,审核相关系统中的权限设置是否超出了基本权限的需求范围,填写权限审核记录。
第二十八条 普通用户审计:
(一)普通用户的审计由系统负责人负责完成。
(二)每季度进行一次全面的用户权限审计。
(三)在人员有岗位变动的时候(提升、降级、雇用终止、入职)以及需要设置临
时用户的时候(如第三方人员来访)进行复查审计。
第八章 文档审计
第二十九条 信息安全管理体系相关策略、制度、流程等应定期进行审核,相关内容遵循《信息系统评审与修订管理制度》。
第九章 安全审计工具
第三十条 审计工具包括自动化的工具和人工审计清单。
第三十一条 审计工具中有不少有助于找出安全漏洞的自动化工具。选择采用何种自动化审计工具则依据安全需要和检查工作负荷的影响而定。检查结果会记录在审计报告中以供进一步分析。
第三十二条 社会工程攻击和审计清单等人工检查手段也可用来对机构内部的整体安全意识水平进行管理性的审计。
第三十三条 对审计工具可以采取如下保护措施:
(一) 严格限定可用的审计工具,并禁止使用破坏性的功能。
(二) 审计工具的使用必须经过武汉学院授权,并记录使用情况。
(三) 审计工具与业务系统分离,单独并安全地保存于非公共区域,以禁止任何未获授权访问和使用。
(四) 由于利用审计工具能够对系统或网络发动拒绝服务攻击等仿真攻击,在使用审计工具时,安全审计员和系统管理员应保持密切监视。
第十章 安全审计流程
第三十四条 信息安全审计的流程包括:信息收集、报告编写、报告汇报和后续措施等。
(一) 审计信息的收集
(1) 初步调查:其目的是使安全审计人员了解审计对象的背景情况、基本运作流程、具体管理人员和操作人员的人员配备等大致的情况,以便快速熟悉审计对象,并制定相应的审计策略和工作清单。
(2) 详细调查:在初步调查的基础上,安全审计人员对审计对象进行深入了解,同时调整、修改并最终决定审计策略和工作清单。
(3) 问题询问:安全审计人员就审计的细节问题向具体管理人员和操作人员提出询问,进行审计报告编写前的最后准备工作。
(二) 审计报告的编写
安全审计人员对收集的资料进行分析整理,并完成安全审计报告的编写工作。
(三) 审计报告的汇报
由安全审计人员对审计情况汇总整理后,提交给网络安全与信息化领导小组领导进行审阅。
(四) 确认审计中发现的安全问题和后续措施的实行
所有在审计过程中发现的安全问题和安全隐患,一旦经领导确认后,通报给有关责任部门,并要求在规定时间内有关责任部门提出解决方案和处理报告。
第三十五条 安全审计报告内容必须明确安全审计的范围和安全审计的检查清单;必须列举所有安全问题和安全隐患,并按照严重程度进行划分;必须列举所有安全问题和安全隐患的有关责任人员或责任部门;必须对审计单位有安全审计的整体评估。
第十一章 审核记录保护
第三十六条 审计记录与被审计对象设定相同的密级,采取同等的保护措施。
第三十七条 审计记录由实施审计的部门进行保存,审计记录的调阅、引用、处置必须经过网络安全与信息化领导小组领导授权,并记录在案。
第十二章 持续改进
第三十八条 为了保证本文件的时效性、可有性,必须根据相关审核规定进行评审和修订,修订后重新发布。
第十三章 附则
第三十九条 本文件由武汉学院负责制定、解释和修改。
第四十条 本文件自发布之日起执行。
官方微信二维码