Ob das IT-System normal laufen kann, hängt direkt davon ab, ob das Geschäft oder die Produktion normal weiterlaufen kann. Die Probleme, mit denen IT-Manager jedoch häufig konfrontiert sind, sind: langsames Netzwerk, Geräteausfall und geringe Betriebseffizienz von Anwendungssystemen. Jeder Ausfall des IT-Systems kann große Auswirkungen haben, wenn er nicht rechtzeitig behoben wird, und sogar enorme wirtschaftliche Verluste verursachen.
Die IT-Abteilung führt ein umfassendes Management der IT-Betriebsumgebung (z. B. Software- und Hardwareumgebung, Netzwerkumgebung usw.), der IT-Geschäftssysteme sowie des IT-Betriebs- und Wartungspersonals durch, indem sie relevante Methoden, Mittel, Technologien, Systeme, Prozesse usw. übernimmt Dokumente zum Aufbau eines sicheren Betriebs- und Wartungssystems.
1. Anforderungen an das Sicherheitsbetriebs- und Wartungsmanagement
(1) Anforderungen an das Umweltmanagement
1) Es sollte eine spezielle Abteilung oder Person benannt werden, die für die Sicherheit des Computerraums verantwortlich ist, den Zugang zum Computerraum verwaltet und die Einrichtungen wie Stromversorgung und -verteilung, Klimaanlage sowie Temperatur- und Feuchtigkeitskontrolle regelmäßig wartet und verwaltet und Brandschutz im Computerraum.
2) Es sollte ein Sicherheitsmanagementsystem für den Computerraum eingerichtet werden und es sollten Vorkehrungen für die Verwaltung des physischen Zugangs zum Computerraum, der in den Computerraum hinein- und herausgebrachten Gegenstände und der Umweltsicherheit des Computerraums getroffen werden.
3) Besucher sollten nicht in wichtigen Bereichen empfangen werden und es sollten während des Empfangs keine Papierakten oder mobilen Medien mit vertraulichen Informationen auf dem Desktop liegen.
(2) Anforderungen an die Vermögensverwaltung
1) Es ist eine Liste der mit dem Schutzobjekt verbundenen Vermögenswerte zu erstellen und aufzubewahren, unter Angabe der zuständigen Abteilung, der Bedeutung und des Standorts der Vermögenswerte.
2) Vermögenswerte sollten entsprechend ihrer Bedeutung identifiziert und verwaltet werden, und entsprechende Managementmaßnahmen sollten entsprechend ihrem Wert ausgewählt werden.
3) Es sollten Vorkehrungen für Methoden zur Klassifizierung und Identifizierung von Informationen getroffen und eine standardisierte Verwaltung der Informationsnutzung, -übertragung und -speicherung durchgeführt werden.
(3) Anforderungen an das Medienmanagement
1) Es sollte sichergestellt werden, dass die Medien in einer sicheren Umgebung gelagert werden, alle Arten von Medien sollten kontrolliert und geschützt werden, die Lagerumgebung sollte von einer speziellen Person verwaltet werden und der Bestand sollte regelmäßig gemäß der Katalogliste überprüft werden die archivierten Medien.
2) Personalauswahl, Verpackung und Zustellung von Medien während des physischen Übertragungsprozesses sollten kontrolliert werden, und die Archivierung und Abfrage von Medien sollte registriert und aufgezeichnet werden.
(4) Anforderungen an die Wartung und Verwaltung der Ausrüstung
1) Alle Arten von Geräten (einschließlich Backup- und redundanter Geräte), Leitungen usw. sollten für die regelmäßige Wartung und Verwaltung durch spezielle Abteilungen oder Personal vorgesehen sein.
2) Es sollte ein Managementsystem zur Unterstützung von Anlagen, Software- und Hardware-Wartung eingerichtet werden, um deren Wartung effektiv zu verwalten, einschließlich der Klärung der Verantwortlichkeiten des Wartungspersonals, der Genehmigung ausländischer Wartung und Dienstleistungen sowie der Überwachung und Kontrolle des Wartungsprozesses.
3) Es sollte sichergestellt werden, dass Informationsverarbeitungsgeräte genehmigt werden müssen, bevor sie aus dem Computerraum oder Bürostandort entfernt werden dürfen, und dass wichtige Daten verschlüsselt werden müssen, wenn Geräte mit Speichermedien aus der Arbeitsumgebung entfernt werden.
4) Geräte mit Speichermedien sollten vor der Verschrottung oder Wiederverwendung vollständig gelöscht oder sicher überschrieben werden, um sicherzustellen, dass sensible Daten und autorisierte Software auf dem Gerät nicht wiederhergestellt und wiederverwendet werden können.
(5) Anforderungen an das Schwachstellen- und Risikomanagement
1) Notwendige Maßnahmen sollten ergriffen werden, um Sicherheitslücken und versteckte Gefahren zu erkennen und die entdeckten Sicherheitslücken und versteckten Gefahren rechtzeitig oder nach Abschätzung der möglichen Auswirkungen zu beheben.
2) Es sollte regelmäßig eine Sicherheitsbewertung durchgeführt, ein Sicherheitsbewertungsbericht erstellt und Maßnahmen zur Behebung der festgestellten Sicherheitsprobleme ergriffen werden.
(6) Anforderungen an das Netzwerk- und Systemsicherheitsmanagement
1) Für die Netzwerk- und Systembetriebs- und Wartungsverwaltung sollten verschiedene Administratorrollen aufgeteilt werden und die Verantwortlichkeiten und Berechtigungen jeder Rolle sollten geklärt werden.
2) Für die Verwaltung von Konten und die Kontrolle der Beantragung, Erstellung und Löschung von Konten sollten spezielle Abteilungen oder Mitarbeiter benannt werden.
3) Es sollte ein Netzwerk- und Systemsicherheitsmanagementsystem eingerichtet werden, das Sicherheitsrichtlinien, Kontoverwaltung, Konfigurationsverwaltung, Protokollverwaltung, tägliche Abläufe, Upgrades und Patches sowie Passwortaktualisierungszyklen ermöglicht.
4) Das Konfigurations- und Betriebshandbuch für wichtige Geräte sollte formuliert und das Gerät gemäß dem Handbuch sicher konfiguriert und optimiert werden.
5) Das Betriebs- und Wartungsbetriebsprotokoll sollte detailliert aufgezeichnet werden, einschließlich täglicher Inspektionsarbeiten, Betriebs- und Wartungsaufzeichnungen, Parametereinstellungen und -änderungen usw.
6) Änderbarer Betrieb und Wartung sollten streng kontrolliert werden. Verbindungen, Installation von Systemkomponenten oder Konfigurationsparameter können nur nach Genehmigung geändert werden. Unveränderliche Überwachungsprotokolle sollten während des Betriebs geführt werden und die Konfigurationsinformationsdatenbank sollte nach dem Vorgang synchron aktualisiert werden .
7) Die Verwendung von Betriebs- und Wartungstools sollte streng kontrolliert werden und der Zugriff auf den Betrieb ist nur nach Genehmigung möglich. Während des Betriebsprozesses sollten unveränderliche Prüfprotokolle geführt werden und sensible Daten in den Tools sollten nach Abschluss des Vorgangs gelöscht werden .
8) Das Öffnen von Fernbetrieb und -wartung sollte streng kontrolliert werden. Die Schnittstelle oder der Kanal für Fernbetrieb und -wartung kann nur nach Genehmigung geöffnet werden. Während des Betriebs sollte ein unveränderliches Prüfprotokoll geführt werden und die Schnittstelle oder der Kanal sollte sofort geschlossen werden nach Abschluss der Operation.
9) Es sollte sichergestellt werden, dass alle externen Verbindungen autorisiert und genehmigt sind, und Verstöße gegen den drahtlosen Internetzugang und andere Verstöße gegen Netzwerksicherheitsrichtlinien sollten regelmäßig überprüft werden.
(7) Anforderungen an das Management zur Verhinderung von Schadcode
1) Es ist notwendig, das Bewusstsein aller Benutzer für Schadcodes zu schärfen und externe Computer oder Speichergeräte anzuweisen, vor dem Zugriff auf das System Schadcodes zu überprüfen.
2) Es sollten Vorschriften zu den Anforderungen zur Verhinderung von Schadcode erlassen werden, einschließlich der autorisierten Verwendung von Anti-Schadcode-Software, der Aktualisierung von Schadcode-Bibliotheken und der regelmäßigen Überprüfung und Beseitigung von Schadcodes.
3) Die Wirksamkeit technischer Maßnahmen zur Verhinderung von Schadcode-Angriffen sollte regelmäßig überprüft werden.
(8) Anforderungen an das Konfigurationsmanagement
1) Grundlegende Konfigurationsinformationen sollten aufgezeichnet und gespeichert werden, einschließlich Netzwerktopologie, auf jedem Gerät installierte Softwarekomponenten, Versions- und Patchinformationen von Softwarekomponenten, Konfigurationsparameter jedes Geräts oder jeder Softwarekomponente usw.
2) Änderungen an grundlegenden Konfigurationsinformationen sollten in den Änderungsbereich einbezogen werden, eine Kontrolle über Änderungen an Konfigurationsinformationen implementieren und die Datenbank mit grundlegenden Konfigurationsinformationen zeitnah aktualisieren.
(9) Anforderungen an die Passwortverwaltung
Es sollten Verschlüsselungstechnologien und -produkte verwendet werden, die den nationalen Vorschriften zum Verschlüsselungsmanagement entsprechen.
(10) Anforderungen an das Änderungsmanagement
1) Änderungsanforderungen sollten geklärt werden, und vor der Änderung sollte ein Änderungsplan entsprechend den Änderungsanforderungen formuliert werden. Der Änderungsplan kann erst nach Überprüfung und Genehmigung umgesetzt werden.
2) Die Berichterstattungs- und Genehmigungskontrollverfahren für Änderungen müssen eingerichtet werden, alle Änderungen müssen gemäß den Verfahren kontrolliert werden und der Umsetzungsprozess der Änderungen muss aufgezeichnet werden.
3) Es sollte ein Verfahren zum Aussetzen von Änderungen und zur Wiederherstellung nach fehlgeschlagenen Änderungen festgelegt werden, die Prozesskontrollmethoden und Personalverantwortlichkeiten sollten geklärt werden und der Wiederherstellungsprozess sollte bei Bedarf geübt werden.
(11) Anforderungen an das Backup- und Wiederherstellungsmanagement
1) Wichtige Geschäftsinformationen, Systemdaten und Softwaresysteme, die regelmäßig gesichert werden müssen, sollten identifiziert werden.
2) Die Sicherungsmethode, die Sicherungshäufigkeit, das Speichermedium, die Speicherdauer usw. der Sicherungsinformationen sind festzulegen.
3) Entsprechend der Bedeutung von Daten und den Auswirkungen von Daten auf den Systembetrieb sollten Datensicherungsstrategie und Wiederherstellungsstrategie, Sicherungsverfahren und Wiederherstellungsverfahren usw. formuliert werden.
(12) Anforderungen an die Handhabung von Sicherheitsvorfällen
1) Die entdeckten Sicherheitslücken und verdächtigen Ereignisse sollten gemeldet werden.
2) Es sollte ein Managementsystem für die Meldung und Bearbeitung von Sicherheitsvorfällen eingerichtet werden, um die Melde-, Bearbeitungs- und Reaktionsverfahren für verschiedene Sicherheitsvorfälle zu klären und die Managementverantwortung für die Bearbeitung von Sicherheitsvorfällen vor Ort, die Meldung von Vorfällen und die Wiederherstellung nach der Wiederherstellung festzulegen .
3) Analysieren und identifizieren Sie im Prozess der Meldung von Sicherheitsvorfällen und der Verarbeitung von Reaktionen die Ursache des Vorfalls, sammeln Sie Beweise, zeichnen Sie den Verarbeitungsprozess auf und fassen Sie Erfahrungen und Erkenntnisse zusammen.
4) Für schwerwiegende Sicherheitsvorfälle, die zu Systemunterbrechungen und Informationslecks führen, sollten unterschiedliche Handhabungs- und Meldeverfahren eingeführt werden.
(13) Anforderungen an die Verwaltung von Notfallplänen
1) Ein einheitlicher Notfallplanrahmen sollte festgelegt werden, und Notfallpläne für verschiedene Ereignisse sollten in diesem Rahmen formuliert werden, einschließlich der Bedingungen für den Beginn des Plans, des Notfallbehandlungsprozesses, des Systemwiederherstellungsprozesses, der Aufklärung und Schulung nach dem Ereignis usw.
2) Für die Umsetzung des Notfallplans sollten ausreichende Ressourcen in Bezug auf Arbeitskräfte, Ausrüstung, Technologie und Finanzen gewährleistet sein.
3) Das mit dem System verbundene Personal sollte regelmäßig zum Notfallplan geschult werden und es sollten Übungen zum Notfallplan durchgeführt werden.
4) Der ursprüngliche Notfallplan sollte regelmäßig neu bewertet, überarbeitet und verbessert werden.
(14) Anforderungen an das ausgelagerte Betriebs- und Wartungsmanagement
1) Es sollte sichergestellt werden, dass die Auswahl ausgelagerter Betriebs- und Wartungsdienstleister den einschlägigen nationalen Vorschriften entspricht.
2) Mit dem ausgewählten ausgelagerten Betriebs- und Wartungsdienstleister sollten entsprechende Vereinbarungen unterzeichnet werden, um den Umfang und den Arbeitsinhalt des ausgelagerten Betriebs und der Wartung klar festzulegen.
3) Es sollte sichergestellt werden, dass der ausgewählte ausgelagerte Betriebs- und Wartungsdienstleister in der Lage ist, Sicherheitsbetriebs- und Wartungsarbeiten gemäß dem Grad der Schutzanforderungen in Bezug auf Technologie und Management durchzuführen, und die Fähigkeitsanforderungen sollten in festgelegt werden unterschriebene Vereinbarung.
4) Alle relevanten Sicherheitsanforderungen sollten in der mit dem ausgelagerten Betriebs- und Wartungsdienstleister unterzeichneten Vereinbarung festgelegt werden. Dabei kann es sich beispielsweise um Zugriffs-, Verarbeitungs- und Speicheranforderungen für sensible Informationen sowie Notfallschutzanforderungen für Unterbrechungen von IT-Infrastrukturdiensten handeln.
2. Sicherheitsbetriebs- und Wartungsmanagementmaßnahmen
(1) Sicherheitsmaßnahmen für das Umweltmanagement
Es sollte ein Computerraum-Verwaltungssystem eingerichtet werden, um die Verwaltung des Computerraums zu organisieren, das Sicherheitsniveau des Computerraums zu verbessern, die Sicherheit des Computerraums zu gewährleisten und unbefugten Zugriff und Informationslecks an die interne Ausrüstung des Computerraums zu verhindern Verwaltung und Kontrolle des Zugangs, der Aufgaben und des Gerätezugangs zum Computerraum.