情報技術システムの通常の動作は、企業または生産の通常の動作に直接関係しています。しかし、IT ネットワークの運用および保守管理者は、ネットワーク速度の遅さ、機器の故障、アプリケーション システムの効率の低さといった問題に直面することがよくあります。情報技術システムの障害は、時間内に対処しないと大きな影響を及ぼし、さらには巨額の経済的損失を引き起こす可能性があります。情報技術部門は、情報技術の運用環境(ソフトウェアやハードウェア環境、ネットワーク環境など)を総合的に管理します。)、情報技術ビジネスシステムおよび情報技術ネットワークの運用保守担当者は、関連する方法、手段、技術、システム、プロセス、文書などを採用します。安全運行ネットワークの運用・保守体制を構築します。
ネットワーク運用と保守の概要
1. 環境管理の要求事項
1) コンピュータ室の安全を担当する専門の部門または担当者を定め、コンピュータ室の入退室を管理し、電源と配電、空調、温湿度管理、防火、防火、および管理を定期的に維持管理します。コンピューター室のその他の設備。
2) コンピュータ室への実際の入室、コンピュータ室の物品の出入り、およびコンピュータ室の環境安全を管理するために、コンピュータ室セキュリティ管理システムを確立する必要があります。
3) 重要なエリアでは訪問者を受け入れるべきではありません。受付中は、機密情報を含む紙ファイルやリムーバブルメディアをデスクトップ上に置かないでください。
2. 資産管理の要件
1) 保護対象に関連する資産のリストを編集し、資産を担当する部門、その重要性、場所などを含めて保管する必要があります。
2) 資産はその重要性に応じて特定および管理され、その価値に応じて対応する管理手段が選択されるべきである。
3) 情報の分類と識別方法を規定し、情報の利用、送信、保管の管理を標準化する。
3. メディア管理要件
1) メディアが安全な環境に保管されていることを確認し、各種メディアを管理・保護し、保管環境を専門の担当者に管理してもらい、保管メディアのカタログリストに従って定期的に棚卸しを行ってください。
2) 物理的な送信プロセス中の人員の選択、パッケージング、メディアの配送を管理し、メディアのアーカイブとクエリを記録します。
4. 設備の保守管理要件
1) あらゆる種類の機器(予備および冗長機器を含む)、ライン、およびその他の指定された特別な部門または人員は、定期的に保守および管理される必要があります。
2) サポート設備、ソフトウェアおよびハードウェアの保守管理システムを確立し、ネットワーク運用保守要員の責任の明確化、海外関連の保守およびサービスの承認、保守プロセスの監督および制御など、効果的な管理および保守を行う。
3) 情報処理機器はコンピュータ室やオフィスから持ち出す前に必ず承認を受ける必要があります。記憶メディアを含むデバイスを作業環境から持ち出す場合は、重要なデータを暗号化する必要があります。
4) 記憶メディアを含むデバイスは、デバイス上の機密データや許可されたソフトウェアが再利用できないように、廃棄または再利用する前に完全に消去するか安全に上書きする必要があります。
5. 脆弱性とリスク管理の要件
1) 安全性と隠れた危険を特定し、発見された安全性と隠れた危険を時間内に修復するか、起こり得る影響を評価して修復するために必要な措置を講じます。2) 安全性評価を定期的に実施し、安全性評価報告書を作成し、発見された安全性上の問題について対策を講じます。
6. ネットワークおよびシステムのセキュリティ管理要件
1) ネットワークおよびシステムの運用保守管理を管理者の役割に分け、それぞれの役割の責任と権限を明確にする必要があります。
2) アカウント管理、アカウントの申請、アカウントの確立、およびアカウントの削除を制御するための特別な部門または担当者を指定します。
3) ネットワーク運用およびシステムセキュリティ管理システムを確立して、セキュリティポリシー、アカウント管理、構成管理、ログ管理、日常運用、アップグレードと修復、パスワード更新サイクルなどを指定する必要があります。
4) 重要な設備の設定及び操作マニュアルを策定し、そのマニュアルに従って安全に最適化された設備の設定を行う。
5) 日常点検、運転保守記録、パラメータ設定・変更等の運転保守ログを詳細に記録する。
6) 変更の運用と保守を厳密に管理します。接続の変更、システムコンポーネントのインストール、構成パラメータの調整は、承認を得た後にのみ行う必要があります。操作中は、不可逆的な監査ログを保存する必要があります。実行後、構成リポジトリは同期的に更新される必要があります。
7) 運用および保守ツールの使用を厳密に管理し、承認後にのみ運用を開始してください。変更不可能な監査ログは操作中に保存する必要があり、ツール内の機密データは操作後に削除する必要があります。
8) リモコンの開口部は厳密に管理され、リモコンのインターフェイスまたはチャネルは開く前に承認される必要があります。変更不可能な監査ログは操作中に保存する必要があり、操作の直後にインターフェイスまたはチャネルを閉じる必要があります。
9) すべての外部接続が許可および承認されていることを確認し、ワイヤレス インターネット アクセス規制の違反やネットワーク セキュリティ ポリシーのその他の違反がないか定期的にチェックします。
7. 悪意のあるコードの防止管理要件
1) すべてのユーザーは悪意に対する意識を高め、外部デバイスやストレージ デバイスをシステムに接続する前に悪意があるかどうかを確認するよう通知する必要があります。
2) マルウェア対策ソフトウェアの許可された使用、悪意のあるライブラリのアップグレード、悪意のある定期的な検査と殺害などを含む、悪意のある保護要件に対する規定を作成する必要があります。
3) 悪意のあるコードによる攻撃を防止するための技術的対策の有効性を定期的に検証する必要があります。
8. 構成管理の要件
1) ネットワークトポロジ、各デバイスにインストールされているソフトウェアコンポーネント、ソフトウェアコンポーネントのバージョンおよびパッチ情報、各デバイスまたはソフトウェアコンポーネントの構成パラメータなどを含む基本的な構成情報を記録および保存します。
2) 基本構成情報の変更を変更範囲に組み込み、構成情報の変更管理を実施し、基本構成情報データベースを適時に更新します。
9. パスワード管理の要件
国の規制に準拠した技術と製品を使用する必要があります。
10. 変更管理の要件
1) 変更要件を明確に定義する必要があります。変更前に、変更要件に従って変更計画を策定する必要があります。変更計画は、実施前にレビューされ、承認されるものとします。
2) 変更の宣言と承認の管理手順を確立し、手順に従ってすべての変更を管理し、変更の実施プロセスを記録します。
3) 変更の中断と失敗した変更からの回復手順を確立し、プロセス管理方法と担当者の責任を明確にし、必要に応じて回復プロセスの訓練を実施します。11. バックアップとリカバリの管理要件
1) 定期的にバックアップする必要がある重要なビジネス情報、システム データ、およびソフトウェア システムを特定します。
2) バックアップ方法、バックアップ頻度、バックアップ情報の記録媒体及び保存期間を規定すること。
3) データの重要性およびデータがシステム運用に与える影響に応じて、データのバックアップおよびリカバリ戦略、バックアップ手順およびリカバリ手順を策定します。
12. セキュリティインシデントの処理要件
1) 発見されたセキュリティ上の弱点および疑わしいイベントは報告される必要があります。
2) セキュリティインシデントの報告および処理管理システムを確立し、さまざまなセキュリティインシデントの報告、処理、および対応手順を明確にし、オンサイトでの処理、インシデント報告、およびセキュリティインシデント後の回復に対する管理責任を明確にします。
3) セキュリティインシデントの報告と対応処理の過程で、インシデントの原因を分析および特定し、証拠を収集し、処理プロセスを記録し、経験と教訓を要約します。
4) システムの中断や情報漏洩を引き起こす重大なセキュリティインシデントについては、異なる処理手順と報告手順を採用する必要があります。
13. 緊急時計画管理要件
1) 統一的な緊急時計画の枠組みを定め、この枠組みに基づいて、計画の開始条件、応急処置プロセス、システム復旧プロセス、事後教育・訓練等を含む各種事象に対する緊急時計画を策定すべきである。
2) 緊急計画の実施のために、人材、設備、技術、資金の面で十分な資源を提供する。
3) 定期的に関連システム担当者に対する緊急時対応訓練を実施し、緊急時対応訓練を実施します。
4) 当初の緊急計画は定期的に再評価され、修正されるべきである。
14. 委託された運用保守管理要件
1) 情報技術は、情報技術のアウトソーシング運用および保守サービスプロバイダーの選択が関連する国内規制に準拠していることを保証する必要があります。
2) 選定した情報技術アウトソーシングサービス提供者との間で、アウトソーシングの範囲や業務内容を明確にした契約書を締結します。
3) 選択した情報技術アウトソーシング サービス プロバイダーが、技術要件および管理要件に従ってセキュリティ作業を実行する能力を持っていることを保証する必要があり、その能力要件は署名された契約書に明記される必要があります。
4) 関連するすべてのセキュリティ要件は、IT アウトソーシング運用保守サービス プロバイダーと締結された契約に規定される必要があります。たとえば、情報技術には、機密情報のアクセス、処理、保管要件、および情報技術インフラストラクチャのサービス中断に対する緊急保証要件が含まれる場合があります。