IT システムが正常に稼働できるかどうかは、ビジネスや生産が正常に継続できるかどうかに直接関係します。しかし、IT 管理者がよく直面する問題は、ネットワークの遅さ、機器の故障、アプリケーション システムの動作効率の低さです。IT システムに障害が発生した場合、適切に対処しなければ大きな影響を及ぼし、場合によっては多大な経済的損失を引き起こす可能性があります。
IT部門は、関連する方法、手段、技術、システム、プロセス、およびIT運用環境(ソフトウェアおよびハードウェア環境、ネットワーク環境など)、ITビジネスシステム、およびIT運用保守要員を総合的に管理します。安全な運用・保守体制を構築するためのドキュメントを作成します。
1. セキュリティ運用・保守管理要件
(1) 環境管理の要求事項
1) 計算機室の安全管理、計算機室へのアクセス管理、給配電、空調、温湿度管理などの設備の定期的な維持管理を担当する専門の部門または担当者を任命する必要があります。 、コンピュータ室の防火。
2) 計算機室の安全管理体制を確立し、計算機室への物理的なアクセス、計算機室への物品の搬入出及び計算機室の環境安全の管理についての規定を設けること。
3) 重要なエリアで訪問者を受け入れるべきではありません。また、受付中にデスクトップ上に機密情報を含む紙ファイルや携帯メディアを置かないでください。
(2) 資産管理要件
1) 保護対象に関連する資産のリストを作成し、責任部門、資産の重要性、場所を含めて保管する必要があります。
2) 資産はその重要性に応じて特定および管理され、その価値に応じて対応する管理手段が選択されるべきである。
3) 情報の分類・識別方法を定め、情報の利用・送信・保管の標準的な管理を行うこと。
(3) メディア管理要件
1) メディアが安全な環境に保管されていることを確認し、あらゆる種類のメディアを管理および保護し、保管環境を専門の担当者が管理し、カタログリストに従って在庫を定期的にチェックする必要があります。アーカイブされたメディア。
2) 物理的な送信プロセス中の人員の選択、梱包、およびメディアの配送を管理し、メディアのアーカイブとクエリを登録および記録する必要があります。
(4) 設備の維持管理要件
1) あらゆる種類の機器(バックアップおよび冗長機器を含む)、回線などは、専門の部門または担当者によって定期的に保守および管理されるように指定される必要があります。
2) 保守担当者の責任の明確化、海外関連の保守およびサービスの承認、保守プロセスの監督と制御など、設備、ソフトウェアおよびハードウェアの保守を効果的に管理するための管理システムを確立する必要があります。
3) 情報処理機器をコンピュータ室やオフィスの場所から持ち出す前に承認が必要であること、また、記憶媒体を含む機器を作業環境から持ち出す場合には重要なデータを暗号化する必要があることを確認する必要があります。
4) 記憶媒体を含むデバイスは、デバイス上の機密データや許可されたソフトウェアが復元および再利用できないように、廃棄または再利用する前に完全に消去または安全に上書きする必要があります。
(5) 脆弱性とリスク管理の要件
1) セキュリティの抜け穴と隠れた危険を特定し、発見されたセキュリティの抜け穴と隠れた危険をタイムリーに、または考えられる影響を評価した後に修復するために必要な措置を講じる必要があります。
2) 安全性評価を定期的に実施し、安全性評価報告書を作成し、発見された安全性上の問題に対処する措置を講じるべきである。
(6) ネットワークおよびシステムのセキュリティ管理要件
1) ネットワークおよびシステムの運用保守管理について、管理者の役割を分担し、それぞれの役割の責任と権限を明確にする必要があります。
2) アカウントを管理し、アカウントの申請、作成、削除を制御するための特別な部門または担当者を指定する必要があります。
3) ネットワークおよびシステムのセキュリティ管理システムを確立して、セキュリティ ポリシー、アカウント管理、構成管理、ログ管理、日常運用、アップグレードとパッチ、およびパスワード更新サイクルを提供する必要があります。
4) 重要な機器の設定および操作マニュアルを策定し、マニュアルに従って機器を安全に設定および最適化する必要があります。
5) 運転保守操作ログは、日常点検作業、運転保守記録、パラメータ設定・変更等を詳細に記録すること。
6) 変更可能な運用および保守は厳密に管理する必要があります。接続、システムコンポーネントのインストール、または構成パラメータは承認後にのみ変更できます。運用中は変更できない監査ログを保持し、運用後に構成情報データベースを同期して更新する必要があります。 。
7) 運用・保守ツールの使用は厳密に管理し、承認後にのみアクセスして運用を許可し、運用中は変更不可能な監査ログを保管し、運用終了後はツール内の機密データを削除する。
8) 遠隔操作保守の開放は厳格に管理され、遠隔操作保守インターフェースまたはチャネルは承認後にのみ開くことができ、操作中は変更不可能な監査ログが保存され、インターフェースまたはチャネルは直ちに閉じられる必要があります。操作が完了した後。
9) すべての外部接続が許可および承認されていることを確認し、ワイヤレス インターネット アクセスの違反やネットワーク セキュリティ ポリシーのその他の違反を定期的にチェックする必要があります。
(7) 不正コード防止管理要件
1) すべてのユーザーの悪意のあるコードに対する意識を高め、システムにアクセスする前に悪意のあるコードをチェックするよう外部のコンピューターや記憶装置に通知する必要があります。
2) 悪意のあるコード対策ソフトウェアの許可された使用、悪意のあるコード ライブラリのアップグレード、悪意のあるコードの定期的な検査と削除など、悪意のあるコードの防止要件に関する規制を作成する必要があります。
3) 悪意のあるコードによる攻撃を防止するための技術的対策の有効性を定期的に検証する必要があります。
(8) 構成管理要件
1) ネットワークトポロジ、各デバイスにインストールされているソフトウェアコンポーネント、ソフトウェアコンポーネントのバージョンおよびパッチ情報、各デバイスまたはソフトウェアコンポーネントの構成パラメータなどを含む、基本的な構成情報を記録および保存する必要があります。
2) 基本構成情報の変更を変更範囲に含め、構成情報の変更管理を実施し、適時基本構成情報データベースを更新する。
(9) パスワード管理要件
国の暗号化管理規制に準拠した暗号化技術と製品を使用する必要があります。
(10) 変更管理要件
1) 変更要件を明確にし、変更前に変更要件に従って変更計画を策定し、レビューと承認を経て初めて変更計画を実行する必要があります。
2) 変更の報告および承認管理手順を確立し、すべての変更を手順に従って管理し、変更の実施プロセスを記録するものとします。
3) 変更を一時停止し、失敗した変更から回復するための手順を確立し、プロセス管理方法と担当者の責任を明確にし、必要に応じて回復プロセスを訓練する必要があります。
(11) バックアップとリカバリの管理要件
1) 定期的にバックアップする必要がある重要なビジネス情報、システム データ、およびソフトウェア システムを特定する必要があります。
2) バックアップ情報のバックアップ方法、バックアップ頻度、記憶媒体、保存期間等を規定すること。
3) データの重要性やデータがシステム運用に与える影響に応じて、データのバックアップ戦略やリカバリ戦略、バックアップ手順やリカバリ手順などを策定する必要がある。
(12) セキュリティインシデント対応要件
1) 発見されたセキュリティ上の弱点および疑わしいイベントは報告される必要があります。
2) セキュリティインシデントの報告および処理管理システムを確立して、さまざまなセキュリティインシデントの報告、処理、および対応手順を明確にし、セキュリティインシデントのオンサイトでの処理、インシデントの報告、および復旧後の管理責任を明確にする必要があります。 。
3) セキュリティインシデントの報告と対応処理の過程で、インシデントの原因を分析および特定し、証拠を収集し、処理プロセスを記録し、経験と教訓を要約します。
4) システム中断や情報漏洩を引き起こす重大なセキュリティインシデントに対しては、異なる対応手順や報告手順を採用する必要がある。
(13) 緊急時計画管理要件
1) 統一的な緊急時計画の枠組みを定め、この枠組みに基づいて、計画の開始条件、応急処置プロセス、システム復旧プロセス、事後教育・訓練等を含む各種事象に対する緊急時計画を策定すべきである。
2) 緊急計画の実施には、人的資源、設備、技術、資金の面で十分な資源が保証されるべきである。
3) システム関係者は定期的に緊急時計画に関する訓練を受け、緊急時計画の訓練を実施する必要がある。
4) 当初の緊急計画は定期的に再評価、修正、改善されるべきである。
(14) 運用保守管理の委託について
1) アウトソーシングされた運用および保守サービスプロバイダーの選択が、関連する国内規制に準拠していることを確認する必要があります。
2) 選定した運用保守委託事業者との間で、運用保守委託の範囲や業務内容を明確にするための契約を締結すること。
3) 選定した運用保守委託事業者は、技術面及び管理面において、保護要件に応じたセキュリティ運用保守業務を実施する能力を確保し、その能力要件を規約に明記する必要がある。署名された契約書。
4) 関連するすべてのセキュリティ要件は、外部委託された運用保守サービス プロバイダーと締結された契約に明記される必要があります。たとえば、機密情報のアクセス、処理、保管要件や、IT インフラストラクチャ サービスの中断に対する緊急保護要件が含まれる場合があります。
2. 安全運転及び保守管理措置
(1) 環境管理の安全対策
計算機室の管理を組織化し、計算機室のセキュリティレベルを向上させ、計算機室の安全性を確保するとともに、計算機室の内部機器への不正アクセスや情報漏洩を防止するため、計算機室管理システムを構築する必要がある。コンピューター室へのアクセス、義務、および機器へのアクセスを管理および制御する。