O fato de o sistema de TI poder funcionar normalmente está diretamente relacionado ao fato de o negócio ou a produção poderem prosseguir normalmente. No entanto, os problemas que os gestores de TI enfrentam frequentemente são: rede lenta, falhas de equipamentos e baixa eficiência operacional dos sistemas aplicativos. Qualquer falha do sistema informático terá um grande impacto se não for tratada de forma adequada e atempada, podendo mesmo causar enormes perdas económicas.
O departamento de TI conduz o gerenciamento abrangente do ambiente operacional de TI (como ambiente de software e hardware, ambiente de rede, etc.), sistemas de negócios de TI e pessoal de operação e manutenção de TI, adotando métodos, meios, tecnologias, sistemas, processos e documentos para construir um sistema seguro de operação e manutenção.
1. Requisitos de operação de segurança e gerenciamento de manutenção
(1) Requisitos de gestão ambiental
1) Um departamento ou pessoa especial deve ser designado para ser responsável pela segurança da sala de informática, gerenciar o acesso à sala de informática e manter e gerenciar regularmente as instalações, como fornecimento e distribuição de energia, ar condicionado, controle de temperatura e umidade e proteção contra incêndio na sala de informática.
2) Deve ser estabelecido um sistema de gestão de segurança para a sala de informática e devem ser tomadas providências para a gestão do acesso físico à sala de informática, itens trazidos para dentro e fora da sala de informática e a segurança ambiental da sala de informática.
3) Os visitantes não devem ser recebidos em áreas importantes e não deve haver arquivos em papel ou mídia móvel contendo informações confidenciais no desktop durante a recepção.
(2) Requisitos de gestão de ativos
1) Deve ser compilada e mantida uma lista de bens relacionados ao objeto de proteção, incluindo o departamento responsável, importância e localização dos bens.
2) Os ativos devem ser identificados e geridos de acordo com a sua importância, e as medidas de gestão correspondentes devem ser selecionadas de acordo com o seu valor.
3) Devem ser tomadas disposições sobre métodos de classificação e identificação de informações, e deve ser realizada uma gestão padronizada do uso, transmissão e armazenamento de informações.
(3) Requisitos de gerenciamento de mídia
1) Deve-se garantir que a mídia seja armazenada em um ambiente seguro, todos os tipos de mídia devem ser controlados e protegidos, o ambiente de armazenamento deve ser gerenciado por uma pessoa especial e o inventário deve ser verificado regularmente de acordo com a lista de catálogo de a mídia arquivada.
2) A seleção do pessoal, o empacotamento e a entrega da mídia durante o processo de transmissão física devem ser controlados, e o arquivamento e a consulta da mídia devem ser registrados e registrados.
(4) Requisitos de manutenção e gerenciamento de equipamentos
1) Todos os tipos de equipamentos (incluindo equipamentos de backup e redundantes), linhas, etc. devem ser designados para manutenção e gerenciamento regulares por departamentos ou pessoal especial.
2) Deve ser estabelecido um sistema de gestão para apoiar instalações, manutenção de software e hardware para gerir eficazmente a sua manutenção, incluindo a clarificação das responsabilidades do pessoal de manutenção, aprovação de manutenção e serviços estrangeiros, e supervisão e controlo do processo de manutenção.
3) Deve-se garantir que o equipamento de processamento de informações seja aprovado antes de poder ser retirado da sala de informática ou do escritório, e que os dados importantes sejam criptografados quando o equipamento que contém mídia de armazenamento for retirado do ambiente de trabalho.
4) Os dispositivos que contêm mídia de armazenamento devem ser completamente apagados ou substituídos com segurança antes de serem descartados ou reutilizados para garantir que os dados confidenciais e o software autorizado no dispositivo não possam ser restaurados e reutilizados.
(5) Requisitos de vulnerabilidade e gestão de riscos
1) Devem ser tomadas as medidas necessárias para identificar lacunas de segurança e perigos ocultos, e reparar as lacunas de segurança e perigos ocultos descobertos em tempo hábil ou após avaliação do possível impacto.
2) A avaliação de segurança deve ser realizada regularmente, um relatório de avaliação de segurança deve ser elaborado e medidas devem ser tomadas para lidar com os problemas de segurança descobertos.
(6) Requisitos de gerenciamento de segurança de rede e sistema
1) Diferentes funções de administrador devem ser divididas para operação de rede e sistema e gerenciamento de manutenção, e as responsabilidades e permissões de cada função devem ser esclarecidas.
2) Departamentos ou pessoal especial devem ser designados para gerenciar contas e controlar a aplicação, criação e exclusão de contas.
3) Um sistema de gerenciamento de segurança de rede e sistema deve ser estabelecido para fornecer políticas de segurança, gerenciamento de contas, gerenciamento de configuração, gerenciamento de logs, operações diárias, atualizações e patches e ciclos de atualização de senha.
4) O manual de configuração e operação de equipamentos importantes deve ser formulado, e o equipamento deve ser configurado e otimizado com segurança de acordo com o manual.
5) O registro de operação e manutenção deve ser registrado detalhadamente, incluindo trabalho de inspeção diária, registros de operação e manutenção, configuração e modificação de parâmetros, etc.
6) A operação e manutenção mutáveis devem ser estritamente controladas. Conexões, instalação de componentes do sistema ou parâmetros de configuração só podem ser alterados após aprovação. Registros de auditoria inalteráveis devem ser mantidos durante a operação e o banco de dados de informações de configuração deve ser atualizado de forma síncrona após a operação .
7) O uso de ferramentas de operação e manutenção deve ser estritamente controlado e só pode ser acessado para operação após aprovação. Registros de auditoria inalterados devem ser mantidos durante o processo de operação e os dados confidenciais nas ferramentas devem ser excluídos após a conclusão da operação .
8) A abertura de operação e manutenção remota deve ser estritamente controlada. A interface ou canal de operação e manutenção remota só pode ser aberta após aprovação. Durante a operação, um registro de auditoria imutável deve ser mantido e a interface ou canal deve ser fechado imediatamente após a conclusão da operação.
9) Deve-se garantir que todas as conexões externas sejam autorizadas e aprovadas, e as violações do acesso à Internet sem fio e outras violações das políticas de segurança da rede devem ser verificadas regularmente.
(7) Requisitos de gerenciamento de prevenção de códigos maliciosos
1) É necessário aumentar a conscientização de todos os usuários sobre códigos anti-maliciosos e informar computadores externos ou dispositivos de armazenamento para verificar códigos maliciosos antes de acessar o sistema.
2) Devem ser feitas regulamentações sobre requisitos de prevenção de códigos maliciosos, incluindo o uso autorizado de software de código anti-malicioso, atualizações de bibliotecas de códigos maliciosos e inspeção regular e eliminação de códigos maliciosos.
3) A eficácia das medidas técnicas para prevenir ataques de códigos maliciosos deve ser verificada regularmente.
(8) Requisitos de gerenciamento de configuração
1) As informações básicas de configuração devem ser registradas e salvas, incluindo topologia de rede, componentes de software instalados em cada dispositivo, informações de versão e patch de componentes de software, parâmetros de configuração de cada dispositivo ou componente de software, etc.
2) As alterações nas informações de configuração básica devem ser incluídas no escopo das alterações, implementar o controle sobre as alterações nas informações de configuração e atualizar o banco de dados de informações de configuração básica em tempo hábil.
(9) Requisitos de gerenciamento de senha
Devem ser utilizadas tecnologias e produtos de criptografia que cumpram as regulamentações nacionais de gerenciamento de criptografia.
(10) Requisitos de gerenciamento de mudanças
1) Os requisitos de mudança devem ser esclarecidos e um plano de mudança deve ser formulado de acordo com os requisitos de mudança antes da mudança. O plano de mudança só pode ser implementado após revisão e aprovação.
2) Os procedimentos de relatório e controle de aprovação para mudanças devem ser estabelecidos, todas as mudanças devem ser controladas de acordo com os procedimentos e o processo de implementação das mudanças deve ser registrado.
3) Deve ser estabelecido um procedimento para suspender alterações e recuperação de alterações que falharam, os métodos de controle do processo e as responsabilidades do pessoal devem ser esclarecidos e o processo de recuperação deve ser executado, se necessário.
(11) Requisitos de gerenciamento de backup e recuperação
1) Devem ser identificadas informações comerciais importantes, dados de sistema e sistemas de software que precisam de backup regular.
2) O método de backup, frequência de backup, meio de armazenamento, período de armazenamento, etc. das informações de backup devem ser estipulados.
3) De acordo com a importância dos dados e o impacto dos dados na operação do sistema, devem ser formuladas estratégias de backup e estratégia de recuperação de dados, procedimentos de backup e procedimentos de recuperação, etc.
(12) Requisitos para Tratamento de Incidentes de Segurança
1) As falhas de segurança descobertas e os eventos suspeitos devem ser relatados.
2) Um sistema de gerenciamento de relatórios e tratamento de incidentes de segurança deve ser estabelecido para esclarecer os procedimentos de relatório, tratamento e resposta para diferentes incidentes de segurança e para especificar as responsabilidades de gerenciamento para o tratamento no local de incidentes de segurança, relatórios de incidentes e pós-recuperação. .
3) No processo de notificação de incidentes de segurança e processamento de respostas, analisar e identificar a causa do incidente, coletar evidências, registrar o processo de processamento e resumir experiências e lições.
4) Diferentes procedimentos de tratamento e procedimentos de notificação devem ser adotados para incidentes de segurança graves que causem interrupção do sistema e vazamento de informações.
(13) Requisitos de gestão do plano de emergência
1) Deve ser estipulado um quadro de plano de emergência unificado, e planos de emergência para diferentes eventos devem ser formulados sob este quadro, incluindo as condições para iniciar o plano, processo de tratamento de emergência, processo de recuperação do sistema, educação e formação pós-evento, etc.
2) Devem ser garantidos recursos suficientes para a implementação do plano de emergência em termos de mão-de-obra, equipamento, tecnologia e financiamento.
3) O pessoal relacionado ao sistema deve ser regularmente treinado no plano de emergência, e exercícios do plano de emergência devem ser realizados.
4) O plano de emergência original deve ser regularmente reavaliado, revisto e melhorado.
(14) Requisitos terceirizados de gerenciamento de operação e manutenção
1) Deve ser assegurado que a seleção de prestadores de serviços terceirizados de operação e manutenção esteja em conformidade com os regulamentos nacionais relevantes.
2) Acordos relevantes devem ser assinados com o prestador de serviços terceirizados de operação e manutenção selecionado para estipular claramente o escopo e o conteúdo do trabalho da operação e manutenção terceirizada.
3) Deve ser assegurado que o prestador de serviços terceirizados de operação e manutenção selecionado tenha a capacidade de realizar trabalhos de operação e manutenção de segurança de acordo com o nível de requisitos de proteção em termos de tecnologia e gestão, e os requisitos de capacidade devem ser especificados no acordo assinado.
4) Todos os requisitos de segurança relevantes deverão ser especificados no contrato firmado com o prestador de serviços terceirizado de operação e manutenção. Por exemplo, pode envolver requisitos de acesso, processamento e armazenamento de informações confidenciais e requisitos de proteção de emergência para interrupções de serviços de infraestrutura de TI.
2. Medidas de gestão de operação e manutenção de segurança
(1) Medidas de segurança de gestão ambiental
Um sistema de gerenciamento de sala de informática deve ser estabelecido para organizar o gerenciamento da sala de informática, melhorar o nível de segurança da sala de informática, garantir a segurança da sala de informática e evitar acesso não autorizado e vazamento de informações ao equipamento interno da sala de informática por meio de gerenciar e controlar o acesso, serviço e acesso aos equipamentos da sala de informática.