ISO27001-2022程序文件之信息系统维护与监控管理程序.docVIP

18、信息系统维护与监控管理程序###-ISMS-0307-2023

1目的

为实施对公司信息系统维护与监控活动的控制，特制定本程序。

2范围

本程序规定了信息系统操作、应用需求及变更、可用性与故障处理、日志管理、监视与审计等控制要求。

3职责

3.1技术部

负责按照信息系统的维护与监控等。

3.2各职能部门

负责按照信息系统的控制策略执行。

4程序

4.1系统操作的控制策略

4.1.1技术部负责建立《应用系统一览表》，明确系统管理的职责。各应用系统必须确定相应的系统管理员。系统管理员不能由安全管理员兼任。

4.1.2各部门应对系统实用程序的使用进行限制和严格控制，严禁使用改变应用系统的工具，只有经过总经理授权使用的系统管理员方可使用实用工具网管软件等，且必需服从网络安全管理员检查监督和管理。并由技术部建立《系统实用工具一览表》。

4.1.3信息系统的访问控制，应用系统应严格按《用户访问管理程序》执行。禁止访问系统中应用程序的用户使用系统实用工具。因未按《用户访问管理程序》授权的用户访问造成的信息安全事件，技术部领导负主要责任。

4.1.4应用系统的用户必须遵守各应用系统的相关管理规定，必须服从技术部系统管理员的检查监督和管理。因应用系统用户未按相应的应用管理程序使用系统造成的信息安全事件，应用系统用户负主要责任。

4.1.5信息系统用户不得利用信息系统做任何危及本公司、部门、他人或其他无关的活动。

4.1.6信息系统用户必须严格执行保密制度。对各自的用户帐号负责，不得转借他人使用。

4.1.7信息系统应有操作规程或使用手册，指导用户使用应用系统。

4.2信息系统的应用需求及变更

4.2.1各部门对应用系统的应用需求变更（包括新安装、补丁、版本升级及更换）申请由部门负责人提出，技术部负责确定应用需求的技术可行性和技术实现。在更改实施前，技术部填写《变更申请表》，明确更改的原因、更改范围、更改影响的分析及对策（包括不成功更改的恢复措施），经技术部负责人批准后予以实施。

4.2.2当需要开发、测试时，开发、测试和运行设施应分离，以减少未授权访问或改变运行系统的风险。

4.2.3应用系统的变更按《信息系统建设管理程序》进行。

4.2.4实用工具的应用需求及变更应由批准使用人提出，总经理负责确定实用工具应用需求的技术可行性和技术实现。

4.3信息系统的可用性

4.3.1系统管理员负责对应用系统按操作说明书进行维护，确保系统的正常运行。

4.3.2实用工具使用者负责对实用系统按操作说明书进行维护，确保安全使用。

4.3.3系统出现故障时，系统管理员给予及时处理。

4.3.4当系统因故障造成应用停止时，系统管理员应通知相关应用部门，及时处理故障，尽快恢复应用。

4.3.5当应用系统因维护或升级等原因，可能造成应用停止时，系统管理员应通知相关应用部门后，方可工作。

4.4日志管理

4.4.1技术部负责生成记录信息系统网络设备运行状况、网络流量、用户活动、例外和信息安全事件的监测日志，并保存半年，以支持将来的调查和访问控制监视活动。

4.4.2系统管理员和系统操作员的活动应记入日志，系统管理员不允许删除或关闭其自身活动的日志。

4.4.3日志记录设施以及日志信息应该被保护，防止被篡改和未经授权的访问。

4.4.4应防止对日志记录设施的未经授权的更改和出现操作问题，包括：

a)对记录的信息类型的更改；

b)日志文件被编辑或删除；

c)超过日志文件媒介的存储容量，导致事件记录故障或者将以往记录的事件覆盖。

4.5监视与信息系统审计

4.5.1安全管理员应至少每月进行一次日志审核(路由器可采取一周一次)，以确保用户执行被明确授权的活动。

4.5.2系统管理员应做好定期检查日志内容，评审安全情况。评审的内容包括：授权访问、特权操作、非授权的访问试图、系统故障与异常等情况，评审结束应形成《日志检查评审记录》。

4.5.3技术部应对信息网络、防火墙及日志进行巡视，记录防病毒情况、系统运行情况等。

4.5.4巡视发现故障日志，应予评审和处置，以确保已满意地解决故障。

4.6信息系统的维护管理

4.6.1为确保信息系统的安全，各系统主管部门应对以下方面实施控制：

a)信息系统容量策划；

b)信息系统更改；

c)操作系统更改。

4.6.2容量策划

对信息网络系统的容量（CPU利用率、内存和硬盘空间大小、传输线路带宽）需求进行监控，并对将来容量需求进行策划，在必要的情况下编制《系统容量规划》领导批准后，适当时机进行容量扩充。

4.6.3软件的安装和升级引用《软件管理程序》。

4.6.4防范隐藏通道及特洛伊码。

对软件的采购、使用及变更有关部门应加以控制和检查