|
|
|
|
|
.建立应用系统的安全需求管理:安全控制需求规范应考虑在系统中所包含的自动化控制以及人工控制的需要。在评价应用系统的开发或购买时,需要进行安全控制方面的考虑。信息安全系统需求与实施安全的过程应该在信息安全工程的早期阶段集成。
|
|
|
|
.严格应用系统的安全检测与验收:对软件的安全检测与验收主要可依据《GB/T 18336.1—2008信息技术安全技术信息技术安全性评估准则第1部分:简介和一般模型》《GB/T 18336.2—2008信息技术安全技术信息技术安全性评估准则第2部分:安全功能要求》以及《GB/T 18336.3—2008信息技术安全技术信息技术安全性评估准则第3部分:安全保证要求进行》。
|
|
|
|
.加强应用系统的操作安全控制:应用系统内设计合适的控制以确保处理的正确性。这些控制包括输入数据的验证、内部处理控制和输出数据的确认。对于处理敏感的、有价值的或关键的组织资产的系统或对组织资产有影响的系统可以要求附加控制。这样的控制应在安全要求和风险评估的基础上加以确定。
|
|
|
|
.规范变更管理:为使信息系统的损坏程度减到最小,应实施正式的变更控制规程。变更管理过程应包括风险评估、变更效果分析和安全控制。确保变更不损坏安全和控制规程,确保支持性程序员仅能访问其工作所需的系统的某些部分,确保对任何变更要获得正式协商和批准。
|
|
|
|
.防止信息泄露:为了限制信息泄露的风险,如通过应用隐蔽通道泄露信息,可以考虑扫描隐藏信息的外部介质和通信,掩盖和调整系统与通信的行为,以减少第三方访问信息或推断信息的能力;使用可信赖的应用系统和软件进行信息处理;在法律和法规允许的前提下,定期监视个人系统的行为,监视计算机系统的源码使用。
|
|
|
|
.严格访问控制:严格控制对应用系统的访问包括建立访问控制策略,建立正式的授权程序来控制对应用系统和服务的访问权力的分配,避免未授权用户的信息访问和信息处理设施。组织只能针对具有合适的安全设计和控制,并且符合组织的安全策略的情况授权远程工作活动。
|
|
|
|
.信息备份:制定应用系统的备份策略,根据策略对信息和软件进行备份并定期测试。提供足够的备份设施,保持信息和信息处理设施的完整性和可用性,确保所有必要的信息和软件能在灾难或介质故障后进行恢复。建立例行程序来执行针对数据备份以及恢复演练的策略和战略。
|
|
|
|
.应用系统的使用监视:检测未经授权的信息处理活动,记录用户活动、异常和信息安全事件的日志,并按照约定的期限进行保留,以支持将来的调查和访问控制监视。记录系统管理员和系统操作者的活动,并对系统管理员和操作员的活动日志定期评审。记录并分析错误日志,并采取适当的措施改正错误。
|
|
|
京公网安备 11010502032051号 | 营业执照