ISO27001：2013服务器安全管理规范

XXXXXX软件有限公司 人性化科技提升业绩

讯鸟服务器安全管理规范

目 录

1.目的....................................................................................................................................................................... 3 2.适用范围 .............................................................................................................................................................. 3 3.责任人 .................................................................................................................................................................. 3 4.安全管理规范 ...................................................................................................................................................... 3 4.1名词定义 ........................................................................................................................................................... 3 4.2服务器权限管理规范 ...................................................................................................................................... 3 4.3服务器管理权限和应用系统权限移交工作规范 ........................................................................................ 4 4.3.1交接前的准备工作 ....................................................................................................................................... 4 4.3.2交接的基本程序 ........................................................................................................................................... 5 4.4操作系统口令和登陆管理规范 ..................................................................................................................... 5 4.4.1帐户口令创建更改 ....................................................................................................................................... 5 4.4.2登录生产机 ................................................................................................................................................... 5 4.4.3创建口令 ....................................................................................................................................................... 6 4.4.4口令长度和复杂度 ....................................................................................................................................... 6 4.4.5口令传送方式 ............................................................................................................................................... 6 4.4.6口令保存方式 ............................................................................................................................................... 6 4.4.7口令实效 ....................................................................................................................................................... 6 4.4.8跳板机设置 ................................................................................................................................................... 7 4.6密码修改流程 .................................................................................................................................................. 7 4.7安全事件的定义 .............................................................................................................................................. 7 4.7.1定义为一般性安全事件 .............................................................................................................................. 7 4.7.2定义为重大安全事件 .................................................................................................................................. 7 4.8安全事件的处理及通报 .................................................................................................................................. 8

第 1 页 共 13 页

内部公开

【讯鸟服务器安全管理规范】 F4-C-研发服务体系-012-V1.0 4.8.1安全事件的处理： ....................................................................................................................................... 8 5.帐户密码安全管理规范 ..................................................................................................................................... 8 5.1规范内容 ........................................................................................................................................................... 8 5.2密码管理级别 .................................................................................................................................................. 9 5.3密码审核制度： .............................................................................................................................................. 9 5.4密码使用制度 ............................................................................................................................................... 10 5.5核心系统密码管理 ....................................................................................................................................... 11 5.6帐户密码制定方案 ....................................................................................................................................... 11 5.6.1密码创建策略 ............................................................................................................................................ 11 5.6.2密码组合策略 ............................................................................................................................................ 11 5.6.3定制口令 .................................................................................................................................................... 11 5.6.4密码规则 .................................................................................................................................................... 12 5.7帐户密码保存方案 ....................................................................................................................................... 12

第 2 页 共 13 内部公开 页

【讯鸟服务器安全管理规范】 F4-C-研发服务体系-012-V1.0

1. 目的

防止非法操作、正确管理用户、保证生产系统的可用性、完整性、保密性，以及规范服务器的访问和维护工作

2. 适用范围

服务部以及其他系统权限的管理部门 3. 责任人

所有拥有登陆服务器和应用系统权限的相关人员 4. 安全管理规范 4.1 名词定义

? 非安全服务器：正在由运营、开发进行安装生产服务过程的服务器。 ? 安全服务器：开发完成生产服务的安装，并通过安全审核的服务器。 ? 密码安全规定：生产服务器登陆密码是由大于10位的字母（区分大小写）、

数字、特殊字符组合而成。 4.2 服务器权限管理规范

? 新上线服务器后，需开远程登陆的维护访问权限，按照密码安全规定，建立

帐户如：lilm_bj等(账户名用每个人名字的拼音字母)同时限制访问ip范围为：运维跳板机IP，备份跳板机IP。形成\新安全服务器\。

? 开发及业务部门在需使用登陆服务器时，需向维护部门申请权限。申请时间

最长不超过1个月，申请权限后，服务部修改《服务部设备权限(口令)表》，进行记录，并将《权限申请表》存档记录，变更\新安全服务器\为\非安全服

第 3 页 共 13 内部公开 页