范文模版_信息系统运维安全管理规定.docx
《范文模版_信息系统运维安全管理规定.docx》由会员分享,可在线阅读,更多相关《范文模版_信息系统运维安全管理规定.docx(10页珍藏版)》请在第一文库网上搜索。
1、范文模版.信息系统运维安全管理规定文件名称信息系统运维安全管理规定密级内部文件编号版本号V0.1编写部门编写人审批人发布时间信息系统运维安全管理规定第一章总则第一条 为加强XXXXX信息系统运维的安全管理,保障信息系统的网络安全 与信息安全,依据国家有关法律、法规和XXXXX有关规章制度,特制定本规 定。第二条XXXXX信息系统运维安全管理范围包括网络安全管理、操作系统安 全管理、用户访问授权管理、密码管理、防病毒管理、系统补丁管理、介质 管理、信息交换管理、安全监控和审计管理、数据备份和恢复管理、日常运 行维护管理以及监督检查等相关内容。第三条 本规定适用于XXXXX信息系统运维中的安全管理
2、。第二章网络安全管理第四条 信息中心统一规划XXXXX网络架构,并根据安全风险情况部署安全 设备,确保网络安全和信息安全。第五条网络管理员应对网络拓扑进行统一管理,应保持拓扑结构图与现行 网络运行环境的一致性,拓扑图应包括网络设备、安全设备的型号、名称以 及与链路的链接情况等。第六条网络管理员应维护所有网络设备的物理连接情况,控制和管理网络 接口的使用。第七条网络管理员应监控网络的运行状况,发现影响较大的网络故障时, 必须及时向XXXXX信息中心报告。第八条 通信链路及带宽资源管理应当遵循合理分配、高效使用的原则,禁 止使用网络传送非业务需要的内容。第九条未经允许,网络中严禁随意使用无线网络通
3、讯设备进行访问。第十条 未经允许,任何计算机、网络设备、安全设备不允许随意接入网络 中。第十一条外部人员在接入互联网时,应经过部门领导的审核审批后才可接 入,同时要指定IP地址并进行记录,根据人员安全管理规定进行管理。第十二条 应对网络区域中的非法访问部署检测和审计措施,能够做到安全 事件可监控、可追踪和可审计。第十三条 对于网络中重要的网络设备、安全设备应开启审计功能,记录对 于设备配置变更的操作。第十四条网络安全管理应建立必要的安全技术措施确保网络的统一管理, 包括信息资产管理、网络拓扑管理、信息资源管理、网络异常流量管理、安 全事件监控管理、安全策略管理、安全预警管理等网络安全管理内容。
4、第十五条 应根据不同的业务安全等级合理划分网络安全域,安全域间应采 取逻辑隔离措施,根据业务需要仅开放必要的网络访问端口和服务,区域和 边界的访问控制策略应根据业务需要进行设置。第十六条 关键业务应用和网络访问应使用静态路由,如果使用动态路由, 应启用路由协议的安全认证机制,并控制路由信息的广播范围。第十七条 干路和核心的网络设备、安全设备、网络链路应建立冗余备份机 制,如果出现全网安全事件应根据应急处理预案进行应急响应。第三章操作系统安全管理第十八条 对于每个管理员建立单独的用户账号,特别要区分普通用户账户 号和管理员账号,账号不得共享。第十九条 操作系统中应限制登录和认证的次数,避免外界尝
5、试登录和暴力 破解的安全风险。第二十条操作系统的安装须遵从最小化安装原则,仅仅安装并运行必须的 系统服务和应用程序;第二十一条各应用系统主管在按规定安装各类软件时遵从最小化安装原 则,关闭和卸载与办公和业务无关的功能和服务。第二十二条 运行业务应用系统时,要使用保证应用系统正常运行的最小账 户权限,原则上禁止使用最高权限账号。第二十三条为了能够发现和跟踪系统中发生的各种可疑事件,需要启用安 全审计功能,以日志的形式记录用户登录系统、文件访问操作、账户修改等 行为的过程和结果信息,做到发生可疑事件时有据可查。第四章 用户访问授权管理第二十四条XXXXX各系统应根据不同角色确定不同的用户账号,账号
6、至少 分为以下角色:(一)系统管理员:负责维护系统的管理员,一般具有超级用户权限;(二)普通用户:访问系统的普通用户,一般只具有相应访问内容和操作 的最小权限;(三)第三方人员:临时或长期进行系统维护的非XXXXX内部人员,根据 第三方人员的维护范围确定其使用权限;(四)系统安全管理员:XXXXX进行安全审计的人员,具有能够查看系统 的日志和审计信息。第二十五条XXXXX各系统应根据“最小授权”的原则设定账户访问权限, 控制用户仅能够访问到工作需要的信息。第二十六条应根据XXXXX要求和员工岗位来创建、变更和撤销用户的账号 及权限,并定期对用户账号和权限进行监督、检查。第二十七条 各系统的账号
7、能标识系统访问的不同角色,并尽量避免使用系 统默认账号。第二十八条 应避免系统中存在多余、无用和测试账号,确保服务器中所有 的操作系统账号能够唯一标识操作人员。第二十九条系统安全管理员应当对系统中存在的账号进行定期审计,系统 中不能存在无用或匿名账号。第三十条 各系统应该设置审计用户的权限,审计用户应当具备比较完整的 读权限,审计用户应当能够读取系统关键文件,检查系统设置、系统日志等 信息。第三十一条 各系统应人员安全管理规定的要求限制第三方人员的访问 权限,对第三方的访问进行定期的检查和审计。第五章密码管理第三十二条XXXXX设备及系统的密码的设置至少符合以下要求:(一)长度大于8位;(二)
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 范文 模版 信息系统 安全管理 规定
![提示](https://www.001doc.com/images/bang_tan.gif)