信息系统安全管理办法.docx

《信息系统安全管理办法.docx》由会员分享，可在线阅读，更多相关《信息系统安全管理办法.docx（9页珍藏版）》请在第一文库网上搜索。

1、信息系统安全管理办法第一章总则第一条 为保证公司总部信息系统的安全运行，保障信息系统程序和数据的安全，根据国家有关法律、法规，结合公司实际情况，制定本办法。第二条本办法适用于公司总部。第二章安全组织和管理第三条 公司总部信息系统安全管理工作由公司科技信息部负责，其它各部门应配合科技信息部做好信息系统安全管理工作。科技信息部应指定专人负责信息安全管理工作。第四条公司总部各个专项业务信息管理系统的责任管理部门，应指定专人担任系统管理员，并报科技信息部备案。系统管理员负责信息系统的运行维护管理和访问权限的管理，并配合科技信息部进行服务器的日常运行维护、数据备份等工作。重要信息系统须实行三权分立，系统

2、管理员、审计管理员和信息安全管理员原则上由不同人员担任。第五条 信息系统管理权由系统管理员使用，系统管理员对各项操作均应进行日志管理，记录包括操作人员、操作时间和操作内容等信息。第六条 系统管理员需更改信息系统安全设定或参数时，应提出申请并经信息系统的责任管理部门负责人批准后，与科技信息部信息安全管理人员共同实施，并做好相应记录。第三章密码权限管理第七条信息系统所有密码应定期修改，间隔时间不得超过三个月；不同系统严禁使用同一个密码，密码应不少于八位，并包含字母、数字和特殊字符等三种不同字符的组合。第八条计算机系统用户密码持有人应保证密码的保密性，不应将密码记录在未妥善保管的笔记本以及其他纸质介

3、质中，严禁将密码放置在办公桌面或贴在计算机机箱、终端屏幕上，同时严禁将计算机系统用户密码借给他人使用，任何情况下不应泄漏计算机系统用户密码，一旦发现或怀疑计算机系统用户密码泄漏，应立即更换。信息系统用户须不定期登录相应系统，若出现连续30天未登录的，系统管理员应关闭该用户账号。第九条公司员工离职或调职时需交回相关信息系统账号及密码，经系统管理员删除或变更账号后方能离职或调职。有涉及密码授权工作的员工调离岗位，有关部门负责人须指定专人接替并立即修改密码。第十条 服务器、防火墙、交换机、路由器、数据库及各业务程序的用户名和密码口令为机密资料，由公司科技信息部负责人指定专人设置和管理，不得对外泄露。

4、第十一条员工申请信息系统账户权限需填写系统权限申请表，经批准后方可开通。账号申请表上应详细记录账号信息。用户权限的申请表需由业务部门提出申请，信息系统的责任管理部门负责人批准后交由系统管理员办理。员工工作岗位变化时，业务部门提出权限修改的请求，信息系统的责任管理部门负责人批准后，由系统管理员调整此用户的操作权限。第四章数据安全管理第十二条信息安全管理员每季度对直接访问信息系统数据库的情况进行检查，重点查看是否存在未经授权的直接访问数据库的情况，发现异常后应及时报告。第十三条信息安全管理员应制定数据备份策略，数据备份至少每天一次，应在保证数据安全和保密的情况下，采取适当方式保存备份文件，保证数据

5、库出现异常时能快速恢复，避免或尽量减少数据丢失。备份介质场外存放，并建立数据备份日志。第十四条信息安全管理员应每半年开展一次数据恢复演练工作，确保备份数据的有效性。第十五条计算机终端内的资料涉及公司秘密的，应该为计算机设定开机密码或将文件加密；涉及公司机密的数据或文件，非工作需要不得以任何形式转移，更不得透露给他人；离开原工作岗位的员工由所在部门负责人将其所有工作资料收回并保存。第十六条计算机终端发生故障时，应及时与科技信息部相关人员联系并采取保护数据安全的措施，计算机终端用户未做好备份前不得删除任何硬盘数据，对重要的数据应准备双份，存放在不同的地点。第十七条对采用磁性介质或光盘保存的数据，要

6、定期进行检查，定期进行复制，防止数据丢失。第五章操作系统安全管理第十八条应严格限制操作系统默认账号的访问权限，重命名系统默认账号，修改默认口令，及时注销多余的、过期的账号,避免共享账号的存在。第十九条 应启用操作系统密码复杂度检查和账号锁定策略，连续错误登录3-5次，锁定账号30分钟，避免账号被暴力破解。第二十条应启用操作系统审核策略，记录对操作系统的重要操作，并调整日志存储空间大小，确保系统日志留存半年以上。第二十一条公司所有服务器操作系统、计算机防病毒软件的安装应由科技信息部工作人员操作。第二十二条 在正式运行中的系统服务器中安装软件须经科技信息部负责人的批准，当安装定制开发的软件时，系统

7、管理员应在测试环境中安装、测试后，方可在服务器中安装。第二十三条系统管理员需更改服务器操作系统安全设定或参数时，应提出申请并经科技信息部负责人签字确认。第二十四条系统管理员需定期安装服务器操作系统的最新补丁程序，在安装前进行安全测试，并对重要文件进行备份。第二十五条信息安全管理员需每月对信息系统服务器进行安全漏洞扫描，及时发现最新安全漏洞，并通过升级、打补丁或加固等方式解决。第二十六条计算机终端用户应定期对计算机系统、杀毒软件等进行升级和更新，并定期杀毒；不得下载和使用未经测试和来历不明的软件、不要打开来历不明的电子邮件、不得随意使用U盘等介质。第六章网络安全管理第二十七条IP地址为计算机网络

8、的重要资源，计算机各终端用户应在科技信息部的统一规划下使用IP地址，不得擅自更改。第二十八条.网络安全设备如防火墙的配置规则由信息安全管理员制定并形成文档，每年对网络安全设备（如防火墙）的使用情况进行检查，发现异常应及时上报。第二十九条网络管理员对广域网的网络设备、网络线路和网络流量的工作状态进行监控，以便及时发现网络故障，发现异常应及时上报。第三十条科技信息部信息安全管理员每月收集和分析网络安全设备日志。对网络安全设备产生的报告和记录及时统计、分析和处理。第三十一条 需要变更网络配置时，需备份变更前的设备配置文件，并制定变更计划和变更失败后的回退预案后，经科技信息部负责人批准后实施。第三十二

9、条科技信息部对网络设备的配置文件进行归档、备份和保管，并记录网络故障的处理情况。第三十三条 网络系统集成的文档，包括：路由器、交换机和服务器配置参数，网络拓扑图、网络布线图、虚网划分、IP地址分配等网络资料，由科技信息部信息安全管理员保管，不得向无关人员透露文档内容。第三十四条严禁计算机终端用户利用扫描、监听、伪装等工具对网络和服务器进行恶意攻击，禁止非法侵入他人网络和服务器系统，禁止利用计算机和网络干扰他人正常工作的行为。第三十五条 计算机终端用户不得占用、更换、损毁网络系统内网络插座及其网络线路、布线槽、网络设备等。不得改变其网络设备的物理位置和配置。第三十六条计算机终端用户严禁在局域网终

10、端上使用USB无线网卡、上网卡、随身WIFI等外设以及其他可能实现的外联措施，违规使用非公司公司提供的互联网接入服务。第七章机房安全管理第三十七条 公司总部机房由公司科技信息部指定专人管理，非工作人员进入机房需经公司科技信息部负责人审批，并填写人员出入登记表后方可进入，进入机房人员应遵守机房管理办法。第三十八条未经公司科技信息部负责人批准，禁止将机房相关的钥匙外借给其他人员。如遇遗失钥匙等情况，要即时报告公司科技信息部负责人，并积极主动采取措施保证机房安全。第三十九条机房管理员每天检查、整理硬件物理连接线路，定期检查硬件运作状态（如设备指示灯、仪表等），并填写机房工作日志。禁止随意搬动设备，禁

11、止随意在设备上进行安装、拆卸硬件，禁止随意更改设备连线，禁止随意进行硬件复位。第四十条对于牵涉到网络安全、数据安全的重要信息、密-9 -码、资料、文档、数据、配置参数等信息等必须妥善存放，外来工作人员确需翻阅文档、资料或者查询相关数据的，应由机房管理员代为查阅，并只能提供与其当前工作内容相关的数据或资料。机房内严禁吸烟、饮食和嬉戏；严禁放置易燃、易爆、腐蚀、强磁性物品；严禁随意对设备断电、更改设备供电线路，随意串接、并接、搭接各种供电线路。第四十二条机房管理员应了解机房内消防设备操作原理,掌握消防应急处理步骤、措施和要领，若发现消防安全隐患，应即时采取措施解决。第四十三条 在条件允许情况下，为

12、机房设置独立的供配电系统以保证信息系统稳定运作。第八章资产安全管理第四十四条 公司科技信息部指定专人负责信息化资产清单的核对，清单中应包括以下与信息系统相关的资产：信息化系统、系统数据库及服务器、个人办公电脑、网络设备、安全设备等。第四十五条 资产清单中应包括资产责任部门、责任人、重要程度、所处位置、类型、用途、使用情况等内容。第四十六条 公司科技信息部指定专人负责每年对信息化资产清单进行核对，确保实际情况与资产清单一致，不存在未核实或未知资产。第九章附则第四十七条第四十八条本办法由公司科技信息部负责解释。公司所属各单位可参照本办法制定本单位信息安全管理办法。第四十九条本办法自印发之日起执行。