信息系统运维安全管理规定(模版范文).docx
《信息系统运维安全管理规定(模版范文).docx》由会员分享,可在线阅读,更多相关《信息系统运维安全管理规定(模版范文).docx(10页珍藏版)》请在第一文库网上搜索。
1、信息系统运维安全管理规定(模版范文)第一章总则2第二章网络安全管理2第三章操作系统安全管理3第四章用户访问授权管理3第五章密码管理4第六章防病毒管理5第七章系统补丁管理6第八章介质管理7第九章信息交换7第十章 安全监控和审计管理8第十一章数据备份和恢复管理9第十二章日常运行维护管理9第十三章监督检查和奖惩10第十四章附则10第一章总则第一条为加强XXXXX信息系统运维的安全管理,保障信息系统的网络安全与信息安全,依据国家有关法律、法规和XXXXX有关规章制度,特制定本规定。第二条XXXXX信息系统运维安全管理范围包括网络安全管理、操作系统安全管理、用户访问授权管理、密码管理、防病毒管理、系统补
2、丁管理、介质管理、信息交换管理、安全监控和审计管理、数据备份和恢复管理、日常运行维护管理以及监督检查等相关内容。第三条本规定适用于XXXXX信息系统运维中的安全管理。第二章网络安全管理第四条信息中心统一规划XXXXX网络架构,并根据安全风险情况部署安全设备,确保网络安全和信息安全。第五条网络管理员应对网络拓扑进行统一管理,应保持拓扑结构图与现行网络运行环境的一致性,拓扑图应包括网络设备、安全设备的型号、名称以及与链路的链接情况等。第六条网络管理员应维护所有网络设备的物理连接情况,控制和管理网络接口的使用。第七条网络管理员应监控网络的运行状况,发现影响较大的网络故障时,必须及时向XXXXX信息中
3、心报告。AA-第十四条网络安全管理应建立必要的安全技术措施确保网络的统一管理,包括信息资产管理、网络拓扑管理、信息资源管理、网络异常流量管理、安全事件监控管理、安全策略管理、安全预警管理等网络安全管理内容。第十五条应根据不同的业务安全等级合理划分网络安全域,安全域间应采取逻辑隔离措施,根据业务需要仅开放必要的网络访问端口和服务,区域和边界的访问控制策略应根据业务需要进行设置。第十六条关键业务应用和网络访问应使用静态路由,如果使用动态路由,应启用路由协议的安全认证机制,并控制路由信息的广播范围。第十七条干路和核心的网络设备、安全设备、网络链路应建立冗余备份机制,如果出现全网安全事件应根据应急处理
4、预案进行应急响应。第三章操作系统安全管理第十八条 对于每个管理员建立单独的用户账号,特别要区分普通用户账户号和管理员账号,账号不得共享。第十九条操作系统中应限制登录和认证的次数,避免外界尝试登录和暴力破解的安全风险。第二十条操作系统的安装须遵从最小化安装原则,仅仅安装并运行必须的系统服务和应用程序;第二十一条各应用系统主管在按规定安装各类软件时遵从最小化安装原则,关闭和卸载与办公和业务无关的功能和服务。第二十二条运行业务应用系统时,要使用保证应用系统正常运行的最小账户权(-)普通用户:访问系统的普通用户,一般只具有相应访问内容和操作的最小权限;(三)第三方人员:临时或长期进行系统维护的非XXX
5、XX内部人员,根据第三方人员的维护范围确定其使用权限;(四)系统安全管理员:XXXXX进行安全审计的人员,具有能够查看系统的日志和审计信息。第二十五条XXXXX各系统应根据“最小授权”的原则设定账户访问权限,控制用户仅能够访问到工作需要的信息。第二十六条 应根据XXXXX要求和员工岗位来创建、变更和撤销用户的账号及权限,并定期对用户账号和权限进行监督、检查。第二十七条各系统的账号能标识系统访问的不同角色,并尽量避免使用系统默认账号。第二十八条应避免系统中存在多余、无用和测试账号,确保服务器中所有的操作系统账号能够唯一标识操作人员。第二十九条系统安全管理员应当对系统中存在的账号进行定期审计,系统
6、中不能存在无用或匿名账号。第三十条各系统应该设置审计用户的权限,审计用户应当具备比较完整的读权限,审计用户应当能够读取系统关键文件,检查系统设置、系统日志等信息。第三十一条各系统应人员安全管理规定的要求限制第三方人员的访问权限,对第三方的访问进行定期的检查和审计。第五章密码管理第三十二条XXXXX设备及系统的密码的设置至少符合以下要求:(-)长度大于8位;(二)大小写字母、数字,以及特殊字符混合使用;(三)不是任何语言的单词;(四)不能使用缺省设置的密码。第三十三条账号密码至少应该保证每三个月换一次,包括:UNIX/Linux系统root用户的密码、网络设备的enable密码、Windows系
7、统Administrator用户的密码,以及应用系统的后台管理用户密码等。第三十四条系统须强制指定密码的策略,包括密码的最短有效期、最长有效期、最短长度、复杂性等。第三十五条密码不能以明文的方式通过电子邮件或者其它网络传输方式进行传输。第三十六条不得将密码告诉与该工作无关的人员,如果第三方系统维护人员需要登录系统,系统管理员为其设置临时密码,完成工作后必须立刻修改密码;第三十七条系统管理员不能共享超级用户的密码,应采用组策略控制超级用户的访问。第三十八条除了系统管理员外,一般用户不能改变其它用户的密码。第三十九条当密码使用期满时,被其他人知悉或认为密码不保密时; 网络管理人员可按照密码更改程序
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息系统 安全管理 规定 模版 范文