信息系统安全管理实施细则.doc

信息系统安全管理实施细则 第一章 总 则 第一条 为加强公司信息系统安全管理，保障公司信息系统安全稳定运行，遵照国家法律法规和集团公司相关规定，根据《公司信息化工作管理办法》，制定本细则。 第二条 本细则所称信息系统安全，指计算机网络和应用系统（以下简称“信息系统”）的硬件、软件、数据及环境受到有效保护，信息系统的连续、稳定、安全运行得到可靠保障。 第三条 各信息系统的业务主管部门、运行维护部门和使用单位各自履行相关的义务与职责。 第四条 本细则适用于公司机关各部门，以及国内二级单位、境外项目部和作业区（以下简称“各单位”）。 第二章 管理组织与职责 第五条 信息管理中心是公司信息系统安全的归口管理部门，负责公司信息系统安全建设与管理，确保重要信息系统安全平稳运行。主要职责包括： （一） （ （三）四） （五）） （一） （二） （三））单位应对接入网络的设备进行安全性检测，检测通过后方可接入制定时间 第四章 服务器系统安全管理 第十二条 所有服务器安装必要的安全软件，进行必要的安全性配置；禁止安装不必要的服务；关闭不需要的服务端口，使系统具备必要的安全防范和被监控能力。 第十三条 系统管理员负责配置服务器安全基线，设置操作系统安全参数，填写《服务器安全配置检查表》（附表1），定期检查系统日志，备份配置文件，保证系统安全。 第十四条 系统管理员在本地或远程登录操作系统，操作完成后或临时离开终端时，必须退出操作系统。 第十五条 应用系统正式上线运行前，必须删除操作系统中的所有测试账号，删除或锁定操作系统中无关的默认账号，重置需要保留的应用系统账号密码。 第十六条 系统管理员每月检查服务器系统漏洞，发现问题及时修正。 第五章 应用系统安全管理 第十七条 应用系统管理员根据应用系统的安全策略，设置应用系统的安全参数，保证系统安全运行。 第十八条 应用系统管理员应定期检查应用系统运行状况，填写《应用系统日志检查记录表》（附表2），发现问题及时处理并填写《问题记录日志表》（附表4）。 第十九条 应用系统管理员未经允许不得创建、删除用户账号，不得更改权限和系统功能，不得删除系统日志和报警信息，严禁查看和复制信息系统中的业务数据。 第二十条 生产系统与测试系统必须严格分开，严禁在生产系统中进行开发、测试等工作。 第二十一条 每个应用系统在正式上线运行前必须利用自动化漏洞扫描工具并结合人工的方式进行安全测试，以保证系统安全和可靠。 第二十二条 按照集团公司身份管理与认证系统对应用系统进行授权管理，实现多因素认证，按访问权限对用户的访问和操作进行控制。 第六章 数据安全管理 第二十三条 数据安全管理包括电子文档安全管理、数据库安全管理和数据备份安全管理。 第二十四条 重要电子文档的建立、更改、归档、保管、使用、传输、备份等应按集团公司数据和电子文档安全管理相关规范执行。 第二十五条 数据库管理员应按要求对数据库进行安全基线配置，及时更新数据库补丁，严格限制数据库的访问权限，分析数据库的安全审计日志，保证数据库安全。 第二十六条 对重要业务系统的数据库服务器要实现热备份，重要的数据必须进行多重、异机、异地备份。 第二十七条 应用系统管理员负责对应用系统的重要数据按照备份策略做好备份。 第二十八条 数据备份人员对数据备份介质统一编号，妥善保管，特别重要的应异地存放，并按时检查，确保备份数据的完整性、可用性。 第七章 机房安全管理 第二十九条 本细则所称机房是指计算机系统等主要设备放置、运行场所以及供配电、通信、空调、消防、监控等配套环境设施。 第三十条 数据机房应按照国家和集团公司有关标准规范建设和管理，机房应设置防雷击、防断电、防爆、对删除无关 第三十六条 终端计算机用户负责办公计算机和移动介质中的文档资料保护工作。 第九章 用户账号安全管理 第三十七条 用户账号分为管理员用户账号和普通用户账号。管理员用户账号是指 （二）密码至少大写字母Z）英文小写字母（）阿拉伯数字到9）非字符（、、@、*类别中的三种8位，管理员用户账号密码的长度不应低于12位。 （四）普通用户账号密码必须至少每90天修改一次，管理员用户账号密码必须每60天修改一次。 （五）更新不能使用5次使用的。 第十一章 安全漏洞防护与涉密文件管理 第四十八条 发现信息系统安全漏洞，应视严重程度采取切断系统网络、停止系统服务或关闭服务器等行动直至漏洞修补完成。 第四十九条 终端计算机用户应严格遵守《必威体育官网网址管理规定》，加强个人信息安全必威体育官网网址意识，严禁存储及通过网络传输涉密文件，避免无意识泄密情况发生。 第十二章 检查与考核 第五十条 信息系统安全检查内容主要包括安全管理、物理安全、网络安全、服务器安全和终端计算机安全等五个方面。 第五十一条 公司每年组织开展信息系统安全检查工作