信息系统安全管理办法.wps

《信息系统安全管理办法.wps》由会员分享，可在线阅读，更多相关《信息系统安全管理办法.wps（6页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息信息系统安全系统安全管理办法管理办法1.总则总则第1条为保证本单位信息系统的操作系统和数据库系统的安全，根据中华人民共和国计算机信息系统安全保护条例，结合本单位系统建设实际情况，特制定本制度。第2条本制度适用于 XXXXXXXXXX 及所有系统使用部门和人员。2.系统安全策略系统安全策略第三条信息安全责任部门负责单位人员的权限分配，权限设定遵循最小授权原则。1)管理员权限：维护系统，对数据库与服务器进行维护。系统管理员、数据库管理员应权限分离，不能由同一人担任。2)普通操作权限：对于各个系统的使用人员，针对其工作范围给予操作权限。3)查询权限：对于单位管理人员可以以此权限查询数据，但不能输

2、入、修改数据。4)特殊操作权限：严格控制单位管理方面的特殊操作，只将权限赋予相关科室负责人，例如退费操作等。第4条加强密码策略，使得普通用户进行鉴别时，如果输入三次错误口令将被锁定，需要系统管理员对其确认并解锁此帐号才能够再使用。第5条用户使用的口令应满足以下要求：1)-8个字符以上；2)-使用以下字符的组合：a-z、A-Z、0-9，以及!#$%&*()- +；3)-口令每三个月至少修改一次。第6条定期安装系统的最新补丁程序，在安装前进行安全测试，并对重要文件进行备份。第7条每月对操作系统进行安全漏洞扫描，及时发现最新安全问题，通过升级、打补丁或加固等方式解决。第8条第七条关闭信息系统不必要的

3、服务。第9条第八条做好备份策略，保障系统故障时能快速的恢复系统正常并避免数据的丢失。3.系统日志管理系统日志管理第10条对于系统重要数据和服务器配值参数的修改，必须征得 XX 领导批准，并做好相应记录。第11条对各项操作均应进行日志管理，记录应包括操作人员、操作时间和操作内容等详细信息。第12条审计日志应包括但不局限于以下内容：包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全事件。第13条安全审计员应每日对审计日志进行审查，对异常事件及时跟进解决，并定期形成日志分析报告。第14条系统审计日志应定期做好备份工作。4.个人操作管理个人操作管理第15条单位工作人员申请账户权

4、限需填写系统权限申请表，经系统管理员批准后方可开通。账号申请表上应详细记录账号信息。第16条人员离职或调职时需交回相关系统账号及密码，经系统管理员删除或变更账号后方能离职或调职。第17条单位工作人员严禁私自在办公计算机上安装软件，以免造成病毒感染。严禁私自更改计算机的设置及安全策略。第18条严格管理口令，包括口令的选择、保管和更换，采取关闭 guest 和匿名用户、增强管理员口令选择要求等措施。第19条第十八条计算机设备应设屏幕密码保护的用户界面，保证数据的机密性的安全。5.惩处惩处第20条违反本管理制度，将提请单位行政部视情节给予相应的批评教育、 通报批评、 行政处分或处以警告、 以及追究其他责任。 触犯国家法律、 行政法规的，依照有关法律、 行政法规的规定予以处罚；构成犯罪的，依法追究刑事责任