返回
信息系统安全管理标准规范.doc

信息系统安全管理标准规范.doc

ID:28387914

大小:26.00 KB

页数:4页

时间:2018-12-09

信息系统安全管理标准规范.doc_第1页
信息系统安全管理标准规范.doc_第2页
信息系统安全管理标准规范.doc_第3页
信息系统安全管理标准规范.doc_第4页
资源描述:

《信息系统安全管理标准规范.doc》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、信息系统安全管理规范1、目标此文档用于规范公司业务系统的安全管理,安全管理所达到的目标如下:确保业务系统中所有数据及文件的有效保护,未经许可的用户无法访问数据。对用户权限进行合理规划,使系统在安全状态下满足工作的需求。2、机房访问控制机房做为设备的集中地,对于进入有严格的要求。只有公司指定的系统管理员及数据库管理员才有权限申请进入机房。系统管理员及数据库管理员因工作需要进入机房前必须经过公司书面批准。严格遵守机房管理制度。3、操作系统访问控制保护系统数据安全的第一道防线是保障网络访问的安全,不允许未经许可的用户进入到公司网络中。第二道防线就是要控制存放数据

2、及应用文件的主机系统不能被未经许可的用户直接访问。为防止主机系统被不安全访问,采取以下措施:操作系统级的超级管理用户口令、数据库管理用户口令、应用管理用户口令只能由系统管理员设定并经办公室审核,1个月做一次修改,口令要向其他人员保密。在应用系统实施阶段,考虑到应用软件提供商需要对自己的产品进行调试,可以在调试时将应用管理用户口令暂时开放给应用软件提供商;调试一结束系统管理员马上更改口令。对口令设定必需满足以下规范:最多允许尝试次数口令最长有效期口令的最大长度口令的最小长度530天不受限6口令的唯一性要求。4、系统的安全控制最近三次所更改的口令不能相同通过口

3、令控制及对象的安全控制实现。5、数据库访问控制为有效的保障业务数据的安全,采取以下措施:数据库内具有较高权限的管理用户口令由办公室数据库管理员设定,并由办公室审核,不能向其他人开放。口令必须1个月做一次修改。业务系统后台数据库对象创建用户的口令由办公室数据库管理员设定,由办公室审核。不能向其他人开放。口令必须1个月做一次修改。对口令设定必需满足以下规范:口令最长有效期口令的最大长度口令的最小长度口令的唯一性要求30天不受限6最近三次所更改的口令不能相同根据操作需求,在数据库中分别建立对业务数据只有“增、删、改”权限的用户;对业务数据只有“查询”权限的用户。

4、不同的操作需求开放不同权限的用户。除办公室门的人员外,其他部门的任何人员均没有权限从后台数据库直接进行数据的“增、删、改”操作对于业务必须的后台job或批处理,必须由办公室门人员执行。1、应用系统访问控制应用系统访问依靠系统内部定义的操作用户权限来控制,操作用户权限控制到菜单一级,对于操作用户的安全管理有如下规范:所有应用级的操作用户及初始口令统一由办公室门设定,以个人邮件的形式分别发给各部门的操作人员。各部门操作人员在首次登录时必须修改口令,口令必须1个月做一次修改。对于口令设定必需满足以下规范:口令最长有效期口令的最大长度口令的最小长度口令的唯一性要求

5、30天不受限6最近三次所更改的口令不能相同操作人员不能将自己的用户及口令随意告诉他人所有使用者的认可都由系统管理员来逐一分配。必须由部门经理提交访问权认可的申请表,然后由办公室批准。当应用系统中需要加入新的使用者时,首先使用者需要填写“权限申请表”。该申请表应该得到部门经理和办公室的共同批准。之后,IT系统管理员会帮助应用系统的使用者开通账户,并建立相应的访问等级和权限。当应用系统需要关闭某位使用者的账户时,首先该部门应该填写“权限申请表”,并得到部门经理和办公室的共同批准。之后,IT系统管理员会帮助应用系统使用者关闭该账户。大多数的主文件都会与审查日志一

6、起更新。使用者号码、处理日期以及时间将写入日志,以备今后查询之用。2、个人义务如果技术上可行,每一位使用者都应该通过一个唯一的使用者身份号码来识别,该号码设有密码,并不得与任何人共享。使用者的身份号码意味着不允许存在公共使用。然而,支持网关和服务器的设备是一个例外,例如:互联网服务器等。只有得到IT经理的批准,才能使用这些公共使用身份号码。使用者不得与他人共享密码。如果已经告知了他人,那么使用者将对他人利用密码所做的任何行为的后果负责。若使用者怀疑他的密码已经被泄露了,那么他应该尽快更换密码。并应该在第一时间向IT系统管理员汇报。3使用者不应该书面记录下密

7、码,并放在别人可以轻易看到的地方。密码不得设置成特定词汇或其他能被轻易猜到的字词。类似姓名、电话号码、身份证号、生日等都是不合格的密码。使用者不得向他人泄漏密码。如果IT技术支持人员要求运用使用者的号码访问,则必须当着使用者的面登录。如果使用者泄漏了密码,则必须尽快更改密码。如果他们因诱骗而泄漏了密码,则必须尽快向IT系统管理员汇报。如果使用者怀疑我们信息系统的安全性受到威胁,则必须尽快向IT系统管理员汇报。使用者对他们自己输入系统的数据的精确性负责,同时也对他们指示系统开发下载到我们系统上的数据的精确性负责。他们必须尽力保证数据的准确性。如果发现错误,并

8、且自己能够修改的话,则应该将其改正。如果自己改正不了,则应该向他们

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。