信息系统安全管理办法.doc

信息系统安全管理办法.doc

ID:50950875

大小:160.00 KB

页数:8页

时间:2020-03-16

信息系统安全管理办法.doc_第1页
信息系统安全管理办法.doc_第2页
信息系统安全管理办法.doc_第3页
信息系统安全管理办法.doc_第4页
信息系统安全管理办法.doc_第5页
资源描述:

《信息系统安全管理办法.doc》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、陕西煤业化工集团财务有限公司信息系统安全管理办法第一章总则第一条为加强公司信息系统安全的规范管理,对可能影响系统的各种因素进行控制,确保系统、网络设备以及其他设施的安全正常运行,特制订本办法。第二条本管理办法从系统层安全角度建立公司的信息系统安全保障体系。第二章主机安全策略第三条系统硬件采购必须符合公司的信息安全策略和其他技术策略,并符合公司的长期商业需求。第四条系统硬件采购必须考虑:新设备在满足功能需要的同时,应有优秀的性能和足够的容量,以避免影响数据处理;数据必须有适当的保护策略,以避免丢失或意外或不可

2、预测的破坏;系统必须有较大的冗余(电源、CPU以及其他组件)来避免出现突然的意外事件。第五条系统硬件采购时,必须通过结构评估,应尽量获得最好的价格,性能,可靠性,容错性和售后技术支持,包括相应的技术文档或IT使用文档,以降低购买硬件设备的风险。第六条所有主机设备应由专职人员负责定点存放和管理,定期检查存放处的物理环境,并按照物理安全管理要求进行维护;应对所有主机设备进行资产登记,登记记录上应该标明硬件型号,厂家,操作系统版本,已安装的补丁程序号,安装和升级的时间、系统配置信息等内容;第七条应对日常运维,监控

3、、配置管理和变更管理在职责上进行分离,由不同的人员负责;在用户权限的设置时应遵循最小授权和权限分割的原则,只给系统用户、数据库系统用户或其它应用系统用户授予业务所需的最小权限,应禁止为所管理主机系统无关的人员提供主机系统用户账号,并且关闭一切不需要的系统账号;对两个月以上不使用的用户账号进行锁定;应对主机设备中所有用户账号进行登记备案。第八条7各个业务系统应对其口令的选取、组成、长度、保存、修改周期做出明确规定;组成口令的字符应包含大小写英文字母、数字、标点、控制字符等,口令长度要求在8位以上;对于重要的主

4、机系统,要求至少每个月修改一次口令,或者使用一次性口令设备;对于管理用的工作站和个人计算机,要求至少每三个月修改一次口令;若掌握口令的管理人员调离本职工作时,必须立即更改所有相关口令;应定期利用口令破解软件进行口令模拟破解测试,在发现脆弱性口令后及时采取强制性的补救修改措施。第九条严格禁止非本系统管理人员直接进入主机设备进行操作,若在特殊情况下(如系统维修、升级等)需要外部人员(主要是指厂家技术工程师、非本系统技术工程师、安全管理员等)进入主机设备进行操作时,必须由本系统管理员登录,并对操作全过程进行记录备

5、案;禁止将系统用户账号及口令直接交给外部人员,在紧急情况下需要为外部人员开放临时账号时,必须向安全管理机构和相关领导申请,在申请中写明开放临时账号的原因、时间、期限、对外部人员操作的监控方法、负责开放和注销临时账号的人员等内容,并严格根据安全管理机构的批复进行临时账号的开放、注销、监控,并记录备案。第十条应尽可能减少主机设备的远程管理方式,例如Telnet等,如果的确需要进行远程管理,应使用SSH代替Telnet,并且限定远程登录的超时时间,远程管理的用户数量,远程管理的终端IP地址,并在配置完后立刻关闭此

6、类远程管理功能;应尽可能避免使用SNMP协议进行管理,如果的确需要,应使用V3版本替代V1、V2版本,并启用MD5等校验功能;进行远程管理时,应设置控制口和远程登录口的idletimeout时间,让控制口和远程登录口在空闲一定时间后自动断开。第十一条严禁随意安装、卸载系统组件和驱动程序,如确实需要,应及时评测可能由此带来的影响,在获得信息安全管理员的批准下,将整个过程记录备案;禁止随意下载、安装和使用来历不明,没有版权的软件,严禁安装本地或网络游戏以及即时通讯程序(ICQ,MSN,QQ等),在服务器系统上禁

7、止安装与该服务器所提供服务和应用无关的其它软件;禁止在重要的主机系统上浏览外部网站网页、接收电子邮件、编辑文档以及进行与主机系统维护无关的其它操作。如果需要安装补丁程序,补丁程序必须通过日常维护管理用的工作站或PC机进行下载,然后再移到相应的主机系统安装。第十二条系统维护人员应在主机设备接入、系统配置变更、废弃等变更操作前进行数据备份,为一些关键的主机设备准备备件,保证一些常用主机设备的库存,以便在不成功的情况下及时进行恢复。7第十三条新的主机设备的接入应确定最佳接入方案,才可以进行实施,如果接入后对系统有

8、影响,则由应急响应小组进行响应解决接入带来的故障。禁止私自安装或移动网络设备;业务系统人员如果需要使用主机设备,要求主机系统配置变更,应首先向系统维护人员提出申请,并由信息安全员进行安全确认签字后由系统维护人员负责安排实施,禁止私自变更主机系统配置;主机系统的废弃应首先向相关部门提出申请,由该部门根据实际业务需要进行审核,确定最佳废弃方案,禁止私自废弃或移动主机设备。第十四条应对所有新接入的主机系统进行资产登记,

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。