计算机安全管理制度.doc

阳光财产保险股份有限公司湖南省分公司计算机安全管理制度第一章个人计算机安全第一条 加入安全密匙。每个新员工在领到机器，开机登录前要与系统管理员联系确认自己的机器安装了安全密匙客户端。第二条 验证安全密匙。员工开机登录时，选择登录公司 “sunshine”。第三条 更改口令。首次登录用户必须修改自己的本地管理员（administrator）用户的口令，口令的长度不得少于6个字符，要大小写及数字混合使用。第四条 访问安全。每位员工不得将自己的用户口令告诉他人；在离开工位前必须锁定本人的机器。每位业务系统操作人员要牢记自己的用户名和密码，并作为保密信息，保证自己的操作员信息不被盗用。严格按照业务部门有关业务操作流程及权限管理办法设置、管理权限，业务操作人员的授权须由所属业务经理批准，信息系统管理人员依照批准的权限申请表负责设置和核对。第五条 共享文件安全。所有共享文件和目录不能给予修改或所有权限。第六条 杀毒软件病毒库的定期更新。目前每位员工的机器均设定了杀毒软件病毒库的定期自动更新。每位员工上午上班前要核查自动更新是否成功。第七条 系统升级。目前每位员工的机器均设定了系统的定期自动升级。每位员工下午上班前要核查自动更新是否成功。第八条 网络及邮件安全。每位员工必须做到对网络资源的有效利用，不要随意下载安装与工作无关的文件，文件保存到本地后要先进行病毒扫描再打开。对于邮件中可疑的附件不要随意打开，保存后先查毒后打开。一旦发现自己的机器染上了病毒，要先拔掉网线，将病毒查杀干净后再接入网络。第九条 每位员工在下班离开公司前要将主机电源、显示器电源及插座电源的开关均关闭。对于需要夜间不间断工作的个人机器，请在本人离开前做一警示。第十条 公司员工应遵守系统安全个人义务.l 如果技术上可行，每一位使用者都应该通过一个唯一的使用者身份号码来识别，该号码设有密码，并不得与任何人共享。l 使用者的身份号码意味着不允许存在公共使用。然而，支持网关和服务器的设备是一个例外，例如：互联网服务器等。只有得到信息技术部的批准，才能使用这些公共使用身份号码。l 使用者不得与他人共享密码。如果已经告知了他人，那么使用者将对他人利用密码所做的任何行为的后果负责。l 若使用者怀疑他的密码已经被泄露了，那么他应该尽快更换密码。并应该在第一时间向IT系统管理员汇报。l 使用者不应该书面记录下密码，并放在别人可以轻易看到的地方。密码不得设置成特定词汇或其他能被轻易猜到的字词。类似姓名、电话号码、身份证号、生日等都是不合格的密码。l 使用者不得向他人泄漏密码。如果IT技术支持人员要求运用使用者的号码访问，则必须当着使用者的面登录。如果使用者泄漏了密码，则必须尽快更改密码。如果他们因诱骗而泄漏了密码，则必须尽快向IT系统管理员汇报。l 如果使用者怀疑我们信息系统的安全性受到威胁，则必须尽快向IT系统管理员汇报。l 使用者对他们自己输入系统的数据的精确性负责，同时也对他们指示系统开发下载到我们系统上的数据的精确性负责。他们必须尽力保证数据的准确性。如果发现错误，并且自己能够修改的话，则应该将其改正。如果自己改正不了，则应该向他们的主管汇报。如果是在源文件发现数据错误，则应该尽快改正这些错误，而不是故意将这些错误输入我们的电脑系统。l 使用者在离开终端机器或电脑以前必须下线，这一点应该强制执行。如果是在使用不带下线功能的单机个人电脑，则必须在离开电脑前终止程序。只有当执行批处理任务时是例外。l 当使用者的工作职责有变动时，他的访问权也应该作相应的变更。部门经理应该及时递交“权限申请表”以通知IT系统管理员。特别是在员工辞职的情况下，其部门经理以及人事部经理应该及时通知IT系统管理员，以保证在最短的时间内撤销其系统访问权。l 计算机工作人员调离时,按规定移交全部技术资料和有关数据,设有口令和密钥的及时进行更换。涉及开发及其他重要业务的技术人员调离时,确认对业务不会造成危害后方可调离。第二章 系统信息安全管理第十一条 计算机操作系统要建立操作人员访问控制制度。要明确各类人员的权限和操作范围,并用软、硬件技术控制各类用户的访问权限。l 操作系统级的超级管理用户口令、数据库管理用户口令、应用管理用户口令只能由IT部系统管理员设定并经IT部门经理审核，个月做一次修改，口令要向其他人员保密。普通计算机用户只有对操作系统的受限权限。l 在应用系统实施阶段，考虑到应用软件提供商需要对自己的产品进行调试，可以在调试时将应用管理用户口令暂时开放给应用软件提供商；调试一结束系统管理员马上更改口令。l 对口令设定必需满足以下规范：最多允许尝试次数5口令最长有效期90天口令的最大长度不受限口令的最小长度6位口令的唯一性要求最近三次所更改的口令不能相同系统的安全控制通过口令控制及对象的安全控制实现第十二条 要建立严格的数据库访问控制制度。l 数据库内具有较高权限的管理用户口令由IT部数据库管理员设定，并由IT部门经理审核，不能向其他人开放。口令必须个月做一次修改。l 业务系统后台数据库对象创建用户的口令由IT部数据库管理员设定，由IT部门经理审核。不能向其他人开放。l 对口令设定必需满足以下规范：口令最长有效期90 天口令的最大长度不受限口令的最小长度6口令的唯一性要求最近三次所更改的口令不能相同l 根据操作需求，在数据库中分别建立对业务数据只有“增、删、改”权限的用户；对业务数据只有“查询”权限的用户。不同的操作需求开放不同权限的用户。l 除IT部门的人员外，其他部门的任何人员均没有权限从后台数据库直接进行数据的“增、删、改”操作。l 对于业务必须的后台job或批处理，必须由IT部门人员执行。第十三条 应用系统和业务系统的访问依靠系统内部定义的操作用户权限来控制，操作用户权限控制到菜单一级，对于操作用户的安全管理有如下规范：l 所有应用级的操作用户及初始口令统一由IT部门设定，以个人邮件的形式分别发给各部门的操作人员。l 各部门操作人员在首次登录时必须修改口令。l 对于口令设定必需满足以下规范：口令最长有效期90 天口令的最大长度不受限口令的最小长度6口令的唯一性要求最近三次所更改的口令不能相同l 操作人员不能将自己的用户及口令随意告诉他人l 所有使用者的认可都由系统管理员来逐一分配。必须由部门经理提交访问权认可的申请表，然后由IT部门经理批准。l 应用系统或业务系统中需要加入新的使用者时，首先使用者需要填写“权限申请表”。该申请表应该得到部门经理和IT部门经理的共同批准。之后，IT系统管理员会帮助应用系统的使用者开通账户，并建立相应的访问等级和权限。l 应用系统或业务系统需要关闭某位使用者的账户时，首先该部门应该填写“权限申请表”，并得到部门经理和IT部门经理的共同批准。之后，IT系统管理员会帮助应用系统使用者关闭该账户。l 大多数的主文件都会与审查日志一起更新。使用者号码、处理日期以及时间将写入日志，以备今后查询之用。第十四条 重要数据要建立数据备份制度,并做到异地保存。第十五条 发生重要数据的设备故障,需外单位人员修理时,本单位必须有人在场监督。第三章 网络通信安全管理第十六条 对联网的计算机及其网络设备和通讯设备的安装、使用,建立健全安全保护管理制度,落实安全保护措施,以防“黑客”侵入。要积极采取预防计算机病毒的相关措施,防止计算机病毒及其他有害数据破坏计算机的正常工作。第十七条 存有重要数据和机密信息的计算机,不得与互联网联网。接入互联网的计算机要由信息技术部统一对上网内容进行必要的检查。第十八条 局域网和广域网安全。l 局域网交换机位于中心机房，对该中心机房的物理访问通过机房管理制度来控制。l 除了授权的IT支持人员以外，任何使用者都不得在公司办公地点的个人电脑上安装任何带有数据包监听、端口扫描、地址扫描或其他黑客功能的软件。l IP地址只能由经授权的IT支持人员来分配。使用者不得自行分配他们的IP地址。l 所有的交换机、路由器、互联网服务器以及防火墙都应该设置密码，此密码不得为原厂密码。l 交换机、路由器、互联网服务器以及防火墙的所有不同等级的密码都应该记录在案。信息技术部应该一直保留一个最新的备份。l 对于交换机、路由器、防火墙以及互联网服务器的结构等级的访问应该只限授权的IT支持人员。l 关于安全的信息以及通往网络的网关的保护机制应该只有授权的IT支持人员知道。l 所有的网络通信设备都应该由非间断电源提供至少60分钟的电源供应。如可能，非间断电源供应机应该轮流由一台备用的发电机来充电。l 只有经授权的使用者才允许安装和使用网络管理工具。第四章 数据安全管理第十九条 数据是公司的重要资源，数据的储存、销毁必须严格执行公司的内控制度和保密制度。第二十条