有限公司信息系统安全管理制度

1、xxxx有限公司信息系统安全管理制度1信息系统安全管理制度第一章总则第一条为保证本单位信息系统的操作系统和数据库系统的 安全，根据中华人民共和国计算机信息系统安全保护条例，结合本单位系统建设实际情况，特制定本制度。第二条本制度适用于本单位所有系统使用部门和人员。第三条信息部是本单位系统管理的责任主体，负责组织单位系统的维护和管理。第二章信息系统运行和维护第四条信息系统运行维护管理的基本任务：1、进行信息系统的日常运行和维护管理，实时监控系统运行状态，保证系统各类运行指标符合相关规定；2、迅速而准确地定位和排除各类故障， 保证信息系统正常 运行，确保所承载的各类应用和业务正常；3、进行系统安全管

2、理，保证信息系统的运行安全和信息的 完整、准确；4、在保证系统运行质量的情况下，提高维护效率，降低维 护成本。第五条信息部负责全公司范围内信息系统运行维护管理、监督检查和质量考核评定工作，掌握运行质量情况，制定质量指标， 并对信息系统各级维护部门进行定期检查考核；第六条负责公司范围内信息系统的计算机硬件平台、基础软件、应用软件、配套网络和OA办公系统的监控和日常维护工作， 制定日常维护作业计划并认真执行，保证信息系统正常运行；对于系统的所有维护（包括日常作业计划、故障处理、 系统改进、数据变更、数据的备份与恢复、功能完善增加）都必 须填写维护记录；负责所辖范围内信息系统数据的备份与恢复， 负责

3、落实系统安全运行措施；每年至少组织一次全行范围内的信 息系统运维管理巡回检查，全面检查各维护作业计划管理、技术 档案和资料管理、备份及日志管理、机房管理、安全保密管理等 制度的落实情况。第七条系统出现故障，信息系统维护部门或维护人员首先进 行处理，同时判断系统类型和故障级别， 根据系统类型和故障级 别，故障处理应在要求的时限内完成，并同时向院部报告。对无 法解决的故障，应立即向软硬件最终提供商、 代理商或维保服务 商（以下简称厂商）提出技术支持申请，督促厂商安排技术支持， 必要时进行跟踪处理，与厂商一起到现场进行解决。第八条厂商技术人员现场处理故障时，当地维护人员应全程陪同并积极协助，并在故障

4、解决后进行书面确认。第九条参与故障处理的各方必须如实、及时填写故障处理 单，现场技术支持还须当地维护人员予以签字确认或维护部门盖 章。谢谢欣赏第十条建立重要紧急信息上报渠道， 对于发生的重要紧急情 况，应该立即逐级向公司主管领导报告， 对业务影响较大的还应 及时通知业务部门。第三章系统安全策略第十一条信息部负责单位人员的权限分配，权限设定遵循最小授权原则。1）管理员权限：维护系统，对数据库与服务器进行维护。系 统管理员、数据库管理员应权限分离，不能由同一人担任。2）普通操作权限：对于各个系统的使用人员，针对其工作范 围给予操作权限。3）查询权限：对于单位管理人员可以以此权限查询数据，但 不能输

5、入、修改数据。4）特殊操作权限：严格控制单位管理方面的特殊操作，只将 权限赋予相关科室负责人，例如退费操作等。第十二条加强密码策略，使得普通用户进行鉴别时， 如果输 入三次错误口令将被锁定， 需要系统管理员对其确认并解锁， 此 帐号才能够再使用。用户使用的口令应满足以下要求：-8个字符以上;- 使用以下字符的组合：a-z、A-Z、0-9,以及！#$%第十七 条对于系统重要数据和服务器配值参数的修改， 必须征得主管领 导批准，并做好相应记录。第十八条对各项操作均应进行日志管理，记录应包括操作人员、操作时间和操作内容等详细信息。第十九条审计日志应包括但不局限于以下内容：包括重要用户行为、系统资源的

6、异常使用和重要系统命令的使用等系统内重 要的安全事件。第二十条安全审计员应每日对审计日志进行审查，对异常事件及时跟进解决，并定期形成日志分析报告。第二十一条系统审计日志应定期做好备份工作。第四章个人操作管理第二十二条单位工作人员申请账户权限需填写系统权限中请表，经系统管理员批准后方可开通。账号申请表上应详细记 录账号信息。第二十三条人员离职或调职时需交回相关系统账号及密码， 经系统管理员删除或变更账号后方能离职或调职。第二十四条单位工作人员严禁私自在办公计算机上安装软 件，以免造成病毒感染。严禁私自更改计算机的设置及安全策略。第二十五条严格管理口令，包括口令的选择、保管和更换，采取关闭gues

7、t和匿名用户、增强管理员口令选择要求等措施。第二十六条计算机设备应设屏幕密码保护的用户界面，保证数据的机密性的安全。第五章惩处第二十七条违反本管理制度，将提请单位行政部视情节给予 相应的批评教育、通报批评、行政处分或处以警告、以及追究其 他责任。触犯国家法律、行政法规的，依照有关法律、行政法规 的规定予以处罚；构成犯罪的，依法追究刑事责任。- ()- + ；- 口令每三个月至少修改一次。第十三条定期安装系统的最新补丁程序，在安装前进行安全 测试，并对重要文件进行备份。第十四条每月对操作系统进行安全漏洞扫描，及时发现最新安全问题，通过升级、打补丁或加固等方式解决。第十五条关闭信息系统不必要的服务

8、。第十六条做好备份策略，保障系统故障时能快速的恢复系统 正常并避免数据的丢失。第四章系统日志管理第十七条对于系统重要数据和服务器配值参数的修改，必须征得主管领导批准，并做好相应记录。第十八条对各项操作均应进行日志管理，记录应包括操作人员、操作时间和操作内容等详细信息。第十九条审计日志应包括但不局限于以下内容：包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重 要的安全事件。第二十条安全审计员应每日对审计日志进行审查，对异常事件及时跟进解决，并定期形成日志分析报告。第二十一条系统审计日志应定期做好备份工作。第四章个人操作管理第二十二条单位工作人员申请账户权限需填写系统权限中请表，经系统管理员批准后方可开通。账号申请表上应详细记 录账号信息。第二十三条人员离职或调职时需交回相关系统账号及密码， 经系统管理员删除或变更账号后方能离职或调职。第二十四条单位工作人员严禁私自在办公计算机上安装软 件，以免造成病毒感染。严禁私自更改计算机的设置及安全策略。第二十五条严格管理口令，包括口令的选择、保管和更换， 采取关闭guest和匿名用户、增强管理员口令选择要求等措施。第二十六条计算机设备应设