计算机信息系统管理标准资料

计算机信息精品耀资料资料计算机信息系统管理标准1范围本标准规定了公司计算机信息系统管理的职责和权限、管理内容和方法、报告和记录。本标准适用于公司（以下简称公司）本部、分公司、以及直属各单位的计算机信息系统管理工作。其他联网单位可参照执行。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，使用本标准的相关部门、单位及人员要研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。中华人民共和国国务院令第147号中华人民共和国计算机信息系统安全保护条例国家标准计算机信息系统安全保护等级划分准则Q/HD203.01—2007物资采购管理标准Q/HD203.02—2007招标管理标准Q/HD212.07—2007员工培训管理标准Q/HD212.05—2007网络信息安全应急管理标准3术语和定义下列术语和定义适用于本标准计算机系统计算机系统由硬件系统和软件系统组成。硬件系统硬件系指构成计算机的各种实体机器设备或电子组件，如CPU、内存、屏幕、磁盘驱动器等，及各式的计算机外设设备如打印机、扫描仪等。计算机系统的运作，除了硬件外，还需软件的配合才能完成计算机所执行的工作。软件系统软件就是计算机程序的统称，负责指挥计算机的硬件部份，以完成计算机系统所执行的工作。网络系统通过网络通信线路和设备，将地理位置不同、功能独立的多台计算机系统和通信终端设备互连起来，以完善的网络软件实现网络上资源共享和信息传递的系统。本程序中网络主要指公司内部信息网络。信息计算机系统的主要功能是将未经过处理的数据(data)输入至计算机之硬设备，经由软件的运算处理而输出结果，此一结果即谓之信息(Information)，数据可能是原始的数字、文字或符号等，而信息的内容则可能是计算后的数字、统计后的图表、排序搜寻后的文字等。管理信息系统它以企业的业务活动为依据，以人员、财务和物资信息流为贯穿其中的主线索，涵盖了企业生产、管理和经营活动的各个方面；实现了生产管理现代化、办公无纸化；保证了指挥决策科学化；提高了生产和管理效率，节约了生产和管理成本，为企业实现利润最大化提供了可靠保证。在本文件以后的引用中，用电子信息系统代替。局域网局域网(LocalAreaNetwork)是在一个局部的地理范围内(如一个学校、工厂和机关内)，将各种计算机、外部设备和数据库等互相联接起来组成的计算机通信网，简称LAN。白客渗透测试是通过真实模拟黑客使用的工具、分析方法来进行实际的漏洞发现和利用的安全测试方法，与工具评估互相补充。4职责主管领导审批信息系统建设规划、管理方案及相应人、财、物等资源，对信息系统工作负全面领导责任。信息中心管理信息系统进行策划、建设。保障管理信息系统有效运行。持续改进信息系统的管理。相关部门/基层单位配合搞好部门/单位管理系统的安全运行。对所使用的信息系统和专业软件的适用性、安全性、可靠性进行评价。提出本部门/本单位职责范围内信息系统管理软件的功能要求。5管理活动的内容与方法本标准依据的流程计算机系统运行维护管理流程（见附录A）组织机构信息安全领导小组公司成立信息安全领导小组。领导小组是信息安全的最高决策机构，其设办公室设在公司信息中心，负责信息安全领导小组的日常事务。信息安全领导小组下设两个工作组：a）信息安全工作组；b）应急处理工作组。信息安全领导小组的职责主要包括：a）根据国家和行业有关信息安全的政策、法律和法规，批准公司信息安全总体策略规划、管理规范和技术标准；b）确定公司信息安全各有关部门工作职责，指导、监督信息安全工作。信息安全工作组信息安全工作组组长由公司信息中心的负责人担任。信息安全工作组的主要职责包括：a）贯彻执行公司信息安全领导小组的决议，协调和规范公司信息安全工作；b）根据信息安全领导小组的工作部署，对信息安全工作进行具体安排、落实;c）组织对重大的信息安全工作标准和技术操作策略进行审查，拟订信息安全总体策略规划，并监督执行；d）负责协调、督促各职能部门和有关单位的信息安全工作，参与信息系统工程建设中的安全规划，监督安全措施的执行；e）组织信息安全工作检查，分析信息安全总体状况，提出分析报告和安全风险的防范对策；f）负责接受各单位的紧急信息安全事件报告，组织进行事件调查，分析原因、涉及范围，并评估安全事件的严重程度，提出信息安全事件防范措施；g）及时向信息安全工作领导小组和上级有关部门、单位报告信息安全事件。h/艮踪先进的信息安全技术，组织信息安全知识的培训和宣传工作。应急处理工作组应急处理工作组组长由公司信息中心的主要负责人担任。应急处理工作组的主要职责包括：a）审定公司网络与信息系统的安全应急策略及应急预案；b）决定相应应急预案的启动，负责现场指挥，并组织相关人员排除故障，恢复系统；0每年组织对信息安全应急策略和应急预案进行测试和演练。各分公司及直属单位信息安全工作常设机构及人员各分公司及直属单位应指定分管信息的单位领导负责本单位信息安全管理，并配备信息安全技术人员，有条件的应设置信息安全工作小组或办公室，对海南电网公司信息安全领导小组和工作小组负责，落实本单位信息安全工作和应急处理工作。信息安全人员基本要求a）信息安全管理人员和专（兼）职信息安全技术人员应当政治可靠、业务素质高、遵纪守法、恪尽职守；b）信息安全管理人员及专职和兼职信息安全技术人员应有计算机专业工作三年以上经历，具备专科以上学历；c）违反国家法律、法规和行业规章受到处罚的人员，不得从事信息安全管理与技术工作。信息安全人员管理a）信息安全人员的配备和变更情况，应向上一级单位报告、备案；b）信息安全人员调离岗位，必须严格办理调离手续，承诺其调离后的保密义务。涉及海南电网业务核心技术的信息安全人员调离单位，必须进行离岗审计，并在规定的脱密期后，方可调离。信息安全人员职责范围信息安全人员应履行以下职责：a）负责信息安全管理的日常工作；b）开展信息安全检查工作，对要害岗位人员安全工作进行指导和监督；c）负责维护和审查有关安全审计记录，及时发现存在问题，提出安全风险防范对策；d）开展信息安全知识的培训和宣传工作；e）监控信息安全总体状况，提出信息安全分析报告；f）及时向信息安全工作领导小组和有关部门、单位报告信息安全事件。信息安全人员在行使职责时，确因工作需要，经批准，可了解涉及电力生产、经营与管理有关的信息系统的机密信息。信息安全人员发现本单位重大信息安全隐患，有权向上级机构信息安全主管部门报告。信息安全人员发现信息系统要害岗位人员使用不当，应及时建议有关单位、部门进行调整。信息安全人员必须严格遵守国家有关法律、法规和公司有关规章标准，严守公司商业秘密。要害岗位人员管理信息系统要害岗位人员，是指与重要信息系统直接相关的系统管理人员、网络管理人员、重要应用开发人员、系统维护人员、重要业务操作人员等岗位人员。重要信息系统，是指涉及公司生产、建设与经营、管理等核心业务且有保密要求的信息系统。要害岗位人员上岗前必须经单位人事部门进行政治素质审查，技术部门进行业务技能考核，工作经历和工作经验考查等，合格者方可上岗。要害岗位人员有责任保护信息系统的秘密，并以签署保密协议的方式作出安全承诺。要害岗位人员上岗必须实行“权限分散、不得交叉覆盖”的原则。系统管理人员、网络管理人员、系统开发人员、系统维护人员不得兼任业务操作员；未经过批准，系统开发人员不应兼任系统管理员。对要害岗位人员应实行定期考查标准，要害岗位人员应定期接受安全培训，规范自身安全意识和风险防范意识。要害岗位人员调离岗位，必须严格办理调离手续，承诺其调离后的保密义务。涉及公司业务保密信息的要害岗位人员调离单位，必须进行离岗审计，在规定的脱密期后，方可调离。要害岗位人员离岗后，必须即刻更换操作密码或注销用户。要害岗位安全责任系统管理员安全责任：a）负责系统的运行管理，实施系统安全运行细则；b）严格用户权限管理，维护系统安全正常运行；c）认真记录系统安全事项，及时向信息安全人员报告安全事件；d）对进行系统操作的其他人员予以安全监督。网络管理员安全责任：a）负责网络的运行管理，实施网络安全策略和安全运行细则；b）安全配置网络参数，严格控制网络用户访问权限，维护网络安全正常运行；c）监控网络关键设备、网络端口、网络物理线路，防范黑客入侵，及时向信息安全人员报告安全事件；d）对操作网络管理功能的其他人员进行安全监督。系统开发员安全责任：a）系统开发建设中，应严格执行系统安全策略，保证系统安全功能的准确实现；b）系统投产运行前，应完整移交系统源代码和相关涉密资料；c）不得对系统设置“后门”；d）对系统核心技术保密。系统维护员安全责任：a）负责系统维护，及时解除系统故障，确保系统正常运行；b）不得擅自改变系统功能；c）不得安装与系统无关的其他计算机程序；d）维护过程中，发现安全漏洞应及时报告信息安全人员。业务操作员安全责任：a）严格执行系统操作规程和运行安全管理标准；b）不得向他人提供自己的操作密码；c）及时向系统管理员报告系统各种异常事件。各要害岗位人员必须严格遵守保密法规和有关信息安全管理规定。第三方人员管理第三方人员包括软件开发商，硬件供应商，系统集成商，设备维护商和服务提供商，以及实习学生和临时工作人员。应对第三方人员的物理访问和逻辑访问实施访问控制，根据其在系统中完成工作的时间、性质、范围、内容等方面的需要给予最低授权。第三方人员的现场工作或远程维护工作内容应在合同中明确规定，如工作涉及机密或秘密信息内容，应要求其签署保密协议。一般情况下第三方人员的现场工作，如数据库、系统、漏洞扫描、入侵检测、白客渗透以及其他软件的安装等，不许接入自带的设备。第三方人员的现场工作应在本单位信息部门有关人员的陪同和监督下完成。第三方人员自带设备接入信息系统应得到特别授权，其操作应受到审计。第三方人员工作结束后，应及时清除有关账户、过程记录等信息。培训与教育信息中心依据Q/HD212.07—2007《员工培训管理标准》相关要求，组织人员培训。信息安全人员应定期参加下列信息安全知识和技能的培训：a）信息安全法律法规及行业规章标准的培训；b）信息安全基本知识的培训；c）信息安全专门技能的培训。信息安全人员应定期接受政治思想教育、职业道德教育和安全保密教育。应对所有使用计算机的人员定期进行基本的信息安全知识和技能的培训，并应注意培养信息安全意识。信息资产安全管理信息资产的分类和标识管理信息资产分类的定义公司信息资产分类和标识的目的：a）通过对公司信息按无形资产性质（非财务）进行分类和标识，促进信息的增值利用，提高信息资产的利用率；b）促进信息分布的合理化、促进非结构化信息向结构化数字信息的转换，降低信息管理成本；c）掌握公司信息资产状态，明确信息资产的使用方法、保存方式、放置位置、安全分类和责任人等，规范信息资产的管理，为信息系统的日常与应急工作提供基本资料；d）根据各种信息资产的敏感度和重要性的不同，制定对信息资产各种相应的分类保护措施，对各类信息资产实施适当程度的保护。信息资产指公司在生产、经营和管理过程中，所需要的以及所产生的，用以支持（或指导、或影响）公司生产、经营和管理的一切有用的数据和资料等非财务的无形资产，其范围包括如下现在的和历史的信息资产：a）公司的域名、网络拓扑结构、网络IP地址及分配规则、企业标准编码；b）公司投资开发的（或具有独立知识产权的）程序软件的源代码、支持程序软件、外购软件的使用许可证记录、系统平台基础数据等；c）系统配置数据、系统授权信息、口令文件、密钥及算法文件、系统说明文档、用户手册等系统基础数据；d）各类专业系统的应用数据库及数据文件、业务报表等系统业务数据；e）各类专业系统的运行方案、运行记录、变更记录等系统运行数据以及应急计划；f）各类专业的规划、方案与策略、业务流程、业务规范、操作规程等管理数据；g）技术图纸、技术文档、工程资料等项目数据；h）其他纸介质的重要办公文件（信件）、图象、影象、录音和照片等非结构化办公资料；i）单个员工拥有的专家技能和经验等隐性数据。公司信息资产的安全分类：信息资产按信息的敏感度分类为机密信息、秘密信息、对内公开信息、对外公开信息。信息资产安全分类见下表。信息资产的访问控制权限如下表所示。信息资产的数据保护要求如下表所示。212.07/JL19漏洞扫描记录单归口部门保存保存年限5年a）对于对外公开信息，存放地点没有要求；b）对于对内公开信息，如果是结构化的电子信息，应存放在内部服务网络中的文件服务器等；如果是非结构化的其他信息，应存放在室内文件柜中，并有明显的分类标识；c）对于秘密信息，如果是结构化的电子信息，应存放在有严格管理标准、具有足够的安全防护措施的机房环境中的相关服务器和存储设备上；如果是非结构化的其他信息，应存放在室内具有较强防盗窃能力的文件柜中，并造册登记，分项存放；d）对于机密信息，如果是联机存储的结构化电子信息，应存放在有严格管理标准、具有高强度的安全防护措施的机房环境中的相关服务器和存储设备上；如果是脱机存储的结构化电子信息，以及非结构化的其他信息，应存放在具有严格保安措施的、专门的保管环境中（如机要室等），并造册登记，分项存放。a）对于对外公开信息，介质使用没有限制要求，任何人在任何场合均可以使用；b）对于对内公开信息，对于存储在电子介质上的信息，必须通过内部网络，以注册的合法身份，登录访问和下载使用；对于非结构化的其他信息，经介质保存部门同意，可以提取存储信息的介质使用，使用完毕放回原处；c）对于秘密信息，对于存储在电子介质上的信息，要求联机使用，信息只能通过应用系统专用界面使用，使用者必须具有足够的使用权限；秘密信息的脱机提取或抄录，必须有相关领导的书面批准意见，其提取或抄录的相关细节必须记录在案，使用者必须对其提取或抄录秘密信息的安全保密负责；对于非结构化信息的使用，必须符合秘密级文件的相关使用规定，信息的提取或抄录必须有相关领导的书面批准意见，其相关细节必须记录在案，使用者必须对其提取或抄录秘密信息的安全保密负责；d）对于机密信息，对于存储在电子介质上的信息，必须联机使用，信息只能通过应用系统专用界面使用，使用者必须具有足够的使用权限；机密信息绝对禁止的脱机提取，特殊信息的抄录，必须有相关领导及保密人员的书面批准意见，抄录的过程及内容必须有保密人员现场监督检查，抄录的相关细节必须记录在案，使用者必须对其抄录的机密信息的安全保密负责；对于非结构化信息的使用，必须符合机密级文件的相关使用规定，特殊信息的抄录必须有相关领导及保密人员的书面批准意见，其相关细节必须记录在案，使用者必须对其提取或抄录秘密信息的安全保密负责。5.3.2信息系统软硬件设备管理为规范信息系统软硬件设备管理，规范设备购置、管理、应用、维护、维修及报废等方面的工作，保护信息系统安全。a）一般硬件设备：指笔记本电脑、客户端微机主机、显示器、打印机、小型不间断电源装置、稳压电源以及各种接口卡、电缆头、简单网络设备等与微机有关的设备；b）关键硬件设备：指各单位主要业务应用系统所使用的各种服务器、网络设备、网络安全设备、大中型不间断电源装置及其外围设备；c）消耗品：指各计算机设备日常所使用的各种移动存储介质、打印耗材等低值易耗品。1-2007《物资采购管理标准》的有关规定负责组织实施，对于需要招标应按Q/HD203.02—2007《招标管理标准》有关规定进行招标，未经过批准，其他部门不得自行购置计算机有关的软硬件设备。“谁建设，谁维护”的原则，由各专业应用系统的建设单位负责用户的应用管理工作。“谁建设，谁维护”的原则，由应用软件的建设单位负责应用软件的专业性维护工作，由信息系统运行管理部门负责系统软、硬件设备的专业性维护和日常应急维护工作。硬件设备的报废应由使用部门提出书面申请，信息系统运行管理部门根据设备的使用情况进行审核，提出设备报废清单，按固定资产报废程序办理。维护管理中心安全管理为了保障数据中心内各种系统设备的安全、可靠运行，合理、高效、安全地利用信息系统资源。“外来人员进入机房申请单”经IDC运行管理部门负责人批准后，佩带临时出入证方可进入主机房；期间，必须由相关技术人员全程陪同并及时做好登记工作。建立设备专管责任制，精心维护、精心操作，确保设备安全可靠运行。系统运行值班管理X8小时值班，特殊值班是指根据需要，在特殊情况下执行7X24小时值班，值班人员的安排按照值班表进行。与信息系统缺陷管理“谁主管、谁负责，谁运营、谁负责”的原则管理，在质保期内的缺陷由合同乙方（承建方或供货方）负责处理，质保期后的缺陷由主管或运营单位负责组织处理。用户办公电脑的缺陷，由信息技术人员填写缺陷名称、原因、处理意见和处理结果并经用户签字，记入缺陷登记本中。网络和信息系统的缺陷，由信息技术人员填写缺陷单，经信息部门领导安排处理时间和处理方案方可处理，凡需要对系统进行停止运行的缺陷处理应该事先与业务部门协商，选择合适的时间开始检修（紧急缺陷除外），网络和信息系统的缺陷处理必须遵守工作票标准。缺陷消除并经测试后系统方可投入运行并在缺陷记录中给予注销。机病毒防护管理为规范对计算机病毒的预防和治理，保护信息系统安全。a）每日查看有关防病毒信息，掌握最新病毒信息，并及时更新病毒码与扫描引擎；b）每日查看或督促有关人员检查服务器防病毒情况，如发现病毒应及时进行杀毒；c）经常查看或督促有关人员检查客户端防毒情况，如发现病毒应及时进行杀毒；d）经常及时查收防病毒通知及补丁程序。a）当病毒大规模发作时，应立即发出警报；如属于网络传播时，应立即断开网线隔离带毒机器，未清除病毒的计算机不得入网；b）杀毒过程中，应严格按照查杀计算机病毒的操作手册进行，不得擅自修改操作流程；c）对于清除不掉的病毒应立即向本单位信息管理部门报告；d）对因计算机病毒引起的计算机信息系统瘫痪，程序和数据严重破坏等重大事故应立即采取隔离措施，并及时向公司信息中心报告。如因病毒引起的数据被破坏应及时告知本单位防病毒管理员，由本单位防病毒管理员负责或组织进行恢复（操作系统、应用系统、各种数据）。软件系统运行安全管理保障公司信息系统的操作系统和数据库管理系统的安全、稳定运行，规范操作系统和数据库管理系统的安全配置和日常操作管理。a）操作系统管理员、审计员的任命应遵循“任期有限、权限分散”的原则；b）对每个操作系统要分别设立操作系统管理员、审计员，并分别由不同的人员担任。在多个应用系统的环境下，操作系统管理员和操作系统审计员岗位可交叉担任；c）操作系统管理员、审计员的任期可根据系统的安全性要求而定，最长为三年，期满通过考核后可以续任；d）操作系统管理员、审计员必须签订保密协议书。a）操作系统管理员、审计员账户的授权由系统运行维护单位填写“操作系统账户授权审批表”，经信息系统运行管理部门负责人批准后设置；b）操作系统管理员和操作系统审计员人员变更后，必须及时更改账户设置。a）本单位其他账户的授权由使用部门填写“操作系统账户授权审批表”，经信息系统运行管理部门负责人批准后，由操作系统管理员进行设置；b）外单位人员需要使用本单位系统时,须经相关业务管理部门主管同意，填写“外单位人员操作系统账户授权审批表”，报信息系统运行管理部门负责人批准后，由操作系统管理员按规定的权限、时限设置专门的用户帐号；c）严禁本单位任何人将自己的用户帐号提供给外单位人员使用。a）系统账户的口令长度设置至少为8位，口令必须从字符（a-2"-2）、数字（0-9）、符号（〜!@#$%%*（）_<>）中至少选择两种进行组合设置；b）系统账户的口令必须经常更改，至少每月更改一次，每次更新的口令不得与旧的口令相同，操作系统应设置相应的口令规则；c）系统用户的帐号、口令、权限等禁止告知其他人员；d）须根据系统的安全要求对操作系统密码策略进行设置和调整，以确保口令符合要求。a）应设置“操作系统维护和应急处理记录”，系统管理员记录系统的运行情况；b）应对系统安装、设置更改、帐号变更、组变更、备份等系统维护工作进行记录，以备查阅；c）应对系统异常和系统故障的时间、现象、应急处理方法及结果作详细的记录。a）必须对操作系统软件的介质、资料和许可证进行登记，并设专人负责保管；b）登记的内容应包括软件的名称和版本、软件出版商、许可证类型和数量、介质的编号和数量、软件安装序列号、手册名称和数量、购买日期等；c）应有软件和资料的借用审批和借还登记手续；d）对重要的系统软件介质和资料要进行复制，借用时宜提供复制品，以保护好原件及避免丢失。a）操作系统的系统管理员账户名称不得使用系统安装时默认的系统管理员账户名，应按照“操作系统账户授权审批表”批准的账户名称、权限和有效期予以设置；必须更改系统安装时默认系统管理员账户和具有特殊权限的账户的口令，关闭不必使用的账号；b）操作系统管理员账户的口令除了要满足本规范第六条中的口令要求外，还必须每两周更改一次，发现有异常情况时应立即更改，每次更新的口令不得与旧的口令相同；c）严禁把操作系统管理员的账户名称和口令告知其他人员。操作系统管理员应对操作系统的配置参数及相关文件进行备份，当配置发生变更时必须重新备份，以便系统发生故障时能尽快恢复系统配置。a）操作系统管理员应经常检查操作系统的安全配置，并确保符合安全配置要求；b）操作系统管理员和操作系统审计员应定期查看操作系统的运行日志和审计日志，以及时发现出现的安全问题；c）操作系统管理员应定期使用最新的安全检查或安全分析工具对系统进行检查，并及时消除存在的漏洞。特别是在新软件安装或软件更新之后。a）数据库管理员（DBA）的任命应遵循“任期有限、权限分散”的原则；b）对每个数据库系统要分别设立数据库管理员和数据库审计员，并分别由不同的人员担任。在多套系统的环境下，数据库管理员和数据库审计员岗位应交叉担任；c）数据库管理员、审计员的任期可根据系统的安全性要求而定，最长为三年，期满通过考核后可以续任；d）数据库管理员、审计员必须签订保密协议书。e）数据库管理员、审计员账户的授权，审批f）数据库管理员、审计员账户的授权由系统运行维护单位填写“数据库系统账户授权审批表”，经信息系统运行管理部门负责人批准后设置；g）数据库管理员、审计员人员变更后，必须及时更改账户设置。a）本单位其他数据库账户的授权由使用部门填写“数据库系统账户授权审批表”，经信息系统运行管理部门负责人批准后，由数据库管理员进行设置；b）外单位人员需要使用本单位数据库系统时，须经相关业务管理部门主管同意，填写“外单位人员数据库系统账户授权审批表”，报信息系统运行管理部门负责人批准后，由数据库管理员按规定的权限、时限设置专门的用户帐号；c）“外单位人员数据库系统账户授权审批表”应包括使用者姓名、身份证号、工作单位、接待部门、数据库系统名称和版本、主机型号、主机号、账户名称、账户类别、授予权限、账号和权限授予期限等；d）严禁本单位任何人将自己的用户帐号提供给外单位人员使用。a）数据库账户的口令长度设置至少为6位，口令必须从字符、数字、符号中至少选择两种进行组合设置；不宜使用与账户名称中相同的字符或使用姓名、生日和电话号码等其他容易猜测的字符组合；b）数据库账户的口令必须经常更改，至少每季度更改一次，每次更新的口令不得与旧的口令相同，应设置相应的口令规则；c）数据库用户的帐号、口令、权限等禁止告知其他人员；d）必须根据安全要求对数据库管理系统的密码策略进行设置和调整，以确保口令符合要求。a）应设置“数据库系统维护和应急处理记录”，系统管理员记录系统的运行情况；b）应对系统安装、设置更改、帐号变更、表空间变更、数据对象变更、数据库备份等系统维护工作进行记录，以备查阅；c）应对系统异常和系统故障的时间、现象、应急处理方法及结果作详细的记录。a）必须对数据系统软件的介质、资料和许可证进行登记，并设专人负责保管；b）登记的内容应包括软件的名称和版本、软件出版商、许可证类型和数量、介质的编号和数量、软件安装序列号、资料名称和数量、购买日期等；c）应有软件和资料的借用审批和借还登记手续；d）对数据库系统软件介质和资料要进行复制，借用时宜提供复制品，以保护原件及避免丢失。a）数据库管理员账户名称不宜使用系统安装时默认的管理员账户名，应按照“数据库系统账户授权审批表”批准的账户名称、权限和有效期予以设置。必须更改系统安装时默认的管理员账户和具有特殊权限的账户的口令，关闭不必使用的账号；b）数据库管理员的口令长度必须设置至少为8位，满足口令的复杂性要求，还必须每两周更改一次，发现有异常情况时应立即更改，每次更新的口令不得与旧的口令相同；c）严禁把数据库管理员的账户名称和口令告知其他人员。数据库系统管理员应对数据库系统的配置参数及相关文件进行备份，当配置发生变更时必须重新备份，以便系统故障时能尽快恢复系统配置。a）应制定数据库系统的备份策略，定期对数据库系统进行备份；b）数据库备份策略的制定要以尽可能高效地进行备份与恢复为目标，并且与操作系统的备份最好地结合，宜采用物理备份与逻辑备份相结合；c）必须对备份权限的设置加以严格控制；d）必须妥善存放和保管备份介质（包括磁带、从数据库导出的文件等），防止非法访问。对备份的介质应做好标识，存放环境符合要求。a）数据库管理员应经常检查数据库系统的安全配置，并确保符合安全配置要求；b）数据库管理员、审计员应定期查看数据库系统的运行日志和审计日志，以及时发现出现的安全问题；c）数据库管理员应定期使用最新的安全检查或安全分析工具对系统进行检查，并及时消除存在的漏洞；特别是在新软件安装或软件更新之后。系统运行安全管理保障公司信息系统的应用系统的安全、稳定运行，规范应用的安全配置和日常维护管理。a）应用系统管理员、审计员的任命应遵循“任期有限、权限分散”的原则；对重要应用系统管理人员应不定期地循环任职，并对人员进行轮流培训；b）对每个重要的应用系统要分别设立应用系统管理员、审计员，并分别由不同的人员担任。在多个应用系统的环境下，系统管理员和系统审计员岗位可交叉担任；c）应用系统管理员、审计员的任期可根据系统的安全性要求而定，最长为三年，期满通过考核后可以续任；d）应用系统管理员、审计员必须签订保密协议书。a）恪守职业道德，严守企业秘密；熟悉国家安全生产法以及有关信息安全管理的相关规程，熟悉应用系统涉及的业务流程；b）负责应用系统的安装、维护和系统及数据备份；c）根据应用系统的安全策略，负责应用系统的用户权限设置以及系统安全配置；d）密切注意应用系统运行中发生的系统故障、安全事件，关注应用系统存在的隐患，收集业务用户的问题反映，及时报告信息管理部门和业务主管部门；e）根据应用系统运行的实际情况，制定应急处理预案，提交信息管理部门审定；f）遵守应用系统的有关管理规范。a）恪守职业道德，严守企业秘密；熟悉国家安全生产法以及有关通信管理的相关规程，熟悉应用系统涉及的业务流程；b）负责对应用系统的安装、维护和系统及数据备份的监督检查和登记工作；c）定期检查应用系统的用户权限设置以及系统安全配置，与应用系统安全策略的符合性；d）定期审查应用系统的审计记录，发现安全问题及时报告信息管理部门和业务主管部门。a）应用系统管理员、审计员账户的授权由系统运行维护单位填写“应用系统账户授权审批表”，经信息系统运行管理部门负责人批准后设置；b）应用系统管理员、审计员人员变更后，必须及时更改账户设置。a）用于业务应用的账户的授权由使用单位填写“应用系统账户授权审批表”，经业务管理部门及信息系统运行管理部门负责人批准后，由应用系统管理员进行设置；b）外单位人员需要使用本单位系统时，须经相关业务管理部门主管同意，填写“外单位人员应用系统账户授权审批表”，报信息系统运行管理部门负责人批准后，由应用系统管理员按规定的权限、时限设置专门的用户帐号；c）严禁本单位任何人将自己的用户帐号提供给外单位人员使用。a）应用系统管理员账户的口令长度设置至少为8位，口令必须从字符（a-z,人-2）、数字（0-9）、符号（〜!@#$%-*（）_<>）中至少选择两种进行组合设置；b）应用系统管理员账户的口令必须经常更改，至少每半年更改一次，每次更新的口令不得与旧的口令相同，操作系统应设置相应的口令规则；c）应用系统管理员用户的帐号、口令、权限等禁止告知其他人员；d）用于业务应用的账户的口令长度设置至少为6位，其他要求参照应用系统管理员账户的口令要求执行。a）设置”应用系统维护和应急处理记录"系统管理员记录系统的运行情况;b）对系统异常、系统故障的日期、现象、处理方法及结果等应急处理进行记录；c）对应用系统的安装、设置更改、帐号变更、组变更、备份等系统维护工作进行记录，以备查阅；d）对应用系统异常和系统故障的时间、现象、应急处理方法及结果作详细的记录。a）必须对应用系统软件的介质、资料和许可证进行登记，并设专人负责保管；b）登记的内容应包括软件的名称和版本、软件出版商、许可证类型和数量、介质的编号和数量、软件安装序列号、手册名称和数量、购买日期等；c）应用系统软件和资料的借用，需要审批和借还登记手续；d）对重要应用系统软件介质和资料要进行复制，借用时应提供复制品，以保护好原件及避免丢失。a）系统管理员应对系统的配置参数及相关文件进行备份；b）当配置发生变更时必须重新备份，以便系统故障时能尽快恢复系统配置。c）备份权限，备份介质都必须加以妥善保管，防止非法访问；d）如果开发数据库中导入了数据库的数据，要确保为生产数据库所指定的安全规则也用于开发数据库中；e）制定备份策略，以高效备份与恢复为目标，与操作系统备份结合，物理备份与导出相结合。系统账号口令管理保障公司网络与信息系统安全。网络运行安全管理规范公司信息网络运行以及所有路由器、交换机设备的运行和管理，保障信息系统安全、稳定运行。a）网络管理员、安全审计员的任命应遵循“任期有限、权限分散”的原则；b）网络管理系统要分别设立网络管理员、安全审计员，并分别由不同的人员担任；信息安全管理人员可以兼任网络安全审计员；c）网络管理员、安全审计员的任期可根据系统的安全性要求而定，最长为三年，期满通过考核后可以续任；d）网络管理员、安全审计员必须签订保密协议书。a）恪守职业道德，严守企业秘密；熟悉有关通信管理、信息安全管理的相关规程；b）根据网络访问控制策略要求，进行网络设备参数设置，更新和维护等工作;c）对网络设备实行分级授权管理，按照岗位职责授予不同的管理级别和权限；d）遵守网络运行和网络设备各项管理规范。a）恪守职业道德，严守企业秘密，熟悉有关通信管理的相关规程，了解网络访问控制策略要求；b）对网络管理员的每次登录和操作内容进行登记，一周内至少审计一次日志报表；c）对网络设备（包括交换机、路由器、防火墙、入侵检测、漏洞扫描等）配置、网络访问控制策略、日志报表进行符合性检查与审计；d）及时掌握网络安全最新知识，为网络设备安全运行提供预警信息；e）遵守网络设备运行各项管理规定。a）网络管理员应依据经过批准的访问控制策略进行网络访问控制的设置和修改，如需要增加设置或修改必须经过授权，由需求单位填写“网络访问控制策略变更审批表”，经信息管理部门负责人批准后实施；b）只有网络管理员和网络安全审计员才有权登录网络设备，发生人员变更后，应及时更改网络设备账户和口令设置。a）只有网络管理员才具有修改网络设备系统配置参数的权限；b）为用户级和特权级模式设置口令，不要使用缺省口令，确保用户级和特权级模式口令不同；c）用户口令长度应采用8位以上，由非纯数字或字母组成，并定期更换，不要使用容易猜解的口令。a）每月定期下载或记录网络设备CPU、内存利用率，以及主要端口流量等；b）每周统计一次各端口带宽利用率，和每个业务流量统计，并做分析；c）一周内至少审计一次日志报表；d）每季度对各网络机房巡视，并做巡站记录；e）对网络安全事故要及时处理，保证信息网络的安全运行。a）做好系统环境变量设置；b）配置端口、IP地址、VLAN等参数；c）静态路由或动态路由；d）定义访问控制列表；e）配置冗余的网络设备，并安装到网络当中；f）定义管理员清单和管理权限；g）测试设备性能和保管好网管资料。a）系统管理员应定期和不定期地检查网络设备的运行状况，及时查看设备日志，对异常情况的发生，及时上报，并做好记录；b）对网络设备的CPU和内存利用率、数据流量、地址翻译数量等，进行均时监测、跟踪工作，每周形成报表。a）应设置“网络运行维护和应急处理记录”，网络管理员记录系统的运行情况；b）应对网络设备安装、设置变更、配置备份等网络系统维护工作进行记录，以备查阅；c）应对网络系统异常和网络系统故障的时间、现象、应急处理方法及结果作详细的记录。墙运行安全管理规范公司信息网络的所有防火墙及相关设备的管理，保障信息网络的安全、稳定运行。a）防火墙系统管理员的任命应遵循“任期有限、权限分散”的原则；b）系统管理员的任期可根据系统的安全性要求而定，最长为三年，期满通过考核后可以续任；c）必须签订保密协议书。a）恪守职业道德，严守企业秘密；熟悉国家安全生产法以及有关信息安全管理的相关规程；b）负责网络安全策略的编制，更新和维护等工作；c）对信息网络实行分级授权管理，按照岗位职责授予不同的管理级别和权限；d）不断的学习和掌握最新的网络安全知识，防病毒知识和专业技能；e）遵守防火墙设备各项管理规范。a）每月定期安装、更新厂家发布的防火墙补丁程序，及时修补防火墙操作系统的漏洞，并做好升级记录；一周内至少审计一次日志报表；一个月内至少重新启动一次防火墙；d）根据入侵检测系统、安全漏洞扫描系统的提示，适时调整防火墙安全规则；e）及时修补防火墙宿主机操作系统的漏洞；f）对网络安全事故要及时处理，保证信息网络的安全运行。“防火墙配置变更审批表”进行。防火墙设备安全规则的设置、更改，应该得到信息系统运行管理部门负责人的批准，由系统管理员具体负责实施。a）记录网络环境，定义防火墙网络接口；b）配置静态路由或代理路由；c）定义防火墙的网络对象和应用端口；d）定义安全策略；e）配置冗余的防火墙设备，并安装到网络当中；f）定义管理员清单和管理权限；g）测试防火墙性能和做好网管资料。a）系统管理员应定期和不定期地检查防火墙设备的运行状况，及时查看防火墙日志，对异常情况的发生，及时上报，并做好记录；b）对防火墙设备的CPU和内存利用率、数据流量、地址翻译数量等进行均时监测、跟踪工作，每周形成报表。“防火墙维护和应急处理记录”。当防火墙设备发生宕机引起网络拥塞或网络瘫痪等重大安全事件时，应立即启动紧急响应程序，对网络进行紧急处理，堵塞攻击入口，恢复网络的正常运行，并追查攻击来源，及时上报。规范公司信息网络的所有入侵检测及相关设备管理，保障信息网络的安全、稳定运行。a）入侵检测系统管理员的任命应遵循“任期有限、权限分散”的原则；b）系统管理员的任期可根据系统的安全性要求而定，最长为三年，期满通过考核后可以续任；c）必须签订保密协议书。a）恪守职业道德，严守企业秘密；熟悉国家安全生产法以及有关信息安全管理的相关规程；b）负责入侵检测系统的管理、更新和事件库备份、升级；c）负责对入侵检测系统发现的恶意攻击行为进行跟踪处理；d）根据网络实际情况正确配置入侵检测策略，充分利用入侵检测系统的处理能力；e）密切注意最新网络攻击行为的发生、发展情况，关注和追踪业界公布的攻击事件；f）遵守入侵检测设备各项管理规范。a）入侵检测系统的部署位置应能正确检测到被保护网络的数据流量，并能抓取含有足够信息的IP包，如：MAC地址、IP地址等；b）系统管理员应根据具体的网络情况为入侵检测系统选择、配置适当的检测策略，充分利用系统的能力；。）入侵检测系统应尽量与防火墙联动，充分发挥系统的潜力。a）每月定期安装、更新厂家发布的入侵检测设备补丁程序（包括事件库），及时修补入侵检测操作系统的漏洞；一周内至少审计一次日志报表；一个月内至少重新启动一次入侵检测设备。“入侵检测设备配置变更审批表”进行。入侵检测设备安全规则的设置、更改，应该得到信息系统运行管理部门负责人的批准，由系统管理员具体负责实施。a）根据需要记录当前网络环境，定义入侵检测接口；b）安装引擎（包括事件库）和终端网管软件；c）定义入侵检测系统要保护的网络对象（网络或主机）；d）定义检测策略，阻断级别和事件报警；e）备份配置，安装到网络当中；f）定义管理员清单和管理权限；g）模拟攻击，测试入侵检测系统性能，做好网管资料。a）系统管理员应定期和不定期地检查入侵检测设备的运行状况，及时查看系统日志，对异常情况的发生，及时上报，并做好记录，填写“入侵检测记录单”；9对入侵检测设备的CPU和内存利用率、报警次数等进行均时监测、跟踪工作，每周形成报表。规范公司网络信息系统的所有漏洞扫描及相关设备进行管理，保障信息网络的安全、稳定运行。a）漏洞扫描系统管理员的任命应遵循“任期有限、权限分散”的原则；b）系统管理员的任期可根据系统的安全性要求而定，最长为三年，期满通过考核后可以续任；c）必须签订保密协议书。a）恪守职业道德，严守企业秘密；b）熟悉国家安全生产法以及有关通信管理的相关规程；c）负责漏洞扫描软件（包括漏洞库）的管理、更新和公布；d）负责对网络系统所有服务器和专用网络设备的首次、周期性和紧急的漏洞扫描；e）负责查找修补漏洞的补丁程序，及时打补丁堵塞漏洞；f）密切注意最新漏洞的发生、发展情况，关注和追踪业界公布的漏洞疫情；g）遵守漏洞扫描设备各项管理规范。“漏洞扫描设备配置变更审批表”进行。漏洞扫描设备的规则设置、更改，应该得到信息系统运行管理部门负责人的批准，由系统管理员具体负责实施。“漏洞扫描补丁记录单”。“漏洞扫描记录单”。a）记录网络环境，定义漏洞扫描的网络接口；b）定义漏洞扫描的IP地址范围；c）定义漏洞扫描的安全级别和扫描选项；d）安装，升级最新的漏洞库；e）定义管理员清单和管理权限；f）测试漏洞扫描设备的性能和做好网管数据库。“漏洞扫描记录单”。安全配置管理访问控制策略配备管理规范对网络层和系统层的访问控制，对网络设备和安全专用设备，以及操作系统和数据库系统的安全配置和日常运行进行管理，保障信息网络的安全、稳定运行。a）公司域网的详细网络结构；b）各个业务应用系统的安全要求；c）各个业务应用系统的数据流情况；d）不同系统及网络之间的访问控制及数据传输要求；e）各种连接的访问权限；f）各个服务器系统及其承载应用服务的安全要求；g）各个服务器操作系统的访问控制及安全要求；h）各个服务器数据库系统的访问控制及安全要求；i）各个终端计算机或各种用户群的访问控制及安全要求。“内部人员远程访问审批表”。经被远程登录方信息管理部门负责人批准同意后，由被远程登录方网络管理员分配远程访问的用户名和口令。批准远程访问的时间结束后，网络管理员应及时变更远程访问的用户名和口令。“外部人员远程访问审批表”，并要得到信息管理部门负责人以及有关业务管理部门负责人批准。对于需进行远程登录维护的情况，有关系统的系统管理员应监控整个外部远程访问过程，确保系统安全，并且在外部远程访问结束后，应及时拔掉电话线，关闭调制解调器的电源，并更改用于外部远程访问的用户名和口令。“操作系统账户授权审批表”或“数据库系统账户授权审批表”，应经系统业务主管部门审批同意，由系统管理员统一处理，并建立用户资料档案。“访问策略变更审批表”，并经信息中心审批。审批同意后方可按照策略修改有关设备的配置，并要求做好相关的记录。操作系统安全配置管理规范公司操作系统的安全配置方法和日常操作系统管理，保障信息网络的安全、稳定运行。数据库系统安全配置管理为规范海南电网公司信息系统的数据库系统的安全配置方法和日常数据库系统管理，保障信息网络的安全、稳定运行。a）数据库服务器应置于单独的服务器区域，任何对这些数据库服务器的物理访问均应受到控制；b）数据库服务器所在的服务器区域边界应部署防火墙或其它逻辑隔离设施。a）数据库系统的宿主操作系统除提供数据库服务外，不得提供其它服务，如：WWW、FTP、DNS等；b）应在宿主操作系统中设置本地数据库专用账户，并赋予该账户除运行各种数据库服务外的最低权限；c）对数据库系统安装目录及相应文件访问权限进行控制，如：禁止除专用账户外的其它账户修改、删除、创建子目录或文件。a）严禁不同的数据库系统使用相同的账户与口令；b）重新命名数据库管理员账户，并删除不需要的默认账户；c）数据库用户账户与数据库管理员账户分离。a）系统管理员：能够管理数据库系统中的所有组件