信息系统安全的管理规范

治理治理信息系统安全治理标准信息系统安全治理标准1

此文档用于标准公司业务系统的安全治理，安全治理所到达的目标如下：确保业务系统中全部数据及文件的有效保护，未经许可的用户无法访问数据。对用户权限进展合理规划，使系统在安全状态下满足工作的需求。2据库治理员才有权限申请进入机房。系统治理员及数据库治理员因工作需要进入机房前3保护系统数据安全的第一道防线是保障网络访问的安全入到公司网络中。其次道防线就是要掌握存放数据及应用文件的主机系统不能被未经许可的用户直接访问。为防止主机系统被担忧全访问，实行以下措施：操作系统级的超级治理用户口令、数据库治理用户口令、应用治理用户口令只能由系统治理员设定并经办公室审核，１个月做一次修改，口令要向其他人员保密。在应用系统实施阶段，考虑到应用软件供给商需要对自己的产品进展调试，可以在调试时将应用治理用户口令临时开放给应用软件供给商；调试一完毕系统治理员马上更改口令。对口令设定必需满足以下标准：最多允许尝试次数口令最长有效期口令的最大长度口令的最小长度530天不受限6口令的唯一性要求。4最近三次所更改的口令不能一样通过口令掌握及对象的安全掌握实现。5为有效的保障业务数据的安全，实行以下措施：数据库内具有较高权限的治理用户口令由办公室数据库治理员设定,并由办公室审核，不能向其他人开放。口令必需１个月做一次修改。业务系统后台数据库对象创立用户的口令由办公室数据库治理员设定1个月做一次修改。对口令设定必需满足以下标准：口令最长有效期口令的最大长度口令的最小长度口令的唯一性要求30天不受限6最近三次所更改的口令不能一样依据操作需求，在数据库中分别建立对业务数据只有“增、删、改”权限的用户；对业务数据只有“查询”权限的用户。不同的操作需求开据库直接进展数据的“增、删、改”操作对于业务必需的后台job或批处理，必需由办公室门人员执行。6应用系统访问依靠系统内部定义的操作用户权限来掌握,操作用户权限掌握到菜单一级，对于操作用户的安全治理有如下标准：全部应用级的操作用户及初始口令统一由办公室门设定，以个人邮件的形式分别发给各部门的操作人员。各部门操作人员在首次登录时必需修改口令，口令必需１个月做一次修改。对于口令设定必需满足以下标准：口令最长有效期口令的最大长度口令的最小长度口令的唯一性要求30天不受限6最近三次所更改的口令不能一样操作人员不能将自己的用户及口令随便告知他人全部使用者的认可都由系统治理员来逐一安排。必需由部门经理提交访问权认可的申请表，“权限申请表”。该申请表应当得到部门经理和办公室的共同批准。之后，IT系统治理员会帮助应用系统的使用者开通账户，并建立相应的访问等级和权限。当应用系统需要关闭某位使用者的账户时，首先该部门应当填写“权限申请表”，并得到部门经理和办公室的共同批准。之后，IT询之用。7码设有密码，并不得与任何人共享。使用者的身份号码意味着不允许存在公共使用。然而，支持网关和效劳器的设备是一个例外，例如：互联网效劳器等。只有得到IT经理的批准，才能使用这些公共使用身份号码。使用者不得与他人共享密码。假设已经告知了他人，那么使用者将对他人利用密码所做的任何行为的后果负责。假设使用者疑心他IT系统治理员汇报。3使用者不应当书面记录下密码，并放在别人可以轻易看到的地方。密码不得设IT技术支持人员要求运用使用密码。假设他们因诱骗而泄漏了密码，则必需尽快向IT系统治理员汇报。假设使用者疑心我们信息系统的安全性受到威逼，则必需尽快向IT系统管理员汇报。使用者对他们自己输入系统的数据的准确性负责，同时也对他们指示系统开发下载到我们系统够修改的话，则应当将其改正。假设自己改正不了，则应当向他们的主管汇报。假设是在源文件觉察数据错误，则应当尽快改正这些错误，而不是有意将这些错误输入我们的门经理应当准时递交“权限申请表”以通知IT系统治理员。特别是在员工辞职的情况下，他/她的部门经理以及人事部经理应当准时通知IT系统治理员，以保证在最短的时间内撤销他/她的系统访问权。8已转换的端口将依据以下优先等级来安排：需要带宽的使用者可以访问机密数据的使用者职务等级，例如：公司领导优先于治理员，治理员优先于经理，依此类推。全部的访问我们本地网络的端口只有在部门经理指定授权使用者时才可以开通。因此，在公共区域〔例如：会议室〕的访问端口只能在使用时开通。4交换机位于数据中心，对该中心的物理访问应当掌握。除了授权的IT支持人员以外，任何使用者都不得在公司办公地点的个人电脑上安装任何带有数据包监听端口或地址扫描功能的软件。IP地址只能由经授权的IT支持人员来安排。使用者不得自行安排他们的IP地址。全部的交换机、路由器、互联网效劳器以及防火墙都应当设置密码，此密码不得为原厂密码。交换机、路由器、互联网效劳器以及防火墙的全部不同等级的密码都应当记录在案。IT经理应当保存一个备份。全部效劳器的治理员密码和主管密码都应当记录在案。IT经理应当保存一个备份。对于交换机、路由器网络集线器以及效劳器的构造等级的访问应当只限授权的IT支持人员。关于安全的信息以及通往网络的网关的保