信息安全管理制度-6.应用系统安全管理制度

应用系统安全管理制度第一章总则第一条为保障本委信息系统的应用系统的安全、稳定运行，规范应用的安全配置和日常维护管理，特制订本制度。第二条本办法适用于本委各科室，以及直属各单位的信息系统的应用系统的运行管理。其他联网单位可参照执行。第二章人员职责第三条应用系统管理员、审计员的任命应用系统管理员、审计员的任命应遵循“任期有限、权限分散”的原则；对重要应用系统管理人员应不定期地循环任职，并对人员进行轮流培训。对每个重要的应用系统要分别设立应用系统管理员、审计员，并分别由不同的人员担任。在多个应用系统的环境下,系统管理员和系统审计员岗位可交叉担任；应用系统管理员、审计员的任期可根据系统的安全性要求而定，最长为三年，期满通过考核后可以续任；应用系统管理员、审计员必须签订保密协议书。第四条应用系统管理员的职责恪守职业道德，严守企业秘密；熟悉国家安全生产法以及有关信息安全管理的相关规程，熟悉应用系统涉及的业务流程；负责应用系统的安装、维护和系统及数据备份；根据应用系统的安全策略，负责应用系统的用户权限设置以及系统安全配置；密切注意应用系统运行中发生的系统故障、安全事件，关注应用系统存在的隐患，收集业务用户的问题反映，及时报告信息管理部门和业务主管部门；根据应用系统运行的实际情况，制定应急处理预案，提交信息管理部门审定；遵守应用系统的有关管理规范。第五条系统审计员的职责如下：恪守职业道德，严守企业秘密；熟悉国家安全生产法以及有关通信管理的相关规程，熟悉应用系统涉及的业务流程；负责对应用系统的安装、维护和系统及数据备份的监督检查和登记工作；定期检查应用系统的用户权限设置以及系统安全配置，与应用系统安全策略的符合性；定期审查应用系统的审计记录，发现安全问题及时报告信息管理部门和业务主管部门。第三章用户管理第六条建立应用系统账户的授权、审批流程。应用系统的账号注册和授权由各应用部门向业务主管部门提交申请，业务主管部门审批后提交给信息系统运行管理部门批准，由信息系统管理员注册并设置角色权限。第七条应用系统管理员、审计员帐户的授权、审批应用系统管理员、审计员账户的授权由系统运行维护单位填写《应用系统账户授权审批表》（参见附表1），经信息系统运行管理部门负责人批准后设置；应用系统管理员、审计员人员变更后，必须及时更改帐户设置。第八条业务应用的帐户的授权、审批用于业务应用的账户的授权由使用单位填写《应用系统账户授权审批表》，经业务管理部门及信息系统运行管理部门负责人批准后，由应用系统管理员进行设置；外单位人员需要使用本单位系统时，须经相关业务管理部门主管同意，填写《外单位人员应用系统账户授权审批表》（参见附表2），报信息系统运行管理部门负责人批准后，由应用系统管理员按规定的权限、时限设置专门的用户帐号；严禁本单位任何人将自己的用户帐号提供给外单位人员使用。第九条口令的复杂性、安全性要求和检查应用系统管理员账户的口令长度设置至少为8位，口令必须从字符（a-z,A-Z）、数字（0-9）、符号（~!@#$%八&*（）_〈〉）中至少选择两种进行组合设置；应用系统管理员账户的口令必须经常更改，至少每半年更改一次，每次更新的口令不得与旧的口令相同，操作系统应设置相应的口令规则；应用系统管理员用户的帐号、口令、权限等禁止告知其他人员；用于业务应用的账户的口令长度设置至少为6位，其他要求参照应用系统管理员账户的口令要求执行。第四章系统管理第十条应用系统维护和应急处理记录应设置《应用系统维护和应急处理记录》（参见附表3），系统管理员记录系统的运行情况；应对系统异常、系统故障的日期、现象、处理方法及结果等应急处理进行记录；应对应用系统的安装、设置更改、帐号变更、组变更、备份等系统维护工作进行记录，以备查阅；应对应用系统异常和系统故障的时间、现象、应急处理方法及结果作详细的记录。第^一条应用系统软件、资料以及许可证的管理必须对应用系统软件的介质、资料和许可证进行登记，并设专人负责保管；登记的内容应包括软件的名称和版本、软件出版商、许可证类型和数量、介质的编号和数量、软件安装序列号、手册名称和数量、购买日期等；应用系统软件和资料的借用，需要审批和借还登记手续；对重要的应用系统软件介质和资料要进行复制，借用时应提供复制品，以保护好原件及避免丢失。第十二条应用系统配置的备份的管理系统管理员应对系统的配置参数及相关文件进行备份；当配置发生变更时必须重新备份，以便系统故障时能尽快恢复系统配置。第十三条应用系统数据的备份的管理备份权限，备份介质都必须加以妥善保管，防止非法访问；如果开发数据库中导入了数据库的数据，要确保为生产数据库所指定的安全规则也用于开发数据库中；制定备份策略，以高效备份与恢复为目标，与操作系统备份结合，物理备份与导出相结合。第五章附则第十四条本制度由本委信息科负责解释。第十五条本规定自颁布之日起实行，有新的修改版本颁布后，本规定自行终止。

附表1应用系统怅户授权审批表申请部门！编号2r号申请日期■部门班组联系电话：■授权□新开帐户授权起貽日期：性质n权F腹更期限结朿日期；申请权限慕求（应用系统名称r鮮贽源.便用功能、权限等h申谙理由F申i醫B门意见：业务管嘤E门意见：信息系统运行管理部门意日期：签牡：日期：签名：日期执齐记录应月系统名主机型号演源名称权限设置其他设置执行人执行日期附表附表2外单位人员应用系统帐户授权审批表编号二姓名部门申请日期工作单位身饰正号授权O新开帐户授权起贻日期：性质□权限变更期限结束日期：申请权限要求（应用系统名称.使紡滅使功能.权限等）：申i用里4业务官理部门意皿信