产权交易中心计算机信息系统安全管理模版.docx
- 文档编号:29507
- 上传时间:2022-10-01
- 格式:DOCX
- 页数:7
- 大小:15.51KB
产权交易中心计算机信息系统安全管理模版.docx
《产权交易中心计算机信息系统安全管理模版.docx》由会员分享,可在线阅读,更多相关《产权交易中心计算机信息系统安全管理模版.docx(7页珍藏版)》请在冰豆网上搜索。
产权交易中心计算机信息系统安全管理模版
产权交易中心计算机信息系统安全管理制度
第一节总则
第1条为加强**产权交易中心(以下简称“**产权中心”)计算机信息系统(以下简称“信息系统”)安全,保障信息系统可靠、稳定、连续运行,根据《中华人民共和国信息系统安全保护条例》,结合**产权中心实际,特制定本制度。
第2条本制度规定了信息系统安全保护有关的安全组织与职责、安全管理原则与策略、机房与物理设施安全、网络安全、系统安全、应用安全、数据安全、病毒防范、应急计划、人员安全等管理工作方法。
第3条信息安全按照公司《计算机网络安全管理制度》(**产权〔**〕12号)和《公司网站信息发布管理办法》(**产权〔**〕37号)执行。
第4条本制度适用于**产权中心及分支机构。
第二节组织和职责
第5条**产权中心成立信息系统安全管理小组,安全管理小组由信息中心分管领导、信息中心负责人、网络管理员、系统管理员等组成。
第6条安全管理小组的主要职责包括:
(9)建立健全公司信息系统安全管理制度,定期对信息系统进行安全检查和风险分析,提出相应的对策。
(10)组织制定或审定各种信息系统安全策略、规划、标准、安全工作流程、技术方案与措施以及意外事件的应急计划与措施等。
(11)监督和检查各项安全管理制度在公司的落实情况,定期向公司领导提交工作报告。
第三节安全管理基本原则和策略
第7条安全第一,综合防范原则
信息系统安全保护工作实行谁主管、谁负责、预防为主、综合治理、人员防范与技术防范相结合的原则,加强制度建设,加强安全建设,加强管理,逐步实现科学化、规范化。
第8条规范分类定级原则
根据信息系统的重要程度、敏感程度以及自身资源的客观条件,信息中心和相关业务部门共同协商确定相应的安全保护等级,制定相应的安全策略,并认真实施。
第9条技术有效,适度投资原则
信息系统安全管理需在投资与效益之间加以审慎的权衡。
安全工作既要充分有效,将安全风险可能造成的危害减小到能承受的最小程度,同时又要投资适度,在不必付出与其效果不相称的过高投资代价前提下,争取最佳的安全效果。
第10条全面防范、突出重点原则
全面防范是保障信息系统安全的关键。
安全防范需要人员、管理和技术等多方面保障,需在预警、保护、检测、反应、恢复和跟踪等多个环节上采用多种技术实现。
同时,又要从公司的实际情况出发,突出自身的安全管理重点。
第11条以人为本原则
加强信息安全教育、培训和管理,强化安全意识,提升职业道德,掌握安全技术,确保安全管理措施落实好。
第12条最小特权原则
为信息系统中的每一种资源规定明确的使用权限,对系统的所有人员,按其职责划定必要的最小的授权范围,明确安全责任,通过技术和业务管理措施有效地阻止一切越权使用行为。
第四节机房及其设施安全管理
第13条机房建设应根据信息系统的重要程度,按照《计算机场地安全要求》(GB9631-1988)执行。
对处理关键数据和信息的信息系统的机房应按照A类机房标准建设、管理。
第14条建立健全机房安全管理制度,专人负责机房及其设施的安全管理工作,严格执行《计算机机房管理制度》。
第15条对信息系统使用的关键设备建立严格的登记制度,保证设备购置、安装、调试、维护、维修、报废等处置活动可控。
第五节网络安全管理
第16条网络安全管理目标
建立安全、可靠、高效的计算机网络系统,实现网络传输、网络接入、网络访问的可控性,保证网络传输信息的保密性、完整性、可靠性。
建立健全网络管理制度,不断完善网络安全监控手段,防止未授权的用户进入、访问、攻击网络系统,确保网络系统的安全运行和使用。
第17条明确网络安全管理责任人,不断完善网络安全策略,对网络连接、网络配置、网络安全措施、网络设备及操作规程定期或不定期进行安全检查和评估,并提交书面的网络安全评估报告。
第18条网络设备安全管理
(1)所有网络设备必须具有用户访问控制机制。
(2)对网络设备的配置要统一归档、统一备份。
(3)网络设备的日志要统一收集、统一分析、统一备份。
(4)网络设备的选型须符合国家有关规定,在同等性价比条件下以国产品或国内生产品优先。
第19条网络监控管理
(1)须每周检查分析关键网络设备的运行情况。
(2)须每周检查分析重要网络线路的状况。
(3)须有对网络流量进行监控的手段,每周进行一次网络数据包分析,及时发现和预防网络病毒攻击。
第20条因特网接入安全管理
1.在因特网区域必须设置非军事区,安装网络防火墙,实时检测网络入侵,并定期检测网络系统的安全漏洞。
2.实现对非军事区域的性能、安全和可用性的监控,须有安全应急处理方案。
3.对所有可配置的网络设备按最小安全访问原则设置访问控制权限,只开放需要的端口。
第21条对可能从内部网络向外发起的连接资源(如拨号上网、无线上网等)实施严格控制,建立连接资源使用授权制度,防止使用未经许可和授权的连接资源。
第22条网络用户管理
(1)网络用户和权限控制必须统一管理。
(2)对网络用户必须采取有效可行的监控、管理和审计机制。
(3)网络用户权限的分配、变更应及时进行记录。
(4)网络用户应对自己的用户名、密码进行保密,防止被盗用。
(5)对安全区域外部移动用户的网络访问实施用户安全认证、通信加密、审计等技术措施(如采用VPN技术等安全措施),保证网络连接的可靠性、保密性。
第六节系统安全管理
第23条系统安全管理目标
建立健全系统安全管理制度,加强系统的用户、权限、备份等管理,实现操作系统、应用系统的安全运行和使用。
第24条操作系统安全管理
(1)系统管理员负责操作系统的日常安全管理和安全审计,对用户安全使用进行指导、登记和监视。
依据操作规程安全使用、配置操作系统。
(2)对操作系统安全性进行及时维护,对操作系统的安全弱点和漏洞进行控制。
(3)定期监控操作系统的运行情况,检查CPU、内存、I/O、进程情况,根据检查结果,确定系统性能瓶颈,进行优化。
(4)定期检查操作系统日志文件,监视系统运行状态,发现问题及时处理。
第25条应用系统安全管理
(1)在进行应用系统设计时应充分考虑总体安全策略,关键业务系统使用的主机、操作系统、数据库系统应满足相应的安全等级要求。
(2)制定切实可用的应用系统及数据的备份计划和应急计划,并由专人负责落实和管理。
(3)定期监控应用系统的运行情况,定期清理文件系统中的无用文件和临时文件。
第26条帐户和密码安全管理
第1条系统管理员掌握超级用户权限,负责各级用户的建立、删除和更改权限的管理。
第2条帐户开户和权限变更,需填写用户申请表格,经部门负责人和信息中心负责人审批后,由系统管理员进行帐户的开户工作和变更工作。
第3条用户帐户仅限于本人使用,用户有妥善保管自己帐户和密码的责任和义务,不得将帐户和密码泄漏给他人。
第27条系统故障处理
(1)故障预防:
检查系统日志,分析系统状况,做好系统故障的预防。
(2)故障处理:
及时判断故障原因,完成必要的记录,提出必要的防范措施。
(3)故障总结:
定期回顾、分析故障案例,提高故障分析处理能力,建立完整的故障维护记录档案。
第28条制定系统备份和恢复计划,做好系统备份和恢复工作,保证系统正常运行。
第七节数据安全管理
第29条数据安全管理目标
建立数据备份与容错机制,确保数据的安全、完整和可用。
第30条制定数据备份计划,根据业务需要,采用全备份、增量备份等备份策略。
保证备份数据安全,定期检查备份数据的完整性,对重要的备份数据进行加密处理。
第31条核心业务系统实现硬件级物理容错和软件级数据备份相结合,对最关键的设备,须采用双机热备容错技术,一般应用实现软件级数据备份。
第32条核心业务系统的系统配置和技术参数调整须经信息中心负责人批准,业务参数调整须经业务部门负责人和信息中心负责人批准。
第33条加强数据访问和存储的安全管理,防止数据的泄漏、非法变更、丢失和被破坏,根据要求对存储的数据文件和数据库文件记录实现加密保护。
第34条加强数据访问控制,对涉及业务、财务和档案等的数据库,应利用数据库系统的访问跟踪记录功能,监控用户访问数据库的行为,定期检查监控日志,及时发现异常。
第35条原则上不能在信息系统后台数据库直接修改数据,如有需要,业务部门需填写《数据变更申请单》(附件一),经业务部门负责人、信息中心负责人、公司领导审核批准后,授权数据库管理员执行操作。
数据库管理员在执行操作前,须做好数据备份工作,操作完成后提交给业务部门确认。
第八节病毒防范管理
第36条建立计算机系统防病毒体系,指定病毒防护安全管理人员,负责防病毒系统的管理。
每周检查防病毒服务器的升级情况,检查服务器和用户端防毒软件的更新情况,做好防病毒系统的升级与维护。
第37条服务器和用户端上必须安装防病毒软件,保证系统安全。
未经许可,用户不得擅自终止、卸载防病毒软件。
第38条建立和制定计算机系统病毒防范应急处理计划,应对各类突发事件。
因计算机病毒引起信息系统瘫痪、程序和数据严重破坏等重大安全事故,须及时向公司领导汇报。
第九节人员安全
第39条信息系统安全管理的有关人员应具有政治可靠、思想进步、作风正派、技术合格、职业道德良好等基本素质。
第40条安全管理小组应加强信息系统安全管理岗位人员的录用、考核管理,不适宜的人员须及时调离。
第41条信息中心应定期对信息系统安全管理岗位人员进行培训,经过培训的人员才能上岗工作。
第42条对调离信息系统安全管理岗的人员,应严格办理调离手续,交回所有钥匙及证件,退还全部技术手册、软件及其它相关资料,更换相关系统的有关口令和密钥。
第十节附则
第43条本制度由信息中心负责解释和修订。
第44条本制度自发布之日起开始执行。
附件一
数据变更申请表
申请部门
经办人
日期
变更内容
申请部门
意见
信息中心
意见
公司
领导
批示
主办
领导
总
经
理
董
事
长
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 产权 交易中心 计算机信息 系统 安全管理 模版