信息系统安全策略要点.docVIP

信息系统安全策略 类 别：计算机信息管理 制度编码：CI01-2011 起草单位：信息管理部 下发日期：2011.2 第一章? 总? 则?? 为了保证中煤张家口煤矿机械有限责任公司（以下简称张煤机）信息系统的安全和发展、保证信息系统的正常运行,特制定本安全策略。 第二条 ?? 信息系统应用、服务支撑和管理的相关人员应该遵守《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》等相关法律、法规以及和张煤机有关安全管理规定的要求。 第三条 ?? 信息系统包括业务支撑系统（BSS）、运营支撑系统（OSS)、管理支撑系统（MSS）和信息系统基础设施以及内网信息安全体系。 第四条 ?? 张煤机所属各单位的信息系统管理工作，均应严格遵照本管理办法执行。各单位可以根据本办法，结合实际情况制定本单位实施细则。 第五条 ?? 信息系统相关部门一般分为信息系统管理部门、信息系统应用部门和信息系统服务支撑部门。 （一）信息管理部作为张煤机信息系统管理部门以及信息系统服务支撑部门； （二）凡是操作、使用信息系统的单位为信息系统应用部门； 第六条 ?? 本管理办法由张煤机信息管理部负责解释。 第七条 ?? 本管理办法自发布之日起执行 第二章? ?? 信息系统的安全实行集中管理制。张煤机信息管理部是信息系统安全的管理部门，负责解决运行管理中的安全问题，并对信息系统应用部门安全管理负有指导、监督和检查责任。 第九条 ??信息系统服务支撑部门负责人必须指定专门的信息系统管理人员和文档管理人员。信息系统管理人员是系统安全的具体责任人，负责所辖系统机房、信息系统及网络的日常管理和信息安全工作，应经常对信息系统的软件、硬件进行检查和服务支撑，做好安全防范，保证网络能够持续有效地运行，并结合工作需要及时对信息系统上的信息进行更新服务支撑，及时对发布的信息进行复核，公布有效信息，清除垃圾信息等。文档管理人员负责对信息系统安全的关键配置、用户权限变更、重要日志等文档进行保存。 第十条 ?? 信息系统服务支撑部门应结合本部门的具体情况，负责落实信息安全责任制，定期（至少每月一次）进行信息安全检查，杜绝各类信息安全隐患，做好信息系统安全管理工作，保证信息系统的安全，使其正常高效地运行。 第十一条 ?信息系统服务支撑部门应定期（至少每6个月一次）对所属工作人员进行有关信息系统安全的教育和培训，提高系统管理队伍的整体素质和操作能力。 第十二条 ?各级人员严格遵守通信纪律，增强保密意识，保守通信机密，不能向无关人员泄漏系统及其数据结构、容量配置、统计数据等相关技术资料。 第十三条 ?严格遵守保密制度，有关业务系统数据、报表数据、用户资料数据等均属秘密，不得任意抄录、复制及带出，也不得转告与工作无关人员，不用的草稿、报表应及时销毁。 第十四条 ?信息系统服务器及网络设备必须使用经正式授权的正版软件，不得安装使用任何盗版及与提供服务无关的软件；软件使用部门和个人取得新软件前必须确认其购买与安装是否符合公司的软件使用政策。 第十五条 ?信息系统服务支撑单位应建立信息系统安全事件应急流程预案（包括机房环境、DCN网络、信息系统、终端等）并且进行定期（至少每年一次）演练，发生紧急安全事件时应依照预案流程进行，快速恢复信息系统正常运行。 第三章? 第十六条 信息系统服务支撑部门系统管理员为系统中的每一个用户创建唯一的用户帐号。在特定情况下可以使用共享的用户ID，但必须经过授权，并采取额外的控制措施来保证责任到人。用户ID不得体现用户的权限级别。对所有在线的系统无论是本地或远程操作，系统用户都必须通过系统的密码认证。 第十七条 ?帐号密码设置需符合以下安全要求: （一）? ? （二）? （三）? （）? 30分钟之内连续出现3次无效的登录尝试，登录界面自动关闭。 （）? （）? 第十八条 ?系统管理员的密码更新后，应将新密码记录送交指定人员封存，并销毁旧密码。当系统管理员发生变化时，新的系统管理员应立即更改密码。 第十九条 ?应制定用户帐号的注册和注销程序，用户申请帐号和权限时，由用户所在部门帐号管理人员提交《用户权限申请表》（见附件一），由用户所在部门主管领导和信息系统服务支撑部门主管领导对用户权限和申请原因等内容进行审批，系统管理员根据审批后的申请表,设置用户的帐号和权限。 第二十条 超级权限用户的分配应遵循以下标准： （一）? （二）? （三）? （四）? ID之外，另行设置一个授予了超级权限的特殊帐户（超级权限应是不同于一般商业用途的用户ID的另一个ID）； （五）? 第二十一条 ?系统管理员掌握的超级管理员密码正常情况下应每90天修改一次，由系统管理员修改密码并将修改后的系统管理员帐号密码记录，销毁旧密码，将