深圳万科应用系的统安全管理.docVIP

草案 流程描述 Page  PAGE 4 公司万科企业股份有限公司（深圳万科）流程信息系统安全子流程应用系统安全管理子流程参考号#SZ-GC-E 修正日期 制作人复核人20/9/2007古学庆李宝昌 流程总述 本流程描述了深圳万科应用系统安全管理方面的一般性流程，包括对用户、系统的管理和安全监控等方面。 流程描述 2.1应用系统安全综述 2.2对用户的管理 2.2.1帐号管理 2.2.2认证管理 2.2.3权限管理 2.3对系统的管理 应用系统安全综述 深圳公司总经理办公室负责公司内部应用系统的安全管理，实施、配置、管理逻辑安全工具和技术，以限制对应用系统的访问，保证系统的安全，避免出现对信息系统及数据未授权和不恰当访问的情况。 对用户的管理 本流程描述中对用户的管理包括用户管理、认证管理和权限管理，其逻辑关系表现为：系统中的用户首先需要按照业务需求进行增加、修改和删除并设置相应的安全机制；为了保证逻辑权限安全，必须具有一定的身份识别和认证机制，保证只有有效的用户才能进入系统；一旦认证为合格用户进入系统，系统应该识别该用户具有哪些经过审批的权限并允许用户实际进行操作。 2.2.1帐号管理 用户帐号的管理是对用户管理的基础，集团IT中心制定了《信息安全策略》 GC-e-1，规定设置用户帐号的时候，系统中的每一个帐号只能对应一个用户或合作方，以区别身份[应用系统中的每一帐号必须只能对应一个用户，以区分身份和划分责任。]（控制活动编号：GC-E-1）。用户登录应用系统时，使用自己的帐号进行登录。 为了保证系统安全，要求应用系统的管理人员在系统启用的时候，修改默认帐号的密码。应用系统管理员将系统中不使用的默认用户设为非激活状态。[应用系统的使用人员必须修改各自的默认密码，同时对不需要的帐号进行删除或锁定。]（控制活动编号：GC-E-2）。 应用系统管理员拥有该应用系统的最高权限，对系统特权的不当使用经常成为导致系统产生漏洞和故障的一个主要因素，因此总经理办公室明确定义???作系统管理员的职责。应用系统管理员必须保证正确设置和管理系统的各项参数和用户，处理系统出现的故障，监控系统运行状态和日志，保证应用系统安全、高效的运行。同时总经理办公室对具有应用系统管理员权限的人员数量进行严格限制。当应用系统正式运行时，总经理办公室明确定义具有系统管理员权限的人员和责任，目前应用系统管理员、操作系统管理员、数据库管理员为同一人。当应用系统管理员变化时，总经理办公室(副)主任重新指定应用系统管理员，并立即进行密码的变更与更新记录。操作系统管理员的职责在《岗位说明书》GC-e-2有明确的说明[信息系统管理部门必须明确定义具有应用系统管理员权限的人员和责任。应用系统管理员与操作系统、数据库管理员不能为同一个人。]（控制活动编号：GC-E-3）。缺陷：应用系统管理员与操作系统管理员、数据库管理员相同。 2.2.2认证管理 密码或其它鉴别机制提供了一种验证用户身份的手段，建立了对信息处理设备和服务的访问权限。应用系统有身份认证机制，保证只拥有合法身份的用户才能访问系统。用户登陆系统需通过密码进行身份认证。集团IT中心制定了《信息系统帐号管理规定》GC-e-3，对密码长度、密码复杂性、更换周期（每季度）等作出了具体要求 [应用系统的本地和远程用户必须通过密码或其它鉴别机制进行认证。密码应定期（至少每季度一次）更换，并有格式规定（如密码长度，密码应包含字符、密码格式）。]（控制活动编号：GC-E-4）。 2.2.3权限管理 应用系统管理员拥有应用系统的最高权限，公司对拥有应用系统管理员权限的用户需要进行严格管理。应用系统管理员的重要操作（帐号与系统参数管理）记录在《应用系统维护日志》GC-e-4。日志可以由系统自动记录和人工记录组成。对于系统无法自动记录的重要操作，由人工记录，并由独立于应用系统管理员的人员对该操作使用的命令和参数及时进行复核。总经理办公室信息技术组主管或(副)主任定期对维护日志中的执行人、执行时间、执行命令等内容进行审核[应用系统管理员执行的重要操作必须记录日志。信息系统管理部门主管应定期(至少每月一次)审核应用系统管理员的操作日志。]（控制活动编号：GC-E-5）。 应用系统的用户权限必须和用户岗位需求一致。用户申请帐号和权限时，提交《用户权限申请表》GC-e-5,由用户所在部门管理人员和总经理办公室(副)主任对用户申请权限和原因进行审批，应用系统管理员根据审批后的申请表,设置用户的帐号和操作权限。用户所在部门管理人员和总经理办公室(副)主任每半年复核用户权限，确保授权正确，出具《用户权限复核表》GC-e-6[信息系统管理部门必须设置并定期（至少每半年一次）复核用户权限的性质和范围]（控制活动编