基层单位信息系统安全等级保护三级管理制度-信息系统运行和维护管理规定.docVIP

版本号：1.0. 0423 信息系统运行和维护管理规定 第一章 总则 第一条?为了进一步规范我单位信息系统运行和维护管理工作，根据《信息安全等级保护管理办法》、《信息系统安全管理要求》（GBT 20269-2006）和其他有关法律法规的规定，结合本单位实际，特制定本规定。 第二条 本规定适用于我单位信息系统安全管理人员和技术人员进行信息系统运行和维护管理工作，包括用户管理、运行操作管理、运行维护管理、外包服务管理、安全机制保障、安全集中管理。 第三条 信息系统运行和维护管理的责任部门为我单位信息系统安全管理中心。 第二章 用户管理 第四条 用户管理的内容包括五个方面：用户分类管理、系统用户管理、普通用户管理、机构外部用户管理、临时用户管理。 第五条 应按审查和批准的用户分类清单，建立用户和分配权限。用户分类清单应包括信息系统的所有用户的清单，以及各类用户的权限；用户权限发生变化时应及时更改用户清单内容；必要时可以对有关用户开启审计功能。 第六条 系统用户应由信息安全职能部门的主管领导指定，授权应以满足其工作需要的最小权限为原则；系统用户应接受审计；对重要信息系统的系统用户，应进行人员的严格审查，符合要求的人员才能给予授权；对系统用户应能区分责任到个人，不应以部门或组作为责任人；在关键信息系统中，对系统用户的授权操作，必须有两人在场，并经双重认可后方可操作；操作过程应自动产生不可更改的审计日志。 第七条 普通用户应保护好口令等身份鉴别信息；系统用户口令每季度进行更换；发现系统的漏洞、滥用或违背安全行为应及时报告；不应透露与组织机构有关的非公开信息；不应故意进行违规的操作；不应在不符合敏感信息保护要求的系统中保存和处理高敏感度的信息；不应使用各种非正版软件和不可信的自由软件；应在系统规定的权限内进行操作，必要时某些重要操作应得到批准；用户应保管好自己的身份鉴别信息载体，不得转借他人。 第八条 应对机构外部用户明确说明使用者的责任、义务和风险，并要求提供合法使用的声明；外部用户应保护口令等身份鉴别信息；外部用户只能是应用层的用户；可对特定外部用户提供专用通信通道、端口、特定的应用或数据协议、以及专用设备等；在关键部位，一般不允许设置外部用户。 第九条 临时用户的设置和期限必须经过审批，使用完毕或到期应及时删除，设置与删除均应记录备案；对主要部位的临时用户应进行审计，并在删除前进行风险评估；在关键部位，一般不允许设置临时用户。 第三章 运行操作管理 第十条 运行操作管理的内容包括七个方面：服务器操作管理、终端计算机操作管理、便携机操作管理、网络及安全设备操作管理、业务应用操作管理、变更控制和重用管理、信息交换管理。 第十一条 对服务器的操作应由授权的系统管理员实施；应按操作规程实现服务器的启动/停止、加电/断电等操作；实现操作的身份鉴别管理； 第十二条 用户在使用自己的终端计算机时，应设置开机、屏幕保护、目录共享口令；非组织机构配备的终端计算机未获批准，不能在办公场所使用；及时安装经过许可的软件和补丁程序，不得自行安装及使用其它软件和自由下载软件；未获批准，严禁使用Modem拨号、无线网卡等方式或另辟通路接入其它网络；建立身份鉴别机制； 第十三条 便携机需设置开机口令和屏保口令；因工作岗位变动不再需要使用便携机时，应及时办理资产转移或清退手续，并删除机内的敏感数据；在本地网络工作时应按终端计算机的要求执行；在本地之外网络接入过的便携机，需要接入本地网络前应进行必要的安全检查； 第十四条 对网络及安全设备的操作应由授权的系统管理员实施；应按操作规程实现网络设备和安全设备的接入/断开、启动/停止、加电/断电等操作；维护网络和安全设备的运行环境及配置和服务设定；对实施网络及安全设备操作的管理员应进行身份鉴别； 第十五条 业务应用系统应对操作人员进行身份鉴别；业务应用系统应能够以菜单等方式限制操作人员的访问权限；业务应用操作程序应形成正式文档，需要进行改动时应得到管理层授权；这些操作步骤应指明具体执行每个作业的指令，至少包括：指定需要处理和使用的信息；明确操作步骤，包括与其它系统的相互依赖性、操作起始和结束的时间；说明处理错误或其它异常情况的指令，系统出现故障时进行重新启动和恢复的措施，以及在出现意外的操作或技术问题时需要技术支持的联系方法； 第十六条 任何变更控制和设备重用必须经过申报和审批才能进行，同时还有以下要求：注意识别重大变更，并进行记录；评估这些变更的潜在影响；向所有相关人员通报变更细节；明确中止变更并从失败变更中恢复的责任和处理方法；重用设备中原有信息的清除； 对操作系统、数据库、应用系统、人员、服务等的变更控制应制度化； 对信息系统的任何变更必须考虑全面安全事务一致性。 第十七条 在公众网站、内部网站发布的信息，以及提供查询