系统安全管理制度中国科学院沈阳应用生态研究所前言本制度旨在.DOCVIP

系统安全管理制度 中国科学院沈阳应用生态研究所 前 言 本制度旨在加强中国科学院沈阳应用生态研究所（以下简称沈阳生态所）信息系统安全管理工作。 本制度由信息中心提出。 本制度由信息中心归口。 本制度起草部门：信息中心 本制度主要起草人：岳倩 本制度起草日期：2016/01/19 系统安全管理制度 范围 本制度规定了沈阳生态所信息系统安全管理权限分配、授权和审批、备份和检查等的要求。 本制度适用于沈阳生态所开展信息系统安全管理工作。 术语和定义 信息系统：指包括操作系统、应用系统和数据库管理系统。 职责 3.1系统管理员 负责应用系统的安装、维护和系统及数据备份； 根据应用系统的安全策略，负责应用系统的用户权限设置以及系统安全配置； 根据应用系统运行的实际情况，制定应急处理预案，提交信息管理部门审定。 3.2安全管理员 负责对应用系统的安装、维护和系统及数据备份的监督检查和登记工作； 定期检查应用系统的用户权限设置以及系统安全配置，与应用系统安全策略的符合性； 定期审查应用系统的审计记录，发现安全问题及时报告信息管理部门。 安全策略 旨在加强信息系统的运行管理，提高系统的安全性、可靠性，依照完善的管理制度，科学的管理方法来完成信息系统安全管理权限分配、授权和审批、备份和检查等的要求。 信息系统管理 操作系统 操作系统管理员账户的授权、审批 操作系统管理员和操作系统安全员账户的授权由所在部门填写《操作系统账户授权审批表》，经部门领导批准后设置； 操作系统管理员和操作系统安全员人员变更后，必须及时更改账户设置。 其他账户的授权、审批 其他账户的授权由使用人填写《操作系统账户授权审批表》，经信息管理部门领导批准后，由操作系统管理员进行设置； 操作系统管理员和操作系统安全员根据业务需求和系统安全分析制订系统的访问控制策略，控制分配信息系统、文件及服务的访问权限； 外单位人员需要使用审计管理系统时, 须经信息管理部门领导同意, 填写《外单位人员操作系统账户授权审批表》，报信息管理部门领导批准后, 由操作系统管理员按规定的权限、时限设置专门的用户账户； 严禁任何人将自己的用户账户提供给外单位人员使用。 口令的复杂性、安全性要求和检查 系统账户的口令长度设置至少为8位，口令必须从小写字符（a-zA-Z）、大写字符（A-Z）、数字（0-9）、符号( HYPERLINK mailto:~!@ \l $% ~!@#$%^*()_)中至少选择两种进行组合设置； 系统账户的口令须定期更改，每次更新的口令不得与旧的口令相同，操作系统应设置相应的口令规则； 系统用户的账号、口令、权限等禁止告知其他人员； 须根据系统的安全要求对操作系统密码策略进行设置和调整，以确保口令符合要求。 系统维护和应急处理记录 应对系统安装、设置更改、账号变更、备份等系统维护工作进行记录，以备查阅； 应对系统异常和系统故障的时间、现象、应急处理方法及结果作详细的记录。 操作系统的系统管理员账户名称、口令的管理 操作系统账户应按照《操作系统账户授权审批表》批准的账户名称、权限和有效期予以设置；必须关闭不必使用的账号； 操作系统管理员账户的口令除了满足口令要求外，还必须每季度更改一次，发现有异常情况时应立即更改，每次更新的口令不得与旧的口令相同； 严禁把操作系统管理员的账户名称和口令告知其他人员。 操作系统配置的备份管理 操作系统管理员应对操作系统的配置参数及相关文件进行备份，当配置发生变更时必须重新备份，以便系统发生故障时能尽快恢复系统配置。 操作系统的安全检查 操作系统管理员应经常检查操作系统的安全配置，并确保符合安全配置要求； 系统管理员、网络管理员和审计员应定期查看操作系统的运行日志和审计日志，以及时发现出现的安全问题（包含并不限于对运行日志和审计数据进行分析，保存分析报告，详细描述账户的连续多次登录失败、非工作时间的登录、访问受限系统或文件的失败尝试、系统错误等非正常事件）； 系统管理员应定期使用最新的安全检查或安全分析工具对系统进行检查，并及时消除存在的漏洞； 系统管理员实施漏洞扫描或漏洞修补前，应对可能的风险进行评估和充分准备，如选择恰当时间，并做好数据备份和回退方案，漏洞扫描或漏洞修补后应进行验证测试，以保证系统的正常运行， 应保存系统漏洞扫描报告，详细描述系统存在的漏洞、严重级别和结果处理等方面内容，方可实施系统补丁程序的安装。 应用系统 应用系统管理员、安全员账户的授权、审批 用于业务应用的账户的授权由使用计算机应用系统相关人员负责填写《应用系统账户授权审批表》，经业务管理部门及信息系统运行管理部门负责人批准后，由应用系统管理员进行设置； 外单位人员需要使用沈阳生态所信息系统时，须经相关业务管理部门主管同意，填写《外单位人员应用系统账户授权审批表》，报信息