公司信息系统安全管理制度.docx

公司信息系统安全管理制度 总则 为加强AA省BB单位（公司）系统安全管理，明确岗位职责，规范操作流程，维护系统正常运行，确保计算机信息系统的安全，特制订本制度。 本制度适用于AA省BB单位（公司）。 系统安全策略 由系统管理员根据业务需求和系统安全分析制定系统的访问控制策略，控制分配信息系统、文件及服务的访问权限。 对系统管理员用户进行分类，明确各个角色的权限、责任和风险，权限设定遵循最小授权原则。 由系统管理员定期对系统安装安全补丁程序，在安装系统补丁前，首先在测试环境中测试通过，并采取磁盘或磁带对重要文件进行备份后，方可实施系统补丁程序的安装。 由安全管理员每月对系统进行一次漏洞扫描，对发现的系统安全漏洞及时进行修补；形成漏洞扫描报告，内容包含系统存在的漏洞、严重级别和结果处理等方面。 各终端工作计算机未进行安全配置、未装防火墙或杀毒软件的，不得入网。各计算机终端用户应定期对计算机系统、杀毒软件等进行升级和更新，并定期进行病毒清查，不允许下载和使用未经测试和来历不明的软件、不要打开来历不明的电子邮件、以及不要随意使用带毒U盘等介质。 禁止未授权用户接入AA省BB单位（公司）网络及访问网络中的资源，禁止未授权用户使用BT、电驴等占用大量带宽的下载工具。 任何员工不得制造或者故意输入、传播计算机病毒和其他有害数据，不得利用非法手段复制、截收、篡改计算机信息系统中的数据。 禁止利用扫描、监听、伪装等工具对网络和服务器进行恶意攻击，禁止非法侵入他人网络和服务器系统，禁止利用计算机和网络干扰他人正常工作的行为。 计算机各终端用户应保管好自己的用户帐号和密码。严禁随意向他人泄露、借用自己的帐号和密码；严禁不以真实身份登录系统。计算机使用者更应定期更改密码、使用复杂密码。 IP地址为计算机网络的重要资源，计算机各终端用户应在系统管理员的规划下使用这些资源，不得擅自更改。另外，某些系统服务对网络产生影响，计算机各终端用户应在系统管理员的指导下使用，禁止随意开启计算机中的系统服务，保证计算机网络畅通运行。 网络参数配置文档、重要计算机信息系统详细开发资料及其源程序等核心技术文档，由信息化管理处严格管理。 系统核心技术文档资料的外借应有审批手续和记录，借阅人不得转借给他人，不得复制、泄露和引用具体技术内容。 安全配置 系统安全配置由系统管理员、安全管理员负责，其余任何人不得随意更改配置。 安全配置的更改应有记录，由安全审计员负责审计。 日志管理 由系统运维人员依据操作手册对系统进行维护，详细记录操作日志，包括重要的日常操作、运行维护记录、参数的设置和修改等内容，严禁进行未经授权的操作。 由安全审计员定期对运行日志和审计结果进行分析，形成分析报告，报告内容包括帐户的连续多次登录失败、非工作时间的登录、访问受限系统或文件的失败尝试、系统错误等非正常事件。 日常操作流程 各应用系统的操作流程由各应用系统开发厂商提供，经业务部门进行确认，信息化管理处各业务部门工作人员在日常工作中按照操作流程执行。 附则 本制度的解释权归AA省BB单位（公司）。 本制度自发布之日起生效。  附件5-7-1 补丁测试记录（模板） 补丁测试记录 测试时间 测试设备/系统 升级前版本 测试记录 升级后版本 备注 1）测试人员： 2）测试结果： 3）操作影响： 1）测试人员： 2）测试结果： 3）操作影响： 1）测试人员： 2）测试结果： 3）操作影响： 1）测试人员： 2）测试结果： 3）操作影响： 1）测试人员： 2）测试结果： 3）操作影响： 1）测试人员： 2）测试结果： 3）操作影响： 1）测试人员： 2）测试结果： 3）操作影响： 1）测试人员： 2）测试结果： 3）操作影响： 1）测试人员： 2）测试结果： 3）操作影响： 1）测试人员： 2）测试结果： 3）操作影响： 1）测试人员： 2）测试结果： 3）操作影响： 1）测试人员： 2）测试结果： 3）操作影响：  附件5-7-2 日志审计分析记录（模板） 日志审计分析记录 基本信息 日志审计活动名称 日志名称 日志来源 审计分析日期 审计分析时间 审计分析人员 审计分析方法 □人工审计 □工具审计（工具名称： ） 日志获取方式 日志处理方式 审计信息 日志数据访问权限是否有效控制 日志数据存储时间是否大于半年 日志数据是否单独存储 日志数据是否加密存储 日志内容、元素、事件是否完整 日志时间是否与标准时间同步 通过审计发现源设备的安全隐患 安全隐患处理方法 其他问题 审批信息 审计人员签字 主管领导签字