操作系统及数据库安全管理新规制度.docVIP

《XXXX安全管理制度汇编》 操作系统及数据库安全管理制度 文件名称 操作系统及数据库安全管理制度 密级 内部 文件编号 版 本 号 V1.0 编写部门 XXX部门 编 写 人 审 批 人 公布时间 目 录 TOC \o 1-3 \h \z 编制说明 3 第一章 总则 4 第二章 办公区出入管理安全 4 第三章 办公区防火安全 4 第四章 办公区安全保密 6 第五章 办公区安全检验 7 第六章 附则 8 第一节 文挡信息 8 第二节 版本控制 8 第三节 其它信息 8  编制说明 为深入落实党中央和国务院同意《国家信息化领导小组相关加强信息安全保障工作意见》及其“关键保护基础信息网络和关键信息系统安全”思想、落实信息产业部“主动预防、立即发觉、快速反应、确保恢复”方针和“同时计划、同时建设、同时运行”要求，特制订本制度。 本制度依据中国信息安全相关法律法规，结合XXXX本身业务特点、并参考国际相关信息安全标准制订。 《XXXX操作系统及数据库安全管理制度》规范操作系统及数据库安全日志等日常运维操作。 总则 制度目标：为了加强信息安全保障能力，建立健全安全管理体系，提升整体网络和信息安全水平，确保网络通信通畅和业务系统正常运行，提升网络服务质量，在安全体系框架下，本制度为规范病毒防护安全管理，加强病毒防护，确保系统安全。 适用范围：本制度适适用于全部部门和人员。 制度相关性：本制度包含相关安全技术规范、安全检验及监控等管理措施，同时遵摄影关管理制度。 安全管理要求 操作系统及数据库由运行监控室等相关处室负责管理及维护。 依据业务需求，由相关业务处室负责授予其它工作人员访问和使用信息系统权力。 系统及数据库管理员要确保系统安全性，定时检验安全漏洞并修复。对于敏感信息应确保仅能被正当授权用户访问，不被未授权用户修改。 操作系统及数据库日志审计及管理是进行日常各类事件检测、排查乃至法律诉讼关键依据。维护人员应该对操作系统日志、网络访问日志、数据库日志等信息进行定时审计及管理，以立即发觉和处理网络安全事件。 新建计算机及业务系统必需设置完善日志，并由安全员负责检验。 操作系统及数据库日志及审计内容： 1）日志中不能包含密码； 2）对系统管理员行为（如UNIX中su）要做日志并进行审计； 3）失败用户登录要做日志并审计； 4）关键系统事件要进行自动报警； 5）要能够基于一个主体或客体做审计； 6）审计日志中统计最少要包含用户名（或其id）,日期和时间，登录地点，事件描述信息。 对于用户审计日志和程序应进行保护，只有负责安全工作人员才能访问。 假如可能，日志要保留在只读介质上。除了在当地保留以外，日志还要传输到安全日志服务器上，日志服务器不提供其它服务。不要将日志保留于共享文件系统中。 日志系统应最少保留6个月统计，并由专员负责每日进行常规性检验。每6个月将历史日志进行备份，存放于安全地点。 附则 文挡信息 本制度由业务科技处制订，并负责解释和修订。由信息安全工作组讨论经过，公布实施。 本制度自公布之日起实施。 版本控制 对本制度全部修改及审批、公布全部按时间次序统计在此。 版本 日期 修改内容 修改人 审批人 V1.0 文档定稿 其它信息 本制度中所称人员角色职责由各部门人员分别担任，可能现有岗位职员在不一样时期所担任角色不一样，甚至身兼多个角色，这种情况下该职员应该推行所兼每种角色安全职责。 《XXXX安全管理制度汇编》定义了信息安全体系整体结构、安全组织及各角色岗位职责、和覆盖各项安全内容安全管理制度。全部职员均应把《XXXX安全管理制度汇编》要求作为信息安全工作基础要求，其内容一经颁布将在一定时间内长久有效，其包含全部部门或个人均需对其负责。