安全岗位管理制度.docxVIP

安全岗位管理制度 XXXXXXX有限公司 二零一七年七月一日 目录 第一章 总则 .............................................. 3 第二章 范围 .............................................. 3 第三章 角色和责任 ........................................ 3 第四章 各安全岗位管理制度 ................................ 4 第一部分 网络安全维护管理制度 ......................... 4 第二部分 系统安全维护管理制度 ......................... 8 第三部分 信息安全部门岗位管理制度 .................... 14 第四部分 审计部门岗位管理制度 ........................ 18 第一章 总则 为了更好的确保 XXXX市场的安全稳定运行，合理、可靠、安全、 高效地组织和管理 XXXXX市场，提高 XXXX市场的服务质量，提高维护队伍的整体素质和水平， 特制定此岗位安全管理制度， 作为维护和管理XXXX市场的依据。 第二章 范围 本制度的适用范围包括 XXXX市场系统的物理资产（包括：网络设备，主机设备，安全设备，监控设备等）、软件资产（操作系统，数据库，应用程序等）、数据资产（业务数据、网络系统、主机数据，应用程序数据等）以及网站系统的技术人员等。 第三章 角色和责任 本制度适用于 XXXX市场的网络维护人员、系统维护人员、信息安全员及安全审计员等角色阅读。本制度由信息管理处修改和维护。 第四章 各安全岗位管理制度 第一部分 网络安全维护管理制度 网站系统的所有网络设备（包括交换机、路由器、防火墙、 IDS 以及其他网络设备） 应由专职网络维护人员负责管理， 定期检查设备的物理环境，并按照机房物理安全要求进行维护。 网络维护人员应对所有网络设备进行资产登记，登记记录上应该标明硬件型号，厂家，操作系统版本，已安装的补丁程序号，安装和升级的时间等内容。 网络维护人员应至少每天 1 次，对所有网络设备进行检查，确保各设备都能正常工作。 网络维护人员应制定网络设备用户账号的管理制度，对各个网 络设备上拥有用户账号的人员、 权限以及账号的认证和管理方式做出明确规定。 网络维护人员应制订网络设备用户账号口令的管理策略，对口 令的选取、组成、长度、保存、修改周期以及存储做出规定；禁止使用 名字、姓氏、 号码、生日等容易猜测的字符作为口令，也不应使用 单个单词或命令作为口令，组成口令的字符应包含大小写英文字母、数 字、标点、控制字符等，口令长度要求在 8 位以上；不应将口令存放在 个人计算机文件中， 或写到容易被其它人获取的地方； 对于重要的网络设备，要求至少每个月修改一次口令，或者使用一次性口令设备；若掌 握口令的管理人员调离本职工作时，必须立即更改所有相关口令； 用户账号口令应以加密方式存储，如 MD5方式。 严格禁止非网络管理人员直接进入网络设备进行操作，若在特殊情况下（如系统维修、升级等）需要外部人员（主要是指厂家技术工 程师、非本系统技术工程师、 安全管理员等） 进入网络设备进行操作时， 必须由网络管理员登录， 并对操作全过程进行记录备案。禁止将系统用户账号及口令直接交给外部人员， 在紧急情况下需要为外部人员开放临时账号时，必须向信息管理处相关领导申请， 在申请中写明开放临时账号的原因、时间、期限、对外部人员操作的监控方法、负责开放和注销 临时账号的人员等内容， 并严格根据安全管理机构的批复进行临时账号的开放、注销、监控，并记录备案。 网络维护人员应尽可能减少网络设备的管理方式， 例 如 Telnet 、web、SNMP等；如果的确需要进行远程管理，应使用 SSH代替 Telnet ，使用 HTTPS代替 HTTP，并且限定远程登录的超时时间， 远程管理的用户 数量，远程管理的终端 IP 地址，同时按照“网络安全配置管理策略” 中的规定进行严格的身份认证和访问权限的授予， 并在配置完后， 立刻关闭此类远程连接；应尽可能避免使用 SNMP协议进行管理，如果的确 需要，应使用 V3 版本替代 V1、V2 版本，并启用 MD5等验证功能；进行远程管理时， 应设置控制口和远程登录口的超时时间， 让控制口和远程登录口在空闲一定时间后自动断开。 网络维护人员应及时监视、收集网络以及安全设备生产厂商公布的软件以及补丁更新， 要求下载补丁程序的站点必须是相应的官方站 点，并对更新软件或补丁进行评测，在获得信息管理处领导的批准下， 对生产环境实施软件更新或者补丁安装。