完整word版IT系统安全管理规范.doc

(完整word版)IT系统安全管理规范 (完整word版)IT系统安全管理规范 PAGE / NUMPAGES (完整word版)IT系统安全管理规范 海明企业 IT 系统安全管理规范 一、目的 为保证企业 IT 设备设备可以稳固、靠谱地运行，为企业业务供给可连续服 务支持，同时为了躲避企业重要的电子信息数据因为系统或硬件破坏而造成数据 丢掉的风险，特拟订本文件以规范 IT 安全有关的工作流程、内容和标准。 二、合用范围 : 本制度可用来指导信息技术部工作人员展开 IT 安全管理工作，对企业级信 息系统运行时期电子数据的备份和恢复管理予以规范。 三、术语 3.1 IT ： information technology 意为信息技术，是用于管理和办理信息所采 用的各样技术的总称。 3.2 IT 设备：泛指由信息技术部基础服务组管理的用于办公及信息技术服务支持 有关的电子设备，包括：个人台式电脑、手提电脑、打印机、服务器、路由器、 互换机、多媒体、一卡通终端、摄像机等电子设备。 3.3 企业级信息系统：应用于多个部门，或直接影响企业中心业务的信息系统。 包括： ERP 系统、跟单管理系统、财务系统、 SHR 系统等。 3.4 IT 安全：IT 安全部是指 IT 有关系统的硬件、 软件及其系统中的数据遇到保护， 不因有时的或许歹意的原由此遭到到破坏、 改正、泄漏，系统连续靠谱正常地运 行，服务不中止，关于可能发生的各样隐患防备于已然。 四、职责 : 本制度由信息技术部负责解说、更新和保护。 五、详细内容与工作程序 网络安全管理 5.1.1 基础架构部负责信息网络的规划、建设、保护、管理和控制； 5.1.2 基础架构部应绘制企业信息网络之间的网络拓扑、 设备信息表并实时更新 保护； 5.1.3 按期检查网络硬件设备状态， 若巡检中发现问题需在巡检清单中记录并及 时报告部门领导； 服务器安全管理 5.2.1 企业各服务器内应安装正版网络版杀毒软件， 杀毒软件的安装与卸载应由 IT 运维人员操作； 5.2.2 密码设置策略应切合信息安全通用规范， 由不低于 6 位的大小写字符及数 字和特别字符构成。 5.2.3 系统管理人员不同意将密码寄存在公然可读的文件中 5.2.4 系统管理人员不同意将密码发送给用户，特别是经过微信、 QQ 、未加密 的电子邮件等。 5.2.5 禁止将数据库服务器裸露在公网中 5.2.6 封闭服务器上不用要的服务和端口。 5.2.7 谨慎在服务器上直接进行上网、下载软件操作。 5.3 数据安全管理 5.3.1 数据一定按期、完好、真切、正确的备份转储到指定介质上。 5.3.2 应准时检查备份文件中能否存在备份失败的记录， 如发现有备份任务失败 的记录，需要检查故障原由，并进行清除。 5.3.3 备份周期：各信息系统做自动计划每个工作日进行数据备份。 5.3.4 数据恢复体制 a)一旦发生系统故障或数据破坏等致使系统正常运行的状况， IT 人员一定上报 部门领导，经议论决策后进行相应数据恢复操作。 数据恢复应在测试环境中进行，禁止在正式使用的系统中进行恢复测试。 c)恢复确认不存在问题后，要实时清理测试环境数据。 5.4 密码安全管理 a)密码设置策略应切合信息安全通用规范，由不低于 6 位的大小写字符及数字 和特别字符构成； 有关 IT 人员辞职后一定实时改正密码；六、补丁策略 OS、数据库升级、打补丁，需保证稳固、安全，并恪守以下原则: 没有重要问题，不打补丁； 大版本升级，需要等大版本公布 1 年以上；七、安全检查规定 每个季度起码对数据库备份，服务器操作系统进行一次安全巡检。