信息系统安全管理制度.pdfVIP

信息系统安全管理系统 为进一步规范公司管理，防范企业涉密资料以及涉密数据外泄， 经过公司研究决定，从即日起，规范相关关键信息、账户的管理。公 司根据现在公司的管理需求，统一收回所有公司信息管理账号，集中 管理，专人保管。各部门如需使用，可填写账户使用申请表。 具体管理措施如下： 第一章 总 则 第一条 加强公司用户账户管理，规范用户账号的使用，提高信息 系统使用安全性，特制定本制度。 第二条 在本系统中，系统账户是指应用层和系统层（平台、操 系统、数据库系统、信息管理系统、防火墙及其它网络设备）的用户 账号。 第三条 本规定所称账户管理包括： 1、在应用程序级别应用用户帐户、审批、分配、删除/禁用等的 管理 2、系统级用户帐户应用程序、审批、分配、删除/禁用等的管理 3、管理用户帐户和密码。 第四条 系统拥有部门负责建立《岗位权限对照表》（附件一）， 制定职务与系统权限的对应关系和互斥原则，对具体岗位做出具体的 权限管理规定。 第五条 信息管理中心根据系统所有权部门提交《岗位权限对照表》 增加系统岗位权限控制。 第六条 用户账号申请、不同的人员负责审批和设置。 第七条 各信息系统需设置超级管理员、系统管理员、系统管理监 督员和普通用户。超级管理员、系统管理员和系统管理主管不能由同 一人担任，并不能是系统操作用户。 1、超级管理员：负责按照领导审定的《信息系统权限申请表》 （附件二）进入系统管理员的授权管理。 2、系统管理员：负责按照领导审定的授权进行录入，并对系统运 行状况以及系统用户数据录入进行管理。系统管理员应为输入的授权 和系统运行状态建立台帐，定期向系统管理监督备案。 3、系统管理监督员：负责对录入的数据和授权进行监督，并建立 用户权限台帐，定期监督检查系统管理员输入的授权、系统运行状态 和用户输入的数据。 4、普通用户：负责系统的业务级运行。 第八条 信息管理中心将定期绘制系统岗位和用户名单，以供检查， 发现可疑授权、可疑使用将根据实际情况予以通报修正，并将检查结 果记入信息化年度考核中。 第二章 一般账户管理 第九条 申请人使用统一标准的《信息系统权限申请表》（附件二） 提出用户账号创建、修改、禁用、启用等申请。 第十条 账户申请人的部门负责人和系统所有者部门负责人根据 《岗位权限对照表》审核申请人所申请的权限是否与其岗位一致，确 保权限分配的合理性、必要性和符合职责分工的要求。 第十一条 在受理申请时，权限管理人员根据申请配置权限，在系 统条件具备的情况下，给用户分配独有的用户账号或禁用用户账号权 限，以使用户对其行为负责。一旦分配好账号，不允许用户使用他人 的帐户或允许他人使用自己的帐户。 第十二条 新员工入职或职位变动时，应主动申请所需系统的账号 及权限。 第十三条 人员离职的情况下，该员工的账户应当被及时的禁用。 离职人员的离职手续办理完毕后。员工所属部门以书面方式通知系统 管理部门，系统管理部实施用户帐户和权限的回收。 第十四条 账户管理人员建立各种账户的文件记录，记录用户账号 的相关信息，并在账号变动时同时更新此记录。 第三章 特权帐户和超级用户帐户管理 第十五条 特权帐户是指在系统中具有特殊权限的帐户，如备份账 号、权限管理账号、系统维护账号等。超级用户账号指系统中最高权 限账号，如administrator （或admin）、root等管理员账号。 第十六条 只有授权用户才能使用特权帐户和超级用户帐户，严禁 共享账号。 第十七条 信息系统管理部门每季度检查系统日志，监督特权账号 和超级用户账号使用情况，并填写《系统日志审阅表》（附件三）。 第十八条 尽量避免临时使用特权帐户和超级用户帐户，确需使用 时必须履行正规的申请及审批流程，并保留相应的文档。 第十九条 主管必须到场记录临时使用超级用户账户的工作内容。 第二十条 超级用户帐户必须由信息管理中心管理（如没有超级管 理员，信息管理中心必须掌握系统管理员权限）。系统管理员和系统 管理主管可以通过信息管理中心与系统拥有部门协商(如系统管理员由 系统拥有部门管理，《信息系统权限申请表》必须以邮件方式电子文 档交予信息管理中心备案便于监督审核)。 第二十一条 信息化各系统交使用