基于等保2完整版本.0的信息系统安全管理制度.docVIP

PAGE1

－PAGE2－

信息系统安全管理制度

一、目的

为了保证中心信息系统的安全，根据中华人民共和国有关计算机信息安全的相关法律、法规和安全规定，结合中心信息系统建设的实际情况，特制定本制度。系统安全管理制度的总体目标是：建立以系统安全运行为核心，全面安全管理制度为保障的综合系统安全保护体系，全面推进系统安全保护工作，确保达到国家信息安全等级保护标准系统安全管理3级指标。

适用范围

本制度所指的系统，是指计算机信息系统中所涉及的计算机软件系统。具体是指：中心主机操作系统和应用系统，以及下属单位通过网络接入的主机操作系统和应用系统。

职责

3.1总则

系统安全管理纳入中心安全生产管理体系，实行专业管理、归口监督。中心信息科是信息系统安全的管理部门，负责管理信息大区（信息内网和信息外网）的安全保障，中心信息化领导小组是信息系统安全的监督部门，负责系统的安全监督工作。

3.2信息科主要职责：

3.2.1全面负责中心系统安全管理工作。综合协调相关部门完成系统安全规划、建设、维护、保障工作。

3.2.2落实国家及卫健委有关系统安全法规、方针、政策、标准和规范，联系上级主管部门并落实系统安全管理相关工作。

3.2.3组织制定中心系统安全管理规章制度和标准规范。

3.2.4指导、协调和检查各部门系统安全工作，组织落实系统等级保护制度，统筹开展系统风险评估和安全检查工作。

3.2.5负责系统一般事故的调查和处理，协助系统重大事故的调查和处理。

3.2.6在应急体系框架内，负责系统应急管理相关工作。

3.2.7开展涉密计算机网络的系统立项、设计和建设，做好系统安全与保密检查。

3.2.8负责规范系统安全产品的测评和选型工作。

管理要求

4.1角色

制定专门的部门或人员对系统进行管理，划分系统管理员角色，明确各个角色的权限、责任和风险，定期对运行日志和审计数据进行分析，以便及时发现异常行为。

4.2内容

应对系统安全策略、安全配置、日志管理、漏洞扫描、升级与补丁、口令更新周期等方面做出规定。

4.3操作规程

建立重要日常维护工作操作规程，重要的日常维护工作包括：系统日志和审计查看、系统安全配置策略更改、系统资源监控、系统备份等事件。

工作过程

具体工作过程如下：

对系统管理员角色进行划分：

5.1.1指定专门的部门或人员对相应的系统进行管理；

5.1.2划分系统管理员的角色，落实系统（主机）管理员、应用管理员和数据库管理员角色。

5.1.3根据明确的各个系统管理角色分配对应的管理权限实现管理用户的权限分离，并仅授予管理用户所需的最小权限。

5.1.4根据系统管理角色，明确各个角色的责任和风险。

5.2定期对系统日志和审计数据进行分析：

5.2.1开启系统的日志和审计功能，日志和审计范围应包含服务器和重要客户端上的每个操作系统用户和数据库用户。

5.2.2审计内容应包括系统重要用户行为、系统资源异常和重要系统命令的使用等系统内重要的安全相关事件。

5.2.3重要的服务器生成审计记录和报表，审计记录包含事件的日期、时间、类型标识和结果等。

5.2.4定期对系统日志和审计记录进行备份。

5.2.5发现日志和审计中的异常情况和行为立即向信息主管人员报告。

5.3系统安全配置和安全运行

5.3.1重要系统的用户管理由主管部门审批，并制定用户口令复杂度、更新周期等制度。

5.3.2采用安全的系统远程管理方式，防止鉴别信息在网络传输过程中被窃听。

5.3.3启用系统入侵防范功能或应用入侵防范功能软硬件，对重要服务器的入侵行为进行检测和报警，对入侵事件进行记录。

5.3.4及时对系统进行必要的升级，关闭系统中危险和无用的服务。

5.3.5操作系统安装防恶意代码软件，并及时更新；安装了网络防恶意代码软件的，则制定统一的恶意代码防范策略。

5.3.6通过一定的手段限制非授权终端用户登录重要的服务器，对重要服务器的资源使用情况进行监控，并形成监控机制。