企业单位信息系统运维安全管理规定（范文）.docxVIP

信息系统运维安全管理规定（范文）

第一章总则

第一条为确保XXXXX信息系统运维的安全性，维护网络及信息的安全稳定，根据国家相关法律法规及XXXXX相关规章制度，特制定本规定。

第二条XXXXX信息系统运维的安全管理范围涵盖网络安全管理、操作系统安全管理、用户访问授权管理、密码管理、防病毒管理、系统补丁管理、介质管理、信息交换管理、安全监控和审计管理、数据备份和恢复管理、日常运行维护管理以及监督检查等方面。

第三条本规定适用于XXXXX信息系统运维中的各项安全管理活动。

第二章网络安全管理

第四条信息中心负责XXXXX网络架构的统一规划，并根据安全风险情况部署相应的安全设备，以确保网络及信息的安全。

第五条网络管理员需对网络拓扑结构进行统一管理，确保拓扑结构图与当前网络运行环境的一致性，包括网络设备、安全设备的型号、名称及与链路的连接情况等。

第六条网络管理员需维护所有网络设备的物理连接情况，对网络接口的使用进行严格控制和管理。

第七条网络管理员需实时监控网络的运行状态，一旦发现影响较大的网络故障，必须立即向XXXXX信息中心报告。

第八条通信链路及带宽资源管理应遵循合理分配、高效使用的原则，禁止利用网络传输非业务需要的内容。

第九条未经许可，禁止在网络中随意使用无线网络通讯设备进行访问。

第十条未经许可，任何计算机、网络设备、安全设备均不得随意接入网络。

第十一条外部人员在接入互联网前，须经部门领导的审核批准，并指定IP地址进行记录，按照《人员安全管理规定》进行管理。

第十二条对于网络区域中的非法访问，应部署相应的检测和审计措施，确保安全事件的可监控、可追踪和可审计。

第十三条对于网络中重要的网络设备、安全设备，应开启审计功能，记录设备配置变更的操作。

第十四条网络安全管理应建立必要的安全技术措施，以确保网络的统一管理，包括信息资产管理、网络拓扑管理、信息资源管理、网络异常流量管理、安全事件监控管理、安全策略管理、安全预警管理等。

第十五条应根据不同业务的安全等级，合理划分网络安全域，安全域间采取逻辑隔离措施，并根据业务需求仅开放必要的网络访问端口和服务，区域和边界的访问控制策略应基于业务需求进行设置。

第十六条关键业务应用和网络访问应优先使用静态路由，若采用动态路由，则应启用路由协议的安全认证机制，并控制路由信息的广播范围。

第十七条对于干路和核心的网络设备、安全设备、网络链路，应建立冗余备份机制，若发生全网安全事件，应根据《应急处理预案》进行应急响应。

第三章操作系统安全管理

第十八条

对于每位管理员，应建立独立的用户账号，并严格区分普通用户账号与管理员账号，禁止账号共享。

第十九条

操作系统应限制登录和认证的次数，以防范外界尝试登录和暴力破解的风险。

第二十条

操作系统的安装应遵循最小化安装原则，仅安装并运行必要的系统服务和应用程序。

第二十一条

各应用系统主管在安装各类软件时，应遵循最小化安装原则，关闭和卸载与办公和业务无关的功能和服务。

第二十二条

在运行业务应用系统时，应使用确保系统正常运行所需的最小账户权限，原则上禁止使用最高权限账号。

第二十三条

为了能够发现和跟踪系统中发生的可疑事件，应启用安全审计功能，以日志形式记录用户登录系统、文件访问操作、账户修改等行为的过程和结果信息，确保在发生可疑事件时有据可查。

第四章用户访问授权管理

第二十四条

各系统应根据不同角色确定用户账号，至少包括以下角色：

1.系统管理员：负责系统维护，通常拥有超级用户权限。

2.普通用户：访问系统的普通用户，通常仅拥有访问内容和操作的最小权限。

3.第三方人员：临时或长期进行系统维护的非内部人员，权限根据其维护范围确定。

4.系统安全管理员：负责安全审计，具有查看系统日志和审计信息的权限。

第二十五条

各系统应基于“最小授权”原则设定账户访问权限，确保用户仅能访问工作所需的信息。

第二十六条

应根据要求和员工岗位创建、变更和撤销用户账号及权限，并定期监督、检查用户账号和权限。

第二十七条

各系统账号应能明确标识系统访问的不同角色，并尽量避免使用系统默认账号。

第二十八条

应避免系统中存在多余、无用和测试账号，确保服务器中的所有操作系统账号能唯一标识操作人员。

第二十九条

系统安全管理员应对系统中的账号进行定期审计，确保不存在无用或匿名账号。

第三十条

各系统应设置审计用户的权限，审计用户应具备完整的读权限，能够读取系统关键文件、检查系统设置和系统日志等信息。

第三十一条

各系统应依据《人员安全管理规定》限制第三方人员的访问权限，并对第三方访问进行定期检查和审计。

第五章密码管理

第三十二条

设备及系统的密码设置应至少满足以下要求：

1.长度大于