公司计算机系统运行安全保密管理制度.pdfVIP

公司计算机系统运行安全保密管理制度

第一条.信息安全应满足国家、行业、金融业各级监管部门

和关于信息安全保密的各项规定及要求。

第二条.各应用系统维护部门负责本系统信息安全管理，根

据系统特点，制定各应用系统的信息安全管理细则，在上级管理部

门的指导下，具体开展应用系统的信息安全管理工作。

第三条.若发生系统信息泄密事件，各应用系统维护部门应

及时向董事会信息安全委员会进行汇报，并按照关于信息安全相关

管理制度要求开展补救工作。

第四条.安全保密制度

1.联网设备必须采取必要的安全措施，以保障网络的设备安

全及所承载业务的信息安全。在计算机上应安装防病毒软

件，每天更新病毒库；

2.未经变更流程，严禁将业务系统与公众互联网进行连接；

严禁未通过鉴权认证的拨号等形式接入信息系统；

3.在办公网络、生产网络与互联网或其他外部网络的网络连

接处必须安装防火墙，并指定防火墙管理员，只有指定的

系统（网络）管理员才能拥有防火墙管理帐号，未经批准，

不得进行防火墙策略的更改；

4.严禁在生产系统中安装未经授权的软件；不得在生产系统

上运行与工作无关的程序；未经批准，不得利用生产系统

进行培训实习；

5.未经批准不得擅自抄录、复制配置资料、技术档案，内部

资料不得泄露；

6.设备管理和维护人员都应熟悉并严格遵守和执行信息安

全保密相关规定。

第五条.信息系统密码管理规定

1.对于使用密钥棒或动态密码卡的系统，用户应注意保管并

注意PIN码保密；

2.对于操作系统、数据库、业务系统，系统(网络)管理员密

码使用习惯应严格遵循如下要求：系统(网络)管理员每90

天至少更换一次密码，密码的长度不小于8位、且同时包含

数字和字母等字符，不得使用最近一次使用过的密码等；

3.各类用户在第一次登录时应进行用户密码修改，以后每90

天至少修改一次用户密码，且不得使用最近使用过的密码，

密码长度不得少于6位；

4.重要系统和敏感数据应存放于单机环境，由使用人员设定

密码保护，防止非授权人员进行访问，密码位数必须在6位

以上；如果存放在文档服务器上，需由信息系统维护部门

建立文档服务器访问控制措施，并指定系统管理员；

5.严禁在各类系统中“将用户帐号和密码编写在程序中”的

作法；系统中的帐号密码不得以明文方式存放；若存在以

上系统隐患必须及时整改。

第六条.信息系统帐号管理规定

1.系统管理员帐号、系统维护帐号应保证一人一帐号，对于

重要操作，可以由系统日志追溯到执行操作的帐号、直至

相关操作人员。应严格控制系统超级用户帐号使用范围，

能使用低级别帐号进行的操作禁止采用超级用户帐号实

施。

2.各级应用、维护部门应合理划分用户组，并根据用户所承

担职责合理划分用户权限。终端应用人员原则上要求每个

员工一个帐号。

3.对于用户的增加、删除，用户权限的变更均需预先提出变

更申请，在得到维护管理部门书面批准后由系统管理员负

责实施。各应用、维护部门应定期组织对用户权限及分配

情况进行审核，发现问题及时整改，并记录在案。员工离

职或调离工作岗位后，应按照情况，及时对帐号和权限进

行调整。

4.未经审批，维护人员不得登录数据库对业务数据进行直接

操作。

5.对于由于操作系统、数据库平台等限制而使用的共享帐号，

当使用此共享帐号的任一人员发生变更，必须修改密码，

并保留密码变更记录。

6.供应商远程维护人员和系统开发人员不得拥有在线系统

帐号。若因软件移植或系统维护需要，应事先经维护部门

主管领导书面确认（紧急状态下应实现口头申请、事后补

文字确认说明），方可临时授予开发人员操作帐号，并在

维护人员全程陪同下进行相关操作，操作完成后，陪同人

员负责完成对临时帐号的删除或禁止。供应商远程维护人

员和系统开发人员对系统的所有操作均应