信息系统安全管理办法.docxVIP

信息系统安全管理办法

第一章总则

第一条为保证公司总部信息系统的安全运行，保障信息系统程序和数据的安全，根据国家有关法律、法规，结合公司实际情况，制定本办法。

第二条本办法适用于公司总部。

第二章安全组织和管理

第三条公司总部信息系统安全管理工作由公司科技信息部负责，其它各部门应配合科技信息部做好信息系统安全管理工作。科技信息部应指定专人负责信息安全管理工作。

第四条公司总部各个专项业务信息管理系统的责任管理部门，应指定专人担任系统管理员，并报科技信息部备案。系统管理员负责信息系统的运行维护管理和访问权限的管理，并配合科技信息部进行服务器的日常运行维护、数据备份等工作。重要信息系统须实行三权分立，系统管理员、审计管理员和信息安全管理员原则上由不同人员担任。

第五条信息系统管理权由系统管理员使用，系统管理员对各项操作均应进行日志管理，记录包括操作人员、操作时间和操作内容等信息。

第六条系统管理员需更改信息系统安全设定或参数时，应

提出申请并经信息系统的责任管理部门负责人批准后，与科技信息部信息安全管理人员共同实施，并做好相应记录。

第三章密码权限管理

第七条信息系统所有密码应定期修改，间隔时间不得超过三个月；不同系统严禁使用同一个密码，密码应不少于八位，并包含字母、数字和特殊字符等三种不同字符的组合。

第八条计算机系统用户密码持有人应保证密码的保密性，不应将密码记录在未妥善保管的笔记本以及其他纸质介质中，严禁将密码放置在办公桌面或贴在计算机机箱、终端屏幕上，同时严禁将计算机系统用户密码借给他人使用，任何情况下不应泄漏计算机系统用户密码，一旦发现或怀疑计算机系统用户密码泄漏，应立即更换。信息系统用户须不定期登录相应系统，若出现连续30天未登录的，系统管理员应关闭该用户账号。

第九条公司员工离职或调职时需交回相关信息系统账号及密码，经系统管理员删除或变更账号后方能离职或调职。有涉及密码授权工作的员工调离岗位，有关部门负责人须指定专人接替并立即修改密码。

笫十条服务器、防火墙、交换机、路由器、数据库及各业务程序的用户名和密码口令为机密资料，由公司科技信息部负责人指定专人设置和管理，不得对外泄露。

第十一条员工申请信息系统账户权限需填写《系统权限申

请表》，经批准后方可开通。账号申请表上应详细记录账号信息。用户权限的申请表需由业务部门提出申请，信息系统的责任管理部门负责人批准后交由系统管理员办理。员工工作岗位变化时，业务部门提出权限修改的请求，信息系统的责任管理部门负责人批准后，由系统管理员调整此用户的操作权限。

第四章数据安全管理

第十二条信息安全管理员每季度对直接访问信息系统数据库的情况进行检查，重点查看是否存在未经授权的直接访问数据库的情况，发现异常后应及时报告。

第十三条信息安全管理员应制定数据备份策略，数据备份至少每天一次，应在保证数据安全和保密的情况下，采取适当方式保存备份文件，保证数据库出现异常时能快速恢复，避免或尽量减少数据丢失。备份介质场外存放，并建立数据备份日志。

第十四条信息安全管理员应每半年开展一次数据恢复演练工作，确保备份数据的有效性。

第十五条计算机终端内的资料涉及公司秘密的，应该为计算机设定开机密码或将文件加密；涉及公司机密的数据或文件，非工作需要不得以任何形式转移，更不得透露给他人；离开原工作岗位的员工由所在部门负责人将其所有工作资料收回并保存。

笫十六条计算机终端发生故障时，应及时与科技信息部相关人员联系并采取保护数据安全的措施，计算机终端用户未做好备份前不得删除任何硬盘数据，对重要的数据应准备双份，存放在不同的地点。

第十七条对采用磁性介质或光盘保存的数据，要定期进行检查，定期进行复制，防止数据丢失。

第五章操作系统安全管理

第十八条应严格限制操作系统默认账号的访问权限，重命名系统默认账号，修改默认口令，及时注销多余的、过期的账号,避免共享账号的存在。

第十九条应启用操作系统密码复杂度检查和账号锁定策略，连续错误登录3-5次，锁定账号30分钟，避免账号被暴力破解。

第二十条应启用操作系统审核策略，记录对操作系统的重要操作，并调整日志存储空间大小，确保系统日志留存半年以上。

第二十一条公司所有服务器操作系统、计算机防病毒软件的安装应由科技信息部工作人员操作。

第二十二条在正式运行中的系统服务器中安装软件须经科技信息部负责人的批准，当安装定制开发的软件时，系统管理员应在测试环境中安装、测试后，方可在服务器中安装。

第二十三条系统管理员需更改服务器操作系统安全设定或参数时，应提出申请并经科技信息部负责人签字确认。

第二十四条系统管理员需定期安装服务器操作系统的最新补丁程序，在安装前进行安全测试，并对重要文件进行备份。

第二十五条信息安全管理员需每月对信息系统服务器进行安全漏洞扫描，及时发现最新安全漏洞，并通