《信息系统运维安全规范(试行)》.docxVIP

《信息系统运维安全规范(试行)》

信息系统运维安全管理应贯穿系统全生命周期，覆盖人员、设备、数据、操作、应急等关键环节，通过规范化流程与技术措施，防范因运维操作不当引发的安全事件，保障信息系统持续稳定运行。

人员安全管理方面，运维人员需经过严格的安全背景审查，签署保密协议，明确岗位职责与安全责任。新入职运维人员需完成不少于40学时的安全培训，内容涵盖信息安全法律法规、系统安全策略、操作规范及典型案例分析，经考核合格后方可独立上岗。在岗人员每年须接受至少24学时的安全复训，重点强化新兴安全风险应对能力。运维团队应设置安全管理员岗位，负责监督运维操作合规性，定期组织安全意识教育。人员离岗时，需由部门负责人确认工作交接完成，系统管理员在2个工作日内收回所有系统访问权限，删除或禁用相关账号，人力资源部门归档离岗人员安全协议及培训记录。

访问控制需遵循最小权限原则，根据运维人员岗位职责分配系统访问权限，禁止超权限操作。关键系统管理权限应实行双人共管，重要操作需双人复核，复核记录留存至少1年。账号管理需建立生命周期机制，入职时由人力资源部门提供录用证明，系统管理员3个工作日内创建账号并分配最小必要权限；账号启用前需设置符合复杂度要求的密码（长度≥12位，包含大小写字母、数字及特殊符号，每90天强制更换），禁止使用弱密码或重复密码。远程访问需通过VPN或安全接入网关，禁用默认远程管理端口（如33