計算機信息系統(tǒng)管理標準資料

計算機信息精品耀資料資料計算機信息系統(tǒng)管理標準1范圍本標準規(guī)定了公司計算機信息系統(tǒng)管理的職責和權(quán)限、管理內(nèi)容和方法、報告和記錄。本標準適用于公司（以下簡稱公司）本部、分公司、以及直屬各單位的計算機信息系統(tǒng)管理工作。其他聯(lián)網(wǎng)單位可參照執(zhí)行。2規(guī)范性引用文件下列文件中的條款通過本標準的引用而成為本標準的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標準，使用本標準的相關(guān)部門、單位及人員要研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準。中華人民共和國國務院令第147號中華人民共和國計算機信息系統(tǒng)安全保護條例國家標準計算機信息系統(tǒng)安全保護等級劃分準則Q/HD203.01—2007物資采購管理標準Q/HD203.02—2007招標管理標準Q/HD212.07—2007員工培訓管理標準Q/HD212.05—2007網(wǎng)絡信息安全應急管理標準3術(shù)語和定義下列術(shù)語和定義適用于本標準計算機系統(tǒng)計算機系統(tǒng)由硬件系統(tǒng)和軟件系統(tǒng)組成。硬件系統(tǒng)硬件系指構(gòu)成計算機的各種實體機器設備或電子組件，如CPU、內(nèi)存、屏幕、磁盤驅(qū)動器等，及各式的計算機外設設備如打印機、掃描儀等。計算機系統(tǒng)的運作，除了硬件外，還需軟件的配合才能完成計算機所執(zhí)行的工作。軟件系統(tǒng)軟件就是計算機程序的統(tǒng)稱，負責指揮計算機的硬件部份，以完成計算機系統(tǒng)所執(zhí)行的工作。網(wǎng)絡系統(tǒng)通過網(wǎng)絡通信線路和設備，將地理位置不同、功能獨立的多臺計算機系統(tǒng)和通信終端設備互連起來，以完善的網(wǎng)絡軟件實現(xiàn)網(wǎng)絡上資源共享和信息傳遞的系統(tǒng)。本程序中網(wǎng)絡主要指公司內(nèi)部信息網(wǎng)絡。信息計算機系統(tǒng)的主要功能是將未經(jīng)過處理的數(shù)據(jù)(data)輸入至計算機之硬設備，經(jīng)由軟件的運算處理而輸出結(jié)果，此一結(jié)果即謂之信息(Information)，數(shù)據(jù)可能是原始的數(shù)字、文字或符號等，而信息的內(nèi)容則可能是計算后的數(shù)字、統(tǒng)計后的圖表、排序搜尋后的文字等。管理信息系統(tǒng)它以企業(yè)的業(yè)務活動為依據(jù)，以人員、財務和物資信息流為貫穿其中的主線索，涵蓋了企業(yè)生產(chǎn)、管理和經(jīng)營活動的各個方面；實現(xiàn)了生產(chǎn)管理現(xiàn)代化、辦公無紙化；保證了指揮決策科學化；提高了生產(chǎn)和管理效率，節(jié)約了生產(chǎn)和管理成本，為企業(yè)實現(xiàn)利潤最大化提供了可靠保證。在本文件以后的引用中，用電子信息系統(tǒng)代替。局域網(wǎng)局域網(wǎng)(LocalAreaNetwork)是在一個局部的地理范圍內(nèi)(如一個學校、工廠和機關(guān)內(nèi))，將各種計算機、外部設備和數(shù)據(jù)庫等互相聯(lián)接起來組成的計算機通信網(wǎng)，簡稱LAN。白客滲透測試是通過真實模擬黑客使用的工具、分析方法來進行實際的漏洞發(fā)現(xiàn)和利用的安全測試方法，與工具評估互相補充。4職責主管領(lǐng)導審批信息系統(tǒng)建設規(guī)劃、管理方案及相應人、財、物等資源，對信息系統(tǒng)工作負全面領(lǐng)導責任。信息中心管理信息系統(tǒng)進行策劃、建設。保障管理信息系統(tǒng)有效運行。持續(xù)改進信息系統(tǒng)的管理。相關(guān)部門/基層單位配合搞好部門/單位管理系統(tǒng)的安全運行。對所使用的信息系統(tǒng)和專業(yè)軟件的適用性、安全性、可靠性進行評價。提出本部門/本單位職責范圍內(nèi)信息系統(tǒng)管理軟件的功能要求。5管理活動的內(nèi)容與方法本標準依據(jù)的流程計算機系統(tǒng)運行維護管理流程（見附錄A）組織機構(gòu)信息安全領(lǐng)導小組公司成立信息安全領(lǐng)導小組。領(lǐng)導小組是信息安全的最高決策機構(gòu)，其設辦公室設在公司信息中心，負責信息安全領(lǐng)導小組的日常事務。信息安全領(lǐng)導小組下設兩個工作組：a）信息安全工作組；b）應急處理工作組。信息安全領(lǐng)導小組的職責主要包括：a）根據(jù)國家和行業(yè)有關(guān)信息安全的政策、法律和法規(guī)，批準公司信息安全總體策略規(guī)劃、管理規(guī)范和技術(shù)標準；b）確定公司信息安全各有關(guān)部門工作職責，指導、監(jiān)督信息安全工作。信息安全工作組信息安全工作組組長由公司信息中心的負責人擔任。信息安全工作組的主要職責包括：a）貫徹執(zhí)行公司信息安全領(lǐng)導小組的決議，協(xié)調(diào)和規(guī)范公司信息安全工作；b）根據(jù)信息安全領(lǐng)導小組的工作部署，對信息安全工作進行具體安排、落實;c）組織對重大的信息安全工作標準和技術(shù)操作策略進行審查，擬訂信息安全總體策略規(guī)劃，并監(jiān)督執(zhí)行；d）負責協(xié)調(diào)、督促各職能部門和有關(guān)單位的信息安全工作，參與信息系統(tǒng)工程建設中的安全規(guī)劃，監(jiān)督安全措施的執(zhí)行；e）組織信息安全工作檢查，分析信息安全總體狀況，提出分析報告和安全風險的防范對策；f）負責接受各單位的緊急信息安全事件報告，組織進行事件調(diào)查，分析原因、涉及范圍，并評估安全事件的嚴重程度，提出信息安全事件防范措施；g）及時向信息安全工作領(lǐng)導小組和上級有關(guān)部門、單位報告信息安全事件。h/艮蹤先進的信息安全技術(shù)，組織信息安全知識的培訓和宣傳工作。應急處理工作組應急處理工作組組長由公司信息中心的主要負責人擔任。應急處理工作組的主要職責包括：a）審定公司網(wǎng)絡與信息系統(tǒng)的安全應急策略及應急預案；b）決定相應應急預案的啟動，負責現(xiàn)場指揮，并組織相關(guān)人員排除故障，恢復系統(tǒng)；0每年組織對信息安全應急策略和應急預案進行測試和演練。各分公司及直屬單位信息安全工作常設機構(gòu)及人員各分公司及直屬單位應指定分管信息的單位領(lǐng)導負責本單位信息安全管理，并配備信息安全技術(shù)人員，有條件的應設置信息安全工作小組或辦公室，對海南電網(wǎng)公司信息安全領(lǐng)導小組和工作小組負責，落實本單位信息安全工作和應急處理工作。信息安全人員基本要求a）信息安全管理人員和專（兼）職信息安全技術(shù)人員應當政治可靠、業(yè)務素質(zhì)高、遵紀守法、恪盡職守；b）信息安全管理人員及專職和兼職信息安全技術(shù)人員應有計算機專業(yè)工作三年以上經(jīng)歷，具備專科以上學歷；c）違反國家法律、法規(guī)和行業(yè)規(guī)章受到處罰的人員，不得從事信息安全管理與技術(shù)工作。信息安全人員管理a）信息安全人員的配備和變更情況，應向上一級單位報告、備案；b）信息安全人員調(diào)離崗位，必須嚴格辦理調(diào)離手續(xù)，承諾其調(diào)離后的保密義務。涉及海南電網(wǎng)業(yè)務核心技術(shù)的信息安全人員調(diào)離單位，必須進行離崗審計，并在規(guī)定的脫密期后，方可調(diào)離。信息安全人員職責范圍信息安全人員應履行以下職責：a）負責信息安全管理的日常工作；b）開展信息安全檢查工作，對要害崗位人員安全工作進行指導和監(jiān)督；c）負責維護和審查有關(guān)安全審計記錄，及時發(fā)現(xiàn)存在問題，提出安全風險防范對策；d）開展信息安全知識的培訓和宣傳工作；e）監(jiān)控信息安全總體狀況，提出信息安全分析報告；f）及時向信息安全工作領(lǐng)導小組和有關(guān)部門、單位報告信息安全事件。信息安全人員在行使職責時，確因工作需要，經(jīng)批準，可了解涉及電力生產(chǎn)、經(jīng)營與管理有關(guān)的信息系統(tǒng)的機密信息。信息安全人員發(fā)現(xiàn)本單位重大信息安全隱患，有權(quán)向上級機構(gòu)信息安全主管部門報告。信息安全人員發(fā)現(xiàn)信息系統(tǒng)要害崗位人員使用不當，應及時建議有關(guān)單位、部門進行調(diào)整。信息安全人員必須嚴格遵守國家有關(guān)法律、法規(guī)和公司有關(guān)規(guī)章標準，嚴守公司商業(yè)秘密。要害崗位人員管理信息系統(tǒng)要害崗位人員，是指與重要信息系統(tǒng)直接相關(guān)的系統(tǒng)管理人員、網(wǎng)絡管理人員、重要應用開發(fā)人員、系統(tǒng)維護人員、重要業(yè)務操作人員等崗位人員。重要信息系統(tǒng)，是指涉及公司生產(chǎn)、建設與經(jīng)營、管理等核心業(yè)務且有保密要求的信息系統(tǒng)。要害崗位人員上崗前必須經(jīng)單位人事部門進行政治素質(zhì)審查，技術(shù)部門進行業(yè)務技能考核，工作經(jīng)歷和工作經(jīng)驗考查等，合格者方可上崗。要害崗位人員有責任保護信息系統(tǒng)的秘密，并以簽署保密協(xié)議的方式作出安全承諾。要害崗位人員上崗必須實行“權(quán)限分散、不得交叉覆蓋”的原則。系統(tǒng)管理人員、網(wǎng)絡管理人員、系統(tǒng)開發(fā)人員、系統(tǒng)維護人員不得兼任業(yè)務操作員；未經(jīng)過批準，系統(tǒng)開發(fā)人員不應兼任系統(tǒng)管理員。對要害崗位人員應實行定期考查標準，要害崗位人員應定期接受安全培訓，規(guī)范自身安全意識和風險防范意識。要害崗位人員調(diào)離崗位，必須嚴格辦理調(diào)離手續(xù)，承諾其調(diào)離后的保密義務。涉及公司業(yè)務保密信息的要害崗位人員調(diào)離單位，必須進行離崗審計，在規(guī)定的脫密期后，方可調(diào)離。要害崗位人員離崗后，必須即刻更換操作密碼或注銷用戶。要害崗位安全責任系統(tǒng)管理員安全責任：a）負責系統(tǒng)的運行管理，實施系統(tǒng)安全運行細則；b）嚴格用戶權(quán)限管理，維護系統(tǒng)安全正常運行；c）認真記錄系統(tǒng)安全事項，及時向信息安全人員報告安全事件；d）對進行系統(tǒng)操作的其他人員予以安全監(jiān)督。網(wǎng)絡管理員安全責任：a）負責網(wǎng)絡的運行管理，實施網(wǎng)絡安全策略和安全運行細則；b）安全配置網(wǎng)絡參數(shù)，嚴格控制網(wǎng)絡用戶訪問權(quán)限，維護網(wǎng)絡安全正常運行；c）監(jiān)控網(wǎng)絡關(guān)鍵設備、網(wǎng)絡端口、網(wǎng)絡物理線路，防范黑客入侵，及時向信息安全人員報告安全事件；d）對操作網(wǎng)絡管理功能的其他人員進行安全監(jiān)督。系統(tǒng)開發(fā)員安全責任：a）系統(tǒng)開發(fā)建設中，應嚴格執(zhí)行系統(tǒng)安全策略，保證系統(tǒng)安全功能的準確實現(xiàn)；b）系統(tǒng)投產(chǎn)運行前，應完整移交系統(tǒng)源代碼和相關(guān)涉密資料；c）不得對系統(tǒng)設置“后門”；d）對系統(tǒng)核心技術(shù)保密。系統(tǒng)維護員安全責任：a）負責系統(tǒng)維護，及時解除系統(tǒng)故障，確保系統(tǒng)正常運行；b）不得擅自改變系統(tǒng)功能；c）不得安裝與系統(tǒng)無關(guān)的其他計算機程序；d）維護過程中，發(fā)現(xiàn)安全漏洞應及時報告信息安全人員。業(yè)務操作員安全責任：a）嚴格執(zhí)行系統(tǒng)操作規(guī)程和運行安全管理標準；b）不得向他人提供自己的操作密碼；c）及時向系統(tǒng)管理員報告系統(tǒng)各種異常事件。各要害崗位人員必須嚴格遵守保密法規(guī)和有關(guān)信息安全管理規(guī)定。第三方人員管理第三方人員包括軟件開發(fā)商，硬件供應商，系統(tǒng)集成商，設備維護商和服務提供商，以及實習學生和臨時工作人員。應對第三方人員的物理訪問和邏輯訪問實施訪問控制，根據(jù)其在系統(tǒng)中完成工作的時間、性質(zhì)、范圍、內(nèi)容等方面的需要給予最低授權(quán)。第三方人員的現(xiàn)場工作或遠程維護工作內(nèi)容應在合同中明確規(guī)定，如工作涉及機密或秘密信息內(nèi)容，應要求其簽署保密協(xié)議。一般情況下第三方人員的現(xiàn)場工作，如數(shù)據(jù)庫、系統(tǒng)、漏洞掃描、入侵檢測、白客滲透以及其他軟件的安裝等，不許接入自帶的設備。第三方人員的現(xiàn)場工作應在本單位信息部門有關(guān)人員的陪同和監(jiān)督下完成。第三方人員自帶設備接入信息系統(tǒng)應得到特別授權(quán)，其操作應受到審計。第三方人員工作結(jié)束后，應及時清除有關(guān)賬戶、過程記錄等信息。培訓與教育信息中心依據(jù)Q/HD212.07—2007《員工培訓管理標準》相關(guān)要求，組織人員培訓。信息安全人員應定期參加下列信息安全知識和技能的培訓：a）信息安全法律法規(guī)及行業(yè)規(guī)章標準的培訓；b）信息安全基本知識的培訓；c）信息安全專門技能的培訓。信息安全人員應定期接受政治思想教育、職業(yè)道德教育和安全保密教育。應對所有使用計算機的人員定期進行基本的信息安全知識和技能的培訓，并應注意培養(yǎng)信息安全意識。信息資產(chǎn)安全管理信息資產(chǎn)的分類和標識管理信息資產(chǎn)分類的定義公司信息資產(chǎn)分類和標識的目的：a）通過對公司信息按無形資產(chǎn)性質(zhì)（非財務）進行分類和標識，促進信息的增值利用，提高信息資產(chǎn)的利用率；b）促進信息分布的合理化、促進非結(jié)構(gòu)化信息向結(jié)構(gòu)化數(shù)字信息的轉(zhuǎn)換，降低信息管理成本；c）掌握公司信息資產(chǎn)狀態(tài)，明確信息資產(chǎn)的使用方法、保存方式、放置位置、安全分類和責任人等，規(guī)范信息資產(chǎn)的管理，為信息系統(tǒng)的日常與應急工作提供基本資料；d）根據(jù)各種信息資產(chǎn)的敏感度和重要性的不同，制定對信息資產(chǎn)各種相應的分類保護措施，對各類信息資產(chǎn)實施適當程度的保護。信息資產(chǎn)指公司在生產(chǎn)、經(jīng)營和管理過程中，所需要的以及所產(chǎn)生的，用以支持（或指導、或影響）公司生產(chǎn)、經(jīng)營和管理的一切有用的數(shù)據(jù)和資料等非財務的無形資產(chǎn)，其范圍包括如下現(xiàn)在的和歷史的信息資產(chǎn)：a）公司的域名、網(wǎng)絡拓撲結(jié)構(gòu)、網(wǎng)絡IP地址及分配規(guī)則、企業(yè)標準編碼；b）公司投資開發(fā)的（或具有獨立知識產(chǎn)權(quán)的）程序軟件的源代碼、支持程序軟件、外購軟件的使用許可證記錄、系統(tǒng)平臺基礎(chǔ)數(shù)據(jù)等；c）系統(tǒng)配置數(shù)據(jù)、系統(tǒng)授權(quán)信息、口令文件、密鑰及算法文件、系統(tǒng)說明文檔、用戶手冊等系統(tǒng)基礎(chǔ)數(shù)據(jù)；d）各類專業(yè)系統(tǒng)的應用數(shù)據(jù)庫及數(shù)據(jù)文件、業(yè)務報表等系統(tǒng)業(yè)務數(shù)據(jù)；e）各類專業(yè)系統(tǒng)的運行方案、運行記錄、變更記錄等系統(tǒng)運行數(shù)據(jù)以及應急計劃；f）各類專業(yè)的規(guī)劃、方案與策略、業(yè)務流程、業(yè)務規(guī)范、操作規(guī)程等管理數(shù)據(jù)；g）技術(shù)圖紙、技術(shù)文檔、工程資料等項目數(shù)據(jù)；h）其他紙介質(zhì)的重要辦公文件（信件）、圖象、影象、錄音和照片等非結(jié)構(gòu)化辦公資料；i）單個員工擁有的專家技能和經(jīng)驗等隱性數(shù)據(jù)。公司信息資產(chǎn)的安全分類：信息資產(chǎn)按信息的敏感度分類為機密信息、秘密信息、對內(nèi)公開信息、對外公開信息。信息資產(chǎn)安全分類見下表。信息資產(chǎn)的訪問控制權(quán)限如下表所示。信息資產(chǎn)的數(shù)據(jù)保護要求如下表所示。212.07/JL19漏洞掃描記錄單歸口部門保存保存年限5年a）對于對外公開信息，存放地點沒有要求；b）對于對內(nèi)公開信息，如果是結(jié)構(gòu)化的電子信息，應存放在內(nèi)部服務網(wǎng)絡中的文件服務器等；如果是非結(jié)構(gòu)化的其他信息，應存放在室內(nèi)文件柜中，并有明顯的分類標識；c）對于秘密信息，如果是結(jié)構(gòu)化的電子信息，應存放在有嚴格管理標準、具有足夠的安全防護措施的機房環(huán)境中的相關(guān)服務器和存儲設備上；如果是非結(jié)構(gòu)化的其他信息，應存放在室內(nèi)具有較強防盜竊能力的文件柜中，并造冊登記，分項存放；d）對于機密信息，如果是聯(lián)機存儲的結(jié)構(gòu)化電子信息，應存放在有嚴格管理標準、具有高強度的安全防護措施的機房環(huán)境中的相關(guān)服務器和存儲設備上；如果是脫機存儲的結(jié)構(gòu)化電子信息，以及非結(jié)構(gòu)化的其他信息，應存放在具有嚴格保安措施的、專門的保管環(huán)境中（如機要室等），并造冊登記，分項存放。a）對于對外公開信息，介質(zhì)使用沒有限制要求，任何人在任何場合均可以使用；b）對于對內(nèi)公開信息，對于存儲在電子介質(zhì)上的信息，必須通過內(nèi)部網(wǎng)絡，以注冊的合法身份，登錄訪問和下載使用；對于非結(jié)構(gòu)化的其他信息，經(jīng)介質(zhì)保存部門同意，可以提取存儲信息的介質(zhì)使用，使用完畢放回原處；c）對于秘密信息，對于存儲在電子介質(zhì)上的信息，要求聯(lián)機使用，信息只能通過應用系統(tǒng)專用界面使用，使用者必須具有足夠的使用權(quán)限；秘密信息的脫機提取或抄錄，必須有相關(guān)領(lǐng)導的書面批準意見，其提取或抄錄的相關(guān)細節(jié)必須記錄在案，使用者必須對其提取或抄錄秘密信息的安全保密負責；對于非結(jié)構(gòu)化信息的使用，必須符合秘密級文件的相關(guān)使用規(guī)定，信息的提取或抄錄必須有相關(guān)領(lǐng)導的書面批準意見，其相關(guān)細節(jié)必須記錄在案，使用者必須對其提取或抄錄秘密信息的安全保密負責；d）對于機密信息，對于存儲在電子介質(zhì)上的信息，必須聯(lián)機使用，信息只能通過應用系統(tǒng)專用界面使用，使用者必須具有足夠的使用權(quán)限；機密信息絕對禁止的脫機提取，特殊信息的抄錄，必須有相關(guān)領(lǐng)導及保密人員的書面批準意見，抄錄的過程及內(nèi)容必須有保密人員現(xiàn)場監(jiān)督檢查，抄錄的相關(guān)細節(jié)必須記錄在案，使用者必須對其抄錄的機密信息的安全保密負責；對于非結(jié)構(gòu)化信息的使用，必須符合機密級文件的相關(guān)使用規(guī)定，特殊信息的抄錄必須有相關(guān)領(lǐng)導及保密人員的書面批準意見，其相關(guān)細節(jié)必須記錄在案，使用者必須對其提取或抄錄秘密信息的安全保密負責。5.3.2信息系統(tǒng)軟硬件設備管理為規(guī)范信息系統(tǒng)軟硬件設備管理，規(guī)范設備購置、管理、應用、維護、維修及報廢等方面的工作，保護信息系統(tǒng)安全。a）一般硬件設備：指筆記本電腦、客戶端微機主機、顯示器、打印機、小型不間斷電源裝置、穩(wěn)壓電源以及各種接口卡、電纜頭、簡單網(wǎng)絡設備等與微機有關(guān)的設備；b）關(guān)鍵硬件設備：指各單位主要業(yè)務應用系統(tǒng)所使用的各種服務器、網(wǎng)絡設備、網(wǎng)絡安全設備、大中型不間斷電源裝置及其外圍設備；c）消耗品：指各計算機設備日常所使用的各種移動存儲介質(zhì)、打印耗材等低值易耗品。1-2007《物資采購管理標準》的有關(guān)規(guī)定負責組織實施，對于需要招標應按Q/HD203.02—2007《招標管理標準》有關(guān)規(guī)定進行招標，未經(jīng)過批準，其他部門不得自行購置計算機有關(guān)的軟硬件設備?！罢l建設，誰維護”的原則，由各專業(yè)應用系統(tǒng)的建設單位負責用戶的應用管理工作?！罢l建設，誰維護”的原則，由應用軟件的建設單位負責應用軟件的專業(yè)性維護工作，由信息系統(tǒng)運行管理部門負責系統(tǒng)軟、硬件設備的專業(yè)性維護和日常應急維護工作。硬件設備的報廢應由使用部門提出書面申請，信息系統(tǒng)運行管理部門根據(jù)設備的使用情況進行審核，提出設備報廢清單，按固定資產(chǎn)報廢程序辦理。維護管理中心安全管理為了保障數(shù)據(jù)中心內(nèi)各種系統(tǒng)設備的安全、可靠運行，合理、高效、安全地利用信息系統(tǒng)資源?！巴鈦砣藛T進入機房申請單”經(jīng)IDC運行管理部門負責人批準后，佩帶臨時出入證方可進入主機房；期間，必須由相關(guān)技術(shù)人員全程陪同并及時做好登記工作。建立設備專管責任制，精心維護、精心操作，確保設備安全可靠運行。系統(tǒng)運行值班管理X8小時值班，特殊值班是指根據(jù)需要，在特殊情況下執(zhí)行7X24小時值班，值班人員的安排按照值班表進行。與信息系統(tǒng)缺陷管理“誰主管、誰負責，誰運營、誰負責”的原則管理，在質(zhì)保期內(nèi)的缺陷由合同乙方（承建方或供貨方）負責處理，質(zhì)保期后的缺陷由主管或運營單位負責組織處理。用戶辦公電腦的缺陷，由信息技術(shù)人員填寫缺陷名稱、原因、處理意見和處理結(jié)果并經(jīng)用戶簽字，記入缺陷登記本中。網(wǎng)絡和信息系統(tǒng)的缺陷，由信息技術(shù)人員填寫缺陷單，經(jīng)信息部門領(lǐng)導安排處理時間和處理方案方可處理，凡需要對系統(tǒng)進行停止運行的缺陷處理應該事先與業(yè)務部門協(xié)商，選擇合適的時間開始檢修（緊急缺陷除外），網(wǎng)絡和信息系統(tǒng)的缺陷處理必須遵守工作票標準。缺陷消除并經(jīng)測試后系統(tǒng)方可投入運行并在缺陷記錄中給予注銷。機病毒防護管理為規(guī)范對計算機病毒的預防和治理，保護信息系統(tǒng)安全。a）每日查看有關(guān)防病毒信息，掌握最新病毒信息，并及時更新病毒碼與掃描引擎；b）每日查看或督促有關(guān)人員檢查服務器防病毒情況，如發(fā)現(xiàn)病毒應及時進行殺毒；c）經(jīng)常查看或督促有關(guān)人員檢查客戶端防毒情況，如發(fā)現(xiàn)病毒應及時進行殺毒；d）經(jīng)常及時查收防病毒通知及補丁程序。a）當病毒大規(guī)模發(fā)作時，應立即發(fā)出警報；如屬于網(wǎng)絡傳播時，應立即斷開網(wǎng)線隔離帶毒機器，未清除病毒的計算機不得入網(wǎng)；b）殺毒過程中，應嚴格按照查殺計算機病毒的操作手冊進行，不得擅自修改操作流程；c）對于清除不掉的病毒應立即向本單位信息管理部門報告；d）對因計算機病毒引起的計算機信息系統(tǒng)癱瘓，程序和數(shù)據(jù)嚴重破壞等重大事故應立即采取隔離措施，并及時向公司信息中心報告。如因病毒引起的數(shù)據(jù)被破壞應及時告知本單位防病毒管理員，由本單位防病毒管理員負責或組織進行恢復（操作系統(tǒng)、應用系統(tǒng)、各種數(shù)據(jù)）。軟件系統(tǒng)運行安全管理保障公司信息系統(tǒng)的操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)的安全、穩(wěn)定運行，規(guī)范操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)的安全配置和日常操作管理。a）操作系統(tǒng)管理員、審計員的任命應遵循“任期有限、權(quán)限分散”的原則；b）對每個操作系統(tǒng)要分別設立操作系統(tǒng)管理員、審計員，并分別由不同的人員擔任。在多個應用系統(tǒng)的環(huán)境下，操作系統(tǒng)管理員和操作系統(tǒng)審計員崗位可交叉擔任；c）操作系統(tǒng)管理員、審計員的任期可根據(jù)系統(tǒng)的安全性要求而定，最長為三年，期滿通過考核后可以續(xù)任；d）操作系統(tǒng)管理員、審計員必須簽訂保密協(xié)議書。a）操作系統(tǒng)管理員、審計員賬戶的授權(quán)由系統(tǒng)運行維護單位填寫“操作系統(tǒng)賬戶授權(quán)審批表”，經(jīng)信息系統(tǒng)運行管理部門負責人批準后設置；b）操作系統(tǒng)管理員和操作系統(tǒng)審計員人員變更后，必須及時更改賬戶設置。a）本單位其他賬戶的授權(quán)由使用部門填寫“操作系統(tǒng)賬戶授權(quán)審批表”，經(jīng)信息系統(tǒng)運行管理部門負責人批準后，由操作系統(tǒng)管理員進行設置；b）外單位人員需要使用本單位系統(tǒng)時,須經(jīng)相關(guān)業(yè)務管理部門主管同意，填寫“外單位人員操作系統(tǒng)賬戶授權(quán)審批表”，報信息系統(tǒng)運行管理部門負責人批準后，由操作系統(tǒng)管理員按規(guī)定的權(quán)限、時限設置專門的用戶帳號；c）嚴禁本單位任何人將自己的用戶帳號提供給外單位人員使用。a）系統(tǒng)賬戶的口令長度設置至少為8位，口令必須從字符（a-2"-2）、數(shù)字（0-9）、符號（?!@#$%%*（）_<>）中至少選擇兩種進行組合設置；b）系統(tǒng)賬戶的口令必須經(jīng)常更改，至少每月更改一次，每次更新的口令不得與舊的口令相同，操作系統(tǒng)應設置相應的口令規(guī)則；c）系統(tǒng)用戶的帳號、口令、權(quán)限等禁止告知其他人員；d）須根據(jù)系統(tǒng)的安全要求對操作系統(tǒng)密碼策略進行設置和調(diào)整，以確?？诹罘弦蟆）應設置“操作系統(tǒng)維護和應急處理記錄”，系統(tǒng)管理員記錄系統(tǒng)的運行情況；b）應對系統(tǒng)安裝、設置更改、帳號變更、組變更、備份等系統(tǒng)維護工作進行記錄，以備查閱；c）應對系統(tǒng)異常和系統(tǒng)故障的時間、現(xiàn)象、應急處理方法及結(jié)果作詳細的記錄。a）必須對操作系統(tǒng)軟件的介質(zhì)、資料和許可證進行登記，并設專人負責保管；b）登記的內(nèi)容應包括軟件的名稱和版本、軟件出版商、許可證類型和數(shù)量、介質(zhì)的編號和數(shù)量、軟件安裝序列號、手冊名稱和數(shù)量、購買日期等；c）應有軟件和資料的借用審批和借還登記手續(xù)；d）對重要的系統(tǒng)軟件介質(zhì)和資料要進行復制，借用時宜提供復制品，以保護好原件及避免丟失。a）操作系統(tǒng)的系統(tǒng)管理員賬戶名稱不得使用系統(tǒng)安裝時默認的系統(tǒng)管理員賬戶名，應按照“操作系統(tǒng)賬戶授權(quán)審批表”批準的賬戶名稱、權(quán)限和有效期予以設置；必須更改系統(tǒng)安裝時默認系統(tǒng)管理員賬戶和具有特殊權(quán)限的賬戶的口令，關(guān)閉不必使用的賬號；b）操作系統(tǒng)管理員賬戶的口令除了要滿足本規(guī)范第六條中的口令要求外，還必須每兩周更改一次，發(fā)現(xiàn)有異常情況時應立即更改，每次更新的口令不得與舊的口令相同；c）嚴禁把操作系統(tǒng)管理員的賬戶名稱和口令告知其他人員。操作系統(tǒng)管理員應對操作系統(tǒng)的配置參數(shù)及相關(guān)文件進行備份，當配置發(fā)生變更時必須重新備份，以便系統(tǒng)發(fā)生故障時能盡快恢復系統(tǒng)配置。a）操作系統(tǒng)管理員應經(jīng)常檢查操作系統(tǒng)的安全配置，并確保符合安全配置要求；b）操作系統(tǒng)管理員和操作系統(tǒng)審計員應定期查看操作系統(tǒng)的運行日志和審計日志，以及時發(fā)現(xiàn)出現(xiàn)的安全問題；c）操作系統(tǒng)管理員應定期使用最新的安全檢查或安全分析工具對系統(tǒng)進行檢查，并及時消除存在的漏洞。特別是在新軟件安裝或軟件更新之后。a）數(shù)據(jù)庫管理員（DBA）的任命應遵循“任期有限、權(quán)限分散”的原則；b）對每個數(shù)據(jù)庫系統(tǒng)要分別設立數(shù)據(jù)庫管理員和數(shù)據(jù)庫審計員，并分別由不同的人員擔任。在多套系統(tǒng)的環(huán)境下，數(shù)據(jù)庫管理員和數(shù)據(jù)庫審計員崗位應交叉擔任；c）數(shù)據(jù)庫管理員、審計員的任期可根據(jù)系統(tǒng)的安全性要求而定，最長為三年，期滿通過考核后可以續(xù)任；d）數(shù)據(jù)庫管理員、審計員必須簽訂保密協(xié)議書。e）數(shù)據(jù)庫管理員、審計員賬戶的授權(quán)，審批f）數(shù)據(jù)庫管理員、審計員賬戶的授權(quán)由系統(tǒng)運行維護單位填寫“數(shù)據(jù)庫系統(tǒng)賬戶授權(quán)審批表”，經(jīng)信息系統(tǒng)運行管理部門負責人批準后設置；g）數(shù)據(jù)庫管理員、審計員人員變更后，必須及時更改賬戶設置。a）本單位其他數(shù)據(jù)庫賬戶的授權(quán)由使用部門填寫“數(shù)據(jù)庫系統(tǒng)賬戶授權(quán)審批表”，經(jīng)信息系統(tǒng)運行管理部門負責人批準后，由數(shù)據(jù)庫管理員進行設置；b）外單位人員需要使用本單位數(shù)據(jù)庫系統(tǒng)時，須經(jīng)相關(guān)業(yè)務管理部門主管同意，填寫“外單位人員數(shù)據(jù)庫系統(tǒng)賬戶授權(quán)審批表”，報信息系統(tǒng)運行管理部門負責人批準后，由數(shù)據(jù)庫管理員按規(guī)定的權(quán)限、時限設置專門的用戶帳號；c）“外單位人員數(shù)據(jù)庫系統(tǒng)賬戶授權(quán)審批表”應包括使用者姓名、身份證號、工作單位、接待部門、數(shù)據(jù)庫系統(tǒng)名稱和版本、主機型號、主機號、賬戶名稱、賬戶類別、授予權(quán)限、賬號和權(quán)限授予期限等；d）嚴禁本單位任何人將自己的用戶帳號提供給外單位人員使用。a）數(shù)據(jù)庫賬戶的口令長度設置至少為6位，口令必須從字符、數(shù)字、符號中至少選擇兩種進行組合設置；不宜使用與賬戶名稱中相同的字符或使用姓名、生日和電話號碼等其他容易猜測的字符組合；b）數(shù)據(jù)庫賬戶的口令必須經(jīng)常更改，至少每季度更改一次，每次更新的口令不得與舊的口令相同，應設置相應的口令規(guī)則；c）數(shù)據(jù)庫用戶的帳號、口令、權(quán)限等禁止告知其他人員；d）必須根據(jù)安全要求對數(shù)據(jù)庫管理系統(tǒng)的密碼策略進行設置和調(diào)整，以確?？诹罘弦?。a）應設置“數(shù)據(jù)庫系統(tǒng)維護和應急處理記錄”，系統(tǒng)管理員記錄系統(tǒng)的運行情況；b）應對系統(tǒng)安裝、設置更改、帳號變更、表空間變更、數(shù)據(jù)對象變更、數(shù)據(jù)庫備份等系統(tǒng)維護工作進行記錄，以備查閱；c）應對系統(tǒng)異常和系統(tǒng)故障的時間、現(xiàn)象、應急處理方法及結(jié)果作詳細的記錄。a）必須對數(shù)據(jù)系統(tǒng)軟件的介質(zhì)、資料和許可證進行登記，并設專人負責保管；b）登記的內(nèi)容應包括軟件的名稱和版本、軟件出版商、許可證類型和數(shù)量、介質(zhì)的編號和數(shù)量、軟件安裝序列號、資料名稱和數(shù)量、購買日期等；c）應有軟件和資料的借用審批和借還登記手續(xù)；d）對數(shù)據(jù)庫系統(tǒng)軟件介質(zhì)和資料要進行復制，借用時宜提供復制品，以保護原件及避免丟失。a）數(shù)據(jù)庫管理員賬戶名稱不宜使用系統(tǒng)安裝時默認的管理員賬戶名，應按照“數(shù)據(jù)庫系統(tǒng)賬戶授權(quán)審批表”批準的賬戶名稱、權(quán)限和有效期予以設置。必須更改系統(tǒng)安裝時默認的管理員賬戶和具有特殊權(quán)限的賬戶的口令，關(guān)閉不必使用的賬號；b）數(shù)據(jù)庫管理員的口令長度必須設置至少為8位，滿足口令的復雜性要求，還必須每兩周更改一次，發(fā)現(xiàn)有異常情況時應立即更改，每次更新的口令不得與舊的口令相同；c）嚴禁把數(shù)據(jù)庫管理員的賬戶名稱和口令告知其他人員。數(shù)據(jù)庫系統(tǒng)管理員應對數(shù)據(jù)庫系統(tǒng)的配置參數(shù)及相關(guān)文件進行備份，當配置發(fā)生變更時必須重新備份，以便系統(tǒng)故障時能盡快恢復系統(tǒng)配置。a）應制定數(shù)據(jù)庫系統(tǒng)的備份策略，定期對數(shù)據(jù)庫系統(tǒng)進行備份；b）數(shù)據(jù)庫備份策略的制定要以盡可能高效地進行備份與恢復為目標，并且與操作系統(tǒng)的備份最好地結(jié)合，宜采用物理備份與邏輯備份相結(jié)合；c）必須對備份權(quán)限的設置加以嚴格控制；d）必須妥善存放和保管備份介質(zhì)（包括磁帶、從數(shù)據(jù)庫導出的文件等），防止非法訪問。對備份的介質(zhì)應做好標識，存放環(huán)境符合要求。a）數(shù)據(jù)庫管理員應經(jīng)常檢查數(shù)據(jù)庫系統(tǒng)的安全配置，并確保符合安全配置要求；b）數(shù)據(jù)庫管理員、審計員應定期查看數(shù)據(jù)庫系統(tǒng)的運行日志和審計日志，以及時發(fā)現(xiàn)出現(xiàn)的安全問題；c）數(shù)據(jù)庫管理員應定期使用最新的安全檢查或安全分析工具對系統(tǒng)進行檢查，并及時消除存在的漏洞；特別是在新軟件安裝或軟件更新之后。系統(tǒng)運行安全管理保障公司信息系統(tǒng)的應用系統(tǒng)的安全、穩(wěn)定運行，規(guī)范應用的安全配置和日常維護管理。a）應用系統(tǒng)管理員、審計員的任命應遵循“任期有限、權(quán)限分散”的原則；對重要應用系統(tǒng)管理人員應不定期地循環(huán)任職，并對人員進行輪流培訓；b）對每個重要的應用系統(tǒng)要分別設立應用系統(tǒng)管理員、審計員，并分別由不同的人員擔任。在多個應用系統(tǒng)的環(huán)境下，系統(tǒng)管理員和系統(tǒng)審計員崗位可交叉擔任；c）應用系統(tǒng)管理員、審計員的任期可根據(jù)系統(tǒng)的安全性要求而定，最長為三年，期滿通過考核后可以續(xù)任；d）應用系統(tǒng)管理員、審計員必須簽訂保密協(xié)議書。a）恪守職業(yè)道德，嚴守企業(yè)秘密；熟悉國家安全生產(chǎn)法以及有關(guān)信息安全管理的相關(guān)規(guī)程，熟悉應用系統(tǒng)涉及的業(yè)務流程；b）負責應用系統(tǒng)的安裝、維護和系統(tǒng)及數(shù)據(jù)備份；c）根據(jù)應用系統(tǒng)的安全策略，負責應用系統(tǒng)的用戶權(quán)限設置以及系統(tǒng)安全配置；d）密切注意應用系統(tǒng)運行中發(fā)生的系統(tǒng)故障、安全事件，關(guān)注應用系統(tǒng)存在的隱患，收集業(yè)務用戶的問題反映，及時報告信息管理部門和業(yè)務主管部門；e）根據(jù)應用系統(tǒng)運行的實際情況，制定應急處理預案，提交信息管理部門審定；f）遵守應用系統(tǒng)的有關(guān)管理規(guī)范。a）恪守職業(yè)道德，嚴守企業(yè)秘密；熟悉國家安全生產(chǎn)法以及有關(guān)通信管理的相關(guān)規(guī)程，熟悉應用系統(tǒng)涉及的業(yè)務流程；b）負責對應用系統(tǒng)的安裝、維護和系統(tǒng)及數(shù)據(jù)備份的監(jiān)督檢查和登記工作；c）定期檢查應用系統(tǒng)的用戶權(quán)限設置以及系統(tǒng)安全配置，與應用系統(tǒng)安全策略的符合性；d）定期審查應用系統(tǒng)的審計記錄，發(fā)現(xiàn)安全問題及時報告信息管理部門和業(yè)務主管部門。a）應用系統(tǒng)管理員、審計員賬戶的授權(quán)由系統(tǒng)運行維護單位填寫“應用系統(tǒng)賬戶授權(quán)審批表”，經(jīng)信息系統(tǒng)運行管理部門負責人批準后設置；b）應用系統(tǒng)管理員、審計員人員變更后，必須及時更改賬戶設置。a）用于業(yè)務應用的賬戶的授權(quán)由使用單位填寫“應用系統(tǒng)賬戶授權(quán)審批表”，經(jīng)業(yè)務管理部門及信息系統(tǒng)運行管理部門負責人批準后，由應用系統(tǒng)管理員進行設置；b）外單位人員需要使用本單位系統(tǒng)時，須經(jīng)相關(guān)業(yè)務管理部門主管同意，填寫“外單位人員應用系統(tǒng)賬戶授權(quán)審批表”，報信息系統(tǒng)運行管理部門負責人批準后，由應用系統(tǒng)管理員按規(guī)定的權(quán)限、時限設置專門的用戶帳號；c）嚴禁本單位任何人將自己的用戶帳號提供給外單位人員使用。a）應用系統(tǒng)管理員賬戶的口令長度設置至少為8位，口令必須從字符（a-z,人-2）、數(shù)字（0-9）、符號（?!@#$%-*（）_<>）中至少選擇兩種進行組合設置；b）應用系統(tǒng)管理員賬戶的口令必須經(jīng)常更改，至少每半年更改一次，每次更新的口令不得與舊的口令相同，操作系統(tǒng)應設置相應的口令規(guī)則；c）應用系統(tǒng)管理員用戶的帳號、口令、權(quán)限等禁止告知其他人員；d）用于業(yè)務應用的賬戶的口令長度設置至少為6位，其他要求參照應用系統(tǒng)管理員賬戶的口令要求執(zhí)行。a）設置”應用系統(tǒng)維護和應急處理記錄"系統(tǒng)管理員記錄系統(tǒng)的運行情況;b）對系統(tǒng)異常、系統(tǒng)故障的日期、現(xiàn)象、處理方法及結(jié)果等應急處理進行記錄；c）對應用系統(tǒng)的安裝、設置更改、帳號變更、組變更、備份等系統(tǒng)維護工作進行記錄，以備查閱；d）對應用系統(tǒng)異常和系統(tǒng)故障的時間、現(xiàn)象、應急處理方法及結(jié)果作詳細的記錄。a）必須對應用系統(tǒng)軟件的介質(zhì)、資料和許可證進行登記，并設專人負責保管；b）登記的內(nèi)容應包括軟件的名稱和版本、軟件出版商、許可證類型和數(shù)量、介質(zhì)的編號和數(shù)量、軟件安裝序列號、手冊名稱和數(shù)量、購買日期等；c）應用系統(tǒng)軟件和資料的借用，需要審批和借還登記手續(xù)；d）對重要應用系統(tǒng)軟件介質(zhì)和資料要進行復制，借用時應提供復制品，以保護好原件及避免丟失。a）系統(tǒng)管理員應對系統(tǒng)的配置參數(shù)及相關(guān)文件進行備份；b）當配置發(fā)生變更時必須重新備份，以便系統(tǒng)故障時能盡快恢復系統(tǒng)配置。c）備份權(quán)限，備份介質(zhì)都必須加以妥善保管，防止非法訪問；d）如果開發(fā)數(shù)據(jù)庫中導入了數(shù)據(jù)庫的數(shù)據(jù)，要確保為生產(chǎn)數(shù)據(jù)庫所指定的安全規(guī)則也用于開發(fā)數(shù)據(jù)庫中；e）制定備份策略，以高效備份與恢復為目標，與操作系統(tǒng)備份結(jié)合，物理備份與導出相結(jié)合。系統(tǒng)賬號口令管理保障公司網(wǎng)絡與信息系統(tǒng)安全。網(wǎng)絡運行安全管理規(guī)范公司信息網(wǎng)絡運行以及所有路由器、交換機設備的運行和管理，保障信息系統(tǒng)安全、穩(wěn)定運行。a）網(wǎng)絡管理員、安全審計員的任命應遵循“任期有限、權(quán)限分散”的原則；b）網(wǎng)絡管理系統(tǒng)要分別設立網(wǎng)絡管理員、安全審計員，并分別由不同的人員擔任；信息安全管理人員可以兼任網(wǎng)絡安全審計員；c）網(wǎng)絡管理員、安全審計員的任期可根據(jù)系統(tǒng)的安全性要求而定，最長為三年，期滿通過考核后可以續(xù)任；d）網(wǎng)絡管理員、安全審計員必須簽訂保密協(xié)議書。a）恪守職業(yè)道德，嚴守企業(yè)秘密；熟悉有關(guān)通信管理、信息安全管理的相關(guān)規(guī)程；b）根據(jù)網(wǎng)絡訪問控制策略要求，進行網(wǎng)絡設備參數(shù)設置，更新和維護等工作;c）對網(wǎng)絡設備實行分級授權(quán)管理，按照崗位職責授予不同的管理級別和權(quán)限；d）遵守網(wǎng)絡運行和網(wǎng)絡設備各項管理規(guī)范。a）恪守職業(yè)道德，嚴守企業(yè)秘密，熟悉有關(guān)通信管理的相關(guān)規(guī)程，了解網(wǎng)絡訪問控制策略要求；b）對網(wǎng)絡管理員的每次登錄和操作內(nèi)容進行登記，一周內(nèi)至少審計一次日志報表；c）對網(wǎng)絡設備（包括交換機、路由器、防火墻、入侵檢測、漏洞掃描等）配置、網(wǎng)絡訪問控制策略、日志報表進行符合性檢查與審計；d）及時掌握網(wǎng)絡安全最新知識，為網(wǎng)絡設備安全運行提供預警信息；e）遵守網(wǎng)絡設備運行各項管理規(guī)定。a）網(wǎng)絡管理員應依據(jù)經(jīng)過批準的訪問控制策略進行網(wǎng)絡訪問控制的設置和修改，如需要增加設置或修改必須經(jīng)過授權(quán)，由需求單位填寫“網(wǎng)絡訪問控制策略變更審批表”，經(jīng)信息管理部門負責人批準后實施；b）只有網(wǎng)絡管理員和網(wǎng)絡安全審計員才有權(quán)登錄網(wǎng)絡設備，發(fā)生人員變更后，應及時更改網(wǎng)絡設備賬戶和口令設置。a）只有網(wǎng)絡管理員才具有修改網(wǎng)絡設備系統(tǒng)配置參數(shù)的權(quán)限；b）為用戶級和特權(quán)級模式設置口令，不要使用缺省口令，確保用戶級和特權(quán)級模式口令不同；c）用戶口令長度應采用8位以上，由非純數(shù)字或字母組成，并定期更換，不要使用容易猜解的口令。a）每月定期下載或記錄網(wǎng)絡設備CPU、內(nèi)存利用率，以及主要端口流量等；b）每周統(tǒng)計一次各端口帶寬利用率，和每個業(yè)務流量統(tǒng)計，并做分析；c）一周內(nèi)至少審計一次日志報表；d）每季度對各網(wǎng)絡機房巡視，并做巡站記錄；e）對網(wǎng)絡安全事故要及時處理，保證信息網(wǎng)絡的安全運行。a）做好系統(tǒng)環(huán)境變量設置；b）配置端口、IP地址、VLAN等參數(shù)；c）靜態(tài)路由或動態(tài)路由；d）定義訪問控制列表；e）配置冗余的網(wǎng)絡設備，并安裝到網(wǎng)絡當中；f）定義管理員清單和管理權(quán)限；g）測試設備性能和保管好網(wǎng)管資料。a）系統(tǒng)管理員應定期和不定期地檢查網(wǎng)絡設備的運行狀況，及時查看設備日志，對異常情況的發(fā)生，及時上報，并做好記錄；b）對網(wǎng)絡設備的CPU和內(nèi)存利用率、數(shù)據(jù)流量、地址翻譯數(shù)量等，進行均時監(jiān)測、跟蹤工作，每周形成報表。a）應設置“網(wǎng)絡運行維護和應急處理記錄”，網(wǎng)絡管理員記錄系統(tǒng)的運行情況；b）應對網(wǎng)絡設備安裝、設置變更、配置備份等網(wǎng)絡系統(tǒng)維護工作進行記錄，以備查閱；c）應對網(wǎng)絡系統(tǒng)異常和網(wǎng)絡系統(tǒng)故障的時間、現(xiàn)象、應急處理方法及結(jié)果作詳細的記錄。墻運行安全管理規(guī)范公司信息網(wǎng)絡的所有防火墻及相關(guān)設備的管理，保障信息網(wǎng)絡的安全、穩(wěn)定運行。a）防火墻系統(tǒng)管理員的任命應遵循“任期有限、權(quán)限分散”的原則；b）系統(tǒng)管理員的任期可根據(jù)系統(tǒng)的安全性要求而定，最長為三年，期滿通過考核后可以續(xù)任；c）必須簽訂保密協(xié)議書。a）恪守職業(yè)道德，嚴守企業(yè)秘密；熟悉國家安全生產(chǎn)法以及有關(guān)信息安全管理的相關(guān)規(guī)程；b）負責網(wǎng)絡安全策略的編制，更新和維護等工作；c）對信息網(wǎng)絡實行分級授權(quán)管理，按照崗位職責授予不同的管理級別和權(quán)限；d）不斷的學習和掌握最新的網(wǎng)絡安全知識，防病毒知識和專業(yè)技能；e）遵守防火墻設備各項管理規(guī)范。a）每月定期安裝、更新廠家發(fā)布的防火墻補丁程序，及時修補防火墻操作系統(tǒng)的漏洞，并做好升級記錄；一周內(nèi)至少審計一次日志報表；一個月內(nèi)至少重新啟動一次防火墻；d）根據(jù)入侵檢測系統(tǒng)、安全漏洞掃描系統(tǒng)的提示，適時調(diào)整防火墻安全規(guī)則；e）及時修補防火墻宿主機操作系統(tǒng)的漏洞；f）對網(wǎng)絡安全事故要及時處理，保證信息網(wǎng)絡的安全運行?！胺阑饓ε渲米兏鼘徟怼边M行。防火墻設備安全規(guī)則的設置、更改，應該得到信息系統(tǒng)運行管理部門負責人的批準，由系統(tǒng)管理員具體負責實施。a）記錄網(wǎng)絡環(huán)境，定義防火墻網(wǎng)絡接口；b）配置靜態(tài)路由或代理路由；c）定義防火墻的網(wǎng)絡對象和應用端口；d）定義安全策略；e）配置冗余的防火墻設備，并安裝到網(wǎng)絡當中；f）定義管理員清單和管理權(quán)限；g）測試防火墻性能和做好網(wǎng)管資料。a）系統(tǒng)管理員應定期和不定期地檢查防火墻設備的運行狀況，及時查看防火墻日志，對異常情況的發(fā)生，及時上報，并做好記錄；b）對防火墻設備的CPU和內(nèi)存利用率、數(shù)據(jù)流量、地址翻譯數(shù)量等進行均時監(jiān)測、跟蹤工作，每周形成報表?！胺阑饓S護和應急處理記錄”。當防火墻設備發(fā)生宕機引起網(wǎng)絡擁塞或網(wǎng)絡癱瘓等重大安全事件時，應立即啟動緊急響應程序，對網(wǎng)絡進行緊急處理，堵塞攻擊入口，恢復網(wǎng)絡的正常運行，并追查攻擊來源，及時上報。規(guī)范公司信息網(wǎng)絡的所有入侵檢測及相關(guān)設備管理，保障信息網(wǎng)絡的安全、穩(wěn)定運行。a）入侵檢測系統(tǒng)管理員的任命應遵循“任期有限、權(quán)限分散”的原則；b）系統(tǒng)管理員的任期可根據(jù)系統(tǒng)的安全性要求而定，最長為三年，期滿通過考核后可以續(xù)任；c）必須簽訂保密協(xié)議書。a）恪守職業(yè)道德，嚴守企業(yè)秘密；熟悉國家安全生產(chǎn)法以及有關(guān)信息安全管理的相關(guān)規(guī)程；b）負責入侵檢測系統(tǒng)的管理、更新和事件庫備份、升級；c）負責對入侵檢測系統(tǒng)發(fā)現(xiàn)的惡意攻擊行為進行跟蹤處理；d）根據(jù)網(wǎng)絡實際情況正確配置入侵檢測策略，充分利用入侵檢測系統(tǒng)的處理能力；e）密切注意最新網(wǎng)絡攻擊行為的發(fā)生、發(fā)展情況，關(guān)注和追蹤業(yè)界公布的攻擊事件；f）遵守入侵檢測設備各項管理規(guī)范。a）入侵檢測系統(tǒng)的部署位置應能正確檢測到被保護網(wǎng)絡的數(shù)據(jù)流量，并能抓取含有足夠信息的IP包，如：MAC地址、IP地址等；b）系統(tǒng)管理員應根據(jù)具體的網(wǎng)絡情況為入侵檢測系統(tǒng)選擇、配置適當?shù)臋z測策略，充分利用系統(tǒng)的能力；。）入侵檢測系統(tǒng)應盡量與防火墻聯(lián)動，充分發(fā)揮系統(tǒng)的潛力。a）每月定期安裝、更新廠家發(fā)布的入侵檢測設備補丁程序（包括事件庫），及時修補入侵檢測操作系統(tǒng)的漏洞；一周內(nèi)至少審計一次日志報表；一個月內(nèi)至少重新啟動一次入侵檢測設備?！叭肭謾z測設備配置變更審批表”進行。入侵檢測設備安全規(guī)則的設置、更改，應該得到信息系統(tǒng)運行管理部門負責人的批準，由系統(tǒng)管理員具體負責實施。a）根據(jù)需要記錄當前網(wǎng)絡環(huán)境，定義入侵檢測接口；b）安裝引擎（包括事件庫）和終端網(wǎng)管軟件；c）定義入侵檢測系統(tǒng)要保護的網(wǎng)絡對象（網(wǎng)絡或主機）；d）定義檢測策略，阻斷級別和事件報警；e）備份配置，安裝到網(wǎng)絡當中；f）定義管理員清單和管理權(quán)限；g）模擬攻擊，測試入侵檢測系統(tǒng)性能，做好網(wǎng)管資料。a）系統(tǒng)管理員應定期和不定期地檢查入侵檢測設備的運行狀況，及時查看系統(tǒng)日志，對異常情況的發(fā)生，及時上報，并做好記錄，填寫“入侵檢測記錄單”；9對入侵檢測設備的CPU和內(nèi)存利用率、報警次數(shù)等進行均時監(jiān)測、跟蹤工作，每周形成報表。規(guī)范公司網(wǎng)絡信息系統(tǒng)的所有漏洞掃描及相關(guān)設備進行管理，保障信息網(wǎng)絡的安全、穩(wěn)定運行。a）漏洞掃描系統(tǒng)管理員的任命應遵循“任期有限、權(quán)限分散”的原則；b）系統(tǒng)管理員的任期可根據(jù)系統(tǒng)的安全性要求而定，最長為三年，期滿通過考核后可以續(xù)任；c）必須簽訂保密協(xié)議書。a）恪守職業(yè)道德，嚴守企業(yè)秘密；b）熟悉國家安全生產(chǎn)法以及有關(guān)通信管理的相關(guān)規(guī)程；c）負責漏洞掃描軟件（包括漏洞庫）的管理、更新和公布；d）負責對網(wǎng)絡系統(tǒng)所有服務器和專用網(wǎng)絡設備的首次、周期性和緊急的漏洞掃描；e）負責查找修補漏洞的補丁程序，及時打補丁堵塞漏洞；f）密切注意最新漏洞的發(fā)生、發(fā)展情況，關(guān)注和追蹤業(yè)界公布的漏洞疫情；g）遵守漏洞掃描設備各項管理規(guī)范?！奥┒磼呙柙O備配置變更審批表”進行。漏洞掃描設備的規(guī)則設置、更改，應該得到信息系統(tǒng)運行管理部門負責人的批準，由系統(tǒng)管理員具體負責實施?！奥┒磼呙柩a丁記錄單”。“漏洞掃描記錄單”。a）記錄網(wǎng)絡環(huán)境，定義漏洞掃描的網(wǎng)絡接口；b）定義漏洞掃描的IP地址范圍；c）定義漏洞掃描的安全級別和掃描選項；d）安裝，升級最新的漏洞庫；e）定義管理員清單和管理權(quán)限；f）測試漏洞掃描設備的性能和做好網(wǎng)管數(shù)據(jù)庫。“漏洞掃描記錄單”。安全配置管理訪問控制策略配備管理規(guī)范對網(wǎng)絡層和系統(tǒng)層的訪問控制，對網(wǎng)絡設備和安全專用設備，以及操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的安全配置和日常運行進行管理，保障信息網(wǎng)絡的安全、穩(wěn)定運行。a）公司域網(wǎng)的詳細網(wǎng)絡結(jié)構(gòu)；b）各個業(yè)務應用系統(tǒng)的安全要求；c）各個業(yè)務應用系統(tǒng)的數(shù)據(jù)流情況；d）不同系統(tǒng)及網(wǎng)絡之間的訪問控制及數(shù)據(jù)傳輸要求；e）各種連接的訪問權(quán)限；f）各個服務器系統(tǒng)及其承載應用服務的安全要求；g）各個服務器操作系統(tǒng)的訪問控制及安全要求；h）各個服務器數(shù)據(jù)庫系統(tǒng)的訪問控制及安全要求；i）各個終端計算機或各種用戶群的訪問控制及安全要求?！皟?nèi)部人員遠程訪問審批表”。經(jīng)被遠程登錄方信息管理部門負責人批準同意后，由被遠程登錄方網(wǎng)絡管理員分配遠程訪問的用戶名和口令。批準遠程訪問的時間結(jié)束后，網(wǎng)絡管理員應及時變更遠程訪問的用戶名和口令?！巴獠咳藛T遠程訪問審批表”，并要得到信息管理部門負責人以及有關(guān)業(yè)務管理部門負責人批準。對于需進行遠程登錄維護的情況，有關(guān)系統(tǒng)的系統(tǒng)管理員應監(jiān)控整個外部遠程訪問過程，確保系統(tǒng)安全，并且在外部遠程訪問結(jié)束后，應及時拔掉電話線，關(guān)閉調(diào)制解調(diào)器的電源，并更改用于外部遠程訪問的用戶名和口令?！安僮飨到y(tǒng)賬戶授權(quán)審批表”或“數(shù)據(jù)庫系統(tǒng)賬戶授權(quán)審批表”，應經(jīng)系統(tǒng)業(yè)務主管部門審批同意，由系統(tǒng)管理員統(tǒng)一處理，并建立用戶資料檔案?！霸L問策略變更審批表”，并經(jīng)信息中心審批。審批同意后方可按照策略修改有關(guān)設備的配置，并要求做好相關(guān)的記錄。操作系統(tǒng)安全配置管理規(guī)范公司操作系統(tǒng)的安全配置方法和日常操作系統(tǒng)管理，保障信息網(wǎng)絡的安全、穩(wěn)定運行。數(shù)據(jù)庫系統(tǒng)安全配置管理為規(guī)范海南電網(wǎng)公司信息系統(tǒng)的數(shù)據(jù)庫系統(tǒng)的安全配置方法和日常數(shù)據(jù)庫系統(tǒng)管理，保障信息網(wǎng)絡的安全、穩(wěn)定運行。a）數(shù)據(jù)庫服務器應置于單獨的服務器區(qū)域，任何對這些數(shù)據(jù)庫服務器的物理訪問均應受到控制；b）數(shù)據(jù)庫服務器所在的服務器區(qū)域邊界應部署防火墻或其它邏輯隔離設施。a）數(shù)據(jù)庫系統(tǒng)的宿主操作系統(tǒng)除提供數(shù)據(jù)庫服務外，不得提供其它服務，如：WWW、FTP、DNS等；b）應在宿主操作系統(tǒng)中設置本地數(shù)據(jù)庫專用賬戶，并賦予該賬戶除運行各種數(shù)據(jù)庫服務外的最低權(quán)限；c）對數(shù)據(jù)庫系統(tǒng)安裝目錄及相應文件訪問權(quán)限進行控制，如：禁止除專用賬戶外的其它賬戶修改、刪除、創(chuàng)建子目錄或文件。a）嚴禁不同的數(shù)據(jù)庫系統(tǒng)使用相同的賬戶與口令；b）重新命名數(shù)據(jù)庫管理員賬戶，并刪除不需要的默認賬戶；c）數(shù)據(jù)庫用戶賬戶與數(shù)據(jù)庫管理員賬戶分離。a）系統(tǒng)管理員：能夠管理數(shù)據(jù)庫系統(tǒng)中的所有組件