信息系统系统安全管理制度.docx

信息系统系统安全管理制度全文共4页，当前为第1页。信息系统系统安全管理制度全文共4页，当前为第1页。信息系统系统安全管理制度 信息系统系统安全管理制度全文共4页，当前为第1页。 信息系统系统安全管理制度全文共4页，当前为第1页。 第一章 总则 为加强（ ）信息系统（以下简称"信息系统"）安全管理，明确岗位职责，规范操作流程，维护系统正常运行，确保计算机信息系统的安全，特制订本制度。 本制度适用于（ ）部。 第二章 系统安全策略 （ ）部根据业务需求和系统安全分析制定系统的访问控制策略，控制分配信息系统、文件及服务的访问权限。 对系统管理员用户进行分类，明确各个角色的权限、责任和风险，权限设定遵循最小授权原则。 由系统管理员对系统安装安全补丁程序，在安装系统补丁前，首先在测试环境中测试通过，并采取磁盘或磁带对重要文件进行备份后，方可实施系统补丁程序的安装。 由信息安全小组每周对系统进行一次漏洞扫描，及时通知系统管理员对发现的系统安全漏洞进行修补，并形成漏洞扫描报告，内容包含系统存在的漏洞、严重级别和结果处理等方面。 （ ）部应用运维小组应对服务器按照安全配置基线进行配置，并安装防火墙或杀 ### 信息系统系统安全管理制度知识点解析 #### 一、总则 - **背景与目的**：为了加强信息系统安全管理，明确岗位职责，规范操作流程，确保计算机信息系统的安全运行，特制定本制度。 - **适用范围**：该制度适用于特定部门的信息系统安全管理。 #### 二、系统安全策略 1. **访问控制策略** - 根据业务需求和系统安全分析，制定系统的访问控制策略，以控制信息系统、文件及服务的访问权限。 - 对系统管理员进行分类，明确各个角色的权限、责任和风险，权限设定遵循最小授权原则。 2. **安全补丁管理** - 系统管理员负责安装安全补丁程序，且需先在测试环境中测试通过，并对重要文件进行备份后方可实施。 3. **漏洞扫描与修补** - 信息安全小组每周对系统进行一次漏洞扫描，并及时通知系统管理员对发现的安全漏洞进行修补。 - 形成漏洞扫描报告，内容包含系统存在的漏洞、严重级别和结果处理等方面。 4. **服务器安全配置** - 应用运维小组应对服务器按照安全配置基线进行配置，并安装防火墙或杀毒软件。 - 定期每周对服务器系统、杀毒软件等进行升级和更新，并进行病毒清查。 - 禁止下载和使用未经测试和来历不明的软件，避免随意使用U盘等移动存储介质。 #### 三、安全配置 - **责任主体**：系统安全配置由技术研发部应用运维小组负责，其他人员不得随意更改配置。 - **审计记录**：安全配置的更改应保留相关记录，并由信息安全小组负责审计。 #### 四、账号安全 1. **账号管理流程** - 用户账号的申请、删除、禁用、密码重置以及权限复审等变更必须按照规定流程执行。 - 相关记录由信息安全小组保存留档。 2. **账号定期审查** - 定期检查用户账号使用情况，及时禁用、删除系统中的空账号、临时账号等存在安全隐患的账号。 - 每年至少一次对用户账号权限进行检查，根据用户的安全责任和工作要求对其身份以及相应的权限进行变更。 3. **特殊用户管理** - 包括超级用户、Guest用户、匿名用户以及系统或应用缺省帐户的安全管理。 4. **账号使用规范** - 多个用户不得共用同一账号访问系统。 - 用户应保管好自己的帐号和密码，严禁随意向他人泄露、借用。 - 严禁不以真实身份登录系统。 5. **密码安全** - 用户账号口令的使用必须遵守《密码使用管理制度》相关规定，以保障账号密码的安全。 #### 五、日志管理 1. **操作日志记录** - 对系统进行维护时，应详细记录操作日志，包括重要的日常操作、运行维护记录、参数的设置和修改等内容。 2. **日志审计** - 信息安全小组定期对运行日志和审计结果进行分析，并形成分析报告，报告内容包括但不限于帐户的连续多次登录失败、访问受限系统或文件的失败尝试、系统错误等非正常事件。 #### 六、附则 - **制度解释权**：本制度的解释权归特定部门所有。 - **附件**：包括信息系统账户变更申请表等。 《信息系统系统安全管理制度》详细规定了信息系统安全管理的各个方面，旨在确保信息系统的安全性、稳定性和合规性。通过明确的岗位职责划分、规范的操作流程以及严格的访问控制策略等措施，有效提升了信息系统的安全管理水平。