系统安全管理制度
1总则
第一条为保证本单位信息系统的操作系统和数据库系统的安全根据《中华人民共和国计算机信息系统安全保护条例》结合本单位系统建设实际情况特制定本制度。
第二条本制度适用于XXXXXXXXXX及所有系统使用部门和人员。
2系统安全策略
第三条信息安全责任部门负责单位人员的权限分配权限设定遵循最小授权原则。
1管理员权限维护系统对数据库与服务器进行维护。系统管理员、数据库管理员应权限分离不能由同一人担任。
2普通操作权限对于各个系统的使用人员针对其工作范围给予操作权限。
3查询权限对于单位管理人员可以以此权限查询数据但不能输入、修改数据。
4特殊操作权限严格控制单位管理方面的特殊操作只将权限赋予相关科室负责人例如退费操作等。
f第四条加强密码策略使得普通用户进行鉴别时如果输入三次错误口令将被锁定需要系统管理员对其确认并解锁此帐号才能够再使用。
第五条用户使用的口令应满足以下要求
18个字符以上
2使用以下字符的组合az、AZ、09以及
3口令每三个月至少修改一次。
第六条定期安装系统的最新补丁程序在安装前进行安全测试并对重要文件进行备份。
第七条每月对操作系统进行安全漏洞扫描及时发现最新安全问题通过升级、打补丁或加固等方式解决。
第八条第七条关闭信息系统不必要的服务。
第九条第八条做好备份策略保障系统故障时能快速的恢复系统正常并避免数据的丢失。
3系统日志管理
第十条对于系统重要数据和服务器配值参数的修改必须征得XX领导批准并做好相应记录。
f第十一条对各项操作均应进行日志管理记录应包括操作人员、操作时间和操作内容等详细信息。
第十二条审计日志应包括但不局限于以下内容包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全事件。
安全审计员应每日对审计日志进行审查对异常事件及时跟进解决并定期形成日志分析报告。
第十三条系统审计日志应定期做好备份工作。
4个人操作管理
第十四条单位工作人员申请账户权限需填写《系统权限申请表》经系统管理员批准后方可开通。账号申请表上应详细记录账号信息。
第十五条人员离职或调职时需交回相关系统账号及密码经系统管理员删除或变更账号后方能离职或调职。
第十六条单位工作人员严禁私自在办公计算机上安装软件以免造成病毒感染。严禁私自更改计算机的设置及安全策略。
第十七条严格管理口令包括口令的选择、保管和更换采取关闭guest和匿名用户、增强管理员口令选择要求r