第一章总则
第一条为加强公司信息系统的运行、维护、监控与评估等各方面的管理,保障公司信息系统的安全运行,特制订本规定。
第二条本规定所指信息系统为办公应用系统、服务器、存储、信息网络、弱电系统等。 第三条本规定适用于公司本部管理和维护的所有信息系统的安全管理。主要包括系统安全策略、安全配置、变更管理、日志管理和日常操作流程等方面的内容。 第二章安全运行
第四条严禁在服务器上随意安装、卸载系统组件和驱动程序,如确实需要,应事先评估可能由此带来的影响,并将整个实施过程记录备案。
第五条禁止在服务器上随意下载、安装和使用来历不明、没有版权的软件,严禁安装本地或网络游戏以及对外交流的即时通讯程序,禁止安装与该服务器所提供服务和应用无关的其它软件。
第六条禁止在重要的服务器上浏览外部网站网页、接收外部的、编辑外来文档以及进行与服务器系统维护无关的其它操作。 第七条禁止在重要服务器系统上开放具有“写”权限的共享目录,如确实必要,可临时开放,但须设置强共享密码,并在使用完之后立刻取消共享。
第八条禁止开启系统不使用的服务、协议和设备特性,避免使用不安全的服务。 第三章安全维护
第九条服务器设备应由专职的系统管理员负责管理和维护,系统管理员应对所管理的设备建立配置清单(附件1),进行必要的配置登记,包括设备名称、设备型号、操作系统版本、已安装的补丁程序号、IP地址、防病毒软件、应用系统、维护人员、数据库等信息。
第十条服务器设备须实现帐号密码的认证管理,对于重要服务器可以使用增强的认证方式。禁止为系统无关人员提供服务器系统用户账号,用户权限的设置应遵循最小授权和权限分割的原则。系统管理密码长度不得低于8位,应包含字母、数字及特殊字符。
第十一条禁止非本系统管理人员直接进入服务器进行操作,若在特殊情况下需要外部人员进入服务器操作时,必须由本系统管理员登录,并对操作全过程进行记录备案。禁止将系统用户账号及密码直接
交给外部人员,在紧急情况下需要为外部人员开放临时账号时,必须获取相关领导批准。
第十二条应尽可能减少服务器的远程管理,如果的确需要,应使用通信加密软件,并且限定远程登录的超时时间、远程管理的用户数量、远程管理的终端IP地址、登录尝试次数等。
第十三条保证服务器设备的系统日志处于正常状态,根据条件及各系统的要求,定期对重要系统的日志做一次全面分析,对登录的用户、登录时间、所做的操作进行检查,在发现有异常现象时应及时向相关领导报告。
第四章变更管理
第十四条系统变更是指针对信息系统的硬件、软件环境以及应用程序等方面做出的更改,如关键设备的硬件配置及参数变化、重
要服务器的操作系统及数据库升级、关键应用系统功能增改、应用流
程变化等。
第十五条各相关部门需要对信息系统进行变更时,须填写《变更申请审批表》(附件2),详细说明变更类型、变更原因、实施时间等,必要时附相关资料,报总经理办公室(以下简称“总经办”)审批,审批通过后由总经办组织实施。
第十六条重要变更应组成专门的小组对变更方案进行评审,评审人员可包括信息化管理部门、业务部门、开发商相关人员,主要针对方案的完整性、可行性进行评估,并针对变更请求的优先级别、成本效益指标以及变更可能造成的风险及应急处理措施进行综合评估。
第十七条变更实施前,应在正式运行的系统上进行数据备份,制订变更失时的恢复计划,确保在变更失败时及时进行系统恢复。
第十八条为保证系统安全稳定地运行,最大限度地减少影响系统安全稳定运行的风险因素,必须严格控制变更的频率,变更实施时间要尽量避开系统应用高峰期。
第十九条对操作系统和应用软件的变更实施过程,应考虑以
下控制措施:
(一)做好软件更新的版本控制;
(二)确保在每个变更完成之后更新系统配置文件,并将旧文件归档;
(三)操作系统发生变更后,应对关键应用系统进行测试,确保对关键应用系统的运行和安全没有负面影响;
(四)确保从可信来源获取操作系统或应用系统的升级或补丁包,不得随意修改厂商提供的软件包;
(五)确保对用户操作手册作适当更新。
第二十条在系统变更后的一定时间内,由专人执行变更验证。验证的内容一般包括:
(一)是否严格按照变更审批表执行;
(二)变更结果是否达到了预期目的;
(三)变更实施后的影响。
第二十一条变更实施过程产生的文档应进行整理和归档,以便为以后类似工作提供参考。
第五章安全监控与评估
第二十二条应及时监视、收集系统厂商公布的补丁信息,对于非常重要、与目前运行有关的补丁程序在经过测试无影响的情况下尽快实施补丁安装;补丁安装应尽量安排在非业务繁忙时段进行,在升级(或修补)前后做好数据的备份工作,同时将整个过程记录备案。
第二十三条对于核心业务系统,其补丁程序必须经过严格的测试和评估,并咨询厂商后,才可以实施
补丁安装。
第二十四条定期对Windows服务器进行安全漏洞扫描和病毒查杀工作;一旦发现服务器上存在病毒、异常开放的端口或者服务存在安全漏洞时应及时报告并采取相应措施。
第二十五条应定期对服务器设备进行检查,确保各设备都能正常运行。通过技术手段监控服务器系统的CPU利用率、进程、内存、硬盘空间和启用脚本等的使用状况。当服务器系统出现(包含但不限于)以下现象之一时,必须进行安全问题的报告和诊断,同时将诊断报告记录备案。
(一)系统出现异常进程或者进程数量有异常变化;
(二)系统突然不明原因的性能下降;
(三)系统不明原因的重新启动;
(四)系统崩溃、不能正常启动;
(五)系统出现异常的系统账号;
(六)系统账号密码突然失控;
(七)系统账号权限发生不明变化;
(八)系统出现来源不明的文件;
(九)系统文件出现不明原因的改动;
(十)系统时钟出现不明原因的改变;
(十一)系统日志出现非正常时间、或有不明IP地址的系统登录;
(十二)系统发现遭不明原因的扫描。
第二十六条定期对服务器进行全面安全评估,评估后应尽快完成对操作系统的修补和加固,必要时进行二次评估。
第六章附则
第二十七条本规定由总经理办公室负责解释和修订。
第二十八条本规定自发布之日起施行。
第七章附录
附件1:系统服务器配置清单
附件2:变更申请审批表
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议