《GCC制度學(xué)習(xí)培訓(xùn)》PPT參考課件

1、GCC制度學(xué)習(xí) 張正坤 2010.12,目 錄 計(jì)算機(jī)用戶安全管理制度（試行） 信息安全管理制度（試行） 信息系統(tǒng)監(jiān)控制度（試行） 問題處理管理制度（試行） 操作管理制度（試行） 數(shù)據(jù)管理制度（試行） 備份管理制度（試行） 防病毒管理制度（試行） 防火墻管理制度（試行） 信息系統(tǒng)帳號(hào)管理制度（試行） 系統(tǒng)配置與基礎(chǔ)架構(gòu)管理制度（試行） 軟件變更管理制度（試行,計(jì)算機(jī)用戶安全管理制度（試行,互聯(lián)網(wǎng)的使用 禁止瀏覽與工作內(nèi)容無關(guān)的網(wǎng)頁。 禁止從互聯(lián)網(wǎng)下載或執(zhí)行以下任何文件，包括但不僅限于以.exe.vbs.scr.pif.hta.reg、 . bat等為擴(kuò)展名的文件。 禁止從互聯(lián)網(wǎng)下載或通過公司局

2、域網(wǎng)傳送MP3等一切與工作無關(guān)的音頻、視頻及圖片等多媒體文件。 電子郵件的使用 公司的電子郵件系統(tǒng)僅用于收發(fā)與工作內(nèi)容相關(guān)的電子郵件。 禁止使用第三方提供的網(wǎng)上電子郵件系統(tǒng),使用公司電子郵件系統(tǒng)收到不明發(fā)件者的郵件時(shí)，須避免直接打開此郵件或下載郵件所帶附件，若附件為可執(zhí)行文檔，禁止對(duì)其進(jìn)行打開下載及執(zhí)行等操作，須立即將此郵件（連同其附件）進(jìn)行徹底刪除。 禁止制造及轉(zhuǎn)寄垃圾郵件，以及發(fā)放含有粗俗、暴力、色情成份的郵件。 禁止使用公司提供的電子郵件帳號(hào)在互聯(lián)網(wǎng)上進(jìn)行注冊(cè)。 使用公司電子郵件傳遞敏感數(shù)據(jù)時(shí)，必須對(duì)數(shù)據(jù)進(jìn)行加密,計(jì)算機(jī)用戶個(gè)人設(shè)備的使用 禁止用戶將其持有的非公司配備的信息設(shè)備（如個(gè)人筆

3、記本電腦等設(shè)備）接入公司內(nèi)部網(wǎng)絡(luò)，或與公司的信息設(shè)備及系統(tǒng)相連接并存儲(chǔ)公司數(shù)據(jù)。 外來計(jì)算機(jī)用戶的管理 外來人員因工作需要使用公司內(nèi)部網(wǎng)絡(luò)時(shí)，必須由接待外來人員的單位負(fù)責(zé)人同意后，經(jīng)信息部負(fù)責(zé)人書面審批，由信息部技術(shù)人員進(jìn)行安全檢查后，在信息部或接待單位人員的監(jiān)督下使用網(wǎng)絡(luò),遠(yuǎn)程登陸 禁止用戶安裝用于遠(yuǎn)程登陸的軟件，并對(duì)公司網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程登入訪問。利用公司許可的遠(yuǎn)程登陸軟件，在信息部門規(guī)定時(shí)間內(nèi)，用戶可以遠(yuǎn)程登陸，如果超過規(guī)定的時(shí)間期限，則禁止用戶遠(yuǎn)程登陸。 密碼規(guī)則 用戶須自行保管公司信息系統(tǒng)的個(gè)人密碼，確保密碼的安全性，禁止將密碼泄漏給他人，或?qū)⒂浻忻艽a的紙張等介質(zhì)暴露于公開場合，用戶須定期

4、更改其使用的信息系統(tǒng)的密碼。 禁止共享公司的任何信息系統(tǒng)的帳號(hào)密碼。 關(guān)于詳細(xì)的用戶密碼規(guī)范，請(qǐng)?jiān)斠娦畔⑾到y(tǒng)帳號(hào)管理制度及中國鋁業(yè)股份有限公司SAP系統(tǒng)運(yùn)行維護(hù)操作規(guī)程（試行,例外情況處理 如因緊急或特殊情況，計(jì)算機(jī)用戶在工作中無法嚴(yán)格執(zhí)行本規(guī)范中第二節(jié)至第七節(jié)中規(guī)定的操作，必須向其部門負(fù)責(zé)人及信息部負(fù)責(zé)人進(jìn)行書面申請(qǐng)，在得到相應(yīng)的審批后方可進(jìn)行相關(guān)操作。具體流程為：申請(qǐng)人首先填寫計(jì)算機(jī)用戶安全管理特殊需求申請(qǐng)表，由其部門負(fù)責(zé)人及信息部負(fù)責(zé)人審批通過后，方可執(zhí)行相關(guān)操作。 定期巡檢與抽查 對(duì)于以上規(guī)范的執(zhí)行和實(shí)施情況，公司信息部將進(jìn)行定期巡檢，并公布檢查結(jié)果。 公司信息部有對(duì)計(jì)算機(jī)用戶使用的所

5、有公司配備的設(shè)備和系統(tǒng)進(jìn)行監(jiān)控及抽查的權(quán)利，每季度抽查的比例不低于總量的5,信息安全管理制度（試行） 公司的信息安全目標(biāo) 保障信息系統(tǒng)安全穩(wěn)定運(yùn)行，保證業(yè)務(wù)連續(xù)性； 保護(hù)公司的商業(yè)機(jī)密和技術(shù)機(jī)密，維護(hù)公司利益。 信息安全組織機(jī)構(gòu)及其職責(zé) 公司總部信息部成立信息安全工作小組，全面負(fù)責(zé)公司信息安全政策的制定和實(shí)施。各分子公司信息部同時(shí)設(shè)立信息安全管理崗位，負(fù)責(zé)分子公司信息安全管理工作。 信息安全工作小組在信息安全工作方面的主要職責(zé)(略) 分子公司信息安全管理員的主要職責(zé) 落實(shí)上級(jí)部門各項(xiàng)制度和要求，負(fù)責(zé)分子公司信息安全管理的日常工作； 分析信息安全現(xiàn)狀和問題，提出安全分析報(bào)告和安全防范建議，上報(bào)信

6、息安全事件并提出初步處理意見,信息安全工作內(nèi)容 公司必須建立和完善信息安全管理規(guī)章制度，規(guī)范和加強(qiáng)信息安全管理工作，所有員工都必須遵守與其相關(guān)的信息安全規(guī)章制度。 公司信息部每年對(duì)信息安全制度進(jìn)行審閱，以確保其持續(xù)有效性，并根據(jù)公司信息安全需求進(jìn)行修訂。 公司信息部每年對(duì)公司的信息資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)估，總結(jié)信息資產(chǎn)的整體風(fēng)險(xiǎn)情況，并根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，調(diào)整信息安全管理目標(biāo)及安全管理計(jì)劃。 信息安全管理有關(guān)計(jì)劃在正式實(shí)施前，須經(jīng)信息安全工作小組和監(jiān)管部門（如內(nèi)審部)的批準(zhǔn)，并向相關(guān)員工傳達(dá)，明確相關(guān)人員應(yīng)承擔(dān)的義務(wù)和責(zé)任。 加強(qiáng)內(nèi)部人員安全管理，依據(jù)最小特權(quán)原則清晰劃分崗位，實(shí)現(xiàn)適當(dāng)?shù)穆氊?zé)分離，重要

7、崗位要有人員備份。 公司員工須簽署保密協(xié)議，并接受信息安全教育培訓(xùn)，提高安全意識(shí)，及時(shí)報(bào)告信息安全事件,必須加強(qiáng)針對(duì)第三方服務(wù)商訪問和服務(wù)的安全控制，在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上制定安全控制措施。 加強(qiáng)防病毒管理，制定并及時(shí)更新公司防病毒管理制度，部署、監(jiān)管和指導(dǎo)公司的防病毒工作，研究并制定應(yīng)急方案，應(yīng)對(duì)計(jì)算機(jī)病毒爆發(fā)事件。 加強(qiáng)對(duì)遠(yuǎn)程訪問的控制，對(duì)遠(yuǎn)程訪問進(jìn)行適當(dāng)授權(quán)，并定期對(duì)遠(yuǎn)程訪問權(quán)限進(jìn)行審核，確保遠(yuǎn)程訪問權(quán)限被適當(dāng)分配。 規(guī)范機(jī)房安全設(shè)施建設(shè)工作，制定并實(shí)施物理安全管理和訪問控制制度，定期審閱機(jī)房安全日志。 加強(qiáng)網(wǎng)絡(luò)安全管理，安裝、設(shè)置并維護(hù)網(wǎng)絡(luò)防火墻及其它網(wǎng)絡(luò)設(shè)備，保障與互聯(lián)網(wǎng)或其他公眾網(wǎng)絡(luò)的

8、連接安全，控制數(shù)據(jù)在網(wǎng)絡(luò)中的安全傳遞。 定期對(duì)關(guān)鍵系統(tǒng)進(jìn)行漏洞掃描，確保系統(tǒng)的安全性。 監(jiān)控并記錄系統(tǒng)設(shè)備的運(yùn)行情況，定期審閱關(guān)鍵系統(tǒng)設(shè)備的日志，定期提交系統(tǒng)運(yùn)行報(bào)告給信息部負(fù)責(zé)人進(jìn)行審閱,根據(jù)信息安全管理制度，信息安全管理員制定詳細(xì)的信息安全工作計(jì)劃，并根據(jù)計(jì)劃組織實(shí)施。信息部負(fù)責(zé)人指定專人監(jiān)督計(jì)劃落實(shí)情況。 信息安全工作小組以及信息安全管理員定期在公司范圍內(nèi)組織信息安全檢查，確保所有業(yè)務(wù)活動(dòng)符合公司規(guī)定的信息安全制度、標(biāo)準(zhǔn)及其相關(guān)規(guī)定。 信息安全管理員獲取并審閱所有與信息安全相關(guān)的內(nèi)部和外部審計(jì)報(bào)告，并根據(jù)報(bào)告結(jié)果改進(jìn)信息安全管理工作,信息系統(tǒng)監(jiān)控制度（試行） 信息系統(tǒng)是指支持業(yè)務(wù)運(yùn)行的設(shè)

9、備（服務(wù)器、交換機(jī)、路由器、防火墻、VPN設(shè)備等）、操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用系統(tǒng)。 監(jiān)控包括運(yùn)行監(jiān)控和性能監(jiān)控。 信息系統(tǒng)運(yùn)行監(jiān)控 各種信息系統(tǒng)事件日志都應(yīng)該啟動(dòng)，并保證足夠的日志空間。 各種批處理工作日志都應(yīng)啟動(dòng)，用以記錄操作過程和結(jié)果。 網(wǎng)絡(luò)和系統(tǒng)管理人員每天對(duì)信息系統(tǒng)運(yùn)行狀況和日志進(jìn)行巡檢，以便及時(shí)發(fā)現(xiàn)交換機(jī)、路由器、防火墻、VPN等設(shè)備的故障，及時(shí)發(fā)現(xiàn)各種批處理是否成功。 巡檢人員每次對(duì)信息系統(tǒng)和日志檢查后，在信息系統(tǒng)監(jiān)控紀(jì)錄表中記錄巡檢結(jié)果。 發(fā)現(xiàn)信息系統(tǒng)故障或批處理操作失敗，及時(shí)報(bào)告問題受理人員。具體問題處理流程參見問題處理管理制度,信息系統(tǒng)性能監(jiān)控 網(wǎng)絡(luò)和系統(tǒng)管理人員每天巡檢各種信

10、息系統(tǒng)的性能狀況，內(nèi)容包括但不限于硬件設(shè)備CPU使用率、內(nèi)存空閑率、硬盤空間使用率、帶寬利用率以及數(shù)據(jù)庫的性能等。 巡檢人員每次檢查完系統(tǒng)性能后，在信息系統(tǒng)監(jiān)控紀(jì)錄表中記錄巡檢結(jié)果。 巡檢人員在發(fā)現(xiàn)性能異常的時(shí)候，及時(shí)報(bào)告問題受理人員。具體問題處理流程參見問題處理管理制度。 定期審閱與資源評(píng)估 信息部負(fù)責(zé)人指定專人定期審閱信息系統(tǒng)監(jiān)控紀(jì)錄表，每月進(jìn)行總結(jié)分析，編寫信息系統(tǒng)監(jiān)控報(bào)告，提交信息部負(fù)責(zé)人審閱。 根據(jù)信息系統(tǒng)運(yùn)行和未來業(yè)務(wù)需求情況，信息部負(fù)責(zé)人每半年組織相關(guān)人員進(jìn)行硬件資源容量的評(píng)估，參見硬件資源容量評(píng)估報(bào)告盡早制定硬件擴(kuò)容計(jì)劃，從而保證硬件資源滿足未來的需求,問題處理管理制度（試行）

11、 “問題”是指信息系統(tǒng)運(yùn)行過程中出現(xiàn)的各類問題。對(duì)業(yè)務(wù)產(chǎn)生重大影響，需要短時(shí)間內(nèi)解決的問題稱為緊急問題，其余的稱為一般問題。 問題受理和處理 公司信息部設(shè)立問題受理專責(zé)人員，負(fù)責(zé)問題的受理、記錄、分派、處理過程的信息溝通以及處理結(jié)果的跟蹤。 對(duì)于一般問題，問題受理專責(zé)人員按照問題對(duì)正常業(yè)務(wù)和信息系統(tǒng)的影響程度，劃分高、中、低三類處理優(yōu)先級(jí)，確定處理順序。能自己處理的問題，立即處理，否則提交問題處理人員。具體流程參見問題處理流程。 對(duì)于緊急問題，問題受理專責(zé)人員立即聯(lián)系問題處理人員處理，并上報(bào)信息部負(fù)責(zé)人。問題處理人員必須詳細(xì)記錄處理過程，在處理完成后，補(bǔ)填問題處理記錄表，連同系統(tǒng)日志一起提交信

12、息部負(fù)責(zé)人審閱,對(duì)于所有問題，問題受理專責(zé)人員必須填寫問題受理登記表，及時(shí)跟進(jìn)，確保所有問題得到妥善解決和記錄。 問題處理人員應(yīng)在預(yù)期時(shí)間內(nèi)及時(shí)向問題受理專責(zé)人員報(bào)告處理情況，提交問題處理記錄表。 問題報(bào)告和審閱 問題受理部門負(fù)責(zé)人每月審核匯總問題受理和處理情況，分析問題處理方法，總結(jié)問題產(chǎn)生的原因，并制訂預(yù)防性措施，形成問題統(tǒng)計(jì)分析報(bào)告，提交信息部負(fù)責(zé)人審閱。 問題受理和處理過程中產(chǎn)生的所有文檔均由信息部文檔管理人員統(tǒng)一保存和管理。保存期限至少為一年,操作管理制度（試行） 日常操作管理 信息部人員參考有關(guān)文檔（軟件開發(fā)商或硬件制造商提供的技術(shù)文檔等），統(tǒng)籌考慮所有例行的重要操作（包括系統(tǒng)監(jiān)控

13、、備份、常規(guī)預(yù)防性維護(hù)等）填寫操作手冊(cè)建立/變更申請(qǐng)表，按照操作手冊(cè)建立/變更流程規(guī)定制定相應(yīng)的操作手冊(cè)。 操作手冊(cè)制定過程中的各類文檔交信息部文檔管理人員存檔，同時(shí)按照操作手冊(cè)建立/變更記錄表的要求進(jìn)行記錄，操作人員自行保留操作手冊(cè)的副本。 操作手冊(cè)包括系統(tǒng)（設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用系統(tǒng)等）名稱、操作名稱、執(zhí)行操作的崗位人員、操作規(guī)程和操作的流程順序等信息，特別要明確執(zhí)行日常操作的流程（必要時(shí)需明確執(zhí)行操作的具體時(shí)間）。 相關(guān)人員必須嚴(yán)格按照操作手冊(cè)執(zhí)行日常的重要操作，同時(shí)保存完整的操作記錄,信息部每月根據(jù)相應(yīng)的操作記錄檢查操作手冊(cè)的執(zhí)行情況，并進(jìn)行記錄，檢查和審閱人員簽字存檔。 操作手

14、冊(cè)維護(hù)管理 信息部必須通過合理的權(quán)限分配，控制對(duì)操作手冊(cè)的變更；必須通過嚴(yán)格的申請(qǐng)、審批、檢查和確認(rèn)程序控制操作手冊(cè)的變更，操作手冊(cè)制作和檢查工作需由不同人員進(jìn)行。 定期檢查日常工作的資源需求和利用情況，對(duì)日常工作進(jìn)行總結(jié)分析，擬定操作手冊(cè)的變更方案，修訂操作手冊(cè)，確保操作手冊(cè)內(nèi)容與當(dāng)前操作的一致性。具體流程參見操作手冊(cè)建立/變更流程。 變更后的操作手冊(cè)，必須經(jīng)過信息部負(fù)責(zé)人批準(zhǔn)后才能實(shí)施。 信息部文檔管理人員統(tǒng)一保管操作手冊(cè)，同時(shí)按照操作手冊(cè)建立/變更記錄表的要求進(jìn)行記錄，操作人員自行保留相應(yīng)的副本,例外操作管理 通常情況下，相關(guān)人員必須根據(jù)操作手冊(cè)規(guī)定的步驟執(zhí)行日常操作。例外情況下，不能按

15、照操作手冊(cè)的規(guī)定進(jìn)行操作時(shí)，必須向相關(guān)負(fù)責(zé)人提出申請(qǐng)，得到批準(zhǔn)后才能執(zhí)行操作。具體流程參見例外操作處理流程。 執(zhí)行例外操作前，操作人員應(yīng)向信息部負(fù)責(zé)人提交例外操作申請(qǐng)表，由信息部負(fù)責(zé)人對(duì)申請(qǐng)進(jìn)行審批。 只有例外操作申請(qǐng)得到批準(zhǔn)后，相關(guān)人員才能執(zhí)行該操作，并填寫例外操作處理記錄表。 信息部安排專人檢查操作手冊(cè)、例外操作申請(qǐng)表、例外操作處理記錄表和操作日志（或記錄），加強(qiáng)對(duì)例外操作的監(jiān)督，確保所有例外操作嚴(yán)格按照例外操作處理流程執(zhí)行。 具體流程參見信息安全監(jiān)控與安全事件報(bào)告管理制度、信息系統(tǒng)監(jiān)控制度、SAP系統(tǒng)監(jiān)控制度,批處理操作管理 在系統(tǒng)安全穩(wěn)定運(yùn)行的情況下，為了簡化日常操作，可在系統(tǒng)后臺(tái)進(jìn)行

16、批處理任務(wù)的設(shè)置。 需要建立批處理操作（含關(guān)鍵系統(tǒng)中的任務(wù)計(jì)劃）的申請(qǐng)（詳見批處理操作申請(qǐng)表）、變更和批準(zhǔn)的管理流程，并通過合理的人員權(quán)限分配，控制對(duì)批處理操作的變更。 信息部應(yīng)該建立批處理操作手冊(cè)作為批處理的操作指導(dǎo)。批處理操作手冊(cè)應(yīng)該包括批處理任務(wù)清單、批處理工作的實(shí)現(xiàn)方式、執(zhí)行批處理的權(quán)限設(shè)置、批處理任務(wù)的檢查等內(nèi)容。詳見批處理操作手冊(cè)內(nèi)容。 系統(tǒng)管理人員根據(jù)日常操作的執(zhí)行情況以及通過對(duì)日常操作的記錄進(jìn)行分析，提出批處理操作的變更方案，同時(shí)考慮批處理操作變更對(duì)操作手冊(cè)的影響，提出操作手冊(cè)的變更方案。所有變更方案經(jīng)測試通過后，交信息部負(fù)責(zé)人審批。具體變更流程參見操作手冊(cè)建立/變更流程。 批

17、處理操作變更后，應(yīng)立即變更相應(yīng)的批處理操作手冊(cè)。變更后的批處理操作和操作手冊(cè)，必須經(jīng)過信息部負(fù)責(zé)人指定專人檢查和確認(rèn)后才能實(shí)施。 信息部文檔管理人員完整保存批處理操作過程中形成的各類文檔。統(tǒng)一保管批處理操作手冊(cè)，同時(shí)按照操作手冊(cè)建立/變更記錄表的要求進(jìn)行記錄，操作人員自行保留相應(yīng)的副本,數(shù)據(jù)管理制度（試行） 數(shù)據(jù)：是指信息系統(tǒng)中的各種業(yè)務(wù)數(shù)據(jù)。 數(shù)據(jù)保存管理 對(duì)于與財(cái)務(wù)報(bào)告相關(guān)的各種業(yè)務(wù)數(shù)據(jù)，須保存7年。 重要的業(yè)務(wù)數(shù)據(jù)要保證物理上的安全，存放數(shù)據(jù)的介質(zhì)必須放在安全的地方，非授權(quán)人員不得訪問。 關(guān)于數(shù)據(jù)備份的管理，參見備份管理制度中的相關(guān)內(nèi)容。 數(shù)據(jù)導(dǎo)入和修改 數(shù)據(jù)導(dǎo)入指信息部應(yīng)數(shù)據(jù)擁有部門要

18、求，通過后臺(tái)數(shù)據(jù)庫，將數(shù)據(jù)導(dǎo)入運(yùn)行環(huán)境的操作。對(duì)于發(fā)生在批處理中的自動(dòng)數(shù)據(jù)導(dǎo)入，請(qǐng)參見操作管理制度中批處理操作管理的相關(guān)內(nèi)容。 數(shù)據(jù)修改指信息部應(yīng)數(shù)據(jù)擁有部門要求，對(duì)公司信息系統(tǒng)中的數(shù)據(jù)在后臺(tái)數(shù)據(jù)庫中進(jìn)行的修改。數(shù)據(jù)修改包含數(shù)據(jù)內(nèi)容的修改以及數(shù)據(jù)庫結(jié)構(gòu)的變更,數(shù)據(jù)導(dǎo)入/修改必須遵循統(tǒng)一的數(shù)據(jù)導(dǎo)入/修改申請(qǐng)流程，具體流程參見數(shù)據(jù)導(dǎo)入/修改流程。任何人不得在未經(jīng)授權(quán)的情況下對(duì)應(yīng)用系統(tǒng)數(shù)據(jù)庫進(jìn)行數(shù)據(jù)導(dǎo)入/修改的操作。 數(shù)據(jù)導(dǎo)入/修改流程中的申請(qǐng)、審批、操作工作需分別由不同人員承擔(dān)。數(shù)據(jù)導(dǎo)入/修改操作只能由指定的信息部人員執(zhí)行，導(dǎo)入/修改權(quán)限須按照規(guī)范通過系統(tǒng)設(shè)定分配給指定人員。 數(shù)據(jù)庫中的數(shù)據(jù)操作日

19、志、數(shù)據(jù)導(dǎo)入/修改/提取申請(qǐng)表、數(shù)據(jù)導(dǎo)入/修改/提取匯總表須保存三年。信息部負(fù)責(zé)人每半年委派人員將數(shù)據(jù)操作日志、數(shù)據(jù)導(dǎo)入/修改/提取申請(qǐng)表和數(shù)據(jù)導(dǎo)入/修改/提取匯總表進(jìn)行核對(duì)，確保所有數(shù)據(jù)導(dǎo)入/修改均經(jīng)過了有效的審批以及數(shù)據(jù)導(dǎo)入/修改是準(zhǔn)確的,數(shù)據(jù)提取和發(fā)放 數(shù)據(jù)提取指信息部應(yīng)數(shù)據(jù)擁有部門要求，對(duì)公司信息系統(tǒng)中的數(shù)據(jù)從后臺(tái)數(shù)據(jù)庫中進(jìn)行的提取。 數(shù)據(jù)提取和發(fā)放須遵循統(tǒng)一的數(shù)據(jù)提取申請(qǐng)流程，參見數(shù)據(jù)提取流程。任何人不得在未經(jīng)授權(quán)的情況下對(duì)應(yīng)用系統(tǒng)數(shù)據(jù)庫進(jìn)行提取和發(fā)放操作。 數(shù)據(jù)提取中的申請(qǐng)、審批、操作及檢查工作需分別由不同人員承擔(dān)。數(shù)據(jù)提取的操作只能由指定的信息部人員進(jìn)行，提取權(quán)限應(yīng)按照規(guī)范通過系

20、統(tǒng)設(shè)定分配給指定人員。 數(shù)據(jù)庫中的數(shù)據(jù)操作日志、數(shù)據(jù)導(dǎo)入/修改/提取申請(qǐng)表和數(shù)據(jù)導(dǎo)入/修改/提取匯總表須保留三年。信息部負(fù)責(zé)人每半年委派人員將數(shù)據(jù)操作日志、數(shù)據(jù)導(dǎo)入/修改/提取申請(qǐng)表和數(shù)據(jù)導(dǎo)入/修改/提取匯總表進(jìn)行核對(duì)，確保所有數(shù)據(jù)提取均經(jīng)過了有效的審批以及提取是準(zhǔn)確的。 信息部只能把提取出的數(shù)據(jù)發(fā)放給申請(qǐng)人，不能發(fā)放給其他人員。對(duì)存放數(shù)據(jù)的介質(zhì)，確保只有授權(quán)人員能夠訪問,數(shù)據(jù)傳輸管理 應(yīng)對(duì)數(shù)據(jù)傳輸進(jìn)行控制： 一、數(shù)據(jù)傳輸須有身份認(rèn)證； 二、敏感數(shù)據(jù)傳輸需要保留相關(guān)記錄。 當(dāng)數(shù)據(jù)在系統(tǒng)之間自動(dòng)傳輸時(shí)，系統(tǒng)中必須增加數(shù)據(jù)檢查功能，確保所傳輸數(shù)據(jù)的完整性、準(zhǔn)確性、合理性。 應(yīng)通過對(duì)防火墻、路由器等

21、網(wǎng)絡(luò)設(shè)備的設(shè)置，限制訪問權(quán)限及控制數(shù)據(jù)傳輸路徑。 網(wǎng)絡(luò)管理人員對(duì)數(shù)據(jù)傳輸路徑的設(shè)置進(jìn)行規(guī)范記錄，并定期對(duì)網(wǎng)絡(luò)設(shè)置進(jìn)行評(píng)估，確保當(dāng)前的設(shè)置能夠滿足數(shù)據(jù)傳輸?shù)陌踩孕枨?。具體內(nèi)容參見系統(tǒng)配置與基礎(chǔ)架構(gòu)管理制度。 傳輸路徑需要變更時(shí)，必須提出正式申請(qǐng)，在獲得批準(zhǔn)后方可進(jìn)行變更。具體流程參見系統(tǒng)配置與基礎(chǔ)架構(gòu)管理制度,與第三方連接中進(jìn)行數(shù)據(jù)傳輸時(shí)，參見第三方連接安全管理制度。 在數(shù)據(jù)傳輸和傳遞過程中，信息部應(yīng)采取措施保護(hù)敏感數(shù)據(jù)，通過權(quán)限設(shè)置，防止對(duì)數(shù)據(jù)未經(jīng)授權(quán)的訪問、修改，以及通過數(shù)據(jù)加密，保證數(shù)據(jù)傳輸過程中不被非法獲取,備份管理制度（試行） 備份頻率： 一、對(duì)于與財(cái)務(wù)報(bào)告相關(guān)的各種業(yè)務(wù)系統(tǒng)數(shù)據(jù)須每

22、天做備份； 二、在數(shù)據(jù)被大規(guī)模更新前后，要對(duì)數(shù)據(jù)做備份； 三、在操作系統(tǒng)和應(yīng)用程序發(fā)生重大改變前后，要對(duì)系統(tǒng)和應(yīng)用程序做備份。 備份數(shù)據(jù)保留時(shí)間 與財(cái)務(wù)報(bào)告相關(guān)的各種業(yè)務(wù)數(shù)據(jù)須保留七年。 備份存儲(chǔ)和備份介質(zhì)管理 一、對(duì)數(shù)據(jù)、操作系統(tǒng)以及程序做備份的時(shí)候，須備份在兩份備份介質(zhì)中，一份放在本地，另一份定期存放在異地； 二、備份介質(zhì)，無論是存放在本地還是異地，須確保存放場所的安全，保證只有授權(quán)人員可以訪問； 三、在備份介質(zhì)上，必須有唯一標(biāo)識(shí)，標(biāo)明備份的內(nèi)容和日期； 四、在本地和異地建立一份備份介質(zhì)目錄清單，用以記錄備份介質(zhì)的位置、內(nèi)容、數(shù)據(jù)保留期限,備份恢復(fù)測試 備份介質(zhì)中的數(shù)據(jù)須每半年進(jìn)行恢復(fù)測試

23、，以確保備份的有效性和備份恢復(fù)的可行性。 備份介質(zhì)銷毀 一、備份介質(zhì)的銷毀必須經(jīng)過相關(guān)人員授權(quán)后才可執(zhí)行，并記錄該銷毀行為； 二、若備份介質(zhì)中存放機(jī)密數(shù)據(jù)，在銷毀之前，對(duì)備份介質(zhì)進(jìn)行處理，使得備份介質(zhì)中的數(shù)據(jù)處于不可讀狀態(tài)； 三、備份介質(zhì)銷毀后，須在備份介質(zhì)登記表中注明已銷毀。 備份操作管理 備份申請(qǐng)遵循統(tǒng)一的備份申請(qǐng)、審批流程，需要經(jīng)過數(shù)據(jù)擁有部門以及信息部相關(guān)負(fù)責(zé)人審批，具體流程參見備份申請(qǐng)流程,備份策略制定后應(yīng)制訂或修改相應(yīng)的備份操作手冊(cè)（包含備份周期、備份失敗的處理辦法等），指導(dǎo)備份工作。 備份操作人員須檢查每次的備份工作是否成功，并填寫備份工作匯總記錄，對(duì)失敗的備份操作處理需進(jìn)行記錄

24、、匯報(bào)及跟進(jìn)。參見備份工作匯總表。 備份對(duì)象發(fā)生變更后，需調(diào)整備份策略和備份操作手冊(cè)。備份策略的變更應(yīng)得到數(shù)據(jù)擁有部門以及信息部負(fù)責(zé)人審批。具體流程參見備份申請(qǐng)流程。 備份申請(qǐng)表、備份策略匯總表和備份工作匯總表必須妥善保管。信息部負(fù)責(zé)人每半年安排專人對(duì)備份工作進(jìn)行審核，核對(duì)系統(tǒng)中的備份策略與備份申請(qǐng)是否吻合，以保證備份是按照要求進(jìn)行的；核對(duì)系統(tǒng)中的備份日志與備份工作匯總記錄，以保證備份的有效性、完整性以及出現(xiàn)的問題已得到適當(dāng)處理,備份介質(zhì)存放和管理 存放在本地和異地的備份介質(zhì)必須具有明確的標(biāo)識(shí)。標(biāo)識(shí)和目錄清單的命名規(guī)范參見標(biāo)識(shí)和目錄清單的命名規(guī)范。 備份介質(zhì)的運(yùn)送和保管應(yīng)由不同專責(zé)人員負(fù)責(zé)。本

25、地和異地的備份介質(zhì)均須填寫備份介質(zhì)登記表。 無論備份介質(zhì)放在本地還是異地，介質(zhì)存放場所必須滿足防火、防水、防潮、防盜、防磁等要求。存儲(chǔ)介質(zhì)庫（柜）必須由介質(zhì)保管人員存取，其他人員未經(jīng)批準(zhǔn)不準(zhǔn)操作。 所有備份介質(zhì)任何人員不得擅自借用。若要借用需經(jīng)數(shù)據(jù)擁有部門和信息部門相關(guān)負(fù)責(zé)人批準(zhǔn)，并填寫備份介質(zhì)借用登記表。借用人員使用完介質(zhì)后，應(yīng)立即歸還。由介質(zhì)保管人員負(fù)責(zé)檢查，確認(rèn)介質(zhì)完好。介質(zhì)保管人員及借用人員分別在借用登記表上簽字確認(rèn)。 信息部負(fù)責(zé)人須每半年指定專人對(duì)備份介質(zhì)在本地和異地的存放情況進(jìn)行檢查，審閱備份介質(zhì)登記表，對(duì)備份介質(zhì)進(jìn)行盤點(diǎn)，確保備份介質(zhì)的完整性和標(biāo)識(shí)的規(guī)范性，并做好記錄,備份恢復(fù)

26、信息部管理層應(yīng)制定相應(yīng)的備份恢復(fù)計(jì)劃，包括業(yè)務(wù)需求的恢復(fù)和測試性的恢復(fù)計(jì)劃。計(jì)劃中，應(yīng)對(duì)于數(shù)據(jù)重要程度進(jìn)行分類以保證能夠按照優(yōu)先級(jí)進(jìn)行數(shù)據(jù)恢復(fù)。 在備份操作手冊(cè)中還須包含備份恢復(fù)前的準(zhǔn)備工作（更新系統(tǒng)設(shè)置、通知系統(tǒng)使用者備份恢復(fù)時(shí)間等）、備份恢復(fù)的操作步驟、恢復(fù)失敗的處理方法和跟進(jìn)步驟等。 需要恢復(fù)備份數(shù)據(jù)時(shí)，需求部門應(yīng)填寫數(shù)據(jù)恢復(fù)申請(qǐng)表，由數(shù)據(jù)擁有部門以及信息部負(fù)責(zé)人審批。具體流程參見數(shù)據(jù)恢復(fù)流程。 備份操作人員將備份恢復(fù)的審批文檔及備份恢復(fù)工作的系統(tǒng)日志保存歸檔。信息部負(fù)責(zé)人須每半年安排專人審閱審批文件和系統(tǒng)日志，確保備份恢復(fù)工作符合數(shù)據(jù)恢復(fù)要求。 備份操作人員須每半年對(duì)備份進(jìn)行恢復(fù)測試，

27、確保備份恢復(fù)工作能夠順利進(jìn)行。備份恢復(fù)測試應(yīng)作詳細(xì)的記錄，參見備份恢復(fù)測試表，并根據(jù)測試結(jié)果更新備份操作手冊(cè)，妥善保管測試過程中的相關(guān)文檔,防病毒管理制度（試行） 防病毒管理 總部信息部負(fù)責(zé)病毒防治體系的統(tǒng)一構(gòu)建和部署，公司信息部指定專人負(fù)責(zé)計(jì)算機(jī)病毒防治工作。 總部信息部負(fù)責(zé)防病毒產(chǎn)品的選型和統(tǒng)一采購工作，分子公司經(jīng)總部信息部批準(zhǔn)后可自行采購防病毒產(chǎn)品。 公司信息部防病毒管理人員負(fù)責(zé)對(duì)防病毒服務(wù)器進(jìn)行日常維護(hù)，并定期審閱服務(wù)器日志，確保防病毒系統(tǒng)的正常運(yùn)行。 公司信息部防病毒管理人員負(fù)責(zé)制定防病毒產(chǎn)品的實(shí)時(shí)防護(hù)、文件防護(hù)、定時(shí)掃描、病毒日志和隔離區(qū)等參數(shù)的設(shè)置標(biāo)準(zhǔn)，用戶嚴(yán)格按照此標(biāo)準(zhǔn)執(zhí)行。

28、公司信息部防病毒管理人員須及時(shí)獲取防病毒產(chǎn)品補(bǔ)丁和最新病毒特征碼，并對(duì)防病毒服務(wù)器進(jìn)行及時(shí)更新。 公司信息部信息安全管理員負(fù)責(zé)及時(shí)搜集并獲取防病毒服務(wù)器和個(gè)人計(jì)算機(jī)操作系統(tǒng)的安全補(bǔ)丁，并指導(dǎo)安裝工作,公司信息部信息安全管理員建立突發(fā)病毒事件應(yīng)急處理預(yù)案，及時(shí)響應(yīng)用戶的病毒事件報(bào)告，協(xié)調(diào)有關(guān)方面制定處理方案并組織實(shí)施，同時(shí)跟蹤相關(guān)反饋信息和處理結(jié)果，按信息安全監(jiān)控和安全事件報(bào)告管理制度規(guī)定逐級(jí)上報(bào)有關(guān)部門。 計(jì)算機(jī)用戶管理 所有接入公司內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)用戶必須安裝公司信息部指定的計(jì)算機(jī)病毒防治產(chǎn)品，開啟實(shí)時(shí)掃描和病毒特征碼自動(dòng)更新的功能，接受公司信息部集中管理。 未接入公司內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)用戶須

29、安裝公司信息部指定的單機(jī)版病毒防治產(chǎn)品，定時(shí)掃描計(jì)算機(jī)系統(tǒng)并及時(shí)更新病毒特征碼。 禁止計(jì)算機(jī)用戶隨意卸載防病毒產(chǎn)品和修改防病毒產(chǎn)品的設(shè)置。 根據(jù)公司信息部的通知，計(jì)算機(jī)用戶須及時(shí)做好防病毒產(chǎn)品的升級(jí)、系統(tǒng)安全補(bǔ)丁的安裝和病毒隔離區(qū)的維護(hù)等工作,禁止計(jì)算機(jī)用戶隨意下載和運(yùn)行未確定安全性的軟件、程序和文檔，在收到來源不明的電子郵件后，應(yīng)立即刪除。 如果發(fā)生不明原因的系統(tǒng)工作異?；驁?bào)警現(xiàn)象, 計(jì)算機(jī)用戶應(yīng)立即斷掉網(wǎng)絡(luò)連接，并及時(shí)通知公司信息部問題受理人員。 非本公司員工需要使用公司內(nèi)部網(wǎng)絡(luò)時(shí)，在確認(rèn)可以進(jìn)行安全操作的情況下才能接入公司內(nèi)部網(wǎng)絡(luò)。 計(jì)算機(jī)用戶在使用軟盤、光盤和U盤等移動(dòng)存儲(chǔ)介質(zhì)前，必須

30、對(duì)該介質(zhì)進(jìn)行殺毒處理。 公司員工不得私自發(fā)布計(jì)算機(jī)病毒疫情報(bào)告，所有員工都有義務(wù)和責(zé)任接受公司信息部組織的病毒防治教育和培訓(xùn)。 防病毒檢查 公司信息部應(yīng)每季度對(duì)公司范圍內(nèi)的個(gè)人電腦進(jìn)行一次抽查，抽查個(gè)人電腦防病毒產(chǎn)品的安裝和使用情況，填寫個(gè)人電腦防病毒抽查情況登記表。每次抽查的數(shù)量要達(dá)到個(gè)人電腦總數(shù)的5%以上。 公司信息部應(yīng)向本級(jí)公司管理層匯報(bào)防病毒抽查情況，并及時(shí)采取措施解決防病毒抽查中出現(xiàn)的問題,防火墻管理制度（試行） 防火墻管理 公司內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)連接時(shí)必須安裝防火墻，確保內(nèi)部網(wǎng)絡(luò)及連接的安全，并通過防火墻的設(shè)置對(duì)內(nèi)外雙向的網(wǎng)絡(luò)訪問按照策略和權(quán)限進(jìn)行控制。 公司信息部指定專人負(fù)責(zé)防火

31、墻的管理工作。信息部防火墻管理人員應(yīng)接受防火墻和網(wǎng)絡(luò)安全方面的專業(yè)培訓(xùn)。 公司信息部要配備后備防火墻管理人員，并收集后備防火墻管理人員的聯(lián)系方式，以確保緊急時(shí)刻能夠立即取得聯(lián)系。 防火墻管理人員必須嚴(yán)格遵守系統(tǒng)帳號(hào)管理制度中的規(guī)定，需要和后備防火墻管理人員交接工作時(shí)，認(rèn)真填寫防火墻管理交接表。 未經(jīng)許可，任何人不得登錄防火墻，廠商工程師只能在信息部防火墻管理人員的陪同和監(jiān)督下進(jìn)行調(diào)試，調(diào)試完畢后防火墻管理人員應(yīng)立即更改口令。對(duì)防火墻的維修調(diào)試應(yīng)進(jìn)行詳細(xì)記錄。 通過對(duì)路由器、交換機(jī)和防火墻等網(wǎng)絡(luò)設(shè)備的設(shè)置，控制數(shù)據(jù)在網(wǎng)絡(luò)中安全傳遞，公司網(wǎng)絡(luò)與外部的數(shù)據(jù)傳輸只能通過指定的路徑進(jìn)行,信息部防火墻管理

32、人員根據(jù)系統(tǒng)配置與基礎(chǔ)架構(gòu)管理制度中規(guī)定的防火墻基準(zhǔn)配置進(jìn)行防火墻的初始配置。 需要對(duì)防火墻的配置進(jìn)行變更時(shí)，必須按照系統(tǒng)配置與基礎(chǔ)架構(gòu)管理制度中配置變更申請(qǐng)流程進(jìn)行。防火墻的設(shè)置由公司信息部防火墻管理人員負(fù)責(zé)維護(hù)，確保防火墻設(shè)置的有效性及安全性。 公司信息部防火墻管理人員須及時(shí)了解防火墻的有關(guān)升級(jí)信息，防火墻的升級(jí)應(yīng)嚴(yán)格按照系統(tǒng)配置與基礎(chǔ)架構(gòu)管理制度進(jìn)行。 在配置或訪問控制策略更改后，公司信息部防火墻管理人員應(yīng)及時(shí)導(dǎo)出防火墻的配置文件，作好備份并標(biāo)明改動(dòng)內(nèi)容。備份文件須安全妥善地保存。 公司信息部防火墻管理人員每季度對(duì)防火墻訪問控制策略進(jìn)行一次檢查和優(yōu)化,優(yōu)化工作須嚴(yán)格按照系統(tǒng)配置與基礎(chǔ)架構(gòu)

33、管理制度中配置變更申請(qǐng)流程進(jìn)行。 公司信息部防火墻管理人員每月分析防火墻日志，并編制防火墻運(yùn)行報(bào)告交公司信息部安全管理員和公司信息部負(fù)責(zé)人審閱,信息系統(tǒng)帳號(hào)管理制度（試行） 系統(tǒng)帳號(hào)：是指應(yīng)用層面及系統(tǒng)層面（操作系統(tǒng)、數(shù)據(jù)庫、防火墻及其它網(wǎng)絡(luò)設(shè)備）的用戶帳號(hào)。 用戶帳號(hào)申請(qǐng)、審批及設(shè)置由不同人員負(fù)責(zé)。 系統(tǒng)擁有部門負(fù)責(zé)建立崗位權(quán)限對(duì)照表。 普通帳號(hào)管理 申請(qǐng)人使用統(tǒng)一而規(guī)范的帳號(hào)/權(quán)限申請(qǐng)表提出用戶帳號(hào)創(chuàng)建、修改、刪除/禁用等申請(qǐng)。 帳號(hào)申請(qǐng)人所屬部門負(fù)責(zé)人及系統(tǒng)擁有部門負(fù)責(zé)人根據(jù)崗位權(quán)限對(duì)照表對(duì)應(yīng)用層面的普通用戶帳號(hào)申請(qǐng)進(jìn)行審批。 信息部負(fù)責(zé)人根據(jù)崗位權(quán)限對(duì)照表對(duì)系統(tǒng)層面的普通用戶帳號(hào)申請(qǐng)進(jìn)

34、行審批。 帳號(hào)管理人員建立各種帳號(hào)的文檔記錄，記錄用戶帳號(hào)的相關(guān)信息，并在帳號(hào)變動(dòng)時(shí)同時(shí)更新此記錄，具體內(nèi)容見用戶帳號(hào)記錄。具體流程參見普通帳號(hào)管理流程,特權(quán)帳號(hào)和超級(jí)用戶帳號(hào)管理 特權(quán)帳號(hào)指在系統(tǒng)中有專用權(quán)限的帳號(hào)，如備份帳號(hào)、權(quán)限管理帳號(hào)、系統(tǒng)維護(hù)帳號(hào)等。超級(jí)用戶帳號(hào)指系統(tǒng)中最高權(quán)限帳號(hào)，如root等管理員帳號(hào)。 只有經(jīng)授權(quán)的用戶才可使用特權(quán)帳號(hào)和超級(jí)用戶帳號(hào)，嚴(yán)禁共享帳號(hào)。 信息部每季度查看系統(tǒng)日志，監(jiān)督特權(quán)帳號(hào)和超級(jí)用戶帳號(hào)使用情況。 盡量避免特權(quán)帳號(hào)和超級(jí)用戶帳號(hào)的臨時(shí)使用，確需使用時(shí)必須履行正規(guī)的申請(qǐng)及審批流程，并保留相應(yīng)的文檔。 臨時(shí)使用超級(jí)用戶帳號(hào)必須有監(jiān)督人員在場記錄其工作內(nèi)

35、容。 超級(jí)用戶帳號(hào)臨時(shí)使用完畢后，帳號(hào)管理人員立即更改帳號(hào)密碼。具體流程參見特權(quán)帳號(hào)和超級(jí)用戶帳號(hào)管理流程,臨時(shí)帳號(hào)管理 使用臨時(shí)帳號(hào)時(shí)（如內(nèi)外部審計(jì)人員、臨時(shí)崗位調(diào)動(dòng)人員），須填寫統(tǒng)一的帳號(hào)/權(quán)限申請(qǐng)表。 帳號(hào)申請(qǐng)人所屬部門負(fù)責(zé)人及系統(tǒng)擁有部門負(fù)責(zé)人根據(jù)崗位權(quán)限對(duì)照表對(duì)應(yīng)用層面的臨時(shí)用戶帳號(hào)申請(qǐng)進(jìn)行審批。 信息部負(fù)責(zé)人根據(jù)崗位權(quán)限對(duì)照表對(duì)系統(tǒng)層面的臨時(shí)用戶帳號(hào)申請(qǐng)進(jìn)行審批。 帳號(hào)管理人員負(fù)責(zé)臨時(shí)帳號(hào)的建立和記錄。 臨時(shí)帳號(hào)使用完畢后，申請(qǐng)人及時(shí)通知帳號(hào)管理人員注銷臨時(shí)帳號(hào)。具體流程參見臨時(shí)訪問帳號(hào)管理流程。 緊急帳號(hào)管理 根據(jù)緊急事件的等級(jí)建立相應(yīng)權(quán)限的緊急帳號(hào)，專門處理緊急事件。 帳號(hào)管理

36、人員負(fù)責(zé)緊急帳號(hào)的下發(fā)和記錄。 緊急帳號(hào)使用人員必須在事件處理完畢后補(bǔ)辦相關(guān)手續(xù)。 緊急帳號(hào)使用完畢后，緊急帳號(hào)使用人員及時(shí)通知帳號(hào)管理人員禁用緊急帳號(hào)。具體流程參見緊急用戶帳號(hào)管理流程,用戶帳號(hào)及權(quán)限審閱 系統(tǒng)擁有部門指定專人負(fù)責(zé)每季度對(duì)系統(tǒng)應(yīng)用層面帳號(hào)及權(quán)限進(jìn)行審閱，并填寫帳號(hào)/權(quán)限清理清單。 信息部指定專人負(fù)責(zé)每季度對(duì)系統(tǒng)層面帳號(hào)及權(quán)限進(jìn)行審閱，并填寫帳號(hào)/權(quán)限清理清單。 員工離職后，帳號(hào)管理人員及時(shí)禁用并刪除離職人員所使用的帳號(hào)。如果離職人員是系統(tǒng)管理員，則及時(shí)更改特權(quán)帳號(hào)或超級(jí)用戶口令。具體流程參見用戶帳號(hào)審閱及權(quán)限確認(rèn)流程。 用戶帳號(hào)口令管理 用戶帳號(hào)口令發(fā)放要嚴(yán)格保密，用戶必須及

37、時(shí)更改初始口令。 用戶帳號(hào)口令最小長度為6位，并具有一定復(fù)雜度。 用戶帳號(hào)口令必須嚴(yán)格保密，并定期進(jìn)行更改，密碼更新周期不得超過90天。嚴(yán)禁共享個(gè)人用戶帳號(hào)口令。 超級(jí)用戶帳號(hào)須通過保密形式由信息部負(fù)責(zé)人保存,系統(tǒng)配置與基礎(chǔ)架構(gòu)管理制度（試行） 系統(tǒng)配置：是指各應(yīng)用系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫設(shè)置，以及路由器、防火墻、核心交換機(jī)等網(wǎng)絡(luò)設(shè)備和安全設(shè)備的設(shè)置?；鶞?zhǔn)配置是指上述設(shè)置的基準(zhǔn)。 基礎(chǔ)架構(gòu)：包括支持業(yè)務(wù)運(yùn)營的網(wǎng)絡(luò)、系統(tǒng)平臺(tái)和線路結(jié)構(gòu)等。基礎(chǔ)架構(gòu)變更是指網(wǎng)絡(luò)拓?fù)渥兏?、線路調(diào)整、設(shè)備增減與遷移，以及數(shù)據(jù)庫、各類操作系統(tǒng)的升級(jí)和補(bǔ)丁更新等。 基準(zhǔn)配置的制定與維護(hù) 在保證應(yīng)用系統(tǒng)高效、安全運(yùn)行的前提下，

38、總部信息部建立操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等基準(zhǔn)配置，基準(zhǔn)配置必須與公司整體安全要求一致。各分子公司參照公司總部的基準(zhǔn)配置執(zhí)行。 總部信息部信息安全管理員先在測試環(huán)境中對(duì)各種基準(zhǔn)配置進(jìn)行測試，以確?；鶞?zhǔn)配置的有效性、安全性和可行性,基準(zhǔn)配置在經(jīng)過總部信息部負(fù)責(zé)人的審核后，統(tǒng)一下發(fā)給分子公司。 總部信息部信息安全管理員每年須對(duì)各類基準(zhǔn)配置進(jìn)行檢查，以確?；鶞?zhǔn)配置滿足業(yè)務(wù)需求和技術(shù)要求。檢查之后，形成基準(zhǔn)配置評(píng)估表交信息部負(fù)責(zé)人審閱。 運(yùn)行環(huán)境配置的設(shè)置與維護(hù) 經(jīng)授權(quán)的配置管理人員根據(jù)系統(tǒng)安裝手冊(cè)和基準(zhǔn)配置對(duì)初裝系統(tǒng)或設(shè)備進(jìn)行安裝和配置，詳細(xì)記錄安裝過程和配置清單。安裝過后，由信息安全管理員核對(duì)實(shí)際配置是否符合基準(zhǔn)配置要求。 在對(duì)系統(tǒng)或網(wǎng)絡(luò)設(shè)備配置變更時(shí)，配置變更必須遵照統(tǒng)一的變更申請(qǐng)流程。具體流程參見配置變更/基礎(chǔ)架構(gòu)變更管理流程。 基礎(chǔ)架構(gòu)的變更 信息部建立基礎(chǔ)架構(gòu)的相關(guān)文檔，包括網(wǎng)絡(luò)拓?fù)鋱D、設(shè)備分布圖、機(jī)架分布圖、跳線表、地