7系統(tǒng)運(yùn)維安全管理規(guī)定

1、系統(tǒng)運(yùn)維安全管理規(guī)定第一章總則第一條為加強(qiáng)國(guó)鐵吉訊科技有限公司的信息安全管理工作，防范計(jì)算機(jī)信 息技術(shù)風(fēng)險(xiǎn)，保障本單位信息系統(tǒng)安全、穩(wěn)定運(yùn)行，保障信息化建設(shè)的穩(wěn)步發(fā) 展，參照國(guó)家有關(guān)規(guī)定，制定本規(guī)定。第二條 本規(guī)定適用于系統(tǒng)運(yùn)維過(guò)程的管理。第二章系統(tǒng)安全運(yùn)行基本要求第三條計(jì)算機(jī)信息系統(tǒng)的使用科室應(yīng)建立相應(yīng)安全操作規(guī)程與規(guī)章制度。第四條計(jì)算機(jī)信息系統(tǒng)的運(yùn)行場(chǎng)所應(yīng)滿足相應(yīng)的安全等級(jí)要求。第五條計(jì)算機(jī)信息系統(tǒng)應(yīng)配備必要的計(jì)算機(jī)病毒防范工具。第六條重要計(jì)算機(jī)信息系統(tǒng)應(yīng)配備必要的備份設(shè)備和設(shè)施。第三章信息系統(tǒng)運(yùn)行環(huán)境管理第七條機(jī)房UPS供電系統(tǒng)、機(jī)房空調(diào)、網(wǎng)絡(luò)及機(jī)房消防設(shè)施等是生產(chǎn)系統(tǒng)的基礎(chǔ)環(huán)境支持系統(tǒng)

2、。變電技術(shù)科應(yīng)從思想上高度重視基礎(chǔ)環(huán)境支持系統(tǒng)， 從人、財(cái)、物上應(yīng)予保證，確保計(jì)算機(jī)信息系統(tǒng)運(yùn)行安全。嚴(yán)格按照機(jī)房安 全管理制度執(zhí)行，保證機(jī)房安全。第八條變電技術(shù)科應(yīng)對(duì)機(jī)房的基礎(chǔ)環(huán)境支持系統(tǒng)做好規(guī)劃，應(yīng)具備冗余能 力，并及時(shí)調(diào)整、升級(jí)或改造，滿足業(yè)務(wù)的發(fā)展要求。第九條 機(jī)房功能區(qū)域的布局應(yīng)合理，應(yīng)按使用要求劃分功能區(qū)域，各功能區(qū)域原則上相對(duì)獨(dú)立，包括但不限于主機(jī)機(jī)房、前置機(jī)房、網(wǎng)絡(luò)機(jī)房、UPS和空調(diào)機(jī)房、監(jiān)控機(jī)房、輔助機(jī)房等。第十條 機(jī)房應(yīng)建立必須的消防系統(tǒng)，機(jī)房區(qū)域應(yīng)采用氣體消防和自動(dòng)消防 預(yù)警系統(tǒng)，內(nèi)部裝修和通道等符合消防要求，并通過(guò)消防驗(yàn)收且定期進(jìn)行消防 演練。第十一條 機(jī)房應(yīng)有完善的供

3、電方案。供電應(yīng)實(shí)施雙路市電 +UPS供電，變電技術(shù)科應(yīng)采取必要措施，保證機(jī)房供電系統(tǒng)、UPS等電力系統(tǒng)的正常運(yùn)轉(zhuǎn), 每月檢查UPS的運(yùn)行情況，定期進(jìn)行電池放電操作。機(jī)房 UPS不得連接機(jī)房之 外設(shè)備，對(duì)于電力系統(tǒng)不穩(wěn)定的地區(qū)，應(yīng)配備發(fā)電機(jī)。對(duì)于多雷雨地區(qū)，必須 配置機(jī)房防雷設(shè)施。第十二條 機(jī)房應(yīng)配置必要的空調(diào)系統(tǒng)，保持恒溫恒濕，以確保機(jī)房設(shè)備正 常運(yùn)轉(zhuǎn)。同時(shí)，應(yīng)加強(qiáng)機(jī)房空調(diào)日常運(yùn)行維護(hù)，定期清洗和更換濾網(wǎng)。第十三條機(jī)房應(yīng)配備環(huán)境監(jiān)控系統(tǒng)，對(duì)基礎(chǔ)環(huán)境支持設(shè)施實(shí)施每天24小時(shí)實(shí)時(shí)監(jiān)測(cè)，并保留監(jiān)測(cè)記錄供故障診斷和事后審計(jì)。第十四條 機(jī)房還應(yīng)采取防磁、防水、防盜和防鼠蟲害等保護(hù)措施。第十五條 機(jī)房應(yīng)制

4、定和完善有效的管理制度，實(shí)行門禁管理，配備視頻監(jiān) 控，進(jìn)出機(jī)房人員應(yīng)有記錄，非本院人員進(jìn)出機(jī)房應(yīng)有批準(zhǔn)程序。出入和監(jiān)控 記錄保存時(shí)間應(yīng)滿足事件分析和審計(jì)的需要。第十六條關(guān)鍵信息系統(tǒng)通信線路應(yīng)采用兩家或兩家以上通信運(yùn)營(yíng)商線路， 互為備份，互為備份的線路不應(yīng)經(jīng)過(guò)同一路由節(jié)點(diǎn)。第十七條相關(guān)工作人員辦公可能涉及一些敏感或涉密信息，需參考辦公 環(huán)境安全管理制度，規(guī)范環(huán)境人員行為第三章系統(tǒng)數(shù)據(jù)的安全管理第七條 變電技術(shù)科應(yīng)按規(guī)定數(shù)據(jù)管理制度進(jìn)行數(shù)據(jù)備份，并檢查備份 介質(zhì)的有效性。第八條 應(yīng)對(duì)備份介質(zhì)（磁帶、磁盤、光盤、紙介質(zhì)等）統(tǒng)一編號(hào)，并標(biāo)明 備份日期、密級(jí)及保密期限。第九條應(yīng)對(duì)備份介質(zhì)妥善保管，特別重

5、要的應(yīng)異地存放，并定期進(jìn)行檢 查，確保數(shù)據(jù)的完整性、可用性。第十條應(yīng)建立備份介質(zhì)的銷毀審批登記制度，并采取相應(yīng)的安全銷毀措 施。第十一條重要計(jì)算機(jī)信息系統(tǒng)所用計(jì)算機(jī)設(shè)備的維修，應(yīng)保證本單位數(shù)據(jù) 信息的完整性和安全性。在維修過(guò)程中不得泄露涉密數(shù)據(jù)信息。第十二條 重要計(jì)算機(jī)信息系統(tǒng)使用的計(jì)算機(jī)設(shè)備更換或報(bào)廢時(shí)，應(yīng)徹底清 除相關(guān)業(yè)務(wù)信息，并拆除所有相關(guān)的涉密配件，由使用科室登記封存。第四章 系統(tǒng)運(yùn)行平臺(tái)的安全管理第十三條系統(tǒng)管理人員應(yīng)合理配置操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)所提供的安 全審計(jì)功能，以達(dá)到相應(yīng)安全等級(jí)標(biāo)準(zhǔn)。第十四條系統(tǒng)管理人員應(yīng)屏蔽與應(yīng)用系統(tǒng)無(wú)關(guān)的所有網(wǎng)絡(luò)功能，防止非法 用戶的侵入。第十五條系

6、統(tǒng)管理人員應(yīng)按照惡意代碼防范管理制度及時(shí)安裝正式發(fā) 布的系統(tǒng)補(bǔ)丁，修補(bǔ)系統(tǒng)存在的安全漏洞。第十六條 系統(tǒng)管理人員應(yīng)啟用系統(tǒng)提供的審計(jì)功能，監(jiān)測(cè)系統(tǒng)運(yùn)行日志， 掌握系統(tǒng)運(yùn)行狀況。第十七條 系統(tǒng)管理人員不得泄露操作系統(tǒng)、數(shù)據(jù)庫(kù)的系統(tǒng)管理員賬號(hào)、密 碼。第十八條 聯(lián)網(wǎng)設(shè)備的IP地址及網(wǎng)絡(luò)參數(shù)，必須按照網(wǎng)絡(luò)安全管理制 度及其業(yè)務(wù)應(yīng)用范圍進(jìn)行設(shè)置，非系統(tǒng)管理人員不得修改。第五章口令密碼、密鑰安全管理第十九條 計(jì)算機(jī)信息系統(tǒng)關(guān)鍵人員的口令密碼編制應(yīng)具有一定的復(fù)雜 性，對(duì)記錄密碼的載體應(yīng)嚴(yán)格管理，確保其物理安全，詳見(jiàn)密碼管理制度第二十條 計(jì)算機(jī)信息系統(tǒng)關(guān)鍵崗位人員的口令密碼，應(yīng)定期或不定期進(jìn) 行更換，獨(dú)享使

7、用，不得泄露。第二十一條應(yīng)用密鑰保障信息安全時(shí)，對(duì)所用密鑰生命周期的全過(guò)程 （產(chǎn)生、存儲(chǔ)、分配、使用、廢除、歸檔、銷毀）應(yīng)實(shí)施嚴(yán)格的安全保密管 理。第二十二條密鑰必須作為絕密數(shù)據(jù)由專人保管。密鑰必須通過(guò)機(jī)要渠道 傳遞或采用加密通信方式網(wǎng)內(nèi)分配。第二十三條密鑰必須定期更換，對(duì)已泄漏或懷疑泄漏的密鑰必須及時(shí)廢 除。舊密鑰必須安全歸檔，并在安全管理負(fù)責(zé)人的嚴(yán)格監(jiān)督下，由管理責(zé)任人 定期銷毀。第二十四條 密鑰備份是針對(duì)主要密碼設(shè)備和保密工作人員的意外事件而 采取的必要措施，密鑰副本的保存必須是物理安全的。必須有在緊急情況下銷毀密鑰的手段和措施，以防密鑰丟失第六章系統(tǒng)文檔安全管理第二十五條網(wǎng)絡(luò)參數(shù)配置文

8、檔、重要計(jì)算機(jī)信息系統(tǒng)詳細(xì)開發(fā)資料及其 源程序等核心技術(shù)文檔，由變電技術(shù)科嚴(yán)格管理。第二十六條系統(tǒng)核心技術(shù)文檔資料的外借應(yīng)有審批手續(xù)和記錄，借閱人 不得轉(zhuǎn)借給他人，不得復(fù)制、泄露和引用具體內(nèi)容。第七章系統(tǒng)的安全監(jiān)測(cè)第二十七條 安全人員要按照系統(tǒng)監(jiān)控管理制度經(jīng)常監(jiān)測(cè)、分析計(jì)算 機(jī)信息系統(tǒng)運(yùn)行狀況，發(fā)現(xiàn)異常情況應(yīng)立即采取應(yīng)對(duì)措施。第二十八條業(yè)務(wù)操作人員應(yīng)審查業(yè)務(wù)處理結(jié)果，發(fā)現(xiàn)問(wèn)題應(yīng)及時(shí)查明原 因。對(duì)不能確認(rèn)的異常現(xiàn)象，必須向變電技術(shù)科報(bào)告。第二十九條對(duì)計(jì)算機(jī)信息系統(tǒng)安全運(yùn)行的監(jiān)測(cè)記錄及其分析結(jié)果應(yīng)嚴(yán)格 管理，未經(jīng)變電技術(shù)科許可不得對(duì)外發(fā)布或引用。第八章應(yīng)急處理第三十條 本單位應(yīng)加強(qiáng)信息安全防范意識(shí)

9、，建立應(yīng)急處理指揮體系，按照 應(yīng)急預(yù)案指揮協(xié)調(diào)各科室能迅速進(jìn)入應(yīng)急處理程序。第三十一條本單位應(yīng)優(yōu)化組合和配置應(yīng)急技術(shù)人員及應(yīng)急資源，集中使 用，統(tǒng)一調(diào)度，以保證應(yīng)急處理的高效性。第三十二條本單位應(yīng)制定重要計(jì)算機(jī)信息系統(tǒng)應(yīng)急方案，明確崗位職 責(zé)、人員分工以及應(yīng)急處理程序。第三十三條本單位應(yīng)加強(qiáng)應(yīng)急處理技能的培訓(xùn)和應(yīng)急處理方案的演練。 提高各崗位人員判斷、處理問(wèn)題的能力，驗(yàn)證應(yīng)急處理程序的有效性。第九章重大安全事件處理第三十四條 安全事件管理制度規(guī)定非法侵入、破壞計(jì)算機(jī)信息系統(tǒng) 或利用計(jì)算機(jī)實(shí)施詐騙、盜竊、貪污、挪用公款的計(jì)算機(jī)犯罪案件以及造成不 良社會(huì)影響的信息安全事故，屬重大安全事件。第三十五條確認(rèn)計(jì)算機(jī)信息系統(tǒng)出現(xiàn)重大安全事件，必須果斷采取控制 措施，立即逐級(jí)如實(shí)上報(bào)變電技術(shù)科。第三十六條 重大安全事件發(fā)生后，有