計(jì)算機(jī)信息系統(tǒng)管理標(biāo)準(zhǔn)資料

計(jì)算機(jī)信息精品耀資料資料計(jì)算機(jī)信息系統(tǒng)管理標(biāo)準(zhǔn)1范圍本標(biāo)準(zhǔn)規(guī)定了公司計(jì)算機(jī)信息系統(tǒng)管理的職責(zé)和權(quán)限、管理內(nèi)容和方法、報(bào)告和記錄。本標(biāo)準(zhǔn)適用于公司（以下簡(jiǎn)稱(chēng)公司）本部、分公司、以及直屬各單位的計(jì)算機(jī)信息系統(tǒng)管理工作。其他聯(lián)網(wǎng)單位可參照?qǐng)?zhí)行。2規(guī)范性引用文件下列文件中的條款通過(guò)本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，使用本標(biāo)準(zhǔn)的相關(guān)部門(mén)、單位及人員要研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。中華人民共和國(guó)國(guó)務(wù)院令第147號(hào)中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例國(guó)家標(biāo)準(zhǔn)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則Q/HD203.01—2007物資采購(gòu)管理標(biāo)準(zhǔn)Q/HD203.02—2007招標(biāo)管理標(biāo)準(zhǔn)Q/HD212.07—2007員工培訓(xùn)管理標(biāo)準(zhǔn)Q/HD212.05—2007網(wǎng)絡(luò)信息安全應(yīng)急管理標(biāo)準(zhǔn)3術(shù)語(yǔ)和定義下列術(shù)語(yǔ)和定義適用于本標(biāo)準(zhǔn)計(jì)算機(jī)系統(tǒng)計(jì)算機(jī)系統(tǒng)由硬件系統(tǒng)和軟件系統(tǒng)組成。硬件系統(tǒng)硬件系指構(gòu)成計(jì)算機(jī)的各種實(shí)體機(jī)器設(shè)備或電子組件，如CPU、內(nèi)存、屏幕、磁盤(pán)驅(qū)動(dòng)器等，及各式的計(jì)算機(jī)外設(shè)設(shè)備如打印機(jī)、掃描儀等。計(jì)算機(jī)系統(tǒng)的運(yùn)作，除了硬件外，還需軟件的配合才能完成計(jì)算機(jī)所執(zhí)行的工作。軟件系統(tǒng)軟件就是計(jì)算機(jī)程序的統(tǒng)稱(chēng)，負(fù)責(zé)指揮計(jì)算機(jī)的硬件部份，以完成計(jì)算機(jī)系統(tǒng)所執(zhí)行的工作。網(wǎng)絡(luò)系統(tǒng)通過(guò)網(wǎng)絡(luò)通信線(xiàn)路和設(shè)備，將地理位置不同、功能獨(dú)立的多臺(tái)計(jì)算機(jī)系統(tǒng)和通信終端設(shè)備互連起來(lái)，以完善的網(wǎng)絡(luò)軟件實(shí)現(xiàn)網(wǎng)絡(luò)上資源共享和信息傳遞的系統(tǒng)。本程序中網(wǎng)絡(luò)主要指公司內(nèi)部信息網(wǎng)絡(luò)。信息計(jì)算機(jī)系統(tǒng)的主要功能是將未經(jīng)過(guò)處理的數(shù)據(jù)(data)輸入至計(jì)算機(jī)之硬設(shè)備，經(jīng)由軟件的運(yùn)算處理而輸出結(jié)果，此一結(jié)果即謂之信息(Information)，數(shù)據(jù)可能是原始的數(shù)字、文字或符號(hào)等，而信息的內(nèi)容則可能是計(jì)算后的數(shù)字、統(tǒng)計(jì)后的圖表、排序搜尋后的文字等。管理信息系統(tǒng)它以企業(yè)的業(yè)務(wù)活動(dòng)為依據(jù)，以人員、財(cái)務(wù)和物資信息流為貫穿其中的主線(xiàn)索，涵蓋了企業(yè)生產(chǎn)、管理和經(jīng)營(yíng)活動(dòng)的各個(gè)方面；實(shí)現(xiàn)了生產(chǎn)管理現(xiàn)代化、辦公無(wú)紙化；保證了指揮決策科學(xué)化；提高了生產(chǎn)和管理效率，節(jié)約了生產(chǎn)和管理成本，為企業(yè)實(shí)現(xiàn)利潤(rùn)最大化提供了可靠保證。在本文件以后的引用中，用電子信息系統(tǒng)代替。局域網(wǎng)局域網(wǎng)(LocalAreaNetwork)是在一個(gè)局部的地理范圍內(nèi)(如一個(gè)學(xué)校、工廠和機(jī)關(guān)內(nèi))，將各種計(jì)算機(jī)、外部設(shè)備和數(shù)據(jù)庫(kù)等互相聯(lián)接起來(lái)組成的計(jì)算機(jī)通信網(wǎng)，簡(jiǎn)稱(chēng)LAN。白客滲透測(cè)試是通過(guò)真實(shí)模擬黑客使用的工具、分析方法來(lái)進(jìn)行實(shí)際的漏洞發(fā)現(xiàn)和利用的安全測(cè)試方法，與工具評(píng)估互相補(bǔ)充。4職責(zé)主管領(lǐng)導(dǎo)審批信息系統(tǒng)建設(shè)規(guī)劃、管理方案及相應(yīng)人、財(cái)、物等資源，對(duì)信息系統(tǒng)工作負(fù)全面領(lǐng)導(dǎo)責(zé)任。信息中心管理信息系統(tǒng)進(jìn)行策劃、建設(shè)。保障管理信息系統(tǒng)有效運(yùn)行。持續(xù)改進(jìn)信息系統(tǒng)的管理。相關(guān)部門(mén)/基層單位配合搞好部門(mén)/單位管理系統(tǒng)的安全運(yùn)行。對(duì)所使用的信息系統(tǒng)和專(zhuān)業(yè)軟件的適用性、安全性、可靠性進(jìn)行評(píng)價(jià)。提出本部門(mén)/本單位職責(zé)范圍內(nèi)信息系統(tǒng)管理軟件的功能要求。5管理活動(dòng)的內(nèi)容與方法本標(biāo)準(zhǔn)依據(jù)的流程計(jì)算機(jī)系統(tǒng)運(yùn)行維護(hù)管理流程（見(jiàn)附錄A）組織機(jī)構(gòu)信息安全領(lǐng)導(dǎo)小組公司成立信息安全領(lǐng)導(dǎo)小組。領(lǐng)導(dǎo)小組是信息安全的最高決策機(jī)構(gòu)，其設(shè)辦公室設(shè)在公司信息中心，負(fù)責(zé)信息安全領(lǐng)導(dǎo)小組的日常事務(wù)。信息安全領(lǐng)導(dǎo)小組下設(shè)兩個(gè)工作組：a）信息安全工作組；b）應(yīng)急處理工作組。信息安全領(lǐng)導(dǎo)小組的職責(zé)主要包括：a）根據(jù)國(guó)家和行業(yè)有關(guān)信息安全的政策、法律和法規(guī)，批準(zhǔn)公司信息安全總體策略規(guī)劃、管理規(guī)范和技術(shù)標(biāo)準(zhǔn)；b）確定公司信息安全各有關(guān)部門(mén)工作職責(zé)，指導(dǎo)、監(jiān)督信息安全工作。信息安全工作組信息安全工作組組長(zhǎng)由公司信息中心的負(fù)責(zé)人擔(dān)任。信息安全工作組的主要職責(zé)包括：a）貫徹執(zhí)行公司信息安全領(lǐng)導(dǎo)小組的決議，協(xié)調(diào)和規(guī)范公司信息安全工作；b）根據(jù)信息安全領(lǐng)導(dǎo)小組的工作部署，對(duì)信息安全工作進(jìn)行具體安排、落實(shí);c）組織對(duì)重大的信息安全工作標(biāo)準(zhǔn)和技術(shù)操作策略進(jìn)行審查，擬訂信息安全總體策略規(guī)劃，并監(jiān)督執(zhí)行；d）負(fù)責(zé)協(xié)調(diào)、督促各職能部門(mén)和有關(guān)單位的信息安全工作，參與信息系統(tǒng)工程建設(shè)中的安全規(guī)劃，監(jiān)督安全措施的執(zhí)行；e）組織信息安全工作檢查，分析信息安全總體狀況，提出分析報(bào)告和安全風(fēng)險(xiǎn)的防范對(duì)策；f）負(fù)責(zé)接受各單位的緊急信息安全事件報(bào)告，組織進(jìn)行事件調(diào)查，分析原因、涉及范圍，并評(píng)估安全事件的嚴(yán)重程度，提出信息安全事件防范措施；g）及時(shí)向信息安全工作領(lǐng)導(dǎo)小組和上級(jí)有關(guān)部門(mén)、單位報(bào)告信息安全事件。h/艮蹤先進(jìn)的信息安全技術(shù)，組織信息安全知識(shí)的培訓(xùn)和宣傳工作。應(yīng)急處理工作組應(yīng)急處理工作組組長(zhǎng)由公司信息中心的主要負(fù)責(zé)人擔(dān)任。應(yīng)急處理工作組的主要職責(zé)包括：a）審定公司網(wǎng)絡(luò)與信息系統(tǒng)的安全應(yīng)急策略及應(yīng)急預(yù)案；b）決定相應(yīng)應(yīng)急預(yù)案的啟動(dòng)，負(fù)責(zé)現(xiàn)場(chǎng)指揮，并組織相關(guān)人員排除故障，恢復(fù)系統(tǒng)；0每年組織對(duì)信息安全應(yīng)急策略和應(yīng)急預(yù)案進(jìn)行測(cè)試和演練。各分公司及直屬單位信息安全工作常設(shè)機(jī)構(gòu)及人員各分公司及直屬單位應(yīng)指定分管信息的單位領(lǐng)導(dǎo)負(fù)責(zé)本單位信息安全管理，并配備信息安全技術(shù)人員，有條件的應(yīng)設(shè)置信息安全工作小組或辦公室，對(duì)海南電網(wǎng)公司信息安全領(lǐng)導(dǎo)小組和工作小組負(fù)責(zé)，落實(shí)本單位信息安全工作和應(yīng)急處理工作。信息安全人員基本要求a）信息安全管理人員和專(zhuān)（兼）職信息安全技術(shù)人員應(yīng)當(dāng)政治可靠、業(yè)務(wù)素質(zhì)高、遵紀(jì)守法、恪盡職守；b）信息安全管理人員及專(zhuān)職和兼職信息安全技術(shù)人員應(yīng)有計(jì)算機(jī)專(zhuān)業(yè)工作三年以上經(jīng)歷，具備專(zhuān)科以上學(xué)歷；c）違反國(guó)家法律、法規(guī)和行業(yè)規(guī)章受到處罰的人員，不得從事信息安全管理與技術(shù)工作。信息安全人員管理a）信息安全人員的配備和變更情況，應(yīng)向上一級(jí)單位報(bào)告、備案；b）信息安全人員調(diào)離崗位，必須嚴(yán)格辦理調(diào)離手續(xù)，承諾其調(diào)離后的保密義務(wù)。涉及海南電網(wǎng)業(yè)務(wù)核心技術(shù)的信息安全人員調(diào)離單位，必須進(jìn)行離崗審計(jì)，并在規(guī)定的脫密期后，方可調(diào)離。信息安全人員職責(zé)范圍信息安全人員應(yīng)履行以下職責(zé)：a）負(fù)責(zé)信息安全管理的日常工作；b）開(kāi)展信息安全檢查工作，對(duì)要害崗位人員安全工作進(jìn)行指導(dǎo)和監(jiān)督；c）負(fù)責(zé)維護(hù)和審查有關(guān)安全審計(jì)記錄，及時(shí)發(fā)現(xiàn)存在問(wèn)題，提出安全風(fēng)險(xiǎn)防范對(duì)策；d）開(kāi)展信息安全知識(shí)的培訓(xùn)和宣傳工作；e）監(jiān)控信息安全總體狀況，提出信息安全分析報(bào)告；f）及時(shí)向信息安全工作領(lǐng)導(dǎo)小組和有關(guān)部門(mén)、單位報(bào)告信息安全事件。信息安全人員在行使職責(zé)時(shí)，確因工作需要，經(jīng)批準(zhǔn)，可了解涉及電力生產(chǎn)、經(jīng)營(yíng)與管理有關(guān)的信息系統(tǒng)的機(jī)密信息。信息安全人員發(fā)現(xiàn)本單位重大信息安全隱患，有權(quán)向上級(jí)機(jī)構(gòu)信息安全主管部門(mén)報(bào)告。信息安全人員發(fā)現(xiàn)信息系統(tǒng)要害崗位人員使用不當(dāng)，應(yīng)及時(shí)建議有關(guān)單位、部門(mén)進(jìn)行調(diào)整。信息安全人員必須嚴(yán)格遵守國(guó)家有關(guān)法律、法規(guī)和公司有關(guān)規(guī)章標(biāo)準(zhǔn)，嚴(yán)守公司商業(yè)秘密。要害崗位人員管理信息系統(tǒng)要害崗位人員，是指與重要信息系統(tǒng)直接相關(guān)的系統(tǒng)管理人員、網(wǎng)絡(luò)管理人員、重要應(yīng)用開(kāi)發(fā)人員、系統(tǒng)維護(hù)人員、重要業(yè)務(wù)操作人員等崗位人員。重要信息系統(tǒng)，是指涉及公司生產(chǎn)、建設(shè)與經(jīng)營(yíng)、管理等核心業(yè)務(wù)且有保密要求的信息系統(tǒng)。要害崗位人員上崗前必須經(jīng)單位人事部門(mén)進(jìn)行政治素質(zhì)審查，技術(shù)部門(mén)進(jìn)行業(yè)務(wù)技能考核，工作經(jīng)歷和工作經(jīng)驗(yàn)考查等，合格者方可上崗。要害崗位人員有責(zé)任保護(hù)信息系統(tǒng)的秘密，并以簽署保密協(xié)議的方式作出安全承諾。要害崗位人員上崗必須實(shí)行“權(quán)限分散、不得交叉覆蓋”的原則。系統(tǒng)管理人員、網(wǎng)絡(luò)管理人員、系統(tǒng)開(kāi)發(fā)人員、系統(tǒng)維護(hù)人員不得兼任業(yè)務(wù)操作員；未經(jīng)過(guò)批準(zhǔn)，系統(tǒng)開(kāi)發(fā)人員不應(yīng)兼任系統(tǒng)管理員。對(duì)要害崗位人員應(yīng)實(shí)行定期考查標(biāo)準(zhǔn)，要害崗位人員應(yīng)定期接受安全培訓(xùn)，規(guī)范自身安全意識(shí)和風(fēng)險(xiǎn)防范意識(shí)。要害崗位人員調(diào)離崗位，必須嚴(yán)格辦理調(diào)離手續(xù)，承諾其調(diào)離后的保密義務(wù)。涉及公司業(yè)務(wù)保密信息的要害崗位人員調(diào)離單位，必須進(jìn)行離崗審計(jì)，在規(guī)定的脫密期后，方可調(diào)離。要害崗位人員離崗后，必須即刻更換操作密碼或注銷(xiāo)用戶(hù)。要害崗位安全責(zé)任系統(tǒng)管理員安全責(zé)任：a）負(fù)責(zé)系統(tǒng)的運(yùn)行管理，實(shí)施系統(tǒng)安全運(yùn)行細(xì)則；b）嚴(yán)格用戶(hù)權(quán)限管理，維護(hù)系統(tǒng)安全正常運(yùn)行；c）認(rèn)真記錄系統(tǒng)安全事項(xiàng)，及時(shí)向信息安全人員報(bào)告安全事件；d）對(duì)進(jìn)行系統(tǒng)操作的其他人員予以安全監(jiān)督。網(wǎng)絡(luò)管理員安全責(zé)任：a）負(fù)責(zé)網(wǎng)絡(luò)的運(yùn)行管理，實(shí)施網(wǎng)絡(luò)安全策略和安全運(yùn)行細(xì)則；b）安全配置網(wǎng)絡(luò)參數(shù)，嚴(yán)格控制網(wǎng)絡(luò)用戶(hù)訪問(wèn)權(quán)限，維護(hù)網(wǎng)絡(luò)安全正常運(yùn)行；c）監(jiān)控網(wǎng)絡(luò)關(guān)鍵設(shè)備、網(wǎng)絡(luò)端口、網(wǎng)絡(luò)物理線(xiàn)路，防范黑客入侵，及時(shí)向信息安全人員報(bào)告安全事件；d）對(duì)操作網(wǎng)絡(luò)管理功能的其他人員進(jìn)行安全監(jiān)督。系統(tǒng)開(kāi)發(fā)員安全責(zé)任：a）系統(tǒng)開(kāi)發(fā)建設(shè)中，應(yīng)嚴(yán)格執(zhí)行系統(tǒng)安全策略，保證系統(tǒng)安全功能的準(zhǔn)確實(shí)現(xiàn)；b）系統(tǒng)投產(chǎn)運(yùn)行前，應(yīng)完整移交系統(tǒng)源代碼和相關(guān)涉密資料；c）不得對(duì)系統(tǒng)設(shè)置“后門(mén)”；d）對(duì)系統(tǒng)核心技術(shù)保密。系統(tǒng)維護(hù)員安全責(zé)任：a）負(fù)責(zé)系統(tǒng)維護(hù)，及時(shí)解除系統(tǒng)故障，確保系統(tǒng)正常運(yùn)行；b）不得擅自改變系統(tǒng)功能；c）不得安裝與系統(tǒng)無(wú)關(guān)的其他計(jì)算機(jī)程序；d）維護(hù)過(guò)程中，發(fā)現(xiàn)安全漏洞應(yīng)及時(shí)報(bào)告信息安全人員。業(yè)務(wù)操作員安全責(zé)任：a）嚴(yán)格執(zhí)行系統(tǒng)操作規(guī)程和運(yùn)行安全管理標(biāo)準(zhǔn)；b）不得向他人提供自己的操作密碼；c）及時(shí)向系統(tǒng)管理員報(bào)告系統(tǒng)各種異常事件。各要害崗位人員必須嚴(yán)格遵守保密法規(guī)和有關(guān)信息安全管理規(guī)定。第三方人員管理第三方人員包括軟件開(kāi)發(fā)商，硬件供應(yīng)商，系統(tǒng)集成商，設(shè)備維護(hù)商和服務(wù)提供商，以及實(shí)習(xí)學(xué)生和臨時(shí)工作人員。應(yīng)對(duì)第三方人員的物理訪問(wèn)和邏輯訪問(wèn)實(shí)施訪問(wèn)控制，根據(jù)其在系統(tǒng)中完成工作的時(shí)間、性質(zhì)、范圍、內(nèi)容等方面的需要給予最低授權(quán)。第三方人員的現(xiàn)場(chǎng)工作或遠(yuǎn)程維護(hù)工作內(nèi)容應(yīng)在合同中明確規(guī)定，如工作涉及機(jī)密或秘密信息內(nèi)容，應(yīng)要求其簽署保密協(xié)議。一般情況下第三方人員的現(xiàn)場(chǎng)工作，如數(shù)據(jù)庫(kù)、系統(tǒng)、漏洞掃描、入侵檢測(cè)、白客滲透以及其他軟件的安裝等，不許接入自帶的設(shè)備。第三方人員的現(xiàn)場(chǎng)工作應(yīng)在本單位信息部門(mén)有關(guān)人員的陪同和監(jiān)督下完成。第三方人員自帶設(shè)備接入信息系統(tǒng)應(yīng)得到特別授權(quán)，其操作應(yīng)受到審計(jì)。第三方人員工作結(jié)束后，應(yīng)及時(shí)清除有關(guān)賬戶(hù)、過(guò)程記錄等信息。培訓(xùn)與教育信息中心依據(jù)Q/HD212.07—2007《員工培訓(xùn)管理標(biāo)準(zhǔn)》相關(guān)要求，組織人員培訓(xùn)。信息安全人員應(yīng)定期參加下列信息安全知識(shí)和技能的培訓(xùn)：a）信息安全法律法規(guī)及行業(yè)規(guī)章標(biāo)準(zhǔn)的培訓(xùn)；b）信息安全基本知識(shí)的培訓(xùn)；c）信息安全專(zhuān)門(mén)技能的培訓(xùn)。信息安全人員應(yīng)定期接受政治思想教育、職業(yè)道德教育和安全保密教育。應(yīng)對(duì)所有使用計(jì)算機(jī)的人員定期進(jìn)行基本的信息安全知識(shí)和技能的培訓(xùn)，并應(yīng)注意培養(yǎng)信息安全意識(shí)。信息資產(chǎn)安全管理信息資產(chǎn)的分類(lèi)和標(biāo)識(shí)管理信息資產(chǎn)分類(lèi)的定義公司信息資產(chǎn)分類(lèi)和標(biāo)識(shí)的目的：a）通過(guò)對(duì)公司信息按無(wú)形資產(chǎn)性質(zhì)（非財(cái)務(wù)）進(jìn)行分類(lèi)和標(biāo)識(shí)，促進(jìn)信息的增值利用，提高信息資產(chǎn)的利用率；b）促進(jìn)信息分布的合理化、促進(jìn)非結(jié)構(gòu)化信息向結(jié)構(gòu)化數(shù)字信息的轉(zhuǎn)換，降低信息管理成本；c）掌握公司信息資產(chǎn)狀態(tài)，明確信息資產(chǎn)的使用方法、保存方式、放置位置、安全分類(lèi)和責(zé)任人等，規(guī)范信息資產(chǎn)的管理，為信息系統(tǒng)的日常與應(yīng)急工作提供基本資料；d）根據(jù)各種信息資產(chǎn)的敏感度和重要性的不同，制定對(duì)信息資產(chǎn)各種相應(yīng)的分類(lèi)保護(hù)措施，對(duì)各類(lèi)信息資產(chǎn)實(shí)施適當(dāng)程度的保護(hù)。信息資產(chǎn)指公司在生產(chǎn)、經(jīng)營(yíng)和管理過(guò)程中，所需要的以及所產(chǎn)生的，用以支持（或指導(dǎo)、或影響）公司生產(chǎn)、經(jīng)營(yíng)和管理的一切有用的數(shù)據(jù)和資料等非財(cái)務(wù)的無(wú)形資產(chǎn)，其范圍包括如下現(xiàn)在的和歷史的信息資產(chǎn)：a）公司的域名、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)IP地址及分配規(guī)則、企業(yè)標(biāo)準(zhǔn)編碼；b）公司投資開(kāi)發(fā)的（或具有獨(dú)立知識(shí)產(chǎn)權(quán)的）程序軟件的源代碼、支持程序軟件、外購(gòu)軟件的使用許可證記錄、系統(tǒng)平臺(tái)基礎(chǔ)數(shù)據(jù)等；c）系統(tǒng)配置數(shù)據(jù)、系統(tǒng)授權(quán)信息、口令文件、密鑰及算法文件、系統(tǒng)說(shuō)明文檔、用戶(hù)手冊(cè)等系統(tǒng)基礎(chǔ)數(shù)據(jù)；d）各類(lèi)專(zhuān)業(yè)系統(tǒng)的應(yīng)用數(shù)據(jù)庫(kù)及數(shù)據(jù)文件、業(yè)務(wù)報(bào)表等系統(tǒng)業(yè)務(wù)數(shù)據(jù)；e）各類(lèi)專(zhuān)業(yè)系統(tǒng)的運(yùn)行方案、運(yùn)行記錄、變更記錄等系統(tǒng)運(yùn)行數(shù)據(jù)以及應(yīng)急計(jì)劃；f）各類(lèi)專(zhuān)業(yè)的規(guī)劃、方案與策略、業(yè)務(wù)流程、業(yè)務(wù)規(guī)范、操作規(guī)程等管理數(shù)據(jù)；g）技術(shù)圖紙、技術(shù)文檔、工程資料等項(xiàng)目數(shù)據(jù)；h）其他紙介質(zhì)的重要辦公文件（信件）、圖象、影象、錄音和照片等非結(jié)構(gòu)化辦公資料；i）單個(gè)員工擁有的專(zhuān)家技能和經(jīng)驗(yàn)等隱性數(shù)據(jù)。公司信息資產(chǎn)的安全分類(lèi)：信息資產(chǎn)按信息的敏感度分類(lèi)為機(jī)密信息、秘密信息、對(duì)內(nèi)公開(kāi)信息、對(duì)外公開(kāi)信息。信息資產(chǎn)安全分類(lèi)見(jiàn)下表。信息資產(chǎn)的訪問(wèn)控制權(quán)限如下表所示。信息資產(chǎn)的數(shù)據(jù)保護(hù)要求如下表所示。212.07/JL19漏洞掃描記錄單歸口部門(mén)保存保存年限5年a）對(duì)于對(duì)外公開(kāi)信息，存放地點(diǎn)沒(méi)有要求；b）對(duì)于對(duì)內(nèi)公開(kāi)信息，如果是結(jié)構(gòu)化的電子信息，應(yīng)存放在內(nèi)部服務(wù)網(wǎng)絡(luò)中的文件服務(wù)器等；如果是非結(jié)構(gòu)化的其他信息，應(yīng)存放在室內(nèi)文件柜中，并有明顯的分類(lèi)標(biāo)識(shí)；c）對(duì)于秘密信息，如果是結(jié)構(gòu)化的電子信息，應(yīng)存放在有嚴(yán)格管理標(biāo)準(zhǔn)、具有足夠的安全防護(hù)措施的機(jī)房環(huán)境中的相關(guān)服務(wù)器和存儲(chǔ)設(shè)備上；如果是非結(jié)構(gòu)化的其他信息，應(yīng)存放在室內(nèi)具有較強(qiáng)防盜竊能力的文件柜中，并造冊(cè)登記，分項(xiàng)存放；d）對(duì)于機(jī)密信息，如果是聯(lián)機(jī)存儲(chǔ)的結(jié)構(gòu)化電子信息，應(yīng)存放在有嚴(yán)格管理標(biāo)準(zhǔn)、具有高強(qiáng)度的安全防護(hù)措施的機(jī)房環(huán)境中的相關(guān)服務(wù)器和存儲(chǔ)設(shè)備上；如果是脫機(jī)存儲(chǔ)的結(jié)構(gòu)化電子信息，以及非結(jié)構(gòu)化的其他信息，應(yīng)存放在具有嚴(yán)格保安措施的、專(zhuān)門(mén)的保管環(huán)境中（如機(jī)要室等），并造冊(cè)登記，分項(xiàng)存放。a）對(duì)于對(duì)外公開(kāi)信息，介質(zhì)使用沒(méi)有限制要求，任何人在任何場(chǎng)合均可以使用；b）對(duì)于對(duì)內(nèi)公開(kāi)信息，對(duì)于存儲(chǔ)在電子介質(zhì)上的信息，必須通過(guò)內(nèi)部網(wǎng)絡(luò)，以注冊(cè)的合法身份，登錄訪問(wèn)和下載使用；對(duì)于非結(jié)構(gòu)化的其他信息，經(jīng)介質(zhì)保存部門(mén)同意，可以提取存儲(chǔ)信息的介質(zhì)使用，使用完畢放回原處；c）對(duì)于秘密信息，對(duì)于存儲(chǔ)在電子介質(zhì)上的信息，要求聯(lián)機(jī)使用，信息只能通過(guò)應(yīng)用系統(tǒng)專(zhuān)用界面使用，使用者必須具有足夠的使用權(quán)限；秘密信息的脫機(jī)提取或抄錄，必須有相關(guān)領(lǐng)導(dǎo)的書(shū)面批準(zhǔn)意見(jiàn)，其提取或抄錄的相關(guān)細(xì)節(jié)必須記錄在案，使用者必須對(duì)其提取或抄錄秘密信息的安全保密負(fù)責(zé)；對(duì)于非結(jié)構(gòu)化信息的使用，必須符合秘密級(jí)文件的相關(guān)使用規(guī)定，信息的提取或抄錄必須有相關(guān)領(lǐng)導(dǎo)的書(shū)面批準(zhǔn)意見(jiàn)，其相關(guān)細(xì)節(jié)必須記錄在案，使用者必須對(duì)其提取或抄錄秘密信息的安全保密負(fù)責(zé)；d）對(duì)于機(jī)密信息，對(duì)于存儲(chǔ)在電子介質(zhì)上的信息，必須聯(lián)機(jī)使用，信息只能通過(guò)應(yīng)用系統(tǒng)專(zhuān)用界面使用，使用者必須具有足夠的使用權(quán)限；機(jī)密信息絕對(duì)禁止的脫機(jī)提取，特殊信息的抄錄，必須有相關(guān)領(lǐng)導(dǎo)及保密人員的書(shū)面批準(zhǔn)意見(jiàn)，抄錄的過(guò)程及內(nèi)容必須有保密人員現(xiàn)場(chǎng)監(jiān)督檢查，抄錄的相關(guān)細(xì)節(jié)必須記錄在案，使用者必須對(duì)其抄錄的機(jī)密信息的安全保密負(fù)責(zé)；對(duì)于非結(jié)構(gòu)化信息的使用，必須符合機(jī)密級(jí)文件的相關(guān)使用規(guī)定，特殊信息的抄錄必須有相關(guān)領(lǐng)導(dǎo)及保密人員的書(shū)面批準(zhǔn)意見(jiàn)，其相關(guān)細(xì)節(jié)必須記錄在案，使用者必須對(duì)其提取或抄錄秘密信息的安全保密負(fù)責(zé)。5.3.2信息系統(tǒng)軟硬件設(shè)備管理為規(guī)范信息系統(tǒng)軟硬件設(shè)備管理，規(guī)范設(shè)備購(gòu)置、管理、應(yīng)用、維護(hù)、維修及報(bào)廢等方面的工作，保護(hù)信息系統(tǒng)安全。a）一般硬件設(shè)備：指筆記本電腦、客戶(hù)端微機(jī)主機(jī)、顯示器、打印機(jī)、小型不間斷電源裝置、穩(wěn)壓電源以及各種接口卡、電纜頭、簡(jiǎn)單網(wǎng)絡(luò)設(shè)備等與微機(jī)有關(guān)的設(shè)備；b）關(guān)鍵硬件設(shè)備：指各單位主要業(yè)務(wù)應(yīng)用系統(tǒng)所使用的各種服務(wù)器、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全設(shè)備、大中型不間斷電源裝置及其外圍設(shè)備；c）消耗品：指各計(jì)算機(jī)設(shè)備日常所使用的各種移動(dòng)存儲(chǔ)介質(zhì)、打印耗材等低值易耗品。1-2007《物資采購(gòu)管理標(biāo)準(zhǔn)》的有關(guān)規(guī)定負(fù)責(zé)組織實(shí)施，對(duì)于需要招標(biāo)應(yīng)按Q/HD203.02—2007《招標(biāo)管理標(biāo)準(zhǔn)》有關(guān)規(guī)定進(jìn)行招標(biāo)，未經(jīng)過(guò)批準(zhǔn)，其他部門(mén)不得自行購(gòu)置計(jì)算機(jī)有關(guān)的軟硬件設(shè)備。“誰(shuí)建設(shè)，誰(shuí)維護(hù)”的原則，由各專(zhuān)業(yè)應(yīng)用系統(tǒng)的建設(shè)單位負(fù)責(zé)用戶(hù)的應(yīng)用管理工作。“誰(shuí)建設(shè)，誰(shuí)維護(hù)”的原則，由應(yīng)用軟件的建設(shè)單位負(fù)責(zé)應(yīng)用軟件的專(zhuān)業(yè)性維護(hù)工作，由信息系統(tǒng)運(yùn)行管理部門(mén)負(fù)責(zé)系統(tǒng)軟、硬件設(shè)備的專(zhuān)業(yè)性維護(hù)和日常應(yīng)急維護(hù)工作。硬件設(shè)備的報(bào)廢應(yīng)由使用部門(mén)提出書(shū)面申請(qǐng)，信息系統(tǒng)運(yùn)行管理部門(mén)根據(jù)設(shè)備的使用情況進(jìn)行審核，提出設(shè)備報(bào)廢清單，按固定資產(chǎn)報(bào)廢程序辦理。維護(hù)管理中心安全管理為了保障數(shù)據(jù)中心內(nèi)各種系統(tǒng)設(shè)備的安全、可靠運(yùn)行，合理、高效、安全地利用信息系統(tǒng)資源?！巴鈦?lái)人員進(jìn)入機(jī)房申請(qǐng)單”經(jīng)IDC運(yùn)行管理部門(mén)負(fù)責(zé)人批準(zhǔn)后，佩帶臨時(shí)出入證方可進(jìn)入主機(jī)房；期間，必須由相關(guān)技術(shù)人員全程陪同并及時(shí)做好登記工作。建立設(shè)備專(zhuān)管責(zé)任制，精心維護(hù)、精心操作，確保設(shè)備安全可靠運(yùn)行。系統(tǒng)運(yùn)行值班管理X8小時(shí)值班，特殊值班是指根據(jù)需要，在特殊情況下執(zhí)行7X24小時(shí)值班，值班人員的安排按照值班表進(jìn)行。與信息系統(tǒng)缺陷管理“誰(shuí)主管、誰(shuí)負(fù)責(zé)，誰(shuí)運(yùn)營(yíng)、誰(shuí)負(fù)責(zé)”的原則管理，在質(zhì)保期內(nèi)的缺陷由合同乙方（承建方或供貨方）負(fù)責(zé)處理，質(zhì)保期后的缺陷由主管或運(yùn)營(yíng)單位負(fù)責(zé)組織處理。用戶(hù)辦公電腦的缺陷，由信息技術(shù)人員填寫(xiě)缺陷名稱(chēng)、原因、處理意見(jiàn)和處理結(jié)果并經(jīng)用戶(hù)簽字，記入缺陷登記本中。網(wǎng)絡(luò)和信息系統(tǒng)的缺陷，由信息技術(shù)人員填寫(xiě)缺陷單，經(jīng)信息部門(mén)領(lǐng)導(dǎo)安排處理時(shí)間和處理方案方可處理，凡需要對(duì)系統(tǒng)進(jìn)行停止運(yùn)行的缺陷處理應(yīng)該事先與業(yè)務(wù)部門(mén)協(xié)商，選擇合適的時(shí)間開(kāi)始檢修（緊急缺陷除外），網(wǎng)絡(luò)和信息系統(tǒng)的缺陷處理必須遵守工作票標(biāo)準(zhǔn)。缺陷消除并經(jīng)測(cè)試后系統(tǒng)方可投入運(yùn)行并在缺陷記錄中給予注銷(xiāo)。機(jī)病毒防護(hù)管理為規(guī)范對(duì)計(jì)算機(jī)病毒的預(yù)防和治理，保護(hù)信息系統(tǒng)安全。a）每日查看有關(guān)防病毒信息，掌握最新病毒信息，并及時(shí)更新病毒碼與掃描引擎；b）每日查看或督促有關(guān)人員檢查服務(wù)器防病毒情況，如發(fā)現(xiàn)病毒應(yīng)及時(shí)進(jìn)行殺毒；c）經(jīng)常查看或督促有關(guān)人員檢查客戶(hù)端防毒情況，如發(fā)現(xiàn)病毒應(yīng)及時(shí)進(jìn)行殺毒；d）經(jīng)常及時(shí)查收防病毒通知及補(bǔ)丁程序。a）當(dāng)病毒大規(guī)模發(fā)作時(shí)，應(yīng)立即發(fā)出警報(bào)；如屬于網(wǎng)絡(luò)傳播時(shí)，應(yīng)立即斷開(kāi)網(wǎng)線(xiàn)隔離帶毒機(jī)器，未清除病毒的計(jì)算機(jī)不得入網(wǎng)；b）殺毒過(guò)程中，應(yīng)嚴(yán)格按照查殺計(jì)算機(jī)病毒的操作手冊(cè)進(jìn)行，不得擅自修改操作流程；c）對(duì)于清除不掉的病毒應(yīng)立即向本單位信息管理部門(mén)報(bào)告；d）對(duì)因計(jì)算機(jī)病毒引起的計(jì)算機(jī)信息系統(tǒng)癱瘓，程序和數(shù)據(jù)嚴(yán)重破壞等重大事故應(yīng)立即采取隔離措施，并及時(shí)向公司信息中心報(bào)告。如因病毒引起的數(shù)據(jù)被破壞應(yīng)及時(shí)告知本單位防病毒管理員，由本單位防病毒管理員負(fù)責(zé)或組織進(jìn)行恢復(fù)（操作系統(tǒng)、應(yīng)用系統(tǒng)、各種數(shù)據(jù)）。軟件系統(tǒng)運(yùn)行安全管理保障公司信息系統(tǒng)的操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)的安全、穩(wěn)定運(yùn)行，規(guī)范操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)的安全配置和日常操作管理。a）操作系統(tǒng)管理員、審計(jì)員的任命應(yīng)遵循“任期有限、權(quán)限分散”的原則；b）對(duì)每個(gè)操作系統(tǒng)要分別設(shè)立操作系統(tǒng)管理員、審計(jì)員，并分別由不同的人員擔(dān)任。在多個(gè)應(yīng)用系統(tǒng)的環(huán)境下，操作系統(tǒng)管理員和操作系統(tǒng)審計(jì)員崗位可交叉擔(dān)任；c）操作系統(tǒng)管理員、審計(jì)員的任期可根據(jù)系統(tǒng)的安全性要求而定，最長(zhǎng)為三年，期滿(mǎn)通過(guò)考核后可以續(xù)任；d）操作系統(tǒng)管理員、審計(jì)員必須簽訂保密協(xié)議書(shū)。a）操作系統(tǒng)管理員、審計(jì)員賬戶(hù)的授權(quán)由系統(tǒng)運(yùn)行維護(hù)單位填寫(xiě)“操作系統(tǒng)賬戶(hù)授權(quán)審批表”，經(jīng)信息系統(tǒng)運(yùn)行管理部門(mén)負(fù)責(zé)人批準(zhǔn)后設(shè)置；b）操作系統(tǒng)管理員和操作系統(tǒng)審計(jì)員人員變更后，必須及時(shí)更改賬戶(hù)設(shè)置。a）本單位其他賬戶(hù)的授權(quán)由使用部門(mén)填寫(xiě)“操作系統(tǒng)賬戶(hù)授權(quán)審批表”，經(jīng)信息系統(tǒng)運(yùn)行管理部門(mén)負(fù)責(zé)人批準(zhǔn)后，由操作系統(tǒng)管理員進(jìn)行設(shè)置；b）外單位人員需要使用本單位系統(tǒng)時(shí),須經(jīng)相關(guān)業(yè)務(wù)管理部門(mén)主管同意，填寫(xiě)“外單位人員操作系統(tǒng)賬戶(hù)授權(quán)審批表”，報(bào)信息系統(tǒng)運(yùn)行管理部門(mén)負(fù)責(zé)人批準(zhǔn)后，由操作系統(tǒng)管理員按規(guī)定的權(quán)限、時(shí)限設(shè)置專(zhuān)門(mén)的用戶(hù)帳號(hào)；c）嚴(yán)禁本單位任何人將自己的用戶(hù)帳號(hào)提供給外單位人員使用。a）系統(tǒng)賬戶(hù)的口令長(zhǎng)度設(shè)置至少為8位，口令必須從字符（a-2"-2）、數(shù)字（0-9）、符號(hào)（?!@#$%%*（）_<>）中至少選擇兩種進(jìn)行組合設(shè)置；b）系統(tǒng)賬戶(hù)的口令必須經(jīng)常更改，至少每月更改一次，每次更新的口令不得與舊的口令相同，操作系統(tǒng)應(yīng)設(shè)置相應(yīng)的口令規(guī)則；c）系統(tǒng)用戶(hù)的帳號(hào)、口令、權(quán)限等禁止告知其他人員；d）須根據(jù)系統(tǒng)的安全要求對(duì)操作系統(tǒng)密碼策略進(jìn)行設(shè)置和調(diào)整，以確保口令符合要求。a）應(yīng)設(shè)置“操作系統(tǒng)維護(hù)和應(yīng)急處理記錄”，系統(tǒng)管理員記錄系統(tǒng)的運(yùn)行情況；b）應(yīng)對(duì)系統(tǒng)安裝、設(shè)置更改、帳號(hào)變更、組變更、備份等系統(tǒng)維護(hù)工作進(jìn)行記錄，以備查閱；c）應(yīng)對(duì)系統(tǒng)異常和系統(tǒng)故障的時(shí)間、現(xiàn)象、應(yīng)急處理方法及結(jié)果作詳細(xì)的記錄。a）必須對(duì)操作系統(tǒng)軟件的介質(zhì)、資料和許可證進(jìn)行登記，并設(shè)專(zhuān)人負(fù)責(zé)保管；b）登記的內(nèi)容應(yīng)包括軟件的名稱(chēng)和版本、軟件出版商、許可證類(lèi)型和數(shù)量、介質(zhì)的編號(hào)和數(shù)量、軟件安裝序列號(hào)、手冊(cè)名稱(chēng)和數(shù)量、購(gòu)買(mǎi)日期等；c）應(yīng)有軟件和資料的借用審批和借還登記手續(xù)；d）對(duì)重要的系統(tǒng)軟件介質(zhì)和資料要進(jìn)行復(fù)制，借用時(shí)宜提供復(fù)制品，以保護(hù)好原件及避免丟失。a）操作系統(tǒng)的系統(tǒng)管理員賬戶(hù)名稱(chēng)不得使用系統(tǒng)安裝時(shí)默認(rèn)的系統(tǒng)管理員賬戶(hù)名，應(yīng)按照“操作系統(tǒng)賬戶(hù)授權(quán)審批表”批準(zhǔn)的賬戶(hù)名稱(chēng)、權(quán)限和有效期予以設(shè)置；必須更改系統(tǒng)安裝時(shí)默認(rèn)系統(tǒng)管理員賬戶(hù)和具有特殊權(quán)限的賬戶(hù)的口令，關(guān)閉不必使用的賬號(hào)；b）操作系統(tǒng)管理員賬戶(hù)的口令除了要滿(mǎn)足本規(guī)范第六條中的口令要求外，還必須每?jī)芍芨囊淮?，發(fā)現(xiàn)有異常情況時(shí)應(yīng)立即更改，每次更新的口令不得與舊的口令相同；c）嚴(yán)禁把操作系統(tǒng)管理員的賬戶(hù)名稱(chēng)和口令告知其他人員。操作系統(tǒng)管理員應(yīng)對(duì)操作系統(tǒng)的配置參數(shù)及相關(guān)文件進(jìn)行備份，當(dāng)配置發(fā)生變更時(shí)必須重新備份，以便系統(tǒng)發(fā)生故障時(shí)能盡快恢復(fù)系統(tǒng)配置。a）操作系統(tǒng)管理員應(yīng)經(jīng)常檢查操作系統(tǒng)的安全配置，并確保符合安全配置要求；b）操作系統(tǒng)管理員和操作系統(tǒng)審計(jì)員應(yīng)定期查看操作系統(tǒng)的運(yùn)行日志和審計(jì)日志，以及時(shí)發(fā)現(xiàn)出現(xiàn)的安全問(wèn)題；c）操作系統(tǒng)管理員應(yīng)定期使用最新的安全檢查或安全分析工具對(duì)系統(tǒng)進(jìn)行檢查，并及時(shí)消除存在的漏洞。特別是在新軟件安裝或軟件更新之后。a）數(shù)據(jù)庫(kù)管理員（DBA）的任命應(yīng)遵循“任期有限、權(quán)限分散”的原則；b）對(duì)每個(gè)數(shù)據(jù)庫(kù)系統(tǒng)要分別設(shè)立數(shù)據(jù)庫(kù)管理員和數(shù)據(jù)庫(kù)審計(jì)員，并分別由不同的人員擔(dān)任。在多套系統(tǒng)的環(huán)境下，數(shù)據(jù)庫(kù)管理員和數(shù)據(jù)庫(kù)審計(jì)員崗位應(yīng)交叉擔(dān)任；c）數(shù)據(jù)庫(kù)管理員、審計(jì)員的任期可根據(jù)系統(tǒng)的安全性要求而定，最長(zhǎng)為三年，期滿(mǎn)通過(guò)考核后可以續(xù)任；d）數(shù)據(jù)庫(kù)管理員、審計(jì)員必須簽訂保密協(xié)議書(shū)。e）數(shù)據(jù)庫(kù)管理員、審計(jì)員賬戶(hù)的授權(quán)，審批f）數(shù)據(jù)庫(kù)管理員、審計(jì)員賬戶(hù)的授權(quán)由系統(tǒng)運(yùn)行維護(hù)單位填寫(xiě)“數(shù)據(jù)庫(kù)系統(tǒng)賬戶(hù)授權(quán)審批表”，經(jīng)信息系統(tǒng)運(yùn)行管理部門(mén)負(fù)責(zé)人批準(zhǔn)后設(shè)置；g）數(shù)據(jù)庫(kù)管理員、審計(jì)員人員變更后，必須及時(shí)更改賬戶(hù)設(shè)置。a）本單位其他數(shù)據(jù)庫(kù)賬戶(hù)的授權(quán)由使用部門(mén)填寫(xiě)“數(shù)據(jù)庫(kù)系統(tǒng)賬戶(hù)授權(quán)審批表”，經(jīng)信息系統(tǒng)運(yùn)行管理部門(mén)負(fù)責(zé)人批準(zhǔn)后，由數(shù)據(jù)庫(kù)管理員進(jìn)行設(shè)置；b）外單位人員需要使用本單位數(shù)據(jù)庫(kù)系統(tǒng)時(shí)，須經(jīng)相關(guān)業(yè)務(wù)管理部門(mén)主管同意，填寫(xiě)“外單位人員數(shù)據(jù)庫(kù)系統(tǒng)賬戶(hù)授權(quán)審批表”，報(bào)信息系統(tǒng)運(yùn)行管理部門(mén)負(fù)責(zé)人批準(zhǔn)后，由數(shù)據(jù)庫(kù)管理員按規(guī)定的權(quán)限、時(shí)限設(shè)置專(zhuān)門(mén)的用戶(hù)帳號(hào)；c）“外單位人員數(shù)據(jù)庫(kù)系統(tǒng)賬戶(hù)授權(quán)審批表”應(yīng)包括使用者姓名、身份證號(hào)、工作單位、接待部門(mén)、數(shù)據(jù)庫(kù)系統(tǒng)名稱(chēng)和版本、主機(jī)型號(hào)、主機(jī)號(hào)、賬戶(hù)名稱(chēng)、賬戶(hù)類(lèi)別、授予權(quán)限、賬號(hào)和權(quán)限授予期限等；d）嚴(yán)禁本單位任何人將自己的用戶(hù)帳號(hào)提供給外單位人員使用。a）數(shù)據(jù)庫(kù)賬戶(hù)的口令長(zhǎng)度設(shè)置至少為6位，口令必須從字符、數(shù)字、符號(hào)中至少選擇兩種進(jìn)行組合設(shè)置；不宜使用與賬戶(hù)名稱(chēng)中相同的字符或使用姓名、生日和電話(huà)號(hào)碼等其他容易猜測(cè)的字符組合；b）數(shù)據(jù)庫(kù)賬戶(hù)的口令必須經(jīng)常更改，至少每季度更改一次，每次更新的口令不得與舊的口令相同，應(yīng)設(shè)置相應(yīng)的口令規(guī)則；c）數(shù)據(jù)庫(kù)用戶(hù)的帳號(hào)、口令、權(quán)限等禁止告知其他人員；d）必須根據(jù)安全要求對(duì)數(shù)據(jù)庫(kù)管理系統(tǒng)的密碼策略進(jìn)行設(shè)置和調(diào)整，以確?？诹罘弦?。a）應(yīng)設(shè)置“數(shù)據(jù)庫(kù)系統(tǒng)維護(hù)和應(yīng)急處理記錄”，系統(tǒng)管理員記錄系統(tǒng)的運(yùn)行情況；b）應(yīng)對(duì)系統(tǒng)安裝、設(shè)置更改、帳號(hào)變更、表空間變更、數(shù)據(jù)對(duì)象變更、數(shù)據(jù)庫(kù)備份等系統(tǒng)維護(hù)工作進(jìn)行記錄，以備查閱；c）應(yīng)對(duì)系統(tǒng)異常和系統(tǒng)故障的時(shí)間、現(xiàn)象、應(yīng)急處理方法及結(jié)果作詳細(xì)的記錄。a）必須對(duì)數(shù)據(jù)系統(tǒng)軟件的介質(zhì)、資料和許可證進(jìn)行登記，并設(shè)專(zhuān)人負(fù)責(zé)保管；b）登記的內(nèi)容應(yīng)包括軟件的名稱(chēng)和版本、軟件出版商、許可證類(lèi)型和數(shù)量、介質(zhì)的編號(hào)和數(shù)量、軟件安裝序列號(hào)、資料名稱(chēng)和數(shù)量、購(gòu)買(mǎi)日期等；c）應(yīng)有軟件和資料的借用審批和借還登記手續(xù)；d）對(duì)數(shù)據(jù)庫(kù)系統(tǒng)軟件介質(zhì)和資料要進(jìn)行復(fù)制，借用時(shí)宜提供復(fù)制品，以保護(hù)原件及避免丟失。a）數(shù)據(jù)庫(kù)管理員賬戶(hù)名稱(chēng)不宜使用系統(tǒng)安裝時(shí)默認(rèn)的管理員賬戶(hù)名，應(yīng)按照“數(shù)據(jù)庫(kù)系統(tǒng)賬戶(hù)授權(quán)審批表”批準(zhǔn)的賬戶(hù)名稱(chēng)、權(quán)限和有效期予以設(shè)置。必須更改系統(tǒng)安裝時(shí)默認(rèn)的管理員賬戶(hù)和具有特殊權(quán)限的賬戶(hù)的口令，關(guān)閉不必使用的賬號(hào)；b）數(shù)據(jù)庫(kù)管理員的口令長(zhǎng)度必須設(shè)置至少為8位，滿(mǎn)足口令的復(fù)雜性要求，還必須每?jī)芍芨囊淮?，發(fā)現(xiàn)有異常情況時(shí)應(yīng)立即更改，每次更新的口令不得與舊的口令相同；c）嚴(yán)禁把數(shù)據(jù)庫(kù)管理員的賬戶(hù)名稱(chēng)和口令告知其他人員。數(shù)據(jù)庫(kù)系統(tǒng)管理員應(yīng)對(duì)數(shù)據(jù)庫(kù)系統(tǒng)的配置參數(shù)及相關(guān)文件進(jìn)行備份，當(dāng)配置發(fā)生變更時(shí)必須重新備份，以便系統(tǒng)故障時(shí)能盡快恢復(fù)系統(tǒng)配置。a）應(yīng)制定數(shù)據(jù)庫(kù)系統(tǒng)的備份策略，定期對(duì)數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)行備份；b）數(shù)據(jù)庫(kù)備份策略的制定要以盡可能高效地進(jìn)行備份與恢復(fù)為目標(biāo)，并且與操作系統(tǒng)的備份最好地結(jié)合，宜采用物理備份與邏輯備份相結(jié)合；c）必須對(duì)備份權(quán)限的設(shè)置加以嚴(yán)格控制；d）必須妥善存放和保管備份介質(zhì)（包括磁帶、從數(shù)據(jù)庫(kù)導(dǎo)出的文件等），防止非法訪問(wèn)。對(duì)備份的介質(zhì)應(yīng)做好標(biāo)識(shí)，存放環(huán)境符合要求。a）數(shù)據(jù)庫(kù)管理員應(yīng)經(jīng)常檢查數(shù)據(jù)庫(kù)系統(tǒng)的安全配置，并確保符合安全配置要求；b）數(shù)據(jù)庫(kù)管理員、審計(jì)員應(yīng)定期查看數(shù)據(jù)庫(kù)系統(tǒng)的運(yùn)行日志和審計(jì)日志，以及時(shí)發(fā)現(xiàn)出現(xiàn)的安全問(wèn)題；c）數(shù)據(jù)庫(kù)管理員應(yīng)定期使用最新的安全檢查或安全分析工具對(duì)系統(tǒng)進(jìn)行檢查，并及時(shí)消除存在的漏洞；特別是在新軟件安裝或軟件更新之后。系統(tǒng)運(yùn)行安全管理保障公司信息系統(tǒng)的應(yīng)用系統(tǒng)的安全、穩(wěn)定運(yùn)行，規(guī)范應(yīng)用的安全配置和日常維護(hù)管理。a）應(yīng)用系統(tǒng)管理員、審計(jì)員的任命應(yīng)遵循“任期有限、權(quán)限分散”的原則；對(duì)重要應(yīng)用系統(tǒng)管理人員應(yīng)不定期地循環(huán)任職，并對(duì)人員進(jìn)行輪流培訓(xùn)；b）對(duì)每個(gè)重要的應(yīng)用系統(tǒng)要分別設(shè)立應(yīng)用系統(tǒng)管理員、審計(jì)員，并分別由不同的人員擔(dān)任。在多個(gè)應(yīng)用系統(tǒng)的環(huán)境下，系統(tǒng)管理員和系統(tǒng)審計(jì)員崗位可交叉擔(dān)任；c）應(yīng)用系統(tǒng)管理員、審計(jì)員的任期可根據(jù)系統(tǒng)的安全性要求而定，最長(zhǎng)為三年，期滿(mǎn)通過(guò)考核后可以續(xù)任；d）應(yīng)用系統(tǒng)管理員、審計(jì)員必須簽訂保密協(xié)議書(shū)。a）恪守職業(yè)道德，嚴(yán)守企業(yè)秘密；熟悉國(guó)家安全生產(chǎn)法以及有關(guān)信息安全管理的相關(guān)規(guī)程，熟悉應(yīng)用系統(tǒng)涉及的業(yè)務(wù)流程；b）負(fù)責(zé)應(yīng)用系統(tǒng)的安裝、維護(hù)和系統(tǒng)及數(shù)據(jù)備份；c）根據(jù)應(yīng)用系統(tǒng)的安全策略，負(fù)責(zé)應(yīng)用系統(tǒng)的用戶(hù)權(quán)限設(shè)置以及系統(tǒng)安全配置；d）密切注意應(yīng)用系統(tǒng)運(yùn)行中發(fā)生的系統(tǒng)故障、安全事件，關(guān)注應(yīng)用系統(tǒng)存在的隱患，收集業(yè)務(wù)用戶(hù)的問(wèn)題反映，及時(shí)報(bào)告信息管理部門(mén)和業(yè)務(wù)主管部門(mén)；e）根據(jù)應(yīng)用系統(tǒng)運(yùn)行的實(shí)際情況，制定應(yīng)急處理預(yù)案，提交信息管理部門(mén)審定；f）遵守應(yīng)用系統(tǒng)的有關(guān)管理規(guī)范。a）恪守職業(yè)道德，嚴(yán)守企業(yè)秘密；熟悉國(guó)家安全生產(chǎn)法以及有關(guān)通信管理的相關(guān)規(guī)程，熟悉應(yīng)用系統(tǒng)涉及的業(yè)務(wù)流程；b）負(fù)責(zé)對(duì)應(yīng)用系統(tǒng)的安裝、維護(hù)和系統(tǒng)及數(shù)據(jù)備份的監(jiān)督檢查和登記工作；c）定期檢查應(yīng)用系統(tǒng)的用戶(hù)權(quán)限設(shè)置以及系統(tǒng)安全配置，與應(yīng)用系統(tǒng)安全策略的符合性；d）定期審查應(yīng)用系統(tǒng)的審計(jì)記錄，發(fā)現(xiàn)安全問(wèn)題及時(shí)報(bào)告信息管理部門(mén)和業(yè)務(wù)主管部門(mén)。a）應(yīng)用系統(tǒng)管理員、審計(jì)員賬戶(hù)的授權(quán)由系統(tǒng)運(yùn)行維護(hù)單位填寫(xiě)“應(yīng)用系統(tǒng)賬戶(hù)授權(quán)審批表”，經(jīng)信息系統(tǒng)運(yùn)行管理部門(mén)負(fù)責(zé)人批準(zhǔn)后設(shè)置；b）應(yīng)用系統(tǒng)管理員、審計(jì)員人員變更后，必須及時(shí)更改賬戶(hù)設(shè)置。a）用于業(yè)務(wù)應(yīng)用的賬戶(hù)的授權(quán)由使用單位填寫(xiě)“應(yīng)用系統(tǒng)賬戶(hù)授權(quán)審批表”，經(jīng)業(yè)務(wù)管理部門(mén)及信息系統(tǒng)運(yùn)行管理部門(mén)負(fù)責(zé)人批準(zhǔn)后，由應(yīng)用系統(tǒng)管理員進(jìn)行設(shè)置；b）外單位人員需要使用本單位系統(tǒng)時(shí)，須經(jīng)相關(guān)業(yè)務(wù)管理部門(mén)主管同意，填寫(xiě)“外單位人員應(yīng)用系統(tǒng)賬戶(hù)授權(quán)審批表”，報(bào)信息系統(tǒng)運(yùn)行管理部門(mén)負(fù)責(zé)人批準(zhǔn)后，由應(yīng)用系統(tǒng)管理員按規(guī)定的權(quán)限、時(shí)限設(shè)置專(zhuān)門(mén)的用戶(hù)帳號(hào)；c）嚴(yán)禁本單位任何人將自己的用戶(hù)帳號(hào)提供給外單位人員使用。a）應(yīng)用系統(tǒng)管理員賬戶(hù)的口令長(zhǎng)度設(shè)置至少為8位，口令必須從字符（a-z,人-2）、數(shù)字（0-9）、符號(hào)（?!@#$%-*（）_<>）中至少選擇兩種進(jìn)行組合設(shè)置；b）應(yīng)用系統(tǒng)管理員賬戶(hù)的口令必須經(jīng)常更改，至少每半年更改一次，每次更新的口令不得與舊的口令相同，操作系統(tǒng)應(yīng)設(shè)置相應(yīng)的口令規(guī)則；c）應(yīng)用系統(tǒng)管理員用戶(hù)的帳號(hào)、口令、權(quán)限等禁止告知其他人員；d）用于業(yè)務(wù)應(yīng)用的賬戶(hù)的口令長(zhǎng)度設(shè)置至少為6位，其他要求參照應(yīng)用系統(tǒng)管理員賬戶(hù)的口令要求執(zhí)行。a）設(shè)置”應(yīng)用系統(tǒng)維護(hù)和應(yīng)急處理記錄"系統(tǒng)管理員記錄系統(tǒng)的運(yùn)行情況;b）對(duì)系統(tǒng)異常、系統(tǒng)故障的日期、現(xiàn)象、處理方法及結(jié)果等應(yīng)急處理進(jìn)行記錄；c）對(duì)應(yīng)用系統(tǒng)的安裝、設(shè)置更改、帳號(hào)變更、組變更、備份等系統(tǒng)維護(hù)工作進(jìn)行記錄，以備查閱；d）對(duì)應(yīng)用系統(tǒng)異常和系統(tǒng)故障的時(shí)間、現(xiàn)象、應(yīng)急處理方法及結(jié)果作詳細(xì)的記錄。a）必須對(duì)應(yīng)用系統(tǒng)軟件的介質(zhì)、資料和許可證進(jìn)行登記，并設(shè)專(zhuān)人負(fù)責(zé)保管；b）登記的內(nèi)容應(yīng)包括軟件的名稱(chēng)和版本、軟件出版商、許可證類(lèi)型和數(shù)量、介質(zhì)的編號(hào)和數(shù)量、軟件安裝序列號(hào)、手冊(cè)名稱(chēng)和數(shù)量、購(gòu)買(mǎi)日期等；c）應(yīng)用系統(tǒng)軟件和資料的借用，需要審批和借還登記手續(xù)；d）對(duì)重要應(yīng)用系統(tǒng)軟件介質(zhì)和資料要進(jìn)行復(fù)制，借用時(shí)應(yīng)提供復(fù)制品，以保護(hù)好原件及避免丟失。a）系統(tǒng)管理員應(yīng)對(duì)系統(tǒng)的配置參數(shù)及相關(guān)文件進(jìn)行備份；b）當(dāng)配置發(fā)生變更時(shí)必須重新備份，以便系統(tǒng)故障時(shí)能盡快恢復(fù)系統(tǒng)配置。c）備份權(quán)限，備份介質(zhì)都必須加以妥善保管，防止非法訪問(wèn)；d）如果開(kāi)發(fā)數(shù)據(jù)庫(kù)中導(dǎo)入了數(shù)據(jù)庫(kù)的數(shù)據(jù)，要確保為生產(chǎn)數(shù)據(jù)庫(kù)所指定的安全規(guī)則也用于開(kāi)發(fā)數(shù)據(jù)庫(kù)中；e）制定備份策略，以高效備份與恢復(fù)為目標(biāo)，與操作系統(tǒng)備份結(jié)合，物理備份與導(dǎo)出相結(jié)合。系統(tǒng)賬號(hào)口令管理保障公司網(wǎng)絡(luò)與信息系統(tǒng)安全。網(wǎng)絡(luò)運(yùn)行安全管理規(guī)范公司信息網(wǎng)絡(luò)運(yùn)行以及所有路由器、交換機(jī)設(shè)備的運(yùn)行和管理，保障信息系統(tǒng)安全、穩(wěn)定運(yùn)行。a）網(wǎng)絡(luò)管理員、安全審計(jì)員的任命應(yīng)遵循“任期有限、權(quán)限分散”的原則；b）網(wǎng)絡(luò)管理系統(tǒng)要分別設(shè)立網(wǎng)絡(luò)管理員、安全審計(jì)員，并分別由不同的人員擔(dān)任；信息安全管理人員可以兼任網(wǎng)絡(luò)安全審計(jì)員；c）網(wǎng)絡(luò)管理員、安全審計(jì)員的任期可根據(jù)系統(tǒng)的安全性要求而定，最長(zhǎng)為三年，期滿(mǎn)通過(guò)考核后可以續(xù)任；d）網(wǎng)絡(luò)管理員、安全審計(jì)員必須簽訂保密協(xié)議書(shū)。a）恪守職業(yè)道德，嚴(yán)守企業(yè)秘密；熟悉有關(guān)通信管理、信息安全管理的相關(guān)規(guī)程；b）根據(jù)網(wǎng)絡(luò)訪問(wèn)控制策略要求，進(jìn)行網(wǎng)絡(luò)設(shè)備參數(shù)設(shè)置，更新和維護(hù)等工作;c）對(duì)網(wǎng)絡(luò)設(shè)備實(shí)行分級(jí)授權(quán)管理，按照崗位職責(zé)授予不同的管理級(jí)別和權(quán)限；d）遵守網(wǎng)絡(luò)運(yùn)行和網(wǎng)絡(luò)設(shè)備各項(xiàng)管理規(guī)范。a）恪守職業(yè)道德，嚴(yán)守企業(yè)秘密，熟悉有關(guān)通信管理的相關(guān)規(guī)程，了解網(wǎng)絡(luò)訪問(wèn)控制策略要求；b）對(duì)網(wǎng)絡(luò)管理員的每次登錄和操作內(nèi)容進(jìn)行登記，一周內(nèi)至少審計(jì)一次日志報(bào)表；c）對(duì)網(wǎng)絡(luò)設(shè)備（包括交換機(jī)、路由器、防火墻、入侵檢測(cè)、漏洞掃描等）配置、網(wǎng)絡(luò)訪問(wèn)控制策略、日志報(bào)表進(jìn)行符合性檢查與審計(jì)；d）及時(shí)掌握網(wǎng)絡(luò)安全最新知識(shí)，為網(wǎng)絡(luò)設(shè)備安全運(yùn)行提供預(yù)警信息；e）遵守網(wǎng)絡(luò)設(shè)備運(yùn)行各項(xiàng)管理規(guī)定。a）網(wǎng)絡(luò)管理員應(yīng)依據(jù)經(jīng)過(guò)批準(zhǔn)的訪問(wèn)控制策略進(jìn)行網(wǎng)絡(luò)訪問(wèn)控制的設(shè)置和修改，如需要增加設(shè)置或修改必須經(jīng)過(guò)授權(quán)，由需求單位填寫(xiě)“網(wǎng)絡(luò)訪問(wèn)控制策略變更審批表”，經(jīng)信息管理部門(mén)負(fù)責(zé)人批準(zhǔn)后實(shí)施；b）只有網(wǎng)絡(luò)管理員和網(wǎng)絡(luò)安全審計(jì)員才有權(quán)登錄網(wǎng)絡(luò)設(shè)備，發(fā)生人員變更后，應(yīng)及時(shí)更改網(wǎng)絡(luò)設(shè)備賬戶(hù)和口令設(shè)置。a）只有網(wǎng)絡(luò)管理員才具有修改網(wǎng)絡(luò)設(shè)備系統(tǒng)配置參數(shù)的權(quán)限；b）為用戶(hù)級(jí)和特權(quán)級(jí)模式設(shè)置口令，不要使用缺省口令，確保用戶(hù)級(jí)和特權(quán)級(jí)模式口令不同；c）用戶(hù)口令長(zhǎng)度應(yīng)采用8位以上，由非純數(shù)字或字母組成，并定期更換，不要使用容易猜解的口令。a）每月定期下載或記錄網(wǎng)絡(luò)設(shè)備CPU、內(nèi)存利用率，以及主要端口流量等；b）每周統(tǒng)計(jì)一次各端口帶寬利用率，和每個(gè)業(yè)務(wù)流量統(tǒng)計(jì)，并做分析；c）一周內(nèi)至少審計(jì)一次日志報(bào)表；d）每季度對(duì)各網(wǎng)絡(luò)機(jī)房巡視，并做巡站記錄；e）對(duì)網(wǎng)絡(luò)安全事故要及時(shí)處理，保證信息網(wǎng)絡(luò)的安全運(yùn)行。a）做好系統(tǒng)環(huán)境變量設(shè)置；b）配置端口、IP地址、VLAN等參數(shù)；c）靜態(tài)路由或動(dòng)態(tài)路由；d）定義訪問(wèn)控制列表；e）配置冗余的網(wǎng)絡(luò)設(shè)備，并安裝到網(wǎng)絡(luò)當(dāng)中；f）定義管理員清單和管理權(quán)限；g）測(cè)試設(shè)備性能和保管好網(wǎng)管資料。a）系統(tǒng)管理員應(yīng)定期和不定期地檢查網(wǎng)絡(luò)設(shè)備的運(yùn)行狀況，及時(shí)查看設(shè)備日志，對(duì)異常情況的發(fā)生，及時(shí)上報(bào)，并做好記錄；b）對(duì)網(wǎng)絡(luò)設(shè)備的CPU和內(nèi)存利用率、數(shù)據(jù)流量、地址翻譯數(shù)量等，進(jìn)行均時(shí)監(jiān)測(cè)、跟蹤工作，每周形成報(bào)表。a）應(yīng)設(shè)置“網(wǎng)絡(luò)運(yùn)行維護(hù)和應(yīng)急處理記錄”，網(wǎng)絡(luò)管理員記錄系統(tǒng)的運(yùn)行情況；b）應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備安裝、設(shè)置變更、配置備份等網(wǎng)絡(luò)系統(tǒng)維護(hù)工作進(jìn)行記錄，以備查閱；c）應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)異常和網(wǎng)絡(luò)系統(tǒng)故障的時(shí)間、現(xiàn)象、應(yīng)急處理方法及結(jié)果作詳細(xì)的記錄。墻運(yùn)行安全管理規(guī)范公司信息網(wǎng)絡(luò)的所有防火墻及相關(guān)設(shè)備的管理，保障信息網(wǎng)絡(luò)的安全、穩(wěn)定運(yùn)行。a）防火墻系統(tǒng)管理員的任命應(yīng)遵循“任期有限、權(quán)限分散”的原則；b）系統(tǒng)管理員的任期可根據(jù)系統(tǒng)的安全性要求而定，最長(zhǎng)為三年，期滿(mǎn)通過(guò)考核后可以續(xù)任；c）必須簽訂保密協(xié)議書(shū)。a）恪守職業(yè)道德，嚴(yán)守企業(yè)秘密；熟悉國(guó)家安全生產(chǎn)法以及有關(guān)信息安全管理的相關(guān)規(guī)程；b）負(fù)責(zé)網(wǎng)絡(luò)安全策略的編制，更新和維護(hù)等工作；c）對(duì)信息網(wǎng)絡(luò)實(shí)行分級(jí)授權(quán)管理，按照崗位職責(zé)授予不同的管理級(jí)別和權(quán)限；d）不斷的學(xué)習(xí)和掌握最新的網(wǎng)絡(luò)安全知識(shí)，防病毒知識(shí)和專(zhuān)業(yè)技能；e）遵守防火墻設(shè)備各項(xiàng)管理規(guī)范。a）每月定期安裝、更新廠家發(fā)布的防火墻補(bǔ)丁程序，及時(shí)修補(bǔ)防火墻操作系統(tǒng)的漏洞，并做好升級(jí)記錄；一周內(nèi)至少審計(jì)一次日志報(bào)表；一個(gè)月內(nèi)至少重新啟動(dòng)一次防火墻；d）根據(jù)入侵檢測(cè)系統(tǒng)、安全漏洞掃描系統(tǒng)的提示，適時(shí)調(diào)整防火墻安全規(guī)則；e）及時(shí)修補(bǔ)防火墻宿主機(jī)操作系統(tǒng)的漏洞；f）對(duì)網(wǎng)絡(luò)安全事故要及時(shí)處理，保證信息網(wǎng)絡(luò)的安全運(yùn)行。“防火墻配置變更審批表”進(jìn)行。防火墻設(shè)備安全規(guī)則的設(shè)置、更改，應(yīng)該得到信息系統(tǒng)運(yùn)行管理部門(mén)負(fù)責(zé)人的批準(zhǔn)，由系統(tǒng)管理員具體負(fù)責(zé)實(shí)施。a）記錄網(wǎng)絡(luò)環(huán)境，定義防火墻網(wǎng)絡(luò)接口；b）配置靜態(tài)路由或代理路由；c）定義防火墻的網(wǎng)絡(luò)對(duì)象和應(yīng)用端口；d）定義安全策略；e）配置冗余的防火墻設(shè)備，并安裝到網(wǎng)絡(luò)當(dāng)中；f）定義管理員清單和管理權(quán)限；g）測(cè)試防火墻性能和做好網(wǎng)管資料。a）系統(tǒng)管理員應(yīng)定期和不定期地檢查防火墻設(shè)備的運(yùn)行狀況，及時(shí)查看防火墻日志，對(duì)異常情況的發(fā)生，及時(shí)上報(bào)，并做好記錄；b）對(duì)防火墻設(shè)備的CPU和內(nèi)存利用率、數(shù)據(jù)流量、地址翻譯數(shù)量等進(jìn)行均時(shí)監(jiān)測(cè)、跟蹤工作，每周形成報(bào)表?！胺阑饓S護(hù)和應(yīng)急處理記錄”。當(dāng)防火墻設(shè)備發(fā)生宕機(jī)引起網(wǎng)絡(luò)擁塞或網(wǎng)絡(luò)癱瘓等重大安全事件時(shí)，應(yīng)立即啟動(dòng)緊急響應(yīng)程序，對(duì)網(wǎng)絡(luò)進(jìn)行緊急處理，堵塞攻擊入口，恢復(fù)網(wǎng)絡(luò)的正常運(yùn)行，并追查攻擊來(lái)源，及時(shí)上報(bào)。規(guī)范公司信息網(wǎng)絡(luò)的所有入侵檢測(cè)及相關(guān)設(shè)備管理，保障信息網(wǎng)絡(luò)的安全、穩(wěn)定運(yùn)行。a）入侵檢測(cè)系統(tǒng)管理員的任命應(yīng)遵循“任期有限、權(quán)限分散”的原則；b）系統(tǒng)管理員的任期可根據(jù)系統(tǒng)的安全性要求而定，最長(zhǎng)為三年，期滿(mǎn)通過(guò)考核后可以續(xù)任；c）必須簽訂保密協(xié)議書(shū)。a）恪守職業(yè)道德，嚴(yán)守企業(yè)秘密；熟悉國(guó)家安全生產(chǎn)法以及有關(guān)信息安全管理的相關(guān)規(guī)程；b）負(fù)責(zé)入侵檢測(cè)系統(tǒng)的管理、更新和事件庫(kù)備份、升級(jí)；c）負(fù)責(zé)對(duì)入侵檢測(cè)系統(tǒng)發(fā)現(xiàn)的惡意攻擊行為進(jìn)行跟蹤處理；d）根據(jù)網(wǎng)絡(luò)實(shí)際情況正確配置入侵檢測(cè)策略，充分利用入侵檢測(cè)系統(tǒng)的處理能力；e）密切注意最新網(wǎng)絡(luò)攻擊行為的發(fā)生、發(fā)展情況，關(guān)注和追蹤業(yè)界公布的攻擊事件；f）遵守入侵檢測(cè)設(shè)備各項(xiàng)管理規(guī)范。a）入侵檢測(cè)系統(tǒng)的部署位置應(yīng)能正確檢測(cè)到被保護(hù)網(wǎng)絡(luò)的數(shù)據(jù)流量，并能抓取含有足夠信息的IP包，如：MAC地址、IP地址等；b）系統(tǒng)管理員應(yīng)根據(jù)具體的網(wǎng)絡(luò)情況為入侵檢測(cè)系統(tǒng)選擇、配置適當(dāng)?shù)臋z測(cè)策略，充分利用系統(tǒng)的能力；。）入侵檢測(cè)系統(tǒng)應(yīng)盡量與防火墻聯(lián)動(dòng)，充分發(fā)揮系統(tǒng)的潛力。a）每月定期安裝、更新廠家發(fā)布的入侵檢測(cè)設(shè)備補(bǔ)丁程序（包括事件庫(kù)），及時(shí)修補(bǔ)入侵檢測(cè)操作系統(tǒng)的漏洞；一周內(nèi)至少審計(jì)一次日志報(bào)表；一個(gè)月內(nèi)至少重新啟動(dòng)一次入侵檢測(cè)設(shè)備?！叭肭謾z測(cè)設(shè)備配置變更審批表”進(jìn)行。入侵檢測(cè)設(shè)備安全規(guī)則的設(shè)置、更改，應(yīng)該得到信息系統(tǒng)運(yùn)行管理部門(mén)負(fù)責(zé)人的批準(zhǔn)，由系統(tǒng)管理員具體負(fù)責(zé)實(shí)施。a）根據(jù)需要記錄當(dāng)前網(wǎng)絡(luò)環(huán)境，定義入侵檢測(cè)接口；b）安裝引擎（包括事件庫(kù)）和終端網(wǎng)管軟件；c）定義入侵檢測(cè)系統(tǒng)要保護(hù)的網(wǎng)絡(luò)對(duì)象（網(wǎng)絡(luò)或主機(jī)）；d）定義檢測(cè)策略，阻斷級(jí)別和事件報(bào)警；e）備份配置，安裝到網(wǎng)絡(luò)當(dāng)中；f）定義管理員清單和管理權(quán)限；g）模擬攻擊，測(cè)試入侵檢測(cè)系統(tǒng)性能，做好網(wǎng)管資料。a）系統(tǒng)管理員應(yīng)定期和不定期地檢查入侵檢測(cè)設(shè)備的運(yùn)行狀況，及時(shí)查看系統(tǒng)日志，對(duì)異常情況的發(fā)生，及時(shí)上報(bào)，并做好記錄，填寫(xiě)“入侵檢測(cè)記錄單”；9對(duì)入侵檢測(cè)設(shè)備的CPU和內(nèi)存利用率、報(bào)警次數(shù)等進(jìn)行均時(shí)監(jiān)測(cè)、跟蹤工作，每周形成報(bào)表。規(guī)范公司網(wǎng)絡(luò)信息系統(tǒng)的所有漏洞掃描及相關(guān)設(shè)備進(jìn)行管理，保障信息網(wǎng)絡(luò)的安全、穩(wěn)定運(yùn)行。a）漏洞掃描系統(tǒng)管理員的任命應(yīng)遵循“任期有限、權(quán)限分散”的原則；b）系統(tǒng)管理員的任期可根據(jù)系統(tǒng)的安全性要求而定，最長(zhǎng)為三年，期滿(mǎn)通過(guò)考核后可以續(xù)任；c）必須簽訂保密協(xié)議書(shū)。a）恪守職業(yè)道德，嚴(yán)守企業(yè)秘密；b）熟悉國(guó)家安全生產(chǎn)法以及有關(guān)通信管理的相關(guān)規(guī)程；c）負(fù)責(zé)漏洞掃描軟件（包括漏洞庫(kù)）的管理、更新和公布；d）負(fù)責(zé)對(duì)網(wǎng)絡(luò)系統(tǒng)所有服務(wù)器和專(zhuān)用網(wǎng)絡(luò)設(shè)備的首次、周期性和緊急的漏洞掃描；e）負(fù)責(zé)查找修補(bǔ)漏洞的補(bǔ)丁程序，及時(shí)打補(bǔ)丁堵塞漏洞；f）密切注意最新漏洞的發(fā)生、發(fā)展情況，關(guān)注和追蹤業(yè)界公布的漏洞疫情；g）遵守漏洞掃描設(shè)備各項(xiàng)管理規(guī)范。“漏洞掃描設(shè)備配置變更審批表”進(jìn)行。漏洞掃描設(shè)備的規(guī)則設(shè)置、更改，應(yīng)該得到信息系統(tǒng)運(yùn)行管理部門(mén)負(fù)責(zé)人的批準(zhǔn)，由系統(tǒng)管理員具體負(fù)責(zé)實(shí)施?！奥┒磼呙柩a(bǔ)丁記錄單”。“漏洞掃描記錄單”。a）記錄網(wǎng)絡(luò)環(huán)境，定義漏洞掃描的網(wǎng)絡(luò)接口；b）定義漏洞掃描的IP地址范圍；c）定義漏洞掃描的安全級(jí)別和掃描選項(xiàng)；d）安裝，升級(jí)最新的漏洞庫(kù)；e）定義管理員清單和管理權(quán)限；f）測(cè)試漏洞掃描設(shè)備的性能和做好網(wǎng)管數(shù)據(jù)庫(kù)?！奥┒磼呙栌涗泦巍?。安全配置管理訪問(wèn)控制策略配備管理規(guī)范對(duì)網(wǎng)絡(luò)層和系統(tǒng)層的訪問(wèn)控制，對(duì)網(wǎng)絡(luò)設(shè)備和安全專(zhuān)用設(shè)備，以及操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的安全配置和日常運(yùn)行進(jìn)行管理，保障信息網(wǎng)絡(luò)的安全、穩(wěn)定運(yùn)行。a）公司域網(wǎng)的詳細(xì)網(wǎng)絡(luò)結(jié)構(gòu)；b）各個(gè)業(yè)務(wù)應(yīng)用系統(tǒng)的安全要求；c）各個(gè)業(yè)務(wù)應(yīng)用系統(tǒng)的數(shù)據(jù)流情況；d）不同系統(tǒng)及網(wǎng)絡(luò)之間的訪問(wèn)控制及數(shù)據(jù)傳輸要求；e）各種連接的訪問(wèn)權(quán)限；f）各個(gè)服務(wù)器系統(tǒng)及其承載應(yīng)用服務(wù)的安全要求；g）各個(gè)服務(wù)器操作系統(tǒng)的訪問(wèn)控制及安全要求；h）各個(gè)服務(wù)器數(shù)據(jù)庫(kù)系統(tǒng)的訪問(wèn)控制及安全要求；i）各個(gè)終端計(jì)算機(jī)或各種用戶(hù)群的訪問(wèn)控制及安全要求?！皟?nèi)部人員遠(yuǎn)程訪問(wèn)審批表”。經(jīng)被遠(yuǎn)程登錄方信息管理部門(mén)負(fù)責(zé)人批準(zhǔn)同意后，由被遠(yuǎn)程登錄方網(wǎng)絡(luò)管理員分配遠(yuǎn)程訪問(wèn)的用戶(hù)名和口令。批準(zhǔn)遠(yuǎn)程訪問(wèn)的時(shí)間結(jié)束后，網(wǎng)絡(luò)管理員應(yīng)及時(shí)變更遠(yuǎn)程訪問(wèn)的用戶(hù)名和口令?！巴獠咳藛T遠(yuǎn)程訪問(wèn)審批表”，并要得到信息管理部門(mén)負(fù)責(zé)人以及有關(guān)業(yè)務(wù)管理部門(mén)負(fù)責(zé)人批準(zhǔn)。對(duì)于需進(jìn)行遠(yuǎn)程登錄維護(hù)的情況，有關(guān)系統(tǒng)的系統(tǒng)管理員應(yīng)監(jiān)控整個(gè)外部遠(yuǎn)程訪問(wèn)過(guò)程，確保系統(tǒng)安全，并且在外部遠(yuǎn)程訪問(wèn)結(jié)束后，應(yīng)及時(shí)拔掉電話(huà)線(xiàn)，關(guān)閉調(diào)制解調(diào)器的電源，并更改用于外部遠(yuǎn)程訪問(wèn)的用戶(hù)名和口令?！安僮飨到y(tǒng)賬戶(hù)授權(quán)審批表”或“數(shù)據(jù)庫(kù)系統(tǒng)賬戶(hù)授權(quán)審批表”，應(yīng)經(jīng)系統(tǒng)業(yè)務(wù)主管部門(mén)審批同意，由系統(tǒng)管理員統(tǒng)一處理，并建立用戶(hù)資料檔案?！霸L問(wèn)策略變更審批表”，并經(jīng)信息中心審批。審批同意后方可按照策略修改有關(guān)設(shè)備的配置，并要求做好相關(guān)的記錄。操作系統(tǒng)安全配置管理規(guī)范公司操作系統(tǒng)的安全配置方法和日常操作系統(tǒng)管理，保障信息網(wǎng)絡(luò)的安全、穩(wěn)定運(yùn)行。數(shù)據(jù)庫(kù)系統(tǒng)安全配置管理為規(guī)范海南電網(wǎng)公司信息系統(tǒng)的數(shù)據(jù)庫(kù)系統(tǒng)的安全配置方法和日常數(shù)據(jù)庫(kù)系統(tǒng)管理，保障信息網(wǎng)絡(luò)的安全、穩(wěn)定運(yùn)行。a）數(shù)據(jù)庫(kù)服務(wù)器應(yīng)置于單獨(dú)的服務(wù)器區(qū)域，任何對(duì)這些數(shù)據(jù)庫(kù)服務(wù)器的物理訪問(wèn)均應(yīng)受到控制；b）數(shù)據(jù)庫(kù)服務(wù)器所在的服務(wù)器區(qū)域邊界應(yīng)部署防火墻或其它邏輯隔離設(shè)施。a）數(shù)據(jù)庫(kù)系統(tǒng)的宿主操作系統(tǒng)除提供數(shù)據(jù)庫(kù)服務(wù)外，不得提供其它服務(wù)，如：WWW、FTP、DNS等；b）應(yīng)在宿主操作系統(tǒng)中設(shè)置本地?cái)?shù)據(jù)庫(kù)專(zhuān)用賬戶(hù)，并賦予該賬戶(hù)除運(yùn)行各種數(shù)據(jù)庫(kù)服務(wù)外的最低權(quán)限；c）對(duì)數(shù)據(jù)庫(kù)系統(tǒng)安裝目錄及相應(yīng)文件訪問(wèn)權(quán)限進(jìn)行控制，如：禁止除專(zhuān)用賬戶(hù)外的其它賬戶(hù)修改、刪除、創(chuàng)建子目錄或文件。a）嚴(yán)禁不同的數(shù)據(jù)庫(kù)系統(tǒng)使用相同的賬戶(hù)與口令；b）重新命名數(shù)據(jù)庫(kù)管理員賬戶(hù)，并刪除不需要的默認(rèn)賬戶(hù)；c）數(shù)據(jù)庫(kù)用戶(hù)賬戶(hù)與數(shù)據(jù)庫(kù)管理員賬戶(hù)分離。a）系統(tǒng)管理員：能夠管理數(shù)據(jù)庫(kù)系統(tǒng)中的所有組件