信息安全管理制度-6應(yīng)用系統(tǒng)安全管理制度

應(yīng)用系統(tǒng)安全治理制度總則為保障本委信息系統(tǒng)的應(yīng)用系統(tǒng)的安全、穩(wěn)定本方法適用于本委各科室，以及直屬各單位的信息系統(tǒng)的應(yīng)用系統(tǒng)的運行治理。其他聯(lián)網(wǎng)單位可參照執(zhí)行。人員職責應(yīng)用系統(tǒng)治理員、審計員的任命應(yīng)用系統(tǒng)治理員、審計員的任命應(yīng)遵循“任期有限、權(quán)限分散”的原則；對重要應(yīng)用系統(tǒng)治理人員應(yīng)不定期地循環(huán)任職，并對人員進展輪番培訓(xùn)。對每個重要的應(yīng)用系統(tǒng)要分別設(shè)立應(yīng)用系統(tǒng)治理員、審系統(tǒng)治理員和系統(tǒng)審計員崗位可穿插擔當；應(yīng)用系統(tǒng)治理員、審計員的任期可依據(jù)系統(tǒng)的安全性要求而定，最長為三年，期滿通過考核后可以續(xù)任；應(yīng)用系統(tǒng)治理員、審計員必需簽訂保密協(xié)議書。第四條應(yīng)用系統(tǒng)治理員的職責遵守職業(yè)道德，嚴守企業(yè)隱秘；生疏國家安全生產(chǎn)法以及有關(guān)信息安全治理的相關(guān)規(guī)程，生疏應(yīng)用系統(tǒng)涉及的業(yè)務(wù)流程；負責應(yīng)用系統(tǒng)的安裝、維護和系統(tǒng)及數(shù)據(jù)備份；依據(jù)應(yīng)用系統(tǒng)的安全策略，負責應(yīng)用系統(tǒng)的用戶權(quán)限設(shè)置以及系統(tǒng)安全配置；親熱留意應(yīng)用系統(tǒng)運行中發(fā)生的系統(tǒng)故障、安全大事，關(guān)注應(yīng)用系統(tǒng)存在的隱患，收集業(yè)務(wù)用戶的問題反映，準時報告信息治理部門和業(yè)務(wù)主管部門；依據(jù)應(yīng)用系統(tǒng)運行的實際狀況，制定應(yīng)急處理預(yù)案，提交信息治理部門審定；遵守應(yīng)用系統(tǒng)的有關(guān)治理標準。系統(tǒng)審計員的職責如下：遵守職業(yè)道德，嚴守企業(yè)隱秘；生疏國家安全生產(chǎn)法以及有關(guān)通信治理的相關(guān)規(guī)程，生疏應(yīng)用系統(tǒng)涉及的業(yè)務(wù)流程；負責對應(yīng)用系統(tǒng)的安裝、維護和系統(tǒng)及數(shù)據(jù)備份的監(jiān)視檢查和登記工作；定期檢查應(yīng)用系統(tǒng)的用戶權(quán)限設(shè)置以及系統(tǒng)安全配置，與應(yīng)用系統(tǒng)安全策略的符合性；定期審查應(yīng)用系統(tǒng)的審計記錄，覺察安全問題準時報告信息治理部門和業(yè)務(wù)主管部門。用戶治理建立應(yīng)用系統(tǒng)賬戶的授權(quán)、審批流程。應(yīng)用系統(tǒng)的賬號注冊和授權(quán)由各應(yīng)用部門向業(yè)務(wù)主管部門提交申請，業(yè)務(wù)主管部門審批后提交給信息系統(tǒng)運行治理部門批準，由信息系統(tǒng)治理員注冊并設(shè)置角色權(quán)限。應(yīng)用系統(tǒng)治理員、審計員帳戶的授權(quán)、審批應(yīng)用系統(tǒng)治理員、審計員賬戶的授權(quán)由系統(tǒng)運行維護單位填寫《應(yīng)用系統(tǒng)賬戶授權(quán)審批表》〔參見附表1〕，經(jīng)信息系統(tǒng)運行治理部門負責人批準后設(shè)置；應(yīng)用系統(tǒng)治理員、審計員人員變更后，必需準時更改帳戶設(shè)置。業(yè)務(wù)應(yīng)用的帳戶的授權(quán)、審批用于業(yè)務(wù)應(yīng)用的賬戶的授權(quán)由使用單位填寫《應(yīng)用系統(tǒng)賬戶授權(quán)審批表》，經(jīng)業(yè)務(wù)治理部門及信息系統(tǒng)運行治理部門負責人批準后，由應(yīng)用系統(tǒng)治理員進展設(shè)置；外單位人員需要使用本單位系統(tǒng)時，須經(jīng)相關(guān)業(yè)務(wù)治理〔參見附表2〕，報信息系統(tǒng)運行治理部門負責人批準后，由應(yīng)用系統(tǒng)治理員按規(guī)定的權(quán)限、時限設(shè)置特地的用戶帳號；嚴禁本單位任何人將自己的用戶帳號供給應(yīng)外單位人員使用?？诹畹暮唵涡?、安全性要求和檢查應(yīng)用系統(tǒng)治理員賬戶的口令長度設(shè)置至少為8位，口令〔a-z,A-Z〕〔0-9〕(~!@#$%^&*_<>)中至少選擇兩種進展組合設(shè)置；應(yīng)用系統(tǒng)治理員賬戶的口令必需常常更改，至少每半年更改一次，每次更的口令不得與舊的口令一樣，操作系統(tǒng)應(yīng)設(shè)置相應(yīng)的口令規(guī)章；應(yīng)用系統(tǒng)治理員用戶的帳號、口令、權(quán)限等制止告知其他人員；用于業(yè)務(wù)應(yīng)用的賬戶的口令長度設(shè)置至少為6位，其他要求參照顧用系統(tǒng)治理員賬戶的口令要求執(zhí)行。系統(tǒng)治理應(yīng)用系統(tǒng)維護和應(yīng)急處理記錄〔參見附表系統(tǒng)治理員記錄系統(tǒng)的運行狀況；應(yīng)對系統(tǒng)特別、系統(tǒng)故障的日期、現(xiàn)象、處理方法及結(jié)果等應(yīng)急處理進展記錄；應(yīng)對應(yīng)用系統(tǒng)的安裝、設(shè)置更改、帳號變更、組變更、備份等系統(tǒng)維護工作進展記錄，以備查閱；應(yīng)對應(yīng)用系統(tǒng)特別和系統(tǒng)故障的時間、現(xiàn)象、應(yīng)急處理方法及結(jié)果作具體的記錄。應(yīng)用系統(tǒng)軟件、資料以及許可證的治理必需對應(yīng)用系統(tǒng)軟件的介質(zhì)、資料和許可證進展登記，并設(shè)專人負責保管；登記的內(nèi)容應(yīng)包括軟件的名稱和版本、軟件出版商、許可證類型和數(shù)量、介質(zhì)的編號和數(shù)量、軟件安裝序列號、手冊名稱和數(shù)量、購置日期等；應(yīng)用系統(tǒng)軟件和資料的借用，需要審批和借還登記手續(xù)；對重要的應(yīng)用系統(tǒng)軟件介質(zhì)和資料要進展復(fù)制，借用時應(yīng)供給復(fù)制品，以保護好原件及避開喪失。應(yīng)用系統(tǒng)配置的備份的治理系統(tǒng)治理員應(yīng)對系統(tǒng)的配置參數(shù)及相關(guān)文件進展備份；當配置發(fā)生變更時必需重備份，以便系統(tǒng)故障時能盡快恢復(fù)系統(tǒng)配置。應(yīng)用系統(tǒng)數(shù)據(jù)的備份的治理備份權(quán)限，備份介質(zhì)都必需加以妥當保管，防止非法訪問；假設(shè)開發(fā)數(shù)據(jù)庫中導(dǎo)入了數(shù)據(jù)庫的數(shù)據(jù)，要確保為生產(chǎn)數(shù)據(jù)庫所指定的安全規(guī)章也用于