信息系统资产安全管理制度.doc

信息系统安全管理制度 第一章 总则 第一条 为保证企业计算机网络可以安全可靠的运行，防止系统及数据被非法运用或破坏，充足发挥其在生产、经营、办公和信息服务方面的重要作用，更好的为员工提供服务，特制定本措施。 第二条 本制度波及的信息系统，是指由计算机及其有关的配套的设备、设施（含网络）构成的，按照一定的应用目的和规则对信息进行采集、加工、存储、传播、检索等处理的计算机系统；本制度所指的计算机软件是指在我企业内部使用的计算机应用软件。合用于企业范围内的计算机系统。 第二章 组织机构和职责 第三条 成立企业信息安全小组，由企业领导、办公室、各有关部门、计算机维护人员构成，指定企业信息系统安全员和各系统管理员。（见附件一） 第四条 企业重要领导是企业信息系统管理和网络安全的第一负责人，信息安全小组负责企业计算机应用系统和网络安全的全面管理和运行维护。 第五条 计算机系统管理员负责企业内部信息系统及计算机网络安全的管理和维护工作，为企业内部网络的安全运行提供技术保障。 第六条 信息安全员负责对企业信息化有关的各项申请记录进行复核，审查顾客帐号使用状况和权限分派与否合理，对企业重要信息进行安全分级，定期复查系统管理员填制的各项检查记录。 第七条 企业的所有计算机及外围设备是企业的固定资产，按照谁使用谁负责的原则，贯彻负责人，使用部门为责任部门，负责保管配置的信息化资产的完好，保证良好的使用环境，并建立资产台账。 第三章 系统安全管理 账号管理 第八条 应用系统、操作系统、数据库（如下简称“各系统”）的顾客名均应当专人专用，用以识别不一样的顾客和账号，以保证可溯源和可追踪性。 第九条 各系统的管理员账号需进行有效的保护，经企业信息安全小组审核后，由信息系统安全员分派管理员访问权限给系统管理员。 第十条 各系统均需要设置充足的顾客密码安全方略，包括： 设定密码最小长度不得低于八位； 密码一定由数字、字母和符号共同构成； 设置密码过期期限，定期更改密码； 设置密码锁定前登录失败次数等安全方略。 第十一条 各信息系统自带的默认账号和密码必须在系统初次使用时进行修改，密码由系统管理员保管。 第十二条 企业信息系统的访问和应用只限于通过企业内网进行，如因特殊状况需要通过外网访问信息系统的，报信息安全小组同意并由自动化所授权同意后方可进行。 第十三条 保全处每六个月组织有关业务员部门对信息系统账号进行复核,将信息系统的顾客及其权限清单提交给业务部门负责人,确认并审核权限的合理性。通过查看系统日志，检查不合适账号和权限的使用状况，对违规使用状况进行通报并立即整改。 第十四条 需新增或调整账户权限的顾客，由使用部门提出申请，并填写有关岗位权限调整申请表，经信息安全小组审核同意后，由系统管理员调整顾客账号及对应权限。 防病毒管理 第十五条 企业信息安全小组负责防病毒软件的布署与配置，顾客与信息设备负责人负责所用计算机系统及数据的基本防护。 第十六条 所有接入企业网络的计算机都必须安装防病毒软件；外来计算机要接入企业网络必须装有防病毒软件和最新的病毒库和查杀引擎，报经信息安全小组负责人同意后，由系统管理员检查该计算机，符合规定后由系统管理员为该计算机设置网络连接。 第十七条 企业计算机的防病毒软件的实时监控要默认打开，不得私自关闭。 第十八条 企业计算机的防病毒软件和病毒库要通过一定的技术手段（例如给杀毒软件增长防护密码等）进行保护，防止顾客误删或未经授权强制删除或禁用防病毒程序。 第十九条 信息安全小组负责指导和培训顾客的防病毒知识，提高顾客的防病毒意识。 第二十条 系统管理员要定期检查并提醒顾客升级最新的操作系统补丁。 数据管理 第二十一条 各部门要对本部门重要信息进行安全分级，对不一样的数据文献采用不一样的保密措施防止泄密。 第二十二条 系统管理员对新公布的系统补丁程序进行风险评估，判断补丁程序也许会对各系统带来的影响，必要状况下应在测试环境下进行测试，填写《补丁程序测试记录》，并集中汇报给信息安全小组进行审核。经测试无误后方可在生产系记录算机中更新补丁程序。（见附件二《补丁程序测试记录》） 第二十三条 信息安全员每周检查上一周由系统管理员检查的各项记录，并对所检查项目进行复核，填写各类记录单。 第二十四条 DCS负责企业所属工业信息化设备软件和数据的备份，每月对控制系统软件及数据进行一次异地备份，每月对水泥磨工业信息化设备软件及数据进行一次异地备份，负责对设备配套工业信息化设备软件及数据进行备份，所有备份应刻录成光盘，由信息安全员保管。 第四章 网络与设备管理 第二十五条 系统管理员定期检查防火墙、服务器及各网络设备监控日志，若发现异常，及时上报和详细记录并跟踪处理；分析、检查和跟进成果均