信息系統運維安全管理(lǐ)規定
第一(yī)章(zhāng) 總則
第一(yī)條 為(wèi)加強XXXXX信息系統運維的(de)安全管理(lǐ),保障信息系統的(de)'網絡安全與信息安全,依據國(guó)家(jiā)有(yǒu)關≥★>φ法律、法規和(hé)XXXXX有(yǒu)關φ£∞規章(zhāng)制(zhì)度,特制(zhì)定本規定。
第二條 XXXXX信息系統運維安全管理(lǐ)範圍包括網絡安全管理(lǐ)、操作(♥∑ ←zuò)系統安全管理(lǐ)、用(yòng)戶訪問(wèn)授權管理(lǐ×)、密碼管理(lǐ)、防病毒管理(lǐ)、系統補丁管理(lǐΩΩδ÷)、介質管理(lǐ)、信息交換管理(lǐ)、安全監控和(hé)審計(jì)管₽•±理(lǐ)、數(shù)據備份和(hé)恢複管理(lǐ)、™日(rì)常運行(xíng)維護管理(lǐ)以及監督檢查等相®☆(xiàng)關內(nèi)容。
第三條 本規定适用(yòng)于XXXXX信息系統運維中的(de)安全管理(≥lǐ)。
第二章(zhāng) 網絡安全管理(lǐ)
第四條 信息中心統一(yī)規劃XXXXX網絡架構,并根據安全風(fēng)₽&險情況部署安全設備,确保網絡安全和(hé)信♥₹息安全。
第五條 網絡管理(lǐ)員(yuán)應對(duì)網絡拓撲進行(xíng)統↑¶一(yī)管理(lǐ),應保持拓撲結構圖與現(xiàn)↔±α行(xíng)網絡運行(xíng)環境的(de)一 $λ(yī)緻性,拓撲圖應包括網絡設備、安全設備的(de)型号、名稱€≠ 以及與鏈路(lù)的(de)鏈接情況等。
第六條 網絡管理(lǐ)員(yuán)應維護所有(yǒu)網絡設備的(de$¶φ)物(wù)理(lǐ)連接情況,控制(zhì)和(hé)管理(lǐ)網絡接口的¥β★(de)使用(yòng)。
第七條 網絡管理(lǐ)員(yuán)應監控網絡的(de)運行(xíng>®←)狀況,發現(xiàn)影(yǐng)響較大(dà)的(de)✔₽網絡故障時(shí),必須及時(shí)向XXXXX信息中心報(bào)告。
第八條 通(tōng)信鏈路(lù)及帶寬資源管理(≥≥lǐ)應當遵循合理(lǐ)分(fēn)配、高(gāo)效使用(yπ≥π±òng)的(de)原則,禁止使用(yòng)網絡傳送非業(yè)務σ₹×需要(yào)的(de)內(nèi)容。
第九條 未經允許,網絡中嚴禁随意使用(yòng)無'♣•線網絡通(tōng)訊設備進行(xíng)訪 ✔↓問(wèn)。
第十條 未經允許,任何計(jì)算(suàn)機(jī)、÷'γ網絡設備、安全設備不(bù)允許随意接入網σ↕σ絡中。
第十一(yī)條 外(wài)部人(rén)員(yuán)在接入互聯網時(shΩ í),應經過部門(mén)領導的(de)審核審批後才可(kě)接入,同時( →≥÷shí)要(yào)指定IP地(dì)址并進行(xíng)記錄,根據《人(rén)員§<(yuán)安全管理(lǐ)規定》進行(xíng)管理(±<¶ lǐ)。
第十二條 應對(duì)網絡區(qū)域中的(de)非•'法訪問(wèn)部署檢測和(hé)審計(jì)措施,能(néng)夠做(zuò )到(dào)安全事(shì)件(jiàn)可(kě)監控< ₩、可(kě)追蹤和(hé)可(kě)審計(jì)。
第十三條 對(duì)于網絡中重要(yào)的(de)網絡設備、安全∑π¶♣設備應開(kāi)啓審計(jì)功能(né"<✔ng),記錄對(duì)于設備配置變更的(de)操♠₹φ♦作(zuò)。
第十四條 網絡安全管理(lǐ)應建立必要(yào)的(de)安全技(jì)術★↑< (shù)措施确保網絡的(de)統一(yī)≤γ管理(lǐ),包括信息資産管理(lǐ)、∞'網絡拓撲管理(lǐ)、信息資源管理(lǐ)、網絡異常流量管理(lǐ)、安全事≈™£♥(shì)件(jiàn)監控管理(lǐ)、安全策略管理(≠ lǐ)、安全預警管理(lǐ)等網絡安全管理(lǐ)內(nèi)容。
第十五條 應根據不(bù)同的(de)業(yè)務$®∑安全等級合理(lǐ)劃分(fēn)網絡安∑↕₹全域,安全域間(jiān)應采取邏輯隔離(lí)措施,根據業∞←(yè)務需要(yào)僅開(kāi)放∑✔>Ω(fàng)必要(yào)的(de)網絡訪問(wènΩ )端口和(hé)服務,區(qū)域和(hé)邊界的(de)訪問(wèn)控↑δ₽∑制(zhì)策略應根據業(yè)務需要(yào)↕₩ 進行(xíng)設置。
第十六條 關鍵業(yè)務應用(yòng)和(hé)網絡訪問(wè♦↓n)應使用(yòng)靜(jìng)态路(lù)由,如(rú)果使用(yòng∞¶±)動态路(lù)由,應啓用(yòng)路(lù)由協議(yì)☆α≥←的(de)安全認證機(jī)制(zhì),并控$σ制(zhì)路(lù)由信息的(de)廣播範圍。
第十七條 幹路(lù)和(hé)核心的(de)網絡設備、安₹嶮全設備、網絡鏈路(lù)應建立冗餘備份機(j₩§₩£ī)制(zhì),如(rú)果出現(xiàn)全網安全事(shì)件(α"jiàn)應根據《應急處理(lǐ)預案》進行(π$"xíng)應急響應。
第三章(zhāng) 操作(zuò)系統安全管理(lǐ)
第十八條 對(duì)于每個(gè)管理(lǐ)員(yuán)建立單獨的(d↑÷e)用(yòng)戶賬号,特别要(yào)區(qū)分(fēn₹')普通(tōng)用(yòng)戶賬戶号和(hé)管理(lǐ)員(yuá$←n)賬号,賬号不(bù)得(de)共享。
第十九條 操作(zuò)系統中應限制(zhì)登錄和(hé)<±認證的(de)次數(shù),避免外(wài)界嘗試登♠₩★錄和(hé)暴力破解的(de)安全風(fēn♥<>g)險。
第二十條 操作(zuò)系統的(de)安裝須遵從(cóng)最小(xi÷'≈±ǎo)化(huà)安裝原則,僅僅安裝并運行(xíng)必須的(de)系統<服務和(hé)應用(yòng)程序;
第二十一(yī)條 各應用(yòng)系統主管在按規定安裝各類軟件(jià$≤≥n)時(shí)遵從(cóng)最小(xiǎo)化(huà)安裝原則,關閉±↕≤和(hé)卸載與辦公和(hé)業(yè)務無關的(de)功能(néngγ$↔)和(hé)服務。
第二十二條 運行(xíng)業(yè)務應用(yòng)系統時(shí),要(yào×∏©♠)使用(yòng)保證應用(yòng)系統正常運行(x☆φíng)的(de)最小(xiǎo)賬戶權限,原則€<上(shàng)禁止使用(yòng)最高(gāo)權限賬↕←×号。
第二十三條 為(wèi)了(le)能(néng)夠發現(xi<♦àn)和(hé)跟蹤系統中發生(shēng)的(de)各種可(kě×家)疑事(shì)件(jiàn),需要(yào)啓用(yòng)安全審計(jì≠®≈)功能(néng),以日(rì)志(zhì)的(de)形式記錄用(yòn£§€g)戶登錄系統、文(wén)件(jiàn)訪問(wèn)操作(zuò)、賬戶修 $•♥改等行(xíng)為(wèi)的(de)過程和(hé)結果信息,做( →zuò)到(dào)發生(shēng)可(✔₩∑™kě)疑事(shì)件(jiàn)時(shí)有(yǒu)據可↓(kě)查。
第四章(zhāng) 用(yòng)戶訪問(wèn)授權管理(lǐ)
第二十四條 XXXXX各系統應根據不(bù)同角色确定不(bù)同的π★♠α(de)用(yòng)戶賬号,賬号至少(shǎo)分¶(fēn)為(wèi)以下(xià)角色:
(一(yī)) 系統管理(lǐ)員(yuán):負責維護系統πα♥ 的(de)管理(lǐ)員(yuán),一(yī)般具有(yǒ©πu)超級用(yòng)戶權限;
(二) 普通(tōng)用(yòng)戶:訪問(wèn)系統的©(de)普通(tōng)用(yòng)戶,一(yī)般隻具π ¶有(yǒu)相(xiàng)應訪問(wèn)內(nèi)容和(hé)操作(•σ zuò)的(de)最小(xiǎo)權限;
(三) 第三方人(rén)員(yuán):臨時(shí)或長(cháng)期進行α♣ (xíng)系統維護的(de)非XXXXX內(nèi)部人(rén)員(yuán),根據第三方人(rén∑↕)員(yuán)的(de)維護範圍确定其使用(yòng)權 ♥•限;
(四) 系統安全管理(lǐ)員(yuán):XXXXX進行(xíng)安全審計(jì)的(de)人(rén"§π)員(yuán),具有(yǒu)能(néng)夠查看(kàn)©♠Ω系統的(de)日(rì)志(zhì)和(hé)審計§&&(jì)信息。
第二十五條 XXXXX各系統應根據“最小(xiǎo)授權”的(de)原則設定賬戶訪問(™wèn)權限,控制(zhì)用(yòng)戶僅能(n♥≤πéng)夠訪問(wèn)到(dào)工(g♥•ōng)作(zuò)需要(yào)的(de)信息。
第二十六條 應根據XXXXX要(yào)求和(hé)員(yuán)工(gōn' ↔∑g)崗位來(lái)創建、變更和(hé)撤銷§'用(yòng)戶的(de)賬号及權限,并定期對(duì)用(yòng)戶賬号和>≥≈←(hé)權限進行(xíng)監督、檢查。λ←'
第二十七條 各系統的(de)賬号能(néng)标識系↑♦統訪問(wèn)的(de)不(bù)同角色,并盡量避免使用™ε¶(yòng)系統默認賬号。
第二十八條 應避免系統中存在多(duō)餘、無用(yòng)和(hé)測試賬号☆♥←,确保服務器(qì)中所有(yǒu)的(de)操作(π§±zuò)系統賬号能(néng)夠唯一(yī)标識操作(zuò)人(rén)員(∏←yuán)。
第二十九條 系統安全管理(lǐ)員(yuán)應當對(duì)系統中Ω₹±>存在的(de)賬号進行(xíng)定期審計(∑↑jì),系統中不(bù)能(néng)存在無用(yòng)或匿名賬号。
第三十條 各系統應該設置審計(jì)用(yòng)戶的(de)€♥φ¶權限,審計(jì)用(yòng)戶應當具備比較完整的(de)讀(d®♠ú)權限,審計(jì)用(yòng)戶應當能(néng)夠讀(dú)取系☆♥→©統關鍵文(wén)件(jiàn),檢查系統設置★φ 、系統日(rì)志(zhì)等信息。
第三十一(yī)條 各系統應《人(rén)員(yuán)安全管理(l★✘ǐ)規定》的(de)要(yào)求限制(zhì)第三方人(rén)員(yε€☆uán)的(de)訪問(wèn)權限,對(d←↓≈×uì)第三方的(de)訪問(wèn)進行(xíng)定期✔₹÷>的(de)檢查和(hé)審計(jì)。
第五章(zhāng) 密碼管理(lǐ)
第三十二條 XXXXX設備及系統的(de)密碼的(dΩβ>σe)設置至少(shǎo)符合以下(xià≥ε)要(yào)求:
(一(yī)) 長(cháng)度大(dà)于8位;
(二) 大(dà)小(xiǎo)寫字母、數(shù)字Ωλ<,以及特殊字符混合使用(yòng);
(三) 不(bù)是(shì)任何語言的(de)單詞;
(四) 不(bù)能(néng)使用(yòng)缺省設置的(de)€★δ密碼。
第三十三條 賬号密碼至少(shǎo)應該保證每三個(gè)月(yuèσ↓★)換一(yī)次,包括:UNIX/Linux系統root用(yòng)戶的(de)密碼、網絡設備的★∞(de)enable密碼、Windows系統★•§↓Administrator用(yòng)戶的(de)密碼,以及應用(yò∑ ng)系統的(de)後台管理(lǐ)用(yòng)戶密碼等。
第三十四條 系統須強制(zhì)指定密碼的(de)策略,包括密碼的( ∏ de)最短(duǎn)有(yǒu)效期、最長§εε(cháng)有(yǒu)效期、最短(duǎn)長(cháng)π₩✘度、複雜(zá)性等。
第三十五條 密碼不(bù)能(néng)以明(míng)文(wén)的(de)方式通(tō™÷€ng)過電(diàn)子(zǐ)郵件(jiàn)或者其它網絡傳輸方式進行(xδ↔íng)傳輸。
第三十六條 不(bù)得(de)将密碼告訴與該工(gōng•<" )作(zuò)無關的(de)人(rén)員(yuán),£γ如(rú)果第三方系統維護人(rén)員(yuán)需要(yào)登錄系奩 統,系統管理(lǐ)員(yuán)為(wèi)其設置臨♠<↕時(shí)密碼,完成工(gōng)作(zuò)♠後必須立刻修改密碼;
第三十七條 系統管理(lǐ)員(yuán)不(bù)能(né₹σ"λng)共享超級用(yòng)戶的(de)密碼,應采用(yòng≈ε ¶)組策略控制(zhì)超級用(yòng)戶的(de)訪問(≈ ↔£wèn)。
第三十八條 除了(le)系統管理(lǐ)員(yuán)外(wài),一(yī)般用(★★yòng)戶不(bù)能(néng)改變其它用(yòng♣≈)戶的(de)密碼。
第三十九條 當密碼使用(yòng)期滿時(shí),被其他(tā)人(rén)知♥©(zhī)悉或認為(wèi)密碼不(bù)£♦α保密時(shí),網絡管理(lǐ)人(rén)員(yuán)可(kě)按照(z£β→→hào)密碼更改程序變換密碼。
第四十條 所有(yǒu)用(yòng)戶嚴禁将密碼貼♥≤在終端上(shàng),輸入的(de)密碼不(bù)應顯示在顯示屏幕上(sh≠àng),嚴禁随意丢棄記載有(yǒu)用(y÷₽òng)戶名密碼的(de)紙(zhǐ)條等媒介物(wù),不(bù)準用(y'<≤>òng)電(diàn)話(huà)、電(di₹Ωàn)子(zǐ)郵件(jiàn)等告訴密碼。↔↓β
第四十一(yī)條 對(duì)于系統重要(yào)性高(gāo)、資産價值$高(gāo)、威脅可(kě)能(néng)性大(dà)可(kě)以€α≠λ使用(yòng)強度更高(gāo)的(de)認證機(jī)制(zhì),例→♦€★如(rú)采用(yòng)雙因素認證等。
第六章(zhāng) 防病毒管理(lǐ)
第四十二條 信息中心統一(yī)規劃、統一(yī)部署具有(yǒ∑≈u)國(guó)家(jiā)許可(kě)的(de)正版計(jì)算(suàn ')機(jī)防病毒系統軟件(jiàn)。所有≥<&(yǒu)服務器(qì)和(hé)終端必須安裝XXXXX配發的(de)計(jì)算(suàn)機(jī)防病毒軟件(© jiàn),否則不(bù)允許連入網絡和(hé)處理(lǐ)工(gōng)作($< zuò)。
第四十三條 所有(yǒu)的(de)服務器(qì)和(hé)計(jì)算(suàn)機♥'✘∏(jī)終端應安裝XXXXX要(yào)求的(de)網絡防病毒βπ軟件(jiàn),并對(duì)安裝情況做(zuò)相(↑ ←xiàng)應記錄,使用(yòng)各種介質複制(zhì)或者從€↕←(cóng)網絡上(shàng)下(xià)載文(δ≠≤wén)件(jiàn)到(dào)計(jì)算&•$ (suàn)機(jī)上(shàng),應首先進行(xí£ng)病毒查殺。
第四十四條 應使用(yòng)XXXXX下(xià)發的(de)正版軟件(jiàn),禁止随意安裝軟件(jiΩ≤"àn),防止其中可(kě)能(néng)存在惡意軟件↓¥≤β(jiàn)。
第四十五條 信息安全管理(lǐ)員(yuán)對(duì)防病毒軟件(jiàn)系統進行¶∏ (xíng)監控,并記錄病毒查殺情況。安全管理(lǐ)員(yu±↑™án)負責每周對(duì)防病毒系統的(∑♦de)病毒庫進行(xíng)兩次升級,升級完成後進÷✘™₹行(xíng)記錄。
第四十六條 XXXXX服務器(qì)、桌面計(jì)算(suàn)機(jī)及便攜₩π✔式計(jì)算(suàn)機(jī)一(yī)旦發現(xiàn)被計(jπ∏ì)算(suàn)機(jī)病毒感染,應先将計(jì¶λ©)算(suàn)機(jī)與網絡隔離(lí),确保病毒庫已更新至最新版本,并<≤及時(shí)進行(xíng)病毒查殺處理(lǐ);當情況嚴重且無法在規≈↔εα定時(shí)限內(nèi)緊急恢複或有(yǒu)效控∑ 制(zhì)時(shí),應按照(zhào)《信息安全事(∞∑₽shì)件(jiàn)應急管理(lǐ)規定》及時(shí)上(shàngσλ≈→)報(bào)啓動相(xiàng)應應急響應預案 π ¥,應注意保留防病毒系統記錄。
第七章(zhāng) 系統補丁管理(lǐ)
第四十七條 應及時(shí)跟進各産品的(de)安全漏洞信息和(hé)産品廠(cΩ₹hǎng)商發布的(de)安全補丁信息。σ→
第四十八條 安全補丁根據其對(duì)應漏洞的(de)嚴重程度分(fēφ"$♦n)為(wèi)三個(gè)級别:緊急補丁、重要(yào)補丁和(héδ♥)一(yī)般補丁;緊急補丁必須在15天內(nèi)完成加載,重要(yào)補≥✘→丁必須在一(yī)個(gè)月(yuè)內(nèi)完成加載,一(yī)般補Ω≥丁要(yào)求六個(gè)月(yuè)內(nèi)→β完成加載,對(duì)于不(bù)能(néng)加載補丁的(de)≠↕ ₩情況,一(yī)定要(yào)采取其他(tā)的(de)有( ↕&★yǒu)效安全控制(zhì)措施。
第四十九條 必須從(cóng)各産品廠(chǎng)商官方渠道(dào)獲取安全補丁,補≠£≈丁加載應制(zhì)定嚴格的(de)計(jì)劃。
第五十條 補丁加載之前必須經過嚴格的(de)測試,測試環境與生(♣ε®shēng)産環境盡可(kě)能(néng)一(yī)緻,嚴禁未經測試直接在生©δ ®(shēng)産系統上(shàng)加載補丁≥≤'。
第五十一(yī)條 補丁測試的(de)內(nèi)容包括補丁安裝測試、補丁功★↕≤能(néng)性測試、補丁兼容性測試和(hé)補丁回退測試:
(一(yī)) 安裝測試主要(yào)測試補丁安裝過程是(s">"hì)否正确無誤,補丁安裝後系統是(shì)否正常啓動。
(二) 補丁功能(néng)性測試主要(yào)測試補丁₩★是(shì)否對(duì)安全漏洞進行(xíng)了(le)修補。
(三) 補丁兼容性測試主要(yào)測試補丁加載後是(sh☆©☆ì)否對(duì)應用(yòng)系統帶來(lái)影(yǐng)響, ±£業(yè)務是(shì)否可(kě)以正常運行(xín<'&g)。
(四) 補丁回退測試主要(yào)包括補丁卸載測試≤♦∑★、系統還(hái)原測試。
第五十二條 補丁加載必須安排在業(yè)務比較空(kōng)閑的(✘©§→de)時(shí)間(jiān)進行(xíng),對("φ∞duì)補丁加載的(de)操作(zuò)過程必須按照(zhào)計(jìδ &↕)劃嚴格操作(zuò),并詳細記錄。
第五十三條 系統管理(lǐ)員(yuán)對(duì)加載補丁後的(de)系統Ω> 必須按照(zhào)計(jì)劃和(hé)驗證方案進行(xíng)的φδ★(de)測試驗證,确保補丁加載後不(bù" )影(yǐng)響系統的(de)性能(néng),确保各¥€ ↔項業(yè)務操作(zuò)正常。
第五十四條 補丁加載後的(de)一(yī)周內(nèi),系統管理(lǐ)員(yuán)必×β須對(duì)系統性能(néng)和(hé)事(shì)件(jiàn)進行(ε≤xíng)密切的(de)監控。
第五十五條 完成補丁加載後系統管理(lǐ)員(yuán)'≈♣應将補丁安裝情況通(tōng)知(zhī)系統安全管理(lǐ)員(±ε←yuán)。
第八章(zhāng) 介質管理(lǐ)
第五十六條 本規定中的(de)存儲介質是(shì)指設備內(nèi)或者獨立存放(¥₽↓fàng)的(de)磁介質、光(guāng)介質及其它©→↓★記錄載體(tǐ)(如(rú)計(jì)算(suàn)機(jī)硬盤、光(♦λ≥♦guāng)盤、移動硬盤、U盤、軟盤和(hé)錄音(yīn)帶、錄✔↔™像帶等)。
第五十七條 對(duì)存儲介質應根據信息中心機(jī)房(fáng)信息資産λ★±×登記記錄進行(xíng)統一(yī)的(de)登☆♣₩記和(hé)記錄,介質的(de)使用(yòng)、轉移、維修和(hé)銷毀必Ω☆α須嚴格管理(lǐ)。
第五十八條 存儲介質應貼好(hǎo)标簽進行(xíng)标識,标識标§✔₹志(zhì)必須貼在表面易于辨識的(de)地(dì)方,應标注介→™質編号、介質有(yǒu)效期截止日(rì)、日(rì)期、操作(zu↓©ò)人(rén)員(yuán)、環境名稱、內(nèi)容∏♥₽、用(yòng)途和(hé)數(shù)• 據保存時(shí)間(jiān)等信息。
第五十九條 所有(yǒu)含有(yǒu)內(nèi)部信息的(de)存儲介質對(duì₹∏)外(wài)部人(rén)員(yuán)訪問(wèn)是(sh'λσì)受控的(de),嚴禁任何人(rén)帶離(lí)工(gōng)作(zu$↕π∑ò)場(chǎng)所,如(rú)外(wàiσ€÷)出進行(xíng)更換或者維修的(de)Ω♦損壞介質,需要(yào)簽訂保密協議(yì)。
第六十條 存儲介質應保存在安全的(de)物(wù)理(lǐ)環境下(xià)(如(r↕✔←ú):防火(huǒ)、電(diàn)力、空(kōδ&¥ng)調、濕度、靜(jìng)電(diàn)及其他(tā)環境保∏↔∞φ護措施),對(duì)于存放(fàng)重要(y§✘•Ωào)數(shù)據的(de)存儲介質應當在異地(dì)進行(xíng)備£✔ 份。
第六十一(yī)條 應根據存儲介質的(de)使用(yòng)壽命,©Ω↔制(zhì)定數(shù)據恢複測試計(jì)劃,以避免數(s♠hù)據丢失。
第六十二條 對(duì)含有(yǒu)重要(yào)數(shù)據的(de)存儲介質不( ✘&Ωbù)再使用(yòng)時(shí),必須執行(xíng)重複寫操作≥±↓(zuò)防止數(shù)據恢複。
第六十三條 對(duì)于磁帶、光(guāng)盤、紙(zhǐ)質等存儲介質進行λ¥ (xíng)報(bào)廢處理(lǐ)時(shí),應×₩•采取切碎或者燒毀的(de)方式進行(xíng)。
第九章(zhāng) 信息交換
第六十四條 防止XXXXX與外(wài)部單位間(jiān)或者XXXX☆ β♥X內(nèi)部交換信息時(shí)信息受損、修改或者&≤≈濫用(yòng),做(zuò)到(dào)對ε•≤(duì)信息交換的(de)有(yǒu)效控♦♣★$制(zhì),确保信息交換的(de)有(yǒu)效性和(hé)安'δ全性;
第六十五條 信息交換方式包括傳輸介質、電(diàn)×γ子(zǐ)郵件(jiàn)、OA辦公系統、電(diàn)話(huà)、傳真及其他(tā)信息交≥β換形式;
第六十六條 通(tōng)過信息系統進行(xíng)自(zì)動信息交換或者數(shù)<λ據傳送時(shí),必須選擇安全的(de)通(tōng)訊協議(yì), ↕ 要(yào)在信息系統間(jiān)進行(xíng)認證确認發送方σ™♥ 和(hé)接受方,并對(duì)傳輸的(de✔•)數(shù)據進行(xíng)完整性驗證,對(duì)于敏感數(shù)據的♥∏♥(de)傳輸要(yào)采用(yòng)加¥δ↔↓密措施。
第六十七條 在電(diàn)子(zǐ)郵件(jiàn)↑✔中不(bù)得(de)明(míng)文(wén)發送XXXXX敏感信息,可(kě)通(tōng)過對(duì)信息加密再傳φ≥送的(de)方法實現(xiàn),明(míng)确要(yào)求不(b₩ù)能(néng)在網絡中明(míng)文(wén)傳送密碼信息σ≈♥。
第六十八條 在使用(yòng)辦公系統時(shí),應控制(zhì)業(yè)務信息的₽¥×(de)擴散範圍,禁止非XXXXX人(rén)員(yuán)訪問(wèn)辦公系統。
第六十九條 通(tōng)過傳真發送重要(yào)信息時(shí),要(yào)确保收<∑Ω件(jiàn)人(rén)号碼正确,并先通(tōng)知(zhī)>¥€←收件(jiàn)人(rén)接收後再正式開(kāi)始發送,€±↕發送後并立即與接受方确認。
第七十條 傳送物(wù)理(lǐ)介質(如(rú)紙(zhǐ)質、光(guā¶≤ng)盤、移動介質)時(shí),要(yào)使用(yòng)可(♠ ±kě)靠的(de)傳輸工(gōng)具或投遞人(rén),以保證傳±α送過程的(de)安全,并在提交時(shí♠'ε)識别投遞人(rén)身(shēn)份,包裝外(wài)觀必須采↑★∑取非透明(míng)材料,并且包裝本身(shēn)應能(n₹δéng)夠保證介質本身(shēn)的(de)物(wù β∞)理(lǐ)安全,需要(yào)的(de)時(sh€πí)候采取特殊的(de)控制(zhì)措施保護敏感數(¥•shù)據免遭非法公開(kāi)或修改。
第十章(zhāng) 安全監控和(hé)審計(jì)管理(l"★★ǐ)
第七十一(yī)條 各個(gè)網絡設備、服務器(qì)及服務應根據實際情☆ ↓況調整時(shí)間(jiān)的(de)←<®一(yī)緻性。
第七十二條 應監控網絡、主機(jī)、數(shù)據庫及應用(yòng)系統 ☆β•的(de)運行(xíng)狀态,并定期對(duì)日(rì)志∞∞✘±(zhì)信息進行(xíng)審計(jì),如(rú)發 ←¶現(xiàn)存在錯(cuò)誤,或可(kě)疑日(rì≠)志(zhì)信息,并将該信息詳細記錄并通(✔πtōng)知(zhī)系統安全管理(lǐ)員(yuán'σ )進行(xíng)詳細調查。
第七十三條 應對(duì)網絡系統中的(de)網絡設β©備運行(xíng)狀況、網絡流量、網絡基礎服務等信息進行(γ€πxíng)監控。
第七十四條 應對(duì)關鍵主機(jī)的(de)重要(yào)用(λ<Ωyòng)戶行(xíng)為(wèi)、系統資源的(de)異常使用(yòng∏φσ)和(hé)重要(yào)系統命令的(de)使用(yò∞$™ng)等重要(yào)安全相(xiàng)關事(shì≈Ω¥)件(jiàn)進行(xíng)監控。
第七十五條 應對(duì)數(shù)據庫的(de)操作(zuò)¥≠≈α進行(xíng)監控,監控內(nèi)容包§××括:數(shù)據庫系統重啓及關閉信息、記錄數(sh$∑∏ù)據系統用(yòng)戶訪問(wèn)、數(sεε hù)據庫系統運行(xíng)狀态(提示、出錯•λ€♣(cuò)信息)、記錄數(shù)據庫文(wé♣↑↔n)件(jiàn)修改/删除/更新等信息。
第七十六條 應對(duì)應用(yòng)系統的(de)運行(xíβ≈$ng)狀況進行(xíng)監控,包括:應用(yòng)系統的(de' ★π)啓動關閉、用(yòng)戶訪問(wèn)行(xíng)為(wèi)、異♣∑₽常出錯(cuò)提示、應用(yòng)系統的(de)其它信息。β←
第七十七條 應定期審計(jì)網絡系統、主機(jī)系統、數(shù)據庫系統和§¥€(hé)應用(yòng)系統的(de)日(rì)志(zhì↕γ)信息,發現(xiàn)異常行(xíng)為(w✘φ≈èi)信息和(hé)可(kě)能(nén☆≥g)的(de)安全事(shì)件(jiàn)。
第十一(yī)章(zhāng) 數(shù)據備份和(hé)恢複管理(lǐ)
第七十八條 數(shù)據備份包括各信息系統配置備份、操作(zuò)系統•≥層備份、數(shù)據庫層備份和(hé)應用(yòng)系統層備份等。
第七十九條 操作(zuò)系統層備份的(de)範圍包括操作(★ zuò)系統和(hé)系統運行(xíng)↔¥所産生(shēng)的(de)登錄和(hé)操作(zu¥×☆∞ò)日(rì)志(zhì)文(wén)件(ji¶©×àn)。
第八十條 數(shù)據庫備份的(de)範圍包括數(s↓≈♠hù)據庫數(shù)據文(wén)件(jiàn)和(Ω♦•λhé)數(shù)據庫日(rì)志(zhì)文(wén)件÷→$(jiàn)(包括歸檔日(rì)志(zhì)文(wén)件δσ↕☆(jiàn)、告警日(rì)志(zhì)文(wén)件(jiàn)和(hé)跟εβ蹤文(wén)件(jiàn));
第八十一(yī)條 應用(yòng)系統備份的(de)範圍包括程序文(wén)件(jiàn)、并©©∞ 發日(rì)志(zhì)和(hé)并發輸出 ↕§文(wén)件(jiàn)。
第八十二條 應用(yòng)系統和(hé)數(shù)據庫備份應備份至磁λ∑♠盤陣列設備中,并每日(rì)進行(xíng)增量備份,每月(∞yuè)進行(xíng)完整備份,備份信息至少(shǎo)應保存三↕→年(nián)。
第八十三條 在對(duì)網絡及信息系統配置變更、數(shù)據轉換前要(yàβ ♥o)進行(xíng)數(shù)據備份。
第八十四條 應對(duì)備份結果進行(xíng)檢↕♠查,檢查備份日(rì)志(zhì),确認備份有(™'εyǒu)效性,進行(xíng)相(xiàng)應記錄并簽字确認。
第八十五條 如(rú)果發現(xiàn)備份失敗,系∑¶統管理(lǐ)員(yuán)須檢查失敗原因,編寫故障報(bào) ¶↔告,并盡快(kuài)安排重新備份。
第八十六條 備份完成後如(rú)需保存備份介質,系統管理(lǐ)員₹✘σε(yuán)須取出備份介質,在标簽上(shàng)按要(yào)求記錄備份信息γ↔∏£,并移交備份介質管理(lǐ)員(yuán)。
第八十七條 對(duì)于關鍵的(de)備份數(shù)據,應建立異地(dì)數(shù)β₽據備份,異地(dì)備份介質的(de)存放(f→↓←↑àng)環境和(hé)管理(lǐ)要(yào)求與本地(dì)相Ω✘♦(xiàng)一(yī)緻。
第八十八條 數(shù)據恢複測試每年(nián)至少(shǎ<φo)進行(xíng)一(yī)次,數(shù)據恢複測試不λ(bù)得(de)影(yǐng)響XXXXX業(yè)務系統、生(shēng)産環境的← ÷(de)正常運行(xíng)。
第八十九條 數(shù)據中心管理(lǐ)員(yuán)在進行(xíng)數(shù)據γ÷£恢複測試時(shí),須确認備份數(shù)據$γ €的(de)可(kě)讀(dú)性和(hé)完整性,以及恢複方案的(de)可(♠"kě)執行(xíng)性,并填寫測試記錄,編寫恢複性測試報(bào↓₽∑)告,簽字确認并存檔;
第九十條 如(rú)果數(shù)據恢複測試失敗,數(shù★™)據中心管理(lǐ)員(yuán)須檢查失敗原因,編寫故障報(bào)告,>×并盡快(kuài)安排重新測試。
第九十一(yī)條 完成數(shù)據恢複測試後,數(shù)®據中心管理(lǐ)員(yuán)須及時(shí)清除測試環境中的(de®∞α)生(shēng)産數(shù)據,并歸還♦£(hái)測試用(yòng)備份介質。
第十二章(zhāng) 日(rì)常運行(xíng)維護管理∞"¶(lǐ)
第九十二條 應對(duì)信息資産指定維護管理(lǐ)人(rén∞ )員(yuán),并形成日(rì)常工(gōng)作(↕πzuò)計(jì)劃和(hé)時(shí)間(ji&✔♣₩ān)安排;
第九十三條 在指定運維管理(lǐ)人(rén)員(yuán)時(¥shí),應遵從(cóng)“責任分(fēn)離(lí)”原則,例如(r₽'®ú)對(duì)于操作(zuò)的(de)授權和(hé)執行(★♥♠ xíng)職責相(xiàng)分(fēn)離(lí),如(rú→ ®σ)果難于把責任分(fēn)離(lí),應當考慮₩₽↕采取其它的(de)管理(lǐ)措施,例如(rú):活動監測、審☆α查追蹤和(hé)管理(lǐ)層監督。
第九十四條 應對(duì)信息資産的(de)操作(zuò®≥)和(hé)日(rì)常維護等活動流程形 ≠★成規範化(huà)文(wén)件(jiàn)(如(rú)操作(zuò)手冊)Ωπ,并經過管理(lǐ)層授權;
第九十五條 在日(rì)常運行(xíng)維護管理(lǐ)過程中需要(yào)對( ≠duì)所管理(lǐ)的(de)系統進行(xíng)變更操作(zuò)時(♣↑±shí),應當根據《XXXXX信息安全變更管理(lǐ)規定》進行(xíng)。
第九十六條 在日(rì)常運行(xíng)維護管理(lǐ)過程中,出現(xiàn)緊'↔急安全事(shì)件(jiàn)時(shí)時(↓÷≤©shí),應根據《應急預案管理(lǐ)規定》相(←Ωxiàng)關要(yào)求和(hé)流程,啓≈₹α動相(xiàng)應的(de)應急響應預案。
第十三章(zhāng) 監督檢查和(hé)獎懲
第九十七條 安全管理(lǐ)員(yuán)應每季度進行(xíng)安全檢查,檢查內(nèi)容包括系統日(rì)常運行(xíng)、系統漏洞和↑®(hé)數(shù)據備份等情況。
第九十八條 XXXXX信息中心主管領導應每年(nián φ )進行(xíng)一(yī)次全面的(de¶π)安全檢查,檢查內(nèi)容至少(shǎo)包括現(xiàn)有®☆✘&(yǒu)安全技(jì)術(shù)措施的(de)有(yǒ™>u)效性、安全配置與安全策略的(de)一(yī)緻性、安全管理(lǐ)制γλ↕(zhì)度的(de)執行(xíng)情況等。根據全面安全檢查的(∞β$✔de)結果,彙總安全檢查數(shù)據,形成安全檢查報(bào)告,并對(du•∞ì)安全檢查結果進行(xíng)通(tōng)報(bào↓↓)。
第九十九條 XXXXX信息安全領導小(xiǎo)組應每兩年(nián©₹ )對(duì)信息系統安全管理(lǐ)規定進行(xíng≤"ε)審核一(yī)次,确保管理(lǐ)規定和(hé)XXXXX₽§∏®總體(tǐ)安全策略相(xiàng)适應。
第一(yī)百條 對(duì)于認真執行(xíng)信息系統安全管理(lǐ)規α♠δ€定的(de)組織和(hé)人(rén)員(yuán),并取得(dπΩδe)了(le)較好(hǎo)成績,XXXXX應給予必要(yào)的(de)鼓♥₽∞勵和(hé)宣傳。
第一(yī)百〇一(yī)條 對(duì)于違反XXXXX信息系統安全管理(lǐ)規定的(de)組織和(hé)人☆₩✔(rén)員(yuán),根據對(duì∞≤↕•)XXXXX造成業(yè)務損害程度,給予必€↓要(yào)的(de)懲罰。
第十四章(zhāng) 附則
第一(yī)百〇二條 本規定由XXXXX信息中心制(zhì)定,并負責解釋和(hé)修訂。
第一(yī)百〇三條 本規定自(zì)發布之日(rì)起執行(xíng)。
