XX 单位系统安全管理制度20xx 年 xx 月第 1 页 共 9 页目录1 总则.....................................................................................................32 依据标准和文件.................................................................................33 术语和定义.........................................................................................34 职责.....................................................................................................35 管理内容和办法.................................................................................4第 2 页 共 9 页1 总则为了规范 XX 单位系统安全管理,合理、可靠、安全、高效地管理 XX 单位计算机系统,保障 XX 单位计算机系统的安全、稳定地运行,保障计算机系统良好的环境,根据信息安全管理标准 GB/T 22080-2008/ISO/IEC 27001:2005《信息技术 安全技术 信息安全管理体系 要求》和 GB/T 22081-2008/ISO/IEC 27002:2005《信息技术 安全技术 信息安全管理实用规则》中日常安全工作的要求,结合 XX单位实际情况,特制定本办法。本办法适用于 XX 单位信息中心进行计算机系统的安全管理。2 依据标准和文件GB/T 22080-2008/ISO/IEC 27001:2005《信息技术 安全技术 信息安全管理体系 要求》GB/T 22081-2008/ISO/IEC 27002:2005《信息技术 安全技术 信息安全管理实用规则》3 术语和定义本办法中的信息系统,主要指的是支持业务运行的操作系统、应用系统、网络和机房等技术基础架构。第 3 页 共 9 页4 职责4.1 信息中心4.1.1 负责组织制定全局计算机操作系统的维护管理规定,负责组织检查下属各区局信息系统维护的执行情况,并对各区局的维护工作给予指导。4.1.2 收集整理计算机操作系统运行维护中的问题,并组织解决。4.1.3 指导下属各区局的信息系统维护部门完成系统维护、安全加固、帐号管理病毒防范和故障检修等工作,并提供必要的技术支持。4.1.4 负责定期分析全局计算机操作系统的运行质量等情况,并向领导层提供改善建议及依据。4.1.5 督促、协助相关科室处理重大系统故障。事后及时总结经验,组织制定防范措施,指导全局的系统维护管理工作。4.2 系统管理员4.2.1 严格遵守各项规章制度和操作规定。4.2.2 熟悉各类操作系统的命令操作,能熟练地用命令检查操作系统运行情况和进行配置。4.2.3 负责操作系统的安装、配置和维护工作的实施。4.2.4 定期检查服务器的系统日志、系统资源运行情况和帐号口令,并作好记录4.2.5 负责对系统故障进行及时处理,并及时向主管报告。4.2.6 管理好系统运行方面的记录,定期分析、研究和总结。4.3 安全管理员4.3.1 从安全角度审核系统安装、配置、维护和加固方案。4.3.2 负责定期对操作系统进行扫描,并提交相关的安全建议方案。第 4 页 共 9 页4.3.3 制订操作系统的访问控制策略和安全策略。4.3.4 定期跟踪国内外最新的系统安全预警信息,并提出预处理方案。4.3.5 负责系统安全事故的记录、总结与上报,定期总结安全状态和提交改善建议方案。5 管理内容和办法5.1 操作系统安全管理5.1.1 身份鉴别(1)应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证系统中不存在重复用户身份标识,身份鉴别信息不易被冒用。(2)应更改默认的系统管理员帐号和口令,管理员帐号应采用实名制。(3)应启用控制台锁定功能,屏幕保护程序在恢复控制台显示之前,应要求用户名和口令认证。(4)应对操作系统文件、目录的访问权限进行控制。(5)应提供登录失败处理功能,并且采取结束会话、限制非法登录次数和自动退出等措施。(6)禁止从互联网远程登录服务器,内部网络登录服务器应该限制其登录源 IP或 MAC 地址以及用户捆绑。5.1.2 只启用系统需要发挥作用的服务,并开启其端口,限制或关闭不需要的服务或端口。5.1.3 关键业务信息系统要定期进行漏洞检查,并确定是否需要进行安全加固,必须定期更新操作系统防病毒软件特征库,并做好记录。5.1.4...
