信息系统安全管理制度

计算机信息系统安全管理系统2008年8月目录第一章总则3第二章系统经理的职责3第三章房间管理系统4第四章系统管理员工作规则4第五章安全管理员工作规则7第六章关键管理员工作规则9第七章计算机信息系统应急预案10第八章补充规定10第一章总则第一条为进一步加强本单位计算机信息系统的安全保密管理，根据中华人民共和国保守国家秘密法及相关保密规定，结合本单位实际情况，制定本制度。第二条计算机信息系统包括分类计算机信息系统和非分类计算机信息系统。其中，分类计算机信息系统是指以计算机或计算机网络为主体，按照一定的应用目标和规则处理分类信息的人机系统。第三条涉密计算机信息系统的保密应当坚持积极防范、突出重点的方针，既保证国家秘密的安全，又有利于信息技术的发展。第四条涉密计算机信息系统的安全保密应当遵循分类保护与分类管理相结合、行政管理与技术防范相结合、外部防范与内部控制相结合的原则。第五条涉密计算机信息系统的安全保密管理坚持“谁使用、谁负责”的原则，实行主要领导负责制。第二章系统经理的职责第六条各部门负责本单位保密计算机信息系统的管理。具体技术工作由信息中心承担。应设置以下安全管理岗位：系统管理员、安全管理员和密钥管理员。第七条系统管理员负责信息系统和网络系统的运行维护管理。其主要职责是：信息系统主机的日常操作和维护；信息系统的系统安装、备份和维护；信息系统数据库的备份管理；应用系统访问权限的管理；网络设备管理；网络线路保证；网络服务器平台的运行管理与网络病毒入侵的防范。第八条安全管理员负责网络信息系统的安全技术管理。其主要职责是：管理网络信息安全政策；网络信息系统的安全检查；涉密计算机的安全管理；网络信息系统的安全审计管理；监测非法外联活动。第九条密钥管理人负责密钥管理，主要职责是：身份认证系统的管理；钥匙的制作；更换钥匙；钥匙损坏。第十条涉密计算机信息系统安全管理人员的管理，应当遵循“永不分离”、“权责分散”和“最低权限”的原则。第十一条新调入或委派到分类岗位的系统管理人员，上岗前必须接受保密教育和网络安全知识培训。第十二条保密单位负责组织系统管理人员定期开展保密法律法规的宣传、教育和培训。第三章机房管理系统第十三条进入机房应当进行记录。非机房工作人员不得进入机房。外国人员访问机房应经安全办公室批准，并有专人陪同。第十四条进入机房的人员不得携带易燃、易爆、腐蚀性、强电磁、放射性、流体物质、食品等对设备正常运行构成威胁的物品。电脑室里严禁吸烟。严禁在机房内堆放与工作无关的杂物。第十五条机房内不得使用无线通信设备。禁止摄影和摄影。第十六条各种技术第二十条机房门必须随时关闭并上锁。机房钥匙由信息中心管理。第二十一条机房准入卡(以下简称准入卡)由信息中心管理。第二十二条准入卡的发放范围为：系统管理员、安全管理员和密钥管理员。第二十三条临时进入机房工作的人员不再发放准入卡，经主管部门批准后，由安全管理员陪同进入机房。第二十四条出入卡应妥善保管，不得丢失或相互借用。第二十五条门禁卡遗失后，应立即向信息中心报告，并同时书写书面说明。第四章系统管理员工作规则第一节系统主机维护管理措施第二十六条系统主机由系统管理员维护，未经许可，任何人不得操作系统主机。第二十七条主机系统应根据系统设计方案和应用系统运行要求进行安装和调试，建立系统管理员账户，设置管理员密码，建立用户账户，设置系统策略、用户访问权限和资源访问权限，系统主机应按照安全风险最小化和运行效率最大化的原则进行配置。第二十八条应建立系统设备档案(见表2)，包括系统主机的详细技术参数，如品牌、型号、购买日期、序列号、硬件配置信息、软件配置信息、网络配置信息和系统配置信息。系统主机保修卡应妥善保管，当系统主机软硬件信息发生变化时，应及时更新设备文件。第二十九条系统主机管理员的密码每周修改一次。密码长度不得少于八位数字，并要求数字、字符、字母和区分大小写。第三十条系统主机的运行性能每周通过系统性能分析软件进行分析，并详细记录(见表4)。系统主机根据分析进行优化，包括磁盘碎片整理、系统日志文件清理、系统升级等。第三十一条系统日志、系统策略和系统数据应每周备份一次，并详细记录(见表4)。第三十二条每天检查系统主机的所有硬件设备是否正常运行，并做好详细记录(见表5)。第三十三条每天检查系统主机的应用服务系统是否正常运行，并做好详细记录(见表5)。第三十四条每周下载并安装系统补丁的最新版本，升级系统主机并做详细记录(见表4)。第三十五条每天记录系统主机的运行维护日志，总结系统主机的运行情况。第三十六条系统主机发生故障时，应及时通知用户，并在最短时间内解决故障，以确保系统主机尽快正常运行，并详细记录系统故障(见表6)。第三十七条每月总结系统主机运行情况，编写系统主机运行维护月报，并向安全办公室报告。第二节信息系统运行维护管理措施第三十八条系统管理员负责信息系统的运行和维护。未经允许，任何人不得操作信息系统。第三十九条信息系统应当按照信息系统的设计要求和实施细则进行安装、调试和配置。应建立信息系统管理员帐户并设置管理员密码。密码应由数字、字符和字母组成，并区分大小写。密码长度不得少于8位数字。第四十条信息系统的基本配置信息应做详细记录，包括系统配置信息、用户账户名称、系统安装目录和数据文件存储目录。当信息系统的配置信息发生变化时，应及时更新记录(见表3)。第四十一条信息系统数据、用户标识文件和系统日志应当每周备份一次，并详细记录(见表4)。备份介质应为第四十四条每天检查信息系统的应用功能是否正常运行，并做好详细记录(见表5)。第四十五条信息系统发生故障时，应及时通知用户，并在最短时间内解决故障，以确保信息系统尽快正常运行，系统故障应详细记录(见表6)。第四十六条每天记录信息系统的运行维护日志，总结信息系统的运行情况。第四十七条每月对信息系统的运行和维护情况进行总结，编写信息系统维护月报，并向安全办公室报告。第三节网络系统运行维护管理措施第四十八条网络系统的运行和维护由系统管理员负责。未经许可，任何人不得操作网络系统。第四十九条网络系统应当按照网络系统设计方案和实施规则进行安装、调试和配置，包括交换机配置和路由器配置，建立管理员账户，设置管理员密码，关闭所有远程管理端口。第五十条应建立系统设备档案(见表2)，包括交换机和路由器的品牌、型号、序列号、购买日期和硬件配置信息。综合布线系统信息配置表、交换机系统配置、路由器系统配置、网络拓扑结构图和VLAN划分表应详细记录，设备文件应在系统配置发生变化时及时更新。第五十一条每天检查网络系统设备(交换机、路由器)是否正常运行。第五十二条网络系统设备(交换机、路由器)应当每周清洗一次。第五十三条网络系统管理员的密码应当每周修改一次。第五十四条网络系统的性能应当每周进行测试，包括数据传输的稳定性、可靠性和传输速率。第五十五条网络系统配置数据应当在网络变更后进行备份。第五十六条网络系统发生故障时，应及时通知用户，并在最短的时间内解决问题，确保网络系统尽快正常运行，系统故障应详细记录(见表6)。第五十七条每月总结网络系统的运行和维护情况，并每月报告网络系统的运行和维护情况。第四节终端计算机运行维护管理措施第五十八条系统管理员负责终端计算机的维护。未经允许，任何人不得维护终端计算机。第五十九条主机应当根据用户的应用要求和安全要求进行安装和调试，安装操作系统、应用软件、防病毒软件和技术保护软件。第六十条应当建立系统设备档案(见表2)，包括计算机的品牌、型号、购买日期、序列号、硬件配置信息、软件配置信息、网络配置信息和系统配置信息，并在计算机主机软硬件信息发生变化时及时更新设备档案。第六十一条计算机主机发生故障时，应及时处理，备份用户文件，在最短时间内解决故障，尽快保证计算机主机的正常运行，并详细记录计算机主机故障情况(见表6)。如果存储介质损坏，应直接送到安全办公室进行处理。第五节网络病毒入侵的防范和管理措施第六十二条系统管理员负责网络病毒入侵防御系统。未经允许，任何人不得进行这项操作。第六十三条瑞星网络病毒防护系统应当按照网络系统安全设计的要求进行安装和配置，包括服务器端系统配置和客户端系统配置，并启动客户端防病毒系统的实时监控。第六十四条反病毒系统的系统日志应当每日监控，以检测是否存在病毒入侵、安全隐患等。发现问题应及时处理，并做好详细记录(见表8)。第六十五条登陆反病毒网站第六十八条网络安全策略管理由安全管理员专职负责，未经许可，任何人不得进行此项操作。第六十九条根据网络信息系统的安全设计要求和主机审计系统数据的分析结果，制定、配置、修改、删除和记录主机审计系统的各项管理策略(见表11)。第七十条根据网络信息系统的安全设计要求，制定、配置、修改、删除和记录网络安全评估分析系统的各种管理策略(见表11)。第七十一条根据网络信息系统的安全设计要求，制定、配置、修改、删除和记录入侵检测系统的各项管理策略(见表11)。第七十二条根据网络信息系统的安全设计要求，制定、配置、修改、删除和记录网络主机安全监控与审计系统的各种管理策略(见表11)。第七十三条网络信息系统安全管理策略应每周进行数据备份，并做好详细记录(见表12)。第七十四条网络信息安全技术保护系统(主机审计系统、漏洞扫描系统、防病毒系统、内网主机安全监控和审计系统)由网络安全管理员安装和卸载。第二节网络信息系统安全检查管理措施第七十五条网络信息系统的安全检查应当由安全管理员专职进行。未经允许，任何人不得进行这项操作。第七十六条根据入侵检测系统的系统策略检测和审计系统日志，检查是否存在网络攻击、异常操作、异常数据流等。每天及时处理异常情况，向安全办公室报告重大安全问题，并做好详细记录(见表13)。第七十七条每周登录入侵检测系统产品网站，下载最新的升级包，更新系统并做详细记录(见表14)。第七十八条网络系统终端应当每月通过漏洞扫描系统进行安全评估和分析，并对扫描结果进行分析。及时处理终端系统漏洞和潜在的安全风险，并做好详细记录(见表15)，向安全办公室提交安全评估分析报告。第79条每周登录完整评估产品网站，下载最新升级包，更新系统并做详细记录(见表16)。第八十条入侵检测系统和漏洞扫描系统的审计信息应每周备份一次，并详细记录(见表17)。第三节涉密计算机安全管理办法第八十一条涉密计算机的安全管理由安全管理员负责。未经允许，任何人不得进行这项操作。第八十二条根据网络系统安全设计的要求，制定、修改和删除涉密计算机的安全审计策略，包括打印控制策略、外围输入/输出控制策略和应用程序控制策略，并予以记录。第八十三条安全审计应当每天对涉密计算机进行，及时处理安全问题，并做好详细记录(见表十八)。如有重大问题，应报告安全部门。第八十四条增加、变更和淘汰涉密计算机，应当经保密部门审查批准。审批通过后，安全管理员进行统一操作并做详细记录(见表18)。第八十五条新增的涉密计算机应当经保密办公室批准，由保密管理员统一操作并详细记录(见表18)。第四节安全审计管理办法第八十六条安全管理员负责网络信息安全审计系统。未经允许，任何人不得进行这项操作。第八十七条主机安全审计系统应当按照网络系统主机安全