信息系统管理制度

第一章 用户和密码管理

第一条 对于网络设备、主机、操作系统、数据库、业务应用程序，系统用户都必须通过用户和密码认证方可访问。

第二条 用户权限分为普通用户、维护用户与超级用户三个级别。普通用户为各应用系统的使用者，维护用户为各层面系统维护者，超级用户为各层面的管理员用户。

第三条 具有重要权限的帐号密码设置必须符合以下安全要求:

（一）密码不得包含常用可以识别的名称或单词、易于猜测的字母或数字序列或者容易同用户发生联系的数据，比如自己、配偶或者子女的生日和姓名等内容。

（二）密码长度至少是六个字符，组成上必须包含大小写字母、数字、标点等不同的字符。

（三）如果数据库系统、应用系统提供了密码安全周期机制，则帐户密码必须至少每120天修改一次。

（四）同一密码不得被给定账户在一年内重复使用。

（五）如果数据库系统、应用系统提供了密码安全机制，则必须在30分钟之内连续出现5次无效的登录尝试，其账户必须锁定15分钟。在此期间，超级用户可以采用经过批准的备用验证机制重新启用账户。

（六）厂商默认密码必须在软件或硬件安装调试完毕后进行修改。

（七）对于操作系统，必须禁用GUEST帐户，并将管理员帐户重命名。

第四条 密码保护与备份策略：

（一）范围：网络设备、服务器操作系统、数据库、应用系统、ADSL帐户拨号信息；

（二）包含项目：网络设备包括访问的IP地址、端口，所有超级用户的用户名以及密码；

服务器操作系统的IP地址、所有管理员帐户名、密码；

数据库中所有具有系统数据库管理员权限的用户的用户名和密码；

应用系统中所有超级用户的用户名以及密码；帐户的用户名以及密码。

第二章 网络安全管理

第五条 需要全面、系统地考虑整个网络的安全控制措施，并紧密协调，一致实施，以便优化公司IT系统运营。明确规定有关网络的规划、实施、运作、更改和监控的安全技术要求，对网络安全状态进行持续监控，保存有关错误、故障和补救措施的记录。

第六条 网络层次管理必须遵循以下要求：

（一）应用系统所有者相关部门必须同集团信息管理部密切合作。

（二）必须编制并保留网络连接拓扑结构。

第七条 网络管理员负责生产网络、办公网络的安全管理，网络管理员必须掌握网络管理和网络安全方面的知识。

第八条 网络管理员必须使用安全工具或技术进行系统间的访问控制，并根据系统的安全等级，相应的在系统的接入点部署防火墙等网络安全产品，保证网络安全。

第三章 操作系统安全管理

第九条 操作系统管理员由信息管理部领导指定专人担任。

第十条 操作系统管理员主要责任包括：

（一）对操作系统登录帐号、权限、帐号持有人进行登记分配管理。

（二）制定并实施操作系统的备份和恢复计划。

（三）管理系统资源并根据实际需要提出系统变更、升级计划。

（四）监控系统运行状况，发现不良侵入立即采取措施制止。

（五）每1个月检查系统漏洞，根据实际需要提出版本升级计划，及时安装系统补丁，并记录。

（六）检查系统CPU、内存、文件系统空间的使用情况等。

（七）检查服务器端口的开放情况。

（八）每月分析系统日志和告警信息，根据分析结果提出解决方案。

第十一条 在信息系统正式上线前，操作系统管理员必须删除操作系统中所有测试帐号，对操作系统中无关的默认帐号进行删除或禁用。

第十二条 操作系统管理员与应用系统管理员不可兼职,当操作系统管理员变化时，必须及时更换管理员口令。操作系统管理员必须创建专门的操作系统维护帐号进行日常维护。

第十三条 本地或远程登录主机操作系统进行配置等操作完成后或临时离开配置终端时，必须退出操作系统。在操作系统设置上，操作系统管理员必须将操作系统帐号自动退出时间参数设置为10分钟以内。

第十四条 操作系统管理员执行重要操作时，必须开启操作系统日志，对于一些系统无法自动记录的重要操作，由操作系统管理员将操作内容记录在《系统维护日志》上。

第四章 数据安全管理

第十五条 数据库管理员由信息管理部领导根据工作需要指定专人担任。数据库管理员与应用系统管理员不能为同一个人，不可兼职。数据库管理员必须创建专门的服务支撑帐号进行日常服务支撑。

第十六条 数据库管理员的职责：

（一）数据库用户注册管理及其相关安全管理。

（二）对数据库系统存储空间进行管理，根据实际需要提出扩容计划。对数据库系统性能进行分析、监测，优化数据库的性能。必要时进行数据库碎片整理、重建索引等。

（三）制定并实施数据库的备份及恢复计划，根据备份计划进行数据库数据和配置备份，并检查数据库备份是否成功。

（四）监测有关数据库的告警，检查并分析数据库系统日志，及时提出解决方案，并记录服务支撑日志。

（五）检查数据库对主机系统CPU、内存的占用情况。

第五章 主机安全管理

第十七条 主机系统管理员由信息管理部领导指定专人负责，主机系统管理员与应用系统管理员不可兼职。主机的访问权限由主机系统管理员统一管理，并为系统应用人员分配与其工作相适应的权限。

第十八条 主机系统管理员必须每日检查主机机房工作环境是否满足主机的工作条件，包括不间断电源、温度、湿度、洁净程度等。若主机机房的工作条件不能满足主机的工作要求，应及时向上级主管部门反映，提出改善主机机房的要求，以保障主机设备的安全。

第十九条 主机系统管理员负责系统安全措施的设置，系统用户管理和授权，制定系统安全检查规则，实施对生产系统服务器的访问控制、日志监测、系统升级，防止非法入侵。

第六章 终端安全管理

第二十条 各计算机终端用户不允许进行任何干扰网络用户、破坏网络服务和破坏网络设备的活动，不得私自调整网络参数配置。

第二十一条 计算机终端设备为公司生产设备，不得私用，转让借出，除笔记本电脑外，其它设备严禁无故带出生产工作场所。

第二十二条 计算机终端设备均应用于与公司办公生产相关的活动，不得安装与办公生产无关的软件和进行与办公生产无关的活动。

第二十三条 所有计算机终端设备必须统一安装网络防病毒软件，接受公司防病毒服务器的统一管理，未经网络管理员同意，不得私自在计算机中安装非公司统一规定的任何防病毒软件及个人防火墙。对于特殊专业使用的终端设备必须安装适合的防病毒软件，符合防病毒安全管理规定。长期在外使用的计算机终端设备，必须及时升级操作系统补丁和防病毒软件。

第二十四条 信息管理部采取必要的管理工具或手段，检查终端设备是否及时升级操作系统补丁、是否及时更新防病毒软件的病毒库信息。

第二十五条 信息管理部定期组织检查办公用机器上是否安装或使用非办公软件及任何与工作无关的软件，定期检查是否访问反动、不良网站。

第二十六条 各计算机终端用户负责自己所拥有的