信息系统用户管理制度
- 格式:docx
- 大小:25.70 KB
- 文档页数:6
信息系统用户管理制度
第一条 范围及职责
1 本制度适用于信息系统用户的管理,包括:岗位配置原则、授权管理、第三方人员管理。
2 ( )部门负责信息系统用户管理制度的制定和修订。
第二条 岗位配置原则
3 根据信息系统职能要求,结合信息部门实际情况进行人员配备,权限、职能不同的角色必须分离,避免权责不清、责任不明确的现象发生。其中,系统管理员不能兼任安全审计员。
4 重要岗位实施角色备份制度,在合理设置工作岗位、完善工作职责的基础上,在相近岗位之间,实行顶岗或互为备岗制,以便能及时处理紧急任务。
5 为确保信息安全工作的顺利开展,保障信息系统的正常运行,须设置安全管理员(参见A1)、系统管理员(参见A2)、网络管理员(参见A3)、机房管理员(参见A4)、安全审计员(参见A5)和信息审查员(参见A6)并明确其工作职责。
第三条 授权管理
6 权限的分级应遵循以下原则。
1) 符合业务安全需求;
2) 遵循最小权限原则;
3) 系统管理员分配超级权限,一般用户则分配普通权限。
7 所有账号注册都必须通过申请才能开放。申请人提出权限申请,提交用户权限审批和修改表(参见A7)给( )部门审批,审批同意后才能开通相应的权限。每个用户必须被分配唯一的账号,账号名不能透露用户的权限信息,不允许共享账号。
8 所有系统都应该建立应急账号,应急账号数据必须放在密封的信封内妥善收藏,并控制好信封的存取。在使用后必须立刻修改,然后把新的密码装到信封里。
6、 人员调职、离职时,亦需提交用户权限审批和修改表(参见表A7)给( )部门审批,该员工的所有账号必须在最后上班日之前注销或修改。当注销账号时,必须确保已取消其相关的系统权限。 7、 每3个月对重要系统特权用户及权限进行审计,每6个月对各系统的普通用户及权限进行审计,重点关注权限与岗位是否匹配、权限的分配、变更、注销记录是否完整等。
8、 每3个月提交权限变更汇总记录,( )部门负责人对提交的数据进行审核,对审查过程发现的问题责成改进。
9 附则:
10 本制度由( )部门负责解释。
11 本制度自发布之日起生效执行。
A1安全管理员职责说明书
为了进一步落实网络安全和信息安全管理责任,明确安全管理员职责,确保网络安全和信息安全,安全管理员应落实如下责任:
1、负责对安全产品购置提供建议,负责组织制定各种安全策略与配置规则,负责跟踪安全产品投产后的使用情况。
2、负责指导并监督各安全岗位工作人员及普通用户的安全相关工作。
3、负责组织信息系统的安全风险评估工作,并定期进行系统漏洞扫描,形成安全评估报告。
4、根据信息安全需求,定期提出信息安全改进意见,并上报主管领导。
5、定期查看信息安全站点的安全公告,跟踪和研究各种信息安全漏洞和攻击手段,在发现可能影响信息安全的安全漏洞和攻击手段时,及时做出相应的对策,通知并指导系统管理员进行安全防范。
6、负责整合各种安全方案、安全审计报告、应急计划以及整体安全管理制度并报主管领导。
7、 若由于安全管理员工作疏忽或失误而导致安全事故发生,安全管理员应承担相应责任。
A2系统管理员职责说明书
为进一步落实主机安全和系统安全管理责任,明确系统管理员职责,确保主机安全和系统安全,系统管理员应落实如下责任:
1、负责主机操作系统的安全配置和日常审计,系统应用软件的安装,从系统层面实现对用户与资源的访问控制。
2、协助安全管理员制定主机操作系统的安全配置规则,并落实执行。
3、负责主机设备的日常管理与维护,保持系统处于良好的运行状态。
4、为安全审计员提供完整、准确的主机系统运行活动日志记录。
5、在主机系统异常或故障发生时,详细记载发生异常时的现象、时间和处理方式,并及时上报。
6、编制主机设备的维修、报损、报废计划,报主管领导审核。
7、 若由于系统管理员工作疏忽或失误而导致安全事故发生,系统管理员应承担相应责任。
A3网络管理员职责说明书
为了进一步落实网络安全和信息安全管理责任,明确网络管理员职责,确保网络安全和信息安全,网络管理员应落实如下责任:
1、负责网络的部署以及网络产品、相关安全产品的配置、管理与监控,并对关键网络配置文件进行备份,及时修补网络设备的漏洞。
2、协助安全管理员制定网络设备安全配置规则,并落实执行。
3、为安全审计员提供完整、准确的重要网络设备和网站运行活动日志。
4、在网络及设备异常或故障发生时,详细记载发生异常时的现象、时间和处理方式,并及时上报。
5、编制网络设备的维修、报损、报废等计划,报主管领导审核。
6、 若由于网络管理员工作疏忽或失误而导致安全事故发生,网络管理员应承担相应责任。
A4机房管理员职责说明书
为了进一步落实网络安全和信息安全管理责任,明确机房管理员职责,确保机房安全,机房管理员应落实如下责任:
1、负责机房所有设备的台帐和实物管理,固定资产帐、物相符应达到百分之百,设备完好率不低于百分之九十。
2、要定期或不定期检查机房内的空调、电源等电器设备,发现安全隐患要及时整改和上报,重要设备故障应做好维修记录。
3、每周向主管领导报告一次机房设备完好情况和维修情况。
4、严格核实出入机房人员审批手续的真实性和有效性,确保进入机房人员的作业内容与审批手续完全一致。
5、不得擅自将机房仪器设备外借给其他人使用。
6、电器设备和线路应经常检查,发现可能引起火花线路、发热和即将破损、老化等情况必须立即停止设备使用,报告修理,不得冒险使用。
7、保持机房环境整洁卫生,走道畅通,设备器材摆放整齐、排列有序,机房外鞋柜内拖鞋摆放整齐。
7、 若由于机房管理员工作疏忽或失误而导致安全事故发生,机房管理员应承担相应责任。
A5安全审计员职责说明书
为了进一步落实网络安全和信息安全管理责任,明确安全审计员职责,确保信息系统安全,安全审计员应落实如下责任:
1、负责根据系统管理员提供的主机运行日志记录以及网络管理员提供的网络设备和网站运行日志进行安全审计工作,判断信息系统及资产是否安全,并按时上交安全审计报告。
2、对审计过程中发现的安全问题做出及时处理,上报备案,并通知相关负责人。
3、对于审计记录、内容以及存储设施必须给予保护(如一些文档的记录或者存储设备),以防止非授权的访问。
4、要建立与审计相关的监控程序,以确保只能进行已经明确规定的授权活动。要定期回顾监控活动记录。
5、确保对储存和处理的审计日志进行了保质期识别并登记;如果确定已过期记录无保存价值,则必须采取适当的措施销毁记录。
9、 若由于安全审计员工作疏忽或失误而导致安全事故发生,安全审计员应承担相应责任。
A6信息审查员职责说明书
为了进一步落实网络安全和信息安全管理责任,明确信息审查员职责,确保无不良信息传播以及公文的规范性,信息审查员应落实如下责任:
1、负责审查网站信息以及内部公文。对网站信息中出现的不良信息(包括言论、图片、网站链接等)进行及时过滤。
2、审查内部信息公文的格式及内容的规范性,判断有无涉及非授权信息。
3、负责审查发布信息中是否存在工作敏感信息和国家秘密信息。
4、 制定网站规范有关规定,对不良信息进行明确划分。
5、 若由于信息审查工作疏忽或失误而导致安全事故发生,信息审查员应承担相应责任。
A7 用户权限审批和修改表
申请联系人
信息 姓名 单位/部门
岗位 联系电话
涉及权限变更的人员信息 姓名 部门/岗位 联系电话 需要变更的系统 备注
变更原因
用户访问权限变更描述
使用部门
审核意见
签名:
应用管理部门审核意见 签名:
执行信息
系统管理员
签名: 备注: