信息系统安全策略
类别:计算机信息管理制度编码:CI01-2011 起草单位:信息管理部下发日期:2011.2
第一章总则
第一条为了保证中煤张家口煤矿机械有限责任公司(以下简称张煤机)信息系统的安全和发展、保证信息系统的正常运行,特制定本安全策略。
第二条信息系统应用、服务支撑和管理的相关人员应该遵守《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》等相关法律、法规以及和张煤机有关安全管理规定的要求。
第三条信息系统包括业务支撑系统(BSS)、运营支撑系统(OSS)、管理支撑系统(MSS)和信息系统基础设施以及内网信息安全体系。
第四条张煤机所属各单位的信息系统管理工作,均应严格遵照本管理办法执行。各单位可以根据本办法,结合实际情况制定本单位实施细则。
第五条信息系统相关部门一般分为信息系统管理部门、信息系统应用部门和信息系统服务支撑部门。
(一)信息管理部作为张煤机信息系统管理部门以及信息系统服务支撑部门;
(二)凡是操作、使用信息系统的单位为信息系统应用部门;
第六条本管理办法由张煤机信息管理部负责解释。
第七条本管理办法自发布之日起执行
第二章总体要求
第八条信息系统的安全实行集中管理制。张煤机信息管理部是信息系统安全的管理部门,负责解决运行管理中的安全问题,并对信息系统应用部门安全管理负有指导、监督和检查责任。
第九条信息系统服务支撑部门负责人必须指定专门的信息系统管理人员和文档管理人员。信息系统管理人员是系统安全的具体责任人,负责所辖系统
机房、信息系统及网络的日常管理和信息安全工作,应经常对信息系统的软件、硬件进行检查和服务支撑,做好安全防范,保证网络能够持续有效地运行,并结合工作需要及时对信息系统上的信息进行更新服务支撑,及时对发布的信息进行复核,公布有效信息,清除垃圾信息等。文档管理人员负责对信息系统安全的关键配置、用户权限变更、重要日志等文档进行保存。
第十条信息系统服务支撑部门应结合本部门的具体情况,负责落实信息安全责任制,定期(至少每月一次)进行信息安全检查,杜绝各类信息安全隐患,做好信息系统安全管理工作,保证信息系统的安全,使其正常高效地运行。
第十一条信息系统服务支撑部门应定期(至少每6个月一次)对所属工作人员进行有关信息系统安全的教育和培训,提高系统管理队伍的整体素质和操作能力。
第十二条各级人员严格遵守通信纪律,增强保密意识,保守通信机密,不能向无关人员泄漏系统及其数据结构、容量配置、统计数据等相关技术资料。
第十三条严格遵守保密制度,有关业务系统数据、报表数据、用户资料数据等均属秘密,不得任意抄录、复制及带出,也不得转告与工作无关人员,不用的草稿、报表应及时销毁。
第十四条信息系统服务器及网络设备必须使用经正式授权的正版软件,不得安装使用任何盗版及与提供服务无关的软件;软件使用部门和个人取得新软件前必须确认其购买与安装是否符合公司的软件使用政策。
第十五条信息系统服务支撑单位应建立信息系统安全事件应急流程预案(包括机房环境、DCN网络、信息系统、终端等)并且进行定期(至少每年一次)演练,发生紧急安全事件时应依照预案流程进行,快速恢复信息系统正常运行。
第三章用户和密码管理
第十六条信息系统服务支撑部门系统管理员为系统中的每一个用户创建唯一的用户帐号。在特定情况下可以使用共享的用户ID,但必须经过授权,并采取额外的控制措施来保证责任到人。用户ID不得体现用户的权限级别。对所有在线的系统无论是本地或远程操作,系统用户都必须通过系统的密码认证。
第十七条帐号密码设置需符合以下安全要求:
(一)密码不得包含常用可以识别的名称或单词、易于猜测的字母或数字序列或者容易同用户发生联系的数据,比如自己、配偶或者子女的生日和姓名等内容;
(二)密码长度至少是六个字符,组成上可以包含大小写字母、数字、标点等不同的字符;
(三)同一密码不得被给定账户在一年内重复使用;
(四)如果在30分钟之内连续出现3次无效的登录尝试,登录界面自动关闭。
(五)厂商默认密码必须在提供该密码的软件安装完毕后马上进行修改。
(六)用户取得各种应用的初始密码后应立即进行更改。
第十八条系统管理员的密码更新后,应将新密码记录送交指定人员封存,并销毁旧密码。当系统管理员发生变化时,新的系统管理员应立即更改密码。
第十九条应制定用户帐号的注册和注销程序,用户申请帐号和权限时,由用户所在部门帐号管理人员提交《用户权限申请表》(见附件一),由用户所在部门主管领导和信息系统服务支撑部门主管领导对用户权限和申请原因等内容进行审批,系统管理员根据审批后的申请表,设置用户的帐号和权限。
第二十条超级权限用户的分配应遵循以下标准:
(一)确定不同系统的超级权限以及需要获得此类特权的人员类型;
(二)超级权限应基于“使用需要”,逐个事件进行分配,即以完成其岗位职责的最低要求为依据,如某些超级权限在完成特定任务后应被收回;
(三)保留所有超级权限分配授权流程的记录。在授权流程结束之前,不得授予特权;
(四)当某用户需要超级权限时,应在其原有的用户ID之外,另行设置一个授予了超级权限的特殊帐户(超级权限应是不同于一般商业用途的用户ID 的另一个ID);
(五)超级用户密码应进行有效和安全的备份,并交由专人保管。
第二十一条系统管理员掌握的超级管理员密码正常情况下应每90天修改一次,由系统管理员修改密码并将修改后的系统管理员帐号密码记录,销毁旧
密码,将修改情况填写在《系统管理员密码记录表》中封存,签封后交信息系统服务支撑部门领导保管,以备紧急情况下使用。
第二十二条应严格执行超级权限用户帐号和密码的登记备案制度,建立在紧急、无法通过正常授权的情况下,备份帐号密码的使用流程。系统管理员将密码记录在纸质的密码记录表上封存,签封后交部门指定人员集中保管,以备急需之用。一旦封存密码使用后,系统管理员应按照要求及时变更密码并重新封存,每次系统管理员更改系统密码时应填写《系统管理员密码记录表》。
第二十三条在发生紧急情况并且不能联系到系统管理员时,经信息系统服务支撑部门领导同意,可以启用封存的密码。一旦封存密码使用后,由系统管理员按照要求及时变更密码,并封存进行集中保管。
第二十四条需定期核查用户的访问权限,并出具《用户权限复核表》(见附件二)。具体要求如下:
(一)用户访问权限应由用户所在部门的管理人员、系统所有人及系统服务支撑人一起确认;
(二)用户帐户的访问权限应至少每6个月检查一次,特殊功能帐户应至少每3个月检查一次,超级帐户应至少每1个月检查一次;
(三)任何变化发生后应进行核查;
(四)定期搜索、检查多余、闲置或非法的账户,并予以冻结或删除;
(五)对核查中发现的问题,应督促相关人员采取必要措施予以纠正。
第二十五条当系统用户由于岗位变动或离职等原因离开原工作岗位时,由用户原所在部门帐号管理人员填写《用户权限申请表》,送信息系统服务支撑部门领导进行审批,审批通过后,系统管理员进行帐号、权限变更。
第二十六条员工有责任和义务保管好个人的各类账号和密码,由于密码泄漏造成的不良后果由员工本人承担。员工不得在任何场合随意公开各种应用的用户名和密码。
第四章机房安全管理
第二十七条信息系统所辖机房的电源系统、空调系统、监控系统、门禁系统、报警系统、消防系统的服务支撑以及对电源电压,地线、接地,环境温、
