《GCC制度学习培训.ppt》由会员分享,可在线阅读,更多相关《GCC制度学习培训.ppt(45页珍藏版)》请在三一办公上搜索。
1、GCC制度学习张正坤2010.12,目 录计算机用户安全管理制度(试行)信息安全管理制度(试行)信息系统监控制度(试行)问题处理管理制度(试行)操作管理制度(试行)数据管理制度(试行)备份管理制度(试行)防病毒管理制度(试行)防火墙管理制度(试行)信息系统帐号管理制度(试行)系统配置与基础架构管理制度(试行)软件变更管理制度(试行),计算机用户安全管理制度(试行),互联网的使用 禁止浏览与工作内容无关的网页。禁止从互联网下载或执行以下任何文件,包括但不仅限于以.exe.vbs.scr.pif.hta.reg、.bat等为扩展名的文件。禁止从互联网下载或通过公司局域网传送MP3等一切与工作无关的
2、音频、视频及图片等多媒体文件。电子邮件的使用 公司的电子邮件系统仅用于收发与工作内容相关的电子邮件。禁止使用第三方提供的网上电子邮件系统。,使用公司电子邮件系统收到不明发件者的邮件时,须避免直接打开此邮件或下载邮件所带附件,若附件为可执行文档,禁止对其进行打开下载及执行等操作,须立即将此邮件(连同其附件)进行彻底删除。禁止制造及转寄垃圾邮件,以及发放含有粗俗、暴力、色情成份的邮件。禁止使用公司提供的电子邮件帐号在互联网上进行注册。使用公司电子邮件传递敏感数据时,必须对数据进行加密。,计算机用户个人设备的使用 禁止用户将其持有的非公司配备的信息设备(如个人笔记本电脑等设备)接入公司内部网络,或与
3、公司的信息设备及系统相连接并存储公司数据。外来计算机用户的管理 外来人员因工作需要使用公司内部网络时,必须由接待外来人员的单位负责人同意后,经信息部负责人书面审批,由信息部技术人员进行安全检查后,在信息部或接待单位人员的监督下使用网络。,远程登陆 禁止用户安装用于远程登陆的软件,并对公司网络进行远程登入访问。利用公司许可的远程登陆软件,在信息部门规定时间内,用户可以远程登陆,如果超过规定的时间期限,则禁止用户远程登陆。密码规则 用户须自行保管公司信息系统的个人密码,确保密码的安全性,禁止将密码泄漏给他人,或将记有密码的纸张等介质暴露于公开场合,用户须定期更改其使用的信息系统的密码。禁止共享公司
4、的任何信息系统的帐号密码。关于详细的用户密码规范,请详见信息系统帐号管理制度及中国铝业股份有限公司SAP系统运行维护操作规程(试行)。,例外情况处理 如因紧急或特殊情况,计算机用户在工作中无法严格执行本规范中第二节至第七节中规定的操作,必须向其部门负责人及信息部负责人进行书面申请,在得到相应的审批后方可进行相关操作。具体流程为:申请人首先填写计算机用户安全管理特殊需求申请表,由其部门负责人及信息部负责人审批通过后,方可执行相关操作。定期巡检与抽查 对于以上规范的执行和实施情况,公司信息部将进行定期巡检,并公布检查结果。公司信息部有对计算机用户使用的所有公司配备的设备和系统进行监控及抽查的权利,
5、每季度抽查的比例不低于总量的5%。,信息安全管理制度(试行)公司的信息安全目标 保障信息系统安全稳定运行,保证业务连续性;保护公司的商业机密和技术机密,维护公司利益。信息安全组织机构及其职责 公司总部信息部成立信息安全工作小组,全面负责公司信息安全政策的制定和实施。各分子公司信息部同时设立信息安全管理岗位,负责分子公司信息安全管理工作。信息安全工作小组在信息安全工作方面的主要职责(略)分子公司信息安全管理员的主要职责 落实上级部门各项制度和要求,负责分子公司信息安全管理的日常工作;分析信息安全现状和问题,提出安全分析报告和安全防范建议,上报信息安全事件并提出初步处理意见。,信息安全工作内容 公
6、司必须建立和完善信息安全管理规章制度,规范和加强信息安全管理工作,所有员工都必须遵守与其相关的信息安全规章制度。公司信息部每年对信息安全制度进行审阅,以确保其持续有效性,并根据公司信息安全需求进行修订。公司信息部每年对公司的信息资产进行风险评估,总结信息资产的整体风险情况,并根据风险评估的结果,调整信息安全管理目标及安全管理计划。信息安全管理有关计划在正式实施前,须经信息安全工作小组和监管部门(如内审部)的批准,并向相关员工传达,明确相关人员应承担的义务和责任。加强内部人员安全管理,依据最小特权原则清晰划分岗位,实现适当的职责分离,重要岗位要有人员备份。公司员工须签署保密协议,并接受信息安全教
7、育培训,提高安全意识,及时报告信息安全事件。,必须加强针对第三方服务商访问和服务的安全控制,在风险评估的基础上制定安全控制措施。加强防病毒管理,制定并及时更新公司防病毒管理制度,部署、监管和指导公司的防病毒工作,研究并制定应急方案,应对计算机病毒爆发事件。加强对远程访问的控制,对远程访问进行适当授权,并定期对远程访问权限进行审核,确保远程访问权限被适当分配。规范机房安全设施建设工作,制定并实施物理安全管理和访问控制制度,定期审阅机房安全日志。加强网络安全管理,安装、设置并维护网络防火墙及其它网络设备,保障与互联网或其他公众网络的连接安全,控制数据在网络中的安全传递。定期对关键系统进行漏洞扫描,
8、确保系统的安全性。监控并记录系统设备的运行情况,定期审阅关键系统设备的日志,定期提交系统运行报告给信息部负责人进行审阅。,根据信息安全管理制度,信息安全管理员制定详细的信息安全工作计划,并根据计划组织实施。信息部负责人指定专人监督计划落实情况。信息安全工作小组以及信息安全管理员定期在公司范围内组织信息安全检查,确保所有业务活动符合公司规定的信息安全制度、标准及其相关规定。信息安全管理员获取并审阅所有与信息安全相关的内部和外部审计报告,并根据报告结果改进信息安全管理工作。,信息系统监控制度(试行)信息系统是指支持业务运行的设备(服务器、交换机、路由器、防火墙、VPN设备等)、操作系统、数据库和应
9、用系统。监控包括运行监控和性能监控。信息系统运行监控 各种信息系统事件日志都应该启动,并保证足够的日志空间。各种批处理工作日志都应启动,用以记录操作过程和结果。网络和系统管理人员每天对信息系统运行状况和日志进行巡检,以便及时发现交换机、路由器、防火墙、VPN等设备的故障,及时发现各种批处理是否成功。巡检人员每次对信息系统和日志检查后,在信息系统监控纪录表中记录巡检结果。发现信息系统故障或批处理操作失败,及时报告问题受理人员。具体问题处理流程参见问题处理管理制度。,信息系统性能监控 网络和系统管理人员每天巡检各种信息系统的性能状况,内容包括但不限于硬件设备CPU使用率、内存空闲率、硬盘空间使用率
10、、带宽利用率以及数据库的性能等。巡检人员每次检查完系统性能后,在信息系统监控纪录表中记录巡检结果。巡检人员在发现性能异常的时候,及时报告问题受理人员。具体问题处理流程参见问题处理管理制度。定期审阅与资源评估 信息部负责人指定专人定期审阅信息系统监控纪录表,每月进行总结分析,编写信息系统监控报告,提交信息部负责人审阅。根据信息系统运行和未来业务需求情况,信息部负责人每半年组织相关人员进行硬件资源容量的评估,参见硬件资源容量评估报告尽早制定硬件扩容计划,从而保证硬件资源满足未来的需求。,问题处理管理制度(试行)“问题”是指信息系统运行过程中出现的各类问题。对业务产生重大影响,需要短时间内解决的问题
11、称为紧急问题,其余的称为一般问题。问题受理和处理 公司信息部设立问题受理专责人员,负责问题的受理、记录、分派、处理过程的信息沟通以及处理结果的跟踪。对于一般问题,问题受理专责人员按照问题对正常业务和信息系统的影响程度,划分高、中、低三类处理优先级,确定处理顺序。能自己处理的问题,立即处理,否则提交问题处理人员。具体流程参见问题处理流程。对于紧急问题,问题受理专责人员立即联系问题处理人员处理,并上报信息部负责人。问题处理人员必须详细记录处理过程,在处理完成后,补填问题处理记录表,连同系统日志一起提交信息部负责人审阅。,对于所有问题,问题受理专责人员必须填写问题受理登记表,及时跟进,确保所有问题得
12、到妥善解决和记录。问题处理人员应在预期时间内及时向问题受理专责人员报告处理情况,提交问题处理记录表。问题报告和审阅 问题受理部门负责人每月审核汇总问题受理和处理情况,分析问题处理方法,总结问题产生的原因,并制订预防性措施,形成问题统计分析报告,提交信息部负责人审阅。问题受理和处理过程中产生的所有文档均由信息部文档管理人员统一保存和管理。保存期限至少为一年。,操作管理制度(试行)日常操作管理 信息部人员参考有关文档(软件开发商或硬件制造商提供的技术文档等),统筹考虑所有例行的重要操作(包括系统监控、备份、常规预防性维护等)填写操作手册建立/变更申请表,按照操作手册建立/变更流程规定制定相应的操作
13、手册。操作手册制定过程中的各类文档交信息部文档管理人员存档,同时按照操作手册建立/变更记录表的要求进行记录,操作人员自行保留操作手册的副本。操作手册包括系统(设备、操作系统、数据库和应用系统等)名称、操作名称、执行操作的岗位人员、操作规程和操作的流程顺序等信息,特别要明确执行日常操作的流程(必要时需明确执行操作的具体时间)。相关人员必须严格按照操作手册执行日常的重要操作,同时保存完整的操作记录。,信息部每月根据相应的操作记录检查操作手册的执行情况,并进行记录,检查和审阅人员签字存档。操作手册维护管理 信息部必须通过合理的权限分配,控制对操作手册的变更;必须通过严格的申请、审批、检查和确认程序控
14、制操作手册的变更,操作手册制作和检查工作需由不同人员进行。定期检查日常工作的资源需求和利用情况,对日常工作进行总结分析,拟定操作手册的变更方案,修订操作手册,确保操作手册内容与当前操作的一致性。具体流程参见操作手册建立/变更流程。变更后的操作手册,必须经过信息部负责人批准后才能实施。信息部文档管理人员统一保管操作手册,同时按照操作手册建立/变更记录表的要求进行记录,操作人员自行保留相应的副本。,例外操作管理 通常情况下,相关人员必须根据操作手册规定的步骤执行日常操作。例外情况下,不能按照操作手册的规定进行操作时,必须向相关负责人提出申请,得到批准后才能执行操作。具体流程参见例外操作处理流程。执
15、行例外操作前,操作人员应向信息部负责人提交例外操作申请表,由信息部负责人对申请进行审批。只有例外操作申请得到批准后,相关人员才能执行该操作,并填写例外操作处理记录表。信息部安排专人检查操作手册、例外操作申请表、例外操作处理记录表和操作日志(或记录),加强对例外操作的监督,确保所有例外操作严格按照例外操作处理流程执行。具体流程参见信息安全监控与安全事件报告管理制度、信息系统监控制度、SAP系统监控制度。,批处理操作管理 在系统安全稳定运行的情况下,为了简化日常操作,可在系统后台进行批处理任务的设置。需要建立批处理操作(含关键系统中的任务计划)的申请(详见批处理操作申请表)、变更和批准的管理流程,
16、并通过合理的人员权限分配,控制对批处理操作的变更。信息部应该建立批处理操作手册作为批处理的操作指导。批处理操作手册应该包括批处理任务清单、批处理工作的实现方式、执行批处理的权限设置、批处理任务的检查等内容。详见批处理操作手册内容。系统管理人员根据日常操作的执行情况以及通过对日常操作的记录进行分析,提出批处理操作的变更方案,同时考虑批处理操作变更对操作手册的影响,提出操作手册的变更方案。所有变更方案经测试通过后,交信息部负责人审批。具体变更流程参见操作手册建立/变更流程。批处理操作变更后,应立即变更相应的批处理操作手册。变更后的批处理操作和操作手册,必须经过信息部负责人指定专人检查和确认后才能实
17、施。信息部文档管理人员完整保存批处理操作过程中形成的各类文档。统一保管批处理操作手册,同时按照操作手册建立/变更记录表的要求进行记录,操作人员自行保留相应的副本。,数据管理制度(试行)数据:是指信息系统中的各种业务数据。数据保存管理 对于与财务报告相关的各种业务数据,须保存7年。重要的业务数据要保证物理上的安全,存放数据的介质必须放在安全的地方,非授权人员不得访问。关于数据备份的管理,参见备份管理制度中的相关内容。数据导入和修改 数据导入指信息部应数据拥有部门要求,通过后台数据库,将数据导入运行环境的操作。对于发生在批处理中的自动数据导入,请参见操作管理制度中批处理操作管理的相关内容。数据修改
18、指信息部应数据拥有部门要求,对公司信息系统中的数据在后台数据库中进行的修改。数据修改包含数据内容的修改以及数据库结构的变更。,数据导入/修改必须遵循统一的数据导入/修改申请流程,具体流程参见数据导入/修改流程。任何人不得在未经授权的情况下对应用系统数据库进行数据导入/修改的操作。数据导入/修改流程中的申请、审批、操作工作需分别由不同人员承担。数据导入/修改操作只能由指定的信息部人员执行,导入/修改权限须按照规范通过系统设定分配给指定人员。数据库中的数据操作日志、数据导入/修改/提取申请表、数据导入/修改/提取汇总表须保存三年。信息部负责人每半年委派人员将数据操作日志、数据导入/修改/提取申请表
19、和数据导入/修改/提取汇总表进行核对,确保所有数据导入/修改均经过了有效的审批以及数据导入/修改是准确的。,数据提取和发放 数据提取指信息部应数据拥有部门要求,对公司信息系统中的数据从后台数据库中进行的提取。数据提取和发放须遵循统一的数据提取申请流程,参见数据提取流程。任何人不得在未经授权的情况下对应用系统数据库进行提取和发放操作。数据提取中的申请、审批、操作及检查工作需分别由不同人员承担。数据提取的操作只能由指定的信息部人员进行,提取权限应按照规范通过系统设定分配给指定人员。数据库中的数据操作日志、数据导入/修改/提取申请表和数据导入/修改/提取汇总表须保留三年。信息部负责人每半年委派人员将
20、数据操作日志、数据导入/修改/提取申请表和数据导入/修改/提取汇总表进行核对,确保所有数据提取均经过了有效的审批以及提取是准确的。信息部只能把提取出的数据发放给申请人,不能发放给其他人员。对存放数据的介质,确保只有授权人员能够访问。,数据传输管理 应对数据传输进行控制:一、数据传输须有身份认证;二、敏感数据传输需要保留相关记录。当数据在系统之间自动传输时,系统中必须增加数据检查功能,确保所传输数据的完整性、准确性、合理性。应通过对防火墙、路由器等网络设备的设置,限制访问权限及控制数据传输路径。网络管理人员对数据传输路径的设置进行规范记录,并定期对网络设置进行评估,确保当前的设置能够满足数据传输
21、的安全性需求。具体内容参见系统配置与基础架构管理制度。传输路径需要变更时,必须提出正式申请,在获得批准后方可进行变更。具体流程参见系统配置与基础架构管理制度。,与第三方连接中进行数据传输时,参见第三方连接安全管理制度。在数据传输和传递过程中,信息部应采取措施保护敏感数据,通过权限设置,防止对数据未经授权的访问、修改,以及通过数据加密,保证数据传输过程中不被非法获取。,备份管理制度(试行)备份频率:一、对于与财务报告相关的各种业务系统数据须每天做备份;二、在数据被大规模更新前后,要对数据做备份;三、在操作系统和应用程序发生重大改变前后,要对系统和应用程序做备份。备份数据保留时间 与财务报告相关的
22、各种业务数据须保留七年。备份存储和备份介质管理一、对数据、操作系统以及程序做备份的时候,须备份在两份备份介质中,一份放在本地,另一份定期存放在异地;二、备份介质,无论是存放在本地还是异地,须确保存放场所的安全,保证只有授权人员可以访问;三、在备份介质上,必须有唯一标识,标明备份的内容和日期;四、在本地和异地建立一份备份介质目录清单,用以记录备份介质的位置、内容、数据保留期限。,备份恢复测试 备份介质中的数据须每半年进行恢复测试,以确保备份的有效性和备份恢复的可行性。备份介质销毁 一、备份介质的销毁必须经过相关人员授权后才可执行,并记录该销毁行为;二、若备份介质中存放机密数据,在销毁之前,对备份
23、介质进行处理,使得备份介质中的数据处于不可读状态;三、备份介质销毁后,须在备份介质登记表中注明已销毁。备份操作管理 备份申请遵循统一的备份申请、审批流程,需要经过数据拥有部门以及信息部相关负责人审批,具体流程参见备份申请流程。,备份策略制定后应制订或修改相应的备份操作手册(包含备份周期、备份失败的处理办法等),指导备份工作。备份操作人员须检查每次的备份工作是否成功,并填写备份工作汇总记录,对失败的备份操作处理需进行记录、汇报及跟进。参见备份工作汇总表。备份对象发生变更后,需调整备份策略和备份操作手册。备份策略的变更应得到数据拥有部门以及信息部负责人审批。具体流程参见备份申请流程。备份申请表、备
24、份策略汇总表和备份工作汇总表必须妥善保管。信息部负责人每半年安排专人对备份工作进行审核,核对系统中的备份策略与备份申请是否吻合,以保证备份是按照要求进行的;核对系统中的备份日志与备份工作汇总记录,以保证备份的有效性、完整性以及出现的问题已得到适当处理。,备份介质存放和管理 存放在本地和异地的备份介质必须具有明确的标识。标识和目录清单的命名规范参见标识和目录清单的命名规范。备份介质的运送和保管应由不同专责人员负责。本地和异地的备份介质均须填写备份介质登记表。无论备份介质放在本地还是异地,介质存放场所必须满足防火、防水、防潮、防盗、防磁等要求。存储介质库(柜)必须由介质保管人员存取,其他人员未经批
25、准不准操作。所有备份介质任何人员不得擅自借用。若要借用需经数据拥有部门和信息部门相关负责人批准,并填写备份介质借用登记表。借用人员使用完介质后,应立即归还。由介质保管人员负责检查,确认介质完好。介质保管人员及借用人员分别在借用登记表上签字确认。信息部负责人须每半年指定专人对备份介质在本地和异地的存放情况进行检查,审阅备份介质登记表,对备份介质进行盘点,确保备份介质的完整性和标识的规范性,并做好记录。,备份恢复 信息部管理层应制定相应的备份恢复计划,包括业务需求的恢复和测试性的恢复计划。计划中,应对于数据重要程度进行分类以保证能够按照优先级进行数据恢复。在备份操作手册中还须包含备份恢复前的准备工
26、作(更新系统设置、通知系统使用者备份恢复时间等)、备份恢复的操作步骤、恢复失败的处理方法和跟进步骤等。需要恢复备份数据时,需求部门应填写数据恢复申请表,由数据拥有部门以及信息部负责人审批。具体流程参见数据恢复流程。备份操作人员将备份恢复的审批文档及备份恢复工作的系统日志保存归档。信息部负责人须每半年安排专人审阅审批文件和系统日志,确保备份恢复工作符合数据恢复要求。备份操作人员须每半年对备份进行恢复测试,确保备份恢复工作能够顺利进行。备份恢复测试应作详细的记录,参见备份恢复测试表,并根据测试结果更新备份操作手册,妥善保管测试过程中的相关文档。,防病毒管理制度(试行)防病毒管理 总部信息部负责病毒
27、防治体系的统一构建和部署,公司信息部指定专人负责计算机病毒防治工作。总部信息部负责防病毒产品的选型和统一采购工作,分子公司经总部信息部批准后可自行采购防病毒产品。公司信息部防病毒管理人员负责对防病毒服务器进行日常维护,并定期审阅服务器日志,确保防病毒系统的正常运行。公司信息部防病毒管理人员负责制定防病毒产品的实时防护、文件防护、定时扫描、病毒日志和隔离区等参数的设置标准,用户严格按照此标准执行。公司信息部防病毒管理人员须及时获取防病毒产品补丁和最新病毒特征码,并对防病毒服务器进行及时更新。公司信息部信息安全管理员负责及时搜集并获取防病毒服务器和个人计算机操作系统的安全补丁,并指导安装工作。,公
28、司信息部信息安全管理员建立突发病毒事件应急处理预案,及时响应用户的病毒事件报告,协调有关方面制定处理方案并组织实施,同时跟踪相关反馈信息和处理结果,按信息安全监控和安全事件报告管理制度规定逐级上报有关部门。计算机用户管理 所有接入公司内部网络的计算机用户必须安装公司信息部指定的计算机病毒防治产品,开启实时扫描和病毒特征码自动更新的功能,接受公司信息部集中管理。未接入公司内部网络的计算机用户须安装公司信息部指定的单机版病毒防治产品,定时扫描计算机系统并及时更新病毒特征码。禁止计算机用户随意卸载防病毒产品和修改防病毒产品的设置。根据公司信息部的通知,计算机用户须及时做好防病毒产品的升级、系统安全补
29、丁的安装和病毒隔离区的维护等工作。,禁止计算机用户随意下载和运行未确定安全性的软件、程序和文档,在收到来源不明的电子邮件后,应立即删除。如果发生不明原因的系统工作异常或报警现象,计算机用户应立即断掉网络连接,并及时通知公司信息部问题受理人员。非本公司员工需要使用公司内部网络时,在确认可以进行安全操作的情况下才能接入公司内部网络。计算机用户在使用软盘、光盘和U盘等移动存储介质前,必须对该介质进行杀毒处理。公司员工不得私自发布计算机病毒疫情报告,所有员工都有义务和责任接受公司信息部组织的病毒防治教育和培训。防病毒检查 公司信息部应每季度对公司范围内的个人电脑进行一次抽查,抽查个人电脑防病毒产品的安
30、装和使用情况,填写个人电脑防病毒抽查情况登记表。每次抽查的数量要达到个人电脑总数的5%以上。公司信息部应向本级公司管理层汇报防病毒抽查情况,并及时采取措施解决防病毒抽查中出现的问题。,防火墙管理制度(试行)防火墙管理 公司内部网络和外部网络连接时必须安装防火墙,确保内部网络及连接的安全,并通过防火墙的设置对内外双向的网络访问按照策略和权限进行控制。公司信息部指定专人负责防火墙的管理工作。信息部防火墙管理人员应接受防火墙和网络安全方面的专业培训。公司信息部要配备后备防火墙管理人员,并收集后备防火墙管理人员的联系方式,以确保紧急时刻能够立即取得联系。防火墙管理人员必须严格遵守系统帐号管理制度中的规
31、定,需要和后备防火墙管理人员交接工作时,认真填写防火墙管理交接表。未经许可,任何人不得登录防火墙,厂商工程师只能在信息部防火墙管理人员的陪同和监督下进行调试,调试完毕后防火墙管理人员应立即更改口令。对防火墙的维修调试应进行详细记录。通过对路由器、交换机和防火墙等网络设备的设置,控制数据在网络中安全传递,公司网络与外部的数据传输只能通过指定的路径进行。,信息部防火墙管理人员根据系统配置与基础架构管理制度中规定的防火墙基准配置进行防火墙的初始配置。需要对防火墙的配置进行变更时,必须按照系统配置与基础架构管理制度中配置变更申请流程进行。防火墙的设置由公司信息部防火墙管理人员负责维护,确保防火墙设置的
32、有效性及安全性。公司信息部防火墙管理人员须及时了解防火墙的有关升级信息,防火墙的升级应严格按照系统配置与基础架构管理制度进行。在配置或访问控制策略更改后,公司信息部防火墙管理人员应及时导出防火墙的配置文件,作好备份并标明改动内容。备份文件须安全妥善地保存。公司信息部防火墙管理人员每季度对防火墙访问控制策略进行一次检查和优化,优化工作须严格按照系统配置与基础架构管理制度中配置变更申请流程进行。公司信息部防火墙管理人员每月分析防火墙日志,并编制防火墙运行报告交公司信息部安全管理员和公司信息部负责人审阅。,信息系统帐号管理制度(试行)系统帐号:是指应用层面及系统层面(操作系统、数据库、防火墙及其它网
33、络设备)的用户帐号。用户帐号申请、审批及设置由不同人员负责。系统拥有部门负责建立岗位权限对照表。普通帐号管理 申请人使用统一而规范的帐号/权限申请表提出用户帐号创建、修改、删除/禁用等申请。帐号申请人所属部门负责人及系统拥有部门负责人根据岗位权限对照表对应用层面的普通用户帐号申请进行审批。信息部负责人根据岗位权限对照表对系统层面的普通用户帐号申请进行审批。帐号管理人员建立各种帐号的文档记录,记录用户帐号的相关信息,并在帐号变动时同时更新此记录,具体内容见用户帐号记录。具体流程参见普通帐号管理流程。,特权帐号和超级用户帐号管理 特权帐号指在系统中有专用权限的帐号,如备份帐号、权限管理帐号、系统维
34、护帐号等。超级用户帐号指系统中最高权限帐号,如root等管理员帐号。只有经授权的用户才可使用特权帐号和超级用户帐号,严禁共享帐号。信息部每季度查看系统日志,监督特权帐号和超级用户帐号使用情况。尽量避免特权帐号和超级用户帐号的临时使用,确需使用时必须履行正规的申请及审批流程,并保留相应的文档。临时使用超级用户帐号必须有监督人员在场记录其工作内容。超级用户帐号临时使用完毕后,帐号管理人员立即更改帐号密码。具体流程参见特权帐号和超级用户帐号管理流程。,临时帐号管理 使用临时帐号时(如内外部审计人员、临时岗位调动人员),须填写统一的帐号/权限申请表。帐号申请人所属部门负责人及系统拥有部门负责人根据岗位
35、权限对照表对应用层面的临时用户帐号申请进行审批。信息部负责人根据岗位权限对照表对系统层面的临时用户帐号申请进行审批。帐号管理人员负责临时帐号的建立和记录。临时帐号使用完毕后,申请人及时通知帐号管理人员注销临时帐号。具体流程参见临时访问帐号管理流程。紧急帐号管理 根据紧急事件的等级建立相应权限的紧急帐号,专门处理紧急事件。帐号管理人员负责紧急帐号的下发和记录。紧急帐号使用人员必须在事件处理完毕后补办相关手续。紧急帐号使用完毕后,紧急帐号使用人员及时通知帐号管理人员禁用紧急帐号。具体流程参见紧急用户帐号管理流程。,用户帐号及权限审阅 系统拥有部门指定专人负责每季度对系统应用层面帐号及权限进行审阅,
36、并填写帐号/权限清理清单。信息部指定专人负责每季度对系统层面帐号及权限进行审阅,并填写帐号/权限清理清单。员工离职后,帐号管理人员及时禁用并删除离职人员所使用的帐号。如果离职人员是系统管理员,则及时更改特权帐号或超级用户口令。具体流程参见用户帐号审阅及权限确认流程。用户帐号口令管理 用户帐号口令发放要严格保密,用户必须及时更改初始口令。用户帐号口令最小长度为6位,并具有一定复杂度。用户帐号口令必须严格保密,并定期进行更改,密码更新周期不得超过90天。严禁共享个人用户帐号口令。超级用户帐号须通过保密形式由信息部负责人保存。,系统配置与基础架构管理制度(试行)系统配置:是指各应用系统、操作系统、数
37、据库设置,以及路由器、防火墙、核心交换机等网络设备和安全设备的设置。基准配置是指上述设置的基准。基础架构:包括支持业务运营的网络、系统平台和线路结构等。基础架构变更是指网络拓扑变更、线路调整、设备增减与迁移,以及数据库、各类操作系统的升级和补丁更新等。基准配置的制定与维护 在保证应用系统高效、安全运行的前提下,总部信息部建立操作系统、数据库、网络设备、安全设备等基准配置,基准配置必须与公司整体安全要求一致。各分子公司参照公司总部的基准配置执行。总部信息部信息安全管理员先在测试环境中对各种基准配置进行测试,以确保基准配置的有效性、安全性和可行性。,基准配置在经过总部信息部负责人的审核后,统一下发
38、给分子公司。总部信息部信息安全管理员每年须对各类基准配置进行检查,以确保基准配置满足业务需求和技术要求。检查之后,形成基准配置评估表交信息部负责人审阅。运行环境配置的设置与维护 经授权的配置管理人员根据系统安装手册和基准配置对初装系统或设备进行安装和配置,详细记录安装过程和配置清单。安装过后,由信息安全管理员核对实际配置是否符合基准配置要求。在对系统或网络设备配置变更时,配置变更必须遵照统一的变更申请流程。具体流程参见配置变更/基础架构变更管理流程。基础架构的变更 信息部建立基础架构的相关文档,包括网络拓扑图、设备分布图、机架分布图、跳线表、地址表等,当基础架构发生变更时及时更新此类文档。,信
39、息安全管理人员定期收集和分析各类操作系统、数据库和网络设备的补丁信息,并及时通知相应的配置管理人员。基础架构变更时,必须遵照统一的变更申请流程,参见配置变更/基础架构变更管理流程。定期审阅 为保证配置清单准确记录运行环境的配置,以及防止管理人员对基础配置、基础架构的非法更改,并保证及时发现网络系统中的安全漏洞,信息安全管理员每半年对网络和系统进行漏洞扫描,并对基础架构、运行环境中的配置进行审阅,范围包括:一、审阅信息系统中网络和系统配置、配置清单、配置变更申请表和配置/基础架构变更记录表,保证配置符合基准配置要求、配置内容的准确性以及配置变更是经过授权的。评估之后,须根据基准配置要求和评估结果
40、对具体的配置设置进行变更;,二、检查基础架构变动情况,审阅基础架构变更申请表以及配置/基础架构变更记录表,保证基础架构变更是经过授权的;信息安全管理员填写系统配置与基础架构审阅报告,报告中记录总体审阅过程和结论,并提交给信息部负责人审阅。文档保存 在系统配置和基础架构配置管理过程中产生的所有文档,均由信息部文档管理人员统一保存和管理。保留期限为三年。,软件变更管理制度(试行)软件变更与维护管理主要包括一般性变更、紧急变更、用户测试、版本控制、系统更新和权限管理等内容。一般性变更流程 需求部门提出系统变更需求,并将变更需求整理成变更申请书,由部门负责人审批后提交给信息部。信息部负责接受需求、分析
41、需求,并提出系统变更建议。信息部负责人审批变更申请书。信息部根据自行开发、合作开发和外包开发的不同要求组织实现系统变更需求,产生供发布的程序。信息部将所有的变更请求记录在任务管理表中,并按照优先级安排实施的先后次序进行跟踪处理。信息部负责对系统变更过程的文档进行归档管理,所有文档至少保存三年。详细流程参见系统变更流程。,紧急变更流程 对于紧急变更,需求部门可以通过电子邮件或传真等书面形式提出申请。信息部按照事先明确的紧急变更定义做出判断,确定其优先级和影响程度,并进行相应的处理。紧急变更过程中应使用专设系统用户帐号,由专责部门或人员启动紧急修改变更程序。信息部应对紧急变更的处理进行规范的文档记
42、录。在紧急事件处理完成后,必须补办正式、完整的文档。详细流程参见紧急变更流程。系统的版本控制 软件变更时,加强版本控制,确保每次在最新的代码基础上进行更改。应对下发的软件进行版本控制,由专责人员负责发布软件的版本管理。,系统变更的责权分离 应加强对运行环境的访问控制,只允许授权的用户访问运行环境中的应用系统。通过物理和逻辑隔离的手段,控制对运行环境的访问。限制开发人员对运行环境中应用程序文件夹的访问权限,只有经过授权的人员才拥有相应的权限。对授权访问运行环境的人员进行详细记录,并定期进行检查。普通用户只能通过前台登录系统,不能通过后台进行操作。系统维护人员不应该拥有前台应用程序的访问权限,更不应该在前台应用程序中担任实际的操作任务。禁止系统维护人员共享操作系统级别的账号。,