信息系統運維安全管理規定

第一章?總則

第一條 為加強XXXXX信息系統運維的安全管理，保障信息系統的網絡安全與信息安全，依據國家有關法律、法規和XXXXX有關規章制度，特制定本規定。

第二條 XXXXX信息系統運維安全管理范圍包括網絡安全管理、操作系統安全管理、用戶訪問授權管理、密碼管理、防病毒管理、系統補丁管理、介質管理、信息交換管理、安全監控和審計管理、數據備份和恢復管理、日常運行維護管理以及監督檢查等相關內容。

第三條 本規定適用于XXXXX信息系統運維中的安全管理。

第二章?網絡安全管理

第四條 信息中心統一規劃XXXXX網絡架構，并根據安全風險情況部署安全設備，確保網絡安全和信息安全。

第五條 網絡管理員應對網絡拓撲進行統一管理，應保持拓撲結構圖與現行網絡運行環境的一致性，拓撲圖應包括網絡設備、安全設備的型號、名稱以及與鏈路的鏈接情況等。

第六條 網絡管理員應維護所有網絡設備的物理連接情況，控制和管理網絡接口的使用。

第七條 網絡管理員應監控網絡的運行狀況，發現影響較大的網絡故障時，必須及時向XXXXX信息中心報告。

第八條 通信鏈路及帶寬資源管理應當遵循合理分配、高效使用的原則，禁止使用網絡傳送非業務需要的內容。

第九條 未經允許，網絡中嚴禁隨意使用無線網絡通訊設備進行訪問。

第十條 未經允許，任何計算機、網絡設備、安全設備不允許隨意接入網絡中。

第十一條 外部人員在接入互聯網時，應經過部門領導的審核審批后才可接入，同時要指定IP地址并進行記錄,根據《人員安全管理規定》進行管理。

第十二條 應對網絡區域中的非法訪問部署檢測和審計措施，能夠做到安全事件可監控、可追蹤和可審計。

第十三條 對于網絡中重要的網絡設備、安全設備應開啟審計功能，記錄對于設備配置變更的操作。

第十四條 網絡安全管理應建立必要的安全技術措施確保網絡的統一管理，包括信息資產管理、網絡拓撲管理、信息資源管理、網絡異常流量管理、安全事件監控管理、安全策略管理、安全預警管理等網絡安全管理內容。

第十五條 應根據不同的業務安全等級合理劃分網絡安全域，安全域間應采取邏輯隔離措施，根據業務需要僅開放必要的網絡訪問端口和服務，區域和邊界的訪問控制策略應根據業務需要進行設置。

第十六條 關鍵業務應用和網絡訪問應使用靜態路由，如果使用動態路由，應啟用路由協議的安全認證機制，并控制路由信息的廣播范圍。

第十七條 干路和核心的網絡設備、安全設備、網絡鏈路應建立冗余備份機制，如果出現全網安全事件應根據《應急處理預案》進行應急響應。

第三章?操作系統安全管理

第十八條 對于每個管理員建立單獨的用戶賬號，特別要區分普通用戶賬戶號和管理員賬號，賬號不得共享。

第十九條 操作系統中應限制登錄和認證的次數，避免外界嘗試登錄和暴力破解的安全風險。

第二十條 操作系統的安裝須遵從最小化安裝原則，僅僅安裝并運行必須的系統服務和應用程序；

第二十一條 各應用系統主管在按規定安裝各類軟件時遵從最小化安裝原則，關閉和卸載與辦公和業務無關的功能和服務。

第二十二條 運行業務應用系統時，要使用保證應用系統正常運行的最小賬戶權限，原則上禁止使用最高權限賬號。

第二十三條 為了能夠發現和跟蹤系統中發生的各種可疑事件，需要啟用安全審計功能，以日志的形式記錄用戶登錄系統、文件訪問操作、賬戶修改等行為的過程和結果信息，做到發生可疑事件時有據可查。

第四章?用戶訪問授權管理

第二十四條 XXXXX各系統應根據不同角色確定不同的用戶賬號，賬號至少分為以下角色：

（一） 系統管理員：負責維護系統的管理員，一般具有超級用戶權限；

（二） 普通用戶：訪問系統的普通用戶，一般只具有相應訪問內容和操作的最小權限；

（三） 第三方人員：臨時或長期進行系統維護的非XXXXX內部人員，根據第三方人員的維護范圍確定其使用權限；

（四） 系統安全管理員：XXXXX進行安全審計的人員，具有能夠查看系統的日志和審計信息。

第二十五條 XXXXX各系統應根據“最小授權”的原則設定賬戶訪問權限，控制用戶僅能夠訪問到工作需要的信息。

第二十六條 應根據XXXXX要求和員工崗位來創建、變更和撤銷用戶的賬號及權限，并定期對用戶賬號和權限進行監督、檢查。

第二十七條 各系統的賬號能標識系統訪問的不同角色，并盡量避免使用系統默認賬號。

第二十八條 應避免系統中存在多余、無用和測試賬號，確保服務器中所有的操作系統賬號能夠唯一標識操作人員。

第二十九條 系統安全管理員應當對系統中存在的賬號進行定期審計，系統中不能存在無用或匿名賬號。

第三十條 各系統應該設置審計用戶的權限，審計用戶應當具備比較完整的讀權限，審計用戶應當能夠讀取系統關鍵文件，檢查系統設置、系統日志等信息。

第三十一條 各系統應《人員安全管理規定》的要求限制第三方人員的訪問權限，對第三方的訪問進行定期的檢查和審計。

第五章?密碼管理

第三十二條 XXXXX設備及系統的密碼的設置至少符合以下要求：

（一） 長度大于8位；

（二） 大小寫字母、數字，以及特殊字符混合使用；

（三） 不是任何語言的單詞；

（四） 不能使用缺省設置的密碼。

第三十三條 賬號密碼至少應該保證每三個月換一次，包括：UNIX/Linux系統root用戶的密碼、網絡設備的enable密碼、Windows系統Administrator用戶的密碼，以及應用系統的后臺管理用戶密碼等。

第三十四條 系統須強制指定密碼的策略，包括密碼的最短有效期、最長有效期、最短長度、復雜性等。

第三十五條 密碼不能以明文的方式通過電子郵件或者其它網絡傳輸方式進行傳輸。

第三十六條 不得將密碼告訴與該工作無關的人員，如果第三方系統維護人員需要登錄系統，系統管理員為其設置臨時密碼，完成工作后必須立刻修改密碼；

第三十七條 系統管理員不能共享超級用戶的密碼，應采用組策略控制超級用戶的訪問。

第三十八條 除了系統管理員外，一般用戶不能改變其它用戶的密碼。

第三十九條 當密碼使用期滿時，被其他人知悉或認為密碼不保密時，網絡管理人員可按照密碼更改程序變換密碼。

第四十條 所有用戶嚴禁將密碼貼在終端上，輸入的密碼不應顯示在顯示屏幕上，嚴禁隨意丟棄記載有用戶名密碼的紙條等媒介物，不準用電話、電子郵件等告訴密碼。

第四十一條 對于系統重要性高、資產價值高、威脅可能性大可以使用強度更高的認證機制，例如采用雙因素認證等。

第六章?防病毒管理

第四十二條 信息中心統一規劃、統一部署具有國家許可的正版計算機防病毒系統軟件。所有服務器和終端必須安裝XXXXX配發的計算機防病毒軟件，否則不允許連入網絡和處理工作。

第四十三條 所有的服務器和計算機終端應安裝XXXXX要求的網絡防病毒軟件，并對安裝情況做相應記錄，使用各種介質復制或者從網絡上下載文件到計算機上，應首先進行病毒查殺。

第四十四條 應使用XXXXX下發的正版軟件，禁止隨意安裝軟件，防止其中可能存在惡意軟件。

第四十五條 信息安全管理員對防病毒軟件系統進行監控，并記錄病毒查殺情況。安全管理員負責每周對防病毒系統的病毒庫進行兩次升級，升級完成后進行記錄。

第四十六條 XXXXX服務器、桌面計算機及便攜式計算機一旦發現被計算機病毒感染，應先將計算機與網絡隔離，確保病毒庫已更新至最新版本,并及時進行病毒查殺處理；當情況嚴重且無法在規定時限內緊急恢復或有效控制時，應按照《信息安全事件應急管理規定》及時上報啟動相應應急響應預案，應注意保留防病毒系統記錄。

第七章?系統補丁管理

第四十七條 應及時跟進各產品的安全漏洞信息和產品廠商發布的安全補丁信息。

第四十八條 安全補丁根據其對應漏洞的嚴重程度分為三個級別：緊急補丁、重要補丁和一般補丁；緊急補丁必須在15天內完成加載，重要補丁必須在一個月內完成加載，一般補丁要求六個月內完成加載，對于不能加載補丁的情況，一定要采取其他的有效安全控制措施。

第四十九條 必須從各產品廠商官方渠道獲取安全補丁，補丁加載應制定嚴格的計劃。

第五十條 補丁加載之前必須經過嚴格的測試，測試環境與生產環境盡可能一致，嚴禁未經測試直接在生產系統上加載補丁。

第五十一條 補丁測試的內容包括補丁安裝測試、補丁功能性測試、補丁兼容性測試和補丁回退測試：

（一） 安裝測試主要測試補丁安裝過程是否正確無誤，補丁安裝后系統是否正常啟動。

（二） 補丁功能性測試主要測試補丁是否對安全漏洞進行了修補。

（三） 補丁兼容性測試主要測試補丁加載后是否對應用系統帶來影響，業務是否可以正常運行。

（四） 補丁回退測試主要包括補丁卸載測試、系統還原測試。

第五十二條 補丁加載必須安排在業務比較空閑的時間進行，對補丁加載的操作過程必須按照計劃嚴格操作，并詳細記錄。

第五十三條 系統管理員對加載補丁后的系統必須按照計劃和驗證方案進行的測試驗證，確保補丁加載后不影響系統的性能，確保各項業務操作正常。

第五十四條 補丁加載后的一周內，系統管理員必須對系統性能和事件進行密切的監控。

第五十五條 完成補丁加載后系統管理員應將補丁安裝情況通知系統安全管理員。

第八章?介質管理

第五十六條 本規定中的存儲介質是指設備內或者獨立存放的磁介質、光介質及其它記錄載體（如計算機硬盤、光盤、移動硬盤、U盤、軟盤和錄音帶、錄像帶等）。

第五十七條 對存儲介質應根據信息中心機房信息資產登記記錄進行統一的登記和記錄，介質的使用、轉移、維修和銷毀必須嚴格管理。

第五十八條 存儲介質應貼好標簽進行標識，標識標志必須貼在表面易于辨識的地方，應標注介質編號、介質有效期截止日、日期、操作人員、環境名稱、內容、用途和數據保存時間等信息。

第五十九條 所有含有內部信息的存儲介質對外部人員訪問是受控的，嚴禁任何人帶離工作場所，如外出進行更換或者維修的損壞介質，需要簽訂保密協議。

第六十條 存儲介質應保存在安全的物理環境下（如：防火、電力、空調、濕度、靜電及其他環境保護措施），對于存放重要數據的存儲介質應當在異地進行備份。

第六十一條 應根據存儲介質的使用壽命，制定數據恢復測試計劃，以避免數據丟失。

第六十二條 對含有重要數據的存儲介質不再使用時，必須執行重復寫操作防止數據恢復。

第六十三條 對于磁帶、光盤、紙質等存儲介質進行報廢處理時，應采取切碎或者燒毀的方式進行。

第九章?信息交換

第六十四條 防止XXXXX與外部單位間或者XXXXX內部交換信息時信息受損、修改或者濫用，做到對信息交換的有效控制，確保信息交換的有效性和安全性；

第六十五條 信息交換方式包括傳輸介質、電子郵件、OA辦公系統、電話、傳真及其他信息交換形式；

第六十六條 通過信息系統進行自動信息交換或者數據傳送時，必須選擇安全的通訊協議，要在信息系統間進行認證確認發送方和接受方，并對傳輸的數據進行完整性驗證，對于敏感數據的傳輸要采用加密措施。

第六十七條 在電子郵件中不得明文發送XXXXX敏感信息，可通過對信息加密再傳送的方法實現，明確要求不能在網絡中明文傳送密碼信息。

第六十八條 在使用辦公系統時，應控制業務信息的擴散范圍，禁止非XXXXX人員訪問辦公系統。

第六十九條 通過傳真發送重要信息時，要確保收件人號碼正確，并先通知收件人接收后再正式開始發送，發送后并立即與接受方確認。

第七十條 傳送物理介質（如紙質、光盤、移動介質）時，要使用可靠的傳輸工具或投遞人，以保證傳送過程的安全，并在提交時識別投遞人身份，包裝外觀必須采取非透明材料，并且包裝本身應能夠保證介質本身的物理安全，需要的時候采取特殊的控制措施保護敏感數據免遭非法公開或修改。

第十章?安全監控和審計管理

第七十一條 各個網絡設備、服務器及服務應根據實際情況調整時間的一致性。

第七十二條 應監控網絡、主機、數據庫及應用系統的運行狀態，并定期對日志信息進行審計，如發現存在錯誤，或可疑日志信息，并將該信息詳細記錄并通知系統安全管理員進行詳細調查。

第七十三條 應對網絡系統中的網絡設備運行狀況、網絡流量、網絡基礎服務等信息進行監控。

第七十四條 應對關鍵主機的重要用戶行為、系統資源的異常使用和重要系統命令的使用等重要安全相關事件進行監控。

第七十五條 應對數據庫的操作進行監控，監控內容包括：數據庫系統重啟及關閉信息、記錄數據系統用戶訪問、數據庫系統運行狀態（提示、出錯信息）、記錄數據庫文件修改/刪除/更新等信息。

第七十六條 應對應用系統的運行狀況進行監控，包括：應用系統的啟動關閉、用戶訪問行為、異常出錯提示、應用系統的其它信息。

第七十七條 應定期審計網絡系統、主機系統、數據庫系統和應用系統的日志信息，發現異常行為信息和可能的安全事件。

第十一章?數據備份和恢復管理

第七十八條 數據備份包括各信息系統配置備份、操作系統層備份、數據庫層備份和應用系統層備份等。

第七十九條 操作系統層備份的范圍包括操作系統和系統運行所產生的登錄和操作日志文件。

第八十條 數據庫備份的范圍包括數據庫數據文件和數據庫日志文件（包括歸檔日志文件、告警日志文件和跟蹤文件）；

第八十一條 應用系統備份的范圍包括程序文件、并發日志和并發輸出文件。

第八十二條 應用系統和數據庫備份應備份至磁盤陣列設備中，并每日進行增量備份，每月進行完整備份，備份信息至少應保存三年。

第八十三條 在對網絡及信息系統配置變更、數據轉換前要進行數據備份。

第八十四條 應對備份結果進行檢查，檢查備份日志，確認備份有效性，進行相應記錄并簽字確認。

第八十五條 如果發現備份失敗，系統管理員須檢查失敗原因，編寫故障報告，并盡快安排重新備份。

第八十六條 備份完成后如需保存備份介質，系統管理員須取出備份介質，在標簽上按要求記錄備份信息，并移交備份介質管理員。

第八十七條 對于關鍵的備份數據，應建立異地數據備份，異地備份介質的存放環境和管理要求與本地相一致。

第八十八條 數據恢復測試每年至少進行一次，數據恢復測試不得影響XXXXX業務系統、生產環境的正常運行。

第八十九條 數據中心管理員在進行數據恢復測試時，須確認備份數據的可讀性和完整性，以及恢復方案的可執行性，并填寫測試記錄，編寫恢復性測試報告，簽字確認并存檔；

第九十條 如果數據恢復測試失敗，數據中心管理員須檢查失敗原因，編寫故障報告，并盡快安排重新測試。

第九十一條 完成數據恢復測試后，數據中心管理員須及時清除測試環境中的生產數據，并歸還測試用備份介質。

第十二章?日常運行維護管理

第九十二條 應對信息資產指定維護管理人員，并形成日常工作計劃和時間安排；

第九十三條 在指定運維管理人員時，應遵從“責任分離”原則，例如對于操作的授權和執行職責相分離，如果難于把責任分離，應當考慮采取其它的管理措施，例如：活動監測、審查追蹤和管理層監督。

第九十四條 應對信息資產的操作和日常維護等活動流程形成規范化文件（如操作手冊），并經過管理層授權；

第九十五條 在日常運行維護管理過程中需要對所管理的系統進行變更操作時，應當根據《XXXXX信息安全變更管理規定》進行。

第九十六條 在日常運行維護管理過程中，出現緊急安全事件時時，應根據《應急預案管理規定》相關要求和流程，啟動相應的應急響應預案。

第十三章?監督檢查和獎懲

第九十七條 安全管理員應每季度進行安全檢查，檢查內容包括系統日常運行、系統漏洞和數據備份等情況。

第九十八條 XXXXX信息中心主管領導應每年進行一次全面的安全檢查，檢查內容至少包括現有安全技術措施的有效性、安全配置與安全策略的一致性、安全管理制度的執行情況等。根據全面安全檢查的結果，匯總安全檢查數據，形成安全檢查報告，并對安全檢查結果進行通報。

第九十九條 XXXXX信息安全領導小組應每兩年對信息系統安全管理規定進行審核一次，確保管理規定和XXXXX總體安全策略相適應。

第一百條 對于認真執行信息系統安全管理規定的組織和人員，并取得了較好成績，XXXXX應給予必要的鼓勵和宣傳。

第一百〇一條 對于違反XXXXX信息系統安全管理規定的組織和人員，根據對XXXXX造成業務損害程度，給予必要的懲罰。

第十四章?附則

第一百〇二條 本規定由XXXXX信息中心制定，并負責解釋和修訂。

第一百〇三條 本規定自發布之日起執行。

資料免費送（點擊鏈接下載）

史上最全，數據中心機房標準及規范匯總（下載）

數據中心運維管理 | 資料匯總（2017.7.2版本）? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ??

加入運維管理VIP群（點擊鏈接查看）

《數據中心運維管理》VIP技術交流群會員招募說明

掃描以下二維碼加入學習群

總結

以上是生活随笔為你收集整理的信息系统运维安全管理规定（可作为范文参考）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。