项目安全管理制度.docxVIP

PAGE PAGE I 项目安全管理制度 目录 TOC \o 1-4 \h \z \u 1093 1. 总 则 1 20298 2. 管理职能 1 4491 3. 应用系统管理 1 14412 4. 操作系统的管理 2 13615 5. 数据库的管理 2 32255 6. 外包维护的管理 3 PAGE PAGE 3 总 则 第一条 为保障项目安全、可靠、连续、稳定执行，提高信息系统运行维护的科学化、规范化、制度化水平，特制定本办法。 管理职能 第二条 技术部应指定专人担任应用系统管理员、数据库管理员、网络管理员、安全管理员，以分别承担信息系统的各种维护工作。其职责分别为： （1）应用系统管理员负责应用系统的管理和维护工作，解决并记录应用系统中的问题，按照权限分配表在应用系统中设置用户的权限。 （2）数据库管理员负责数据库的管理和维护工作，进行数据备份和恢复测试，并对备份的存放介质进行管理。 （3）网络管理员负责网络的管理和维护工作。 （4）安全管理员负责本内的信息安全管理工作。 技术部应每季度对上述各管理员的工作按照本办法的要求进行检查、核对，并及时纠正其错误。 应用系统管理 第三条 应用系统管理员对用户在应用系统运行中产生问题进行登记、汇总并编号，及时做出答复和处理，并进行记录。 第四条 应用系统管理员对常见问题进行归纳总结，及时公布其解决方法，必要时可举办专题培训。 第五条 操作失败或系统异常发生时，应用系统管理员应辨别其对系统的影响，确定受影响的数据范围。如果需要进行系统变更，按照变更的有关管理规定进行。如果需要进行数据恢复，应配合数据库管理员制定详细的数据恢复计划，做出书面报告，经技术部负责人批准后执行。 第六条 操作失败或系统异常发生后，应用系统管理员应分析其原因，提出改进的措施，技术部负责人签字确认后，应用系统管理员执行改进措施以避免同类情况再次发生。改进的措施如涉及系统变更，按照变更的有关管理规定进行。 第七条 应用系统管理员在系统中为每个用户设立一个账户，应用系统的所有账户应按照口令策略的要求设置和更新密码。 第八条 用户的权限需要改变时，业务部门对相关部分进行修改（应充分考虑职责分离的要求）之后，应用系统管理员按照要求调整用户在系统中的操作权限，并在《操作日志》中详细记录有关情况。 第九条 当有员工离职时，应用系统管理员根据《离职通知单》，删除此用户在系统中的帐户或删除此账户的所有权限，并在《操作日志》中记录有关情况。 第十条 应用系统管理员使用系统中的特权帐户进行管理工作后，应在《操作日志》中记录有关情况。 操作系统的管理 第十一条 服务器的操作系统中没有未授权的登录帐号，确需保留的系统帐号应有明确的管理人员。操作系统中账户应按照口令策略的要求设置和更新密码。 第十二条 系统管理员使用系统中的特权帐户进行管理工作后，应在《操作日志》中记录有关情况。 第十三条 系统管理员更改服务器操作系统的设定或参数时，必须提出书面申请并经技术部负责人签字确认，其执行情况应在《操作日志》中记录。 数据库的管理 第十四条 数据库中的所有账号应按照口令策略的要求设置和更新密码。 第十五条 数据库管理权的使用，须经过技术部负责人的批准。数据库管理员使用特权帐户进行管理工作后，应在《操作日志》中记录有关情况。 第十六条 数据库管理员需更改数据库的设定或参数时，必须提出书面申请并经技术部负责人签字确认，其执行情况应在《操作日志》中记录。 第十七条 数据库管理员每季度对数据库日志进行分析，检查是否存在未经授权的对数据库直接访问，记录检查结果，并及时报告技术部负责人。 外包维护的管理 第十八条 外包维护服务合同中应有条款要求外包维护服务实施人员必须遵守的各项管理制度。 第十九条 外包维护服务合同中应有必威体育官网网址条款对外包维护服务商进行约束，防止机密和敏感信息外泄。 第二十条 应用系统管理员、安全管理员和数据库管理员对外包维护服务实施人员分配其工作所需的权限，监督其工作，并在工作完成后立即收回这些权限。 第二十一条 外包维护服务合同中应对外包维护服务的质量有明确的要求条款，提出考核内容和奖惩方式。 第二十二条 外包维护服务合同执行完毕时，技术部必须按照约定的服务标准进行服务质量评估，并按照合同中的相应条款执行奖惩。 第二十三条 远程维护实施期间，技术部负责修改其防火墙的设置，以保证维护人员可访问该系统。维护完成后，必须立即将防火墙的设置恢复到满足信息安全要求的方案。