算法备案相关制度汇编.docx

PAGE

PAGE1

算法备案相关制度汇编

2024年

目录

23359算法安全管理办法 1

TOC\o1-1\h\u14136信息系统安全检查管理办法 6

32693安全教育和培训管理办法 10

18718信息分类与标识管理办法 13

7450算法安全监测制度 18

27117算法安全自评估制度 23

21942恶意代码防范管理办法 28

29516信息系统与算法变更管理办法 31

14722数据备份与恢复管理办法 41

18212算法安全事件应急处理制度 49

20761算法违法违规处置制度 58

PAGE

PAGE1

算法安全管理办法

第一章?总则

第一条??为规范XX集团公司信息系统与算法的技术管理和维护工作，确保系统安全运转和系统运行管理的及时、高效，规范系统操作，加强内部控制，最大程度地防范技术操作风险，特制定本管理办法。

第二条??本管理办法适用于XX创研中心安全部对信息系统与算法的安全管理。

第二章?系统安全管理

第三条??禁用不必要的服务，尽量将系统中不用的服务、尤其是一些暂时不用的网络服务关闭，从而使系统遭受攻击的可能性降至最低。

第四条??系统遵循最小权限原则，系统只能授予应用程序和用户必要的权限，而不能授予额外的权限。

第五条??服务器需安装软件防火墙，由XX创研中心安全部统一部署，病毒库统一升级。

第六条??对于重要的数据进行加密。

第七条??安全性能评估，对于安全产品应选用经过国内、国外权威第三方认证的安全产品，系统管理员应随时保持警惕以预防攻击事件的发生或者将攻击的危害降至最低。

第八条??对系统漏洞情况每季度至少进行一次扫描，对漏洞风险持续跟踪，在经过充分的验证测试后对必要的漏洞开展修补工作，实施漏洞扫描或漏洞修补前，对可能的风险进行评估和充分准备,选择恰当时间，并做好数据备份和回退方案，漏洞扫描或漏洞修补后应进行验证测试，以保证系统的正常运行，扫描后记录扫描情况，填写《系统安全扫描情况记录表》（附件1）。

第九条??持续跟踪厂商提供的系统升级更新情况，应在经过充分的测试评估后对必要的补丁进行及时更新，填写《系统与网络设备补丁分析评估表》（附件2），在安装系统补丁前对现有的重要文件进行备份，并对备份情况和系统升级情况进行记录，填写《系统及网络设备升级记录表》（附件3）。

第十条??至少每月对运行日志和审计数据进行分析。

第三章?系统访问控制要求

第十一条???用户或者应用程序访问系统资源时要求系统管理员通过设置必要的选项完成以下功能：

（一）提供适当的身份验证方法。

（二）识别和验证身份。

（三）记录成功和失败的系统访问（日志信息）。

（四）据情况限制用户连接时间。

第十二条???登录程序应最大限度地减少公开的信息，以避免非法用户使用。登录程序应：

（一）在登录过程未成功之前禁止显示系统或应用的标识。

（二）显示一般性注意事项。提醒用户只有合法用户才能访问计算机。

（三）登录期间禁止提供帮助消息。

（四）只有所有输入数据完成后才能验证登录信息。

（五）应限制允许登录的失败次数为3次。

（六）限制登录程序允许的时间上限和下限。如果超过限制，则系统必须终止登录过程。

（七）成功登录后，宜显示以下信息：

1、以前成功登录的日期和时间。

2、上次成功登录以来登录失败的详细情况。

第十三条???登录超时要求

（一）当系统超时未激活时，应能够自动锁住系统，防止非法访问，但不宜关闭应用或网络会话。

（二）超时的时间设置取决于连接系统的重要程度、终端风险暴露程度以及终端上信息的业务价值。

第四章?用户账号安全

第十四条???用户身份识别和验证

（一）信息系统与算法所有用户都应拥有个人专用的唯一标识符（用户ID）以便操作能够追溯到具体责任人。但是在认证和授权体系没有建立之前，特定操作系统内所有的用户必须有一个唯一的ID，并且该ID名称不能让人猜测到该用户的权限级别，如管理员、主管等。

（二）对于每一个申请使用系统的用户，应要求填写《系统账号申请表》（附件4），并在表格中包含XX集团公司的密码安全政策规范，明确违反该规范的后果和责任，同时要求用户签名以产生法律效力，并在《系统账户登记表》进行登记。

（三）对于用户身份的验证，宜采用多种身份验证程序来加以证实。口令是一种很常见的身份识别和验证方法。采用加密方法和身份验证协议也可达到同样的效果。也可使用用户的内存标记或智能卡等进行身份识别和验证。也可使用基于个人唯一特点或特性的生物统计学身份验证技术来验证用户身份。将安全技术和安全机制结合起来可进行更为严格的身份验证。

第十五条???用户账号过期

（一）设置用户账号的有效有效期为一年。

（二）当某一个用户账号过期时，