资源描述
文件变更记录版本生效日期变更内容变更人2. 12021-4-27文件签收记录序号签收日期签收人签字进出口企业信息系统安全管理制度(AEO认证文件)1. 目的为保证公司信息系统的操作系统和数据库系统的安全,根据中华人民共和国计算机信息系统 安全保护条例,结合本公司信息系统建设实际情况,特制定本制度。2. 适用范围适用于木公司研发部门及所有系统使用部门的人员。3. 职责和权限3. 1研发部门是本公司信息系统管理的责任主体,负责组织单位信息系统的维护和管理。3.2研发部门负责公司各部门人员的权限分配,权限设定遵循最小授权原则。3. 3研发部经理担任公司自研信息系统安全管理的系统管理员,研发部开发工程师担任数据库 管理员。管理员权限:维护系统,对数据库与服务器进行维护。系统管理员、数据库管理员应 权限分离。3.4普通操作员权限:对于各个系统的使用人员,针对其工作范围给予操作权限。操作员不可 对自己权限之外的内容进行操作。3.5查询权限:公司经理及以上职位的管理人员有查询信息系统中的数据的查询权限,但不能 输入、删改数据。3. 6第三方信息系统:部署在公司自有云服务器中的第三方信息系统由研发部管理服务器账号 密码及日常服务器维护,其他第三方信息系统,由使用部门管理本部门员工账号,当员工离职 时需交接使用账号,并修改密码或者关闭账号,第三方系统提供商则负责维护系统服务器。4. 定义信息系统:本制度涉及的信息系统指由计算机及其相关的配套设备、设施(含网络)构成的, 按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理,适用于公司范 围内的计算机系统。信息系统种类包括:公司自主研发信息系统和第三方信息系统,其中第三方信息系统又分为: 部署在公司自有云服务器中的信息系统(如:英赛特道路运输管理系统)和其他第三方系统(如: 朗新智慧通关平台、企业微信)5. 工作程序5. 1系统安全策略5.1.1用户密码设置的要求:a)密码必须在八个字符及以上;b)密码使用以下字符的组合:a-z、A-Z、0-9,以及!#$虹&*()-+;c)密码必须严格保密,并定期进行更改,密码更新周期不得超过90天。5.1.2加强密码策略:普通用户进行鉴别时,如果输入五次错误密码,账号将被锁定,需要系 统管理员对其确认并解锁,此帐号才能够再使用。5.1.3定期在系统的云安全中心上处理系统补丁,在安装前进行安全测试,并对重要文件进行 备份。5.1.4在阿里云的云控制台每月对系统进行漏洞扫描,及时发现最新安全问题,通过升级、打 补丁或加固等方式解决。5.1.5关闭信息系统不必要的服务。5.1.6做好备份策略,保障系统故障时能快速地恢复系统正常并避免数据的丢失,具体内容参 见系统数据备份管理规定中的相关规定执行。5.1.7信息系统正式上线使用后,必须由系统管理员删除临时测试帐户。5.2系统日志管理5. 2.1系统使用人员对于系统重要数据和服务器配值参数的修改,必须征得系统管理员批准, 并做好相应记录。5.2.2数据库管理员对各项操作均应进行日志管理,记录应包括操作人员、操作时间和操作内 容等详细信息。5. 2.3审计日志应包括但不局限于以下内容:重要用户行为、系统资源的异常使用和重要系统 命令的使用等系统内重要的安全事件。5.2.4系统管理员应每日对审计日志进行审查,对异常事件及时跟进解决。5.2.5系统审计日志应定期做好备份工作。5.3个人操作管理5. 3.1公司员工申请自研信息系统账户时需填写信息系统账号申请表,经部门主管批准后 方可交由研发部开通账号。账号申请表上应详细记录账号信息。5. 3.2公司员工申请第三方信息系统账号时,需填写第三方信息系统账号申请表,经部门 主管批准后方可向信息系统服务商申请账号,若第三方信息系统给公司分配了超级管理员权限 的账号,则账号可由超级管理员账号使用者操作开通。5. 3.3公司员工严禁私自在办公计算机上安装软件,以免造成病毒感染。严禁私自更改计算机 的设置及安全策略。5.3.4公司员工须严格管理自己账户的密码,包括密码的选择、保管和更换。5. 3.5计算机设备应设屏幕密码保护的用户界面,人员离开计算机时应及时锁屏,保证数据的 机密性。5. 4普通账号管理5. 4.1申请人使用统一规范的信息系统权限申请表提出用户账号权限的新增修改、禁用、 启用等申请。5.4. 2账号申请人所属部门负责人审核申请人所申请的权限是否与其岗位一致,确保权限分配 的合理性、必要性和符合职责分工的要求。5. 4.3新员工入职或员工岗位发生变化时,应主动申请所需系统的账号及权限。5.4.4在有员工离职的情况下,该员工的账户应当被及时禁用。离职人员的离职手续办理完毕 后。员工所属部门通知研发部,由研发部实施员工账号及权限的回收操作。5.4.5系统管理员建立所有账号的文档记录,记录员工账号的相关信息,并在账号变动时同时 更新此记录。5. 4.6第三方信息系统普通账号:系统使用者自行管理账号,定期修改密码,3个月为一个周 期,当使用者离职时,应向上级主管交接账号信息,上级主管接收账号信息后应立即修改密码;5.5超级用户账号管理5. 5. 1超级用户账号指系统中最高权限账号,如administrator (或admin)、root等管理员 账号。5.5.2只有经系统管理员授权的员工才可使用超级用户账号,严禁共享账号,若因共享账号导 致公司信息泄露,公司有权追究该员工的责任。5. 5.3信息系统管理部门每季度查看系统日志,监督超级用户账号使用情况。5.5.4第三方信息系统分配的超级管理员账户,由系统使用部门负责人管理使用,严禁共享账 号。5.6惩处管理规定违反本管理制度者,将提请单位人事行政部视情节轻重给予相应处罚。5. 6.1对于情节较轻,未触犯国家法律法规者,应依情节轻重进行批评教育、通报批评、行政 处分或处以警告、以及追究其他责任。5. 6.2对于触犯国家法律、行政法规者,应依照有关法律、行政法规的规定予以处罚;构成犯 罪者,依法追究刑事责任。6. 参考文件/关联文件6.1中华人民共和国计算机信息系统安全保护条例6.2系统数据备份管理规定6.3信息安全管理制度7 .附件/表单7. 1信息系统权限申请表7.2信息系统账号申请表7.3第三方信息系统账号申请表
展开阅读全文