企业单位信息系统运维安全管理规定(范文)

信息系统运维安全管理规定（范文）
第一章总则
第一条为确保XXXXX信息系统运维的安全性，维护网络及信息的安全稳定，根据国家相关法律法规及XXXXX相关规章制度，特制定本规定。

第二条XXXXX信息系统运维的安全管理范围涵盖网络安全管理、操作系统安全管理、用户访问授权管理、密码管理、防病毒管理、系统补丁管理、介质管理、信息交换管理、安全监控和审计管理、数据备份和恢复管理、日常运行维护管理以及监督检查等方面。

第三条本规定适用于XXXXX信息系统运维中的各项安全管理活动。

第二章网络安全管理
第四条信息中心负责XXXXX网络架构的统一规划，并根据安全风险情况部署相应的安全设备，以确保网络及信息的安全。

第五条网络管理员需对网络拓扑结构进行统一管理，确保拓扑结构图与当前网络运行环境的一致性，包括网络设备、安全设备的型号、名称及与链路的连接情况等。

第六条网络管理员需维护所有网络设备的物理连接情况，对网络接口的使用进行严格控制和管理。

第七条网络管理员需实时监控网络的运行状态，一旦发现影响较大的网络故障，必须立即向XXXXX信息中心报告。

第八条通信链路及带宽资源管理应遵循合理分配、高效使用的原则，禁止利用网络传输非业务需要的内容。

第九条未经许可，禁止在网络中随意使用无线网络通讯设备进行访问。

第十条未经许可，任何计算机、网络设备、安全设备均不得随意接入网络。

第十一条外部人员在接入互联网前，须经部门领导的审核批准，并指定IP 地址进行记录，按照《人员安全管理规定》进行管理。

第十二条对于网络区域中的非法访问，应部署相应的检测和审计措施，确保安全事件的可监控、可追踪和可审计。

第十三条对于网络中重要的网络设备、安全设备，应开启审计功能，记录设备配置变更的操作。

第十四条网络安全管理应建立必要的安全技术措施，以确保网络的统一管理，包括信息资产管理、网络拓扑管理、信息资源管理、网络异常流量管理、安全事件监控管理、安全策略管理、安全预警管理等。

第十五条应根据不同业务的安全等级，合理划分网络安全域，安全域间采取逻辑隔离措施，并根据业务需求仅开放必要的网络访问端口和服务，区域和边界的访问控制策略应基于业务需求进行设置。

第十六条关键业务应用和网络访问应优先使用静态路由，若采用动态路由，则应启用路由协议的安全认证机制，并控制路由信息的广播范围。

第十七条对于干路和核心的网络设备、安全设备、网络链路，应建立冗余备份机制，若发生全网安全事件，应根据《应急处理预案》进行应急响应。

第三章操作系统安全管理
第十八条
对于每位管理员，应建立独立的用户账号，并严格区分普通用户账号与管理员账号，禁止账号共享。

第十九条
操作系统应限制登录和认证的次数，以防范外界尝试登录和暴力破解的风险。

第二十条
操作系统的安装应遵循最小化安装原则，仅安装并运行必要的系统服务和应用程序。

第二十一条
各应用系统主管在安装各类软件时，应遵循最小化安装原则，关闭和卸载与办公和业务无关的功能和服务。

第二十二条
在运行业务应用系统时，应使用确保系统正常运行所需的最小账户权限，原则上禁止使用最高权限账号。

第二十三条
为了能够发现和跟踪系统中发生的可疑事件，应启用安全审计功能，以日志形式记录用户登录系统、文件访问操作、账户修改等行为的过程和结果信息，确保在发生可疑事件时有据可查。

第四章用户访问授权管理
第二十四条
各系统应根据不同角色确定用户账号，至少包括以下角色：
1. 系统管理员：负责系统维护，通常拥有超级用户权限。

2. 普通用户：访问系统的普通用户，通常仅拥有访问内容和操作的最小权限。

3. 第三方人员：临时或长期进行系统维护的非内部人员，权限根据其维护范围确定。

4. 系统安全管理员：负责安全审计，具有查看系统日志和审计信息的权限。

第二十五条
各系统应基于“最小授权”原则设定账户访问权限，确保用户仅能访问工作所需的信息。

第二十六条
应根据要求和员工岗位创建、变更和撤销用户账号及权限，并定期监督、检查用户账号和权限。

第二十七条
各系统账号应能明确标识系统访问的不同角色，并尽量避免使用系统默认账号。

第二十八条
应避免系统中存在多余、无用和测试账号，确保服务器中的所有操作系统账号能唯一标识操作人员。

第二十九条
系统安全管理员应对系统中的账号进行定期审计，确保不存在无用或匿名账号。

第三十条
各系统应设置审计用户的权限，审计用户应具备完整的读权限，能够读取系统关键文件、检查系统设置和系统日志等信息。

第三十一条
各系统应依据《人员安全管理规定》限制第三方人员的访问权限，并对第三方访问进行定期检查和审计。

第五章密码管理
第三十二条
设备及系统的密码设置应至少满足以下要求：
1. 长度大于8位。

2. 包含大小写字母、数字及特殊字符。

3. 不为任何语言的单词。

4. 不使用缺省设置的密码。

第三十三条
账号密码应至少每三个月更换一次，包括UNIX/Linux系统root用户密码、网络设备enable密码、Windows系统Administrator用户密码以及应用系统后台管理用户密码等。

第三十四条
系统应强制指定密码策略，包括密码的最短有效期、最长有效期、最短长度和复杂性等。

第三十五条
密码不得以明文方式通过电子邮件或其他网络传输方式传输。

第三十六条
密码不得告知与工作无关的人员。

如第三方系统维护人员需登录系统，系统管理员应为其设置临时密码，并在工作完成后立即修改密码。

第三十七条
系统管理员不得共享超级用户密码，应采用组策略控制超级用户的访问。

第三十八条
除系统管理员外，一般用户不得更改其他用户的密码。

第三十九条
当密码使用期满、被他人知悉或认为密码不保密时，网络管理人员应按照密码更改程序进行密码更换。

第四十条
所有用户严禁将密码贴在终端上，输入密码时不应在屏幕上显示，严禁随意丢弃记载有用户名密码的纸条等媒介物，不准通过电话、电子邮件等方式告知密码。

第四十一条
对于系统重要性高、资产价值高、威胁可能性大的情况，可采用强度更高的认证机制，如双因素认证等。

第六章防病毒管理
第四十二条信息中心负责统一规划、部署具有国家许可的正版计算机防病毒系统软件。

所有服务器和终端须安装由XXXXX配发的计算机防病毒软件，未安装者将禁止接入网络及处理工作。

第四十三条服务器和计算机终端均应安装XXXXX要求的网络防病毒软件，并对安装情况做好相应记录。

任何使用介质复制或从网络上下载至计算机的文件，必须首先进行病毒查杀。

第四十四条应使用XXXXX下发的正版软件，禁止随意安装软件，以防止潜在恶意软件的侵入。

第四十五条信息安全管理员负责对防病毒软件系统进行持续监控，并记录病毒查杀情况。

安全管理员每周至少两次对防病毒系统的病毒库进行升级，并保留升级记录。

第四十六条一旦发现XXXXX服务器、桌面计算机及便携式计算机被计算机病毒感染，应立即将计算机与网络隔离，确保病毒库已更新至最新版本，并立即进行病毒查杀处理。

若情况严重且无法在规定时限内紧急恢复或有效控制，应按照《信息安全事件应急管理规定》及时上报并启动相应应急响应预案，同时保留防病毒系统记录。

第七章系统补丁管理
第四十七条应及时关注各产品的安全漏洞信息和产品厂商发布的安全补丁信息。

第四十八条安全补丁根据其对应漏洞的严重程度分为紧急补丁、重要补丁和一般补丁三个级别。

紧急补丁须在15天内完成加载，重要补丁须在一个月内完成加载，一般补丁则应在六个月内完成加载。

对于无法加载补丁的情况，必须采取其他有效的安全控制措施。

第四十九条安全补丁必须从各产品厂商的官方渠道获取，补丁加载应制定严格的计划。

第五十条补丁加载前须经过严格的测试，测试环境应尽可能与生产环境保持一致，严禁未经测试直接在生产系统上加载补丁。

第五十一条补丁测试的内容包括补丁安装测试、补丁功能性测试、补丁兼容性测试和补丁回退测试。

其中，安装测试主要验证补丁安装过程及系统启动情况；功能性测试验证补丁是否对安全漏洞进行了修补；兼容性测试检查补丁加载后是否对应用系统造成影响，确保业务正常运行；回退测试则包括补丁卸载测试和系统还原测试。

第五十二条补丁加载应安排在业务较为空闲的时段进行，并严格按照计划执行，详细记录操作过程。

第五十三条系统管理员须按照计划和验证方案对加载补丁后的系统进行测试验证，确保系统性能不受影响，各项业务操作正常。

第五十四条补丁加载后的一周内，系统管理员须对系统性能和事件进行密切监控。

第五十五条完成补丁加载后，系统管理员应将补丁安装情况及时通知系统安全管理员。

根据存储介质的使用寿命，我们制定了详细的数据恢复测试计划，以确保数据的安全性，并预防数据丢失的风险。

第六十二条当存储介质不再用于存储重要数据时，必须进行重复的写操作，以确保数据的不可恢复性，防止潜在的数据泄露风险。

第六十三条对于磁带、光盘、纸质等存储介质，在报废处理时，我们将采取切碎或烧毁等物理销毁方式，确保数据无法被恢复。

第九章信息交换
第六十四条为确保信息在XXXXX与外部单位或内部交换过程中不受损害、修改或滥用，我们实施了一系列控制措施，以维护信息交换的有效性和安全性。

第六十五条信息交换的方式包括但不限于传输介质、电子邮件、OA办公系统、电话、传真等，我们将根据具体情况选择合适的交换方式。

第六十六条在通过信息系统进行自动信息交换或数据传送时，我们将采用安全的通讯协议，并进行发送方和接收方的认证确认。

同时，对传输的数据进行完整性验证，对敏感数据采用加密措施进行保护。

第六十七条我们禁止在电子邮件中明文发送XXXXX的敏感信息，要求通过加密后再传送。

同时，我们明确规定不能在网络中明文传送密码信息。

第六十八条在使用办公系统时，我们将严格控制业务信息的扩散范围，禁止非XXXXX人员访问办公系统。

第六十九条在通过传真发送重要信息时，我们将确保收件人号码正确，并事先通知收件人接收后再进行发送。

发送后，我们将立即与接收方确认信息的接收情况。

第七十条在传送物理介质（如纸质、光盘、移动介质）时，我们将使用可靠的传输工具或投递人，确保传送过程的安全。

在提交时，我们将识别投递人的身份，并使用非透明材料包装介质，以保证其物理安全。

在需要时，我们将采取特殊的控制措施来保护敏感数据免遭非法公开或修改。

第十章安全监控和审计管理
第七十一条我们将根据实际情况调整各个网络设备、服务器及服务的时间一致性，以确保系统运行的准确性和可靠性。

第七十二条我们将监控网络、主机、数据库及应用系统的运行状态，并定期对日志信息进行审计。

一旦发现错误或可疑日志信息，我们将详细记录并通知系统安全管理员进行详细调查。

第七十三条我们将对网络系统中的网络设备运行状况、网络流量、网络基础服务等信息进行监控，以确保网络的稳定运行和安全性。

第七十四条我们将监控关键主机的重要用户行为、系统资源的异常使用和重要系统命令的使用等安全相关事件，及时发现潜在的安全风险。

第七十五条我们将对数据库的操作进行监控，包括数据库系统重启及关闭信息、记录数据系统用户访问、数据库系统运行状态（提示、出错信息）、记录数据库文件修改/删除/更新等信息。

第七十六条我们将监控应用系统的运行状况，包括应用系统的启动关闭、用户访问行为、异常出错提示、应用系统的其它信息，以确保应用系统的正常运行和安全性。

第七十七条我们将定期审计网络系统、主机系统、数据库系统和应用系统的日志信息，发现异常行为信息和可能的安全事件，及时采取相应措施进行处理。

第十一章数据备份和恢复管理
第七十八条数据备份工作涵盖各信息系统配置备份、操作系统层备份、数据库层备份和应用系统层备份等，以确保数据的完整性和可恢复性。

第七十九条操作系统层备份的范围包括操作系统和系统运行所产生的登录和操作日志文件，以确保操作系统数据的安全性和完整性。

第八十条数据库备份的范围包括数据库数据文件和数据库日志文件（包括归档日志文件、告警日志文件和跟踪文件），以确保数据库数据的完整性和可恢复性。

第八十一条应用系统备份的范围包括程序文件、并发日志和并发输出文件，以确保应用系统的正常运行和数据的完整性。

第八十二条应用系统和数据库备份应备份至磁盘阵列设备中，并实行每日增量备份和每月完整备份的策略。

备份信息至少应保存三年，以满足数据恢复的需求。

第八十三条在对网络及信息系统配置变更、数据转换前，我们将进行数据备份，以确保数据的安全性和可恢复性。

第八十四条我们将对备份结果进行检查，检查备份日志，确认备份的有效性，并进行相应的记录和签字确认。

第八十五条如果发现备份失败，系统管理员将检查失败原因，编写故障报告，并尽快安排重新备份，以确保数据的完整性和可恢复性。

第八十六条备份完成后，如需保存备份介质，系统管理员将取出备份介质，在标签上按要求记录备份信息，并移交备份介质管理员进行管理。

第八十七条对于关键的备份数据，我们将建立异地数据备份机制，确保备份介质的存放环境和管理要求与本地相一致，以应对可能发生的自然灾害或人为破坏等风险。

第八十八条数据恢复测试每年至少进行一次，以确保备份数据的可读性和完整性以及恢复方案的可执行性。

测试过程中，我们将确保不影响XXXXX业务系统、生产环境的正常运行。

第八十九条数据中心管理员在进行数据恢复测试时，将确认备份数据的可读性和完整性，以及恢复方案的可执行性，并填写
第十二章日常运行维护管理
第九十二条信息资产应指定专门的维护管理人员，并制定详细的日常工作计划和时间安排。

第九十三条在选定运维管理人员时，需遵循“责任分离”的原则，例如操作授权与执行职责应分离。

若难以实现责任分离，应采取其他管理措施，包括但不限于活动监测、审查追踪及管理层监督。

第九十四条信息资产的操作和日常维护等活动流程应形成标准化文件（如操作手册），并经过管理层正式授权。

第九十五条在日常运行维护管理过程中，对系统进行的任何变更操作，必须依据《XXXXX信息安全变更管理规定》进行。

第九十六条当在日常运行维护管理过程中发生紧急安全事件时，应根据《应急预案管理规定》的相关要求和流程，迅速启动相应的应急响应预案。

第十三章监督检查和奖惩
第九十七条安全管理员应每季度对系统进行全面的安全检查，涵盖系统日常运行、系统漏洞检测及数据备份等方面。

第九十八条XXXXX信息中心主管领导应每年组织一次全面的安全检查，检查内容至少包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。

安全检查结束后，需汇总安全检查数据，编制安全检查报告，并对结果进行通报。

第九十九条XXXXX信息安全领导小组应每两年对信息系统安全管理规定进行一次审核，确保其与XXXXX总体安全策略保持一致。

第一百条对于严格执行信息系统安全管理规定并取得显著成效的组织和人员，XXXXX将给予适当的表彰和宣传。

第一百零一条对于违反XXXXX信息系统安全管理规定的组织和人员，将根据其对业务造成的损害程度，给予相应的处罚。

第十四章附则
第一百零二条本规定由XXXXX信息中心负责制定，并保留对其进行解释和修订的权利。

第一百零三条本规定自发布之日起正式执行。