ISO27001：2013信息系统安全管理规范

信息系统安全管理规范

1、目标

此文档用于规范公司业务系统的安全管理，安全管理所达到的目标如下：

确保业务系统中所有数据及文件的有效保护，未经许可的用户无法访问数据。

对用户权限进行合理规划，使系统在安全状态下满足工作的需求。

2、机房访问控制

机房做为设备的集中地，对于进入有严格的要求。

只有公司指定的系统管理员及数据库管理员才有权限申请进入机房。

系统管理员及数据库管理员因工作需要进入机房前必须经过公司书面批准。

严格遵守机房管理制度。

3、操作系统访问控制

保护系统数据安全的第一道防线是保障网络访问的安全，不允许未经许可的用户进入到公司网络中。第二道防线就是要控制存放数据及应用文件的主机系统不能被未经许可的用户直接访问。为防止主机系统被不安全访问，采取以下措施：

操作系统级的超级管理用户口令、数据库管理用户口令、应用管理用户口令只能由系统管理员设定并经办公室审核，１个月做一次修改，口令要向其他人员保密。

在应用系统实施阶段，考虑到应用软件提供商需要对自己的产品进行调试，可以在调试时将应用管理用户口令暂时开放给应用软件提供商；调试一结束系统管理员马上更改口令。

对口令设定必需满足以下规范：

5、数据库访问控制

为有效的保障业务数据的安全，采取以下措施：

数据库内具有较高权限的管理用户口令由办公室数据库管理员设定，并由办公室审核，不能向其他人开放。口令必须１个月做一次修改。

业务系统后台数据库对象创建用户的口令由数据库管理员设定，由技术研发部审核。不能向其他人开放。口令必须1个月做一次修改。

对口令设定必需满足以下规范：

根据操作需求，在数据库中分别建立对业务数据只有“增、删、改”权限的用户；对业务数据只有“查询”权限的用户。不同的操作需求开放不同权限的用户。

除技术研发部的人员外，其他部门的任何人员均没有权限从后台数据库直接进行数据的“增、删、改”操作对于业务必须的后台job或批处理，必须由技术研发部人员执行。

6、应用系统访问控制

应用系统访问依靠系统内部定义的操作用户权限来控制，操作用户权限控制到菜单一级，对于操作用户的安全管理有如下规范：

所有应用级的操作用户及初始口令统一由技术研发部设定，以个人邮件的形式分别发给各部门的操作人员。

各部门操作人员在首次登录时必须修改口令，口令必须１个月做一次修改。

对于口令设定必需满足以下规范：

操作人员不能将自己的用户及口令随意告诉他人。

所有使用者的认可都由系统管理员来逐一分配。必须由部门经理提交访问权认可的申请表，然后由技术研发部批准。

当应用系统中需要加入新的使用者时，首先使用者需要填写“权限申请表”。该申请表应该得到部门经理和技术研发部的共同批准。之后，IT系统管理员会帮助应用系统的使用者开通账户，并建立相应的访问等级和权限。