篇一:内部控制-信息系统用户管理制度
信息系统账号管理制度
第一条
第二条
第三条
第四条
第五条
第六条
第七条
第八条
第九条
第十条 第十一条第一节 总 则
为加强用户账号管理,规范用户账号的使用,提高用户账号的安全性,特制定本制度。
本制度中系统账号是指应用层面及系统层面(操作系统、数据库、防火墙及其它网络设备)的用户账号。
本规定所指账号管理包括:
1、应用层面用户账号的申请、审批、分配、删除/禁用等的管理。 2、系统层面用户账号的申请、审批、分配、删除/禁用等的管理 3、用户账号密码的管理。
系统拥有部门负责建立《岗位权限对照表》(附件一),制定工作岗位与系统权限的对应关系和互斥原则,对具体岗位做出具体的权限管理规定。
信息技术部根据系统拥有部门提交的《岗位权限对照表》增加系统中进行必要有效的逻辑控制。
用户账号申请、审批及设置由不同人员负责。
第二节 普通账号管理
申请人使用统一而规范的《账号/权限申请表》(附件二)提出用户账号创建、修改、删除/禁用等申请。
账号申请人所属部门负责人及系统拥有部门负责人根据《岗位权限对照表》审核申请人所申请的权限是否与其岗位一致,确保权限分配的合理性、必要性和符合职责分工的要求。
在受理申请时,权限管理人员根据申请配置权限,在系统条件具备的情况下,给用户分配独有的用户账号或禁用用户账号权限,以使用户对其行为负责。一旦分配好账号,用户不得使用他人账号或者允许他人使用自己的账号。
新员工入职或员工岗位发生变化时,应主动申请所需系统的账号及权限。 人员离职的情况下,该员工的账户应当被及时的禁用。离职人员的离职手续办
第十二条
第十三条
第十四条 第十五条
第十六条
第十七条 第十八条
第十九条
第二十条
第二十一条理完毕后,人力资源部需通过邮件或书面的方式通知员工所属部门主管负责该员工权限收回的工作。员工所属部门主管根据该用户的岗位申请删除离职人员账号及权限。
账号管理人员建立各种账号的文档记录,记录用户账号的相关信息,并在账号变动时同时更新此记录。
第三节 特权账号和超级用户账号管理
特权账号指在系统中有专用权限的账号,如备份账号、权限管理账号、系统维护账号等。超级用户账号指系统中最高权限账号,如administrator(或admin)、root等管理员账号。
只有经授权的用户才可使用特权账号和超级用户账号,严禁共享账号。 信息技术部每季度查看系统日志,监督特权账号和超级用户账号使用情况,并填写《系统日志审阅表》(附件三)。
尽量避免特权账号和超级用户账号的临时使用,确需使用时必须履行正规的申请及审批流程,并保留相应的文档。
临时使用超级用户账号必须有监督人员在场记录其工作内容。 超级用户账号临时使用完毕后,账号管理人员立即更改账号密码。
第四节 用户账号及权限审阅
系统拥有部门指定专人负责每季度对系统应用层面账号及权限进行审阅,并填写《账号/权限清理清单》(附件四)。
信息技术部指定专人负责每季度对系统层面账号及权限进行审阅,并填写《账号/权限清理清单》。
员工离职后,账号管理人员及时禁用或删除离职人员所使用的账号。如果离职
人员是系统管理员,则及时更改特权账号或超级用户口令。
第五节 用户账号口令管理
第二十二条 用户账号口令发放要严格保密,用户必须及时更改初始口令。 第二十三条 用户账号口令最小长度为6位,并具有一定复杂度。
第二十四条 用户账号口令必须严格保密,并定期进行更改,密码更新周期不得超过90天。 第二十五条 严禁共享个人用户账号口令。
第二十六条 超级用户账号需通过保密形式由信息技术部负责人留存一份。
第二十七条第二十八条第六节 附则
本制度由公司总部信息技术部负责解释和修订。 本制度自发布之日起开始执行。
附件一.
岗位权限对照表
编号:
附件二. 账号/权限申请表
申请表编号:
篇二:内部控制-信息系统安全管理制度
第一章
第二章
第三章
第四章
第五章
第六章
第七章
第八章计算机信息系统安全 管理制度 目录 总则 ............................................................................. 2 系统管理人员的职责 ................................................. 2 机房管理制度 ............................................................. 3 系统管理员工作细则 ................................................. 3 安全保密管理员工作细则......................................... 6 密钥管理员工作细则 ................................................. 8 计算机信息系统应急预案......................................... 9 附则 ............................................................................. 9
第一章 总则
第1条 依据《中华人民共和国保守国家秘密法》和有关保密规定,为进一步加强中船信息公司
计算机信息系统安全保密管理,并结合用户单位的实际情况,制定本制度。
第2条 计算机信息系统包括:涉密计算机信息系统和非涉密计算机信息系统。其中,涉密计算
机信息系统指以计算机或者计算机网络为主体,按照一定的应用目标和规则构成的处理涉密信息的人机系统。
第3条 涉密计算机信息系统的保密工作坚持积极防范、突出重点,既确保国家秘密安全又有利
于信息化发展的方针。
第4条 涉密计算机信息系统的安全保密工作实行分级保护与分类管理相结合、行政管理与技术
防范相结合、防范外部与控制内部相结合的原则。
第5条 涉密计算机信息系统的安全保密管理,坚持“谁使用,谁负责”的原则,同时实行主要
领导负责制。
第二章 系统管理人员的职责
第6条 用户单位的涉密计算机信息系统的管理由用户保密单位负责,具体技术工作由中船信息
承担,设置以下安全管理岗位:系统管理员、安全保密管理员、密钥管理员。
第7条 系统管理员负责信息系统和网络系统的运行维护管理,主要职责是:信息系统主机的日
常运行维护;信息系统的系统安装、备份、维护;信息系统数据库的备份管理; 应用系统访问权限的管理;网络设备的管理;网络的线路保障;网络服务器平台的运行管理,网络病毒入侵防范。
第8条 安全保密管理员负责网络信息系统的安全保密技术管理,主要职责是:网络信息安全策
略管理;网络信息系统安全检查;涉密计算机的安全管理;网络信息系统的安全审计管理;违规外联的监控。
第9条 密钥管理员负责密钥的管理,主要职责是:身份认证系统的管理;密钥的制作;密钥的
更换;密钥的销毁。
第10条 对涉密计算机信息系统安全管理人员的管理要遵循“从不单独原则”、“责任分散原则”
和“最小权限原则”。
第11条 新调入或任用涉密岗位的系统管理人员,必须先接受保密教育和网络安全保密知识培训
后方可上岗工作。
第12条 保密单位负责定期组织系统管理人员进行保密法规知识的宣传教育和培训工作。
第三章 机房管理制度
第13条 出入机房要有登记记录。非机房工作人员不得进入机房。外来人员进机房参观需经保密
办批准,并有专人陪同。
第14条 进入机房人员不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质、食品等
对设备正常运行构成威胁的物品。严禁在机房内吸烟。严禁在机房内堆放与工作无关的杂物。
第15条 机房内不得使用无线通讯设备,禁止拍照和摄影。
第16条 各类技术档案、资料由专人妥善保管并定期检查。
第17条 机房内应按要求配置足够量的消防器材,并做到三定(定位存放、定期检查、定时更换)。
加强防火安全知识教育,做到会使用消防器材。加强电源管理,严禁乱接电线和违章用电。发现火险隐患,及时报告,并采取安全措施。
第18条 机房应保持整洁有序,地面清洁。设备要排列整齐,布线要正规,仪表要齐备,工具要
到位,资料要齐全。机房的门窗不得随意打开。
第19条 每天上班前和下班后对机房做日常巡检,检查机房环境、电源、设备等并做好相应记录
(见表一)。
第20条 机房大门必须随时关闭上锁。机房钥匙由集团公司保密办管理。
第21条 机房门禁磁卡(以下简称门禁卡)由信息中心管理。
第22条 门禁卡的发放范围是:系统管理员、安全保密管理员和密钥管理员。
第23条 对临时进入机房工作的人员,不再发放门禁卡,在向用户单位保密部门提出申请得到批
准后,由安全保密管理员陪同进入机房工作。
第24条 门禁卡应妥善保管,不得遗失和互相借用。
第25条 门禁卡遗失后,应立即上报信息中心,同时写出书面说明。
第四章 系统管理员工作细则
第一节 系统主机维护管理办法
第26条 系统主机由系统管理员负责维护,未经允许任何人不得对系统主机进行操作。
第27条 根据系统设计方案和应用系统运行要求进行主机系统安装、调试,建立系统管理员账户,
设置管理员密码,建立用户账户,设置系统策略、用户访问权利和资源访问权限,并根据安全风险最小化原则及运行效率最大化原则配置系统主机。
第28条 建立系统设备档案(见表二)、包括系统主机详细的技术参数,如:品牌、型号、购买
日期、序列号、硬件配置信息、软件配置信息、网络配置信息、系统配置信息,妥善保管系统主机保修卡,在系统主机软硬件信息发生变更时对设备档案进行及时更新。
第29条 每周修改系统主机管理员密码,密码长度不得低于八位,要求有数字、字母并区分大小
写。
第30条 每周通过系统性能分析软件对系统主机进行运行性能分析,并做详细记录(见表四),
根据分析情况对系统主机进行系统优化,包括磁盘碎片整理、系统日志文件清理,系统升级等。
第31条 每周对系统日志、系统策略、系统数据进行备份,做详细记录(见表四)。
第32条 每天检查系统主机各硬件设备是否正常运行,并做详细记录(见表五)。
第33条 每天检查系统主机各应用服务系统是否运行正常,并做详细记录(见表五)。
第34条 每周下载安装最新版的系统补丁,对系统主机进行升级,做详细记录(见表四)。
第35条 每天记录系统主机运行维护日记,对系统主机运行情况进行总结。
第36条 在系统主机发生故障时应及时通知用户,用最短的时间解决故障,保证系统主机尽快正
常运行,并对系统故障情况做详细记录(见表六)。
第37条 每月对系统主机运行情况进行总结、并写出系统主机运行维护月报,上报保密办。
第二节 信息系统运行维护管理办法
第38条 信息系统(办公自动化系统和档案管理系统)的运行维护由系统管理员负责维护,未经
允许任何人不得对信息系统进行任何操作。
第39条 根据信息系统的设计要求及实施细则安装、调试、配置信息系统,建立信息系统管理员
账号,设置管理员密码,密码要求由数字和字母组成,区分大小写,密码长度不得低于8位,。
第40条 对信息系统的基本配置信息做详细记录,包括系统配置信息、用户帐户名称,系统安装
目录、数据文件存贮目录,在信息系统配置信息发生改变时及时更新记录(见表三)。
第41条 每周对信息系统系统数据、用户ID文件、系统日志进行备份,并做详细记录(见表四),
备份介质交保密办存档。
第42条 当信息系统用户发生增加、减少、变更时,新建用户帐户,新建用户邮箱,需经保密单
位审批,并填写系统用户申请单或系统用户变更申请单(见表七),审批通过后,由系统管理员进行操作,并做详细记录。
第43条 根据用户需求设置信息系统各功能模块访问权限,并提交保密办审批。
第44条 每天检查信息系统各项应用功能是否运行正常,并做详细记录(见表五)。
第45条 在信息系统发生故障时,应及时通知用户,并用最短的时间解决故障,保证信息系统尽
快正常运行,并对系统故障情况做详细记录(见表六)。
第46条 每天记录信息系统运行维护日志,对信息系统运行情况进行总结。
第47条 每月对信息系统运行维护情况进行总结,并写出信息系统维护月报,并上报保密办。
第三节 网络系统运行维护管理办法
第48条 网络系统运行维护由系统管理员专人负责,未经允许任何人不得对网络系统进行操作。
第49条 根据网络系统设计方案和实施细则安装、调试、配置网络系统,包括交换机配置、路由
器配置,建立管理员账号,设置管理员密码,并关闭所有远程管理端口。
第50条 建立系统设备档案(见表二),包括交换机、路由器的品牌、型号、序列号、购买日期、
硬件配置信息,详细记录综合布线系统信息配置表,交换机系统配置,路由器系统配置,网络拓扑机构图,VLAN划分表,并在系统配置发生变更时及时对设备档案进行更新。
第51条 每天检查网络系统设备(交换机、路由器)是否正常运行。
第52条 每周对网络系统设备(交换机、路由器)进行清洁。
第53条 每周修改网络系统管理员密码。
第54条 每周检测网络系统性能,包括数据传输的稳定性、可靠性、传输速率。
第55条 网络变更后进行网络系统配置资料备份。
第56条 当网络系统发生故障时,应及时通知用户,并在最短的时间内解决问题,保证网络系统
尽快正常运行,并对系统故障情况作详细记录(见表六)。
第57条 每月对网络系统运行维护情况进行总结,并作出网络系统运行维护月报。
第四节 终端电脑运行维护管理办法
第58条 终端电脑的维护由系统管理员负责,未经允许任何人不得对终端电脑进行维护操作。
第59条 根据用户应用需求和安全要求安装、调试电脑主机,安装操作系统、应用软件、杀毒软
件、技防软件,。
篇三:内部控制-信息系统维护管理制度
信息系统维护管理细则
1 目的
为了保障信息系统安全、平稳运行,确保数据安全,依据相关法律法规和公司内部控制手册,制定本细则。
2 适用范围与定义
本细则适用于信息管理部门及相关部门实施信息维护相关事项。
本细则所称信息系统维护包括日常运行维护、系统变更、安全管理等方面。 3 引用标准及关联制度
3.1 《企业内部控制基本规范》
3.2 《企业内部控制应用指引第18号——信息系统》
3.3 《ABC公司内部控制手册2012》
4 职责
4.1 信息管理部门负责信息系统的运行维护管理。
4.2 信息系统使用部门负责系统的使用,用户管理。
5 内容、要求与程序
5.1 系统日常运行维护
5.1.1 公司信息系统的维护归口统一由信息管理部负责管理。
5.1.2 系统使用部门(单位)负责业务流程、业务工作标准、数据维护、用户管理、数据使用安全、知识产权合法性使用及相关制度的制定和落实等工作,对有关数据的日常更新等作运行操作记录;对关键用户与一般用户进行培训和培训考核,培训记录和考
核成绩提交人力资源部备案。
5.1.3 信息管理部负责日常软硬件系统维护、设备保养、故障的诊断与排除、易耗品的更换与安装、网络安全、环境保持、应急处理等工作,保证信息系统安全、稳定运行,并做《应急事故处理记录》和《运行维护记录》。《应急事故处理记录》和《运行维护记录》由信息管理部门经理签字。需委托进行维护的信息系统,由信息管理部门审查系统服务商资质,并签订系统维护服务合同;由信息管理部自行维护的,应指定专人负责维护,制定岗位职责。
5.2 系统变更
5.2.1 系统如在使用中有变更要求,可向总经理办公室提出书面要求并填写《系统变更表》,由申请部门分管副总签字后,交信息管理部统一安排进行。变更完成后由申请部门相关人员签字确认。信息系统操作人员不得擅自进行软件的删除、修改等操作;不得擅自升级、改变软件版本;不得擅自改变软件系统的环境配置。
5.2.2 信息管理部门应利用技术手段防止员工擅自安装、卸载软件或者改变软件系统配置,并定期进行检查。
5.2.3 系统使用部门(单位)会同信息管理部按照业务需求,对业务流程与系统功能进行评价,需要重大改进的,提出《系统升级报告》,由公司分管业务副总经理签字确认,报财务总监审核,由信息化领导小组审批。
5.2.4 系统使用部门(单位)会同信息管理部组织系统升级的实施和验收。(系统升级实施的具体流程参见《信息系统外购管理细则5.6、5.7》)
5.2.5 操作系统、数据库系统用户的新增、变更,须填写《系统用户申请表》,经信息管理部审批后,被赋予唯一的用户名、用户ID(UID),方可进入公司信息系统进行电脑使用。信息管理部门经理至少每季度审核一次《系统用户记录表》。
5.3 信息系统数据安全管理
由信息管理部负责信息系统数据的安全管理,包括日常备份、恢复和数据安全工作(详见《备份制度》)。
5.3.1 数据保密性管理
重要数据的处理过程中,被批准使用数据人员以外的其它人员不应进入机房工作;处理结束后,应清除不能带走的本作业数据;妥善处理打印结果,任何记有重要信息的废弃物在处理前应进行粉碎。未经允许,不准将机房设备、维护用品、软盘、资料等私自带出机房,如有特殊情况,需经负责人同意并进行登记后方可带出。
5.3.2 数据备份管理
每日进行系统数据库自动备份并做完整性查验,每周一次手动备份到移动硬盘或其他电脑的硬盘,每两周一次由专人将移动硬盘送往银行保管箱予以存放,并填写《数据备份记录表》,由负责系统维护人员及信息管理部门经理签字,每年进行一次备份的恢复性测试,并填写《数据恢复性测试记录表》,由信息管理部门经理签字。
5.4 操作系统登录的安全管理
信息管理部负责各业务系统后台操作系统登录的安全管理。
5.4.1 系统登录名与密码安全管理
各系统责任人负责保管系统的登录名和密码,密码的设置要符合强密码规范和密码复杂性要求,并将它们密存在信封中,信封由专人保管,各系统负责人每季度更换一次登录名和密码,并填写《密码保存登记表》。特殊情况需拆信封时,必须由信息管理部门经理在《密码保存登记表》签字后方可,拆封后,系统责任人要重新修改密码,密存在信封中。
5.4.2 用户登录名与密码的管理
用户名和密码的组合定义了系统中用户的身份,用户和密码组合由系统管理员进行管理,不设置多人共用的账号,当一个工作人员离开岗位后,其账号应被及时删除。为防止非法用户使用信息网络资源,对访问用户的合法性进行鉴别,当不成功鉴别尝试次数达到门限值时,系统将拒绝该用户的访问,加以记录并自动告警。对用户访问控制的规范应遵循:
(1)所有的用户都要经过授权;
(2)用户有在自己的环境里设置对象特权的权力;
(3)禁止用户删除在共享目录下其它用户的文件;
(4)可以通过制定的策略控制用户对于系统中所有对象的访问;
(5)用户不能检查授予其它用户的访问控制权限;
(6)要能够提供强制性的访问控制
5.4.3 不相容岗位分离控制
信息系统开发人员不得操作使用信息系统,系统管理与维护人员不得操作使用信息系统。
5.5 系统维护及机房管理(《机房管理制度》)
5.5.1 外来人员对硬件系统维护时,须填写《外来人员进入机房审批表》,经信息
管理部门经理签字批准后方可;当外来人员对软件系统进行维护时,须填写《应用软件维护表》,经系统使用部门(单位)负责人和信息管理部门经理签字批准后方可。
5.5.2 机房所有工作人员须经信息管理部门经理授权并凭门禁卡进出机房,外来人员进入机房统一由信息管理部专人陪同,陪同人员全面负责外来人员的行为安全,并做好安全防范工作。进出机房工作人员的授权定期(季度)由信息管理部门经理进行复核并做记录。
5.5.3 机房管理人员应熟知机房内设备的基本安全操作规程。不定期对运行设备进行测试和保养,由专人负责机房内设备的保养和备品、配件、资料、盘片等的保管,并登记造册,保证备用设备完好,可供随时投入使用。机房设备损坏应立即投入备用设备,并汇报领导,及时联系修复,做好检修记录。机房工作人员应学习常规的用电安全操作和知识,了解机房内部的供电、用电设施的操作规程。在外部供电系统停电时,机房工作人员应做好停电应急工作。
5.5.4 机房工作人员应熟悉机房内部消防安全操作和规则,了解消防设备操作原理、掌握消防应急处理步骤、措施和要领。不定期进行消防演习、消防常识培训、消防设备使用培训。如发现消防安全隐患,应即时采取措施解决,不能解决的应及时向相关负责人员提出解决。
5.5.5 防网络攻击和防病毒管理由信息管理部统一管理
5.5.1 网络运行维护人员在发现可疑网络攻击和入侵迹象时,必须尽快处理并记录,在必要时请示主管部门领导,组织技术力量进行处理:
(1)分析判断:对可疑攻击和入侵行为进行必要的观察与分析,以判别是否属于共计或入侵行为。
(2)入侵或攻击的中止:经过分析,在必要时,应立即断开网络连接,将遭受攻击的网段隔离出来。采取有效措施,终止对系统的破坏行为。
(3)记录和备份:记录发现网络入侵或攻击的当前时间,备份系统日志以及其它网络安全相关的重要文件,保存内存中的进程列表和网络连接状态,并且打开进程记录功能。
(4)如果系统受到严重破坏,影响网络业务功能,立即调用备件恢复系统。
(5)对该入侵或攻击行为进行大量的日志、分析工作。同时竭尽全力地判断寻找攻击源。
(7)将入侵的详细情况逐级向主管领导和有关主管部门汇报并请示处理办法。
5.5.2 各使用人或部门应采用信息管理部批准的查毒、杀毒软件,包括服务器和客户端的查毒、杀毒软件。
5.5.3 禁止使用来历不明、未经杀毒的软件,不阅读和下载来历不明的电子邮件或文件,严格控制并阻断计算机病毒的来源。
5.6.4 经远程通信传送的程序或数据,必须经过检测确认无病毒后方可使用。
5.6.5 网络管理员应至少每周一次自动的全系统病毒扫描,每天定时自动检查更新病毒定义文件,对于发现的病毒则要有相关信息提示自动的发送到相关管理人员处。
5.6.6 信息管理部门应利用操作系统、数据库系统、应用系统提供的安全机制,设置参数,保证系统访问安全。
5.7 信息管理部负责日常网络与硬件的监控。通过监控系统对网络链路带宽做实时监控,并在需要时做相应的调整。对核心服务器和网络设备做活跃性测试监控,主要是针对设备的网络活动,系统的应用服务做监控。外部网络的访问必须要通过防火墙,制定相关防火墙安全策略及防火墙配置标准。
5.8 系统终结
5.8.1 信息系统因各种原因不再使用时,信息管理部负责做好系统中有价值或涉密信息的销毁、转移,并按国家有关法律法规和电子档案的管理规定,妥善保管。
5.9 信息系统风险评估
5.9.1 信息管理部门经理应每月组织开展信息系统安全评估工作,及时发现系统安全问题并加以整改。
6 附则
信息管理部门负责制定、解释、修改、废除本细则,本细则自总经理签发之日起执行。
7 支持性文件、记录和图表
7.1 应急事故处理记录(略)
7.2 运行维护记录(略)
7.3 系统变更表(略)
7.4 系统用户申请表(略)
7.5 系统用户记录表(略)
7.6 数据备份记录表(略)
7.7 数据恢复性测试记录表(略)
免费论文网友情提示:本网站所有内容为共享上传提供,不涉及任何商业利益,本站对此不承担任何保证责任!
Copyright © www.csmayi.cn Corporation, All Rights Reserved 共享时代 共享你我他 版权所有