第一章 总则
第一条 为加强舞钢市公共信用信息(以下简称信用信息)安全日常运维管理工作,提高运维操作的规范性和安全性,特制定本办法。
第二条 本办法适用于舞钢市的信用信息安全管理工作。
第二章 范围
第三条 为指导和规范信用信息安全日常运维操作和管理,本规定内容适用的范围:
1.基础网络和信息系统安全运行的日常管理和维护;
2.应用系统数据的安全管理和维护;
3.硬件设备维护;
4.应用系统以及应用支撑平台的日常管理和维护等。
第三章 职责
第四条 由信用办负责舞钢市公共信用信息系统安全运维管理、实施以及监督工作,其职责如下:
1.负责应用系统的管理和维护工作,解决并记录应用系统中的问题,按照权限分配表在应用系统中设置用户的权限;
2.负责服务器操作系统的管理和维护工作,对服务器中软件的安装及删除进行管理和记录;
3.负责数据库的管理和维护工作,进行数据备份和恢复测试,并对备份的存放介质进行管理;
4.负责网络的管理和维护工作;
5.负责本单位内的信息安全管理工作;
6.负责舞钢市机关机房的管理和维护工作;
7.负责系统文档的安全管理工作等。
第四章 设备安全操作
第五条 在对信息化系统中的各类设备进行操作时,应严格按照具体应用需求进行。
第六条 在进行操作前,应书面填写操作申请单,列明操作所涉及的设备、对系统可能带来的影响以及相应的应对措施,在得到信用办审批后,方可进行操作。
第七条 在进行操作前,应对设备当前配置或者数据进行记录或者备份。
第八条 操作完成后,应对本次操作过程和操作结果进行记录并提交信用办存档。
第五章 终端日常使用管理
第九条 在网络中的用户终端应严格按照要求进行操作,遵守内外网分离的要求,不得擅自修改IP地址、擅自卸载桌面管理系统、杀毒软件等。应按照要求按时进行病毒扫描和补丁升级。
第十条 移动介质安全管理:
1.移动介质不能在内、外网终端之间混用;
2.在移动介质接入终端后应立即进行病毒扫描;
3.使用移动介质拷贝重要数据完成后,应立即清除;
4.涉及信息化系统的技术资料、安装介质等应由专人进行妥善保管,借出使用时应登记并按要求准时归还。
第六章 应用系统运行安全管理
第十一条 对于各应用系统以及应用系统支撑平台的日常运行情况要定期进行记录、分析和汇报。各应用系统使用科室对于发现的异常情况要及时通报信用办以便及时解决。
第十二条 系统管理员负责应用系统的安装、维护和系统及数据备份;根据应用系统的安全策略,负责应用系统的用户权限设置以及系统安全配置。
第十三条 应用系统维护和应急处理记录要求:
1.设置“应用系统维护和应急处理记录”,系统管理员记录系统的运行情况;
2.对系统异常、系统故障的日期、现象、处理方法及结果等应急处理进行记录;
3.对应用系统的安装、设置更改、帐号变更、组变更、备份等系统维护工作进行记录,以备查阅;
4.对应用系统异常和系统故障的时间、现象、应急处理方法及结果作详细的记录。
第十四条 应用系统软件、资料以及许可证的管理:
1、必须对应用系统软件的介质、资料和许可证进行登记,并设专人负责保管;
2、登记的内容应包括软件的名称和版本、软件出版商、许可证类型和数量、介质的编号和数量、软件安装序列号、手册名称和数量、购买日期等;
3、应用系统软件和资料的借用,需要审批和借还登记手续;
4、对重要应用系统软件介质和资料要进行复制,借用时应提供复制品,以保护好原件及避免丢失。
第十五条 应用系统配置的备份的管理
1、系统管理员应对系统的配置参数及相关文件进行备份;
2、当配置发生变更时必须重新备份,以便系统故障时能尽快恢复系统配置。
第十六条 应用系统数据的备份的管理
1、备份权限,备份介质都必须加以妥善保管,防止非法访问;
2、如果开发数据库中导入了数据库的数据,要确保为生产数据库所指定的安全规则也用于开发数据库中;
3、制定备份策略,以高效备份与恢复为目标,与操作系统备份结合,物理备份与导出相结合。
第七章 系统数据的安全管理
第十七条 根据应用系统数据的生命周期和重要性,分别设置合理的在线、近线、离线数据的存储、备份策略。
第十八条 备份策略应形成书面材料由信息管理部门审核后存档。
第十九条 当应用系统发生变化时,应及时评估其对数据备份要求的影响,制订新的备份策略,经审核后存档。
第二十条 备份的数据应定期检查,重要数据应在备份后随机抽取进行恢复测试以保证备份数据的可用性;超过时效的备份应在获得信息管理部门的书面同意后及时格式化或者销毁。
第八章 系统运行平台的安全管理
第二十一条 系统运行平台指的是支撑应用系统运行的主机、操作系统以及数据库、中间件等平台软硬件。
第二十二条 系统运行平台由信用办统一进行管理和维护,主要内容包括:系统平台配置,登录/操作审计、访问端口限制、补丁更新、日志分析、数据备份、口令管理等。
第九章 口令/密码/密钥安全管理要求
第二十三条 应用系统管理员在系统中为每个用户设立一个账户,其权限按照经单位负责人批准的《应用系统用户权限分配表》和《应用系统角色权限表》中的描述设定。应用系统的所有账户应符合统一口令策略的要求设置和更新密码。
第二十四条 服务器的操作系统中没有未授权的登录账号,确需保留的系统账号应有明确的管理人员。操作系统中账户应符合舞钢市机关统一口令策略的要求设置和更新密码。
第二十五条 数据库中的所有账号应符合统一口令策略的要求设置和更新密码。
第二十六条 密码和密钥要求长度超过8位,要求信息管理科室管理员做好密钥的产生、保存、分配、使用、废除、归档和销毁工作。
第十章 系统文档的安全管理
第二十七条 信息化系统文档的管理由信息管理部门统一进行。其职责包括:文档存档管理;文档更新管理;文档借阅管理;文档销毁管理。
第十一章 系统的安全监测
第二十八条 系统的安全监测由信息管理部门统一进行。职责包括:
1、依靠安全运维平台、网管软件、桌面管理系统等工具,每周对信息化系统进行监测,对于重点与核心部分内容则每天进行监测;
2、为每次监测填写监测记录;
3、分析监测记录,找出系统可能存在的隐患并及时处理等。
第十二章 备份和恢复管理
第二十九条 定期对信息系统的数据、软硬件的配置文件进行备份。
第三十条 根据应用系统数据的生命周期和重要性,分别设置合理的在线、近线、离线数据的存储、备份策略。备份策略应形成书面材料,交由相关管理部门存档。
第三十一条 网络服务器数据备份工作,系统备份每周做一次。系统管理员在每周最后一个工作日,将应用服务器的数据库文件做一次异机备份,数据保存一个季度。
第三十二条 当应用系统发生变化时,应及时评估其对数据备份要求的影响,制订新的备份策略,经审核后存档。
第三十三条 备份的数据应定期检查,重要数据应在备份后随机抽取进行恢复测试以保证备份数据的可用性;超过时效的备份应在获得信息管理部门分管领导书面同意后及时格式化或者销毁。