网络数据和信息安全管理规范.docx

网络数据和信息安全管理规范
网络数据和信息平安管理规范 XXXX有限公司 WHB-08 网络数据和信息平安管理规范 版本号: A/0 编制人： XXX 13）依据上级和本级计算机信息平安领导的要求，根据规定的流程进行系统升级或平安补丁程序的安装。
14）管理本部门的计算机网络服务和相应端口，并进行登记备案和实施技术平安管理。
15）依据数据备份策略，完成所管理系统数据的备份、备份介质保管、数据复原工作。
1）自觉遵守计算机信息及网络平安的法律、法规和规定。
2）负责所运用个人计算机设备及数据和业务系统账号的平安。
3）发觉本部门计算机网存在的平安隐患及平安事务，刚好报告部门计算机管理部门。
4）不得擅自安装、维护公司全部网络设备（包括路由器、交换机、集线器、光纤、网线），不得私自接入网络。
各部门应保持计算机及网络平安员的相对稳定，并加强对计算机及网络平安员的教化和技术培训。在计算机及网络平安员调动、离职或者其他缘由离开原岗位时，应将其涉及的用户账号和权限刚好进行变更或注销。
系统平安规定 公司计算机机房由计算机管理部门负责管理，并建立出入登记和审批制度。携带计算机设备及磁盘等存储介质进、出主机房，应经主管部门同意，并由机房管理人员进行核查登记。
各部门计算机管理部门应指定专人负责本部门计算机设备的管理，做好计算机设备的增加、修理、调拨等的审核与管理。计算机设备修理特殊是需离场修理或承包给企业外部人员维护、修理时，应核实该设备中是否存储有涉及企业隐私、不宜公开的内部资料和账号、密码等，如有应实行拆卸硬盘、有效删除有关资料等有效措施，防止泄密。
运用、操作计算机设备时，应遵循以下平安要求： 1）保管好自己运用或所负责保管计算机设备的账号、口令，并不定期更换口令，不得转借、转让账号。
2）担心装和运用来历不明、没有版权的软件，对于外来的软件、数据文件等，必需先经病毒检测，确认无感染、携带病毒后方可运用。
3）不在个人运用的计算机上安装与工作无关的软件。
4）不擅自更改设备的IP地址及网络拓扑结构及软、硬件配置。
5）在存储有重要数据的计算机上，应设置开机密码、屏幕爱护密码。
6）在个人计算机上安装防病毒软件，并开启实时病毒监测功能，刚好升级病毒库和软件。
7）非经计算机管理部门的有效许可，不得对网络进行平安（漏洞）扫描和对账号、口令及数据包进行侦听；不得利用网络服务实施网络攻击、散布病毒和发布有害信息。在网络设备及主机系统进行操作还应当遵循有关网络平安规定。
账号管理平安 账号的设置必需遵循“唯一性、必要性、最小授权”的原则。
唯一性原则是指每个账号对应一个用户，不允很多人共同拥有同一账号。
必要性原则是指账号的建立和安排应依据工作的必要性进行安排，不能依据个人须要、职位进行安排，禁止与所管理主机系统无关的人员在系统上拥有用户账号，要依据工作变动刚好关闭不须要的系统账号。
最小授权原则是指对账号的权限应进行严格限制，其权限不能大于其工作、业务须要。超出正常权限范围的，要经主管领导审批。
系统中全部的用户（包括超级权限用户和一般用户）必需登记备案，并定期批阅。
严禁用户将自己所拥有的用户账号转借他人运用。
员工发生工作变动，必需重新审核其账号的必要性和权限，刚好取消非必要的账号和调整账号权限；如员工离开本部门，须马上取消其账号。
在本部门每个应用系统、网络工程验收后，应马上删除系统中全部的测试账号和临时账号，对须要保留的账号口令重新进行设置。
系统管理员必需定期对系统上的账号及运用状况进行审核，发觉可疑用户账号时刚好核实并作相应的处理，对长期不用的用户账号进行锁定。
一般状况下不允许外部人员干脆进入主机系统进行操作。在特别状况下（如系统修理、升级等）外部人员须要进入系统操作，必需由系统管理员进行登录，并对操作过程进行记录备案。禁止将系统用户及口令干脆交给外部人员。
口令平安管理 口令的选取、组成、长度、修改周期应符合平安规定。禁止运用名字、姓氏、电话号码、生日等简单揣测的字符串作为口令，也不要运用单个单词作为口令，在口令组成上必需包含大小写字母、数字、标点等不同的字符组合，口令长度要求在8位以上。
重要的主机系统，要求至少每个月修改口令，对于管理用的工作站和个人计算机，要求至少每两个月修改口令。
重要的主机系统应逐步采纳一次性口令及其它牢靠的身份认证技术。
本地保存的用户口令应加密存放，防止用户口令泄密。
软件平安管理： 担心装和运用来历不明、没有版权的软件。
不得在重要的主机系统上安装测试版的软件。
开发、修改应用系统时，要充分考虑系统平安