文档号CSLJC_COM_STD_ISMS_1202_P_V0.1密级ISO 27001 信息安全管理体系文件系统安全管理规定ISMS—MP—A.12-01活动签名日期创建成涛2024—8—24审核批准文档变更历史作者(或修订人)版本号日期修改内容与原因成涛V0。12024-8-24新建评审记录评审方式版本号日期评审意见文档状态:草稿目 录1 概述 1.1 目的 1 。 2 定义 1.3 范围 1 。 4 原则 2 角色与职责 3 安全要求 3.1 系统安全规划要求 3.2 系统运行与维护安全要求 3.3 操作系统安全配置策略 3.3.1 Windows 系统安全配置管理策略 3.3.2 UNIX 系统安全管理策略 4 附录 1 概述 1.1 目的为了加强公司各类计算机系统的安全运维管理,特制定本规定。1.2 定义本程序引用 ISO/IEC 17799:2024 标准中的术语。1.3 范围本文档适用于公司建立的信息安全管理体系。1.4 原则本文档将依据信息技术和信息安全技术的不断进展和信息安全风险与信息安全保护目标的不断变化而进行版本升级。2 角色与职责表 2-1系统安全管理规定的角色和职责序号角色职责1信息安全管理委员会负责对系统安全管理进行指导和检查2系统运维部负责生产环境系统的维护工作3系统支援及维护部负责系统安全管理的落地和实施工作4员工遵守公司系统安全管理规定3 安全要求1.5 系统安全规划要求1、系统在投入使用前需要做好前期的规划和设计,除了要满足公司目前业务需要外还要考虑该业务系统将来的应用需求,使系统具有一定的扩充能力。2、系统服务器操作系统应选用正版软件并且遵守软件规定的最终用户使用协议,禁止使用盗版软件。3、新规划使用系统应考虑和原来系统的兼容性问题。4、在新系统安装之前应有详细的实施计划,并严格根据计划来实施。5、在新系统安装完成,投入使用前,应对所有组件包括设备、服务或应用进行连通性测试、性能测试、安全性测试,并在《系统测试记录》做详细记录,最终形成测试报告。6、在新系统安装完成,测试通过,投入使用前,应删除测试用户和口令,最小化合法用户的权限,最优化配置,应及时对系统软件、文件和重要数据进行备份。1.6 系统运行与维护安全要求1、各个系统设备应进行资产登记。2、系统的帐号、口令应符合《帐号与密码安全管理规定》,并定期对帐号口令实施安全评估。3、严格限制操作系统管理员权限帐号和普通账号的数量和使用范围。对于系统管理员的帐号要详细登记备案,编制《管理员权限账号记录》,每季度对该记录进行审核,更新帐号记录.4、操作系统帐...
