1、操作系統(tǒng)及數(shù)據(jù)庫安全管理制 度XXXX安全管理制度匯編操作系統(tǒng)及數(shù)據(jù)庫安全管理制度文件名 稱操作系統(tǒng)及數(shù)據(jù)庫安全管理制 度密 級內(nèi) 部文件編 號版本號V1.0編寫部 門XXX部門編寫人審批 人發(fā)布時(shí)間編制說明第一章總則錯(cuò)誤!未定義書簽錯(cuò)誤!未定義書簽錯(cuò)誤!未定義書簽。錯(cuò)誤!未定義書簽。錯(cuò)誤!未定義書簽。 6第二章辦公區(qū)岀入管理安全 第三章辦公區(qū)防火安全第四章辦公區(qū)安全保密第五章辦公區(qū)安全檢查第六章附則第一節(jié)文擋信息6第二節(jié)版本控制6第三節(jié)其他信息7編制說明為進(jìn)一步貫徹黨中央和國務(wù)院批準(zhǔn)的國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信 息安全保障工作的意見及其 “重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全 ” 的思想

2、、貫徹信息產(chǎn)業(yè)部 “積極預(yù)防、及時(shí)發(fā)現(xiàn)、快速反應(yīng)、確保恢復(fù) ”的方 針和 “同步規(guī)劃、同步建設(shè)、同步運(yùn)行 ”的要求，特制定本制度。本制度依據(jù)我國信息安全的有關(guān)法律法規(guī)，結(jié)合XXXX勺自身業(yè)務(wù)特點(diǎn)、并參考國際有關(guān)信息安全標(biāo)準(zhǔn)制定的。XXXX操作系統(tǒng)及數(shù)據(jù)庫安全管理制度規(guī)范操作系統(tǒng)及數(shù)據(jù)庫的安全 日志等日常運(yùn)維操作。第一章 總則第一條 制度目標(biāo)：為了加強(qiáng)信息安全保障能力，建立健全的安全管理體系， 提高整體的網(wǎng)絡(luò)與信息安全水平，保證網(wǎng)絡(luò)通信暢通和業(yè)務(wù)系統(tǒng)的正常運(yùn)營，提 高網(wǎng)絡(luò)服務(wù)質(zhì)量，在安全體系框架下，本制度為規(guī)范病毒防護(hù)的安全管理，加強(qiáng) 病毒的防護(hù)，確保系統(tǒng)的安全。第二條 適用范圍：本制度適用于所

3、有部門和人員。第三條 制度相關(guān)性： 本制度涉及相關(guān)安全技術(shù)規(guī)范、 安全檢查及監(jiān)控等管理 辦法，同時(shí)遵照相關(guān)管理制度。第二章 安全管理要求第四條 操作系統(tǒng)及數(shù)據(jù)庫由運(yùn)行監(jiān)控室等相關(guān)處室負(fù)責(zé)管理及 維護(hù)。第五條 根據(jù)業(yè)務(wù)需求，由相關(guān)業(yè)務(wù)處室負(fù)責(zé)授予其它工作人員 訪問和使用信息系統(tǒng)的權(quán)力。第六條 系統(tǒng)及數(shù)據(jù)庫管理員要保證系統(tǒng)的安全性，定期檢查安 全漏洞并修復(fù)。 對于敏感信息應(yīng)保證僅能被合法的授權(quán)用戶訪問， 不被 未授權(quán)用戶修改。第七條 操作系統(tǒng)及數(shù)據(jù)庫日志審計(jì)及管理是進(jìn)行日常各類事件 檢測、排查乃至法律訴訟的重要依據(jù)。維護(hù)人員應(yīng)該對操作系統(tǒng)日志、 網(wǎng)絡(luò)訪問日志、 數(shù)據(jù)庫日志等信息進(jìn)行定期審計(jì)及管理，

4、 以及時(shí)發(fā)現(xiàn)和 解決網(wǎng)絡(luò)安全事件。第八條 新建計(jì)算機(jī)及業(yè)務(wù)系統(tǒng)必須設(shè)置完善的日志，并由安全 員負(fù)責(zé)檢查。第九條 操作系統(tǒng)及數(shù)據(jù)庫日志及審計(jì)內(nèi)容：1）日志中不能包含密碼；2）對系統(tǒng)管理員的行為（如 UNIX中的su）要做日志并進(jìn)行審計(jì)；3）失敗的用戶登錄要做日志并審計(jì)；4）重要的系統(tǒng)事件要進(jìn)行自動(dòng)報(bào)警；5）要能夠基于一個(gè)主體或客體做審計(jì)；6）審計(jì)日志中的記錄至少要包含用戶名（或其 id），日期和時(shí)間，登錄地點(diǎn)， 事件描述信息。第十條 對于用戶審計(jì)的日志和程序應(yīng)進(jìn)行保護(hù)，只有負(fù)責(zé)安全 的工作人員才能訪問。第十一條如果可能，日志要保留在只讀的介質(zhì)上。除了在本地保 存以外，日志還要傳輸?shù)桨踩娜罩痉?wù)

5、器上，日志服務(wù)器不提供其它 服務(wù)。不要將日志保存于共享的文件系統(tǒng)中。第十二條日志系統(tǒng)應(yīng)至少保留6個(gè)月記錄，并由專人負(fù)責(zé)每日進(jìn) 行常規(guī)性檢查。每6個(gè)月將歷史日志進(jìn)行備份，存放于安全地點(diǎn)。第三章附則第一節(jié)文擋信息第十三條本制度由業(yè)務(wù)科技處制定，并負(fù)責(zé)解釋和修訂。由信息 安全工作組討論通過，發(fā)布執(zhí)行。第十四條本制度自發(fā)布之日起執(zhí)行。第二節(jié)版本控制（一）對本制度所有修改及審批、發(fā)布都按時(shí)間順序記錄在此V1.0文檔定稿第三節(jié) 其他信息第十五條 本制度中所稱的人員角色職責(zé)由各部門人員分別擔(dān)任， 可能現(xiàn)有崗位的職工在不同時(shí)期所擔(dān)任的角色不同，甚至身兼多種角 色，這種情況下該職工應(yīng)該履行所兼每種角色的安全職責(zé)。XXXX 安全管理制度匯編 定義了信息安全 體系的整體結(jié)構(gòu)、安全組織及各角色崗位的職責(zé)、 以及覆蓋各項(xiàng)安全內(nèi)容的安全管理制