信息系统安全管理规范.doc

信息系统安全管理规范 1. 目标 此文档用于规范公司业务系统的安全管理，安全管理所达到的目标如下： 确保业务系统中所有数据及文件的有效保护，未经许可的用户无法访问数据。对用 户权限进行合理规划，使系统在安全状态下满足工作的需求。 2. 机房访问控制 机房做为设备的集中地，对于进入有严格的要求。 只有公司指定的系统管理员及数据库管理员才有权限申请进入机房。系统管理员及数 据库管理员因工作需要进入机房前必须经过公司书面批准。 严格遵守机房管理制度。 3. 操作系统访问控制 保护系统数据安全的第一道防线是保障网络访问的安全，不允许未经许可的 用户进入到公司网络中。 第二道防线就是要控制存放数据及应用文件的主机系统 不能被未经许可的用户直接访问。 为防止主机系统被不安全访问， 采取以下措施： 操作系统级的超级管理用户口令、数据库管理用户口令、应用管理用户口令 只能由系统管理员设定并经办公室审核，１个月做一次修改，口令要向其他人员 保密。 在应用系统实施阶段，考虑到应用软件提供商需要对自己的产品进行调试， 可以在调试时将应用管理用户口令暂时开放给应用软件提供商； 调试一结束系统 管理员马上更改口