【正文】 軟件的維護。⑤ 系統(tǒng)軟件的設(shè)計、實現(xiàn)和修改。⑥ 重要程序和數(shù)據(jù)的刪除和銷毀等。第四十七條任期有限原則： 一般地講，任何人最好不要長期擔(dān)任與安全有關(guān)的職務(wù)，為遵循任期有限原則，工作人員應(yīng)不定期地循環(huán)任職，強制實行休假制度，并規(guī)定對工作人員進行輪流培訓(xùn)，以使任期有限制度切實可行。工作人員在調(diào)離本崗位后，應(yīng)對其所涉及到的權(quán)限及口令等進行重新設(shè)定。第四十八條職責(zé)分離原則：（一）在信息處理系統(tǒng)工作的人員不要打聽、了解或參與職責(zé)以外的任何與安全有關(guān)的事情，除非系統(tǒng)主管領(lǐng)導(dǎo)批準(zhǔn)。（二）出于對安全的考慮，下面每組內(nèi)的兩項信息處理工作應(yīng)當(dāng)分開： ① 計算機操作與計算機編程。② 機密資料的接收和傳送。③ 安全管理員和網(wǎng)絡(luò)管理員。④ 應(yīng)用程序和系統(tǒng)程序的編制。⑤ 訪問證件的管理與其它工作。⑥ 計算機操作與信息處理系統(tǒng)使用媒介的保管等。第四十九條人員調(diào)離時安全管理應(yīng)符合下列基本安全要求：（一）根據(jù)人員安全保密管理，對工作調(diào)動和離職人員要及時調(diào)整相應(yīng)的授權(quán)。（二）在宣布人員調(diào)離的同時，應(yīng)馬上收回調(diào)離人員的各項權(quán)限，包括取消帳號，收回相關(guān)房門鑰匙，更換其原來管理的系統(tǒng)的訪問口令，并向被調(diào)離人員申明其保密義務(wù)。（三）涉及科研、開發(fā)及其他重要業(yè)務(wù)的技術(shù)人員調(diào)離時，應(yīng)確認對業(yè)務(wù)不會造成危害后方可調(diào)離。（四）人員的錄用調(diào)入必須經(jīng)人事組織技術(shù)部門的考核和接受相應(yīng)的安全教育。第七章系統(tǒng)及應(yīng)用安全管理第五十條系統(tǒng)運行的基本要求：（一）對于各個信息系統(tǒng)的使用應(yīng)建立相應(yīng)安全操作規(guī)程與規(guī)章制度。（二）指定專人負責(zé)啟動、關(guān)閉重要計算機系統(tǒng)和相關(guān)設(shè)備。/ 12（三）指定專人對系統(tǒng)運行狀況進行監(jiān)視，及時發(fā)現(xiàn)問題并報告上級。（四）記錄內(nèi)部網(wǎng)絡(luò)拓撲情況，記錄各計算機系統(tǒng)的IP地址、網(wǎng)卡地址、系統(tǒng)配置，以在發(fā)生安全問題時，及時找到相關(guān)系統(tǒng)。（五）各個信息系統(tǒng)的運行場所應(yīng)滿足相應(yīng)的安全等級要求。（六）各個信息系統(tǒng)應(yīng)配備必要的計算機病毒防范工具。（七）重要的信息系統(tǒng)應(yīng)配備必要的備份設(shè)備和設(shè)施。第五十一條系統(tǒng)數(shù)據(jù)安全管理的要求：（一）計算機信息系統(tǒng)應(yīng)定期進行數(shù)據(jù)備份，并檢查備份介質(zhì)的有效性。（二）應(yīng)對備份介質(zhì)（磁帶、磁盤、光盤、紙介質(zhì)等）統(tǒng)一編號，并標(biāo)明備份日期、密級及保密期限。（三）應(yīng)對備份介質(zhì)妥善保管，特別重要的應(yīng)異地存放，并定期進行檢查，確保數(shù)據(jù)的完整性、可用性。（四）應(yīng)建立備份介質(zhì)的銷毀審批登記制度，并采取相應(yīng)的安全銷毀措施。（五）未采取保密措施的涉密系統(tǒng)(含個人計算機)，不得用于采集、處理、存貯、傳輸和檢索涉及公司秘密的信息(以下簡稱涉密信息)。（六）重要信息系統(tǒng)使用的計算機設(shè)備更換或報廢時，應(yīng)徹底清除相關(guān)業(yè)務(wù)信息，并拆除所有相關(guān)的涉密選配件，由使用部門登記封存。第五十二條服務(wù)器安全管理要求：（一）系統(tǒng)中各服務(wù)器為應(yīng)用系統(tǒng)、安全系統(tǒng)專用，不得用于其他用途。（二）未經(jīng)許可，服務(wù)器中不得安裝與系統(tǒng)無關(guān)的軟件。（三）系統(tǒng)中各主要服務(wù)器不準(zhǔn)開設(shè)文件共享服務(wù)，若需進行文件的傳輸與拷貝，可開通FTP服務(wù)。（四）網(wǎng)絡(luò)管理員應(yīng)建立完整的計算機運行日志，操作記錄及其它與安全有關(guān)的資料。第五十三條個人計算機安全管理要求：（一）未采取保密措施的個人計算機(含便攜機，下同)，不得作為臨時終端檢索涉密系統(tǒng)的信息，不得與涉密系統(tǒng)聯(lián)網(wǎng)。（二）個人計算機存貯涉密信息應(yīng)當(dāng)采取保密措施，并標(biāo)明密級，按密級文件進行管理，不得在公共場所存放。（三）個人計算機不得安裝和使用會影響網(wǎng)絡(luò)性能的工具軟件，如網(wǎng)絡(luò)掃描器、黑客攻擊工具等。（四）個人計算機不得安裝與工作無關(guān)的軟件，如游戲、聊天、炒股軟件等。第五十四條數(shù)據(jù)庫安全管理要求：（一）數(shù)據(jù)庫的各個用戶的默認密碼應(yīng)該被重新設(shè)置為新的密碼，且密碼由數(shù)字/ 12和字母共同組成，密碼長度不小于8位。（二）嚴(yán)格設(shè)置和限制數(shù)據(jù)庫用戶的訪問權(quán)限，容許用戶只訪問被批準(zhǔn)的數(shù)據(jù)，以及限制不同用戶有不同的訪問模式。（三）開啟數(shù)據(jù)庫日志功能，數(shù)據(jù)庫管理員定期查看日志，查找異常情況，并將數(shù)據(jù)庫日志進行備份。（四）若網(wǎng)絡(luò)系統(tǒng)中采用了數(shù)據(jù)庫審計系統(tǒng)，數(shù)據(jù)庫審計系統(tǒng)的管理員應(yīng)經(jīng)常注意數(shù)據(jù)庫審計系統(tǒng)的報警情況，以及時作出安全響應(yīng)措施。（五）數(shù)據(jù)庫管理員應(yīng)了解數(shù)據(jù)庫安全漏洞情況及相應(yīng)的解決方法，如及時為數(shù)據(jù)庫升級或打好相應(yīng)的補丁。（六）對重要數(shù)據(jù)庫定期進行備份。第五十五條系統(tǒng)運行平臺的安全管理要求：（七）系統(tǒng)管理員應(yīng)合理配置操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)所提供的安全審計功能，以達到相應(yīng)安全等級標(biāo)準(zhǔn)。（八）系統(tǒng)管理員應(yīng)屏蔽與應(yīng)用系統(tǒng)無關(guān)的所有網(wǎng)絡(luò)功能，防止非法用戶的侵入。（九）涉密系統(tǒng)的操作系統(tǒng)應(yīng)當(dāng)建立用戶身份驗證、訪問權(quán)限控制等保密防御機制和審計機制。（十）重要的涉密系統(tǒng)，應(yīng)當(dāng)建立具有實時報警功能的監(jiān)控系統(tǒng)。（十一）傳輸重要信息，應(yīng)當(dāng)采用數(shù)字簽名技術(shù)。（十二）涉密系統(tǒng)各類數(shù)據(jù)庫應(yīng)當(dāng)建立用戶身份鑒別、訪問權(quán)限控制和數(shù)據(jù)庫審計等保密措施，重要的數(shù)據(jù)應(yīng)當(dāng)加密存放。（十三）系統(tǒng)管理員應(yīng)及時安裝正式發(fā)布的系統(tǒng)補丁，修補系統(tǒng)存在的安全漏洞。并負責(zé)應(yīng)用軟件和數(shù)據(jù)庫系統(tǒng)的升級和打補丁。（十四）系統(tǒng)管理員應(yīng)啟用系統(tǒng)提供的審計功能，監(jiān)測系統(tǒng)運行日志，掌握系統(tǒng)運行狀況。（十五）系統(tǒng)管理員不得泄露操作系統(tǒng)、數(shù)據(jù)庫的系統(tǒng)管理員帳號、密碼。（十六）聯(lián)網(wǎng)設(shè)備的IP地址及網(wǎng)絡(luò)參數(shù)，必須按照網(wǎng)絡(luò)管理規(guī)范及其業(yè)務(wù)應(yīng)用范圍進行設(shè)置，不得隨意修改。（十七）安全管理員使用掃描工具或請外部專用人員定期對內(nèi)部網(wǎng)絡(luò)系統(tǒng)進行安全掃描。（十八）對于已經(jīng)發(fā)現(xiàn)的操作系統(tǒng)和應(yīng)用軟件漏洞和解決方法，安全管理員應(yīng)及時告知系統(tǒng)管理員及內(nèi)部職員，并及時進行解決。第八章數(shù)據(jù)安全管理第五十六條本制度所指的信息數(shù)據(jù)，包括存儲在計算機硬盤、磁道機、磁盤陣/ 12列、光盤塔等電子信息數(shù)據(jù)，還包括以紙為信息載體的記錄內(nèi)部網(wǎng)絡(luò)情況及信息系統(tǒng)等資源的文檔。第五十七條公司各個部門必須建立完善的業(yè)務(wù)數(shù)據(jù)管理制度，對業(yè)務(wù)數(shù)據(jù)實施嚴(yán)格的安全保密管理。各個業(yè)務(wù)部數(shù)據(jù)信息應(yīng)保存一年以上。第五十八條數(shù)據(jù)備份應(yīng)符合下列基本安全要求：（一）使用數(shù)據(jù)備份軟件對需要長期保存的重要數(shù)據(jù)進行快速有效的數(shù)據(jù)備份工作。（二）各部門重要數(shù)據(jù)的備份一般保證有多份（最少兩份），并異地存放，保證系統(tǒng)發(fā)生故障時能夠快速恢復(fù)。存放備份數(shù)據(jù)的介質(zhì)必須具有明確的標(biāo)識，并明確落實異地備份數(shù)據(jù)的管理職責(zé)。（三）備份數(shù)據(jù)保管地點應(yīng)有防火、防熱、防潮、防塵、防磁、防盜設(shè)施。（四）建議第一次備份時作一次系統(tǒng)數(shù)據(jù)的全備份，以后每天作一次增量備份，每周作一次全備份。（五）數(shù)據(jù)備份過程中，應(yīng)確保備份數(shù)據(jù)源和備份目的介質(zhì)之間數(shù)據(jù)傳輸安全。（六）數(shù)據(jù)備份的存儲介質(zhì)應(yīng)設(shè)有嚴(yán)格的訪問策略限制。（七）備份數(shù)據(jù)應(yīng)僅用于明確規(guī)定的目的，未經(jīng)批準(zhǔn)不得它用。（八）無正當(dāng)理由和有關(guān)批準(zhǔn)手續(xù)，不得查閱備份數(shù)據(jù)。經(jīng)正式批件查閱數(shù)據(jù)時必須登記，并由查閱人簽字。（九）保密數(shù)據(jù)不得以明碼形式存儲和傳輸。（十）根據(jù)數(shù)據(jù)的保密規(guī)定和用途，確定數(shù)據(jù)使用人員的存取權(quán)限、存取方式和審批手續(xù)。（十一）注意計算機重要信息資料和數(shù)據(jù)存儲介質(zhì)的存放、運輸安全和保密管理，保證存儲介質(zhì)的物理安全。（十二）任何非應(yīng)用性業(yè)務(wù)數(shù)據(jù)的使用及存放數(shù)據(jù)的設(shè)備或介質(zhì)的調(diào)撥、轉(zhuǎn)讓、廢棄或銷毀必須嚴(yán)格按照程序進行逐級審批，以保證備份數(shù)據(jù)安全完整。第五十九條涉密介質(zhì)應(yīng)符合下列基本安全要求：（一）涉密系統(tǒng)存貯涉密信息的介質(zhì)(含磁盤、磁帶和光盤，以下簡稱涉密介質(zhì))，應(yīng)當(dāng)由專人負責(zé)保管，涉密介質(zhì)應(yīng)當(dāng)與非密介質(zhì)分開保管。（二）涉密介質(zhì)應(yīng)當(dāng)按密級文件進行管理，標(biāo)明密級并造冊登記，收發(fā)、傳遞和使用應(yīng)當(dāng)有審批手續(xù)和傳遞記錄。（三）涉密介質(zhì)應(yīng)當(dāng)有防拷貝措施，拷貝涉密信息要經(jīng)領(lǐng)導(dǎo)審批，拷貝的涉密介質(zhì)按原涉密介質(zhì)進行管理。（四）涉密介質(zhì)不得降低密級使用和記錄非密信息，無保存價值的涉密介質(zhì)應(yīng)當(dāng)報領(lǐng)導(dǎo)批準(zhǔn)后銷毀，并作好銷毀記錄。/ 12（五）涉密介質(zhì)不得到境外修理。第六十條數(shù)據(jù)管理應(yīng)符合下列基本安全要求：（一）公司內(nèi)部信息數(shù)據(jù)及網(wǎng)絡(luò)應(yīng)用情況要實施保密措施。信息數(shù)據(jù)資源保密等級可分為：（1）可向Internet公開的；（2）可向內(nèi)部公開的；（3）可向特定服務(wù)器區(qū)公開的；（4）可向有關(guān)部門或個人公開的；（5）僅限于本部門內(nèi)使用的；（6）僅限于個人使用的。（二）公司內(nèi)各部門計算機數(shù)據(jù)管理實行負責(zé)人責(zé)任制，各部門指定專人負責(zé)本部門計算機數(shù)據(jù)管理工作。保障本部門計算機數(shù)據(jù)的安全運行，對本部門的計算機數(shù)據(jù)及時進行分類登記、備份，隨時檢測、清除計算機病毒，使用病毒防護工具恢復(fù)被病毒感染的數(shù)據(jù)。（三）計算機數(shù)據(jù)中涉及國家和商業(yè)秘密的信息應(yīng)采取技術(shù)加密、保密措施，并編制操作密碼，任何人不準(zhǔn)泄露操作密碼。操作密碼要定期更改。如發(fā)現(xiàn)失、泄密現(xiàn)象應(yīng)及時向有關(guān)部門報告。（四）傳遞應(yīng)予保密的數(shù)據(jù)，應(yīng)通過符合保密要求的郵件等方式進行。（五）在數(shù)據(jù)采集、傳遞、加工和發(fā)布中違反報名規(guī)定，給國家和社會造成危害的，對直接責(zé)任人要給予行政處分，情節(jié)嚴(yán)重的，要追究刑事責(zé)任。（六）記錄有公司內(nèi)部網(wǎng)絡(luò)拓撲情況、網(wǎng)絡(luò)地址、系統(tǒng)配置等的電子文檔，應(yīng)由網(wǎng)絡(luò)管理員妥善保管，加密存儲。相關(guān)的紙介質(zhì)文檔，也應(yīng)妥善保管在安全處，未經(jīng)上級批準(zhǔn)不得借閱或復(fù)印。（七）數(shù)據(jù)恢復(fù)前，必須對原環(huán)境的數(shù)據(jù)進行備份，防止有用數(shù)據(jù)的丟失。數(shù)據(jù)恢復(fù)過程中要嚴(yán)格按照數(shù)據(jù)恢復(fù)手冊執(zhí)行，由信息部門技術(shù)人員進行現(xiàn)場技術(shù)支持。數(shù)據(jù)恢復(fù)后，必須進行驗證，確保數(shù)據(jù)恢復(fù)的完整性和可用性。（八）數(shù)據(jù)清理前必須對數(shù)據(jù)進行備份，在確認備份正確后方可進行清理操作。歷次清理前的備份數(shù)據(jù)要根據(jù)備份策略進行定期保存或永久保存，并確?？梢噪S時使用。數(shù)據(jù)清理的實施應(yīng)避開業(yè)務(wù)高峰期，避免對聯(lián)機業(yè)務(wù)運行造成影響。（九）需要長期保存的數(shù)據(jù)，數(shù)據(jù)管理部門需與相關(guān)部門制定轉(zhuǎn)存方案，根據(jù)轉(zhuǎn)存方案和查詢使用方法要在介質(zhì)有效期內(nèi)進行轉(zhuǎn)存，防止存儲介質(zhì)過期失效，通過有效的查詢、使用方法保證數(shù)據(jù)的完整性和可用性。轉(zhuǎn)存的數(shù)據(jù)必須有詳細的文檔記錄。（十）計算機設(shè)備送外維修，須經(jīng)設(shè)備管理機構(gòu)負責(zé)人批準(zhǔn)。送修前，需將設(shè)備/ 12存儲介質(zhì)內(nèi)應(yīng)用軟件和數(shù)據(jù)等涉經(jīng)營管理的信息備份后刪除，并進行登記。對修復(fù)的設(shè)備，設(shè)備維修人員應(yīng)對設(shè)備進行驗收、病毒檢測和登記。（十一）管理部門應(yīng)對報廢設(shè)備中存有的程序、數(shù)據(jù)資料進行備份后清除，并妥善處理廢棄無用的資料和介質(zhì)，防止泄密。第九章 病毒防治管理第六十一條網(wǎng)絡(luò)中所有聯(lián)網(wǎng)的服務(wù)器和客戶端均應(yīng)安裝病毒防護系統(tǒng)軟件，若病毒防護軟件帶有集中管理功能，則對網(wǎng)絡(luò)用戶實現(xiàn)病毒防護軟件的統(tǒng)一設(shè)置，不容許用戶私自卸載防病毒軟件，不容許用戶禁止實時病毒掃描功能。第六十二條安全管理員負責(zé)更新防病毒軟件。第六十三條定期進行病毒掃描，發(fā)現(xiàn)病毒立即處理；設(shè)置病毒防護軟件自動掃描為每周至少一次。第六十四條外面進來的信息介質(zhì)必須經(jīng)過病毒掃描、病毒清除后才能使用。第六十五條計算機使用人員在使用軟盤時，應(yīng)先對軟盤進行病毒掃描。第六十六條計算機使用者在離開前應(yīng)鎖定計算機或退出系統(tǒng)。第六十七條任何人未經(jīng)計算機所屬使用人的同意，不得使用他人的計算機。第六十八條安全管理員負責(zé)公司內(nèi)部計算機病毒的檢測和清理工作。第六十九條安全管理負責(zé)人對防病毒措施的落實情況進行監(jiān)督。第七十條安全管理員定期將防病毒軟件的統(tǒng)計日志和公司內(nèi)病毒發(fā)作情況向安全管理領(lǐng)導(dǎo)小組匯報。第十章帳號密碼與權(quán)限管理第七十一條由網(wǎng)絡(luò)管理員負責(zé)創(chuàng)建用戶和刪除用戶，用戶的密碼口令修改由用戶自己完成，未經(jīng)用戶同意，網(wǎng)絡(luò)管理員無權(quán)修改用戶的密碼。第七十二條密碼設(shè)置應(yīng)具有安全性、保密性，不能使用簡單的代碼和標(biāo)記。密碼是保護系統(tǒng)和數(shù)據(jù)安全的控制代碼，也是保護用戶自身權(quán)益的控制代碼。密碼分設(shè)為用戶密碼和管理員密碼，用戶密碼是登陸系統(tǒng)時所設(shè)的密碼，管理員密碼是進入各應(yīng)用系統(tǒng)的管理員密碼。第七十三條編制密碼應(yīng)當(dāng)選擇有大小寫英文字母與數(shù)字混合用的可拼讀但無意義的字母組合，字長不得少于6個字符，機密系統(tǒng)口令長度不得少于10位。不得選擇常用、易猜或有特殊意義的名字或單詞,如：名字、生日，重復(fù)、順序、規(guī)律數(shù)字等容易猜測的數(shù)字和字符串。第七十四條密碼應(yīng)定期修改，間隔時間不得超過一個月，如發(fā)現(xiàn)或懷疑密碼遺失或泄漏應(yīng)立即修改，并在相應(yīng)登記簿記錄用戶名、修改時間、修改人等內(nèi)容。第七十五條口令字(表)必須注意保密，不得記載或張貼在外。第七十六條用戶注意對自己帳號和密碼保密，帳號不得轉(zhuǎn)借、轉(zhuǎn)讓他人使用，11 / 12不得將帳號和密碼告訴外部人員。第七十七條用戶密碼在失密后立即報告，及時更換新密碼。第七十八條操作人員應(yīng)有互不相同的用戶名，用戶對自己使用的帳號負責(zé)，不得與他人共享同一帳號，系統(tǒng)應(yīng)定期提醒用戶更改帳號密碼。第七十九條對各用戶權(quán)限統(tǒng)籌安排，各崗位操作權(quán)限要嚴(yán)格按崗位職責(zé)設(shè)置，應(yīng)定期檢查操作人員的權(quán)限。第八十條重要崗位的登錄過程應(yīng)增加必要的限制措施。第八十一條對于內(nèi)部網(wǎng)絡(luò)內(nèi)使用的公用帳號和密碼（如FTP服務(wù)器的登錄帳號和密碼）應(yīng)定期更換，同時也不得將此帳號信息泄漏于外部人員。第八十二條在職人員離職時，應(yīng)及時刪除該用戶的帳號。第八十三條創(chuàng)建用戶、刪除用戶、修改密碼等設(shè)計用戶安全性的操作應(yīng)該有詳細的日志記錄，并由安全管理員負責(zé)查看。第八十四條服務(wù)器、路由器等重要設(shè)備的超級用戶密碼由運行機構(gòu)負責(zé)人指定專人（不參與系統(tǒng)開發(fā)和維護的人員）設(shè)置和管理。第八十五條有關(guān)密碼授權(quán)工作人員調(diào)離崗位，有關(guān)部門負責(zé)人須指定專人接替并對密碼立即修改或用戶刪除并進行登記。第十一章附則第八十六條本辦法由XXX信息部負責(zé)解釋。第八十七條本辦法經(jīng)XXX信息化工作領(lǐng)導(dǎo)小組審議通過后生效，自發(fā)布之日起實施。/ 12第三篇：信息安全管理制度信息工作管理制度第一章 總 則第一條 為了加強信息管理，規(guī)范信息安全操作行為，提高信息安全保