【正文】 運(yùn)行維護(hù)操作規(guī)程（試行） 》 。 ? 信息安全工作小組在信息安全工作方面的主要職責(zé)(略 ) ? 分子公司信息安全管理員的主要職責(zé) 落實(shí)上級(jí)部門(mén)各項(xiàng)制度和要求，負(fù)責(zé)分子公司信息安全管理的日常工作； 分析信息安全現(xiàn)狀和問(wèn)題，提出安全分析報(bào)告和安全防范建議，上報(bào)信息安全事件并提出初步處理意見(jiàn)。 加強(qiáng)防病毒管理，制定并及時(shí)更新公司防病毒管理制度，部署、監(jiān)管和指導(dǎo)公司的防病毒工作，研究并制定應(yīng)急方案，應(yīng)對(duì)計(jì)算機(jī)病毒爆發(fā)事件。 信息安全工作小組以及信息安全管理員定期在公司范圍內(nèi)組織信息安全檢查，確保所有業(yè)務(wù)活動(dòng)符合公司規(guī)定的信息安全制度、標(biāo)準(zhǔn)及其相關(guān)規(guī)定。 發(fā)現(xiàn)信息系統(tǒng)故障或批處理操作失敗，及時(shí)報(bào)告問(wèn)題受理人員。 問(wèn)題處理管理制度（試行） “問(wèn)題”是指信息系統(tǒng)運(yùn)行過(guò)程中出現(xiàn)的各類問(wèn)題。 對(duì)于所有問(wèn)題，問(wèn)題受理專責(zé)人員必須填寫(xiě) 《 問(wèn)題受理登記表 》 ，及時(shí)跟進(jìn)，確保所有問(wèn)題得到妥善解決和記錄。 相關(guān)人員必須嚴(yán)格按照操作手冊(cè)執(zhí)行日常的重要操作，同時(shí)保存完整的操作記錄。例外情況下，不能按照操作手冊(cè)的規(guī)定進(jìn)行操作時(shí)，必須向相關(guān)負(fù)責(zé)人提出申請(qǐng)，得到批準(zhǔn)后才能執(zhí)行操作。 信息部應(yīng)該建立批處理操作手冊(cè)作為批處理的操作指導(dǎo)。 信息部文檔管理人員完整保存批處理操作過(guò)程中形成的各類文檔。 數(shù)據(jù)修改指信息部應(yīng)數(shù)據(jù)擁有部門(mén)要求，對(duì)公司信息系統(tǒng)中的數(shù)據(jù)在后臺(tái)數(shù)據(jù)庫(kù)中進(jìn)行的修改。 ? 數(shù)據(jù)提取和發(fā)放 數(shù)據(jù)提取指信息部應(yīng)數(shù)據(jù)擁有部門(mén)要求，對(duì)公司信息系統(tǒng)中的數(shù)據(jù)從后臺(tái)數(shù)據(jù)庫(kù)中進(jìn)行的提取。對(duì)存放數(shù)據(jù)的介質(zhì)，確保只有授權(quán)人員能夠訪問(wèn)。 與第三方連接中進(jìn)行數(shù)據(jù)傳輸時(shí)，參見(jiàn) 《 第三方連接安全管理制度 》 。 備份策略制定后應(yīng)制訂或修改相應(yīng)的備份操作手冊(cè)（包含備份周期、備份失敗的處理辦法等），指導(dǎo)備份工作。 ? 備份介質(zhì)存放和管理 存放在本地和異地的備份介質(zhì)必須具有明確的標(biāo)識(shí)。借用人員使用完介質(zhì)后，應(yīng)立即歸還。具體流程參見(jiàn) 《 數(shù)據(jù)恢復(fù)流程 》 。 公司信息部防病毒管理人員負(fù)責(zé)制定防病毒產(chǎn)品的實(shí)時(shí)防護(hù)、文件防護(hù)、定時(shí)掃描、病毒日志和隔離區(qū)等參數(shù)的設(shè)置標(biāo)準(zhǔn)，用戶嚴(yán)格按照此標(biāo)準(zhǔn)執(zhí)行。 禁止計(jì)算機(jī)用戶隨意下載和運(yùn)行未確定安全性的軟件、程序和文檔，在收到來(lái)源不明的電子郵件后，應(yīng)立即刪除。 防火墻管理制度（試行） ? 防火墻管理 公司內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)連接時(shí)必須安裝防火墻，確保內(nèi)部網(wǎng)絡(luò)及連接的安全，并通過(guò)防火墻的設(shè)置對(duì)內(nèi)外雙向的網(wǎng)絡(luò)訪問(wèn)按照策略和權(quán)限進(jìn)行控制。 信息部防火墻管理人員根據(jù) 《 系統(tǒng)配置與基礎(chǔ)架構(gòu)管理制度 》中規(guī)定的防火墻基準(zhǔn)配置進(jìn)行防火墻的初始配置。 信息系統(tǒng)帳號(hào)管理制度（試行） 系統(tǒng)帳號(hào)：是指應(yīng)用層面及系統(tǒng)層面（操作系統(tǒng)、數(shù)據(jù)庫(kù)、防火墻及其它網(wǎng)絡(luò)設(shè)備）的用戶帳號(hào)。 ? 特權(quán)帳號(hào)和超級(jí)用戶帳號(hào)管理 特權(quán)帳號(hào)指在系統(tǒng)中有專用權(quán)限的帳號(hào)，如備份帳號(hào)、權(quán)限管理帳號(hào)、系統(tǒng)維護(hù)帳號(hào)等。 ? 臨時(shí)帳號(hào)管理 使用臨時(shí)帳號(hào)時(shí)（如內(nèi)外部審計(jì)人員、臨時(shí)崗位調(diào)動(dòng)人員），須填寫(xiě)統(tǒng)一的 《 帳號(hào) /權(quán)限申請(qǐng)表 》 。 緊急帳號(hào)使用人員必須在事件處理完畢后補(bǔ)辦相關(guān)手續(xù)。 ? 用戶帳號(hào)口令管理 用戶帳號(hào)口令發(fā)放要嚴(yán)格保密，用戶必須及時(shí)更改初始口令?；A(chǔ)架構(gòu)變更是指網(wǎng)絡(luò)拓?fù)渥兏?、線路調(diào)整、設(shè)備增減與遷移，以及數(shù)據(jù)庫(kù)、各類操作系統(tǒng)的升級(jí)和補(bǔ)丁更新等。安裝過(guò)后，由信息安全管理員核對(duì)實(shí)際配置是否符合基準(zhǔn)配置要求。 ? 文檔保存 在系統(tǒng)配置和基礎(chǔ)架構(gòu)配置管理過(guò)程中產(chǎn)生的所有文檔，均由信息部文檔管理人員統(tǒng)一保存和管理。 信息部負(fù)責(zé)對(duì)系統(tǒng)變更過(guò)程的文檔進(jìn)行歸檔管理，所有文檔至少保存三年。 ? 系統(tǒng)的版本控制 軟件變更時(shí)，加強(qiáng)版本控制，確保每次在最新的代碼基礎(chǔ)上進(jìn)行更改。 禁止系統(tǒng)維護(hù)人員共享操作系統(tǒng)級(jí)別的賬號(hào)。 限制開(kāi)發(fā)人員對(duì)運(yùn)行環(huán)境中應(yīng)用程序文件夾的訪問(wèn)權(quán)限，只有經(jīng)過(guò)授權(quán)的人員才擁有相應(yīng)的權(quán)限。 緊急變更過(guò)程中應(yīng)使用專設(shè)系統(tǒng)用戶帳號(hào)，由專責(zé)部門(mén)或人員啟動(dòng)緊急修改變更程序。 信息部負(fù)責(zé)接受需求、分析需求，并提出系統(tǒng)變更建議。 信息安全管理人員定期收集和分析各類操作系統(tǒng)、數(shù)據(jù)庫(kù)和網(wǎng)絡(luò)設(shè)備的補(bǔ)丁信息，并及時(shí)通知相應(yīng)的配置管理人員。 基準(zhǔn)配置在經(jīng)過(guò)總部信息部負(fù)責(zé)人的審核后，統(tǒng)一下發(fā)給分子公司。 超級(jí)用戶帳號(hào)須通過(guò)保密形式由信息部負(fù)責(zé)人保存。 信息部指定專人負(fù)責(zé)每季度對(duì)系統(tǒng)層面帳號(hào)及權(quán)限進(jìn)行審閱，并填寫(xiě) 《 帳號(hào) /權(quán)限清理清單 》 。 臨時(shí)帳號(hào)使用完畢后，申請(qǐng)人及時(shí)通知帳號(hào)管理人員注銷臨時(shí)帳號(hào)。 盡量避免特權(quán)帳號(hào)和超級(jí)用戶帳號(hào)的臨時(shí)使用，確需使用時(shí)必須履行正規(guī)的申請(qǐng)及審批流程，并保留相應(yīng)的文檔。 帳號(hào)申請(qǐng)人所屬部門(mén)負(fù)責(zé)人及系統(tǒng)擁有部門(mén)負(fù)責(zé)人根據(jù)《 崗位權(quán)限對(duì)照表 》 對(duì)應(yīng)用層面的普通用戶帳號(hào)申請(qǐng)進(jìn)行審批。 在配置或訪問(wèn)控制策略更改后，公司信息部防火墻管理人員應(yīng)及時(shí)導(dǎo)出防火墻的配置文件，作好備份并標(biāo)明改動(dòng)內(nèi)容。 防火墻管理人員必須嚴(yán)格遵守 《 系統(tǒng)帳號(hào)管理制度 》 中的規(guī)定，需要和后備防火墻管理人員交接工作時(shí)，認(rèn)真填寫(xiě) 《 防火墻管理交接表 》 。 公司員工不得私自發(fā)布計(jì)算機(jī)病毒疫情報(bào)告，所有員工都有義務(wù)和責(zé)任接受公司信息部組織的病毒防治教育和培訓(xùn)。 ? 計(jì)算機(jī)用戶管理 所有接入公司內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)用戶必須安裝公司信息部指定的計(jì)算機(jī)病毒防治產(chǎn)品，開(kāi)啟實(shí)時(shí)掃描和病毒特征碼自動(dòng)更新的功能，接受公司信息部集中管理。備份恢復(fù)測(cè)試應(yīng)作詳細(xì)的記錄，參見(jiàn) 《 備份恢復(fù)測(cè)試表 》 ，并根據(jù)測(cè)試結(jié)果更新備份操作手冊(cè)，妥善保管測(cè)試過(guò)程中的相關(guān)文檔。 ? 備份恢復(fù) 信息部管理層應(yīng)制定相應(yīng)的備份恢復(fù)計(jì)劃，包括業(yè)務(wù)需求的恢復(fù)和測(cè)試性的恢復(fù)計(jì)劃。 無(wú)論備份介質(zhì)放在本地還是異地，介質(zhì)存放場(chǎng)所必須滿足防火、防水、防潮、防盜、防磁等要求。備份策略的變更應(yīng)得到數(shù)據(jù)擁有部門(mén)以及信息部負(fù)責(zé)人審批。 ? 備份存儲(chǔ)和備份介質(zhì)管理 一、對(duì)數(shù)據(jù)、操作系統(tǒng)以及程序做備份的時(shí)候，須備份在兩份備份介質(zhì)中，一份放在本地，另一份定期存放在異地； 二、備份介質(zhì)，無(wú)論是存放在本地還是異地，須確保存放場(chǎng)所的安全，保證只有授權(quán)人員可以訪問(wèn)； 三、在備份介質(zhì)上，必須有唯一標(biāo)識(shí)，標(biāo)明備份的內(nèi)容和日期； 四、在本地和異地建立一份備份介質(zhì)目錄清單，用以記錄備份介質(zhì)的位置、內(nèi)容、數(shù)據(jù)保留期限。 網(wǎng)絡(luò)管理人員對(duì)數(shù)據(jù)傳輸路徑的設(shè)置進(jìn)行規(guī)范記錄，并定期對(duì)網(wǎng)絡(luò)設(shè)置進(jìn)行評(píng)估，確保當(dāng)前的設(shè)置能夠滿足數(shù)據(jù)傳輸?shù)陌踩孕枨?。?shù)據(jù)提取的操作只能由指定的信息部人員進(jìn)行，提取權(quán)限應(yīng)按照規(guī)范通過(guò)系統(tǒng)設(shè)定分配給指定人員。 數(shù)據(jù)導(dǎo)入 /修改流程中的申請(qǐng)、審批、操作工作需分別由不同人員承擔(dān)。