【正文】 險(xiǎn)進(jìn)行管理、分析和識(shí)別。為規(guī)避風(fēng)險(xiǎn)，運(yùn)維人員應(yīng)定期進(jìn)行風(fēng)險(xiǎn)檢控，制定風(fēng)險(xiǎn)評(píng)估管理計(jì)劃，提交運(yùn)維管理員進(jìn)行審批，并召集人員進(jìn)行風(fēng)險(xiǎn)評(píng)估。跟蹤風(fēng)險(xiǎn)，風(fēng)險(xiǎn)隨著時(shí)間在變化，原則上定期進(jìn)行風(fēng)險(xiǎn)跟蹤并按照變化情況修改風(fēng)險(xiǎn)列表。需要對(duì)風(fēng)險(xiǎn)進(jìn)行控制，運(yùn)維人員將已經(jīng)消失的風(fēng)險(xiǎn)放入數(shù)據(jù)庫(kù)作為過(guò)期的風(fēng)險(xiǎn)，圍繞它的所有流程和過(guò)程均被保留。1)、對(duì)于西南基地管理支撐應(yīng)用的帳戶，必需遵循《西南基地管理支撐系統(tǒng)帳號(hào)密碼管理辦法（）》，并結(jié)合實(shí)際情況，補(bǔ)充并完善相關(guān)管理辦法。2)、系統(tǒng)用戶帳號(hào)原則上不允許存在共享帳號(hào)，所有帳號(hào)必須明確至個(gè)人；由于系統(tǒng)特殊原因必須使用共享帳號(hào)的情況下，系統(tǒng)必須制訂對(duì)共享帳號(hào)的審核授權(quán)流程，明確共享帳號(hào)的有效期以及使用帳號(hào)人員資料。3)、用戶帳號(hào)原則上采用用戶中文名稱的漢語(yǔ)拼音，當(dāng)遇到用戶的中文漢語(yǔ)拼音相同時(shí)，系統(tǒng)將為重復(fù)的帳號(hào)后加上順序號(hào)，如此類推，如：liming , liming2 , liming3，liming5……順序號(hào)將避開(kāi)數(shù)字‘4’。4)、各系統(tǒng)用戶數(shù)據(jù)屬性應(yīng)包括用戶中文姓名和用戶中文ID，原則上用戶中文ID就是用戶姓名，當(dāng)不同用戶具有相同中文名稱時(shí)，系統(tǒng)除了按3的命名規(guī)范為其分配用戶帳號(hào)外，用戶中文ID后面加上與帳號(hào)一致的后綴。而用戶的中文名后面不加順序號(hào)。5)、測(cè)試人員和代維人員帳號(hào)：各系統(tǒng)測(cè)試人員和代維人員帳號(hào)原則上應(yīng)以該系統(tǒng)的英文縮寫作為前綴加上用戶名稱的漢語(yǔ)拼音生成。6)、各系統(tǒng)用戶密碼長(zhǎng)度不得低于6位；不得采用弱密碼（弱密碼定義參見(jiàn)《南方基地管理支撐系統(tǒng)帳號(hào)密碼管理辦法》）；最少每90天必須強(qiáng)制用戶更改密碼；并不得使用5次以內(nèi)重復(fù)的密碼；登錄系統(tǒng)時(shí)，如重復(fù)嘗試3次不成功，則系統(tǒng)暫停該帳號(hào)登錄功能。7)、信息化系統(tǒng)安全體系系 統(tǒng) 平 臺(tái) 管 理檢查點(diǎn)檢查要求交付物 日常維護(hù)核心系統(tǒng)及關(guān)鍵服務(wù)器定義需對(duì)關(guān)鍵系統(tǒng)和服務(wù)器有清晰的定義（如DNS/DHCP、防病毒等影響全網(wǎng)層面的服務(wù)器、承載重要業(yè)務(wù)或包含敏感信息的系統(tǒng)等）核心業(yè)務(wù)、關(guān)鍵服務(wù)器列表應(yīng)急與演練園區(qū)信息化系統(tǒng)和關(guān)鍵服務(wù)器需有詳盡故障應(yīng)急預(yù)案應(yīng)急預(yù)案應(yīng)定期進(jìn)行相關(guān)應(yīng)急演練，并形成演練報(bào)告，保證每年所有的平臺(tái)和關(guān)鍵服務(wù)器都至少進(jìn)行一次演練應(yīng)急演練報(bào)告根據(jù)應(yīng)急演練結(jié)果更新應(yīng)急預(yù)案，并保留更新記錄，記錄至少保留3年應(yīng)急預(yù)案更新記錄，預(yù)案版本記錄備份管理系統(tǒng)所涉及不同層面（如系統(tǒng)的重要性、操作系統(tǒng)/數(shù)據(jù)庫(kù)）應(yīng)當(dāng)制定數(shù)據(jù)的備份恢復(fù)以及備份介質(zhì)管理制度備份管理制度，包括備份策略管理制度與備份介質(zhì)管理制度系統(tǒng)所涉及不同層面應(yīng)根據(jù)業(yè)務(wù)要求制定數(shù)據(jù)的本地和異地備份（存放）策略備份管理制度，包括備份策略管理制度與備份介質(zhì)管理制度相關(guān)人員對(duì)本地和異地備份策略的結(jié)果進(jìn)行每季度審核策略審核表，加入備份管理制度備份的數(shù)據(jù)進(jìn)行恢復(fù)性測(cè)試，確保數(shù)據(jù)的可用性，每年不少于一次備份恢復(fù)應(yīng)急演練記錄相關(guān)人員對(duì)備份介質(zhì)的更換記錄進(jìn)行每半年審核備份介質(zhì)更換記錄表，加入備份管理制度相關(guān)人員對(duì)備份介質(zhì)的銷毀記錄進(jìn)行每半年審核備份介質(zhì)銷毀記錄表，加入備份管理制度故障管理各地市需制定相應(yīng)的園區(qū)信息化系統(tǒng)及服務(wù)器故障處理流程故障處理流程系統(tǒng)中發(fā)現(xiàn)的異常情況由系統(tǒng)維護(hù)人員根據(jù)相關(guān)流程在規(guī)定時(shí)間內(nèi)處理故障處理流程故障處理完成后必須留有相應(yīng)的故障處理記錄故障處理報(bào)告上線管理為保障設(shè)備接入網(wǎng)絡(luò)的安全性，設(shè)備上線前必須安裝防病毒系統(tǒng)及更新操作系統(tǒng)補(bǔ)丁，并對(duì)設(shè)備進(jìn)行進(jìn)行安全掃描評(píng)估，針對(duì)安全漏洞進(jìn)行安全加固企業(yè)網(wǎng)接入管理辦法接入記錄為避免系統(tǒng)上線對(duì)其它系統(tǒng)和設(shè)備造成影響，發(fā)布前必須對(duì)系統(tǒng)應(yīng)用站點(diǎn)、數(shù)據(jù)庫(kù)、后臺(tái)服務(wù)、網(wǎng)絡(luò)端口進(jìn)行安全評(píng)估。系統(tǒng)投入正式運(yùn)營(yíng)前必須在測(cè)試環(huán)境中對(duì)系統(tǒng)進(jìn)行模擬運(yùn)行一周以上應(yīng)用系統(tǒng)接入申請(qǐng)流程接入記錄系統(tǒng)上線之后如需對(duì)系統(tǒng)進(jìn)行功能更新，必須由系統(tǒng)管理員或系統(tǒng)管理員指定專門維護(hù)人員進(jìn)行更新操作，嚴(yán)格按照公司安全管理規(guī)范執(zhí)行應(yīng)用系統(tǒng)更新申請(qǐng)流程更新記錄Web應(yīng)用應(yīng)根據(jù)業(yè)務(wù)需求與安全設(shè)計(jì)原則進(jìn)行安全編碼,合理劃分帳號(hào)權(quán)限，確保用戶帳號(hào)密碼安全,加強(qiáng)敏感數(shù)據(jù)安全保護(hù)，提供詳細(xì)的日志 101229_1832_(全部合訂)根據(jù)規(guī)范對(duì)開(kāi)發(fā)規(guī)范進(jìn)行修正，用戶名密碼的管理要求、敏感數(shù)據(jù)的管理要求、系統(tǒng)日志的開(kāi)發(fā)要求現(xiàn)有應(yīng)用的安全檢查漏洞與防病毒定期進(jìn)行服務(wù)器漏洞掃描，并根據(jù)漏洞掃描報(bào)告封堵高危漏洞，每季度至少對(duì)所有服務(wù)器掃描一次掃描記錄與掃描結(jié)果報(bào)告需建立統(tǒng)一的WSUS服務(wù)器，并每季度對(duì)關(guān)鍵服務(wù)器進(jìn)行高危漏洞升級(jí)，并留有升級(jí)記錄WSUS服務(wù)器中的關(guān)鍵更新的補(bǔ)丁清單，每個(gè)月1份應(yīng)用服務(wù)器端每次更新的補(bǔ)丁清單任何終端必須安裝正版防病毒軟件，且保證90%以上病毒庫(kù)最新（五日以內(nèi)）防病毒檢查記錄每周檢查防病毒軟件隔離區(qū)，排除病毒威脅防病毒檢查記錄核心系統(tǒng)和關(guān)鍵服務(wù)器日志審計(jì)在操作系統(tǒng)層、數(shù)據(jù)庫(kù)層、應(yīng)用層建立日志記錄功能，日志記錄中保存1年的內(nèi)容，日志安全記錄能夠關(guān)聯(lián)操作用戶的身份操作系統(tǒng)層日志策略數(shù)據(jù)庫(kù)日志策略應(yīng)用層日志要求加入開(kāi)發(fā)規(guī)范中操作系統(tǒng)日志中需記錄“賬戶管理”“登錄事件”“策略更改”“系統(tǒng)事件”等內(nèi)容操作系統(tǒng)層日志策略操作行為記錄需進(jìn)行定期審計(jì)數(shù)據(jù)庫(kù)層日志需記錄每次數(shù)據(jù)庫(kù)操作的內(nèi)容數(shù)據(jù)庫(kù)日志策略應(yīng)用層日志需記錄每次應(yīng)用系統(tǒng)出錯(cuò)的信息應(yīng)用層日志要求加入開(kāi)發(fā)規(guī)范中檢查關(guān)鍵錯(cuò)誤日志、應(yīng)用程序日志中的關(guān)鍵錯(cuò)誤記錄，保證日志審核正常關(guān)鍵訪問(wèn)與操作應(yīng)立即啟用日志記錄功能，避免因日志記錄不全，造成入侵后無(wú)法被追蹤的問(wèn)題信息發(fā)布管理每天檢查平臺(tái)短信發(fā)送、接收的可用性每天短信檢查記錄短信必須設(shè)置關(guān)鍵字過(guò)濾，每個(gè)月進(jìn)行關(guān)鍵字更新，并檢查其有效性短信關(guān)鍵字更新記錄，有效性檢查記錄信息防泄密需對(duì)所有園區(qū)信息化系統(tǒng)、應(yīng)用系統(tǒng)的核心信息進(jìn)行清晰的界定，核心信息包括但不限于涉及客戶資料、客戶賬戶信息、客戶密碼、操作記錄應(yīng)用系統(tǒng)核心信息矩陣圖需對(duì)核心信息設(shè)定保密措施應(yīng)用系統(tǒng)核心信息管理制度對(duì)核心信息的操作進(jìn)行特殊監(jiān)控，并留下記錄訪問(wèn)控制賬號(hào)密碼管理服務(wù)器上任何賬號(hào)必須有審批人員審核確認(rèn)賬號(hào)管理辦法賬號(hào)申請(qǐng)表所有系統(tǒng)和服務(wù)器上賬號(hào)必須每季度進(jìn)行審核賬號(hào)審核表密碼復(fù)雜度要求：一．靜態(tài)密碼：密碼應(yīng)至少每90天進(jìn)行更新，密碼長(zhǎng)度應(yīng)至少6位或以上，密碼應(yīng)由大小寫字母、數(shù)字或標(biāo)點(diǎn)符號(hào)等字符組成，五次內(nèi)不能重復(fù)二．動(dòng)態(tài)密碼。密碼修改記錄表歷史密碼記錄表遠(yuǎn)程訪問(wèn)不得有互聯(lián)網(wǎng)遠(yuǎn)程維護(hù)的訪問(wèn)方式?，F(xiàn)場(chǎng)檢查MDCN網(wǎng)系統(tǒng)的遠(yuǎn)程訪問(wèn)只能通過(guò)省公司的SSL VPN或IBM VPN，不得在市公司層面存在互聯(lián)網(wǎng)以VPN等形式的遠(yuǎn)程訪問(wèn)現(xiàn)場(chǎng)檢查指遵照相關(guān)的數(shù)據(jù)備份管理規(guī)定，對(duì)園區(qū)信息化系統(tǒng)及其產(chǎn)品的數(shù)據(jù)信息進(jìn)行備份和還原操作。根據(jù)園區(qū)信息化系統(tǒng)及其產(chǎn)品的數(shù)據(jù)重要性和應(yīng)用類別，把需要備份的數(shù)據(jù)分為數(shù)據(jù)庫(kù)、系統(tǒng)附件、應(yīng)用程序三部分。每周檢查NBU備份系統(tǒng)期備份結(jié)果檢查，處理相關(guān)問(wèn)題。備份系統(tǒng)狀態(tài)、備份策略檢查，對(duì)備份策略以及備份狀態(tài)檢查以及調(diào)優(yōu)，主要服務(wù)器變更、應(yīng)用統(tǒng)一接入等。1)、導(dǎo)出防病毒安全檢查報(bào)告、對(duì)有風(fēng)險(xiǎn)和中毒的文件與數(shù)據(jù)進(jìn)行檢查。2)、對(duì)病毒分析處理。3)、定期檢測(cè)病毒，防止病毒對(duì)系統(tǒng)的影響.1)、定期修改系統(tǒng)Administrator密碼：主要修改AD、Cluster、服務(wù)器密碼；2)、安裝操作系統(tǒng)補(bǔ)丁，系統(tǒng)重啟，應(yīng)用系統(tǒng)檢查測(cè)試。3)、數(shù)據(jù)庫(kù)的賬號(hào)、密碼管理，保證數(shù)據(jù)庫(kù)系統(tǒng)安全和數(shù)據(jù)安全。4)、對(duì)系統(tǒng)用戶的系統(tǒng)登錄、使用情況進(jìn)行檢查，對(duì)系統(tǒng)日志進(jìn)行日常審計(jì)。1）、監(jiān)控Agent的配置與管理，對(duì)端對(duì)端監(jiān)控產(chǎn)生檢查結(jié)果核實(shí)，處理相應(yīng)問(wèn)題；2）、信息化所有系統(tǒng)需有詳盡故障應(yīng)急預(yù)案；3）、應(yīng)定期進(jìn)行相關(guān)應(yīng)急演練，并形成演練報(bào)告，保證每年所有的平臺(tái)和關(guān)鍵服務(wù)器都至少進(jìn)行一次演練；4）、根據(jù)應(yīng)急演練結(jié)果更新應(yīng)急預(yù)案，并保留更新記錄，記錄至少保留3年。 系統(tǒng)及網(wǎng)絡(luò)安全1）、流量分析（netscount）XX股份根據(jù)南方基地的安全及分析需求，提供netscount分析服務(wù)支撐，對(duì)各系統(tǒng)性能提供全面分析。并提供優(yōu)化建議及方案。2）、應(yīng)用分析（splunk）XX股份根據(jù)南方基地的園區(qū)信息化系統(tǒng)安全，建立splunk的日志分析服務(wù)，并針對(duì)日志進(jìn)行全面分析。對(duì)系統(tǒng)的安全、保障提供優(yōu)化建議及優(yōu)化方案。提供流量分析和應(yīng)用分析提供10個(gè)以上的專題分析報(bào)告，并根據(jù)報(bào)告提供具體的實(shí)。3）、施方案及優(yōu)化手段根據(jù)優(yōu)化建議及方案對(duì)平臺(tái)及網(wǎng)絡(luò)進(jìn)行安全整改，以全面提升平臺(tái)的性能、安全，解決瓶頸。1）、網(wǎng)頁(yè)文件保護(hù)，通過(guò)系統(tǒng)內(nèi)核層的文件驅(qū)動(dòng)，按照用戶配置的進(jìn)程及路徑訪問(wèn)規(guī)則。2）、設(shè)置網(wǎng)站目錄、文件的讀寫權(quán)限，確保網(wǎng)頁(yè)文件不被非法篡改。3）、網(wǎng)絡(luò)攻擊防護(hù)，Web核心模塊對(duì)每個(gè)請(qǐng)求進(jìn)行合法性檢測(cè)，對(duì)非法請(qǐng)求或惡意掃描請(qǐng)求進(jìn)行屏蔽，防止SQL注入式攻擊。4）、集中管理，通過(guò)管理服務(wù)器集中管理多臺(tái)服務(wù)器，監(jiān)測(cè)多主機(jī)實(shí)時(shí)狀態(tài)，制定保護(hù)規(guī)則。5）、安全網(wǎng)站發(fā)布，使用傳輸模塊從管理服務(wù)器的鏡像站點(diǎn)直接更新受保護(hù)的網(wǎng)站目錄，數(shù)據(jù)通過(guò)SSL加密傳輸，杜絕傳輸過(guò)程的被篡改的可能。6）、網(wǎng)站備份還原，通過(guò)管理控制端進(jìn)行站點(diǎn)備份及還原。7）、網(wǎng)頁(yè)流出檢查，在請(qǐng)求瀏覽客戶端請(qǐng)求站點(diǎn)網(wǎng)頁(yè)時(shí)觸發(fā)網(wǎng)頁(yè)流出檢查，對(duì)被篡改的網(wǎng)頁(yè)進(jìn)行實(shí)時(shí)恢復(fù)，再次確保被篡改的網(wǎng)頁(yè)不會(huì)被公眾瀏覽。8）、實(shí)時(shí)報(bào)警，系統(tǒng)日志，手機(jī)短信，電子郵件多種方式提供非法訪問(wèn)報(bào)警。9）、管理員權(quán)限分級(jí)，可對(duì)管理員及監(jiān)控端分配不同的權(quán)限組合。10）、日志審計(jì)，提供管理員行為日志，監(jiān)控端保護(hù)日志查詢審計(jì)。11）、對(duì)站點(diǎn)主機(jī)進(jìn)行監(jiān)控，對(duì)CPU，內(nèi)存，流量的作統(tǒng)計(jì)，以便實(shí)時(shí)監(jiān)控站點(diǎn)服務(wù)器的運(yùn)作情況。12）、站點(diǎn)系統(tǒng)賬號(hào)監(jiān)控，對(duì)站點(diǎn)服務(wù)器的賬號(hào)進(jìn)行監(jiān)控，對(duì)賬號(hào)的修改，添加等改動(dòng)有阻攔和日志記錄及報(bào)警，使站點(diǎn)服務(wù)器更加安全。 合理授權(quán)1）、合理授權(quán)的定義：合理授權(quán)是指對(duì)IT管理支撐應(yīng)用系統(tǒng)及其相關(guān)資源的訪問(wèn)設(shè)定嚴(yán)格的授權(quán)審批機(jī)制，確保IT管理支撐應(yīng)用系統(tǒng)的安全性。2）、為了保證南方基地IT管理支撐應(yīng)用系統(tǒng)的安全性，確保相關(guān)IT資源的訪問(wèn)經(jīng)過(guò)合理授權(quán)，所有IT管理支撐應(yīng)用系統(tǒng)及其相關(guān)資源的訪問(wèn)必須遵照申請(qǐng) → 評(píng)估 → 授權(quán) 的合理授權(quán)管理流程。3）、需要合理授權(quán)的IT資源包括但不局限于應(yīng)用系統(tǒng)的測(cè)試環(huán)境、程序版本管理服務(wù)器、正式環(huán)境（包括應(yīng)用服務(wù)器和數(shù)據(jù)服務(wù)器等）。4）、申請(qǐng)：由訪問(wèn)者（一般是應(yīng)用開(kāi)發(fā)商、應(yīng)用系統(tǒng)管理員等）提交書面的訪問(wèn)申請(qǐng)表（書面訪問(wèn)申請(qǐng)表，包括但不局限于紙質(zhì)、Word文檔以及電子郵件等），提交安全管理員（一般是系統(tǒng)管理員或者專職的安全管理員）進(jìn)行風(fēng)險(xiǎn)評(píng)估。5）、評(píng)估：安全管理員對(duì)接到的訪問(wèn)申請(qǐng)書進(jìn)行風(fēng)險(xiǎn)評(píng)估，并根據(jù)訪問(wèn)者及被訪問(wèn)IT資源的具體情況，進(jìn)行靈活處理。6）、授權(quán)：在訪問(wèn)申請(qǐng)表通過(guò)安全風(fēng)險(xiǎn)評(píng)估后，安全管理員會(huì)對(duì)訪問(wèn)者進(jìn)行合理授權(quán)。原則上，對(duì)程序版本管理服務(wù)器和正式環(huán)境的訪問(wèn)申請(qǐng)，安全管理員必需根據(jù)有關(guān)管理流程給出正式授權(quán)，以滿足安全審計(jì)的要求。1）、安全隔離的定義：安全隔離是指對(duì)IT應(yīng)用系統(tǒng)的相關(guān)數(shù)據(jù)（包括應(yīng)用系統(tǒng)的程序代碼、數(shù)據(jù)文件等）進(jìn)行邏輯隔離、物理隔離等，以確保應(yīng)用系統(tǒng)的安全性。如果開(kāi)發(fā)商在開(kāi)發(fā)、維護(hù)合作過(guò)程當(dāng)中可能接觸到我公司的敏感數(shù)據(jù)，必須與南方基地簽訂安全保密協(xié)議。2）、對(duì)安全等級(jí)為機(jī)密的IT應(yīng)用系統(tǒng)（包括但不局限于企業(yè)內(nèi)部的機(jī)密檔案信息等），我們需要對(duì)它的有關(guān)數(shù)據(jù)進(jìn)行物理隔離，以提高應(yīng)用系統(tǒng)的安全防范能力；對(duì)安全等級(jí)為秘密的IT應(yīng)用系統(tǒng)以及應(yīng)用系統(tǒng)的基礎(chǔ)數(shù)據(jù)（如綜合應(yīng)用平臺(tái)的基礎(chǔ)數(shù)據(jù)、組織架構(gòu)等），需要進(jìn)行邏輯隔離。系統(tǒng)應(yīng)用層面的訪問(wèn)必須通過(guò)帳號(hào)進(jìn)行訪問(wèn)，系統(tǒng)的帳號(hào)及口令管理參照本規(guī)定的帳號(hào)管理部分。3)、應(yīng)用系統(tǒng)管理員或者專職的安全管理員應(yīng)根據(jù)具體應(yīng)用系統(tǒng)的數(shù)據(jù)的敏感度制定相應(yīng)的安全隔離措施，具體措施包括但不限于訪問(wèn)控制列表、安全加固、文件系統(tǒng)權(quán)限設(shè)定等。 安全審計(jì)安全審計(jì)的定義：安全審計(jì)是指出于安全考慮，通過(guò)對(duì)IT應(yīng)用系統(tǒng)的異動(dòng)記錄、操作過(guò)程、數(shù)據(jù)轉(zhuǎn)換等進(jìn)行詳細(xì)記錄，為事后的偵察和取證提供依據(jù)。安全審計(jì)的范圍：我們需要對(duì)一些重要的具有較高安全風(fēng)險(xiǎn)的操作進(jìn)行安全審計(jì)，操作系統(tǒng)層、應(yīng)用系統(tǒng)層以及數(shù)據(jù)庫(kù)層的所有重要操作，特別是管理層認(rèn)定對(duì)財(cái)務(wù)報(bào)表有關(guān)的操作留有系統(tǒng)日志。系統(tǒng)日志由系統(tǒng)主管部門根據(jù)風(fēng)險(xiǎn)和重要性的原則確定檢查內(nèi)容（如超級(jí)管理員的帳戶登陸操作、正式環(huán)境的訪問(wèn)、數(shù)據(jù)轉(zhuǎn)換的操作活動(dòng)、版本升級(jí)的操作活動(dòng)、補(bǔ)丁升級(jí)操作活動(dòng)等等）負(fù)責(zé)每月進(jìn)行審核。系統(tǒng)所需的自動(dòng)或手動(dòng)批處理作業(yè)應(yīng)制定作業(yè)安排計(jì)劃，留有電子或紙質(zhì)文檔操作說(shuō)明。自動(dòng)批處理作業(yè)應(yīng)在系統(tǒng)中留有運(yùn)行日志記錄，手工批處理作業(yè)的執(zhí)行結(jié)果由批處理操作人員負(fù)責(zé)檢察確認(rèn)。只有授權(quán)的系統(tǒng)維護(hù)人員可以在系統(tǒng)中維護(hù)作業(yè)安排計(jì)劃或安排手工作業(yè)安排計(jì)劃，批處理計(jì)劃上線前都必需通過(guò)測(cè)試，并由相關(guān)人員簽字審批。安全審計(jì)的管理流程：每年至少舉行一次全范圍的安全審計(jì)活動(dòng)，具體操作可以結(jié)合管理支撐系統(tǒng)的年終巡檢等活動(dòng)，由南方基地管理信息部根據(jù)實(shí)際情況自行決定。統(tǒng)一用戶管理的安全審計(jì)：用戶帳戶信息（包括組織單元屬性、崗位屬性等）是所有應(yīng)用系統(tǒng)最基礎(chǔ)的數(shù)據(jù)，用戶帳戶所對(duì)應(yīng)的應(yīng)用系統(tǒng)訪問(wèn)權(quán)限（這里特指是否對(duì)應(yīng)用系統(tǒng)具有訪問(wèn)權(quán)限，而不考慮在應(yīng)用系統(tǒng)本身的具體授權(quán)）是安全管理的重要內(nèi)容，因此原則上需要對(duì)用戶的異動(dòng)信息及應(yīng)用系統(tǒng)訪問(wèn)權(quán)限進(jìn)行安全審計(jì)，以提高整個(gè)IT管理支撐應(yīng)用系統(tǒng)的安全性。安全審計(jì)的目的：在指定周期內(nèi)對(duì)信息系統(tǒng)的系統(tǒng)（操作系統(tǒng)、數(shù)據(jù)庫(kù)）用戶、系統(tǒng)管理員、應(yīng)用層面的用戶、系統(tǒng)批處理任務(wù)等涉及財(cái)務(wù)報(bào)表的操作進(jìn)行安全審計(jì)。流程：信息系統(tǒng)安全審計(jì)流程:說(shuō)明：系統(tǒng)安全審計(jì)由各系統(tǒng)安全審計(jì)員發(fā)起，本流程涉及角色為：安全審計(jì)員、安全管理員、應(yīng)用管理員以及各系統(tǒng)使用相關(guān)部門。統(tǒng)