【正文】 關(guān)人員泄漏系統(tǒng)及其數(shù)據(jù)結(jié)構(gòu)、容量配置、統(tǒng)計數(shù)據(jù)等相關(guān)技術(shù)資料。嚴格遵守保密制度，有關(guān)業(yè)務(wù)系統(tǒng)數(shù)據(jù)、報表數(shù)據(jù)、用戶資料數(shù)據(jù)等均屬秘密，不得任意抄錄、復(fù)制及帶出，也不得轉(zhuǎn)告與工作無關(guān)人員，不用的草稿、報表應(yīng)及時銷毀。信息系統(tǒng)服務(wù)器及網(wǎng)絡(luò)設(shè)備必須使用經(jīng)正式授權(quán)的正版軟件，不得安裝使用任何盜版及與提供服務(wù)無關(guān)的軟件；軟件使用部門和個人取得新軟件前必須確認其購買與安裝是否符合公司的軟件使用政策。信息系統(tǒng)服務(wù)支撐單位應(yīng)建立信息系統(tǒng)安全事件應(yīng)急流程預(yù)案（包括機房環(huán)境、DCN網(wǎng)絡(luò)、信息系統(tǒng)、終端等）并且進行定期（至少每年一次）演練，發(fā)生緊急安全事件時應(yīng)依照預(yù)案流程進行，快速恢復(fù)信息系統(tǒng)正常運行。 用戶和密碼管理第十六條 信息系統(tǒng)服務(wù)支撐部門系統(tǒng)管理員為系統(tǒng)中的每一個用戶創(chuàng)建唯一的用戶帳號。用戶ID不得體現(xiàn)用戶的權(quán)限級別。第十七條 密碼不得包含常用可以識別的名稱或單詞、易于猜測的字母或數(shù)字序列或者容易同用戶發(fā)生聯(lián)系的數(shù)據(jù)，比如自己、配偶或者子女的生日和姓名等內(nèi)容； 密碼長度至少是六個字符，組成上可以包含大小寫字母、數(shù)字、標點等不同的字符；（三） 如果在30分鐘之內(nèi)連續(xù)出現(xiàn)3次無效的登錄嘗試，登錄界面自動關(guān)閉。 廠商默認密碼必須在提供該密碼的軟件安裝完畢后馬上進行修改。 用戶取得各種應(yīng)用的初始密碼后應(yīng)立即進行更改。系統(tǒng)管理員的密碼更新后，應(yīng)將新密碼記錄送交指定人員封存，并銷毀舊密碼。第十九條 第二十條 超級權(quán)限用戶的分配應(yīng)遵循以下標準：（一） 超級權(quán)限應(yīng)基于“使用需要”，逐個事件進行分配，即以完成其崗位職責(zé)的最低要求為依據(jù)，如某些超級權(quán)限在完成特定任務(wù)后應(yīng)被收回；（三）在授權(quán)流程結(jié)束之前，不得授予特權(quán)；（四） 超級用戶密碼應(yīng)進行有效和安全的備份，并交由專人保管。系統(tǒng)管理員掌握的超級管理員密碼正常情況下應(yīng)每90天修改一次，由系統(tǒng)管理員修改密碼并將修改后的系統(tǒng)管理員帳號密碼記錄，銷毀舊密碼，將修改情況填寫在《系統(tǒng)管理員密碼記錄表》中封存，簽封后交信息系統(tǒng)服務(wù)支撐部門領(lǐng)導(dǎo)保管，以備緊急情況下使用。 應(yīng)嚴格執(zhí)行超級權(quán)限用戶帳號和密碼的登記備案制度，建立在緊急、無法通過正常授權(quán)的情況下，備份帳號密碼的使用流程。一旦封存密碼使用后，系統(tǒng)管理員應(yīng)按照要求及時變更密碼并重新封存，每次系統(tǒng)管理員更改系統(tǒng)密碼時應(yīng)填寫《系統(tǒng)管理員密碼記錄表》。在發(fā)生緊急情況并且不能聯(lián)系到系統(tǒng)管理員時，經(jīng)信息系統(tǒng)服務(wù)支撐部門領(lǐng)導(dǎo)同意，可以啟用封存的密碼。第二十四條 需定期核查用戶的訪問權(quán)限，并出具《用戶權(quán)限復(fù)核表》（見附件二）。 用戶訪問權(quán)限應(yīng)由用戶所在部門的管理人員、系統(tǒng)所有人及系統(tǒng)服務(wù)支撐人一起確認。 用戶帳戶的訪問權(quán)限應(yīng)至少每6個月檢查一次，特殊功能帳戶應(yīng)至少每3個月檢查一次，超級帳戶應(yīng)至少每1個月檢查一次；（三） 定期搜索、檢查多余、閑置或非法的賬戶，并予以凍結(jié)或刪除；（五）第二十六條 員工不得在任何場合隨意公開各種應(yīng)用的用戶名和密碼。第二十八條 第二十九條 第三十條 第五章網(wǎng)絡(luò)安全管理第三十一條 第三十二條 第三十三條 第三十四條 第三十五條 網(wǎng)絡(luò)管理員在新的網(wǎng)絡(luò)設(shè)備接入網(wǎng)絡(luò)前，修改設(shè)備的默認密碼。相關(guān)部門需要通過內(nèi)部網(wǎng)絡(luò)訪問外網(wǎng)資源時，需經(jīng)信息系統(tǒng)管理部門主管領(lǐng)導(dǎo)審批同意后，由網(wǎng)絡(luò)管理員進行配置并記錄。第三十七條 需更改網(wǎng)絡(luò)配置或進行網(wǎng)絡(luò)調(diào)整前，信息系統(tǒng)服務(wù)支撐部門必須提交申請并經(jīng)主管領(lǐng)導(dǎo)批準。第三十八條 至少每月一次監(jiān)測網(wǎng)絡(luò)設(shè)備資源（CPU、MEM等）的占用情況；（二） 管理網(wǎng)絡(luò)設(shè)備系統(tǒng)權(quán)限，觀測系統(tǒng)的安全狀況，發(fā)現(xiàn)不良入侵，立即采取措施予以制止；（四） 根據(jù)網(wǎng)絡(luò)系統(tǒng)的運行情況，協(xié)助部門領(lǐng)導(dǎo)提出系統(tǒng)的優(yōu)化、更新方案；（六） 負責(zé)對IP地址等網(wǎng)絡(luò)資源進行分配和管理；（八） 負責(zé)繪制網(wǎng)絡(luò)拓樸圖，并及時更新。IP地址資源由信息系統(tǒng)管理部門統(tǒng)一規(guī)劃和管理，IP地址、主機名等參數(shù)應(yīng)按照公司所規(guī)定的標準進行統(tǒng)一編碼和分配。第四十條 第四十一條 與其它網(wǎng)絡(luò)進行互聯(lián)時，必須在邊界處設(shè)置防火墻，防止非法數(shù)據(jù)包的入侵，阻止未授權(quán)或未檢測的數(shù)據(jù)向外泄露。第四十三條 第四十四條 第四十五條 第四十六條 第四十七條 第六章操作系統(tǒng)安全管理第四十八條 第四十九條 對操作系統(tǒng)登錄帳號、權(quán)限、帳號持有人進行登記分配管理；（二） 管理系統(tǒng)資源，根據(jù)實際需要提出系統(tǒng)變更、升級計劃；（四） 每1個月檢查系統(tǒng)漏洞，根據(jù)實際需要提出版本升級計劃，需要時按變更流程安裝系統(tǒng)補丁，并記錄；（六） 檢查服務(wù)器端口的開放情況，保證系統(tǒng)的安全；（八）第五十條 第五十一條 操作系統(tǒng)管理員必須創(chuàng)建專門的服務(wù)支撐帳號進行日常服務(wù)支撐。在本地或遠程登錄主機操作系統(tǒng)進行配置等操作時，操作完成后或臨時離開配置終端時，必須退出操作系統(tǒng)。第五十三條 第五十四條 至少每6個月由用戶所在部門領(lǐng)導(dǎo)和信息系統(tǒng)服務(wù)支撐部門操作系統(tǒng)管理員對系統(tǒng)登錄帳號、權(quán)限、帳號持有人進行復(fù)核，復(fù)核用戶的權(quán)限范圍、性質(zhì)等內(nèi)容，并將復(fù)核結(jié)果記錄在《用戶權(quán)限復(fù)核表》中。操作系統(tǒng)管理員根據(jù)實際情況對系統(tǒng)采用用戶名、密碼、訪問控制列表等方式，設(shè)置操作系統(tǒng)的安全參數(shù)，保證系統(tǒng)安全。為了防止一些不合法的用戶利用操作系統(tǒng)提供的服務(wù)，對操作系統(tǒng)進行非法訪問和操作，限制FTP、TELNET、WEB、XWindow等網(wǎng)絡(luò)服務(wù)，關(guān)閉系統(tǒng)中無須開放的服務(wù)和端口。第五十七條 第五十八條 第五十九條 第六十條 操作系統(tǒng)管理員必須使用一定的信息安全工具或啟用操作系統(tǒng)的安全日志等功能，記錄系統(tǒng)中的安全事件。第六十一條 系統(tǒng)管理員必須為每一個用戶創(chuàng)建唯一的用戶名，以區(qū)別身份和劃分職責(zé)。操作系統(tǒng)管理部門必須對系統(tǒng)管理員帳號和密碼采取備份保護措施，并必須建立在緊急的、無法通過正常授權(quán)的情況下，系統(tǒng)管理員帳號的使用流程。 數(shù)據(jù)庫管理員由信息系統(tǒng)服務(wù)支撐部門領(lǐng)導(dǎo)根據(jù)工作需要指定專人擔(dān)任。數(shù)據(jù)庫管理員必須創(chuàng)建專門的服務(wù)支撐帳號進行日常服務(wù)支撐。 數(shù)據(jù)庫用戶注冊管理及其相關(guān)安全管理；（二）對數(shù)據(jù)庫系統(tǒng)性能進行分析、監(jiān)測，優(yōu)化數(shù)據(jù)庫的性能。 根據(jù)應(yīng)用系統(tǒng)的需求創(chuàng)建數(shù)據(jù)庫表、索引，修改數(shù)據(jù)庫結(jié)構(gòu)等；（四） 至少每3個月對數(shù)據(jù)庫版本進行管理，提出版本升級計劃，需要時安裝數(shù)據(jù)庫系統(tǒng)補丁，并做好記錄；（六） 檢查數(shù)據(jù)庫對主機系統(tǒng)CPU、內(nèi)存的占用情況；