信息系统安全的管理规范docWord格式.docx

信息系统安全的管理规范docWord格式.docx

《信息系统安全的管理规范docWord格式.docx》由会员分享，可在线阅读，更多相关《信息系统安全的管理规范docWord格式.docx（4页珍藏版）》请在冰豆网上搜索。

为防止主机系统被不安全访问，采取以下措施：

操作系统级的超级管理用户口令、数据库管理用户口令、应用管理用户口令只能由系统管理员设定并经办公室审核，１个月做一次修改，口令要向其他人员保密。

在应用系统实施阶段，考虑到应用软件提供商需要对自己的产品进行调试，可以在调试时将应用管理用户口令暂时开放给应用软件提供商；

调试一结束系统管理员马上更改口令。

对口令设定必需满足以下规范：

最多允许尝试次数口令最长有效期口令的最大长度口令的最小长度530天不受限6口令的唯一性要求。

4、系统的安全控制

最近三次所更改的口令不能相同通过口令控制及对象的安全控制实现。

5、数据库访问控制

为有效的保障业务数据的安全，采取以下措施：

数据库内具有较高权限的管理用户口令由办公室数据库管理员设定,并由办公室审核，不能向其他人开放。

口令必须１个月做一次修改。

业务系统后台数据库对象创建用户的口令由办公室数据库管理员设定，由办公室审核。

不能向其他人开放。

口令必须1个月做一次修改。

对口令设定必需满足以下规范：

口令最长有效期口令的最大长度口令的最小长度口令的唯一性要求30天不受限6最近三次所更改的口令不能相同根据操作需求，在数据库中分别建立对业务数据只有“增、删、改”权限的用户；

对业务数据只有“查询”权限的用户。

不同的操作需求开放不同权限的用户。

除办公室门的人员外，其他部门的任何人员均没有权限从后台数据库直接进行数据的“增、删、改”操作对于业务必须的后台job或批处理，必须由办公室门人员执行。

6、应用系统访问控制

应用系统访问依靠系统内部定义的操作用户权限来控制,操作用户权限控制到菜单一级，对于操作用户的安全管理有如下规范：

所有应用级的操作用户及初始口令统一由办公室门设定，以个人邮件的形式分别发给各部门的操作人员。

各部门操作人员在首次登录时必须修改口令，口令必须１个月做一次修改。

对于口令设定必需满足以下规范：

口令最长有效期口令的最大长度口令的最小长度口令的唯一性要求30天不受限6最近三次所更改的口令不能相同操作人员不能将自己的用户及口令随意告诉他人所有使用者的认可都由系统管理员来逐一分配。

必须由部门经理提交访问权认可的申请表，然后由办公室批准。

当应用系统中需要加入新的使用者时，首先使用者需要填写“权限申请表”。

该申请表应该得到部门经理和办公室的共同批准。

之后，IT系统管理员会帮助应用系统的使用者开通账户，并建立相应的访问等级和权限。

当应用系统需要关闭某位使用者的账户时，首先该部门应该填写“权限申请表”，并得到部门经理和办公室的共同批准。

之后，IT系统管理员会帮助应用系统使用者关闭该账户。

大多数的主文件都会与审查日志一起更新。

使用者号码、处理日期以及时间将写入日志，以备今后查询之用。

7、个人义务

如果技术上可行，每一位使用者都应该通过一个唯一的使用者身份号码来识别，该号码设有密码，并不得与任何人共享。

使用者的身份号码意味着不允许存在公共使用。

然而，支持网关和服务器的设备是一个例外，例如：

互联网服务器等。

只有得到IT经理的批准，才能使用这些公共使用身份号码。

使用者不得与他人共享密码。

如果已经告知了他人，那么使用者将对他人利用密码所做的任何行为的后果负责。

若使用者怀疑他的密码已经被泄露了，那么他应该尽快更换密码。

并应该在第一时间向IT系统管理员汇报。

3使用者不应该书面记录下密码，并放在别人可以轻易看到的地方。

密码不得设置成特定词汇或其他能被轻易猜到的字词。

类似姓名、电话号码、身份证号、生日等都是不合格的密码。

使用者不得向他人泄漏密码。

如果IT技术支持人员要求运用使用者的号码访问，则必须当着使用者的面登录。

如果使用者泄漏了密码，则必须尽快更改密码。

如果他们因诱骗而泄漏了密码，则必须尽快向IT系统管理员汇报。

如果使用者怀疑我们信息系统的安全性受到威胁，则必须尽快向IT系统管理员汇报。

使用者对他们自己输入系统的数据的精确性负责，同时也对他们指示系统开发下载到我们系统上的数据的精确性负责。

他们必须尽力保证数据的准确性。

如果发现错误，并且自己能够修改的话，则应该将其改正。

如果自己改正不了，则应该向他们的主管汇报。

如果是在源文件发现数据错误，则应该尽快改正这些错误，而不是故意将这些错误输入我们的电脑系统。

使用者在离开终端机器或电脑以前必须下线，这一点应该强制执行。

如果是在使用不带下线功能的单机个人电脑，则必须在离开电脑前终止程序。

只有当执行批处理任务时是例外。

当使用者的工作职责有变动时，他的访问权也应该作相应的变更。

部门经理应该及时递交“权限申请表”以通知IT系统管理员。

特别是在员工辞职的情况下，他/她的部门经理以及人事部经理应该及时通知IT系统管理员，以保证在最短的时间内撤销他/她的系统访问权。

8、局域网和广域网安全

在可能的情况下，我们都应将端口转换到使用者的个人电脑。

如果没有足够的转换，已转换的端口将根据以下优先等级来分配：

需要带宽的使用者可以访问机密数据的使用者职务等级，例如：

公司领导优先于管理员，管理员优先于经理，依此类推。

所有的访问我们本地网络的端口只有在部门经理指定授权使用者时才可以开通。

因此，在公共区域（例如：

会议室）的访问端口只能在使用时开通。

4交换机位于数据中心，对该中心的物理访问应该控制。

除了授权的IT支持人员以外，任何使用者都不得在公司办公地点的个人电脑上安装任何带有数据包监听、端口或地址扫描功能的软件。

IP地址只能由经授权的IT支持人员来分配。

使用者不得自行分配他们的IP地址。

所有的交换机、路由器、互联网服务器以及防火墙都应该设置密码，此密码不得为原厂密码。

交换机、路由器、互联网服务器以及防火墙的所有不同等级的密码都应该记录在案。

IT经理应该保留一个备份。

所有服务器的管理员密码和主管密码都应该记录在案。

IT经理应该保留一个备份。

对于交换机、路由器、网络集线器以及服务器的结构等级的访问应该只限授权的IT支持人员。

关于安全的信息以及通往网络的网关的保护机制应该只有授权的IT支持人员知道。

所有的交换机和路由器都应该由非间断电原提供至少60分钟的电源供应。

如可能，非间断电源供应机应该轮流由一台备用的发电机来充电。

只有经授权的使用者才允许安装和使用网络发明和监控工具。

赠送以下资料

《管理的实践》读后感

　　德鲁克说：

“管理就是界定企业的使命，并激励和组织人力资源去实现这个使命。

界定使命是企业家的任务，而激励与组织人力资源是领导力的范畴，二者的结合就是管理。

”提出了三个经典的问题：

我们的事业是什么？

我们的事业将是什么？

我们的事业究竟应该是什么？

这三个问题经过改编完全可以应用于现在的我们：

我们学习的是什么？

我们学习的将是什么？

我们学习的究竟应该是什么？

　　经典之所以被称之为经典往往在于其超强的预见性.多年之后依然闪耀者夺目的思想光辉，熠熠发光，为处在黑暗中的人们知音了前进的方向与道路。

大师之所以成为大师在于思想的高度，作品能够让人们产生心灵上的共鸣，大事记是肉身已逝，但精神依然长存.

　　德鲁克先生《管理的实践》已面世半个多世纪了，在这五十多年中，有关企业管理方面的书籍可以用浩如烟海来形容。

但能禁得住时间考验的的书籍还是《管理的实践》一书，这也从另一个侧面证明了《管理的实践》是一本值得认真阅读的好书。

　　终于读完了德鲁克的《管理的实践》，仿佛自己游荡在上个世纪中期的企业中。

这本书构筑了完整的“对人的管理”思想。

如：

1、人是资源，是所有资源中最富潜力的资源。

德鲁克认为“人的资源——整个的人，是自然赋予的所有资源中最丰富、最有才能，最有潜力的资源。

”这是因为在企业可以得到的所有资源中，认识“唯一能够增长和发展的资源”，亦即“人要贡献出什么必须由他自己决定”，只要他们愿意进行“有目标的、集中和联合的努力”，就可以“产生出真正完整的东西来”。

2、必须对人进行管理，挖掘出人的潜力。

德鲁克明确的提出“利润并不是企业活动的目的，利润不应该成为企业决策的理由、原因和依据，他只是对企业是否起作用的一种测验”，他说道：

“企业需要最大限度地发挥人的能力。

”因此，“经理人员的首要任务是把他的资源——首先是人的资源中蕴含的力量都挖掘和发挥出来。

那么我认为，真正诠释管理的意义就要将人的机能发挥的淋漓尽致。

人是社会的主体，是社会发展的主要动力。

”3、是工作富有活力，并使职工有成就感。

管理者如果只注重员工的绩效，那就死定了！

那是传统的管理方式，现代管理方式已经是人性化管理，更多的是注重员工的感受。

同样的工作，在行政的约束下与在自动自发的工作结果虽然是都完成任务了，但完成的综合效果完全不同。

只注重绩效的话，那会留不住优秀人才。

因此，要想将公司管理的有声有色，必须关注职工的感受，经常与他们交流，了解他们的想法，使他们在工作中能够感受到自己的重要性。

　　《管理的实践》一书，系统的论述了企业的核心问题，即企业的目的：

只有一个正确而有效的定义--创造顾客；

两个基本职能--营销和创新。

企业存在的目的不能从自身寻找，只能从外部，从对社会的贡献中寻找，从客户那里寻找。

企业通过不断的创新满足顾客的需求。

管理本质上是一种实践，而不是一种专业和科学，其本质不在于“知”而在于“行”。

任何热衷于将管理科学化和专业化的尝试，试图消除所有的波动，风险和不可知的措施也就是在消除自由，创新和成长。

管理本质上是一句目标业绩和责任进行的管理。

检验管理和创新的成果，不是知识，而是业绩和成就。

管理者和员工在本质上没有差别，只有责任上的差别。

员工的权利不是来自于管理者的授权，而是来自于所承担的责任。

区分高层管理者和基层管理者的唯一维度在于时间。

　　正确的定位个人与组织的关系，组织要求员工要主动积极，以企业的目标为努力的方向，同时要求员工要自愿接受改变。

但员工对组织的要企业一般较为弱势，德鲁克总结为，首先员工是一个人，通过职位建立地位，希望公平做事有意义；

其次，员工要求企业建立标准，对员工良好业绩的关注。

“组织需要个人为其做出贡献，个人需要把组织当成实现自己目标的工具。

”因此管理者的重要任务是将员工的目标引向组织目标。

管理者需要在现在和未来间取得平衡。

管理是一种稀缺的资源。

　　一本优秀的著作哇不尽的宝藏，可以陪伴人的终生。

有所得在于能够更加深刻的领悟思想的内涵与外延，在于发现自己的误解与错误，在于能够明确自己未来道路的方向！