安全岗位管理制度

发布时间:2019-09-04

安全岗位管理制度,XXXXXXX有限公司,二零一七年七月一日,目录,第一章总则 (3),第二章范围 (3),第三章角色和责任 (3),第四章各安全岗位管理制度 (4),第一部分网络安全维护管理制度 (4),第二部分系统安全维护管理制度 (8),第三部分信息安全部门岗位管理制度 (14),第四部分审计部门岗位管理制度 (18),第一章总则,为了更好的确保XXXX市场的安全稳定运行,第二章范围,本制度的适用范围包括XXXX市场系统的物理资产(包括:网络设备,第三章角色和责任,本制度适用于XXXX市场的网络维护人员、系统维护人员、信息安全员及安全审计员等角色阅读,第四章各安全岗位管理制度,第一部分网络安全维护管理制度,1,2,3,4,5,握口令的管理人员调离本职工作时,6,7,8。

合理、可靠、安全、高效地组织和管理XXXXX市场,主机设备,本制度由信息管理处修改和维护, 网站系统的所有网络设备(包括交换机、路由器、防火墙、IDS 以及其他网络设备)应由专职网络维护人员负责管理, 网络维护人员应对所有网络设备进行资产登记, 网络维护人员应至少每天1次, 网络维护人员应制定网络设备用户账号的管理制度, 网络维护人员应制订网络设备用户账号口令的管理策略,必须立即更改所有相关口令, 严格禁止非网络管理人员直接进入网络设备进行操作, 网络维护人员应尽可能减少网络设备的管理方式, 网络维护人员应及时监视、收集网络以及安全设备生产厂商公布的软件以及补丁更新。

提高XXXX市场的服务质量,安全设备,定期检查设备的物理环境,登记记录上应该标明硬件型号,对所有网络设备进行检查,对各个网络设备上拥有用户账号的人员、权限以及账号的认证和管理方式做出明确规定,对口令的选取、组成、长度、保存、修改周期以及存储做出规定,用户账号口令应以加密方式存储,若在特殊情况下(如系统维修、升级等)需要外部人员(主要是指厂家技术工程师、非本系统技术工程师、安全管理员等)进入网络设备进行操作时,例如Telnet、web、SNMP等,要求下载补丁程序的站点必须是相应的官方站。

提高维护队伍的整体素质和水平,特制定此岗位安全管理制度,监控设备等)、软件资产(操作系统,数据库,并按照机房物理安全要求进行维护,厂家,操作系统版本,确保各设备都能正常工作,禁止使用名字、姓氏、电话号码、生日等容易猜测的字符作为口令,也不应使用单个单词或命令作为口令,如MD5方式,必须由网络管理员登录,并对操作全过程进行记录备案,如果的确需要进行远程管理,应使用SSH代替Telnet。

导读:文档《安全岗位管理制度》共4页,当前为第1页,大小为50kb,是实用文档、工作范文、制度/规范相关类别的资料,并提供若干种安全岗位管理制度的文本文档下载,如word文档下载、wps文档下载等。以下便是第1页的正文:

安全岗位管理制度

XXXXXXX有限公司

二零一七年七月一日

目录

第一章总则 (3)

第二章范围 (3)

第三章角色和责任 (3)

第四章各安全岗位管理制度 (4)

第一部分网络安全维护管理制度 (4)

第二部分系统安全维护管理制度 (8)

第三部分信息安全部门岗位管理制度 (14)

第四部分审计部门岗位管理制度 (18)

第一章总则

为了更好的确保XXXX市场的安全稳定运行,合理、可靠、安全、高效地组织和管理XXXXX市场,提高XXXX市场的服务质量,提高维护队伍的整体素质和水平,特制定此岗位安全管理制度,作为维护和管理XXXX市场的依据。

第二章范围

本制度的适用范围包括XXXX市场系统的物理资产(包括:网络设备,主机设备,安全设备,监控设备等)、软件资产(操作系统,数据库,应用程序等)、数据资产(业务数据、网络系统、主机数据,应用程序数据等)以及网站系统的技术人员等。

第三章角色和责任

本制度适用于XXXX市场的网络维护人员、系统维护人员、信息安全员及安全审计员等角色阅读。本制度由信息管理处修改和维护。

第四章各安全岗位管理制度

第一部分网络安全维护管理制度

1. 网站系统的所有网络设备(包括交换机、路由器、防火墙、IDS 以及其他网络设备)应由专职网络维护人员负责管理,定期检查设备的物理环境,并按照机房物理安全要求进行维护。

2. 网络维护人员应对所有网络设备进行资产登记,登记记录上应该标明硬件型号,厂家,操作系统版本,已安装的补丁程序号,安装和升级的时间等内容。

3. 网络维护人员应至少每天1次,对所有网络设备进行检查,确保各设备都能正常工作。

4. 网络维护人员应制定网络设备用户账号的管理制度,对各个网络设备上拥有用户账号的人员、权限以及账号的认证和管理方式做出明确规定。

5. 网络维护人员应制订网络设备用户账号口令的管理策略,对口令的选取、组成、长度、保存、修改周期以及存储做出规定;禁止使用名字、姓氏、电话号码、生日等容易猜测的字符作为口令,也不应使用单个单词或命令作为口令,组成口令的字符应包含大小写英文字母、数字、标点、控制字符等,口令长度要求在8位以上;不应将口令存放在个人计算机文件中,或写到容易被其它人获取的地方;对于重要的网络设备,要求至少每个月修改一次口令,或者使用一次性口令设备;若掌

握口令的管理人员调离本职工作时,必须立即更改所有相关口令;用户账号口令应以加密方式存储,如MD5方式。

6. 严格禁止非网络管理人员直接进入网络设备进行操作,若在特殊情况下(如系统维修、升级等)需要外部人员(主要是指厂家技术工程师、非本系统技术工程师、安全管理员等)进入网络设备进行操作时,必须由网络管理员登录,并对操作全过程进行记录备案。禁止将系统用户账号及口令直接交给外部人员,在紧急情况下需要为外部人员开放临时账号时,必须向信息管理处相关领导申请,在申请中写明开放临时账号的原因、时间、期限、对外部人员操作的监控方法、负责开放和注销临时账号的人员等内容,并严格根据安全管理机构的批复进行临时账号的开放、注销、监控,并记录备案。

7. 网络维护人员应尽可能减少网络设备的管理方式,例如Telnet、web、SNMP等;如果的确需要进行远程管理,应使用SSH代替Telnet,使用HTTPS代替HTTP,并且限定远程登录的超时时间,远程管理的用户数量,远程管理的终端IP地址,同时按照“网络安全配置管理策略”中的规定进行严格的身份认证和访问权限的授予,并在配置完后,立刻关闭此类远程连接;应尽可能避免使用SNMP协议进行管理,如果的确需要,应使用V3版本替代V1、V2版本,并启用MD5等验证功能;进行远程管理时,应设置控制口和远程登录口的超时时间,让控制口和远程登录口在空闲一定时间后自动断开。

8. 网络维护人员应及时监视、收集网络以及安全设备生产厂商公布的软件以及补丁更新,要求下载补丁程序的站点必须是相应的官方站

相关推荐

    备案:粤ICP备05137242号