操作系统及数据库安全管理制度

《XXXX安全管理制度汇编》

操作系统及数据库安全管理制度

目录

编制说明1

第一章总则错误!未定义书签。

第二章办公区出入管理安全错误!未定义书签。

第三章办公区防火安全错误!未定义书签。

第四章办公区安全保密错误!未定义书签。

第五章办公区安全检查错误!未定义书签。

第六章附则3

第一节文挡信息3

第二节版本控制3

第三节其他信息4

文件名称

文件编号

编写部门

审批人

操作系统及数据库安全管理制度

密级内部

XXX部门

版本号

编写人

发布时间

-1-

V1.0

编制说明

为进一步贯彻党中央和国务院批准的《国家信息化领导小组关于加强信息安

全保障工作的意见》及其“重点保护基础信息网络和重要信息系统安全”的思想、

贯彻信息产业部“积极预防、及时发现、快速反应、确保恢复”的方针和“同步规划、

同步建设、同步运行”的要求，特制定本制度。

本制度依据我国信息安全的有关法律法规，结合XXXX的自身业务特点、并

参考国际有关信息安全标准制定的。

《XXXX操作系统及数据库安全管理制度》规范操作系统及数据库的安全日志

等日常运维操作。

第一章总则

第一条制度目标：为了加强信息安全保障能力，建立健全的安全管理体系，

提高整体的网络与信息安全水平，保证网络通信畅通和业务系统的正常运营，提高

网络服务质量，在安全体系框架下，本制度为规范病毒防护的安全管理，加强病毒

的防护，确保系统的安全。

第二条适用范围：本制度适用于所有部门和人员。

第三条制度相关性：本制度涉及相关安全技术规范、安全检查及监控等管理

办法，同时遵照相关管理制度。

第二章安全管理要求

第四条操作系统及数据库由运行监控室等相关处室负责管理及维护。

第五条根据业务需求，由相关业务处室负责授予其它工作人员访问和使用信息

系统的权力。

第六条系统及数据库管理员要保证系统的安全性，定期检查安全漏洞并修复。

对于敏感信息应保证仅能被合法的授权用户访问，不被未授权用户修改。

第七条操作系统及数据库日志审计及管理是进行日常各类事件检测、排查乃至

法律诉讼的重要依据。维护人员应该对操作系统日志、网络访问日志、数据库日志

.

等信息进行定期审计及管理，以及时发现和解决网络安全事件。

第八条新建计算机及业务系统必须设置完善的日志，并由安全员负责检查。

第九条操作系统及数据库日志及审计内容：

1）日志中不能包含密码；

2）对系统管理员的行为（如UIX中的su）要做日志并进行审计；

3）失败的用户登录要做日志并审计；

4）重要的系统事件要进行自动报警；

5）要能够基于一个主体或客体做审计；

6）审计日志中的记录至少要包含用户名（或其id）,日期和时间，登录地点，事

件描述信息。

第十条对于用户审计的日志和程序应进行保护，只有负责安全的工作人员才能

访问。

第十一条如果可能，日志要保留在只读的介质上。除了在本地保存以外，日志

还要传输到安全的日志服务器上，日志服务器不提供其它服务。不要将日志保存于

共享的文件系统中。

第十二条日志系统应至少保留6个月记录，并由专人负责每日进行常规性检

查。每6个月将历史日志进行备份，存放于安全地点。

第三章附则

第一节文挡信息

第十三条本制度由业务科技处制定，并负责解释和修订。由信息安全工作组讨

论通过，发布执行。

第十四条本制度自发布之日起执行。

第二节版本控制

（一）对本制度所有修改及审批、发布都按时间顺序记录在此。

.

V1.0文档定稿

第三节其他信息

第十五条本制度中所称的人员角职责由各部门人员分别担任，可能现有岗位

的职工在不同时期所担任的角不同，甚至身兼多种角，这种情况下该职工应该

履行所兼每种角的安全职责。

《XXXX安全管理制度汇编》定义了信息安全体系的整体结构、安全组织及各角岗位的

职责、以及覆盖各项安全内容的安全管理制度。所有职工均应把《XXXX安全管理制度汇编》

的规定作为信息安全工作的基本要求，其内容一经颁布将在一定时间内长期有效，其涉及的所有

部门或个人均需对其负责。

.