MHWJW31-系统安全管理制度-V11

系统安全管理制度文档信息制度编号:生效日期:分发范围:解释部门:版次:Ver1.1页数:9制定人:审核人:批准人:传阅阅后执行并存档保密保密等级内部公开版本记录版本号版本日期修改者说明文件名建立系统安全管理制度系统安全管理制度XX单位系统安全管理制度1总则1.1目的为进一步强化XX单位应用系统运行维护管理工作，建立业务、技术支持相结合，规范、高效运转的综合运行维护管理体制，确保各类应用系统稳定、安全、高效运行，特制订本办法。1.2范围本办法适用于XX单位应用系统的运行维护。由于业务处理的特殊性，各应用系统的具体运维管理内容可根据本办法进一步细化。1.3职责信息中心承担各类系统的技术运维工作，具体系统运维工作由信息中心系统管理员负责。系统安全管理制度2管理细则2.1运维组织(1)信息中心主管统筹安排力量，建立以业务、技术支持为主体、以总体运维为依托、以基础运维为基础的高效、有序的应用系统运行维护管理体系。(2)对于各个应用系统，应确定其运维负责主管，各应用系统有关的科室还应设立联络人。(3)重要应用系统，信息中心确定两名以上技术人员担任系统管理员，实行AB岗制。(4)对于应用系统，由信息中心指定多人成立负责小组，负责组织、协调该应用系统的日常运维。(5)信息中心建立统一的应用系统运行维护管理平台（常规通过堡垒机实现），实现各类应用系统的日常运维管理、行为审核，并通过实现运维信息共享。(6)日常运维人员、第三方维护人员必须通过堡垒机系统来实现运维管理。2.2数据修改流程(1)对于应用系统运行过程中出现的因录入错误或程序原因造成错误数据，需要进行修改的，适用本流程。(2)数据修改应尽量利用应用系统提供的前台功能模块进行，前台能够修改的数据一般不允许做后台修改。(3)对于按照应用系统的岗责权限设置，对本人录入数据具有修改权限的，可以直接使用修改功能进行操作。(4)对于本人无权进行修改的，参照《变更管理程序》规定执行：(5)对于无法通过前台软件修改、且不修改会造成后续业务无法运行的或者严重影响数据质量的特殊情况，可以进行后台数据修改。后台数据修改的提报和处理必须参照《变更管理程序》规定执行完成：(6)对于错误原因和处理方法比较明确的常见问题，为提高运行效率，可以由主管部门申请，经批准后可简化或取消部分流程。系统安全管理制度(7)对于因软件功能不完善或者程序错误造成的后台数据修改问题，主管业务部门和技术部门应及时向领导小组反映，争取通过修改软件来从根本上解决问题。2.3系统配置调整流程(1)对于涉及应用系统日常运行的系统参数、初始化代码、业务参数、打印参数、批处理设置、工作流配置等系统配置调整工作，适用本流程。(2)对于按照应用系统的岗责权限设置，对本部门业务参数具有前台设置权限的，可以直接使用设置功能进行操作。(3)对于涉及全局性的系统参数、业务参数以及其它系统配置，按照《变更管理程序》规定执行。2.4系统升级与版本管理(1)系统升级部分的所有审批和流程参照《变更管理程序》执行。(2)为保证应用软件版本的统一，应用软件的版本和升级补丁由应用系统的系统管理员集中统一管理。(3)系统管理员应对下载的程序和文档进行检查，检查版本是否包含修改说明和安装说明，程序及文档是否和说明中的文档清单相一致，如果缺少内容，联系业务主管部门了解原因并获取正确版本。(4)系统管理员搭建升级测试环境，在测试环境中完成版本升级和技术测试，并填写《补丁测试记录》。(5)主管（或牵头主管）业务部门运维岗应组织相关部门，对照升级文档，按照各自职责分工在测试环境中完成业务功能测试，并确定升级相关的业务调整。(6)技术测试和业务测试时应注意升级对其它相关应用系统的影响，并及时协调相关应用系统的系统管理员和业务运维岗进行相关调整。(7)系统管理员与相关业务运维岗根据升级测试情况以及业务应用的需要，共同确定正式升级时间。升级时间一般应避免选择应用系统的运行高峰时间。系统安全管理制度(8)系统管理员应在升级前发布升级通知，明确升级的时间，并将升级说明、注意事项告知相关部门。(9)系统管理员应制定应用系统升级操作规程，在正式升级时按照规程要求做好相关数据库、系统配置、软件版本的备份，并按照操作顺序完成数据库、应用程序等的升级及升级后的测试。(10)各科室及相关人员应按照发布的升级要求，做好软件升级以及升级前后的业务准备、调整工作。(11)对经技术或业务测试发现有问题的升级版本，由系统管理员联系业务主管部门或人员，确认是否属技术问题。如属技术问题，申请重新下发升级程序；如属业务需求问题，由主管业务处室提报二次需求。2.5运维安全与用户权限管理(1)仅系统管理员掌握应用系统的特权账号，系统管理员需要填写《系统特权用户的授权记录》，该记录由信息中心文档管理员保管留存。(2)为保证应用系统安全，保证权限管理的统一有序，除另有规定外，各应用系统的用户及其权限，由系统管理员负责进行设置。(3)用户权限设置，按照确定的岗责体系以及各应用系统的权限规则进行。(4)新增、删除或修改用户权限，应通过运维平台的用户权限调整流程来完成：(5)应用系统系统管理员应加强对各类用户帐号与口令的管理，制定口令管理安全策略，加强对口令安全性的监督检查，强化系统的权限管理。(6)应用系统用户的登录密码，不得使用默认密码或弱口令。应定期更换口令。用户不得将自己的登录名与口令转交他人使用。(7)应定期至少每季度一次对应用系统进行漏洞扫描，生成扫描报告存档，并对扫描发现的问题及时进行处理。(8)需要安装补丁时，必须做好数据备份工作之后才可进行补丁安装实施工作。(9)加强系统运行日志和运维管理日志的记录分析工作，并定期至少每季度一次记录本阶段内的系统异常行为,记录结果填入《系统异常行为分析记录单》系统安全管理制度2.6故障与应急管理(1)应用系统在建设、部署过程中应充分考虑系统的高可用性和可靠性要求，采取合理有效的技术手段，尽可能消除单点故障。(2)应用系统系统管理员应协同其它技术岗位，制定应用系统的日常监控工作规程和技术应急预案，并做好应用系统的程序、数据、参数等的备份工作。(3)各应用系统的主管（或牵头主管）业务部门应制定各应用系统的业务应急预案，明确在应用系统无法使用时手工办理相关业务的处理流程。3附则系统安全管理制度附1：系统特权用户的授权记录系统特权用户授权记录服务器类：服务器IP运行业务系统账号名权限角色用户姓名登记时间备注系统安全管理制度应用系统类：应用系统名称账号名权限角色用户姓名登记时间所属部门备注*此表主要登记业务系统用户权限，记录其姓名、及部门附2：补丁测试记录系统安全管理制度序号补丁编号补丁测试时间测试系统测试人员补丁安装时间安装系统安装人员验证结果1.2.3.4.5.6.7.8.9.系统安全管理制度附3：系统异常行为分析记录单系统异常行为分析记录注：每月填写一次违规行为详细记录（含违规时间）处理措施记录人记录时间