第一條 建立文件化(huà)的(de)安全管理(lǐ)制度,安全管理(lǐ)制度文件應包括:
1. 安全崗位管理(lǐ)制度;
2. 系統操作權限管理(lǐ);
3. 安全培訓制度;
4. 用(yòng)戶管理(lǐ)制度;
5. 新服務、新功能安全評估;
6. 用(yòng)戶投訴舉報處理(lǐ);
7. 信息發布審核、合法資質查驗和(hé)公共信息巡查;
8. 個(gè)人(rén)電子信息安全保護;
9. 安全事件的(de)監測、報告和(hé)應急處置制度;
10. 現行法律、法規、規章(zhāng)、标準和(hé)行政審批文件。
第二條 安全管理(lǐ)制度應經過管理(lǐ)層批準,并向所有員(yuán)工宣貫。
第三條 安全管理(lǐ)具體細則
1. 确保所采取的(de)數據信息管理(lǐ)和(hé)技術措施以及覆蓋範圍的(de)完整性
2. 應能夠檢測到網絡設備操作系統、主機操作系統、數據庫管理(lǐ)系統和(hé)應用(yòng)系統的(de)系統管理(lǐ)數據、鑒别信息和(hé)重要業務數據在存儲過程中完整性受到破壞,并在檢測到完整性錯誤時(shí)采取必要的(de)恢複措施。
3. 具備完整的(de)用(yòng)戶訪問、處理(lǐ)、删除數據信息的(de)操作記錄能力,以備審計
4. 在傳輸數據信息時(shí),經過不安全網絡的(de)(例如INTERNET網),需要對(duì)傳輸的(de)數據信息提供完整性校驗。
5. 應具備完善的(de)權限管理(lǐ)策略,支持權限最小化(huà)原則、合理(lǐ)授權。
6. 應采用(yòng)加密效措施實現重要業務數據信息傳輸、存儲的(de)保密性
7. 數據信息備份應注明(míng)數據信息的(de)來(lái)源、備份日期、恢複步驟等信息,并置于安全環境保管
8. 管理(lǐ)員(yuán)應進行每日增量備份,每周全量備份,備份内容應注明(míng)數據信息的(de)來(lái)源、備份日期等信息
9. 運維操作員(yuán)應根據不同業務系統實際拟定需要測試的(de)備份數據信息以及測試的(de)周期。
10. 對(duì)于因設備故障、操作失誤等造成的(de)一般故障,需要恢複部分(fēn)設備上的(de)備份數據信息,遵循異常事件處理(lǐ)流程。應盡可(kě)能地定期檢查和(hé)測試備份介質和(hé)備份信息,保持其可(kě)用(yòng)性和(hé)完整性。