第一条 建立文件化的安全管理制度,安全管理制度文件应包括:
1. 安全岗位管理制度;
2. 系统操作权限管理;
3. 安全培训制度;
4. 用户管理制度;
5. 新服务、新功能安全评估;
6. 用户投诉举报处理;
7. 信息发布审核、合法资质查验和公共信息巡查;
8. 个人电子信息安全保护;
9. 安全事件的监测、报告和应急处置制度;
10. 现行法律、法规、规章、标准和行政审批文件。
第二条 安全管理制度应经过管理层批准,并向所有员工宣贯。
第三条 安全管理具体细则
1. 确保所采取的数据信息管理和技术措施以及覆盖范围的完整性
2. 应能够检测到网络设备操作系统、主机操作系统、数据库管理系统和应用系统的系统管理数据、鉴别信息和重要业务数据在存储过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施。
3. 具备完整的用户访问、处理、删除数据信息的操作记录能力,以备审计
4. 在传输数据信息时,经过不安全网络的(例如INTERNET网),需要对传输的数据信息提供完整性校验。
5. 应具备完善的权限管理策略,支持权限最小化原则、合理授权。
6. 应采用加密效措施实现重要业务数据信息传输、存储的保密性
7. 数据信息备份应注明数据信息的来源、备份日期、恢复步骤等信息,并置于安全环境保管
8. 管理员应进行每日增量备份,每周全量备份,备份内容应注明数据信息的来源、备份日期等信息
9. 运维操作员应根据不同业务系统实际拟定需要测试的备份数据信息以及测试的周期。
10. 对于因设备故障、操作失误等造成的一般故障,需要恢复部分设备上的备份数据信息,遵循异常事件处理流程。应尽可能地定期检查和测试备份介质和备份信息,保持其可用性和完整性。