内部使用 系统安全管理制度 版本号状态拟稿和修改时间说明 V1.0新建 2021/02/10 V2.0修改 2023/4/2第一章总则 第一条目的 为了加强北京思度文库股份有限公司（以下简称“公司”） 系统安全管理 ， 明确岗位职责，规范操作流程，维护系统正常运行，确保计算机信息系统的安 全，特制订本制度。 第二条适用范围 本办法适用于公司涉及服务器的操作系统安全、数据库安全以及应用系统 安全。 第二章术语定义 第三条安全保障措施 确定系统的安全保障措施，包括技术保障和管理保障。 第四条安全运营规范 确定企业系统的安全运营规范，包括系统账号安全、密码安全、系统硬件 配置安全等。 第五条安全审计 对企业网络系统进行安全检查和实践，发现安全问题和漏洞，提出改进意 见，确保系统的安全性和完整性。第六条安全漏洞管理 发现系统中的安全漏洞和隐患，统一管理和修复，避免安全漏洞的持续存 在和影响。 第七条系统审计 对系统日志和事件进行审计，保障系统的操作和访问审计以及系统日志的 完整性。 第三章岗位职责 第八条网络管理员 负责企业的网络架构和维护，包括网络设备管理、网络优化和维护，确保 网络的连通性、可用性和安全性。 第九条安全管理员 负责企业的网络安全策略和规定制定，并负责实施、监督、评估和改进网 络安全规定。 第十条系统管理员 负责管理和维护企业的系统设施、软件和硬件设备，确保系统的安全性、 完整性和可用性。 第十一条安全审计员 负责对企业的网络系统和安全措施进行检查和审计，发现和排除可能存在的风险和漏洞，确保安全合规性。 第四章系统安全管理 第十二条基本要求 系统日常安全管理由系统管理员负责，系统管理员包括操作系统管理员、 数据库管理员、应用系统管理员。 （一）操作系统管理员负责管理服务器的操作系统、中间件。 （二）数据库管理员负责管理数据库。 （三）应用系统管理员负责 Web应用、业务系统。 第十三条三权分立原则 原则上禁止系统管理员对公司业务数据进行任何操作，如确因工作原因需 要对公司业务数据进行操作，应经基础技术部负责人、业务运营部负责人等审 批，并留存详细操作记录，包括但不限于系统管理员操作内容、时间信息。 第十四条配置管理 服务器的操作系统、数据库以及应用系统的初始配置分别由操作系统管理 员、数据库管理员、应用系统管理员或系统集成商根据业务需求分析、系统安 全分析以及管理制度规定完成并填写《系统配置表》，报基础技术部负责人审 核批准后，进行系统参数配置。 第十五条日常运维 系统安全日常管理分别由操作系统管理员、数据库管理员、应用系统管理 员执行，内容包括系统的日常巡检、配置维护、解决系统故障等。第十六条系统运维 系统管理员对操作系统、应用软件、数据库的运行情况每周进行一次例行 检查，并填写《系统安全巡检登记表》：操作系统管理员定 期检查运行状态、 操作系统日志、存 储空间等操作系统配置情况，分析 是否有异常用户行为；数 据库管理员定 期检查运行状态、数据库日志、存 储空间、数据库配置情况，分 析是否有异常用户行为；应用系统管理员定 期检查运行状态、应用系统日志、 存储空间、应用系统配置情况，分析 是否有异常用户行为。 第十七条操作系统运维 操作系统管理员负责每 月检查或下 载操作系统 升级包，应用管理员负责每 月检查或下 载应用软件 升级包，数据库管理员负责每 月检查或下 载数据库升级 包，操作系统管理员负责定 期检查或下 载杀毒软件升级包，并及时进行 补丁升 级，升级前需对升级包进行杀毒处理，应用系统、操作系统、数据库系统 升级 前须获得应用系统 开发商确认并首先在测试环境中测试通过。在升级前需对重 要文件进行备份。 第十八条漏洞扫描 在网络管理员 协助下系统管理员每 月对服务器进行漏洞 扫描，并持续对漏 洞风险进行 跟踪，在经过测试环境验证测试 后，对发现的网络系统安全漏洞由 系统管理员进行及时的修 补，具体修补操作应按照《变更管理制度》中的细则 执行；进行漏洞 扫描和修补须形成《漏洞 扫描和修补报告》。 第十九条病毒查杀 操作系统管理员每 月对服务器进行全 盘杀毒，应由管理员进行 手动选择病 毒处理方式，病毒查杀结果需及时备份，并及时 将备份介质交资料管理员保管。 应定期检查信息系统内 各种产品的恶意代码库的升级情况并进行记录，对发现 的恶意代码进行及时分析 处理，并填写《系统 拦截病毒报表》。第二十条口令管理 系统管理员定 期修改系统管理员和应用系统用 户的口令，按照《密码使用 管理制度》中的系统 级密码管理细则、 普通用户密码管理细则执行。 第二十一条 系统巡检 系统管理员 依据业务需求分析、系统安全分析以及管理制度规定对系统的 配置每年至少维护一次，并填写《系统安全巡检登记表》，如需要进行系统配 置修改填写《系统修改记录》，报基础技术部 主管批准后进行配置。 第二十二条 备份管理 系统管理员应 做好备份工作， 按照《备份与恢复管理制度》中细则执行。 第二十三条 事件管理 系统管理在日常巡检、或解决系统故障 过程中发现任何 异常均应及时进行 分析并记录， 按照《信息安全事件管理制度》， 采取必要的应对措施， 形成 《信息安全事件记录》。 第五章日常管理规定 第二十四条 准入管理 便携式和移动式设备不能 擅自接入内部重要安全区域，如接入后需访问应 用系统，需经 主管领导审批后，由系统管理员 授予相关权限。接入结束后及时 通知系统管理员及时 收回相关授权。第二十五条 账号维护 各系统的账号、 口令、权限等 直接由系统管理员负责维护，账 户的审批和 权限分配需要 相关部门负责人进行 申请，系统管理员不 得擅自将账号信息等 告 知未获得批准人员 ；当人员变更时需要对 相关账户进行注销或重新申请处理。 第二十六条 维护记录 系统管理员对于 主要系统的设置、修改应 当做好登记、备 案工作。 第二十七条 第三方管理 严禁厂家通过技术手段对已投入运行的系统进行 遥控和远程维护。 已经投 入运行的系统数据 未经批准严禁向厂家或第三方提供。 第二十八条 文档管理 各种系统设计及配置 相关资料要注意妥善保存，任何 非相关人员查看需经 审批，否则一律拒绝提供。 第二十九条 保密管理 严格遵守通信纪律，增强保密意 识，保守通信机密，不能 向无关人员泄露 信息系统的 结构、容量、配置等技术 资料。 第六章操作系统安全管理 第三十条正版系统 应使用成 熟、正版的操作系统。第三十一条 配置管理 在首次使用操作系统时，应对操作系统进行配置管理、网络访问 控制、口 令管理控制以及屏幕加锁控制。 第三十二条 最小安装原则 系统安装应遵循最少化安装原则，只安装必需的组件。 第三十三条 修改初始密码 在系统安 装后应检查系统 默认账户。删除非必须的默认账户。保留的 默认 账户应修改默认密码。 第三十四条 权限管理 账户权限授予依据最小化原则， 仅授予账户所需的最小权限，应 做到权责 分离，用户仅被赋予完成工作 所需的权限 ；确保用户在系统中 仅存在一个可使 用账户，应定期对账户进行审查，确保用 户的权限符合岗位要求 且无多余权限。 第三十五条 病毒管理 对于易受攻击的重要服务器应安 装防病毒软件，并定 期更新病毒库。 第三十六条 口令管理 重要系统账 户密码定期修改，密码设置应 符合《密码使用管理制度》。应 及时删除多余、过期的账户，并定期检查及清理。 第三十七条 变更管理 对于账户名称、权限 更改应及时 更新操作系统权限分配 清单，以及记录操 作系统账 户权限修改记录。填写《系统修改记录》。