中國石化桌面系統(tǒng)安全管理規(guī)范

中國石化桌面系統(tǒng)安全管理規(guī)范一、前言隨著新技術的不斷進展和普及，信息化已經(jīng)成為了現(xiàn)代化國家建設的緊要標志之一、信息時代的核心在于信息的安全性，而信息的安全必需從根本上動手進行安全管理。為確保公司的信息安全，提高信息處理的安全性，保障業(yè)務的正常運行，我公司需要建立一整套適合公司實際情況的桌面系統(tǒng)安全管理規(guī)范。本規(guī)范的編制，是依據(jù)《公司桌面系統(tǒng)安全管理制度》、《計算機信息系統(tǒng)安全保密等級保護管理方法》、《信息安全技術基本規(guī)范》以及公司實際情況，結合行業(yè)標準，訂立而成。旨在規(guī)范公司內(nèi)部員工、管理機構和供應商的行為，確保公司的信息系統(tǒng)安全牢靠。二、適用范圍本規(guī)范適用于公司內(nèi)部員工、管理機構以及有權接觸到公司桌面系統(tǒng)的供應商，包括但不限于公司內(nèi)網(wǎng)、外網(wǎng)、電子郵件、數(shù)據(jù)庫等。三、桌面系統(tǒng)安全管理規(guī)范3.1密碼安全管理1.下屬部門的密碼標準必需同時充足以下要求：（1）必需由大小寫字母、數(shù)字、符號構成（2）長度在8位以上（3）至少每3個月修改密碼一次2.用戶密碼必需由用戶本人單獨設定，不得與他人共用，不準在電腦上存儲密碼文本。3.為確保密碼的安全性和機密性，密碼必需加密存儲，不得明文存儲和傳輸。4.密碼掌控必需考慮多個系統(tǒng)間的安全性。3.2網(wǎng)絡安全1.系統(tǒng)管理臺必需設置權威用戶身份驗證機制。2.掌控網(wǎng)絡上的遠程訪問并限制使用。3.知道何時以及從哪個IP地址登錄的記錄必需被實時記錄。4.全部網(wǎng)絡流量必需被標記，以確定每個數(shù)據(jù)包的來源/目標并對該流量進行審計。5.全部流量必需依據(jù)策略進行過濾，確保安全性和完整性。6.禁止使用公司外網(wǎng)資源，任何外部訪問必需經(jīng)過嚴格審批和授權。3.3硬件安全1.全部公司設備必需被標簽化，以便利跟蹤及調(diào)查，同時設備必需緊密監(jiān)視。2.全部桌面必需登錄公司的認證系統(tǒng)，以確保不被非法訪問。3.全部設備必需隔離，以保護數(shù)據(jù)完整性和保密性，防止惡意軟件的攻擊。4.全部設備必需安裝最新的安全軟件和防病毒軟件，以保證設備的安全。3.4軟件安全1.全部應用程序必需由管理人員進行認證，以保證其可信性。2.全部軟件的安全掃描必需在使用之前進行。3.軟件必需適時更新和升級，確保系統(tǒng)安全和完整性。4.任何非法軟件、媒體和工具都是禁止的。3.5數(shù)據(jù)安全1.全部數(shù)據(jù)必需有訪問權限和會計原則的掌控，以保證數(shù)據(jù)私密性、完整性以及可用性。2.全部敏感數(shù)據(jù)必需加密存儲，以確保數(shù)據(jù)的保密性和完整性。3.全部數(shù)據(jù)必需備份，以確保數(shù)據(jù)的完整性和可恢復性。4.全部存儲數(shù)據(jù)必需進行安全檢查，以保證文件的完整性和保密性。3.6安全審計1.安全審計應定期地進行，以檢查系統(tǒng)是否有未經(jīng)授權的訪問或未經(jīng)授權的數(shù)據(jù)傳輸。2.全部安全事件必需記錄和報告。3.任何安全漏洞都必需得到嚴格的掌控，并進行證明和恢復工作。四、總結隨著信息化技術的不斷進展和普及，信息系統(tǒng)安全問題已經(jīng)成為關乎公司長期進展的緊要問題。本規(guī)范旨在通過桌面系統(tǒng)安全管理規(guī)范的訂立，