某产险公司信息系统安全管理办法（8页）.doc-行政管理制度-保险资料库

某产险公司信息系统安全管理办法（8页）.doc

第一章总则
第一条为加强XX保险公司（以下简称公司）信息系统的安全，保障信息系统安全、可靠、高效、平稳运行，根据《中华人民共和国计算机信息安全保护条例》，并结合公司实际情况，制定本办法。
第二条信息系统安全由公司信息技术部和各分支机构信息归口管理部门负责，并指定信息安全员。信息系统包括：软件系统和硬件系统。
第三条本办法适用于公司以及各分支机构。

第二章系统信息安全管理
第四条计算机操作系统要建立操作人员访问控制制度。要明确各类人员的权限和操作范围,并用软、硬件技术控制各类用户的访问权限。
（一）操作系统级的超级管理用户口令、应用管理用户口令只能由信息技术部系统管理员设定并经信息技术部门经理审核，一个月做一次修改，口令要向其他人员保密。普通计算机用户只有对操作系统的受限权限。
（二）在应用系统实施阶段，考虑到应用软件提供商需要对自己的产品进行调试，可以在调试时有时限的暂时开放适当的权限给应用软件提供商；调试结束后系统管理员立即更改口令。
（三）口令设定必须满足长度、有效期、尝试次数、更换周期的要求。
第五条建立严格的数据库访问控制制度。
（一）数据库内具有较高权限的管理用户口令由信息技术部数据库管理员设定，并由信息技术部部门经理审核，不能向其他人开放。口令必须１个月做一次修改。
（二）业务系统后台数据库对象创建用户的口令由信息技术部数据库管理员设定，由信息技术部部门经理审核。不能向其他人开放。
（三）口令设定必须满足长度、有效期、尝试次数、更换周期的要求。