某保险公司主机安全管理规定（6页）.doc-内控管理制度-保险资料库

某保险公司主机安全管理规定（6页）.doc

1 目的

为明确主机的安装配置、账号管理和访问控制的安全管理要求，指导设备管理、安全防护、监控审计和备份恢复工作，规范主机的安全管理，制定本制度。

2 范围

本制度适用于公司所有主机设备及其操作系统的配置和管理。

3 术语

（无）

4 职责

4.1 主机安全管理岗

负责保护主机设备的安全；

负责管理主机和相关安全产品的配置和运行维护；

负责制定主机访问访问控制策略和控制措施；

负责监控主机的运行状况；

负责制订主机应急预案，并在故障发生时进行应急恢复。

5 内容

5.1 主机设备管理

5.1.1 应按照《信息资产分类与标识规范》对主机设备进行标识，描述主机的用途、承载的服务、使用部门和IP地址等，并对设备进行物理保护，防止未经授权的物理访问。

5.1.2 应建立并维护《主机资产及安全控制措施清单》，据实记录主机资产情况和安全控制措施。

5.1.3 主机的变更，包括进场、启用、位置变更、整机更换、配件变更、标识变更、连接变更和报废等，应经相关负责人审批，并由主机管理人员进行记录。

5.1.4 应定期对主机进行巡检，并制定巡检方案，明确巡检周期、内容和操作步骤等。

5.2 安装与配置

5.2.1 主机部署到生产环境前应参照《主机操作系统安全配置规范》进行安全配置，禁止使用缺省配置。

5.2.2 应为主机安装公司统一购买的正版操作系统、数据库、中间件和定制开发的应用系统，不得安装和使用未经授权的软件。

5.2.3 主机安装应遵循“最小安装”原则，仅安装满足支持应用系统运行的操作系统和其他软件。

5.2.4 启用系统服务时应对其进行必要的安全配置。

分享到：