系統安全防護能力

一.文件訪問控制

1.所有辦公終端的命名應符合公司計算機命名規范。

2.所有的辦公終端應加入公司的域管理模式,正確是使用公司的各項資源。

3.所有的辦公終端應正確安裝防病毒系統,確保及時更新病毒碼。

4.所有的辦公終端應及時安裝系統補丁,應與公司發布的補丁保持一致。

5.公司所有辦公終端的密碼不能為空,根據《云南地方IT系統使用手冊》中的密碼規定嚴格執行。

6.所有辦公終端不得私自裝配并使用可讀寫光驅、磁帶機、磁光盤機和USB硬盤等外置存儲設備。

7.所有辦公終端不得私自轉借給他人使用,防止信息的泄密和數據破壞。

8.所有移動辦公終端在外出辦公時,不要使其處于無人看管狀態。

9.辦公終端不得私自安裝盜版軟件和與工作無關的軟件,不得私自安裝掃描軟件或黑客攻擊工具。

10.未經公司IT服務部門批準,員工不得在公司使用modem進行撥號上網。

11.員工不允許向外面發送涉及公司秘密、機密和絕密的信息。

二。用戶權限級別

1.各系統應根據“最小授權”的原則設定賬戶訪問權限,控制用戶僅能夠訪問到工作需要的信息。

2.從賬號管理的角度,應進行基于角色的訪問控制權限的設定,即對系統的訪問控制權限是以角色或組為單位進行授予。

3.細分角色根據系統的特性和功能長期存在,基本不隨人員和管理崗位的變更而變更。

4.一個用戶根據實際情況可以分配多個角色。

5.各系統應該設置審計用戶的權限,審計用戶應當具備比較完整的讀權限,審計用戶應當能夠讀取系統關鍵文件,檢查系統設置、系統日志等信息。

三.防病毒軟件/硬件

1.所有業務系統服務器、生產終端和辦公電腦都應當按照公司要求安裝了相應的病毒防護軟件或采用了相應的病毒防護手段。

2.應當確保防止病毒軟件每天進行病毒庫更新,設置防病毒軟件定期(每周或沒月)對全部硬盤進行病毒掃描。

3.如果自己無法對病毒防護措施的有效性進行判斷,應及時通知公司IT服務部門進行解決。

4.各系統防病毒系統應遵循公司病毒防護系統整體規劃。

5.如果發現個人辦公終端感染病毒,應首先拔掉網線,降低可能對公司網絡造成的影響,然后進行殺毒處理。

6.各系統管理員在生產和業務網絡發現病毒,應立即進行處理。

操作日志記錄

一、對各項操作均應進行日志記錄,內容包括操作人、操作時間和操作內容等詳細信息。各級維護部門維護人員每日對操作日志、安全日志進行審查,對異常事件及時跟進解決,并每周形成日志審查匯總意見報上級維護主管部門審核。安全日志包括但不局限于以下內容:

1、對于應用系統,包括系統管理員的所有系統操作記錄、所有的登錄訪問記錄、對敏感數據或關鍵數據有重大影響的系統操作記錄以及其他重要系統操作記錄的日志;

2、對于操作系統,包括系統管理員的所有操作記錄、所有的登錄日志;

3、對于數據庫系統,包括數據庫登錄、庫表結構的變更記錄。

二、系統的日常運行維護由專人負責,定期進行保養,并檢查系統運行日志。

1.對于應用程序級別的備份有運維部制定工程師做每周的備份,重大變更前要整體做備份。

2.對于操作系統的日志備份通過定制計劃任務定期執行,并有制定人員檢查運行情況,并登記在案。

3.對于數據庫系統的日志備份有DBA制定計劃任務定期執行,并有DBA人員檢查運行情況,并登記在案。

三、各級維護部門針對所維護系統,依據數據變動的頻繁程度以及業務數據重要性制定備份計劃,經過上級維護主管部門批準后組織實施。

四。備份數據包括系統軟件和數據、業務數據、操作日志。

五、重要系統的運行日志定期異地備份。

說明:除在本地備份,每天晚上同步到異地機房。

六、對系統的操作、使用進行詳細記錄。

七、各級維護部門按照備份計劃,對所維護系統進行定期備份,原則上對于在線系統應實施每天一次的增量備份、每月一次的數據庫級備份以及每季度一次的系統級備份。對于需實施變更的系統,在變更實施前后均進行數據備份,必要時進行系統級備份。

八、各級維護部門定期對備份日志進行檢查,發現問題及時整改補救。

備份操作人員須檢查每次備份是否成功,并填寫《備份工作匯總記錄》,對備份結果以及失敗的備份操作處理需進行記錄、匯報及跟進。

九、備份介質由專人管理,與生產系統異地存放,并保證一定的環境條件。除介質保管人員外,其他人員未經授權,不得進入介質存放地點。介質保管應建立檔案,對于介質出入庫進行詳細記錄。對于承載備份數據的備份介質,確保在其安全使用期限內使用。對于需長期保存數據,考慮通過光盤等方式進行保存。對于有安全使用期限限制的存儲介質,在安全使用期限內更換,確保數據存儲安全。

十、對網站的運行情況做到每日一統計,每周一報告。

十一、各級維護部門按照本級維護工作相關要求,根據業務數據的性質,確定備份數據保存期限,根據備份介質使用壽命至少每年進行一次恢復性測試,并記錄測試結果。

十二、信息技術部負責人制定相應的備份日志審查計劃,包括由于業務需求發起的備份日志審查以及日志文件的格式時間的內容審查。計劃中遵循數據重要性等級分類,保證按照優先級對備份日志審查。

十三、需要備份日志審查數據時,需求部門應填寫《備份日志審查表》,內容包括數據內容、備份時間、數據來源、操作系統時間等,由需求部門以及信息技術部門相關負責人審批。

十四、備份管理員按照備份恢復計劃制定詳細的備份恢復操作手冊,手冊包含備份恢復的操作步驟、恢復前的準備工作、恢復失敗的處理方法和跟進步驟、驗收標準等。

備份功能

1.各系統管理員對本系統的設備、系統等IT資產的配置進行記錄,并備份配置記錄信息。

2.各系統在發生變更操作時,根據《地方信息安全管理流程-安全配置變更管理流程》進行審批、測試。

3.各系統執行變更操作前,要對變更操作進行測試;確定無不利影響后,提交系統測試結果、系統配置變更實施方案和回退方案,由本部門三級經理和公司相關主管部門提出配置變更申請。

4.申請審批通過后,才可以進行配置變更操作;進行配置變更操作前,需要對變更設備進行配置備份。

5.各系統管理員對變更操作的具體步驟進行記錄并保存。

6.各系統管理員進行配置變更操作后,將變更后的配置信息進行記錄。

7.各系統發生配置變更后,在公司信息安全小組進行備案。

專人定時負責軟件升級和補丁

已配備專人負責進行軟件升級,查看最新的系統安全公告,隨時為系統打補丁(系統補丁公布之后,會在1周之內完成升級工作)等工作。

弱口令管理

1.系統管理員對系統帳號使用情況進行統一管理,并對每個帳號的使用者信息、帳號權限、使用期限進行記錄。

2.禁止隨意使用系統默認賬號,系統管理員為每一個系統用戶設置一個帳號,堅決杜絕系統內部存在共享帳號。

3.各系統管理員對系統中存在的賬號進行定期檢查,確保系統中不存在無用或匿名賬號。

4.部門信息安全組定期檢查各系統帳號管理情況,內容應包含如下幾個方面:

(1)員工離職或帳號已經過期,相應的帳號在系統中仍然存在上;

(2)用戶是否被授予了與其工作職責不相符的系統訪問權限;

(3)帳號使用情況是否和系統管理員備案的用戶賬號權限情況一致;

(4)是否存在非法賬號或者長期未使用賬號;

(5)是否存在弱口令賬號。

5.各系統具有系統安全日志功能,能夠記錄系統帳號的登錄和訪問時間、操作內容、IP地址等信息。

6.系統在創建賬號、變更賬號以及撤銷賬號的過程中,應到得到部門經理的審批后才可實施。

漏洞掃描

至少兩周進行一次系統漏洞掃描,包括操作系統漏洞和系統下軟件漏洞,發現最新系統漏洞應及時打上修復補丁。配備專人負責查看最新的病毒公告。出現破壞力強的病毒會及時向公司相關部門通告。

篇2:操作系統安全保障措施

系統安全防護能力

一.文件訪問控制

1.所有辦公終端的命名應符合公司計算機命名規范。

2.所有的辦公終端應加入公司的域管理模式,正確是使用公司的各項資源。

3.所有的辦公終端應正確安裝防病毒系統,確保及時更新病毒碼。

4.所有的辦公終端應及時安裝系統補丁,應與公司發布的補丁保持一致。

5.公司所有辦公終端的密碼不能為空,根據《云南地方IT系統使用手冊》中的密碼規定嚴格執行。

6.所有辦公終端不得私自裝配并使用可讀寫光驅、磁帶機、磁光盤機和USB硬盤等外置存儲設備。

7.所有辦公終端不得私自轉借給他人使用,防止信息的泄密和數據破壞。

8.所有移動辦公終端在外出辦公時,不要使其處于無人看管狀態。

9.辦公終端不得私自安裝盜版軟件和與工作無關的軟件,不得私自安裝掃描軟件或黑客攻擊工具。

10.未經公司IT服務部門批準,員工不得在公司使用modem進行撥號上網。

11.員工不允許向外面發送涉及公司秘密、機密和絕密的信息。

二。用戶權限級別

1.各系統應根據“最小授權”的原則設定賬戶訪問權限,控制用戶僅能夠訪問到工作需要的信息。

2.從賬號管理的角度,應進行基于角色的訪問控制權限的設定,即對系統的訪問控制權限是以角色或組為單位進行授予。

3.細分角色根據系統的特性和功能長期存在,基本不隨人員和管理崗位的變更而變更。

4.一個用戶根據實際情況可以分配多個角色。

5.各系統應該設置審計用戶的權限,審計用戶應當具備比較完整的讀權限,審計用戶應當能夠讀取系統關鍵文件,檢查系統設置、系統日志等信息。

三.防病毒軟件/硬件

1.所有業務系統服務器、生產終端和辦公電腦都應當按照公司要求安裝了相應的病毒防護軟件或采用了相應的病毒防護手段。

2.應當確保防止病毒軟件每天進行病毒庫更新,設置防病毒軟件定期(每周或沒月)對全部硬盤進行病毒掃描。

3.如果自己無法對病毒防護措施的有效性進行判斷,應及時通知公司IT服務部門進行解決。

4.各系統防病毒系統應遵循公司病毒防護系統整體規劃。

5.如果發現個人辦公終端感染病毒,應首先拔掉網線,降低可能對公司網絡造成的影響,然后進行殺毒處理。

6.各系統管理員在生產和業務網絡發現病毒,應立即進行處理。

操作日志記錄

一、對各項操作均應進行日志記錄,內容包括操作人、操作時間和操作內容等詳細信息。各級維護部門維護人員每日對操作日志、安全日志進行審查,對異常事件及時跟進解決,并每周形成日志審查匯總意見報上級維護主管部門審核。安全日志包括但不局限于以下內容:

1、對于應用系統,包括系統管理員的所有系統操作記錄、所有的登錄訪問記錄、對敏感數據或關鍵數據有重大影響的系統操作記錄以及其他重要系統操作記錄的日志;

2、對于操作系統,包括系統管理員的所有操作記錄、所有的登錄日志;

3、對于數據庫系統,包括數據庫登錄、庫表結構的變更記錄。

二、系統的日常運行維護由專人負責,定期進行保養,并檢查系統運行日志。

1.對于應用程序級別的備份有運維部制定工程師做每周的備份,重大變更前要整體做備份。

2.對于操作系統的日志備份通過定制計劃任務定期執行,并有制定人員檢查運行情況,并登記在案。

3.對于數據庫系統的日志備份有DBA制定計劃任務定期執行,并有DBA人員檢查運行情況,并登記在案。

三、各級維護部門針對所維護系統,依據數據變動的頻繁程度以及業務數據重要性制定備份計劃,經過上級維護主管部門批準后組織實施。

四。備份數據包括系統軟件和數據、業務數據、操作日志。

五、重要系統的運行日志定期異地備份。

說明:除在本地備份,每天晚上同步到異地機房。

六、對系統的操作、使用進行詳細記錄。

七、各級維護部門按照備份計劃,對所維護系統進行定期備份,原則上對于在線系統應實施每天一次的增量備份、每月一次的數據庫級備份以及每季度一次的系統級備份。對于需實施變更的系統,在變更實施前后均進行數據備份,必要時進行系統級備份。

八、各級維護部門定期對備份日志進行檢查,發現問題及時整改補救。

備份操作人員須檢查每次備份是否成功,并填寫《備份工作匯總記錄》,對備份結果以及失敗的備份操作處理需進行記錄、匯報及跟進。

九、備份介質由專人管理,與生產系統異地存放,并保證一定的環境條件。除介質保管人員外,其他人員未經授權,不得進入介質存放地點。介質保管應建立檔案,對于介質出入庫進行詳細記錄。對于承載備份數據的備份介質,確保在其安全使用期限內使用。對于需長期保存數據,考慮通過光盤等方式進行保存。對于有安全使用期限限制的存儲介質,在安全使用期限內更換,確保數據存儲安全。

十、對網站的運行情況做到每日一統計,每周一報告。

十一、各級維護部門按照本級維護工作相關要求,根據業務數據的性質,確定備份數據保存期限,根據備份介質使用壽命至少每年進行一次恢復性測試,并記錄測試結果。

十二、信息技術部負責人制定相應的備份日志審查計劃,包括由于業務需求發起的備份日志審查以及日志文件的格式時間的內容審查。計劃中遵循數據重要性等級分類,保證按照優先級對備份日志審查。

十三、需要備份日志審查數據時,需求部門應填寫《備份日志審查表》,內容包括數據內容、備份時間、數據來源、操作系統時間等,由需求部門以及信息技術部門相關負責人審批。

十四、備份管理員按照備份恢復計劃制定詳細的備份恢復操作手冊,手冊包含備份恢復的操作步驟、恢復前的準備工作、恢復失敗的處理方法和跟進步驟、驗收標準等。

備份功能

1.各系統管理員對本系統的設備、系統等IT資產的配置進行記錄,并備份配置記錄信息。

2.各系統在發生變更操作時,根據《地方信息安全管理流程-安全配置變更管理流程》進行審批、測試。

3.各系統執行變更操作前,要對變更操作進行測試;確定無不利影響后,提交系統測試結果、系統配置變更實施方案和回退方案,由本部門三級經理和公司相關主管部門提出配置變更申請。

4.申請審批通過后,才可以進行配置變更操作;進行配置變更操作前,需要對變更設備進行配置備份。

5.各系統管理員對變更操作的具體步驟進行記錄并保存。

6.各系統管理員進行配置變更操作后,將變更后的配置信息進行記錄。

7.各系統發生配置變更后,在公司信息安全小組進行備案。

專人定時負責軟件升級和補丁

已配備專人負責進行軟件升級,查看最新的系統安全公告,隨時為系統打補丁(系統補丁公布之后,會在1周之內完成升級工作)等工作。

弱口令管理

1.系統管理員對系統帳號使用情況進行統一管理,并對每個帳號的使用者信息、帳號權限、使用期限進行記錄。

2.禁止隨意使用系統默認賬號,系統管理員為每一個系統用戶設置一個帳號,堅決杜絕系統內部存在共享帳號。

3.各系統管理員對系統中存在的賬號進行定期檢查,確保系統中不存在無用或匿名賬號。

4.部門信息安全組定期檢查各系統帳號管理情況,內容應包含如下幾個方面:

(1)員工離職或帳號已經過期,相應的帳號在系統中仍然存在上;

(2)用戶是否被授予了與其工作職責不相符的系統訪問權限;

(3)帳號使用情況是否和系統管理員備案的用戶賬號權限情況一致;

(4)是否存在非法賬號或者長期未使用賬號;

(5)是否存在弱口令賬號。

5.各系統具有系統安全日志功能,能夠記錄系統帳號的登錄和訪問時間、操作內容、IP地址等信息。

6.系統在創建賬號、變更賬號以及撤銷賬號的過程中,應到得到部門經理的審批后才可實施。

漏洞掃描

至少兩周進行一次系統漏洞掃描,包括操作系統漏洞和系統下軟件漏洞,發現最新系統漏洞應及時打上修復補丁。配備專人負責查看最新的病毒公告。出現破壞力強的病毒會及時向公司相關部門通告。

篇3:保險保障基金管理辦法

保險保障基金管理辦法

第一章總則

　　第一條為了規范保險保障基金的繳納、管理和使用，保障保單持有人利益，有效化解金融風險，維護金融穩定，根據《中華人民共和國保險法》(以下簡稱《保險法》)第九十七條等規定，制定本辦法。

　　第二條本辦法所稱保險公司，是指經保險監督管理機構批準設立，并依法登記注冊的商業保險公司，包括中資保險公司、中外合資保險公司、外資獨資保險公司和外國保險公司分公司。

　　本辦法所稱保險保障基金，是指根據《保險法》，由保險公司繳納形成，按照集中管理、統籌使用的原則，在保險公司被撤銷、被宣告破產及中國保險監督管理委員會(以下簡稱中國保監會)根據本辦法第二十條認定的情形下，用于向保單持有人或者保單受讓公司等提供救濟的法定基金。

　　本辦法所稱保單持有人，是指在保險公司被撤銷或者被宣告破產的情形下，對保單利益享有請求權的保險合同當事人，包括投保人、被保險人或者受益人。

　　本辦法所稱保單受讓公司，是指在保險公司被撤銷或者被宣告破產的情形下，接受其依法轉讓的人壽保險合同的人壽保險公司。

　　第三條保險保障基金分為財產保險公司保障基金和人壽保險公司保障基金。

　　財產保險公司保障基金由財產保險公司、綜合再保險公司和財產再保險公司繳納形成。

　　人壽保險公司保障基金由人壽保險公司、健康保險公司和人壽再保險公司繳納形成。

　　第四條保險保障基金的管理和使用遵循公開、合理、有效的原則。

　　第五條保險保障基金由中國保監會集中管理，統籌使用。

第二章繳納

　　第六條對于納入保險保障基金救濟范圍的保險業務，保險公司應當按照下列比例繳納保險保障基金：

　　(一)財產保險、意外傷害保險和短期健康保險，按照自留保費的1%繳納;

　　(二)有保證利率的長期人壽保險和長期健康保險，按照自留保費的0.15%繳納;

　　(三)無保證利率的長期人壽保險，按照自留保費的0.05%繳納;

　　(四)保險公司其他保險業務的繳納比例由中國保監會另行規定。

　　第七條中國保監會設立保險保障基金專門賬戶。保險保障基金按照保險公司分戶核算。

　　第八條保險公司應當及時、足額將保險保障基金繳納到保險保障基金專門賬戶，但有下列情形之一的，可以暫停繳納保險保障基金：

　　(一)財產保險公司、綜合再保險公司和財產再保險公司的保險保障基金余額達到公司總資產6%的;

　　(二)人壽保險公司、健康保險公司和人壽再保險公司的保險保障基金余額達到公司總資產1%的。

　　保險公司的保險保障基金余額減少或者總資產增加，其保險保障基金余額占總資產比例不能滿足前款要求的，應當自動恢復繳納保險保障基金。

　　保險公司的保險保障基金余額，等于該公司累計繳納的保險保障基金金額加上分攤的投資收益，減去各種使用額。

　　第九條保險公司被撤銷或者被宣告破產，其保險保障基金余額不足以支付應當給予保單持有人或者保單受讓公司的救濟的，不足部分的金額按照其余公司上一年度以自留保費計算的市場份額扣減其保險保障基金余額。

　　第十條保險公司繳納保險保障基金，實行按年計算，按季預繳。

　　保險公司應當在每季度結束后15個工作日內預繳保險保障基金，在每年度結束后4個月內匯算清繳。

　　第十一條中國保監會可以根據保險行業發展和風險的實際情況，調整保險保障基金的繳納比例、規模上限、繳納方式等規定。

第三章管理和監督

　　第十二條保險保障基金的資金運用應當遵循安全性、收益性和流動性原則，在確保資產安全的前提下實現資產的保值增值。

　　保險保障基金的資金運用，限于銀行存款、買賣政府債券和中國保監會規定的其他資金運用形式。保險保障基金不得運用于股權投資、房地產投資和其他各類實業投資。

　　中國保監會可以委托專業的投資管理機構運用保險保障基金。

　　第十三條保險保障基金理事會負責對保險保障基金的管理和使用實施監督。

　　第十四條保險保障基金理事會由保險公司、國務院法制辦、財政部、中華人民銀行、國家稅務總局等機構組成。

　　保險保障基金理事會的工作辦法由中國保監會另行規定。

　　第十五條中國保監會應當在每一會計年度結束后5個月內完成經審計的保險保障基金財務報告，并向理事會及其成員單位和各保險公司公布。

第四章使用

　　第十六條保險公司被撤銷或者被宣告破產，其清算財產不足以償付保單利益的，保險保障基金按照下列規則對非人壽保險合同的保單持有人提供救濟：

　　(一)保單持有人的損失在人民幣5萬元以內的部分，保險保障基金予以全額救濟;

　　(二)保單持有人為個人的，對其損失超過人民幣5萬元的部分，保險保障基金的救濟金額為超過部分金額的90%;保單持有人為機構的，對其損失超過人民幣5萬元的部分，保險保障基金的救濟金額為超過部分金額的80%.前款所稱保單持有人的損失，是指保單持有人的保單利益與其從清算財產中獲得的清償金額之間的差額。

　　第十七條人壽保險公司被撤銷或者被宣告破產的，其持有的人壽保險合同，必須轉讓給其他人壽保險公司。不能同其他人壽保險公司達成轉讓協議的，由中國保監會指定人壽保險公司接收。

　　第十八條被撤銷或者被宣告破產的保險公司的清算資產不足以償付人壽保險合同保單利益的，保險保障基金可以按照下列規則向保單受讓公司提供救濟：

　　(一)保單持有人為個人的，救濟金額以轉讓后保單利益不超過轉讓前保單利益的90%為限;

　　(二)保單持有人為機構的，救濟金額以轉讓后保單利益不超過轉讓前保單利益的80%為限。

　　保單受讓公司應當根據前款標準核算轉讓后保單持有人的保單利益，并據此與保單持有人修訂人壽保險合同。

　　第十九條保險公司被撤銷或者被宣告破產的，保單持有人在清算結束前可以簽訂債權轉讓協議，由保險保障基金向保單持有人支付救濟款，保單持有人將其對保險公司的債權讓渡給保險保障基金。

　　清算結束后，保險保障基金獲得的清償金額多于支付的救濟款的，保險保障基金應當將差額部分返還給保單持有人。

　　第二十條在保險業面臨重大危機，可能嚴重危及社會公共利益和金融穩定的情形下，中國保監會可以動用保險保障基金。

　　第二十一條保險公司的下列業務不屬于保險保障基金的救濟范圍：

　　(一)保險公司在境外直接承保的業務和從境外分入的業務;

　　(二)保險公司的政策性保險業務;

　　(三)中國保監會認定不屬于保險保障基金救濟范圍的其他保險業務。

第五章法律責任

　　第二十二條保險公司違反本辦法規定，由中國保監會責令改正，并處以5萬元以上30萬元以下的罰款;情節嚴重的，可以限制業務范圍、責令停止接受新業務或者吊銷經營保險業務許可證。

　　對違法行為負有直接責任的保險公司高級管理人員和其他直接責任人員，中國保監會可以區別不同情況予以警告，責令撤換，處以2萬元以上10萬元以下的罰款。

第六章附則

　　第二十三條保險公司應當在本辦法施行之日起3個月內，將已提存保險保障基金的50%繳納到中國保監會設立的保險保障基金專門賬戶，剩余部分在本辦法施行之日起1年內繳清。

　　第二十四條本辦法由中國保監會負責解釋。

　　第二十五條本辦法自2005年1月1日起施行。