信息系統(tǒng)運維安全管理規(guī)定

第一章 總則

第一條 為加強XXXXX信息系統(tǒng)運維的安全管理，保障信息系統(tǒng)的網(wǎng)絡(luò)安全與信息安全，依據(jù)國家有關(guān)法律、法規(guī)和XXXXX有關(guān)規(guī)章制度，特制定本規(guī)定。

第二條 XXXXX信息系統(tǒng)運維安全管理范圍包括網(wǎng)絡(luò)安全管理、操作系統(tǒng)安全管理、用戶訪問授權(quán)管理、密碼管理、防病毒管理、系統(tǒng)補丁管理、介質(zhì)管理、信息交換管理、安全監(jiān)控和審計管理、數(shù)據(jù)備份和恢復(fù)管理、日常運行維護管理以及監(jiān)督檢查等相關(guān)內(nèi)容。

第三條 本規(guī)定適用于XXXXX信息系統(tǒng)運維中的安全管理。

第二章 網(wǎng)絡(luò)安全管理

第四條 信息中心統(tǒng)一規(guī)劃XXXXX網(wǎng)絡(luò)架構(gòu)，并根據(jù)安全風(fēng)險情況部署安全設(shè)備，確保網(wǎng)絡(luò)安全和信息安全。

第五條 網(wǎng)絡(luò)管理員應(yīng)對網(wǎng)絡(luò)拓?fù)溥M行統(tǒng)一管理，應(yīng)保持拓?fù)浣Y(jié)構(gòu)圖與現(xiàn)行網(wǎng)絡(luò)運行環(huán)境的一致性，拓?fù)鋱D應(yīng)包括網(wǎng)絡(luò)設(shè)備、安全設(shè)備的型號、名稱以及與鏈路的鏈接情況等。

第六條 網(wǎng)絡(luò)管理員應(yīng)維護所有網(wǎng)絡(luò)設(shè)備的物理連接情況，控制和管理網(wǎng)絡(luò)接口的使用。

第七條 網(wǎng)絡(luò)管理員應(yīng)監(jiān)控網(wǎng)絡(luò)的運行狀況，發(fā)現(xiàn)影響較大的網(wǎng)絡(luò)故障時，必須及時向XXXXX信息中心報告。

第八條 通信鏈路及帶寬資源管理應(yīng)當(dāng)遵循合理分配、高效使用的原則，禁止使用網(wǎng)絡(luò)傳送非業(yè)務(wù)需要的內(nèi)容。

第九條 未經(jīng)允許，網(wǎng)絡(luò)中嚴(yán)禁隨意使用無線網(wǎng)絡(luò)通訊設(shè)備進行訪問。

第十條 未經(jīng)允許，任何計算機、網(wǎng)絡(luò)設(shè)備、安全設(shè)備不允許隨意接入網(wǎng)絡(luò)中。

第十一條 外部人員在接入互聯(lián)網(wǎng)時，應(yīng)經(jīng)過部門領(lǐng)導(dǎo)的審核審批后才可接入，同時要指定IP地址并進行記錄,根據(jù)《人員安全管理規(guī)定》進行管理。

第十二條 應(yīng)對網(wǎng)絡(luò)區(qū)域中的非法訪問部署檢測和審計措施，能夠做到安全事件可監(jiān)控、可追蹤和可審計。

第十三條 對于網(wǎng)絡(luò)中重要的網(wǎng)絡(luò)設(shè)備、安全設(shè)備應(yīng)開啟審計功能，記錄對于設(shè)備配置變更的操作。

第十四條 網(wǎng)絡(luò)安全管理應(yīng)建立必要的安全技術(shù)措施確保網(wǎng)絡(luò)的統(tǒng)一管理，包括信息資產(chǎn)管理、網(wǎng)絡(luò)拓?fù)涔芾?、信息資源管理、網(wǎng)絡(luò)異常流量管理、安全事件監(jiān)控管理、安全策略管理、安全預(yù)警管理等網(wǎng)絡(luò)安全管理內(nèi)容。

第十五條 應(yīng)根據(jù)不同的業(yè)務(wù)安全等級合理劃分網(wǎng)絡(luò)安全域，安全域間應(yīng)采取邏輯隔離措施，根據(jù)業(yè)務(wù)需要僅開放必要的網(wǎng)絡(luò)訪問端口和服務(wù)，區(qū)域和邊界的訪問控制策略應(yīng)根據(jù)業(yè)務(wù)需要進行設(shè)置。

第十六條 關(guān)鍵業(yè)務(wù)應(yīng)用和網(wǎng)絡(luò)訪問應(yīng)使用靜態(tài)路由，如果使用動態(tài)路由，應(yīng)啟用路由協(xié)議的安全認(rèn)證機制，并控制路由信息的廣播范圍。

第十七條 干路和核心的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、網(wǎng)絡(luò)鏈路應(yīng)建立冗余備份機制，如果出現(xiàn)全網(wǎng)安全事件應(yīng)根據(jù)《應(yīng)急處理預(yù)案》進行應(yīng)急響應(yīng)。

第三章 操作系統(tǒng)安全管理

第十八條 對于每個管理員建立單獨的用戶賬號，特別要區(qū)分普通用戶賬戶號和管理員賬號，賬號不得共享。

第十九條 操作系統(tǒng)中應(yīng)限制登錄和認(rèn)證的次數(shù)，避免外界嘗試登錄和暴力破解的安全風(fēng)險。

第二十條 操作系統(tǒng)的安裝須遵從最小化安裝原則，僅僅安裝并運行必須的系統(tǒng)服務(wù)和應(yīng)用程序；

第二十一條 各應(yīng)用系統(tǒng)主管在按規(guī)定安裝各類軟件時遵從最小化安裝原則，關(guān)閉和卸載與辦公和業(yè)務(wù)無關(guān)的功能和服務(wù)。

第二十二條 運行業(yè)務(wù)應(yīng)用系統(tǒng)時，要使用保證應(yīng)用系統(tǒng)正常運行的最小賬戶權(quán)限，原則上禁止使用最高權(quán)限賬號。

第二十三條 為了能夠發(fā)現(xiàn)和跟蹤系統(tǒng)中發(fā)生的各種可疑事件，需要啟用安全審計功能，以日志的形式記錄用戶登錄系統(tǒng)、文件訪問操作、賬戶修改等行為的過程和結(jié)果信息，做到發(fā)生可疑事件時有據(jù)可查。

第四章 用戶訪問授權(quán)管理

第二十四條 XXXXX各系統(tǒng)應(yīng)根據(jù)不同角色確定不同的用戶賬號，賬號至少分為以下角色：

（一） 系統(tǒng)管理員：負(fù)責(zé)維護系統(tǒng)的管理員，一般具有超級用戶權(quán)限；

（二） 普通用戶：訪問系統(tǒng)的普通用戶，一般只具有相應(yīng)訪問內(nèi)容和操作的最小權(quán)限；

（三） 第三方人員：臨時或長期進行系統(tǒng)維護的非XXXXX內(nèi)部人員，根據(jù)第三方人員的維護范圍確定其使用權(quán)限；

（四） 系統(tǒng)安全管理員：XXXXX進行安全審計的人員，具有能夠查看系統(tǒng)的日志和審計信息。

第二十五條 XXXXX各系統(tǒng)應(yīng)根據(jù)“最小授權(quán)”的原則設(shè)定賬戶訪問權(quán)限，控制用戶僅能夠訪問到工作需要的信息。

第二十六條 應(yīng)根據(jù)XXXXX要求和員工崗位來創(chuàng)建、變更和撤銷用戶的賬號及權(quán)限，并定期對用戶賬號和權(quán)限進行監(jiān)督、檢查。

第二十七條 各系統(tǒng)的賬號能標(biāo)識系統(tǒng)訪問的不同角色，并盡量避免使用系統(tǒng)默認(rèn)賬號。

第二十八條 應(yīng)避免系統(tǒng)中存在多余、無用和測試賬號，確保服務(wù)器中所有的操作系統(tǒng)賬號能夠唯一標(biāo)識操作人員。

第二十九條 系統(tǒng)安全管理員應(yīng)當(dāng)對系統(tǒng)中存在的賬號進行定期審計，系統(tǒng)中不能存在無用或匿名賬號。

第三十條 各系統(tǒng)應(yīng)該設(shè)置審計用戶的權(quán)限，審計用戶應(yīng)當(dāng)具備比較完整的讀權(quán)限，審計用戶應(yīng)當(dāng)能夠讀取系統(tǒng)關(guān)鍵文件，檢查系統(tǒng)設(shè)置、系統(tǒng)日志等信息。

第三十一條 各系統(tǒng)應(yīng)《人員安全管理規(guī)定》的要求限制第三方人員的訪問權(quán)限，對第三方的訪問進行定期的檢查和審計。

第五章 密碼管理

第三十二條 XXXXX設(shè)備及系統(tǒng)的密碼的設(shè)置至少符合以下要求：

（一） 長度大于8位；

（二） 大小寫字母、數(shù)字，以及特殊字符混合使用；

（三） 不是任何語言的單詞；

（四） 不能使用缺省設(shè)置的密碼。

第三十三條 賬號密碼至少應(yīng)該保證每三個月?lián)Q一次，包括：UNIX/Linux系統(tǒng)root用戶的密碼、網(wǎng)絡(luò)設(shè)備的enable密碼、Windows系統(tǒng)Administrator用戶的密碼，以及應(yīng)用系統(tǒng)的后臺管理用戶密碼等。

第三十四條 系統(tǒng)須強制指定密碼的策略，包括密碼的最短有效期、最長有效期、最短長度、復(fù)雜性等。

第三十五條 密碼不能以明文的方式通過電子郵件或者其它網(wǎng)絡(luò)傳輸方式進行傳輸。

第三十六條 不得將密碼告訴與該工作無關(guān)的人員，如果第三方系統(tǒng)維護人員需要登錄系統(tǒng)，系統(tǒng)管理員為其設(shè)置臨時密碼，完成工作后必須立刻修改密碼；

第三十七條 系統(tǒng)管理員不能共享超級用戶的密碼，應(yīng)采用組策略控制超級用戶的訪問。

第三十八條 除了系統(tǒng)管理員外，一般用戶不能改變其它用戶的密碼。

第三十九條 當(dāng)密碼使用期滿時，被其他人知悉或認(rèn)為密碼不保密時，網(wǎng)絡(luò)管理人員可按照密碼更改程序變換密碼。

第四十條 所有用戶嚴(yán)禁將密碼貼在終端上，輸入的密碼不應(yīng)顯示在顯示屏幕上，嚴(yán)禁隨意丟棄記載有用戶名密碼的紙條等媒介物，不準(zhǔn)用電話、電子郵件等告訴密碼。

第四十一條 對于系統(tǒng)重要性高、資產(chǎn)價值高、威脅可能性大可以使用強度更高的認(rèn)證機制，例如采用雙因素認(rèn)證等。

第六章 防病毒管理

第四十二條 信息中心統(tǒng)一規(guī)劃、統(tǒng)一部署具有國家許可的正版計算機防病毒系統(tǒng)軟件。所有服務(wù)器和終端必須安裝XXXXX配發(fā)的計算機防病毒軟件，否則不允許連入網(wǎng)絡(luò)和處理工作。

第四十三條 所有的服務(wù)器和計算機終端應(yīng)安裝XXXXX要求的網(wǎng)絡(luò)防病毒軟件，并對安裝情況做相應(yīng)記錄，使用各種介質(zhì)復(fù)制或者從網(wǎng)絡(luò)上下載文件到計算機上，應(yīng)首先進行病毒查殺。

第四十四條 應(yīng)使用XXXXX下發(fā)的正版軟件，禁止隨意安裝軟件，防止其中可能存在惡意軟件。

第四十五條 信息安全管理員對防病毒軟件系統(tǒng)進行監(jiān)控，并記錄病毒查殺情況。安全管理員負(fù)責(zé)每周對防病毒系統(tǒng)的病毒庫進行兩次升級，升級完成后進行記錄。

第四十六條 XXXXX服務(wù)器、桌面計算機及便攜式計算機一旦發(fā)現(xiàn)被計算機病毒感染，應(yīng)先將計算機與網(wǎng)絡(luò)隔離，確保病毒庫已更新至最新版本,并及時進行病毒查殺處理；當(dāng)情況嚴(yán)重且無法在規(guī)定時限內(nèi)緊急恢復(fù)或有效控制時，應(yīng)按照《信息安全事件應(yīng)急管理規(guī)定》及時上報啟動相應(yīng)應(yīng)急響應(yīng)預(yù)案，應(yīng)注意保留防病毒系統(tǒng)記錄。

第七章 系統(tǒng)補丁管理

第四十七條 應(yīng)及時跟進各產(chǎn)品的安全漏洞信息和產(chǎn)品廠商發(fā)布的安全補丁信息。

第四十八條 安全補丁根據(jù)其對應(yīng)漏洞的嚴(yán)重程度分為三個級別：緊急補丁、重要補丁和一般補??；緊急補丁必須在15天內(nèi)完成加載，重要補丁必須在一個月內(nèi)完成加載，一般補丁要求六個月內(nèi)完成加載，對于不能加載補丁的情況，一定要采取其他的有效安全控制措施。

第四十九條 必須從各產(chǎn)品廠商官方渠道獲取安全補丁，補丁加載應(yīng)制定嚴(yán)格的計劃。

第五十條 補丁加載之前必須經(jīng)過嚴(yán)格的測試，測試環(huán)境與生產(chǎn)環(huán)境盡可能一致，嚴(yán)禁未經(jīng)測試直接在生產(chǎn)系統(tǒng)上加載補丁。

第五十一條 補丁測試的內(nèi)容包括補丁安裝測試、補丁功能性測試、補丁兼容性測試和補丁回退測試：

（一） 安裝測試主要測試補丁安裝過程是否正確無誤，補丁安裝后系統(tǒng)是否正常啟動。

（二） 補丁功能性測試主要測試補丁是否對安全漏洞進行了修補。

（三） 補丁兼容性測試主要測試補丁加載后是否對應(yīng)用系統(tǒng)帶來影響，業(yè)務(wù)是否可以正常運行。

（四） 補丁回退測試主要包括補丁卸載測試、系統(tǒng)還原測試。

第五十二條 補丁加載必須安排在業(yè)務(wù)比較空閑的時間進行，對補丁加載的操作過程必須按照計劃嚴(yán)格操作，并詳細(xì)記錄。

第五十三條 系統(tǒng)管理員對加載補丁后的系統(tǒng)必須按照計劃和驗證方案進行的測試驗證，確保補丁加載后不影響系統(tǒng)的性能，確保各項業(yè)務(wù)操作正常。

第五十四條 補丁加載后的一周內(nèi)，系統(tǒng)管理員必須對系統(tǒng)性能和事件進行密切的監(jiān)控。

第五十五條 完成補丁加載后系統(tǒng)管理員應(yīng)將補丁安裝情況通知系統(tǒng)安全管理員。

第八章 介質(zhì)管理

第五十六條 本規(guī)定中的存儲介質(zhì)是指設(shè)備內(nèi)或者獨立存放的磁介質(zhì)、光介質(zhì)及其它記錄載體（如計算機硬盤、光盤、移動硬盤、U盤、軟盤和錄音帶、錄像帶等）。

第五十七條 對存儲介質(zhì)應(yīng)根據(jù)信息中心機房信息資產(chǎn)登記記錄進行統(tǒng)一的登記和記錄，介質(zhì)的使用、轉(zhuǎn)移、維修和銷毀必須嚴(yán)格管理。

第五十八條 存儲介質(zhì)應(yīng)貼好標(biāo)簽進行標(biāo)識，標(biāo)識標(biāo)志必須貼在表面易于辨識的地方，應(yīng)標(biāo)注介質(zhì)編號、介質(zhì)有效期截止日、日期、操作人員、環(huán)境名稱、內(nèi)容、用途和數(shù)據(jù)保存時間等信息。

第五十九條 所有含有內(nèi)部信息的存儲介質(zhì)對外部人員訪問是受控的，嚴(yán)禁任何人帶離工作場所，如外出進行更換或者維修的損壞介質(zhì)，需要簽訂保密協(xié)議。

第六十條 存儲介質(zhì)應(yīng)保存在安全的物理環(huán)境下（如：防火、電力、空調(diào)、濕度、靜電及其他環(huán)境保護措施），對于存放重要數(shù)據(jù)的存儲介質(zhì)應(yīng)當(dāng)在異地進行備份。

第六十一條 應(yīng)根據(jù)存儲介質(zhì)的使用壽命，制定數(shù)據(jù)恢復(fù)測試計劃，以避免數(shù)據(jù)丟失。

第六十二條 對含有重要數(shù)據(jù)的存儲介質(zhì)不再使用時，必須執(zhí)行重復(fù)寫操作防止數(shù)據(jù)恢復(fù)。

第六十三條 對于磁帶、光盤、紙質(zhì)等存儲介質(zhì)進行報廢處理時，應(yīng)采取切碎或者燒毀的方式進行。

第九章 信息交換

第六十四條 防止XXXXX與外部單位間或者XXXXX內(nèi)部交換信息時信息受損、修改或者濫用，做到對信息交換的有效控制，確保信息交換的有效性和安全性；

第六十五條 信息交換方式包括傳輸介質(zhì)、電子郵件、OA辦公系統(tǒng)、電話、傳真及其他信息交換形式；

第六十六條 通過信息系統(tǒng)進行自動信息交換或者數(shù)據(jù)傳送時，必須選擇安全的通訊協(xié)議，要在信息系統(tǒng)間進行認(rèn)證確認(rèn)發(fā)送方和接受方，并對傳輸?shù)臄?shù)據(jù)進行完整性驗證，對于敏感數(shù)據(jù)的傳輸要采用加密措施。

第六十七條 在電子郵件中不得明文發(fā)送XXXXX敏感信息，可通過對信息加密再傳送的方法實現(xiàn)，明確要求不能在網(wǎng)絡(luò)中明文傳送密碼信息。

第六十八條 在使用辦公系統(tǒng)時，應(yīng)控制業(yè)務(wù)信息的擴散范圍，禁止非XXXXX人員訪問辦公系統(tǒng)。

第六十九條 通過傳真發(fā)送重要信息時，要確保收件人號碼正確，并先通知收件人接收后再正式開始發(fā)送，發(fā)送后并立即與接受方確認(rèn)。

第七十條 傳送物理介質(zhì)（如紙質(zhì)、光盤、移動介質(zhì)）時，要使用可靠的傳輸工具或投遞人，以保證傳送過程的安全，并在提交時識別投遞人身份，包裝外觀必須采取非透明材料，并且包裝本身應(yīng)能夠保證介質(zhì)本身的物理安全，需要的時候采取特殊的控制措施保護敏感數(shù)據(jù)免遭非法公開或修改。

第十章 安全監(jiān)控和審計管理

第七十一條 各個網(wǎng)絡(luò)設(shè)備、服務(wù)器及服務(wù)應(yīng)根據(jù)實際情況調(diào)整時間的一致性。

第七十二條 應(yīng)監(jiān)控網(wǎng)絡(luò)、主機、數(shù)據(jù)庫及應(yīng)用系統(tǒng)的運行狀態(tài)，并定期對日志信息進行審計，如發(fā)現(xiàn)存在錯誤，或可疑日志信息，并將該信息詳細(xì)記錄并通知系統(tǒng)安全管理員進行詳細(xì)調(diào)查。

第七十三條 應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量、網(wǎng)絡(luò)基礎(chǔ)服務(wù)等信息進行監(jiān)控。

第七十四條 應(yīng)對關(guān)鍵主機的重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等重要安全相關(guān)事件進行監(jiān)控。

第七十五條 應(yīng)對數(shù)據(jù)庫的操作進行監(jiān)控，監(jiān)控內(nèi)容包括：數(shù)據(jù)庫系統(tǒng)重啟及關(guān)閉信息、記錄數(shù)據(jù)系統(tǒng)用戶訪問、數(shù)據(jù)庫系統(tǒng)運行狀態(tài)（提示、出錯信息）、記錄數(shù)據(jù)庫文件修改/刪除/更新等信息。

第七十六條 應(yīng)對應(yīng)用系統(tǒng)的運行狀況進行監(jiān)控，包括：應(yīng)用系統(tǒng)的啟動關(guān)閉、用戶訪問行為、異常出錯提示、應(yīng)用系統(tǒng)的其它信息。

第七十七條 應(yīng)定期審計網(wǎng)絡(luò)系統(tǒng)、主機系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和應(yīng)用系統(tǒng)的日志信息，發(fā)現(xiàn)異常行為信息和可能的安全事件。

第十一章 數(shù)據(jù)備份和恢復(fù)管理

第七十八條 數(shù)據(jù)備份包括各信息系統(tǒng)配置備份、操作系統(tǒng)層備份、數(shù)據(jù)庫層備份和應(yīng)用系統(tǒng)層備份等。

第七十九條 操作系統(tǒng)層備份的范圍包括操作系統(tǒng)和系統(tǒng)運行所產(chǎn)生的登錄和操作日志文件。

第八十條 數(shù)據(jù)庫備份的范圍包括數(shù)據(jù)庫數(shù)據(jù)文件和數(shù)據(jù)庫日志文件（包括歸檔日志文件、告警日志文件和跟蹤文件）；

第八十一條 應(yīng)用系統(tǒng)備份的范圍包括程序文件、并發(fā)日志和并發(fā)輸出文件。

第八十二條 應(yīng)用系統(tǒng)和數(shù)據(jù)庫備份應(yīng)備份至磁盤陣列設(shè)備中，并每日進行增量備份，每月進行完整備份，備份信息至少應(yīng)保存三年。

第八十三條 在對網(wǎng)絡(luò)及信息系統(tǒng)配置變更、數(shù)據(jù)轉(zhuǎn)換前要進行數(shù)據(jù)備份。

第八十四條 應(yīng)對備份結(jié)果進行檢查，檢查備份日志，確認(rèn)備份有效性，進行相應(yīng)記錄并簽字確認(rèn)。

第八十五條 如果發(fā)現(xiàn)備份失敗，系統(tǒng)管理員須檢查失敗原因，編寫故障報告，并盡快安排重新備份。

第八十六條 備份完成后如需保存?zhèn)浞萁橘|(zhì)，系統(tǒng)管理員須取出備份介質(zhì)，在標(biāo)簽上按要求記錄備份信息，并移交備份介質(zhì)管理員。

第八十七條 對于關(guān)鍵的備份數(shù)據(jù)，應(yīng)建立異地數(shù)據(jù)備份，異地備份介質(zhì)的存放環(huán)境和管理要求與本地相一致。

第八十八條 數(shù)據(jù)恢復(fù)測試每年至少進行一次，數(shù)據(jù)恢復(fù)測試不得影響XXXXX業(yè)務(wù)系統(tǒng)、生產(chǎn)環(huán)境的正常運行。

第八十九條 數(shù)據(jù)中心管理員在進行數(shù)據(jù)恢復(fù)測試時，須確認(rèn)備份數(shù)據(jù)的可讀性和完整性，以及恢復(fù)方案的可執(zhí)行性，并填寫測試記錄，編寫恢復(fù)性測試報告，簽字確認(rèn)并存檔；

第九十條 如果數(shù)據(jù)恢復(fù)測試失敗，數(shù)據(jù)中心管理員須檢查失敗原因，編寫故障報告，并盡快安排重新測試。

第九十一條 完成數(shù)據(jù)恢復(fù)測試后，數(shù)據(jù)中心管理員須及時清除測試環(huán)境中的生產(chǎn)數(shù)據(jù)，并歸還測試用備份介質(zhì)。

第十二章 日常運行維護管理

第九十二條 應(yīng)對信息資產(chǎn)指定維護管理人員，并形成日常工作計劃和時間安排；

第九十三條 在指定運維管理人員時，應(yīng)遵從“責(zé)任分離”原則，例如對于操作的授權(quán)和執(zhí)行職責(zé)相分離，如果難于把責(zé)任分離，應(yīng)當(dāng)考慮采取其它的管理措施，例如：活動監(jiān)測、審查追蹤和管理層監(jiān)督。

第九十四條 應(yīng)對信息資產(chǎn)的操作和日常維護等活動流程形成規(guī)范化文件（如操作手冊），并經(jīng)過管理層授權(quán)；

第九十五條 在日常運行維護管理過程中需要對所管理的系統(tǒng)進行變更操作時，應(yīng)當(dāng)根據(jù)《XXXXX信息安全變更管理規(guī)定》進行。

第九十六條 在日常運行維護管理過程中，出現(xiàn)緊急安全事件時時，應(yīng)根據(jù)《應(yīng)急預(yù)案管理規(guī)定》相關(guān)要求和流程，啟動相應(yīng)的應(yīng)急響應(yīng)預(yù)案。

第十三章 監(jiān)督檢查和獎懲

第九十七條 安全管理員應(yīng)每季度進行安全檢查，檢查內(nèi)容包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況。

第九十八條 XXXXX信息中心主管領(lǐng)導(dǎo)應(yīng)每年進行一次全面的安全檢查，檢查內(nèi)容至少包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等。根據(jù)全面安全檢查的結(jié)果，匯總安全檢查數(shù)據(jù)，形成安全檢查報告，并對安全檢查結(jié)果進行通報。

第九十九條 XXXXX信息安全領(lǐng)導(dǎo)小組應(yīng)每兩年對信息系統(tǒng)安全管理規(guī)定進行審核一次，確保管理規(guī)定和XXXXX總體安全策略相適應(yīng)。

第一百條 對于認(rèn)真執(zhí)行信息系統(tǒng)安全管理規(guī)定的組織和人員，并取得了較好成績，XXXXX應(yīng)給予必要的鼓勵和宣傳。

第一百〇一條 對于違反XXXXX信息系統(tǒng)安全管理規(guī)定的組織和人員，根據(jù)對XXXXX造成業(yè)務(wù)損害程度，給予必要的懲罰。

第十四章 附則

第一百〇二條 本規(guī)定由XXXXX信息中心制定，并負(fù)責(zé)解釋和修訂。

第一百〇三條 本規(guī)定自發(fā)布之日起執(zhí)行。

上海奔銘智能科技有限公司，是一家專業(yè)信息技術(shù)服務(wù)公司，主要從事企事業(yè)單位IT外包、計算機軟硬件產(chǎn)品代理銷售；智能化建設(shè)：消防工程、安防監(jiān)控、門禁考勤、網(wǎng)絡(luò)綜合布線、電話程控交換、入侵報警、視頻會議、公共廣播、智能停車等專業(yè)化的一站式服務(wù)商——【咨詢熱線：18818116008】。