网站信息安全管理制度条例（通用10篇）

相关推荐

网站信息安全管理制度条例（通用10篇）

　　在生活中，很多情况下我们都会接触到制度，制度是各种行政法规、章程、制度、公约的总称。那么制度的格式，你掌握了吗？以下是小编收集整理的网站信息安全管理制度条例（通用10篇），欢迎大家借鉴与参考，希望对大家有所帮助。

网站信息安全管理制度条例（通用10篇）

　　网站信息安全管理制度条例 1

　　网络与信息的安全不仅关系到公司业务的开展，还将影响到国家的安全、社会的稳定。我公司将认真开展网络与信息安全工作，通过检查进一步明确安全责任，建立健全的管理制度，落实技术防范措施，保证必要的经费和条件，对有毒有害的信息进行过滤、对用户信息进行保密，确保网络与信息安全。

　　一、网站运行安全保障措施

　　1、网站服务器和其他计算机之间设置防火墙,做好安全策略,拒绝外来的恶意攻击，保障网站正常运行。

　　2、在网站的服务器及工作站上均安装了相应的防病毒软件，对计算机病毒、有害电子邮件有整套的防范措施，防止有害信息对网站系统的.干扰和破坏。

　　3、做好访问日志的留存。网站具有保存六个月以上的系统运行日志和用户使用日志记录功能，内容包括IP地址及使用情况，主页维护者、对应的IP地址情况等。

　　4、交互式栏目具备有IP地址、身份登记和识别确认功能，对非法贴子或留言能做到及时删除并进行重要信息向相关部门汇报。

　　5、网站信息服务系统建立多机备份机制，一旦主系统遇到故障或受到攻击导致不能正常运行，可以在最短的时间内替换主系统提供服务。

　　6、关闭网站系统中暂不使用的服务功能,及相关端口,并及时用补丁修复系统漏洞,定期查杀病毒。

　　7、服务器平时处于锁定状态,并保管好登录密码;后台管理界面设置超级用户名及密码,并绑定IP,以防他人登入。

　　8、网站提供集中式权限管理，针对不同的应用系统、终端、操作人员，由网站系统管理员设置共享数据库信息的访问权限，并设置相应的密码及口令。不同的操作人员设定不同的用户名，且定期更换，严禁操作人员泄漏自己的口令。对操作人员的权限严格按照岗位职责设定，并由网站系统管理员定期检查操作人员权限。

　　9、公司机房按照电信机房标准建设，内有必备的独立UPS不间断电源，能定期进行电力、防火、防潮、防磁和防鼠检查。

　　二、信息安全保密管理制度

　　1、我公司建立了健全的信息安全保密管理制度，实现信息安全保密责任制，切实负起确保网络与信息安全保密的责任。严格按照“谁主管、谁负责”、“谁主办、谁负责”的原则，落实责任制，明确责任人和职责，细化工作措施和流程，建立完善管理制度和实施办法，确保使用网络和提供信息服务的安全。

　　2、网站信息内容更新全部由网站工作人员完成或管理,工作人员素质高、专业水平好,有强烈的责任心和责任感。网站相关信息发布之前有一定的审核程序。工作人员采集信息将严格遵守国家的有关法律、法规和相关规定。严禁通过我校网站散布《互联网信息管理办法》等相关法律法规明令禁止的信息(即“九不准”)，一经发现，立即删除。

　　3、遵守对网站服务信息监视，保存、清除和备份的制度。开展对网络有害信息的清理整治工作，对违法犯罪案件，报告并协助公安机关查处。

　　4、所有信息都及时做备份。按照国家有关规定，网站将保存6个月内系统运行日志和用户使用日志记录。

　　5、制定并遵守安全教育和培训制度。加大宣传教育力度，增强用户网络安全意识，自觉遵守互联网管理有关法律、法规，不泄密、不制作和传播有害信息，不链接有害信息或网页。

　　三、用户信息安全管理制度

　　1、我公司郑重承诺尊重并保护用户的个人隐私，除了在与用户签署的隐私政策和网站服务条款以及其他公布的准则规定的情况下，未经用户授权我校不会随意公布与用户个人身份有关的资料，除非有法律或程序要求。

　　2、严格遵守网站用户帐号使用登记和操作权限管理制度，对用户信息专人管理，严格保密，未经允许不得向他人泄露。

　　公司定期对相关人员进行网络信息安全培训并进行考核，使相关人员能够充分认识到网络安全的重要性，严格遵守相应规章制度。

　　我公司将严格执行本规章制度，并形成规范化管理，建立健全信息网络安全小组。安全小组由单位领导负责，网络技术、客户服务等部门参加，并确定至少一名安全负责人作为突发事件处理的联系人。

　　网站信息安全管理制度条例 2

　　第一章总则

　　第一条为加强区行政服务中心网站管理，确保网站的安全，加强网站信息资源建设，根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》、《中华人民共和国政府信息公开条例》等有关规定，制定本制度。

　　第二章网站信息保障措施

　　第二条根据政务信息公开要求，及时在网站上发布工作中产生的不涉密政务信息与新闻。

　　第三条中心各科室指派专人担任信息员，负责采集、编录本科室的信息并向网站提供。

　　第四条信息员采集的信息经科室负责人审核后方可向网站提供，信息内容按“谁提供，谁负责”的原则进行责任认定。

　　第五条网上发布的文件、数据、文字及图像等信息统一由网站管理员存档管理。

　　第三章安全管理制度

　　第六条网站安全管理由信息技术科负责。

　　第七条网站管理员应当对重要文件、数据及应用系统作定期备份，以便应急恢复。

　　第八条应当设置网站后台管理及上传的登录口令。口令的位数不应少于8位，严禁将个人登录帐号和密码泄露给他人使用。

　　第九条网站和机房应建立严格的门禁制度和日常管理制度，机房及机房内所有设备必须由专人负责管理，每日应有机房值班记录和主要设备运行情况的记录。外来系统维护人员进入机房，应由技术人员陪同并对工作内容做详细记录。

　　第十条应及时对网站管理及服务器系统漏洞进行定期检测，并根据检测结果采取相应的措施。要及时对操作系统、数据库等系统软件进行补丁包升级或者版本升级，以防黑客利用系统漏洞和弱点非法入侵。

　　第十一条应当充分估计各种突发事件的可能性，做好应急响应方案。同时，要与岗位责任制度相结合，保证应急响应方案的及时实施，将损失降到最低程度。

　　第十二条网站在发生安全突发事件后，除在第一时间组织人员进行解决外，应当及时向中心相关负责人报告，由其给予及时的指导和必要的技术支持，并视安全突发事件的严重程度，及时协调公安及网络服务商等单位进行处理。

　　第十三条应当制定工作人员管理制度，明确工作人员的职责和权限，通过定期开展业务培训，提高人员素质，同时，规范人员调离制度，做好保密义务承诺、资料退还、系统口令更换等必要的安全保密工作。

　　第四章网站应急处置预案

　　第十四条网站、网页出现非法言论时的紧急措施：

　　1、当发现网站或接到举报出现非法信息时，网站管理员应立即向信息技术科负责人通报情况;

　　2、信息技术技术科负责人在接到网站管理员报告后及时组织安排技术人员进行处理;

　　3、技术人员在接到通知后立即清理非法信息，强化安全防范措施，将网站网页重新投入使用;

　　4、网站管理员应妥善保存有关记录、日志或审计记录。

　　第十五条网站遭到黑客攻击时的.紧急处置措施：

　　1、当有网页内容被篡改，或通过入侵检测系统发现有黑客正在进行攻击时，网站管理员首先应将被攻击的服务器等设备从网络中隔离出来，同时向信息技术科负责人汇报情况;

　　2、信息技术科负责人在接到网站管理员报告后及时组织安排技术人员进行处理;

　　3、技术人员立即进行被破坏系统的恢复与重建工作;

　　4、网站管理员应妥善保存有关记录、日志或审计记录。

　　第十六条病毒安全紧急处置措施：

　　1、当网站管理员发现计算机感染有病毒后，应立即将该机从网络上隔离出来;

　　2、对该设备的硬盘进行数据备份;

　　3、启用病毒软件对该机进行杀毒处理，同时利用病毒检测软件对其他机器进行病毒扫描和清除工作;

　　4、如发现反病毒软件无法清除该病毒，应立即向技术人员报告;

　　5、经技术人员确认无法查杀该病毒后，应作好记录，同时立即向信息技术科负责人报告，并迅速研究解决问题;

　　6、如果感染病毒的设备是服务器或者主机系统，经负责人同意，立即告知各相关单位做好相应的病毒清查工作。

　　第十七条软件系统遭受破坏性攻击的紧急处置措施：

　　1、一旦软件遭到破坏性攻击，网站管理员应立即向技术人员报告，并将系统停止运行;

　　2、技术人员立即进行软件系统和数据的恢复;

　　3、网站管理员应妥善保存有关记录、日志或审计记录。

　　第十八条数据库安全紧急处置措施：

　　1、一旦数据库崩溃，网站管理员应立即向负责人与技术人员报告，经负责人同意后通知各科室暂缓上传上报数据;

　　2、技术人员对数据库系统进行维护，如无法正常维护，采取数据库备份恢复的办法;

　　3、如果备份均无法恢复，应立即向有关厂商请求紧急技术支援。

　　第十九条设备安全紧急处置措施：

　　1、小型机、服务器等关键设备损坏后，网站管理员应立即向负责人报告并通知技术人员;

　　2、技术人员应立即查明原因，具有备份服务器的要马上启用备份服务器提供网站服务;

　　3、如果能够自行处理，应立即用备件替换受损部件;

　　4、如果不能自行处理的，立即与设备提供商联系，安排维修人员前来维修。

　　第五章附则

　　第二十条本制度从发布之日起开始实行。

　　网站信息安全管理制度条例 3

　　1、定期对相关人员进行网络信息安全培训并进行考核，使网站相关管理人员充分认识到网络安全的重要性，严格遵守相应规章制度。

　　2、尊重并保护用户的个人隐私，除了在与用户签署的隐私保护协议和网站服务条款以及其他公布的准则规定的情况下，未经用户授权不随意公布和泄露用户个人身份信息。

　　3、对用户的个人信息严格保密，并承诺未经用户授权，不得编辑或透露其个人信息及保存在本网站中的非公开内容，但下列情况除外：

　　①违反相关法律法规或本网站服务协议规定；

　　②按照主管部门的要求，有必要向相关法律部门提供备案的内容；

　　③因维护社会个体和公众的权利、财产或人身安全的需要；

　　④被侵害的第三人提出合法的权利主张；

　　⑤为维护用户及社会公共利益、本网站的合法权益的需要；

　　⑥事先获得用户的明确授权或其它符合需要公开的相关要求。

　　4、用户应当严格遵守网站用户帐号使用登记和操作权限管理制度，并对自己的用户账号、密码妥善保管，定期或不定期修改登录密码，严格保密，严禁向他人泄露。

　　5、每个用户都要对其帐号中的`所有活动和事件负全责。用户可随时改变用户的密码和图标，也可以结束旧的帐号而重新申请注册一个新帐号。用户同意若发现任何非法使用用户帐号或安全漏洞的情况，有义务立即通告本网站。

　　6、如用户不慎泄露登陆账号和密码，应当及时与网站管理员联系，请求管理员及时锁定用户的操作权限，防止他人非法操作；在用户提供有效身份证明和有效凭据并审查核实后，重新设定密码恢复正常使用。

　　严格执行本规章制度，并形成规范化管理，并成立由单位负责人、其他部门负责人、信息管理主要技术人员组成的网络信息安全小组，并确定至少两名安全负责人作为突发事件处理的直接责任人。

　　网站信息安全管理制度条例 4

　　一、校园网的安全运行和所有网络设备的管理维护工作由学校网络管理中心负责。

　　二、除网络管理中心外，其他单位或个人不得以任何方式试图登陆校园网后台管理端，不得对服务器等设备进行修改、设置、删除等操作。

　　三、校园网对外发布信息的WEB服务器中的内容，必须经发布信息的学校部门负责人审核并签署意见后，交校办公室审核备案，由网络管理中心从技术上开通其对外的信息服务。

　　四、网络使用者不得利用各种网络设备或软件技术从事用户账户及口令的.侦听、盗用活动，该活动被认为是对校园网网络用户权益的侵犯。

　　五、严禁在校园网上使用来历不明及可能引发计算机病毒的软件。外来软件应使用经公安部门颁发了《计算机信息系统安全专用产品销售许可证》的杀毒软件检查、杀毒。

　　六、不得在校园网及其联网计算机上传送危害国家安全的信息(包括多媒体信息)、录阅传送淫秽、色情资料。

　　七、校园网的系统软件、应用软件及信息数据要实施保密措施。信息资源分不同的保密等级对学校各部门开放。

　　八、对校园网站内各交互栏目实现管理员24小时巡查制度，双休日、节假日，要有专人检查网络运行情况。

　　九、学校网络管理中心必须遵守国家公安部及省公安厅关于网络管理的各项法律、法规和有关技术规范。合理对系统进行安全配置，落实各项网络安全技术防护措施，完善系统定期维护更新措施，落实垃圾邮件、有害信息过滤、封堵技术措施，严格防范病毒、木马、黑客等网络攻击。

　　十、服务器系统及各类网络服务系统的系统日志、网络运行日志、用户使用日志等均应严格按照保留60天的要求设置，邮件服务器系统严禁使用匿名转发功能。

　　网站信息安全管理制度条例 5

　　为加强我校信息化岗位管理，保证校计算机信息系统安全，制定本制度。

　　第一条校信息化岗位管理遵循“谁主管谁负责、谁运行谁负责、谁公开谁负责”的原则，实行安全和保密管理工作责任制。岗位所在部门负责人作为第一责任人，负责其职责范围内的计算机信息系统安全和保密管理。

　　第二条本规定中的信息化岗位指承载校计算机信息系统建设、管理和维护的岗位，主要包括校办公室和校信息工作人员，以及负有信息安全和保密责任的信息安全员和兼职保密员。

　　第三条校信息化岗位安全和保密管理按照国家保密法和国家信息安全等级保护的要求进行。

　　第四条信息化岗位实行岗位职责分离制度，岗位操作权限严格受岗位职责限制。除非主管领导批准，信息化岗位人员不得打听、了解或参与职责以外的任何涉及岗位安全和保密的内容。

　　第五条信息化岗位人员应保管好自己的信息系统操作口令，不定期予以更换。严禁向他人泄露自己的信息系统操作口令。因工作需要必须告知他人的，应在使用完毕后即时更换口令。

　　第六条信息化岗位人员使用的台式和便携式计算机必须有密码保护措施，工作中离开岗位时计算机应置于屏幕保护状态。计算机无人使用时不得置于上网状态。

　　第七条非经主管领导批准，信息化岗位工作人员不得携带存有工作信息的便携式计算机外出。经主管领导批准携带便携式计算机外出的，应采取措施保证机内信息安全。携带外出的.便携式计算机禁止留存涉及国家秘密和工作秘密的内容。

　　第八条重要的信息化岗位休息日和节假日安排人员值班，重大事件期间应组织安排24小时值班。值班期间，重点监控提供公共服务的信息子系统（如网站）运行状况，发现异常按局信息安全应急预案处理，并即时向主管领导报告。

　　第九条办公室应组织开展经常性的保密教育培训，提高校机关工作人员，尤其是信息化岗位工作人员的计算机信息安全保密意识与技能。

　　第十条校办公室负责校计算机信息系统安全和保密管理情况的监督。为此，应不定期地组织专业技术人员对信息化岗位人员使用的台式和便携式计算机应进行安全检查，发现并排除病毒、木马等安全隐患。

　　第十一条信息化岗位工作人员离岗离职，按以下程序办理：

　　1、整理好涉及信息安全和保密的资料或文档，形成信息交接档案，移交给指定的工作交接人员；

　　2、逐项取消其拥有的信息系统访问授权；

　　3、收回其使用的计算机存储介质，包括光盘、U盘、移动硬盘等；

　　4、全部移交过程必须有完整的移交记录，经主管领导签字确认后生效。

　　未完成以上程序，信息化岗位工作人员不得办理离岗离职手续。第十二条对违反本规定的人员将责令限期整改。引发信息系统运行异常、工作信息丢失损坏等安全事故的，追究相关人员的行政责任；造成泄密事件的，根据国家相关保密法律法规进行查处。

　　网站信息安全管理制度条例 6

　　—、网站安全管理人员要加强工作责任心，认真履行职责，严格操作规程。

　　二、网站管理人员要按规定时间登录网站，进行管理。

　　三、网站安全管理人员必须认真处理网站数据。数据损坏后均需及时检查，如出现错误要立即改正；发现网络故障等问题要及时报告并采取相应措施。

　　四、网络安全管理人员要定期对设备进行检查、维护和保养，使其处于良好状态。

　　五、未经管理员批准，严禁私自使用网站设备为私人或其他部门服务。

　　六、服务器主要数据如数据库、系统日志等由专人及时进行备份。根据工作需要，网站服务器管理配备专业系统管理员—名，负责系统数据备份、系统安全检查，系统相关参数的配置与软件安装。

　　七、系统管理员有权管理各服务器的用户密码、用户权限、IP地址等技术参数及必要的服务软件进行安装与设置，其他管理员不得修改相关的系统配置信息；未经许可，其他管理人员不得私自在服务器上安装其他软件。

　　八、网络内各类服务器开设的帐户和口令为秘密信息，仅供系统管理员所拥有，系统管理员当对各服务器的密码进行保密，不得向任何单位和个人提供这些信息。

　　九、发现有害信息时，应当保留有关原始记录，并在二十四小时内向领导报告。

　　十、按照同家有关规定，删除本网络中含有有害信息内容的地址、目录或者关闭服务器。

　　十—、网站安全管理人员不得从事下列危害计算机信息网络安全的活动：

　　(—)未经允许，进入计算机信息网络或者使用计算机信息网络资源的

　　(二未经允许，对计算机信息网络功能进行删除、修改或者增加的：

　　(三)未经允许，对计算计信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的.：

　　(四)故意制作、传播计算机病毒等破坏性程序的；

　　(五)也危害七卜算机信息网络安全的。

　　十二、网站有关网络管理的口令为本中心信息网站重要机密，应定期或根据情况及时更新并保证不泄露。

　　十三、对于调离人员严格办理调离手续，交回所有钥匙及证什，退还全部技术手册、软件及其它相关资料。及时更新系统口令和相关机要锁，撤销其用过的所有账号，立即撤销其出入安全区域、接触敏感信息的授权。

　　十四、违反本规定造成重大事故，将追究直接负责人和单位负责人的责任并给予行政处分：构成犯罪的，依法追究刑事责任。

　　网站信息安全管理制度条例 7

　　一、定期安排本单位计算机网站安全管理人员参加计算机网络安全教育，自觉遵守和维护《计算机信息网络国际互联网安全保护管理办法》，加强其计算机网络安全概念。

　　二、网站安全管理人员必须接受安全培训，取得合格证书后，持证上岗，并定期参加关于计算机网络的安全培训，加强对有害、反动信息的识别能力，提高网络安全防范能力。

　　三、定期组织安全员认真学习《计算机信息网络国际互联网安全保护管理办法》、《网络安全管理制度》及《中华人民共和国计算机信息系统安全保护条例》，提高工作人员的维护网络安全的`警惕性和自觉性。

　　四、对教职工进行培训，使他们自觉遵守和维护《计算机信息网络国际互联网安全保护管理办法》，杜绝发布违犯《计算机信息网络国际互联网安全保护管理办法》的信息。

　　五、有必要时邀请公安机关有关人员进行信息安全方面的培训，加强对有害信息监控，提高防犯能力。

　　网站信息安全管理制度条例 8

　　为保证我校网站的正常运行，防止各类病毒、黑客软件对我校网站和相关设备构成的`威胁，最大限度的减少此类损失，特制定本制度：

　　1.校各处室、年级办公室接入的计算机，应安装防病毒软件，并对软件定期升级。

　　2.校各处室、年级办公室接入的计算机，严禁安装病毒程序、黑客软件，严禁攻击其它联网主机，严禁散布黑客软件和病毒。

　　3.网络中心通过学校网站不定期地发布病毒信息公告，检测校园网内病毒和安全漏洞，并采取必要措施加以防治。

　　4.学校网络信息管理人员应积极配合网络中心做好网络安全的预防与管理。

　　5.学校网站服务器管理人员应按照国家安全部门和学校的相关规定做好系统日志备份和管理，系统日志应至少保留半年。

　　6.学校所有部门和个人用计算机，一旦发现有被攻击的现象，应保护好现场，即时向网络中心报告，不得破坏现场。

　　7.对于违反上述规定的单位和个人，将按国家的有关法律法规追究相应责任。

　　网站信息安全管理制度条例 9

　　一、总则

　　为了更好的确保xxxxx网站的安全稳定运行，合理、可靠、安全、高效地组织和管理xxxx网站，提高xxxx网站的服务质量，提高维护队伍的整体素质和水平，特制定本管理制度，作为维护和管理xxxx网站的依据。

　　二、范围

　　本制度的适用范围包括xxxx网站系统的物理资产（包括：网络设备，主机设备，安全设备，监控设备等）、软件资产（操作系统，数据库，应用程序等）、数据资产（业务数据、网络系统、主机数据，应用程序数据等）以及网站系统的技术人员等。

　　三、角色和责任

　　本手册适用于xxxx网站的网络维护人员、系统维护人员、信息安全员及安全审计员等角色阅读。本手册由信息管理处修改和维护。

　　四、网络安全维护管理制度

　　1. 网站系统的所有网络设备（包括交换机、路由器、防火墙、IDS以及其他网络设备）应由专职网络维护人员负责管理，定期检查设备的物理环境，并按照机房物理安全要求进行维护。

　　2. 网络维护人员

　　应对所有网络设备进行资产登记，登记记录上应该标明硬件型号，厂家，操作系统版本，已安装的补丁程序号，安装和升级的时间等内容。

　　3. 网络维护人员应至少每天1次，对所有网络设备进行检查，确保各设备都能正常工作。

　　4. 网络维护人员应制定网络设备用户账号的管理制度，对各个网络设备上拥有用户账号的人员、权限以及账号的认证和管理方式做出明确规定。

　　5. 网络维护人员应制订网络设备用户账号口令的管理策略，对口令的选取、组成、长度、保存、修改周期以及存储做出规定；禁止使用名字、姓氏、电话号码、生日等容易猜测的字符作为口令，也不应使用单个单词或命令作为口令，组成口令的字符应包含大小写英文字母、数字、标点、控制字符等，口令长度要求在8位以上；不应将口令存放在个人计算机文件中，或写到容易被其它人获取的地方；对于重要的网络设备，要求至少每个月修改一次口令，或者使用一次性口令设备；若掌握口令的管理人员调离本职工作时，必须立即更改所有相关口令；用户账号口令应以加密方式存储，如MD5方式。

　　6. 严格禁止非网络管理人员直接进入网络设备进行操作，若在特殊情况下（如系统维修、升级等）需要外部人员（主要是指厂家技术工程师、非本系统技术工程师、安全管理员等）进入网络设备进行操作时，必须由网络管理员登录，并对操作全过程进行记录备案。禁止将系统用户账号及口令直接交给外部人员，在紧急情况下需要为外部人员开放临

　　时账号时，必须向信息管理处相关领导申请，在申请中写明开放临时账号的原因、时间、期限、对外部人员操作的监控方法、负责开放和注销临时账号的人员等内容，并严格根据安全管理机构的批复进行临时账号的开放、注销、监控，并记录备案。

　　7. 网络维护人员应尽可能减少网络设备的管理方式，例如Telnet、web、SNMP等；如果的确需要进行远程管理，应使用SSH代替Telnet，使用HTTPS代替HTTP，并且限定远程登录的超时时间，远程管理的用户数量，远程管理的终端IP地址，同时按照“网络安全配置管理策略”中的规定进行严格的身份认证和访问权限的授予，并在配置完后，立刻关闭此类远程连接；应尽可能避免使用SNMP协议进行管理，如果的确需要，应使用V3版本替代V1、V2版本，并启用MD5等验证功能；进行远程管理时，应设置控制口和远程登录口的超时时间，让控制口和远程登录口在空闲一定时间后自动断开。

　　8. 网络维护人员应及时监视、收集网络以及安全设备生产厂商公布的软件以及补丁更新，要求下载补丁程序的站点必须是相应的官方站点，并对更新软件或补丁进行评测，在获得信息管理处领导的批准下，对生产环境实施软件更新或者补丁安装。

　　9. 软件更新或者补丁安装应尽量安排在非业务繁忙时段进行。操作必须由两人以上完成，由一人监督，另一人进行实际操作，并在升级（或修补）前后做好数据和软件的备份工作，同时将整个过程记录备案。

　　10. 软件更新或者补丁安装后网络维护人员应重新对系统进行安全设置，并进行系统的安全检查。

　　11. 网络维护人员应及时报告任何已知的或可疑的信息安全问题、违规行为或紧急安全事件，并在采取适当措施的'同时，应向信息管理处领导报告细节；并不得试图干扰、防止、阻碍或劝阻其他员工报告此类事件；同时禁止以任何形式报复报告或调查此类事件的个人。

　　12. 网络维护人员应定期提交安全事件和相关问题的管理报告，以备领导检查。

　　13. 网络维护人员应制订网络设备日志的管理制定，对于日志功能的启用，日志记录的内容，日志的管理形式，日志的审查分析做明确的规定。对于重要网络设备，应建立集中的日志管理服务器，实现对重要网络设备日志的统一管理，以利于对网络设备日志的审查分析。

　　14. 网络维护人员应保证各设备的系统日志处于运行状态，并每两周对日志做一次全面的分析，对登录的用户、登录时间、所做的配置和操作做检查，在发现有异常的现象时应及时向信息安全工作组报告。

　　15. 网络维护人员应通过各种手段监控网络的流量状况，当突发异常流量时，应立即上报信息安全工作组，并同时采取适当控制措施，并记录备案。

　　16. 网络维护人员应至少每年1次对整个网络进行风险评估。

　　17. 网络维护人员应至少每年1次对整个网络进行灾难影响分析，并进行灾难恢复演习。

　　五、系统安全维护管理制度

　　1. 所有主机设备应由系统维护人员负责管理，定期检查服务器主机的物理环境，并按照相关物理安全要求进行维护。

　　2. 系统维护人员应对所有主机设备进行资产登记，登记记录上应该标明硬件型号，厂家，操作系统版本，已安装的补丁程序号，安装和升级的时间等内容。

　　3. 系统维护人员应至少每天1次，对所有主机设备进行检查，确保各设备都能正常工作。

　　4. 系统维护人员应对各个主机设备上拥有用户账号的人员、权限以及账号的认证和管理方式做出明确定义，并定期进行审查，在发现有可疑的用户账号时进行核实并采取相应的措施。

　　5. 在用户权限的设置时应遵循最小授权和权限分割的原则，只给系统用户、数据库系统用户或其它应用系统用户授予业务所需的最小权限，应禁止为所管理主机系统无关的人员提供主机系统用户账号，并且关闭一切不需要的系统账号。对两个月以上不使用的用户账号进行锁定。同时对主机设备中所有用户账号进行登记备案。

　　6. 系统维护人员应制订主机系统的帐户口令管理策略，对口令的选取、组成、长度、保存、修改周期做出规定。禁止使用名字、姓氏、电话号码、生日等容易猜测的字符作为口令，也不要使用单个单词或命令作为口令，组成口令的字符应包含大小写英文字母、数字、标点、控制字符等，口令长度要求在8位以上。不应将口令存放在个人计算机文件中，或写到容易被其它人获取的地方。口令文件（如：系统中的/etc/shadow）及其所有拷贝的访问权限应该严格限制为超级用户可读，并