操作系統(tǒng)安全保障措施
系統(tǒng)安全防護(hù)能力
一.文件訪問控制
1.所有辦公終端的命名應(yīng)符合公司計算機(jī)命名規(guī)范。
2.所有的辦公終端應(yīng)加入公司的域管理模式,正確是使用公司的各項(xiàng)資源。
3.所有的辦公終端應(yīng)正確安裝防病毒系統(tǒng),確保及時更新病毒碼。
4.所有的辦公終端應(yīng)及時安裝系統(tǒng)補(bǔ)丁,應(yīng)與公司發(fā)布的補(bǔ)丁保持一致。
5.公司所有辦公終端的密碼不能為空,根據(jù)《云南地方IT系統(tǒng)使用手冊》中的密碼規(guī)定嚴(yán)格執(zhí)行。
6.所有辦公終端不得私自裝配并使用可讀寫光驅(qū)、磁帶機(jī)、磁光盤機(jī)和USB硬盤等外置存儲設(shè)備。
7.所有辦公終端不得私自轉(zhuǎn)借給他人使用,防止信息的泄密和數(shù)據(jù)破壞。
8.所有移動辦公終端在外出辦公時,不要使其處于無人看管狀態(tài)。
9.辦公終端不得私自安裝盜版軟件和與工作無關(guān)的軟件,不得私自安裝掃描軟件或黑客攻擊工具。
10.未經(jīng)公司IT服務(wù)部門批準(zhǔn),員工不得在公司使用modem進(jìn)行撥號上網(wǎng)。
11.員工不允許向外面發(fā)送涉及公司秘密、機(jī)密和絕密的信息。
二。用戶權(quán)限級別
1.各系統(tǒng)應(yīng)根據(jù)“最小授權(quán)”的原則設(shè)定賬戶訪問權(quán)限,控制用戶僅能夠訪問到工作需要的信息。
2.從賬號管理的角度,應(yīng)進(jìn)行基于角色的訪問控制權(quán)限的設(shè)定,即對系統(tǒng)的訪問控制權(quán)限是以角色或組為單位進(jìn)行授予。
3.細(xì)分角色根據(jù)系統(tǒng)的特性和功能長期存在,基本不隨人員和管理崗位的變更而變更。
4.一個用戶根據(jù)實(shí)際情況可以分配多個角色。
5.各系統(tǒng)應(yīng)該設(shè)置審計用戶的權(quán)限,審計用戶應(yīng)當(dāng)具備比較完整的讀權(quán)限,審計用戶應(yīng)當(dāng)能夠讀取系統(tǒng)關(guān)鍵文件,檢查系統(tǒng)設(shè)置、系統(tǒng)日志等信息。
三.防病毒軟件/硬件
1.所有業(yè)務(wù)系統(tǒng)服務(wù)器、生產(chǎn)終端和辦公電腦都應(yīng)當(dāng)按照公司要求安裝了相應(yīng)的病毒防護(hù)軟件或采用了相應(yīng)的病毒防護(hù)手段。
2.應(yīng)當(dāng)確保防止病毒軟件每天進(jìn)行病毒庫更新,設(shè)置防病毒軟件定期(每周或沒月)對全部硬盤進(jìn)行病毒掃描。
3.如果自己無法對病毒防護(hù)措施的有效性進(jìn)行判斷,應(yīng)及時通知公司IT服務(wù)部門進(jìn)行解決。
4.各系統(tǒng)防病毒系統(tǒng)應(yīng)遵循公司病毒防護(hù)系統(tǒng)整體規(guī)劃。
5.如果發(fā)現(xiàn)個人辦公終端感染病毒,應(yīng)首先拔掉網(wǎng)線,降低可能對公司網(wǎng)絡(luò)造成的影響,然后進(jìn)行殺毒處理。
6.各系統(tǒng)管理員在生產(chǎn)和業(yè)務(wù)網(wǎng)絡(luò)發(fā)現(xiàn)病毒,應(yīng)立即進(jìn)行處理。
操作日志記錄
一、對各項(xiàng)操作均應(yīng)進(jìn)行日志記錄,內(nèi)容包括操作人、操作時間和操作內(nèi)容等詳細(xì)信息。各級維護(hù)部門維護(hù)人員每日對操作日志、安全日志進(jìn)行審查,對異常事件及時跟進(jìn)解決,并每周形成日志審查匯總意見報上級維護(hù)主管部門審核。安全日志包括但不局限于以下內(nèi)容:
1、對于應(yīng)用系統(tǒng),包括系統(tǒng)管理員的所有系統(tǒng)操作記錄、所有的登錄訪問記錄、對敏感數(shù)據(jù)或關(guān)鍵數(shù)據(jù)有重大影響的系統(tǒng)操作記錄以及其他重要系統(tǒng)操作記錄的日志;
2、對于操作系統(tǒng),包括系統(tǒng)管理員的所有操作記錄、所有的登錄日志;
3、對于數(shù)據(jù)庫系統(tǒng),包括數(shù)據(jù)庫登錄、庫表結(jié)構(gòu)的變更記錄。
二、系統(tǒng)的日常運(yùn)行維護(hù)由專人負(fù)責(zé),定期進(jìn)行保養(yǎng),并檢查系統(tǒng)運(yùn)行日志。
1.對于應(yīng)用程序級別的備份有運(yùn)維部制定工程師做每周的備份,重大變更前要整體做備份。
2.對于操作系統(tǒng)的日志備份通過定制計劃任務(wù)定期執(zhí)行,并有制定人員檢查運(yùn)行情況,并登記在案。
3.對于數(shù)據(jù)庫系統(tǒng)的日志備份有DBA制定計劃任務(wù)定期執(zhí)行,并有DBA人員檢查運(yùn)行情況,并登記在案。
三、各級維護(hù)部門針對所維護(hù)系統(tǒng),依據(jù)數(shù)據(jù)變動的頻繁程度以及業(yè)務(wù)數(shù)據(jù)重要性制定備份計劃,經(jīng)過上級維護(hù)主管部門批準(zhǔn)后組織實(shí)施。
四。備份數(shù)據(jù)包括系統(tǒng)軟件和數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、操作日志。
五、重要系統(tǒng)的運(yùn)行日志定期異地備份。
說明:除在本地備份,每天晚上同步到異地機(jī)房。
六、對系統(tǒng)的操作、使用進(jìn)行詳細(xì)記錄。
七、各級維護(hù)部門按照備份計劃,對所維護(hù)系統(tǒng)進(jìn)行定期備份,原則上對于在線系統(tǒng)應(yīng)實(shí)施每天一次的增量備份、每月一次的數(shù)據(jù)庫級備份以及每季度一次的系統(tǒng)級備份。對于需實(shí)施變更的系統(tǒng),在變更實(shí)施前后均進(jìn)行數(shù)據(jù)備份,必要時進(jìn)行系統(tǒng)級備份。
八、各級維護(hù)部門定期對備份日志進(jìn)行檢查,發(fā)現(xiàn)問題及時整改補(bǔ)救。
備份操作人員須檢查每次備份是否成功,并填寫《備份工作匯總記錄》,對備份結(jié)果以及失敗的備份操作處理需進(jìn)行記錄、匯報及跟進(jìn)。
九、備份介質(zhì)由專人管理,與生產(chǎn)系統(tǒng)異地存放,并保證一定的環(huán)境條件。除介質(zhì)保管人員外,其他人員未經(jīng)授權(quán),不得進(jìn)入介質(zhì)存放地點(diǎn)。介質(zhì)保管應(yīng)建立檔案,對于介質(zhì)出入庫進(jìn)行詳細(xì)記錄。對于承載備份數(shù)據(jù)的備份介質(zhì),確保在其安全使用期限內(nèi)使用。對于需長期保存數(shù)據(jù),考慮通過光盤等方式進(jìn)行保存。對于有安全使用期限限制的存儲介質(zhì),在安全使用期限內(nèi)更換,確保數(shù)據(jù)存儲安全。
十、對網(wǎng)站的運(yùn)行情況做到每日一統(tǒng)計,每周一報告。
十一、各級維護(hù)部門按照本級維護(hù)工作相關(guān)要求,根據(jù)業(yè)務(wù)數(shù)據(jù)的性質(zhì),確定備份數(shù)據(jù)保存期限,根據(jù)備份介質(zhì)使用壽命至少每年進(jìn)行一次恢復(fù)性測試,并記錄測試結(jié)果。
十二、信息技術(shù)部負(fù)責(zé)人制定相應(yīng)的備份日志審查計劃,包括由于業(yè)務(wù)需求發(fā)起的備份日志審查以及日志文件的格式時間的內(nèi)容審查。計劃中遵循數(shù)據(jù)重要性等級分類,保證按照優(yōu)先級對備份日志審查。
十三、需要備份日志審查數(shù)據(jù)時,需求部門應(yīng)填寫《備份日志審查表》,內(nèi)容包括數(shù)據(jù)內(nèi)容、備份時間、數(shù)據(jù)來源、操作系統(tǒng)時間等,由需求部門以及信息技術(shù)部門相關(guān)負(fù)責(zé)人審批。
十四、備份管理員按照備份恢復(fù)計劃制定詳細(xì)的備份恢復(fù)操作手冊,手冊包含備份恢復(fù)的操作步驟、恢復(fù)前的準(zhǔn)備工作、恢復(fù)失敗的處理方法和跟進(jìn)步驟、驗(yàn)收標(biāo)準(zhǔn)等。
備份功能
1.各系統(tǒng)管理員對本系統(tǒng)的設(shè)備、系統(tǒng)等IT資產(chǎn)的配置進(jìn)行記錄,并備份配置記錄信息。
2.各系統(tǒng)在發(fā)生變更操作時,根據(jù)《地方信息安全管理流程-安全配置變更管理流程》進(jìn)行審批、測試。
3.各系統(tǒng)執(zhí)行變更操作前,要對變更操作進(jìn)行測試;確定無不利影響后,提交系統(tǒng)測試結(jié)果、系統(tǒng)配置變更實(shí)施方案和回退方案,由本部門三級經(jīng)理和公司相關(guān)主管部門提出配置變更申請。
4.申請審批通過后,才可以進(jìn)行配置變更操作;進(jìn)行配置變更操作前,需要對變更設(shè)備進(jìn)行配置備份。
5.各系統(tǒng)管理員對變更操作的具體步驟進(jìn)行記錄并保存。
6.各系統(tǒng)管理員進(jìn)行配置變更操作后,將變更后的配置信息進(jìn)行記錄。
7.各系統(tǒng)發(fā)生配置變更后,在公司信息安全小組進(jìn)行備案。
專人定時負(fù)責(zé)軟件升級和補(bǔ)丁
已配備專人負(fù)責(zé)進(jìn)行軟件升級,查看最新的系統(tǒng)安全公告,隨時為系統(tǒng)打補(bǔ)丁(系統(tǒng)補(bǔ)丁公布之后,會在1周之內(nèi)完成升級工作)等工作。
弱口令管理
1.系統(tǒng)管理員對系統(tǒng)帳號使用情況進(jìn)行統(tǒng)一管理,并對每個帳號的使用者信息、帳號權(quán)限、使用期限進(jìn)行記錄。
2.禁止隨意使用系統(tǒng)默認(rèn)賬號,系統(tǒng)管理員為每一個系統(tǒng)用戶設(shè)置一個帳號,堅決杜絕系統(tǒng)內(nèi)部存在共享帳號。
3.各系統(tǒng)管理員對系統(tǒng)中存在的賬號進(jìn)行定期檢查,確保系統(tǒng)中不存在無用或匿名賬號。
4.部門信息安全組定期檢查各系統(tǒng)帳號管理情況,內(nèi)容應(yīng)包含如下幾個方面:
(1)員工離職或帳號已經(jīng)過期,相應(yīng)的帳號在系統(tǒng)中仍然存在上;
(2)用戶是否被授予了與其工作職責(zé)不相符的系統(tǒng)訪問權(quán)限;
(3)帳號使用情況是否和系統(tǒng)管理員備案的用戶賬號權(quán)限情況一致;
(4)是否存在非法賬號或者長期未使用賬號;
(5)是否存在弱口令賬號。
5.各系統(tǒng)具有系統(tǒng)安全日志功能,能夠記錄系統(tǒng)帳號的登錄和訪問時間、操作內(nèi)容、IP地址等信息。
6.系統(tǒng)在創(chuàng)建賬號、變更賬號以及撤銷賬號的過程中,應(yīng)到得到部門經(jīng)理的審批后才可實(shí)施。
漏洞掃描
至少兩周進(jìn)行一次系統(tǒng)漏洞掃描,包括操作系統(tǒng)漏洞和系統(tǒng)下軟件漏洞,發(fā)現(xiàn)最新系統(tǒng)漏洞應(yīng)及時打上修復(fù)補(bǔ)丁。配備專人負(fù)責(zé)查看最新的病毒公告。出現(xiàn)破壞力強(qiáng)的病毒會及時向公司相關(guān)部門通告。
篇2:操作系統(tǒng)安全保障措施
系統(tǒng)安全防護(hù)能力
一.文件訪問控制
1.所有辦公終端的命名應(yīng)符合公司計算機(jī)命名規(guī)范。
2.所有的辦公終端應(yīng)加入公司的域管理模式,正確是使用公司的各項(xiàng)資源。
3.所有的辦公終端應(yīng)正確安裝防病毒系統(tǒng),確保及時更新病毒碼。
4.所有的辦公終端應(yīng)及時安裝系統(tǒng)補(bǔ)丁,應(yīng)與公司發(fā)布的補(bǔ)丁保持一致。
5.公司所有辦公終端的密碼不能為空,根據(jù)《云南地方IT系統(tǒng)使用手冊》中的密碼規(guī)定嚴(yán)格執(zhí)行。
6.所有辦公終端不得私自裝配并使用可讀寫光驅(qū)、磁帶機(jī)、磁光盤機(jī)和USB硬盤等外置存儲設(shè)備。
7.所有辦公終端不得私自轉(zhuǎn)借給他人使用,防止信息的泄密和數(shù)據(jù)破壞。
8.所有移動辦公終端在外出辦公時,不要使其處于無人看管狀態(tài)。
9.辦公終端不得私自安裝盜版軟件和與工作無關(guān)的軟件,不得私自安裝掃描軟件或黑客攻擊工具。
10.未經(jīng)公司IT服務(wù)部門批準(zhǔn),員工不得在公司使用modem進(jìn)行撥號上網(wǎng)。
11.員工不允許向外面發(fā)送涉及公司秘密、機(jī)密和絕密的信息。
二。用戶權(quán)限級別
1.各系統(tǒng)應(yīng)根據(jù)“最小授權(quán)”的原則設(shè)定賬戶訪問權(quán)限,控制用戶僅能夠訪問到工作需要的信息。
2.從賬號管理的角度,應(yīng)進(jìn)行基于角色的訪問控制權(quán)限的設(shè)定,即對系統(tǒng)的訪問控制權(quán)限是以角色或組為單位進(jìn)行授予。
3.細(xì)分角色根據(jù)系統(tǒng)的特性和功能長期存在,基本不隨人員和管理崗位的變更而變更。
4.一個用戶根據(jù)實(shí)際情況可以分配多個角色。
5.各系統(tǒng)應(yīng)該設(shè)置審計用戶的權(quán)限,審計用戶應(yīng)當(dāng)具備比較完整的讀權(quán)限,審計用戶應(yīng)當(dāng)能夠讀取系統(tǒng)關(guān)鍵文件,檢查系統(tǒng)設(shè)置、系統(tǒng)日志等信息。
三.防病毒軟件/硬件
1.所有業(yè)務(wù)系統(tǒng)服務(wù)器、生產(chǎn)終端和辦公電腦都應(yīng)當(dāng)按照公司要求安裝了相應(yīng)的病毒防護(hù)軟件或采用了相應(yīng)的病毒防護(hù)手段。
2.應(yīng)當(dāng)確保防止病毒軟件每天進(jìn)行病毒庫更新,設(shè)置防病毒軟件定期(每周或沒月)對全部硬盤進(jìn)行病毒掃描。
3.如果自己無法對病毒防護(hù)措施的有效性進(jìn)行判斷,應(yīng)及時通知公司IT服務(wù)部門進(jìn)行解決。
4.各系統(tǒng)防病毒系統(tǒng)應(yīng)遵循公司病毒防護(hù)系統(tǒng)整體規(guī)劃。
5.如果發(fā)現(xiàn)個人辦公終端感染病毒,應(yīng)首先拔掉網(wǎng)線,降低可能對公司網(wǎng)絡(luò)造成的影響,然后進(jìn)行殺毒處理。
6.各系統(tǒng)管理員在生產(chǎn)和業(yè)務(wù)網(wǎng)絡(luò)發(fā)現(xiàn)病毒,應(yīng)立即進(jìn)行處理。
操作日志記錄
一、對各項(xiàng)操作均應(yīng)進(jìn)行日志記錄,內(nèi)容包括操作人、操作時間和操作內(nèi)容等詳細(xì)信息。各級維護(hù)部門維護(hù)人員每日對操作日志、安全日志進(jìn)行審查,對異常事件及時跟進(jìn)解決,并每周形成日志審查匯總意見報上級維護(hù)主管部門審核。安全日志包括但不局限于以下內(nèi)容:
1、對于應(yīng)用系統(tǒng),包括系統(tǒng)管理員的所有系統(tǒng)操作記錄、所有的登錄訪問記錄、對敏感數(shù)據(jù)或關(guān)鍵數(shù)據(jù)有重大影響的系統(tǒng)操作記錄以及其他重要系統(tǒng)操作記錄的日志;
2、對于操作系統(tǒng),包括系統(tǒng)管理員的所有操作記錄、所有的登錄日志;
3、對于數(shù)據(jù)庫系統(tǒng),包括數(shù)據(jù)庫登錄、庫表結(jié)構(gòu)的變更記錄。
二、系統(tǒng)的日常運(yùn)行維護(hù)由專人負(fù)責(zé),定期進(jìn)行保養(yǎng),并檢查系統(tǒng)運(yùn)行日志。
1.對于應(yīng)用程序級別的備份有運(yùn)維部制定工程師做每周的備份,重大變更前要整體做備份。
2.對于操作系統(tǒng)的日志備份通過定制計劃任務(wù)定期執(zhí)行,并有制定人員檢查運(yùn)行情況,并登記在案。
3.對于數(shù)據(jù)庫系統(tǒng)的日志備份有DBA制定計劃任務(wù)定期執(zhí)行,并有DBA人員檢查運(yùn)行情況,并登記在案。
三、各級維護(hù)部門針對所維護(hù)系統(tǒng),依據(jù)數(shù)據(jù)變動的頻繁程度以及業(yè)務(wù)數(shù)據(jù)重要性制定備份計劃,經(jīng)過上級維護(hù)主管部門批準(zhǔn)后組織實(shí)施。
四。備份數(shù)據(jù)包括系統(tǒng)軟件和數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、操作日志。
五、重要系統(tǒng)的運(yùn)行日志定期異地備份。
說明:除在本地備份,每天晚上同步到異地機(jī)房。
六、對系統(tǒng)的操作、使用進(jìn)行詳細(xì)記錄。
七、各級維護(hù)部門按照備份計劃,對所維護(hù)系統(tǒng)進(jìn)行定期備份,原則上對于在線系統(tǒng)應(yīng)實(shí)施每天一次的增量備份、每月一次的數(shù)據(jù)庫級備份以及每季度一次的系統(tǒng)級備份。對于需實(shí)施變更的系統(tǒng),在變更實(shí)施前后均進(jìn)行數(shù)據(jù)備份,必要時進(jìn)行系統(tǒng)級備份。
八、各級維護(hù)部門定期對備份日志進(jìn)行檢查,發(fā)現(xiàn)問題及時整改補(bǔ)救。
備份操作人員須檢查每次備份是否成功,并填寫《備份工作匯總記錄》,對備份結(jié)果以及失敗的備份操作處理需進(jìn)行記錄、匯報及跟進(jìn)。
九、備份介質(zhì)由專人管理,與生產(chǎn)系統(tǒng)異地存放,并保證一定的環(huán)境條件。除介質(zhì)保管人員外,其他人員未經(jīng)授權(quán),不得進(jìn)入介質(zhì)存放地點(diǎn)。介質(zhì)保管應(yīng)建立檔案,對于介質(zhì)出入庫進(jìn)行詳細(xì)記錄。對于承載備份數(shù)據(jù)的備份介質(zhì),確保在其安全使用期限內(nèi)使用。對于需長期保存數(shù)據(jù),考慮通過光盤等方式進(jìn)行保存。對于有安全使用期限限制的存儲介質(zhì),在安全使用期限內(nèi)更換,確保數(shù)據(jù)存儲安全。
十、對網(wǎng)站的運(yùn)行情況做到每日一統(tǒng)計,每周一報告。
十一、各級維護(hù)部門按照本級維護(hù)工作相關(guān)要求,根據(jù)業(yè)務(wù)數(shù)據(jù)的性質(zhì),確定備份數(shù)據(jù)保存期限,根據(jù)備份介質(zhì)使用壽命至少每年進(jìn)行一次恢復(fù)性測試,并記錄測試結(jié)果。
十二、信息技術(shù)部負(fù)責(zé)人制定相應(yīng)的備份日志審查計劃,包括由于業(yè)務(wù)需求發(fā)起的備份日志審查以及日志文件的格式時間的內(nèi)容審查。計劃中遵循數(shù)據(jù)重要性等級分類,保證按照優(yōu)先級對備份日志審查。
十三、需要備份日志審查數(shù)據(jù)時,需求部門應(yīng)填寫《備份日志審查表》,內(nèi)容包括數(shù)據(jù)內(nèi)容、備份時間、數(shù)據(jù)來源、操作系統(tǒng)時間等,由需求部門以及信息技術(shù)部門相關(guān)負(fù)責(zé)人審批。
十四、備份管理員按照備份恢復(fù)計劃制定詳細(xì)的備份恢復(fù)操作手冊,手冊包含備份恢復(fù)的操作步驟、恢復(fù)前的準(zhǔn)備工作、恢復(fù)失敗的處理方法和跟進(jìn)步驟、驗(yàn)收標(biāo)準(zhǔn)等。
備份功能
1.各系統(tǒng)管理員對本系統(tǒng)的設(shè)備、系統(tǒng)等IT資產(chǎn)的配置進(jìn)行記錄,并備份配置記錄信息。
2.各系統(tǒng)在發(fā)生變更操作時,根據(jù)《地方信息安全管理流程-安全配置變更管理流程》進(jìn)行審批、測試。
3.各系統(tǒng)執(zhí)行變更操作前,要對變更操作進(jìn)行測試;確定無不利影響后,提交系統(tǒng)測試結(jié)果、系統(tǒng)配置變更實(shí)施方案和回退方案,由本部門三級經(jīng)理和公司相關(guān)主管部門提出配置變更申請。
4.申請審批通過后,才可以進(jìn)行配置變更操作;進(jìn)行配置變更操作前,需要對變更設(shè)備進(jìn)行配置備份。
5.各系統(tǒng)管理員對變更操作的具體步驟進(jìn)行記錄并保存。
6.各系統(tǒng)管理員進(jìn)行配置變更操作后,將變更后的配置信息進(jìn)行記錄。
7.各系統(tǒng)發(fā)生配置變更后,在公司信息安全小組進(jìn)行備案。
專人定時負(fù)責(zé)軟件升級和補(bǔ)丁
已配備專人負(fù)責(zé)進(jìn)行軟件升級,查看最新的系統(tǒng)安全公告,隨時為系統(tǒng)打補(bǔ)丁(系統(tǒng)補(bǔ)丁公布之后,會在1周之內(nèi)完成升級工作)等工作。
弱口令管理
1.系統(tǒng)管理員對系統(tǒng)帳號使用情況進(jìn)行統(tǒng)一管理,并對每個帳號的使用者信息、帳號權(quán)限、使用期限進(jìn)行記錄。
2.禁止隨意使用系統(tǒng)默認(rèn)賬號,系統(tǒng)管理員為每一個系統(tǒng)用戶設(shè)置一個帳號,堅決杜絕系統(tǒng)內(nèi)部存在共享帳號。
3.各系統(tǒng)管理員對系統(tǒng)中存在的賬號進(jìn)行定期檢查,確保系統(tǒng)中不存在無用或匿名賬號。
4.部門信息安全組定期檢查各系統(tǒng)帳號管理情況,內(nèi)容應(yīng)包含如下幾個方面:
(1)員工離職或帳號已經(jīng)過期,相應(yīng)的帳號在系統(tǒng)中仍然存在上;
(2)用戶是否被授予了與其工作職責(zé)不相符的系統(tǒng)訪問權(quán)限;
(3)帳號使用情況是否和系統(tǒng)管理員備案的用戶賬號權(quán)限情況一致;
(4)是否存在非法賬號或者長期未使用賬號;
(5)是否存在弱口令賬號。
5.各系統(tǒng)具有系統(tǒng)安全日志功能,能夠記錄系統(tǒng)帳號的登錄和訪問時間、操作內(nèi)容、IP地址等信息。
6.系統(tǒng)在創(chuàng)建賬號、變更賬號以及撤銷賬號的過程中,應(yīng)到得到部門經(jīng)理的審批后才可實(shí)施。
漏洞掃描
至少兩周進(jìn)行一次系統(tǒng)漏洞掃描,包括操作系統(tǒng)漏洞和系統(tǒng)下軟件漏洞,發(fā)現(xiàn)最新系統(tǒng)漏洞應(yīng)及時打上修復(fù)補(bǔ)丁。配備專人負(fù)責(zé)查看最新的病毒公告。出現(xiàn)破壞力強(qiáng)的病毒會及時向公司相關(guān)部門通告。
篇3:保險保障基金管理辦法
保險保障基金管理辦法
第一章總則
第一條為了規(guī)范保險保障基金的繳納、管理和使用,保障保單持有人利益,有效化解金融風(fēng)險,維護(hù)金融穩(wěn)定,根據(jù)《中華人民共和國保險法》(以下簡稱《保險法》)第九十七條等規(guī)定,制定本辦法。
第二條本辦法所稱保險公司,是指經(jīng)保險監(jiān)督管理機(jī)構(gòu)批準(zhǔn)設(shè)立,并依法登記注冊的商業(yè)保險公司,包括中資保險公司、中外合資保險公司、外資獨(dú)資保險公司和外國保險公司分公司。
本辦法所稱保險保障基金,是指根據(jù)《保險法》,由保險公司繳納形成,按照集中管理、統(tǒng)籌使用的原則,在保險公司被撤銷、被宣告破產(chǎn)及中國保險監(jiān)督管理委員會(以下簡稱中國保監(jiān)會)根據(jù)本辦法第二十條認(rèn)定的情形下,用于向保單持有人或者保單受讓公司等提供救濟(jì)的法定基金。
本辦法所稱保單持有人,是指在保險公司被撤銷或者被宣告破產(chǎn)的情形下,對保單利益享有請求權(quán)的保險合同當(dāng)事人,包括投保人、被保險人或者受益人。
本辦法所稱保單受讓公司,是指在保險公司被撤銷或者被宣告破產(chǎn)的情形下,接受其依法轉(zhuǎn)讓的人壽保險合同的人壽保險公司。
第三條保險保障基金分為財產(chǎn)保險公司保障基金和人壽保險公司保障基金。
財產(chǎn)保險公司保障基金由財產(chǎn)保險公司、綜合再保險公司和財產(chǎn)再保險公司繳納形成。
人壽保險公司保障基金由人壽保險公司、健康保險公司和人壽再保險公司繳納形成。
第四條保險保障基金的管理和使用遵循公開、合理、有效的原則。
第五條保險保障基金由中國保監(jiān)會集中管理,統(tǒng)籌使用。
第二章繳納
第六條對于納入保險保障基金救濟(jì)范圍的保險業(yè)務(wù),保險公司應(yīng)當(dāng)按照下列比例繳納保險保障基金:
(一)財產(chǎn)保險、意外傷害保險和短期健康保險,按照自留保費(fèi)的1%繳納;
(二)有保證利率的長期人壽保險和長期健康保險,按照自留保費(fèi)的0.15%繳納;
(三)無保證利率的長期人壽保險,按照自留保費(fèi)的0.05%繳納;
(四)保險公司其他保險業(yè)務(wù)的繳納比例由中國保監(jiān)會另行規(guī)定。
第七條中國保監(jiān)會設(shè)立保險保障基金專門賬戶。保險保障基金按照保險公司分戶核算。
第八條保險公司應(yīng)當(dāng)及時、足額將保險保障基金繳納到保險保障基金專門賬戶,但有下列情形之一的,可以暫停繳納保險保障基金:
(一)財產(chǎn)保險公司、綜合再保險公司和財產(chǎn)再保險公司的保險保障基金余額達(dá)到公司總資產(chǎn)6%的;
(二)人壽保險公司、健康保險公司和人壽再保險公司的保險保障基金余額達(dá)到公司總資產(chǎn)1%的。
保險公司的保險保障基金余額減少或者總資產(chǎn)增加,其保險保障基金余額占總資產(chǎn)比例不能滿足前款要求的,應(yīng)當(dāng)自動恢復(fù)繳納保險保障基金。
保險公司的保險保障基金余額,等于該公司累計繳納的保險保障基金金額加上分?jǐn)偟耐顿Y收益,減去各種使用額。
第九條保險公司被撤銷或者被宣告破產(chǎn),其保險保障基金余額不足以支付應(yīng)當(dāng)給予保單持有人或者保單受讓公司的救濟(jì)的,不足部分的金額按照其余公司上一年度以自留保費(fèi)計算的市場份額扣減其保險保障基金余額。
第十條保險公司繳納保險保障基金,實(shí)行按年計算,按季預(yù)繳。
保險公司應(yīng)當(dāng)在每季度結(jié)束后15個工作日內(nèi)預(yù)繳保險保障基金,在每年度結(jié)束后4個月內(nèi)匯算清繳。
第十一條中國保監(jiān)會可以根據(jù)保險行業(yè)發(fā)展和風(fēng)險的實(shí)際情況,調(diào)整保險保障基金的繳納比例、規(guī)模上限、繳納方式等規(guī)定。
第三章管理和監(jiān)督
第十二條保險保障基金的資金運(yùn)用應(yīng)當(dāng)遵循安全性、收益性和流動性原則,在確保資產(chǎn)安全的前提下實(shí)現(xiàn)資產(chǎn)的保值增值。
保險保障基金的資金運(yùn)用,限于銀行存款、買賣政府債券和中國保監(jiān)會規(guī)定的其他資金運(yùn)用形式。保險保障基金不得運(yùn)用于股權(quán)投資、房地產(chǎn)投資和其他各類實(shí)業(yè)投資。
中國保監(jiān)會可以委托專業(yè)的投資管理機(jī)構(gòu)運(yùn)用保險保障基金。
第十三條保險保障基金理事會負(fù)責(zé)對保險保障基金的管理和使用實(shí)施監(jiān)督。
第十四條保險保障基金理事會由保險公司、國務(wù)院法制辦、財政部、中華人民銀行、國家稅務(wù)總局等機(jī)構(gòu)組成。
保險保障基金理事會的工作辦法由中國保監(jiān)會另行規(guī)定。
第十五條中國保監(jiān)會應(yīng)當(dāng)在每一會計年度結(jié)束后5個月內(nèi)完成經(jīng)審計的保險保障基金財務(wù)報告,并向理事會及其成員單位和各保險公司公布。
第四章使用
第十六條保險公司被撤銷或者被宣告破產(chǎn),其清算財產(chǎn)不足以償付保單利益的,保險保障基金按照下列規(guī)則對非人壽保險合同的保單持有人提供救濟(jì):
(一)保單持有人的損失在人民幣5萬元以內(nèi)的部分,保險保障基金予以全額救濟(jì);
(二)保單持有人為個人的,對其損失超過人民幣5萬元的部分,保險保障基金的救濟(jì)金額為超過部分金額的90%;保單持有人為機(jī)構(gòu)的,對其損失超過人民幣5萬元的部分,保險保障基金的救濟(jì)金額為超過部分金額的80%.前款所稱保單持有人的損失,是指保單持有人的保單利益與其從清算財產(chǎn)中獲得的清償金額之間的差額。
第十七條人壽保險公司被撤銷或者被宣告破產(chǎn)的,其持有的人壽保險合同,必須轉(zhuǎn)讓給其他人壽保險公司。不能同其他人壽保險公司達(dá)成轉(zhuǎn)讓協(xié)議的,由中國保監(jiān)會指定人壽保險公司接收。
第十八條被撤銷或者被宣告破產(chǎn)的保險公司的清算資產(chǎn)不足以償付人壽保險合同保單利益的,保險保障基金可以按照下列規(guī)則向保單受讓公司提供救濟(jì):
(一)保單持有人為個人的,救濟(jì)金額以轉(zhuǎn)讓后保單利益不超過轉(zhuǎn)讓前保單利益的90%為限;
(二)保單持有人為機(jī)構(gòu)的,救濟(jì)金額以轉(zhuǎn)讓后保單利益不超過轉(zhuǎn)讓前保單利益的80%為限。
保單受讓公司應(yīng)當(dāng)根據(jù)前款標(biāo)準(zhǔn)核算轉(zhuǎn)讓后保單持有人的保單利益,并據(jù)此與保單持有人修訂人壽保險合同。
第十九條保險公司被撤銷或者被宣告破產(chǎn)的,保單持有人在清算結(jié)束前可以簽訂債權(quán)轉(zhuǎn)讓協(xié)議,由保險保障基金向保單持有人支付救濟(jì)款,保單持有人將其對保險公司的債權(quán)讓渡給保險保障基金。
清算結(jié)束后,保險保障基金獲得的清償金額多于支付的救濟(jì)款的,保險保障基金應(yīng)當(dāng)將差額部分返還給保單持有人。
第二十條在保險業(yè)面臨重大危機(jī),可能嚴(yán)重危及社會公共利益和金融穩(wěn)定的情形下,中國保監(jiān)會可以動用保險保障基金。
第二十一條保險公司的下列業(yè)務(wù)不屬于保險保障基金的救濟(jì)范圍:
(一)保險公司在境外直接承保的業(yè)務(wù)和從境外分入的業(yè)務(wù);
(二)保險公司的政策性保險業(yè)務(wù);
(三)中國保監(jiān)會認(rèn)定不屬于保險保障基金救濟(jì)范圍的其他保險業(yè)務(wù)。
第五章法律責(zé)任
第二十二條保險公司違反本辦法規(guī)定,由中國保監(jiān)會責(zé)令改正,并處以5萬元以上30萬元以下的罰款;情節(jié)嚴(yán)重的,可以限制業(yè)務(wù)范圍、責(zé)令停止接受新業(yè)務(wù)或者吊銷經(jīng)營保險業(yè)務(wù)許可證。
對違法行為負(fù)有直接責(zé)任的保險公司高級管理人員和其他直接責(zé)任人員,中國保監(jiān)會可以區(qū)別不同情況予以警告,責(zé)令撤換,處以2萬元以上10萬元以下的罰款。
第六章附則
第二十三條保險公司應(yīng)當(dāng)在本辦法施行之日起3個月內(nèi),將已提存保險保障基金的50%繳納到中國保監(jiān)會設(shè)立的保險保障基金專門賬戶,剩余部分在本辦法施行之日起1年內(nèi)繳清。
第二十四條本辦法由中國保監(jiān)會負(fù)責(zé)解釋。
第二十五條本辦法自2005年1月1日起施行。