信息系统访问控制管理规定
文件编号：W9.2.2
1 目的
为规范系统安全管理工作，降低系统被非法入侵及破坏的风险，特制定本规定。

2 范围
本制度适用于公司中各种服务器与个人电脑的操作系统，各种软件信息系统。

3 职责
技术中心归口管理。

4 实施
4.1操作系统安全
4.1.1 对于应用服务器的操作系统，系统管理员应在初次安装完系统时，对操作系统进行系统漏洞的补丁升级及安装防病毒软件并做好病毒库的及时升级。

打开系统防火墙，设置好网络访问规则。

4.1.2 按照每一台应用服务器实际提供的服务的不同，可以分别对服务器本身的安全策略进行设置，以确保服务器的自身安全强度最大化。

4.1.3 应用服务器操作系统本身的帐号及密码，应遵循尽可能少的建立新帐号，对系统默认的帐号，
4.1.4 对于应用服务器的系统帐号及密码的信息保存，必须以可以加密的形式
ISMS-3021
存储，并切要实行定期更改系统密码，。

密码使用规则要符合四次之内的变更不重复的原则。

4.2信息系统的安全
4.2.1信息系统指的是为公司的正常运转提供信息支持的应用系统
4.2.3对于在处于生产状态下的信息系统，如需要增加、变更、删除系统管理员权限，应按照《用户访问权限管理规定》规定的流程进行。

4.2.6 公司定期测试信息系统中所需的应用软件，
5附则
本制度由公司负责解释和修订，自发布之日起开始执行。

第2页共2页。