信息系统安全管理制度

大纲：

1.      身份鉴别-设置口令复杂度、口令过期30天、错误口令5次锁定、会话超时设置为5min，超时自动退出，口令更换周期要求

2.      访问控制-系统默认账户名更改要求，设置超级管理员、系统管理员、安全管理员角色，系统管理员仅可操作系统服务本身，安全管理员仅可查看云安全中心

3.      安全审计-开启信息系统日志审计，配置日志服务器或第三方审计系统对审计记录进行收集和保存，实行日志定期备份，备份周期为每30天一次，建议日志服务器代替手工备份

4.      入侵防范-信息系统公网开放访问必须白名单化，开发人员功能代码中必须增加数据校验、登录身份验证、SQL注入语句校验，系统输入必须增加数据安全校验

5.      数据备份恢复-进行重要数据识别，定义为哪几类数据；制定数据备份周期，；制定数据备份方式。

6.      开发安全要求：恶意代码管理，应部署代码检测工具，功能上线前进行检测，并定期进行检查；漏洞管理，应部署漏洞检测工具，定期进行系统漏洞检测，并要求“高”级别漏洞必须修复。