操作系统及数据库管理规范.pdf

XX有限公司版本文件编号生效日期

A0XXXX

操作系统及数据库管理规范

版本更改类型生效日期更改内容

会签部门：

品质：工程：

采购：业务：

研发：IT：

生产：PMC：

行政：财务：

制作：审核：批准：

XX有限公司版本文件编号生效日期

A0XXXX

1范围

为保障XXX公司（以下简称“公司”）管理信息系统的操作系统和数据库管理系统的安全、稳定运行，规范操作系

统和数据库管理系统的安全配置和日常操作管理，特制订本规范。

本办法适用于公司信息系统的操作系统和数据库系统的管理和运行。

2规范性引用文件

下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括

勘误的内容）或修订版均不适用于本标准，使用本标准的相关部门、单位及人员要研究是否可使用这些文件的最新

版本。凡是不注日期的引用文件，其最新版本适用于本标准。

——ISO27001标准/ISO27002指南

——GB/T21028-2007信息安全技术服务器安全技术要求

——GB/T20273-2006信息安全技术数据库管理系统安全技术要求

——GB/T20272-2006信息安全技术操作系统安全技术要求

——GB/T20269-2006信息安全技术信息系统安全管理要求

——GB/T22239-2008信息安全技术信息系统安全等级保护基本要求

——GB/T22240-2008信息安全技术信息系统安全等级保护定级指南

3术语和定义

下列术语和定义适用于本标准

操作系统安全：操作系统所存储、传输和处理的信息的保密性、完整性、和可用性表征。

数据库管理系统安全：数据库管理系统所存储、传输和处理的信息的保密性、完整性和可用性的表征。

4操作系统运行管理

4.1操作系统管理员的任命

4.1.1操作系统管理员的任命应遵循“任期有限、权限分散”的原则；

4.1.2对每个操作系统要分别设立操作系统管理员和操作系统审计员，并分别由不同的人员担任。在多套系统的环

境下，操作系统管理员和操作系统审计员岗位可交叉担任；

4.1.3操作系统管理员和操作系统审计员的任期可根据系统的安全性要求而定，最长为三年，期满通过考核后可以

续任；

4.1.4操作系统管理员和操作系统审计员必须签订保密协议书。

4.2操作系统管理员帐户的授权、审批

4.2.1操作系统管理员和操作系统审计员账户的授权由所在部门填写《操作系统账户授权审批表》，经部门领导批

准后设置；

4.2.2操作系统管理员和操作系统审计员人员变更后，必须及时更改帐户设置。

4.3其他帐户的授权、审批

4.3.1其他账户的授权由使用人填写《操作系统账户授权审批表》，经信息管理部门领导批准后，由操作系统管理

员进行设置；

4.3.2外单位人员需要使用公司系统时,须经信息管理部门领导同意,填写《外单位人员操作系统账户授权审批

表》，报信息管理部门领导批准后,由操作系统管理员按规定的权限、时限设置专门的用户帐号；

4.3.3严禁公司任何人将自己的用户帐号提供给外单位人员使用。

4.4口令的复杂性、安全性要求和检查

4.4.1系统账户的口令长度设置至少为8位，口令必须从小写字符（a-z）、大写字符（A-Z）、数字（0-9）、符号

(~!