1、AAAAA司安全管理制度(v1.0)文檔編制單位：AAAAA文檔編制時間：文檔總頁數(shù)：頁文檔編制：文檔審核人：審核時間：注：替換：AAAAA為公司名稱，DDDD的公司簡稱，BBBBB為系統(tǒng)名稱，XXXXX為信息安全管理的部門（如“XXXXX）。信息安全管理機(jī)構(gòu)制度版本記錄版本記錄版本修改日期修改摘要修改人審批人審批日期1.0目錄第一章信息安全管理制度總則1.1 概述信息系統(tǒng)安全等級保護(hù)管理制度體系是對實(shí)現(xiàn)信息系統(tǒng)安全等級保護(hù)所采用的安全管理措施的描述。本制度體系從信息安全管理機(jī)構(gòu)制度、信息安全人力資源管理制度、信息系統(tǒng)建設(shè)安全管理制度、信息安全系統(tǒng)運(yùn)維管理制度和信息系統(tǒng)操作規(guī)程及應(yīng)急預(yù)案等方面

2、，針對AAAA慫司的BBBB康統(tǒng)，從信息安全管理和信息系統(tǒng)運(yùn)維兩個方面做出規(guī)定。1.2 總體原則本制度的信息安全總體原則如下：全面貫徹國家和上海市關(guān)于信息安全工作的要求文件和相關(guān)指導(dǎo)性文件精神，在部門內(nèi)建立符合國家要求完善的信息安全管理體系；建立由安全策略、管理制度、操作規(guī)程等構(gòu)成的全面信息安全管理制度體系，并落實(shí)信息安全管理責(zé)任到個人，使信息安全管理有章可循；定期進(jìn)行信息安全培訓(xùn)，提高相關(guān)人員信息安全意識及能力；實(shí)行預(yù)防為主，應(yīng)急為輔的信息安全理念，對可能存在的信息安全隱患進(jìn)行提前預(yù)防性排查和處理；對于突發(fā)性信息安全事件，可以按照應(yīng)急預(yù)案進(jìn)行快速響應(yīng)，將事件影響降到最低；定期對信息系統(tǒng)進(jìn)行風(fēng)

3、險評估和控制，將信息安全風(fēng)險控制在可接受的水平，以降低突發(fā)性事件出現(xiàn)的概率；持續(xù)改進(jìn)信息安全管理所要求包含的各項(xiàng)工作，為系統(tǒng)提供可靠的安全信息服務(wù)。1.3 總體目標(biāo)明確aaaaA司信息安全管理機(jī)構(gòu)和人力資源管理制度；按照等級保護(hù)三級要求規(guī)范AAAA慫司的BBBBB統(tǒng)建設(shè)和運(yùn)維；制定aaaaA司的bbbbB統(tǒng)應(yīng)急預(yù)案，并定期進(jìn)行應(yīng)急演練；定期開展全系統(tǒng)范圍的信息系統(tǒng)安全檢查和信息安全管理制度宣傳，并按需開展第三方信息安全風(fēng)險評估。1.4 總體框架本制度的安全策略包括信息安全管理安全策略和信息系統(tǒng)運(yùn)維安全策略，如下圖所示：1.4.1 系統(tǒng)信息運(yùn)維安全策略系統(tǒng)信息運(yùn)維安全策略包括信息安全管理機(jī)構(gòu)制度

4、和信息安全人力資源管理制度。1.4.1.1 信息安全管理機(jī)構(gòu)制度建立aaaaA司的bbbbB統(tǒng)信息安全管理組織機(jī)構(gòu)明確網(wǎng)絡(luò)管理員、主機(jī)管理員、系統(tǒng)管理員、安全管理員、安全審計(jì)員等安全管理相關(guān)崗位及職責(zé)。加強(qiáng)信息安全的授權(quán)和審批對于系統(tǒng)變更（包含軟件和硬件）實(shí)施審批，并記錄在案定期審查信息安全管理體系監(jiān)督各項(xiàng)安全控制措施的落實(shí)情況，并針對有偏差的地方進(jìn)行糾正，以保證信息安全管理體系持續(xù)有效。規(guī)范產(chǎn)品采購和使用管理制度流程明確產(chǎn)品所有者、使用者與維護(hù)者；對所有產(chǎn)品進(jìn)行標(biāo)記，實(shí)現(xiàn)信息資產(chǎn)從采購、安裝、調(diào)試、使用、變更到報廢整個周期的安全管理，并且密碼相關(guān)產(chǎn)品符合國家密碼主管部門的要求。定期評估安全風(fēng)

5、險根據(jù)評估結(jié)果選擇適當(dāng)?shù)陌踩呗院涂刂拼胧?，保證安全風(fēng)險可控。1.4.1.2 信息安全人力資源管理制度加強(qiáng)人員安全管理包含人員錄用前考察、人員在崗和離崗的安全控制、人員考核、獎懲措施等內(nèi)容；對于關(guān)鍵崗位的工作人員，需簽訂保密協(xié)議。保密協(xié)議簽署對于外包的軟件開發(fā)，需與服務(wù)提供商簽署保密協(xié)議；在信息系統(tǒng)立項(xiàng)和審批過程中，同步考慮信息安全需求和目標(biāo)。系統(tǒng)開發(fā)完成后，要求通過第三方安全機(jī)構(gòu)對軟件安全性的測評。1.4.2 信息系統(tǒng)安全管理安全策略信息系統(tǒng)安全管理安全策略包括信息建設(shè)安全管理制度、信息安全系統(tǒng)運(yùn)維管理和信息系統(tǒng)操作規(guī)程及應(yīng)急預(yù)案。1.4.2.1 信息建設(shè)安全管理制度文檔發(fā)布制度化制定文檔發(fā)

6、布規(guī)范制度，統(tǒng)一文檔版本、格式等，并定期按照制度對文檔進(jìn)行更新，以保證所有文檔的時效性。1.4.2.2 信息安全系統(tǒng)運(yùn)維管理保障機(jī)房物理與環(huán)境安全實(shí)施多種手段對機(jī)房安全進(jìn)行監(jiān)控，包括門禁、視頻監(jiān)控、紅外線報警等安全防范措施，確保機(jī)房物理安全。部署機(jī)房專用空調(diào)、ups滅火設(shè)備等環(huán)境保障設(shè)施；每天對機(jī)房設(shè)施運(yùn)轉(zhuǎn)情況進(jìn)行定期巡檢、和維護(hù)。控制機(jī)房人員和設(shè)備的出入管理，非管理人員無法進(jìn)入主機(jī)房，外部人員進(jìn)入機(jī)房需填寫出入記錄并且由管理人員全程陪同。維護(hù)和操作規(guī)程文檔化對系統(tǒng)維護(hù)和操作規(guī)程實(shí)施文檔化操作，降低和避免因誤操作所引發(fā)信息安全事件的可能性。部署防病毒軟件統(tǒng)一部署防病毒軟件，并進(jìn)行病毒庫的統(tǒng)一更

7、新，任何人不得私自卸載防病毒軟件。定期備份重要系統(tǒng)和數(shù)據(jù)對重要的數(shù)據(jù)和信息系統(tǒng)進(jìn)行每日增量備份每周全量備份，并對備份介質(zhì)進(jìn)行安全地保存，以及對備份數(shù)據(jù)每季度進(jìn)行備份還原測試，保證各種備份信息的保密性、完整性和可用性，確保所有重要信息系統(tǒng)和重要數(shù)據(jù)在故障、災(zāi)難后及其它特定要求下進(jìn)行可靠的恢復(fù)。1.4.2.3 信息系統(tǒng)操作規(guī)程及應(yīng)急預(yù)案信息安全事件應(yīng)對機(jī)制建立對各類信息安全事件的預(yù)防、預(yù)警、響應(yīng)、處置、恢復(fù)機(jī)制，編寫針對網(wǎng)絡(luò)、數(shù)據(jù)庫、系統(tǒng)和惡意代碼等的應(yīng)急預(yù)案，并每年兩次進(jìn)行測試和演練。1.5 適用范圍本手冊按照ISO/IEC27001:2005信息安全管理體系要求，結(jié)合AAAAA公司的BBBBB

8、（統(tǒng)的實(shí)際編制而成，符合ISO/IEC27001:2005標(biāo)準(zhǔn)的全部要求。本管理制度適用于AAAA於司的BBBBBS統(tǒng)建設(shè)和運(yùn)維過程。第二章AAAAA公司XXXXX信息安全管理體系文件2.1 目的為規(guī)范AAAAA司XXXXX（以下簡稱“DDDDD）的信息安全管理體系文件的制訂、修訂及評審，特制定本制度。2.2 范圍本管理規(guī)范適用于信息安全領(lǐng)導(dǎo)小組和工作小組對信息安全管理體系文件的維護(hù)管理。2.3 職責(zé)由信息安全工作小組的主體部門ddddD責(zé)信息安全管理體系文件的維護(hù)，包括制訂、修訂和評審，由信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)體系文件的批準(zhǔn)、發(fā)布和作廢。2.4 管理細(xì)則2.4.1 體系文件生命周期流程體系文件

9、流程圖2.4.2 體系文件策劃信息安全工作小組組織相關(guān)人員，根據(jù)信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求(GBT22239-2008)、信息安全技術(shù)信息系統(tǒng)安全管理要求(GBT20269-2006)、«ISO/IEC27001:2005信息安全管理體系的要求，結(jié)合實(shí)際的職責(zé)和工作流程，策劃制定信息安全管理體系文件，并形成AAAAA公司XXXXX息安全管理體系文件匯編。信息安全工作小組將制定的AAAAA司XXXXX!息安全管理體系文件匯編匯報給信息安全領(lǐng)導(dǎo)小組，信息安全領(lǐng)導(dǎo)小組進(jìn)行審批確認(rèn)。2.4.3 體系文件的評審信息安全工作小組應(yīng)定期發(fā)起對體系文件的評審，應(yīng)填寫體系文件建立中請表(

10、詳見附1)。對體系文件的評審應(yīng)至少每年進(jìn)行一次。評審流程如下：(1)信息安全工作小組發(fā)起對體系文件的評審申請，信息安全領(lǐng)導(dǎo)小組確認(rèn)后批準(zhǔn)評審要求。(2)信息安全工作小組制定評審計(jì)劃。計(jì)劃中應(yīng)確定各文檔對應(yīng)的評審責(zé)任人以及實(shí)施評審的時間計(jì)劃。(3)各評審責(zé)任人根據(jù)時間計(jì)劃，結(jié)合內(nèi)部審核、管理評審、風(fēng)險評估及日常記錄的結(jié)果，評估現(xiàn)有文件的有效性和充分性。如果確定文檔有必要進(jìn)行修改，應(yīng)填寫體系文件更改申請表(詳見附2)o(4)如果修改的內(nèi)容只涉及XXXXX則由信息安全工作小組組長進(jìn)行審批，在審批同意后，由文檔評審責(zé)任人進(jìn)行修改。(5)如果修改的內(nèi)容涉及到XXXXX外的部門，需要所有涉及部門的會簽。會

11、簽后，由文檔評審責(zé)任人進(jìn)行文檔修改。如需要，可邀請專家對體系文件進(jìn)行專家評審(詳見附5、附6、附7)o(6)修改完畢之后，各責(zé)任人將體系文件評審記錄表(詳見附3)和完善后的體系文件版本一并報送信息安全工作小組，由信息安全工作小組進(jìn)行標(biāo)識和保存。(7)信息安全工作小組最終對評審結(jié)果向信息安全領(lǐng)導(dǎo)小組進(jìn)行匯報。2.4.4 體系文件的作廢(1)在體系文件的評審過程中，如果評審責(zé)任人認(rèn)為文件應(yīng)當(dāng)作廢，則填寫體系文件作廢申請表(詳見附4),由信息安全工作小組審批后，報信息安全領(lǐng)導(dǎo)小組進(jìn)行審批。(2)信息安全領(lǐng)導(dǎo)小組審批完成后，信息安全工作小組負(fù)責(zé)通知所有相關(guān)人員，并對aaaaA司xxxxX息安全管理體系

12、文件進(jìn)行廢除。第三章信息安全管理體系3.1 信息安全管理體系以ISO/IEC27001:2005信息安全管理體系要求為依據(jù)，建立信息安全管理體系，并形成相關(guān)的信息安全管理體系文件。由AAAA慫司主管領(lǐng)導(dǎo)批準(zhǔn)發(fā)布，在AAAA慫司范圍內(nèi)實(shí)施并保持，利用內(nèi)部審核、管理評審、定期檢查、定期更新和預(yù)防措施以及持續(xù)改進(jìn)的手段，確保信息安全管理體系的有效性。3.1.1 信息安全管理體系建立3.1,1,1管理體系范圍根據(jù)AAAAA司系統(tǒng)業(yè)務(wù)特點(diǎn)、組織機(jī)構(gòu)、物理位置確定AAAAA司的BBBBB系統(tǒng)信息安全管理體系的范圍為：所有部門和正式工作人員，包括AAAA於司所有成員；AAAAA司XXXXXE要負(fù)責(zé)AAAA慫

13、司的BBBBB統(tǒng)建設(shè)和運(yùn)行工作及系統(tǒng)維護(hù)和管理；與系統(tǒng)業(yè)務(wù)活動相關(guān)的應(yīng)用系統(tǒng)及其包含的全部信息資產(chǎn)，其中應(yīng)用系統(tǒng)包括：AAAAA司的BBBB系統(tǒng)；信息資產(chǎn)包括：與上述業(yè)務(wù)應(yīng)用系統(tǒng)相關(guān)的數(shù)據(jù)、硬件、軟件、服務(wù)及文檔等；AAAAA司的BBBB康統(tǒng)涉及的辦公場所和上述業(yè)務(wù)應(yīng)用系統(tǒng)所處機(jī)房，其中機(jī)房為AAAA慫司的BBBBB統(tǒng)所在機(jī)房。3.1.1.2風(fēng)險評估在體系建立過程中，AAAA慫司確定信息安全風(fēng)險評估方法，對AAAA於司的BBBB康統(tǒng)實(shí)施風(fēng)險評估（詳見附8）,識別AAAAA司的BBBBB統(tǒng)所面臨的風(fēng)險,并根據(jù)風(fēng)險進(jìn)行相應(yīng)的處理。3.1,1.3風(fēng)險處置在風(fēng)險評估后，根據(jù)風(fēng)險評估的結(jié)果，確定風(fēng)險處置

14、的策略，包括：采用風(fēng)險控制措施，以降低面臨的信息安全風(fēng)險；在滿足信息安全方針和風(fēng)險接受準(zhǔn)則的前提下，有意識地、客觀地接受風(fēng)險；轉(zhuǎn)移相關(guān)業(yè)務(wù)風(fēng)險到其他方面，如：購買產(chǎn)品維保，運(yùn)維服務(wù)外包等；根據(jù)風(fēng)險處置策略，制定風(fēng)險控制措施，對已識別出的風(fēng)險進(jìn)行分類處理，并對殘余風(fēng)險進(jìn)行了批準(zhǔn)。3.1.2 信息安全管理體系實(shí)施在實(shí)施和運(yùn)行信息安全管理體系中所開展的工作包括：通過風(fēng)險管理方法來控制信息系統(tǒng)中存在的信息安全風(fēng)險，配置資源、明確職責(zé)和優(yōu)先級別，實(shí)施適當(dāng)?shù)墓芾泶胧粚?shí)施各信息安全管理體系文件中包括的控制措施，以達(dá)到各控制目標(biāo);實(shí)施培訓(xùn)和意識教育計(jì)劃，具體內(nèi)容參見培訓(xùn)制度；實(shí)施能迅速檢測安全事件和響應(yīng)安全

15、事故的程序。3.1.3 信息安全管理體系監(jiān)察嚴(yán)格執(zhí)行監(jiān)視和評審程序以及其它相關(guān)措施，以達(dá)到：迅速檢測信息安全管理體系運(yùn)行過程中的缺陷和弱點(diǎn)；迅速識別潛在的和已發(fā)生的信息安全違規(guī)和事故；確保管理者分配給各人員的信息安全活動或通過信息技術(shù)實(shí)施的信息安全活動能如期執(zhí)行；確定信息安全措施的有效性；定期進(jìn)行信息安全管理評審，以判斷信息安全管理體系的有效性；定期進(jìn)行信息安全風(fēng)險評估的評審；定期對信息安全管理體系進(jìn)行管理評審；依據(jù)監(jiān)視和評審活動的結(jié)果，對信息安全管理體系進(jìn)行修改和完善；記錄可能影響信息安全管理體系有效性或執(zhí)行情況的措施和事件。第四章信息安全組織機(jī)構(gòu)制度4.1 信息安全組織機(jī)構(gòu)AAAAA司針對

16、AAAA慫司的BBBB康統(tǒng)的信息安全組織機(jī)構(gòu)包括信息安全領(lǐng)導(dǎo)小組和信息系統(tǒng)安全小組。信息系統(tǒng)安全小組的成員包括：機(jī)房管理員、主機(jī)管理員、網(wǎng)絡(luò)管理員、應(yīng)用管理員、安全管理員、安全審計(jì)員。根據(jù)各個職位職責(zé)不同，對于安全管理員與安全審計(jì)員應(yīng)配備專職人員，不可兼任；對于關(guān)鍵事務(wù)崗位應(yīng)考慮多人共同管理。aaaaA司信息安全體系組織機(jī)構(gòu)圖如下：4.1.1 信息安全職能部門職責(zé)信息安全職能部門為XXXXX,主要職責(zé)如下：保障機(jī)房信息系統(tǒng)的安全運(yùn)行；負(fù)責(zé)機(jī)房的環(huán)境維護(hù)和物理訪問管理；負(fù)責(zé)機(jī)房的設(shè)備維護(hù)及設(shè)備管理；負(fù)責(zé)機(jī)房內(nèi)任何事故的上報及處理；負(fù)責(zé)制定及修訂有關(guān)機(jī)房安全管理制度。負(fù)責(zé)對機(jī)房值班人員及技術(shù)維護(hù)人

17、員（外包方）進(jìn)行日常工作管理和檢查；負(fù)責(zé)AAAA於司的AAAA於司的BBBB陳統(tǒng)的使用控制及處置管理。介質(zhì)的使用人負(fù)責(zé)在單位內(nèi)部介質(zhì)的使用控制及處置管理。各相關(guān)接待人負(fù)責(zé)其接待的外來人員的介質(zhì)的使用及監(jiān)督。負(fù)責(zé)AAAAA公司網(wǎng)絡(luò)系統(tǒng)安全管理。負(fù)責(zé)AAAAA公司基礎(chǔ)平臺系統(tǒng)安全管理，應(yīng)用系統(tǒng)安全管理。負(fù)責(zé)AAAAA公司信息系統(tǒng)的惡意代碼防范工作，及發(fā)生惡意代碼攻擊時的應(yīng)急處理。負(fù)責(zé)AAAAA公司信息系統(tǒng)的密碼使用管理工作，包括密碼的保管、分配、修改、授權(quán)。負(fù)責(zé)aaaaa公司信息系統(tǒng)數(shù)據(jù)備份與恢復(fù)管理工作。負(fù)責(zé)AAAAA公司信息系統(tǒng)安全事件管理工作。4.1.2 信息安全領(lǐng)導(dǎo)小組職責(zé)信息安全領(lǐng)導(dǎo)小組

18、主要職責(zé)如下：負(fù)責(zé)關(guān)于信息安全方面工作的方針政策；審定aaaaA司的bbbbB統(tǒng)的安全建設(shè)規(guī)劃；對信息系統(tǒng)安全工作的重大事項(xiàng)做出決策；研究審定AAAA於司的BBBBB統(tǒng)安全建設(shè)和管理工作中的制度、標(biāo)準(zhǔn)及相關(guān)政策，并協(xié)調(diào)相關(guān)部門監(jiān)督制度、政策的實(shí)施情況；組織、協(xié)調(diào)和指導(dǎo)信息安全的宣傳、普及教育工作。4.1.3 信息系統(tǒng)安全小組職責(zé)及要求負(fù)責(zé)貫徹落實(shí)信息安全領(lǐng)導(dǎo)小組關(guān)于信息系統(tǒng)安全工作的要求和規(guī)定，并落實(shí)各項(xiàng)安全工作；負(fù)責(zé)信息系統(tǒng)的安全管理體系和規(guī)章制度的建立、實(shí)施；建設(shè)、技術(shù)保障和操作規(guī)范等各方面的逐步建成；組織制訂和貫徹信息系統(tǒng)運(yùn)行安全保障和維護(hù)工作制度。4.1.3.1 機(jī)房管理員職責(zé)及要求機(jī)

19、房管理員主要職責(zé)如下：負(fù)責(zé)保障機(jī)房物理與環(huán)境的安全建設(shè)管理負(fù)責(zé)制定機(jī)房基礎(chǔ)設(shè)施的相關(guān)資產(chǎn)清單（詳見附9）內(nèi)容包括資產(chǎn)名稱、重要程度、所處位置等。明確產(chǎn)品所有者、使用者與維護(hù)者；對所有產(chǎn)品進(jìn)行標(biāo)記，實(shí)現(xiàn)信息資產(chǎn)從采購、安裝、調(diào)試、使用、變更到報廢整個周期的安全管理，并且密碼相關(guān)產(chǎn)品符合國家密碼主管部門的要求。令相關(guān)人員能夠按照維護(hù)規(guī)程對系統(tǒng)進(jìn)行操作，降低和避免因誤操作所引發(fā)信息安全事件的可能性。負(fù)責(zé)保障機(jī)房物理與環(huán)境安全實(shí)施包括門禁、視頻監(jiān)控、報警等安全防范措施，確保機(jī)房物理安全。部署機(jī)房專用空調(diào)、UP等環(huán)境保障設(shè)施，對機(jī)房設(shè)施運(yùn)轉(zhuǎn)情況進(jìn)行每日兩次巡檢、維護(hù)、故障處理和變更管理。嚴(yán)格對機(jī)房人員和

20、設(shè)備的出入管理，進(jìn)出需登記，外來人員需由相關(guān)管理人員陪同方能訪問機(jī)房。在機(jī)房基礎(chǔ)設(shè)施變更、重要操作、物理訪問等的進(jìn)行逐級審批，負(fù)責(zé)日常審批，重大變更需上報到AAAA慫司領(lǐng)導(dǎo)小組負(fù)責(zé)人進(jìn)行核準(zhǔn)和審批后，方可進(jìn)行變更；負(fù)責(zé)組織實(shí)施機(jī)房基礎(chǔ)設(shè)施各類事故（故障）的應(yīng)急處理。機(jī)房管理員任職要求如下：1、遵守AAAAA公司的各項(xiàng)規(guī)章制度；具有良好的職業(yè)道德和敬業(yè)精神；2、愛崗敬業(yè)，吃苦耐勞，愿意長期從事機(jī)房管理工作；3、服從分配與管理，團(tuán)結(jié)協(xié)作具有良好的團(tuán)隊(duì)精神；能全心全意為AAAAA公司服務(wù)，言行舉止形象文明；4、了解計(jì)算機(jī)軟硬件安裝及維護(hù)，動手能力強(qiáng)；5、具有一定的組織能力和語言表達(dá)能力6、具備保密意

21、識。4.1,3.2主機(jī)管理員主機(jī)管理員主要職責(zé)如下：負(fù)責(zé)保障主機(jī)（包括服務(wù)器設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、數(shù)據(jù)備份）；信息安全日常管理包括系統(tǒng)口令管理、無人值守設(shè)備管理、屏幕保護(hù)、便攜機(jī)管理等，促使每位人員的日常工作符合AAAA慫司的BBBBB統(tǒng)的信息安全策略和制度要求。負(fù)責(zé)主機(jī)運(yùn)行維護(hù)體系和主機(jī)技術(shù)支持平臺的建設(shè)與運(yùn)行管理，建立服務(wù)器設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、數(shù)據(jù)備份文檔化的操作和維護(hù)規(guī)程，使得各個相關(guān)人員能夠采用規(guī)范化的形式對系統(tǒng)進(jìn)行操作，降低和避免因誤操作所引發(fā)信息安全事件的可能性。重要信息和信息系統(tǒng)備份定期進(jìn)行重要信息和信息系統(tǒng)備份，并對備份介質(zhì)進(jìn)行安全地保存，以及對備份數(shù)據(jù)定期進(jìn)行備

22、份測試驗(yàn)證，保證各種備份信息的保密性、完整性和可用性，確保所有重要信息系統(tǒng)和重要數(shù)據(jù)在故障、災(zāi)難后及其它特定要求下進(jìn)行可靠的恢復(fù)。負(fù)責(zé)統(tǒng)一部署防病毒軟件，并每周更新病毒庫；負(fù)責(zé)全系統(tǒng)的計(jì)算機(jī)惡意代碼防治和主機(jī)安全的管理工作，制定檢查計(jì)劃（包含在主機(jī)巡檢工作中），督促檢查工作；負(fù)責(zé)重要信息系統(tǒng)的訪問控制管理，對系統(tǒng)特殊權(quán)限和系統(tǒng)實(shí)用工具的使用進(jìn)行嚴(yán)格的審批和監(jiān)管;負(fù)責(zé)組織實(shí)施主機(jī)各類事故(故障)的應(yīng)急處理。主機(jī)管理員任職要求如下：1、一年以上相關(guān)工作經(jīng)驗(yàn)。2、了解熟悉服務(wù)器軟件和運(yùn)行系統(tǒng)(ApacheWindows/UNIX),和網(wǎng)絡(luò)故障排除，熟悉了解安全措施，能主動學(xué)習(xí)和聆聽良好的時間安排能力

23、，出色的溝通能力以及客戶服務(wù)能力，完美解決問題，靈活且可靠，以及獨(dú)立工作能力。3、具備保密意識4.1.3.3 網(wǎng)絡(luò)管理員網(wǎng)絡(luò)管理員主要職責(zé)如下：負(fù)責(zé)保障網(wǎng)絡(luò)安全建設(shè)管理；規(guī)范網(wǎng)絡(luò)管理流程；采用技術(shù)和管理兩方面的控制措施，加強(qiáng)對應(yīng)用系統(tǒng)的安全控制，提高網(wǎng)絡(luò)的安全性和穩(wěn)定性；對重要網(wǎng)絡(luò)設(shè)備應(yīng)有文檔化的操作和維護(hù)規(guī)程，使得維護(hù)人員能夠采用規(guī)范化的形式對系統(tǒng)進(jìn)行操作，降低和避免因誤操作所引發(fā)信息安全事件的可能性；負(fù)責(zé)保障網(wǎng)絡(luò)安全，協(xié)助安全管理員部署網(wǎng)絡(luò)安全產(chǎn)品，確保網(wǎng)絡(luò)安全；對網(wǎng)絡(luò)設(shè)備設(shè)施運(yùn)轉(zhuǎn)情況進(jìn)行定期巡檢、維護(hù)、故障處理和變更管理；在網(wǎng)絡(luò)系統(tǒng)變更、重要操作、訪問等的進(jìn)行逐級審批，負(fù)責(zé)日常審批，重大

24、變更需報到AAAA於司領(lǐng)導(dǎo)小組進(jìn)行核準(zhǔn)和審批后,方可進(jìn)行變更；負(fù)責(zé)組織實(shí)施網(wǎng)絡(luò)各類事故（故障）的應(yīng)急處理。網(wǎng)絡(luò)管理員任職要求如下：1、大專以上學(xué)歷，計(jì)算機(jī)、通信等相關(guān)專業(yè)2、二年以上網(wǎng)絡(luò)管理員工作經(jīng)驗(yàn)3、熟悉常用服務(wù)器設(shè)備，具備故障診斷和處理能力4、熟練掌握Windows操作系統(tǒng)的管理、維護(hù)5、了解主流廠商的設(shè)備和技術(shù)發(fā)展6、具備保密意識7、具備良好職業(yè)道德與工作態(tài)度，善于溝通4.1.3.4 應(yīng)用管理員應(yīng)用管理員主要職責(zé)如下：負(fù)責(zé)保障軟件開發(fā)管理在AAAA慫司的BBBB康統(tǒng)系統(tǒng)立項(xiàng)和審批過程中,同步考慮信息安全需求和目標(biāo)。應(yīng)保證系統(tǒng)設(shè)計(jì)、開發(fā)過程的安全，重點(diǎn)加強(qiáng)對軟件代碼安全性的管理。屬于外包

25、軟件開發(fā)的，應(yīng)與服務(wù)提供商簽署保密協(xié)議。系統(tǒng)開發(fā)完成后，應(yīng)要求通過第三方安全機(jī)構(gòu)對軟件安全性的測評。負(fù)責(zé)建立重要應(yīng)用的文檔化操作和維護(hù)規(guī)程（詳見附10）,使得各個相關(guān)人員能夠采用規(guī)范化的形式對系統(tǒng)進(jìn)行操作，降低和避免因誤操作所引發(fā)信息安全事件的可能性；負(fù)責(zé)信息安全日常管理，包括應(yīng)用系統(tǒng)口令管理、授權(quán)審批管理等，促使每位人員的日常工作符合AAAA慫司的BBBBB統(tǒng)系統(tǒng)信息安全策略和制度要求。在應(yīng)用系統(tǒng)變更、重要操作、訪問等的進(jìn)行逐級審批，負(fù)責(zé)日常審批，重大變更需報到AAAA於司領(lǐng)導(dǎo)小組進(jìn)行核準(zhǔn)和審批后,方可進(jìn)行變更;負(fù)責(zé)組織實(shí)施應(yīng)用系統(tǒng)各類事故（故障）的應(yīng)急處理。應(yīng)用管理員任職要求如下：1、全日

26、制大學(xué)本科及以上學(xué)歷；2、3年以上信息項(xiàng)目管理或軟件開發(fā)及維護(hù)工作經(jīng)驗(yàn)；3、工作責(zé)任心強(qiáng)，有良好的團(tuán)隊(duì)合作精神，溝通表達(dá)能力、文字表達(dá)能力及組織、協(xié)調(diào)能力較強(qiáng)；4.1.3.5 安全管理員安全管理員主要職責(zé)如下：負(fù)責(zé)安全制度的貫徹執(zhí)行；負(fù)責(zé)制訂信息系統(tǒng)安全規(guī)劃，并在實(shí)施過程中逐步完善；負(fù)責(zé)制定安全設(shè)備或系統(tǒng)的相關(guān)資產(chǎn)清單。內(nèi)容包括資產(chǎn)名稱、重要程度、所處位置等；負(fù)責(zé)制定安全設(shè)備或系統(tǒng)的文檔化的操作和維護(hù)規(guī)程，使得運(yùn)維人員能夠采用規(guī)范化的形式對系統(tǒng)進(jìn)行操作，降低和避免因誤操作所引發(fā)信息安全事件的可能性；負(fù)責(zé)對安全設(shè)備或系統(tǒng)運(yùn)行維護(hù)管理，對安全設(shè)備或系統(tǒng)運(yùn)轉(zhuǎn)情況進(jìn)行定期巡檢、維護(hù)、故障處理和變更管理

27、。負(fù)責(zé)組織實(shí)施安全設(shè)備或系統(tǒng)各類事故（故障）的應(yīng)急處理;每年進(jìn)行風(fēng)險評估，根據(jù)評估結(jié)果會同其他負(fù)責(zé)人進(jìn)行風(fēng)險處置；負(fù)責(zé)協(xié)助領(lǐng)導(dǎo)安排安全培訓(xùn)，負(fù)責(zé)協(xié)助負(fù)責(zé)制定每年安全教育計(jì)劃，加強(qiáng)信息系統(tǒng)的安全教育，通過各種方式進(jìn)行宣傳和培訓(xùn)，提高全系統(tǒng)安全防范意識；負(fù)責(zé)制定安全檢查計(jì)劃包括檢查職責(zé)、檢查周期、檢查范圍、檢查內(nèi)容、檢查報告的編制、檢查整改、檢查通報等內(nèi)容。對信息系統(tǒng)安全檢查并進(jìn)行情況通報。對記錄進(jìn)行收集、整理、歸檔。（詳見附11）當(dāng)出現(xiàn)安全事件時，負(fù)責(zé)對發(fā)生的安全事件及時上報，并配合相關(guān)的調(diào)查和糾正工作；當(dāng)信息系統(tǒng)運(yùn)行發(fā)生重大問題時，協(xié)助相關(guān)部門正確判斷原因，根據(jù)指令立即采取安全措施啟動相關(guān)處理

28、程序；負(fù)責(zé)與外部安全機(jī)構(gòu)的協(xié)調(diào)聯(lián)系，在發(fā)生重大安全事件時以協(xié)調(diào)獲取外部安全機(jī)構(gòu)的支持；負(fù)責(zé)對介質(zhì)的管理，對介質(zhì)的歸檔、查詢和借用進(jìn)行記錄，對介質(zhì)進(jìn)行定期盤點(diǎn)并記錄，對故障介質(zhì)的進(jìn)行送修和銷毀并記錄，對于保密性高的介質(zhì)銷毀需要申報領(lǐng)導(dǎo)批準(zhǔn)，并進(jìn)行記錄。對介質(zhì)物理傳輸?shù)慕唤舆M(jìn)行記錄。加強(qiáng)對信息系統(tǒng)外包業(yè)務(wù)與外包方的管理，在與信息系統(tǒng)外包方簽署的服務(wù)協(xié)議中，對信息系統(tǒng)安全加以要求。通過審批、訪問控制、監(jiān)控、簽署保密協(xié)議等措施，加強(qiáng)外部方訪問“AAAA於司的BBBB添統(tǒng)系統(tǒng)”的管理，防止外部方危害信息系統(tǒng)安全。重視對IT服務(wù)連續(xù)性的管理，建立對各類信息安全事件的預(yù)防、預(yù)警、響應(yīng)、處置、恢復(fù)機(jī)制，并編寫

29、相應(yīng)的應(yīng)急預(yù)案；在符合國家密碼管理相關(guān)規(guī)定的條件下，合理使用密碼技術(shù)和密碼設(shè)備，嚴(yán)格密鑰生成、分發(fā)、保存等方面的安全管理，保障密碼技術(shù)使用的安全性。（密碼變更記錄表見附13）安全管理員任職要求如下：1、大專以上學(xué)歷，計(jì)算機(jī)、通信等相關(guān)專業(yè)2、二年以上網(wǎng)絡(luò)管理員工作經(jīng)驗(yàn)3、熟悉常用服務(wù)器設(shè)備，具備故障診斷和處理能力4、具備保密意識5、具備良好職業(yè)道德與工作態(tài)度，善于溝通4.1.3.6 安全審計(jì)員安全審計(jì)員的主要職責(zé)：參與制定AAAAA公司規(guī)章制度和流程，規(guī)章制度和流程培訓(xùn)與宣傳；根據(jù)AAAAA公司的審計(jì)要求制定審計(jì)計(jì)劃，定期或不定期的開展審計(jì)工作，撰寫審計(jì)報告，開展風(fēng)險評估，發(fā)現(xiàn)安全漏洞或隱患，

30、提交處理報告和切合實(shí)際可操作的處理方案，指導(dǎo)實(shí)施；負(fù)責(zé)機(jī)房安全審計(jì)，負(fù)責(zé)數(shù)據(jù)庫服務(wù)器、數(shù)據(jù)備份與災(zāi)難恢復(fù)審計(jì)；負(fù)責(zé)操作系統(tǒng)安全審計(jì)，關(guān)鍵系統(tǒng)的用戶角色權(quán)限審計(jì)；（安全審計(jì)員安全審計(jì)工作報告每月）負(fù)責(zé)日常信息安全規(guī)章制度和流程的執(zhí)行審計(jì)，信息系統(tǒng)環(huán)境安全審計(jì)?對被審計(jì)部門提供咨詢、建議、協(xié)調(diào)等服務(wù)和公司領(lǐng)導(dǎo)安排的相關(guān)工作；負(fù)責(zé)對系統(tǒng)管理員、安全管理員的操作行為進(jìn)行審計(jì)跟蹤分析和監(jiān)督檢查，及時發(fā)現(xiàn)違規(guī)行為，每月向安全管理中心匯報工作情況；（詳見附14）安全審計(jì)員任職要求如下：1、大專以上學(xué)歷，計(jì)算機(jī)、通信等相關(guān)專業(yè)2、二年以上安全管理員工作經(jīng)驗(yàn)3、熟悉常用服務(wù)器設(shè)備，具備故障診斷和處理能力4、具備

31、保密意識5、具備良好職業(yè)道德與工作態(tài)度，善于溝通4.1.3.7 專家小組專家小組主要職責(zé)：專家應(yīng)符合有關(guān)資歷要求和知識要求，具有高度的事業(yè)心和責(zé)任心，認(rèn)真履行檢查職責(zé)；檢查中堅(jiān)持客觀公正，實(shí)事求是，不走過場，不弄虛作假，不隱瞞真實(shí)情況。對檢查結(jié)果和所提的意見和建議負(fù)責(zé)。受AAAA慫司委托,定期對其生產(chǎn)作業(yè)場所進(jìn)行安全檢查。檢查時做到全面細(xì)致，不留死角。確保經(jīng)檢查、整改和復(fù)查，安全制度、應(yīng)急救援、消防設(shè)施、安全設(shè)施等重要設(shè)施，屏蔽機(jī)房等重要場所部位符合相關(guān)規(guī)范要求。對安全檢查中查出的問題和隱患應(yīng)逐一向AAAAA司交底，并提出整改意見和建議；對查出的重大事故隱患應(yīng)及時通報AAAA慫司結(jié)束后，應(yīng)如實(shí)

32、記錄檢查情況，并在檢查記錄上簽字針對aaaaA司信息安全事故隱患，適時對整改情況進(jìn)行復(fù)查，整改復(fù)查情況應(yīng)如實(shí)記錄并由AAAA祭司存檔。專家小組任職要求：1、碩士以上學(xué)歷；2、了解并熟悉信息工程及相關(guān)領(lǐng)域知識；2、熟悉相關(guān)法律法規(guī)及規(guī)范/標(biāo)準(zhǔn)；3、了解ISO9001管理體系；4、具備注冊安全工程師、注冊安全評價師、注冊風(fēng)險評價師等資質(zhì)證書優(yōu)先考慮；5、熟悉國家及地方政府對環(huán)境、健康與安全方面的政策法規(guī)6、具備良好的組織協(xié)調(diào)能力、溝通能力及團(tuán)隊(duì)協(xié)作能力；7、良好的語言表達(dá)、交流能力。8、具備保密意識4.1.4信息安全小組權(quán)限系統(tǒng)管理員系統(tǒng)管理員擁有最高的管理權(quán)限，包括更改系統(tǒng)和網(wǎng)絡(luò)配置，新增用戶。

33、網(wǎng)絡(luò)管理員、主機(jī)管理員網(wǎng)絡(luò)和主機(jī)管理員的權(quán)限僅次于系統(tǒng)管理員，包括更改系統(tǒng)和網(wǎng)絡(luò)配置，但無法新增用戶。安全管理員安全管理員只擁有管理權(quán)，包括查看安全日志，安全設(shè)備配置的變更、備份、環(huán)境的安全等。機(jī)房管理員機(jī)房管理員只擁有對硬件設(shè)備的操作權(quán)，但無法對硬件配置進(jìn)行任何更改，機(jī)房管理員登錄硬件設(shè)備的帳號只有查看權(quán)。安全審計(jì)員安全管理員只擁有審計(jì)權(quán)，包括查看審計(jì)日志，審核審查系統(tǒng)和網(wǎng)絡(luò)配置更改，審查各種數(shù)據(jù)庫記錄等。4.1.5信息安全管理人員aaaaA司設(shè)置有系統(tǒng)管理員、安全管理員和安全審計(jì)員、應(yīng)用管理員、主機(jī)管理員、機(jī)房管理員，配備多名管理人員和技術(shù)人員承擔(dān)信息系統(tǒng)日常運(yùn)行維護(hù)和管理任務(wù)。aaaaA

34、司將部分工作委托給專業(yè)技術(shù)公司完成，并和公司簽訂保密協(xié)議。aaaaA司應(yīng)用管理員、主機(jī)管理員、安全管理員、機(jī)房管理員、網(wǎng)絡(luò)管理員以及安全審計(jì)員，承擔(dān)信息系統(tǒng)日常運(yùn)行維護(hù)和管理任務(wù)。（備份管理員操作變更詳見附12:備份管理員操作變更申請單）各機(jī)構(gòu)人員情況如下表所示:AAAA於司信息安全領(lǐng)導(dǎo)小組角色職務(wù)姓名聯(lián)系電話組長副組長AAAA密司信息安全小組系統(tǒng)/主機(jī)管理員機(jī)房管理員網(wǎng)絡(luò)管理員應(yīng)用管理員AAAA於司信息安全后備小組備份系統(tǒng)/主機(jī)管理員備份機(jī)房管理員備份網(wǎng)絡(luò)管理員備份應(yīng)用管理員AAAA密司信息小組信息化三員角色職務(wù)姓名聯(lián)系電話系統(tǒng)管理員安全管理員安全審計(jì)員4.1.6關(guān)鍵崗位協(xié)議涉及到核心系統(tǒng)、

35、數(shù)據(jù)庫的管理人員為關(guān)鍵崗位管理人員，如主機(jī)，安全管理人員需要明確其職責(zé)，并需要簽訂崗位職責(zé)協(xié)議書，在崗人員只能從事協(xié)議書內(nèi)相關(guān)的工作，不能有越權(quán)行為。AAAA公司XXXX潦統(tǒng)管理員崗位協(xié)議書名字部門職責(zé)范圍：1 .負(fù)責(zé)保障主機(jī)（包括服務(wù)器設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、數(shù)據(jù)備份）；2 .信息安全日常管理包括系統(tǒng)口令管理、無人值守設(shè)備管理、屏幕保護(hù)、便攜機(jī)管理等，促使每位人員的日常工作符合AAAAA司的BBBB康統(tǒng)的信息安全策略和制度要求。3 .負(fù)責(zé)主機(jī)運(yùn)行維護(hù)體系和主機(jī)技術(shù)支持平臺的建設(shè)與運(yùn)行管理建立服務(wù)器設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、數(shù)據(jù)備份文檔化的操作和維護(hù)規(guī)程，使得各個相關(guān)人員能夠采用規(guī)范化的

36、形式對系統(tǒng)進(jìn)行操作，降低和避免因誤操作所引發(fā)信息安全事件的可能性。4 .重要信息和信息系統(tǒng)備份定期進(jìn)行重要信息和信息系統(tǒng)備份，并對備份介質(zhì)進(jìn)行安全地保存，以及對備份數(shù)據(jù)定期進(jìn)行備份測試驗(yàn)證，保證各種備份信息的保密性、完整性和可用性，確保所有重要信息系統(tǒng)和重要數(shù)據(jù)在故障、災(zāi)難后及其它特定要求下進(jìn)行可靠的恢復(fù)。5 .負(fù)責(zé)統(tǒng)一部署防病毒軟件，并定期更新病毒庫；6 .負(fù)責(zé)全系統(tǒng)的計(jì)算機(jī)惡意代碼防治和主機(jī)安全的管理工作，制定檢查計(jì)劃（包含在主機(jī)巡檢工作中），督促檢查工作；7 .負(fù)責(zé)重要信息系統(tǒng)的訪問控制管理，對系統(tǒng)特殊權(quán)限和系統(tǒng)實(shí)用工具的使用進(jìn)行嚴(yán)格的審批和監(jiān)管；8 .負(fù)責(zé)組織實(shí)施主機(jī)各類事故（故障）的

37、應(yīng)急處理。9 .嚴(yán)格遵守保密協(xié)議。簽字確認(rèn)：7日備注：AAAA慫司永久存檔AAAA公司XXXX夜全管理員崗位協(xié)議書名字部門職責(zé)范圍：1 .負(fù)責(zé)我局安全制度的貫徹執(zhí)行；2 .負(fù)責(zé)制訂信息系統(tǒng)安全規(guī)劃，并在實(shí)施過程中逐步完善；3 .負(fù)責(zé)制定我局安全設(shè)備或系統(tǒng)的相關(guān)資產(chǎn)清單。內(nèi)容包括資產(chǎn)管理的責(zé)任部門、資產(chǎn)名稱、重要程度、所處位置等；4 .負(fù)責(zé)制定安全設(shè)備或系統(tǒng)的文檔化的操作和維護(hù)規(guī)程，使得相關(guān)人員能夠采用規(guī)范化的形式對系統(tǒng)進(jìn)行操作，降低和避免因誤操作所引發(fā)信息安全事件的可能性；5 .負(fù)責(zé)我局安全設(shè)備或系統(tǒng)運(yùn)行維護(hù)管理，對安全設(shè)備或系統(tǒng)運(yùn)轉(zhuǎn)情況進(jìn)行定期巡檢、維護(hù)、故障處理和變更管理。負(fù)責(zé)組織實(shí)施安全

38、設(shè)備或系統(tǒng)各類事故（故障）的應(yīng)急處理；6 .每年進(jìn)行風(fēng)險評估，根據(jù)評估結(jié)果會同其他負(fù)責(zé)人進(jìn)行風(fēng)險處置；7 .負(fù)責(zé)協(xié)助領(lǐng)導(dǎo)安排安全培訓(xùn)，負(fù)責(zé)協(xié)助負(fù)責(zé)制定每年安全教育計(jì)劃，加強(qiáng)信息系統(tǒng)的安全教育，通過各種方式進(jìn)行宣傳和培訓(xùn)，提高全系統(tǒng)安全防范意識；8 .負(fù)責(zé)制定安全檢查計(jì)劃包括檢查職責(zé)、檢查周期、檢查范圍、檢查內(nèi)容、檢查報告的編制、檢查整改、檢查通報等內(nèi)容。對信息系統(tǒng)安全檢查并進(jìn)行情況通報。對記錄進(jìn)行收集、整理、歸檔。9 .當(dāng)出現(xiàn)安全事件時，負(fù)責(zé)對發(fā)生的安全事件及時上報，并配合相關(guān)的調(diào)查和糾正工作；10 .當(dāng)信息系統(tǒng)運(yùn)行發(fā)生重大問題時，協(xié)助相關(guān)部門正確判斷原因，根據(jù)指令立即采取安全措施啟動相關(guān)處理

39、程序；11 .負(fù)責(zé)與外部安全機(jī)構(gòu)的協(xié)調(diào)聯(lián)系，在發(fā)生重大安全事件時以協(xié)調(diào)獲取外部安全機(jī)構(gòu)的支持；12 .負(fù)責(zé)對介質(zhì)的管理對介質(zhì)的歸檔、查詢和借用進(jìn)行記錄，對介質(zhì)進(jìn)行定期盤點(diǎn)并記錄，對故障介質(zhì)的進(jìn)行送修和銷毀并記錄，對于保密性高的介質(zhì)銷毀需要申報領(lǐng)導(dǎo)批準(zhǔn)，并進(jìn)行記錄。對介質(zhì)物理傳輸?shù)慕唤舆M(jìn)行記錄。13 .加強(qiáng)對信息系統(tǒng)外包業(yè)務(wù)與外包方的管理在與信息系統(tǒng)外包方簽署的服務(wù)協(xié)議中，對信息系統(tǒng)安全加以要求。通過審批、訪問控制、監(jiān)控、簽署保密協(xié)議等措施，加強(qiáng)外部方訪問“健康檔案”的管理，防止外部方危害信息系統(tǒng)安全。14 .重視對IT服務(wù)連續(xù)性的管理，建立對各類信息安全事件的預(yù)防、預(yù)警、響應(yīng)、處置、恢復(fù)機(jī)制，

40、并編寫相應(yīng)的應(yīng)急預(yù)案；15 .在符合國家密碼管理相關(guān)規(guī)定的條件下，合理使用密碼技術(shù)和密碼設(shè)備，嚴(yán)格密鑰生成、分發(fā)、保存等方面的安全管理，保障密碼技術(shù)使用的安全性。16 .嚴(yán)格遵守保密協(xié)議。簽字確認(rèn)：年日備注：AAAA慫司永久存檔AAAA公司XXXX/全審計(jì)員崗位協(xié)議名字部門職責(zé)范圍：1 .參與制定我局規(guī)章制度和流程，規(guī)章制度和流程培訓(xùn)與宣傳；2 .根據(jù)我局的審計(jì)要求制定審計(jì)計(jì)劃，定期或不定期的開展審計(jì)工作，撰寫審計(jì)報告，開展風(fēng)險評估，發(fā)現(xiàn)安全漏洞或隱患，提交處理報告和切合實(shí)際可操作的處理方案，指導(dǎo)實(shí)施；3 .負(fù)責(zé)我局機(jī)房安全審計(jì)，負(fù)責(zé)數(shù)據(jù)庫服務(wù)器、數(shù)據(jù)備份與災(zāi)難恢復(fù)審計(jì)；4 .負(fù)責(zé)我局操作系統(tǒng)

41、安全審計(jì)，關(guān)鍵系統(tǒng)的用戶角色權(quán)限審計(jì)；5 .負(fù)責(zé)我局日常信息安全規(guī)章制度和流程的執(zhí)行審計(jì)，信息系統(tǒng)環(huán)境安全審計(jì)等；6 .對被審計(jì)部門提供咨詢、建議、協(xié)調(diào)等服務(wù)和公司領(lǐng)導(dǎo)安排的相關(guān)工作；7 .負(fù)責(zé)對系統(tǒng)管理員、安全管理員的操作行為進(jìn)行審計(jì)跟蹤分析和監(jiān)督檢查，及時發(fā)現(xiàn)違規(guī)行為，每月向信息安全中心匯報工作情況；8 、嚴(yán)格遵守保密協(xié)議。簽字確認(rèn)：年日備注：AAAA慫司永久存檔第五章信息安全授權(quán)及審批管理制度5.1 信息安全授權(quán)及審批管理制度在系統(tǒng)運(yùn)維過程中，對信息系統(tǒng)的訪問、變更等授權(quán)給AAAA慫司的BBBB康統(tǒng)運(yùn)維管理人員。具體為機(jī)房管理員負(fù)責(zé)機(jī)房相關(guān)事務(wù)的授權(quán)和審批；網(wǎng)絡(luò)管理員負(fù)責(zé)網(wǎng)絡(luò)相關(guān)事務(wù)的授

42、權(quán)和審批；主機(jī)管理員負(fù)責(zé)主機(jī)相關(guān)事務(wù)的授權(quán)和審批；應(yīng)用系統(tǒng)管理員負(fù)責(zé)應(yīng)用相關(guān)事務(wù)的授權(quán)和審批。授權(quán)審批流程如下：由相關(guān)信息安全組長判斷職責(zé)、并授權(quán)給相應(yīng)的管理人員；由外包服務(wù)公司申請，相應(yīng)的管理員進(jìn)行授權(quán)、審批（見附15）;填寫授權(quán)審批表（見附16）;組織AAAAA司人員每季度審查審批事項(xiàng)，及時更新需授權(quán)和審批的項(xiàng)目、審批部門和審批人等信息，保存審批文檔。需授權(quán)的審批事項(xiàng)如下:事項(xiàng)類型事項(xiàng)名稱負(fù)責(zé)人硬件運(yùn)維硬件維修進(jìn)出機(jī)房服務(wù)器配置變更系統(tǒng)配置受更安全變更特權(quán)用戶授權(quán)（主機(jī)、網(wǎng)絡(luò)）特權(quán)用戶授權(quán)（數(shù)據(jù)庫）系統(tǒng)軟件應(yīng)用受更數(shù)據(jù)庫受更第六章審核與檢查管理制度6.1 審核與檢查管理制度6.1.1 定期

43、安全檢查由安全領(lǐng)導(dǎo)小組組織專門人員每三個月進(jìn)行安全檢查；對包括網(wǎng)絡(luò)、安全設(shè)備、系統(tǒng)、文檔等各方面的安全檢查；檢查完畢后提交檢查報告，并由aaaaA司安全管理員進(jìn)行檢查報告復(fù)核,確定安全檢查結(jié)果，并對于不符合要求的地方提出整改措施并規(guī)定整改期限，以電子郵件或書面形式通知被檢查人員；（詳見附17）檢查時針對上一次的檢查結(jié)果進(jìn)行復(fù)查，若發(fā)現(xiàn)仍未整改的，需上報信息安全領(lǐng)導(dǎo)小組并進(jìn)行書面通告。（詳見附18）安全檢查流程6.1.2 文件審批與發(fā)布管理制度安全管理員根據(jù)ISO/IEC27001:2005信息安全管理體系要求，結(jié)合部門職責(zé)及信息安全管理流程，負(fù)責(zé)組織編制信息安全管理體系文件，形成初稿；安全管理員負(fù)責(zé)組織對信息安全管理體系文件的評審，并將審核后的文件報aaaaA司，由信息安全領(lǐng)導(dǎo)小組領(lǐng)導(dǎo)對信息安全管理體系文件進(jìn)行核準(zhǔn)，形成最終的報審稿；安全管理員負(fù)責(zé)對信息安全管理體系文件的報審稿進(jìn)行登記、核稿后，報送領(lǐng)導(dǎo)審閱、簽批；組織相關(guān)人員