1、XXX 公司信息安全管理制度匯編年 月1 (一) 信息安全方針全員參與明確責任快速響應持續(xù)改進預防為主風險管控具體闡述如下：1 在浙江省 XX 局信息安全領導小組的領導下，全面貫徹省安局關于信息安全工作的相關指導性文件精神，建立可持續(xù)改進的信息安全管理體系。2 全員參與信息安全管理體系建設，落實信息安全管理責任制，建立和完善各項信息安全管理制度，使得信息安全管理有章可循。3 通過定期地信息安全宣傳、教育與培訓，不斷提高浙江省 XX 局所有工作人員的信息安全意識及能力。4 推行預防為主的信息安全積極防御理念，同時對所發(fā)生的信息安全事件進行快速、有序地響應。5 貫徹風險管理的理念，定期對各信息系統

2、進行全面安全檢查，將信息安全風險控制在可接受的水平。6 在浙江省 XX 局信息安全領導小組的領導下，持續(xù)改進浙江省XX 局信息安全各項工作，保障浙江省 XX 局信息系統安全暢通與可控，保障所開發(fā)和維護信息系統的安全穩(wěn)定，為各工作人員及系統應用場所提供安全可靠的信息化服務。(二) 信息安全策略1 建立浙江省 XX 局信息安全管理組織機構，明確安全主管、安全管理負責人、網絡管理員、系統管理員、安全管理員等安全管理相關崗位及職責，建立健全信息安全管理責任制，使得信息安全各項職責落實到人。32 對浙江省 XX 局信息安全管理體系進行定期或不定期地評審，對各項安全控制措施實施后的有效性進行測量，并實施相

3、應的糾正和預防措施，以保證信息安全管理體系持續(xù)的充分性、適宜性、有效性。3 浙江省 XX 局信息系統分等級保護。按照國家等級保護有關要求，對浙江省 XX 局信息系統及信息確定安全等級，并根據不同的安全等級實施分等級保護。4 規(guī)范浙江省 XX 局信息資產（包括硬件、軟件、服務等）管理流程，建立信息資產管理臺帳，明確資產所有者、使用者與維護者，對所有信息資產進行標記，實現對信息資產購買、使用、變更、報廢整個周期的安全管理。5 加強所有工作人員（包括浙江省 XX 局各科室內部人員，以及各類外來人員）的安全管理，明確崗位安全職責，制定針對違規(guī)的懲戒措施，落6 通過正式的信息安全培訓，以及網站、簡報、會

4、議、講座等各種形式的 XX 局各科室人員的信息安全意識，提高他們的信息安全技能。7 保障機房物理與環(huán)境安全。實施包括門禁、視頻監(jiān)控、報警等安全防范措施，確保機房物理安全。部署機房專用空調、UPS 等環(huán)境保障設施，對機房設施運轉情況進行定期巡檢和維護。嚴格對機房人員和設備的出入管理，進出需登記，外來人員需由相關管理人員陪同方能訪問機房。8 加強對信息系統外包業(yè)務與外包方的管理，在與信息系統外包方簽署的服務協議中，對信息系統安全加以要求。通過審批、訪問控制、監(jiān)控、簽署保密協議等措施，加強外部方訪問浙江省 XX 局信息系統的管理，防止外部方危害信息系統安全。9 對浙江省 XX 局各重要信息系統（包括

5、基礎設施、網絡和服務器設備、系統、應用等）應有文檔化的操作和維護規(guī)程，使得各個相關人員能夠全事件的可能性。410 在浙江省 XX 局內外網上統一部署網絡防惡意代碼軟件，并進行惡意代碼庫的統一更新，防范惡意代碼、木馬等惡意代碼對浙江省 XX 局信息系統的影響。通過強化惡意代碼防范的管理措施，如加強介質管理，提高浙江省 XX 局信息系統對惡意代碼的防范能力。11 對浙江省 XX 局各重要的信息和信息系統進行備份，并對備份介質進行安全地保存，以及對備份數據定期進行備份測試驗證，保證各種備份信息的保密性、完整性和可用性，確保所有重要信息系統和重要數據在故障、災難后及其它特定要求下進行可靠的恢復。12

6、采用技術和管理兩方面的控制措施，加強對浙江省XX局內外網的安全控制，不斷提高網絡的安全性和穩(wěn)定性。浙江省 XX 局內網與互聯網進行物理隔離。通過實施網絡訪問控制等技術防范措施，對接入內網的進行嚴格審批，加強安全管理，加強對浙江省 XX 局各科室網絡使用的安全培訓和教育，確保浙江省 XX 局網絡的安全。13 加強信息安全日常管理，包括系統口令管理、無人值守設備管理、等，促使每位人員的日常工作符合浙江省 XX 局信息安全策略和制度要求。14 按照“僅知”原則，通過功能和技術配置，對重要信息系統、數據批和監(jiān)管。15 XX 局各信息系統立項和審批過程中，同步考慮信息安全需求和目標。應保證系統設計、開發(fā)

7、過程的安全，重點加強對軟件代碼安全性的管理。屬于外包軟件開發(fā)的，應與服務提供商簽署保密協議。系統開發(fā)完成后，應要求通過第三方安全機構對軟件安全性的測評。16 在符合國家密碼管理相關規(guī)定的條件下，合理使用密碼技術和密碼設備，嚴格密鑰生成、分發(fā)、保存等方面的安全管理，保障密碼技術使用的安全性。517 重視對 IT 服務連續(xù)性的管理，建立對各類信息安全事件的預防、預警、響應、處置、恢復機制，編寫針對浙江省 XX 局內外網重要系統的應急預案，并定期進行測試和演練，在信息系統發(fā)生故障或事故時，能迅速、有序地進行應急處置，最大限度地降低因信息系統突發(fā)事件或意外災害給浙江省 XX 局信息系統所帶來的影響。(

8、三) 信息安全組織機構為明確浙江省 XX 局信息安全管理組織機構、角色、職責等，促進浙江省XX局信息系統安全管理的組織建設，指導浙江省 XX 局信息安全工作的開展，落實信息安全管理責任制，特成立信息安全領導小組全面負責單位信息安全工作，同時下設信息安全領導小組具體負責信息安全工作的實施。信息安全領導小組成員：安全主管：分管領導安全管理員：系統運維部門負責人成員：網絡管理員、系統管理員、機房管理員等信息安全領導小組職責：1. XX局信息系統安全建設規(guī)劃。2. 對信息系統安全工作的重大事項做出決策。3. 研究審定浙江省XX關政策，并協調相關部門監(jiān)督制度、政策的實施情況。4. 組織、協調和指導信息安

9、全的宣傳、普及教育工作。組長（安全主管）職責：1. 負責貫徹落實信息安全領導小組關于信息系統安全工作的要求和規(guī)定。2. 根據信息化建設的總體目標，負責信息系統的安全管理體系，包括：制度建設、技術保障和操作規(guī)范等各方面的逐步建成。3. 組織制訂和貫徹信息系統運行安全保障和維護工作制度。4. 負責落實信息安全領導小組部署的各項工作。安全管理員職責:1. 負責安全制度的貫徹執(zhí)行。62. 負責制訂信息系統安全規(guī)劃，并在實施過程中逐步完善。3. 負責制定安全設備或系統的相關資產清單。內容包括資產管理的責任部門、信息分類和資產標識的方法和資產名稱、重要程度、所處位置等。4. 負責規(guī)范安全設備或系統管理流程

10、，建立管理臺帳，明確資產所有者、使用者與維護者，對安全設備或系統進行標記，實現對機房資產購買、使用、變更、報廢整個周期的安全管理。5. 負責制定安全設備或系統的文檔化的操作和維護規(guī)程，使得相關人員能夠采用規(guī)范化的形式對系統進行操作，降低和避免因誤操作所引發(fā)信息安全事件的可能性。6. 負責對安全設備或系統運行維護管理，對安全設備或系統運轉情況進行定期巡檢、維護、故障處理和變更管理。負責組織實施安全設備或系統各類事故（故障）的應急處理。7. 每年進行風險評估，根據評估結果會同其他負責人進行風險處置。8. 負責協助領導安排安全培訓，負責協助負責制定每年安全教育計劃，加強業(yè)務信息系統的安全教育，通過各

11、種方式進行宣傳和培訓，提高全系統安全防范意識。9. 負責制定安全檢查計劃，至少每季度檢查一次。包括檢查職責、檢查周期、檢查范圍、檢查內容、檢查報告的編制、檢查整改、檢查通報等內容。對業(yè)務信息系統安全檢查并進行情況通報。對記錄進行收集、整理、歸檔。10.當出現安全事件時，負責對發(fā)生的安全事件及時上報，并配合相關的調查和糾正工作。11.當業(yè)務信息系統運行發(fā)生重大問題時，協助相關部門正確判斷原因，根據指令立即采取安全措施啟動相關處理程序。12. 負責與外部安全機構的協調聯系，在發(fā)生重大安全事件時以協調獲取外部安全機構的支持。13. 負責對介質的管理。對介質的歸檔、查詢和借用進行記錄，對介質進行定期盤

12、點并記錄，對故障介質的進行送修和銷毀并記錄，對于保密性高的介14.負責對各種記錄文檔、表單，半年一次進行匯總，并對制度開展情況向浙7江省XX局信息安全領導小組領導進行匯報。15. 加強對信息系統外包業(yè)務與外包方的管理，在與信息系統外包方簽署的服務協議中，對信息系統安全加以要求。通過審批、訪問控制、監(jiān)控、簽署方危害信息系統安全。16.重視對IT服務連續(xù)性的管理，建立對各類信息安全事件的預防、預警、響局網站等重要業(yè)務系統的應急預案，并定期進行測試和演練，在業(yè)務信息系統發(fā)生故障或事故時，能迅速、有序地進行應急處置，最大限度地降低因信息系統突發(fā)事件或意外災害給浙江省XX局業(yè)務信息系統所帶來的影響。17

13、.在符合國家密碼管理相關規(guī)定的條件下，合理使用密碼技術和密碼設備，嚴格密鑰生成、分發(fā)、保存等方面的安全管理，保障密碼技術使用的安全性。機房管理員1負責保障機房物理與環(huán)境的安全建設管理，對實施方責任、時間進度、任務要求、質量控制等進行監(jiān)督管理。2負責制定機房基礎設施的相關資產清單。內容包括資產管理的責任部門、信息分類和資產標識的方法和資產名稱、重要程度、所處位置等。3規(guī)范機房資產（包括機房物理與環(huán)境等）管理流程，建立機房資產管理臺帳，明確資產所有者、使用者與維護者，對所有機房資產進行標記，實現對機房資產購買、使用、變更、報廢整個周期的安全管理。4負責制定重要基礎設施等的文檔化的操作和維護規(guī)程，使

14、得相關人員能夠采用規(guī)范化的形式對系統進行操作，降低和避免因誤操作所引發(fā)信息安全事件的可能性。5負責保障機房物理與環(huán)境安全。實施包括門禁、視頻監(jiān)控、報警等安全防機房設施運轉情況進行定期巡檢、維護、故障處理和變更管理。嚴格對機方能訪問機房。6在機房基礎設施變更、重要操作、物理訪問等的進行逐級審批，負責日常8審批，重大變更上報到信息安全領導小組。7負責組織實施機房基礎設施各類事故（故障）的應急處理。網絡管理員1. 負責保障網絡安全建設管理，對實施方責任、時間進度、任務要求、質量控制等進行監(jiān)督管理。2. 規(guī)范網絡管理流程，建立網絡相關資產管理臺帳，明確資產所有者、使變更、報廢整個周期的安全管理。3.

15、XX 局內外網的安全控制，不斷提高網絡的安全性和穩(wěn)定性。通過實施網絡訪問控制等技術防范措施，對接入進行嚴格審批并登記，加強使用安全管理，加強對浙江省 XX 局各部門網絡使用的安全培訓和教育，確保浙江省XX 局內外網的安全。4. 對重要網絡設備應有文檔化的操作和維護規(guī)程，使得各個相關人員能夠采用規(guī)范化的形式對系統進行操作，降低和避免因誤操作所引發(fā)信息安全事件的可能性。5. 對網絡設備設施運轉情況進行定期巡檢、維護、故障處理和變更管理。6. 在網絡系統變更、重要操作、訪問等的進行逐級審批，負責日常審批，重大變更上報到信息安全領導小組。7. 負責組織實施網絡各類事故（故障）的應急處理。系統管理員1.

16、 負責保障主機（包括服務器設備、操作系統、數據庫系統、數據備份）安全建設管理，對實施方責任、時間進度、任務要求、質量控制等進行監(jiān)督管理。2. 對重要的信息和信息系統進行備份，并對備份介質進行安全地保存，以及對備份數據定期進行備份測試驗證，保證各種備份信息的保密性、完整性和可用性，確保所有重要信息系統和重要數據在故障、災難后及其它特定要求下進行可靠的恢復。93. 在網絡上統一部署防惡意代碼軟件，并進行惡意代碼庫的統一更新，防范惡意代碼、木馬等惡意代碼對浙江省 XX 局信息系統的影響。通過強化惡意代碼防范的管理措施，如加強主機管理，嚴禁擅自安裝軟件，定期進行惡意代碼檢測等，提高浙江省 XX 局信息

17、系統對惡意代碼的防范能力。負責全系統的計算機惡意代碼防治和主機安全的管理工作，制定檢查計劃（包含在主機巡檢工作中），督促檢查工作。4. 加強信息安全日常管理，包括系統口令管理、無人值守設備管理等，促使每位人員的日常工作符合浙江省 XX 局信息安全策略和制度要求。5. 規(guī)范主機（包括服務器設備、操作系統、數據庫系統、數據備份）資產管理流程，建立主機相關資產管理臺帳，明確資產所有者、使用者與維護者，對所有信息資產進行標記，實現對主機相關資產購買、使用、變更、報廢整個周期的安全管理。6. 在主機系統變更、重要操作、訪問等的進行逐級審批，負責日常審批，重大變更上報到信息安全領導小組。7. 加強信息安全

18、日常管理，包括應用系統口令管理、授權審批管理等，促使每位人員的日常工作符合溫嶺市公安局信息安全策略和制度要求。8. 在應用系統變更、重要操作、訪問等的進行逐級審批，負責日常審批，重大變更上報到信息安全領導小組。9. 負責組織實施應用系統各類事故（故障）的應急處理。應用管理員1. 負責保障軟件開發(fā)管理，對實施方責任、時間進度、任務要求、質量控制等進行監(jiān)督管理。進一步重視軟件開發(fā)安全。在信息系統立項和審批過程中，同步考慮信息安全需求和目標。應保證系統設計、開發(fā)過程的安全，重點加強對軟件代碼安全性的管理。屬于外包軟件開發(fā)的，應與服務提供商簽署保密協議。系統開發(fā)完成后，應要求通過第三方安全機構對軟件安

19、全性的測評。2. 規(guī)范信息資產管理流程，建立信息資產管理臺帳，明確資產所有者、使用者與維護者，對所有信息資產進行標記，實現對信息資產購買、使用、變更、報廢整個周期的安全管理。3. 負責建立重要應用的文檔化操作和維護規(guī)程，使得各個相關人員能夠采用10規(guī)范化的形式對系統進行操作，降低和避免因誤操作所引發(fā)信息安全事件的可能性。4. 規(guī)范應用系統資產管理流程，建立應用系統資產管理臺帳，明確資產所有者、使用者與維護者，對所有信息資產進行標記，實現對主機相關資產購買、使用、變更、報廢整個周期的安全管理。5. 加強信息安全日常管理，包括應用系統口令管理、授權審批管理等，促使每位人員的日常工作符合信息安全策略

20、和制度要求。6. 在應用系統變更、重要操作、訪問等的進行逐級審批，負責日常審批，重大變更上報到信息安全領導小組。7. 負責組織實施應用系統各類事故（故障）的應急處理。11 (一) 制度的編制1. 信息管理職能部門根據信息安全領導小組工作要求，結合部門職責及信息安全管理活動中的內容細則，負責組織編制信息安全管理體系文件，形成初稿。2. 安全管理員負責組織對信息安全管理體系文件的評審，并將審核后的文件報信息安全領導小組，由信息安全領導小組對信息安全管理體系文件進行核準，形成最終的報審稿。(二) 制度的批準、發(fā)布1. 安全管理員負責對信息安全管理體系文件的報審稿進行登記、核稿后，報送單位辦公室，由辦

21、公室負責進行審閱、簽批。2. 組織相關人員進行評審，辦公室相關負責人審閱、簽批后發(fā)布。(三) 制度的發(fā)放信息安全管理體系文件由安全管理員發(fā)放到各負責人（機房管理員、網絡管理員、系統管理員），或者通過單位內網進行發(fā)布，同時辦公室負責將各管理制度整理成匯編打印裝訂，發(fā)送到各相關科室或工作人員手中。(四) 制度評審和修訂現有文件的有效性進行評審。對不合適的地方進行修訂，必要時更換新版。12 (一) 關鍵活動的授權和審批1. 在系統運維過程中，信息安全領導小組對信息系統的訪問、變更等授權給系統運維部門。具體為機房管理員負責機房相關事務的授權和審批；網絡管理員負責網絡相關事務的授權和審批；系統管理員負責

22、系統相關事務的授權和審批。2. 授權審批流程：a) 由系統運維部門判斷職責、然后授權給相應的管理員；b) 系統若外包的，由外包服務公司申請，相應的管理員進行授權、審批。(二) 審核和檢查組織專門人員（或委托外包公司）定期或不定期進行安全檢查，包括網絡、一分析檢查結果。(三) 溝通合作1. 加強各類管理人員之間、組織內部機構之間以及信息安全職能部門內部的合作與溝通，定期或不定期召開協調會議，共同協作處理信息安全問題；2. 加強與信息安全主管單位、公安機關、電信公司的合作與溝通；3. 加強與供應商、業(yè)界專家、專業(yè)的安全公司、安全組織的合作與溝通；4. 建立外聯單位聯系列表，包括外聯單位名稱、合作內

23、容、聯系人和聯系方式等信息；5. 對協調會議、安全評審等進行記錄。13 崗位信息安全檢查 各科室（部門）應提高安全意識，定期或不定期對本科室（部門）崗位進行信息安全檢查，確保信息安全規(guī)定得到了有效地執(zhí)行； 信息安全領導小組應不定期抽查各科室（部門）的崗位信息安全職責的落實情況，確保各單位（部門）的崗位信息安全職責的落實。信息安全違規(guī)的紀律處理 對于信息安全事故和在信息安全檢查中發(fā)現的違規(guī)行為，由信息安全領導小組根據有關考核規(guī)定對該人員進行處罰； 對于情節(jié)特別嚴重的違規(guī)行為，還應借助網絡、簡報等媒介向浙江X局其它政府機構（部門）進行普遍宣傳，避免同類問題再次發(fā)生。人員考核培訓 定期或不定期得對各

24、個崗位的人員進行安全技能及安全認知的考核； 對各類人員進行安全意識教育、崗位技能培訓和相關安全技術培訓； 對安全責任和懲戒措施進行書面規(guī)定并告知相關人員，對違反違背安全策略和規(guī)定的人員進行懲戒； 對安全教育和培訓進行書面規(guī)定，針對不同崗位制定不同的培訓計劃，對信息安全基礎知識、崗位操作規(guī)程等進行培訓；人員離崗 關科室（部門）對該人員使用信息和信息系統的權限進行調整； 各科室（部門）依照相關人員的個人權限清單和信息安全領導小組的要求，問、密鑰及ID卡等，并作相應記錄； 員所掌握的系統帳戶口令。離職后信息安全職責的追蹤和管理14 離職人員應明確其離職后仍需擔負的安全責任和義務，以及違反安全責任和義

25、務所引發(fā)的后果。 XX信息安全領導小組按照有關規(guī)定和相關協議追究其法律責任。外來人員的信息安全管理 各科室（部門）在與外部方簽訂合同時，應按照崗位角色和職責要求，在合同中對外來人員進行約束。 各單位（部門）應按照浙江省XX局信息安全領導小組有關信息安全管理規(guī)定以及合同要求，對所有外來人員進行監(jiān)督和檢查，并就安全違規(guī)情況按合同條款中的要求進行處理。 確保在外部人員訪問受控域前先提出書面申請，批準后由專人全程陪同或監(jiān)督，并登記備案。15 (一) 規(guī)劃設計1. 總體安全規(guī)劃階段的工作流程 近期、遠期的安全需求分析 近期、遠期的總體安全設計 安全管理員負責制定安全建設項目規(guī)劃2. 安全需求分析 基本安

26、全需求的確定 額外/特殊安全需求的確定 形成安全需求分析報告3. 總體安全設計 總體安全策略設計：根據系統安全等級選定安全策略、基本安全措施，依據風險評估補充和調整安全措施 安全技術體系結構設計 整體安全管理體系結構設計 設計結果文檔化4. 安全建設項目規(guī)劃 安全建設目標確定 安全建設內容規(guī)劃 形成安全建設項目計劃(二) 設備選型原則：1. 應確保產品采購和使用符合國家信息安全的有關規(guī)定；2. 應預先對產品進行選型測試，確定產品的候選范圍，并定期審定和更新候選產品名單；3. 盡量采用我國自主開發(fā)研制的信息安全技術和設備；4. 采用境外信息安全產品時，產品必須通過國家信息安全測評機構的認可。16

27、5. 嚴禁使用未經國家密碼管理部門批準和未通過國家信息安全質量認證的密碼設備。(三) 采購和安裝軟件的采購和安裝1. 信息系統所使用的操作系統、應用軟件、數據庫、安全軟件、工具軟件必須是正式版本，嚴禁使用測試版和盜版軟件。2. 重要的操作系統和主要應用軟件必須在安全管理員的監(jiān)督之下進行安裝。3. 設備的采購和安裝4. 設備符合系統選型要求并獲得批準后，方可購置。5. 選型的設備進行系統適用性測試，確保選型的設備符合系統技術性能指標要求。6. 小時以上的單機運行測試和聯機48小時的應用系統兼容性運行測試。7. 通過上述測試后，設備才能進入試運行階段。試運行時間的長短可根據需要自行確定。8. 通過

28、試運行的設備，才能投入系統，正式運行。(四) 軟件開發(fā)管理軟件自行開發(fā)管理1. 系統應用軟件的開發(fā)必須根據信息密級和安全等級，同步進行相應的安全設計，并制定各階段安全目標，按目標進行管理和實施。2. 系統應用軟件的開發(fā)，必須有安全管理專業(yè)的技術人員參加，其主要任務是：對系統方案與開發(fā)進行安全審查和監(jiān)督，負責系統安全設計和實施。3. 開發(fā)環(huán)境和現場必須與辦公環(huán)境和工作現場分開，軟件設計方案、數據結構、安全管理、操作監(jiān)控手段、數據加密形式、原代碼等，只能在有關開發(fā)人員及有關管理機構中流動，嚴禁散失或外泄；開發(fā)人員和測試人員分離，測試數據和測試結果受到控制。4. 5. 要求開發(fā)人員參照代碼編寫安全規(guī)

29、范編寫代碼；6. 確保提供軟件設計的相關文檔和使用指南，并由專人負責保管；177. 確保對程序資源庫的修改、更新、發(fā)布進行授權和批準。外包軟件開發(fā)管理1. 應要求開發(fā)單位提供軟件設計的相關文檔和使用指南；2. 在委托開發(fā)過程中，應加強開發(fā)過程中的安全管理和監(jiān)控，重點考慮資質、許可證、代碼所有權和知識產權；審核工作質量和訪問權限，代碼質量和安全功能達到合同要求。特殊情況應測試惡意代碼和特洛伊木馬。3. 應要求軟件開發(fā)商在所開發(fā)的信息系統內設計實現了安全控制措施，確保信息在系統中得到了正確處理。4. 在開發(fā)過程中，應采取控制措施，減少信息泄露的可能性，重點考慮：規(guī)在現有法律或法規(guī)允許的情況下，定期

30、監(jiān)視個人和系統的活動；監(jiān)視計算機系統的資源使用；防止非授權的網絡訪問；對程序源代碼的防護管理；5. 系統運維管理部門應要求軟件開發(fā)商對程序源代碼進行管理與控制。程序源代碼應集中保存在代碼庫中，對代碼庫實施安全保護。保護措施主要包括：建立程序源代碼和源程序庫管理規(guī)范；對訪問源程序庫人員進行授權管制；程序列表應保存在安全的環(huán)境中；建立對源程序庫所有訪問的審核日志；維護和拷貝源程序庫應受嚴格的限制；6. 測試數據的管理。系統運維管理部門對于開發(fā)過程中涉及的測試數據。在測試數據選擇過程中，應避免使用包含個人信息或其它敏感信息的運行數據庫用于測試。其控制措施包括：運行信息每次被拷貝到測試系統時應有獨立的

31、授權；測試完成后，應立即從測試系統中清除運行信息或進行授權訪問控制；記錄運行信息的拷貝和使用日志；7. 在離線測試環(huán)境下對所開發(fā)信息系統進行安全測試。經過測試確認后，方可轉入正式環(huán)境，并組織評估測試結果的安全符合性。(五) 工程實施1. 指定或授權專門的部門或人員負責工程實施過程的管理，必要時可引入外部信息工程監(jiān)理機構進行工程實施的監(jiān)理。2. 由實施方制定詳細的工程實施方案控制實施過程，由系統運維管理部門認18可并要求工程實施單位能按計劃執(zhí)行工程實施；3. 由實施方制定工程實施方面的管理規(guī)范，明確說明實施過程的控制方法和人員行為準則，及時向計算機審計中心提交相關表單文檔。(六) 測試驗收1.

32、委托第三方測試單位對系統進行安全性測試，并出具安全性測試報告，要求建設單位根據測試結果及時進行整改；2. 在測試前應根據設計方案或合同要求等制訂測試方案，在測試過程中應詳細記錄測試結果，并形成測試報告，測試通過后方可進行驗收；3. 對系統測試驗收的控制方法和人員行為準則進行書面規(guī)定；4. 指定或授權專門的部門或人員負責系統測試驗收的管理，并按照管理規(guī)定的要求完成系統測試驗收工作；5. 組織相關部門和相關人員對系統測試驗收報告進行審定，并簽字確認。(七) 系統交付1. 對系統交付的控制方法和人員行為準則進行書面規(guī)定；2. 應指定或授權專門的部門負責系統交付的管理工作，并按照管理規(guī)定的要求完成系統

33、交付工作。3. 制定詳細的系統交付清單，并根據交付清單對所交接的設備、軟件和文檔等進行清點和確認；4. 對負責系統運行維護的技術人員進行相應的技能培訓，以及對系統最終用戶的操作進行相應的培訓。(八) 系統建設服務商選擇1. 確保系統建設服務商的選擇符合國家信息安全的有關規(guī)定，必要時應選擇有安全集成的相關資質的服務商；2. 與選定的系統建設服務商簽訂與安全相關的保密協議，明確約定相關責任；3. 確保選定的系統建設服務商提供技術培訓和服務承諾，必要的與其簽訂服務合同。19附表 1 運維人員聯系方式一覽表外包公司20 (一) 辦公環(huán)境管理辦法1. 工作人員調離辦公室應立即交還該辦公室鑰匙；2. 工作

34、人員不在辦公區(qū)接待來訪人員；3. 工作人員離開座位應確保終端計算機退出登錄狀態(tài)和桌面上沒有包含敏感信息的紙檔文件。(二) 機房出入管理1. 最后離開機房的人員要關燈、鎖門。由機房負責人（管理員）對機房出入進行每周核查。2. 機房負責門禁卡由當天負責人員保管，不能隨意轉借。丟失要及時聲明。3. 進入機房換鞋套，自覺保持機房衛(wèi)生。4. (三) 機房環(huán)境管理1. 2. 機房內禁止吸煙，注意防火。3. 工作人員進入機房要檢查設備情況（包括空調溫、濕度；電力系統；網絡設4. 電力設施注意相關機房內設備不要插入墻壁插座。(四) 機房介質管理1. 對應用系統使用、產生的介質或資料要按其重要性進行分類，對存放

35、有關鍵保管制度。2. 之外，不應保留在機房內。3. 存放機房內的介質（資料）應該存放于防火、防高溫、防震、防電磁場、防靜電及防盜的房間或保險柜中。214. 介質（資料）庫，應設專人（資產管理員）負責登記保管，未經批準，不得5. 對所有介質（資料）應定期檢查，要考慮介質的安全保存期限，及時更新復制。(五) 機房服務器管理1. 應統一將服務器編號、操作系統、應用系統、負責人、IP 地址、出廠序號、切換器編號等信息以標簽方式張貼在服務器前面板明顯位置，未經許可，任何人不得撕毀、篡改。服務器按應用級別和管理責任不同分為重要、普通、測試、托管四類，用不同顏色標簽 分。測試服務器原則上不與其他服務器安排在

36、同一機柜內。標簽每半年復核一次。2. 服務器以及 kvm 定機柜內，不得擅自配置、移動、更換，更不能挪作它用。服務器物理位置經主機系統負責人（管理員）確認后方可變更。3. 根據系統建設需要將服務器連入或斷開網絡，變更服務器用途，應用系統重經主機系統負責人（管理員）確認后方可變更。同時，網絡項目組根據實際情況，在兩個工作日內調整網管軟件監(jiān)控信息，存儲備份相關配置。4. 對服務器必須建立維護檔案，項目主管是服務器維護檔案的第一責任人，維護檔案由項目主管負責，項目開發(fā)人員，安全服務人員，機房管理人員，負責人員對服務器的任何更改操作均要報項目主管進行記錄。5. 服務器及相關配套軟件的申請采購、驗收由各

37、項目主管負責。服務器完成驗報主機系統負責人（管理員）進行確認。6. 如果服務器運行多個應用系統，按應用系統的重要程度確定第一責任人。重要應用系統的項目主管是第一責任人。(六) 機房布線管理1. 道內，設備調試時使用的臨時布線應在調試完成當天撤換。222. 系統運維部門機房所有網絡線路維護、連接、拆除由專人施工，禁止其他人員未經許可隨意連接、拆除網線。3. 各類線纜分類鋪設在各自管道中，隔開鋪設避免相互間的干擾。(七) 機房網絡設備管理1. 對網絡設備建立維護檔案，由基礎組負責維護，項目主管是網絡維護檔案的第一責任人，對網絡設備的任何更改均要有記錄。2. 顯位置，未經許可，任何人不得撕毀、篡改。

38、3. 設備發(fā)生故障或故障隱患時非管理人員不可對路由器、交換機、服務器、光纖、網線及各種設備進行任何調試，負責人員必須對所發(fā)生的故障、處理過程和結果等做好詳細登記。負責人員要嚴格按照負責手冊處理故障，及時與管理人員溝通，并對有關故障做出書面報告。4. 網絡設備及相關配套軟硬件的申請采購、驗收由基礎組負責。設備完成驗收人（管理員）進行確認。(八) 機房巡視管理1. 如沒有特殊情況，負責人員應按照機房負責管理辦法巡視機房，檢查機房各種設備的運行情況，并做好巡視記錄。2. 遇到各種設備故障，負責人員應按照機房負責管理辦法上描述的操作步驟對設備進行處理，遇到問題及時與管理人員溝通，并對有關故障做出書面報

39、告。3. (九) 機房進出設備管理1. 新購設備或臨時遷入機房的設備需經系統運維部門確認，按設備遷入機房登記表的相關項目詳細填寫登記。2. 機房設備需要遷出機房時需通知當日系統運維部門負責人員，填寫設備遷23 (一) 職責資產管理部門1. 負責檢查數據資產的安全管理情況。2. 負責本文件的編制和管理；3. 負責固定資產的管理，包括固定資產的采購、記錄、變更、報廢等；4. 負責備品備件的出入庫管理；5. 負責對有形資產進行分類、分級和標記；6. 負責對備品備件進行分類；7. 在有形資產發(fā)生變更、報廢或銷毀時，負責檢查資產中信息的處理情況。8. 負責檢查臺帳、信息系統中信息資產相關記錄，并將記錄情

40、況納入考核計劃中。各部門1. 按資產的使用規(guī)則和限制，正確使用信息資產；2. 在有形資產和備品備件發(fā)生變更、報廢或銷毀時，負責檢查并向審判事務管理中心報告介質中敏感信息。(二) 工作程序資產的分類分級1. 資產分類分為關鍵資產和非關鍵資產： 關鍵資產：對業(yè)務連續(xù)性和系統可用性影響大的資產（價格或價值較高 非關鍵資產：對業(yè)務連續(xù)性和系統可用性影響小的資產（價格或價值較2. 數據資產可以按其對信息系統的重要性程度，以及信息的保密性、完整性、可用性被破壞后對信息系帶來的影響，劃分為以下幾種安全級別： 敏感信息：涉及工作秘密等信息 一般信息：不涉及工作秘密的信息24資產的登記與標記1. 用途、位置、格

41、式、規(guī)格、價值等具體信息；2. 資產管理部門根據發(fā)放的資產清單及設備標牌，對有形資產進行粘貼標記，各部門指定資產責任人，由資產責任人對所負責的資產進行保護；3. 各部門在資產新增、更新、調撥、報廢時，向資產管理部門提出需求，由由資產管理部門更新固定資產清單；4. 資產管理部門定期檢查有形資產的標記與使用情況，對資產丟失，標簽缺損的情況進行記錄，并納入各部門考核；5. 各部門對本部門管理的數據資產進行歸類和統計，對電子文件采用統一樣式的電子標記進行標識。資產的使用與維護1. 資產管理部門對各部門信息資產使用規(guī)范說明，包括使用授權、管理方式、局信息安全領導小組備案。2. 各部門工作人員，包括雇員、

42、承包方人員和第三方人員應明確到他們使用信息資產時的限制條件，應對信息資產的使用和管理負責。3. 各部門人員應確保在采用移動介質進行數據傳輸時，傳輸完畢應及時刪除4. 各部門的存儲介質在長期存儲時，信息安全專員應確保本部門介質貯存地點應符合防火、防水、防震、防潮、防霉、防鼠害、防蟲蛀、防靜電、防磁等方面的安全要求，介質的存儲要符合介質生產商對介質存儲的要求；5. 各部門定期對本部門存儲介質中的數據進行備份和恢復測試，并進行測試記錄，防止由于介質老化而導致的重要信息丟失；6. 涉及國家秘密的信息通過移動介質進行存儲時，各部門應參照國家有關規(guī)定執(zhí)行。7. 信息安全領導小組定期檢查數據資產的安全管理情

43、況，發(fā)現問題進行記錄，并納入各部門考核。25資產的移動管理1. 所有有形資產的移動必須經過資產責任部門的授權；2. 物理介質在物理地點之外運送時，為了防止未授權訪問、不當使用或被毀壞，各部門應采取以下必要的措施： 物理介質的包裝應采取防篡改的包裝進行密封（即封口破壞后無法過程中泄漏或被修改。 含有敏感信息的物理介質必須由內部人員親自押運，不得交由第三方公司單獨運送。3. 所有有形資產的移動必須登記。資產的銷毀1. 各部門檢查并清空待報廢設備內的所有信息，交系統運維部門統一處理；2. 資產管理部門對報廢設備進行清點，形成待報廢設備清單；3. 資產管理部門定期對報廢設備進行統一處理，處理前對設備的

44、存儲信息進行檢查；4. 各部門介質上存儲的信息的敏感程度，由資產管理部門采取適當的措施對已報廢的介質進行處理： 包含敏感信息的介質，應按照國家要求，去專門地點刪除原有介質上的數據信息或進行消磁處理；對于只讀介質，可采用粉碎等方式進行處理。 應對處置敏感介質做記錄，以便保持審核蹤跡。26 (一) 介質購置理。其余部門不得擅自購買使用。(二) 介質使用及維護管理介質包括磁帶、磁盤、U盤、光盤、硬盤、存貯卡和打印出的文件等，對移動介質的管理如下：1. 移動介質在接入信息系統前，必須進行惡意代碼、木馬檢測和殺毒處理，防止惡意代碼侵入和傳染給其它信息系統。2. 如果信息不再需要，需刪除可重復使用的移動介

45、質中的信息。3. 如果信息需要保存，則使用人應該保存在個人計算機中，而不應該放在移動介質中。4. 介質在長期保管時，其保管的地點必須滿足防火、防水、防震、防潮、防霉、防鼠害、防蟲蛀、防靜電、防磁等方面的安全要求，介質的保管要符合介質生產商對介質保管的要求。5. 并定期對介質中的數據進行轉存和驗證測試，防止由于介質老化、失效而導致的重要數據丟失。6. 各部門若需使用存儲介質，需經主管領導審批同意后由各部門管理員統一向資產管理部門消耗品管理員處領用，在“計算機消耗品領用本”登記。各部門管理員統一管理。7. 向部門管理員借用介質，介質使用后應及時歸還。各管理員應做好相關的登記管理工作。8. 存儲介質

46、的保管工作必須符合國家相關管理制度。各類存儲介質如未經批準嚴禁由個人私自帶離開本單位外。9. 應對重要介質中的數據和軟件采取加密存儲，并根據所承載數據和軟件的重要程度對介質進行分類和標識管理。10.非SM存儲介質也不得任意用作他途。27SM存儲介質的密級不可降低密級使用。(三) 介質定期檢查動存儲介質進行統一殺毒處理。(四) 介質維修門的定點單位。如可能有敏感信息，維修過程應安排人員全程監(jiān)督。(五) 介質的報廢安全的報廢和處置，以免敏感信息外泄。信息。盤、硬盤、存貯卡等可通過專業(yè)軟件或多次格式化進行處置，或者采用物理方式進行破壞。光盤可通過物理方式進行粉碎處理。附表2 介質領用申請單）年 月

47、日年 月 日 28附表 3 介質借用使用登記單 29 (一) IT設備的購買信息安全管理職能部門提交需求，經單位領導批準，由資產管理部門報政府采購辦公開招投標采購。(二) IT設備的登記及領用1. 所有采購來的IT設備，應先由資產管理部門進行資產登記，在設備臺帳中記錄該設備的品牌、型號、詳細配置、保修期限等，在設備上粘貼設備標簽后，資產入庫。2. 需使用IT設備的，應由資產使用人提出資產領用申請，經部門負責人審批后，至資產管理員處辦理領用。資產管理員在資產臺帳中記錄該資產的領用人，領用人在設備標簽上進行簽字后，方能辦理資產出庫，交由領用人使用。(三) IT設備的維護1. 各領用人為該IT設備的

48、正常使用，在設備發(fā)生設備損壞，則領領用人需照價賠償。2. 各領用人應按照信息設備維護要求的時間間隔和規(guī)范，對設備進行維護。3. IT設備如需升級或維修，因由領用人提出申請，經主管領導批準后，進行維修或升級。4. 設備不得存儲內部敏感信息。在送修前應由中心安全管理員對送修設備是否存有內部敏感信息進行檢查。如有，應先拆除硬盤等存儲部件，或使用信息清除軟件對磁盤信息進行徹底清除后，方能送修。5. 重要IT局系統運維管理部門人員在場，外部人員的訪問應進行登記，必要時要求其簽署保密協議。6. IT設備進行升級或維修后，如設備配置進行了變更，則應由資產領用人將最新設備配置報系統運維部門資產管理員處進行備案

49、，以保證有資產管理30員處有最新的設備配置。(四) IT設備的報廢1. IT設備確因設備老化、性能落后等原因，造成設備無法繼續(xù)使用的，由資產管理員提出報廢申請，經資產管理部門負責人批準后，實施報廢處理，并在資產清單中進行記錄。2. IT設備在報廢處理前，應由安全管理員對其是否存有內部敏感信息進行檢查。如有，應對其存儲部件進行消磁或物理毀壞，確保不會因設備處置不當造成泄密。31 (一) 網絡安全規(guī)劃系統運維管理部門在網絡系統規(guī)劃、升級、改造建設過程中，應組織相關人員對網絡建設方案進行評審，使方案滿足網絡安全管理要求。(二) 網絡接入控制1. 各科室對涉及到網絡變更方面的需求（如網絡結構變更、終端

50、網絡需求變更（如Hub的接入）、非常規(guī)性網絡訪問（如外來人員臨時性訪問），需向系統運維管理部門提出書面申請，系統運維管理部門對變更申請進行評審通過后，方可進行操作；2. 無線網絡由系統運維管理部門進行統一部署和管理，如其他部門（單位）需要接入無線網絡或部署無線網絡設備時，需向系統運維管理部門提出申請，經審批后方可接入。3. 系統運維管理部門負責網絡與其他外部單位網絡的安全防護，在網絡邊界處采取安全措施進行有效隔離防護，并對違規(guī)行為進行檢查和阻斷；4. 和安全域劃分，不同業(yè)務應用系統盡量和安全域間應采取有效的訪問控制措施；5. 系統運維管理部門對網絡設備、網絡設備之間的連接線纜進行標識，重要網絡

51、端口也須進行詳細標識。(三) 網絡安全審計1. 系統運維管理部門采取開啟網絡設備日志，記錄與網絡安全相關的操作與活動，并定期對記錄進行評審，將評審結果進行記錄。2. 日志保存時間應至少保證在一個月以上。3. 系統運維管理部門在網絡關鍵位置采取網絡審計手段，對網絡訪問操作行為進行記錄，定期對記錄進行評審，將評審結果進行記錄。(四) 網絡設備管理1. 系統運維管理部門制定網絡備份策略（如網絡配置備份、硬件備份），并做好相應備案；322. 系統運維管理部門每月對網絡配置、網絡設備日志進行備份，并做好備份記錄；3. 系統運維管理部門做好網絡配置、網絡設備日志及網絡設備備件的保存與管理，保證備份的安全性

52、；4. 系統運維管理部門定期對配置備份及設備備件進行測試，保證其可用性，并對測試結果進行記錄；5. 根據廠家提供的軟件升級版本對網絡設備進行更新，并在更新前對現有的重要文件進行備份；6. 個月；7. 定期對設備口令進行更新。(五) 網絡安全檢查8. 系統運維管理部門制定詳細的網絡檢查項目，負責進行網絡系統運行的日常檢查工作，將檢查結果進行記錄。檢查內容參考安全檢查表。9. 系統運維管理部門定期對網絡設備配置進行檢查和評估，確保網絡配置與安全策略保持一致，并對檢查結果進行記錄。10.定期對網絡系統進行漏洞掃描，對發(fā)現的網絡系統安全漏洞進行及時的修補。(六) 網絡訪問控制1. 系統運維管理部門制定

53、網絡訪問控制策略，并做好相應備案。2. 訪問控制策略內容應包括： 根據業(yè)務、管理等情況，對不同的部門接入進行劃分； 明確各部門只能訪問被允許訪問的網絡和網絡服務； 規(guī)定各部門訪問網絡和網絡服務使用的手段(如，撥號、VPN 等)。3. 系統運維管理部門制定遠程設備維護的管理職責與制度，交信息安全管理小組備案，以保證遠程維護人員的操作符合信息安全管理策略，防止由于疏忽、密碼賬戶泄漏造成未授權訪問連接網絡設備與服務器。4. 系統運維管理部門應確保維護廠商的遠程維護連接只允許訪問指定的設備和服務，由系統運維部門負責審批、開啟和關閉，保持每次遠程連接記錄33備查，并對遠程訪問帳號定期進行審核。5. 系統

54、運維管理部門對遠程診斷和配置端口采取技術手段與管理措施進行保護，如無必要，禁止使用遠程診斷和配置端口。6. 系統運維管理部門應對遠程用戶進行身份鑒別（如回撥程序、證書、密鑰、口令等），若系統的遠程訪問無法提供用戶鑒別措施時，禁止使用遠程訪問功能。(七) 網絡服務安全1. 系統運維管理部門在制定的所有網絡服務協議中，必須包括網絡的安全特性、服務級別以及所有網絡服務的管理要求等內容。2. 在網絡服務過程中，系統運維管理部門應根據網絡服務協議中規(guī)定的安全條款、安全特性、服務級別管理等要求對服務提供商的服務進行定期評審和監(jiān)督。34 (一) 系統維護管理1. 系統運維管理部門的操作人員上崗前必須經過上崗

55、前的專業(yè)知識培訓，包括專門的信息安全培訓，能正確地執(zhí)行本崗位操作工作。2. 重要信息系統的操作手冊和系統運行維護保養(yǎng)手冊應作為工作秘密由各部門加以保護，由系統運維管理部門存檔，根據“責任分割”的原則，各崗位操作人員只能得到操作手冊的相關部分，并要求其妥善保管。操作手冊更新后，由系統運維管理部門發(fā)到相關部門，同時回收舊版本，確保崗位操作人員得到最新和正確的操作手冊。3. 定期對系統使用中的信息安全管理情況進行檢查，檢查內容參加信息安全檢查細則。4. 在制定的所有系統外包服務協議中，必須包括網絡的安全特性、服務級別以及所有系統服務的管理要求等內容。5. 在系統服務過程中，應根據系統服務協議中規(guī)定的

56、安全條款、安全特性、服務級別管理等要求對服務提供商的服務進行定期評審和監(jiān)督。6. 系統運維管理部門應對系統中運行的軟件版本進行嚴格控制，對系統軟件版本升級、補丁更新、安全加固等活動組織評審和測試，防止因上述變更影響到應用系統的正常運行。7. 定期對系統進行漏洞掃描，對發(fā)現的系統安全漏洞及時進行修補。(二) 系統訪問控制制策略，作為系統維護保養(yǎng)手冊的一部分。1. 訪問控制策略應考慮到下列內容： 各個業(yè)務應用的安全要求； 業(yè)務應用中工作角色和用戶訪問需求； 網絡環(huán)境中的訪問權限的管理要求； 訪問控制角色的分離，例如訪問請求、訪問授權、訪問管理； 用戶訪問請求的正式授權管理要求；35 用戶訪問控制的

57、定期檢查與評審要求； 用戶訪問權的取消。2. 系統運維管理部門基于訪問控制策略，對操作系統的登錄程序加以控制： 不顯示系統或應用標識符，直到登錄過程已成功完成為止； 顯示只有已授權的用戶才能訪問計算機的告警通知； 在登錄過程中，不提供對未授權用戶的幫助消息； 限制所允許的不成功登錄嘗試的次數； 記錄不成功的嘗試和成功的嘗試； 如果達到登錄的最大嘗試次數，向系統控制臺發(fā)送警報消息。3. 系統管理員應限制用戶對應用系統遠程訪問的范圍和內容，在遠程訪問過程結束后應確保斷開連接；4. 系統管理員負責記錄用戶遠程訪問操作過程，包括訪問時間、連接方式、訪問用戶、操作過程等。(三)系統用戶安全管理1. 系統

58、用戶注冊與注銷程序 在服務器和系統進行安裝時，要改變默認的操作系統管理員賬號名稱和數據庫賬號名稱； 相關系統管理員審核； 系統管理員應檢查所授予的訪問級別是否與業(yè)務目的相適合，是否與組織的安全方針保持一致，例如，它沒有違背責任分割原則； 如申請不符合業(yè)務要求，則不予批準，如符合要求，由系統管理員 ； 當用戶的工作角色或崗位發(fā)生變更，或離職時，員工所在單位（部系統管理員根據新的辦公系統接入申請表取消或封鎖該用戶的訪問權； 各信息系統管理人員負責定期（每月）檢查并取消或封鎖多余的用戶 ID和帳號，確保多余的用戶 ID不會發(fā)給其他用戶。362. 系統用戶標識和鑒別 所有用戶擁有唯一指定標識，如員工工

59、號； 用戶 ID是應用系統中用戶唯一的、專供其使用的標識符，系統管理員應配置系統，使用戶的各個活動能追蹤到責任者； 當需要采用一組用戶或一項特定作業(yè)使用一個共享的用戶 ID遵照組 ID ID條款。3. 系統用戶口令管理 在用戶初次使用應用系統時，系統管理員應提供給一個安全的臨時口令，并強制其立即修改；臨時口令應以安全的方式給予用戶，不得使用第三方或未保護的（明文）電子郵件消息； 系統管理員應對用戶口令設置進行指導和要求，如口令長度和復雜性、定期更換等； 系統管理員應確?？诹畈灰晕幢Ｗo的形式存儲在計算機系統內； 各系統管理員應在系統或軟件安裝后改變提供商的默認口令；4. 各信息系統管理人員根據已

60、審核批準的辦公系統接入申請表為用戶進行正確的授權，使得用戶與其行為相連接；5. 特殊權限管理應遵守用戶注冊和注銷管理程序的規(guī)定，特殊權限包括操作系統、數據庫管理系統和每個應用程序，特殊權限應被分配一個不同于正(四) 系統審計1. 系統日志包含的內容： 用戶 ； 日期、時間和關鍵事件的細節(jié)，例如登錄和退出； 終端身份或位置； 成功的和被拒絕的對系統嘗試訪問的記錄； 成功的和被拒絕的對數據以及其他資源嘗試訪問的記錄； 系統配置的變化； 特殊權限的使用；37 系統實用工具和應用程序的使用； 訪問的文件和訪問類型； 網絡地址和協議； 訪問控制系統引發(fā)的警報； 防惡意代碼系統等防護設施的激活和停用。2.