信息安全管理制度為了保障組織的信息安全，在信息技術(shù)快速發(fā)展的今天，制定一份完善的信息安全管理制度，可以有力地促進組織的信息安全工作，下面就是一份信息安全管理制度的詳細內(nèi)容。一、制定目的本制度是為了規(guī)范組織用戶使用信息系統(tǒng)、網(wǎng)絡資源，確保信息系統(tǒng)、網(wǎng)絡資源的安全、穩(wěn)定運行，防范包括人為在內(nèi)的各種惡意攻擊，保障組織信息資源安全，保護個人隱私，維護用戶利益，促進組織信息化建設的和諧發(fā)展。二、適用范圍本制度適用于組織內(nèi)各類信息系統(tǒng)、網(wǎng)絡資源的管理和使用，包括但不限于計算機、服務器、數(shù)據(jù)庫、計算機網(wǎng)絡、存儲設備、通信設備等。三、制度內(nèi)容1.信息系統(tǒng)、網(wǎng)絡資源的安全管理1.1準入管理：用戶準入是指用戶使用信息系統(tǒng)、網(wǎng)絡資源的授權(quán)過程。用戶準入應當遵循“最小權(quán)限原則”。1.1.1用戶準入管理制度：（1）所有用戶使用信息系統(tǒng)、網(wǎng)絡資源前必須進行身份認證，并使用合法身份證明。（2）用戶身份驗證成功后須取得相應權(quán)限。（3）對于重要的數(shù)據(jù)、系統(tǒng)等，應實行雙重認證。1.1.2用戶權(quán)限管理制度：（1）用戶權(quán)限分級制度（2）系統(tǒng)管理員分級管理制度1.1.3用戶密碼和口令管理制度：（1）密碼復雜度限制和密碼強度：長度、大小寫、字符類型限制。（2）密碼定期更換。（3）口令長度要求。（4）口令復雜度要求。1.1.4用戶行為規(guī)范制度：用戶禁止進行以下行為：（1）未經(jīng)許可存儲、拷貝或使用含有未經(jīng)許可的版權(quán)內(nèi)容。（2）使用P2P或BT下載非法文件或病毒。（3）未經(jīng)許可使用其他用戶的帳號或者帳號密碼。（4）在組織信息網(wǎng)絡中傳播不實、誹謗、侮辱、攻擊、敲詐、淫穢等信息。2.信息安全事件管理2.1信息安全事件的定義：在信息系統(tǒng)日常運行過程中所發(fā)生的，導致信息系統(tǒng)數(shù)據(jù)泄露、服務中斷和與信息系統(tǒng)安全相關的事件。2.2信息安全事件等級（1）嚴重等級事件(1小時內(nèi)上報)。（2）重要等級事件(2小時內(nèi)上報)。（3）一般等級事件(24小時內(nèi)上報)。2.3事件管理流程（1）發(fā)現(xiàn)異常事件。（2）組織安全人員調(diào)查分析。（3）初步判斷事件等級。（4）確認事件范圍。（5）制定事件處理方案。（6）實施事件處置。（7）事件解決。（8）事件分析總結(jié)。3.備份管理3.1文件備份3.1.1全局范圍內(nèi)進行自動備份。3.1.2對于重要文件定期手動備份。3.1.3定期測試恢復備份數(shù)據(jù)。3.1.4定期更換備份介質(zhì)。3.2數(shù)據(jù)庫備份3.2.1全局范圍內(nèi)進行定期自動備份。3.2.2對于重要數(shù)據(jù)庫全天候監(jiān)控。3.2.3定時對數(shù)據(jù)進行統(tǒng)計和分析，并進行調(diào)整優(yōu)化。3.2.4定期測試恢復備份數(shù)據(jù)。3.3關鍵系統(tǒng)備份3.3.1對于關鍵系統(tǒng)進行全天候監(jiān)控。3.3.2定期記錄系統(tǒng)運行狀態(tài)。3.3.3定期備份系統(tǒng)文件。3.3.4定期測試恢復備份數(shù)據(jù)。4.物理安全4.1環(huán)境設置4.1.1物理安全區(qū)域。4.1.2防火、防水、防震、防雷、防盜等措施。4.2電源管理4.2.1手動切斷電源。4.2.2按計劃關機。4.2.3啟用UPS。4.3權(quán)限分配4.3.1安裝非法軟件。4.3.2改變系統(tǒng)配置。4.3.3更改系統(tǒng)安全策略。5.系統(tǒng)安全5.1系統(tǒng)安全審計5.1.1對系統(tǒng)操作記錄進行審計。5.1.2對系統(tǒng)安全事件進行審計。5.2代碼準入審批5.2.1對新增加、修訂的軟件代碼進行審批。5.2.2進行軟件源代碼安全掃描。5.3系統(tǒng)漏洞掃描5.3.1定期檢測系統(tǒng)漏洞。5.3.2定期測試系統(tǒng)安全級別。6.違規(guī)處理6.1違規(guī)事件類型6.1.1未經(jīng)允許的外聯(lián)。6.1.2未經(jīng)允許的越權(quán)操作。6.1.3非法入侵。6.1.4信息泄露。）6.1.5病毒攻擊。6.2違規(guī)數(shù)據(jù)統(tǒng)計：6.2.1統(tǒng)計違規(guī)行為的數(shù)量和類型。6.2.2對違規(guī)行為的發(fā)現(xiàn)和處理進行記錄。6.3違規(guī)事件處理：6.3.1協(xié)助組織制定違規(guī)行為預防計劃和紀律處分制度，實行預防、預警、防護的綜合治理。6.3.2責令?？?、暫停操作，限制使用權(quán)限。6.3.3緊急處理違規(guī)操作，保證系統(tǒng)穩(wěn)定運行。6.3.4積極配合公安、通信行政部門的調(diào)查工作，協(xié)助善后處理。7.附則7.1本制度由信息化安全管理人員主持制定，經(jīng)組織領導批準后實施。7.2具體操作事宜由信息化安