(單位)信息安全管理制度二〇二〇年1安全管理制度 11.1安全工作總體方針和安全策略 11.1.1總體方針和安全策略總則 11.1.2方針、目標和原則 11.1.3總體安全策略 31.2物理安全管理制度 41.2.1安全域 51.2.2設備安全 51.2.3物理訪問控制 61.2.4建筑和環(huán)境的安全管理 61.2.5數(shù)據(jù)中心訪問記錄管理 71.2.6設備和電纜安全 71.2.7設備裝載、處置或重新使用 71.3網(wǎng)絡安全管理制度 81.3.1鑒別和網(wǎng)絡安全 91.3.2網(wǎng)絡安全管理 1.3.4補丁更新、設備固件升級制度 1.3.5其它事項 1.4主機系統(tǒng)安全管理制度 1.5數(shù)據(jù)安全管理制度 1.6應用安全管理制度 1.6.2系統(tǒng)軟件的管理 1.6.3應用軟件的管理 1.7系統(tǒng)建設管理制度 1.7.2職責分工 1.7.4項目申報 1.7.5項目初審 1.7.7立項審批 1.7.8項目任務書簽訂 1.7.9附則 1.8系統(tǒng)變更管理制度 1.8.1目的與依據(jù) 1.8.2使用范圍 1.8.3術語/定義 1.8.4職責分工 1.8.5工作程序 1.9重要系統(tǒng)操作規(guī)程 1.10安全制度評審和修訂 2安全管理機構 2.1工作人員崗位職責及規(guī)范制度 2.1.1安全主管 2.1.2機房管理員 2.1.3系統(tǒng)管理員 2.1.4網(wǎng)絡管理員 2.1.5數(shù)據(jù)庫管理員 2.1.6安全管理員 2.2安全崗位設置原則 2.2.1多人負責原則 2.2.2職責分離原則 2.2.3工作分開原則 2.2.4權限隨崗原則 2.3審批管理制度 3人員安全管理 3.1人員錄用與入職 3.2人員離崗制度 3.3考核、獎懲計劃 3.4培訓及教育管理規(guī)定 3.4.2信息安全培訓的要求 3.4.3本單位員工 3.5信息安全培訓的內(nèi)容 3.5.1安全體系及安全職責分工 3.5.2新員工入職安全培訓 3.5.3本單位員工安全技術教育 3.5.4各項安全專業(yè)技術教育 3.5.5安全專業(yè)資格認證 3.5.6信息安全內(nèi)部考核(含培訓) 3.6本單位信息安全培訓的管理 3.6.1安全培訓的發(fā)起 3.6.2安全培訓的實施 3.7外來人員訪問管理制度 4系統(tǒng)運維管理 4.1機房安全管理制度 4.1.1出入管理 4.1.2環(huán)境管理 4.1.3安全管理 4.1.4操作管理 4.1.5消防管理 4.2辦公環(huán)境保密性管理制度文檔 4.2.1辦公環(huán)境注意事項 4.3資產(chǎn)安全管理制度 4.3.2范圍 4.3.3定義 4.3.4單位資產(chǎn)管理細則 4.4介質(zhì)管理制度 4.4.1介質(zhì)的管理 4.4.2介質(zhì)安全存放 4.5設備安全管理制度 4.5.1設備定義 4.5.2設備管理 4.5.3設備帶離審批 4.6設備操作手冊 4.7安全審計制度 4.7.1總則 4.7.2工作職責安排 4.7.3審計計劃的制訂 4.7.4安全審計實施 4.7.5安全審計匯報 4.7.6糾正和預防措施 4.7.7審計糾正和預防措施的實施狀況 4.7.8審計結果的審閱 4.8系統(tǒng)及網(wǎng)絡漏洞掃描制度 4.8.2人員職責 4.8.3用戶管理 4.8.4設備管理 4.9補丁更新制度 4.9.1概述 4.9.3獲取 4.9.4測試 4.9.5安裝 4.9.6驗證 4.10系統(tǒng)日志審計分析制度 4.11系統(tǒng)訪問控制策略文檔 4.11.1總則 4.11.2訪問控制策略的制定 4.11.3訪問控制策略的管理 4.11.4訪問控制策略 4.12系統(tǒng)運維手冊 4.12.1查看硬盤可用容量 4.12.2監(jiān)視系統(tǒng)資源 4.12.3查看系統(tǒng)核心進程文件管理 4.12.4操作系統(tǒng)帳戶管理 4.12.5路由管理 4.12.6操作系統(tǒng)日志管理 4.12.7測試故障臺是否可用 4.12.8操作系統(tǒng)補丁管理 4.12.9遠程登陸分析 4.13惡意代碼防范管理制度 4.14數(shù)據(jù)備份及恢復管理制度 4.14.2備份策略 4.14.3備份操作管理 4.14.4備份介質(zhì)的存放和管理 4.14.5備份恢復 4.15安全事件報告與處置 4.15.1安全事件管理 4.15.2安全事件的定級 4.15.3一般網(wǎng)絡與信息安全事件報告制度 4.15.4重大網(wǎng)絡與信息安全事件報告制度 5系統(tǒng)網(wǎng)絡與信息安全應急響應工作制度 5.1總則 5.1.1策略目標 5.1.2適用范圍 5.1.3使用人員及角色職責 5.2組織職責 5.3工作原則 5.4安全要求 5.5應急預案框架 5.5.1事件分類 5.5.2分級分類 5.5.3組織體系 5.5.4預防預警 5.5.5先期處置 5.5.7應急操作 5.5.8應急結束 5.5.9善后處理 5.5.10調(diào)查評估 5.6保障措施 5.6.1通信與信息保障 5.6.2應急裝備保障 5.6.4應急隊伍保障 99 5.6.7演練 5.6.8修訂 5.7應急預案啟動條件 5.8各事件應急預案 5.8.1機房漏水應急預案 5.8.2設備發(fā)生被盜或人為損害事件應急預案 5.8.3機房長時間停電應急預案 5.8.4通信網(wǎng)絡故障應急預案 5.8.5不良信息和網(wǎng)絡病毒事件應急預案 5.8.6服務器軟件系統(tǒng)故障應急預案 5.8.7黑客攻擊事件應急預案 5.8.8核心設備硬件故障應急預案 5.8.9業(yè)務數(shù)據(jù)損壞應急預案 5.8.10雷擊事故應急預案 5.8.11機房動力系統(tǒng)應急處理方案 11安全管理制度1.1安全工作總體方針和安全策略第一條為加強和規(guī)范系統(tǒng)安全工作，提高信息系統(tǒng)整體安全防護水平，實第二條本文檔的目的是(以下簡稱“”)安全管理信息系統(tǒng)提供一個總體的策略性架構文件，該文件將指導信息系統(tǒng)的安全管理體系的建立。安全管理體系的建立是為信息系統(tǒng)的安全管理工作提供參照，以實現(xiàn)統(tǒng)一的安全策略管理，提高整體的網(wǎng)絡與信息安全水平，確保安全控制措施落實到位，保障網(wǎng)絡通信暢通和業(yè)務系統(tǒng)的正常運營。第三條本文檔適用于信息系統(tǒng)資產(chǎn)和信息技術人員的安全管理和指導，適用于指導信息系統(tǒng)安全策略的制定、安全方案的規(guī)劃和安全建設的實施，適用于安全管理體系中安全管理措施的選擇。本文檔的編制參照了以下國家、中心的標準和文件：27號)(四)《信息安全技術信息系統(tǒng)安全管理要求》(GB/T20269—2006)(五)《信息系統(tǒng)等級保護安全建設技術方案設計要求》(報批稿)(六)《關于開展信息安全等級保護安全建設整改工作的指導意見》(公信安[2009]1429號)1.1.2方針、目標和原則2第五條信息系統(tǒng)安全堅持“安全第一、預防為主，管理和技術并重，綜合防范”的總體方針，實現(xiàn)信息系統(tǒng)安全可控、能控、在控。依照“分區(qū)、分級、分域”總體安全防護策略，執(zhí)行信息系統(tǒng)安全等級保護制度。第六條信息系統(tǒng)安全總體目標是確保信息系統(tǒng)持續(xù)、穩(wěn)定、可靠運行和確保信息內(nèi)容的機密性、完整性、可用性，防止因信息系統(tǒng)本身故障導致信息系統(tǒng)不能正常使用和系統(tǒng)崩潰，抵御黑客、病毒、惡意代碼等對信息系統(tǒng)發(fā)起的各類攻擊和破壞，防止信息內(nèi)容及數(shù)據(jù)丟失和失密，防止有害信息在網(wǎng)上傳播，防止中心對外服務中斷和由此造成的系統(tǒng)運行事故。第七條信息安全工作的總體原則(1)基于安全需求原則組織機構應根據(jù)其信息系統(tǒng)擔負的使命，積累的信息資產(chǎn)的重要性，可能受到的威脅及面臨的風險分析安全需求，按照信息系統(tǒng)等級保護要求確定相應的信息系統(tǒng)安全保護等級，遵從相應等級的規(guī)范要求，從全局上恰當?shù)仄胶獍踩度?2)主要領導負責原則主要領導應確立其組織統(tǒng)一的信息安全保障的宗旨和政策，負責提高員工的安全意識，組織有效安全保障隊伍，調(diào)動并優(yōu)化配置必要的資源，協(xié)調(diào)安全管理工作與各部門工作的關系，并確保其落實、有效；(3)全員參與原則信息系統(tǒng)所有相關人員應普遍參與信息系統(tǒng)的安全管理，并與相關方面協(xié)同、協(xié)調(diào)，共同保障信息系統(tǒng)安全；(4)系統(tǒng)方法原則按照系統(tǒng)工程的要求，識別和理解信息安全保障相互關聯(lián)的層面和過程，采用管理和技術結合的方法，提高實現(xiàn)安全保障的目標的有效性和效率；(5)持續(xù)改進原則安全管理是一種動態(tài)反饋過程，貫穿整個安全管理的生存周期，隨著安全需求和系統(tǒng)脆弱性的時空分布變化，威脅程度的提高，系統(tǒng)環(huán)境的變化以及對系統(tǒng)安全認識的深化等，應及時地將現(xiàn)有的安全策略、風險接受程度和保護措施進行復查、修改、調(diào)整以至提升安全管理等級，維護和持續(xù)改進信息安全管理體系的3(6)依法管理原則信息安全管理工作主要體現(xiàn)為管理行為，應保證信息系統(tǒng)安全管理主體合法、管理行為合法、管理內(nèi)容合法、管理程序合法。對安全事件的處理，應由授權者適時發(fā)布準確一致的有關信息，避免帶來不良的社會影響；(7)分權和授權原則對特定職能或責任領域的管理功能實施分離、獨立審計等實行分權，避免權力過分集中所帶來的隱患，以減小未授權的修改或濫用系統(tǒng)資源的機會。任何實體(如用戶、管理員、進程、應用或系統(tǒng))僅享有該實體需要完成其任務所必須(8)選用成熟技術原則成熟的技術具有較好的可靠性和穩(wěn)定性，采用新技術時要重視其成熟的程度，并應首先局部試點然后逐步推廣，以減少或避免可能出現(xiàn)的失誤；(9)管理與技術并重原則堅持積極防御和綜合防范，全面提高信息系統(tǒng)安全防護能力，立足國情，采用管理與技術相結合，管理科學性和技術前瞻性結合的方法，保障信息系統(tǒng)的安(10)自保護和國家監(jiān)管結合原則對信息系統(tǒng)安全實行自保護和國家保護相結合。組織機構要對自己的信息系形成自管、自查、自評和國家監(jiān)管相結合的管理模式，提高信息系統(tǒng)的安全保護能力和水平，保障國家信息安全。1.1.3總體安全策略第八條物理安全策略(1)機房和辦公室必須選擇在經(jīng)過防震、防火、防雷擊驗收合格的辦公大樓內(nèi)部，機房的窗戶需要有防雨水滲透的能力；(2)機房的位置不能是大樓的地下室、一樓房間或是大樓的頂層，機房的(3)機房出入口必須有專人值守，對工作人員進行登記；4(4)進入機房的工作人員必須進行登記，并由安全管理員或機房管理員全(5)機房內(nèi)部必須部署基礎防護系統(tǒng)和設備，如監(jiān)控報警系統(tǒng)、防雷設備、消防滅火系統(tǒng)、防水監(jiān)控系統(tǒng)、溫濕度控制系統(tǒng)、UPS供電系統(tǒng)。第九條主機安全策略(1)登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶必須進行身份標識和鑒別；(2)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標識不能出現(xiàn)同名用戶，口令應有復雜度要求并定期更換；(3)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)必須啟用登錄失敗處理功能；(4)對服務器進行遠程管理時，必須采取必要措施，防止鑒別信息在網(wǎng)絡(5)為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名第十條應用安全策略(1)應用系統(tǒng)必須在登錄時要求輸入用戶名和口令；(2)登錄應用系統(tǒng)必須進行兩種或兩種以上的復合身份驗證(如用戶名口令+Ukey或用戶名口令+IP與MAC地址綁定方式);(3)應用系統(tǒng)中設置的用戶都必須是唯一用戶，不能名稱相同，且不能出(4)應用系統(tǒng)必須開啟登錄失敗處理功能；(5)應用系統(tǒng)必須開啟登錄連接超時自動退出等措施；第十一條數(shù)據(jù)安全策略(1)業(yè)務應用數(shù)據(jù)和設備配置文檔都必須進行備份，以便發(fā)生問題時進行(2)數(shù)據(jù)備份至其他設備上時，必須使用專門的備份通道，保證數(shù)據(jù)傳輸(3)數(shù)據(jù)本機備份時應檢測其完整性；1.2物理安全管理制度5信息和其他用于存儲、處理或傳輸信息的物理資產(chǎn)，例如硬件、磁介質(zhì)、電纜等，對于物理破壞來說是易受攻擊的。同時也不可能完全消除這些風險，應該將資產(chǎn)放置于適當?shù)沫h(huán)境中并在物理上保護他們免受安全威脅和環(huán)境危害。通過識別和減小這些風險將其降低到可接受的水平。1.2.1安全域應將支持關鍵業(yè)務或敏感業(yè)務活動的信息技術設備放置在安全域中?！舭踩驊斂紤]物理安全邊界控制，安全域防護等級應當與安全域內(nèi)的信息資產(chǎn)安全等級一致。◆安全域應該有適當?shù)倪M出控制措施保護?！舭踩虻脑L問權限應該被嚴格控制?！魬摽紤]為安全域提供中間傳遞空間，以避免直接將物品傳◆安全域不應該放置需要經(jīng)常使用的設備?！粢Ｗo信息機密性或關鍵信息不受非授權訪問，防止信息由于災難事件帶來的損傷或破壞；在非正常工作時間這些信息應該是不可見和不可訪問的?！糍Y產(chǎn)的銷毀應該通過管理手段適當?shù)厥跈唷?.2.2設備安全對支持關鍵業(yè)務或敏感業(yè)務過程(包括備份設備和存儲過程)的設備應該適當?shù)卦谖锢砩线M行保護以避免安全威脅和環(huán)境危險。(1)設備應該放置在合適的位置或加強保護，將被如水或火破壞、干擾或非授權訪問的風險降低到可接受的程度。(2)對支持關鍵業(yè)務過程的設備應該進行保護，以免受電源故障或其他電(3)對計算機和設備環(huán)境應該進行監(jiān)控，必要的話要檢查環(huán)境的影響因素，如溫度和濕度是否超過正常界限。(4)對通訊和電力線應該保護，以防被偵聽和中斷。(5)安全規(guī)程和控制措施應該覆蓋該設備的安全性要求。6(6)對設備應該按照生產(chǎn)商的說明進行有序地維護。(7)設備包括存儲介質(zhì)在廢棄使用之前，應該刪除其上面的數(shù)據(jù)。1.2.3物理訪問控制應定義單位信息處理設施運營范圍內(nèi)物理安全的職責，并分配給被授權的工作人員。業(yè)務部門應建立訪問控制程序，控制并限制所有對單位系統(tǒng)計算、存儲和通應有合適的出入控制來保護安全場所，確保只允許授權的人員進入。必須僅限單位工作人員和維護/物業(yè)人員訪問單位系統(tǒng)辦公場所、布線室、機房和計算基礎設施。僅在擁有特定的、經(jīng)批準的目的時才允許訪客訪問。所有非單位人員在單位訪問期間應一直有人陪同。每位工作人員都有責任對沒有陪同的陌生人進行詢問。對所有進入單位的訪客都應有訪客登記。至少包含以下信息：◆姓名◆他們所在的機構◆接待他們的單位人員◆進入和離開的日期和時間◆接待人員簽名在進入單位系統(tǒng)信息設施之前要逐項列出所攜帶的信息存儲媒體和處理設1.2.4建筑和環(huán)境的安全管理◆偷竊火災溫度濕度◆水7◆爆炸物◆灰塵◆振動◆化學影響必須建立環(huán)境狀況監(jiān)控機制，以監(jiān)控廠商建議范圍外的可能影響信息處理設施的環(huán)境狀況。應在運營范圍內(nèi)配備滅火器。定期測試、檢查并維護環(huán)境監(jiān)控警告機制，并至少每年操作一次滅火設備。1.2.5數(shù)據(jù)中心訪問記錄管理交接班領導應定期檢查物理訪問記錄本，以確保正確使用了這項控制。物理訪問記錄應至少保留12個月，以便協(xié)助事件調(diào)查。應經(jīng)信息安全管理層批準后才可以處置記錄，并應用碎紙機處理。1.2.6設備和電纜安全應識別所有設備并進行統(tǒng)計，建立并維護對設備訪問使用的控制程序。應有專門人員維護并定期核實資產(chǎn)登記表中與每個信息系統(tǒng)有關的所有設業(yè)務部門和職能單位應建立設備運出單位的控制程序，控制單位設備的運出對于敏感的或重要的信息媒介，須進行以下控制：◆安裝有外殼的電纜管道，并鎖住檢查點和終止點的房間或盒◆定期清除連在電纜上的非授權設備。1.2.7設備裝載、處置或重新使用應僅限已識別身份且經(jīng)授權的人員從建筑外部訪問卸載設備的區(qū)域。將來料從卸載設備地區(qū)移動到使用點的過程中，應對其進行潛在風險檢查。8業(yè)務部門應建立程序來規(guī)范來料從入口處移動至其位置的過程。1.3網(wǎng)絡安全管理制度1、遵守國家有關法律、法規(guī)，嚴格執(zhí)行安全保密制度，不得利用網(wǎng)絡從事危害國家安全、泄露國家秘密等違法犯罪活動，不得制作、瀏覽、復制、傳播反動及黃色信息，不得在網(wǎng)絡上發(fā)布反動、非法和虛假的消息，不得在網(wǎng)絡上漫罵攻擊他人，不得在網(wǎng)上泄露他人隱私。嚴禁通過網(wǎng)絡進行任何黑客活動和性質(zhì)類似的破壞活動，嚴格控制和防范計算機病毒的侵入。2、網(wǎng)絡安全管理員主要負責中心網(wǎng)絡(包含局域網(wǎng)、廣域網(wǎng))的系統(tǒng)安全3、網(wǎng)絡配置信息由統(tǒng)一設置，任何人不得更改，不得對外單位人員泄漏網(wǎng)絡中的各種配置信息。4、計算機設備必須經(jīng)中心檢測許可后方可接入內(nèi)網(wǎng)，無入網(wǎng)許可證的計算機設備不得接入內(nèi)網(wǎng)。入網(wǎng)許可證由發(fā)放粘貼，不得隨意撕毀入網(wǎng)許可證，入網(wǎng)許可證長時間使用毀壞或掉失的，應立即與信息管理科聯(lián)系，重新粘貼；計算機設備經(jīng)維修后應重新進行安全檢測方可接入內(nèi)網(wǎng)，未經(jīng)許可不得擅自接入內(nèi)5、網(wǎng)絡系統(tǒng)應設置各級訪問口令、管理口令，防止非法用戶修改網(wǎng)絡設備6、各辦公室應嚴格按IP地址分配方案設置本中心的IP地址及掩碼，不IP地址一經(jīng)確定不得更改，確需變動的，應報同意方可進行，并上報備案。7、在網(wǎng)絡通訊和系統(tǒng)內(nèi)部互相傳遞數(shù)據(jù)時，應嚴格進行安全檢測，防止病8、經(jīng)常對網(wǎng)絡的通訊主干線路和備份線路進行維護檢查，以防線路和設備因故障而影響網(wǎng)絡的正常運行。要嚴格按網(wǎng)絡操作規(guī)程進行上、下網(wǎng)的操作。9、內(nèi)網(wǎng)必須與因特網(wǎng)實行隔離，內(nèi)網(wǎng)中的計算機嚴禁接入外網(wǎng)，因工作需要的，必需填寫網(wǎng)絡外聯(lián)申請單申請。910、政務外網(wǎng)與政務內(nèi)網(wǎng)實現(xiàn)隔離，實行專機專用，不得將接入因特網(wǎng)的網(wǎng)線插入用于內(nèi)網(wǎng)工作的計算機，也不得將接入內(nèi)網(wǎng)的網(wǎng)線插入用于因特網(wǎng)的單機。1.3.1鑒別和網(wǎng)絡安全◆網(wǎng)絡訪問控制應包括對人員的識別和鑒定；◆用戶連接到網(wǎng)絡的能力應受控，以支持業(yè)務應用的訪問策略需求；◆專門的測試和監(jiān)控設備應被安全保存，使用時要進行嚴格控制；◆通過網(wǎng)絡監(jiān)控設備訪問網(wǎng)絡應受到限制并進行適當授權；◆應配備專門設備自動檢查所有網(wǎng)絡數(shù)據(jù)傳輸是否完整和正確；◆應評估和說明使用外部網(wǎng)絡服務所帶來的安全風險；◆通過公共網(wǎng)絡或其他遠程網(wǎng)絡進行連接的用戶應該被授權且加密；◆根據(jù)不同的用戶和不同的網(wǎng)絡服務進行網(wǎng)絡訪問控制；◆關閉或屏蔽所有不需要的網(wǎng)絡服務；◆采用有效的口令保護機制，包括：規(guī)定口令的長度、有效期、口令規(guī)則或采用動態(tài)口令等方式，保障用戶登錄和口令的安全；◆應該嚴格控制可以對重要服務器、網(wǎng)絡設備進行訪問的登錄終端或登錄節(jié)點，并且進行完整的訪問審計；◆嚴格設置對重要服務器、網(wǎng)絡設備的訪問權限；◆嚴格控制可以對重要服務器、網(wǎng)絡設備進行訪問的人員；◆保證重要設備的物理安全性，嚴格控制可以物理接觸重要設備的人◆對重要的管理工作站、服務器必須設置自動鎖屏或在操作完成后，必須手工鎖屏；◆嚴格限制進行遠程訪問的方式、用戶和可以使用的網(wǎng)絡資源；◆接受遠程訪問的服務器應該劃分在一個獨立的網(wǎng)絡安全域；◆根據(jù)系統(tǒng)的運行特點、業(yè)務特點和信息資產(chǎn)的歸類情況，在系統(tǒng)的網(wǎng)絡運行環(huán)境中劃分不同的網(wǎng)絡安全域；◆安全隔離措施必須滿足國家、行業(yè)的相關政策法規(guī)。個人終端用戶(包括個人計算機)的鑒別，以及連接到所有辦公自動化網(wǎng)絡和服務的控制職責，由決定。1.3.2網(wǎng)絡安全管理特別是加強跨越系統(tǒng)邊界的網(wǎng)絡安全管理?！窬W(wǎng)絡管理員應確保系統(tǒng)的數(shù)據(jù)安全，保障連接的服務的有效性，避免非◆應將網(wǎng)絡的操作職責和計算機的操作職責分離；◆制定遠程設備(包括用戶區(qū)域的設備)的管理職責和程序；◆應采取特殊的技術手段保護通過公共網(wǎng)絡傳送的數(shù)據(jù)的機密性和完整性，并保護連接的系統(tǒng)，采取控制措施維護網(wǎng)絡服務和所連接的◆信息安全管理活動應與技術控制措施協(xié)調(diào)一致，優(yōu)化業(yè)務服務能力；◆使用遠程維護協(xié)議時，要充分考慮安全性。1.3.3入侵檢測對網(wǎng)絡攻擊以及未經(jīng)授權的訪問進行及時的響應?！舾鶕?jù)需要，針對的具體應用和操作系統(tǒng)配置入侵檢測系統(tǒng)；◆正常運行的入侵檢測系統(tǒng)必須由專人負責，相關規(guī)則設計屬于秘密信息，不得外傳，否則，將承擔法律責任；◆由專人負責入侵檢測系統(tǒng)軟件歸檔入庫以及登錄、保管等工作；◆由專人負責入侵檢測系統(tǒng)軟件拷貝和資料印刷等工作；◆由專人負責入侵檢測系統(tǒng)的安裝、調(diào)試及卸載等工作；◆定期查看入侵檢測系統(tǒng)日志記錄，并做備份；◆如發(fā)現(xiàn)異常報警或情況需及時通知相關負責人；◆運行于本網(wǎng)絡的入侵檢測系統(tǒng)的各條規(guī)則設計，均需由本單位安全管理部門領導批準并登記在案，方可進行；1.3.4補丁更新、設備固件升級制度1、為保證本單位所有計算機系統(tǒng)(包括主機服務器、存儲、網(wǎng)絡設備、通信設備、個人計算機、系統(tǒng)軟件、應用軟件等)的正常運行，需要及時更新計算機系統(tǒng)的軟件補丁以及升級設備固件，特制定本制度。2、適用范圍：適用于本單位所轄范圍系統(tǒng)。3、系統(tǒng)管理員負責跟進各產(chǎn)品的安全漏洞信息和產(chǎn)品廠商發(fā)布的安全更新4、安全補丁根據(jù)其對應漏洞的嚴重程度分為三個級別：緊急補丁、重要補丁和一般補??；緊急補丁必須在15天內(nèi)完成加載，重要補丁必須在30天內(nèi)完成加載，一般補丁要求3個月內(nèi)完整加載。5、系統(tǒng)管理員分別經(jīng)主管領導批準后采用公告和郵件形式向相關的業(yè)務系6、系統(tǒng)管理員負責從正式渠道獲取軟件及安全補丁，正式渠道包括產(chǎn)品廠商提供的或從產(chǎn)品廠商網(wǎng)站下載的安全補丁。7、系統(tǒng)管理員負責對安全補丁進行完整性校驗，確保獲取的安全補丁軟件8、軟件及補丁升級加載之前必須經(jīng)過嚴格的測試，嚴禁未經(jīng)測試直接在應用系統(tǒng)上加載。實驗機配置環(huán)境需要與現(xiàn)網(wǎng)環(huán)境盡可能一致，并考慮差異性帶來的風險；條件允許的情況下(如有測試設備或備機)可以進行現(xiàn)網(wǎng)測試。10、補丁測試的內(nèi)容包括安裝測試、功能性測試、兼容性測試和回退測試：(一)安裝測試主要測試補丁安裝過程是否正確無誤，補丁安裝后系統(tǒng)是否正常運行。(二)功能性測試主要測試補丁是否對安全漏洞進行了修補。(三)兼容性測試主要測試補丁加載后是否對應用系統(tǒng)帶來影響，業(yè)務(四)回退測試主要包括補丁卸載測試、系統(tǒng)還原測試。11、補丁測試的工作由系統(tǒng)集成商或系統(tǒng)管理員負責實施。必須對補丁的現(xiàn)場測試和現(xiàn)網(wǎng)測試限定時間，測試完成后需要編寫詳細的測試報告，給出明確的12、系統(tǒng)管理員需要把《補丁測試報告》提交部門主管領導進行審核，審核通過后可以進行補丁加載和發(fā)布。13、為確保系統(tǒng)集成商及時配合補丁的測試和安裝工作，需要通過合同的方式，明確集成商的安全補丁測試和安裝責任，約束條款至少應包括：實驗機測試環(huán)境的構建，在規(guī)定時間內(nèi)完成補丁測試，補丁加載，補丁加載失敗時的測試與分析，補丁與應用沖突時的系統(tǒng)改造和升級等工作。14、軟件補丁安裝前，系統(tǒng)管理員根據(jù)需要給出應急措施建議，例如通過加強訪問控制、臨時關閉服務、加強安全審計等應急措施來加強網(wǎng)絡安全，各相關業(yè)務系統(tǒng)根據(jù)建議采取適當?shù)姆雷o措施，并加強對系統(tǒng)的監(jiān)控，及時發(fā)現(xiàn)和報告安全審批的周期應限制在2個工作日內(nèi)，并盡量縮短。16、在補丁安裝前，必須做好數(shù)據(jù)備份工作，確保任何的操作都可回退，在到達回退時間補丁加載沒有完成時，啟動回退操作，保證業(yè)務的正常運行。17、補丁加載必須安排在業(yè)務比較空閑的時間進行，對補丁加載的操作過程必須詳細記錄。同時必須維護已成功加載設備、未加載設備及加載失敗的設備清18、核心業(yè)務主機的補丁加載建議要求廠商工程師現(xiàn)場支持。19、補丁安裝完成后，業(yè)務系統(tǒng)管理員必需查看系統(tǒng)信息，確保安全補丁已20、必須對加載補丁后的系統(tǒng)按照計劃和驗證方案進行嚴格的測試驗證，確保補丁加載后不影響系統(tǒng)的性能，確保各項業(yè)務操作正常。21、補丁加載后的一周內(nèi)，系統(tǒng)管理員必須加強對系統(tǒng)性能和事件進行密切1、網(wǎng)絡以及安全設備的配置文件應該每半年備份一次。2、網(wǎng)絡以安全設備更新或策略改動前應先備份。3、當網(wǎng)絡以及安全設備更新或策略改動后，經(jīng)測試沒有發(fā)生問題的，應及時保存新的配置文件，同時保留原有配置文件一年以上時間。4、設備的日志保存時間至少半年，存儲于日志審計設備中。5、應每半年查看設備是否有更新固件，安全設備應每個月查看是否有新的規(guī)則庫，發(fā)現(xiàn)更新后應先做好新固件(規(guī)則庫)的測試工作，確定正常后再正式更新到設備里。6、網(wǎng)絡及安全設備的口令應每三個月更改一次，長度至少8位并且要包含數(shù)字跟大小寫英文字符。訪問前先填寫《設備外聯(lián)申請表》交由安全管理員審批，審批通過后方可訪問。1.4主機系統(tǒng)安全管理制度1、對主機上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶進行審計，審計內(nèi)容應包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關事件；審計記錄應包括事件的日期、時間、類型、主體標識、客體標識和結果等，并保護審計記錄，避免受到未預期的刪除、修改或覆蓋等。對主機設備日2、任何用戶不得進入未經(jīng)許可的計算機系統(tǒng)更改系統(tǒng)信息和用戶數(shù)據(jù)。3、對操作系統(tǒng)盤區(qū)/文件進行訪問權限的配置，關閉/禁用不需要服務如：4、各部門定期對本部門主機系統(tǒng)進行備份使之能在發(fā)生故障時進行恢復。對關鍵設備須進行設備冗余，以滿足業(yè)務高峰期的需求及消除設備單點故障。5、檢查用戶賬號，停止不需要的賬號和組，停用guest等賬號，重命名6、設定終端接入方式、對網(wǎng)絡地址范圍等進行限制，對終端登入用戶數(shù)量進行限定，對終端連接的空閑時間進行限定。7、主機系統(tǒng)登入用密碼應是數(shù)字、字母和特殊符號的結合體，密碼更新周期為30天。如果給定的口令超過90天，則必須鎖定賬號。嚴禁重新使用口令，強制密碼歷史為3。用戶登入失敗三次自動鎖定15分鐘，15分鐘后計數(shù)器清零。8、系統(tǒng)管理員察覺到系統(tǒng)處于被攻擊狀態(tài)后，應確定其身份，并對其發(fā)出警告，提前制止可能的網(wǎng)絡犯罪，若對方不聽勸告，在保護系統(tǒng)安全的情況下可9、定期對主機系統(tǒng)進行漏洞掃描(可請第三方機構)、加固，補丁升級，升級前做好備份，并對補丁進行安全性測試。10、遠程管理服務器時應采取必要措施防止鑒別信息在網(wǎng)絡傳輸過程中被竊聽(如數(shù)字證書),對服務器的管理員登入地址進行限制。11、應對單個用戶對系統(tǒng)資源的訪問進行限制，防止DDOS攻擊或因某個業(yè)1.5數(shù)據(jù)安全管理制度第一條計算機信息系統(tǒng)使用部門應按規(guī)定進行數(shù)據(jù)備份，并檢查備份介質(zhì)的第二條使用部門應對數(shù)據(jù)備份介質(zhì)(磁盤、光盤、U盤、移動硬盤、紙介質(zhì)等)統(tǒng)一編號，并標明備份日期和備份數(shù)據(jù)內(nèi)容、密級及保密期限。第三條使用部門應對備份數(shù)據(jù)介質(zhì)妥善保管，特別重要的應異地存放，并定期進行檢查，確保數(shù)據(jù)的完整性、可用性。第四條使用部門應建立備份介質(zhì)的銷毀審批登記制度，并采取相應的安全銷第五條重要計算機信息系統(tǒng)所用計算機設備的維修，應保證數(shù)據(jù)信息的完整性和安全性。在維修過程中不得泄露涉密政府政務數(shù)據(jù)信息。第六條重要計算機信息系統(tǒng)使用的計算機設備更換或報廢時，應徹底清除計算機內(nèi)部相關業(yè)務信息數(shù)據(jù)，并拆除所有相關的涉密選配件，由使用部門統(tǒng)一登1.6應用安全管理制度1.6.1總則第一條計算機軟件是單位的重要資產(chǎn)，為防止由于軟件版本、介質(zhì)和應用程序的遺失，影響業(yè)務應用系統(tǒng)的正常運轉(zhuǎn)，制定下列管理制度。第二條系統(tǒng)軟件的內(nèi)容。操作系統(tǒng)、數(shù)據(jù)庫、中間件和其他支持應用軟件運轉(zhuǎn)和開發(fā)的軟件都屬于系統(tǒng)軟件。第三條保持軟件介質(zhì)的良好和文檔資料完整，單位信息技術部要有專人對系統(tǒng)軟件進行管理和保管，定期檢查和備份，保證系統(tǒng)軟件介質(zhì)的完好無損和文檔第四條系統(tǒng)軟件的借用。系統(tǒng)軟件的借用要做好登記，借用人員要及時歸還，出借人員要檢查還回的介質(zhì)是否完好，避免造成遺失。第五條未經(jīng)允許，任何人不得將業(yè)務應用軟件進行拷貝、轉(zhuǎn)讓、復印以及擴散。版權轉(zhuǎn)讓、軟件解密等行為，必須經(jīng)單位等級保護領導小組辦公室審批同意后方可進行。第六條信息技術部要指定專人負責對業(yè)務應用軟件進行管理和保管。第七條保持版本的一致性。要作好應用軟件的版本更新管理工作，保證上線使用的軟件版本和保存的軟件版本是一致的。軟件更新和修改后一定要及時作好版本的復制工作，避免軟件版本不同和遺失，影響業(yè)務應用系統(tǒng)的運轉(zhuǎn)。第八條軟件介質(zhì)及文檔的存放。軟件應存放在防火、防潮、防磁、防盜的鋼箱內(nèi)妥善保管。第九條要貫徹國家公安機關的有關規(guī)定，經(jīng)常檢查業(yè)務部門使用的計算施防止擴散。1.7系統(tǒng)建設管理制度1.7.1總則第一條為規(guī)范中心信息化建設項目的管理工作，特制訂本辦法。第二條本辦法適用于中心信息化建設項目管理工作。第三條本辦法所指信息化建設項目是由單位各相關部門提出，在單位業(yè)務規(guī)范和信息化規(guī)劃指導下運用信息技術手段實施的應用系統(tǒng)建設、信息化基礎環(huán)境建設以及與之配套的規(guī)劃、標準化建設等等。立項審批、項目任務書簽訂6個階段。第五條項目立項工作由等保領導小組辦公室統(tǒng)一組織管理。第六條等保領導小組辦公室負責立項啟動、項目初審及立項后任務下達和任第七條各部門負責提出立項申請，并在項目立項批準后作為項目承擔部門填報項目任務書。第八條單位財務科負責根據(jù)等保領導小組辦公室提出的項目立項資金總預第九條單位分管領導召集項目專題會對項目初審材料進行立項審查；由等保領導小組辦公會議進行立項審批。1.7.3立項啟動第十條為配合每年財務預算申報工作，等保領導小組辦公室會同有關部門于每年年初啟動下一年度項目申報工作。1.7.4項目申報第十一條項目申報部門須將完整的項目申報材料報等保領導小組辦公室。第十二條凡涉及軟件開發(fā)的項目須附帶提交業(yè)務需求書。業(yè)務需求書是立項審核的主要依據(jù)，重要系統(tǒng)的業(yè)務需求須先報分管領導批準，再向等保領導小組辦公室提交項目申報材料。第十三條除因政策需要或其他特殊原因，經(jīng)單位領導批準后可單獨提出項目立項申請外，原則上，項目申報部門應在要求的時限內(nèi)集中進行項目申報。1.7.5項目初審第十四條等保領導小組辦公室召集項目申請部門、財務科、法律合規(guī)部等有關部門，負責立項初審并提出初審意見，初審意見應明確提出是否同意立項及理由，同時對項目內(nèi)容及資金規(guī)模提出建議。第十五條等保領導小組辦公室須就初審意見與各項目申報部門溝通，并根據(jù)溝通結果將所有項目初審意見匯總形成項目初審材料，報單位分管領導。1.7.6立項審查第十六條分管領導召集項目專題會，對項目初審材料進行審查并征求各項目第十七條根據(jù)項目專題會審查意見，由等保領導小組辦公室對項目初審材料進行修改，形成單位年度信息化建設項目立項審查材料。1.7.7立項審批第十八條由等保領導小組辦公會議對單位年度信息化建設項目立項審查材料進行審批，形成審批意見。第十九條經(jīng)等保領導小組辦公會議批準立項的項目任務一般于當年年初下第二十條對于單獨申報的項目，申報要求及初審流程不變，初審后會簽并報分管領導批準并提請等保領導小組辦公會議審批。1.7.8項目任務書簽訂第二十一條申報部門作為已批準項目的項目承擔部門，負責起草項目任務書，并將任務書報等保領導小組辦公室審核，項目任務書一旦簽訂，項目相關各方各持一份，作為項目實施驗收的依據(jù)之一。1.7.9附則第二十三條本辦法由等保領導小組辦公室負責解釋。第二十四條本辦法自下發(fā)之日起執(zhí)行，若與其它制度沖突，以本制度為準。1.8系統(tǒng)變更管理制度1.8.1目的與依據(jù)依據(jù)《信息化管理控制程序》文件要求，為規(guī)范信息系統(tǒng)變更與維護管理，提高信息系統(tǒng)管理水平，優(yōu)化信息系統(tǒng)變更與維護管理流程，特制定本辦法。1.8.2使用范圍信息系統(tǒng)有了新的IT特性和服務可用性，或顯露新的威脅和脆弱性的一個后果，如：新規(guī)程、新特性、軟件更新、硬件更新、新用戶及附加網(wǎng)絡和互連。1.8.3術語/定義信息系統(tǒng)變更：由軟件變更和硬件變更組成。軟件變更：軟件已開發(fā)或采購完畢并正式上線、且由軟件開發(fā)組織移交給應用管理組織之后，所發(fā)生的軟件系統(tǒng)運行支持及變更工作。硬件變更：當硬件設備采購完成并安裝調(diào)試完成后，所發(fā)生的硬件系統(tǒng)運行1.8.4職責分工>負責信息系統(tǒng)變更過程的組織、實施及培訓。>負責規(guī)劃和分配變更所需的基礎設施資源；>負責制定系統(tǒng)變更風險控制管理；>負責對信息系統(tǒng)變更過程中產(chǎn)生的資料進行歸檔保存；>負責整理信息系統(tǒng)變工需求并填寫《系統(tǒng)變更申請表》;>負責配合信息系統(tǒng)變更測試并填寫《用戶測試報告》;>負責配合完成信息系統(tǒng)變更相關培訓。1.8.5工作程序第一條信息系統(tǒng)變更需求由業(yè)務單位提出《系統(tǒng)變更申請表》(附件)交主管第三條根據(jù)相關需求編制變更計劃或方案，組織部門在測試環(huán)境中完成測試第四條信息系統(tǒng)變更提出單位根據(jù)變更計劃或方案填寫《用戶測試報告》,提交部門負責人和IT主管領導簽字確認通過；第五條在進行軟件變更前必須對原系統(tǒng)進行文件級冷備份；第六條在信息系統(tǒng)變更完成后，系統(tǒng)管理員和部門的最終用戶共同撰寫《程序變更驗收報告》,經(jīng)部門負責人簽字驗收后，報送主管部門審批。組織部門對新的信息系統(tǒng)進行相關培訓；信息化系統(tǒng)變更過程中產(chǎn)生的資料(如：參數(shù)配置、變更記錄等)交進行歸檔以備查詢。1.9重要系統(tǒng)操作規(guī)程第一條所有計算機操作使用人員，必須嚴格遵守有關計算機操作規(guī)程和各第二條操作人員必須采用密碼來開機和操作，并注意密碼的保密和密碼定期更改。日常操作要按規(guī)定開機和關機，并在規(guī)定范圍內(nèi)辦理各項業(yè)務；停止作第三條操作使用人員在職責范圍內(nèi)負責所用計算機的使用和保養(yǎng)，非操作人員不得隨意啟動計算機進行數(shù)據(jù)輸入、輸出。第四條操作人員必須愛護電腦設備，保持辦公室和電腦設備的清潔衛(wèi)生，必須懂得正確操作和使用計算機，加強計算機知識的學習，不得讓任何無關的人員使用自己計算機，不要擅自或讓其他非專業(yè)技術人員修改自己計算機系統(tǒng)的重不論當日或以后發(fā)現(xiàn)差錯，操作人員不得自行抹銷或修改，抹銷或修改須由授權第七條各業(yè)務系統(tǒng)操作人員按規(guī)定范圍和打印具體要求，輸出相應數(shù)據(jù)和報表；應按有關規(guī)定要求定期作好系統(tǒng)及數(shù)據(jù)的備份。第八條嚴格遵循系統(tǒng)管理人員與業(yè)務操作人員分工的原則。系統(tǒng)管理員不得參與日常數(shù)據(jù)操作，操作人員不得參與系統(tǒng)參數(shù)的調(diào)整，不得自行變更應用軟第九條用機部門領導應根據(jù)制度和具體操作規(guī)程，加強內(nèi)部制約，合理調(diào)整人員組合，明確崗位職責和處理權限，加強對計算機應用系統(tǒng)的管理。第十條計算機系統(tǒng)一般開、關機次序(1)開機時，先開電源，待供電正常，再開顯示器、打印機等外第十一條操作過程中，計算機系統(tǒng)出現(xiàn)故障，操作人員(當事人)應及時記錄故障現(xiàn)象和出錯信息，并及時報部門領導和。在故障未查明之前，不得第十二條運行中系統(tǒng)發(fā)生故障或異常情況時，操作人員(當事人)應嚴格按有關規(guī)定，迅速進行現(xiàn)場分析和處理。>發(fā)現(xiàn)有異味或冒火花等，應立即關機切斷相關電源，并告知待查明原因、消除故障后方可再開電源繼續(xù)操作；>屬簡單故障，應及時予以現(xiàn)場處理；>操作人員(當事人)無法處理、處理無把握、或故障較復雜嚴重而難以弄清時，應保護好現(xiàn)場，并迅速與部門主管人員取得聯(lián)系，共同第十三條當用機部門主管人員無法處理、處理無把握時，應及時記錄有關情況、已采取的措施等，并迅速與取得聯(lián)系，在獲知用機部門計算機系統(tǒng)發(fā)生異?；蚬收蠒r，應迅速作出響應。調(diào)的，應及時將情況報告科室領導，重大事項應報告，以聽取處理指示。第十五條計算機系統(tǒng)故障或異常發(fā)生時，用機部門的操作人員(當事人)現(xiàn)場應急維修、維護工作須在用機部門和技術支撐部門至少雙人匯同進行。1.10安全制度評審和修訂1、安全管理制度由本單位負責起草，并由分管領導組織相關人員進2、評審時需填寫《安全管理制度定期評審及修訂記錄表》(查看附件)。3、安全制度應以正式的文件下發(fā)給各辦公室，并且督促大家認真學習和執(zhí)4、發(fā)現(xiàn)制度有錯誤或紕漏的，應立即進行更改或添加，并交由分管領導進行評審，評審通過后發(fā)文通知。5、制度發(fā)文時應向分管領導申請，分管領導舉行制度發(fā)文評審，給制度編寫文號，評審通過后方可下發(fā)。6、每年舉行安全制度的評審，針對單位里的實際情況進行相關的修訂，并且組織制度的培訓與考核。7、制度里的相關表格應認真按時填寫，應由統(tǒng)一保管。2安全管理機構2.1工作人員崗位職責及規(guī)范制度2.1.1安全主管>負責對安全產(chǎn)品購置提供建議，負責組織制定各種安全產(chǎn)品策略與配置規(guī)則，負責跟蹤安全產(chǎn)品投產(chǎn)后的使用情況；>負責指導并監(jiān)督系統(tǒng)管理員(包括主機系統(tǒng)管理員、網(wǎng)絡管理員、數(shù)據(jù)庫管理員和應用管理員等)及普通用戶與安全相關的工作；>負責組織信息系統(tǒng)的安全風險評估工作，并定期進行系統(tǒng)漏洞掃描，形成安全評估報告；>根據(jù)本機構的信息安全需求，定期提出本機構的信息安全改進意見，并>定期查看信息安全站點的安全公告，跟蹤和研究各種信息安全漏洞和攻擊手段，在發(fā)現(xiàn)可能影響信息安全的安全漏洞和攻擊手段時，及時做出相應的對策，通知并指導系統(tǒng)管理員進行安全防范；>負責組織審議各種安全方案、安全審計報告、應急計劃以及整體安全管>負責參與安全事故調(diào)查。>機房管理員負責機房的日常管理和維護。>機房管理員應對機房內(nèi)的所有設備進行編號、建檔，并將編號標簽貼在能自己修復的要及時修復并作好記錄，不能自己修復的要及時上報。>機房所有設備包括零配件要有詳細帳目，設零配件的采購嚴格按學校采購程序進行采購。>機房管理員應負責機房的衛(wèi)生，保證計算機有良好的工作環(huán)境。2.1.3系統(tǒng)管理員>負責主機操作系統(tǒng)的安全配置(包括及時修補系統(tǒng)漏洞)和日常審計，系統(tǒng)應用軟件的安裝，從系統(tǒng)層面實現(xiàn)對用戶與資源的訪問控制；>協(xié)助安全管理員制定主機操作系統(tǒng)的安全配置規(guī)則，并落實執(zhí)行；>負責主機設備的日常管理與維護，保持系統(tǒng)處于良好的運行狀態(tài)；>為安全審計員提供完整、準確的主機系統(tǒng)運行活動的日志記錄；>在主機系統(tǒng)異?；蚬收习l(fā)生時，詳細記載發(fā)生異常時的現(xiàn)象、時間和處>編制主機設備的維修、報損、報廢計劃，報主管領導審核；>負責網(wǎng)絡的部署以及網(wǎng)絡產(chǎn)品、網(wǎng)絡安全產(chǎn)品的配置、管理與監(jiān)控，并對關鍵網(wǎng)絡配置文件進行備份，及時修補網(wǎng)絡設備的漏洞；>協(xié)助安全管理員制定網(wǎng)絡設備安全配置規(guī)則，并落實執(zhí)行；>為安全審計員提供完整、準確地記錄重要網(wǎng)絡設備和網(wǎng)站運行活動的運>在網(wǎng)絡及設備異常或故障發(fā)生時，詳細記載發(fā)生異常時的現(xiàn)象、時間和>編制網(wǎng)絡設備的維修、報損、報廢等計劃，報主管領導審核；2.1.5數(shù)據(jù)庫管理員>對數(shù)據(jù)庫系統(tǒng)進行安全配置，修補已發(fā)現(xiàn)的漏洞；>負責數(shù)據(jù)庫系統(tǒng)的用戶賬號管理，對系統(tǒng)中所有的用戶進行登記備案；對數(shù)據(jù)庫系統(tǒng)的用戶、口令的安全性進行管理；對數(shù)據(jù)庫系統(tǒng)登錄用戶>負責業(yè)務數(shù)據(jù)及系統(tǒng)其它重要數(shù)據(jù)的備份與備份數(shù)據(jù)管理工作；>為安全審計員提供完整、準確的數(shù)據(jù)庫系統(tǒng)運行活動的日志記錄，詳細記載發(fā)生異常時的現(xiàn)象、時間和處理方式，并及時上報；>在發(fā)生安全問題導致數(shù)據(jù)損壞或丟失時，進行數(shù)據(jù)的恢復；>根據(jù)業(yè)務發(fā)展的需求，提交數(shù)據(jù)存儲介質(zhì)購買或存儲系統(tǒng)擴容計劃。2.1.6安全管理員(1)定期進行安全檢查，檢查內(nèi)容包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等，并填寫《安全檢查記錄表》(查看附件)(2)負責對信息安全保障管理活動進行獨立的監(jiān)督，提供內(nèi)部獨立的審計和評估工作，并根據(jù)需要可以協(xié)同外部審計評估機構進行評估和認證，為決策領導提供信息系統(tǒng)和信息安全保障執(zhí)行狀況的客觀評價。2.2安全崗位設置原則為確保單位信息系統(tǒng)的安全，必須加強人事安全管理，提高安全管理人員的技術水平和安全意識，同時在人員崗位的設置方面要遵循以下原則。2.2.1多人負責原則對一些有較高密級的與安全有關的活動，都必須有兩人或多人在場。工作人員必須由系統(tǒng)主管領導指派，且忠誠可靠，能勝任工作；工作人員應該認真記錄簽署工作情況，以證明安全工作已得到保障。上述所指與安全有關的活動包括：硬件和軟件的維護；系統(tǒng)軟件的設計、實現(xiàn)和維護；處理保密信息；系統(tǒng)用媒介的發(fā)放與回收；訪問控制用證件的發(fā)放與回收；重要程序和數(shù)據(jù)的刪除和銷毀等。2.2.2職責分離原則非經(jīng)系統(tǒng)主管領導批準，任何信息系統(tǒng)的工作人員都不得打聽、了解或參與其職責以外的任何與系統(tǒng)安全有關的事情。安全工作人員活動所涉及的范圍應是受到限制的，不能越權限訪問。2.2.3工作分開原則權力不能過于集中在某個人或某些人手里，在信息安全工作中，有的工作不能由一個人擔任，工作分開便于相互制約。出于對安全的考慮，下面每組內(nèi)的兩項信息處理工作應該由不同的人員來負責：對計算機操作與計算機編程；機密資料的接收和傳送；安全管理和系統(tǒng)管理；應用程序和系統(tǒng)程序的編制；訪問證件的管理與其它工作；計算機操作與信息系統(tǒng)使用媒介的保管等。2.2.4權限隨崗原則權限隨崗原則。根據(jù)崗位變動情況及時調(diào)整相應的授權，做到：在崗有權、2.3審批管理制度第一條為維護信息系統(tǒng)安全，確保各應用系統(tǒng)安全穩(wěn)定運行和重要區(qū)域信息安全，制定本管理制度。第二條非本單位機房工作人員在進行重要資源的訪問等關鍵性活動時，須第三條因工作需要重要資源訪問時，相關區(qū)域負責人員應根據(jù)操作內(nèi)容，確定進入人員，選擇進出時間，填寫《機房出入人員登記表》(查看附件),重大操作原則上應放在業(yè)務數(shù)據(jù)錄入或備份之前進行。整個工作過程需由相關科室工作人員協(xié)助進行。如遇審批領導不在，而又必須緊急處理的，需由相關科室工作人員向負責領導電話報告，并準予進入，待領導回來后補辦相關手續(xù)。第四條建立應用系統(tǒng)賬戶的授權、審批流程。應用系統(tǒng)的賬號注冊和授權由各應用部門向業(yè)務主管部門提交申請，業(yè)務主管部門審批后提交給信息系統(tǒng)運行管理部門批準。待批準后，由信息系統(tǒng)管理員注冊并設置角色權限。如果有應用系統(tǒng)管理員、授權賬戶人員變更，則必須及時更改帳戶設置?，F(xiàn)象、處理方法及結果等應急處理進行記錄，應對應用系統(tǒng)的安裝、設置更改、帳號變更、組變更、備份等系統(tǒng)維護工作進行記錄，以備查閱，應對應用系統(tǒng)異常和系統(tǒng)故障的時間、現(xiàn)象、應急處理方法及結果作詳細的記錄。第六條內(nèi)部系統(tǒng)需要外聯(lián)時，應填寫《系統(tǒng)外聯(lián)授權審批記錄表》(查看附件)交由審批部門進行審核，確保風險可控及審核通過后方可進行外聯(lián)，處理完成后應立即斷開與外界的連接。3人員安全管理3.1人員錄用與入職第二條對擬錄用信息安全人員應進行詳細的背景調(diào)查，對其經(jīng)歷背景確認約定紀律、保密及其他方面條款。第四條對信息安全人員進行入職培訓時，應加強信息安全規(guī)章制度的教育培訓，將制度掌握及執(zhí)行情況納入試用期考核。3.2人員離崗制度第一條工作人員離崗離職時，應即時取消其涉密計算機訪問授權。工作人員離崗離職之后，仍對其在任職期間接觸、知悉的屬于我單位負有保密義務的秘密信息，承擔如同任職期間一樣的保密義務和不擅自使用的義務，直至該秘密第二條工作人員離崗離職時，應該把以下資料全部交給下一任工作人員并填寫《離崗人員交還登記記錄表》(查看附件):1、管理的所有服務器，交換機，路由器的用戶名和密碼口令。2、終止該離崗員工的所有設備訪問權限。4、有關網(wǎng)絡建設與信息化建設的各種合同，上級部門的各種批文，網(wǎng)絡管理和配備的各種規(guī)則、條例等文字材料。第三條離崗離職人員因職務上的需要所持有或保管的一切記錄著單位秘密信息的文件、資料、圖表、筆記、報告、信件、傳真、磁帶、磁盤、儀器以及其他任何形式的載體，均歸我單位所有。第四條離崗離職人員應在離崗離職時，返還全部屬于我單位的財物，包括記載著我單位秘密信息的一切載體。若記錄著秘密信息的載體是由離崗離職人員自備的，且秘密信息可以從載體上消除或復制出來時，由將秘密信息復制到我單位備用的載體上，并把原載體上的秘密信息消除，確保無法恢復后返還給離崗離職人員；若無法從載體上消除或復制出來的，則視為離崗離職人員已同意將這些載體的所有權轉(zhuǎn)讓給我單位，我單位應當給予離崗離職人員相當于載體本身價值的經(jīng)濟補償。3.3考核、獎懲計劃工作人員從事或離開崗位時必須進行信息安全考慮，相關的安全事項必須包■對涉及訪問秘密或關鍵信息，或者訪問處理這些信息的系統(tǒng)的工作人員應進行嚴格審查和挑選；■對信息系統(tǒng)具有特殊訪問權限的工作人員應該簽署承諾，保證不會■當工作人員離開單位系統(tǒng)時應該移交信息系統(tǒng)的訪問權限，或工作人員在單位系統(tǒng)內(nèi)部更換工作時應該重新檢查并調(diào)整其訪問權限。全體工作人員應了解單位系統(tǒng)的安全需求，并對如何安全地使用信息及相關系統(tǒng)和工具接受定期培訓。必須對全體工作人員就單位系統(tǒng)網(wǎng)絡與信息安全策略和相關管理規(guī)定進行培訓，使他們熟悉信息安全的實施并加強安全意識。管理人員應該保證全體工作人員知道他們與單位系統(tǒng)網(wǎng)絡與信息安全策略相關的職責，在開始執(zhí)行策略時向他們介紹相關安全需求。在對工作人員授權對某項信息技術服務進行訪問前，必須對他們進行培訓，確保他們正確使用相關的信息工具和設備。每年底對各個崗位的人員進行安全技能及安全認知的考核，并填寫《考核記錄表》(查看附件)。各管理人員應遵守自己的安全責任，對優(yōu)秀人員進行獎勵，對違反違背安全3.4培訓及教育管理規(guī)定3.4.1總則第1條策略目標：為了加強(以下簡稱“本單位”)信息安全保障能力，建立健全本單位安全管理體系，提高整體網(wǎng)絡與信息安全水平，保證業(yè)務系統(tǒng)的正常運營，提高網(wǎng)絡服務質(zhì)量，在本單位安全體系框架下，本策略主要明確本單位信息安全培訓及教育工作的內(nèi)容及相關人員的職責。對本單位員工進行有關信息安全管理的理論培訓、安全管理制度教育、安全防范意識宣傳和專門安全技術訓練；確保本單位信息安全策略、規(guī)章制度和技術規(guī)范的順利執(zhí)行，從而最大限度地降低和消除安全風險。3.4.2信息安全培訓的要求第3條信息安全培訓工作需要分層次、分階段、循序漸進地進行，而且必第4條分層次培訓是指對不同層次的人員，如對管理層(包括決策層)、信息安全管理人員，系統(tǒng)管理員和本單位員工開展有針對性和不同側重點的培訓。第5條分階段是指在信息安全管理體系的建立、實施和保持的不同階段，培訓工作要有計劃地分步實施；信息安全培訓要采用內(nèi)部和外部結合的方式進行。3.4.2.1管理層(決策層)第6條管理層培訓目標是明確建立本單位信息安全體系的迫切性和重要性，獲得本單位管理層(決策層)有形的支持和承諾。第7條管理層培訓方式可以采用聘請外部信息安全培訓、專業(yè)本單位的技術專家和咨詢顧問以專題講座、研討會等形式。第8條信息安全管理人員培訓目標是理解及掌握信息安全原理和相關技術、強化信息安全意識、支撐本單位信息安全體系的建立、實施和保持。第9條信息安全管理人員培訓方式可以采用聘請外部信息安全專業(yè)資格授證培訓、參加信息安全專業(yè)培訓、自學信息安全管理理論及技術和本單位內(nèi)部學第10條本單位系統(tǒng)管理員培訓目標是掌握各系統(tǒng)相關專業(yè)安全技術，協(xié)助本單位和各部門信息安全管理人員維護和保障系統(tǒng)正常、安全運行。第11條本單位系統(tǒng)管理員培訓方式可以采用外部和內(nèi)部相結合的培訓以3.4.3本單位員工第12條本單位員工培訓目標是了解本單位相關信息安全制度和技術規(guī)范，并安全、高效地使用本單位信息系統(tǒng)。第13條本單位員工培訓方式主要采取內(nèi)部和外部培訓相結合的方式。3.5信息安全培訓的內(nèi)容3.5.1安全體系及安全職責分工第14條本單位各級領導及員工明確了解本單位信息安全體系，并明確各自在的安全職責，明確自身對維護保障本單位系統(tǒng)正常、安全運行所需承擔的相關第15條培訓應采用長期，并覆蓋本單位全員。3.5.2新員工入職安全培訓第16條新員工在正式上崗前，應進行信息安全方面的培訓，明確崗位所要求遵守的本單位信息安全制度和技術規(guī)范。3.5.3本單位員工安全技術教育第17條針對本單位系統(tǒng)的維護人員和管理員應定期開展安全技術教育培訓(每年至少一次),明確如何安全使用有關系統(tǒng)，包括各業(yè)務系統(tǒng)、主機操作系統(tǒng)、電子郵件系統(tǒng)、內(nèi)部網(wǎng)站以及普通計算機周邊硬件設備。3.5.4各項安全專業(yè)技術教育第18條針對本單位安全管理員和系統(tǒng)管理員應定期開展由供應商或廠家提供的專業(yè)安全技術培訓(每年至少一次),幫助相關安全管理人員和系統(tǒng)管理員了解掌握正確、安全地安裝、配置、維護系統(tǒng)。3.5.5安全專業(yè)資格認證第19條針對本單位安全管理員和系統(tǒng)管理員應根據(jù)實際情況，挑選本單位信息安全管理及安全技術人員進行相關的認證考試培訓，并參加認證考試，以提高本單位安全管理人員對信息安全的管理理論和技術的水平。3.5.6信息安全內(nèi)部考核(含培訓)第20條針對本單位安全管理員和系統(tǒng)管理員應根據(jù)崗位不同，對員工進行相關的信息安全培訓，并在培訓后實行書面(開卷或閉卷)信息安全考核。3.6本單位信息安全培訓的管理3.6.1安全培訓的發(fā)起第21條本單位及部門安全管理組織可根據(jù)自身安全管理的需要，發(fā)起相應的安全培訓計劃。第22條涉及納入本單位員工考核的培訓，需要本單位人力資源部的確實，以及本單位備案考核結果。第23條新員工、本單位全員的安全培訓教育，納入本單位人力資源部的整體培訓計劃中。第24條具體操作過程遵守本單位人力資源部的相關培訓管理制度。3.6.2安全培訓的實施第25條培訓的實施，主要由本單位人力資源部負責。第26條對專業(yè)性很強的培訓，培訓發(fā)起的各級安全培訓組織負責。第27條具體操作過程遵守本單位人力資源部的相關培訓管理制度。3.7外來人員訪問管理制度應該控制外部訪問者訪問信息系統(tǒng)的權限。外部訪問者不能對單位系統(tǒng)工作區(qū)、信息或信息系統(tǒng)進行未經(jīng)授權的訪問。對那些希望訪問機密、關鍵信息或處理信息的系統(tǒng)的外部訪問者，需按照相關具體規(guī)定進行審批和登記，并有專門的相關人員進行陪同或監(jiān)督，可考慮與外部訪問者簽署保密協(xié)議。4系統(tǒng)運維管理4.1機房安全管理制度為了進一步加強計算機機房的管理，確保各業(yè)務管理系統(tǒng)主機的安全、穩(wěn)定。計算機機房管理內(nèi)容包括：機房設施和機房環(huán)境的管理以及機房工作人員第一條為維護信息系統(tǒng)安全，確保各應用系統(tǒng)安全穩(wěn)定運行和重要區(qū)域信息安全，制定本管理制度。第二條非本單位機房工作人員進出機房、路網(wǎng)中心等重要區(qū)域，須按本制第三條因工作需要進出機房、路網(wǎng)中心等重要區(qū)域，相關區(qū)域負責人員應根據(jù)操作內(nèi)容，確定進入人員，選擇進出時間，填寫相關出入機房申請表。如遇審批領導不在，而又必須緊急處理的，需由相關科室工作人員向負責領導電話報告，并準予進入，待領導回來后補辦相關手續(xù)。的，相關機房值班人員必須全程跟蹤，嚴禁從事非業(yè)務范圍內(nèi)的其它任何操作。第五條外部參觀人員出入機房、路網(wǎng)中心等重要區(qū)域，由單位領導或科室負責人陪同進行參觀，相關區(qū)域工作人員需做好登記備案工作。檔案室內(nèi)吵鬧、吸煙、吃零食，嚴禁攜帶任何易燃、易爆、腐蝕性、強電磁、輻射性、流體物質(zhì)等進入，避免對機房設備和館藏檔案構成威脅。第七條相關從業(yè)人員進入機房，原則上須兩人同時進出，并按規(guī)定進行相關業(yè)務操作，嚴禁隨意對設備進行操作，嚴禁接觸與業(yè)務無關的設備，如違規(guī)造成網(wǎng)絡和業(yè)務系統(tǒng)事故的，將追究操作人員的責任。第八條進入機房人員在機房內(nèi)完成相關工作時，需保證機房正常的環(huán)境秩序，認真填寫機房內(nèi)工作內(nèi)容后方可退出。第九條機房、路網(wǎng)中心等重要區(qū)域配備監(jiān)控設施，未按規(guī)定進入者，如造成損失和泄密等不安全后果的，相關重要區(qū)域負責人和相關重要區(qū)域工作人員，國家有關法律、法規(guī)者，移交公安、司法機關處理。違反本規(guī)定，給國家、集體或者他人財產(chǎn)或人身安全造成損失的，應當依法承擔民事或刑事責任。4.1.2環(huán)境管理第十條機房內(nèi)應保持無塵環(huán)境，進入機房必須穿鞋套，不準將食物及飲水用具帶進機房，機房內(nèi)部準喧嘩。第十一條機房溫濕度應符合設備使用要求。溫濕度基本要求：23℃±2℃.相對濕度基本要求：45%RH～65%RH。第十二條機房內(nèi)空調(diào)開啟的數(shù)量應滿足設備散熱為基準，不得無節(jié)制開啟空調(diào)，以降低運營成本。第十三條設備、備件應整齊放在指定的機柜或倉庫中，不得擅自放在其他第十四條機房應保持衛(wèi)生整潔、應每日檢查機房環(huán)境，定期(如每月)進第十五條計算機機房在建筑內(nèi)應為獨立區(qū)域，大樓內(nèi)不得設置表明計算機機房所在位置的標志，計算機機房應設置在電梯或樓梯不能直接進入的場所，并第十六條計算機機房必須采用雙回路供電，或配備能夠持續(xù)供電二小時以第十七條主機房計算機設備必須有可靠接地，接地電阻不大于相應設備的技術要求，并安裝必要的防雷電設施。機房應配備防靜電地板。4.1.3安全管理第十八條操作人員隨時監(jiān)控中心設備運行狀況以及各網(wǎng)點運行情況，確保其安全高效運行，發(fā)現(xiàn)異常情況應立即按照預案規(guī)程進行操作，并及時上報和詳細記錄。第十九條所有進入主機房的用機人員(除機房管理員外的其他用機人員)必須嚴格遵守主機房各項制度，不準在機房服務器及網(wǎng)絡設備上做與工作無關的事，不準無權或越權對機房內(nèi)設備更改配置；同時原則上機房內(nèi)運行設備不準上因特網(wǎng)(升級病毒碼除外);不準玩電子游戲；不準在機房內(nèi)吸煙及飲食；不準擅自使用機房設備；不準隨意帶出機房內(nèi)資料、工具、材料等；不準對未經(jīng)“檢測”的磁盤、移動介質(zhì)等進行操作；不準擅自移動、觸摸機房內(nèi)各種設備的按鍵和按鈕。機房管理人員對違章者有權制止其違章行為，并及時向主管領導匯報。第二十條嚴格執(zhí)行密碼管理規(guī)定，對操作密碼定期更改，超級用戶密碼由第二十一條機房工作人員應恪守保密制度，不得擅自泄露中心各種信息資第二十二條計算機機房設備應定期進行維護保養(yǎng)，以保證其有效性，整個維護期間須由機房管理人員協(xié)助陪同。以保證其有效性。第二十三條路由器、交換機、防火墻、服務器等關鍵設備，須放置計算機機房內(nèi)，不得自行配置或更換，更不能挪作它用。第二十四條設備不能外借，特殊情況需經(jīng)主管領導批準，并做好相關設備4.1.4操作管理第二十五條嚴格執(zhí)行保密制度，機房內(nèi)重要數(shù)據(jù)資料(業(yè)務數(shù)據(jù)、財務數(shù)據(jù)、技術資料、數(shù)據(jù)備份等)應實行雙人作業(yè)制度；操作人員遵守值班制度，不得擅自脫崗；中心服務器數(shù)據(jù)庫要每天進行雙備份，并嚴格實行異地存放、有專職雙人保管，同時指定專門的配備防火、防潮、防磁、防盜設施的專柜存放。機房內(nèi)所有需要銷毀、廢棄的資料，嚴格按保密制度的相關管理制度處理，并第二十六條機房實行巡查管理制，每天管理人員應及時檢查主域服務器、業(yè)務服務器、病毒服務器、網(wǎng)絡設備、監(jiān)控設備、通訊設備、空調(diào)、UPS等設備若有異常，應及時記錄、并尋求解決方法；如果不能解決應及時聯(lián)系維護商尋求支持，同時與科長匯報。第二十七條機房發(fā)生變故時，機房管理人員應迅速采取措施，制止事態(tài)發(fā)生，及時消除隱患；如果事態(tài)不能得以控制，須立即向領導匯報，同時保護好事第二十八條機房內(nèi)涉及電源切換、停電檢修、設備維護等重大操作，必須嚴格由機房相關技術人員按照規(guī)定的流程執(zhí)行，對新上業(yè)務及特殊情況需要變更流程的應事先進行詳細安排并書面報負責人批準簽字后方可執(zhí)行；所有操作變更必須有存檔記錄。第二十九條操作人員應遵守相關安全規(guī)定使用服務器，完成操作后必須退更換必需經(jīng)負責人書面批準后方可進行；必須按規(guī)定進行詳細登記和記錄，對各類軟件、現(xiàn)場資料、檔案整理存檔。第三十一條為確保數(shù)據(jù)的安全保密，對各業(yè)務單位、業(yè)務部門送交的數(shù)據(jù)及處理后的數(shù)據(jù)都必須按有關規(guī)定履行交接登記手續(xù)。4.1.5消防管理第三十二條機房內(nèi)應按規(guī)定配備滅火器，并定期檢查更換。第三十三條做好安全巡查工作，提高警惕，及時發(fā)現(xiàn)初期險情。若發(fā)覺有異響、異味、滲水、煙霧、火星等情況應盡快找出原因，請示匯報并及時處理。第三十四條嚴格供電線路、配電設施、電器設備的安裝和使用，所有電器機房內(nèi)嚴禁亂拉臨時電源，不得使用電爐等電熱器具。第三十五條禁止在機房內(nèi)用餐、吃零食和存放食物，不準喝水，避免引入老鼠造成電路短路。機房內(nèi)不準吸煙、亂拋紙屑及雜物、不準攜帶易燃品等非生第三十六條機房一旦發(fā)生火情，工作人員應按機房火災應急處理預案進行第三十七條所有進入計算機機房的人員都必須嚴格遵守本規(guī)定，對違反機房管理制度規(guī)定的人員，將給予警告、重罰直至開除公職等處罰，情節(jié)特別嚴重的將移交有關司法機關處理。4.2辦公環(huán)境保密性管理制度文檔1、辦公電腦應該設置登入密碼，并且不隨意告訴他人。3、工作人員調(diào)離辦公室應立即交還該辦公室鑰匙。重要文件和資料要放入抽屜中鎖好，平時閑聊不談及具體人和事。6、辦公室鑰匙隨身攜帶，不隨便交給其他人保管，離開辦公室隨手關門，7、打印資料時第一時間去打印機地方取回，嚴禁長時間放在打印機上。8、應該控制外部訪問者訪問信息系統(tǒng)的權限。外部訪問者不能對單位系統(tǒng)工作區(qū)、信息或信息系統(tǒng)進行未經(jīng)授權的訪問。對那些希望訪問機密、關鍵信息或處理信息的系統(tǒng)的外部訪問者，需按照相關具體規(guī)定進行審批和登記，并有專門的相關人員進行陪同或監(jiān)督，可考慮與外部訪問者簽署保密協(xié)議。4.3資產(chǎn)安全管理制度加強單位固定資產(chǎn)和低值易耗品采購、使用、保管和報廢等管理，保證單位資產(chǎn)安全和完整，提高低值易耗品采購、使用效率，充分發(fā)揮資產(chǎn)使用效能。4.3.2范圍適用于單位固定資產(chǎn)和低值易耗品的管理。4.3.3定義根據(jù)資產(chǎn)的價值和使用年限，資產(chǎn)的管理范圍包括固定資產(chǎn)和低值易耗品兩1、固定資產(chǎn)：單位價值500元以上(含500元),或使用年限超過1年以2、低值易耗品：單位價值在500元以下(含500元)的各種用具物品(如勞動保護用具等)和辦公用品(如紙筆本夾等),并且使用期限1年以4.3.4單位資產(chǎn)管理細則財務科負責對單位辦公資產(chǎn)的購置、驗收、發(fā)放、使用、維護、報廢進行全面監(jiān)督與管理，并定期會同財務科對單位資產(chǎn)進行盤點。1、固定資產(chǎn)的購置：各部門提出采購要求，報財務科審核，財務科根據(jù)現(xiàn)有資產(chǎn)情況，判斷是否同意購置或直接從其它部門調(diào)撥。如需采購，由財務科報部門領導審批后，由負責人員采購。2、低值易耗品的購置：各部門根據(jù)工作需要，上報次月所需辦公物品(名稱、規(guī)格、數(shù)量等),經(jīng)財務科審核、匯總后，由負責人員進行統(tǒng)一采購。部月物品采購/申領明細表部門品名規(guī)格單位數(shù)量單價金額領用登記備注小計姓名品名規(guī)格單位數(shù)量單價金額領用登記備注小計姓名品名規(guī)格單位數(shù)量單價金額領用登記備注小計制表人簽字：財務科科長簽字：部門領導簽字：財務科審核意見：1、固定資產(chǎn)的驗收：采購的資產(chǎn)由財務科負責驗收。如發(fā)現(xiàn)物品與采購要2、低值易耗品的驗收：由財務科依據(jù)《物品采購/領用明細表》進行驗收，詳細核對品名、規(guī)格、數(shù)量、金額，仔細檢查商品質(zhì)量，對驗收合格的物品填寫《入庫單》,記入庫存；對驗收不合格的物品須進行及時調(diào)換。1、固定資產(chǎn)的發(fā)放：財務科發(fā)放固定資產(chǎn)時，領用人須分別在《出庫單》和《物品采購/領用明細表》中簽字確認。使用過程中因保管不善或其它人為因素造成固定資產(chǎn)遺失、失竊或損壞的，使用人須按規(guī)定賠償。2、低值易耗品的發(fā)放：財務科發(fā)放低值易耗品時，領用人須分別在《出庫單》和《物品采購/領用明細表》中簽字確認。3、辦公資產(chǎn)使用人離職時，須歸還所有辦公資產(chǎn)，經(jīng)相關負責部門核實、確認后方可辦理離職手續(xù)。1、固定資產(chǎn)的登記與轉(zhuǎn)移：財務科負責查核、統(tǒng)計各部門的固定資產(chǎn)，經(jīng)部門領導簽字確認后，填寫《固定資產(chǎn)登記表》,明確部門看管責任。固定資產(chǎn)出現(xiàn)遺失、損毀的，須到財務科備案，及時填寫《固定資產(chǎn)登記表》;固定資產(chǎn)出現(xiàn)轉(zhuǎn)移的，須經(jīng)轉(zhuǎn)出、轉(zhuǎn)入部門相關人員簽字確認后方可轉(zhuǎn)移。2、財務科庫管員根據(jù)《固定資產(chǎn)登記表》的變更情況及時更改資產(chǎn)管理臺帳記錄，并備案至財務科。3、低值易耗品的登記：依據(jù)《物品采購/領用明細表》,分設部門臺帳及個資產(chǎn)名稱資產(chǎn)編號領用日期歸還日期歸還原因使用轉(zhuǎn)移登記簽名1234部門：填表說明：如該物品遺失或損毀，應在“歸還日期”中注明遺失日期或損毀日期，在“歸還原因”中注明原因，在“備注”中注明賠償金額及費用承擔者。如果發(fā)生固定資產(chǎn)轉(zhuǎn)移、調(diào)撥的情況，應在轉(zhuǎn)移登記中注明轉(zhuǎn)移去向，在備注中注明資產(chǎn)情況及轉(zhuǎn)移原因，經(jīng)辦人簽字。1、固定資產(chǎn)的報廢：資產(chǎn)經(jīng)專業(yè)人士確認已無法維修或維修費用超過資產(chǎn)原值時，需申請報廢并辦理相應手續(xù)。2、低值易耗品的報廢：經(jīng)使用部門負責人同意，財務科審批后報廢。固定資產(chǎn)報廢/報損申請表申請部門申請日期經(jīng)辦人使用部門意見經(jīng)辦人意見：(注明報廢、收購物品名稱及報廢原因等)部門部長意見：財務科意見庫房管理員意見：財務科科長意見：財務部意見復核人意見：(注明使用年限及殘值財務科部長意見：主管領導意見(1萬元以上):1、部門資產(chǎn)管理人員負責本部門資產(chǎn)的自查和盤點，每季度協(xié)助資產(chǎn)檢查2、財務科負責資產(chǎn)的登記、檢查及日常監(jiān)督管理工作，不定期抽查各部門的資產(chǎn)管理情況。并出具書面報告。對各部門盤盈盤虧的資產(chǎn)，找出原因及責任人，報部門領導審批后處理。如屬管理不善等人為因素造成，將追究當事人和管理者的責任，并視盤點時間：年月序號部門資產(chǎn)名稱備注123注：如資產(chǎn)發(fā)生遺失、損毀或調(diào)出的，需在“備注”中注明保管人及資產(chǎn)轉(zhuǎn)入部門。1、資產(chǎn)管理人員進行工作交接時，須保證賬目與實物相符，并由部門負責2、部門負責人新到崗時須對到崗部門固定資產(chǎn)進行確認。4.4介質(zhì)管理制度本規(guī)定所稱介質(zhì)，是指用于存儲或記錄本單位信息的硬盤、軟盤、U盤、光檢查的內(nèi)容包括計算機存儲介質(zhì)外觀是否完好，數(shù)據(jù)信息是否可以讀寫，內(nèi)4.4.1介質(zhì)的管理應根據(jù)各系統(tǒng)的重要程度、恢復要求及相關規(guī)定制定系統(tǒng)配置、操作系統(tǒng)、各應用系統(tǒng)及數(shù)據(jù)庫和數(shù)據(jù)文件的備份策略，包括備份周期、保存期限等。建立備份介質(zhì)借用管理制度和審批程序，在備份介質(zhì)借用各環(huán)節(jié)中敏感數(shù)據(jù)介質(zhì)及介質(zhì)庫管理應由專人負責，并定時檢查備份執(zhí)行情況；定期檢查永久備份磁帶是否有損壞。存放環(huán)境應滿足數(shù)據(jù)存儲介質(zhì)的存放條件。設數(shù)據(jù)備份介質(zhì)保管室，第一保管室設在機房，第二保管室設在辦公室。標簽、帶標命名要規(guī)范清晰。計算機輸入輸出設備中，除打印機外，主要是磁盤等介質(zhì)需要作為信息資料的載體長期保存，如不按規(guī)定的環(huán)境條件存放，就會出現(xiàn)數(shù)據(jù)丟失。按國家標準《電子計算機機房設計規(guī)范》的要求，介質(zhì)存放的條件為：計算機輸入輸出設備中，除打印機外，主要是磁盤等介質(zhì)需要作為信息資料的載體長期保存，如不按規(guī)定的環(huán)境條件存放，就會出現(xiàn)數(shù)據(jù)丟失。按國家標準《電子計算機機房設計規(guī)范》的要求，介質(zhì)存放的條件為：磁帶磁盤項目紙介已記錄未記錄已記錄未記錄溫度°C相對濕度%介質(zhì)的保存必須選擇安全可靠的場所，有專人對其進行管理。介質(zhì)按存儲的內(nèi)容進行分類編號管理并建立登記簿，登記簿所記錄內(nèi)容包括編號、名稱、用途、登記時間、盤點時間、最近盤點是否可用等項。備份介質(zhì)如需異地存放，必須辦理登記手續(xù)，登記內(nèi)容要能反映出名稱、入庫時間、存放人、存放地點，并有專人對其進行管理。本單位存儲介質(zhì)不得借于他人使用，若需借于他人的，必須征得負責人同意，并進行借還時間、借用人、審批人等詳細登記。如對存儲介質(zhì)進行使用，維護和銷毀，需清除介質(zhì)中的敏感信息，防止重要信息外泄。外部政府或機構對涉密存儲介質(zhì)進行維護時，需對存儲的涉密信息采取保存、刪除等安全保密措施，并指定人員監(jiān)督維修過程，保密涉密信息不泄露。若外部政府或機構需要將涉密計算機存儲介質(zhì)轉(zhuǎn)存至非指定設備時，有關責任人應當根據(jù)有關規(guī)定同外部政府或機構簽署保密協(xié)議，在維修結束后，有關責任應監(jiān)督維修人員對維修的介質(zhì)中的涉密信息進行不可恢復性刪除處理，涉密計算機存儲介質(zhì)外部維修前，必須獲得相關領導批準，同時盡可能地對涉密信息進行不可恢復性刪除處理，確因需要保留的涉密信息必須要求有關外部政府或機構簽署保密協(xié)涉密移動存儲介質(zhì)的銷毀，并經(jīng)負責人批準后進行銷毀，任何部門或個涉密移動存儲介質(zhì)只能在本單位辦公場所使用，確因工作需要帶出辦公場所的，需經(jīng)負責人批準，并履行相關手續(xù)和采取嚴格的保密措施。每年對存儲介質(zhì)進行一次清查、核對，并對其完整性和可用性進行檢查，確4.5設備安全管理制度4.5.1設備定義統(tǒng)一管理計算機及其相關設備，保存計算機及其相關設備打的保修卡及重要隨機文件。統(tǒng)一管理的設備范圍：臺式電腦、筆記本電腦、平板電腦以及打印機、復印機、傳真機、掃描儀等計算機外設。4.5.2設備管理1、計算機及其相關設備的報廢需經(jīng)過鑒定，確認不符合使用要求后方可2、使用人員如發(fā)現(xiàn)計算機系統(tǒng)運行異常，及時與聯(lián)系，非專業(yè)管理人員不得擅自拆開計算機調(diào)換設備配件。3、單位員工因工作需要，確需購買IT設備或配件的，可向提出申請，若有符