網(wǎng)絡(luò)信息安全管理制度匯編

2022年n月

目錄

一、網(wǎng)絡(luò)信息安全工作方針策略

（一）網(wǎng)絡(luò)信息安全方針

（二）網(wǎng)絡(luò)信息安全策略

（三）網(wǎng)絡(luò)信息安全組織機構(gòu)

二、安全管理制度

（一）制度的編制

（二）制度的批準(zhǔn)、發(fā)布

（三）制度的發(fā)放

（四）制度評審和修訂

三、安全管理機構(gòu)

（一）關(guān)鍵活動的授權(quán)和審批

（二）審核和檢查

（三）溝通合作

四、人員安全管理

五、系統(tǒng)建設(shè)管理

（一）規(guī)劃設(shè)計

（二）設(shè)備選型

（三）采購和安裝

（四）軟件開發(fā)管理

（五）工程實施

（六）測試驗收

（七）系統(tǒng)交付

（八）系統(tǒng)建設(shè)服務(wù)商選擇

六、機房安全管理制度

（一）辦公環(huán)境管理辦法

（二）機房出入管理

（三）機房環(huán)境管理

（四）機房介質(zhì)管理

（五）機房服務(wù)器管理

（六）機房布線管理

（七）機房網(wǎng)絡(luò)設(shè)備管理

（A）機房巡視管理

（九）機房進(jìn)出設(shè)備管理

七、信息資產(chǎn)管理制度

（一）職責(zé)

（二）工作程序

八、介質(zhì)管理規(guī)定

（一）介質(zhì)購置

（二）介質(zhì)使用及維護(hù)管理

（三）介質(zhì)定期檢查

（四）介質(zhì)維修

（五）介質(zhì)的報廢

九、設(shè)備安全管理制度

（一）IT設(shè)備的購買

（二）IT設(shè)備的登記及領(lǐng)用

（三）IT設(shè)備的維護(hù)

（四）IT設(shè)備的報廢

十、商用密碼產(chǎn)品使用管理制度

（一）商用密碼產(chǎn)品的選擇

十四、系統(tǒng)變更管理制度

（一）變更的申請和審批

（-）日常變更的實施

（三）重大變更的實施

（四）重大變更的驗證和歸檔

（五）變更的失敗的處理

十五、備份恢復(fù)管理制度

（一）程序

（二）資產(chǎn)識別

（三）制定備份方案

（四）備份計劃實施

（五）備份的介質(zhì)標(biāo)識

（六）備份介質(zhì)的安全存放

（七）備份介質(zhì)的定期測試

（A）信息恢復(fù)

（九）備份策略

十六、信息安全事件管理制度

（一）網(wǎng)絡(luò)信息安全事件分類

（二）網(wǎng)絡(luò)信息安全事件分級

（三）網(wǎng)絡(luò)信息安全事件的預(yù)防

（四）網(wǎng)絡(luò)信息安全事件的報告

（五）網(wǎng)絡(luò)信息安全事件響應(yīng)

（六）網(wǎng)絡(luò)信息安全事件的調(diào)查處理

（七）網(wǎng)絡(luò)信息安全事件的整改

（八）信息泄密的安全事件應(yīng)采用的處理程序和報告程

序

十七、應(yīng)急預(yù)案管理制度

（一）應(yīng)急處置基本原則

（二）組織體系

（三）網(wǎng)絡(luò)信息安全事件應(yīng)急處理

一、網(wǎng)絡(luò)信息安全工作方針策略

（一）網(wǎng)絡(luò)信息安全方針

全員參與明確責(zé)任

預(yù)防為主快速響應(yīng)

風(fēng)險管控持續(xù)改進(jìn)

具體闡述如下：

1.在市**局網(wǎng)絡(luò)信息安全工作領(lǐng)導(dǎo)小組的領(lǐng)導(dǎo)下，全面

貫徹《浙江省信息安全等級保護(hù)管理辦法》（省政府223號

令）、《浙江省公共數(shù)據(jù)條例》等關(guān)于網(wǎng)絡(luò)信息安全的相關(guān)

指導(dǎo)性文件精神，建立可持續(xù)發(fā)展的網(wǎng)絡(luò)信息安全管理體系;

2.全員是網(wǎng)絡(luò)信息安全管理體系的活動分子；落實網(wǎng)絡(luò)

信息安全管理責(zé)任制，建立和完善各項網(wǎng)絡(luò)信息安全管理制

度，使網(wǎng)絡(luò)信息安全管理有章可循;

3.定期進(jìn)行網(wǎng)絡(luò)信息安全宣傳、教育與培訓(xùn)，不斷提高

市**局全員的網(wǎng)絡(luò)信息安全意識及能力；

4.以預(yù)防為主的網(wǎng)絡(luò)信息安全積極防御理念對所發(fā)生

的網(wǎng)絡(luò)信息安全事件進(jìn)行快速、有序地響應(yīng)；

5.貫徹風(fēng)險管理的理念，定期對各信息系統(tǒng)進(jìn)行全面安

全檢查，將網(wǎng)絡(luò)信息安全風(fēng)險控制在可接受的水平之內(nèi)；

6.在市**局網(wǎng)絡(luò)信息安全工作領(lǐng)導(dǎo)小組的領(lǐng)導(dǎo)下，市**

局網(wǎng)絡(luò)信息安全建設(shè)的工作合乎國家建設(shè)規(guī)范，保證市**局

信息系統(tǒng)安全暢通與可控，保障信息系統(tǒng)所開發(fā)和維護(hù)健康

的服務(wù)支持。

（二）網(wǎng)絡(luò)信息安全策略

1,建立市**局網(wǎng)絡(luò)信息安全管理組織機構(gòu)，設(shè)立安全主

管、各網(wǎng)絡(luò)信息安全管理相關(guān)部門負(fù)責(zé)人、網(wǎng)絡(luò)管理員、系

統(tǒng)管理員、安全管理員等安全管理相關(guān)崗位并定義相應(yīng)職責(zé),

建立健全網(wǎng)絡(luò)信息安全管理制度，保證網(wǎng)絡(luò)信息安全責(zé)任落

實到位；

2.網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)小組定期或不定期地對市**局網(wǎng)

絡(luò)信息安全管理體系的合理性和適用性進(jìn)行評審，對各項安

全控制措施實施的可用性進(jìn)行檢測，對存在不足或需要改進(jìn)

的安全管理制度進(jìn)行修訂，以保證網(wǎng)絡(luò)信息安全管理體系持

續(xù)的充分性、適宜性、有效性；

3.市**局信息系統(tǒng)按照國家等級保護(hù)有關(guān)要求，對市**

局信息系統(tǒng)及信息確定安全等級，采取分等級保護(hù)；

4.規(guī)范市**局信息資產(chǎn)（包括硬件、軟件、服務(wù)等）管

理流程，建立信息資產(chǎn)管理臺帳，明確資產(chǎn)所有者、使用者

與維護(hù)者，對所有信息資產(chǎn)進(jìn)行標(biāo)記，實現(xiàn)對信息產(chǎn)品購買、

使用、變更、報廢整個資產(chǎn)管理周期的管理；

5.加強所有工作人員（包括市**局各科室內(nèi)部人員直屬

單位，以及各類外來人員）的安全管理，制定違規(guī)安全信息

管理條例的懲戒措施，落實人員聘用、在崗和離崗時的安全

規(guī)程，與關(guān)鍵崗位人員簽署保密協(xié)議；

6.通過正式的網(wǎng)絡(luò)信息安全培訓(xùn)，以及網(wǎng)站、簡報、會

議、講座等各種形式的網(wǎng)絡(luò)信息安全教育活動，不斷加強市

**局全體人員的網(wǎng)絡(luò)信息安全意識，提高整體網(wǎng)絡(luò)信息安全

意識；

7.落實包括門禁、視頻監(jiān)控、報警等安全防范措施，確

保機房物理與環(huán)境安全。部署機房專用空調(diào)、在線式UPS等

環(huán)境保障設(shè)施，對機房設(shè)施運轉(zhuǎn)情況進(jìn)行定期巡檢和維護(hù)。

制定對機房人員和設(shè)備的出入管理制度，對機房的進(jìn)出入人

員進(jìn)行登記備案；

8.加強對信息系統(tǒng)外包業(yè)務(wù)與外包方的管理，簽署的服

務(wù)協(xié)議對信息系統(tǒng)安全要求加以細(xì)化、明確。通過審批、訪

問控制、監(jiān)控、簽署俁密協(xié)議等措施，加強外部方訪問信息

系統(tǒng)的控制能力，防止外部方危害信息系統(tǒng)安全;

9.對市**局各重要信息系統(tǒng)（包括基礎(chǔ)設(shè)施、網(wǎng)絡(luò)和服

務(wù)器設(shè)備、系統(tǒng)、應(yīng)用等）應(yīng)有文檔化的操作和維護(hù)規(guī)程,

使得各個相關(guān)人員按規(guī)程對系統(tǒng)進(jìn)行使用和操作，降低因誤

操作所引發(fā)網(wǎng)絡(luò)信息安全事件的概率；

10.在市**局內(nèi)外網(wǎng)上統(tǒng)一部署網(wǎng)絡(luò)、服務(wù)器、工作站

的防惡意代碼軟件，棄進(jìn)行惡意代碼庫的統(tǒng)一更新，防范惡

意代碼、木馬等惡意代碼對市**局信息系統(tǒng)的影響。通過強

化惡意代碼防范的管理措施，如加強介質(zhì)管理，嚴(yán)禁擅自安

裝軟件，加強人員安全意識教育，定期進(jìn)行惡意代碼檢測等,

提高市**局信息系統(tǒng)對惡意代碼的防范能力；

11.對市**局各重要的信息和信息系統(tǒng)進(jìn)行備份，并對

備份介質(zhì)進(jìn)行安全地保存，以及對備份數(shù)據(jù)定期進(jìn)行備份測

試演練，保證各種備份信息的完整性和有效性，確保所有重

要信息系統(tǒng)和重要數(shù)據(jù)在故障、災(zāi)難下的可靠恢復(fù)；

12.確定安全策略，采用技術(shù)和管理兩方面的控制措施,

加強對市**局內(nèi)外網(wǎng)的安全控制，不斷提高網(wǎng)絡(luò)的安全性和

穩(wěn)定性。通過實施網(wǎng)絡(luò)訪問控制等技術(shù)和接入內(nèi)網(wǎng)嚴(yán)格審批

措施，加強安全管理，加強對市**局各科室網(wǎng)絡(luò)使用的安全

培訓(xùn)和教育，確保市**局網(wǎng)絡(luò)的安全；

13.加強網(wǎng)絡(luò)信息安全日常管理，包括系統(tǒng)口令管理、

無人值守設(shè)備管理等，使網(wǎng)絡(luò)信息安全日常工作符合市**局

網(wǎng)絡(luò)信息安全策略和制度要求;

14.按照“僅知”原則，通過功能和技術(shù)配置，對重要

信息系統(tǒng)、數(shù)據(jù)等實施訪問控制。對系統(tǒng)特殊權(quán)限和系統(tǒng)實

用工具的使用進(jìn)行嚴(yán)格的審批和監(jiān)管；

15.進(jìn)一步重視軟件開發(fā)安全。在市**局各信息系統(tǒng)立

項和審批過程中，同步考慮網(wǎng)絡(luò)信息安全系統(tǒng)定級等級保護(hù)

基本要求以及實際需求和目標(biāo)。保證系統(tǒng)設(shè)計、開發(fā)過程的

安全，重點加強對軟件代碼安全性的管理。屬于外包軟件開

發(fā)的，應(yīng)與服務(wù)提供商簽署保密協(xié)議。系統(tǒng)開發(fā)完成后，應(yīng)

要求通過第三方安全機構(gòu)對軟件安全性的測評；

16.在符合國家密碼管理相關(guān)規(guī)定的條件下，合理使用

密碼技術(shù)和密碼設(shè)備，嚴(yán)格密鑰生成、分發(fā)、保存等方面的

安全管理；

17.重視對IT服務(wù)連續(xù)性的管理，建立對各類網(wǎng)絡(luò)信息

安全事件的預(yù)防、預(yù)警、響應(yīng)、處置、恢復(fù)機制，編寫針對

市**局內(nèi)外網(wǎng)重要系統(tǒng)的應(yīng)急預(yù)案，并定期進(jìn)行演練；發(fā)生

網(wǎng)絡(luò)信息安全事件能迅速、有序地進(jìn)行應(yīng)急處置，最大限度

地降低因信息系統(tǒng)突發(fā)事件給市**局信息系統(tǒng)所帶來的影

響。

（三）網(wǎng)絡(luò)信息安全組織機構(gòu)

為明確市**局網(wǎng)絡(luò)信息安全管理組織機構(gòu)、角色、職責(zé)

等，促進(jìn)市**局信息系統(tǒng)安全管理的組織建設(shè)，指導(dǎo)市**局

網(wǎng)絡(luò)信息安全工作的開展，落實網(wǎng)絡(luò)信息安全管理責(zé)任制，

特成立網(wǎng)絡(luò)信息安全工作領(lǐng)導(dǎo)小組全面負(fù)責(zé)單位網(wǎng)絡(luò)信息

安全總體工作部署，同時下設(shè)網(wǎng)絡(luò)信息安全工作領(lǐng)導(dǎo)小組職

能部門具體負(fù)責(zé)網(wǎng)絡(luò)信息安全工作的落實和管理。

網(wǎng)絡(luò)信息安全工作領(lǐng)導(dǎo)小組組長：局長

網(wǎng)絡(luò)信息安全工作領(lǐng)導(dǎo)小組副組長：各分管局長

網(wǎng)絡(luò)信息安全工作領(lǐng)導(dǎo)小組組員：局屬各科室、各單位

主要負(fù)責(zé)人

網(wǎng)絡(luò)信息安全職能部門：市農(nóng)水大數(shù)據(jù)中心

安全主管：網(wǎng)絡(luò)信息安全工作領(lǐng)導(dǎo)小組辦公室主任

安全管理員：陳恩光

機房管理員：王豪

網(wǎng)絡(luò)管理員：王靈燕

系統(tǒng)管理員：莫晨晨、葉春江

網(wǎng)絡(luò)信息安全工作領(lǐng)導(dǎo)小組職責(zé)：

1.貫徹落實國家網(wǎng)絡(luò)信息安全方面工作的方針政策，審

定市**局信息系統(tǒng)安全建設(shè)規(guī)劃；

2.對信息系統(tǒng)安全工作的重大事項做出決策；

3.研究審定市**局信息系統(tǒng)安全建設(shè)和管理工作中的

制度、標(biāo)準(zhǔn)及相關(guān)政策，并協(xié)調(diào)相關(guān)部門監(jiān)督制度、政策的

實施情況；

4.組織、協(xié)調(diào)和指導(dǎo)網(wǎng)絡(luò)信息安全的宣傳、普及教育工

作。組長（或安全主管）職責(zé)：

1.負(fù)責(zé)貫徹落實網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)小組關(guān)于信息系統(tǒng)

安全工作的要求和規(guī)定；

2.根據(jù)信息化建設(shè)的總體目標(biāo)，負(fù)責(zé)建立信息系統(tǒng)的安

全管理體系，包括：制度建設(shè)、技術(shù)保障和操作規(guī)范等各方

面的逐步建成；

3.組織制訂和貫徹信息系統(tǒng)運行和維護(hù)工作制度；

4.負(fù)責(zé)管理落實網(wǎng)絡(luò)信息安全工作領(lǐng)導(dǎo)小組部署的各

項工作。

安全管理員職責(zé)：

1.負(fù)責(zé)安全制度的貫徹執(zhí)行；

2.負(fù)責(zé)制訂信息系統(tǒng)安全規(guī)劃，并在實施過程中逐步完

善；

3.負(fù)責(zé)制定安全設(shè)備或系統(tǒng)的相關(guān)資產(chǎn)清單。內(nèi)容包括

資產(chǎn)管理的責(zé)任部門、信息分類和資產(chǎn)標(biāo)識的方法和資產(chǎn)名

稱、重要程度、所處位置等；

4.負(fù)責(zé)規(guī)范安全設(shè)備或系統(tǒng)管理流程，建立管理臺帳,

明確資產(chǎn)所有者、使用者與維護(hù)者，對安全設(shè)備或系統(tǒng)進(jìn)行

標(biāo)記，實現(xiàn)對機房資產(chǎn)購買、使用、變更、報廢整個周期的

安全管理；

5.負(fù)責(zé)制定安全設(shè)備或系統(tǒng)的文檔化的操作和維護(hù)規(guī)

程，使相關(guān)人員按規(guī)程對系統(tǒng)進(jìn)行操作，降低因誤操作所引

發(fā)網(wǎng)絡(luò)信息安全事件的概率;

6.負(fù)責(zé)對安全設(shè)備或系統(tǒng)運行維護(hù)管理，對安全設(shè)備或

系統(tǒng)運轉(zhuǎn)情況進(jìn)行定期巡檢、維護(hù)、故障處理和變更管理。

負(fù)責(zé)組織分配安全設(shè)備或系統(tǒng)各類事故（故障）應(yīng)急處理的

管理；

7.負(fù)責(zé)協(xié)助領(lǐng)導(dǎo)安排安全培訓(xùn)以及制定每年安全教育

計劃，加強業(yè)務(wù)信息系統(tǒng)的安全教育，通過各種方式進(jìn)行宣

傳和培訓(xùn)，提高全系統(tǒng)安全防范意識；

8.負(fù)責(zé)制定至少每季度檢查一次的安全檢查計劃制度，

包括檢查職責(zé)、周期、范圍、內(nèi)容、報告的編制、整改、通

報等；

9.當(dāng)出現(xiàn)安全事件時，負(fù)責(zé)對發(fā)生的安全事件及時上報,

并配合相關(guān)部門的調(diào)查和糾正工作；

10.當(dāng)業(yè)務(wù)信息系統(tǒng)運行發(fā)生重大問題時，協(xié)同相關(guān)部

門一起判斷原因，根據(jù)應(yīng)急響應(yīng)或網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)小組指

令及時啟動相關(guān)處理程序；

1L負(fù)責(zé)與外部安全機構(gòu)的協(xié)調(diào)聯(lián)系，獲取外部安全機

構(gòu)的最大資源。

12.負(fù)責(zé)對介質(zhì)的管理。對介質(zhì)的歸檔、查詢和借用進(jìn)

行記錄，對介質(zhì)進(jìn)行定期盤點并記錄，對故障介質(zhì)的進(jìn)行送

修和銷毀并記錄，對于保密性高的介質(zhì)銷毀申報領(lǐng)導(dǎo)批準(zhǔn)，

并進(jìn)行記錄。對介質(zhì)物理傳輸?shù)慕唤舆M(jìn)行記錄。

13.負(fù)責(zé)對各種記錄文檔、表單進(jìn)行半年一次的匯總，

對制度開展情況向網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)小組領(lǐng)導(dǎo)進(jìn)行匯報；

14.加強對信息系統(tǒng)外包業(yè)務(wù)與外包方的管理，簽署的

服務(wù)協(xié)議對信息系統(tǒng)安全要求加以細(xì)化、明確。通過審批、

訪問控制、監(jiān)控、簽署保密協(xié)議等措施，加強外部方訪問信

息系統(tǒng)的控制能力，防止外部方危害信息系統(tǒng)安全；

15.重視對IT服務(wù)連續(xù)性的管理，建立對各類網(wǎng)絡(luò)信息

安全事件的預(yù)防、預(yù)警、響應(yīng)、處置、恢復(fù)機制，編寫針對

市**局內(nèi)外網(wǎng)重要系統(tǒng)的應(yīng)急預(yù)案，并定期進(jìn)行演練；發(fā)生

網(wǎng)絡(luò)信息安全事件能迅速、有序地進(jìn)行應(yīng)急處置，最大限度

地降低因信息系統(tǒng)突發(fā)事件給市**局信息系統(tǒng)所帶來的影

響；

16.在符合國家密碼管理相關(guān)規(guī)定的條件下，合理使用

密碼技術(shù)和密碼設(shè)備，嚴(yán)格密鑰生成、分發(fā)、保存等方面的

安全管理。

機房管理員職責(zé)：

1.負(fù)責(zé)保障機房物理與環(huán)境的安全建設(shè)管理，對實施方

責(zé)任、時間進(jìn)度、任務(wù)要求、質(zhì)量控制等進(jìn)行監(jiān)督管理；

2.負(fù)責(zé)制定機房基礎(chǔ)設(shè)施的相關(guān)資產(chǎn)清單，對所有機房

資產(chǎn)進(jìn)行標(biāo)記。內(nèi)容包括資產(chǎn)管理的責(zé)任部門、信息分類和

資產(chǎn)標(biāo)識的方法和資產(chǎn)名稱、重要程度、所處位置等；

3.規(guī)范機房資產(chǎn)（包括機房物理與環(huán)境等）管理流程,

建立機房資產(chǎn)管理臺帳，明確資產(chǎn)所有者、使用者與維護(hù)者,

實現(xiàn)對機房資產(chǎn)購買、使用、變更、報廢整個周期的安全管

理；

4.負(fù)責(zé)制定重要基礎(chǔ)設(shè)施等文檔化的操作和維護(hù)規(guī)程,

使相關(guān)人員按規(guī)程對系統(tǒng)進(jìn)行使用和操作，降低因誤操作所

引發(fā)網(wǎng)絡(luò)信息安全事件概率；

5.落實包括門禁、視頻監(jiān)控、報警等安全防范措施，確

保機房物理與環(huán)境安全。部署機房專用空調(diào)、在線式UPS等

環(huán)境保障設(shè)施，對機房設(shè)施運轉(zhuǎn)情況進(jìn)行定期巡檢和維護(hù)。

制定對機房人員和設(shè)備的出入管理制度，對機房的進(jìn)出入人

員進(jìn)行登記備案；

6.對機房基礎(chǔ)設(shè)施變更、重要操作、物理訪問等進(jìn)行逐

級審批，負(fù)責(zé)日常審批，重大變更上報到網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)

小組；

7.負(fù)責(zé)組織實施機房基礎(chǔ)設(shè)施各類事故（故障）的應(yīng)急

處理。網(wǎng)絡(luò)管理員職責(zé)：

1.負(fù)責(zé)保障網(wǎng)絡(luò)安全建設(shè)管理，對實施方責(zé)任、時間進(jìn)

度、任務(wù)要求、質(zhì)量控制等進(jìn)行監(jiān)督管理；

2.規(guī)范網(wǎng)絡(luò)管理流程，建立網(wǎng)絡(luò)相關(guān)資產(chǎn)管理臺帳，明

確資產(chǎn)所有者、使用者與維護(hù)者，對所有信息密產(chǎn)進(jìn)行標(biāo)記,

實現(xiàn)對信息資產(chǎn)購買、使用、變更、報廢整個周期的安全管

理；

3.確定安全策略，采用技術(shù)和管理兩方面的控制措施,

加強對市**局內(nèi)外網(wǎng)的安全控制，不斷提高區(qū)絡(luò)的安全性和

穩(wěn)定性。通過實施網(wǎng)絡(luò)訪問控制等技術(shù)和接入內(nèi)網(wǎng)嚴(yán)格審批

措施，加強安全管理，加強對市**局各科室網(wǎng)絡(luò)使用的安全

培訓(xùn)和教育，確保市**局網(wǎng)絡(luò)的安全；

4.對重要網(wǎng)絡(luò)設(shè)備應(yīng)有文檔化的操作和維護(hù)規(guī)程，使各

個相關(guān)人員按規(guī)程對系統(tǒng)使用和操作，降低因誤操作所引發(fā)

網(wǎng)絡(luò)信息安全事件概率；

5.負(fù)責(zé)保障網(wǎng)絡(luò)安全。協(xié)助安全管理員部署網(wǎng)絡(luò)安全產(chǎn)

品，確保網(wǎng)絡(luò)安全。對網(wǎng)絡(luò)設(shè)備設(shè)施運轉(zhuǎn)情況進(jìn)行定期巡檢、

維護(hù)、故障處理和變更管理；

6,對網(wǎng)絡(luò)系統(tǒng)變更、重要操作、訪問等進(jìn)行逐級審批,

負(fù)責(zé)日常審批，重大變更上報到網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)小組；

7.負(fù)責(zé)組織實施網(wǎng)絡(luò)各類事故（故障）的應(yīng)急處理。

系統(tǒng)管理員職責(zé)：

L負(fù)責(zé)保障主機（包括服務(wù)器設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫

系統(tǒng)、數(shù)據(jù)備份）安全建設(shè)管理，對實施方責(zé)任、時間進(jìn)度、

任務(wù)要求、質(zhì)量控制等進(jìn)行監(jiān)督管理；

2.對重要的信息和信息系統(tǒng)進(jìn)行備份，并對備份介質(zhì)進(jìn)

行安全地保存，以及對備份數(shù)據(jù)定期進(jìn)行備份測試驗證，保

證各種備份信息的保密性、完整性和可用性，確保所有重要

信息系統(tǒng)和重要數(shù)據(jù)在故障或災(zāi)難下的可靠的恢復(fù)；

3.在服務(wù)器和工作站進(jìn)行統(tǒng)一部署防惡意代碼軟件，并

進(jìn)行惡意代碼庫的統(tǒng)一更新，防范惡意代碼、木馬等惡意代

碼對市**局信息系統(tǒng)的影響。通過強化惡意代碼防范的管理

措施，如加強主機管理，嚴(yán)禁擅自安裝軟件，定期進(jìn)行惡意

代碼檢測等，提高市**局信息系統(tǒng)對惡意代碼的防范能力。

負(fù)責(zé)全系統(tǒng)的計算機惡意代碼防治和主機安全的管理工作，

制定檢查計劃（包含在主機巡檢工作中），督促檢查工作；

4.加強網(wǎng)絡(luò)信息安全日常管理，包括系統(tǒng)口令管理、無

人值守設(shè)備管理等，使信息化日常工作符合市**局網(wǎng)絡(luò)信息

安全策略和制度要求；

5.規(guī)范主機（包括服務(wù)器設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、

數(shù)據(jù)備份）資產(chǎn)管理流程，建立主機相關(guān)資產(chǎn)管理臺帳，明

確資產(chǎn)所有者、使用者與維護(hù)者，對所有信息資產(chǎn)進(jìn)行標(biāo)記，

實現(xiàn)對主機相關(guān)資產(chǎn)購買、使用、變更、報廢整個周期的安

全管理；

6.在主機系統(tǒng)變更、重要操作、訪問等的進(jìn)行逐級審批，

負(fù)責(zé)日常審批，重大變更上報到網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)小組；

7.加強網(wǎng)絡(luò)信息安全日常管理，包括應(yīng)住系統(tǒng)口令管理、

授權(quán)審批管理等，使系統(tǒng)的日常工作符合市**局網(wǎng)絡(luò)信息安

全策略和制度要求；

8.負(fù)責(zé)組織實施應(yīng)用系統(tǒng)各類事故（故障）的應(yīng)急處理。

應(yīng)用管理員職責(zé)：

1,負(fù)責(zé)保障軟件開發(fā)管理，對實施方責(zé)任、時間進(jìn)度、

任務(wù)要求、質(zhì)量控制等進(jìn)行監(jiān)督管理。進(jìn)一步重視軟件開發(fā)

安全。在信息系統(tǒng)立項和審批過程中，同步考慮網(wǎng)絡(luò)信息安

全系統(tǒng)定級等級保護(hù)基本要求以及實際需求和目標(biāo)。保證系

統(tǒng)設(shè)計、開發(fā)過程的安全，重點加強對軟件代碼安全性的管

理。屬于外包軟件開發(fā)的，應(yīng)與服務(wù)提供商簽署保密協(xié)議。

系統(tǒng)開發(fā)完成后，應(yīng)要求通過第三方安全機構(gòu)對軟件安全性

的測評；

2.規(guī)范信息資產(chǎn)管理流程，建立信息資產(chǎn)管理臺帳，明

確資產(chǎn)所有者、使用者與維護(hù)者，對所有信息資產(chǎn)進(jìn)行標(biāo)記，

實現(xiàn)對信息資產(chǎn)購買、使用、變更、報廢整個周期的安全管

理；

3.負(fù)責(zé)建立重要應(yīng)用的文檔化操作和維護(hù)規(guī)程，使各個

相關(guān)人員按規(guī)程對系統(tǒng)進(jìn)行使用和操作，降低因誤操作所引

發(fā)網(wǎng)絡(luò)信息安全事件概率；

4.加強網(wǎng)絡(luò)信息安全日常管理，包括應(yīng)住系統(tǒng)口令管理、

授權(quán)審批管理等，使信息化日常工作符合網(wǎng)絡(luò)信息安全策略

和制度要求；

5.對應(yīng)用系統(tǒng)變更、重要操作、訪問等進(jìn)行逐級審批，

負(fù)責(zé)日常審批，重大變更上報到網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)小組；

6.負(fù)責(zé)組織實施應(yīng)用系統(tǒng)各類事故（故障）的應(yīng)急處理。

二、安全管理制度

（一）制度的編制

L信息管理職能部門根據(jù)網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)小組工作

要求，結(jié)合部門職責(zé)及網(wǎng)絡(luò)信息安全管理活動中的內(nèi)容細(xì)貝L

負(fù)責(zé)組織編制網(wǎng)絡(luò)信息安全管理體系文件，形成初稿；

2.安全管理員負(fù)責(zé)組織對網(wǎng)絡(luò)信息安全管理體系文件

的評審，并將審核后的文件報網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)小組，由網(wǎng)

絡(luò)信息安全領(lǐng)導(dǎo)小組對網(wǎng)絡(luò)信息安全管理體系文件進(jìn)行核

審，形成最終的報審稿。

（二）制度的批準(zhǔn)、發(fā)布

1.安全管理員負(fù)責(zé)對網(wǎng)絡(luò)信息安全管理體系文件的報

審稿進(jìn)行登記、核稿后，由網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)小組對網(wǎng)絡(luò)信

息安全管理體系文件進(jìn)行核審，形成最終的報審稿。

2,組織相關(guān)人員進(jìn)行評審，網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)小組組長

審閱、簽批后發(fā)布。

（三）制度的發(fā)放

網(wǎng)絡(luò)信息安全管理體系文件由安全管理員發(fā)放到各負(fù)

責(zé)人（機房管理員、網(wǎng)絡(luò)管理員、系統(tǒng)管理員），或者通過

單位內(nèi)網(wǎng)進(jìn)行發(fā)布，同時辦公室負(fù)責(zé)將各管理制度整理成匯

編打印裝訂，發(fā)送到各相關(guān)科室或工作人員手中。

（四）制度評審和修訂

由安全管理員定期或不定期組織工作人員進(jìn)行文件適

用性的檢查情況，并對現(xiàn)有文件的有效性進(jìn)行評審。對不合

適的地方進(jìn)行修訂，必要時更換新版。

三、安全管理機構(gòu)

（一）關(guān)鍵活動的授權(quán)和審批

L在系統(tǒng)運維過程中，安全管理員對信息系統(tǒng)的訪問、

變更等授權(quán)給系統(tǒng)運維部門。具體為機房管理員負(fù)責(zé)機房相

關(guān)事項的授權(quán)和審批、網(wǎng)絡(luò)管理員和系統(tǒng)管理員分別負(fù)責(zé)網(wǎng)

絡(luò)和系統(tǒng)相關(guān)事項的授權(quán)和審批；

2.授權(quán)審批流程：

a）由系統(tǒng)運維部門判斷職責(zé)及事項，授權(quán)給相應(yīng)的管理

員；

b）系統(tǒng)若外包的，由外包服務(wù)公司申請，授權(quán)相應(yīng)的管

理員。

（二）審核和檢查

組織專門人員（或委托外包公司）定期或不定期進(jìn)行安

全檢查，包括網(wǎng)絡(luò)、安全設(shè)備、系統(tǒng)等各方面的安全檢查。

記錄檢查結(jié)果。規(guī)范安全檢查的內(nèi)容并統(tǒng)一分析檢查結(jié)果。

（三）溝通合作

L加強各類管理人員之間、組織內(nèi)部機構(gòu)之間以及網(wǎng)絡(luò)

信息安全職能部門內(nèi)部的合作與溝通，定期或不定期召開協(xié)

調(diào)會議，共同協(xié)作處理網(wǎng)絡(luò)信息安全問題；

2.加強與網(wǎng)絡(luò)信息安全主管單位、公安機關(guān)、電信公司

的合作與溝通;

3.加強與供應(yīng)商、業(yè)界專家、專業(yè)的安全公司、安全組

織的合作與溝通；

4.建立外聯(lián)單位聯(lián)系列表，包括外聯(lián)單位名稱、合作內(nèi)

容、聯(lián)系人和聯(lián)系方式等信息；

5.對協(xié)調(diào)會議、安全評審以及交流活動等進(jìn)行記錄。

四、人員安全管理

崗位網(wǎng)絡(luò)信息安全檢查

0各科室（部門）應(yīng)提高安全意識，定期或不定期對

本科室（部門）崗位進(jìn)行網(wǎng)絡(luò)信息安全檢查，確保網(wǎng)絡(luò)信息

安全制度和操作規(guī)程得到了有效地執(zhí)行

0網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)小組應(yīng)不定期抽查各科室（部門）

的崗位網(wǎng)絡(luò)信息安全職責(zé)的落實情況，確保各科室（部門）

的崗位網(wǎng)絡(luò)信息安全職責(zé)的落實

網(wǎng)絡(luò)信息安全違規(guī)的紀(jì)律處理

0對于網(wǎng)絡(luò)信息安全事故和在網(wǎng)絡(luò)信息安全檢查中

發(fā)現(xiàn)的違規(guī)行為，由網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)小組根據(jù)有關(guān)考核規(guī)

定對該人員進(jìn)行處罰

0對于情節(jié)特別嚴(yán)重的違規(guī)行為，還應(yīng)借助網(wǎng)絡(luò)、簡

報等媒介向市**局其它單位進(jìn)行通報，避免同類問題再次發(fā)

生

人員考核培訓(xùn)

0定期或不定期得對各個崗位的人員進(jìn)行安全技能

及安全認(rèn)知的考核

0對各類人員進(jìn)行安全意識教育、崗位技能培訓(xùn)和相

關(guān)安全技術(shù)培訓(xùn)

0對安全責(zé)任和懲戒措施進(jìn)行書面規(guī)定并告知相關(guān)

人員，對違反違背安全策略和規(guī)定的人員進(jìn)行懲戒

0對安全教育和培訓(xùn)進(jìn)行書面規(guī)定，針對不同崗位制

定不同的培訓(xùn)計劃，對網(wǎng)絡(luò)信息安全基礎(chǔ)知識、崗位操作規(guī)

程等進(jìn)行培訓(xùn)

0對培訓(xùn)進(jìn)行登記，對考核進(jìn)行記錄登記

人員離崗

0各科室（部門）在人員任用終止時，應(yīng)按照離崗手

續(xù)，由人力資源部通知相關(guān)科室（部門）對該人員使用信息

和信息系統(tǒng)的權(quán)限進(jìn)行調(diào)整

0各科室（部門）依照相關(guān)人員的個人權(quán)限清單，修

改、限制或刪除相關(guān)信息和信息系統(tǒng)的訪問權(quán)限，包括物理

訪問、邏輯訪問、密鑰及ID卡等，并作相應(yīng)記錄

0各科室（部門）應(yīng)立即撤銷或停用離崗人員所使用

的賬戶，或者修改離崗人員所掌握的系統(tǒng)帳戶口令

離職后網(wǎng)絡(luò)信息安全職責(zé)的追蹤和管理

0離職人員應(yīng)明確其離職后仍需擔(dān)負(fù)的安全責(zé)任和

義務(wù)，以及違反安全責(zé)任和義務(wù)所引發(fā)的后果

0如發(fā)生有離職人員違反其應(yīng)負(fù)的安全責(zé)任，泄露市

**局敏感秘密，網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)小組按照有關(guān)規(guī)定和相關(guān)

協(xié)議追究其法律責(zé)任

外來人員的網(wǎng)絡(luò)信息安全管理

0各科室（部門）在與外部方簽訂合同時，應(yīng)按照崗

位角色和職責(zé)要求，在合同中對外來人員進(jìn)行約束

0各單位（部門）應(yīng)按照市**局網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)小

組有關(guān)網(wǎng)絡(luò)信息安全管理規(guī)定以及合同要求，對所有外來人

員進(jìn)行監(jiān)督和檢查，并就安全違規(guī)情況按合同條款中的要求

進(jìn)行處理

0確保在外部人員訪問受控域前先提出書面申請，批

準(zhǔn)后由專人全程陪同或監(jiān)督，并登記備案

五、系統(tǒng)建設(shè)管理

（一）規(guī)劃設(shè)計

L總體安全規(guī)劃階段的工作流程

0近期、遠(yuǎn)期的安全需求分析

0近期、遠(yuǎn)期的總體安全設(shè)計

0安全管理員負(fù)責(zé)制定安全建設(shè)項目規(guī)劃

2.安全需求分析

0基本安全需求的確定

0額外/特殊安全需求的確定

0形成安全需求分析報告

3.總體安全設(shè)計

0總體安全策略設(shè)計：根據(jù)系統(tǒng)安全等級選定安全策

略、基本安全措施，依據(jù)風(fēng)險評估補充和調(diào)整安全措施

0安全技術(shù)體系結(jié)構(gòu)設(shè)計

0整體安全管理體系結(jié)構(gòu)設(shè)計

0設(shè)計結(jié)果文檔化

4.安全建設(shè)項目規(guī)劃

0安全建設(shè)目標(biāo)確定

0安全建設(shè)內(nèi)容規(guī)劃

0形成安全建設(shè)項目計劃

（二）設(shè)備選型

信息系統(tǒng)采取有關(guān)網(wǎng)絡(luò)信息安全技術(shù)措施和采購裝備

相應(yīng)的設(shè)備時，應(yīng)遵循下列原則：

1.應(yīng)確保產(chǎn)品采購和使用符合國家網(wǎng)絡(luò)信息安全的有

關(guān)規(guī)定；

2.應(yīng)預(yù)先對產(chǎn)品進(jìn)行選型測試，確定產(chǎn)品的候選范圍,

并定期審定和更新候選產(chǎn)品名單；

3.盡量采用我國自主開發(fā)研制的網(wǎng)絡(luò)信息安全技術(shù)和

設(shè)備；

4.采用境外網(wǎng)絡(luò)信息安全產(chǎn)品時，產(chǎn)品必須通過國家網(wǎng)

絡(luò)信息安全測評機構(gòu)的認(rèn)可；

5,嚴(yán)禁使用未經(jīng)國家密碼管理部門批準(zhǔn)和未通過國家

網(wǎng)絡(luò)信息安全質(zhì)量認(rèn)證的密碼設(shè)備。

（三）采購和安裝

軟件和設(shè)備的采購和安裝

1.信息系統(tǒng)所使用的操作系統(tǒng)、應(yīng)用軟件、數(shù)據(jù)庫、安

全軟件、工具軟件必須是正式版本，嚴(yán)禁使用測試版和盜版

軟件；

2.重要的操作系統(tǒng)和主要應(yīng)用軟件必須在安全管理員

的監(jiān)督之下進(jìn)行安裝；

3.設(shè)備符合系統(tǒng)選型要求并獲得批準(zhǔn)后，方可購置；

4.選型的設(shè)備進(jìn)行系統(tǒng)適用性測試，確保選型的設(shè)備符

合系統(tǒng)技術(shù)性能指標(biāo)要求；

5.凡購回的設(shè)備均應(yīng)在測試環(huán)境下經(jīng)過連續(xù)72小時以

上的單機運行測試和聯(lián)機48小時的應(yīng)用系統(tǒng)兼容性運行測

試；

6.通過上述測試后，設(shè)備才能進(jìn)入試運行階段。試運行

時間的長短可根據(jù)需要自行確定；

7.通過試運行的設(shè)備，才能投入系統(tǒng)，正式運行。

（四）軟件開發(fā)管理

軟件自行開發(fā)管理

1.系統(tǒng)應(yīng)用軟件的開發(fā)必須根據(jù)信息密級和安全等級,

同步進(jìn)行相應(yīng)的安全設(shè)計，并制定各階段安全目標(biāo)，按目標(biāo)

進(jìn)行管理和實施；

2.系統(tǒng)應(yīng)用軟件的開發(fā)，必須有安全管理專業(yè)的技術(shù)人

員參加，其主要任務(wù)是：對系統(tǒng)方案與開發(fā)進(jìn)行安全審查和

監(jiān)督，負(fù)責(zé)系統(tǒng)安全設(shè)計和實施；

3.開發(fā)環(huán)境和現(xiàn)場必須與辦公環(huán)境和工作現(xiàn)場分開，軟

件設(shè)計方案、數(shù)據(jù)結(jié)構(gòu)、安全管理、操作監(jiān)控手段、數(shù)據(jù)加

密形式、原代碼等，只能在有關(guān)開發(fā)人員及有關(guān)管理機構(gòu)中

流動，嚴(yán)禁散失或外泄；開發(fā)人員和測試人員分離，測試數(shù)

據(jù)和測試結(jié)果受到控制；

4.應(yīng)用軟件開發(fā)必須符合軟件工程規(guī)范［GB8566-88］、

［GB1526-89］；

5.要求開發(fā)人員參照代碼編寫安全規(guī)范編寫代碼；

6.確保提供軟件設(shè)計的相關(guān)文檔和使用指南，并由專人

負(fù)責(zé)保管；

7.確保對程序資源庫的修改、更新、發(fā)布進(jìn)行授權(quán)和批

準(zhǔn)。

外包軟件開發(fā)管理

1.要求開發(fā)單位提供軟件設(shè)計的相關(guān)文檔和使用指南；

2,在委托開發(fā)過程中，應(yīng)加強開發(fā)過程中的安全管理和

監(jiān)控，重點考慮資質(zhì)、許可證、代碼所有權(quán)和知識產(chǎn)權(quán)；審

核工作質(zhì)量和訪問權(quán)限，代碼質(zhì)量和安全功能達(dá)到合同要求。

特殊情況應(yīng)測試惡意代碼和特洛伊木馬；

3.應(yīng)要求軟件開發(fā)商在所開發(fā)的信息系統(tǒng)內(nèi)設(shè)計實現(xiàn)

了安全控制措施，確保信息在系統(tǒng)中得到了正確處理;

4.項目合同對軟件源代碼和審查軟件中可能存在的后

門進(jìn)行明確規(guī)定；

5.在開發(fā)過程中，應(yīng)采取控制措施，減少信息泄露的可

能性，重點考慮：規(guī)范開發(fā)過程中的通信行為，以減少第三

方從這些行為中推斷信息的可能性；在現(xiàn)有法律或法規(guī)允許

的情況下，定期監(jiān)視個人和系統(tǒng)的活動；監(jiān)視計算機系統(tǒng)的

資源使用；防止非授權(quán)的網(wǎng)絡(luò)訪問；對程序源代碼的防護(hù)管

理；

6.系統(tǒng)運維管理部門應(yīng)要求軟件開發(fā)商對程序源代碼

進(jìn)行管理與控制。程序源代碼應(yīng)集中保存在代碼庫中，對代

碼庫實施安全保護(hù)。俁護(hù)措施主要包括：建立程序源代碼和

源程序庫管理規(guī)范；對訪問源程序庫人員進(jìn)行授權(quán)管制；程

序列表應(yīng)保存在安全的環(huán)境中；建立對源程序庫所有訪問的

審核日志；維護(hù)和拷貝源程序庫應(yīng)受嚴(yán)格的限制；

7.測試數(shù)據(jù)的管理。系統(tǒng)運維管理部門對于開發(fā)過程中

涉及的測試數(shù)據(jù)。在測試數(shù)據(jù)選擇過程中，應(yīng)避免使用包含

個人信息或其它敏感信息的運行數(shù)據(jù)庫用于測試。其控制措

施包括：運行信息每次被拷貝到測試系統(tǒng)時應(yīng)有獨立的授權(quán);

測試完成后，應(yīng)立即從測試系統(tǒng)中清除運行信息或進(jìn)行授權(quán)

訪問控制；記錄運行信息的拷貝和使用日志；

8.信息系統(tǒng)安全整體測試。系統(tǒng)運維管理部門組織信息

系統(tǒng)使用單位（部門）在離線測試環(huán)境下對所開發(fā)信息系統(tǒng)

進(jìn)行安全測試。經(jīng)過測試確認(rèn)后，方可轉(zhuǎn)入正式環(huán)境，并組

織評估測試結(jié)果的安全符合性。

（五）工程實施

1.指定或授權(quán)專門的部門或人員負(fù)責(zé)工程實施過程的

管理，必要時可引入外部信息工程監(jiān)理機構(gòu)進(jìn)行工程實施的

監(jiān)理；

2.由項目承建方制定詳細(xì)的工程實施方案控制實施過

程，由項目組認(rèn)可并要求工程實施單位能按計劃執(zhí)行工程實

施；

3.由項目承建方制定工程實施方面的管理規(guī)范，明確說

明實施過程的控制方法和人員行為準(zhǔn)則，及時向相關(guān)部門提

交文檔。

（六）測試驗收

1.委托第三方測試單位對系統(tǒng)進(jìn)行安全性測試，并出具

安全性測試報告，要求項目承建方根據(jù)測試結(jié)果及時進(jìn)行整

改；

2.在測試前應(yīng)根據(jù)設(shè)計方案或合同要求等制訂測試方

案，在測試過程中應(yīng)詳細(xì)記錄測試結(jié)果，并形成測試報告,

測試通過后方可進(jìn)行驗收；

3,對系統(tǒng)測試驗收的控制方法和人員行為準(zhǔn)則進(jìn)行書

面規(guī)定；

4.指定或授權(quán)專門的部門或人員負(fù)責(zé)系統(tǒng)測試驗收的

管理，并按照管理規(guī)定的要求完成系統(tǒng)測試驗收工作;

5.組織相關(guān)部門和相關(guān)人員對系統(tǒng)測試驗收報告進(jìn)行

審定，并簽字確認(rèn)。

（七）系統(tǒng)交付

1.對系統(tǒng)交付的建制方法和人員行為準(zhǔn)則進(jìn)行書面規(guī)

定；

2.應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)系統(tǒng)交付的管理工作，

并按照管理規(guī)定的要求完成系統(tǒng)交付工作；

3.制定詳細(xì)的系統(tǒng)交付清單，并根據(jù)交付清單對所交接

的設(shè)備、軟件和文檔等進(jìn)行清點和確認(rèn)；

4.對負(fù)責(zé)系統(tǒng)運行維護(hù)的技術(shù)人員進(jìn)行相應(yīng)的技能培

訓(xùn)，以及對系統(tǒng)最終用戶的操作進(jìn)行相應(yīng)的培訓(xùn)。

（A）系統(tǒng)建設(shè)服務(wù)商選擇

1.確保系統(tǒng)建設(shè)服務(wù)商的選擇符合國家網(wǎng)絡(luò)信息安全

的有關(guān)規(guī)定，必要時應(yīng)選擇有安全集成的相關(guān)資質(zhì)的服務(wù)商;

2.與選定的系統(tǒng)建設(shè)服務(wù)商簽訂與安全相關(guān)的保密協(xié)

議，明確約定相關(guān)責(zé)任；

3.確保選定的系統(tǒng)建設(shè)服務(wù)商提供技術(shù)培訓(xùn)和服務(wù)承

諾，必要的與其簽訂服務(wù)合同。

六、機房安全管理制度

（一）辦公環(huán)境管理辦法

1.工作人員調(diào)離所在部門時應(yīng)立即交還其所在辦公室

的鑰匙；

2.工作人員不在辦公區(qū)接待來訪人員，應(yīng)在指定允許的

時間和地點接待來訪人員；

3.工作人員應(yīng)確保其使用的終端計算機設(shè)置超時退出

登錄狀態(tài)，以及其辦公桌面上無敏感信息的紙檔文件。

（二）機房出入管理

1.若非必要，不要隨便進(jìn)入機房；出入機房必須登記，

填寫《機房出入登記表》，最后離開機房的人員要關(guān)燈、鎖

門。由機房負(fù)責(zé)人（管理員）對機房出入進(jìn)行每周核查；

2.機房負(fù)責(zé)門禁卡由當(dāng)天負(fù)責(zé)人員保管，不能隨意轉(zhuǎn)借。

丟失要及時聲明。

3,進(jìn)入機房換鞋套，自覺保持機房衛(wèi)生；

4?嚴(yán)禁攜帶易燃易爆物品、強磁物品、食品及其它與工

作無關(guān)的物品進(jìn)入機房。

（三）機房環(huán)境管理

L負(fù)責(zé)人員要打掃機房衛(wèi)生，保持地面干凈，機柜無塵

土，各種設(shè)備擺放整齊。

2.機房內(nèi)禁止吸煙，注意防火；

3.工作人員進(jìn)入機房要檢查設(shè)備情況（包括空調(diào)溫、濕

度；電力系統(tǒng)；網(wǎng)絡(luò)設(shè)備；服務(wù)器），離開時察看燈、門、

窗、鎖是否關(guān)閉好；

4.電力設(shè)施注意相關(guān)機房內(nèi)設(shè)備不要插入墻壁插座。

（四）機房介質(zhì)管理

L對應(yīng)用系統(tǒng)使用、產(chǎn)生的介質(zhì)或資料要按其重要性進(jìn)

行分類，對存放有關(guān)鍵或重要數(shù)據(jù)的介質(zhì)（資料），分別存

放在不同的安全地方并建立嚴(yán)格的保密保管制度；

2.保留在機房內(nèi)的介質(zhì)（資料），應(yīng)為系統(tǒng)有效運行所

必需的最少數(shù)量，除此之外，不應(yīng)保留在機房內(nèi)；

3.存放機房內(nèi)的介質(zhì)（資料）應(yīng)該存放于防火、防高溫、

防震、防電磁場、防靜電及防盜的房間或保險柜中；

4.介質(zhì)（資料）走，應(yīng)設(shè)專人（資產(chǎn)管理員）負(fù)責(zé)登記

保管，未經(jīng)批準(zhǔn)，不得隨意提供介質(zhì)（資料）；

5.對所有介質(zhì)（資料）應(yīng)定期檢查，要考慮介質(zhì)的安全

保存期限，及時更新復(fù)制。

（五）機房服務(wù)器管理

1.應(yīng)統(tǒng)一將服務(wù)器編號、操作系統(tǒng)、應(yīng)用系統(tǒng)、負(fù)責(zé)人、

IP地址、出廠序號、切換器編號等信息以標(biāo)簽方式張貼在服

務(wù)器前面板明顯位置，未經(jīng)許可，任何人不得撕毀、篡改。

服務(wù)器按應(yīng)用級別和管理責(zé)任不同分為重要、普通、測試、

托管四類，用不同顏色標(biāo)簽區(qū)分。測試服務(wù)器原則上不與其

他服務(wù)器安排在同一機柜內(nèi)。標(biāo)簽每半年復(fù)核一次；

2.服務(wù)器以及kvm切換器等設(shè)備是機房的重要設(shè)備，必

須按要求放置在機房指定機柜內(nèi)，不得擅自配置、移動、更

換，更不能挪作它用。服務(wù)器物理位置一經(jīng)確定，不得隨意

變更。如需變更，由使用部門填寫《服務(wù)器變更申請表》，

經(jīng)相關(guān)審批流程手續(xù)后，系統(tǒng)管理員確認(rèn)后方可變更；

3.根據(jù)系統(tǒng)建設(shè)需要將服務(wù)器連入或斷開網(wǎng)絡(luò)，變更服

務(wù)器用途，應(yīng)用系統(tǒng)重大升級，變更密碼，改變目錄等，由

使用部門填寫《服務(wù)器變更申請表》，經(jīng)相關(guān)審批流程手續(xù)

后，系統(tǒng)管理員確認(rèn)后方可變更。同時，網(wǎng)絡(luò)管理員根據(jù)實

際變更，在兩個工作日內(nèi)調(diào)整網(wǎng)管軟件監(jiān)控信息，備份保存

相關(guān)配置；

4.對服務(wù)器必須建立維護(hù)檔案，使用部匚是服務(wù)器維護(hù)

檔案的第一責(zé)任人，維護(hù)檔案由使用部門負(fù)責(zé)，項目開發(fā)人

員，安全服務(wù)人員，機房管理人員，負(fù)責(zé)人員對服務(wù)器的任

何更改操作均要報使用部門進(jìn)行記錄；

5.服務(wù)器及相關(guān)配套軟件的申請采購、驗收由使用部門

負(fù)責(zé)。服務(wù)器完成驗收后，才能分配機柜位置及聯(lián)入網(wǎng)絡(luò)。

使用部門填寫《服務(wù)器接入申請表》，報系統(tǒng)管理員進(jìn)行確

認(rèn)；

6.如果服務(wù)器運行多個應(yīng)用系統(tǒng)，按應(yīng)住系統(tǒng)的重要程

度確定第一責(zé)任人。重要應(yīng)用系統(tǒng)的使用部匚是第一責(zé)任人。

（六）機房布線管理

L機房布線應(yīng)按照規(guī)范鋪設(shè)隱蔽處，如鋪設(shè)在防靜電地

板下或機房的橋架的管道內(nèi)，設(shè)備調(diào)試時使月的臨時布線應(yīng)

在調(diào)試完成當(dāng)天撤換；

2.系統(tǒng)運維部門負(fù)責(zé)機房所有網(wǎng)絡(luò)線路維護(hù)、連接、拆

除由專人施工，禁止其他人員未經(jīng)許可隨意連接、拆除網(wǎng)線;

3.各類線纜分類鋪設(shè)在各自管道中，隔開鋪設(shè)避免相互

間的干擾。

(七)機房網(wǎng)絡(luò)設(shè)備管理

L對網(wǎng)絡(luò)設(shè)備建立維護(hù)檔案，由網(wǎng)絡(luò)管理員負(fù)責(zé)維護(hù),

使用部門是網(wǎng)絡(luò)維護(hù)檔案的第一責(zé)任人，對區(qū)絡(luò)設(shè)備的任何

更改均要有記錄；

2.應(yīng)統(tǒng)一將網(wǎng)絡(luò)設(shè)備編號、負(fù)責(zé)人等信息以標(biāo)簽方式張

貼在網(wǎng)絡(luò)設(shè)備前面板明顯位置，未經(jīng)許可，任何人不得撕毀、

篡改；

3.設(shè)備發(fā)生故障或故障隱患時非管理人員不可對路由

器、交換機、服務(wù)器、光纖、網(wǎng)線及各種設(shè)備進(jìn)行任何調(diào)試，

網(wǎng)絡(luò)管理員必須對所發(fā)生的故障、處理過程和結(jié)果等做好詳

細(xì)登記。負(fù)責(zé)人員要嚴(yán)格按照規(guī)程處理故障，及時與網(wǎng)絡(luò)管

理員溝通，并對有關(guān)故障做出書面報告；

4.網(wǎng)絡(luò)設(shè)備及相關(guān)配套軟硬件的申請采購、驗收由項目

組負(fù)責(zé)。設(shè)備完成驗收后，分配機柜位置及聯(lián)入網(wǎng)絡(luò)。填寫

《網(wǎng)絡(luò)設(shè)備接入申請表》，報網(wǎng)絡(luò)管理員進(jìn)行確認(rèn)。

(A)機房巡視管理

1.如沒有特殊情況，機房管理員應(yīng)按照規(guī)程巡視機房,

檢查機房各種設(shè)備的運行情況，并做好巡視記錄;

2.遇到各種設(shè)備故障，機房管理員應(yīng)按照規(guī)程操作步驟

對設(shè)備進(jìn)行處理，遇到問題及時與安全管理員溝通，并對有

關(guān)故障做出書面報告；

3.所有相關(guān)的巡視報告、故障報告等需要安全管理員進(jìn)

行確認(rèn)，并存檔管理。

（九）機房進(jìn)出設(shè)備管理

1.新購設(shè)備或臨時遷入機房的設(shè)備需經(jīng)系統(tǒng)運維部門

確認(rèn)，按《設(shè)備遷入機房登記表》的相關(guān)項目詳細(xì)填寫登記；

2.機房設(shè)備需要遷出機房時需通知當(dāng)日系統(tǒng)運維部門

負(fù)責(zé)人員，填寫《設(shè)備遷出機房登記表》，并報系統(tǒng)運維管

理部門備案。

七、信息資產(chǎn)管理制度

（一）職責(zé)

后勤服務(wù)部

1.負(fù)責(zé)檢查數(shù)據(jù)資產(chǎn)的安全管理情況；

2.負(fù)責(zé)本文件的編制和管理；

3.負(fù)責(zé)固定資產(chǎn)的管理，包括固定資產(chǎn)的采購、記錄、

變更、報廢等；

4.負(fù)責(zé)備品備件的出入庫管理；

5.負(fù)責(zé)對有形資產(chǎn)進(jìn)行分類、分級和標(biāo)記；

6.負(fù)責(zé)對備品備件進(jìn)行分類；

7.在有形資產(chǎn)發(fā)生變更、報廢或銷毀時，負(fù)責(zé)檢查資產(chǎn)

中信息處理情況；

8.負(fù)責(zé)檢查臺帳、信息系統(tǒng)中信息資產(chǎn)相關(guān)記錄，并將

記錄情況納入考核計劃中。

各部門

1.按資產(chǎn)的使用規(guī)則和限制，正確使用信息資產(chǎn)；

2.在有形資產(chǎn)和備品備件發(fā)生變更、報廢或銷毀時，負(fù)

責(zé)檢查并向安全管理員報告介質(zhì)中敏感信息。

（二）工作程序

資產(chǎn)的分類分級

1.資產(chǎn)分類分為關(guān)鍵資產(chǎn)和非關(guān)鍵資產(chǎn)：

0關(guān)鍵資產(chǎn)：對業(yè)務(wù)連續(xù)性和系統(tǒng)可生性影響大的資

產(chǎn)（價格或價值較高的資產(chǎn)）

0非關(guān)鍵資產(chǎn)：對業(yè)務(wù)連續(xù)性和系統(tǒng)可用性影響小的

資產(chǎn)（價格或價值較低的資產(chǎn)）

2.數(shù)據(jù)資產(chǎn)可以按其對信息系統(tǒng)的重要性程度，以及信

息的保密性、完整性、可用性被破壞后對信息系帶來的影響,

劃分為以下幾種安全級別：

0敏感信息：涉及工作秘密等信息

0一般信息：不涉及工作秘密的信息

資產(chǎn)的登記與標(biāo)記

1.后勤服務(wù)部對固定資產(chǎn)進(jìn)行分類分級、登記，確定該

資產(chǎn)的類型、編號、用途、位置、格式、規(guī)格、價值等具體

信息;

2.后勤服務(wù)部根據(jù)發(fā)放的資產(chǎn)清單及設(shè)備標(biāo)牌，對有形

資產(chǎn)進(jìn)行粘貼標(biāo)記，使用部門指定資產(chǎn)責(zé)任人，由資產(chǎn)責(zé)任

人對所負(fù)責(zé)的資產(chǎn)進(jìn)行保護(hù)；

3.各部門在資產(chǎn)新增、更新、調(diào)撥、報廢時，向后勤服

務(wù)部提出需求，由網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)小組審核，報主管領(lǐng)導(dǎo)

批準(zhǔn)后按照相關(guān)規(guī)定執(zhí)行，由后勤服務(wù)部更新《固定資產(chǎn)清

單》；

4.后勤服務(wù)部定期檢查有形資產(chǎn)的標(biāo)記與使用情況，對

資產(chǎn)丟失，標(biāo)簽缺損的情況進(jìn)行記錄，并納入各部門考核；

5.使用部門對本部門管理的數(shù)據(jù)資產(chǎn)進(jìn)行歸類和統(tǒng)計，

對電子文件采用統(tǒng)一樣式的電子標(biāo)記進(jìn)行標(biāo)識。

資產(chǎn)的使用與維護(hù)

1.后勤服務(wù)部對各部門信息資產(chǎn)使用規(guī)范說明，包括使

用授權(quán)、管理方式、操作方法、移動管理等，報市**局網(wǎng)絡(luò)

信息安全領(lǐng)導(dǎo)小組備案；

2?各部門工作人員，包括雇員、承包方人員和第三方人

員應(yīng)明確到他們使用信息資產(chǎn)時的限制條件，應(yīng)對信息資產(chǎn)

的使用和管理負(fù)責(zé)；

3.各部門人員應(yīng)確保在采用移動介質(zhì)進(jìn)行數(shù)據(jù)傳輸時，

傳輸完畢應(yīng)及時刪除介質(zhì)上保留的數(shù)據(jù)信息，對于只讀介質(zhì),

由本部門安全管理員進(jìn)行保存；

4.各部門的存儲介質(zhì)在長期存儲時，安全管理員應(yīng)確保

本部門介質(zhì)貯存地點符合防火、防水、防震、防潮、防霉、

防鼠害、防蟲蛀、防靜電、防磁等安全要求，介質(zhì)的存儲要

符合介質(zhì)生產(chǎn)商對介質(zhì)存儲的要求；

5.各部門定期對本部門存儲介質(zhì)中的數(shù)據(jù)進(jìn)行備份和

恢復(fù)測試，并進(jìn)行測試記錄，防止重要信息丟失；

6,涉及國家秘密的信息通過移動介質(zhì)進(jìn)行存儲時，各部

門應(yīng)參照國家有關(guān)規(guī)定執(zhí)行；

7.網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)小組定期檢查數(shù)據(jù)資產(chǎn)的安全管

理情況，發(fā)現(xiàn)問題進(jìn)行記錄，并納入各部門考核。

資產(chǎn)的移動管理

1.所有有形資產(chǎn)的移動必須經(jīng)過資產(chǎn)責(zé)任部門的授權(quán);

2.物理介質(zhì)在物理地點之外運送時，為了防止未授權(quán)訪

問、不當(dāng)使用或被毀壞，各部門應(yīng)采取以下必要的措施：

0物理介質(zhì)的包裝應(yīng)采取防篡改的包裝進(jìn)行密封（即

封口破壞后無法恢復(fù)原狀，可以很容易發(fā)現(xiàn)未授權(quán)訪問的企

圖），防止信息在送信的過程中泄漏或被修改

0含有敏感信息的物理介質(zhì)必須由內(nèi)部人員親自押

運，不得交由第三方公司單獨運送

3.所有有形資產(chǎn)的移動必須登記。

資產(chǎn)的報廢與銷毀

1.各部門檢查并清空待報廢設(shè)備內(nèi)的所有信息，交系統(tǒng)

運維部門統(tǒng)一處理;

2,資產(chǎn)管理部門對報廢設(shè)備進(jìn)行清點，形成《待報廢設(shè)

備清單》；

3.資產(chǎn)管理部門定期對報廢設(shè)備進(jìn)行統(tǒng)一處理，處理前

對設(shè)備的存儲信息進(jìn)行檢查；

4.各部門介質(zhì)上存儲的信息的敏感程度，由資產(chǎn)管理部

門采取適當(dāng)?shù)拇胧σ褕髲U的介質(zhì)進(jìn)行處理：

0包含敏感信息的介質(zhì)，應(yīng)按照國家要求，去專門地

點刪除原有介質(zhì)上的數(shù)據(jù)信息或進(jìn)行消磁處理；對于只讀介

質(zhì)，可采用粉碎等方式進(jìn)行處理

0應(yīng)對處置敏感介質(zhì)做記錄，以便保持審核蹤跡

八、介質(zhì)管理規(guī)定

（一）介質(zhì)購置

介質(zhì)由后勤服務(wù)部消耗品管理員負(fù)責(zé)統(tǒng)一計劃采購，編

號，發(fā)放和登記管理。其余部門不得擅自購買使用。

（二）介質(zhì)使用及維護(hù)管理

介質(zhì)包括磁帶、磁盤、u盤、光盤、硬盤、存貯卡和打

印出的文件等，對移動介質(zhì)的管理如下：

1.移動介質(zhì)在接入信息系統(tǒng)前，必須進(jìn)行惡意代碼、木

馬檢測和殺毒處理，防止惡意代碼侵入和傳染給其它信息系

統(tǒng)；

2.如果信息不再需要，需刪除可重復(fù)使斑的移動介質(zhì)中

的信息;

3.如果信息需要俁存，則使用人應(yīng)該保存在個人計算機

中，而不應(yīng)該放在移動介質(zhì)中；

4.介質(zhì)在長期保管時，其保管的地點必須滿足防火、防

水、防震、防潮、防霉、防鼠害、防蟲蛀、防靜電、防磁等

方面的安全要求，介質(zhì)的保管要符合介質(zhì)生產(chǎn)商對介質(zhì)保管

的要求；

5.并定期對介質(zhì)中的數(shù)據(jù)進(jìn)行轉(zhuǎn)存和驗證測試，防止由

于介質(zhì)老化、失效而導(dǎo)致的重要數(shù)據(jù)丟失；

6?各部門若需使用存儲介質(zhì)，需經(jīng)使用部門負(fù)責(zé)人審批

同意后由各部門管理員統(tǒng)一向后勤服務(wù)部消耗品管理員處

領(lǐng)用，在“計算機消耗品領(lǐng)用本”登記。各部門管理員統(tǒng)一

管理；

7.各部門內(nèi)部實行存儲介質(zhì)借用制度，由借用人填寫

“介質(zhì)借用/領(lǐng)用申請表”向部門管理員借用介質(zhì)，介質(zhì)使

用后應(yīng)及時歸還。各管理員應(yīng)做好相關(guān)的登記管理工作；

8.存儲介質(zhì)的保管工作必須符合國家相關(guān)管理制度。各

類存儲介質(zhì)如未經(jīng)批準(zhǔn)嚴(yán)禁由個人私自帶離開本單位外；

9.應(yīng)對重要介質(zhì)中的數(shù)據(jù)和軟件采取加密存儲，并根據(jù)

所承載數(shù)據(jù)和軟件的重要程度對介質(zhì)進(jìn)行分類和標(biāo)識管理；

10.非SM存儲介質(zhì)不得用于存儲SM信息，SM存儲介質(zhì)

也不得任意用作他途。SM存儲介質(zhì)不得在非密計算機上使用。

已定為SM存儲介質(zhì)的密級不可降低密級使用。

（三）介質(zhì)定期檢查

定期對存儲介質(zhì)進(jìn)行清點，收回不使用介質(zhì)，核對使用

人員登記。定期對移動存儲介質(zhì)進(jìn)行統(tǒng)一殺毒處理。

（四）介質(zhì)維修

介質(zhì)送出維修之前應(yīng)進(jìn)行申請審核，確保刪除敏感信息,

維修地點要送到專門的定點單位。如可能有敏感信息，維修

過程應(yīng)安排人員全程監(jiān)督。

（五）介質(zhì)的報廢

對存儲敏感信息的存儲介質(zhì)應(yīng)在指定地點，由指定人員

（并有人監(jiān)督）進(jìn)行安全的報廢和處置，以免敏感信息外泄。

磁帶可通過消磁或物理破壞的方式進(jìn)行處置，確保消除

磁帶上所存儲的敏感信息。

磁盤、U盤、硬盤、存貯卡等可通過專業(yè)軟件或多次格

式化進(jìn)行處置，或者采用物理方式進(jìn)行破壞。

光盤可通過物理方式進(jìn)行粉碎處理。

九、設(shè)備安全管理制度

（一）IT設(shè)備的購買

部門提交需求，經(jīng)單位領(lǐng)導(dǎo)批準(zhǔn)，根據(jù)年初預(yù)算指標(biāo)納

入財政預(yù)算計劃，經(jīng)信息中心審核、由后勤服務(wù)部報政府采

購辦公開招投標(biāo)采購。

（二）IT設(shè)備的登記及領(lǐng)用

1.所有采購來的IT設(shè)備，必須導(dǎo)入資產(chǎn)管理系統(tǒng)進(jìn)行

資產(chǎn)登記，記錄該設(shè)備的品牌、型號、詳細(xì)配置、保修期限

等，產(chǎn)生唯一資產(chǎn)編號，在設(shè)備上粘貼設(shè)備標(biāo)簽后，資產(chǎn)入

庫；

2.需使用IT設(shè)備的，應(yīng)由資產(chǎn)使用人提出資產(chǎn)領(lǐng)用申

請，經(jīng)部門負(fù)責(zé)人審批后，至資產(chǎn)管理員處辦理領(lǐng)用。資產(chǎn)

管理員在資產(chǎn)臺帳中記錄該資產(chǎn)的領(lǐng)用人，領(lǐng)用人在設(shè)備標(biāo)

簽上進(jìn)行簽字后，方能辦理資產(chǎn)出庫，交由領(lǐng)用人使用。

（三）IT設(shè)備的維護(hù)

1.各領(lǐng)用人為該IT設(shè)備的責(zé)任人，負(fù)責(zé)該IT設(shè)備的正

常使用，在設(shè)備發(fā)生問題時負(fù)責(zé)聯(lián)系相關(guān)部門進(jìn)行維修。如

因領(lǐng)用人責(zé)任造成該IT設(shè)備損壞，則領(lǐng)用人需照價賠償；

2.各領(lǐng)用人應(yīng)按照信息設(shè)備維護(hù)要求，對設(shè)備進(jìn)行維護(hù);

3.IT設(shè)備如需升級或維修，由領(lǐng)用人提出申請，經(jīng)主管

領(lǐng)導(dǎo)批準(zhǔn)后，進(jìn)行維修或升級；

4.送外單位維修的IT設(shè)備不得存儲內(nèi)部敏感信息。在

送修前應(yīng)由安全管理員對送修設(shè)備是否存有內(nèi)部敏感信息

進(jìn)行檢查。如有，應(yīng)先拆除硬盤等存儲部件，或使用信息清

除軟件對磁盤信息進(jìn)行徹底清除后，方能送修；

5.重要IT設(shè)備的維護(hù)人員在現(xiàn)場維護(hù)過程中，應(yīng)有市

**局系統(tǒng)運維管理部門人員在場，外部人員的訪問應(yīng)進(jìn)行登

記，必要時要求其簽署保密協(xié)議；

6.IT設(shè)備進(jìn)行升級或維修后，如設(shè)備配置進(jìn)行了變更,

則應(yīng)由資產(chǎn)領(lǐng)用人將最新設(shè)備配置報系統(tǒng)運維部門資產(chǎn)管

理員處進(jìn)行備案，以保證資產(chǎn)管理員處有最新的設(shè)備配置。

（四）IT設(shè)備的報廢

LIT設(shè)備確因設(shè)備老化、性能落后等原因，造成設(shè)備無

法繼續(xù)使用的，由資產(chǎn)管理員提出報廢申請，經(jīng)資產(chǎn)管理部

門負(fù)責(zé)人批準(zhǔn)后，實施報廢處理，并在資產(chǎn)清單中進(jìn)行記錄;

2.IT設(shè)備在報廢處理前，應(yīng)由安全管理員對其是否存有

內(nèi)部敏感信息進(jìn)行檢查。如有，應(yīng)對其存儲部件進(jìn)行消磁或

物理毀壞，確保不會因設(shè)備處置不當(dāng)造成泄密。

十、商用密碼產(chǎn)品使用管理制度

（一）商用密碼產(chǎn)品的選擇

1.選擇的商用密碼產(chǎn)品應(yīng)符合國家最新版本的商用密

碼通用產(chǎn)品名單。

2.選擇的經(jīng)銷商用密碼公司必須持有國家密碼管理委

員會及其辦公室發(fā)放的《商用密碼產(chǎn)品銷售許可證》，符合

《商用密碼管理條例》（國務(wù)院令273號）步列條例。

（二）商用密碼產(chǎn)品的使用

1.僅使用經(jīng)國家密碼管理委員會及其辦公室認(rèn)可的商

用密碼產(chǎn)品，嚴(yán)禁使用自行研制的或境外生產(chǎn)的密碼產(chǎn)品。

2.使用商用密碼產(chǎn)品的人員須對所接觸和掌握的商用

密碼技術(shù)承擔(dān)保密義務(wù)。

3.擅自使用密碼產(chǎn)品、泄漏商用密碼技術(shù)秘密、非法攻

擊商用密碼或者利用商用密碼從事危害國家安全和利益的

活動：a）情節(jié)嚴(yán)重的，構(gòu)成犯罪的，依法追究刑事責(zé)任；b）

尚不構(gòu)成犯罪的，由國家密碼管理委員會及其辦公室根據(jù)不

同情況分別會同國家安全機關(guān)或者保密部門沒收其使用的

商用密碼產(chǎn)品；c）有危害國家安全的行為，由國家安全機關(guān)

依法處以行政拘留，屬于國家工作人員的，并依法給予行政

處分。

4.上崗操作須經(jīng)培訓(xùn)考試合格后，方可實施操作活動,

嚴(yán)禁有違產(chǎn)品操作手將使用方法。

（三）商用密碼產(chǎn)品的報廢、銷毀

1.不得轉(zhuǎn)讓使用的商用密碼產(chǎn)品。

2.商用密碼產(chǎn)品發(fā)生故障，向國家密碼管理委員會及其

辦公室指定的單位維修；報廢、銷毀商用密碼產(chǎn)品須向國家

密碼管理委員會及其辦公室備案。

十一、網(wǎng)絡(luò)安全管理制度

（一）網(wǎng)絡(luò)安全規(guī)劃

系統(tǒng)運維管理部門在網(wǎng)絡(luò)系統(tǒng)規(guī)劃、升級、改造建設(shè)過

程中，應(yīng)組織相關(guān)人員對網(wǎng)絡(luò)建設(shè)方案進(jìn)行評審，使方案滿

足網(wǎng)絡(luò)安全管理要求。

（二）網(wǎng)絡(luò)接入控制

1.各科室對涉及到網(wǎng)絡(luò)變更方面的需求（如網(wǎng)絡(luò)結(jié)構(gòu)變

更、終端網(wǎng)絡(luò)需求變更（如Hub的接入））、非常規(guī)性網(wǎng)絡(luò)

訪問（如外來人員臨時性訪問），需向系統(tǒng)運維管理部門提

出書面申請，系統(tǒng)運維管理部門對變更申請進(jìn)行評審?fù)ㄟ^后,

方可進(jìn)行操作；

2.無線網(wǎng)絡(luò)由系統(tǒng)運維管理部門進(jìn)行統(tǒng)一部署和管理，

如其他部門（單位）需要接入無線網(wǎng)絡(luò)或部署無線網(wǎng)絡(luò)設(shè)備

時，需向系統(tǒng)運維管理部門提出申請，經(jīng)審批后方可接入；

3.系統(tǒng)運維管理部門負(fù)責(zé)網(wǎng)絡(luò)與其他外部單位網(wǎng)絡(luò)的

安全防護(hù)，在網(wǎng)絡(luò)邊界處采取安全措施進(jìn)行有效隔離防護(hù)，

并對違規(guī)行為進(jìn)行檢查和阻斷；

4,系統(tǒng)運維管理部門負(fù)責(zé)網(wǎng)絡(luò)的VLAN和安全域劃分，

不同業(yè)務(wù)應(yīng)用系統(tǒng)盡量安排在不通的安全域中，各VLAN和

安全域間應(yīng)采取有效的訪問控制措施；

5.系統(tǒng)運維管理部門對網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)設(shè)備之間的連接

線纜進(jìn)行標(biāo)識，重要網(wǎng)絡(luò)端口也須進(jìn)行詳細(xì)標(biāo)識。

（三）網(wǎng)絡(luò)安全審計

1.系統(tǒng)運維管理部門采取開啟網(wǎng)絡(luò)設(shè)備E志，記錄與網(wǎng)

絡(luò)安全相關(guān)的操作與活動，并定期對記錄進(jìn)行評審，將評審

結(jié)果進(jìn)行記錄；

2.日志保存時間應(yīng)至少保證在一個月以上；

3.系統(tǒng)運維管理部門在網(wǎng)絡(luò)關(guān)鍵位置采取網(wǎng)絡(luò)審計手

段，對網(wǎng)絡(luò)訪問操作行為進(jìn)行記錄，定期對記錄進(jìn)行評審,

將評審結(jié)果進(jìn)行記錄。

（四）網(wǎng)絡(luò)設(shè)備管理

1.系統(tǒng)運維管理部門制定網(wǎng)絡(luò)備份策略（如網(wǎng)絡(luò)配置備

份、硬件備份），并做好相應(yīng)備案；

2.系統(tǒng)運維管理部門每月對網(wǎng)絡(luò)配置、網(wǎng)絡(luò)設(shè)備日志進(jìn)

行備份，并做好備份記錄；

3.系統(tǒng)運維管理部門做好網(wǎng)絡(luò)配置、網(wǎng)絡(luò)設(shè)備日志及網(wǎng)

絡(luò)設(shè)備備件的保存與管理，保證備份的安全性；

4.系統(tǒng)運維管理部門定期對配置備份及設(shè)備備件進(jìn)行

測試，保證其可用性，并對測試結(jié)果進(jìn)行記錄；

5.根據(jù)廠家提供的軟件升級版本對網(wǎng)絡(luò)設(shè)備進(jìn)行更新,

并在更新前對現(xiàn)有的重要文件進(jìn)行備份；

6.建立日志服務(wù)器，保存日志時間要求超過6個月；

7.定期對設(shè)備口令進(jìn)行更新。

（五）網(wǎng)絡(luò)安全檢查

1.系統(tǒng)運維管理部門制定詳細(xì)的網(wǎng)絡(luò)檢查項目，負(fù)責(zé)進(jìn)

行網(wǎng)絡(luò)系統(tǒng)運行的日常檢查工作，將檢查結(jié)果進(jìn)行記錄。檢

查內(nèi)容參考《安全檢查表》；

2.系統(tǒng)運維管理部門定期對網(wǎng)絡(luò)設(shè)備配置進(jìn)行檢查和

評估，確保網(wǎng)絡(luò)配置與安全策略保持一致，并對檢查結(jié)果進(jìn)

行記錄；

3.定期對網(wǎng)絡(luò)系統(tǒng)進(jìn)行漏洞掃描，對發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安

全漏洞進(jìn)行及時的修補。

（六）網(wǎng)絡(luò)訪問控制

1.系統(tǒng)運維管理部門制定網(wǎng)絡(luò)訪問控制策略，并做好相

應(yīng)備案；

2.訪問控制策略內(nèi)容應(yīng)包括：

0根據(jù)業(yè)務(wù)、管理等情況，對不同的部門接入進(jìn)行劃

分

0明確各部門只能訪問被允許訪問的網(wǎng)絡(luò)和網(wǎng)絡(luò)服

務(wù)

0規(guī)定各部門訪問網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)使用的手段（如，

撥號、VPN等）

3.系統(tǒng)運維管理部門制定遠(yuǎn)程設(shè)備維護(hù)的管理職責(zé)與

制度，交網(wǎng)絡(luò)信息安全管理員備案，以保證遠(yuǎn)程維護(hù)人員的

操作符合網(wǎng)絡(luò)信息安全管理策略，防止由于疏忽、密碼賬戶

泄漏造成未授權(quán)訪問連接網(wǎng)絡(luò)設(shè)備與服務(wù)器；

4.系統(tǒng)運維管理部門應(yīng)確保維護(hù)廠商的遠(yuǎn)程維護(hù)連接

只允許訪問指定的設(shè)備和服務(wù)，由系統(tǒng)運維部門負(fù)責(zé)審批、

開啟和關(guān)閉，保持每次遠(yuǎn)程連接記錄備查，并對遠(yuǎn)程訪問帳

號定期進(jìn)行審核；

5.系統(tǒng)運維管理部門對遠(yuǎn)程診斷和配置端口采取技術(shù)

手段與管理措施進(jìn)行俁護(hù)，如無必要，禁止使用遠(yuǎn)程診斷和

配置端口;

6.系統(tǒng)運維管理部門應(yīng)對遠(yuǎn)程用戶進(jìn)行身份鑒別（如回

撥程序、證書、密鑰、口令等），若系統(tǒng)的遠(yuǎn)程訪問無法提

供用戶鑒別措施時，禁止使用遠(yuǎn)程訪問功能。

（七）網(wǎng)絡(luò)服務(wù)安全

1.系統(tǒng)運維管理部門在制定的所有網(wǎng)絡(luò)服務(wù)協(xié)議中，必

須包括網(wǎng)絡(luò)的安全特性、服務(wù)級別以及所有網(wǎng)絡(luò)服務(wù)的管理

要求等內(nèi)容；

2.在網(wǎng)絡(luò)服務(wù)過程中，系統(tǒng)運維管理部匚應(yīng)根據(jù)網(wǎng)絡(luò)服

務(wù)協(xié)議中規(guī)定的安全條款、安全特性、服務(wù)級別管理等要求

對服務(wù)提供商的服務(wù)進(jìn)行定期評審和監(jiān)督。

十二、系統(tǒng)安全管理制度

（一）系統(tǒng)維護(hù)管理

1.系統(tǒng)運維管理部門的操作人員上崗前必須經(jīng)過上崗

前的專業(yè)知識培訓(xùn)，包括專門的網(wǎng)絡(luò)信息安全培訓(xùn)，能正確

地執(zhí)行本崗位操作工作；

2.重要信息系統(tǒng)的操作和系統(tǒng)運行維護(hù)保養(yǎng)手冊應(yīng)作

為工作秘密由各部門加以保護(hù)，由系統(tǒng)運維管理部門存檔,

根據(jù)“責(zé)任分割”的原則，各崗位操作人員只能得到操作手

冊的相關(guān)部分，并要求其妥善保管。操作手冊更新后，由系

統(tǒng)運維管理部門發(fā)到相關(guān)部門，同時回收舊版本，確保崗位

操作人員得到最新和正確的操作手冊；

3,定期對系統(tǒng)使用中的網(wǎng)絡(luò)信息安全管理情況進(jìn)行檢

查，檢查內(nèi)容參加《網(wǎng)絡(luò)信息安全檢查細(xì)則》；

4.在制定的所有系統(tǒng)外包服務(wù)協(xié)議中，必須包括網(wǎng)絡(luò)的

安全特性、服務(wù)級別以及所有系統(tǒng)服務(wù)的管理要求等內(nèi)容;

5.在系統(tǒng)服務(wù)過程中，應(yīng)根據(jù)系統(tǒng)服務(wù)協(xié)議中規(guī)定的安

全條款、安全特性、服務(wù)級別管理等要求對服務(wù)提供商的服

務(wù)進(jìn)行定期評審和監(jiān)督；

6.系統(tǒng)運維管理部門應(yīng)對系統(tǒng)中運行的軟件版本進(jìn)行

嚴(yán)格控制，對系統(tǒng)軟件版本升級、補丁更新、安全加固等活

動組織評審和測試，防止因上述變更影響到應(yīng)用系統(tǒng)的正常

運行；

7.定期對系統(tǒng)進(jìn)行漏洞掃描，對發(fā)現(xiàn)的系統(tǒng)安全漏洞及

時進(jìn)行修補。

（二）系統(tǒng)訪問控制

由系統(tǒng)運維管理部門基于業(yè)務(wù)和訪問的安全要求，建立

各應(yīng)用系統(tǒng)的訪問控制策略，作為系統(tǒng)維護(hù)保養(yǎng)手冊的一部

分。

1.訪問控制策略應(yīng)考慮到下列內(nèi)容：

0各個業(yè)務(wù)應(yīng)用的安全要求

0業(yè)務(wù)應(yīng)用中工作角色和用戶訪問需求

0網(wǎng)絡(luò)環(huán)境中的訪問權(quán)限的管理要求

0訪問控制角色的分離，例如訪問請求、訪問授權(quán)、

訪問管理

0用戶訪問請求的正式授權(quán)管理要求

0用戶訪問控制的定期檢查與評審要求

0用戶訪問權(quán)的取消

2.系統(tǒng)運維管理部門基于訪問控制策略，對操作系統(tǒng)的

登錄程序加以控制：

0不顯示系統(tǒng)或應(yīng)用標(biāo)識符，直到登錄過程已成功完

成為止

0顯示只有已授權(quán)的用戶才能訪問計算機的告警通

知

0在登錄過程中，不提供對未授權(quán)用戶的幫助消息

0限制所允許的不成功登錄嘗試的次數(shù)

0記錄不成功的嘗試和成功的嘗試

0如果達(dá)到登錄的最大嘗試次數(shù)，向系統(tǒng)控制臺發(fā)送

警報消息

3.系統(tǒng)管理員應(yīng)限制用戶對應(yīng)用系統(tǒng)遠(yuǎn)程訪問的范圍

和內(nèi)容，在遠(yuǎn)程訪問過程結(jié)束后應(yīng)確保斷開連接；

4.系統(tǒng)管理員負(fù)責(zé)記錄用戶遠(yuǎn)程訪問操作過程，包括訪

問時間、連接方式、訪問用戶、操作過程等。

（三）系統(tǒng)用戶安全管理

L系統(tǒng)用戶注冊與注銷程序：

0在服務(wù)器和系統(tǒng)進(jìn)行安裝時，要改變默認(rèn)的操作系

統(tǒng)管理員賬號名稱和數(shù)據(jù)庫賬號名稱

0新用戶注冊時，由用戶所在部門填寫《系統(tǒng)接入申

請表》，并報相關(guān)系統(tǒng)管理員審核

0系統(tǒng)管理員應(yīng)檢查所授予的訪問級別是否與業(yè)務(wù)

目的相適合，是否與組織的安全方針保持一致，例如，它沒

有違背責(zé)任分割原則

0如申請不符合業(yè)務(wù)要求，則不予批準(zhǔn)，如符合要求,

由系統(tǒng)管理員根據(jù)《系統(tǒng)接入申請表》，在系統(tǒng)中建立唯一

用戶ID

0當(dāng)用戶的工作角色或崗位發(fā)生變更，或離職時，員

工所在單位（部門）應(yīng)立刻填寫《系統(tǒng)接入申請表》，并報

相關(guān)系統(tǒng)管理員批準(zhǔn)；系統(tǒng)管理員根據(jù)新的《辦公系統(tǒng)接入

申請表》取消或封鎖該用戶的訪問權(quán)

0各信息系統(tǒng)管理人員負(fù)責(zé)定期（每月）檢查并取消

或封鎖多余的用戶ID和帳號，確保多余的用戶ID不會發(fā)給

其他用戶

2,系統(tǒng)用戶標(biāo)識和鑒別：

0所有用戶擁有唯一指定標(biāo)識，如員工工號

0用戶ID是應(yīng)用系統(tǒng)中用戶唯一的、專供其使用的

標(biāo)識符，系統(tǒng)管理員應(yīng)配置系統(tǒng)，使用戶的各個活動能追蹤

到責(zé)任者

0當(dāng)需要采用一組用戶或一項特定作業(yè)使用一個共

享用戶ID時，應(yīng)遵照組ID管理進(jìn)行控制，具體參見“用戶

注冊及注銷程序”的組ID條款

3,系統(tǒng)用戶口令管理：

0在用戶初次使用應(yīng)用系統(tǒng)時，系統(tǒng)管理員應(yīng)提供給

一個安全的臨時口令，并強制其立即修改；臨時口令應(yīng)以安

全的方式給予用戶，不得使用第三方或未保護(hù)的（明文）電

子郵件消息

0系統(tǒng)管理員應(yīng)對用戶口令設(shè)置進(jìn)行指導(dǎo)和要求，如

口令長度和復(fù)雜性、定期更換等

0系統(tǒng)管理員應(yīng)確保口令不以未保護(hù)的形式存儲在

計算機系統(tǒng)內(nèi)

0各系統(tǒng)管理員應(yīng)在系統(tǒng)或軟件安裝后改變提供商

的默認(rèn)口令

4.各信息系統(tǒng)管理人員根據(jù)已審核批準(zhǔn)的《系統(tǒng)接入申

請表》為用戶進(jìn)行正確的授權(quán)，使得用戶與其行為相連接

5.特殊權(quán)限管理應(yīng)遵守用戶注冊和注銷管理程序的規(guī)

定，特殊權(quán)限包括操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)和每個應(yīng)用程

序，特殊權(quán)限應(yīng)被分配一個不同于正常業(yè)務(wù)住途所用的用戶

ID

（四）系統(tǒng)審計

1.系統(tǒng)日志包含的內(nèi)容:

0用戶ID

0日期、時間和關(guān)鍵事件的細(xì)節(jié)，例如登錄和退出

0終端身份或位置

0成功的和被拒絕的對系統(tǒng)嘗試訪問的記錄

0成功的和被7巨絕的對數(shù)據(jù)以及其他資源嘗試訪問

的記錄

0系統(tǒng)配置的變化

0特殊權(quán)限的使用

0系統(tǒng)實用工具和應(yīng)用程序的使用

0訪問的文件和訪問類型

0網(wǎng)絡(luò)地址和協(xié)議

0訪問控制系統(tǒng)引發(fā)的警報

0防惡意代碼系統(tǒng)等防護(hù)設(shè)施的激活和停用

2?各系統(tǒng)管理員必須將系統(tǒng)所有服務(wù)器、應(yīng)用軟件等等

系統(tǒng)審核、帳號審核和應(yīng)用審核的日志系統(tǒng)的功能打開，如

有警報其功能也必須打開；

3.日志必須保存一定的期限，任何個人和部門不得以任

何理由刪除保存期之內(nèi)的日志；

4.日志必須由系統(tǒng)管理員定期檢查，特權(quán)使用、非授權(quán)

訪問、系統(tǒng)故障和異常等條目必須進(jìn)行評審，以查找影響網(wǎng)

絡(luò)信息安全的風(fēng)險來源和事實；

5.各系統(tǒng)維護(hù)部門負(fù)責(zé)人應(yīng)定期評審系統(tǒng)管理員和系

統(tǒng)操作員的活動日志;

6.各系統(tǒng)維護(hù)部門確保入侵檢測系統(tǒng)和安全審計系統(tǒng)

處于啟動狀態(tài)，日志需保存一定期限，定期評審異常事件,

對所有可疑或經(jīng)確認(rèn)的入侵行為或入侵企圖需及時匯報并

采取相應(yīng)的響應(yīng)措施；

7.系統(tǒng)運維部門負(fù)責(zé)記錄、分析故障日志，并對其采取

適當(dāng)?shù)拇胧?/p>

8,系統(tǒng)運維部門負(fù)責(zé)評審故障日志，以確保已滿意地解

決故障；

9.系統(tǒng)運維管理部門負(fù)責(zé)評審糾正措施，以確保沒有危

及控制措施的安全，以及所采取的措施給予了充分授權(quán)。

（五）監(jiān)視系統(tǒng)的使用

各系統(tǒng)維護(hù)部門建立信息處理設(shè)施的監(jiān)視使用程序，并

定期評審監(jiān)視活動的結(jié)果。各個設(shè)施的監(jiān)視級別由風(fēng)險評估

決定。要考慮的監(jiān)視范圍包括：

1.授權(quán)訪問的細(xì)節(jié)：

0用戶ID

0關(guān)鍵事件的日期和時間

0事件類型

0訪問的文件

0使用的程序/工具

2.所有特殊權(quán)限操作：

0特殊權(quán)限帳戶的使用，例如監(jiān)督員、根用戶、管理

員

0系統(tǒng)的啟動和終止

0I/O設(shè)備的裝配/拆卸

3.未授權(quán)的訪問嘗試：

0失敗的或被拒絕的用戶活動

0失敗的或被拒絕的涉及數(shù)據(jù)和其他資源的活動

0違反訪問策略或網(wǎng)關(guān)和防火墻的通知

0私有入侵檢測系統(tǒng)的警報

4.系統(tǒng)警報或故障：

0控制臺警報或消息

0系統(tǒng)日志異常

0網(wǎng)絡(luò)管理警報

0訪問控制系統(tǒng)引發(fā)的警報

5.改變或企圖改變系統(tǒng)的安全設(shè)置和控制措施的活動

（六）系統(tǒng)備份

L系統(tǒng)運維部門制定系統(tǒng)備份策略，包括系統(tǒng)配置備份

和設(shè)備備份，并做好相應(yīng)備案；

2.系統(tǒng)運維部門艱據(jù)系統(tǒng)備份策略定期做好系統(tǒng)配置

備份和系統(tǒng)設(shè)備備份，并做好備份記錄；

3.系統(tǒng)運維部門做好系統(tǒng)配置及設(shè)備備份的保存與管

理，保證備份的安全性；

4.系統(tǒng)運維部門定期對配置備份及設(shè)備備份進(jìn)行測試,

保證系統(tǒng)備份的可用性，并對測試結(jié)果進(jìn)行記錄。

十三、惡意代碼防范管理制度

（一）職責(zé)

建立防殺計算機惡意代碼的責(zé)任制。

網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)小組辦公室

1.負(fù)責(zé)建立網(wǎng)絡(luò)計算機防惡意代碼體系；

2.負(fù)責(zé)防惡意代碼系統(tǒng)等安全措施的統(tǒng)一規(guī)劃、部署與

升級。

網(wǎng)絡(luò)信息安全管理職能部門

1.負(fù)責(zé)開展技術(shù)培訓(xùn)；

2.負(fù)責(zé)防惡意代碼系統(tǒng)的統(tǒng)一升級；

3.負(fù)責(zé)各、系統(tǒng)的補丁升級、軟件升級和分發(fā)；

4.負(fù)責(zé)配置防惡意代碼系統(tǒng)策略，定期對系統(tǒng)惡意代碼

進(jìn)行掃描，并組織相關(guān)部門進(jìn)行惡意代碼查殺；

5.負(fù)責(zé)組織相關(guān)部門分析惡意代碼事件的來源等詳細(xì)

情況，編寫《網(wǎng)絡(luò)信息安全事件分析報告》，并備案。

（二）防惡意代碼系統(tǒng)的規(guī)劃與部署

1.每臺接入業(yè)務(wù)內(nèi)網(wǎng)或外網(wǎng)（互聯(lián)網(wǎng)）的計