《單位內(nèi)部網(wǎng)絡(luò)信息安全制度匯編（試行）》

目錄

一、相關(guān)術(shù)語......................................................12

1、縮寫...........................................................12

2、制度適用范圍：.................................................12

3、術(shù)語定義.......................................................12

一、網(wǎng)絡(luò)信息安全總體策略.........................................15

第一章總則.......................................................15

第二章術(shù)語定義...................................................15

第三章組織職責...................................................15

第四章管理原則...................................................16

第五章總體目標...................................................16

第六章安全框架...................................................16

第七章策略制定與維護............................................18

二、信息等級保護體系制定和發(fā)布管理規(guī)定..........................20

第一章總則.......................................................20

第二章職責.......................................................20

第五章文件起草...................................................21

第六章文件評審...................................................23

第七章文件發(fā)布...................................................24

附錄一、（XX市民政局）管理制度發(fā)布記錄表........................25

三、等級保護體系評審和修訂管理規(guī)定..............................26

第一章總則...................................................26

第二章評審程序...............................................26

第三章修訂程序...............................................27

四、信息安全管理組織架構(gòu)......................................29

第一章總則...................................................29

第二章組織目標...............................................29

第三章信息安全組織架構(gòu).......................................29

第四章組織的信息安全職責描述.................................30

五、信息系統(tǒng)安全檢查管理規(guī)定..................................33

第一章總則...................................................33

第二章適用范圍...............................................33

第三章術(shù)語定義...............................................33

第四章組織職責...............................................33

第五章通用要求...............................................34

第六章安全檢查準備...........................................34

第七章安全檢查報告...........................................35

第八章安全檢查整改...........................................35

第九章檢查工具的使用.........................................35

附錄一：安全檢查情況匯總表...................................37

附錄二：信息系統(tǒng)安全檢查表...................................38

六、信息安全組織架構(gòu)與崗位職責................................42

第一章總則...................................................42

第二章信息化領(lǐng)導小組.........................................42

七、人員管理制度..............................................46

第一章總則...................................................46

第二章術(shù)語定義...............................................46

第三章組織職責...............................................46

第四章入職管理...............................................46

第五章在崗管理...............................................47

第六章紀律處理過程..........................................48

第七章調(diào)動管理...............................................48

第八章離崗管理...............................................49

八、網(wǎng)絡(luò)安全培訓和考核管理規(guī)定................................50

第一章總則...................................................50

第二章組織職責...............................................50

第三章安全培訓管理程序.......................................51

第五章安全考核管理程序......................................52

九、第三方機構(gòu)安全管理規(guī)定....................................53

第一章總則...................................................53

第二章術(shù)語定義...............................................53

第三章組織職責...............................................53

第五章駐場外包人員安全管理要求...............................53

第六章臨時來訪人員安全管理要求...............................55

第七章外包服務質(zhì)量考核與評價................................55

第八章外包人員離場安全要求...................................55

十、計算機及網(wǎng)絡(luò)保密規(guī)定......................................57

十一、信息系統(tǒng)測試管理辦法....................................59

第一章總則...................................................59

第二章測試組工作職責.........................................59

第三章新業(yè)務系統(tǒng)上線測試管理辦法.............................61

第四章常規(guī)版本升級測試管理辦法...............................63

十二、信息安全建設(shè)管理規(guī)定....................................65

第一章總則...................................................65

第二章適用范圍...............................................65

第三章組織職責...............................................65

第四章系統(tǒng)定級...............................................66

第五章安全檢查報告...........................................67

第六章系統(tǒng)建設(shè)...............................................67

第七章系統(tǒng)備案...............................................68

第八章系統(tǒng)測評...............................................69

第九章系統(tǒng)終止...............................................70

附錄一、系統(tǒng)安全設(shè)計方案評審表................................71

附錄二、系統(tǒng)測試驗收評審表....................................72

附錄三、系統(tǒng)轉(zhuǎn)移、終止或廢棄申請表............................74

十三、項目管理規(guī)定............................................76

第一章總則...................................................76

第二章適用范圍...................................................76

第三章職責與權(quán)限................................................76

第四章項目立項...................................................77

第五章項目計劃...................................................78

第六章項目實施...................................................78

第七章項目監(jiān)控...................................................78

第八章項目收尾...................................................79

十四、工作環(huán)境管理規(guī)定...........................................80

第一章總則.......................................................80

第二章適用范圍...................................................80

第三章術(shù)語定義...................................................80

第四章辦公區(qū)域訪問控制..........................................80

第五章辦公環(huán)境安全..............................................81

第七章辦公用計算機安全..........................................82

第八章監(jiān)督和檢查................................................85

十五、信息系統(tǒng)資產(chǎn)管理規(guī)定.......................................87

第一章總則.......................................................87

第二章適用范圍...................................................87

第三章術(shù)語定義...................................................87

第四章職責.......................................................87

第五章資產(chǎn)分類...................................................87

第六章資產(chǎn)分級...................................................88

第七章信息資產(chǎn)標識..............................................89

第八章信息資產(chǎn)維護..............................................90

第九章閑置報廢資產(chǎn)管理..........................................90

附錄一、（XX市民政局）KXXX系統(tǒng)信息資產(chǎn)清單.....................93

十六、存儲介質(zhì)管理規(guī)定...........................................94

第一章總則.......................................................94

第二章適用范圍...................................................94

第三章術(shù)語定義...................................................94

第四章組織職責...................................................94

第五章存儲介質(zhì)標識..............................................94

第六章存儲介質(zhì)訪問..............................................95

第七章存儲介質(zhì)保管..............................................95

第八章介質(zhì)維修...................................................96

第九章存儲介質(zhì)銷毀..............................................96

附錄一、存儲介質(zhì)清單.............................................97

附錄二、存儲介質(zhì)銷毀申請表.......................................98

十七、信息系統(tǒng)運維監(jiān)控管理規(guī)定..................................99

第一章總則.......................................................99

第二章適用范圍...................................................99

第三章術(shù)語定義...................................................99

第四章組織職責...................................................99

第五章監(jiān)控管理要求.............................................100

第六章運維監(jiān)控工作流程.........................................101

十八、網(wǎng)絡(luò)系統(tǒng)運行管理規(guī)定......................................103

第一章總則......................................................103

第二章組織職責..................................................103

第三章網(wǎng)絡(luò)資源的數(shù)據(jù)管理.......................................103

第四章網(wǎng)絡(luò)資源的申請...........................................104

第五章網(wǎng)絡(luò)資源的使用...........................................104

第六章網(wǎng)絡(luò)資源的建設(shè)...........................................105

第七章網(wǎng)絡(luò)資源的變更..........................................106

第八章網(wǎng)絡(luò)故障處理............................................106

十九、系統(tǒng)帳號權(quán)限管理規(guī)定......................................107

第一章總則......................................................107

第二章適用范圍..................................................107

第三章術(shù)語定義..................................................107

第四章組織職責..................................................108

第五章通用原則..................................................108

第六章特權(quán)帳號管理.............................................109

第七章普通帳號管理.............................................110

第八章口令管理..................................................110

第九章檢查監(jiān)督..................................................111

附錄一、（XX市民政局）業(yè)務系統(tǒng)臨時帳戶申請表..................112

附錄二、（XX市民政局）業(yè)務系統(tǒng)帳戶清單.........................113

二十、補丁管理規(guī)定..............................................114

第一章總則......................................................114

第二章適用范圍..................................................114

第三章術(shù)語定義..................................................114

第四章組織職責..................................................114

第五章補丁獲取..................................................115

第六章補丁測試..................................................115

第七章補丁驗證和歸檔...........................................116

附錄一業(yè)務系統(tǒng)補丁安裝登記表...................................118

二十一、信息系統(tǒng)日志管理規(guī)定....................................119

第一章總則......................................................119

第二章適用范圍..................................................119

第三章術(shù)語定義..................................................119

第四章組織職責..................................................119

第五章通用要求..................................................119

第六章主機系統(tǒng)日志管理.........................................120

第七章業(yè)務系統(tǒng)日志管理.........................................121

第八章設(shè)備日志管理.............................................121

二十二、防病毒管理規(guī)定..........................................123

第一章總則......................................................123

第二章適用范圍..................................................123

第三章術(shù)語定義..................................................123

第四章組織職責..................................................123

第五章防計算機病毒目的.........................................124

第六章防病毒管理內(nèi)容...........................................125

第七章防病毒應用規(guī)定...........................................126

第八章懲罰制度..................................................126

附件:病毒事件報告表............................................127

二十三、信息安全密碼使用管理規(guī)定...............................129

第一章總則......................................................129

第二章帳號設(shè)立要求.............................................129

第四章口令設(shè)立要求.............................................130

第五章變更與取消要求...........................................131

第六章維護要求..................................................133

第七章流程管理要求.............................................135

二十四、變更管理規(guī)定............................................138

第一章總則......................................................138

第二章適用范圍..................................................138

第三章術(shù)語定義..................................................138

第四章組織職責..................................................139

第五章變更申請..................................................139

第六章變更受理..................................................140

第七章變更方案制訂.............................................140

第八章變更審批..................................................141

第九章變更實施..................................................141

第十章變更匯總..................................................143

第十一章緊急變更................................................144

附錄一變更申請單..............................................145

二十五、備份與恢復管理規(guī)定......................................148

第一章總則......................................................148

第二章術(shù)語定義..................................................148

第三章職責......................................................148

第四章備份管理..................................................148

第五章備份介質(zhì)管理.............................................151

第六章備份恢復管理.............................................152

附錄一:業(yè)務系統(tǒng)備份數(shù)據(jù)清單....................................154

二十六、安全事件管理規(guī)定........................................161

第一章總則......................................................161

第二章適用范圍..................................................161

第三章術(shù)語定義..................................................161

第四章組織職責..................................................161

第五章事件分類..................................................162

第六章事件分級..................................................164

第七章事件監(jiān)控..................................................165

第八章事件受理..................................................165

第九章事件處置..................................................165

附錄一、信息安全異?，F(xiàn)象報告....................................169

附錄二、信息安全事件報告........................................170

二十七、應急預案管理規(guī)定........................................173

二十八、軟件管理辦法............................................176

第一章總則......................................................176

第二章適用范圍..................................................176

第三章職責與權(quán)限................................................176

第四章軟件管理..................................................176

第五章軟件外包開發(fā).............................................177

第六章軟件使用..................................................177

二十九、信息交付管理規(guī)定........................................178

第一章總則......................................................178

第二章安全交付規(guī)范.............................................179

第三章人員安全管理.............................................182

附件安全系統(tǒng)交付清單.........................................182

相關(guān)術(shù)語

1、縮寫

原名稱縮寫名稱備注

2、制度適用范圍:

適用于（XX市民政局）各部門，包括系統(tǒng)維護管理人員、網(wǎng)絡(luò)、

服務器、終端、設(shè)備、信息系統(tǒng)的專用設(shè)備以及物理環(huán)境等

3、術(shù)語定義

（一）安全策略：是綱領(lǐng)性的安全策略主文檔，描述（XX市民政

局）業(yè)務安全目標和管理層意圖、支持目標加指導原則，是

信息安全實踐的根本性和指導性的文件。

（二）信息安全等級保護管理體系是指依據(jù)國家信息安全等級保

護的要求建立的系統(tǒng)內(nèi)進行信息安全管理的制度、方針、策

略、流程、指南、記錄等管理方面的規(guī)章制度集合。

（三）信息安全等級保護管理體系是指依據(jù)國家信息安全等級保

護的要求建立的系統(tǒng)內(nèi)進行信息安全管理的制度、方針、策

略、流程、指南、記錄等管理方面的規(guī)章制度集合。

（四）安全檢查：指單位內(nèi)部或外部機構(gòu)對信息安全整體執(zhí)行情

況進行的評價活動。安全檢查的依據(jù)是單位現(xiàn)行的管理制度、

信息系統(tǒng)安全體系規(guī)范和技術(shù)標準、有關(guān)法律、法規(guī)和標準

要求等安全檢查包括安全例行檢查、安全專項檢查等。

（五）安全例行檢查：指按照已制定的檢查周期所作的檢查。

（六）安全專項抽查：指根據(jù)單位、監(jiān)管機構(gòu)或相關(guān)部門要求的

安全運行狀況所作的不定期的抽查。

（七）本單位員工是指單位正式員工，包括試用期員工和借調(diào)人

員等。

（A）第三方機構(gòu)是指所有進入（XX市民政局）內(nèi)部提供相關(guān)技

術(shù)服務的非（XX市民政局）單位（包括但不限于供應商、合

作廠商、服務商）。第三方人員分為臨時來訪人員和駐場外包

人員。臨時來訪的第三方人員是指來（XX市民政局）時間周

期較短的人員，包括進行業(yè)務交流的人員，臨時來訪參觀的

人員等；駐場外包的第三方人員是指來訪時間較長的第三方

技術(shù)服務人員，包括項目建設(shè)人員，外來信息系統(tǒng)職守人員，

外來信息系統(tǒng)維護人員等。

（九）存儲介質(zhì)：指用于單位計算機系統(tǒng)相關(guān)業(yè)務的電子信息輸

出、存放的物理介質(zhì)、可移動和不可移動的磁盤、光盤、硬

盤、磁盤陣列等。

（十）帳號是指每個可訪問系統(tǒng)資源的用戶在系統(tǒng)中的標識，可

分為應用系統(tǒng)帳號、操作系統(tǒng)帳號和數(shù)據(jù)庫帳號等。

（十一）訪問權(quán)限是指帳號被賦予的可以訪問系統(tǒng)資源和使用

系統(tǒng)功能的權(quán)利。

（十二）超級管理員帳號/特權(quán)帳號：指對系統(tǒng)具有超級權(quán)限的

帳號，包含但不限于UNIX/Linux的root,WINNT的

administrators紐成員，數(shù)據(jù)庫的DBA等用戶<>

（十三）普通帳號：用戶用于維護或訪問系統(tǒng)，實現(xiàn)日常操作的

帳號，是最為常見的用戶類型。

（十四）補丁是針對某一個具體的系統(tǒng)漏洞或安全問題而發(fā)布

的專門解決該漏洞或安全問題的小程序，通常稱為修補程序。

（十五）日志包括各業(yè)務系統(tǒng)中存儲的主機系統(tǒng)日志、設(shè)備日志

和業(yè)務系統(tǒng)日志等基礎(chǔ)環(huán)境日志

（十六）計算機病毒：計算機病毒是人為蓄意編制的一種寄生性

的計算機程序。它能在計算機系統(tǒng)中生存，通過自我復制來

傳播，在一定條件下即被激活，從而給計算機系統(tǒng)造成一定

損害甚至嚴重破壞，有些病毒還能竊取計算機設(shè)備中的重要

信息

（十七）信息安全事件是指由于自然或者人為以及軟硬件本身

缺陷或故障的原因，對信息系統(tǒng)造成危害，或?qū)ι鐣斐韶?/p>

面影響的事件

一、網(wǎng)絡(luò)信息安全總體策略

第一章總則

第一條為了加強（XX市民政局）信息系統(tǒng)的網(wǎng)絡(luò)安全管理，明確（XX

市民政局）網(wǎng)絡(luò)安全管理的總目標和總方向，保護（XX市民政局）系統(tǒng)自

有的信息系統(tǒng)資產(chǎn)，積極預防安全事件的發(fā)生，使安全事件的影響最小化，

特制定本策略文件。

第二章術(shù)語定義

第二條安全策略：是綱領(lǐng)性的安全策略主文檔，描達（XX市民政局）信

息系統(tǒng)業(yè)務安全目標和管理層意圖、支持目標和指導原則，是網(wǎng)絡(luò)安全實

踐的根本性和指導性的文件。

第三章組織職責

第三條單位組建網(wǎng)絡(luò)安全與信息化領(lǐng)導小組，負責批準網(wǎng)絡(luò)安全策略文

件并且保證本文件被執(zhí)行，同時負責對（XX市民政局）系統(tǒng)網(wǎng)絡(luò)安全方面

的指導方向、安全建設(shè)等重大問題做出決策，協(xié)調(diào)各部門安全協(xié)同工作，

支持和推動網(wǎng)絡(luò)安全工作在整個單位實施。

第四條單位組建網(wǎng)絡(luò)安全等級保護工作小組，負責具體執(zhí)行安全管理策

略文件的建立、實施、運作、監(jiān)控、評審、維護和改進工作。

第五條單位所有員工有責任了解自身在單位信息安全、網(wǎng)絡(luò)安全方面的

職責，并按照網(wǎng)絡(luò)安全與信息化領(lǐng)導小組的指示，認真執(zhí)行相關(guān)要求。

KLSDJFDJSFKDJFLFJUFKLFJDKSLFJDSKFJSDKFJDSL

第四章管理原則

第六條網(wǎng)絡(luò)安全管理工作實行“積極防范、突出重點、職責到位、保障

業(yè)務”和“誰主管、誰負責、誰運營、誰負責”的管理原則。

第五章總體目標

第七條遵守國家相關(guān)法律法規(guī)，結(jié)合（XX市民政局）實際情況，依據(jù)現(xiàn)

有管理和文化體系，逐步建設(shè)一套適用的、先進的網(wǎng)絡(luò)安全管理體系，更

好地保障（XX市民政局）網(wǎng)站、社管平臺等重要信息系統(tǒng)安全、穩(wěn)定的向

社會公眾提供服務，并滿足單位不斷發(fā)展的業(yè)務需求。

第六章安全框架

第八條安全管理制度

（一）逐步完善由安全策略、管理制度、操作規(guī)程組成的網(wǎng)絡(luò)安全管理體

系。

（二）網(wǎng)絡(luò)安全策略文件應由管理層審核批準，并公布與傳達給單位所有

人員以及同本單位有業(yè)務往來的第三方機構(gòu)。網(wǎng)絡(luò)安全策略文件在規(guī)劃

期間內(nèi)或有重大變更發(fā)生時需通過管理層的審查及修訂。

第九條安全管理機構(gòu)

（一）必須建立網(wǎng)絡(luò)安全管理組織，以滿足網(wǎng)絡(luò)安全管理體系持續(xù)運行的

目標。

（二）加強與第三方機構(gòu)的溝通和合作，及時獲取相關(guān)信息。

KLSDJFDJSFKDJFLFJUFKLFJDKSLFJDSKFJSDKFJDSL

（三）必須建立安全檢查機制，定期對信息系統(tǒng)進行安全檢查。

（四）加強人員錄用和離崗過程的安全管理，并定期對所有人員進行安全

培訓和考核，加強安全意識。

（五）對所有操作或訪問信息資產(chǎn)的第三方機構(gòu)，必須向其闡明相關(guān)的責

任要求，并明確告知其有責任恰當?shù)厥褂煤捅Ｗo這些信息資產(chǎn)。

第十條系統(tǒng)建設(shè)

（一）系統(tǒng)建設(shè)初期必須根據(jù)系統(tǒng)定級情況進行安全方案設(shè)計，對可行性

進行論證。

（二）確保安全和密碼產(chǎn)品采購和使用符合國家的有關(guān)規(guī)定；并只能選擇

滿足條件的安全服務商。

（三）確保在系統(tǒng)的開發(fā)與維護過程中，相關(guān)的安全功能和需求已被嵌入

到系統(tǒng)內(nèi)。在開發(fā)新系統(tǒng)時，安全功能應包含在初妗的系統(tǒng)分析與需求

描述中。這些描述必須包括自動的和手動的安全控制。這些控制必須通

過測試，而且能夠整合到正在運行的環(huán)境中。

第十一條系統(tǒng)運維

（一）信息系統(tǒng)及其相關(guān)的設(shè)備在物理上需要受到保護，防止偷竊、濫用、

損壞或未經(jīng)授權(quán)的訪問。

（二）確保信息系統(tǒng)相關(guān)的信息資產(chǎn)受到適當保護，所有信息資產(chǎn)必須有

確定的屬主并且根據(jù)其敏感度進行分類和控制。

（三）所有信息系統(tǒng)必須制定相應的操作規(guī)范，通過對日常操作的管理、

介質(zhì)的管理、惡意代碼防范控制確保信息系統(tǒng)范圍內(nèi)信息處理設(shè)施的正

確和安全操作。

KLSDJFDJSFKDJFLFJUFKLFJDKSLFJDSKFJSDKFJDSL

（四）對三級系統(tǒng)應建立安全管理中心，對信息資產(chǎn)安全事件實現(xiàn)監(jiān)控和

響應。

（五）所有信息系統(tǒng)變更應有審批流程，并有完善的恢復流程。

（六）應建立有效的安全事件響應和處理機制，安全事件必須及時的發(fā)現(xiàn)、

報告、處理、調(diào)查、上報并修正，并且有事后的回顧，以吸取經(jīng)驗教訓，

避免以后再發(fā)生同類型的事件，把損失降到最小。

（七）建立完善應急預案，以確保事故發(fā)生時，對業(yè)務活動的影響降至最

小。

第七章策略制定與維護

第十二條網(wǎng)絡(luò)信息安全策略文件由安全管理員編寫，由網(wǎng)絡(luò)安全與信息化

領(lǐng)導小組批準，向所有相關(guān)部門、第三方機構(gòu)和相關(guān)人員發(fā)布。

第十三條網(wǎng)絡(luò)安全與信息化領(lǐng)導小組監(jiān)督網(wǎng)絡(luò)安全活動，是否與策略的目

標一致，達到策略的要求。

第十四條網(wǎng)絡(luò)安全與信息化領(lǐng)導小組審查和處理違反安全策略的行為。

第十五條網(wǎng)絡(luò)安全等級保護工作小組定期對網(wǎng)絡(luò)安全策略進行回顧和評

審（附件一、評審記錄表），確保策略的有效性和可操作性。

KLSDJFDJSFKDJFLFJUFKLFJDKSLFJDSKFJSDKFJDSL

附件一、安全策略評審記錄表

安全策略評審記錄表

日期：年月日

會議名稱

參與人員

評審對象

評審結(jié)果

評審意見：審批結(jié)果：

網(wǎng)絡(luò)安全等級保護工作小組網(wǎng)絡(luò)安全與信息化領(lǐng)導小組

KLSDJFDJSFKDJFLFJUFKLFJDKSLFJDSKFJSDKFJDSL

二、信息等級保護體系制定和發(fā)布管理規(guī)定

第一章總則

第一條為了保證（XX市民政局）信息安全等級保護管理體系的持續(xù)性、

時效性以及適應性，滿足業(yè)務不斷變化的安全管理的需要，明確信息安全

等級保護體系的制定、發(fā)布、評審和修訂等過程中的管理職責，特制定本

規(guī)定。

第二章職責

第二條網(wǎng)絡(luò)安全與信息化領(lǐng)導小組，職責：

（一）負責規(guī)劃、監(jiān)督、指導網(wǎng)絡(luò)安全等級保護管理體系文件的起草、審

查、發(fā)布、清理等工作。

（二）負責信息安全等級保護管理體系的評審及修訂后復審工作。

（三）確保信息安全等級保護管理體系能持續(xù)恰當和有效地運作。

（四）提供充足的資源和支持，以持續(xù)改善信息安全等級保護管理體系。

第三條網(wǎng)絡(luò)安全等級保護工作小組，職責：

（一）負責組織管理體系文件的起草、編制、修訂、補充等工作的開展，

并將實施成果向領(lǐng)導小組匯報。

（二）負責啟動和主持等級保護管理體系的管理評審工作。

（三）負責協(xié)調(diào)相關(guān)人員，考導收集評審資料。

（四）確保評審會議所提出的行動項目能在規(guī)定的時間內(nèi)完成，并負責其

相關(guān)的監(jiān)督工作。

（五）負責對評審結(jié)果如需進行修訂項協(xié)調(diào)相關(guān)人員進行修訂C

KLSDJFDJSFKDJFLFJUFKLFJDKSLFJDSKFJSDKFJDSL

（六）指派人員負責對修訂措施的執(zhí)行結(jié)果進行驗證。

第四條相關(guān)人員，是指（XX市民政局）信息安全等級保護管理體系涉及

的人員。比如：系統(tǒng)管理員、應用管理員、開發(fā)管理人員、網(wǎng)絡(luò)管理員、

數(shù)據(jù)管理員、資產(chǎn)管理員和安全管理員等，其職責是：

（一）負責依據(jù)管理體系文件的內(nèi)容進行宣貫、培訓、執(zhí)行、檢查等工作，

并依據(jù)部門情況落實管理體系的要求。

（二）負責協(xié)助進行評審。

（三）負責實施修訂措施。

第五章文件起草

第五條（XX市民政局）網(wǎng)絡(luò)安全管理體系規(guī)范文件由網(wǎng)絡(luò)安全等級保護

工作小組負責起草或組織起草。

第六條負責起草的科室應當確定一名熟悉相關(guān)內(nèi)容員工為項目負責人,

如涉及多個部門時，可由有關(guān)部門共同派人組成聯(lián)合起草小組，由主要起

草部門負責牽頭組織。

第七條起草的規(guī)范性文件應當結(jié)構(gòu)嚴謹、內(nèi)容完備、形式規(guī)范、條理清

楚、用詞準確、文字簡潔。

第八條應當明確規(guī)定如下內(nèi)容：

（一）制定的目的和依據(jù)；

（二）適用范圍；

（三）術(shù)語定義；

（四）組織職責；

KLSDJFDJSFKDJFLFJUFKLFJDKSLFJDSKFJSDKFJDSL

（五）具體管理要求或規(guī)定；

（六）必要的附則；

（七）與規(guī)范內(nèi)容相關(guān)的資料性附錄和參考性附錄。

第九條報送審查的管理制度送審稿應當由起草部門負責人簽署后報網(wǎng)

絡(luò)安全與信息化領(lǐng)導小組審查。幾個部門共同起草的規(guī)范送審稿，應當由

起草部門負責人共同簽署后報網(wǎng)絡(luò)安全與信息化領(lǐng)導小組審查。

第十條下列材料應當與規(guī)范送審稿一并報送網(wǎng)絡(luò)安全與信息化領(lǐng)導小

組審查：

（一）起草說明；

（二）與此規(guī)范內(nèi)容有關(guān)的規(guī)范性文件；

（三）匯總的各方意見；

（四）如需制定實施細則，應當提交實施細則的主要內(nèi)容和細則擬出臺的

時間；

（五）其他需要報送的材料。

第十一條網(wǎng)絡(luò)安全與信息化領(lǐng)導小組主要從以下方面對送審稿進行審查：

（一）是否符合權(quán)限和程序；

（二）是否符合原則；

（三）是否與其他規(guī)范、標準相協(xié)調(diào)、銜接；

（四）是否已對有關(guān)不同意見進行協(xié)調(diào)；

KLSDJFDJSFKDJFLFJUFKLFJDKSLFJDSKFJSDKFJDSL

（五）是否具有可行性；

（六）是否符合相關(guān)技術(shù)要求；

（七）需要審查的其他內(nèi)容。

第十二條由網(wǎng)絡(luò)安全與信息化領(lǐng)導小組對送審稿提出審查結(jié)論，對草案涉

及的有關(guān)爭議問題以及修改情況作重點說明。由網(wǎng)絡(luò)安全與信息化領(lǐng)導小

組負責人簽署的書面審查報告應當反饋起草部門。

第六章文件評審

第十三條（XX市民政局）網(wǎng)絡(luò)安全等級保護工作小組定期（至少每年一次）

開展等級保護管理體系的評審工作，以確保整個等級保護管理體系的充分

性、適當性和有效性。

第十四條等級保護管理體系評審內(nèi)容：

（一）根據(jù)業(yè)務系統(tǒng)的性質(zhì)和安全要求，確定（或復審）等級保護管理體

系的范圍，建立（復審）等級保護管理體系，包括網(wǎng)絡(luò)安全策略、標準

和程序。

（二）對等級保護管理體系審核結(jié)果進行評審，分析導致不符合項的原因。

（三）審查審核對象的反饋信息。

（四）總結(jié)已發(fā)現(xiàn)的安全事件和漏洞。

（五）審查現(xiàn)行的安全控制措施和相關(guān)技術(shù)是否有效。

（六）復查修訂措施的實施狀況。

（七）檢查先前管理評審中所定義的措施的實施狀況。

（A）審查改善措施的建議。

KLSDJFDJSFKDJFLFJUFKLFJDKSLFJDSKFJSDKFJDSL

（九）復查業(yè)務和法律法規(guī)方面的變更。

（十）審查可能影響信息安全等級保護管理體系的任何變更。

（十一）為協(xié)調(diào)相關(guān)網(wǎng)絡(luò)安全的實施，評審相關(guān)資源的充足性。

第十五條評審工作必須至少每年舉行一次，發(fā)生以下情況時，也需要啟動

管理評審工作：

（一）系統(tǒng)業(yè)務發(fā)生重大變更。

（二）系統(tǒng)網(wǎng)絡(luò)安全策略的重大變更。

（三）目前等級保護管理體系的執(zhí)行不力。

（四）系統(tǒng)等級保護管理體系的范圍發(fā)生變更。

（五）相關(guān)標準法規(guī)發(fā)布修訂版本或有變更。

第七章文件發(fā)布

第十六條規(guī)范草案經(jīng)網(wǎng)絡(luò)安全與信息化領(lǐng)導小組審議并原則通過后，起草

部門根據(jù)審議中提出的修改意見對草案進行修改，經(jīng)網(wǎng)絡(luò)安全與信息化領(lǐng)

導小組負責人簽發(fā)，以文件形式公布。

第十七條文件的發(fā)布應遵照統(tǒng)一的格式，進行版本控制；并應注明發(fā)布范

圍，對收發(fā)文進行登記。對發(fā)布的制度應在《附錄一、（XX市民政局）管理

制度發(fā)布記錄表》中進行記錄。

KLSDJFDJSFKDJFLFJUFKLFJDKSLFJDSKFJSDKFJDSL

附錄一、（XX市民政局）管理制度發(fā)布記錄表

（XX市民政局）管理制度發(fā)布記錄

管理制度名稱制訂者發(fā)布者生效時間版本分發(fā)范圍失效時間備注

日期：文檔管理人員：審核人：

KLSDJFDJSFKDJFLFJUFKLFJDKSLFJDSKFJSDKFJDSL

三、等級保護體系評審和修訂管理規(guī)定

第一章總則

第一條為了保證（XX市民政局）等級保護管理體系的持續(xù)性、時效性以

及適應性，滿足單位不斷變化的安全管理的需要，明確等級保護管理體

系的評審和修訂過程中管理職責，特制定本規(guī)定。

第二章評審程序

第二條（XX市民政局）網(wǎng)絡(luò)安全等級保護工作小組定期（至少每年一次）

開展等級保護管理體系的評審工作，以確保整個等級保護管理體系的充分

性、適當性和有效性。

第三條等級保護管理體系評審內(nèi)容：

（一）根據(jù)具體工作的性質(zhì)和安全要求，確定（或復審）等級保護管理體

系的范圍，建立（復審）等級保護管理體系，包括網(wǎng)絡(luò)安全策略、標準

和程序。

（二）對等級保護管理體系審核結(jié)果進行評審，分析導致不符合項的原因。

（三）審查審核對象的反饋信息。

（四）總結(jié)已發(fā)現(xiàn)的安全事件和漏洞。

（五）審查現(xiàn)行的安全控制措施和相關(guān)技術(shù)是否有效。

（六）復查修訂措施的實施狀況。

（七）檢查先前管理評審中所定義的措施的實施狀況。

（A）審查改善措施的建議。

（九）復杳業(yè)務和法律法規(guī)方面的變更c

KLSDJFDJSFKDJFLFJUFKLFJDKSLFJDSKFJSDKFJDSL

（十）審查可能影響等級保獷管理體系的任何變更。

（十一）為協(xié)調(diào)相關(guān)網(wǎng)絡(luò)安全的實施，評審相關(guān)資源的充足性。

第四條評審工作必須至少每年舉行一次，發(fā)生以下情況時，也需要啟動

管理評審工作：

（一）系統(tǒng)業(yè)務發(fā)生重大變更。

（二）系統(tǒng)網(wǎng)絡(luò)安全策略的重大變更。

（三）目前等級保護管理體系的執(zhí)行不力。

（四）系統(tǒng)等級保護管理體系的范圍發(fā)生變更。

（五）相關(guān)標準法規(guī)發(fā)布修訂版本或有變更。

（六）評審工作的會議記錄均需歸檔，以保存正式的記錄。

第三章修訂程序

第五條問題的識別及確認，采取修訂措施可能由以r原因，包括但不限

于：

（一）來自系統(tǒng)等級保護管理體系的相關(guān)工作人員的反饋信息或調(diào)查申請。

（二）網(wǎng)絡(luò)安全管理評審的會議討論中發(fā)現(xiàn)的問題。

（三）等級保護管理體系的審核發(fā)現(xiàn)的不符合項。

第六條調(diào)查問題的起因：

（一）由網(wǎng)絡(luò)安全等級保護工作小組指派專門的人員負責對問題進行分析

調(diào)查并確認問題的起因。

（二）調(diào)查人員需提供盡可能多的關(guān)于整個問題調(diào)查的詳細結(jié)果。作為修

訂措施報告的一部分，也可以提供一些額外的補充信息。

第七條執(zhí)行修訂措施：

KLSDJFDJSFKDJFLFJUFKLFJDKSLFJDSKFJSDKFJDSL

（一）基于所調(diào)查出的問題起因，需確認并實施相應措施或?qū)κ鹿蔬M行調(diào)

查研究，負責上述行動的執(zhí)行者需確保更新任何相關(guān)的文件或管理流程。

比如：

＞準備制定或更新相關(guān)管理程序。

＞培訓/通知相關(guān)人員知曉。

（二）執(zhí)行人員負責跟蹤所執(zhí)行修訂措施的效果。一旦發(fā)現(xiàn)效果不如預期，

其相關(guān)負責人需進行評估分析并就進一步的應對措施進行確認。執(zhí)行人

員必須確保所實施的修訂措施是可證實和可驗證的，并保證修訂措施的

報告中都有詳細說明。

第八條措施的驗證：

（一）如果驗證出所采取的措施是達到預期效果的，貝］修訂措施才算是成

功，可以結(jié)束跟蹤，驗證階段包括以下兩個部分：

＞對所規(guī)定修訂措施的執(zhí)行程度進行驗證。

＞對修訂措施的執(zhí)行效果進行驗證。

（二）措施驗證的結(jié)果必須中有詳細的說明，且對相關(guān)記錄進行保存。

KLSDJFDJSFKDJFLFJUFKLFJDKSLFJDSKFJSDKFJDSL

四、信息安全管理組織架構(gòu)

第一章總則

第一條為加強（XX市民政局）信息安全管理工作的組織協(xié)調(diào)，建立健全

等級保護管理制度和運行機制，切實提高（XX市民政局）信息安全管理

工作水平，根據(jù)《信息安全等級保護管理辦法（公通字[2007]43號）》

要求，制定本規(guī)范

第二章組織目標

第二條本實施規(guī)則旨在實現(xiàn)信息安全管理的以下目標：

（一）管理組織內(nèi)的信息安全工作；

（二）管理外部組織訪問組織內(nèi)信息處理設(shè)施和信息資產(chǎn)的安全。

第三章信息安全組織架構(gòu)

第三條為加強對（XX市民政局）信息安全管理工作的領(lǐng)導，貫徹落實信

息安全的要求及安徽省公安廳《關(guān)于開展信息安全管理專項檢查工作的

通知》的有關(guān)要求，經(jīng)研究，決定成立（XX市民政局）網(wǎng)絡(luò)安全與信息

化領(lǐng)導小組（以下簡稱領(lǐng)導小組）

第四條成立領(lǐng)導小組，作為信息安全管理工作的最高管理機構(gòu)，領(lǐng)導小

組下設(shè)（XX市民政局）系統(tǒng)信息安全管理工作小組，

第五條領(lǐng)導小組由（XX市民政局）書記擔任組長，副書記擔任副組長,

領(lǐng)導小組主要成員為隊伍建設(shè)指導科科長及各相關(guān)部門安全主管領(lǐng)導。

第六條信息安全管理工作小組負責（XX市民政局）信息安全管理的具體

KLSDJFDJSFKDJFLFJUFKLFJDKSLFJDSKFJSDKFJDSL

執(zhí)行工作。工作小組組長由領(lǐng)導小組指定的隊伍建設(shè)指導科科長兼任。

設(shè)置一名副組長負責具體工作，對各部門信息安全技術(shù)的實施進行指導

與審查。信息安全工作小組成員還包括各部門信息化負責人。

第七條隊伍建設(shè)指導科作為信息安全工作的具體執(zhí)行部門，各科室主

要負責人為本科室信息安全管理工作的第一責任人，并應指定一名信息

安全管理員作為信息安全工作聯(lián)絡(luò)員，負責本科室內(nèi)的有關(guān)信息安全管

理工作。

第四章組織的信息安全職責描述

第八條網(wǎng)絡(luò)安全與信息化領(lǐng)導小組的職責包括：

（一）根據(jù)國家、省、市級網(wǎng)絡(luò)安全的總體要求，結(jié)合（XX市民政局）的實際

情況，統(tǒng)一領(lǐng)導（XX市民政局）信息安全管理的相關(guān)工作；

（二）負責協(xié)調(diào)（XX市民政局）內(nèi)部管理工作，分配信息安全管理目標、職責，

并支持和推動信息安全工作在單位內(nèi)的實施；

（三）負責對與信息安全管理有關(guān)的重大事項進行決策，包括安全組織機構(gòu)調(diào)整、

以及信息安全管理重大策略變更；

（四）組織審定和發(fā)布單位信息安全的發(fā)展戰(zhàn)略、總體規(guī)劃、重大政策、管理規(guī)

范和技術(shù)標準；

（五）評審與監(jiān)督重大信息安全事故