機(jī)關(guān)單位信息安全管理操作規(guī)范一、總則（一）目的與依據(jù)為全面提升本單位信息安全保障能力，規(guī)范信息安全管理行為，防范和化解信息安全風(fēng)險(xiǎn)，保護(hù)單位信息資產(chǎn)安全，確保業(yè)務(wù)工作的連續(xù)性和穩(wěn)定性，依據(jù)國(guó)家相關(guān)法律法規(guī)及上級(jí)主管部門要求，結(jié)合本單位實(shí)際，制定本規(guī)范。（二）適用范圍本規(guī)范適用于單位內(nèi)部所有部門及全體工作人員（包括正式職工、合同制人員、借調(diào)人員、實(shí)習(xí)人員以及其他在單位工作或提供服務(wù)的相關(guān)人員）在使用、管理單位各類信息設(shè)備、網(wǎng)絡(luò)資源及數(shù)據(jù)信息過(guò)程中的各項(xiàng)操作行為。（三）基本原則信息安全管理遵循“統(tǒng)一領(lǐng)導(dǎo)、分級(jí)負(fù)責(zé)，預(yù)防為主、防治結(jié)合，規(guī)范操作、保障安全”的原則。堅(jiān)持“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)、誰(shuí)使用誰(shuí)負(fù)責(zé)”，將信息安全責(zé)任落實(shí)到每個(gè)部門、每個(gè)崗位、每個(gè)人員。二、組織領(lǐng)導(dǎo)與職責(zé)分工（一）領(lǐng)導(dǎo)責(zé)任單位主要負(fù)責(zé)人是本單位信息安全第一責(zé)任人，對(duì)信息安全工作負(fù)總責(zé)；分管負(fù)責(zé)人協(xié)助主要負(fù)責(zé)人抓好信息安全工作，負(fù)直接領(lǐng)導(dǎo)責(zé)任。（二）部門職責(zé)1.辦公室（或指定的信息安全管理部門，下同）作為信息安全工作的牽頭協(xié)調(diào)部門，負(fù)責(zé)統(tǒng)籌規(guī)劃、組織實(shí)施、監(jiān)督檢查本單位信息安全管理工作，制定和完善相關(guān)制度規(guī)范，組織信息安全培訓(xùn)和應(yīng)急演練。2.各業(yè)務(wù)部門負(fù)責(zé)人是本部門信息安全第一責(zé)任人，負(fù)責(zé)本部門信息安全制度的落實(shí)、日常安全管理及突發(fā)事件的初步處置與上報(bào)。3.信息技術(shù)支持部門（或崗位）負(fù)責(zé)提供技術(shù)支持，包括安全設(shè)備的運(yùn)維、系統(tǒng)漏洞的修復(fù)、安全事件的技術(shù)分析與處置等。（三）崗位責(zé)任所有工作人員應(yīng)嚴(yán)格遵守本規(guī)范及單位其他信息安全管理制度，履行崗位信息安全職責(zé)，積極參加信息安全培訓(xùn)，提高安全防范意識(shí)和技能。三、人員安全管理（一）入職與離崗管理1.新入職人員必須經(jīng)過(guò)信息安全知識(shí)培訓(xùn)并考核合格后方可上崗操作。2.入職時(shí)，由所在部門負(fù)責(zé)人為其申領(lǐng)必要的賬號(hào)、權(quán)限，并簽訂《信息安全承諾書(shū)》。3.人員離崗（包括調(diào)離、辭職、辭退、退休等）時(shí)，所在部門應(yīng)及時(shí)通知辦公室及信息技術(shù)支持部門，辦理賬號(hào)注銷、權(quán)限回收、涉密文件資料及物品清退等手續(xù)，并進(jìn)行離崗安全談話。（二）在職人員管理1.工作人員應(yīng)妥善保管個(gè)人賬號(hào)密碼，定期更換，嚴(yán)禁轉(zhuǎn)借、泄露給他人使用。密碼設(shè)置應(yīng)具有一定復(fù)雜度，避免使用簡(jiǎn)單易猜的字符組合。2.不得利用工作之便制作、復(fù)制、查閱、傳播與工作無(wú)關(guān)的信息，嚴(yán)禁制作、復(fù)制、查閱、傳播違反國(guó)家法律法規(guī)及單位規(guī)定的信息。3.未經(jīng)批準(zhǔn)，不得擅自將外來(lái)人員帶入辦公區(qū)域，尤其是機(jī)房、重要檔案室等重點(diǎn)部位。（三）安全意識(shí)與培訓(xùn)1.辦公室應(yīng)定期組織開(kāi)展信息安全意識(shí)教育和技能培訓(xùn)，內(nèi)容包括法律法規(guī)、管理制度、安全技術(shù)、應(yīng)急處置等。2.工作人員應(yīng)積極參加各類信息安全培訓(xùn)，主動(dòng)學(xué)習(xí)信息安全知識(shí)，提高風(fēng)險(xiǎn)識(shí)別和防范能力。四、設(shè)備與介質(zhì)安全管理（一）計(jì)算機(jī)設(shè)備管理1.辦公計(jì)算機(jī)應(yīng)指定專人使用和保管，做到“人離機(jī)鎖”。2.嚴(yán)禁私自拆卸、改裝、更換計(jì)算機(jī)硬件設(shè)備。3.計(jì)算機(jī)操作系統(tǒng)及應(yīng)用軟件應(yīng)及時(shí)更新補(bǔ)丁，安裝必要的防病毒軟件，并保持病毒庫(kù)更新。4.嚴(yán)禁在非涉密計(jì)算機(jī)上處理、存儲(chǔ)、傳輸涉密信息；嚴(yán)禁在涉密計(jì)算機(jī)上連接互聯(lián)網(wǎng)及其他非涉密網(wǎng)絡(luò)。（二）移動(dòng)存儲(chǔ)介質(zhì)管理1.嚴(yán)格區(qū)分涉密與非涉密移動(dòng)存儲(chǔ)介質(zhì)，嚴(yán)禁混用。涉密移動(dòng)存儲(chǔ)介質(zhì)應(yīng)統(tǒng)一登記、編號(hào)、專人保管。2.非涉密移動(dòng)存儲(chǔ)介質(zhì)（如U盤、移動(dòng)硬盤等）在接入單位計(jì)算機(jī)前，必須進(jìn)行病毒查殺。3.嚴(yán)禁使用來(lái)歷不明的移動(dòng)存儲(chǔ)介質(zhì)，嚴(yán)禁將單位移動(dòng)存儲(chǔ)介質(zhì)借給外部人員使用，嚴(yán)禁在互聯(lián)網(wǎng)計(jì)算機(jī)與單位內(nèi)部計(jì)算機(jī)之間交叉使用移動(dòng)存儲(chǔ)介質(zhì)。（三）其他設(shè)備管理1.打印機(jī)、復(fù)印機(jī)、掃描儀等辦公設(shè)備應(yīng)定期檢查，防止信息泄露。2.報(bào)廢或維修的設(shè)備，必須由信息技術(shù)支持部門對(duì)其存儲(chǔ)介質(zhì)進(jìn)行徹底的數(shù)據(jù)清除或物理銷毀，確保信息不被泄露。五、網(wǎng)絡(luò)安全管理（一）網(wǎng)絡(luò)接入管理1.單位網(wǎng)絡(luò)實(shí)行內(nèi)外網(wǎng)物理隔離或邏輯隔離，嚴(yán)禁私自將內(nèi)外網(wǎng)進(jìn)行連接。2.嚴(yán)禁私自更改網(wǎng)絡(luò)設(shè)備配置、IP地址、MAC地址等網(wǎng)絡(luò)參數(shù)。3.接入單位網(wǎng)絡(luò)的設(shè)備必須符合安全要求，安裝防病毒軟件，未經(jīng)信息技術(shù)支持部門批準(zhǔn)，不得私自將個(gè)人設(shè)備接入單位網(wǎng)絡(luò)。（二）互聯(lián)網(wǎng)使用管理2.嚴(yán)禁利用單位網(wǎng)絡(luò)從事任何危害網(wǎng)絡(luò)安全的活動(dòng)，如攻擊他人系統(tǒng)、傳播病毒木馬、進(jìn)行網(wǎng)絡(luò)釣魚(yú)等。3.工作時(shí)間，不得利用互聯(lián)網(wǎng)從事與工作無(wú)關(guān)的活動(dòng)，如在線游戲、觀看視頻、購(gòu)物等（特殊情況經(jīng)批準(zhǔn)除外）。（三）無(wú)線網(wǎng)絡(luò)管理1.單位無(wú)線網(wǎng)絡(luò)應(yīng)設(shè)置復(fù)雜密碼，定期更換，并采取加密措施。2.嚴(yán)禁私自搭建無(wú)線網(wǎng)絡(luò)熱點(diǎn)。3.連接單位無(wú)線網(wǎng)絡(luò)時(shí)，應(yīng)確認(rèn)網(wǎng)絡(luò)名稱，避免連接到仿冒的釣魚(yú)無(wú)線網(wǎng)絡(luò)。六、應(yīng)用系統(tǒng)與數(shù)據(jù)安全管理（一）系統(tǒng)賬戶與權(quán)限管理1.各類業(yè)務(wù)應(yīng)用系統(tǒng)應(yīng)建立嚴(yán)格的賬戶管理制度，遵循最小權(quán)限原則分配權(quán)限。2.工作人員應(yīng)妥善保管系統(tǒng)賬戶信息，定期修改密碼，操作完畢后及時(shí)退出系統(tǒng)。3.信息技術(shù)支持部門應(yīng)定期對(duì)系統(tǒng)賬戶和權(quán)限進(jìn)行審計(jì)，及時(shí)清理無(wú)效賬戶和超額權(quán)限。（二）數(shù)據(jù)備份與恢復(fù)1.重要業(yè)務(wù)數(shù)據(jù)應(yīng)定期進(jìn)行備份，備份介質(zhì)應(yīng)異地存放，并定期進(jìn)行恢復(fù)測(cè)試，確保備份數(shù)據(jù)的可用性。2.數(shù)據(jù)備份工作由信息技術(shù)支持部門或相關(guān)業(yè)務(wù)部門按規(guī)定執(zhí)行，并做好備份記錄。（三）信息發(fā)布與傳輸管理1.在單位網(wǎng)站、內(nèi)部論壇等平臺(tái)發(fā)布信息，必須經(jīng)過(guò)嚴(yán)格的審核程序，確保信息真實(shí)、準(zhǔn)確、合法。2.傳輸涉密或敏感信息，應(yīng)使用單位認(rèn)可的加密方式或?qū)Ｓ们溃瑖?yán)禁通過(guò)互聯(lián)網(wǎng)郵箱、即時(shí)通訊工具等非安全方式傳輸。七、應(yīng)急處置與事件報(bào)告（一）應(yīng)急預(yù)案與演練1.辦公室應(yīng)組織制定信息安全事件應(yīng)急預(yù)案，并定期組織應(yīng)急演練，檢驗(yàn)預(yù)案的科學(xué)性和可操作性。2.各部門應(yīng)熟悉應(yīng)急預(yù)案內(nèi)容，明確本部門在應(yīng)急處置中的職責(zé)和行動(dòng)步驟。（二）事件報(bào)告與處置1.發(fā)現(xiàn)信息安全事件（如病毒感染、系統(tǒng)入侵、數(shù)據(jù)泄露、設(shè)備失竊等），當(dāng)事人應(yīng)立即停止相關(guān)操作，保護(hù)現(xiàn)場(chǎng)，并第一時(shí)間向所在部門負(fù)責(zé)人和辦公室報(bào)告。2.接到報(bào)告后，辦公室應(yīng)立即組織信息技術(shù)支持部門進(jìn)行研判和處置，根據(jù)事件嚴(yán)重程度啟動(dòng)相應(yīng)級(jí)別的應(yīng)急預(yù)案。3.對(duì)于重大信息安全事件，應(yīng)按規(guī)定及時(shí)向上級(jí)主管部門和公安機(jī)關(guān)報(bào)告。八、監(jiān)督檢查與責(zé)任追究（一）監(jiān)督檢查1.辦公室應(yīng)定期或不定期組織對(duì)各部門信息安全管理工作的監(jiān)督檢查，檢查結(jié)果納入部門和個(gè)人績(jī)效考核。2.各部門負(fù)責(zé)人應(yīng)加強(qiáng)對(duì)本部門信息安全工作的日常檢查，及時(shí)發(fā)現(xiàn)和糾正不安全行為。（二）責(zé)任追究1.對(duì)在信息安全工作中認(rèn)真負(fù)責(zé)、做出突出貢獻(xiàn)的部門和個(gè)人，單位予以表彰獎(jiǎng)勵(lì)。2.對(duì)違反本規(guī)范及其他信息安全管理制度，造成信息安全事件或不良后果的，將視情節(jié)輕重對(duì)相關(guān)責(zé)任人進(jìn)行批評(píng)教育、通報(bào)批評(píng)、經(jīng)濟(jì)處罰直至紀(jì)律處分；構(gòu)成犯罪的，依法追究刑事責(zé)任。九、附則1.本規(guī)范未盡事宜，參照國(guó)家有關(guān)法律法規(guī)和上級(jí)主管部門相關(guān)規(guī)定執(zhí)行。2.各部門可根據(jù)本規(guī)范，結(jié)合自身實(shí)際情況制定具體的實(shí)施細(xì)則。3