作者李柏倫翻版盜賣必追究責(zé)任第頁22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求全套管理制度GB/T22239-2019信息安全等級保護管理制度序號文件名稱文件名稱備注1《GB/T22239-2019信息安全等級保護管理手冊》DB-QM-012《信息安全等級保護機房管理制度》DB-QP-0013《信息安全等級保護辦公場所保護制度》DB-QP-0024《信息安全等級保護病毒防范制度》DB-QP-0035《信息安全等級保護資產(chǎn)分類分級制度》DB-QP-0046《信息安全等級保護介質(zhì)管理制度》DB-QP-0057《信息安全等級保護應(yīng)用系統(tǒng)運維管理制度》DB-QP-0068《信息安全等級保護網(wǎng)絡(luò)設(shè)備配置管理制度》DB-QP-0079《信息安全等級保護終端安全制度》DB-QP-00810《信息安全等級保護網(wǎng)站管理制度》DB-QP-00911《信息安全等級保護培訓(xùn)管理制度》DB-QP-01012《信息安全等級保護外包人員管理制度》DB-QP-01113《信息安全等級保護系統(tǒng)安全建設(shè)制度》DB-QP-01214《信息安全等級保護變更管理制度》DB-QP-01315《信息安全等級保護設(shè)備管理制度》DB-QP-01416《信息安全等級保護網(wǎng)絡(luò)監(jiān)控審計制度》DB-QP-01517《信息安全等級保護補丁管理制度》DB-QP-01618《信息安全等級保護備份恢復(fù)制度》DB-QP-01719《信息安全等級保護帳戶/口令管理制度》DB-QP-01820《信息安全等級保護安全巡檢制度》DB-QP-019GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求信息安全管理手冊（項目專用版）版本號：V1.0生效日期：YYYY年MM月DD日編制部門：項目信息安全管理小組審批人：[項目負(fù)責(zé)人姓名]目錄1.手冊說明2.總則（方針、目標(biāo)、范圍）3.安全管理體系架構(gòu)4.核心安全控制措施（技術(shù)+管理）5.文檔體系解釋與引用6.手冊管理（評審、修訂、作廢）7.附錄（相關(guān)文件清單、記錄表單目錄）1.手冊說明1.1編制目的為落實《中華人民共和國網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》對網(wǎng)絡(luò)安全等級保護的法定要求，依據(jù)GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》，明確本項目信息安全管理的“方針-目標(biāo)-策略-措施”，規(guī)范安全管理流程，保障項目涉及的等級保護對象（如業(yè)務(wù)系統(tǒng)、數(shù)據(jù)資產(chǎn)）滿足對應(yīng)保護等級的安全要求，同時為項目全體人員、合作方提供統(tǒng)一的安全管理依據(jù)。1.2適用范圍1.2.1保護對象范圍本手冊適用于本項目全生命周期內(nèi)的所有等級保護對象，包括但不限于：基礎(chǔ)網(wǎng)絡(luò)：項目專用局域網(wǎng)、VPN通信鏈路、互聯(lián)網(wǎng)接入鏈路；信息系統(tǒng)：核心業(yè)務(wù)系統(tǒng)（如項目管理平臺、數(shù)據(jù)交互系統(tǒng)，定級為[三級/四級]）、輔助辦公系統(tǒng)（如OA系統(tǒng)，定級為二級）；數(shù)據(jù)資產(chǎn)：項目核心業(yè)務(wù)數(shù)據(jù)（如客戶訂單數(shù)據(jù)、項目機密文檔，屬二級/三級數(shù)據(jù)）、普通辦公數(shù)據(jù)（如會議紀(jì)要，屬一級數(shù)據(jù)）；技術(shù)場景：項目涉及的云計算環(huán)境（如租用云服務(wù)器）、移動互聯(lián)接入（如員工遠(yuǎn)程辦公）、第三方系統(tǒng)對接（如供應(yīng)商數(shù)據(jù)交互接口）。1.2.2適用對象范圍項目內(nèi)部所有部門及人員（含項目組、運維組、業(yè)務(wù)組）；項目合作方（含云服務(wù)商、第三方運維團隊、供應(yīng)商）；項目相關(guān)外部人員（如臨時審計人員、訪客）。1.3手冊地位本手冊是項目信息安全管理的“頂層文件”，統(tǒng)領(lǐng)項目所有安全管理制度、流程、表單，所有與信息安全相關(guān)的活動均需以本手冊為依據(jù)；若后續(xù)發(fā)布的專項制度與本手冊沖突，需以本手冊修訂版為準(zhǔn)。2.總則2.1安全方針“合規(guī)定級、分級防護、主動防御、持續(xù)改進”合規(guī)定級：嚴(yán)格按GB/T22239-2019要求完成保護對象定級、備案、測評，確保全流程符合國家法律法規(guī)；分級防護：針對不同等級的系統(tǒng)/數(shù)據(jù)實施差異化防護措施，核心對象（三級及以上）強化“三重防護”；主動防御：融合技術(shù)手段（如入侵檢測、漏洞掃描）與管理機制（如風(fēng)險評估、應(yīng)急演練），提前識別并處置安全風(fēng)險；持續(xù)改進：定期評審安全管理效果，結(jié)合技術(shù)發(fā)展、業(yè)務(wù)變更優(yōu)化防護策略，保障體系有效性。2.2安全目標(biāo)2.2.1總體目標(biāo)確保項目所有等級保護對象滿足GB/T22239-2019對應(yīng)等級要求，年度內(nèi)無重大安全事件（如核心數(shù)據(jù)泄露、系統(tǒng)癱瘓超4小時），安全合規(guī)率100%。2.2.2量化目標(biāo)目標(biāo)類別具體指標(biāo)（年度）適用對象風(fēng)險管控安全風(fēng)險識別率100%，高危風(fēng)險處置率100%所有保護對象漏洞管理三級系統(tǒng)高危漏洞修復(fù)時限≤24小時，修復(fù)率100%三級及以上系統(tǒng)日志管理核心日志留存≥1年，日志分析異常響應(yīng)≤1小時三級及以上系統(tǒng)應(yīng)急響應(yīng)重大事件響應(yīng)時限≤15分鐘，恢復(fù)率100%所有保護對象人員管理安全培訓(xùn)覆蓋率100%，考核合格率≥95%項目內(nèi)部人員、合作方2.3基本原則1）等級匹配原則：防護措施強度與保護對象等級匹配（如三級系統(tǒng)需部署安全管理中心，一級系統(tǒng)可簡化管控）；2）最小權(quán)限原則：人員/系統(tǒng)僅獲得完成職責(zé)必需的權(quán)限（如普通員工無核心數(shù)據(jù)庫修改權(quán)限）；3）全生命周期原則：覆蓋保護對象“規(guī)劃-建設(shè)-運維-下線”全流程（如系統(tǒng)上線前需完成等級測評，下線前需銷毀敏感數(shù)據(jù)）；4）協(xié)同聯(lián)動原則：項目內(nèi)部部門、合作方之間建立安全聯(lián)動機制（如安全事件發(fā)生時同步處置）。3.安全管理體系架構(gòu)基于GB/T22239-2019“一個中心，三重防護”核心架構(gòu)，結(jié)合項目實際構(gòu)建以下體系：3.1體系框架圖graphTDA[安全管理中心（一個中心）]-->B[安全策略管理]A-->C[安全態(tài)勢監(jiān)測]A-->D[安全事件處置]A-->E[安全審計監(jiān)督]F[三重防護]-->F1[安全通信網(wǎng)絡(luò)]F-->F2[安全區(qū)域邊界]F-->F3[安全計算環(huán)境]G[管理保障層]-->G1[安全管理機構(gòu)]G-->G2[安全管理人員]G-->G3[安全建設(shè)管理]G-->G4[安全運維管理]A-->F[三重防護]A-->G[管理保障層]3.2核心組件職責(zé)3.2.1安全管理中心（“一個中心”）作為項目安全管理的“大腦”，由項目信息安全管理小組牽頭，承擔(dān)以下職責(zé)：制定項目安全策略（如分級防護策略、漏洞管理策略），并監(jiān)督執(zhí)行；實時監(jiān)測安全態(tài)勢（如通過SIEM系統(tǒng)監(jiān)控系統(tǒng)日志、網(wǎng)絡(luò)流量），識別異常行為；協(xié)調(diào)處置安全事件（如核心系統(tǒng)入侵、數(shù)據(jù)泄露），制定應(yīng)急預(yù)案并組織演練；定期開展安全審計（如每季度檢查三級系統(tǒng)合規(guī)性、每半年評估整體安全狀況）。3.2.2三重防護（技術(shù)防護層）1.）安全通信網(wǎng)絡(luò)：保障項目網(wǎng)絡(luò)傳輸安全，措施包括：核心鏈路（如項目管理平臺與云服務(wù)器鏈路）采用IPsec加密傳輸；網(wǎng)絡(luò)分區(qū)（如核心業(yè)務(wù)區(qū)、辦公區(qū)）隔離，通過防火墻限制區(qū)域間訪問；定期監(jiān)測網(wǎng)絡(luò)帶寬、丟包率，核心鏈路中斷時啟用備用鏈路（切換時限≤5分鐘）。2）安全區(qū)域邊界：管控項目網(wǎng)絡(luò)邊界訪問，措施包括：互聯(lián)網(wǎng)接入邊界部署WAF（Web應(yīng)用防火墻），攔截SQL注入、XSS等攻擊；遠(yuǎn)程辦公接入需通過企業(yè)VPN（雙因子認(rèn)證），禁止公共WiFi直接接入核心區(qū)；第三方對接接口（如供應(yīng)商數(shù)據(jù)接口）采用API密鑰認(rèn)證，限制訪問IP白名單。3）安全計算環(huán)境：保障項目主機、應(yīng)用、數(shù)據(jù)安全，措施包括：核心服務(wù)器（如數(shù)據(jù)庫服務(wù)器）禁用默認(rèn)賬號，啟用主機入侵檢測（HIDS）；三級系統(tǒng)應(yīng)用需通過滲透測試方可上線，定期掃描漏洞（每月1次）；敏感數(shù)據(jù)（如客戶身份證號）存儲加密（AES-256），展示時脫敏（如“110****1234”）。3.2.3管理保障層支撐技術(shù)防護落地，涵蓋4類管理要求：安全管理機構(gòu)：設(shè)立項目安全管理小組（含信息安全負(fù)責(zé)人、IT負(fù)責(zé)人、業(yè)務(wù)負(fù)責(zé)人），明確決策、執(zhí)行、監(jiān)督職責(zé)；安全管理人員：配備專職安全管理員（三級系統(tǒng)需至少2名），定期開展技能培訓(xùn)（每季度1次）；安全建設(shè)管理：系統(tǒng)建設(shè)階段納入安全需求（如上線前完成等級測評），禁止未達(dá)標(biāo)的系統(tǒng)投入使用；安全運維管理：制定運維操作規(guī)范（如雙人操作核心服務(wù)器、變更需審批），定期備份數(shù)據(jù)（三級數(shù)據(jù)實時備份，每日校驗）。4.核心安全控制措施4.1技術(shù)類控制措施（按保護等級差異化）保護等級安全通信網(wǎng)絡(luò)安全區(qū)域邊界安全計算環(huán)境一級基礎(chǔ)網(wǎng)絡(luò)分區(qū)簡單防火墻規(guī)則禁用默認(rèn)賬號，基礎(chǔ)殺毒二級核心鏈路加密VPN接入，基礎(chǔ)WAF防護定期漏洞掃描（每季度1次）三級雙鏈路冗余，實時流量監(jiān)測WAF+IDS，IP白名單，雙因子認(rèn)證滲透測試（每年1次），HIDS部署四級多鏈路冗余，毫秒級態(tài)勢監(jiān)測深度防御（WAF+IDS+沙箱）實時漏洞檢測，異地災(zāi)備4.2管理類控制措施（通用+分級）4.2.1通用管理措施風(fēng)險評估：每年開展1次全面風(fēng)險評估，三級及以上系統(tǒng)每半年1次，輸出《風(fēng)險評估報告》并整改；事件處置：制定《安全事件應(yīng)急預(yù)案》，明確事件分級（一般/較大/重大），重大事件2小時內(nèi)上報監(jiān)管部門；培訓(xùn)宣貫：新員工入職需完成安全培訓(xùn)（考核合格方可上崗），全員每季度開展1次安全意識培訓(xùn)（如釣魚郵件識別）。4.2.2分級管理措施三級及以上系統(tǒng)：變更管理：系統(tǒng)版本升級、配置修改需經(jīng)安全管理中心審批，實施前備份數(shù)據(jù)，實施后驗證效果；日志管理：核心操作日志（如數(shù)據(jù)庫修改、權(quán)限變更）留存≥1年，每日自動化分析，異常響應(yīng)≤1小時；應(yīng)急演練：每半年開展1次專項應(yīng)急演練（如勒索病毒處置），演練后復(fù)盤優(yōu)化預(yù)案。一級/二級系統(tǒng)：變更管理：部門負(fù)責(zé)人審批即可，留存變更記錄；日志管理：普通日志留存≥6個月，每周抽查分析；應(yīng)急演練：每年開展1次綜合應(yīng)急演練。5.文檔體系解釋與引用5.1文檔體系層級本手冊為項目安全文檔的“頂層文件”，與其他文檔形成以下層級關(guān)系，確保管理閉環(huán)：1.頂層文件：《信息安全管理手冊》（本手冊）——明確方針、目標(biāo)、總體架構(gòu)；2.專項制度：如《網(wǎng)絡(luò)安全管理制度》《數(shù)據(jù)安全管理制度》《變更管理程序》——細(xì)化某一領(lǐng)域管理要求；3.操作規(guī)范：如《三級系統(tǒng)運維操作指南》《漏洞掃描操作流程》——明確具體操作步驟；4.記錄表單：如《安全事件處置單》《風(fēng)險評估報告表》——留存管理過程證據(jù)。5.2文檔使用要求所有引用文檔需與本手冊版本同步更新（如手冊修訂后，專項制度需在1個月內(nèi)調(diào)整）；項目人員、合作方需通過內(nèi)部平臺獲取最新文檔，禁止使用過期版本；文檔借閱需登記（如《等級保護測評報告》僅限安全管理小組成員借閱），涉密文檔加密存儲。6.手冊管理6.1手冊評審定期評審：每年12月由項目信息安全管理小組組織評審，確認(rèn)手冊是否符合GB/T22239-2019更新要求、項目業(yè)務(wù)變化；專項評審：發(fā)生以下情況時，1個月內(nèi)開展專項評審：國家法律法規(guī)/標(biāo)準(zhǔn)更新（如GB/T22239發(fā)布新版本）；項目發(fā)生重大安全事件（如核心數(shù)據(jù)泄露）；項目業(yè)務(wù)/技術(shù)架構(gòu)重大變更（如新增四級系統(tǒng)）。6.2手冊修訂修訂申請：由項目信息安全管理小組提出，說明修訂原因、內(nèi)容（如新增“物聯(lián)網(wǎng)安全”章節(jié)）；修訂審批：修訂稿需經(jīng)項目負(fù)責(zé)人審批，涉及三級及以上系統(tǒng)的修訂需征求外部專家意見；修訂發(fā)布：修訂后發(fā)布新版本（版本號遞增，如V1.1），同步更新引用文檔，舊版本標(biāo)注“作廢”并回收。6.3手冊作廢手冊因重大修訂、項目結(jié)束等原因作廢時，需由項目信息安全管理小組出具《手冊作廢通知單》；作廢手冊需從內(nèi)部平臺刪除，紙質(zhì)版回收銷毀，禁止私自留存；作廢記錄留存≥3年，以備追溯。7.附錄附錄A：相關(guān)文件清單法律法規(guī)：《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》；國家標(biāo)準(zhǔn)：GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》；項目制度：《網(wǎng)絡(luò)安全管理制度》《數(shù)據(jù)安全管理制度》《變更管理程序》《安全事件應(yīng)急預(yù)案》；技術(shù)文檔：《項目等級保護定級報告》《三級系統(tǒng)滲透測試報告》《安全管理中心配置手冊》。信息安全技術(shù)網(wǎng)絡(luò)安全等級保護機房管理制度1.總則1.1編制目的為落實GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》中“安全物理環(huán)境”管控要求，規(guī)范機房（含二級機房、三級機房）的環(huán)境維護、人員進出、設(shè)備管理、監(jiān)控運維等活動，防范物理安全風(fēng)險（如環(huán)境異常導(dǎo)致設(shè)備故障、未授權(quán)入侵導(dǎo)致數(shù)據(jù)泄露），保障機房內(nèi)核心設(shè)備（服務(wù)器、網(wǎng)絡(luò)設(shè)備）及承載系統(tǒng)的穩(wěn)定運行。1.2編制依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》第二十一條（物理安全保護要求）；GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》“6安全物理環(huán)境”；項目《信息安全管理手冊》（V1.0）中“3.2.2安全計算環(huán)境”“4.2管理類控制措施”。1.3適用范圍機房范圍：項目所有等級保護對應(yīng)的機房，包括：二級機房（承載OA系統(tǒng)、普通文件服務(wù)器等二級保護對象）；三級機房（承載核心業(yè)務(wù)系統(tǒng)、數(shù)據(jù)庫服務(wù)器等三級保護對象）；適用對象：機房管理員、IT運維人員、內(nèi)部授權(quán)人員、外部合作方（如設(shè)備供應(yīng)商、審計人員）。2.機房環(huán)境要求（分等級管控）2.1通用環(huán)境要求所有等級機房需滿足以下基礎(chǔ)要求：物理位置：遠(yuǎn)離粉塵源、水源、電磁干擾源（如高壓變電站），禁止設(shè)置在建筑物地下一層及以下（三級機房需避開建筑物外墻）；空間布局：劃分“設(shè)備區(qū)（服務(wù)器/網(wǎng)絡(luò)機柜）、監(jiān)控區(qū)（操作臺/監(jiān)控屏幕）、緩沖區(qū)（人員更衣/登記）”，三區(qū)物理隔離；地面/墻面：地面采用防靜電地板（接地電阻1Ω~10Ω），墻面采用防火涂料（耐火極限≥1小時），吊頂采用防火板材。2.2分等級差異化要求管控維度二級機房要求三級機房要求（額外強化）溫濕度溫度18℃~28℃，濕度40%~65%，每日記錄1次溫度20℃~25℃（波動≤±2℃），濕度45%~60%（波動≤±5%），每小時記錄1次供電系統(tǒng)雙路市電供電，備用UPS（續(xù)航≥2小時）雙路市電+柴油發(fā)電機（續(xù)航≥8小時），UPS冗余備份（N+1模式），實時監(jiān)測供電參數(shù)消防系統(tǒng)煙感+溫感報警，干粉滅火器（每50㎡1具）智能煙感報警（聯(lián)動監(jiān)控系統(tǒng)），七氟丙烷氣體滅火系統(tǒng)（無二次損傷），每年檢測1次防水防潮機房門口設(shè)擋水檻（高度≥10cm），配備除濕機增設(shè)漏水檢測繩（機柜下方、空調(diào)周邊），除濕機24小時運行，漏水報警響應(yīng)≤5分鐘防靜電/防雷設(shè)備接地（接地電阻≤4Ω），防雷器（電源/網(wǎng)絡(luò)）設(shè)備接地+等電位聯(lián)結(jié)（接地電阻≤1Ω），防雷系統(tǒng)年度檢測，核心設(shè)備加裝浪涌保護器2.3環(huán)境異常處置發(fā)現(xiàn)溫濕度超閾值、供電波動、漏水等異常，機房管理員需立即處置（如開啟備用空調(diào)、切換UPS供電）；三級機房環(huán)境異常需同步上報項目信息安全管理小組，重大異常（如火災(zāi)、大面積漏水）啟動《機房應(yīng)急處置預(yù)案》。3.人員與設(shè)備進出管理3.1人員進出管理（分角色管控）3.1.1內(nèi)部授權(quán)人員（機房管理員、IT運維）憑“機房門禁卡+人臉認(rèn)證”雙因子進入，門禁卡綁定個人信息，禁止轉(zhuǎn)借；進入前需在緩沖區(qū)更換防靜電服/鞋，存放個人物品（手機、U盤等）至專用儲物柜，禁止攜帶與工作無關(guān)物品；每次進出需在《機房人員進出登記表》記錄（日期、姓名、事由、進出時間），三級機房需同步留存門禁系統(tǒng)抓拍記錄。3.1.2外部人員（供應(yīng)商、審計、訪客）需提前24小時由對接部門提交《機房外部人員訪問申請表》，經(jīng)IT負(fù)責(zé)人（二級機房）/信息安全管理小組（三級機房）審批；進入時由內(nèi)部授權(quán)人員陪同，出示有效證件（身份證/工作證），登記個人信息后領(lǐng)取“臨時訪問卡”（僅限指定區(qū)域）；禁止單獨在機房內(nèi)活動，禁止觸碰非授權(quán)設(shè)備（如核心數(shù)據(jù)庫服務(wù)器），禁止拍照/錄像，離開時交還臨時訪問卡并注銷權(quán)限。3.2設(shè)備進出管理設(shè)備進入：新設(shè)備（服務(wù)器、交換機等）進入前，需經(jīng)IT運維組檢查（外觀完好、無危險品、合規(guī)配置），三級設(shè)備需額外進行病毒掃描；填寫《機房設(shè)備進出登記表》，注明設(shè)備名稱、型號、序列號、用途，由機房管理員核對后引導(dǎo)至指定機柜；設(shè)備移出：故障/報廢設(shè)備移出需提交《機房設(shè)備移除申請表》，經(jīng)IT負(fù)責(zé)人審批，三級設(shè)備需同步確認(rèn)數(shù)據(jù)已銷毀；移出時由雙人核對設(shè)備信息，確保與申請一致，報廢設(shè)備按《項目資產(chǎn)處置流程》處理（如物理粉碎存儲介質(zhì)）。4.機房工作人員管理4.1崗位職責(zé)劃分崗位主要職責(zé)權(quán)限范圍機房管理員1.日常環(huán)境維護（溫濕度、供電、消防）；2.人員/設(shè)備進出登記審核；3.監(jiān)控異常初步處置全機房區(qū)域訪問，設(shè)備基礎(chǔ)巡檢權(quán)限IT運維人員1.設(shè)備運維（系統(tǒng)部署、漏洞修復(fù)、故障排查）；2.系統(tǒng)上線/變更實施；3.數(shù)據(jù)備份驗證授權(quán)設(shè)備操作權(quán)限，禁止非授權(quán)配置修改安全監(jiān)督人員1.監(jiān)督制度執(zhí)行（如人員進出合規(guī)性）；2.定期審計機房操作日志；3.參與應(yīng)急處置全機房監(jiān)控查看權(quán)限，無設(shè)備操作權(quán)限4.2培訓(xùn)與考核新入職工作人員需完成機房安全培訓(xùn)（制度要求、應(yīng)急流程、設(shè)備安全），考核合格（≥80分）方可上崗；每季度開展1次專項培訓(xùn)（如消防演練、環(huán)境異常處置），三級機房工作人員需額外參加等級保護專項培訓(xùn)；年度考核將制度執(zhí)行情況（如進出登記完整性、異常上報及時性）納入績效，違規(guī)者按《信息安全懲戒管理程序》處理。4.3離崗管理工作人員臨時離崗（≥1小時）需關(guān)閉未使用設(shè)備，鎖好操作柜，退出系統(tǒng)賬號，三級機房需告知其他在崗人員；離職/調(diào)崗時需交還門禁卡、操作手冊等物品，注銷系統(tǒng)權(quán)限，三級機房需額外進行工作交接審計（如操作日志核查），確保無權(quán)限殘留。5.日常監(jiān)控管理5.1監(jiān)控范圍與工具監(jiān)控類別監(jiān)控內(nèi)容工具配置存儲要求視頻監(jiān)控機房出入口、設(shè)備區(qū)、緩沖區(qū)，無監(jiān)控盲區(qū)高清攝像頭（分辨率≥1080P），24小時錄像二級機房≥30天，三級機房≥90天環(huán)境監(jiān)控溫濕度、供電電壓/電流、漏水、消防狀態(tài)傳感器+監(jiān)控平臺（如動環(huán)監(jiān)控系統(tǒng)）數(shù)據(jù)留存≥6個月，異常記錄永久留存設(shè)備監(jiān)控服務(wù)器CPU/內(nèi)存/磁盤使用率、網(wǎng)絡(luò)帶寬、設(shè)備狀態(tài)運維監(jiān)控平臺（如Zabbix），核心設(shè)備加裝HIDS性能數(shù)據(jù)≥3個月，故障記錄≥1年門禁監(jiān)控人員進出抓拍、權(quán)限驗證記錄、異常開門（如暴力破解）門禁管理系統(tǒng)，聯(lián)動報警裝置記錄留存≥90天，異常記錄同步至安全管理中心5.2監(jiān)控異常處置流程一級異常（火災(zāi)、供電中斷、核心設(shè)備宕機）：機房管理員立即觸發(fā)聲光報警，啟動應(yīng)急方案（如切換備用電源、疏散人員、啟動滅火系統(tǒng)）；15分鐘內(nèi)上報信息安全管理小組，同步通知消防、供電部門，三級機房需2小時內(nèi)上報監(jiān)管機構(gòu)；二級異常（溫濕度超閾值、漏水、非授權(quán)開門）：機房管理員30分鐘內(nèi)現(xiàn)場處置（如開啟除濕機、封堵漏水點、核實人員身份）；處置后記錄《機房監(jiān)控異常處置單》，三級機房需同步提交安全監(jiān)督人員復(fù)核；三級異常（設(shè)備性能波動、非關(guān)鍵告警）：IT運維人員2小時內(nèi)排查原因，制定優(yōu)化方案（如清理磁盤空間、調(diào)整資源分配）；處置結(jié)果納入《機房運維周報》，定期復(fù)盤改進。6.系統(tǒng)上線及變更管理6.1系統(tǒng)上線管理1）上線前準(zhǔn)備：二級系統(tǒng)：IT運維組確認(rèn)機房環(huán)境達(dá)標(biāo)（如機柜電源、網(wǎng)絡(luò)接口），完成設(shè)備部署與安全配置（禁用默認(rèn)賬號、開啟加密）；三級系統(tǒng)：額外提交《系統(tǒng)上線安全評估報告》，經(jīng)信息安全管理小組審核，確認(rèn)滿足等級保護要求（如滲透測試合格、日志審計啟用）；2）上線實施：選擇業(yè)務(wù)低峰期（如夜間/周末）實施，由雙人操作（實施人+監(jiān)督人），同步備份系統(tǒng)配置與數(shù)據(jù)；上線后開展功能驗證（業(yè)務(wù)流程正常）、安全驗證（無漏洞殘留），二級系統(tǒng)驗證后即可啟用，三級系統(tǒng)需觀察24小時無異常后啟用；3）上線后記錄：填寫《機房系統(tǒng)上線記錄表》，留存配置文檔、測試報告，納入機房運維檔案。6.2系統(tǒng)變更管理1）變更申請：機房內(nèi)系統(tǒng)/設(shè)備變更（如版本升級、配置修改、硬件更換）需提交《機房系統(tǒng)變更申請表》，說明變更內(nèi)容、風(fēng)險評估、回滾方案；二級系統(tǒng)變更由IT負(fù)責(zé)人審批，三級系統(tǒng)變更需經(jīng)信息安全管理小組審核，核心變更（如數(shù)據(jù)庫參數(shù)修改）需組織預(yù)演；2）變更實施：實施前關(guān)閉非必要服務(wù)，備份變更相關(guān)數(shù)據(jù)（三級系統(tǒng)需異地備份），由授權(quán)運維人員按方案執(zhí)行，禁止臨時調(diào)整操作步驟；變更過程中實時監(jiān)控設(shè)備狀態(tài)，若出現(xiàn)異常立即執(zhí)行回滾方案，三級變更需同步留存操作日志；3）變更后驗證：實施后由業(yè)務(wù)部門驗證功能正常，IT運維組驗證安全合規(guī)（如權(quán)限無異常、漏洞無新增），填寫《機房系統(tǒng)變更驗證單》；三級變更需在1周內(nèi)開展復(fù)盤，確認(rèn)無潛在風(fēng)險，變更記錄納入《項目變更管理臺賬》。7.附則7.1責(zé)任追究違反本制度規(guī)定（如未授權(quán)進入、擅自修改配置、隱瞞異常），視情節(jié)輕重給予警告、績效扣減，造成重大損失（如系統(tǒng)癱瘓、數(shù)據(jù)泄露）的，追究法律責(zé)任；外部人員違規(guī)由對接部門承擔(dān)連帶責(zé)任，情節(jié)嚴(yán)重的納入“項目合作黑名單”，禁止后續(xù)合作。7.2記錄表單目錄《機房人員進出登記表》《機房設(shè)備進出登記表》《機房監(jiān)控異常處置單》《機房系統(tǒng)上線記錄表》《機房系統(tǒng)變更驗證單》7.3制度解釋與修訂本制度由項目IT運維組負(fù)責(zé)解釋，未盡事宜參照GB/T22239-2019及《信息安全管理手冊》執(zhí)行；每年結(jié)合機房等級測評結(jié)果、業(yè)務(wù)變更開展制度評審，修訂需經(jīng)信息安全管理小組審批后發(fā)布更新。信息安全技術(shù)網(wǎng)絡(luò)安全等級保護辦公場所保護制度1.總則1.1編制目的為落實GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》中“安全物理環(huán)境”“安全管理機構(gòu)”管控要求，規(guī)范辦公場所（含敞開辦公區(qū)、獨立辦公室、接待區(qū)、文件存儲區(qū)等）的人員進出、設(shè)備存放、信息保護及消防安全管理，防范火災(zāi)、盜竊、信息泄露等風(fēng)險，保障辦公環(huán)境安全及項目數(shù)據(jù)資產(chǎn)機密性，支撐項目等級保護對象（如二級/三級系統(tǒng)）的全生命周期安全。1.2編制依據(jù)《中華人民共和國消防法》（第二十八條：消防設(shè)施維護要求）；《中華人民共和國網(wǎng)絡(luò)安全法》（第二十一條：物理安全與信息保護要求）；GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》“6安全物理環(huán)境”“9安全管理機構(gòu)”；項目《信息安全管理手冊》（V1.0）“4.2管理類控制措施”、《機房管理制度》（V1.0）“3人員與設(shè)備進出管理”。1.3適用范圍區(qū)域范圍：項目所有辦公場所，包括但不限于：核心辦公區(qū)（承載二級/三級系統(tǒng)操作的員工辦公區(qū)）；敏感區(qū)域（文件存儲室、臨時服務(wù)器存放點、保密會議室）；公共區(qū)域（前臺接待區(qū)、茶水間、走廊、衛(wèi)生間）；人員范圍：項目內(nèi)部員工（正式/試用期/實習(xí)生）、外部合作方（供應(yīng)商、審計人員）、臨時訪客（客戶、應(yīng)聘者）。2.辦公場所安全管理2.1人員進出與管控2.1.1內(nèi)部員工管理員工憑“工牌+人臉識別”進入辦公區(qū)，工牌需佩戴在胸前顯眼位置，禁止轉(zhuǎn)借他人；敏感區(qū)域（如文件存儲室、保密會議室）需額外通過“密碼+權(quán)限審批”進入，權(quán)限由行政部統(tǒng)一分配，每月復(fù)核1次；員工每日下班前需確認(rèn)工位無敏感文件（紙質(zhì)/電子）遺留，關(guān)閉電腦（設(shè)置鎖屏密碼，超時≤10分鐘）、打印機等設(shè)備電源。2.1.2外部人員與訪客管理1）合作方（長期駐場）：需提交《外部人員辦公準(zhǔn)入申請》，經(jīng)項目對接部門負(fù)責(zé)人+行政部審批，辦理“臨時工作證”（標(biāo)注有效期，最長3個月）；僅限在指定工位辦公，禁止訪問核心辦公區(qū)及敏感區(qū)域，使用內(nèi)部網(wǎng)絡(luò)需通過隔離VLAN（無敏感數(shù)據(jù)訪問權(quán)限）。2）臨時訪客（單日來訪）：前臺登記個人信息（姓名、單位、事由、身份證號），領(lǐng)取“訪客證”，由對接員工全程陪同；禁止進入敏感區(qū)域，禁止攜帶攝影設(shè)備（手機需調(diào)至靜音，禁止拍攝辦公區(qū)屏幕/文件），離開時交還訪客證并注銷登記。2.2設(shè)備與資產(chǎn)安全管理1）辦公設(shè)備存放：筆記本電腦、移動硬盤等便攜設(shè)備，非使用時需鎖入工位抽屜或儲物柜，禁止隨意放置在桌面；敏感設(shè)備（如臨時用于三級系統(tǒng)操作的筆記本）需標(biāo)注“敏感設(shè)備”標(biāo)識，由專人保管，外出攜帶需提交《辦公設(shè)備外帶申請》（行政部審批）。2）設(shè)備防盜措施：辦公區(qū)出入口、敏感區(qū)域安裝視頻監(jiān)控（分辨率≥1080P，存儲≥30天），行政部每日抽查監(jiān)控錄像（重點核查夜間及節(jié)假日）；節(jié)假日（如周末、長假）前，行政部組織設(shè)備盤點（筆記本、投影儀等），關(guān)閉非必要設(shè)備電源，鎖閉門窗及敏感區(qū)域。2.3信息泄露防護2.3.1紙質(zhì)文件管理存儲：敏感紙質(zhì)文件（如三級系統(tǒng)操作手冊、客戶核心信息）需存入帶鎖文件柜，標(biāo)注“敏感文件”，存放位置遠(yuǎn)離辦公區(qū)出入口；使用：查閱敏感文件需在工位內(nèi)進行，禁止帶出辦公區(qū)，使用后立即歸位；銷毀：廢棄紙質(zhì)文件（含敏感信息）需通過指定碎紙機銷毀（碎紙規(guī)格≤2×10mm），禁止隨意丟棄或作為廢紙回收。2.3.2電子信息管理辦公電腦禁止安裝非工作軟件（如聊天工具、云存儲客戶端），USB端口僅開放“只讀”權(quán)限（敏感區(qū)域電腦禁用USB端口）；員工禁止通過私人郵箱、微信等工具傳輸敏感數(shù)據(jù)（如二級/三級數(shù)據(jù)），需使用項目指定加密工具（如企業(yè)微信加密會話、SFTP）；會議安全：敏感會議（如三級系統(tǒng)方案討論）需在保密會議室召開，關(guān)閉手機信號屏蔽器，禁止錄音/錄像，會議紀(jì)要需標(biāo)注“保密”并加密存儲。3.辦公場所消防安全管理3.1消防設(shè)施配置與維護3.1.1設(shè)施配置標(biāo)準(zhǔn)區(qū)域類型消防設(shè)施配置要求配置密度敞開辦公區(qū)干粉滅火器（ABC型）、應(yīng)急照明、疏散指示標(biāo)志每50㎡1具滅火器，疏散指示標(biāo)志間距≤20m敏感區(qū)域干粉滅火器、煙感報警器、應(yīng)急照明每30㎡1具滅火器，煙感報警器全覆蓋走廊/樓梯間消火栓、應(yīng)急照明、疏散指示標(biāo)志、防火門消火栓間距≤30m，防火門常閉（可自動關(guān)閉）茶水間干粉滅火器、滅火毯、煙感報警器1具滅火器+1條滅火毯，煙感報警器聯(lián)動前臺3.1.2維護與檢查1）行政部每月開展1次消防設(shè)施檢查，填寫《辦公場所消防設(shè)施檢查表》，重點核查：滅火器壓力正常（指針在綠色區(qū)域）、有效期內(nèi)；煙感報警器、應(yīng)急照明功能正常；消火栓無遮擋，水帶/水槍完好；2）每年委托專業(yè)機構(gòu)對消防設(shè)施進行1次全面檢測（如滅火器充裝、煙感報警器校準(zhǔn)），檢測報告留存≥3年；3）禁止遮擋消防設(shè)施（如滅火器、消火栓、疏散指示標(biāo)志），禁止占用消防通道（走廊/樓梯間禁止堆放雜物）。3.2消防安全培訓(xùn)與演練1）培訓(xùn)要求：新員工入職需參加消防安全培訓(xùn)（內(nèi)容：滅火器使用、疏散路線、火災(zāi)報警流程），考核合格方可上崗；全員每季度開展1次消防安全宣貫（如“火災(zāi)隱患識別”“初期火災(zāi)處置”），培訓(xùn)記錄留存≥2年。2）應(yīng)急演練：行政部每半年組織1次消防應(yīng)急演練，模擬“辦公區(qū)初期火災(zāi)”場景，演練內(nèi)容包括：火災(zāi)報警（撥打119+通知前臺）；初期火災(zāi)處置（使用滅火器/滅火毯滅火）；人員疏散（沿疏散路線撤離至指定集合點，清點人數(shù)）；演練后輸出《消防應(yīng)急演練復(fù)盤報告》，優(yōu)化演練流程。3.3消防安全禁止事項禁止在辦公區(qū)吸煙（僅限指定吸煙區(qū)），禁止使用明火（如蠟燭、酒精燈）；禁止私拉亂接電線，禁止使用大功率電器（如電爐、電暖器，茶水間除外）；禁止堵塞消防通道、占用防火間距，禁止關(guān)閉防火門（敏感區(qū)域除外）；禁止私自拆卸/停用消防設(shè)施（如煙感報警器、應(yīng)急照明）。4.應(yīng)急處置流程4.1火災(zāi)應(yīng)急處置1）初期火災(zāi)（火勢可控）：發(fā)現(xiàn)人立即使用附近滅火器/滅火毯滅火，同時通知前臺觸發(fā)聲光報警；行政部組織周邊員工疏散至安全區(qū)域，指定專人清點人數(shù)，禁止返回火場；2）火勢擴大（不可控）：前臺立即撥打119報警（說明地址、火勢、燃燒物類型），同步上報項目負(fù)責(zé)人；全員沿疏散路線撤離，集合點清點人數(shù)，行政部向消防人員提供辦公區(qū)布局圖；火災(zāi)撲滅后，配合消防部門調(diào)查起火原因，清理現(xiàn)場前保護火災(zāi)痕跡。4.2盜竊應(yīng)急處置發(fā)現(xiàn)辦公設(shè)備丟失、敏感文件被盜，立即保護現(xiàn)場（禁止觸碰可疑物品），通知行政部及項目信息安全管理小組；行政部調(diào)取監(jiān)控錄像，核查盜竊時間、嫌疑人特征，必要時撥打110報警；若涉及敏感信息泄露（如被盜設(shè)備存儲三級數(shù)據(jù)），信息安全管理小組需啟動《信息泄露應(yīng)急預(yù)案》，評估泄露范圍并采取止損措施（如遠(yuǎn)程鎖定設(shè)備、修改系統(tǒng)密碼）。4.3信息泄露應(yīng)急處置發(fā)現(xiàn)敏感信息泄露（如紙質(zhì)文件丟失、電子數(shù)據(jù)外泄），當(dāng)事人需立即上報項目信息安全管理小組；信息安全管理小組2小時內(nèi)開展溯源，明確泄露信息類型（一級/二級/三級數(shù)據(jù)）、范圍；采取止損措施（如召回丟失文件、刪除外泄數(shù)據(jù)、通知受影響方），填寫《辦公場所信息泄露處置單》，重大泄露需上報監(jiān)管機構(gòu)。5.監(jiān)督與改進5.1日常監(jiān)督1）行政部每日巡查辦公場所，重點核查：人員進出合規(guī)（訪客陪同、工牌佩戴）；消防設(shè)施無遮擋、消防通道暢通；敏感文件/設(shè)備存放合規(guī)；2）項目信息安全管理小組每季度開展1次辦公場所安全審計，抽查監(jiān)控錄像、消防檢查記錄、信息保護執(zhí)行情況，審計報告提交項目負(fù)責(zé)人。5.2持續(xù)改進每年結(jié)合安全審計結(jié)果、應(yīng)急演練效果、業(yè)務(wù)變更（如辦公區(qū)域調(diào)整），開展制度評審，必要時修訂本制度；收集員工反饋的安全隱患（如“消防通道堵塞”“敏感區(qū)域權(quán)限混亂”），行政部15個工作日內(nèi)整改并反饋；借鑒行業(yè)案例（如“辦公區(qū)火災(zāi)事故”“信息泄露事件”），優(yōu)化管控措施（如增加敏感區(qū)域監(jiān)控密度、升級消防設(shè)施）。6.附則6.1責(zé)任追究1）員工違反本制度規(guī)定（如未鎖電腦導(dǎo)致設(shè)備丟失、遮擋消防設(shè)施、泄露敏感信息），視情節(jié)輕重給予：輕微違規(guī)：口頭警告+安全培訓(xùn)；一般違規(guī)：書面警告+績效扣減（1%-3%）；嚴(yán)重違規(guī)（如導(dǎo)致火災(zāi)、重大信息泄露）：按項目《信息安全懲戒管理程序》處理，追究法律責(zé)任。2）外部人員違規(guī)（如訪客擅自進入敏感區(qū)域、合作方泄露數(shù)據(jù)），立即終止訪問權(quán)限，情節(jié)嚴(yán)重的納入“項目合作黑名單”，追究其法律責(zé)任。6.2記錄表單目錄《外部人員辦公準(zhǔn)入申請》《辦公場所消防設(shè)施檢查表》《消防應(yīng)急演練復(fù)盤報告》《辦公場所信息泄露處置單》《辦公設(shè)備外帶申請》6.3制度解釋與修訂本制度由項目行政部負(fù)責(zé)解釋，未盡事宜參照GB/T22239-2019、《信息安全管理手冊》及國家消防法規(guī)執(zhí)行；制度修訂需經(jīng)行政部+信息安全管理小組審核，項目負(fù)責(zé)人審批后發(fā)布，舊版本同步作廢并回收。GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護病毒防范制度1.總則1.1編制目的為落實GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》中“安全計算環(huán)境”“安全管理機構(gòu)”對惡意代碼防范的管控要求，規(guī)范項目病毒（含木馬、勒索軟件、挖礦程序、惡意腳本等）與惡意軟件的預(yù)防、檢測、清除流程，構(gòu)建“主動防御+快速響應(yīng)”的防范體系，防范病毒入侵導(dǎo)致的系統(tǒng)癱瘓、數(shù)據(jù)加密/泄露風(fēng)險，保障項目核心業(yè)務(wù)（如二級/三級系統(tǒng)運行）及日常辦公的連續(xù)性。1.2編制依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》（第二十一條：惡意代碼防范要求）；GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》“6.3安全計算環(huán)境-惡意代碼防范”“9.2安全管理機構(gòu)-安全管理活動”；項目《信息安全管理手冊》（V1.0）“4.2管理類控制措施”、《辦公場所保護制度》（V1.0）“2.3信息泄露防護”。1.3適用范圍設(shè)備范圍：項目所有接入內(nèi)部網(wǎng)絡(luò)的設(shè)備，包括：終端設(shè)備（員工辦公電腦、筆記本、打印機）；服務(wù)器設(shè)備（核心業(yè)務(wù)服務(wù)器、數(shù)據(jù)庫服務(wù)器、文件服務(wù)器）；移動設(shè)備（員工工作手機、平板）；網(wǎng)絡(luò)設(shè)備（交換機、防火墻、郵件網(wǎng)關(guān)）；人員范圍：項目內(nèi)部員工（正式/試用期/實習(xí)生）、外部合作方（駐場運維、供應(yīng)商）、臨時授權(quán)人員（審計、訪客）；惡意軟件類型：病毒、木馬、勒索軟件、挖礦程序、蠕蟲、惡意腳本、廣告插件（影響系統(tǒng)性能的非必要程序）。2.病毒防范核心控制措施2.1技術(shù)防護措施（分設(shè)備差異化管控）2.1.1終端設(shè)備防護（辦公電腦/筆記本）工具部署：全員終端強制安裝EDR（終端檢測與響應(yīng)）工具（如奇安信天擎、火絨企業(yè)版），啟用“實時監(jiān)控+定時掃描”雙模式；配置要求：實時監(jiān)控：開啟進程防護（攔截惡意進程創(chuàng)建）、文件防護（掃描下載/解壓文件）、U盤防護（插入即掃描）；定時掃描：每周日凌晨自動全量掃描，員工可手動觸發(fā)“快速掃描”（如接收可疑文件后）；防護強化：敏感區(qū)域（如文件存儲室、保密會議室）終端禁用USB端口，禁止安裝非工作軟件（通過EDR黑白名單管控）。2.1.2服務(wù)器設(shè)備防護（核心/非核心）服務(wù)器類型防護工具配置掃描與更新要求核心服務(wù)器（三級系統(tǒng)）部署專用服務(wù)器殺毒軟件（如卡巴斯基企業(yè)版）+行為審計工具實時掃描（攔截異常文件寫入/進程調(diào)用），病毒庫每2小時更新1次，每日凌晨全量掃描非核心服務(wù)器（二級系統(tǒng)）部署企業(yè)級殺毒軟件（如360天擎服務(wù)器版）定時掃描（每日凌晨），病毒庫每日更新2次，每周全量掃描文件服務(wù)器殺毒軟件+文件過濾網(wǎng)關(guān)上傳文件實時掃描，禁止存儲.exe/.bat/.rar等高危格式文件2.1.3網(wǎng)絡(luò)邊界防護郵件網(wǎng)關(guān)：部署郵件病毒過濾功能，攔截含惡意附件（如.exe/.js/.宏文件）、可疑發(fā)件人（海外IP、無聯(lián)系人信息）的郵件，標(biāo)記釣魚郵件（前綴“【風(fēng)險提示】”）；防火墻/IDS：配置病毒特征碼攔截規(guī)則（如勒索軟件傳播端口445/139阻斷），實時監(jiān)控網(wǎng)絡(luò)流量中的惡意代碼特征，異常流量觸發(fā)告警（響應(yīng)≤15分鐘）；Web防護：核心業(yè)務(wù)系統(tǒng)前端部署WAF（Web應(yīng)用防火墻），攔截含惡意腳本的HTTP請求（如SQL注入、XSS攻擊）。2.1.4移動設(shè)備與云環(huán)境防護員工工作手機需安裝企業(yè)移動管理（MDM）軟件，禁止安裝來源不明的APP，接入內(nèi)部網(wǎng)絡(luò)前需通過病毒掃描；云主機（如項目租用的阿里云ECS）需啟用云廠商提供的病毒防護服務(wù)（如阿里云安全中心），同步項目病毒庫更新策略，云存儲禁止上傳未加密的敏感文件。2.2管理防護措施（全流程管控）1）病毒庫與補丁管理：病毒庫更新：IT部每日核查EDR/殺毒軟件病毒庫更新率（要求≥99%），未更新終端強制推送更新（3次提醒后鎖定賬號）；系統(tǒng)補?。好吭?日前推送操作系統(tǒng)/軟件安全補丁，核心服務(wù)器補丁測試后24小時內(nèi)安裝，終端補丁72小時內(nèi)安裝（通過EDR監(jiān)控安裝進度）。2）軟件管控：建立“項目軟件白名單”（僅允許安裝辦公/業(yè)務(wù)必需軟件），禁止安裝盜版軟件、破解工具（EDR自動攔截非白名單軟件安裝）；新軟件上線前需經(jīng)IT部病毒掃描（確認(rèn)無捆綁惡意代碼），方可納入白名單。3）人員培訓(xùn)：新員工入職需完成病毒防范培訓(xùn)（內(nèi)容：釣魚郵件識別、可疑文件處理、病毒應(yīng)急上報），考核合格（≥80分）方可啟用設(shè)備；全員每季度開展1次病毒防范專項培訓(xùn)（含新型病毒特征講解、模擬釣魚測試），測試不合格者需補考。3.病毒防范操作程序3.1日常操作規(guī)范（全員執(zhí)行）1）設(shè)備使用：終端開機后確認(rèn)EDR/殺毒軟件已啟用（圖標(biāo)正常運行），未啟用需立即聯(lián)系IT部，禁止手動關(guān)閉防護功能；下班前關(guān)閉終端不必要進程，清理桌面可疑文件（如不明來源的壓縮包、文檔）。2）文件與郵件處理：接收外部文件（如郵件附件、U盤文件）需先通過EDR掃描（右鍵“病毒掃描”），確認(rèn)無風(fēng)險后打開；收到可疑郵件（如標(biāo)題含“緊急通知”“賬戶異常”、發(fā)件人陌生），禁止打開附件/點擊鏈接，立即標(biāo)記“垃圾郵件”并上報IT部。3）移動介質(zhì)管理：項目專用U盤需經(jīng)IT部格式化并植入“病毒防護標(biāo)識”，禁止使用私人U盤接入項目設(shè)備；外部U盤接入前需經(jīng)IT部全量掃描（僅允許讀取，禁止寫入項目數(shù)據(jù)）。3.2特殊場景操作規(guī)范（重點管控）1）遠(yuǎn)程辦公操作：員工遠(yuǎn)程辦公需先連接企業(yè)VPN（雙因子認(rèn)證），VPN客戶端自動觸發(fā)終端病毒掃描（無風(fēng)險方可接入內(nèi)網(wǎng)）；禁止在公共網(wǎng)絡(luò)（如咖啡廳WiFi）直接處理敏感數(shù)據(jù)，禁止將項目文件存儲至私人云盤。2）外部合作方操作：合作方駐場設(shè)備需接入項目“隔離VLAN”，IT部預(yù)裝臨時殺毒軟件（與項目病毒庫同步），每日掃描1次；合作方傳輸數(shù)據(jù)需通過項目指定加密通道（如SFTP），禁止通過微信/QQ傳輸，數(shù)據(jù)接收后需二次掃描。3.3定期檢測程序（IT部執(zhí)行）日常檢測：IT部每日通過EDR管理平臺核查病毒告警（重點關(guān)注“高危告警”如勒索軟件特征），15分鐘內(nèi)核查告警原因（區(qū)分誤報/真實感染）；定期掃描：每周對核心服務(wù)器開展“深度病毒掃描”（覆蓋所有磁盤分區(qū)、隱藏文件）；每月對全量終端開展“惡意軟件專項掃描”（重點排查挖礦程序、潛伏木馬），掃描結(jié)果納入《病毒防范月度報告》。4.病毒應(yīng)急處置流程（分級響應(yīng)）4.1病毒感染分級（按影響范圍）感染等級定義示例響應(yīng)時限一級感染（高危）核心設(shè)備/系統(tǒng)感染，可能擴散至全項目核心服務(wù)器感染勒索軟件、終端批量觸發(fā)挖礦程序告警15分鐘響應(yīng)，2小時控制二級感染（中危）非核心設(shè)備感染，局部影響（如單部門終端）單臺辦公電腦感染木馬、非核心服務(wù)器檢測惡意腳本30分鐘響應(yīng)，4小時控制三級感染（低危）單臺非核心設(shè)備感染，無擴散風(fēng)險終端檢測過期病毒、非工作軟件捆綁廣告插件2小時響應(yīng)，8小時控制4.2分級處置流程4.2.1一級感染處置（核心響應(yīng)）1）止損隔離：發(fā)現(xiàn)人立即斷開感染設(shè)備網(wǎng)絡(luò)（物理拔網(wǎng)線/禁用網(wǎng)卡），通知IT部及項目信息安全管理小組；IT部15分鐘內(nèi)定位感染范圍（通過EDR查詢關(guān)聯(lián)設(shè)備），隔離感染設(shè)備所在VLAN（禁止擴散至核心區(qū)）。2）清除與恢復(fù)：使用“病毒專殺工具”（如勒索病毒專殺工具）清除惡意代碼，無法清除則重裝系統(tǒng)（需格式化系統(tǒng)盤，備份數(shù)據(jù)需先掃描）；核心數(shù)據(jù)恢復(fù)：從異地備份恢復(fù)一級數(shù)據(jù)（驗證完整性），恢復(fù)后通過EDR全量掃描（確認(rèn)無殘留病毒）；3）溯源與上報：IT部24小時內(nèi)通過EDR日志、網(wǎng)絡(luò)流量溯源感染源頭（如“某員工點擊釣魚郵件附件”）；信息安全管理小組出具《一級病毒感染處置報告》，24小時內(nèi)上報項目負(fù)責(zé)人，必要時上報監(jiān)管機構(gòu)。4.2.2二級/三級感染處置感染設(shè)備使用者立即上報IT部，IT部30分鐘內(nèi)遠(yuǎn)程/現(xiàn)場排查，通過EDR隔離感染文件（禁止刪除，留作分析）；清除惡意代碼后，掃描確認(rèn)無殘留，二級感染需復(fù)查同部門其他終端（防止局部擴散）；填寫《病毒感染處置記錄表》，分析感染原因（如“未及時更新病毒庫”“打開可疑文件”），納入月度復(fù)盤。4.3后續(xù)改進病毒處置后，IT部更新病毒庫特征（如新增新型勒索軟件特征碼）、優(yōu)化防護策略（如加強某類文件掃描強度）；信息安全管理小組組織相關(guān)人員開展復(fù)盤（如感染部門全員再培訓(xùn)），避免同類事件重復(fù)發(fā)生。5.監(jiān)督與改進5.1日常監(jiān)督1）IT部每日監(jiān)控：病毒防護覆蓋率（EDR啟用率≥99%、病毒庫更新率≥99%）；病毒告警處置率（一級告警100%處置，二級告警≥95%處置）；未達(dá)標(biāo)項需當(dāng)日整改，整改結(jié)果上報信息安全管理小組。2）信息安全管理小組每季度開展病毒防范審計，重點核查：核心服務(wù)器病毒掃描記錄、補丁安裝記錄；員工病毒防范操作合規(guī)性（如可疑郵件上報率、非白名單軟件安裝率）；審計結(jié)果納入部門績效考核，連續(xù)2次未達(dá)標(biāo)部門負(fù)責(zé)人需約談。5.2持續(xù)改進每年結(jié)合病毒防范審計結(jié)果、新型病毒趨勢（如勒索軟件變異方向），修訂本制度（優(yōu)化防護措施、操作程序）；每半年開展1次“病毒防范應(yīng)急演練”（模擬核心服務(wù)器感染勒索病毒場景），檢驗處置流程有效性，輸出《演練復(fù)盤報告》并優(yōu)化預(yù)案；收集員工/合作方反饋的防范痛點（如“EDR掃描卡頓影響工作”），IT部15個工作日內(nèi)優(yōu)化工具配置或更換方案。6.附則6.1責(zé)任追究1）員工違反本制度規(guī)定，視情節(jié)輕重給予處罰：輕微違規(guī)（如關(guān)閉EDR防護、使用私人U盤）：口頭警告+重新培訓(xùn)；一般違規(guī)（如打開可疑郵件導(dǎo)致終端感染、未及時上報病毒告警）：書面警告+績效扣減1%-3%；嚴(yán)重違規(guī)（如故意關(guān)閉核心服務(wù)器防護導(dǎo)致病毒擴散、泄露項目病毒防護策略）：按項目《信息安全懲戒管理程序》處理，追究法律責(zé)任。2）外部合作方違規(guī)（如駐場設(shè)備未掃描帶入病毒、泄露項目病毒庫）：立即終止合作，扣除履約保證金，情節(jié)嚴(yán)重的納入“項目合作黑名單”。6.2記錄表單目錄《病毒感染處置記錄表》《病毒防范月度報告》《一級病毒感染處置報告》《病毒防范應(yīng)急演練復(fù)盤報告》《軟件白名單申請與審批表》6.3制度解釋與修訂本制度由項目IT部負(fù)責(zé)解釋，未盡事宜參照GB/T22239-2019、《信息安全管理手冊》及國家網(wǎng)絡(luò)安全法規(guī)執(zhí)行；制度修訂需經(jīng)IT部+信息安全管理小組審核，項目負(fù)責(zé)人審批后發(fā)布，舊版本同步作廢并回收。GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護資產(chǎn)分類分級制度1.總則1.1編制目的為落實GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》中“9.2安全管理機構(gòu)-資產(chǎn)安全管理”“6.3安全計算環(huán)境-資產(chǎn)管控”要求，通過對項目資產(chǎn)進行科學(xué)分類、精準(zhǔn)分級及統(tǒng)一標(biāo)識，明確不同類別/級別資產(chǎn)的保護優(yōu)先級與措施，防范資產(chǎn)丟失、損壞、泄露風(fēng)險，保障核心資產(chǎn)（如三級系統(tǒng)服務(wù)器、核心業(yè)務(wù)數(shù)據(jù)）安全，支撐項目等級保護對象的全生命周期安全管控。1.2編制依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》（第二十一條：資產(chǎn)安全保護要求）；GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》“9.2.1資產(chǎn)管理”“6.3.1資產(chǎn)安全”；項目《信息安全管理手冊》（V1.0）“3.2安全管理體系架構(gòu)”“4.2管理類控制措施”、《機房管理制度》（V1.0）“2機房環(huán)境要求”。1.3適用范圍資產(chǎn)范圍：項目全生命周期內(nèi)所有與信息安全相關(guān)的資產(chǎn)，包括：物理資產(chǎn)（機房設(shè)備、辦公設(shè)備、存儲介質(zhì)等）；網(wǎng)絡(luò)資產(chǎn)（網(wǎng)絡(luò)設(shè)備、通信鏈路、安全設(shè)備等）；數(shù)據(jù)資產(chǎn)（業(yè)務(wù)數(shù)據(jù)、配置數(shù)據(jù)、文檔數(shù)據(jù)等）；軟件資產(chǎn)（操作系統(tǒng)、應(yīng)用系統(tǒng)、工具軟件等）；人員資產(chǎn)（關(guān)鍵崗位人員、安全管理人員等）；管理范圍：資產(chǎn)的登記、分類、分級、標(biāo)識、保護、清查、變更、處置全流程。2.資產(chǎn)分類規(guī)則（按屬性分類）按資產(chǎn)屬性劃分為5大類、12小類，每類資產(chǎn)明確歸屬部門與管理責(zé)任人，確保分類無遺漏、無交叉：資產(chǎn)大類資產(chǎn)小類定義與示例歸屬部門管理責(zé)任人物理資產(chǎn)機房核心設(shè)備支撐核心系統(tǒng)運行的物理設(shè)備，如三級系統(tǒng)服務(wù)器、數(shù)據(jù)庫存儲陣列、UPS電源IT部機房管理員辦公終端設(shè)備員工日常辦公設(shè)備，如臺式電腦、筆記本、打印機、掃描儀行政部（采購）/各業(yè)務(wù)部門（使用）部門資產(chǎn)管理員存儲介質(zhì)用于數(shù)據(jù)存儲的介質(zhì)，如加密U盤、移動硬盤、光盤、磁帶IT部（敏感介質(zhì)）/各業(yè)務(wù)部門（普通介質(zhì)）介質(zhì)管理員網(wǎng)絡(luò)資產(chǎn)網(wǎng)絡(luò)設(shè)備實現(xiàn)網(wǎng)絡(luò)連接與管控的設(shè)備，如交換機、路由器、防火墻、負(fù)載均衡器IT部網(wǎng)絡(luò)管理員通信鏈路傳輸數(shù)據(jù)的網(wǎng)絡(luò)鏈路，如機房雙路專線、辦公區(qū)局域網(wǎng)、VPN鏈路IT部網(wǎng)絡(luò)管理員安全設(shè)備保障網(wǎng)絡(luò)與系統(tǒng)安全的設(shè)備，如WAF、IDS/IPS、EDR服務(wù)器、日志審計系統(tǒng)IT部安全管理員數(shù)據(jù)資產(chǎn)核心業(yè)務(wù)數(shù)據(jù)支撐項目核心業(yè)務(wù)的敏感數(shù)據(jù)，如客戶身份證號、交易記錄、核心系統(tǒng)配置參數(shù)業(yè)務(wù)部門（產(chǎn)生）/IT部（存儲）數(shù)據(jù)管理員普通業(yè)務(wù)數(shù)據(jù)非核心業(yè)務(wù)數(shù)據(jù)，如OA審批記錄、會議紀(jì)要、普通客戶聯(lián)系方式各業(yè)務(wù)部門部門數(shù)據(jù)管理員文檔數(shù)據(jù)項目管理與技術(shù)文檔，如等級保護測評報告、系統(tǒng)架構(gòu)設(shè)計文檔、安全管理制度信息安全管理小組/IT部文檔管理員軟件資產(chǎn)系統(tǒng)軟件支撐硬件運行的基礎(chǔ)軟件，如WindowsServer、Linux、數(shù)據(jù)庫系統(tǒng)（Oracle/Mysql）IT部運維管理員應(yīng)用軟件實現(xiàn)業(yè)務(wù)功能的軟件，如核心業(yè)務(wù)系統(tǒng)、OA系統(tǒng)、殺毒軟件業(yè)務(wù)部門（需求）/IT部（部署）應(yīng)用管理員人員資產(chǎn)關(guān)鍵崗位人員承擔(dān)核心安全職責(zé)或接觸敏感資產(chǎn)的人員，如安全管理員、機房管理員、核心系統(tǒng)運維人員人力資源部/信息安全管理小組人力資源專員3.資產(chǎn)分級標(biāo)準(zhǔn)（按重要性分級）結(jié)合GB/T22239-2019等級保護對象分級要求，按資產(chǎn)“影響范圍（業(yè)務(wù)/數(shù)據(jù)）+風(fēng)險后果（損失程度）”分為四級，分級結(jié)果作為保護措施制定的核心依據(jù)：3.1分級定義與判定標(biāo)準(zhǔn)資產(chǎn)級別定義判定標(biāo)準(zhǔn)（滿足任意1項即可）一級資產(chǎn)（普通）資產(chǎn)損壞/丟失僅影響個體或局部，無業(yè)務(wù)中斷或數(shù)據(jù)泄露風(fēng)險1.非核心辦公設(shè)備（如普通打印機、備用筆記本）；2.普通業(yè)務(wù)數(shù)據(jù)（如非敏感會議紀(jì)要）；3.非關(guān)鍵崗位人員（如實習(xí)生、普通行政人員）二級資產(chǎn)（重要）資產(chǎn)損壞/丟失影響局部業(yè)務(wù)或非核心數(shù)據(jù)，造成輕微損失1.二級系統(tǒng)相關(guān)資產(chǎn)（如OA服務(wù)器、普通文件服務(wù)器）；2.普通業(yè)務(wù)數(shù)據(jù)（如客戶手機號、員工薪酬數(shù)據(jù)）；3.重要崗位人員（如業(yè)務(wù)部門負(fù)責(zé)人、非核心系統(tǒng)運維人員）三級資產(chǎn)（核心）資產(chǎn)損壞/丟失導(dǎo)致核心業(yè)務(wù)中斷或核心數(shù)據(jù)泄露，造成重大損失1.三級系統(tǒng)相關(guān)資產(chǎn)（如核心業(yè)務(wù)服務(wù)器、數(shù)據(jù)庫存儲陣列、WAF設(shè)備）；2.核心業(yè)務(wù)數(shù)據(jù)（如客戶身份證號、交易流水、核心系統(tǒng)配置參數(shù)）；3.關(guān)鍵崗位人員（如安全管理員、機房管理員、核心系統(tǒng)運維人員）四級資產(chǎn)（特級）資產(chǎn)損壞/丟失導(dǎo)致項目整體業(yè)務(wù)癱瘓或特級數(shù)據(jù)泄露，造成災(zāi)難性損失1.支撐四級系統(tǒng)的資產(chǎn)（如金融交易系統(tǒng)服務(wù)器、國家秘密數(shù)據(jù)存儲設(shè)備）；2.特級數(shù)據(jù)（如國家秘密、商業(yè)機密核心參數(shù)）；3.特級崗位人員（如項目信息安全負(fù)責(zé)人、核心系統(tǒng)架構(gòu)師）3.2典型資產(chǎn)分級示例資產(chǎn)類別一級資產(chǎn)示例二級資產(chǎn)示例三級資產(chǎn)示例四級資產(chǎn)示例（如適用）物理資產(chǎn)備用打印機、普通U盤辦公筆記本、非核心服務(wù)器核心業(yè)務(wù)服務(wù)器、數(shù)據(jù)庫存儲陣列特級數(shù)據(jù)存儲設(shè)備網(wǎng)絡(luò)資產(chǎn)辦公區(qū)接入交換機非核心區(qū)域防火墻核心機房路由器、骨干通信鏈路特級網(wǎng)絡(luò)加密設(shè)備數(shù)據(jù)資產(chǎn)普通會議紀(jì)要客戶手機號、OA審批記錄客戶身份證號、交易流水國家秘密文檔、商業(yè)機密核心參數(shù)軟件資產(chǎn)普通辦公軟件（Office）OA系統(tǒng)、普通殺毒軟件核心業(yè)務(wù)系統(tǒng)、數(shù)據(jù)庫系統(tǒng)特級加密軟件人員資產(chǎn)實習(xí)生、普通行政人員業(yè)務(wù)部門負(fù)責(zé)人、非核心運維人員安全管理員、核心系統(tǒng)運維人員項目信息安全負(fù)責(zé)人3.3分級判定流程3.3.1發(fā)起：資產(chǎn)新增時，歸屬部門填寫《資產(chǎn)分級審批表》，說明資產(chǎn)用途、影響范圍；3.3.2初審：IT部/信息安全管理小組根據(jù)分級標(biāo)準(zhǔn)初步判定級別；3.3.3審批：一級/二級資產(chǎn)：信息安全管理小組負(fù)責(zé)人審批；三級資產(chǎn)：項目負(fù)責(zé)人審批；四級資產(chǎn)：按國家相關(guān)規(guī)定報上級主管部門審批；3.3.4備案：審批通過后，納入《項目資產(chǎn)分級臺賬》，動態(tài)更新。4.資產(chǎn)統(tǒng)一標(biāo)識規(guī)范為實現(xiàn)資產(chǎn)“可識別、可追溯、可管理”，制定統(tǒng)一標(biāo)識規(guī)則，不同類別資產(chǎn)采用對應(yīng)標(biāo)識載體：4.1標(biāo)識內(nèi)容組成所有資產(chǎn)標(biāo)識需包含“資產(chǎn)類別代碼+分級代碼+歸屬部門代碼+序號+啟用日期”，編碼規(guī)則如下：資產(chǎn)類別代碼（2位）：物理資產(chǎn)（WL）、網(wǎng)絡(luò)資產(chǎn)（WL）、數(shù)據(jù)資產(chǎn)（SJ）、軟件資產(chǎn)（RJ）、人員資產(chǎn)（RY）；分級代碼（1位）：一級（1）、二級（2）、三級（3）、四級（4）；歸屬部門代碼（2位）：IT部（IT）、行政部（XZ）、業(yè)務(wù)一部（YW1）等；序號（4位）：按資產(chǎn)新增順序編號（如0001、0002）；啟用日期（8位）：如20250920（YYYYMMDD）；示例：三級核心業(yè)務(wù)服務(wù)器（物理資產(chǎn)，歸屬IT部，2025年9月20日啟用，序號0001）的標(biāo)識編碼為：WL-3-IT4.2標(biāo)識載體與張貼要求資產(chǎn)類別標(biāo)識載體張貼/標(biāo)注位置要求物理資產(chǎn)防水耐磨標(biāo)簽（尺寸3cm×5cm）設(shè)備正面顯眼位置（如服務(wù)器正面左上角、筆記本底部）標(biāo)簽粘貼牢固，無遮擋，損壞后24小時內(nèi)補貼網(wǎng)絡(luò)資產(chǎn)金屬銘牌（尺寸2cm×4cm）設(shè)備機身（如交換機前面板、防火墻側(cè)面）銘牌固定牢固，與設(shè)備編號一一對應(yīng)數(shù)據(jù)資產(chǎn)元數(shù)據(jù)標(biāo)識（嵌入數(shù)據(jù)文件/數(shù)據(jù)庫表）數(shù)據(jù)文件屬性、數(shù)據(jù)庫表注釋標(biāo)識不可篡改，包含編碼、分級、責(zé)任人信息軟件資產(chǎn)版本信息標(biāo)識（系統(tǒng)關(guān)于頁/配置文件）軟件啟動界面、配置文件頭部標(biāo)識清晰，包含編碼、版本號、分級信息人員資產(chǎn)工牌標(biāo)識（二維碼+文字）工牌正面（照片下方）二維碼包含資產(chǎn)編碼，掃碼可查人員崗位與權(quán)限5.分類分級資產(chǎn)保護措施針對不同類別/級別資產(chǎn)，制定差異化保護措施，確?！昂诵馁Y產(chǎn)重點保護、普通資產(chǎn)適度保護”：5.1物理資產(chǎn)保護措施資產(chǎn)級別保護措施檢查頻率一級存放于普通辦公區(qū)，登記臺賬，下班前歸位每月抽查1次二級存放于帶鎖柜子，啟用設(shè)備密碼，禁止外借每兩周抽查1次三級存放于機房設(shè)備區(qū)（需雙因子認(rèn)證進入），環(huán)境監(jiān)控（溫濕度/供電），定期維護（每季度1次）每日巡檢1次四級存放于特級防護區(qū)（生物識別+門禁），24小時專人值守，冗余備份（N+1模式）每小時巡檢1次5.2數(shù)據(jù)資產(chǎn)保護措施資產(chǎn)級別存儲保護訪問控制備份策略一級普通文件夾存儲，無加密要求部門內(nèi)共享，無特殊權(quán)限控制每周1次本地備份二級加密文件夾存儲（AES-128）角色權(quán)限控制（如僅部門負(fù)責(zé)人可修改），操作日志留存≥6個月每日1次本地備份+每周1次異地備份三級加密存儲（AES-256）+存儲介質(zhì)加密雙因子認(rèn)證訪問，操作日志留存≥1年，定期審計（每月1次）實時增量備份+每日全量備份，異地災(zāi)備（距離≥50公里）四級特級加密（國密SM4）+物理隔離存儲多人審批訪問（至少2人），全程錄像，操作日志永久留存實時雙活備份+異地多副本災(zāi)備，定期恢復(fù)驗證（每月1次）5.3網(wǎng)絡(luò)/軟件/人員資產(chǎn)保護措施網(wǎng)絡(luò)資產(chǎn)：三級及以上網(wǎng)絡(luò)設(shè)備（如核心路由器）啟用配置備份（每日1次）、權(quán)限分級（僅管理員可修改），鏈路冗余（雙路專線）；軟件資產(chǎn)：三級及以上軟件（如核心業(yè)務(wù)系統(tǒng)）定期漏洞掃描（每月1次）、版本更新（測試后24小時內(nèi)），禁止非授權(quán)修改配置；人員資產(chǎn)：三級及以上關(guān)鍵崗位人員簽訂《保密協(xié)議》，定期背景審查（每年1次）、安全培訓(xùn)（每季度1次），離崗時立即回收權(quán)限。6.資產(chǎn)全生命周期管理流程6.1資產(chǎn)登記（新增）資產(chǎn)新增時，歸屬部門填寫《資產(chǎn)登記表》，提交IT部/信息安全管理小組；信息安全管理小組完成分類分級判定，生成統(tǒng)一標(biāo)識；歸屬部門張貼/標(biāo)注標(biāo)識，錄入《項目資產(chǎn)總臺賬》（含編碼、類別、級別、責(zé)任人、位置）。6.2資產(chǎn)清查（定期）1）行政部/IT部每季度開展資產(chǎn)清查：物理/網(wǎng)絡(luò)資產(chǎn)：賬實核對（數(shù)量、位置、狀態(tài)）；數(shù)據(jù)/軟件資產(chǎn)：完整性核查（是否丟失、損壞）、權(quán)限核查（是否冗余）；2）清查發(fā)現(xiàn)問題（如資產(chǎn)丟失、標(biāo)識損壞），24小時內(nèi)啟動處置（如上報、補貼標(biāo)識），更新臺賬。6.3資產(chǎn)變更（轉(zhuǎn)移/升級）資產(chǎn)轉(zhuǎn)移（跨部門/位置）或升級（級別調(diào)整）時，填寫《資產(chǎn)變更申請表》，經(jīng)原歸屬部門+新歸屬部門+信息安全管理小組審批；變更后更新標(biāo)識（如級別升級需重新編碼）、臺賬，回收原權(quán)限（如跨部門轉(zhuǎn)移需調(diào)整訪問權(quán)限）。6.4資產(chǎn)處置（報廢/銷毀）資產(chǎn)報廢前，歸屬部門填寫《資產(chǎn)處置申請表》，說明處置原因（如損壞、淘汰）；三級及以上資產(chǎn)處置前需完成數(shù)據(jù)清理（如硬盤物理粉碎、數(shù)據(jù)格式化+多次覆寫），IT部驗證清理效果；處置后注銷標(biāo)識、臺賬，留存處置記錄（如報廢清單、銷毀照片）≥3年。7.監(jiān)督與改進7.1日常監(jiān)督1）信息安全管理小組每季度開展資產(chǎn)管控審計，重點核查：資產(chǎn)臺賬完整性（漏登率≤1%）；標(biāo)識規(guī)范率（三級及以上資產(chǎn)100%規(guī)范）；保護措施執(zhí)行率（三級及以上資產(chǎn)100%執(zhí)行）；2）審計發(fā)現(xiàn)問題，下達(dá)《整改通知書》，歸屬部門需15個工作日內(nèi)整改。7.2持續(xù)改進每年結(jié)合等級測評結(jié)果、業(yè)務(wù)變更（如新增三級系統(tǒng)），修訂資產(chǎn)分類分級標(biāo)準(zhǔn)與保護措施；收集資產(chǎn)管控痛點（如臺賬更新不及時），優(yōu)化管理流程（如引入資產(chǎn)管控系統(tǒng)實現(xiàn)自動化登記）；借鑒行業(yè)最佳實踐（如資產(chǎn)標(biāo)簽RFID化），提升管控效率。8.附則8.1責(zé)任追究1）員工違反本制度規(guī)定，視情節(jié)輕重處理：輕微違規(guī)（如標(biāo)識損壞未補貼、臺賬更新延遲）：口頭警告+限期整改；一般違規(guī)（如資產(chǎn)丟失未上報、未執(zhí)行保護措施）：書面警告+績效扣減（2%-5%）；嚴(yán)重違規(guī)（如核心資產(chǎn)泄露、故意損壞）：按《信息安全懲戒管理程序》處理，追究法律責(zé)任。2）外部合作方違規(guī)（如損壞租用的三級設(shè)備、泄露接觸的核心數(shù)據(jù)）：立即終止合作，索賠損失，納入“項目合作黑名單”。8.2記錄表單目錄《項目資產(chǎn)總臺賬》《資產(chǎn)分級審批表》《資產(chǎn)變更申請表》《資產(chǎn)處置申請表》《資產(chǎn)清查報告》8.3制度解釋與修訂本制度由項目信息安全管理小組負(fù)責(zé)解釋，未盡事宜參照GB/T22239-2019及《信息安全管理手冊》執(zhí)行；制度修訂需經(jīng)信息安全管理小組+IT部+行政部審核，項目負(fù)責(zé)人審批后發(fā)布，舊版本同步作廢。GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護介質(zhì)管理制度1.總則1.1編制目的為落實GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》中“6.3.1資產(chǎn)安全-介質(zhì)管控”“9.2.1資產(chǎn)管理-介質(zhì)管理”要求，通過對介質(zhì)（存儲敏感信息的物理載體）進行分類分級、全流程管控，防范介質(zhì)丟失、被盜、濫用導(dǎo)致的信息泄露、篡改、破壞風(fēng)險，保障項目核心數(shù)據(jù)（如三級系統(tǒng)業(yè)務(wù)數(shù)據(jù)、客戶敏感信息）安全，支撐等級保護對象的物理層安全防護。1.2編制依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》（第二十一條：介質(zhì)安全保護要求）；GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》“介質(zhì)管理”“介質(zhì)管理”；項目《資產(chǎn)分類分級制度》（V1.0）“2.資產(chǎn)分類規(guī)則-存儲介質(zhì)”、《病毒防范制度》（V1.0）“2.1.1終端設(shè)備防護-U盤防護”。1.3適用范圍介質(zhì)范圍：項目所有用于存儲信息的物理介質(zhì)，包括：可移動介質(zhì)（U盤、移動硬盤、光盤、磁帶、存儲卡等）；固定介質(zhì)（服務(wù)器硬盤、終端硬盤、數(shù)據(jù)庫存儲陣列等）；外部介質(zhì)（合作方提供的介質(zhì)、審計用介質(zhì)、測試用介質(zhì)等）；管理范圍：介質(zhì)的采購、登記、標(biāo)識、使用、保管、轉(zhuǎn)移、維修、處置全流程，重點管控存儲二級及以上敏感信息的介質(zhì)。2.介質(zhì)分類分級標(biāo)準(zhǔn)結(jié)合介質(zhì)存儲信息的敏感度及風(fēng)險后果，參照《資產(chǎn)分類分級制度》，將介質(zhì)分為4級，差異化管控：介質(zhì)級別定義存儲信息類型示例特級介質(zhì)存儲特級信息（國家秘密、商業(yè)機密核心數(shù)據(jù)），泄露將導(dǎo)致災(zāi)難性損失國家秘密文檔、項目核心算法參數(shù)、特級系統(tǒng)配置數(shù)據(jù)加密磁帶（存儲國家秘密數(shù)據(jù)）、專用硬盤（存儲商業(yè)機密）核心介質(zhì)（三級）存儲核心信息（三級系統(tǒng)業(yè)務(wù)數(shù)據(jù)、客戶敏感信息），泄露將導(dǎo)致重大損失客戶身份證號/銀行卡號、核心交易流水、三級系統(tǒng)數(shù)據(jù)庫備份項目專用加密U盤（標(biāo)注“核心”）、核心服務(wù)器硬盤、數(shù)據(jù)庫存儲陣列重要介質(zhì)（二級）存儲重要信息（二級系統(tǒng)數(shù)據(jù)、普通業(yè)務(wù)數(shù)據(jù)），泄露將導(dǎo)致輕微損失員工薪酬數(shù)據(jù)、OA審批記錄、普通客戶聯(lián)系方式部門專用U盤（標(biāo)注“重要”）、非核心服務(wù)器硬盤、備份光盤普通介質(zhì)（一級）存儲普通信息（非敏感數(shù)據(jù)），泄露無實質(zhì)損失非敏感會議紀(jì)要、公開培訓(xùn)材料、測試數(shù)據(jù)個人辦公U盤（僅存非敏感文件）、測試用光盤、備用移動硬盤2.2介質(zhì)標(biāo)識規(guī)范所有介質(zhì)需張貼/激光刻蝕統(tǒng)一標(biāo)識，包含“介質(zhì)級別+唯一編號+歸屬部門+責(zé)任人+啟用日期”，示例如下：核心介質(zhì)標(biāo)識：【核心-REC-MED-0001-IT部-張三-20250920】標(biāo)識載體：特級/核心介質(zhì)采用金屬銘牌（防篡改），重要/普通介質(zhì)采用防水標(biāo)簽（尺寸2cm×3cm），標(biāo)識位置在介質(zhì)正面顯眼處（如U盤側(cè)面、硬盤外殼）。3.介質(zhì)全生命周期管理流程3.1介質(zhì)采購管理1）采購渠道：特級/核心介質(zhì)需從項目定點供應(yīng)商采購（需具備國家保密局認(rèn)證資質(zhì)），禁止采購三無產(chǎn)品、二手介質(zhì)；重要/普通介質(zhì)從行政部指定供應(yīng)商采購，確保質(zhì)量合格；2）采購申請：需填寫《介質(zhì)采購申請表》，說明介質(zhì)級別、類型、數(shù)量、用途（如“核心介質(zhì)-加密U盤-5個-用于三級系統(tǒng)數(shù)據(jù)備份”），審批流程：特級介質(zhì)：信息安全管理小組→項目負(fù)責(zé)人→上級主管部門；核心介質(zhì)：信息安全管理小組→項目負(fù)責(zé)人；重要/普通介質(zhì)：部門負(fù)責(zé)人→IT部；3）入庫檢測：采購介質(zhì)到貨后，IT部需開展病毒掃描（無惡意代碼）、硬件檢測（無損壞），特級/核心介質(zhì)需額外格式化（清除出廠殘留數(shù)據(jù)），合格后方可入庫。3.2介質(zhì)登記管理所有介質(zhì)需錄入《項目介質(zhì)總臺賬》，記錄信息包括：介質(zhì)級別、唯一編號、類型、容量、采購日期、責(zé)任人、使用狀態(tài)（在用/閑置/報廢）、存儲信息摘要（如“核心客戶數(shù)據(jù)-202509”）；臺賬由IT部專人維護，動態(tài)更新（如介質(zhì)轉(zhuǎn)移、處置后24小時內(nèi)更新），特級/核心介質(zhì)臺賬需每月復(fù)核1次，確保賬實一致。3.3介質(zhì)使用管理3.3.1分級使用要求介質(zhì)級別使用場景限制操作規(guī)范特級介質(zhì)僅在特級防護區(qū)（生物識別+24小時值守）使用，禁止帶出該區(qū)域雙人操作（一人操作、一人監(jiān)督），使用過程全程錄像，操作記錄永久留存核心介質(zhì)僅在核心辦公區(qū)/機房使用，禁止帶出辦公場所（特殊情況需專項審批）接入設(shè)備前需病毒掃描（EDR實時檢測），僅可存儲核心信息，禁止存儲無關(guān)數(shù)據(jù)重要介質(zhì)僅限部門內(nèi)部使用，帶出辦公區(qū)需部門負(fù)責(zé)人審批接入設(shè)備前掃描病毒，使用后及時刪除臨時文件，定期（每月）清理無用數(shù)據(jù)普通介質(zhì)可個人使用，禁止存儲敏感信息（二級及以上）接入非辦公設(shè)備（如家用電腦）前需報備，避免交叉感染病毒3.3.2禁止使用行為禁止將特級/核心介質(zhì)接入非授權(quán)設(shè)備（如私人電腦、公共打印機）；禁止在介質(zhì)中存儲超出其級別權(quán)限的信息（如普通介質(zhì)存儲核心數(shù)據(jù)）；禁止共享特級/核心介質(zhì)（僅限責(zé)任人使用），禁止轉(zhuǎn)借重要介質(zhì)（確需轉(zhuǎn)借需部門負(fù)責(zé)人同意）；禁止格式化特級/核心介質(zhì)（需報廢時由IT部統(tǒng)一處置）。3.4介質(zhì)保管管理3.4.1保管場所：特級介質(zhì)：存放于特級保險柜（生物識別開鎖，存放環(huán)境需防火、防潮、防磁）；核心介質(zhì)：存放于機房帶鎖機柜（雙因子認(rèn)證進入），環(huán)境溫度18℃~25℃，濕度45%~60%；重要介質(zhì)：存放于部門帶鎖文件柜，鑰匙由部門資產(chǎn)管理員保管；普通介質(zhì)：個人工位帶鎖抽屜，下班前需鎖閉；3.4.2保管責(zé)任：特級/核心介質(zhì)責(zé)任人需簽訂《介質(zhì)保管保密協(xié)議》，離崗時立即移交介質(zhì)（不得私自留存）；閑置介質(zhì)需歸還IT部統(tǒng)一保管（特級/核心介質(zhì)單獨存放），閑置超3個月需開展數(shù)據(jù)備份+格式化。3.5介質(zhì)轉(zhuǎn)移管理3.5.1內(nèi)部轉(zhuǎn)移（跨部門/跨責(zé)任人）：填寫《介質(zhì)轉(zhuǎn)移申請表》，說明轉(zhuǎn)移原因、接收人，審批后由原責(zé)任人與接收人共同核對介質(zhì)狀態(tài)（無損壞、數(shù)據(jù)完整），簽字確認(rèn)后更新臺賬；特級/核心介質(zhì)轉(zhuǎn)移需信息安全管理小組派人監(jiān)督，轉(zhuǎn)移過程全程攜帶（禁止郵寄）；3.5.2外部轉(zhuǎn)移（移交合作方/審計機構(gòu)）：僅限重要/普通介質(zhì)（特級/核心介質(zhì)禁止外部轉(zhuǎn)移），需提交《介質(zhì)外部轉(zhuǎn)移申請表》，經(jīng)信息安全管理小組+合規(guī)部審批；轉(zhuǎn)移前需清理敏感信息（如刪除二級數(shù)據(jù)）、加密處理（AES-256），提供“只讀”權(quán)限，轉(zhuǎn)移后3個工作日內(nèi)回收，回收后立即格式化。3.6介質(zhì)處置管理（核心環(huán)節(jié)，防數(shù)據(jù)殘留）3.6.1處置觸發(fā)：介質(zhì)損壞（無法修復(fù)）、過期（存儲周期超3年）、閑置超1年且無保留價值，需啟動處置流程；3.6.2分級處置方法：介質(zhì)級別處置方法驗證要求特級介質(zhì)物理粉碎（需符合國家保密標(biāo)準(zhǔn)，粉碎顆?！?mm×1mm），由定點機構(gòu)處置處置后提供粉碎報告+照片，信息安全管理小組復(fù)核核心介質(zhì)物理銷毀（硬盤/U盤需拆解磁頭、熔煉芯片）或多次覆寫（≥7次，符合DoD5220.22-M標(biāo)準(zhǔn)）覆寫后需通過數(shù)據(jù)恢復(fù)工具驗證（無數(shù)據(jù)可恢復(fù)），銷毀后留存殘骸照片重要介質(zhì)三次覆寫（采用專業(yè)工具如DBAN）+格式化覆寫后抽查10%介質(zhì)，確認(rèn)無敏感數(shù)據(jù)殘留普通介質(zhì)一次格式化+病毒掃描格式化后驗證可正常使用，無殘留文件3.6.3處置記錄：所有介質(zhì)處置需填寫《介質(zhì)處置記錄表》，附處置照片/報告，特級/核心介質(zhì)處置記錄永久留存，其他介質(zhì)留存≥3年。4.介質(zhì)使用控制措施4.1接入控制4.1.1特級/核心介質(zhì)僅可接入指定設(shè)備（如核心服務(wù)器、專用終端），設(shè)備需啟用“介質(zhì)接入白名單”（僅允許授權(quán)介質(zhì)接入），禁止接入USB端口未鎖定的設(shè)備；4.1.2外部介質(zhì)接入項目設(shè)備前，需經(jīng)IT部病毒掃描（EDR+專用工具），確認(rèn)無病毒/惡意代碼后，僅授予“只讀”權(quán)限（禁止寫入項目數(shù)據(jù)）。4.2信息存儲控制4.2.1介質(zhì)存儲信息需標(biāo)注“敏感級別+有效期”，如“核心數(shù)據(jù)-202509-有效期至202609”，過期信息需及時清理；4.2.2核心/特級介質(zhì)存儲的敏感信息需加密（國密SM4或AES-256），密碼由責(zé)任人單獨保管（禁止與介質(zhì)同存放），密碼復(fù)雜度需符合《密碼管理控制程序》要求（≥12位，含大小寫+數(shù)字+特殊字符）。4.3帶出控制（嚴(yán)格限制）4.3.1特級介質(zhì)禁止帶出特級防護區(qū)；核心介質(zhì)禁止帶出辦公場所，確需帶出（如異地備份）需填寫《核心介質(zhì)帶出專項申請表》，經(jīng)項目負(fù)責(zé)人審批，配備加密箱（防丟失、防破解），指定2名責(zé)任人同行，返回后24小時內(nèi)交還IT部核查；4.3.2帶出介質(zhì)需開啟GPS定位（如支持），每日上報位置，禁止在公共場合（如咖啡廳、地鐵）使用，禁止接入公共網(wǎng)絡(luò)。5.監(jiān)督與改進5.1日常監(jiān)督5.1.1IT部每月開展介質(zhì)管控檢查，重點核查：臺賬完整性（特級/核心介質(zhì)賬實一致率100%，重要/普通介質(zhì)≥98%）；使用合規(guī)性（如核心介質(zhì)是否違規(guī)帶出、外部介質(zhì)是否違規(guī)接入）；處置合規(guī)性（報廢介質(zhì)是否按分級方法處置，無數(shù)據(jù)殘留）；5.1.2信息安全管理小組每季度開展專項審計，抽查特級/核心介質(zhì)使用記錄、操作日志，發(fā)現(xiàn)違規(guī)立即整改，下達(dá)《介質(zhì)管控整改通知書》。5.2持續(xù)改進5.2.1每年結(jié)合等級測評結(jié)果、介質(zhì)安全事件（如丟失、泄露），修訂介質(zhì)分級標(biāo)準(zhǔn)、處置方法（如引入更安全的覆寫工具）；5.2.2收集介質(zhì)管控痛點（如核心介質(zhì)帶出審批繁瑣），優(yōu)化流程（如建立“緊急帶出快速通道”，但需額外監(jiān)督）；5.2.3引入技術(shù)工具提升管控效率，如特級/核心介質(zhì)加裝RFID標(biāo)簽（實時定位）、介質(zhì)管理系統(tǒng)（自動化臺賬更新、接入告警）。6.附則6.1責(zé)任追究6.1.1員工違反本制度規(guī)定，視情節(jié)輕重處理：輕微違規(guī)（如普通介質(zhì)未登記、標(biāo)識損壞未補貼）：口頭警告+安全培訓(xùn)；一般違規(guī)（如重要介質(zhì)違規(guī)帶出、未按要求處置普通介質(zhì)）：書面警告+績效扣減2%-3%；嚴(yán)重違規(guī)（如核心/特級介質(zhì)丟失、泄露、私自銷毀）：按《信息安全懲戒管理程序》處理，追究法律責(zé)任（如造成損失需賠償）；6.1.2外部合作方違規(guī)（如損壞核心介質(zhì)、泄露介質(zhì)存儲信息）：立即終止合作，索賠損失，納入“項目合作黑名單”，情節(jié)嚴(yán)重的上報監(jiān)管機構(gòu)。6.2記錄表單目錄《項目介質(zhì)總臺賬》《介質(zhì)采購申請表》《介質(zhì)轉(zhuǎn)移申請表》《介質(zhì)處置記錄表》《核心介質(zhì)帶出專項申請表》6.3制度解釋與修訂本制度由項目IT部負(fù)責(zé)解釋，未盡事宜參照GB/T22239-2019、《資產(chǎn)分類分級制度》《病毒防范制度》執(zhí)行；制度修訂需經(jīng)IT部+信息安全管理小組審核，項目負(fù)責(zé)人審批后發(fā)布，舊版本同步作廢并回收。22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護應(yīng)用系統(tǒng)運維管理制度1.總則1.1編制目的為落實GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》中“6.3.3應(yīng)用系統(tǒng)安全”“9.4安全運維管理”要求，規(guī)范項目應(yīng)用系統(tǒng)（含二級/三級保護對象）的日常運維工作，通過標(biāo)準(zhǔn)化的巡檢、配置管控、故障處置、系統(tǒng)優(yōu)化及軟件維護，防范運維不當(dāng)導(dǎo)致的系統(tǒng)癱瘓、數(shù)