機(jī)關(guān)單位信息安全管理手冊(cè)第一章總則1.1目的為規(guī)范機(jī)關(guān)單位信息安全管理工作，防范信息安全風(fēng)險(xiǎn)，保障政務(wù)信息系統(tǒng)穩(wěn)定運(yùn)行、數(shù)據(jù)安全及業(yè)務(wù)連續(xù)性，依據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)數(shù)據(jù)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等法律法規(guī)，結(jié)合單位實(shí)際制定本手冊(cè)。1.2適用范圍本手冊(cè)適用于機(jī)關(guān)單位（含下屬事業(yè)單位）的信息系統(tǒng)、網(wǎng)絡(luò)設(shè)施、終端設(shè)備、業(yè)務(wù)數(shù)據(jù)及相關(guān)人員的安全管理，覆蓋日常辦公、政務(wù)處理、對(duì)外服務(wù)等全業(yè)務(wù)場(chǎng)景。1.3基本原則堅(jiān)持“誰(shuí)主管、誰(shuí)負(fù)責(zé)，誰(shuí)使用、誰(shuí)負(fù)責(zé)”原則，落實(shí)分級(jí)分類管理；遵循“預(yù)防為主、防治結(jié)合”理念，強(qiáng)化技術(shù)防護(hù)與制度約束并重；踐行“最小權(quán)限、動(dòng)態(tài)管控”要求，平衡安全與效率，確保信息安全與業(yè)務(wù)發(fā)展協(xié)同推進(jìn)。第二章管理職責(zé)2.1領(lǐng)導(dǎo)職責(zé)單位主要負(fù)責(zé)人為信息安全第一責(zé)任人，統(tǒng)籌信息安全戰(zhàn)略規(guī)劃、資源保障及重大事項(xiàng)決策；分管領(lǐng)導(dǎo)牽頭制定安全制度、組織風(fēng)險(xiǎn)評(píng)估與應(yīng)急演練，監(jiān)督制度執(zhí)行情況。2.2信息部門職責(zé)信息管理部門（如辦公室、信息技術(shù)科）承擔(dān)以下職責(zé)：制定信息安全管理制度、技術(shù)規(guī)范及操作規(guī)程，定期修訂完善；統(tǒng)籌信息系統(tǒng)、網(wǎng)絡(luò)設(shè)備的建設(shè)、運(yùn)維及安全防護(hù)，組織安全檢測(cè)與漏洞修復(fù)；開展安全培訓(xùn)、應(yīng)急演練及事件處置，定期向領(lǐng)導(dǎo)班子匯報(bào)安全態(tài)勢(shì)；對(duì)接主管部門、公安機(jī)關(guān)及第三方安全機(jī)構(gòu)，配合開展安全檢查與合規(guī)審計(jì)。2.3崗位人員職責(zé)業(yè)務(wù)崗位人員：嚴(yán)格遵守信息安全制度，規(guī)范操作終端設(shè)備、業(yè)務(wù)系統(tǒng)，及時(shí)報(bào)告異常情況；妥善保管賬號(hào)密碼，不隨意轉(zhuǎn)借或泄露敏感信息。技術(shù)崗位人員：負(fù)責(zé)安全設(shè)備運(yùn)維、日志審計(jì)、漏洞修復(fù)，定期開展安全巡檢；參與應(yīng)急響應(yīng)，記錄并分析安全事件，提出改進(jìn)建議。管理人員：在審批權(quán)限范圍內(nèi)，規(guī)范辦理系統(tǒng)權(quán)限、數(shù)據(jù)訪問(wèn)等事項(xiàng)，監(jiān)督下屬崗位的安全履職情況。第三章安全管理制度3.1人員管理入職管理：新入職人員需簽署《信息安全責(zé)任書》，接受安全培訓(xùn)并考核合格后方可上崗；涉及涉密崗位的，需通過(guò)保密審查并簽訂《保密協(xié)議》。離職管理：離職前需移交全部信息資產(chǎn)（含賬號(hào)、密碼、存儲(chǔ)介質(zhì)、紙質(zhì)文檔），由信息部門注銷系統(tǒng)權(quán)限、回收設(shè)備，確認(rèn)無(wú)安全遺留風(fēng)險(xiǎn)后方可辦理離職手續(xù)。3.2設(shè)備管理終端設(shè)備：辦公電腦、打印機(jī)、移動(dòng)終端等需由信息部門統(tǒng)一登記、配置安全策略（如安裝殺毒軟件、禁用USB存儲(chǔ)、開啟系統(tǒng)補(bǔ)丁自動(dòng)更新）；嚴(yán)禁私自安裝未經(jīng)審批的軟件或外接非授權(quán)設(shè)備。網(wǎng)絡(luò)設(shè)備：路由器、防火墻、交換機(jī)等核心設(shè)備需放置于物理隔離的機(jī)房，實(shí)行雙人值守、門禁管控；設(shè)備配置變更需經(jīng)審批并留存操作記錄，定期備份配置文件。3.3網(wǎng)絡(luò)管理內(nèi)外網(wǎng)隔離：政務(wù)內(nèi)網(wǎng)與互聯(lián)網(wǎng)嚴(yán)格物理或邏輯隔離，嚴(yán)禁違規(guī)搭建“擺渡”通道；移動(dòng)辦公需通過(guò)經(jīng)審批的VPN接入，且僅限訪問(wèn)授權(quán)資源。無(wú)線管理：內(nèi)部無(wú)線網(wǎng)絡(luò)（WiFi）采用WPA2-Enterprise等高強(qiáng)度加密，禁止開放未認(rèn)證的公共WiFi；訪客網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)物理隔離，訪問(wèn)權(quán)限限時(shí)管控。3.4數(shù)據(jù)管理分級(jí)分類：依據(jù)《數(shù)據(jù)安全法》對(duì)業(yè)務(wù)數(shù)據(jù)進(jìn)行分級(jí)（如核心數(shù)據(jù)、重要數(shù)據(jù)、一般數(shù)據(jù)），核心數(shù)據(jù)需加密存儲(chǔ)、傳輸，重要數(shù)據(jù)需定期備份并異地存儲(chǔ)。訪問(wèn)控制：實(shí)行“最小必要”原則，用戶僅能訪問(wèn)職責(zé)范圍內(nèi)的數(shù)據(jù)；敏感數(shù)據(jù)訪問(wèn)需經(jīng)審批，操作過(guò)程留痕并定期審計(jì)。數(shù)據(jù)脫敏：對(duì)外提供數(shù)據(jù)（如統(tǒng)計(jì)報(bào)表、共享文件）時(shí)，需對(duì)個(gè)人隱私、業(yè)務(wù)機(jī)密等信息進(jìn)行脫敏處理（如隱藏身份證號(hào)、手機(jī)號(hào)、關(guān)鍵業(yè)務(wù)參數(shù)）。3.5文檔管理電子文檔：敏感文檔需加密存儲(chǔ)，命名規(guī)范包含密級(jí)標(biāo)識(shí)（如“[核心]2024年預(yù)算報(bào)告.docx”）；通過(guò)郵件、即時(shí)通訊工具傳輸文檔時(shí)，需確認(rèn)接收方身份及權(quán)限，禁止發(fā)送至外部非授權(quán)郵箱。紙質(zhì)文檔：涉密紙質(zhì)文件需存放在保險(xiǎn)柜，借閱、復(fù)印需經(jīng)審批并登記；廢棄文檔需碎紙?zhí)幚?，禁止隨意丟棄。第四章技術(shù)防護(hù)措施4.1邊界防護(hù)部署下一代防火墻（NGFW）、入侵檢測(cè)系統(tǒng)（IDS）、入侵防御系統(tǒng)（IPS），阻斷外部惡意攻擊（如DDoS、SQL注入、暴力破解）；定期更新安全策略，封堵高危端口與違規(guī)協(xié)議。4.2終端防護(hù)所有終端安裝終端安全管理系統(tǒng)（EDR），實(shí)現(xiàn)病毒查殺、補(bǔ)丁管理、外設(shè)管控、行為審計(jì)；對(duì)移動(dòng)終端（如手機(jī)、平板）采取“設(shè)備綁定+應(yīng)用管控”模式，禁止越獄/ROOT后接入辦公網(wǎng)絡(luò)。4.3數(shù)據(jù)加密核心數(shù)據(jù)在存儲(chǔ)環(huán)節(jié)采用國(guó)密算法（如SM4）加密，傳輸環(huán)節(jié)采用TLS1.3協(xié)議加密；數(shù)據(jù)庫(kù)啟用透明數(shù)據(jù)加密（TDE），備份數(shù)據(jù)需加密后存儲(chǔ)。4.4備份恢復(fù)數(shù)據(jù)備份：核心業(yè)務(wù)數(shù)據(jù)每日增量備份、每周全量備份，備份介質(zhì)（如磁帶、云存儲(chǔ)）異地存放（距離主機(jī)房≥50公里），并定期驗(yàn)證備份數(shù)據(jù)的可用性。系統(tǒng)備份：關(guān)鍵業(yè)務(wù)系統(tǒng)（如OA、政務(wù)服務(wù)平臺(tái)）每季度進(jìn)行系統(tǒng)鏡像備份，確保災(zāi)難發(fā)生時(shí)可4小時(shí)內(nèi)恢復(fù)業(yè)務(wù)。4.5安全審計(jì)第五章人員安全管理5.1安全培訓(xùn)新員工入職培訓(xùn)包含信息安全基礎(chǔ)知識(shí)、制度規(guī)范、操作流程，考核通過(guò)后方可獨(dú)立操作系統(tǒng)。在崗人員每年接受不少于8學(xué)時(shí)的安全培訓(xùn)，內(nèi)容涵蓋最新安全威脅（如釣魚郵件、勒索軟件）、防護(hù)技能、應(yīng)急處置流程。5.2保密教育涉密崗位人員每季度參加保密專題培訓(xùn)，學(xué)習(xí)《保密法》及單位保密制度，簽訂《保密承諾書》。定期開展保密警示教育，通報(bào)典型泄密案例，強(qiáng)化人員安全意識(shí)。5.3行為規(guī)范禁止在辦公終端存儲(chǔ)、處理涉密信息（涉密信息需在專用涉密設(shè)備操作）；禁止在社交媒體、公共網(wǎng)絡(luò)發(fā)布單位未公開的業(yè)務(wù)數(shù)據(jù)、工作文檔。出差期間，避免在公共WiFi環(huán)境下訪問(wèn)辦公系統(tǒng)；確需訪問(wèn)的，需通過(guò)VPN并開啟終端防火墻。第六章應(yīng)急處置6.1預(yù)案制定信息部門牽頭制定《信息安全應(yīng)急預(yù)案》，明確網(wǎng)絡(luò)攻擊、數(shù)據(jù)泄露、系統(tǒng)癱瘓等場(chǎng)景的處置流程、責(zé)任分工及資源保障；每半年組織一次預(yù)案評(píng)審與修訂。6.2應(yīng)急響應(yīng)發(fā)現(xiàn)安全事件（如系統(tǒng)告警、數(shù)據(jù)異常）時(shí)，崗位人員應(yīng)立即停止可疑操作，向信息部門報(bào)告；信息部門啟動(dòng)應(yīng)急預(yù)案，隔離受影響設(shè)備/系統(tǒng)，開展事件溯源。重大安全事件（如核心數(shù)據(jù)泄露、系統(tǒng)宕機(jī)超2小時(shí)）需在1小時(shí)內(nèi)上報(bào)單位分管領(lǐng)導(dǎo)及主管部門，同步聯(lián)系第三方安全機(jī)構(gòu)協(xié)助處置。6.3恢復(fù)與改進(jìn)事件處置后，信息部門需恢復(fù)系統(tǒng)運(yùn)行、驗(yàn)證數(shù)據(jù)完整性，評(píng)估事件損失并形成《事件分析報(bào)告》。針對(duì)事件暴露出的漏洞（如制度缺陷、技術(shù)短板），制定整改措施并跟蹤落實(shí)，完善應(yīng)急預(yù)案與防護(hù)體系。第七章監(jiān)督與考核7.1檢查機(jī)制信息部門每月開展安全巡檢，檢查設(shè)備運(yùn)行、日志審計(jì)、制度執(zhí)行情況，形成《安全檢查報(bào)告》。每季度組織一次全面安全評(píng)估，邀請(qǐng)第三方機(jī)構(gòu)開展?jié)B透測(cè)試、漏洞掃描，排查潛在風(fēng)險(xiǎn)。7.2考核辦法將信息安全管理納入部門及個(gè)人績(jī)效考核，考核指標(biāo)包括：制度執(zhí)行合規(guī)率、安全事件發(fā)生率、應(yīng)急響