信息安全及网络安全相关制度汇编(15篇)
信息安全及网络安全相关制度汇编(15篇) 目录1.信息安全工作方针策略 3第一章 信息安全方针 3第二章 信息安全策略 42.信息安全组织机构管理制度 7第一章 总 则 7第二章 机构设置与工作职责 7第三章 工作职责 7第四章 附 则 83.互联网使用管理办法 284.信息安全事件管理办法 325.信息系统信息发布制度 366.信息系统安全审计管理制度 39第一章 工作职责安排 39第二章 审计计划的制订 39第三章 安全审计实施 40第四章 安全审计汇报 43第五章 纠正和预防措施 43第六章 审计纠正和预防措施的实施状况 43第七章 审计结果的审阅 43第八章 附 则 447.数据存储介质管理制度 458.系统变更管理制度 48第一章 变更的申请和审批 48第二章 日常变更的实施 48第三章 重大变更的实施 49第四章 重大变更的验证和归档 49第五章 变更的失败的处理 509.软件开发项目管理制度 52第一章 总 则 52第二章 职 责 52第三章 工作程序 53第四章 附 则 5610.计算机系统及网络管理办法 57第一章 总 则 57第二章 计算机管理 57第三章 内网管理 59第四章 外网管理 59第五章 安全管理 60第六章 日常维护 6111.门户网站系统应急预案 62第一章 总 则 62第二章 应急响应流程 63第三章 演练及维护 65第四章 保障措施 66第五章 附 则 6612.网络安全管理制度 67第一章 范围及职责 67第二章 网络管理 67第三章 运维管理 68第四章 账号管理 68第五章 恶意代码管理 69第六章 恶意事件处理 69第七章 附 则 7013.信息系统运行维护管理制度 71第一章 范围及职责 71第二章 业务系统运维管理 71第三章 备份与恢复管理 72第四章 口令、权限管理 72第五章 恶意代码防范管理 73第六章 系统补丁管理 74第七章 附 则 7414.信息系统用户管理制度 77第一章 范围及职责 77第二章 岗位配置原则 77第三章 人员录用及调离 77第四章 授权管理 78第五章 安全培训教育 79第六章 第三方人员管理 80第七章 附 则 8115.信息资产和设备管理制度 90第一章 范围及职责 90第二章 信息资产的获取 90第三章 信息资产的分类 90第四章 信息资产的使用和处置 92(一)硬件资产的使用和处置 92(二)软件资产的使用和处置 94(三)电子数据的使用和处置 95(四)纸质文档的使用和处置 95(五)人员招调、在职、离职 96(六)服务性资产的使用和处置 96第五章 安全设备管理 97(一)设备的选型 97(二)设备检测 97(三)设备安装 97(四)设备登记 98(五)设备使用管理 98(六)设备维修管理 98(七)设备储存管理 99第六章 附 则 99 信息安全工作方针策略第一章 信息安全方针第一条 信息安全方针如下:全员参与 明确责任预防为主 快速响应风险管控 持续改进具体阐述如下:1.在网络与信息安全领导小组(以下简称网络与信息安全领导小组)的领导下,全面贯彻浙江省信息安全等级保护管理办法(省政府223号令)关于信息安全工作的相关指导性文件精神,建立可持续发展的信息安全管理体系;2.全员是信息安全管理体系的活动分子;落实信息安全管理责任制,建立和完善各项信息安全管理制度,使信息安全管理有章可循;3.定期进行信息安全宣传、教育与培训,不断提高本单位全员的信息安全意识及能力;4.以预防为主的信息安全积极防御理念对所发生的信息安全事件进行快速、有序地响应;5.贯彻风险管理的理念,定期对各信息系统进行全面安全检查,将信息安全风险控制在可接受的水平之内;6.在网络与信息安全领导小组的领导下,局信息安全建设的工作合乎国家建设规范,保证局信息系统安全畅通与可控,保障信息系统所开发和维护健康的服务支持。第二章 信息安全策略第二条 建立信息安全管理组织机构,设立安全主管、各信息安全管理相关部门负责人、网络管理员、系统管理员、安全管理员等安全管理相关岗位并定义相应职责,建立健全信息安全管理制度,保证信息安全责任落实到位。第三条 网络与信息安全领导小组定期或不定期地对局信息安全管理体系的合理性和适用性进行评审,对各项安全控制措施实施的可用性进行检测,对存在不足或需要改进的安全管理制度进行修订,以保证信息安全管理体系持续的充分性、适宜性、有效性。第四条 局信息系统按照国家等级保护有关要求,对局信息系统及信息确定安全等级,采取分等级保护。第五条 规范局信息资产(包括硬件、软件、服务等)管理流程,建立信息资产管理台帐,明确资产所有者、使用者与维护者,对所有信息资产进行标记,实现对信息产品购买、使用、变更、报废整个资产管理周期的管理。第六条 加强所有工作人员(包括局各部门内部人员,以及各类外来人员)的安全管理,制定违规安全信息管理条例的惩戒措施,落实人员聘用、在岗和离岗时的安全规程,与关键岗位人员签署保密协议。第七条 通过正式的信息安全培训,以及网站、简报、会议、讲座等各种形式的信息安全教育活动,不断加强局全体人员的信息安全意识,提高整体信息安全意识。第八条 加强对信息系统外包业务与外包方的管理,签署的服务协议对信息系统安全要求加以细化、明确。通过审批、访问控制、监控、签署保密协议等措施,加强外部方访问信息系统的控制能力,防止外部方危害信息系统安全。第九条 对本单位各重要信息系统(包括基础设施、网络和服务器设备、系统、应用等)应有文档化的操作和维护规程,使得各个相关人员按规程对系统进行使用和操作,降低因误操作所引发信息安全事件的概率。第十条 在本单位内外网上统一部署网络、服务器、办公电脑的防恶意代码软件,并进行恶意代码库的统一更新,防范恶意代码、木马等恶意代码对局信息系统的影响。通过强化恶意代码防范的管理措施,如加强介质管理,严禁擅自安装软件,加强人员安全意识教育,定期进行恶意代码检测等,提高局信息系统对恶意代码的防范能力。第十一条 对局各重要的信息和信息系统进行备份,并对备份介质进行安全地保存,以及对备份数据定期进行备份测试演练,保证各种备份信息的完整性和有效性,确保所有重要信息系统和重要数据在故障、灾难下的可靠恢复。第十二条 确定安全策略,采用技术和管理两方面的控制措施,加强对局内外网的安全控制,不断提高网络的安全性和稳定性。局内网与互联网进行物理隔离。通过实施网络访问控制等技术和接入内网严格审批措施,加强安全管理,加强对局各科室网络使用的安全培训和教育,确保局网络的安全。第十三条 加强信息安全日常管理,包括系统口令管理、无人值守设备管理等,使信息安全日常工作符合局信息安全策略和制度要求。第十四条 按照“仅知”原则,通过功能和技术配置,对重要信息系统、数据等实施访问控制。对系统特殊权限和系统实用工具的使用进行严格的审批和监管。第十五条 进一步重视软件开发安全。在局各信息系统立项和审批过程中,同步考虑信息安全系统定级等级保护基本要求以及实际需求和目标。保证系统设计、开发过程的安全,重点加强对软件代码安全性的管理。属于外包软件开发的,应与服务提供商签署保密协议。系统开发完成后,应要求通过第三方安全机构对软件安全性的测评。第十六条 重视对信息安全服务连续性的管理,建立对各类信息安全事件的预防、预警、响应、处置、恢复机制,编写针对局内外网重要系统的应急预案,并定期进行演练;发生信息安全事件能迅速、有序地进行应急处置,最大限度地降低因信息系统突发事件给局信息系统所带来的影响。第十七条 本制度由网络与信息安全领导小组负责解释。第十八条 本制度自发布之日起生效执行。信息安全组织机构管理制度第一章 总 则第一条 为加强信息安全管理,明确信息安全责任,保障信息化建设的稳步发展,特制定本制度。第二章 机构设置与工作职责第二条 由主管网络与信息化工作和保密工作的领导牵头,组织与信息安全相关的各部门负责人,成立网络与信息安全领导小组,统筹管理信息安全相关工作。第三条 网络与信息安全领导小组负责政府信息安全检查、互联网信息安全检查、信息安全应急响应、信息系统安全等级保护、信息安全风险评估、信息安全保密等工作。第四条 网络与信息安全领导小组成员包括:组长、副组长、成员。第三章 工作职责第五条 网络与信息安全领导小组负责领导信息安全工作的规划、建设和管理,协调处理信息安全工作中产生的重大问题,建设和完善网络与信息安全组织体系。第六条 网络与信息安全领导小组工作职责:1、负责检查信息安全制度落实情况、安全防范措施落实情况、应急响应机制建设情况、信息技术产品和服务国产化情况、安全教育培训情况、责任追究情况、安全隐患排查及整改情况、安全形势、安全风险状况等。2、负责互联网信息安全检查工作部署、制定检查工作计划和检查方案,监控互联网信息系统安全状况,定期汇总分析并提出安全分析报告。3、负责制定详细的信息系统安全等级保护工作计划、采购和使用相应等级的信息安全产品、建设安全设施、落实安全技术措施、完成系统整改等。4、负责应急预案的制定、演练、落实,技术队伍的建设,安全事件监控与处理。5、负责信息系统的风险评估实施过程中的组织安排及各项相关工作。6、负责指导各部门开展保密工作,并定期进行检查、督促;定期召开保密工作会议,研究部署保密工作;对工作人员进行保密教育,组织保密业务培训。第四章 附 则第七条 本制度由网络与信息安全领导小组负责解释。第八条 本制度自发布之日起生效执行。 附件:1.信息安全检查工作责任书2.互联网信息安全检查工作责任书3.信息系统安全等级保护工作责任书4.信息安全保密工作责任书5.信息安全风险评估工作责任书6.信息安全应急响应工作责任书7.安全管理员职责说明书8.系统管理员职责说明书9.网络管理员职责说明书10.安全审计员职责说明书11.信息审查员职责说明书附件1:信息安全检查工作责任书 为了进一步落实我单位的网络安全与信息安全管理责任,确保网络安全与信息安全,做好信息系统的安全检查工作,特制定本责任书。一、总体目标按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,切实落实信息安全检查工作责任制,及时发现信息系统存在的各种安全隐患,并尽快修补,确保信息系统安全可靠运行,确保不发生重大信息安全责任事故。二、责任要求1、统筹安排信息安全检查工作,组织制定检查工作计划和检查方案,对检查工作进行检查部署,保证检查工作顺利进行,做到突出重点,明确责任,注重实效,保证质量。对检查工作组织领导不力,有关要求不落实的,要予以通报批评。2、信息安全检查过程中,要及时通报发现的问题并提出整改建议。3、信息安全检查过程中应严格遵守检查工作纪律,周密制定应急预案,控制安全风险,加强保密措施,保证信息系统的安全正常运行。4、信息安全检查过程中,检查责任人必须对检查结果负责,未能及时发现问题或漏洞导致安全事故的,要承担相应的责任。三、责任追究如信息安全检查工作责任人未按照本《责任书》履行职责、开展工作的,由单位予以通报批评;工作中存在重大突出问题的,或因工作失职导致后果的,按照相关规定对责任人予以处分。本《责任书》自签约之日起生效。 责任人(签章): 年 月 日附件2:互联网信息安全检查工作责任书 为了进一步落实我单位的互联网安全管理责任,确保网络安全与信息安全,做好互联网信息安全检查工作,特制定本责任书。一、总体目标按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,切实落实信息安全检查工作责任制,及时发现信息系统存在的各种安全隐患,并尽快修补,确保信息系统安全可靠运行,确保不发生重大信息安全责任事故。二、责任要求1、统筹安排互联网信息安全检查工作,组织制定检查工作计划和检查方案,对检查工作进行检查部署,保证检查工作顺利进行,做到突出重点,明确责任,注重实效,保证质量。对检查工作组织领导不力,有关要求不落实的,要予以通报批评。2、互联网信息安全检查过程中,要及时通报发现的问题并提出整改建议。3、互联网信息安全检查过程中应严格遵守检查工作纪律,周密制定应急预案,控制安全风险,加强保密措施,保证信息系统的安全正常运行。4、互联网信息安全检查过程中,检查责任人必须对检查结果负责,未能及时发现问题或漏洞导致安全事故的,要承担相应的责任。三、责任追究如互联网信息安全检查工作责任人未按照本《责任书》履行职责、开展工作的,由单位予以通报批评;工作中存在重大突出问题的,或因工作失职导致后果的,按照相关规定对责任人予以处分。本《责任书》自签约之日起生效。 责任人(签章): 年 月 日附件3:信息系统安全等级保护工作责任书 为了进一步落实我单位的网络安全与信息安全管理责任,确保网络安全与信息安全,做好机关信息系统等级保护工作,特制定本责任书。一、总体目标我单位信息系统按等级保护标准,分级别进行保护,突出重点、兼顾一般,科学规划、效费合理,信息系统内在确保重点部位、重要信息资源安全,实现多级防护,保障互连互通和信息共享。二、责任要求1、组织制定详细的信息系统安全等级保护工作计划,确保等级保护工作顺利进行。2、制定系统完整的信息安全等级保护管理规范和技术标准,并根据工作开展的实际情况不断补充完善。3、按照等级保护的管理规范和技术标准,确定其信息和信息系统的安全保护等级,并报其主管部门审批同意。4、根据已经确定的信息安全保护等级,按照等级保护的管理规范和技术标准,采购和使用相应等级的信息安全产品,建设安全设施,落实安全技术措施,完成系统整改。5、按照等级保护的管理规范和技术标准,对已经完成安全等级保护建设的信息系统进行检查评估,发现问题及时上报,并制定响应整改计划,经主管部门审批同意后对其进行整改。三、责任追究如信息系统安全等级保护工作责任人未按照本《责任书》履行职责、开展工作的,由单位予以通报批评;工作中存在重大突出问题的,或因工作失职导致后果的,按照相关规定对责任人予以处分。本《责任书》自签约之日起生效。 责任人(签章): 年 月 日附件4:信息安全保密工作责任书 为了进一步落实我单位的网络安全与信息安全管理责任,确保网络安全与信息安全,做好机关保密工作,特制定本责任书。一、总体目标按照“主管领导负责、预防为主、制度防范与技术相结合”的原则,切实落实信息安全保密工作责任制,确保单位的涉密资产的安全。二、责任要求1、保密工作基本原则:⑴不该说的国家秘密,绝对不说; ⑵不该问的国家秘密,绝对不问; ⑶不该看的国家秘密,绝对不看; ⑷不该记录的国家秘密,绝对不记; ⑸不在非保密本上记录国家秘密; ⑹不在私人通讯中涉及国家秘密; ⑺不在公共场所和家属、子女、亲友面前谈论国家秘密; ⑻不在不利于保密的地方存放国家秘密文件、资料; ⑼不在普通电话、明码电报、普通邮局传达国家秘密事项; ⑽不携带国家秘密材料游览、参观、探亲、访友和出入公共场所。 2、组织建立信息安全保密规章制度,具体落实单位对信息安全保密工作的要求和部署。3、及时组织传达学习上级的信息安全保密工作文件和指示,有计划地开展信息安全保密宣传教育工作。4、定期向上级领导汇报保密工作情况或听取信息安全保密工作情况汇报,及时解决保密工作中存在的重大问题。5、贯彻执行保密法规,制定实施保密工作计划。组织依法定密工作,健全各项保密规章制度,加强保密管理,进行督促检查。6、对涉密的通信和办公自动化设备,负责采取保密技术防范措施。三、责任追究如信息安全保密工作责任人未按照本《责任书》履行职责、开展工作的,由单位予以通报批评;工作中存在重大突出问题的,或因工作失职导致后果的,按照相关规定对责任人予以处分。本《责任书》自签约之日起生效。 责任人(签章): 年 月 日附件5:信息安全风险评估工作责任书 为了进一步落实我单位的网络安全与信息安全管理责任,确保网络安全与信息安全,做好机关信息安全风险评估工作,特制定本责任书。一、总体目标通过深入、详细、全面地检查单位信息系统的安全风险状况了解单位资产的安全现状,并进行相应整改。二、责任要求1、制定详细的风险评估计划,确保风险评估工作顺利有序进行。计划包括确定风险评估范围,确定风险评估目标,建立适当的组织机构,建立系统性风险评估实施方案。2、风险评估工作小组的风险评估计划须获得主管检察长的批准方能执行。3、风险评估工作小组的风险评估结果须获得主管检察长的认可方能生效。4、相关组织或单位应制定详细的风险评估工作人员职责安排以及职责说明。5、风险评估工作小组应无遗漏的识别单位所有重要资产。6、风险评估工作小组应对资产进行威胁分析以及脆弱性分析,并结合现状进行整改。7、风险评估工作人员应对单位信息系统进行全面的风险评估,做到无遗漏。8、风险评估过程中的每项工作都应给出相应的报告及材料。三、责任追究如信息安全风险评估工作责任人未按照本《责任书》履行职责、开展工作的,由单位予以通报批评;工作中存在重大突出问题的,或因工作失职导致后果的,按照相关规定对责任人予以处分。本《责任书》自签约之日起生效。 责任人(签章): 年 月 日附件6:信息安全应急响应工作责任书 为了进一步落实我单位的网络安全与信息安全管理责任,确保网络安全与信息安全,做好信息系统的应急响应工作,特制定本责任书。一、总体目标应急响应计划的执行应有足够的资源保证,包括人力、技术、设备和财务等方面,在安全事件发生后应能尽快恢复系统和网络的正常运转,应使系统和网络所遭受的破坏最小化。二、责任要求组织和领导相关人员制定详细的应急响应计划,其中应根据不同的安全事件类型制定不同的应急响应计划。应从人力、技术、设备和财务等方面确保应急响应计划的执行有足够的资源保证。定期组织应急预案的演练和培训,特别是安全事件发生后应组织相关人员进行事后教育和培训。定期组织相关人员对应急响应计划进行审查并根据实际情况进行更新。三、责任追究如信息安全应急响应工作责任人未按照本《责任书》履行职责、开展工作的,由单位予以通报批评;工作中存在重大突出问题的,或因工作失职导致后果的,按照相关规定对责任人予以处分。本《责任书》自签约之日起生效。 责任人(签章): 年 月 日 附件7:安全主管职责说明书 为了进一步落实网络安全和信息安全管理责任,明确安全管理员职责,确保网络安全和信息安全,安全管理员应落实如下责任: 1、制定和审批信息安全基本方针。2、制定和审批信息安全体制职责。3、审批信息安全方面的相关方法和过程,如风险评估方法等。4、审批加强信息安全的重大举措;审批信息安全事件发生时的处理程序和管理措施。5、协调提供信息安全所需要的足够资源。6、定期组织信息安全工作会议,听取安全工作汇报,指导工作开展。7、当发生信息安全重大事件,或组织结构、业务环境等发生重大变化时,临时组织启动信息安全工作会议,及时应对和解决相关问题。附件8安全管理员职责说明书 为了进一步落实网络安全和信息安全管理责任,明确安全管理员职责,确保网络安全和信息安全,安全管理员应落实如下责任: 1、负责对安全产品购置提供建议,负责组织制定各种安全策略与配置规则,负责跟踪安全产品投产后的使用情况。2、负责指导并监督各安全岗位工作人员及普通用户的安全相关工作。3、负责组织信息系统的安全风险评估工作,并定期进行系统漏洞扫描,形成安全评估报告。4、根据信息安全需求,定期提出信息安全改进意见,并上报主管领导。5、定期查看信息安全站点的安全公告,跟踪和研究各种信息安全漏洞和攻击手段,在发现可能影响信息安全的安全漏洞和攻击手段时,及时做出相应的对策,通知并指导系统管理员进行安全防范。6、负责整合各种安全方案、安全审计报告、应急计划以及整体安全管理制度并报主管领导。7、若由于安全管理员工作疏忽或失误而导致安全事故发生,安全管理员应承担相应责任。 附件9:系统管理员职责说明书 为进一步落实主机安全和系统安全管理责任,明确系统管理员职责,确保主机安全和系统安全,系统管理员应落实如下责任: 1、负责主机操作系统的安全配置和日常审计,系统应用软件的安装,从系统层面实现对用户与资源的访问控制。2、协助安全管理员制定主机操作系统的安全配置规则,并落实执行。3、负责主机设备的日常管理与维护,保持系统处于良好的运行状态。4、为安全审计员提供完整、准确的主机系统运行活动日志记录。5、在主机系统异常或故障发生时,详细记载发生异常时的现象、时间和处理方式,并及时上报。6、编制主机设备的维修、报损、报废计划,报主管领导审核。7、若由于系统管理员工作疏忽或失误而导致安全事故发生,系统管理员应承担相应责任。 附件10:网络管理员职责说明书 为了进一步落实网络安全和信息安全管理责任,明确网络管理员职责,确保网络安全和信息安全,网络管理员应落实如下责任: 1、负责网络的部署以及网络产品、相关安全产品的配置、管理与监控,并对关键网络配置文件进行备份,及时修补网络设备的漏洞。2、协助安全管理员制定网络设备安全配置规则,并落实执行。3、为安全审计员提供完整、准确的重要网络设备和网站运行活动日志。4、在网络及设备异常或故障发生时,详细记载发生异常时的现象、时间和处理方式,并及时上报。5、编制网络设备的维修、报损、报废等计划,报主管领导审核。6、若由于网络管理员工作疏忽或失误而导致安全事故发生,网络管理员应承担相应责任。附件11:安全审计员职责说明书 为了进一步落实网络安全和信息安全管理责任,明确安全审计员职责,确保信息系统安全,安全审计员应落实如下责任: 1、负责根据系统管理员提供的主机运行日志记录以及网络管理员提供的网络设备和网站运行日志进行安全审计工作,判断信息系统及资产是否安全,并按时上交安全审计报告。2、对审计过程中发现的安全问题做出及时处理,上报备案,并通知相关负责人。3、对于审计记录、内容以及存储设施必须给予保护(如一些文档的记录或者存储设备),以防止非授权的访问。4、要建立与审计相关的监控程序,以确保只能进行已经明确规定的授权活动。要定期回顾监控活动记录。5、确保对储存和处理的审计日志进行了保质期识别并登记;如果确定已过期记录无保存价值,则必须采取适当的措施销毁记录。6、若由于安全审计员工作疏忽或失误而导致安全事故发生,安全审计员应承担相应责任。 附件12:信息审查员职责说明书 为了进一步落实网络安全和信息安全管理责任,明确信息审查员职责,确保无不良信息传播以及公文的规范性,信息审查员应落实如下责任: 1、负责审查网站信息以及内部公文。对网站信息中出现的不良信息(包括言论、图片、网站链接等)进行及时过滤。2、审查内部信息公文的格式及内容的规范性,判断有无涉及非授权信息。3、负责审查发布信息中是否存在工作敏感信息和国家秘密信息。4、 制定网站规范有关规定,对不良信息进行明确划分。5、若由于信息审查工作疏忽或失误而导致安全事故发生,信息审查员应承担相应责任。互联网使用管理办法 第一条 为规范我单位互联网(以下简称:外网)的使用和管理,根据国家有关法律法规的规定,结合本单位实际,制定本制度。第二条 外网的开通和使用,实行方便工作和保障安全相结合的原则。第三条 网络安全与信息化领导小组办公室是外网管理工作的主要责任部门,负责外网的网络管理和维护保障工作,以及网站日常工作的管理。同时网络安全与信息化领导小组办公室负责外网网站发布信息的审核。网络安全与信息化领导小组办公室负责舆论导向的指引。第四条 根据工作需要,可开通外网电脑。第五条 严禁在外网计算机上处理涉密文件和敏感的工作信息。第六条 在外网计算机上使用的移动存储介质禁止在涉密网中使用,杜绝发生U盘交叉使用(混用)的现象。第七条 上网人员要自觉接受身份认证和IP绑定技术对个人上网活动的安全监督检查,严禁擅自改动单位分配的IP地址。第八条 及时对外网计算机操作系统补丁进行更新。第九条 上网人员要提高自身的恶意代码防范意识,在接收文件或邮件之前,必须先进行恶意代码检查。第十条 上网人员应自觉学习国家有关的法律法规,严禁在外网计算机上使用存有涉密信息的优盘、移动硬盘等移动存储介质。第十一条 严禁在互联网上浏览反动、淫秽等国家明文禁止的信息。违反规定者,按国家有关法规和相关纪律处分规定追究责任。第十二条 应当建立健全信息发布涉密审查制度,指定机构和人员对拟在互联网及其他公共信息网络发布的信息进行涉密审查,并建立审查记录档案。第十三条 本制度由网络与信息安全领导小组负责解释。第十四条 本制度自发布之日起生效执行。 附件:信息发布涉密审查登记表 附件1 信息发布涉密审查登记表编号: 填表日期: 年 月 日信息发布人所属部门信息标题信息类别信息内容:涉密审查内容1工作敏感信息发现□ 未发现□2单位秘密信息发现□ 未发现□3单位机密信息发现□ 未发现□4单位绝密信息发现□ 未发现□审查意见审查通过,予以发布□涉及敏感信息,暂缓发布□审查人(签章): 年 月 日信息安全事件管理办法 第一条 信息安全事件分类如下所示:1、有害程序事件:包括计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件等。2、网络攻击事件:包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件等。3、信息破坏事件:包括信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件等。4、信息内容安全事件:包括违反宪法和法律、行政法规的信息安全事件;针对社会事项进行讨论、评论,形成网上敏感的舆论热点,出现一定规模炒作的信息安全事件;组织串连、煽动集会游行的信息安全事件等。5、设施和设备故障:包括硬件设备的自然故障、软硬件设计缺陷或软硬件运行环境发生变化等而导致信息安全事件;由于保障信息系统正常运行所必须的外部设施出现故障而导致的信息安全事件,如电力故障;人为破坏事故等。6、灾害性事件:包括水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击等。7、其他事件。第二条 按照信息安全事件造成的后果和影响的严重程度,将信息安全事件分为以下等级:1、特别重大安全事件,指能够导致特别严重影响或破坏的信息安全事件,包括以下情况:会使特别重要信息系统遭受特别严重的系统损失;产生特别重大的社会影响。2、重大安全事件,指能够导致严重影响或破坏的信息安全事件,包括以下情况:会使特别重要信息系统遭受严重的系统损失,或使重要信息系统遭受特别严重的系统损失;产生重大的社会影响。3、较大安全事件,指能够导致较严重影响或破坏的信息安全事件,包括以下情况:会使特别重要信息系统遭受较大的系统损失,或使重要信息系统遭受严重的系统损失、一般信息系统遭受特别严重的系统损失;产生较大的社会影响。4、一般安全事件,指不满足以上条件的信息安全事件,包括以下情况:会使特别重要信息系统遭受较小的系统损失,或使重要信息系统遭受较大的系统损失、一般信息系统遭受严重或严重以下级别的系统损失;产生一般的社会影响。第三条 安全事件处置流程如下所示: 事件报告事件受理事件处理事后总结 第四条 安全事件处理各环节责任人及职责说明如下所示:责任人职责说明信息安全事件报告人信息安全事件报告安全事件管理相关负责人受理和记录信息安全事件将安全事件分配到技术人员进行处理记录归档安全事件处理人员对信息安全事件进行处理网络与信息安全领导小组安全事件的统计分析采取纠正预防措施领导协调安全事件的处理第五条 安全事件报告程序:1、发现一般安全事件时,由网络安全与信息化领导小组办公室安全事件管理相关负责人受理并记录归档、安全事件处理人员进行处理,并上报相关负责人;2、发现较大安全事件时,首先报网络安全与信息化领导小组办公室负责人,由安全事件处理人员进行事件处理,处理完毕上报相关负责人;3、发现重大安全事件或特别重大安全事件时,应报网络与信息安全领导小组负责人,联系维护支撑单位协助处理安全事件,处理完毕上报领导。第六条 网络安全与信息化领导小组办公室负责人组织、跟踪信息安全事件的处理和完成情况,并针对安全事件进行原因分析,针对安全缺陷进行统计分析,并对事件及缺陷采取纠正、预防等措施。第七条 本制度由网络与信息安全领导小组负责解释。第八条 本制度自发布之日起生效执行。信息系统信息发布制度 第一条 为促进信息系统信息发布、审核工作的规范化、制度化,保障信息系统发布信息的权威性、及时性、准确性、严肃性和安全性,结合本单位实际,制定本制度。第二条 本制度适用于信息系统(如:门户网站)应当公开或需要公开的所有信息发布,在正式发布前,必须进行预先审核。第三条 发布的信息应具有较强的时效性,保证信息内容的真实性、准确性、完整性和安全性。第四条 发布信息应遵循“审核严谨,流程规范,源头可溯,依法公开”的原则。第五条 拟发布信息内容必须进过内部初审,重点是对拟发布信息内容的准确性、完整性、时效性、是否涉密等进行审核;主管领导对信息进行复审;审核通过后方可在门户网站上发布。第六条 建立完善的信息发布登记制度,对发布的信息都应进行登记,登记的信息包含但不限于:日期、部门、信息简介、承办人等。第七条 严格履行保密义务,不得发布违反国家法律及地方法规的信息,不得发布与党的各项方针、政策相违背的信息,不得制作和传播各类不健康信息,不得发布虚假信息。第八条 对因审核不严导致信息公开内容失实、泄密、引发负面影响的,依照有关法律法规和规定追究相关人员责任。第九条 制定专人负责信息系统信息复查工作,发现问题应及时通知有关负责人进行更正,造成不良影响的应追究相关人员责任。第十条 本制度由网络与信息安全领导小组负责解释。第十一条 本制度自发布之日起生效执行。附件:信息发布审批登记表附件1信息发布审批登记表编号: 填表日期: 年 月 日信息发布人所属部门信息标题信息类别信息内容:初审意见: 审核人签字: 年 月 日复审意见: 审核人签字: 年 月 日信息系统安全审计管理制度 第一章 工作职责安排第一条 安全审计员的职责是:1.制定信息安全审计的范围和日程;2.管理具体的审计过程;3.分析审计结果并提出对信息安全管理体系的改进意见;4.召开审计启动会议和审计总结会议;5.向主管领导汇报审计的结果及建议;6.为相关人员提供审计培训。第二条 评审员由审计负责人指派,协助主评审员进行评审,其职责是:1.准备审计清单;2.实施审计过程;3.完成审计报告;4.提交纠正和预防措施建议;5.审查纠正和预防措施的执行情况。第三条 受审员来自相关部门,其职责是:1.配合评审员的审计工作;2.落实纠正和预防措施;3.提交纠正和预防措施的实施报告。第二章 审计计划的制订第四条 审计计划应包括以下内容:1.审计的目的;2.审计的范围;3.审计的准则;4.审计的时间;5.主要参与人员及分工情况。第五条 制定审计计划应考虑以下因素:1.每年应进行至少一次涵盖所有部门的审计;2.当进行重大变更后(如架构、业务方向等),需要进行一次涵盖所有部门的审计。第三章 安全审计实施第六条 审计的准备:评审员需事先了解审计范围相关的安全策略、标准和程序;准备审计清单,其内容主要包括:1.需要访问的人员和调查的问题;2.需要查看的文档和记录(包括日志);3.需要现场查看的安全控制措施。第七条 在进行实际审计前,召开启动会议,其内容主要包括:1.评审员与受审员一起确认审计计划和所采用的审计方式,如在审计的内容上有异议,受审员应提出声明(例如:限制可访问的人员、可调查的系统等);2.向受审员说明审计通过抽查的方式来进行。第八条 审计方式包括面谈、现场检查、文档的审查、记录(包括日志)的审查。第九条 评审员应详细记录审计过程的所有相关信息。在审计记录中应包含下列信息:1.审计的时间;2.被审计的部门和人员;3.审计的主题 ;4.观察到的违规现象;5.相关的文档和记录,比如操作手册、备份记录、操作员日志、软件许可证、培训记录等;6.审计参考的文档,比如策略、标准和程序等;7.参考所涉及的标准条款;8.审计结果的初步总结。第十条 如怀疑与相关安全标准有不符合项的情况,审计员应记录所观察到的详细信息 (如在何处、何时,所涉及的人员、事项,和具体的情况等) 并描述其为什么不符合。关于不符合的情况应与受审员达成共识。第十一条 在每项审计结束时应准备审计报告,审计报告应包括:1.审计的范围;2.审计所覆盖的安全领域;3.审计结果的总结;4.不符合项,不符合项的具体描述和相关证据;5.纠正和预防措施的建议。第十二条 不符合项是指与等级保护基本要求不一致的情况。产生不符合项可能是由于与相关的规定不一致,包括:1.等级保护基本要求;2.信息安全策略;3.相关标准和程序;4.相关法律条款;5.本单位的相关规定;6.任何其它在客户合同中规定的要求。第十三条 不符合项可以细分为“主要”或“次要”。如果所发现的不符合项属于下列任何一种情况,此不符合项应被分类为 “主要”的:1.会导致系统、程序或控制措施整体失效;2.操作过程没有形成标准的文档;3.累计多个同一类型的“次要”不符合项;4.对信息安全管理体系的未授权变更。如果所发现的不符合项属于个别事件,此不符合项将被分类为 “次要”的,例如:1.未标识信息安全分类的文档;2.没有被管理层审阅的事故报告;3.不完整的变更记录;4.不完整的机房进出记录。第十四条 造成不符合项的原因可以分为以下几种: 1.其文档化的标准和程序与信息安全策略不一致;2.实际的操作与文档化的标准和程序要求不一致;3.实际的操作没有达到预期效果。第四章 安全审计汇报第十五条 召开审计总结会议。应总结汇报以下内容:1.审计的目标和范围;2.审计的时间;3.参与审计的人员;4.审计报告(包括纠正和预防措施的建议);5.提交审计报告的副本供受审员参考。第十六条 在总结会议上,受审员应阐述任何疑问。第五章 纠正和预防措施第十七条 纠正和预防措施应该包括问题描述、根本原因、应急措施(可选)、纠正措施以及预防措施。第十八条 受审员必须制定纠正和预防措施的实施计划。第十九条 受审员应在规定时间内向评审员提交纠正和预防措施的实施报告。第六章 审计纠正和预防措施的实施状况第二十条 评审员应在受审员提交报告的3个月内,审计纠正和预防措施的实施状况。第二十一条 审计纠正和预防措施应包括:面谈、现场检查、文档的审查以及记录(包括日志)的审查。第二十二条 评审员根据受审员提交的纠正和预防措施实施报告,收集、记录和审查相关证据。第七章 审计结果的审阅第二十三条 安全审计员应审阅和分析所有审计结果。第二十四条 受审员的领导在审阅审计结果时,应分析的事件包括审计计划、此次审计结果和上次审计结果的比较、纠正和预防措施。第八章 附 则第二十五条 本制度由网络与信息安全领导小组负责解释。第二十六条 本制度自发布之日起生效执行。数据存储介质管理制度 第一条 本制度适用于所有涉密和非涉密的数据存储介质,包括服务器/台式电脑/笔记本电脑的硬盘、移动硬盘、U盘、用于备份数据的磁带、CD/DVD碟片等。第二条 网络安全与信息化领导小组办公室主要负责数据存储介质管理制度的制定和修订。第三条 参照制造商使用说明书正确使用数据存储介质,避免暴露于强电磁场内、过热或过冷的环境。第四条 数据存储介质的存放需根据存载信息数据的类型和保密要求,采取不同的保管方式。第五条 加强移动存储介质管理,其中对内网移动存储介质和涉密移动存储介质的管理要按照业务特点和保密要求进行严格的防护。第六条 所有的移动存储介质都必须进行登记造册和编号管理,可以随时确认移动存储介质的存放位置和责任人等信息。第七条 所有的涉密移动存储介质必须进行清晰的密级标识,禁止在非涉密计算机上使用,其维修或销毁必须按相关保密规定执行。第八条 在外网计算机上使用的移动存储介质禁止在内网和涉密网中使用,杜绝发生移动存储介质交叉使用(混用)的现象。第九条 从移动存储介质存取文件之前,必须使用防病毒软件进行扫描。第十条 禁止使用移动存储介质复制侵犯知识产权的软件。第十一条 禁止使用移动存储介质保存色情、政治敏感等非法资料。第十二条 必须对保存有敏感信息的移动存储介质进行加密处理。第十三条 在非办公场合使用移动存储介质时,注意对敏感数据进行保护。第十四条 备份的数据存储介质必须存放于安全存储区域,不可将数据存储介质放置于桌面等暴露地方。第十五条 电脑送修时,将存储信息的硬盘或其他可移动存储介质取出,避免信息泄密。在修理硬盘或其他电脑所使用的移动介质时,如涉及到敏感信息,则必须有专人陪同修理。第十六条 硬盘或其他移动介质报废时,必须进行物理破坏处理,防止信息泄密。第十七条 本制度由网络与信息安全领导小组负责解释。第十八条 本制度自发布之日起生效执行。系统变更管理制度 第一章 变更的申请和审批第一条 日常变更申请人识别具体的变更需求(如范围、可交付成果、时限、组织等),交给变更审批人进行审批。第二条 相应的变更审批人对变更申请进行审核,如判断此变更属于日常变更,由日常变更审批人审批后自行组织实施;如属于重大技术变更,则提交网络与信息安全领导小组审批。第三条 重大技术变更的审批:1.由日常变更审批人将《变更申请表》进行签字确认后提交网络与信息安全领导小组审批;2.网络与信息安全领导小组负责领导组织进行变更评估及编写变更方案(包括变更需求的详细描述;可以选择的变更方式;变更所需的成本及带来的利益;变更的风险;变更对业务、系统或项目带来的影响;变更对原有安全措施以及数据完整性的影响;变更的建议和计划);3.由网络与信息安全领导小组负责领导组织对变更方案的评审,评审通过后报上级领导,经同意后组织实施。第四条 必要时成立评审委员会对变更进行评审,或进行专家评审。第二章 日常变更的实施第五条 变更审批人组织制定变更实施计划,包括变更前的备份、变更计划、实施人员、实施流程、所用工具、回退计划、回退不成功的应急预案等。第六条 变更实施前由变更实施人员进行备份,变更实施后进行变更情况记录。第七条 如变更不成功,立即按照变更实施计划中的回退计划实行变更回退过程,使其状态回到变更前的状态,并进行记录。第八条 变更完成后由变更实施人员进行后期跟踪及反馈,并进行记录。第三章 重大变更的实施第九条 网络与信息安全领导小组负责领导组织制定《变更方案》(包括变更前的备份、变更计划、测试计划、实施人员、实施流程、所用工具、回退计划、回退不成功的应急预案等),并进行评审。第十条 变更实施前由相关人员进行实施测试,并对测试情况进行记录,测试通过后方可实施。第十一条 变更实施前通知所有将受变更影响的用户。第十二条 变更实施前由变更实施人员进行备份,变更实施后进行变更情况记录。第十三条 如变更不成功,立即按照《变更方案》中的回退计划实行变更回退过程,使其状态回到变更前的状态,并进行记录。第四章 重大变更的验证和归档第十四条 重大变更后,需要系统负责人进行验证、测试。第十五条 变更完成后由网络与信息安全领导小组负责领导组织进行后期跟踪及反馈,并进行记录。 第十六条 重大变更结束后,对相关文件进行更新,报网络与信息安全领导小组负责领导。第五章 变更的失败的处理第十七条 变更失败时,要中止变更并申报。当从失败变更中恢复时,要明确过程控制方法和人员职责,必要时对恢复过程进行演练。第十八条 本制度由网络与信息安全领导小组负责解释。第十九条 本制度自发布之日起生效执行。附件1:配置变更申请表附件1: 配置变更申请表设备名称:IP地址:申请人员:申请日期:变更性质:£临时变更R永久变更变更期限:变更用途:变更内容:操作员:审核:日期:日期:软件开发项目管理制度 第一章 总 则第一条 为规范应用系统开发项目管理流程,及时提供满足管理和业务需求的应用系统,特制定本制度。第二条 本文件适用于我单位应用系统开发管理、二次开发管理等工作;信息系统开发工作包括外包开发和本单位自行开发。第三条 对于外包开发项目,合作方为软件或服务供应商;对于自行开发项目,合作方为本单位系统开发团队。第二章 职 责第四条 需求提交部门职责:业务部门负责需求的提出、参与需求规格说明书业务部分的制定、参与需求审核及演示版审核、负责用户测试的业务部分、配合安装部署试运行和产品验收。第五条 网络安全与信息化领导小组办公室职责:负责受理业务部门提出的需求,进行需求分析,同时需要进行安全分析,主持需求规格说明书、概要设计、演示版的审核;负责质量控制,组织产品验收和正式投产使用;负责软件开发过程中的整体协调工作。第六条 合作方职责负责进行需求分析、概要设计、详细设计、代码编制、测试、安装部署和验收。第三章 工作程序第七条 提出需求:业务部门提出开发的应用软件的需求,具体包括:时间要求、功能要求、权限控制、安全要求和业务流程。第八条 受理:网络安全与信息化领导小组办公室在接到业务部门的要求后,立即着手安排各项准备工作,制定任务计划,包括人力资源的考虑和时间要求的考虑,向合作方提出开发要求。第九条 需求分析:合作方在接到开发要求后,与网络安全与信息化领导小组办公室共同进行需求分析。第十条 需求审核:网络安全与信息化领导小组办公室组织业务部门和合作方共同进行需求规格说明书的审核,合作方提供审核所需的材料和需求规格说明书,负责技术问题的解释。业务部门应认真审核需求规格说书所描述的内容是否符合业务和管理要求,如果不符合要求网络安全与信息化领导小组办公室和合作方重新进行需求分析,直到审核通过为止,业务部门签字认可。第十一条 概要设计:合作方对审核通过后的需求按软件开发标准开始进行概要设计。第十二条 概要设计审核:网络安全与信息化领导小组办公室组织需求部门对合作方的概要设计进行审核,包括:是否符合业务部门提出的业务和管理要求,是否符合软件开发标准的要求,结构是否合理。审核未通过,合作方重新进行概要设计。第十三条 演示版开发:合作方对概要设计通过后的需求进行演示版的开发,完成所有界面设计、业务流程和功能规划。第十四条 演示版的审核:网络安全与信息化领导小组办公室组织业务部门和合作方共同进行演示版的审核,业务部门要对界面、业务流程和功能划分进行确认,如未达到业务部门的要求,重新进行演示版的开发,直到审核通过为止,业务部门签字认可。第十五条 详细设计和代码编制:合作方对演示版审核通过后的应用开始进行详细设计和代码编写,并按软件开发标准文档模版补充和完善详细设计说明书。合作方对代码编写完的应用产品编写安装维护手册、升级安装手册、用户操作手册、测试用例报告,并进行多种方式的测试,包括:开发人员自身的测试、测试人员的测试,测试环境的测试。测试的内容不仅需要包含功能需求,也需要包含业务系统的安全需求,测试人员在测试完成后应编制测试报告,如果出现BUG或者不满足安全需求,要求填写BUG记录表,开发人员修订程序代码,直到测试完全通过。第十六条 安装部署试运行:网络安全与信息化领导小组办公室根据安排通知合作方开始安装部署试运行时间。由网络安全与信息化领导小组办公室组织业务部门进行安装部署试运行工作,并由业务部门负责用户测试工作。第十七条 试运行审核:网络安全与信息化领导小组办公室组织业务部门试运行进行审核,审查测试用例、报告测试报告以及相关的技术文档,对程序中的关键点和安全需求按照测试用例报告进行严格测试,业务部门应配合网络安全与信息化领导小组办公室对应用产品进行试用,验证产品功能是否满足业务和管理要求,如果试用过程中发现不符合业务和管理要求,应认真填写问题反馈意见。如果业务部门反馈意见表明试运行不合格,网络安全与信息化领导小组办公室将要求合作方重新进行代码编写和测试,直到试运行通过。第十八条 产品验收:网络安全与信息化领导小组办公室组织业务部门对合作方提交的应用产品进行验收,主要根据试运行用户测试结果和合同中规定的验收文档和其他要求进行验收工作,网络安全与信息化领导小组办公室负责严格检查技术文档,业务部门负责严格检查业务操作文档,并各自出具验收报告,由网络安全与信息化领导小组办公室汇总项目验收报告后报项目领导小组。若验收不合格,由网络安全与信息化领导小组办公室与合作方重新商定验收时间,择日进行,直到验收通过。第十九条 投产上线:在产品正式投产使用前,业务科室负责对系统的基础架构平台进行安全检测与评估,安全网络安全与信息化领导小组办公室范围包含但不仅限于:操作系统、数据库、网络、信息系统功能隐患、结构合理性、源代码缺陷、服务能力(压力测试)。网络安全与信息化领导小组办公室确认该系统满足信息安全基线要求后,产品才可以正式的投产使用。第二十条 记录归档:网络安全与信息化领导小组办公室在项目结束后将所有记录根据档案管理的要求进行归档工作。第四章 附 则第二十一条 本制度由网络与信息安全领导小组负责解释。第二十二条 本制度自发布之日起生效执行。计算机系统及网络管理办法 第一章 总 则第一条 为进一步规范本单位信息化建设管理,确保局机关计算机及网络稳定、可靠、高效运行和数据信息资料安全保密,根据《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》、《计算机信息系统国际联网保密管理规定》等文件规定和市政府信息化建设要求,结合本单位工作实际,制定本办法(以下简称《办法》)。第二条 本《办法》适用于机关。 第二章 计算机管理第三条 网络安全与信息化领导小组办公室负责本单位内的所有计算机及网络设备的运行、维护、协调和管理;监督检查各处室(科室)正确、安全使用,并组织计算机和网络知识培训。第四条 网络安全与信息化领导小组办公室负责定期或不定期检查本单位内的计算机运行状况和规章制度的执行情况,各处室(科室)应积极配合。凡被检查出的问题要及时改正。第五条 各处室(科室)增置和更新设备,机关行政处室(科室)纳入局计划,机关事业处室(科室)纳入各自计划。行政处室(科室)具体程序是:处室(科室)向局办公室提出申请,经局负责人同意后,由局办公室按当年具体情况统一选型,统一购置。事业处室(科室)参照执行。第六条 局办公室负责对购置的计算机及附属设备进行验收,并按固定资产进行登记,建立设备档案。第七条 各处室(科室)的主要负责人是本处室(科室)计算机及其附属设备(包括复印机、打印机、传真机、扫描仪、一体机等)的监督管理责任人,负责督促计算机使用人员按照操作规程使用计算机。保证设备安全与良好运行。各处室(科室)的笔记本电脑,由处室(科室)负责人负责管理。第八条 局机关计算机原则上由专人使用,不得擅自调换。计算机使用人员,必须严格遵守操作规程。每台计算机都应当设置使用密码,并定期进行更换。发现密码外泄,须立即变换。每天下班时,除因工作需要外,必须关闭计算机和附属设备,以确保安全。第九条 严禁擅自改变计算机操作系统和网络设置,严禁擅自拆卸和调换计算机硬件配置。确因工作需要删除或增加,应提前与网络安全与信息化领导小组办公室取得联系,由网络安全与信息化领导小组办公室指定专人进行操作。第十条 IP地址由网络安全与信息化领导小组办公室统一分配。严禁擅自使用他人IP地址或私自乱设IP地址,保证网络的正常运行。第十一条 随机或网络所配备的软件、资料要妥善保管,建立档案,以防丢失或其它损失。第十二条 局机关工作人员在机关内部换岗时,原来使用的计算机一般应随人员流动。人员调动时,应将其使用的计算机交局办公室,审验后方可办理相关手续。第十三条 各处室(科室)要提高计算机信息系统管理和网络安全意识,切实抓好计算机网络管理和应用工作,落实计算机及网络管理各项规定。第十四条 工作人员违反操作规程,造成计算机、网络等硬件故障,影响工作正常运转的,要追究当事人责任;造成经济损失的,则按价赔偿。 第三章 内网管理第十五条 内网是市政府连接各部、委、办、局建成的政府局域网,是电子政务和局信息化建设的专网。为使内网与外网有效隔离,确保内网的安全,严禁内网系统使用各种方式连接外网。第十六条 除确需上外网处理与工作有关的事务外(如查询资料、收发公文邮件、网站栏目管理等),涉及保密内容应把计算机切换到内网状态,确保信息安全。第十七条 本系统内收发电子邮件,原则上利用本单位指定的邮件系统或办公自动化系统中的邮件系统。第十八条 不得擅自在内网系统中安装工作系统要求以外的任何其它软件。确需安装其它软件时,须经网络安全与信息化领导小组办公室同意,在不影响网络及应用软件正常运行情况下进行。第十九条 严禁随意删除、修改计算机内网操作系统的程序及软件。 第四章 外网管理第二十条 不得在网上注册参加非法组织和邪教组织,不准浏览“黄站”及非法网站。第二十一条 不得从网上下载与工作无关的资料,不得下载游戏、音乐及影像节目等。第二十二条 需用外网收发电子邮件时,原则上利用温州水利网站中分配给各处室(科室)的电子邮箱。电子邮箱要专人管理,定期维护。第二十三条 不得打开来源不明的电子邮件及附件,以防网络病毒侵害。第二十四条 未经局负责人授权严禁以单位的名义在网上发布和张贴信息。 第五章 安全管理第二十五条 办公人员工作岗位发生变动时,要做好所保管的数据信息资料及备份介质交接手续,相关的用户密码要及时清除,接替人员须使用新密码。第二十六条 接入局网络系统的计算机都要安装查杀病毒软件,并定期升级,提高对新发现病毒的防范能力。第二十七条 禁止把涉密文件拷贝到磁盘、磁带、光盘等移动存储介质带离单位。计算机的随机配件、软盘、闪存、移动硬盘以及外单位带入的移动存储和外购软件须查杀病毒后方可使用,并要妥善保管。第二十八条 使用者须定期对自己输入的文件、数据进行整理和审查。发现文件、数据被无故修改、移动、删除的要及时告知网络安全与信息化领导小组办公室,并做好记录。第二十九条 不得利用计算机信息网络(包括互联网)从事以下活动:(一)危害国家安全,泄露国家机密;侵犯国家、社会、集体利益和公民合法权益; (二)利用计算机信息网络(包括互联网)制作、复制、查询和传播违反宪法和法律、行政法规、扰乱秩序、破坏团结,不健康等方面的信息;(三)利用网络参与经营性活动。 第六章 日常维护第三十条 局机关计算机及其附属设备,以及网络系统的维护和故障修理工作采用外包式服务。耗材统一由指定供货商提供。第三十一条 当计算机及附属设备出现故障时,由处室(科室)内勤人员及时通知网络安全与信息化领导小组办公室,保养期内由购买商提供免费维修养护,保养期外由电脑维修外包服务商进行维修。机关行政处室(科室)墨粉、硒鼓、打印纸等耗材由局办公室统一购置,处室(科室)内勤人员根据需要到局办公室领取;机关事业处室(科室)墨粉、硒鼓、打印纸等耗材由其自行购置。第三十二条 当计算机等设备因使用时间过长、性能无法满足办公要求,或设备发生故障无法修复,由局办公室根据国有资产管理规定进行回收和报废处理。第三十三条 本制度由网络与信息安全领导小组负责解释。第三十四条 本制度自发布之日起生效执行。门户网站系统应急预案 第一章 总 则第一条 目的:本预案主要是为规范对网站系统故障和安全事件的处理方法和处理程序,提高对网站系统故障和安全事件的反应速度。第二条 基本原则:1.加强日常维护2.定期对服务器进行巡查,检查服务器主机的指示灯状态,定期对用户账号的使用进行以下检查:成功登录系统的用户账号记录;登录失败的用户账号记录及IP地址;关注系统更新,在确认不会对现有系统造成影响的前提下,及时给系统漏洞打补丁。3.每周末自行对数据进行增量备份,机房托管单位定期对数据增量备份。4.定期备份重要网站数据,包括数据库。第三条 适用范围:本预案适用于门户网站系统相关服务器发生故障或遭受攻击的情况下的应急响应工作。第四条 启动条件:本预案的启动条件为:发现网站系统故障或遭受攻击。第二章 应急响应流程第五条 网站应急响应流程主要分为:故障确认、故障修复、详细备案。一、故障确认:1.主机设备不可用、系统不可用2.遭受黑客攻击、网页被篡改或出现非法言论3.感染病毒二、故障修复:1.主机设备不可用、系统不可用(一)重要的软件系统平时必须存有备份,与软件系统相对应的数据必须有备份,并将它们保存于安全处。(二)一旦软件遭到破坏性攻击,应立即向技术人员、网络管理员报告,并将系统停止运行。(三)网站维护员立即进行软件系统和数据的恢复。(四)服务器等关键设备损坏后,有关人员应立即向相关技术人员通知。(五)相关技术人员应立即查明原因。(六)如果不能自行恢复的,立即与设备提供商联系,请求派维修人员前来维修。(七)如果设备一时不能修复,应向领导汇报,并告知各下属部门或相关单位,暂缓上传上报数据。2.遭受黑客攻击、网站、网页出现非法言论时和的紧急处置措施:①.黑客攻击时的紧急处置措施:(一)通过入侵检测系统发现有黑客正在进行攻击时,首先应将被攻击的服务器等设备从网络中隔离出来,同时向领导汇报情况。(二)技术人员立即进行被破坏系统的恢复与重建工作。②.网站、网页出现非法言论时:(一)网站、网页随时密切监视信息内容。(二)发现网上出现非法信息时,负责人员应立即向部门负责人通报情况;情况紧急的应先及时采取删除等处理措施,再按程序报告。(三)技术人员应在接到通知后立即清理非法信息,强化安全防范措施,并将网站重新投入使用。(四)网站维护员应妥善保存有关记录及日志或审计记录。3.病毒安全紧急处置措施:(一)当发现计算机感染有病毒后,应立即将该机从网络上隔离出来。(二)对该设备的硬盘进行数据备份。(三)启用反病毒软件对该机进行杀毒处理,同时进行病毒检测软件对其他机器进行病毒扫描和清除工作。(四)如发现反病毒软件无法清楚该病毒,应立即向领导报告。(五)经技术人员确认确实无法查杀该病毒后,应作好相关记录,同时立即向信息技术人员报告,并迅速研究解决问题。三、详细备案系统恢复运行后,网络与信息安全管理员应会同相关人员将本次网站系统故障的处置过程,包括故障发生时的现象、处理过程及所采取的技术手段、结果等做出详细的文字记录。第三章 演练及维护第六条 为了提高应急处理的速度,定期对预案进行演练。本预案演练的重点包括:1、假设数据库服务器出现故障的情况下,在模拟或备用系统演练对主机操作系统的恢复、数据库的恢复、网页内容的恢复,应保证恢复既可迅速完成,尽可能的不影响业务。2、数据库服务器是关键服务器,它要求中断服务不能超过1小时,如发生故障不能2小时内恢复的情况下,启动备用网站服务器,故障排除后应将数据库服务器切换到原来的服务器,对服务器的隔离切换是演练的重点之一,应确保操作无误。3、响应演练完成后,应对预案进行评估,应根据网站技术的发展和系统的变化及时对预案进行修订,修订后的预案经评审通过后发布生效。第四章 保障措施第七条 为了确保网站安全事件处理工作的顺利开展,以下几点应给予充分保障:1、加强日常监控,系统管理员每天对服务器的运行进行日巡查,每周对用户账号的使用进行检查,每月对主机系统进行一次安全检查,每半年进行一次全面健康检查;2、加强网站系统数据备份,数据库文件每周至少做一次全备份;3、确保和网站开发商、安全服务公司沟通渠道的畅通,在本单位应急处理过程中遇到困难或问题时能及时获得合作单位技术支援。第五章 附 则第八条 网络与信息安全领导小组负责解释。第九条 本制度自发布之日起生效执行。网络安全管理制度 第一章 范围及职责第一条 本制度适用于网络安全管理,包括:网络系统安全管理、账号管理、病毒防治管理、网络事件报告和查处。第二条 网络安全与信息化领导小组办公室主要负责网络安全管理制度的制定和修订;网络管理员负责网络维护。第二章 网络管理第三条 应在信息系统内外网网络边界部署防火墙、审计系统、IPS/IDS等安全设备;对内部网络进行区域隔离、保护。重要的业务应用服务器区部署单独的防火墙进行保护。第四条 内外网网络之间要实行物理隔离。如需进行数据交换时,应使用符合国家政策和保密部门认可的安全产品或技术措施进行数据传输。第五条 所有在互联网发布的应用系统必须使用网页防篡改技术或专用安全设备进行保护,确保网站在受到破坏时能自动恢复。第六条 所有在互联网发布的应用系统必须经过有资质的专业信息安全公司或第三方技术机构的安全测评,确保网站的安全性。第七条 采用技术手段对网络接入进行控制。内部终端如因工作需要接入Internet或其他网络,应向所在部门领导提出申请,经批准后由网络管理员提供接入服务。管理员对接入端信息做详细登记并存档备案。外部人员如需接入网络,需由部门主管领导批准,再由网络管理员提供临时接入服务。第八条 网络管理员负责网络拓扑图的绘制。若网络结构发生变化要及时更新拓扑图,确保网络拓扑图完整、真实。第九条 未经信息安全小组组长批准,任何人不得改变网络拓扑结构、网络设备布局、服务器和路由器配置以及网络参数。第十条 在未经许可的情况下,任何人不得进入计算机系统更改系统信息和用户数据。第十一条 任何人不得利用计算机技术侵害用户合法利益,不得制作和传播有害信息。第三章 运维管理第十二条 对信息系统核心设备采取冗余措施(包括线路及设备冗余),确保网络正常运行。第十三条 对网络、安全设备进行管理时须采用安全的方式(如加密、SSH等),并严格控制可访问该设备的地址和网段。第十四条 定期对网络系统(服务器、网络设备)进行漏洞扫描,并及时修补已发现的安全漏洞。第十五条 根据设备厂商提供的更新软件对网络设备和安全设备进行升级,在升级之前要注意对重要文件的配置进行备份。第十六条 定期对重要的网络、安全设备进行巡检,确保重要设施工作正常,并填写相关记录表单归档保存。若在巡检中发现安全问题要及时上报处理。第十七条 定期对重要系统服务器和相关业务数据进行备份,备份数据应一式两份,分别进行保存管理。第十八条 部署专用的网络审计设备记录网络访问日志,日志的最小保存期限不低于60天,且应保证无一天以上的中断。第四章 账号管理第十九条 对网络管理员、安全审计员等不同用户建立不同的账号,并对资源管理权限进行划分,以便于审计。第二十条 网络账号、密码设计必须满足长度、复杂度要求,用户须定期更改密码以保障网络账户安全。第二十一条 指定专人对服务器和网络设备的账号、密码进行统一登记,一式两份存档管理。管理员须严守职业道德和职业纪律,不得将任何账号、密码等信息泄露出去。第五章 恶意代码管理第二十二条 不得制造和传播任何计算机病毒。第二十三条 网络服务器的病毒防治由网络管理员负责,网络管理员负责对各部门计算机的病毒防治工作进行指导和协助。第二十四条 及时更新网络系统服务器病毒库,定期对服务器进行全盘扫描杀毒。第二十五条 提高自身的恶意代码防范意识,在接收文件或邮件之前,必须先进行恶意代码检查。第二十六条 已授权的外来计算机或存储设备在接入网络之前,必须对其进行恶意代码扫描。第六章 恶意事件处理第二十七条 发现制造病毒、故意传播病毒等行为,须立即通知网络安全与信息化领导小组办公室,并协助有关部门进行调查。第二十八条 发现恶意网络攻击行为,须立即通知网络安全与信息化领导小组办公室,并协助有关部门进行调查。第七章 附 则第二十九条 本制度由网络与信息安全领导小组负责解释。第三十条 本制度自发布之日起生效执行。信息系统运行维护管理制度 第一章 范围及职责第一条 本制度适用于信息系统的运行维护管理,包括:业务系统运维管理、备份和恢复、口令和权限管理、恶意代码防范管理以及系统补丁管理。第二条 网络安全与信息化领导小组办公室负责信息系统运行维护管理制度的制定和修订;系统管理员负责信息系统的运行维护。第二章 业务系统运维管理第三条 对运行关键业务的系统进行监控。监控系统关键性能参数(如启动参数)、工作状态、占用资源和容量使用情况等内容。第四条 不得随意重启业务系统服务器、相关网络设备和安全设备,尽量少安装业务无关的与其它软件。第五条 定期对系统日志进行审计、备份。第六条 对主机系统上开放的网络服务和端口进行检查,发现不需要开放的网络服务和端口时及时通知相关管理员进行关闭。第七条 对系统运行情况进行记录,每月对记录结果进行分析、统计,并形成分析报告向上级汇报。第八条 开办交互式栏目的信息系统必须配备关键字过滤措施,防止出现有害信息和非法言论。第九条 不同的业务系统应采取不同的保护措施,达到等级保护二级以上标准时应向属地网监部门提交备案申请并取得备案编号。第十条 已在属地网监部门备案的信息系统要根据等级保护国标和上级主管部门的工作要求开展测评和整改工作。第十一条 所有在互联网发布的信息系统都必须在属地公安进行备案登记。已备案信息系统应注意前次备案的有效期限,应在备案失效前再次向属地公安报送材料进行备案,保证信息系统备案状态的持续性。第三章 备份与恢复管理第十二条 按照业务数据的重要性,采取不同介质进行备份,如:专业存储阵列、磁带、硬盘、光盘等;备份介质要标注内容、日期、操作员和状态。第十三条 备份介质(磁带、硬盘和光盘)要按照时间顺序保存。第十四条 备份介质必须异地存放,存放环境要满足介质存储的安全要求。第十五条 当介质超出有效使用期时,即使还能使用也要强制报废。第十六条 按照备份策略,对不同业务数据采用不同备份方式,灵活运用完全备份、增量备份和差异备份等方式进行备份,保证信息系统出现故障时,能够满足数据恢复的时间点和速度要求。第十七条 每次备份必须进行备份记录,对备份介质类型、备份的频率、数据量、数据属性等有明确描述,并及时检查备份的状态和日志,确保备份是成功的。第十八条 定期对介质做恢复测试,至少一年两次。第四章 口令、权限管理第十九条 口令安全是保护信息安全的重要措施之一。口令规范如下:1、保守口令的秘密性,除非有正式批准授权,禁止把口令提供给其他人使用;2、避免记录口令(例如在纸上记录),除非使用了安全的保管方式(如保险柜)并得到了批准;3、提高安全意识,当信息系统或账户状态出现异常情况时(如怀疑被入侵),应考虑立即更改口令;4、设置高质量的口令并定期进行修改,禁止循环使用旧口令;5、用户在第一次登陆的时候,须立即修改初始口令;6、不能在任何登录程序中保存口令或启用自动登录,如在宏或功能键中存储口令;7、网络设备或服务器、桌面系统的口令安全设置,必须遵守系统安全策略中的相关要求。第五章 恶意代码防范管理第二十条 所有计算机必须安装防病毒软件并实时运行。第二十一条 及时更新防病毒软件和病毒特征库。严禁制造、引入或传播恶意软件(例如病毒、蠕虫、木马、邮件炸弹等)。第二十二条 非本单位计算机严禁擅自接入规定业务以外的其他网络,如因工作需要接入的,须经网络安全与信息化领导小组办公室批准和确认。第二十三条 及时对计算机操作系统补丁进行更新。第二十四条 新购置的、借入的或维修返还的计算机或存储介质,在使用前必须进行恶意代码检查,确保无恶意代码之后才能正式投入使用。第二十五条 U盘、光盘以及其它移动存储介质在使用前必须进行恶意代码检测,严禁使用任何未经恶意代码检测过的存储介质。第二十六条 计算机软件以及从其它渠道获得的电子文件,在安装使用前必须进行恶意代码检测,禁止安装或使用未经恶意代码检测的计算机软件和电子文件。第二十七条 文件拷入计算机之前必须经过恶意代码扫描,文件拷贝的途径包括但不限于网络共享文件的拷贝、通过光盘、U盘等移动存储媒介的拷贝、从Internet下载文件、下载邮件等。第二十八条 邮件的附件在打开之前必须进行病毒检测。收到来历不明的邮件时不要打开附件,应确认文件安全或直接删除。第六章 系统补丁管理第二十九条 定期对信息系统进行漏洞扫描,对发现的信息系统漏洞和风险进行及时的修补。第三十条 每季度对信息系统设备(包括:主机、网络设备、数据库等)至少进行一次漏洞扫描,并对扫描报告进行分析和归类存档。第三十一条 定期检查信息系统的各种补丁状态,并及时更新。第三十二条 在安装信息系统各类补丁前须对补丁的兼容性和安全性进行评估和检测,确保新补丁不影响信息系统的正常运行。第三十三条 当出现应对高危漏洞的信息系统补丁时,应在第一时间组织补丁的测试工作,并对漏洞进行修补。每月根据收集情况安排补丁分发,如遇紧急更新,第一时间进行分发。第七章 附 则第三十四条 网络与信息安全领导小组负责解释。第三十五条 本制度自发布之日起生效执行。附件:1.备份计划表2.数据恢复测试计划表 附件1 备份计划表机房备份业务/系统备份频率、备份类型备份文件名/目录责任人备份保存期限保存方式审核检查备注名称附件2数据恢复测试计划表备份业务/系统测试目标与内容测试时间责任人测试方式审核检查备注 信息系统用户管理制度 第一章 范围及职责第一条 本制度适用于信息系统用户的管理,包括:岗位配置原则、人员录用及调(离)岗、授权管理、安全培训教育、第三方人员管理。第二条 网络安全与信息化领导小组办公室负责信息系统用户管理制度的制定和修订。第二章 岗位配置原则第三条 根据信息系统职能要求,结合部门实际情况进行人员配备,权限、职能不同的角色必须分离,避免权责不清、责任不明确的现象发生。其中,系统管理员不能兼任安全审计员。第四条 重要岗位实施角色备份制度,在合理设置工作岗位、完善工作职责的基础上,在相近岗位之间,实行顶岗或互为备岗制,以便能及时处理紧急任务。第五条 各岗位工作人员安排为确保信息安全工作的顺利开展,保障信息系统的正常运行,须设置安全管理员、系统管理员、网络管理员、机房管理员、安全审计员和信息审查员并明确其工作职责。第三章 人员录用及调离第六条 相关信息安全职责在岗位说明书中予以明确,各部门负责人根据已批准的岗位说明书和部门人员配置要求,填写相关申请,统一招调。第七条 所有信息系统相关岗位均要签署保密协议,关键岗位人员必须从内部人员中选拔。第八条 对被录用人的身份、背景、专业资格和资质等进行审查,当人员处理涉密信息或涉及高敏感性的信息或担负重要岗位时,应进行更严格的政审。第九条 人员调离时必须更换或归还之前发放的身份证件、钥匙、单位提供的软硬件设备及文档资料等资产,并办理详尽的交接手续。第十条 人员调离时必须终止其所有的访问权限,涉及相关信息系统账号、口令时,先采取更换密码或冻结账号的措施,避免直接删除账号。第十一条 人员调(离)岗时必须签署保密承诺书,承诺在调(离)岗后根据保密承诺书的内容履行相关的保密责任和义务,涉密人员实行脱密期管理制度。第十二条 对未办理正常交接手续离岗的人员,及时进行信息安全风险评估并由专人跟进处理,保证信息系统的安全和业务连续性。第十三条 建立完善的奖惩机制,对违反信息安全策略或规定的人员,给予正式纪律处理,对信息安全工作表现突优异的人员,给予适当激励。第十四条 与上级信息安全管理部门、信息系统服务商和宽带提供商(如电信、网通等)保持适当联系,确保在发生信息安全事故和查处危害内部信息安全的违法犯罪行为时能够得到及时响应和必要帮助。第四章 授权管理第十五条 权限的分级应遵循以下原则。1.符合业务安全需求;2. 遵循最小权限原则;3. 系统管理员分配超级权限,一般用户则分配普通权限;第十六条 所有账号注册都必须通过申请才能开放。申请人提出权限申请,提交《用户权限审批和修改表》给网络安全与信息化领导小组办公室审批,审批同意后才能开通相应的权限。每个用户必须被分配唯一的账号,账号名不能透露用户的权限信息,不允许共享账号。第十七条 所有系统都应该建立应急账号,应急账号数据必须放在密封的信封内妥善收藏,并控制好信封的存取。在使用后必须立刻修改,然后把新的密码装到信封里。第十八条 人员调职、离职时,亦需提交《用户权限审批和修改表》网络安全与信息化领导小组办公室审批,由网络安全与信息化领导小组办公室负责在该员工最后上班日之前注销或修改其所有账号。当注销账号时,必须确保已取消其相关的系统权限。第十九条 每3个月对重要系统特权用户及权限进行审计,每6个月对各系统的普通用户及权限进行审计(权限审计将重点关注权限与岗位是否匹配、权限的分配、变更、注销记录是否完整)。在权限审计完成后,填写《权限审查表》。对审查过程发现的问题责成改进。第二十条 每3个月提交权限变更汇总记录,网络安全与信息化领导小组办公室负责人对提交的报表数据进行审核,对审查过程发现的问题责成改进。第五章 安全培训教育第二十一条 各岗位人员必须清楚自己的安全职责,了解各自的工作职能范围和责任义务。第二十二条 制定安全教育和培训计划、记录培训具体内容和培训结果以及参加培训人员,在培训结束后把培训相关记录材料整理归档。第二十三条 根据各个岗位的业务应用、安全意识和保密意识需求制定培训计划,定期组织安全教育和培训。第二十四条 各岗位人员要积极参与单位组织的内、外部信息安全交流和培训,提升信息安全意识和专业水平。第二十五条 定期对各岗位人员进行安全理论知识和安全技能水平的考察。第六章 第三方人员管理第二十六条 为加强与信息安全公司、产品供应商、业界专家、安全组织的沟通与合作或应急响应,应建立详细的外联单位联系表(内容至少包括外联单位的名称、联系人、地址、联系方式等)。第二十七条 第三方人员对敏感信息资产进行访问前,必须签订正式的合同及保密协议;在合同和保密协议中明确第三方人员的安全责任、必须遵守的安全要求以及违反要求的处罚等条款,对其允许访问的区域、系统、设备、信息等内容应有明确的规定。第二十八条 需要访问信息系统的第三方人员必须得到有关部门和领导的许可、授权,其访问权限必须得到严格的限制。第三方人员使用的工具需经过相关部门的安全检查。第二十九条 与第三方人员共同协定现场工作规范并按照既定规范实施管理、落实运维人员或终端责任人全程陪同的策略以降低风险。第三十条 在第三方人员进行远程访问之前,要严格鉴定访问者的身份,确保访问者为已授权人员。第三十一条 负责第三方人员接待和管理的部门在第三方人员访问结束之后,要及时收回相关物品、资料并且终止其访问权限。第三十二条 负责接待第三方人员的工作人员须有相应信息安全教育培训经验,并且具备良好的安全意识和风险识别能力。第三十三条 应选择具有公安部门、保密部门、密码管理部门资质认证的第三方公司进行信息安全合作,保障系统安全。第七章 附 则第三十四条 本制度由网络与信息安全领导小组负责解释。第三十五条 本制度自发布之日起生效执行。附件:1.安全保密责任书(在岗人员) 2.保密承诺书(离岗人员) 3.信息安全培训计划表 4.信息安全培训记录表附件1:安全保密责任书(在岗人员) 为做好本单位的保密工作,确保单位敏感信息和国家秘密的安全,特制定本保密责任书。一、个人信息提供本人保证,涉密资格审查时提供的所有个人信息都是真实的,没有任何虚假、伪造或隐瞒。二、岗位职责(一)积极参加保密教育和培训,完成规定的学时要求(每年累计不得少于16小时),认真学习、掌握并严格执行保密法律、法规、规章和本单位、本部门的保密规定;(二)依法确定、使用和管理单位敏感信息、国家秘密及其载体,确保单位敏感信息和国家秘密的绝对安全;(三)负责所在涉密场所保密安全防范措施的执行并确保落实;(四)严格护照保密工作部门有关手机使用保密管理规定的要求使用和管理手机。三、行为规范本人保证,不得做出下列行为:(一)以任何方式非法向知悉范围以外的人员泄露单位敏感信息和国家秘密; (二)违规记录、存储、复制、携带单位敏感信息或国家秘密,违规持有单位敏感信息或国家秘密载体;(三)未经单位审查批准,擅自发表涉及未公开工作内容文章、著述;(四)擅自移交信息系统敏感资料、或透露信息系统相关敏感信息。(五)在本单位以外的其他单位兼职,擅自向境外驻华机构、企业等提供信息咨询服务;(六)发生泄密后隐瞒事实或不及时报告;(七)参加社会非法组织或活动;(八)其他违反保密规定的行为。四、报告事项遇有下列情形之一的,本人保证主动、及时向本单位保密工作部门或部门责任人报告:(一)发生或发现泄密;(二)有涉外婚恋行为;(三)拟因私出国(境)或到境外定居;(四)有直系亲属在国(境)外学习、工作和定居;(五)与国(境)外人员非公务交往情况;(六)拟辞职脱离本岗位;(七)其他可能影响履行保密职责的重大事项。五、出境审批依照保密规定,本人因私出境须按程序由本单位批准同意。否则,不得擅自出境。六、保密监督自觉接受保密监督、检查、管理和考核,配合做好相关工作,履行岗位保密职责。七、离岗要求本人离岗脱密期确定为 。如离岗应签署《保密承诺书》,并保证严格执行脱密期规定及限制。八、法律责任如果本人未能履行保密义务和职责,违反保密规定,致使本岗位存在重大泄密隐患或发生泄密,本人将按照有关规定将承担相应的党纪、政纪责任;情节严重的,承担相应的刑事责任。九、享有权利(一)拒绝执行违反保密规定的指示、指令和要求;(二)制止违反保密规定的行为;(三)举报、控告泄密行为;(四)向保密工作部门如实反映本单位保密工作情况;(五)对本岗位的保密工作提出建议;(六)参加保密业务培训和保密组织活动;(七)保密法律、法规、规章规定的其他权利。(八)其他本保密责任书自双方签字之日起生效,至离岗之日止。本保密责任书一式三份,单位保密工作机构(组织)、人事部门和责任人各留存一份。 上述所有条款本人已仔细阅读,明白无误,无任何异议。 单位代表(签章): 年 月 日 保密责任人(签名):身份证号码: 年 月 日 附件2:保密承诺书(离岗人员) 我已被告知各项保密制度,知悉应当承担的保密义务和法律责任。本人庄重承诺:一、严格遵守国家保密法律、法规和规章制度,履行保密义务;二、本人保证,在脱密期间及以后,除非得到合法授权或批准,永不泄露所知悉的单位敏感信息和国家秘密;三、本人已履行了工作交接手续,保证没有私自留存任何单位敏感信息或国家秘密及其载体;四、未经原单位审查批准,不擅自发表涉及原单位未公开工作内容的文章、著述;五、在脱密期间,保证不受聘、受雇于境外及境外驻华机构、组织、企业、人员或为其提供信息咨询服务;不参加非法组织或非法活动以及其他违反保密规定的行为;六、在脱密期间,本人因私出境须依照保密规定和程序申报,未经批准不擅自出境;七、自愿接受脱密期管理,自 年 月 日至 年 月 日服从有关部门的保密监督;八、自愿如实提供联系方式,联系电话 ,常住地址 。如有变动及时告知原单位。九、违反上述承诺,自愿承担党纪、政纪和法律后果。十、本离岗保密承诺书一式三份,单位保密工作机构(组织)、人事部门和承诺人各留存一份,自签字之日起生效。 上述所有条款本人已仔细阅读,明白无误,无任何异议。 承诺人(签名):身份证号码 : 年 月 日 附件3信息安全培训计划表 填表日期: 年 月 日培训名称培训类别□理论 □操作培训人数培训地点培训时间 年 月 日 至 年 月 日课时安排:课程内容简介:培训教师安排:培训所用材料:培训计划人 附件4信息安全培训记录表 填表日期: 年 月 日培训名称培训类别□理论 □操作培训人数培训地点培训时间 年 月 日 至 年 月 日培训教师培训内容概要:参与培训人员签到姓名部门姓名部门培训考核形式□笔试 □其他培训考核合格率 信息资产和设备管理制度 第一章 范围及职责第一条 本制度适用于信息资产的管理,包括:获取、分类、使用和处置以及安全设备的管理。第二条 本制度中的信息资产是指可以存储信息数据的信息载体,包括:硬件、软件、数据(电子数据)、文档(纸质文件)、人员、服务设施、其他。第三条 网络安全与信息化领导小组办公室主要负责信息资产的分类、汇总、使用与处置方法,以及安全设备的选型、检测、安装、登记、使用、维护和储存。第四条 计算机资产统计信息的范围包含但不限于:计算机主机名、IP地址、MAC地址、使用人/责任人、所属部门、物理位置、服务器的内外网IP对应等。第二章 信息资产的获取第五条 软件、硬件设施、服务性设施等的获得主要以采购的方式获得,采购按照有关规定进行采购和验收。第六条 数据信息资产的获得来源主要为:外包供应商、市场信息、其他信息。第三章 信息资产的分类第七条 各部门根据业务流程列出信息资产清单并将每项资产的资产类别、信息资产编号、资产现有编号、资产名称、所属部门(组别)、管理者、使用者、地点等相关信息记录在资产清单上。第八条 资产的分类原则和编号原则如下:1、硬件计算机设备:(台式机、笔记本)、服务器;存储设备:磁带机、磁盘整列、磁带、光盘、软盘、移动硬盘等;网络设备:路由器、交换机、网关、程控交换机等;传输线路:光纤、双绞线、电话线(布线)、电源线;安全设备:硬件防火墙、入侵检测、网络隔离设备(如网闸)、身份验证等;办公设备:打印机、复印机、扫描仪、传真机、碎纸机、写字白板、应急照明设备等;保障设备:动力保障设备(UPS、变电设备)、空调、保险柜、文件柜、门禁、消防设施等;其他设备;2、软件如:操作系统、系统软件(office/AutoCAD)、应用软件(生产软件)、网管软件、杀毒软件、财务软件、开发工具和资源库等;3、电子数据存在电子媒介的各种数据资料。如:源代码、数据库数据、各种数据资料、系统文档、运行管理规程、计划、日周月报告、财务报告(电子版本)、用户手册、方案、电子设计图纸等;4、纸质文件纸质的各种文件。如:传真、电报、合同、纸张图纸等;5、服务性设施如:供电、供水、保洁、门禁、消防设施等;6、人员如:各级领导、各级正式雇员、临时雇员等;7、其他。第九条 按照《涉及国家秘密的信息系统分级保护技术标准》和信息安全管理体系建设要求,按照信息资产的公开和敏感程度,将信息资产化分为不同的保护等级,并对不同等级的信息资产进行保护,确保信息安全。各部门要将所有的移动介质和电子文件按照敏感性和重要程度分为不同的保护等级,保密级别与保密期限由持有人自行定义。第十条 识别各个流程的各类关键信息资产,最终网络安全与信息化领导小组办公室汇总,并每半年进行一次更新,确保重要信息资产的完备性(重要信息资产没有遗漏和缺失)和准确性(信息资产的保密级别和重要程度能够真实反映信息资产的状态)。第十一条 对信息资产进行编号,同时对重要信息资产进行标识:文档需有固定版本编号规则;硬件设备粘贴在设备明显位置处。第四章 信息资产的使用和处置(一)硬件资产的使用和处置第十二条 硬件的使用处置包括购买/接收、使用(交接、维修、重用)、处置等有关内容。第十三条 购买新的硬件设备或者从其他部门接收转移的设备时,要核对设备清单,对相关设备进行测试验证,然后登记。由资产管理员对硬件设备进行管理,明确设备管理职责。第十四条 硬件资产的保存1、机房选址要避免在地下室、一楼(水淹和渗水)和顶层(渗水和失火时火向上燃烧),同时考虑相邻楼层的活动(避免热源和渗水);2、处理敏感数据的信息处理设施放在适当安全的位置,以减少在设备在使用期间信息被窥视的风险,保护储存设施以防止未授权访问;3、设备的选址应采取控制措施以减小潜在的物理威胁的风险,例如偷窃、火灾、爆炸、烟雾、水(或供水故障)、温度、湿度、尘埃、振动、化学影响、电源干扰、通信干扰、电磁辐射和故意破坏;4、禁止在信息处理设施附近进食、喝饮料和抽烟;5、对专门保护的部件要予以隔离,以满足特殊安全要求;第十五条 硬件资产的日常使用安全1、所有的硬件资产必须明确设备的使用人员/管理人员,明确职责;2、硬件资产的使用人(或管理人),在使用或管理硬件资产时,要注意硬件资产的安全性、机密性、完整性,防止信息载体的毁坏和信息的泄密,防止信息处理设施的滥用;对设备定期进行维护保养,发生毁坏,丢失等问题时能够及时处置;3、新硬件设备接入网络按照相关规定处理;4、在人员上岗时,可根据需要为上岗人员配备必要的办公设备,包括电脑(笔记本或台式机),电话机,其它办公用品;网络安全与信息化领导小组办公室根据该工作人员所处部门、工作性质为其设置相应的办公网访问权限;5、需要使用移动计算设备(包括笔记本、无线网卡、移动硬盘和U盘)的用户,应得到相关负责人的同意后方可使用;6、对于无人职守的设备,要明确管理人员,加强物理安全控制。第十六条 硬件资产的转移安全1、当设备迁移时,必须先对设备中存储的重要信息进行备份;2、设备迁移完成后,必须检查设备是否损坏;3、设备迁移出本单位时,设备中禁止存放重要信息,以防止机密信息泄露或泄露的风险增加。第十七条 办公地点外使用任何信息处理设备必须通过管理者授权。场外设备的保护要考虑下列内容: 1、离开本单位的设备和介质(如现场的设备和介质),必须有人值守或委派负责人(或者公共场所放置的需要有人值守或监视系统);2、制造商保护设备用的说明书要始终加以遵守,例如,防止暴露于强电磁场内; 3、根据风险的不同采取足够的安全保障措施,以保护离开单位的设备安全。 第十八条 硬件资产的处置和重用1、存储设备销毁前,必须确保所有存储的敏感数据或授权软件已经被移除或安全重写;2、服务器、主要网络设备的处置由网络安全与信息化领导小组办公室进行安全处置;3、台式机、打印机、传真机、扫描仪等IT设备的处置由局办公室进行并做登记;4、如需报废时,应向主管部门提出报废申请,经批准后报废。(二)软件资产的使用和处置第十九条 软件资产的使用1、所有的软件资产必须设置专人管理,明确职责,避免软件资产的丢失,泄密;2、所有正版软件实体由网络安全与信息化领导小组办公室保管,在安装软件时要规定使用权限,防止非授权访问;3、按照《系统运行维护管理制度》中“备份与恢复管理”章节要求,对重要系统进行备份;4、当人员离职或岗位变动,需要回收有关的软件,必要时,由网络安全与信息化领导小组办公室技术人员对离职人员使用的软件进行卸载,删除。第二十条 软件资产的处置:对过时或确认无效的软件资产,定期进行清除。(三)电子数据的使用和处置第二十一条 电子数据的使用1、对所有电子数据进行分类/分级,标识未授权人员的访问限制,不同安全级别的数据应存储在不同的区域,按类按级传达,便于信息的安全管理;2、不同类型的电子文件按照统一规律存放在个人电脑或服务器中,便于整理和查阅以及工作交接时转移;3、所有电子文件保存在电脑或服务器中,并按照《备份和恢复管理制度》规定的备份频率定期进行备份;4、对于存于服务器上的电子数据的访问,根据服务器提供服务的不同与部门/职务的不同,设置不同的访问权限,避免非授权访问;5、对于内部公开级别的电子信息,其使用要控制在内部,禁止带出;6、对于秘密级别以上的电子文件的处理过程,必须保障数据的完整性、机密性和可用性;7、对于秘密级别以上的电子文件的使用,系统应进行审计;8、对于秘密级别以上的电子文件的传输,必须采取安全措施加以保护,如加密传输等;9、在整理电脑中的电子数据时,要小心操作,确认后再进行处理,避免由于误操作将有用的电子数据删除。(四)纸质文档的使用和处置第二十二条 纸质文档的使用1、所有的秘密级以上的纸质文件资料要(通过标签或其它方式)标识出资产的保密级别,分类存放,不同安全级别的纸质文件应按类按级传达,便于纸质文件的安全管理;2、对于比较重要的纸质文件(机密级别以上)必须保存在带锁的文件柜或保险柜中,钥匙由专人保管;3、对于纸质文件的保存期限依据实际要求制定和实施;4、对于比较重要的纸质文件的使用过程,必须注意信息的保密,确保信息的完整性和可用性;5、对于比较重要的纸质文件的传输,必须采取适当的安全措施加以保护,如专人递送等。第二十三条 纸质文档的处置1、实体数据资料达到保存期限后,必须将其撕毁或者粉碎到读不出来为止,避免实体数据资料的泄密;2、对于重要纸质文件的销毁,要求两人以上在场,防止信息的泄密。(五)人员招调、在职、离职第二十四条 所有人员的招调、在职、离职安全管理按照《用户管理制度》的要求进行实施。(六)服务性资产的使用和处置第二十五条 所有服务性资产要设置专人管理,定期维护,避免损坏、非授权使用或丢失。涉及服务性的合同,相关管理部门在签署合同时,应审核涉及信息保密的相关条款。第二十六条 当服务性设施损坏,如果可以维修,由负责人联络相关人员进行维修,如果涉及到第三方,依据《用户管理制度》对第三方进行管理。第二十七条 当服务性设施损坏,不可维修,只能报废时,应联络相关管理部门提出报废申请。第五章 安全设备管理(一)设备的选型第二十八条 严禁采购和使用未获得销售许可证的信息安全产品。第二十九条 应优先采用我国自主开发研制的信息安全技术和设备。第三十条 避免采用境外的密码设备。第三十一条 如需采用境外信息安全产品时,必须确保产品获得我国权威机构的认证测试和销售许可证。第三十二条 使用经国家密码管理部门批准和认可的国内密码技术及相关产品。第三十三条 终端物理隔离必须使用国家保密局认可的隔离卡或采用国家保密局认可的其他方式。(二)设备检测第三十四条 信息系统中的所有安全设备必须符合中华人民共和国国家标准《数据处理设备的安全》、《电动办公机器的安全》中规定的要求,其电磁辐射强度、可靠性及兼容性也必须符合安全管理等级要求。(三)设备安装第三十五条 设备符合系统选型要求并获得批准后,方可购置安装。第三十六条 凡购回的设备均须在测试环境下经过连续72小时以上的单机运行测试和联机48小时的应用系统兼容性运行测试。第三十七条 主机、服务器、网络设备、安全设备等上架运行前必须通过安全检测,禁止安装有默认操作系统的主机、服务器直接接入系统。第三十八条 通过上述测试后,设备进入试运行阶段,试运行时间的长短根据业务需要动态设定。第三十九条 通过试运行的设备才能接入生产系统,正式运行。(四)设备登记第四十条 对所有设备均应建立严格完整的购置、移交、使用、维护、维修和报废等记录,认真做好资产登记和管理工作,保证设备管理的正规化。(五)设备使用管理第四十一条 每台设备的使用均应指定专人负责并建立详细的运行日志。第四十二条 由责任人负责进行设备的日常清洗及定期保养维护,做好维护记录,保证设备处于最佳状态。第四十三条 保证设备在其适宜的使用环境下工作。第四十四条 一旦设备出现故障,管理员如实填写故障报告,通知有关人员处理。 (六)设备维修管理第四十五条 设备由专人负责维修,并建立满足正常运行最低要求的易损件的备件库。第四十六条 根据每台设备的使用情况及系统的可靠性等级,制定预防性维修计划。第四十七条 对系统进行维修时必须采取数据保护措施,安全设备维修时应有安全管理员在场。第四十八条 对设备进行维修时必须记录维修对象、故障原因、排除方法、主要维修过程及维修有关情况等。第四十九条 对设备应规定折旧期,设备到了规定使用年限或因严重故障不能恢复,由专业技术人员对设备进行鉴定和残值估价,并对设备情况进行详细登记,提出报告书和处理意见,由主管领导和上级主管部门批准后方能进行报废处理。(七)设备储存管理第五十条 设备储存环境应符合出厂标称要求。第五十一条 建立详细的设备进出库、领用和报废登记。第五十二条 必须定期对储存设备进行清洁、核查及通电检测。第五十三条 安全产品及保密设备必须单独储存并有相应的保护措施。第六章 附 则第五十四条 本制度由网络与信息安全领导小组负责解释。第五十五条 本制度自发布之日起生效执行。附件:1.内(外)网PC资产信息表 2.服务器内外网IP对应表 3.安全产品清单 附件1: 内(外)网PC资产信息表序号主机名IP地址MAC地址使用人或责任人所属部门物理位置12345678910 附件2: 服务器内外网IP对应表序号服务器名称编号IP地址功能描述12345678 附件3: 安全产品清单序号产品名称生产厂商产品用途部署位置备注 免责声明:图文来源网络征集,版权归原作者所有。若侵犯了您的合法权益,请作者持权属证明与本站联系,我们将及时更正、删除!谢谢!
点击查看更多
工图网提供信息安全及网络安全相关制度汇编(15篇)供会员免费下载。更多精彩公司介绍PPT素材,尽在工图网。
信息安全及网络安全相关制度汇编(15篇),信息安全,公文范文 Array
本网站所有作品均是用户自行上传分享,仅供网友学习交流。若您的权利被侵害,请联系客服。
- 价格 会员免费
- 编号 11526825
- 软件 Word
- 格式 doc,docx
- 大小 65.504KB
- 比例 16:9
- 页数 共103页
声明:工图网仅对作品中独创性部分享有权利。对作品中含有的国旗、国徽等政治图案不享有权利,仅作为作品整体效果的示例展示,禁止商用。另外您必须遵循相关法律法规规定的使用范围和使用方式,禁止以任何形式歪曲、篡改。
相关推荐
猜你喜欢