《单位内部网络信息安全制度汇编（试行）》（全文58767字）

《单位内部网络信息安全制度汇编（试行）》
　　
目 录
一、相关术语 11
1、缩写 11
2、制度适用范围： 11
3、术语定义 11
一、网络信息安全总体策略 13
第一章 总则 13
第二章 术语定义 13
第三章 组织职责 13
第四章 管理原则 13
第五章 总体目标 14
第六章 安全框架 14
第七章 策略制定与维护 15
二、信息等级保护体系制定和发布管理规定 17
第一章 总则 17
第二章 职责 17
第五章 文件起草 18
第六章 文件评审 19
第七章 文件发布 20
附录一、（XX市民政局）管理制度发布记录表 21
三、等级保护体系评审和修订管理规定 22
第一章 总则 22
第二章 评审程序 22
第三章 修订程序 23
四、信息安全管理组织架构 24
第一章 总则 24
第二章 组织目标 24
第三章 信息安全组织架构 24
第四章 组织的信息安全职责描述 25
五、信息系统安全检查管理规定 27
第一章 总则 27
第二章 适用范围 27
第三章 术语定义 27
第四章 组织职责 27
第五章 通用要求 27
第六章 安全检查准备 28
第七章 安全检查报告 28
第八章 安全检查整改 29
第九章 检查工具的使用 29
附录一： 安全检查情况汇总表 30
附录二： 信息系统安全检查表 31
六、信息安全组织架构与岗位职责 33
第一章 总则 33
第二章 信息化领导小组 33
七、人员管理制度 36
第一章 总则 36
第二章 术语定义 36
第三章 组织职责 36
第四章 入职管理 36
第五章 在岗管理 37
第六章 纪律处理过程 37
第七章 调动管理 37
第八章 离岗管理 38
八、网络安全培训和考核管理规定 39
第一章 总则 39
第二章 组织职责 39
第三章 安全培训管理程序 39
第五章 安全考核管理程序 40
九、第三方机构安全管理规定 41
第一章 总则 41
第二章 术语定义 41
第三章 组织职责 41
第五章 驻场外包人员安全管理要求 41
第六章 临时来访人员安全管理要求 42
第七章 外包服务质量考核与评价 42
第八章 外包人员离场安全要求 43
十、计算机及网络保密规定 44
十一、信息系统测试管理办法 46
第一章 总则 46
第二章 测试组工作职责 46
第三章 新业务系统上线测试管理办法 47
第四章 常规版本升级测试管理办法 48
十二、信息安全建设管理规定 50
第一章 总则 50
第二章 适用范围 50
第三章 组织职责 50
第四章 系统定级 50
第五章 安全检查报告 51
第六章 系统建设 52
第七章 系统备案 52
第八章 系统测评 53
第九章 系统终止 53
附录一、系统安全设计方案评审表 55
附录二、系统测试验收评审表 56
附录三、系统转移、终止或废弃申请表 57
十三、项目管理规定 58
第一章 总则 58
第二章 适用范围 58
第三章 职责与权限 58
第四章 项目立项 58
第五章 项目计划 59
第六章 项目实施 59
第七章 项目监控 60
第八章 项目收尾 60
十四、工作环境管理规定 61
第一章 总则 61
第二章 适用范围 61
第三章 术语定义 61
第四章 办公区域访问控制 61
第五章 办公环境安全 61
第七章 办公用计算机安全 62
第八章 监督和检查 65
十五、信息系统资产管理规定 66
第一章 总则 66
第二章 适用范围 66
第三章 术语定义 66
第四章 职责 66
第五章 资产分类 66
第六章 资产分级 67
第七章 信息资产标识 67
第八章 信息资产维护 68
第九章 闲置报废资产管理 68
附录一、（XX市民政局）XXXX系统信息资产清单 70
十六、存储介质管理规定 71
第一章 总则 71
第二章 适用范围 71
第三章 术语定义 71
第四章 组织职责 71
第五章 存储介质标识 71
第六章 存储介质访问 71
第七章 存储介质保管 72
第八章 介质维修 72
第九章 存储介质销毁 72
附录一、存储介质清单 74
附录二、存储介质销毁申请表 75
十七、信息系统运维监控管理规定 76
第一章 总则 76
第二章 适用范围 76
第三章 术语定义 76
第四章 组织职责 76
第五章 监控管理要求 77
第六章 运维监控工作流程 77
十八、网络系统运行管理规定 79
第一章 总则 79
第二章 组织职责 79
第三章 网络资源的数据管理 79
第四章 网络资源的申请 80
第五章 网络资源的使用 80
第六章 网络资源的建设 80
第七章 网络资源的变更 81
第八章 网络故障处理 81
十九、系统帐号权限管理规定 82
第一章 总则 82
第二章 适用范围 82
第三章 术语定义 82
第四章 组织职责 82
第五章 通用原则 82
第六章 特权帐号管理 84
第七章 普通帐号管理 84
第八章 口令管理 84
第九章 检查监督 85
附录一、（XX市民政局）业务系统临时帐户申请表 86
附录二、（XX市民政局）业务系统帐户清单 87
二十、补丁管理规定 88
第一章 总则 88
第二章 适用范围 88
第三章 术语定义 88
第四章 组织职责 88
第五章 补丁获取 88
第六章 补丁测试 89
第七章 补丁验证和归档 89
附录一 业务系统补丁安装登记表 91
二十一、信息系统日志管理规定 92
第一章 总则 92
第二章 适用范围 92
第三章 术语定义 92
第四章 组织职责 92
第五章 通用要求 92
第六章 主机系统日志管理 93
第七章 业务系统日志管理 93
第八章 设备日志管理 94
二十二、防病毒管理规定 95
第一章 总则 95
第二章 适用范围 95
第三章 术语定义 95
第四章 组织职责 95
第五章 防计算机病毒目的 96
第六章 防病毒管理内容 96
第七章 防病毒应用规定 97
第八章 惩罚制度 97
附件：病毒事件报告表 98
二十三、信息安全密码使用管理规定 99
第一章 总则 99
第二章 帐号设立要求 99
第四章 口令设立要求 100
第五章 变更与取消要求 100
第六章 维护要求 101
第七章 流程管理要求 103
二十四、变更管理规定 105
第一章 总则 105
第二章 适用范围 105
第三章 术语定义 105
第四章 组织职责 106
第五章 变更申请 106
第六章 变更受理 106
第七章 变更方案制订 106
第八章 变更审批 107
第九章 变更实施 107
第十章 变更汇总 109
第十一章 紧急变更 109
附录一 变更申请单 110
二十五、备份与恢复管理规定 112
第一章 总则 112
第二章 术语定义 112
第三章 职责 112
第四章 备份管理 112
第五章 备份介质管理 114
第六章 备份恢复管理 115
附录一：业务系统备份数据清单 116
二十六、安全事件管理规定 120
第一章 总则 120
第二章 适用范围 120
第三章 术语定义 120
第四章 组织职责 120
第五章 事件分类 120
第六章 事件分级 122
第七章 事件监控 122
第八章 事件受理 123
第九章 事件处置 123
附录一、信息安全异常现象报告 126
附录二、信息安全事件报告 127
二十七、应急预案管理规定 129
二十八、软件管理办法 131
第一章 总则 131
第二章 适用范围 131
第三章 职责与权限 131
第四章 软件管理 131
第五章 软件外包开发 131
第六章 软件使用 132
二十九、信息交付管理规定 133
第一章 总则 133
第二章 安全交付规范 133
第三章 人员安全管理 135
附件 安全系统交付清单 136

相关术语
1、缩写
原名称 缩写名称 备注

2、制度适用范围：
　　　适用于（XX市民政局）各部门，包括系统维护管理人员、网络、服务器、终端、设备、信息系统的专用设备以及物理环境等
3、术语定义
（一）安全策略：是纲领性的安全策略主文档，描述（XX市民政局）业务安全目标和管理层意图、支持目标和指导原则，是信息安全实践的根本性和指导性的文件。
（二）信息安全等级保护管理体系是指依据国家信息安全等级保护的要求建立的系统内进行信息安全管理的制度、方针、策略、流程、指南、记录等管理方面的规章制度集合。
（三）信息安全等级保护管理体系是指依据国家信息安全等级保护的要求建立的系统内进行信息安全管理的制度、方针、策略、流程、指南、记录等管理方面的规章制度集合。
（四）安全检查：指单位内部或外部机构对信息安全整体执行情况进行的评价活动。安全检查的依据是单位现行的管理制度、信息系统安全体系规范和技术标准、有关法律、法规和标准要求等安全检查包括安全例行检查、安全专项检查等。
（五）安全例行检查：指按照已制定的检查周期所作的检查。
（六）安全专项抽查：指根据单位、监管机构或相关部门要求的安全运行状况所作的不定期的抽查。
（七）本单位员工是指单位正式员工，包括试用期员工和借调人员等。
（八）第三方机构是指所有进入（XX市民政局）内部提供相关技术服务的非（XX市民政局）单位（包括但不限于供应商、合作厂商、服务商）。第三方人员分为临时来访人员和驻场外包人员。临时来访的第三方人员是指来（XX市民政局）时间周期较短的人员，包括进行业务交流的人员，临时来访参观的人员等；驻场外包的第三方人员是指来访时间较长的第三方技术服务人员，包括项目建设人员，外来信息系统职守人员，外来信息系统维护人员等。
（九）存储介质：指用于单位计算机系统相关业务的电子信息输出、存放的物理介质、可移动和不可移动的磁盘、光盘、硬盘、磁盘阵列等。
（十）帐号是指每个可访问系统资源的用户在系统中的标识,可分为应用系统帐号、操作系统帐号和数据库帐号等。
（十一）访问权限是指帐号被赋予的可以访问系统资源和使用系统功能的权利。
（十二）超级管理员帐号/特权帐号：指对系统具有超级权限的帐号，包含但不限于UNIX/Linux的root，WINNT的administrators组成员，数据库的DBA等用户。
（十三）普通帐号：用户用于维护或访问系统，实现日常操作的帐号，是最为常见的用户类型。
（十四）补丁是针对某一个具体的系统漏洞或安全问题而发布的专门解决该漏洞或安全问题的小程序，通常称为修补程序。
（十五）日志包括各业务系统中存储的主机系统日志、设备日志和业务系统日志等基础环境日志
（十六）计算机病毒：计算机病毒是人为蓄意编制的一种寄生性的计算机程序。它能在计算机系统中生存，通过自我复制来传播，在一定条件下即被激活，从而给计算机系统造成一定损害甚至严重破坏，有些病毒还能窃取计算机设备中的重要信息
（十七）信息安全事件是指由于自然或者人为以及软硬件本身缺陷或故障的原因，对信息系统造成危害，或对社会造成负面影响的事件

一、网络信息安全总体策略
第一章 总则
第一条为了加强（XX市民政局）信息系统的网络安全管理，明确（XX市民政局）网络安全管理的总目标和总方向，保护（XX市民政局）系统自有的信息系统资产，积极预防安全事件的发生，使安全事件的影响最小化，特制定本策略文件。
第二章 术语定义
第二条安全策略：是纲领性的安全策略主文档，描述（XX市民政局）信息系统业务安全目标和管理层意图、支持目标和指导原则，是网络安全实践的根本性和指导性的文件。
第三章 组织职责
第三条单位组建网络安全与信息化领导小组，负责批准网络安全策略文件并且保证本文件被执行，同时负责对（XX市民政局）系统网络安全方面的指导方向、安全建设等重大问题做出决策，协调各部门安全协同工作，支持和推动网络安全工作在整个单位实施。
第四条单位组建网络安全等级保护工作小组，负责具体执行安全管理策略文件的建立、实施、运作、监控、评审、维护和改进工作。
第五条单位所有员工有责任了解自身在单位信息安全、网络安全方面的职责，并按照网络安全与信息化领导小组的指示，认真执行相关要求。
第四章 管理原则
第六条网络安全管理工作实行“积极防范、突出重点、职责到位、保障业务”和“谁主管、谁负责、谁运营、谁负责”的管理原则。

第五章 总体目标
第七条遵守国家相关法律法规，结合（XX市民政局）实际情况，依据现有管理和文化体系，逐步建设一套适用的、先进的网络安全管理体系，更好地保障（XX市民政局）网站、社管平台等重要信息系统安全、稳定的向社会公众提供服务，并满足单位不断发展的业务需求。
第六章 安全框架
第八条安全管理制度
（一）逐步完善由安全策略、管理制度、操作规程组成的网络安全管理体系。
（二）网络安全策略文件应由管理层审核批准，并公布与传达给单位所有人员以及同本单位有业务往来的第三方机构。网络安全策略文件在规划期间内或有重大变更发生时需通过管理层的审查及修订。
第九条安全管理机构
（一）必须建立网络安全管理组织，以满足网络安全管理体系持续运行的目标。
（二）加强与第三方机构的沟通和合作，及时获取相关信息。
（三）必须建立安全检查机制，定期对信息系统进行安全检查。
（四）加强人员录用和离岗过程的安全管理，并定期对所有人员进行安全培训和考核，加强安全意识。
（五）对所有操作或访问信息资产的第三方机构，必须向其阐明相关的责任要求，并明确告知其有责任恰当地使用和保护这些信息资产。
第十条系统建设
（一）系统建设初期必须根据系统定级情况进行安全方案设计，对可行性进行论证。
（二）确保安全和密码产品采购和使用符合国家的有关规定；并只能选择满足条件的安全服务商。
（三）确保在系统的开发与维护过程中，相关的安全功能和需求已被嵌入到系统内。在开发新系统时，安全功能应包含在初始的系统分析与需求描述中。这些描述必须包括自动的和手动的安全控制。这些控制必须通过测试，而且能够整合到正在运行的环境中。
第十一条系统运维
（一）信息系统及其相关的设备在物理上需要受到保护，防止偷窃、滥用、损坏或未经授权的访问。
（二）确保信息系统相关的信息资产受到适当保护, 所有信息资产必须有确定的属主并且根据其敏感度进行分类和控制。
（三）所有信息系统必须制定相应的操作规范，通过对日常操作的管理、介质的管理、恶意代码防范控制确保信息系统范围内信息处理设施的正确和安全操作。
（四）对三级系统应建立安全管理中心，对信息资产安全事件实现监控和响应。
（五）所有信息系统变更应有审批流程，并有完善的恢复流程。
（六）应建立有效的安全事件响应和处理机制，安全事件必须及时的发现、报告、处理、调查、上报并修正，并且有事后的回顾，以吸取经验教训，避免以后再发生同类型的事件，把损失降到最小。
（七）建立完善应急预案，以确保事故发生时，对业务活动的影响降至最小。
第七章 策略制定与维护
第十二条网络信息安全策略文件由安全管理员编写，由网络安全与信息化领导小组批准，向所有相关部门、第三方机构和相关人员发布。
第十三条网络安全与信息化领导小组监督网络安全活动，是否与策略的目标一致，达到策略的要求。
第十四条网络安全与信息化领导小组审查和处理违反安全策略的行为。
第十五条网络安全等级保护工作小组定期对网络安全策略进行回顾和评审（附件一、评审记录表），确保策略的有效性和可操作性。

附件一、安全策略评审记录表
安全策略评审记录表
日期： 年 月 日
　会议名称
　参与人员
　评审对象
　评审结果

　评审意见：

网络安全等级保护工作小组 　审批结果：

网络安全与信息化领导小组

二、信息等级保护体系制定和发布管理规定
第一章 总则
第一条为了保证（XX市民政局）信息安全等级保护管理体系的持续性、时效性以及适应性，满足业务不断变化的安全管理的需要，明确信息安全等级保护体系的制定、发布、评审和修订等过程中的管理职责，特制定本规定。
第二章 职责
第二条网络安全与信息化领导小组，职责：
（一）负责规划、监督、指导网络安全等级保护管理体系文件的起草、审查、发布、清理等工作。
（二）负责信息安全等级保护管理体系的评审及修订后复审工作。
（三）确保信息安全等级保护管理体系能持续恰当和有效地运作。
（四）提供充足的资源和支持，以持续改善信息安全等级保护管理体系。
第三条网络安全等级保护工作小组，职责：
（一）负责组织管理体系文件的起草、编制、修订、补充等工作的开展，并将实施成果向领导小组汇报。
（二）负责启动和主持等级保护管理体系的管理评审工作 。
（三）负责协调相关人员，指导收集评审资料。
（四）确保评审会议所提出的行动项目能在规定的时间内完成，并负责其相关的监督工作。
（五）负责对评审结果如需进行修订项协调相关人员进行修订。
（六）指派人员负责对修订措施的执行结果进行验证。
第四条相关人员，是指（XX市民政局）信息安全等级保护管理体系涉及的人员。比如：系统管理员、应用管理员、开发管理人员、网络管理员、数据管理员、资产管理员和安全管理员等，其职责是：
（一）负责依据管理体系文件的内容进行宣贯、培训、执行、检查等工作，并依据部门情况落实管理体系的要求。
（二）负责协助进行评审。
（三）负责实施修订措施。
第五章 文件起草
第五条（XX市民政局）网络安全管理体系规范文件由网络安全等级保护工作小组负责起草或组织起草。
第六条负责起草的科室应当确定一名熟悉相关内容员工为项目负责人， 如涉及多个部门时，可由有关部门共同派人组成联合起草小组，由主要起草部门负责牵头组织。
第七条起草的规范性文件应当结构严谨、内容完备、形式规范、条理清楚、用词准确、文字简洁。
第八条应当明确规定如下内容：
（一）制定的目的和依据；
（二）适用范围；
（三）术语定义；
（四）组织职责；
（五）具体管理要求或规定；
（六）必要的附则；
　　　　　　（七）与规范内容相关的资料性附录和参考性附录。
第九条报送审查的管理制度送审稿应当由起草部门负责人签署后报网络安全与信息化领导小组审查。几个部门共同起草的规范送审稿，应当由起草部门负责人共同签署后报网络安全与信息化领导小组审查。
第十条下列材料应当与规范送审稿一并报送网络安全与信息化领导小组审查：
（一）起草说明；
（二）与此规范内容有关的规范性文件；
（三）汇总的各方意见；
（四）如需制定实施细则，应当提交实施细则的主要内容和细则拟出台的时间；
　　　　（五）其他需要报送的材料。
第十一条网络安全与信息化领导小组主要从以下方面对送审稿进行审查：
　　　　（一）是否符合权限和程序；
　　　　（二）是否符合原则；
　　　　（三）是否与其他规范、标准相协调、衔接；
　　　　（四）是否已对有关不同意见进行协调；
　　　　　　（五）是否具有可行性；
　　　　　　（六）是否符合相关技术要求；
　　 （七）需要审查的其他内容。
第十二条由网络安全与信息化领导小组对送审稿提出审查结论，对草案涉及的有关争议问题以及修改情况作重点说明。由网络安全与信息化领导小组负责人签署的书面审查报告应当反馈起草部门。
第六章 文件评审
第十三条（XX市民政局）网络安全等级保护工作小组定期（至少每年一次）开展等级保护管理体系的评审工作，以确保整个等级保护管理体系的充分性、适当性和有效性。
第十四条等级保护管理体系评审内容：
（一）根据业务系统的性质和安全要求，确定（或复审）等级保护管理体系的范围，建立（复审）等级保护管理体系，包括网络安全策略、标准和程序。
（二）对等级保护管理体系审核结果进行评审，分析导致不符合项的原因。
（三）审查审核对象的反馈信息。
（四）总结已发现的安全事件和漏洞。
（五）审查现行的安全控制措施和相关技术是否有效。
（六）复查修订措施的实施状况。
（七）检查先前管理评审中所定义的措施的实施状况。
（八）审查改善措施的建议。
（九）复查业务和法律法规方面的变更。
（十）审查可能影响信息安全等级保护管理体系的任何变更。
（十一）为协调相关网络安全的实施，评审相关资源的充足性。
第十五条评审工作必须至少每年举行一次，发生以下情况时，也需要启动管理评审工作：
（一）系统业务发生重大变更。
（二）系统网络安全策略的重大变更。
（三）目前等级保护管理体系的执行不力。
（四）系统等级保护管理体系的范围发生变更。
（五）相关标准法规发布修订版本或有变更。
第七章 文件发布
第十六条规范草案经网络安全与信息化领导小组审议并原则通过后，起草部门根据审议中提出的修改意见对草案进行修改，经网络安全与信息化领导小组负责人签发,以文件形式公布。
第十七条文件的发布应遵照统一的格式，进行版本控制；并应注明发布范围，对收发文进行登记。对发布的制度应在《附录一、（XX市民政局）管理制度发布记录表》中进行记录。

附录一、（XX市民政局）管理制度发布记录表
（XX市民政局）管理制度发布记录

管理制度名称 制订者 发布者 生效时间 版本 分发范围 失效时间 备注

日期： 文档管理人员： 审核人：

三、等级保护体系评审和修订管理规定
第一章 总则
第一条为了保证（XX市民政局）等级保护管理体系的持续性、时效性以及适应性，满足单位不断变化的安全管理的需要，明确等级保护管理体系的评审和修订过程中管理职责，特制定本规定。
第二章 评审程序
第二条（XX市民政局）网络安全等级保护工作小组定期（至少每年一次）开展等级保护管理体系的评审工作，以确保整个等级保护管理体系的充分性、适当性和有效性。
第三条等级保护管理体系评审内容：
（一）根据具体工作的性质和安全要求，确定（或复审）等级保护管理体系的范围，建立（复审）等级保护管理体系，包括网络安全策略、标准和程序。
（二）对等级保护管理体系审核结果进行评审，分析导致不符合项的原因。
（三）审查审核对象的反馈信息。
（四）总结已发现的安全事件和漏洞。
（五）审查现行的安全控制措施和相关技术是否有效。
（六）复查修订措施的实施状况。
（七）检查先前管理评审中所定义的措施的实施状况。
（八）审查改善措施的建议。
（九）复查业务和法律法规方面的变更。
（十）审查可能影响等级保护管理体系的任何变更。
（十一）为协调相关网络安全的实施，评审相关资源的充足性。
第四条评审工作必须至少每年举行一次，发生以下情况时，也需要启动管理评审工作：
（一）系统业务发生重大变更。
（二）系统网络安全策略的重大变更。
（三）目前等级保护管理体系的执行不力。
（四）系统等级保护管理体系的范围发生变更。
（五）相关标准法规发布修订版本或有变更。
（六）评审工作的会议记录均需归档，以保存正式的记录。
第三章 修订程序
第五条问题的识别及确认，采取修订措施可能由以下原因，包括但不限于：
（一）来自系统等级保护管理体系的相关工作人员的反馈信息或调查申请。
（二）网络安全管理评审的会议讨论中发现的问题。
（三）等级保护管理体系的审核发现的不符合项。
第六条调查问题的起因：
（一）由网络安全等级保护工作小组指派专门的人员负责对问题进行分析调查并确认问题的起因。
（二）调查人员需提供尽可能多的关于整个问题调查的详细结果。作为修订措施报告的一部分，也可以提供一些额外的补充信息。
第七条执行修订措施：
（一）基于所调查出的问题起因，需确认并实施相应措施或对事故进行调查研究，负责上述行动的执行者需确保更新任何相关的文件或管理流程。比如：
?准备制定或更新相关管理程序。
?培训/通知相关人员知晓。
（二）执行人员负责跟踪所执行修订措施的效果。一旦发现效果不如预期，其相关负责人需进行评估分析并就进一步的应对措施进行确认。执行人员必须确保所实施的修订措施是可证实和可验证的，并保证修订措施的报告中都有详细说明。
第八条措施的验证：
（一）如果验证出所采取的措施是达到预期效果的，则修订措施才算是成功，可以结束跟踪，验证阶段包括以下两个部分：
?对所规定修订措施的执行程度进行验证。
?对修订措施的执行效果进行验证。
（二）措施验证的结果必须中有详细的说明，且对相关记录进行保存。

四、信息安全管理组织架构
第一章 总则
第一条为加强（XX市民政局）信息安全管理工作的组织协调，建立健全等级保护管理制度和运行机制，切实提高（XX市民政局）信息安全管理工作水平，根据《信息安全等级保护管理办法（公通字[2007]43号）》要求，制定本规范
第二章 组织目标
第二条本实施规则旨在实现信息安全管理的以下目标：
（一）管理组织内的信息安全工作；
（二）管理外部组织访问组织内信息处理设施和信息资产的安全。
第三章 信息安全组织架构
第三条为加强对（XX市民政局）信息安全管理工作的领导，贯彻落实信息安全的要求及安徽省公安厅《关于开展信息安全管理专项检查工作的通知》的有关要求，经研究，决定成立（XX市民政局）网络安全与信息化领导小组（以下简称领导小组）
第四条成立领导小组，作为信息安全管理工作的最高管理机构，领导小组下设（XX市民政局）系统信息安全管理工作小组。
第五条领导小组由（XX市民政局）书记担任组长，副书记担任副组长，领导小组主要成员为队伍建设指导科科长及各相关部门安全主管领导。
第六条信息安全管理工作小组负责（XX市民政局）信息安全管理的具体执行工作。工作小组组长由领导小组指定的队伍建设指导科科长兼任。设置一名副组长负责具体工作，对各部门信息安全技术的实施进行指导与审查。信息安全工作小组成员还包括各部门信息化负责人。
第七条队伍建设指导科作为信息安全工作的具体执行部门, 各科室主要负责人为本科室信息安全管理工作的第一责任人，并应指定一名信息安全管理员作为信息安全工作联络员，负责本科室内的有关信息安全管理工作。

第四章 组织的信息安全职责描述
第八条网络安全与信息化领导小组的职责包括：
　　　(一)根据国家、省、市级网络安全的总体要求，结合（XX市民政局）的实际情况，统一领导（XX市民政局）信息安全管理的相关工作；
　　　(二)负责协调（XX市民政局）内部管理工作，分配信息安全管理目标、职责，并支持和推动信息安全工作在单位内的实施；
　　　(三)负责对与信息安全管理有关的重大事项进行决策，包括安全组织机构调整、以及信息安全管理重大策略变更；
　　　(四)组织审定和发布单位信息安全的发展战略、总体规划、重大政策、管理规范和技术标准；
　　　(五)评审与监督重大信息安全事故的处理；
第九条信息安全管理工作小组的职责包括：
　　　(一)直接对领导小组负责，承担信息的具体工作，协助领导小组在信息安全事务上的决策；
　　　(二)负责信息安全政策的贯彻与落实，并协调各信息安全执行科室以及与第三方机构间有关的信息安全工作；
　　　(三)负责信息安全管理体系的建立、实施和日常运行，起草信息安全政策，确定信息安全管理标准，督促各信息安全执行部门对于信息安全政策、措施的实施；
　　　(四)负责对员工的信息安全工作意识教育和安全技能培训；
　　　(五)负责维护安全事件的记录报告，对发生的每一起安全事件调查和解决方法都记录在案；
　　　(六)负责定期召开信息安全管理工作会议，定期总结安全事件记录报告，并向信息安全领导小组汇报；
　　　(七)负责建立各信息安全执行科室、关联上级主管单位与外部安全管理主管机构之间的定期联系和沟通机制；
　　　(八)落实纠正措施(包括审计整改意见)和预防措施。
第十条信息安全工作联络员的职责包括：
　　　(一)负责单位日常的具体信息安全工作，并参加信息安全工作小组所要求的各项活动；
　　　(二)负责向信息安全工作小组负责人报告信息安全事件和违反信息安全政策的行为，协助对违反安全政策的行为进行调查；
　　　(三)协助信息安全工作小组负责人和单位信息安全主管领导落实针对单位的纠正措施(包括审计整改意见)和预防措施。
第十一条内部员工的职责包括：
　　　　(一)严格遵守所有与信息安全相关的国家法律、法规和政策，遵守（XX市民政局）所有的信息安全政策；
　　　　(二)积极参加信息安全教育与培训，提高信息安全意识；
　　　　(三)有责任将违反信息安全政策的事件与行为及时报告给单位信息安全联络员及其他相关人员。
第十二条人力资源部的职责包括：
　　　　(一)人力资源工作由办公室兼任
　　　　(二)对员工的聘前、聘中及解聘过程中涉及的人员信息安全进行有效管理；
　　　　(三)负责制定和实施与信息安全相关的奖惩措施和安全绩效考核体系；
　　　　(四)组织实施信息安全教育与培训；
　　　　(五)协助调查安全事件。
第十三条信息中心的职责包括：
　　　　(一)信息中心的工作由队伍建设指导科兼任
　　　　(二)负责对（XX市民政局）各科室和下属单位的信息安全或某个主题进行定期审计或信息安全专项审计；
　　　　(三)主要以信息安全管理政策及各种标准规范作为审核依据；在具体的审核过程中，必要时可获得信息安全领导小组的协助与支持；
　　　　(四)负责汇报审计结果，并督促审计整改工作的进行。

五、信息系统安全检查管理规定
第一章 总则
第一条为了规范（XX市民政局）信息系统网络安全检查工作流程，明确职责，定期、有效地对本单位信息系统进行安全检查，特制定本规定。
第二章 适用范围
第二条本规定适用于本单位信息系统网络安全检查准备、实施、报告和整改过程，管理对象为安全管理员和信息系统管理人员。
第三章 术语定义
第三条安全检查：指单位内部或外部机构对网络安全整体执行情况进行的评价活动。安全检查的依据是单位现行的管理制度、信息系统安全体系规范和技术标准、有关法律、法规和标准要求等安全检查包括安全例行检查、安全专项检查等。
第四条安全例行检查：指按照已制定的检查周期所作的检查。
第五条安全专项抽查：指根据单位、监管机构或相关部门要求的安全运行状况所作的不定期的抽查。
第四章 组织职责
第六条安全管理员负责牵头协调组织各信息系统网络安全检查的管理工作，主要包括系统日常运行、系统漏洞和数据备份等情况。
第七条相关管理员应配合安全检查，如实提供所需要的检查信息，对安全检查所发现的问题制定整改措施、整改计划并实施整改。
第五章 通用要求
第八条安全检查应当遵循全面、审慎、独立的原则。
第九条安全管理员应牵头建立检查机制，各信息系统负责人配合制定检查计划，定期开展检查活动。检查计划要根据实际情况及时进行补充和调整。
第十条应当以半年为周期对信息系统进行安全检查，检查内容应包括安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况。
第十一条可根据实际需要组织专项检查，对于信息系统发生的重大事故和问题，要进行专项检查，对重大事件实施全面的监控和评价。
第十二条对于新信息系统，包括设备、主机、应用信息系统上线或安装前必须经过安全检查，检查方式应包括信息系统安全配置，漏洞评估，恶意代码检测，根据检查结果进行整改后方可上线。
第十三条必须对检查工具、检查过程信息和检查结果信息的使用和访问采取控制措施加以保护，以防止任何可能的风险。
第六章 安全检查准备
第十四条安全管理员应组织相关部门或人员按照半年为周期进行安全例行检查，根据需要组织安全专项检查。
第十五条安全检查应按照所规定的检查要点、检查方式、使用规定的检查工具进行检查。
第十六条应选择对单位信息系统运行影响最小的方式和时间进行检查。
第十七条对生产环境实施安全检查应按照《（XX市民政局）信息系统变更管理规定》所规定的变更流程执行。
第十八条实施对生产环境可能造成影响的安全检查后，应协调相关科室或人员对检查结果进行验证。
第十九条安全检查可采用抽查的方式进行，抽查的采样量应能确保安全检查结果的准确性、代表性并符合信息系统实际生产情况。
第二十条检查过程中应做好检查结果的记录工作。
第七章 安全检查报告
第二十一条检查完成后由安全管理负责组织编写检查报告并提出整改建议（附录一安全检查情况汇总表），提供给相关科室。
第八章 安全检查整改
第二十二条 相关科室应按照检查报告中整改的时间要求，针对检查报告中所提出的问题制定整改实施计划并组织整改。
第二十三条 安全管理员应对整改措施的落实情况进行跟踪，验证整改措施的实施结果是否有效，必要时可进行复查确认。
第二十四条 安全管理员根据检查结果和整改情况进行汇总，形成安全状况通报并提供给相关部门。
第九章 检查工具的使用
第二十五条 在安全检查过程中如果需要使用安全工具，只能使用经过审核过安全检查工具。
第二十六条 安全检查工具只能在检查设备或者被检查科室的设备上运行，并由检查人员负责操作。
第二十七条 在生产信息系统中使用检查工具前，安全管理员要组织进行测试工作，对其可能产生的影响进行评估和论证，必要时安排双人进行操作。

附录一： 安全检查情况汇总表
　　序号 　不符合项 　　不符合描述 　整改建议 　负责人/科室
　　1
　　2
　　3
　　4
　　5
　　6
　　7
　　8
　　9
　　10

附录二： 信息系统安全检查表
检查日期： 检查人：

　日常运行维护管理 　内容及要求 　检查结果 　备注
　1.信息系统日常运维 　信息系统操作流程及时更新
　用户密码管理是否规范
　用户密码是否定期更改
　操作日志记录
　异常情况记录
　异常情况处理
　记录数据完整、连续
　补丁是否更新
　是否安装防病毒软件 　□是□否
　□是□否
　□是□否
　□是□否
　□是□否
　□是□否
　□是□否
　□是□否
　□是□否 　
服务器运行情况 　内容及要求 　检查结果 　备注
服务器资源情况以及系统访问情况 　CPU占用率
　内存占用率
　存储占用率
　系统响应时长（单位：秒） 　 　
　文档管理 　内容及要求 　检查结果 　备注
　1.应急计划 　应急计划为最新，并及时完善、修订，并包含：
　1、外联联系单、应急联系电话、岗位负责人
　2、各类问题的具体应对措施（故障判别、关键设备位置、应急操作步骤等） 　
　□是□否
　
　□是□否 　
　2.数据备份 　备份数据完整、有效
　网络设备、安全设备配置文件是否定期备份 　□是□否
　□是□否 　
　3.测试报告 　每次测试都进行记录，填写报告，定期整理 　□是□否 　
　4.应急演练记录 　每次演练都进行记录，填写报告，定期整理 　□是□否 　
　5.信息系统上线流程审批 　信息系统上线、软件升级、设置变更等填写审批单 　□是□否 　
　6.技术文档管理 　各应用信息系统的技术文档、操作手册是否齐全 　□是□否 　
　7.IP地址记录 　IP地址记录是否及时更新
　（抽查IP地址，每台设备的IP地址表） 　□是□否 　
　8.防病毒措施 　病毒库即时更新 　□是□否 　
　9.网络拓扑图 　网络拓扑图及时更新 　□是□否 　
　安全管理及卫生情况 　内容及要求 　检查结果 　备注
　1.人员备岗 　关键岗位有备岗
　外部运维人员保密协议 　□是□否
　□是□否 　
　2.机房备品备件 　机房关键设备、各应用信息系统等是否有备份 　□有□无 　
　3.是否有超年限的机器 　中心机房 　□有□无 　
　4.机房管理 　应急照明
　是否堆放有杂物（纸箱、废弃物等）
　机房的监控信息系统清晰、有效
　机房网络线路是否清晰，网线颜色是否标准 　□有□无
　□是□否
　□有□无
　□是□否 　
　5.视频监控 　视频监控设备清晰、有效 　□是□否 　
　6.门禁信息系统 　门禁信息系统功能是否正常 　□正常□不正常 　
　7.防盗报警器 　红外防盗报警器功能是否正常 　□正常□不正常 　
　8.机房出入人员登记表 　外来人员进出机房登记 　□是□否 　
　9.机房电力供应等 　电力切换演习记录
　UPS容量、负载情况
　电池供电时间
　配电房定期检修
　空调运行情况（空调供水、排水情况） 　□有□无
　（ ）
　（ ）
　□有□无
　□正常□不正常 　
　10.消防 　烟感、温感
　消防报警信息系统
　定期演练 　□正常□不正常
　□正常□不正常
　□是□否 　
　11.防雷信息系统 　防雷信息系统安装等级
　措施完整、有效(防雷接地、防雷保安器) 　（ ）
　□是□否 　

六、信息安全组织架构与岗位职责
第一章 总则
第一条为有效实施信息安全管理，保障和实施本单位的信息安全，在单位内部建立信息安全管理组织架构，明确相关责任和岗位职责，特制定本规定。
第二章 信息化领导小组
第二条 为落实国家信息化安全建设方针政策，根据安徽省、XX市相关文件要求，（XX市民政局）成立网络安全和信息化领导小组，并设置相应职能部门或人员负责各级信息系统安全管理工作。具体的信息安全组织架构和岗位设置如下：

组织 人员组成
网络安全和信息化领导小组
组 长： 书记

副组长： 副书记

网络安全和信息化领导小组办公室
主 任：

网络安全和信息化小组成员 安全管理员：
系统管理员：
审计管理员：
（一）网络安全和信息化领导小组
　　　网络安全和信息化领导小组是（XX市民政局）信息安全工作的最高领导决策机构，负责对本单位的网络和信息安全工作的工作进行整体协调。
　　　（XX市民政局）网络安全和信息化领导小组（以下简称：领导小组）负责组织落实上层决策，领导本单位人员落实具体的网络安全和信息化相关工作。主要工作职责如下：
　　　1）、领导小组负责领导落实国家、安徽省、XX市三个层面提出的安全建设的总体规划，制定本单位的总体规划；
　　　2）、在国家、安徽省、XX市三个层面信息安全总体方针的指导下，组织制定本单位信息系统安全策略并审批上报的信息系统安全策略；
　　　3）、负责组织细化上级规章制度，制定相应程序指南，并监督落实规章制度；
　　　4）、负责本单位信息系统安全管理层以上的人员权限授予工作；
　　　5）、负责审阅信息安全工作报告；负责本单位重大安全事故查处与汇报工作。
（二）网络安全和信息化领导小组办公室
　　　领导小组下设领导小组办公室（以下简称：办公室），办公室成员由本单位各科室负责信息的人员组成，（XX市民政局）队伍建设科科长担任办公室主任，具体负责网络安全和信息化的任务制定和落实工作。具体工作职责如下：
　　　1）、承办领导小组的日常事务，负责组织制定和实施信息安全策略和管理制度。
　　　2）、负责组织制定和实施信息安全技术方案。
　　　3）、负责组织实施信息安全运行监控与审计。
　　　4）、负责组织进行信息安全教育培训。
　　　5）、负责组织制度落实情况检查及责任追究和奖励工作。
　　　6）、负责组织信息安全档案的建立与管理。
（三）网络安全和信息化小组成员
信息安全管理执行组负责信息系统建设和运行维护过程中信息安全管理的具体执行工作，具体包含的岗

............试读结束............

查阅全文加微信：3231169

如来写作网：gw.rulaixiezuo.com（可搜索其他更多资料）

本文内容由互联网用户自发贡献，该文观点仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容， 请发送邮件至 3231169@qq.com 举报，一经查实，本站将立刻删除。
如若转载，请注明出处：https://www.wuxingwenku.com/57608.html