内部资料
注意保存
XXXXXXXXXX
信息安全制度汇编
XXXXXXXXXX
二〇一六年一月
目录
一、总则 ............................................................................................................................................ 6
二、安全管理制度 ............................................................................................................................ 7
第一章 管理制度 .............................................................................................................................. 7
1.安全组织结构 ......................................................................................................................... 7
1.1 信息安全领导小组职责 ..............................................................................................7
1.2 信息安全工作组职责.................................................................................................8
1.3 信息安全岗位 .............................................................................................................. 9
2.安全管理制度 ....................................................................................................................... 11
2.1 安全管理制度体系 .................................................................................................... 11
2.2 安全方针和主策略 .................................................................................................... 11
2.3 安全管理制度和规范 ................................................................................................12
2.4 安全流程和操作规程 ................................................................................................14
2.5 安全记录单 ................................................................................................................ 14
第二章 制定和发布 ........................................................................................................................ 15
第三章 评审和修订 ........................................................................................................................ 16
三、安全管理机构 .......................................................................................................................... 17
第一章 岗位设置 ............................................................................................................................ 17
1.组织机构 ............................................................................................................................... 17
2.关键岗位 ............................................................................................................................... 19
第二章 人员配备 ............................................................................................................................ 21
第三章 授权和审批 ........................................................................................................................ 22
第四章 沟通和合作 ........................................................................................................................ 24
第五章 审核和检查 ........................................................................................................................ 26
四、人员安全管理 .......................................................................................................................... 28
第一章 人员录用 ............................................................................................................................ 28
1.组织编制 ............................................................................................................................... 28
2.招聘原则 ............................................................................................................................... 28
3.招聘时机 ............................................................................................................................... 28
4.录用人员基本要求 ............................................................................................................... 29
5.招聘人员岗位要求 ............................................................................................................... 29
6.招聘种类 ............................................................................................................................... 29
6.1 外招 ........................................................................................................................... 29
6.2 内招 ........................................................................................................................... 30
7.招聘程序 ............................................................................................................................... 30
7.1 人事需求申请 ...........................................................................................................30
7.2 甄选 ........................................................................................................................... 30
7.3 录用 ........................................................................................................................... 32
第二章 保密协议 ............................................................................................................................ 33
第三章 人员离岗 ............................................................................................................................ 35
第三章 人员考核 ............................................................................................................................ 37
1.制定安全管理目标............................................................................................................ 37
2.目标考核 ............................................................................................................................... 37
3.奖惩措施 ............................................................................................................................... 38
第四章 安全意识教育和培训 ........................................................................................................39
1.安全教育培训制度 ............................................................................................................... 39
第一章 总 则 .................................................................................................................. 39
第二章 安全教育的含义和方式 ....................................................................................39
第三章 安全教育制度实施 ............................................................................................39
第四章 三级安全教育及其他教育内容 ........................................................................41
第五章 附则 .................................................................................................................... 43
第五章 外部人员访问管理制度 ....................................................................................................44
1.总 则 ................................................................................................................................... 44
2.来访登记控制 ....................................................................................................................... 44
3.进出门禁系统控制 ............................................................................................................... 45
4.携带物品控制 ....................................................................................................................... 46
五、系统建设管理 .......................................................................................................................... 47
第一章 安全方案设计 .................................................................................................................... 47
1.概述 ....................................................................................................................................... 47
2.设计要求和分析 ................................................................................................................ 48
2.1 安全计算环境设计 ....................................................................................................48
2.2 安全区域边界设计 ....................................................................................................49
2.3 安全通信网络设计 ....................................................................................................50
2.4 安全管理中心设计 ....................................................................................................50
3.针对本单位的具体实践....................................................................................................51
3.1 安全计算环境建设 ....................................................................................................51
3.2 安全区域边界建设 ....................................................................................................52
3.3 安全通信网络建设 ....................................................................................................52
3.4 安全管理中心建设 ....................................................................................................53
3.5 安全管理规范制定 ....................................................................................................54
3.6 系统整体分析 ............................................................................................................ 54
第二章 产品采购和使用 ................................................................................................................ 55
第三章 自行软件开发 .................................................................................................................... 58
1.申报 ....................................................................................................................................... 58
2.安全性论证和审批 ............................................................................................................... 58
3.复议 ....................................................................................................................................... 58
4.项目安全立项 ....................................................................................................................... 58
II
5.项目管理 ............................................................................................................................... 59
5.1 概要 ........................................................................................................................... 59
5.2 正文 ............................................................................................................................ 60
第四章 工程实施 ............................................................................................................................ 62
1.信息化项目实施阶段 ...........................................................................................................62
2.概要设计子阶段的安全要求 ...............................................................................................62
3.详细设计子阶段的安全要求 ...............................................................................................63
4.项目实施子阶段的安全要求 ...............................................................................................63
第五章 测试验收 ............................................................................................................................ 65
1.文档准备 ............................................................................................................................... 65
2.确认签字 ............................................................................................................................... 65
3.专人负责 ............................................................................................................................... 65
4.测试方案 ............................................................................................................................... 65
第六章 系统交付 ............................................................................................................................ 68
1.试运行 ................................................................................................................................... 68
2.组织验收 ............................................................................................................................... 68
第七章 系统备案 ............................................................................................................................ 70
1.系统备案 ............................................................................................................................... 70
2.设备管理 ............................................................................................................................... 70
3.投产后的监控与跟踪 ...........................................................................................................72
第八章 安全服务商选择 ................................................................................................................ 74
六、系统运维管理 .......................................................................................................................... 75
第一章 环境管理 ............................................................................................................................ 75
1.机房环境、设备 ................................................................................................................... 75
2.办公环境管理 ....................................................................................................................... 76
第二章 资产管理 ............................................................................................................................ 81
1.总则 ....................................................................................................................................... 81
2.《资产管理制度》............................................................................................................... 81
第三章 介质管理 ............................................................................................................................ 85
1.介质安全管理制度 ............................................................................................................... 85
1.1 计算机及软件备案管理制度 ....................................................................................85
1.2 计算机安全使用与保密管理制度 ............................................................................85
1.3 用户密码安全保密管理制度 ....................................................................................86
1.4 涉密移动存储设备的使用管理制度 ........................................................................86
1.5 数据复制操作管理制度 ............................................................................................87
1.6 计算机、存储介质、及相关设备维修、维护、报废、销毁管理制度 ............... 87
第四章 设备管理 ............................................................................................................................ 89
1.主机、存储系统运维管理 ...................................................................................................89
2.应用服务系统运维管理 .......................................................................................................89
III
3.数据系统运维管理 ............................................................................................................... 90
4.信息保密管理 ....................................................................................................................... 91
5.日常维护 ............................................................................................................................... 91
6.附件:安全检查表 ............................................................................................................... 92
第五章 监控管理和安全管理中心 ................................................................................................94
1.监控管理 ............................................................................................................................... 94
2.安全管理中心 ....................................................................................................................... 95
第六章 网络安全管理 .................................................................................................................... 96
第七章 系统安全管理 .................................................................................................................... 98
1.总则 ....................................................................................................................................... 98
2.系统安全策略 ....................................................................................................................... 98
3.系统日志管理 ....................................................................................................................... 99
4.个人操作管理 ..................................................................................................................... 100
5.惩处 ..................................................................................................................................... 100
第八章 恶意代码防范管理 ..........................................................................................................101
1.恶意代码三级防范机制 .....................................................................................................101
1.1 恶意代码初级安全设置与防范 ..............................................................................101
1.2.恶意代码中级安全设置与防范 ..............................................................................101
1.3 恶意代码高级安全设置与防范 ..............................................................................102
2.防御恶意代码技术管理人员职责 .....................................................................................102
3.防御恶意代码员工日常行为规范 .....................................................................................103
第九章 密码管理 .......................................................................................................................... 104
第十章 变更管理 .......................................................................................................................... 106
1.变更 ..................................................................................................................................... 106
2.变更程序 ............................................................................................................................. 106
2.1 变更申请 .................................................................................................................. 106
2.2 变更审批 .................................................................................................................. 106
2.3 变更实施 ................................................................................................................. 106
2.4 变更验收 .................................................................................................................. 106
附件一变更申请表 ........................................................................................................107
附件二变更验收表 ........................................................................................................108
第十一章 备份与恢复管理..........................................................................................................109
1.总则 ..................................................................................................................................... 109
2.设备备份 ............................................................................................................................. 110
3.应用系统、程序和数据备份 ............................................................................................. 111
4.备份介质和介质库管理 ..................................................................................................... 114
5.系统恢复 ............................................................................................................................. 115
6.人员备份 ............................................................................................................................. 116
第十二章 安全事件处置 .............................................................................................................. 117
IV
1.工作原则 ............................................................................................................................. 117
2.组织指挥机构与职责 ......................................................................................................... 117
3.先期处置 ............................................................................................................................. 118
4.应急处置 ............................................................................................................................. 119
4.1 应急指挥 .................................................................................................................. 119
4.2 应急支援 .................................................................................................................. 119
4.3 信息处理 .................................................................................................................. 119
4.4 应急结束 .................................................................................................................. 120
5 后期处置 ............................................................................................................................. 120
5.1 善后处置 .................................................................................................................. 120
5.2 调查和评估 ..............................................................................................................121
第十三章 应急预案管理 ..............................................................................................................122
1.应急处理和灾难恢复 .........................................................................................................122
2.应急计划 ............................................................................................................................. 123
3.应急计划的实施保障 .........................................................................................................124
4.应急演练 ............................................................................................................................. 125
V
一、总则
为规范 XXXXXXXXXX 信息安全工作,确保全体员工理解信息安全
工作与职责,并落实到日常工作中,推动信息安全保障工作的顺利进
行,结合 XXXXXXXXXX 的实际情况,特制定本制度。
本管理制度所称信息系统安全,包括计算机网络和应用系统(以
下简称信息系统)的硬件、软件、数据及环境受到有效保护,信息系
统的连续、稳定、安全运行得到可靠保障。
信息系统安全管理坚持“谁主管谁负责”的原则,公司的所有部
门和员工都应各自履行相关的信息系统安全建设和管理的义务与责
任。
信息系统安全工作的总体目标是:实施信息系统安全等级保护,
建立健全先进实用、完整可靠的信息系统安全体系,保证系统和信息
的完整性、真实性、可用性、保密性和可控性,保障信息化建设和应
用,支撑公司业务持续、稳定、健康发展。
信息系统安全体系建设必须坚持“统一标准、保障应用、符合法
规、综合防范、集成共享”的原则。
本制度适用于公司所有部门和个人。
二、安全管理制度
第一章 管理制度
1.安全组织结构
XXXXXXXXXX 安全管理组织应形成由主管领导牵头的信息安
全领导小组、具体信息安全职能部门负责日常工作的组织模式,组织
结构图如下所示:
组
织
机
构
图
1.1 信息安全领导小组职责
信息安全领导小组是由 XXXXXXXXXX 主管领导牵头,各部门
的负责人为组成成员的组织机构,主要负责批准 XXXXXXXXXX 安
全策略、分配安全责任并协调安全策略能够实施,确保安全管理工作