logo资料库

《等级保护管理制度汇编》111.doc

发布时间:2022-06-03 发布人:admin 分类:说明书 资料大小:0.39M 资料格式:doc 举报 版权申诉
第1页 / 共58页
第2页 / 共58页
第3页 / 共58页
第4页 / 共58页
第5页 / 共58页
第6页 / 共58页
第7页 / 共58页
第8页 / 共58页
资料共58页,剩余部分请下载后查看
    一、信息安全工作方针策略
    (一)信息安全方针
    (二)信息安全策略
    (三)信息安全组织机构
    二、安全管理制度
    (一)制度的编制
    (二)制度的批准、发布
    (三)制度的发放
    (四)制度评审和修订
    三、安全管理机构
    (一)关键活动的授权和审批
    (二)审核和检查
    (三)沟通合作
    四、人员安全管理
    五、系统建设管理
    (一)规划设计
    (二)设备选型
    (三)采购和安装
    (四)软件开发管理
    (五)工程实施
    (六)测试验收
    (七)系统交付
    (八)系统建设服务商选择
    附表1运维人员联系方式一览表
    六、机房安全管理制度
    (一)办公环境管理办法
    (二)机房出入管理
    (三)机房环境管理
    (四)机房介质管理
    (五)机房服务器管理
    (六)机房布线管理
    (七)机房网络设备管理
    (八)机房巡视管理
    (九)机房进出设备管理
    七、信息资产管理制度
    (一)职责
    (二)工作程序
    八、介质管理规定
    (一)介质购置
    (二)介质使用及维护管理
    (三)介质定期检查
    (四)介质维修
    (五)介质的报废
    附表2介质领用申请单
    附表3介质借用/使用登记单
    九、设备安全管理制度
    (一)IT设备的购买
    (二)IT设备的登记及领用
    (三)IT设备的维护
    (四)IT设备的报废
    十、网络安全管理制度
    (一)网络安全规划
    (二)网络接入控制
    (三)网络安全审计
    (四)网络设备管理
    (五)网络安全检查
    (六)网络访问控制
    (七)网络服务安全
    十一、系统安全管理制度
    (一)系统维护管理
    (二)系统访问控制
    (三)系统用户安全管理
    (四)系统审计
    (五)监视系统的使用
    (六)系统备份
    十二、恶意代码防范管理制度
    (一)职责
    (二)防恶意代码系统的规划与部署
    (三)恶意代码防范的日常管理
    (四)恶意代码的查杀与处理
    附表4恶意代码查杀统计表
    十三、系统变更管理制度
    (一)变更的申请和审批
    (二)日常变更的实施
    (三)重大变更的实施
    (四)重大变更的验证和归档
    (五)变更的失败的处理
    附表5配置变更申请表
    十四、备份恢复管理制度
    (一)程序
    (二)资产识别
    (三)制定备份方案
    (四)备份计划实施
    (五)备份的介质标识
    (六)备份介质的安全存放
    (七)备份介质的定期测试
    (八)信息恢复
    附表6数据备份检查记录表
    十五、信息安全事件管理制度
    (一)信息安全事件分类
    (二)信息安全事件分级
    (三)信息安全事件的预防
    (四)信息安全事件的报告
    (五)信息安全事件响应
    (六)信息安全事件的调查处理
    (七)信息安全事件的整改
    附表7信息安全事件管理文档
    十六、应急预案管理制度
    (一)应急处置基本原则
    (二)组织体系
    (三)信息安全事件应急处理
    信息安全管理制度汇编 2018 年 01 月 1
    目 录 一、 (一) (二) (三) 二、 (一) (二) (三) (四) 三、 (一) (二) (三) 四、 信息安全工作方针策略....................................................................................................5 信息安全方针............................................................................................................ 5 信息安全策略............................................................................................................ 5 信息安全组织机构....................................................................................................8 安全管理制度.................................................................................................................. 14 制度的编制 .............................................................................................................. 14 制度的批准、发布..................................................................................................14 制度的发放 .............................................................................................................. 14 制度评审和修订......................................................................................................14 安全管理机构.................................................................................................................. 15 关键活动的授权和审批..........................................................................................15 审核和检查 .............................................................................................................. 15 沟通合作.................................................................................................................. 15 人员安全管理.................................................................................................................. 16 五、 六、 系统建设管理.................................................................................................................. 18 (一) 规划设计.................................................................................................................. 18 (二) 设备选型.................................................................................................................. 18 (三) 采购和安装 .............................................................................................................. 19 (四) 软件开发管理.......................................................................................................... 19 (五) 工程实施.................................................................................................................. 20 (六) 测试验收.................................................................................................................. 21 (七) 系统交付.................................................................................................................. 21 (八) 系统建设服务商选择..............................................................................................21 附表 1 运维人员联系方式一览表 ..........................................................................................22 机房安全管理制度..........................................................................................................23 办公环境管理办法..................................................................................................23 机房出入管理.......................................................................................................... 23 机房环境管理.......................................................................................................... 23 机房介质管理.......................................................................................................... 23 机房服务器管理......................................................................................................24 机房布线管理.......................................................................................................... 24 机房网络设备管理..................................................................................................25 机房巡视管理.......................................................................................................... 25 机房进出设备管理..................................................................................................25 信息资产管理制度..........................................................................................................26 职责.......................................................................................................................... 26 工作程序.................................................................................................................. 26 (一) (二) (三) (四) (五) (六) (七) (八) (九) 七、 (一) (二) 2
    九、 十、 八、 (一) (二) (三) (四) 介质管理规定.................................................................................................................. 29 (一) 介质购置.................................................................................................................. 29 (二) 介质使用及维护管理..............................................................................................29 (三) 介质定期检查.......................................................................................................... 30 (四) 介质维修.................................................................................................................. 30 (五) 介质的报废 .............................................................................................................. 30 附表 2 介质领用申请单..........................................................................................................30 附表 3 介质借用/使用登记单 .................................................................................................31 设备安全管理制度..........................................................................................................32 IT 设备的购买 .........................................................................................................32 IT 设备的登记及领用.............................................................................................32 IT 设备的维护 .........................................................................................................32 IT 设备的报废 .........................................................................................................33 网络安全管理制度..........................................................................................................34 (一) 网络安全规划.......................................................................................................... 34 (二) 网络接入控制.......................................................................................................... 34 (三) 网络安全审计.......................................................................................................... 34 (四) 网络设备管理.......................................................................................................... 34 (五) 网络安全检查.......................................................................................................... 35 (六) 网络访问控制.......................................................................................................... 35 (七) 网络服务安全.......................................................................................................... 36 系统安全管理制度..................................................................................................37 十一、 (一) 系统维护管理.......................................................................................................... 37 (二) 系统访问控制.......................................................................................................... 37 (三) 系统用户安全管理..................................................................................................38 (四) 系统审计.................................................................................................................. 39 (五) 监视系统的使用......................................................................................................40 (六) 系统备份.................................................................................................................. 41 恶意代码防范管理制度..........................................................................................42 十二、 (一) 职责.......................................................................................................................... 42 (二) 防恶意代码系统的规划与部署..............................................................................42 (三) 恶意代码防范的日常管理 ......................................................................................42 (四) 恶意代码的查杀与处理..........................................................................................43 附表 4 恶意代码查杀统计表..................................................................................................44 系统变更管理制度..................................................................................................45 十三、 (一) 变更的申请和审批..................................................................................................45 (二) 日常变更的实施......................................................................................................45 (三) 重大变更的实施......................................................................................................45 (四) 重大变更的验证和归档..........................................................................................46 (五) 变更的失败的处理..................................................................................................46 附表 5 配置变更申请表..........................................................................................................46 3
    备份恢复管理制度..................................................................................................47 十四、 (一) 程序.......................................................................................................................... 47 (二) 资产识别.................................................................................................................. 47 (三) 制定备份方案.......................................................................................................... 47 (四) 备份计划实施.......................................................................................................... 48 (五) 备份的介质标识......................................................................................................48 (六) 备份介质的安全存放..............................................................................................48 (七) 备份介质的定期测试..............................................................................................48 (八) 信息恢复.................................................................................................................. 48 附表 6 数据备份检查记录表..................................................................................................49 信息安全事件管理制度..........................................................................................50 十五、 (一) 信息安全事件分类..................................................................................................50 (二) 信息安全事件分级..................................................................................................50 (三) 信息安全事件的预防..............................................................................................50 (四) 信息安全事件的报告..............................................................................................51 (五) 信息安全事件响应..................................................................................................51 (六) 信息安全事件的调查处理 ......................................................................................52 (七) 信息安全事件的整改..............................................................................................52 附表 7 信息安全事件管理文档..............................................................................................53 应急预案管理制度..................................................................................................54 应急处置基本原则..................................................................................................54 组织体系.................................................................................................................. 54 信息安全事件应急处理..........................................................................................55 十六、 (一) (二) (三) 4
    一、 信息安全工作方针策略 (一) 信息安全方针 全员参与 明确责任 预防为主 快速响应 风险管控 持续改进 具体阐述如下: 1. 在 xxxxxxxxx 信息科技有限公司信息安全领导小组的领导下,全面贯彻 省安局关于信息安全工作的相关指导性文件精神,建立可持续改进的信 息安全管理体系。 2. 全员参与信息安全管理体系建设,落实信息安全管理责任制,建立和完 善各项信息安全管理制度,使得信息安全管理有章可循。 3. 通过定期地信息安全宣传、教育与培训,不断提高 xxxxxxxxx 信息科技 有限公司所有工作人员的信息安全意识及能力。 4. 推行预防为主的信息安全积极防御理念,同时对所发生的信息安全事件 进行快速、有序地响应。 5. 贯彻风险管理的理念,定期对各信息系统进行全面安全检查,将信息安 全风险控制在可接受的水平。 6. 在 xxxxxxxxx 信息科技有限公司信息安全领导小组的领导下,持续改进 公司信息安全各项工作,保障信息系统安全畅通与可控,保障所开发和 维护信息系统的安全稳定,为各工作人员及系统应用场所提供安全可靠 的信息化服务。 (二) 信息安全策略 1. 建立 xxxxxxxxx 信息科技有限公司信息安全管理组织机构,明确安全主 管、安全管理负责人、网络管理员、系统管理员、安全管理员等安全管 5
    理相关岗位及职责,建立健全信息安全管理责任制,使得信息安全各项 职责落实到人。 2. 对 xxxxxxxxx 信息科技有限公司信息安全管理体系进行定期或不定期地 评审,对各项安全控制措施实施后的有效性进行测量,并实施相应的纠 正和预防措施,以保证信息安全管理体系持续的充分性、适宜性、有效 性。 3. xxxxxxxxx 信息科技有限公司信息系统分等级保护。按照国家等级保护 有关要求,对公司信息系统及信息确定安全等级,并根据不同的安全等 级实施分等级保护。 4. 规范 xxxxxxxxx 信息科技有限公司信息资产(包括硬件、软件、服务等) 管理流程,建立信息资产管理台帐,明确资产所有者、使用者与维护者, 对所有信息资产进行标记,实现对信息资产购买、使用、变更、报废整 个周期的安全管理。 5. 加强所有工作人员(包括各类外来人员)的安全管理,明确岗位安全职 责,制定针对违规的惩戒措施,落实人员聘用、在岗和离岗时的安全控 制,与关键岗位人员签署保密协议。 6. 通过正式的信息安全培训,以及网站、简报、会议、讲座等各种形式的 信息安全教育活动,不断加强公司全员的信息安全意识,提高他们的信 息安全技能。 7. 保障机房物理与环境安全。实施包括门禁、视频监控、报警等安全防范 措施,确保机房物理安全。部署机房专用空调、UPS 等环境保障设施, 对机房设施运转情况进行定期巡检和维护。严格对机房人员和设备的出 入管理,进出需登记,外来人员需由相关管理人员陪同方能访问机房。 8. 加强对信息系统外包业务与外包方的管理,在与信息系统外包方签署的 服务协议中,对信息系统安全加以要求。通过审批、访问控制、监控、 签署保密协议等措施,加强外部方访公司信息系统的管理,防止外部方 危害信息系统安全。 9. 对公司各重要信息系统(包括基础设施、网络和服务器设备、系统、应 用等)应有文档化的操作和维护规程,使得各个相关人员能够采用规范 6
    化的形式对系统进行操作,降低和避免因误操作所引发信息安全事件的 可能性。 10. 在公司内外网上统一部署网络防恶意代码软件,并进行恶意代码库 的统一更新,防范恶意代码、木马等恶意代码对公司系统的影响。通过 强化恶意代码防范的管理措施,如加强介质管理,严禁擅自安装软件, 加强人员安全意识教育,定期进行恶意代码检测等,提高公司信息系统 对恶意代码的防范能力。 11. 对公司各重要的信息和信息系统进行备份,并对备份介质进行安全 地保存,以及对备份数据定期进行备份测试验证,保证各种备份信息的 保密性、完整性和可用性,确保所有重要信息系统和重要数据在故障、 灾难后及其它特定要求下进行可靠的恢复。 12. 采用技术和管理两方面的控制措施,加强对公司内外网的安全控制, 不断提高网络的安全性和稳定性。公司内网与互联网进行物理隔离。通 过实施网络访问控制等技术防范措施,对接入内网的进行严格审批,加 强安全管理,加强对公司各部门网络使用的安全培训和教育,确保公司 网络的安全。 13. 加强信息安全日常管理,包括系统口令管理、无人值守设备管理、 等,促使每位人员的日常工作符合公司信息安全策略和制度要求。 14. 按照“仅知”原则,通过功能和技术配置,对重要信息系统、数据 等实施访问控制。对系统特殊权限和系统实用工具的使用进行严格的审 批和监管。 15. 进一步重视软件开发安全。在公司各信息系统立项和审批过程中, 同步考虑信息安全需求和目标。应保证系统设计、开发过程的安全,重 点加强对软件代码安全性的管理。属于外包软件开发的,应与服务提供 商签署保密协议。系统开发完成后,应要求通过第三方安全机构对软件 安全性的测评。 16. 在符合国家密码管理相关规定的条件下,合理使用密码技术和密码 设备,严格密钥生成、分发、保存等方面的安全管理,保障密码技术使 用的安全性。 7
    17. 重视对 IT 服务连续性的管理,建立对各类信息安全事件的预防、预 警、响应、处置、恢复机制,编写针对公司内外网重要系统的应急预案, 并定期进行测试和演练,在信息系统发生故障或事故时,能迅速、有序 地进行应急处置,最大限度地降低因信息系统突发事件或意外灾害给公 司信息系统所带来的影响。 (三) 信息安全组织机构 为明确公司信息安全管理组织机构、角色、职责等,促进公司信息系统安全 管理的组织建设,指导公司信息安全工作的开展,落实信息安全管理责任制,特 成立信息安全领导小组全面负责单位信息安全工作,同时下设信息安全领导小组 具体负责信息安全工作的实施。 信息安全领导小组成员: 安全主管:分管领导 安全管理员:系统运维部门负责人 成员:网络管理员、系统管理员、机房管理员等 信息安全领导小组职责: 1. 贯彻国家信息安全方面工作的方针政策,审定公司信息系统安全建设规 划。 2. 对信息系统安全工作的重大事项做出决策。 3. 研究审定公司信息系统安全建设和管理工作中的制度、标准及相关政策, 并协调相关部门监督制度、政策的实施情况。 4. 组织、协调和指导信息安全的宣传、普及教育工作。 组长(安全主管)职责: 1. 负责贯彻落实信息安全领导小组关于信息系统安全工作的要求和规定。 2. 根据信息化建设的总体目标,负责信息系统的安全管理体系,包括:制 度建设、技术保障和操作规范等各方面的逐步建成。 3. 组织制订和贯彻信息系统运行安全保障和维护工作制度。 4. 负责落实信息安全领导小组部署的各项工作。 安全管理员职责: 1. 负责安全制度的贯彻执行。 8
    分享到:
    收藏

    相关推荐

    资料库

    行业

    共收录7266份资料,累计15个分类,关注成员有19位,主要包括:物流,旅游,餐饮零售,网络游戏,咨询,金融,电子政务,外包,教育,制造,医疗,嵌入式,互联网,交通,电信

    热门标签

    物流 旅游 餐饮零售 网络游戏 咨询 金融 电子政务 外包 教育 制造 医疗 嵌入式 互联网 交通 电信

    最新资料