信息安全管理制度汇编（完整版）

1、PAGE XXXXXXXXXX信息安全制度汇编XXXXXXXXXX二二二年一月目录 TOC o 1-3 h z u HYPERLINK l _Toc441151997 一、总则 PAGEREF _Toc441151997 h 6 HYPERLINK l _Toc441151998 二、安全管理制度 PAGEREF _Toc441151998 h 7 HYPERLINK l _Toc441151999 第一章 管理制度 PAGEREF _Toc441151999 h 7 HYPERLINK l _Toc441152000 1.安全组织结构 PAGEREF _Toc441152000 h 7 HY

2、PERLINK l _Toc441152001 1.1信息安全领导小组职责 PAGEREF _Toc441152001 h 7 HYPERLINK l _Toc441152002 1.2 信息安全工作组职责 PAGEREF _Toc441152002 h 8 HYPERLINK l _Toc441152003 1.3信息安全岗位 PAGEREF _Toc441152003 h 9 HYPERLINK l _Toc441152004 2.安全管理制度 PAGEREF _Toc441152004 h 11 HYPERLINK l _Toc441152005 2.1安全管理制度体系 PAGEREF

3、_Toc441152005 h 11 HYPERLINK l _Toc441152006 2.2安全方针和主策略 PAGEREF _Toc441152006 h 12 HYPERLINK l _Toc441152007 2.3安全管理制度和规范 PAGEREF _Toc441152007 h 12 HYPERLINK l _Toc441152008 2.4安全流程和操作规程 PAGEREF _Toc441152008 h 14 HYPERLINK l _Toc441152009 2.5安全记录单 PAGEREF _Toc441152009 h 14 HYPERLINK l _Toc441152

4、010 第二章 制定和发布 PAGEREF _Toc441152010 h 15 HYPERLINK l _Toc441152011 第三章 评审和修订 PAGEREF _Toc441152011 h 16 HYPERLINK l _Toc441152012 三、安全管理机构 PAGEREF _Toc441152012 h 17 HYPERLINK l _Toc441152013 第一章 岗位设置 PAGEREF _Toc441152013 h 17 HYPERLINK l _Toc441152014 1.组织机构 PAGEREF _Toc441152014 h 17 HYPERLINK l

5、_Toc441152015 2.关键岗位 PAGEREF _Toc441152015 h 19 HYPERLINK l _Toc441152016 第二章 人员配备 PAGEREF _Toc441152016 h 21 HYPERLINK l _Toc441152017 第三章 授权和审批 PAGEREF _Toc441152017 h 22 HYPERLINK l _Toc441152018 第四章 沟通和合作 PAGEREF _Toc441152018 h 24 HYPERLINK l _Toc441152019 第五章 审核和检查 PAGEREF _Toc441152019 h 26 H

6、YPERLINK l _Toc441152020 四、人员安全管理 PAGEREF _Toc441152020 h 28 HYPERLINK l _Toc441152021 第一章 人员录用 PAGEREF _Toc441152021 h 28 HYPERLINK l _Toc441152022 1.组织编制 PAGEREF _Toc441152022 h 28 HYPERLINK l _Toc441152023 2.招聘原则 PAGEREF _Toc441152023 h 28 HYPERLINK l _Toc441152024 3.招聘时机 PAGEREF _Toc441152024 h

7、28 HYPERLINK l _Toc441152025 4.录用人员基本要求 PAGEREF _Toc441152025 h 29 HYPERLINK l _Toc441152026 5.招聘人员岗位要求 PAGEREF _Toc441152026 h 29 HYPERLINK l _Toc441152027 6.招聘种类 PAGEREF _Toc441152027 h 29 HYPERLINK l _Toc441152028 6.1 外招 PAGEREF _Toc441152028 h 29 HYPERLINK l _Toc441152029 6.2 内招 PAGEREF _Toc4411

8、52029 h 30 HYPERLINK l _Toc441152030 7.招聘程序 PAGEREF _Toc441152030 h 30 HYPERLINK l _Toc441152031 7.1 人事需求申请 PAGEREF _Toc441152031 h 30 HYPERLINK l _Toc441152032 7.2 甄选 PAGEREF _Toc441152032 h 30 HYPERLINK l _Toc441152033 7.3 录用 PAGEREF _Toc441152033 h 32 HYPERLINK l _Toc441152034 第二章 保密协议 PAGEREF _T

9、oc441152034 h 33 HYPERLINK l _Toc441152035 第三章 人员离岗 PAGEREF _Toc441152035 h 35 HYPERLINK l _Toc441152036 第三章 人员考核 PAGEREF _Toc441152036 h 37 HYPERLINK l _Toc441152037 1制定安全管理目标 PAGEREF _Toc441152037 h 37 HYPERLINK l _Toc441152038 2.目标考核 PAGEREF _Toc441152038 h 38 HYPERLINK l _Toc441152039 3.奖惩措施 PAG

10、EREF _Toc441152039 h 38 HYPERLINK l _Toc441152040 第四章 安全意识教育和培训 PAGEREF _Toc441152040 h 39 HYPERLINK l _Toc441152041 1.安全教育培训制度 PAGEREF _Toc441152041 h 39 HYPERLINK l _Toc441152042 第一章 总 则 PAGEREF _Toc441152042 h 39 HYPERLINK l _Toc441152043 第二章 安全教育的含义和方式 PAGEREF _Toc441152043 h 39 HYPERLINK l _Toc

11、441152044 第三章 安全教育制度实施 PAGEREF _Toc441152044 h 39 HYPERLINK l _Toc441152045 第四章 三级安全教育及其他教育内容 PAGEREF _Toc441152045 h 41 HYPERLINK l _Toc441152046 第五章 附则 PAGEREF _Toc441152046 h 43 HYPERLINK l _Toc441152047 第五章 外部人员访问管理制度 PAGEREF _Toc441152047 h 44 HYPERLINK l _Toc441152048 1.总 则 PAGEREF _Toc4411520

12、48 h 44 HYPERLINK l _Toc441152049 2.来访登记控制 PAGEREF _Toc441152049 h 44 HYPERLINK l _Toc441152050 3.进出门禁系统控制 PAGEREF _Toc441152050 h 45 HYPERLINK l _Toc441152051 4.携带物品控制 PAGEREF _Toc441152051 h 46 HYPERLINK l _Toc441152052 五、系统建设管理 PAGEREF _Toc441152052 h 47 HYPERLINK l _Toc441152053 第一章 安全方案设计 PAGER

13、EF _Toc441152053 h 47 HYPERLINK l _Toc441152054 1.概述 PAGEREF _Toc441152054 h 47 HYPERLINK l _Toc441152055 2设计要求和分析 PAGEREF _Toc441152055 h 48 HYPERLINK l _Toc441152056 2.1安全计算环境设计 PAGEREF _Toc441152056 h 48 HYPERLINK l _Toc441152057 2.2安全区域边界设计 PAGEREF _Toc441152057 h 49 HYPERLINK l _Toc441152058 2.

14、3安全通信网络设计 PAGEREF _Toc441152058 h 50 HYPERLINK l _Toc441152059 2.4安全管理中心设计 PAGEREF _Toc441152059 h 50 HYPERLINK l _Toc441152060 3针对本单位的具体实践 PAGEREF _Toc441152060 h 51 HYPERLINK l _Toc441152061 3.1安全计算环境建设 PAGEREF _Toc441152061 h 51 HYPERLINK l _Toc441152062 3.2安全区域边界建设 PAGEREF _Toc441152062 h 52 HYP

15、ERLINK l _Toc441152063 3.3安全通信网络建设 PAGEREF _Toc441152063 h 52 HYPERLINK l _Toc441152064 3.4安全管理中心建设 PAGEREF _Toc441152064 h 53 HYPERLINK l _Toc441152065 3.5安全管理规范制定 PAGEREF _Toc441152065 h 54 HYPERLINK l _Toc441152066 3.6系统整体分析 PAGEREF _Toc441152066 h 54 HYPERLINK l _Toc441152067 第二章 产品采购和使用 PAGEREF

16、 _Toc441152067 h 55 HYPERLINK l _Toc441152068 第三章 自行软件开发 PAGEREF _Toc441152068 h 58 HYPERLINK l _Toc441152069 1.申报 PAGEREF _Toc441152069 h 58 HYPERLINK l _Toc441152070 2.安全性论证和审批 PAGEREF _Toc441152070 h 58 HYPERLINK l _Toc441152071 3.复议 PAGEREF _Toc441152071 h 58 HYPERLINK l _Toc441152072 4.项目安全立项 P

17、AGEREF _Toc441152072 h 58 HYPERLINK l _Toc441152073 5.项目管理 PAGEREF _Toc441152073 h 59 HYPERLINK l _Toc441152074 5.1 概要 PAGEREF _Toc441152074 h 59 HYPERLINK l _Toc441152075 5.2正文 PAGEREF _Toc441152075 h 60 HYPERLINK l _Toc441152076 第四章 工程实施 PAGEREF _Toc441152076 h 62 HYPERLINK l _Toc441152077 1.信息化项目

18、实施阶段 PAGEREF _Toc441152077 h 62 HYPERLINK l _Toc441152078 2.概要设计子阶段的安全要求 PAGEREF _Toc441152078 h 62 HYPERLINK l _Toc441152079 3.详细设计子阶段的安全要求 PAGEREF _Toc441152079 h 63 HYPERLINK l _Toc441152080 4.项目实施子阶段的安全要求 PAGEREF _Toc441152080 h 63 HYPERLINK l _Toc441152081 第五章 测试验收 PAGEREF _Toc441152081 h 65 HY

19、PERLINK l _Toc441152082 1.文档准备 PAGEREF _Toc441152082 h 65 HYPERLINK l _Toc441152083 2.确认签字 PAGEREF _Toc441152083 h 65 HYPERLINK l _Toc441152084 3.专人负责 PAGEREF _Toc441152084 h 65 HYPERLINK l _Toc441152085 4.测试方案 PAGEREF _Toc441152085 h 65 HYPERLINK l _Toc441152086 第六章 系统交付 PAGEREF _Toc441152086 h 68

20、HYPERLINK l _Toc441152087 1.试运行 PAGEREF _Toc441152087 h 68 HYPERLINK l _Toc441152088 2.组织验收 PAGEREF _Toc441152088 h 68 HYPERLINK l _Toc441152089 第七章 系统备案 PAGEREF _Toc441152089 h 70 HYPERLINK l _Toc441152090 1.系统备案 PAGEREF _Toc441152090 h 70 HYPERLINK l _Toc441152091 2.设备管理 PAGEREF _Toc441152091 h 70

21、 HYPERLINK l _Toc441152092 3.投产后的监控与跟踪 PAGEREF _Toc441152092 h 72 HYPERLINK l _Toc441152093 第八章 安全服务商选择 PAGEREF _Toc441152093 h 74 HYPERLINK l _Toc441152094 六、系统运维管理 PAGEREF _Toc441152094 h 75 HYPERLINK l _Toc441152095 第一章 环境管理 PAGEREF _Toc441152095 h 75 HYPERLINK l _Toc441152096 1.机房环境、设备 PAGEREF _

22、Toc441152096 h 75 HYPERLINK l _Toc441152097 2.办公环境管理 PAGEREF _Toc441152097 h 76 HYPERLINK l _Toc441152098 第二章 资产管理 PAGEREF _Toc441152098 h 81 HYPERLINK l _Toc441152099 1.总则 PAGEREF _Toc441152099 h 81 HYPERLINK l _Toc441152100 2.资产管理制度 PAGEREF _Toc441152100 h 81 HYPERLINK l _Toc441152101 第三章 介质管理 PAG

23、EREF _Toc441152101 h 85 HYPERLINK l _Toc441152102 1.介质安全管理制度 PAGEREF _Toc441152102 h 85 HYPERLINK l _Toc441152103 1.1计算机及软件备案管理制度 PAGEREF _Toc441152103 h 85 HYPERLINK l _Toc441152104 1.2计算机安全使用与保密管理制度 PAGEREF _Toc441152104 h 85 HYPERLINK l _Toc441152105 1.3用户密码安全保密管理制度 PAGEREF _Toc441152105 h 86 HYP

24、ERLINK l _Toc441152106 1.4涉密移动存储设备的使用管理制度 PAGEREF _Toc441152106 h 86 HYPERLINK l _Toc441152107 1.5数据复制操作管理制度 PAGEREF _Toc441152107 h 87 HYPERLINK l _Toc441152108 1.6计算机、存储介质、及相关设备维修、维护、报废、销毁管理制度 PAGEREF _Toc441152108 h 87 HYPERLINK l _Toc441152109 第四章 设备管理 PAGEREF _Toc441152109 h 89 HYPERLINK l _Toc

25、441152110 1.主机、存储系统运维管理 PAGEREF _Toc441152110 h 89 HYPERLINK l _Toc441152111 2.应用服务系统运维管理 PAGEREF _Toc441152111 h 89 HYPERLINK l _Toc441152112 3.数据系统运维管理 PAGEREF _Toc441152112 h 90 HYPERLINK l _Toc441152113 4.信息保密管理 PAGEREF _Toc441152113 h 91 HYPERLINK l _Toc441152114 5.日常维护 PAGEREF _Toc441152114 h

26、91 HYPERLINK l _Toc441152115 6.附件：安全检查表 PAGEREF _Toc441152115 h 92 HYPERLINK l _Toc441152116 第五章 监控管理和安全管理中心 PAGEREF _Toc441152116 h 94 HYPERLINK l _Toc441152117 1.监控管理 PAGEREF _Toc441152117 h 94 HYPERLINK l _Toc441152118 2.安全管理中心 PAGEREF _Toc441152118 h 95 HYPERLINK l _Toc441152119 第六章 网络安全管理 PAGER

27、EF _Toc441152119 h 96 HYPERLINK l _Toc441152120 第七章 系统安全管理 PAGEREF _Toc441152120 h 98 HYPERLINK l _Toc441152121 1.总则 PAGEREF _Toc441152121 h 98 HYPERLINK l _Toc441152122 2.系统安全策略 PAGEREF _Toc441152122 h 98 HYPERLINK l _Toc441152123 3.系统日志管理 PAGEREF _Toc441152123 h 99 HYPERLINK l _Toc441152124 4.个人操作

28、管理 PAGEREF _Toc441152124 h 100 HYPERLINK l _Toc441152125 5.惩处 PAGEREF _Toc441152125 h 100 HYPERLINK l _Toc441152126 第八章 恶意代码防范管理 PAGEREF _Toc441152126 h 101 HYPERLINK l _Toc441152127 1.恶意代码三级防范机制 PAGEREF _Toc441152127 h 101 HYPERLINK l _Toc441152128 1.1恶意代码初级安全设置与防范 PAGEREF _Toc441152128 h 101 HYPER

29、LINK l _Toc441152129 1.2.恶意代码中级安全设置与防范 PAGEREF _Toc441152129 h 101 HYPERLINK l _Toc441152130 1.3恶意代码高级安全设置与防范 PAGEREF _Toc441152130 h 102 HYPERLINK l _Toc441152131 2.防御恶意代码技术管理人员职责 PAGEREF _Toc441152131 h 102 HYPERLINK l _Toc441152132 3.防御恶意代码员工日常行为规范 PAGEREF _Toc441152132 h 103 HYPERLINK l _Toc4411

30、52133 第九章 密码管理 PAGEREF _Toc441152133 h 104 HYPERLINK l _Toc441152134 第十章 变更管理 PAGEREF _Toc441152134 h 106 HYPERLINK l _Toc441152135 1.变更 PAGEREF _Toc441152135 h 106 HYPERLINK l _Toc441152136 2.变更程序 PAGEREF _Toc441152136 h 106 HYPERLINK l _Toc441152137 2.1变更申请 PAGEREF _Toc441152137 h 106 HYPERLINK l

31、_Toc441152138 2.2变更审批 PAGEREF _Toc441152138 h 106 HYPERLINK l _Toc441152139 2.3 变更实施 PAGEREF _Toc441152139 h 106 HYPERLINK l _Toc441152140 2.4变更验收 PAGEREF _Toc441152140 h 106 HYPERLINK l _Toc441152141 附件一变更申请表 PAGEREF _Toc441152141 h 107 HYPERLINK l _Toc441152142 附件二变更验收表 PAGEREF _Toc441152142 h 108

32、 HYPERLINK l _Toc441152143 第十一章 备份与恢复管理 PAGEREF _Toc441152143 h 109 HYPERLINK l _Toc441152144 1.总则 PAGEREF _Toc441152144 h 109 HYPERLINK l _Toc441152145 2.设备备份 PAGEREF _Toc441152145 h 110 HYPERLINK l _Toc441152146 3.应用系统、程序和数据备份 PAGEREF _Toc441152146 h 111 HYPERLINK l _Toc441152147 4.备份介质和介质库管理 PAGE

33、REF _Toc441152147 h 114 HYPERLINK l _Toc441152148 5.系统恢复 PAGEREF _Toc441152148 h 115 HYPERLINK l _Toc441152149 6.人员备份 PAGEREF _Toc441152149 h 116 HYPERLINK l _Toc441152150 第十二章 安全事件处置 PAGEREF _Toc441152150 h 117 HYPERLINK l _Toc441152151 1.工作原则 PAGEREF _Toc441152151 h 117 HYPERLINK l _Toc441152152 2

34、.组织指挥机构与职责 PAGEREF _Toc441152152 h 117 HYPERLINK l _Toc441152153 3.先期处置 PAGEREF _Toc441152153 h 118 HYPERLINK l _Toc441152154 4.应急处置 PAGEREF _Toc441152154 h 119 HYPERLINK l _Toc441152155 4.1应急指挥 PAGEREF _Toc441152155 h 119 HYPERLINK l _Toc441152156 4.2应急支援 PAGEREF _Toc441152156 h 119 HYPERLINK l _To

35、c441152157 4.3信息处理 PAGEREF _Toc441152157 h 119 HYPERLINK l _Toc441152158 4.4应急结束 PAGEREF _Toc441152158 h 120 HYPERLINK l _Toc441152159 5后期处置 PAGEREF _Toc441152159 h 120 HYPERLINK l _Toc441152160 5.1善后处置 PAGEREF _Toc441152160 h 120 HYPERLINK l _Toc441152161 5.2调查和评估 PAGEREF _Toc441152161 h 121 HYPERL

36、INK l _Toc441152162 第十三章 应急预案管理 PAGEREF _Toc441152162 h 122 HYPERLINK l _Toc441152163 1.应急处理和灾难恢复 PAGEREF _Toc441152163 h 122 HYPERLINK l _Toc441152164 2.应急计划 PAGEREF _Toc441152164 h 123 HYPERLINK l _Toc441152165 3.应急计划的实施保障 PAGEREF _Toc441152165 h 124 HYPERLINK l _Toc441152166 4.应急演练 PAGEREF _Toc44

37、1152166 h 125一、总则为规范XXXXXXXXXX信息安全工作，确保全体员工理解信息安全工作与职责，并落实到日常工作中，推动信息安全保障工作的顺利进行，结合XXXXXXXXXX的实际情况，特制定本制度。本管理制度所称信息系统安全，包括计算机网络和应用系统（以下简称信息系统）的硬件、软件、数据及环境受到有效保护，信息系统的连续、稳定、安全运行得到可靠保障。信息系统安全管理坚持“谁主管谁负责”的原则，公司的所有部门和员工都应各自履行相关的信息系统安全建设和管理的义务与责任。信息系统安全工作的总体目标是：实施信息系统安全等级保护，建立健全先进实用、完整可靠的信息系统安全体系，保证系统和信息

38、的完整性、真实性、可用性、保密性和可控性，保障信息化建设和应用，支撑公司业务持续、稳定、健康发展。信息系统安全体系建设必须坚持“统一标准、保障应用、符合法规、综合防范、集成共享”的原则。本制度适用于公司所有部门和个人。二、安全管理制度第一章 管理制度1.安全组织结构XXXXXXXXXX安全管理组织应形成由主管领导牵头的信息安全领导小组、具体信息安全职能部门负责日常工作的组织模式，组织结构图如下所示：组织机构图1.1信息安全领导小组职责信息安全领导小组是由XXXXXXXXXX主管领导牵头，各部门的负责人为组成成员的组织机构，主要负责批准XXXXXXXXXX安全策略、分配安全责任并协调安全策略能够

39、实施，确保安全管理工作有一个明确的方向，从管理和决策层角度对信息安全管理提供支持。信息安全领导小组的主要责任如下：(一) 确定网络与信息安全工作的总体方向、目标、总体原则和安全工作方法； (二) 审查并批准政府的信息安全策略和安全责任； (三) 分配和指导安全管理总体职责与工作； (四) 在网络与信息面临重大安全风险时，监督控制可能发生的重大变化； (五) 对安全管理的重大更改事项（例如：组织机构调整、关键人事变动、信 息系统更改等）进行决策； (六) 指挥、协调、督促并审查重大安全事件的处理，并协调改进措施； (七) 审核网络安全建设和管理的重要活动，如重要安全项目建设、重要的安 全管理措施

40、出台等； (八) 定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进 行审定。1.2 信息安全工作组职责信息安全工作组是信息安全工作的日常执行机构，内设专职的安全管理组织和岗位，负责日常具体安全工作的落实、组织和协调。信息安全工作组的主要职责如下：（一） 贯彻执行和解释信息安全领导小组的决议；（二） 贯彻执行和解释国家主管机构下发的信息安全策略；（三） 负责组织和协调各类信息安全规划、方案、实施、测试和验收评审会议；（四） 负责落实和执行各类信息安全具体工作，并对具体落实情况进行总 结和汇报；（五） 负责内外部组织和机构的沟通、协调和合作工作； （六） 负责制定所有信息安全相关的管

41、理制度和规范； （七） 负责针对信息安全相关的管理制度和规范具体落实工作进行监督、 检查、考核、指导及审批，例如现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。 以上组织结构和职责通过信息安全组织职责体系加以说明。1.3信息安全岗位为了有效落实信息安全各项工作，XXXXXXXXXX应设立以下专职的安全岗位，负责安全工作的落实和执行： 1.3.1信息安全工作组主管1) 负责网络与信息安全的日常整体协调、管理工作； 2) 负责组织人员制定信息安全管理制度，并对管理制度进行推广、培训和 指导；3) 负责重大安全事件的具体协调和沟通工作。 1.3.2安全管理员岗位1)

42、负责执行网络与信息安全工作的日常协调、管理工作；2) 负责日常的安全监控管理，并对上报和发现的各类安全事件进行响应； 3) 负责系统、网络和应用安全管理的协调和技术指导； 4) 负责安全管理平台安全策略制定，访问控制策略审核； 5) 负责组织安全管理制度的推广和培训工作； 6) 负责定期进行安全检查，检查内容包括系统日常运行、系统漏洞和数据 备份等情况。1.3.3安全审计员岗位1) 负责安全管理制度落实情况的检查、监督和指导； 2) 负责安全策略执行情况的审核。 1.3.4系统管理员1) 负责系统安全稳定运行的日常管理工作； 2) 负责保持系统的防病毒系统、补丁等保持最新，定期对系统进行安全加

43、 固，保持系统漏洞最小化。 1.3.5网络管理员1) 负责网络设备安全稳定运行的日常管理工作；2) 负责保持网络设备的漏洞最小化，定期对系统进行安全加固； 3) 负责保持网络路由和交换策略与业务需求保护一致。4）XXXXXXXXXX应根据日常的运行维护和管理工作，设置物理环境管理 、数据库管理、应用管理以及资产管理等岗位，这些岗位也应当包括安全职责，这些安全职责的具体内容通过信息安全管理岗位说明书落实。2.安全管理制度2.1安全管理制度体系XXXXXXXXXX安全管理制度应建立信息安全方针、安全策略、安全管理制度、安全技术规范以及流程的一套信息安全管理制度体系。2.2安全方针和主策略最高方针，

44、纲领性的安全策略主文档，陈述本策略的目的、适用范围、信息安全的管理意图、支持目标以及指导原则，信息安全各个方面所应遵守的原则方法和指导性策略。 2.3安全管理制度和规范各类管理规定、管理办法和暂行规定。从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法，是必须具有可操作性，而且必须得到有效推行和实施的。 技术标准和规范，包括各个安全等级区域网络设备、主机操作系统和主要应用程序的应遵守的安全配置和管理的技术标准和规范。技术标准和规范将作为各个网络设备、主机操作系统和应用程序的安装、配置、采购、项目评审、日常安全管理和维护时必须遵照的标准，不允

45、许发生违背和冲突。本项目将为XXXXXXXXXX编制如下安全管理制度和规范：安全方针安全策略安全管理组织体系职责内部人员安全管理规定外部人员安全管理规定等级保护安全管理规范风险评估管理规范软件开发管理规定IT外包管理规定工程安全管理规定产品采购安全管理规定服务商安全管理规定机房管理制度办公环境安全管理规定 资产安全管理制度设备安全管理规定介质安全管理规定运行维护安全管理规范网络安全管理规定系统安全管理规定防病毒安全管理规定密码使用管理制度变更管理制度备份与恢复管理规定安全事件管理制度应急预案安全流程和操作规程，详细规定主要业务应用和事件处理的流程、步骤和相关注意事项。作为具体工作时的具体依照，

46、此部分必须具有可操作性，而且必须得到有效推行和实施的。2.4安全流程和操作规程安全流程和操作规程，详细规定主要业务应用和事件处理的流程和步骤，和相关注意事项。作为具体工作时的具体依照，此部分必须具有可操作性，而且必须得到有效推行和实施的。2.5安全记录单安全记录单，落实安全流程和操作规程的具体表单，根据不同等级信息系统的要求可以通过不同方式的安全记录单落实并在日常工作中具体执行。主要包括日常操作的记录、工作记录、流转记录以及审批记录等。第二章 制定和发布安全策略系列文档制定后，必须有效发布和执行。发布和执行过程中除了要得到管理层的大力支持和推动外，还必须要有合适的、可行的发布和推动手段，同时在

47、发布和执行前对每个人员都要做与其相关部分的充分培训，保证每个人员都知道和了解与其相关部分的内容。安全策略在制定和发布过程中，应当实施以下安全管理：(一) 安全管理制度应具有统一的格式，并进行版本控制；(二) 由信息安全工作小组负责安全管理制度的制定(三) 安全管理职能部门应组织相关人员对制定的安全管理制度进行论证和审定；(四) 安全管理制度应通过文件形式下发通知；(五) 安全管理制度应注明发布范围，并对收发文进行登记。必须要注意到这是一个长期、艰苦的工作，需要付出艰苦的努力，而且由于牵扯到许多部门和绝大多数员工，可能需要改变工作方式和流程，所以推行起来的阻力会相当大；同时安全策略本身存在的缺陷

48、，包括不切实可行，太过复杂和繁琐，部分规定有缺欠等，都会导致整体策略难以落实。第三章 评审和修订信息安全领导小组应组织相关人员对于信息安全策略体系文件进行评审，并确定其有效执行期限。同时应指定信息安全职能部门每年审视安全策略系列文档，具体检查内容包括： (一) 信息安全策略中的主要更新； (二) 信息安全标准中的主要更新。信息安全标准不需要全部更新，可以仅对 因变更而受影响的部分进行更新；如果必要，可以使用年度审视更新流程对信息安全标准做一次全面更新。 (三) 安全管理组织机构和人员的安全职责的主要更新； (四) 操作流程的主要更新； (五) 各类管理规定、管理办法和暂行规定的主要更新； (六

49、) 用户协议的主要更新；等等。 通过信息安全策略管理规定落实以上相关内容。三、安全管理机构第一章 岗位设置健全的岗位设置、职责分配及技能要求等是安全组织建设的重点内容，对于以后安全管理工作的顺利开展具有巨大的意义。缺乏健全的岗位设置、职责分配及技能要求将导致无人负责、难以落实责权利，难以胜任安全管理工作等严重问题。1.组织机构XXXXXXXXXX成立信息安全领导小组，是信息安全的最高决策机构，下设办公室，负责信息安全领导小组的日常事务。信息安全工作领导小组，其最高领导由单位主管领导委任或授权。信息安全领导小组负责研究重大事件，落实方针政策和制定总体策略等。职责主要包括：根据国家和行业有关信息安

50、全的政策、法律和法规，批准公司信息安全总体策略规划、管理规范和技术标准；确定公司信息安全各有关部门工作职责，指导、监督信息安全工作。信息安全领导小组下设两个工作组：信息安全工作组、应急处理工作组。组长均由公司负责人担任。信息安全工作组的主要职责包括：贯彻执行公司信息安全领导小组的决议，协调和规范公司信息安全工作；根据信息安全领导小组的工作部署，对信息安全工作进行具体安排、落实；组织对重大的信息安全工作制度和技术操作策略进行审查，拟订信息安全总体策略规划，并监督执行；负责协调、督促各职能部门和有关单位的信息安全工作，参与信息系统工程建设中的安全规划，监督安全措施的执行；组织信息安全工作检查，分析

51、信息安全总体状况，提出分析报告和安全风险的防范对策；负责接受各单位的紧急信息安全事件报告，组织进行事件调查，分析原因、涉及范围，并评估安全事件的严重程度，提出信息安全事件防范措施；及时向信息安全工作领导小组和上级有关部门、单位报告信息安全事件。跟踪先进的信息安全技术，组织信息安全知识的培训和宣传工作。应急处理工作组的主要职责包括：审定公司网络与信息系统的安全应急策略及应急预案；决定相应应急预案的启动，负责现场指挥，并组织相关人员排除故障，恢复系统；每年组织对信息安全应急策略和应急预案进行测试和演练。公司应指定分管信息的领导负责本单位信息安全管理，并配备信息安全技术人员，有条件的 应设置信息安全

52、工作小组或办公室，对公司信息安全领导小组和工作小组负责，落实本单位信息安全工作和应急处理工作。2.关键岗位设置信息系统的关键岗位并加强管理，配备系统管理员、网络管理员、应用开发管理员、安全审计员、安全保密管理员，要求五人各自独立。要害岗位人员必须严格遵守保密法规和有关信息安全管理规定。系统管理员主要职责有：负责系统的运行管理，实施系统安全运行细则；严格用户权限管理，维护系统安全正常运行；认真记录系统安全事项，及时向信息安全人员报告安全事件；对进行系统操作的其他人员予以安全监督。网络管理员主要职责有：负责网络的运行管理，实施网络安全策略和安全运行细则；安全配置网络参数，严格控制网络用户访问权限，

53、维护网络安全正常运行；监控网络关键设备、网络端口、网络物理线路，防范黑客入侵，及时向信息安全人员报告安全事件；对操作网络管理功能的其他人员进行安全监督。应用开发管理员主要职责有：负责在系统开发建设中，严格执行系统安全策略，保证系统安全功能的准确实现；系统投产运行前，完整移交系统相关的安全策略等资料；不得对系统设置“后门”；对系统核心技术保密等。安全审计员负责对涉及系统安全的事件和各类操作人员的行为进行审计和监督，主要职能包括：按操作员证书号进行审计；按操作时间审计；按操作类型审计；事件类型进行审计；日志管理等。安全保密管理员负责日常安全保密管理活动，主要职责有：监视全网运行和安全告警信息网络审

54、计信息的常规分析安全设备的常规设置和维护执行应急中心制定的具体安全策略向应急管理机构和领导机构报告重大的网络安全事件等。第二章 人员配备配备足够数量的系统管理员、网络管理员、安全管理员对顺利完成安全管理工作是非常重要的，可以有效避免人力不足带来的问题。配备专职的安全管理员可以让管理工作落实到专人上，可以更高效的开展安全管理工作。关键事务岗位配备多人进行共同管理可以防止出现疏忽，并且有利于互相约束和监督机制的建立。如果没有配备足够数量的系统管理员、网络管理员、安全管理员，则可能由于工作过度繁忙而出现安全事件。如果安全管理人员都是兼职，则很可能出现只顾其他业务而忽视安全的情况。关键事务岗位人员不足

55、会导致疏忽大意。1.按照实际工作需要配备足够数量的系统管理员、网络管理员、安全管理员；2.在安全管理部配备专职的安全管理员；3.识别出关键事务岗位，对这些关键岗位配备多人进行共同管理，以防止疏忽，并且建立起约束和监督机制。岗位名称人员数量人员名称系统管理员网络管理员应用开发管理员安全审计员安全保密管理员第三章 授权和审批授权和审批可以保证安全有关工作得到认可和控制，排除盲目性和不一致性，使安全工作更加权威和科学，有利于增强责任感。如果授权和审批工作做得不够完善，可能会带来执行难等问题，安全工作得不到控制，因安全带来的问题长期得不到解决，安全问题日积月累，最终导致严重安全事件的发生。应按照以下规

56、范进行授权和审批流程建设：1.明确审批授权事项、审批授权部门；建立系统变更、重要操作、物理访问和系统接入等事项的审批程序， 对重要活动实施逐级审批；3.按照审批程序执行审批过程，记入文档并进行审计；定期审查审批事项，及时更新需授权和审批的项目、审批部门和审批人等信息；制度名称信息系统管理授权审批制度受控状态文件编号执行部门监督部门考证部门第1条 为了提高企业信息系统的可靠性、稳定性、安全性，特制定本制度。第2条 本制度适用于信息部与各用户部门使用企业信息系统的相关人员。第3条 企业中涉及到信息系统方面的工作统一由信息部负责。第4条 信息系统管理授权的方式。企业信息系统的授权以职位说明书和授权书

57、为基准，逐级授权，其他授权方式或越级授权视为无效。第5条 企业信息系统管理授权程序。1总裁授权运营总监全面负责企业信息系统的开发、管理、修改等工作。2运营总裁授权信息部经理负责信息系统的开发、管理、修改等具体工作。3信息部经理授权给下属员工，完成相应工作。第6条 企业信息系统管理中的文件审批程序，如下图所示。信息部员工最高领导信息部经理运营总监信息系统管理的文件审批程序示意图第7条 企业中的各用户部门对信息系统只有根据其职级的使用权与建议权，而无修改权，否则造成的全部后果由当事人承担。第8条 本制度由信息部制定，解释权、修改权归属信息部。第9条 本制度自总裁审批之日起实施，修订时亦同。编制日期

58、审核日期批准日期修改标记修改处数修改日期第四章 沟通和合作安全管理问题涉及到各个层次的人员及技术，需要大家密切配合才能做好，任何一方出现问题都会影响整个安全管理工作的顺利开展，因此对各种安全问题进行定期沟通和合作是非常必要的。如果与安全管理有关的沟通和合作推进不顺利，出现的安全问题得不到反馈和支持，则安全问题会变得越来越严重，直到出现严重安全事件。应按照以下规范进行沟通与合作：由安全管理部提出，每半年召开一次安全协调专题会议，为期一天，各有关部门包括外部顾问机构及人员都要参加，及时提出问题和解决问题；会议记录时间地点主持人记录员时间调度参加人员：会议议题发言人会议内容执行人监督人完成时间每年与

59、与兄弟单位、公安机关、电信公司等召开一次安全总结会，平时则通过邮件等及时合作与沟通；通过邮件、电话等与供应商、业界专家、专业的安全公司、安全组织进行及时合作与沟通；建立外联单位联系列表，包括外联单位名称、合作内容、联系人和联系方式等信息；聘请信息安全专家作为常年的安全顾问，指导信息安全建设，参与安全规划和安全评审等。第五章 审核和检查对安全工作的开展情况进行定级审核和检查可以及时、有效的督促安全制度和安全技术的执行、运作情况，减少安全疏忽，及时发现并解决问题，使安全工作日常化、制度化。安全工作如果不能保证及时的审核和检查，则容易导致各项工作大打折扣，并且由此带来的问题会积累起来最终导致严重安全

60、事件发生，如补丁长期得不到更新使系统长期暴露于黑客攻击威胁之下。1.由安全管理员每周进行安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况；2.由内部人员或上级单位每季度进行全面安全检查，检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等；3.每次检查都要制定安全检查表格实施安全检查，汇总安全检查数据，形成安全检查报告，并对安全检查结果进行通报；4.将上述工作要求写入安全审核和检查管理制度，用以规范安全审核和安全检查工作的频率等重要内容。安全检查记录表检查类型：定期安全检查单位名称XXXXXXXXXX工程名称检查时间检查单位检查项目或部位参见检