网络安全等级保护信息安全管理制度

1、网络安全等级保护信息安全管理制度机房管理制度为规范机房内部管理，确保系统安全可靠运行，特制定本制度。一、机房内部实行区域安全责任制，有关责任人对自己相应责任 区负责。区域划分和相应责任人另行作出具体规定；二、工作人员进入机房实行权限管理制度，被授权人员按照权限 刷卡进入相应区域；三、参观考察或者监测维修等非工作人员进入机房需经批准并登 记，其在机房内的一切活动必须得到允许并接受监督；四、严禁将易燃易爆、强腐蚀、强磁性物品带入机房，未经许可 不得将手机等移动通讯设备、摄影摄像设备和与工作无关的移动存储 设备带入机房；五、未经允许严禁参观、拍照、录音、录像，禁止在机房内吸烟;六、进入机房必须戴鞋套

2、或更换机房专用拖鞋；七、机房内物品摆放要整齐有序，机器设备要清洁干净，保持良 好的卫生环境；严禁在机房内会客接待、大声喧哗，保持安静的工作 环境；八、相关责任人要定时检查供电配电系统、空调通风系统、视频 监控系统、门禁控制系统和消防安全系统等，确保各配套系统安全正 常运转；九、严禁用机房内的计算机运行与工作无关的软件，以防计算机 病毒感染；十、严禁随意拆卸设备、私自接线和开关电源等操作；十一、定时查看机房温度、湿度，保持其符合规定范围。介质管理制度一、本规定所称介质包括：硬盘、软盘、光盘、磁带、数字证书 介质（USB Key/IC卡）、系统密钥介质等，分涉密和非涉密两种；二、非涉密介质的使用管

3、理；1、非涉密介质包括通用产品如服务器驱动、防病毒软件系统光 盘/软盘等；2、非涉密介质，实行谁使用管理的原则。三、涉密介质的使用管理；1、涉密介质管理遵循“统一购置、统一标识、统一备案、跟踪管 理”的原则；2、实行专人管理。收发应履行清点、登记、编号、签收等手续, 严格登记交接手续。要按类编号，注明涉密标识，并定期进行检查；3、涉密介质必须存放在安全场所的保密设备里；4、涉密介质严禁在与互联网连接的计算机和个人计算机上使用;5、各类涉密介质未经批准严禁外出使用，更不得外借使用。特 殊情况携带涉密介质外出使用时，须履行审批手续；6、要根据介质的目录清单对介质的使用现状进行定期检查，检 查项目包

4、括数据的完整性和介质及数据的可用性检查。四、介质的销毁。1、与业务系统相关的涉密介质损坏后不得自行销毁或丢弃，需 按照普通密码使用管理规定进行办理；2、非涉密介质的销毁，经单位领导批准后统一处理。软件管理制度一、软件管理的范围包括对操作系统、应用软件、数据库、安全 软件、工具软件的采购、安装、使用、更新、维护、防病毒的管理；二、本中心所使用的操作系统、应用软件、数据库、安全软件、 工具软件必须是正式版本，严禁使用测试版和盗版软件；三、中心重要系统出现故障或需要重装主要的应用软件，必须经 中心领导批准才能进行安装；四、所有的涉密软件原件（盘）应严格登记，并由专人保管；五、软件的销毁应按有关的规定

5、执行；六、软件的防病毒管理1、必须安装经相关部门认可的防、杀病毒软件产品；2、定期组织防病毒系统的病毒库升级及杀毒工作；3、不得使用未经批准和检测的外来软件或磁盘、光盘，不允许 在计算机上玩游戏；4、发现病毒后立即使用防病毒工具进行检测和灭毒，如不能完 全消灭病毒时，立即上报并暂停工作；5、对于染毒次数、杀毒后果进行详细记录，不得隐瞒不报。 设备管理制度一、设备包括：计算机及配套设备、打印机、传真机、复印机、照相机、录像机等；二、设备管理实行责任到人制度，对所有设备进行区分，分别指 定责任人；三、所有设备必须建立档案，记录设备的生产厂家、购买地点、 用途、价格、型号、维修记录和责任人等信息；四

6、、设备的使用说明、维修、技术资料、培训资料以及相关的书 籍图纸等要分类保管；五、设备的转让、借出、报废、销毁，须报经机要局批准，并履 行相应手续；六、严格按操作规程使用设备，保持设备清洁，定期维护保养， 确保设备正常运转；七、根据工作需要，需购置新设备的，写出书面申请报机要局批 准，内容包括申请理由、用途、预算等；八、拟购设备必须是是国家认可的产品；九、所购设备要及时备案。环境管理制度一、周边环境安全管理1、通过电子视频和警报系统对机房门口进行监控；2、对机房配套设施应经常进行检查，及时维修，保证设备正常 使用。二、涉密场所安全保密管理1、涉密机房。1）涉密信息系统按有关规定，确定保密要害部门

7、、部位，实施 安全保密管理；2）机房建设应满足GB 50174、GB/T 2887-2000的要求，并在防 火、防水、防震、防雷、防静电、布线、电力等方面应符合GB 9361-1988 中A类机房建设要求；3）对于机房涉密程度较高的区域，进入时实行指纹或刷卡验证 方式。离开机房应关好门窗，节假日打开报警装置；4）机房安全实行责任制，分区域专人管理；5）机房核心区域内采取相应防护措施，设置监控录像并对机房 进出人员情况进行监控，自动记录日志；6）接待参观考察或本系统的人员进入机房，应有相关人员陪同, 做好登记；设备检修、调试等外来人员，应先登记报领导同意后，方 可进入；7）禁止携带与工作无关的具

8、有录音、信息存储以及无线通信等 功能的设备进入机房核心区域；8）工作人员应对机房内设备所发生的故障、处理过程和结果等 做好详细登记；9）各类软件系统的维护、增删、配置的更改，各类硬件设备的 添加、更换必需经严格审批后方可进行，并进行详细登记和记录；10）机房内应保持安静的工作环境，不大声喧哗。禁止会客、吸 烟、喝水，未经允许不得拍照、摄像；11）工作人员临时离开机房，应及时关门；下班或节假日期间，应将涉密介质及相关保密设备应放入保密柜。2、无线、多媒体产品使用规定。1）禁止使用具有无线互联功能的信息设备处理涉密信息，凡用 于处理涉密信息的信息设备应拆除具有无线联网功能的硬件模块；2）用于处理涉

9、密信息的信息设备应禁止使用无线键盘、无线鼠 标及其它无线互联的外围设备；3）在涉密场所内谈论涉及国家秘密事项时，应对具有音频输入 功能并与互联网连接的信息设备米取关机断电措施；4）手机等无线通信和定位终端设备的使用应符合“中办发（2005）29号”文件的要求；5）手机存放屏蔽柜，严禁带入机房。3、安全巡查。1）建立日常、节假日值班制度，每天检查重要部位的安全状况, 离岗时要进行安全和用电检查；2）做好工作区域内的防火、防盗等工作，发现异常情况及时处 理。三、保障设施1、定期检测检修。为了密钥管理系统运行的稳定正常，定期对 配套设施进行检测与检修；2、应不定期对机房内设置的消防器材、监控设备进行

10、检查，以 保证其有效性。培训考核制度培养和配备过硬的人才队伍，是成功实现技术转移、保证系统长 期稳定和良好运转的重要保障。为此，对所有相关使用、管理人员进 行全面、细致的培训是必不可缺的。一、培训内容和目标。1、培训内容：主要包括但不限于网络安全基础知识、信息系统 的基本原理和基本的操作维护常识；中心网站及信息管理系统的安 装、使用、故障处理、维护等内容。2、培训目标：全面了解网络信息安全基础知识、信息系统的操 作使用；能够掌握网站及信息系统相关设备的安装、调试与基本维护 技能；能独立对安全设备进行管理、运行、故障处理及日常测试维护 等工作，保障系统正常运行。二、培训方式。根据培训对象和培训内

11、容的实际情况采用现场培 训或集中培训的方式进行。三、培训时间和培训地点。时间根据培训需要另行确定；地点主 要应安排在系统的研发现场、安装和使用现场。四、培训考核。培训完成后，对受训人员进行上机操作和笔试考 核，所有受训人员考核必须全部过关。机房进出管理制度中心机房工作人员和参观访问者要严格遵守本规章制度。控制范 围包括机房公共区、操作区、管理区、服务区和核心区，其中操作区、 管理区、服务区和核心区称为敏感区域，而服务区和核心区又称为特 别敏感区域。一、所有进出贵阳高*厅政务中心机房的人员都必须佩带有关证 件来标示自己的身份，包括工作人员需要佩带职员工作证和外来访问 者需要佩带访问者证件，中心管

12、理员应及时制止并记录非法授权访 问；二、访问者进入贵阳高*厅政务中心机房时要领取访问时间表 格，访问完成之后要由接待者（必须是中心工作人员）签名本次访问 时间的表格，并由访问者出门时交给办公室；三、参观访问人员进出敏感区域必须经中心领导的同意，同时必 须要有贵阳高*厅政务中心的相关工作人员陪同，未经同意，不得擅 自闯入敏感区域；中心工作人员进出敏感区域操作必须由两人协同进 入（一人指纹，一人刷卡），同时要有详细的日志记录；四、需要访问敏感区域的访问者，必须由陪同的工作人员从公共 区带领进入，必须穿鞋套或拖鞋进入，必要时需穿白大褂，保证机房 清洁。参观期间，要求陪同的工作人员始终和访问者在一起，

13、访问期 间应注意机房卫生，访问结束后陪同人员负责协助回收访问证件；五、进出贵阳高*厅政务中心机房特别敏感区域必须由中心主任 会指定的两名管理员协同配合，由一人刷卡，一人输入指纹进入机房, 其中有一方不在场则不允许也不能进入机房的特别敏感区域；同时， 对所有进出特别敏感区域的事件必须有详细的日志记录；六、所有卡、指纹和证件有专人管理，一旦丢失了卡或证件或指 纹数据，必须立即向中心管理员报告，同时采取相应的补救措施，如 取消该卡或该证件进出机房的权限以及补录指纹等措施；七、对公共区的访问可以由机房保安人员陪同，登记后即可访问 和参观该区。岗位责任与权限管理制度贵阳高*厅政务中心信息系统日常运行维护

14、管理，由工作人员严 格按照划分的岗位执行，对应岗位赋予相应责任和权限。一、贵阳高*厅政务中心信息系统的日常运行维护管理工作由中 心运维人员承担；二、按照运行维护需要设置相应的组织机构，保证系统安全运行、 业务有序开展；三、根据运行维护需要设置业务岗位和管理岗位；四、业务岗位应包含业务管理人员、系统维护人员、文档和介质 管理人员、业务受理和咨询服务人员；五、管理岗位应包含保密管理人员；六、岗位设置应责任到人，业务管理人员中，业务管理和操作人 员与审计管理人员应设置不同人员；七、相应岗位人员不得越权使用系统。如岗位人员缺岗需其他人 员代岗，须先报请运行维护领导者批准。机房日常安全管理制度-总则必须

15、严格遵守互联网信息服务管理办法、互联网电子公告服 务管理规定、中华人民共和国计算机信息网络国际联网管理暂行规 定等国家有关法律法规；严格执行安全保密制度，对所提供的信息负责；不得利用计算机 网络从事危害国家安全、泄露国家秘密等犯罪活动，不得制作、查阅、 复制和传播有碍社会治安和有伤风化的信息；必须接受并配合国家有 关部门、各级网络中心依法进行监督检查；严格执行有关维护管理的各项规章制度，维护规程；机房保持整齐、清洁，严禁吸烟、吃零食、闲谈及大声喧哗；制 定机房每日清扫人员安排表，并定期进行大扫除；爱惜设备、仪器，保持设备的日常清洁，严禁携带强磁物进入机 房，进入机房时要更换专用工作服和专用工作

16、鞋；为了保证系统的正常运行，以及机房对运行和安全上的要求，在 机房实行7*24*365值班制度，值班人员为不少于1名，保证出现故 障能及时处理；凡进入机房进行日常维护和检查需两名以上工作人员，一人操 作，另一人对所做操作进行记录；维护网络、机房的安全使用，发现故障及时处理并填写好各项记 录；对设备应按正常规程进行操作，不得随意进行任何与工作无关的 其他操作；机房内的任何设备不得随意拆卸、破坏；一般情况下，非工作人员不得进入机房；需要进出机房进行维护或其他非常规操作的人员，按机房出入控 制制度进行管理；管理好各类原始记录和技术档案资料。定期向中心主管部门文档 管理人员提交原始记录和技术档案资料归

17、档管理；严禁携带照相机、摄像机等映像设备进入机房进行拍照、录像等 活动；机房进出专人管理，做好登记；对各级机构人员编制、机房、设备图纸、系统资料等机密资料不 得抄录影印或对外泄露；未经批准不得将机密图纸、机密文凭、软件版本、技术档案和内 部资料携带出机房，并按时履行清退和登记签收手续。机房日常安全管理制度-日常维护管理日常维护指日常检测等经常性的简单维护工作，日常维护应在业 务空闲时进行。发现不正常情况应及时处理和详细记录，对处理不了 的问题，应立即向主管人员报告。日常维护工作主要内容包括：一、日志管理。主要是包括网络进出访问、机房对外应用系统、 系统操作员的所有操作活动、与各分中心的交互活动

18、、服务器运行情 况、系统备份等信息进行日志记录。日志管理的功能包括：日志参数 设置、日志查询、日志备份等。中心必须保存有全部详细的日志记录。 设置独立的日志审计服务器存放各种日志信息，当日志库达到一定数 量或日志记录超过一定时限的时候，操作员需归档备份日志，即是将 日志转存到系统日志历史库中，保存于不可更改的介质上；二、日常检查。每日巡查至少四次，包括：配线间、空调房、UPS房、监控室、消防间、操作区和管理区，如有异常，按机房故 障事故处理流程处理；每日早上上班后和晚上下班前检查各网络设 备及各应用系统的状况，检查内容包括：防火墙进出访问情况、网络 连接、监控系统检查、网站、OA、邮件系统以及日志检查等。如有 异常，按系统故障处理流程处理；三、系统权限管理。针对不同的应用系统、用户实体、操作人员 设置数据库信息的访问权限，应用系统功能的选择权限。系统提供对 各种应用、各类用户实体、不同担任者的集中式的权限管理；四、系统服务维护。提供对各种业务流程的处理和管理方法的维 护手段。维护的内容包括服务规则、服务参数设置