信息安全管理制度汇编

XXXXXXXXXX信息安全制度汇编XXXXXXXXXX二〇一六年一月一、总则.....................................................错误!未定义书签。二、安全管理制度.............................................错误!未定义书签。第一章管理制度..............................................错误!未定义书签。1.安全组织结构...........................................错误!未定义书签。信息安全领导小组职责.................................错误!未定义书签。信息安全工作组职责..................................错误!未定义书签。信息安全岗位.........................................错误!未定义书签。2.安全管理制度...........................................错误!未定义书签。安全管理制度体系.....................................错误!未定义书签。安全方针和主策略.....................................错误!未定义书签。安全管理制度和规范...................................错误!未定义书签。安全流程和操作规程...................................错误!未定义书签。安全记录单...........................................错误!未定义书签。第二章制定和发布............................................错误!未定义书签。第三章评审和修订............................................错误!未定义书签。三、安全管理机构.............................................错误!未定义书签。第一章岗位设置..............................................错误!未定义书签。1.组织机构...............................................错误!未定义书签。2.关键岗位...............................................错误!未定义书签。第二章人员配备..............................................错误!未定义书签。第三章授权和审批............................................错误!未定义书签。第四章沟通和合作............................................错误!未定义书签。第五章审核和检查............................................错误!未定义书签。四、人员安全管理.............................................错误!未定义书签。第一章人员录用..............................................错误!未定义书签。1.组织编制...............................................错误!未定义书签。2.招聘原则...............................................错误!未定义书签。3.招聘时机...............................................错误!未定义书签。4.录用人员基本要求.......................................错误!未定义书签。5.招聘人员岗位要求.......................................错误!未定义书签。6.招聘种类...............................................错误!未定义书签。外招................................................错误!未定义书签。内招................................................错误!未定义书签。7.招聘程序...............................................错误!未定义书签。人事需求申请........................................错误!未定义书签。甄选................................................错误!未定义书签。录用................................................错误!未定义书签。第二章保密协议..............................................错误!未定义书签。第三章人员离岗..............................................错误!未定义书签。第三章人员考核..............................................错误!未定义书签。1．制定安全管理目标......................................错误!未定义书签。2.目标考核...............................................错误!未定义书签。3.奖惩措施...............................................错误!未定义书签。第四章安全意识教育和培训....................................错误!未定义书签。1.安全教育培训制度.......................................错误!未定义书签。第一章总则.........................................错误!未定义书签。第二章安全教育的含义和方式..........................错误!未定义书签。第三章安全教育制度实施..............................错误!未定义书签。第四章三级安全教育及其他教育内容....................错误!未定义书签。第五章附则..........................................错误!未定义书签。第五章外部人员访问管理制度..................................错误!未定义书签。1.总则.................................................错误!未定义书签。2.来访登记控制...........................................错误!未定义书签。3.进出门禁系统控制.......................................错误!未定义书签。4.携带物品控制...........................................错误!未定义书签。五、系统建设管理.............................................错误!未定义书签。第一章安全方案设计..........................................错误!未定义书签。1.概述...................................................错误!未定义书签。2．设计要求和分析........................................错误!未定义书签。安全计算环境设计.....................................错误!未定义书签。安全区域边界设计.....................................错误!未定义书签。安全通信网络设计.....................................错误!未定义书签。安全管理中心设计.....................................错误!未定义书签。3．针对本单位的具体实践..................................错误!未定义书签。安全计算环境建设.....................................错误!未定义书签。安全区域边界建设.....................................错误!未定义书签。安全通信网络建设.....................................错误!未定义书签。安全管理中心建设.....................................错误!未定义书签。安全管理规范制定.....................................错误!未定义书签。系统整体分析.........................................错误!未定义书签。第二章产品采购和使用........................................错误!未定义书签。第三章自行软件开发..........................................错误!未定义书签。1.申报...................................................错误!未定义书签。2.安全性论证和审批.......................................错误!未定义书签。3.复议...................................................错误!未定义书签。4.项目安全立项...........................................错误!未定义书签。5.项目管理...............................................错误!未定义书签。概要................................................错误!未定义书签。正文.................................................错误!未定义书签。第四章工程实施..............................................错误!未定义书签。1.信息化项目实施阶段.....................................错误!未定义书签。2.概要设计子阶段的安全要求...............................错误!未定义书签。3.详细设计子阶段的安全要求...............................错误!未定义书签。4.项目实施子阶段的安全要求...............................错误!未定义书签。第五章测试验收..............................................错误!未定义书签。1.文档准备...............................................错误!未定义书签。2.确认签字...............................................错误!未定义书签。3.专人负责...............................................错误!未定义书签。4.测试方案...............................................错误!未定义书签。第六章系统交付..............................................错误!未定义书签。1.试运行.................................................错误!未定义书签。2.组织验收...............................................错误!未定义书签。第七章系统备案..............................................错误!未定义书签。1.系统备案...............................................错误!未定义书签。2.设备管理...............................................错误!未定义书签。3.投产后的监控与跟踪.....................................错误!未定义书签。第八章安全服务商选择........................................错误!未定义书签。六、系统运维管理.............................................错误!未定义书签。第一章环境管理..............................................错误!未定义书签。1.机房环境、设备.........................................错误!未定义书签。2.办公环境管理...........................................错误!未定义书签。第二章资产管理..............................................错误!未定义书签。1.总则...................................................错误!未定义书签。义书签。第三章介质管理..............................................错误!未定义书签。1.介质安全管理制度.......................................错误!未定义书签。计算机及软件备案管理制度.............................错误!未定义书签。计算机安全使用与保密管理制度.........................错误!未定义书签。用户密码安全保密管理制度.............................错误!未定义书签。涉密移动存储设备的使用管理制度.......................错误!未定义书签。数据复制操作管理制度.................................错误!未定义书签。计算机、存储介质、及相关设备维修、维护、报废、销毁管理制度错误!未定义书第四章设备管理..............................................错误!未定义书签。1.主机、存储系统运维管理.................................错误!未定义书签。2.应用服务系统运维管理...................................错误!未定义书签。3.数据系统运维管理.......................................错误!未定义书签。4.信息保密管理...........................................错误!未定义书签。5.日常维护...............................................错误!未定义书签。6.附件：安全检查表.......................................错误!未定义书签。第五章监控管理和安全管理中心................................错误!未定义书签。1.监控管理...............................................错误!未定义书签。2.安全管理中心...........................................错误!未定义书签。第六章网络安全管理..........................................错误!未定义书签。第七章系统安全管理..........................................错误!未定义书签。1.总则...................................................错误!未定义书签。2.系统安全策略...........................................错误!未定义书签。3.系统日志管理...........................................错误!未定义书签。4.个人操作管理...........................................错误!未定义书签。5.惩处...................................................错误!未定义书签。第八章恶意代码防范管理......................................错误!未定义书签。1.恶意代码三级防范机制...................................错误!未定义书签。恶意代码初级安全设置与防范...........................错误!未定义书签。.恶意代码中级安全设置与防范..........................错误!未定义书签。恶意代码高级安全设置与防范...........................错误!未定义书签。2.防御恶意代码技术管理人员职责...........................错误!未定义书签。3.防御恶意代码员工日常行为规范...........................错误!未定义书签。第九章密码管理..............................................错误!未定义书签。第十章变更管理..............................................错误!未定义书签。1.变更...................................................错误!未定义书签。2.变更程序...............................................错误!未定义书签。变更申请.............................................错误!未定义书签。变更审批.............................................错误!未定义书签。变更实施............................................错误!未定义书签。变更验收.............................................错误!未定义书签。附件一变更申请表.....................................错误!未定义书签。附件二变更验收表.....................................错误!未定义书签。第十一章备份与恢复管理......................................错误!未定义书签。1.总则...................................................错误!未定义书签。2.设备备份...............................................错误!未定义书签。3.应用系统、程序和数据备份...............................错误!未定义书签。4.备份介质和介质库管理...................................错误!未定义书签。5.系统恢复...............................................错误!未定义书签。6.人员备份...............................................错误!未定义书签。第十二章安全事件处置........................................错误!未定义书签。1.工作原则...............................................错误!未定义书签。2.组织指挥机构与职责.....................................错误!未定义书签。3.先期处置...............................................错误!未定义书签。4.应急处置...............................................错误!未定义书签。应急指挥.............................................错误!未定义书签。应急支援.............................................错误!未定义书签。信息处理.............................................错误!未定义书签。应急结束.............................................错误!未定义书签。5后期处置...............................................错误!未定义书签。善后处置.............................................错误!未定义书签。调查和评估...........................................错误!未定义书签。第十三章应急预案管理........................................错误!未定义书签。1.应急处理和灾难恢复.....................................错误!未定义书签。2.应急计划...............................................错误!未定义书签。3.应急计划的实施保障.....................................错误!未定义书签。4.应急演练...............................................错误!未定义书签。下简称信息系统)的硬件、软件、数据及环境受到有效保护，信息系门和员工都应各自履行相关的信息系统安全建设和管理的义务与责组织组织机构图第一章管理制度1.安全组织结构信息安全领导小组职责体方向、目标、总体原则和安全险时，监督控制可能发生的重大(五)对安全管理的重大更改事项(例如：组织机构调整、关键人事变动、信息系统更改等)进行决策；安全事件的处理，并协调改进措对安全管理制度体系的合理性和信息安全工作组职责(一)贯彻执行和解释信息安全领导小组的决议；(二)贯彻执行和解释国家主管机构下发的信息安全策略；(三)负责组织和协调各类信息安全规划、方案、实施、测试和验(四)负责落实和执行各类信息安全具体工作，并对具体落实情况(五)负责内外部组织和机构的沟通、协调和合作工作；(六)负责制定所有信息安全相关的管理制度和规范；(七)负责针对信息安全相关的管理制度和规范具体落实工作进行信息安全岗位全工作组主管安全管理制度，并对管理制度进行推广、2)负责日常的安全监控管理，并对上报和发现的各类安全事件进行6)负责定期进行安全检查，检查内容包括系统日常运行、系统漏洞2)负责保持系统的防病毒系统、补丁等保持最新，定期对系统进行理、数据库管理、应用管理以及资产管理等岗位，这些岗位也应当2.安全管理制度安全管理制度体系XXXXXXXXXX安全管理制度应建立信息安全方针、安全策略、安安全方针和主策略最高方针，纲领性的安全策略主文档，陈述本策略的目的、适用安全管理制度和规范各类管理规定、管理办法和暂行规定。从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理技术标准和规范，包括各个安全等级区域网络设备、主机操作系术标准和规范将作为各个网络设备、主机操作系统和应用程序的安安全流程和操作规程安全流程和操作规程，详细规定主要业务应用和事件处理的流程安全记录单安全记录单，落实安全流程和操作规程的具体表单，根据不同等级信息系统的要求可以通过不同方式的安全记录单落实并在日常工第二章制定和发布安全策略系列文档制定后，必须有效发布和执行。发布和执行过关部分的充分培训，保证每个人员都知道和了解与其相关部分的内人员对制定的安全管理制度进行，并对收发文进行登记。必须要第三章评审和修订信息安全领导小组应组织相关人员对于信息安全策略体系文件进可以仅对因变更而受影响的部分进行更新；如果必要，可以使用年第一章岗位设置1.组织机构3)信息安全领导小组负责研究重大事件，落实方针政策和制定总体df)负责接受各单位的紧急信息安全事件报告，组织进行事件调c)每年组织对信息安全应急策略和应急预案进行测试和演练。6)公司应指定分管信息的领导负责本单位信息安全管理，并配备信2.关键岗位设置信息系统的关键岗位并加强管理，配备系统管理员、网络管4)安全审计员负责对涉及系统安全的事件和各类操作人员的行为进b审计信息的常规分析第二章人员配备开发管理员量第三章授权和审批制度名称信息系统管理授权审批制度执行部门监督部门考证部门。信息部员工信息部经理运营总监最高领导信息系统管理的文件审批程序示意图第四章沟通和合作才能做好，任何一方出现问题都会影响整个安全管理工作的顺利开地点主持人记录员时间调度发言人会议内容执行人监督人完成时间第五章审核和检查3.每次检查都要制定安全检查表格实施安全检查，汇总安全检查数单位名称单位名称XXXXXXXXXX工程名称检查时间检查项目或参见检察人员检查结论及第一章人员录用1.组织编制2.招聘原则人员招聘根据人事编制安排，一般不得超出批准的编制(确须超。3.招聘时机4.录用人员基本要求思想品德好，认同公司的文化，能够自觉遵守公司的规章制度、自患有精神性、传染性及其它有可能影响正常工作、危害公众健康的5.招聘人员岗位要求年限、专业知识、技能及其它适职条件做出明确说明；便于人事行6.招聘种类外招适用于公司现有人力不能满足实际工作需要时(数量不足、任职在公司现有人力资源可以满足的情况下，应优先采用内招形式。7.招聘程序人事需求申请7.1.2需求部门应于实际需求日前提出人事需求申请，生产作业人人员，人事行政部应向需求部门说明原因，并与需求部门协调，再a)、厂区门口就地招聘、职介机构、劳务所推介(主要用于招聘生产b)、参加人才招聘会、网络招聘(主要用于招聘办公室普通职员和中c实习生)。d)、猎头公司推荐。(主要用于招聘高层管理人员)。7.2.4背景调查人事行政部负责对通过面试的部门主管(含)级别写《应聘者背景资料查询表》(见附件5)并将调查结果进行汇总报进行核定、审批；办公室普通职员、部门主管(含)以上人员的薪资录用第二章保密协议款。从内部人员中选拔从事关键岗位的人员，并签署岗位安全协议.协商一致、诚实信用的原则下，就甲方商业秘密保密事项达成如下协议。一、保密内容甲、乙双方确认，乙方应承担保密义务的甲方商业秘密范围包括但不限于以下内容。1．技术信息：技术方案、工程设计、技术报告、检测报告、实验数据、试验结果、图纸、2．经营信息：包括经营方针、投资决策意向、产品服务定价、市场分析、广告策略等。3．公司依照法律规定或者有关协议的约定对外承担保密义务的事项。二、双方的权利和义务1．甲方提供正常的工作条件，为乙方的发明、科研成果提供良好的应用和生产条件，并根据创造的经济效益给予奖励。2．乙方必须按甲方的要求从事经营、生产项目和科研项目的设计与开发，并将生产、经营、设计与开发的成果、资料交甲方，甲方拥有所有权和处置权。3．乙方不得刺探非本职工作所需要的商业秘密。4．未经甲方书面同意，乙方不得利用甲方的商业秘密进行新产品的设计与开发和撰写论文向第三方公布。5．双方解除或终止劳动合同后，乙方不得向第三方公开甲方所拥有的未被公众知悉的商业6．双方协定竞业限制的，解除或终止劳动合同后，在竞业限制期内乙方不得到生产同类或类业务。7．乙方必须严格遵守甲方的保密制度，防止泄露甲方的商业秘密。8．甲方安排乙方任职涉密岗位，并给予乙方保密津贴。三、保密期限乙方承担保密义务的期限为下列第____种。1．无限期保密，直至甲方宣布解密或者秘密信息实际上已经公开。2．有限期保密，保密期限自离职之日起____年。甲方同意就乙方离职后承担的保密义务向其支付保密津贴，保密津贴的支付方式为：_______________________________________________________________________________五、违约责任1．乙方如违反本合同任何条款，应一次性向甲方支付违约金××万元，同时，甲方有权一次性收回已向乙方发放的所有保密费。2．如果因为乙方的违约行为造成了甲方损失，乙方除支付违约金外，还应承担相应的责任。六、劳动争议处理当事人因本合同产生的一切纠纷由双方友好、平等地协商解决，协商不成，任何一方均有权向本合同签订地的人民法院提起诉讼。七、其他1．乙方确认，在签署本合同前已仔细审阅过合同内容，完全了解合同各条款的法律含义，2．本协议如与双方以前的口头或书面协议有抵触，以本协议为准。本协议的修改必须采用双方同意的书面形式。3．本协议未尽事宜，按照国家法律或政府主管部门的有关规章、制度执行。八、本合同一式两份，双方各执一份，具有同等法律效力。自双方授权代表签字并盖公章之甲方(盖章)年月日编制日期乙方(签名或盖章)年月日审核日期审核日期第三章人员离岗悉的属于我局或者虽属于第三方但本单位承诺或负有保密义务的秘2.离职人员因职务上的需要所持有或保管的一切记录着本单位况下离职人员无须将载体返还，我公司也无须给予离职人员经济补人事人事行政部。年月日姓名门职务交接工作起止所在工作交接(□个人业务文档□相关文件)部门经理签字：1.普通用品(□办公用品□胸卡□钥匙其他：2.特殊物品(□U盘□电脑□其他：□计算机设备使用交回络管理情况月1.借款(□经办支票□汇票□现金□无相关借款)务部2.其他(□应清算款项□无)日经办人签字:4.违约金元日期：公司总办存档。如有未交物品，各部门负责人应将物品名称及价利；第三章人员考核1．制定安全管理目标a)本单位每年一号文件必须针对企业上年度生产工作状况及本年度b)各项目部每年年初在本单位统一制定的安全生产目标管理的前提下，根据本工程施工特点在年度安全生产计划中制定安全生产管c)各工程开工前，项目部必须制定工程从开工到竣工的生产施工过程中整体安全生产管理目标，并应详细制定各施工阶段且有针对d)各级在制定安全生产管理目标时，应紧密结合企业管理手册中环a)本单位对各直属单位的目标管理考核各季度抽检考核和年度考核b)各项目部对所属工程项目的考核应做到每月一次，并有记录和相3.奖惩措施a第四章安全意识教育和培训1.安全教育培训制度第一章总则第一条为规范公司广大员工安全意识，降低和避免因安全事故给公第二条本制度适用于公司总部、个分公司办事处，由行政中心负责第三条公司内所有员工违反本制度规定而引起的安全事故责任均依第二章安全教育的含义和方式第四条本制度所指安全教育培训内容包括公司的网络信息安全、客第三章安全教育制度实施第六条一级教育，全体员工由公司教育中心制作课件和计划，由行第七条二、三级安全教育，新入公司员工由所在部门主管负责组织第八条日常安全会议第四章三级安全教育及其他教育内容第九条新进公司职工(包括新调入人员、实习生、代培人员等)必第十条一级(公司级)安全教育时间不少于15小时，其教育内容：二、本公司的性质、经营特点及安全管理(特种信息处理及设施设备安全方面)规章制度。。第十二条三级(部门级)安全教育由部门负责人负责教育，可采取结算、客服部门不少于15小时)，经安全教育考核合格后，方可参第十四条三级安全教育、考试、考核情况，要逐级填写在三级安全第十五条未经三级安全教育或考试不合格者，不得分配工作，否则施。管理工作；三、职工在公司内调动工作岗位变动工种(岗位)时，接受单位应对第二十条对外来人员的安全教育，由接待来访的部门负责，杜绝进第二十一条技术中心、机房等重点部位非直接管理部门领导授权任第二十二条安全教育工作的考核由行政中心负责，考核结果纳入公第五章附则施。第五章外部人员访问管理制度1.总则第一条为规范公司内部管理，减少外来人员访问或洽谈业务对公司第二条本制度适用于公司总部、各分公司办事处，由行政中心负责2.来访登记控制第三条所有到公司访问的外来人员必须依据来访登记表进行登记预须明确记录时间、姓名、证件名称(号码)、受访部门或人员名称、第四条与公司业务有关但不确定具体情况的人员来访时，必须及时第五条到访公司的外来人员实行谁接待谁负责的安全控制方式，需第六条由公司副总级别以上领导带来的客户、访客一般不需要出示第七条公司前台和保安是控制外来人员的第一责任人，值班时必须第八条前台人员负责来访客人的登记、预约和引导，来访人员到访时先引导至贵宾室或接待室等候，电话向受访部门(人)核实确定预3.进出门禁系统控制第九条公司所有内部员工必须凭借内部员工门禁信息登记卡进出办第十条公司内部各办公区域间门禁系统日常工作时必须处于锁闭状第十一条外来人员访问时由前台根据预约确定结果引导至贵宾室或第十二条受访部门与来访人员商谈相关业务后必须将客人送离办公第十三条确定访客业务商谈完毕已离开办公区域的前台不准再开启第十四条敏感行业人员要提示勿随意走动并只能在指定范围内活动(如业务员、外卖员、快件投递员等)。4.携带物品控制第十五条无论公司员工或外来人员在离开公司时携带办公、大件物第十六条重要客人来访需要携带物品的由接待部门负责人陪同离开第十七条工作时间以外禁止一切携带公司物品离开办公区域的行第十八条对来访者目视感觉可能携带危险品的必须立即采取措施进第五章附则第一章安全方案设计1)根据系统的安全保护等级选择基本安全措施，设计安全标准3)应根据信息系统的等级划分情况，统一考虑安全保障体系的4)应组织相关部门和有关安全技术专家对总体安全策略、安全5)根据等级测评、安全评估的结果定期调整和修订总体安全策2．设计要求和分析安全计算环境设计现;(8)是一个复杂的要求，如何做到可信的环境也是一个复杂的命安全区域边界设计。安全通信网络设计安全管理中心设计根据信息安全等级保护三级要求对安全审计员进行身份鉴别和3．针对本单位的具体实践安全计算环境建设安全计算环境设计选用的一个重要的产品是高强度的多因子身安全区域边界建设入的病毒进行实时查杀。选用杀毒软件和终端管理软件相结合的方理。安全通信网络建设率。IPSecVPN的技术较为成熟，配置相对比较麻烦，在实际使用过安全管理中心建设ITIL规范中所要求的各个实现，所涉及的安全产品仅限于少量的合选用多个产品来实现安全管理中心的功能:各个被管理系统的管理工具+数据铭合的方式实现。选用多个产品也有利于将不同的权限互通。G。安全管理规范制定系统整体分析实现通网的安全;采用若干管理工具和数据整合工具实现安全管理中第二章产品采购和使用第一条在系统实施阶段需要采购的网络安全设备必须由公司进行统1)网络安全设备选型应根据国家电力行业有关规定选择经过国家2)所有安全设备后均需进行严格检测，凡购回的设备均应在测试3)通过上述测试后，设备才能进入试运行阶段。试运行时间的长当考虑如下几点：的要求；码进行审核。第三条计算机系统集成的信息技术产品(如操作系统、数据库等)、IDS等)应达到以下要求：3)安全专用产品应具有国家职能部分颁发的信息安全专用产品的4)密码产品符合国家密码主管部门的要求，来源于国家主管部门5)关键安全专用产品应获得国家相关安全认证，在选型中根据实产品选型的标准。7)所有安全设备后均需进行严格检测，凡购回的设备均应在测试8)通过上述测试后，设备才能进入试运行阶段。试运行时间的长1)系统集成商的资质要求：至少要拥有国家权威部门认可的系统①产品、系统或服务提供单位的营业执照和税务登记在合法期限3)信息安全产品的采购请参阅《信息安全产品采购、使用管理制4)安全服务商资质：至少应具有国家一级安全服务资质，对于较5)人员资质要求：系统集成人员、安全服务人员以及相关管理人6)其它要求：系统符合国家相关法律、法规，按照相关主管部门为非法攻击的跳板；第三章自行软件开发1.申报2.安全性论证和审批安全性论证应着重对项目的安全需求分析、安全对策以及总体安全方案进行成本-效益、合理性、可行性和有效性分析，并在《信息1)适当2)不合适(否决)3)需作复议3.复议4.项目安全立项审批后，项目审批单位将对项目进行立项，在《信息系统项目任1)项目的管理模式、组织结构和责任：增加项目建设中的安全管2)项目实施的基本程序和相应的管理要求：增加项目建设实施中3)项目设计目标、主要内容和关键技术：增加总体安全目标、安4)项目实现功能和性能指标：增加描述系统拥有的具体安全功能5.项目管理概要本规范由保密科负责发布，发布后项目组成员可通过OA系统查文档架构的构成项目的文档(下简称文档)将由电子版本和纸介质共同组成，二者必须一致(应用系统源代码只以电子文档形式提交)。项目计划(PP)、项目执行与控制(PE)、项目收尾(PC)。项目小组的成员应按要求及时将审定过的文档交付给项目文档。项目文档管理员每周对归档或变更的文档出一份简报呈交实施组项目组成员提出申请、实施组组长批准、保密科科长批准、项目经项目文档管理员发布的文档默认为全体项目组成员有读取权第四章工程实施1.信息化项目实施阶段2.概要设计子阶段的安全要求在概要设计阶段，系统层次上的设计要求和功能指标都被分配到3)应当标识所要求的任何基础性的硬件、固件或软件，和在这些5)描述子系统所有接口的用途与使用方法，并适当提供影响、例；3.详细设计子阶段的安全要求无论是新开发一个系统，或是对一个系统进行修改，本阶段的任2)对系统层面上的和模块层面上的安全设计进行审查；3)完成安全测试和评估要求(通常包括完整的系统的、软件的、的一个草案)；4.项目实施子阶段的安全要求将所有的模块(软硬件)集成为完整的系统，并且检查确认集成以后，应完成以下具体信息安全工作：2)找出并描述实现安全方案后系统和模块的安全要求和限制，以；3)完善系统的运行程序和全生命期支持的安全计划，如密钥的分修改的安全操作程序7)并对参加项目建设的安全管理和技术人员的安全职责进行检第五章测试验收1.文档准备2)对系统运维人员进行技能培训，要求系统运维人员能进行日常册2.确认签字系统交付要项目实施和应用主管部门的相关项目负责人进行签3.专人负责4.测试方案1)配置管理：系统开发单位应使用配置管理系统，并提供配置管2)安装、生成和启动程序：应制定安装、生成和启动程序，并保3)安全功能测试：对系统的安全功能进行测试，以保证其符合详4)系统管理员指南：应提供如何安全地管理系统和如何高效地利5)系统用户指南：必须包含两方面的内容：首先，它必须解释那6)安全功能强度评估：功能强度分析应说明以概率或排列机制 的功能强度分析可以通过说明口令空间是否有足够大来指出口令字7)脆弱性分析：应分析所采取的安全对策的完备性(安全对策是第六章系统交付测试通过后，由项目应用单位组织进入试运行阶段，应有一系列4)监测新发现的对系统安全的攻击、系统所受威胁的变化以及其7)监测系统物理和功能配置，包括运行过程，因为一些不太显眼2.组织验收1)项目是否已达到项目任务书中制定的总体安全目标和安全指5)在验收报告中也应在以下条目中反映对系统安全性验收的情第七章系统备案1.系统备案2)系统等级及相关材料报系统主管部门进行备案；3)系统待级及其它要求的备案材料报相应的公安机关备案。2.设备管理1)设备的使用均应指定专人负责，均应设定严格的管理员身份鉴内的不易猜测的强口令，并遵循省电网公司统一的帐号口令管理办3)设备的网络配置应遵循统一的规划和分配，相关网络配置应向4)设备的安全策略应进行统一管理，安全策略固化后的变更应经策略配置库。5)设备须有备机备件，由公司统一进行保管、分发和替换。6)加强设备外联控制，严禁擅自接入国际互联网或其他公众信息7)工作需要，设备需携带出工作环境时，应递交申请并由相关责①安全设备每月详细检查一次，记录并分析相关日志，对可疑行④安全设备出现故障要立即报告主管领导，并及时通知系统集成度；④一旦设备出现故障，责任人应立即如实填写故障报告，通知有⑤设备责任人应保证设备在其出厂标称的使用环境(如温度、湿度、电压、电磁干扰、粉尘度等)下工作；3.投产后的监控与跟踪1)应对系统关键安全性能的变化情况进行监控，了解其变化的原4)跟踪安全有关部件的拆除处理情况，并监控随后系统安全性的9)监控系统物理环境的变化情况，并记录这些变化对系统安全的10)监控安全配置的变化情况，并记录这些变化对系统安全的影11)对于上述所有监控和跟踪内容，如果对系统安全有不良影响第八章安全服务商选择2)系统发生变更时，及时对系统进行等级测评，发现级别发生变3)测评机构要选择具有国家相关技术资质和安全资质的单位；4)系统的等级测评由信息部负责管理。第一章环境管理1.机房环境、设备机房环境可以通过机房监控服务器进行远程检查，但同时也要进仪表、工具、资料不得外借带出机房。机房温度应控制在20℃~25℃面板参数标识)；接续连线检查(接地线、电源引接线、架间连接电2.办公环境管理检查时间年月日检查人检查情况结论情况摘要检查项结论摘要温度□正常□异常℃湿度□正常□异常痕迹□正常□异常清洁□正常□异常异响□有□无异味□有□无注;痕迹检查地面、墙壁、天花是否有痕迹、水渍，机房内是否有鼠患、蚁、蟑0~25℃项S三、电话交换机，网络设备检查项结论外线电话正常通话□正常□异常内线电话正常通话□正常□异常电话交换机正常工作□正常□异常情况网络通讯状况□正常□异常第二章资产管理2)编制并保存与信息系统相关的资产清单，包括资产责任部门、重4)根据资产的重要程度对资产进行标识管理，根据资产的价值选择5)对信息分类与标识方法作出规定，并对信息的使用、传输和存储易耗品采购、使用、保管和报。分为固定资产和低值易耗品两1、固定资产：单位价值2000元以上(含2000元)，或使用年限1年以2、低值易耗品：单位价值在2000元以下(不含2000元)的各种用具产的实物管理，公司财务部负员岗位，负责对公司资产的全面统一：各部门提出采购要求，报综合部(资产管理员)审核，综合部根据现有资产情况及消耗标准，判产时，须经相关人员和行政副办公资产移交或归还所用办公管理部负责核查、统计各部产管理员依据《低耗品出库专业人员确认已无法维修或使用部门负责人同意，综合管理部检查第三章介质管理1.介质安全管理制度计算机及软件备案管理制度1.购买计算机及相关公文处理设备须由局办公室统一组织购买2.信息安全和保密办公室要建立完整的计算机及网络设备技术计算机安全使用与保密管理制度1.计算机信息系统应当按照国家保密法标准和国家信息安全等3.涉及机关工作秘密的信息(以下简称涉密信息)应当在规定的又处理涉密信息用户密码安全保密管理制度2.涉密计算机设置的密码长度要大于等于5个字符，密码要定期3.涉密计算机需要设置操作系统开机登录和屏幕保护等多个密涉密移动存储设备的使用管理制度数据复制操作管理制度1.将互联网上的信息复制到内网时，应采取严格的技术防护措理制度第四章设备管理1.主机、存储系统运维管理定期监控cpu性能，内存使用情况，硬盘利用情况，硬盘运行状2.应用服务系统运维管理3.数据系统运维管理备份服务进程、备份情况(起止时间、是否成功、出错告警)，出现4.信息保密管理、6.附件：安全检查表障故障处理详查看服务器设备故障灯整体检查情补丁安装详情病毒库日期是否有新补丁需要测试病毒库是否升级为最新XXX系统事件无错误事件与不明登陆事件服务日志文件设置以及运行正常，数据量正常磁盘卷组无处于失效状态的逻辑磁盘卷组情况摘要备注□正常□异常□正常□异常□正常□异常□正常□异数据备份系统事件磁盘卷组数据备份系统事件磁盘卷组无错误事件与不明登陆事件设置以及运行正常，数据量正常无处于失效状态的逻辑卷服务器运行情况远程登陆正常工作办公系统正常启动无错误事件与不明登陆事件设置以及运行正常，数据量正常无处于失效状态的逻辑卷远程登陆正常工作服务器运行情况常□正常□异常□正常□异常□正常□异常□正常□异常□正常□异常□正常□异常□正常□异常□正常□异常□正常□异常□正常□异常□正常□异常□正常□异数据备份系统事件磁盘卷组数据备份常□正常□异数据库正常工作常□正常□异无错误事件与不明登陆事件常□正常□异设置以及运行正常，数据量正常常□正常□异无处于失效状态的逻辑卷常□正常□异远程登陆正常工作常□正常□异服务器运行情况常□正常□异数据库正常工作常第五章监控管理和安全管理中心1.监控管理1)安全监控系统设备管理实行监控中心、监控设备所在辖区综合管2)监控中心负责监控系统及局域网系统设备的运行管理、巡检、日3)监控中心对监控系统设备使用情况进行检查、指导、监督，对因6)由于不规范程序操作等人为原因造成监控设备损坏，系统无法正7)未经监控中心同意，监控员等严禁擅自开启工控机接口，严禁将监控系统中安装无关程序，严禁删除系统中的任何程序或改变其。8)监控室属监管重地，未经领导批准，非工作人员严禁入内，严禁控室。9)任何人不得在监控室会客和进行娱乐活动，严禁非监控人员操作监控系统设备。严禁随意改变、调整和移动监控设备。严禁利用监控设备从事与监控任务无关的活动。对因违反规定，造成设备2.安全管理中心网络传输设备运行进行状态和网络传输信息进行监控管理。通过服务功能等信息确保设备正常工作，并实时监控网络计算机接入数第六章网络安全管理何理由删除或换用其他杀毒软件(防火墙)，发现病毒应及时向信息 (1)未经允许，对公司网络及其功能进行删除、修改或增加； (2)未经允许，对公司网络中存储、处理或传输的数据和应用程序 (3)使用的系统软件和应用软件、关键数据、重要技术文档未经主10.用户必须做好防火、防潮、防雷、防盗、防尘和防泄密等防范措好备份。第七章系统安全管理2.系统安全策略3.系统日志管理系统资源的异常使用和重要系统命令的使用等系统内重要的安全事报告。4.个人操作管理第十八条严格管理口令，包括口令的选择、保管和更换，采取关闭5.惩处第八章恶意代码防范管理1.恶意代码三级防范机制恶意代码初级安全设置与防范运行防毒软件(如金山毒霸360等)。应实时监控，并定期更新病administration账号和密码，创建另一个管理员账号，以此来管理权才能执行程序或进行系统设置时启动；(超级管理员)<4>禁用.恶意代码中级安全设置与防范中级安全设置与防范：关闭一些不必要的端口比如说139端口使用NTFS(标准文件系统)格式分区，设置文件夹的访问权限及文恶意代码高级安全设置与防范限定输入密码错误的次数(防止让别人无限次重试输入)；禁用不必要的服务，如TerminalServices(终端服务)IIS(信息服务器)“隐藏文件”的注册表项全部打开，备份关键注册表项(安全模式备份)。2.防御恶意代码技术管理人员职责。应对管辖范围内的所有计算机安装的防御恶意代码的软件进行适当一点出现系统或网络相关补丁或更新，应立即在相关设备上进行安3.防御恶意代码员工日常行为规范确保使用的计算机上安装了防御恶意代码的软件并进行了适当的配用程序数据和应用程序第九章密码管