XXX信息安全管理制度汇编

1信息安全管理制度汇编(试行)XXX２０１４年１月目录一. 信息安全管理制度总纲 （三）机房设备重大故障每年不超过３次；（四）全年不发生重大信息安全泄漏事故；（五）全年不发生单位级存储数据丢失事故。1.3安全防范管理机制第六条完善安全防范管理机制是信息系统安全防范的组织保证。XXX成立信息安全领导小组，负责开展电子政务信息系统建设、应用和信息安全保障工作。系统安全管理科具体负责电子政务信息系统安全日常工作的组织实施。1.4信息安全管理制度第十条信息安全管理制度包含如下管理办法：信息安全领导小组工作职责及岗位设置内部员工安全管理办法外部人员安全管理办法办公环境安全管理办法信息资产管理办法存储介质管理办法XXX市政府网站安全管理办法（见德政办发【2013】8号）信息系统建设安全管理办法信息系统运维管理办法信息系统变更管理办法信息系统业务连续性管理办法信息安全事件管理办法信息系统用户密码管理办法计算机病毒防治管理办法信息安全检查管理办法信息安全责任奖惩管理办法XXX信息安全领导小组工作职责及岗位设置2.1总则第一条为规范XXX信息安全领导小组的日常工作秩序，明确相应岗位职责，使工作更加有序、高效，特制定XXX信息安全领导小组工作职责及岗位设置。第二条XXX各个科室要熟悉信息安全领导小组的岗位设置和职责，明确业务对口联系岗位，共同推动各项信息安全管理工作顺利开展。2.2信息安全领导小组岗位设置第三条为了保证能够及时、高效、优质地完成信息安全领导小组职能范围内的各项工作任务，必须设置必要的工作岗位，并合理配备各岗位人员。第四条根据工作职能，信息安全领导小组设置组长、安全管理员、网络管理员、系统管理员、应用管理员、机房管理员、设备管理员岗位。第五条组长职责组长主要全面负责单位信息安全管理工作，其工作职责包括：（一）组织贯彻执行国家有关信息安全方针、政策和法律法规，贯彻执行单位信息安全有关工作部署；（二）负责本单位信息安全工作的组织、实施、协调；（三）组织拟定单位信息安全发展总体规划和年度工作计划；（四）协调和指导信息安全培训教育工作；（五）监督、指导信息系统安全管理工作；建立信息反馈和故障响应处理机制；（六）负责本单位与监管单位在信息安全方面的沟通和协调，建立完善信息安全管理体系。第六条安全管理员岗位职责安全管理员主要负责单位信息系统安全管理工作，其工作职责包括：（一）负责监督执行国家有关方针、政策和法律法规，及单位信息安全制度：（二）负责对单位信息安全的组织管理情况、岗位设置情况、信息安全规章制度的制定和执行情况、应急计划及应急演练情况进行内部审查，提出合理化意见和建议；（三）负责组织信息安全自查、及对单位各科室的信息安全检查工作；（四）负责进行安全日志审计，对机房环境、网络安全、系统研发与运行等查找薄弱环节，提出风险评估意见，制定整改措施及方案；（五）负责计算机病毒、黑客及恶意程序的情报调研工作，及时发布疫情预警通报，加强互联网安全维护及管理工作；（六）审查现有各类信息系统，在信息风险、流程优化等方面提出改进建议；（七）负责配合外部安全检查、测评等工作。第七条系统管理员岗位职责系统管理员主要负责单位系统管理工作．不得与应用管理岗兼岗。其中系统管理工作职责包括：（一）负责服务器的用户及系统管理，定期更换用户口令和系统口令；（二）负责服务器的系统安装、核心参数配置和性能调优，数据备份管理；（三）负责服务器的补丁分发与安装工作；（四）负责服务器的系统安全，确定安全策略，设置安全参数，制定应急预案。第八条网络管理员岗位职责网络管理员主要负责网络系统管理工作，不得与应用管理岗兼岗。其中网络管理员工作职责包括：（一）根据有关制度、规范、标准，负责组织单位系统网络平台的维护、管理。（二）负责管理网络设备用户和权限，定期更换网络设备口令；（三）负责网络安全，制定网络设备的安全策略，制定网络应急预案；（四）负责管理数据线路，维护网络设备，及时修复网络运行故障；第九条应用管理员岗位职责应用管理员主要负责应用系统的日常维护工作，不得与网络管理员和系统管理员兼岗。其工作职责包括：（一）负责应用系统运行过程中突发故障的受理、诊断与维护；（二）负责定期检查应用系统服务器运行性能、硬盘空间、数据备份及相关日志，定期维护应用系统的历史数据、交易日志及文件系统；（三）负责应用系统的技术培训、测试、上线运行及软件下发与系统升级等工作；（四）负责收集、分析、反馈应用系统故障；（五）负责系统运行相关数据的提取、分析工作；（六）负责制定应用系统安全策略和应急预案，提出信息安全方面的技术需求；（七）负责对突发性安全事件进行事后调查、分析，并提交分析报告和处理意见；（八）负责对应用系统研发公司相关人员进行现场管理、远程技术协调与沟通工作。第十条设备管理员岗位职责设备管理员主要负责设备管理、维护等工作，其中设备管理员工作职责包括：（三）负责设备的入库、保管、发放、调剂、报废等工作；（四）负责设备档案的建立与管理和设备的盘点工作；（七）负责管理协调设备的安装、维护、保养及故障维修，确保各类设备可用性；第十一条机房管理员岗位职责机房管理员负责运行监控、值班和场地监控工作。不得与应用管理员、网络管理员、系统管理员等岗位兼岗。其工作职责包括：（一）负责机房各应用系统设备的日常运行情况汇总与通报工作；（三）负责机房环境设备的日常运行监管、定期巡检等维护工作，记录故障并妥善处理，及时反馈处理结果；（四）负责机房场地管理；（五）负责对值班人员的工作进行监督指导。2.3附则第十五条本办法由XXX信息安全领导小组负责解释并修订。第十六条本办法自发布之日起施行。附件一：岗位人员联系表岗位岗位人员配备姓名职务联系方式组长张兵安全管理员李俊升系统管理员李广云、李吉德网络管理员孙广华应用管理员李夏辉设备管理员李广云、李吉德、李夏辉机房管理员路合江内部人员安全管理办法3.1总则第一条为进一步规范XXX内部员工安全管理，有效防范操作风险，确保本单位信息系统的安全运行，特制定本办法。第二条本办法适用于XXX内部人员。3.2员工入职第五条人员被录用后，应立即与本单位签署安全保密协议，即《XXX员工保密责任书》（附件一）。第六条人员被录用后，所在部门要对其进行必要的安全培训，使其意识到信息与网络安全所面临的威胁及利害关系，确保其支持和遵守单位的信息安全策略。3.3员工离职离岗第七条员工离职离岗时，应当做好以下事项的交接：（一）管理的所有服务器、交换机、路由器等设备的用户名和密码口令；（二）信息系统相关资料，包括：服务器、交换机、路由器等设备的参数、网络拓扑图、网络布线图、网络划分、ＩＰ地址分配等资料；（三）各类设备附带的说明书、各种文字资料；（四）与本单位有关的各种合同、上级部门的各种批文、网络管理的各种规则条例等文字材料；（五）离职离岗员工所持有或保管的一切记录着本单位信息的文件、资料、图表、笔记、报告、信件、传真、磁带、磁盘、仪器以及其他任何形式的载体。第八条员工离职离岗时，应将工作时使用过的电脑、Ｕ盘以及其他一切存储设备中与工作相关或与单位有利益关系的信息、文件等内容交接给部门主管，不得在离岗离职后以任何形式带走相关信息。第九条员工离职离岗后，仍对其在任职期间接触、知悉的属于XXX或者虽属于第三方但由本单位承诺或负有保密义务的信息，承担如同任职期间一样的保密义务和不擅自使用的义务。第十条员工离职离岗时必须做好离岗交接记录并长期保存，具体参照《XXX工作人员离岗交接记录表》（附件二）。3.4员工培训第十一条应制定年度信息安全培训计划，对员工定期进行信息安全培训，培训内容应包括：信息安全意识、网络安全技能、信息安全职责、信息安全管理规章制度和法律法规。第十三条对从事安全维护和管理工作的员工提供专门的安全技术培训和认证培训。3.5员工考核第十四条定期对各个岗位的工作人员进行安全技能及安全认知的考核；尤其应对关键岗位的人员进行全面、严格的安全审查和技能考核。信息安全方面的考核应作为员工日常的考核项，考核内容包括单位办法的各项信息安全管理制度、规定、规程、岗位职责及必备的信息安全管理知识和基本要求等。3.6附则第十五条本办法由XXX信息安全领导小组负责解释并修订。第十六条本办法自发布之日起施行。

附件一：XXX工作人员保密责任书本保密责任书依据国家有关保密规定签署。（一）保密内容保密内容主要指知悉的国家秘密、单位秘密、敏感信息和个人隐私等。包括但不限于下列秘密事项：１、单位的行政办公等各类工作信息；２、单位的合同、协议、意见书、招投标文件及可行性报告、主要会议记录；３、单位内部软件开发设计的源代码、设计文档等情况与资料；４、单位信息系统的架构、拓扑、设备及配置信息；５、涉及单位秘密的领导讲话、文件资料、函件、传真电报、会议记录、纪要、档案、简报、规章制度、统计图表等应当保密的事项。（二）保密守则１、不该说的单位秘密，绝对不说；２、不该问的单位秘密，绝对不问；３、不该看的单位秘密，绝对不看；４、不该记录的单位秘密，绝对不记录；５、不准利用工作便利条件泄漏单位秘密；６、不准在私人交往和通信中泄漏单位秘密；７、不准在公共场所议论单位秘密；８、不准在非保密本上记录单位秘密；９、携带秘密载体（如记录单位秘密的文件、资料和其它物品）外出时，不得违反保密规定；１０、不参与不可靠、不真实信息的传播。（三）违约责任１、泄漏单位秘密，尚未造成较大后果或经济损失，或已泄漏单位秘密但采取补救措施，未给单位带来不良影响的，给予行政处分和经济处罚；２、故意或过失泄漏单位秘密，造成严重后果或重大经济损失的；违反本保密制度规定，为他人窃取、刺探、收买或违章提供单位秘密的；利用职权强制他人违反保密规定的；情节严重者，按国家相关法律提起诉讼。甲方（盖章）：乙方（盖章）：签名：签名：日期：日期：

附件二：XXX人员离岗交接记录表离岗人员部门岗位离岗事由：工作交接给：交接内容：资料接受人签字：日期：是否收回所有权限是否领导意见：签字：日期：外部人员安全管理办法4.1总则第一条为明确外部人员在XXX实施服务时必须遵守的信息安全要求，规范外部人员及其陪同人员的行为与责任，特制定本办法。第二条本办法适用在XXX实施服务的外部人员。第三条外部人员管理由项目接口人及其科室负责。4.2外部人员出入管理第四条外部人员进入办公环境及中心机房时，应联系相应的项目接口人进行协调。第五条项目接口人负责带领外部人员进入办公环境或机房。第六条如外部人员需要在现场工作（以下简称驻场）超过两周，由综合科负责与外部人员签订《外部人员驻场行为规范协议》，并归档保存。第七条外部人员原则上不得开通任何本单位的信息系统、网络账号权限。如外部人员因特殊原因确需开通账号权限，需由项目接口人代其向相应的账号权限管理部门申请。第八条项目接口人应作为外部人员账号权限的责任人，负责检查监督其对该账号权限的使用情况。第九条外部人员在使用完账号权限后，项目接口人应及时通知账号权限管理人员收回账号权限。第十条外部人员离场时，应及时通知项目接口人，做好工作的交接、说明等。第十一条外部人员驻场后，需接受信息安全意识教育、相关制度及外部人员行为规范等培训。对外部人员所做的培训，要保留培训记录。4.3外部人员行为规范第十二条外部人员驻场期间，必须遵守XXX的各项规章制度。第十三条外部人员进入机房等重要场所时必须由XXX内部员工陪同，必须填写来访登记表。第十四条外部人员未经授权不得使用任何办公设施；外部人员所接触到的文档资料未经许可不得复制或带离。第十五条XXX保留对外部人员随时进行信息安全状况检查的权利，外部人员必须给予配合和协助。第十六条外部人员的计算机终端设备必须按照XXX要求的方式接入单位网络。第十七条外部人员的计算机终端设备在接入单位网络前，必须安装本单位认可的软件、系统安全补丁和防病毒软件，及时升级病毒库。第十八条如外部人员发现计算机终端出现病毒，应及时断开网络连接，并通知XXX项目接口人进行处理。第十九条在访问互联网时，必须遵守《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》等法律法规，严格执行安全保密制度，并对所提供的信息负责。第二十条未经许可，严禁在XXX市电子政务网络内使用网络嗅探、扫描等黑客工具。第二十一条严禁绕开任何主机、网络设备的认证方式，严禁访问未经授权的网段或网络资源。第二十二条严禁在XXX市电子政务网络内传播病毒、蠕虫、木马、间谍软件等恶意软件。4.4违规处罚第二十三条外部人员如违反本单位信息安全的相关规定，其违规行为按照相关规定处理。第二十四条对于违规情节特别严重的外部人员，XXX有权要求对方根据具体情况赔偿损失。第二十五条对于违反国家法律法规的外部人员，XXX将会同违规人员所属单位将违规人员移交司法机关，对违规人员给本单位造成的损失，由违规人员所属单位负责赔偿。4.5附则第二十六条本办法由XXX信息安全领导小组负责解释并修订。第二十七条本办法自发布之日起施行。附件：《外部人员驻场行为规范协议》办公环境安全管理办法5.1总则第一条为进一步规范XXX办公环境安全管理，加强计算机及网络信息安全保密工作，特制定本规定。第二条本规定适用于XXX办公环境的管理。第三条工作人员要做好自身办公环境的管理工作；XXX信息安全领导小组负责监督检查。5.2办公环境安全管理第四条个人工作场所及办公桌应保持整洁，重要资料注意保密，不得随意存放；长时间离席，应将资料放入办公抽屉，不应随意洒落在桌面上。第五条人员离开座位应确保终端计算机退出登录状态。第六条所有人员未经允许不得访问其他同事的电脑及资料等。第七条所有人员应妥善保管好自己负责的抽屉、文件柜钥匙，文件柜应保持上锁状态，且确保钥匙已经拨出。第八条所有会议室在使用完毕后，应将使用过的写字板上的文字内容清除干净。第九条在办公场所工作时，应保持适当的说话音量，不要在办公室及公共场所大声谈论工作，以免泄露工作敏感信息。第十条所有工作人员在下班离开办公场所前，应关闭个人电脑等设备及电源开关，并应关闭相应的办公室窗户。第十一条所有打印或复印的资料应及时取走以防资料被他人错误取走；作废的资料不得随意乱放，应自己收回或者及时进行粉碎、销毁处理。5.3附则第十二条本办法由XXX信息安全领导小组负责解释并修订。第十三条本办法自发布之日起施行。信息资产管理办法总则第一条本规定所称的信息资产，是指任何对XXX具有价值的信息的存在形式或者载体，包括计算机硬件、通信设施、ＩＴ环境、数据库、软件、文档资料、信息服务和人员等。信息资产管理是指对信息资产进行识别、分类赋值和安全保护等工作。第二条为加强对XXX信息资产的管理和保护，建立以信息资产管理为基础的安全管理体系，特制定本规定。第三条本规定适用于XXX信息资产管理。第四条XXX各科室负责人是本科室信息资产管理的第一责任人，负责组织本规定的贯彻落实。信息资产分类第五条信息资产主要分为以下五类：（一）数据资产，以物理或电子的方式记录的数据，如文件资料、电子数据等。文件资料类包括公文、合同、操作单、项目文档、记录、传真、财务报告、发展计划、应急预案、本科室产生的日常数据，以及各类外来流入文件等；电子数据类如制度文件、管理办法、体系文件、技术方案及报告、工作记录、表单、配置文件、拓扑图、系统信息表、用户手册、数据库数据、操作和统计数据、开发过程中的源代码等。（二）软件资产，各种系统软件、应用软件（ＯＡ、业务软件等）和工具软件（开发系统、网管软件、安全软件等），包括操作系统、数据库应用程序、网络软件、办公应用系统、业务系统程序、软件开发工具等。（三）实物资产，与业务相关的设备，包括计算机（工作站和服务器等）和网络通信设备、磁介质（磁带和磁盘等）、装置、环境等。（四）人员资产，承担某项与业务活动相关责任的角色和职位：例如普通用户、系统管理员、网络管理员、第三方服务人员等，这些人员与各类数据、软件和实物资产的操作直接相关。（五）服务资产，安保（例如监控、门禁、保安等），环境服务（例如清洁），基础保障（供水、供热、供电），设备维护，通信服务（例如互联网接入）。信息资产分级标准第六条信息资产的安全等级并不是取决于其经济价值的大小，而是由信息资产的机密性、完整性和可用性三部分价值属性决定的。（一）保密性赋值：根据信息资产在保密性上的不同要求，将其分为五个不同的等级，分别对应信息资产在保密性上应达成的不同程度或者保密性缺失时对整个组织的影响。下表提供了一种保密性赋值的参考。赋值标识定义５很高包含组织最重要的秘密，关系未来发展的前途命运，对组织根本利益有着决定性的影响，如果泄露会造成灾难性的损害４高包含组织的重要秘密，其泄露会使组织的安全和利益遭受严重损害３中等组织的一般性秘密，其泄露会使组织的安全和利益受到损害２低仅能在组织内部或在组织某一部门内部公开的信息，向外扩散有可能对组织的利益造成轻微损害１很低可对社会公开的信息，公用的信息处理设备和系统资源等（二）完整性赋值：根据信息资产在完整性上的不同要求，将其分为五个不同的等级，分别对应信息资产在完整性上缺失时对整个组织的影响。下表提供了一种完整性赋值的参考。赋值标识定义５很高完整性价值非常关键，未经授权的修改或破坏会对组织造成重大的或无法接受的影响，对业务冲击重大，并可能造成严重的业务中断，难以弥补４高完整性价值较高，未经授权的修改或破坏会对组织造成重大影响，对业务冲击严重，较难弥补３中等完整性价值中等，未经授权的修改或破坏会对组织造成影响，对业务冲击明显，但可以弥补２低完整性价值较低，未经授权的修改或破坏会对组织造成轻微影响，对业务冲击轻微，容易弥补１很低完整性价值非常低，未经授权的修改或破坏对组织造成的影响可以忽略，对业务冲击可以忽略（三）可用性赋值：根据信息资产在可用性上的不同要求，将其分为五个不同的等级，分别对应信息资产在可用性上应达成的不同程度。下表提供了一种可用性赋值的参考。赋值标识定义５很高可用性价值非常高，合法使用者对信息及信息系统的可用度达到年度９９．９％以上，或系统不允许中断４高可用性价值较高，合法使用者对信息及信息系统的可用度达到每天９０％以上，或系统允许中断时间小于１０ｍｉｎ３中等可用性价值中等，合法使用者对信息及信息系统的可用度在正常工作时间达到７０％以上，或系统允许中断时间小于３０ｍｉｎ２低可用性价值较低，合法使用者对信息及信息系统的可用度在正常工作时间达到２５％以上，或系统允许中断时间小于６０ｍｉｎ１很低可用性价值可以忽略，合法使用者对信息及信息系统的可用度在正常工作时间低于２５％（四）信息资产重要性等级：资产重要性等级应依据资产在保密性、完整性和可用性上的赋值等级综合计算得出。通常，根据最终赋值将信息资产重要性划分为五级，级别越高表示资产越重要，也可以根据单位的实际情况确定信息资产识别中的赋值依据和等级。下表中的信息资产等级划分表明了不同等级的重要性的综合描述。等级标识描述５很高非常重要，其安全属性破坏后可能对组织造成非常严重的损失４高重要，其安全属性破坏后可能对组织造成比较严重的损失３中等比较重要，其安全属性破坏后可能对组织造成中等程度的损失２低不太重要，其安全属性破坏后可能对组织造成较低的损失１很低不重要，其安全属性破坏后对组织造成导很小的损失，甚至忽略不计信息资产识别第七条信息资产识别是指按照规定属性对各类信息资产的辨认和区分，包括信息资产识别、分类和登记等项工作。信息资产责任人应按规定属性对信息资产逐项分类识别。第八条计算机系统设计、开发、测试和运行的技术文档等，也属于计算机系统信息资产，但不按本办法进行管理，可参照已有的相关规定、办法进行管理。第九条在信息资产识别中，信息资产责任人应按规定要求对所管辖的信息资产进行调查，并形成信息资产管理库（或系统）。第十条在计算机设备采购和新系统上线后，信息资产责任人应对新增信息资产进行识别和登记，更新信息资产管理库，并为其指定责任人。第十一条在系统变更、设备升级或废弃后，信息资产责任人应立即更新信息资产管理库。第十二条信息资产责任人应至少每年进行一次信息资产审计工作，对信息资产管理库与实际情况的一致性进行审计。第十三条各科室应根据业务流程列出信息资产清单并将每项资产的名称，资产编号，所处位置，资产价值，资产负责人等相关信息记录在《信息资产登记表》。附则第十四条本办法由XXX信息安全领导小组负责解释并修订。第十五条本办法自发布之日起施行。附件：《信息资产登记表》存储介质管理办法总则第一条本办法所称的存储介质，是指硬盘、软盘、Ｕ盘、光盘、磁带、存储卡等。第二条为进一步加强存储介质的管理，确保XXX信息的安全，特制定本办法。第三条本办法适用于XXX各类存储介质的管理。管理部门职责第四条存储介质以科室为单位申领，由综合科统一购置、统一发放，安全科负责使用过程的监督、管理和回收。存储介质管理第五条存储介质的管理应遵循“统一购置、统一标识、统一备案、跟踪管理”的原则，严格控制发放范围。第六条存储介质的配发和使用要经科室负责人审核批准，重要存储介质要进行编号，不得借于他人使用。第八条新购计算机、移动存储等设备，要先进行保密标识登记，再发放使用。第九条在存储介质使用过程中，应当注意检查病毒、木马等恶意代码，注意远离水源、火源，避免接触强磁物体、避免阳光直接照射。第十条存储介质应当用于存储工作信息，不得用于其他用途。内、外网存储介质不得混用。存储涉密信息的介质要严格按照保密要求管理。第十一条存储介质存储涉及单位内部不宜公开信息的，应对文件实施口令保护设置。第十二条使用人应当定期对存储介质存储信息进行整理。第十三条使用光盘备份的数据要登记编号，分类存放。第十四条涉密移动存储介质的保存必须选择安全保密的场所和部位，存放在保密设备里。第十五条存储介质需作数据恢复的，应由本单位专业人员进行操作；必须送外部作数据恢复的，应由科室负责人审核同意后，到具有保密资质的单位进行数据恢复，并将废旧的存储介质（硬盘、软盘、Ｕ盘、光盘、磁带、存储卡）收回，统一销毁。第十六条存储介质在报废前，应按保密规定要求进行信息清除处理。信息清除处理时所采取的信息清除技术、设备和措施应符合国家保密工作部门的有关规定。存储介质报废应由各科室负责人履行批准、清点、登记回收。第十七条如存储介质不慎遗失，当事人应立即报本科室负责人，及时采取有效措施，防止信息泄密。如有泄密由保密部门按规定处理，同时进行登记备案。第十八条工作人员离职离岗时，应将统一配发的存储介质退还本科室负责人并做好变更记录。附则第十九条本办法由XXX信息安全领导小组负责解释并修订。第二十条本办法自发布之日起施行。XXX政府网站管理办法（详见德政办发【2013】8号）信息系统建设安全管理办法总则第二条为进一步规范XXX信息系统安全建设管理，保障计算机信息系统建设安全进行，特制定本办法。第三条本办法适用于XXX信息系统的安全建设管理。管理部门职责第四条XXX信息安全领导小组负责监督指导信息系统建设的安全管理，各科室配合。信息系统建设安全第五条信息安全管理应贯穿信息系统建设过程的始终，信息系统建设过程简要如下：规划立项开发集成环境测试验收交付信息系统规划与立项第六条信息系统建设项目应在规划与立项阶段同步考虑安全问题，建设方案除满足国家相应法律法规外，还应满足XXX信息安全管理制度的相关要求。项目技术方案应包括以下基本安全内容：（一）需求部门提出的信息安全需求；（二）信息安全需求分析和实现；（三）运行平台的信息安全策略与设计。第七条XXX信息安全领导小组负责组织相关部门和人员制定针对该项目的详细信息安全审查方案，并按照该审查方案对项目技术方案进行审查并提出审查意见，未通过安全审核的项目不得予以立项。信息安全审查方案的内容设计要基于信息系统的安全等级。信息系统开发与集成第八条系统的开发应符合软件工程规范，并依据安全需求进行安全设计，保证安全功能的完整实现；开发的系统应具有完整的安全扩展方案（包括本系统扩容、功能增强和与第三方系统对接三个方面），以及应急预案。第九条系统开发商在完成开发任务后应将开发成果及其相关技术文档全部移交XXX。外部开发商还应与XXX签署相关知识产权保护协议和保密协议，不得将系统采用的关键安全技术措施和核心安全功能设计对外公开。第十条系统的开发人员不能兼任系统管理人员或系统操作人员，不得在程序代码中植入后门和恶意代码程序；由于系统软件后门及木马程序等引发的安全事件，XXX将追溯相关单位及人员的法律责任。第十一条系统的开发、测试与修改工作不得在XXX已上线运行的环境中进行。第十二条对于涉密信息系统的集成建设，采购部门应考虑选择具有国家相关部门颁发的涉密系统集成资质证书的单位或企业，并签订严格的保密协议。信息系统测试第十三条系统上线前，XXX信息安全领导小组负责组织相关部门和人员对系统进行严格的安全性能测试，并形成相应的测试报告，测试报告应包括以下内容：（一）应对测试系统技术资料的完整程度进行检查，完整的信息系统技术资料包括：配置数据、维护操作手册、快速故障处理手册、系统应急预案等；（二）应对测试系统的配置参数进行安全检查，测试系统的配置参数必须满足安全要求；（三）应对测试系统进行漏洞扫描，存在漏洞的测试系统严禁上线运行；（四）应对测试系统进行进程检查、内部测试及压力评测，检测结果要达到预期目标；应对测试系统进行安全风险评估，并要求供应商对账号进行清理，由系统管理员对密码进行重置；（五）测试系统应具备日志系统，其记录的系统日志将成为事后诊断和追查的重要线索和证据；（六）测试开发环境与实际运行环境应分离，开发人员和测试人员应做分离，测试数据和测试结果应受到控制；处于测试阶段的开发系统、实验系统原则上不允许上线投入运行。信息系统验收交付及试运行第十四条系统验收交付时，项目接口人应根据制定的系统交付清单对所交接的硬件、软件和文档等进行清点。第十五条系统验收交付时，项目接口人应收回施工过程中使用的临时账号，并及时进行处理。第十六条系统验收交付时，由项目负责人提出验收申请，项目接口人应根据制定的系统验收方案的要求，组织相关部门和人员对系统安全性进行审定，详细记录验收结果，形成系统验收报告，并上报XXX信息安全领导小组。第十七条系统验收交付时，系统开发商应对本单位系统管理人员和使用人员进行相应的技能培训。第十八条系统上线试运行期间，项目接口人要加强对试运行系统的安全监控，并对试运行情况进行详细记录，避免试运行系统对其他系统造成影响；要加强对试运行系统的跟踪支持和优化，不得降低试运行系统的安全级别。附则第十九条本办法由XXX信息安全领导小组负责解释并修订。第二十条本办法自发布之日起施行。信息系统运维管理办法总则第一条为规范信息系统的运维管理工作，确保信息系统安全、可靠运行，有效防范信息安全风险，特制定本办法。第二条本办法适用于XXX信息系统运维管理。管理部门职责第三条各科室负责本科室管理的信息系统维护和安全控制工作。信息系统维护管理第四条各科室必须合理配备人员，明确职责，责任到人。第五条各科室对信息系统运行过程中的突发故障进行初步诊断，并调度、联络相关人员执行相应的维护任务。第六条系统安全管理科负责定期组织网络系统、应用系统的漏洞扫描工作并对检查出的系统安全漏洞提出修补建议。信息系统监控管理第七条XXX实行值班巡检制，完成对信息系统、网络环境及机房场地的日常监控任务。第八条机房值班人员和网络运维人员应确保例行的巡检工作，机房值班人员负责定期对机房环境、硬件设备巡检，网络运维人员负责定期对网络设备、线路以及对各类应用系统运行状态的巡检。第九条通过监控系统对关键信息系统的运行情况进行信息采集和自动报警。信息系统管理人员承担监控职责，及时根据监控告警信息采取有效措施应对。第十条由第三方厂商发起的定期巡检，应由信息系统管理科室核查巡检步骤，并进行全程陪同，复核巡检操作，确保系统安全。第十一条信息系统管理人员在发现信息系统日志或监控系统有告警或错误信息时，须对报警日志进行分析和处理。附则第十二条本办法由XXX信息安全领导小组负责解释并修订。第十三条本办法自发布之日起施行。信息系统变更管理办法总则第一条本办法所称的信息系统变更，是指由于新增信息系统功能、系统逻辑改变、系统错误修正、系统补丁安装及版本更新、系统配置修改及业务参数修改等原因，而对已投产系统进行局部改变的一切活动，它由软件变更和硬件变更两部分组成。第二条为规范信息系统变更管理，提高信息系统管理水平，优化信息系统变更管理流程，特制定本办法。第三条本办法适用于XXX信息系统的变更管理。管理部门职责第四条XXX信息系统变更管理由XXX信息安全领导小组统一领导，系统安全管理科负责组织实施，相关科室配合。变更的申请第五条信息系统变更的提出，由申请科室填写《系统变更申请表》（附件一），并进行评估，申请科室负责人签字后提交系统安全管理科。第六条系统安全管理科应和变更申请部门充分沟通，理解变更需求的合理性，审阅变更的影响和急迫性，并会同其他相关科室（软件开发科、网络规划科等）对可行的变更实施方案和变更对已投产系统的影响做出评估。（一）如不建议实施变更，则向变更申请部门说明理由；（二）如建议实施变更，则告知建议变更的时间及对客户服务和内部操作的影响，要求变更申请部门和相关部门进行准备。第七条系统的管理科室组织变更需求评估时，应了解实施变更：（一）是否需要进行ＩＴ开发，以及ＩＴ开发的工时；（二）是否需要进行操作系统、数据库系统、中间件、硬件和网络的变更；（三）是否需要进行后台数据变更；（四）是否存在信息安全控制的考虑因素；（五）结合单位现有的ＩＴ资源，统筹安排变更实施时间表；（六）实施相关变更时，可能导致的业务中断或用户服务水平下降。第八条系统的管理科室组织变更需求评估时，应充分考虑系统是否已存在满足变更需求的功能或设置；是否存在其他操作手段，能达到同样的变更需求效果。变更的测试、验收第九条变更实施上线前需进行用户测试，由系统的管理科室负责编制变更计划或方案，变更申请单位根据变更计划或方案填写《用户测试报告》（附件二）。第十条对于上线过程可能导致业务暂时中断或导致业务操作发生重大变化的系统变更，系统的管理科室必须在上线前以书面方式告知相关业务部门影响的业务范围和时间，并提供相关技术支持。第十一条除非是需要立即实施的特急变更，系统的管理科室应选择在非业务繁忙时间，如凌晨、周末或公众假期进行变更上线。第十二条在信息系统变更完成后，由系统管理科室组织撰写《系统变更验收报告》（附件三）。第十三条系统变更验收时，系统的管理科室或系统供应商应对本单位系统管理人员和使用人员进行相应的技能培训。第十四条变更实施后，系统的管理科室应组织其他相关科室（软件开发科、网络规划科等）对变更实施的结果进行定期集中评估，考核变更是否达到预期目标，是否存在负面影响等。变更档案的管理第十五条信息系统变更过程中产生的资料（如参数配置、变更记录等），应交系统安全管理科进行归档以备查询。附则第十六条本办法由XXX信息安全领导小组负责解释并修订。第十七条本办法自发布之日起施行。

附件一：系统变更申请表编号：变更请求类型□用户方变更□开发方变更□需求增加□需求修改□需求缩减□其它：请说明：变更申请人申请日期变更内容描述变更的影响申请部门主管意见签字：信息安全领导小组意见签字：备注附件二：用户测试报告测试项目名称测试范围测试环境描述测试记录测试人员测试时间测试评价测试会签测试审核备注附件三：系统变更验收报告需求部门系统名称系统名称英文缩写系统版本任务名称实际开始时间实际完成时间任务完成情况业务部门意见签字：主管部门意见签字：备注信息系统业务连续性管理办法12.1总则第一条本办法所称的业务连续性，是一种由计划和执行过程组成的策略，其目的是保证信息流在任何时候以及任何需要的状况下都能保持业务连续运行。业务连续性管理包括信息系统的的备份恢复管理与应急预案管理。第二条为加强信息系统的安全管理，提高系统应用维护水平，保证XXX信息系统的业务连续性，特制定本办法。第三条本办法适用于XXX信息系统的备份恢复管理和应急预案管理。12.2管理部门职责第四条系统安全管理科负责组织信息系统的灾难备份与恢复管理，XXX信息安全领导小组负责应急预案管理，其他部门配合。12.3灾难备份与恢复管理第五条系统安全管理科负责对信息系统制定详细的《灾难备份方案》，《灾难备份方案》应包括系统名称、备份周期、备份内容、备份步骤、异地备份存放地点等内容；系统管理人员要对灾难备份方案进行签字确认。第六条每次备份都应填写《灾难备份记录单》，《灾难备份记录单》要包括系统名称、备份时间、备份内容、备份文件名、异地备份存放地点等内容；系统管理人员要对每次备份记录进行签字确认。第七条备份包括操作系统备份和数据备份。操作系统的备份有以下原则：备份介质至少有两份；操作系统的参数、网络设备的配置、磁盘柜的配置需要备份。数据备份的基本原则如下：（一）物理备份与逻辑备份相结合；（二）备份数据与在线数据不能存放在同一个磁盘介质上，系统的本地硬盘只能作临时存储，备份完成之后要对备份数据进行转存，要至少保留最近的２次备份数据；（三）对于重要的数据要进行远程异地备份；（四）备份介质可以是：磁盘、磁带和光盘。第八条为有效实现灾难备份，系统安全管理科必须定期对备份进行恢复性测试，测试后填写《备份恢复测试登记表》。12.4应急预案管理第九条由XXX信息安全领导小组在统一的安全应急预案框架下制定不同的《安全事件应急预案》，安全应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容。第十条XXX信息安全领导小组应定期组织相关人员进行应急预案培训，应急预案培训每年应至少举办一次。第十一条XXX信息安全领导小组应定期组织相关人员进行应急预案演练，并填写《应急演练记录表》；应根据不同的应急恢复内容，确定演练周期。第十二条随着信息系统的变更，应急预案内容要及时做出调整，并严格按照应急预案的内容进行实际演练。12.5附则第十三条本办法由XXX信息安全领导小组负责解释并修订。第十四条本办法自发布之日起施行。信息安全事件管理办法13.1总则第一条本办法所称的信息安全事件，是指由于自然灾害、设备软硬件技术故障、人为失误或破坏等原因严重影响到计算机网络与信息系统的正常运行，出现业务中断、系统破坏、数据破坏、信息泄密等情况，对信息系统造成不良影响甚至直接或间接造成了一定程度上的经济损失和社会影响的事件。第二条为规范XXX信息安全事件管理，确保信息安全事件得到及时的跟踪、控制和处理，力求使信息安全事件的影响最小化，特制定本办法。第三条本办法适用于XXX对内部电子政务基础设施及应用系统维护过程中的安全事件管理。13.2管理部门职责第四条XXX工作人员都有责任和义务将发现的信息安全事件及时上报，并保护现场；系统安全管理科负责按照信息安全事件处理流程进行事故处理；XXX信息安全领导小组负责督促落实。13.3安全事件分级（预案）第五条信息安全事件的级别根据信息系统的重要程度、造成的经济损失和社会影响程度分为四级：一般（ＩＶ级）、较大（ＩＩＩ级）、重大（ＩＩ级）和特别重大（Ｉ级）。（一）ＩＶ级：XXX网络与一般信息系统、网站遭受一般冲击，造成的社会影响一般的信息安全事件。（二）Ⅲ级：XXX网络与一般信息系统、网站遭受大面积严重冲击，或XXX网络与重要信息系统、重点网站遭受一般冲击，并可能造成较大社会影响但经济损失一般的信息安全事件。（三）ＩＩ级：XXX网络与重要信息系统、重点网站瘫痪，导致业务中断，但纵向或横向延伸可能造成严重社会影响或较大经济损失的信息安全事件。（四）Ｉ级：敌对分子利用信息网络进行有组织的大规模的宣传、煽动和渗透活动，或者XXX网络与重要信息系统、重点网站瘫痪，导致业务中断，可能造成特别严重社会影响或巨大经济损失的信息安全事件。13.4安全事件处置流程第六条发生信息安全事件时，各部门应互相配合，按照既定的《安全事件应急预案》，快速有效地处置信息安全事件。安全事件处置流程如下：事件上报事件受理事件处理事后总结13.4.1安全事件的上报、受理第七条信息安全事件发生后，由系统安全管理科组织相关人员对信息安全事件的危害程度和影响范围进行初步评估认定，填写《信息安全事件记录报告》，并根据事件的紧急程度，上报XXX信息安全领导小组。第八条对不同级别的安全事件应采用不同的受理和上报程序。信息安全事件的受理和上报程序如下：（一）发现ＩＶ级信息安全事件时，由系统安全管理科受理并记录归档、安排安全事件处理人员进行处理，处理完毕上报XXX信息安全领导小组；（二）发现Ⅲ级信息安全事件时，首先要上报XXX信息安全领导小组，由系统安全管理科受理并记录归档、安排安全事件处理人员进行事件处理，处理完毕上报XXX信息安全领导小组；（三）发现ＩＩ级或Ｉ级信息安全事件时，XXX信息安全领导小组应立即向山东省电子政务相关部门及XXX上级部门上报，由XXX信息安全领导小组受理并记录归档、联系维护支撑单位和当地公安网监协助处理安全事件，处理完毕上报山东省政府相关部门及XXX上级部门。13.4.2安全事件处理、审批第九条信息安全事件的处理应遵循以下次序：（一）保护人员的生命与安全；（二）保护敏感的设备和资料；（三）保护信息系统相关重要的数据资源；（四）保护应用系统。第十条安全事件的处理应遵循以下标准：（一）所有工作人员都必须尽快汇报已知或怀疑的可能的安全事件发生原因，如系统漏洞、缺陷或误用，以便最大限度地减少安全事件和故障所造成的破坏；（二）除非经特别授权，否则未经XXX的批准，任何人都不得试图证实安全缺陷的存在或者试图进行安全调查，以免破坏系统和数据；（三）未经XXX的授权，任何人不得对工作人员进行安全调查，也不得向任何人提供任何支持调查的数据；（四）违法犯罪行为的计算机取证技术分析只能由经过XXX授权的、受过特殊培训的人员予以执行；（五）安全事件处理人员应在不延长业务中断时间的前提下，尽量收集并记录事件数据，特别是采取处理措施后无法再获得的数据。第十一条重大、特大安全事件由XXX信息安全领导小组处理；其他安全事件由系统安全管理科组织处理。第十二条较大及以下的信息安全事件记录报告由系统安全管理科审批后上交XXX信息安全领导小组审批，重大信息安全事件记录报告由XXX信息安全领导小组审批后，上报山东省电子政务相关部门和XXX上级部门审批；危急国家安全的特大信息安全事件须向国家相关主管部门报告。第十三条系统安全管理科负责组织相关单位和人员对系统存在的缺陷进行整改；XXX信息安全领导小组负责对相关的责任人进行考核，触犯法律的移送司法机关进行处理。13.4.3安全事件事后总结第十四条信息安全事件应进行备案管理，重大及以上的信息安全事件由XXX信息安全领导小组备案，其他信息安全事件由系统安全管理科进行备案。第十五条XXX信息安全领导小组对《信息安全事件记录报告》进行公示并组织学习，对信息安全事件违规处罚结果予以公布。13.5附则第十六条本办法由XXX信息安全领导小组负责解释并修订。第十七条本办法自发布之日起施行。

附件一：信息安全事件记录报告安全事件基本信息事件标题填报人联系电话事件上报信息事件上报时间事件上报人联系电话事件上报方式是否上报当地公安网监ＹＹＹＹ－ＭＭ－ＤＤＨＨ：ＭＭ事件定位信息事件发生地点事件类型事件原因类别涉及设备信息涉及设备厂家涉及设备集成商涉及设备类型事件时间信息事件发生时间事件处理完成时间事件历时ＹＹＹＹ－ＭＭ－ＤＤＨＨ：ＭＭＹＹＹＹ－ＭＭ－ＤＤＨＨ：ＭＭＸＸ小时影响业务时间信息影响业务时间业务恢复时间影响业务时长影响业务种类影响业务范围ＹＹＹＹ－ＭＭ－ＤＤＨＨ：ＭＭＹＹＹＹ－ＭＭ－ＤＤＨＨ：ＭＭＸＸ小时严重等级特别重大（Ｉ级）重大（ＩＩ级）较大（ＩＩＩ级）一般（ＩＶ级）是否上报上级单位安全事件现象描述安全设备对安全事件的发现情况安全设备名称告警内容节点名称开始时间结束时间安全设备发现安全事件详细情况或未监控故障原因安全事件内容描述影响业务详细情况安全事件原因及处理情况安全事件处理过程安全事件原因分析应急预案执行情况分析经验总结需要单位内部协调事项审批意见部门审批意见审批人签字：盖章：上级审批意见审批人签字：盖章：信息系统用户密码管理办法14.1总则第一条本办法所称的信息系统账户密码，是指非涉密信息系统的密码，包括计算机（含各类型主机、ＰＣ机及相关和配套设备）的系统登录密码，各应用系统的管理密码（如数据库、中间件管理密码），各应用系统的终端用户登录密码，各网络、安全设备的管理密码及各存储介质的访问许可密码等。第二条为加强XXX信息系统安全管理，促进信息技术资源有效、可靠利用，特制定本办法。第三条本办法适用于XXX信息系统账户密码管理。14.2管理部门职责第四条XXX工作人员要做好自身的信息系统账户密码管理工作；各科室要做好本科室负责的信息系统的密码管理工作；XXX信息安全领导小组负责监督指导各部门的密码管理情况。14.3密码管理规定第五条系统管理人员应严格设置信息系统操作权限，操作必须使用密码对用户的身份进行验证，防止对系统资源的未经授权的存取访问。第六条主机系统、存储系统、数据库系统、核心应用中间件系统和关键网络及安全设备（如路由器、防火墙等）的密码口令必须指派专人掌管，并要求定期更换。按“分别管理、共同负责”的原则，由不同人员分别掌握服务器操作系统、数据库管理系统、中间件系统和关键网络、安全管理系统的密码。第七条在线运行的系统或设备，不允许使用初始密码或默认密码。一般系统密码长度不得小于６位，重要系统密码不得少于８位，并且必须由字母、数字和特殊符号组成，具有一定的复杂性。第八条持有XXX信息系统账户的工作人员要定期更换密码口令，密码口令的最长使用时间不能超过半年，人员复杂、保密条件较差的地方应尽可能缩短密码口令的使用时间。当密码口令使用期满时，应更换新的密码口令。第九条持有XXX信息系统账户的工作人员应牢记自己的密码口令，不应把它记载在不保密的媒介物上或告知他人，严禁将密码口令贴在终端上。第十条如因密码管理不善造成严重后果，将依照相关规定追究当事人责任，情节严重者当事人部门主管负有连带责任。14.4附则第十一条本办法由XXX信息安全领导小组负责解释并修订。第十二条本办法自发布之日起施行。计算机病毒防治管理办法15.1总则第一条本办法所称的计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。第二条为加强对计算机病毒的预防和治理，保护XXX计算机信息系统安全，保障XXX计算机的应用与发展，特制定本办法。第三条本办法适用于XXX信息系统的病毒防治管理。15.2管理部门职责第四条各科室负责本科室的计算机病毒防范治理工作，系统安全管理科负责及时通报计算机病毒疫情并进行病毒巡检工作。15.3计算机病毒防治管理第五条各科室新购、维修返还、借入及借出归还的计算机设备，必须立即安装防病毒软件，并进行病毒检测，经确认无毒后方可使用。第六条各科室新购、维修返还、借入及借出归还的软盘、光盘、Ｕ盘、移动硬盘等存储介质，以及外来的系统软件与互联网下载的软件等，要先进行病毒检测，确认无毒后才可使用。严禁使用未经检测、来历不明的存储介质和软件。第七条各科室计算机设备必须设置管理员帐号及密码，应选择长度至少为６位、较复杂、不易破解的密码，并定期进行更改；同时避免设置共享目录，如确需设置共享目录，则应设置共享目录密码，以免病毒通过文件共享途径传播。第八条严禁在工作计算机上安装、运行各类盗版软件、游戏软件及与业务无关、来历不明等未经授权和确认的软件。第九条各科室工作人员应随时注意计算机使用过程中出现的各种异常现象，一旦发现异常，应立即启用防病毒软件进行扫描检查。第十条各科室要做好自己管辖范围内信息系统和重要数据的备份工作，并妥善保管备份数据，以便在遭受病毒侵害后能够及时恢复信息系统和重要数据。第十一条各科室应切实加强计算机与网络设备的使用管理，严格区分内网用机和外网用机的使用，避免计算机病毒交叉感染。第十二条系统安全管理科负责建立计算机病毒防范预报预警机制，密切关注计算机病毒情报，跟踪计算机病毒发展的最新动态，及时了解计算机病毒，特别是有严重破坏力的计算机病毒的爆发日期和爆发条件，通过发布计算机病毒通告和防治方案向本单位各部门做出预警。第十三条各科室须密切关注系统安全管理科发布的计算机病毒预警通告，积极采取有关防范措施，防止计算机病毒大面积爆发。第十四条应在路由器、交换机和防火墙上加强访问控制，切断计算机病毒的感染途径，并关闭不必要的端口和服务，防止计算机病毒入侵；应在各类网络服务器上都安装网络防病毒软件，并对经过服务器的数据进行监控，防止计算机病毒通过服务器扩散、传播；对共享的网络文件服务器，应控制其读写权限，尽量避免在服务器上运行不必要的软件程序。15.4附则第十五条本办法由XXX信息安全领导小组负责解释并修订。第十六条本办法自发布之日起施行。信息安全检查管理办法16.1总则第一条本办法所称的信息安全检查，是指对XXX信息系统的安全，包括物理安全、网络安全、主机安全、应用安全、数据安全等方面的检查。第二条为更好地保障信息系统的安全稳定运行，及时发现信息系统存在的漏洞和隐患，防范潜在的信息安全风险，并规范信息系统的安全检查工作，制定本办法。第三条本办法适用于XXX信息安全检查的管理。16.2管理部门职责第四条信息安全检查工作由XXX信息安全领导小组统一领导，并授权系统安全管理科组织实施，相关科室配合。16.3信息安全检查的范围和内容第五条信息安全检查主要包括以下内容：（一）操作系统、应用系统软件的安全补丁安装情况；（二）非授权软件和盗版软件的检查和清除情况；（三）计算机防病毒软件的安装、升级，计算机病毒的查杀情况；（四）操作系统用户管理、密码设置与文件共享情况；（五）涉密信息处理计算机的安全管理情况；（六）机房及供电环境；（七）计算机网络环境；（八）信息安全规章制度的完善和执行情况；（九）计算机机房实体安全；（十）计算机信息网络安全；（十一）服务器系统安全管理情况；（十二）运行管理安全；（十三）应急计划和应急演练情况；（十四）计算机病毒防治情况；（十五）计算机应用软件研发情况。16.4信息安全检查实施与总结第六条系统安全管理科应根据单位信息安全状况，每年至少组织一次信息安全大检查，并记录检查结果。第七条各科室应按系统安全管理科的要求进行安全自查工作，并做好自查记录；发现各类安全隐患要及时整改，做好整改情况记录，并妥善保存以备查验。自查结束后，应将自查结果形成信息安全自查报告，递交系统安全管理科。第八条系统安全管理科应根据国家、上级监管部门以及本单位各项信息安全规章制度的相关要求对信息系统进行全面安全检查。第九条系统安全