信息安全管理制度匯編[共129頁(yè)]

1、內(nèi)部資料注意保存XXXXXXXXXX信息安全制度匯編XXXXXXXXXX二一六年一月目錄一、總則.二、安全管理制度 .第一章 管理制度 .1.安全組織結(jié)構(gòu) .1.1信息安全領(lǐng)導(dǎo)小組職責(zé) .1.2 信息安全工作組職責(zé) .1.3信息安全崗位 .2.安全管理制度 .2.1安全管理制度體系 .2.2安全方針和主策略 .2.3安全管理制度和規(guī)范 .2.4安全流程和操作規(guī)程 .2.5安全記錄單 .第二章 制定和發(fā)布 .第三章 評(píng)審和修訂 .三、安全管理機(jī)構(gòu) .第一章 崗位設(shè)置 .1.組織機(jī)構(gòu) .2.關(guān)鍵崗位 .第二章 人員配備 .第三章 授權(quán)和審批 .第四章 溝通和合作 .第五章 審核和檢查 .四、人員安

2、全管理 .第一章 人員錄用 .1.組織編制 .2.招聘原則 .3.招聘時(shí)機(jī) .4.錄用人員基本要求 .5.招聘人員崗位要求 .6.招聘種類(lèi) .6.1 外招 .6.2 內(nèi)招 .7.招聘程序 .7.1 人事需求申請(qǐng) .7.2 甄選 .7.3 錄用 .第二章 保密協(xié)議 .第三章 人員離崗 .第三章 人員考核 .1制定安全管理目標(biāo) .2.目標(biāo)考核 .3.獎(jiǎng)懲措施 .第四章 安全意識(shí)教育和培訓(xùn) .1.安全教育培訓(xùn)制度 .第一章 總 則.第二章 安全教育的含義和方式 .第三章 安全教育制度實(shí)施 .第四章 三級(jí)安全教育及其他教育內(nèi)容 .第五章 附則 .第五章 外部人員訪問(wèn)管理制度 .1.總 則.2.來(lái)訪登記

3、控制 .3.進(jìn)出門(mén)禁系統(tǒng)控制 .4.攜帶物品控制 .五、系統(tǒng)建設(shè)管理 .第一章 安全方案設(shè)計(jì) .1.概述 .2設(shè)計(jì)要求和分析 .2.1安全計(jì)算環(huán)境設(shè)計(jì) .2.2安全區(qū)域邊界設(shè)計(jì) .2.3安全通信網(wǎng)絡(luò)設(shè)計(jì) .2.4安全管理中心設(shè)計(jì) .3針對(duì)本單位的具體實(shí)踐 .3.1安全計(jì)算環(huán)境建設(shè) .3.2安全區(qū)域邊界建設(shè) .3.3安全通信網(wǎng)絡(luò)建設(shè) .3.4安全管理中心建設(shè) .3.5安全管理規(guī)范制定 .3.6系統(tǒng)整體分析 .第二章 產(chǎn)品采購(gòu)和使用 .第三章 自行軟件開(kāi)發(fā) .1.申報(bào) .2.安全性論證和審批 .3.復(fù)議 .4.項(xiàng)目安全立項(xiàng) .5.項(xiàng)目管理 .5.1 概要 .5.2正文.第四章 工程實(shí)施 .1.信息

4、化項(xiàng)目實(shí)施階段 .2.概要設(shè)計(jì)子階段的安全要求 .3.詳細(xì)設(shè)計(jì)子階段的安全要求 .4.項(xiàng)目實(shí)施子階段的安全要求 .第五章 測(cè)試驗(yàn)收 .1.文檔準(zhǔn)備 .2.確認(rèn)簽字 .3.專(zhuān)人負(fù)責(zé) .4.測(cè)試方案 .第六章 系統(tǒng)交付 .1.試運(yùn)行.2.組織驗(yàn)收 .第七章 系統(tǒng)備案 .1.系統(tǒng)備案 .2.設(shè)備管理 .3.投產(chǎn)后的監(jiān)控與跟蹤 .第八章 安全服務(wù)商選擇 .六、系統(tǒng)運(yùn)維管理 .第一章 環(huán)境管理 .1.機(jī)房環(huán)境、設(shè)備 .2.辦公環(huán)境管理 .第二章 資產(chǎn)管理 .1.總則 .2.資產(chǎn)管理制度 .第三章 介質(zhì)管理 .1.介質(zhì)安全管理制度 .1.1計(jì)算機(jī)及軟件備案管理制度 .1.2計(jì)算機(jī)安全使用與保密管理制度 .

5、1.3用戶(hù)密碼安全保密管理制度 .1.4涉密移動(dòng)存儲(chǔ)設(shè)備的使用管理制度 .1.5數(shù)據(jù)復(fù)制操作管理制度 .1.6 計(jì)算機(jī)、存儲(chǔ)介質(zhì)、及相關(guān)設(shè)備維修、維護(hù)、報(bào)廢、銷(xiāo)毀管理制度 .第四章 設(shè)備管理 .1.主機(jī)、存儲(chǔ)系統(tǒng)運(yùn)維管理 .2.應(yīng)用服務(wù)系統(tǒng)運(yùn)維管理 .3.數(shù)據(jù)系統(tǒng)運(yùn)維管理 .4.信息保密管理 .5.日常維護(hù) .6.附件：安全檢查表 .第五章 監(jiān)控管理和安全管理中心 .1.監(jiān)控管理 .2.安全管理中心 .第六章 網(wǎng)絡(luò)安全管理 .第七章 系統(tǒng)安全管理 .1.總則 .2.系統(tǒng)安全策略 .3.系統(tǒng)日志管理 .4.個(gè)人操作管理 .5.懲處 .第八章 惡意代碼防范管理 .1.惡意代碼三級(jí)防范機(jī)制 .1.1

6、惡意代碼初級(jí)安全設(shè)置與防范 .1.2.惡意代碼中級(jí)安全設(shè)置與防范 .1.3惡意代碼高級(jí)安全設(shè)置與防范 .2.防御惡意代碼技術(shù)管理人員職責(zé) .3.防御惡意代碼員工日常行為規(guī)范 .第九章 密碼管理 .第十章 變更管理 .1.變更 .2.變更程序 .2.1變更申請(qǐng).2.2變更審批.2.3 變更實(shí)施 .2.4變更驗(yàn)收.附件一變更申請(qǐng)表 .附件二變更驗(yàn)收表 .第十一章 備份與恢復(fù)管理 .1.總則 .2.設(shè)備備份 .3.應(yīng)用系統(tǒng)、程序和數(shù)據(jù)備份 .4.備份介質(zhì)和介質(zhì)庫(kù)管理 .5.系統(tǒng)恢復(fù) .6.人員備份 .第十二章 安全事件處置 .1.工作原則 .2.組織指揮機(jī)構(gòu)與職責(zé) .3.先期處置 .4.應(yīng)急處置 .

7、4.1應(yīng)急指揮.4.2應(yīng)急支援.4.3信息處理.4.4應(yīng)急結(jié)束.5 后期處置 .5.1善后處置.5.2調(diào)查和評(píng)估 .第十三章 應(yīng)急預(yù)案管理 .1.應(yīng)急處理和災(zāi)難恢復(fù) .2.應(yīng)急計(jì)劃 .3.應(yīng)急計(jì)劃的實(shí)施保障 .4.應(yīng)急演練 .一、總則為規(guī)范 XXXXXXXXX信X 息安全工作，確保全體員工理解信息安全工作與職責(zé)， 并落實(shí)到日常工作中， 推動(dòng)信息安全保障工作的順利進(jìn)行，結(jié)合 XXXXXXXXX的X實(shí)際情況，特制定本制度。本管理制度所稱(chēng)信息系統(tǒng)安全， 包括計(jì)算機(jī)網(wǎng)絡(luò)和應(yīng)用系統(tǒng) （以下簡(jiǎn)稱(chēng)信息系統(tǒng)）的硬件、軟件、數(shù)據(jù)及環(huán)境受到有效保護(hù)，信息系統(tǒng)的連續(xù)、穩(wěn)定、安全運(yùn)行得到可靠保障。信息系統(tǒng)安全管理堅(jiān)持

8、“誰(shuí)主管誰(shuí)負(fù)責(zé)”的原則，公司的所有部門(mén)和員工都應(yīng)各自履行相關(guān)的信息系統(tǒng)安全建設(shè)和管理的義務(wù)與責(zé)任。信息系統(tǒng)安全工作的總體目標(biāo)是：實(shí)施信息系統(tǒng)安全等級(jí)保護(hù)，建立健全先進(jìn)實(shí)用、 完整可靠的信息系統(tǒng)安全體系， 保證系統(tǒng)和信息的完整性、真實(shí)性、可用性、保密性和可控性，保障信息化建設(shè)和應(yīng)用，支撐公司業(yè)務(wù)持續(xù)、穩(wěn)定、健康發(fā)展。信息系統(tǒng)安全體系建設(shè)必須堅(jiān)持“統(tǒng)一標(biāo)準(zhǔn)、保障應(yīng)用、符合法規(guī)、綜合防范、集成共享”的原則。本制度適用于公司所有部門(mén)和個(gè)人。二、安全管理制度第一章 管理制度1.安全組織結(jié)構(gòu)XXXXXXXXXX 安全管理組織應(yīng)形成由主管領(lǐng)導(dǎo)牽頭的信息安全領(lǐng)導(dǎo)小組、 具體信息安全職能部門(mén)負(fù)責(zé)日常工作的組織模

9、式， 組織結(jié)構(gòu)圖如下所示：組織機(jī)構(gòu)圖1.1 信息安全領(lǐng)導(dǎo)小組職責(zé)信息安全領(lǐng)導(dǎo)小組是由 XXXXXXXXXX 主管領(lǐng)導(dǎo)牽頭，各部門(mén)的負(fù)責(zé)人為組成成員的組織機(jī)構(gòu)，主要負(fù)責(zé)批準(zhǔn) XXXXXXXXXX 安全策略、分配安全責(zé)任并協(xié)調(diào)安全策略能夠?qū)嵤?確保安全管理工作有一個(gè)明確的方向，從管理和決策層角度對(duì)信息安全管理提供支持。信息安全領(lǐng)導(dǎo)小組的主要責(zé)任如下：(一) 確定網(wǎng)絡(luò)與信息安全工作的總體方向、目標(biāo)、總體原則和安全工作方法；(二) 審查并批準(zhǔn)政府的信息安全策略和安全責(zé)任；(三) 分配和指導(dǎo)安全管理總體職責(zé)與工作；(四) 在網(wǎng)絡(luò)與信息面臨重大安全風(fēng)險(xiǎn)時(shí)，監(jiān)督控制可能發(fā)生的重大變化；(五) 對(duì)安全管理的

10、重大更改事項(xiàng)（例如：組織機(jī)構(gòu)調(diào)整、關(guān)鍵人事變動(dòng)、信 息系統(tǒng)更改等）進(jìn)行決策；(六) 指揮、協(xié)調(diào)、督促并審查重大安全事件的處理，并協(xié)調(diào)改進(jìn)措施；(七) 審核網(wǎng)絡(luò)安全建設(shè)和管理的重要活動(dòng)，如重要安全項(xiàng)目建設(shè)、重要的安 全管理措施出臺(tái)等；(八) 定期組織相關(guān)部門(mén)和相關(guān)人員對(duì)安全管理制度體系的合理性和適用性進(jìn) 行審定。1.2 信息安全工作組職責(zé)信息安全工作組是信息安全工作的日常執(zhí)行機(jī)構(gòu)， 內(nèi)設(shè)專(zhuān)職的安全管理組織和崗位，負(fù)責(zé)日常具體安全工作的落實(shí)、組織和協(xié)調(diào)。信息安全工作組的主要職責(zé)如下：（一） 貫徹執(zhí)行和解釋信息安全領(lǐng)導(dǎo)小組的決議；（二） 貫徹執(zhí)行和解釋國(guó)家主管機(jī)構(gòu)下發(fā)的信息安全策略；（三） 負(fù)責(zé)組織

11、和協(xié)調(diào)各類(lèi)信息安全規(guī)劃、方案、實(shí)施、測(cè)試和驗(yàn)收評(píng)審會(huì)議；（四） 負(fù)責(zé)落實(shí)和執(zhí)行各類(lèi)信息安全具體工作，并對(duì)具體落實(shí)情況進(jìn)行總 結(jié)和匯報(bào)；（五） 負(fù)責(zé)內(nèi)外部組織和機(jī)構(gòu)的溝通、協(xié)調(diào)和合作工作；（六） 負(fù)責(zé)制定所有信息安全相關(guān)的管理制度和規(guī)范；（七） 負(fù)責(zé)針對(duì)信息安全相關(guān)的管理制度和規(guī)范具體落實(shí)工作進(jìn)行監(jiān)督、 檢查、考核、指導(dǎo)及審批，例如現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等。以上組織結(jié)構(gòu)和職責(zé)通過(guò)信息安全組織職責(zé)體系加以說(shuō)明。1.3 信息安全崗位為了有效落實(shí)信息安全各項(xiàng)工作， XXXXXXXXXX 應(yīng)設(shè)立以下專(zhuān)職的安全崗位，負(fù)責(zé)安全工作的落實(shí)和執(zhí)行：1.3.1

12、信息安全工作組主管1) 負(fù)責(zé)網(wǎng)絡(luò)與信息安全的日常整體協(xié)調(diào)、管理工作；2) 負(fù)責(zé)組織人員制定信息安全管理制度，并對(duì)管理制度進(jìn)行推廣、培訓(xùn)和 指導(dǎo)；3) 負(fù)責(zé)重大安全事件的具體協(xié)調(diào)和溝通工作。1.3.2安全管理員崗位1) 負(fù)責(zé)執(zhí)行網(wǎng)絡(luò)與信息安全工作的日常協(xié)調(diào)、管理工作；2) 負(fù)責(zé)日常的安全監(jiān)控管理，并對(duì)上報(bào)和發(fā)現(xiàn)的各類(lèi)安全事件進(jìn)行響應(yīng)；3) 負(fù)責(zé)系統(tǒng)、網(wǎng)絡(luò)和應(yīng)用安全管理的協(xié)調(diào)和技術(shù)指導(dǎo)；4) 負(fù)責(zé)安全管理平臺(tái)安全策略制定，訪問(wèn)控制策略審核；5) 負(fù)責(zé)組織安全管理制度的推廣和培訓(xùn)工作；6) 負(fù)責(zé)定期進(jìn)行安全檢查，檢查內(nèi)容包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù) 備份等情況。1.3.3安全審計(jì)員崗位1) 負(fù)責(zé)

13、安全管理制度落實(shí)情況的檢查、監(jiān)督和指導(dǎo)；2) 負(fù)責(zé)安全策略執(zhí)行情況的審核。1.3.4系統(tǒng)管理員1) 負(fù)責(zé)系統(tǒng)安全穩(wěn)定運(yùn)行的日常管理工作；2) 負(fù)責(zé)保持系統(tǒng)的防病毒系統(tǒng)、補(bǔ)丁等保持最新，定期對(duì)系統(tǒng)進(jìn)行安全加 固，保持系統(tǒng)漏洞最小化。1.3.5網(wǎng)絡(luò)管理員1) 負(fù)責(zé)網(wǎng)絡(luò)設(shè)備安全穩(wěn)定運(yùn)行的日常管理工作；2) 負(fù)責(zé)保持網(wǎng)絡(luò)設(shè)備的漏洞最小化，定期對(duì)系統(tǒng)進(jìn)行安全加固；3) 負(fù)責(zé)保持網(wǎng)絡(luò)路由和交換策略與業(yè)務(wù)需求保護(hù)一致。4）XXXXXXXXXX 應(yīng)根據(jù)日常的運(yùn)行維護(hù)和管理工作， 設(shè)置物理環(huán)境管理 、數(shù)據(jù)庫(kù)管理、應(yīng)用管理以及資產(chǎn)管理等崗位，這些崗位也應(yīng)當(dāng)包括安全職責(zé)，這些安全職責(zé)的具體內(nèi)容通過(guò) 信息安全管理崗位說(shuō)明書(shū) 落實(shí)。2.安全管理制度2.1 安全管理制度體系XXXXXXXXXX 安全管理制度應(yīng)建立信息安全方針、 安全策略、安全管理制度、安全技術(shù)規(guī)范以及流程的一套信息安全管理制度體系。2.2 安全方針和主策略最高方針，綱領(lǐng)性的安全策略主文檔，陳述本策略的目的、適用范圍、信息安全的管理意圖、支持目標(biāo)以及指導(dǎo)原則，信息安全各個(gè)方面所應(yīng)遵守的