等級保護三級信息系統(tǒng)制度清單

1、 . 信息系統(tǒng)信息安全等級保護-管理部分2015年12月14日注：以下所提供的材料包括制度、文檔和記錄清單。22 / 22目 錄1安全管理制度31.1安全管理31.2制定和發(fā)布31.3評審和修訂32安全管理機構42.1崗位職責文件42.2人員配備42.3授權和審批42.4溝通和合作52.5安全檢查53人員安全管理53.1人員錄用53.2人員離崗63.3人員考核63.4安全意識教育和培訓73.5外部人員訪問管理74系統(tǒng)建設管理74.1系統(tǒng)定級74.2安全方案設計84.3產(chǎn)品采購和使用84.4自行軟件開發(fā)84.5外包軟件開發(fā)94.6工程實施94.7測試驗收94.8系統(tǒng)交付104.9安全服務商選擇1

2、05系統(tǒng)運維管理115.1環(huán)境管理115.2資產(chǎn)管理115.3介質管理125.4設備管理125.5網(wǎng)絡安全管理135.6系統(tǒng)安全管理135.7惡意代碼防管理145.8變更管理145.9備份與恢復管理145.10安全事件處置155.11應急預案管理151 安全管理制度1.1 安全管理一、 制度1) 安全工作的總體方針、政策性文件和安全策略文件l 容包括機構安全工作的總體目標、圍、方針、原則和安全框架等。2) 安全管理制度l 容包括物理、網(wǎng)絡、主機系統(tǒng)、數(shù)據(jù)、應用、建設和管理等層面各類管理容。3) 制度體系l 包括由總體方針、安全策略、管理制度、操作規(guī)程等構成。二、 文檔1) 日常管理操作的操作規(guī)

3、程l 容包括如系統(tǒng)維護手冊和用戶操作規(guī)程等1.2 制定和發(fā)布一、 制度1) 制度制定和發(fā)布要求管理文檔l 容包括安全管理制度的制定和發(fā)布程序、格式要求與版本編號等2) 安全管理制度文檔l 容包括文檔的正式發(fā)布時間，適用和發(fā)布圍，版本標識，管理層的簽字或單位蓋章；各項制度的文檔格式等等；二、 記錄1) 管理制度評審記錄l 容包括相關人員的評審意見。2) 安全管理制度的收發(fā)登記記錄l 容包括收發(fā)通過正式、有效的方式（如正式發(fā)文、領導簽署和單位蓋章等），發(fā)布圍要求。1.3 評審和修訂一、 制度1) 修訂過的安全管理制度二、 記錄1) 安全管理制度評審記錄（修訂時）l 容包括相關人員的評審意見，評審周

4、期。2) 安全管理制度的檢查/評審記錄l 安全管理制度的修訂版本3) 全管理制度體系的評審記錄l 容包括相關人員的評審意見，評審周期2 安全管理機構2.1 崗位職責文件一、 制度1) 部門、崗位職責文件l 容包括安全管理機構的職責，機構各部門的職責和分工，部門職責涵蓋物理、網(wǎng)絡和系統(tǒng)安全等各個方面；l 安全主管、安全管理各個方面的負責人、機房管理員、系統(tǒng)管理員、網(wǎng)絡管理員、安全管理員等各個崗位l 各個崗位的職責圍清晰、明確；l 各個崗位人員應具有的技能要求；2) 信息安全管理委員會職責文件l 容包括委員會職責和其最高領導崗位的職責；二、 記錄1) 安全管理委員會或領導小組最高領導委任授權書l

5、容包括本單位主管領導的授權簽字2) 日常管理工作執(zhí)行情況的工作記錄l 容包括安全管理各部門和信息安全管理委員會或領導小組日常工作的執(zhí)行情況的記錄2.2 人員配備一、 制度1) 人員配備要求管理文檔l 容包括應配備的一些安全管理人員，包括機房管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員、網(wǎng)絡管理員、安全管理員等重要崗位l 配備專職的安全管理員；l 對一些關鍵事務的管理人員應配備2人或2人以上共同管理，配備人員的具體要求；二、 記錄1) 安全管理各崗位人員信息表l 容包括機房管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員、網(wǎng)絡管理員、安全管理員等重要崗位人員的信息；l 安全員要專職的（不能網(wǎng)絡管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理

6、員等崗位）；l 數(shù)據(jù)庫管理員和系統(tǒng)管理員要由不同人擔任。2.3 授權和審批一、 制度1) 審批管理制度文檔l 容包括審批事項、需逐級審批的事項、審批部門、批準人與審批程序等，l 系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入等事項的審批流程；l 定期審查、更新審批的項目、審批部門、批準人和審查周期等；二、 文檔1) 逐級審批的文檔l 系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入等關鍵活動的審批記錄需要有批準人的簽字和審批部門的蓋章。2) 關鍵活動的審批過程記錄2.4 溝通和合作一、 記錄1) 外聯(lián)單位聯(lián)系列表l 容包括包含公安機關、電信公司、兄弟公司、供應商，業(yè)界專家、專業(yè)的安全公司和安全組織等外聯(lián)單位；l

7、 說明外聯(lián)單位的名稱、聯(lián)系人、合作容和聯(lián)系方式等容。2) 組織機構部人員聯(lián)系表3) 組織部機構間/信息安全職能部門部的安全工作會議文件/記錄l 容包括會議容、會議時間、參加人員和會議結果等4) 信息安全領導小組/安全管理委員會定期例會會議文件/記錄l 容包括會議容、會議時間、參加人員、會議結果等5) 安全顧問與安全顧問的證明文件l 容包括安全顧問指導信息安全建設、參與安全規(guī)劃和安全評審等記錄2.5 安全檢查一、 制度1) 安全檢查管理制度文檔l 容包括定期進行全面安全檢查，檢查容、檢查程序和檢查周期等l 檢查容包括現(xiàn)有安全技術措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等；

8、二、 記錄1) 安全管理員定期實施安全檢查的文檔或記錄l 容包括包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況的檢查記錄；l 系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況檢查周期。2) 全面安全檢查報告l 容包括報告日期間隔，檢查周期，檢查容、檢查人員、檢查數(shù)據(jù)匯總表、檢查結果等的描述l 檢查容包括現(xiàn)有安全技術措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等；3) 安全檢查時的安全檢查表l 容包括安全檢查記錄和結果通告記錄，查看安全檢查記錄中記錄的檢查程序3 人員安全管理3.1 人員錄用一、 制度1) 人員錄用要求管理文檔l 容包括錄用人員應具備的條件，如學歷、學位要求，技術人員應具備

9、的專業(yè)技術水平，管理人員應具備的安全管理知識等。二、 記錄1) 有人員錄用時對錄用人身份、背景和專業(yè)資格和資質等進行審查的相關文檔或記錄l 文檔或記錄中有審查容和審查結果。2) 人員錄用時的技能考核文檔或記錄l 容包括筆試和面試的記錄；l 記錄考核容和考核結果等。3) 協(xié)議l 容包括與技術人員簽署協(xié)議；l 協(xié)議具有圍、責任、違約責任、協(xié)議的有效期限和責任人的簽字等容。4) 崗位安全協(xié)議l 容包括崗位安全責任、違約責任、協(xié)議的有效期限和責任人簽字等。3.2 人員離崗一、 制度1) 人員離崗的管理文檔l 容包括人員調離手續(xù)和離崗要求等二、 記錄1) 對離崗人員的安全處理記錄l 離崗人員交還件、設備

10、等的登記記錄；l 交還容包括各種件、鑰匙、徽章等以與機構提供的軟硬件設備等。2) 按照離職程序辦理調離手續(xù)的記錄l 容包括調離手續(xù)、調離流程；l 按照離職程序辦理調離手續(xù)的記錄。3) 承諾文檔l 容包括的容，期限，調離人員的簽字等。3.3 人員考核一、 文檔1) 考核文檔l 容包括考核的對象、考核的周期；l 考核容要求包含安全知識、安全技能等。l 關鍵崗位人員特殊的考核容二、 記錄1) 人員安全審查記錄l 容包括審查人員包括各個崗位的人員，對關鍵崗位人員特殊的安全審查容3.4 安全意識教育和培訓一、 文檔1) 安全教育和培訓計劃文檔l 不同崗位的培訓計劃l 容包括培訓方式、培訓對象、培訓容、培

11、訓時間和地點等；l 培訓容是否包含信息安全基礎知識、崗位操作規(guī)程等。2) 安全責任和懲戒措施管理文檔l 文檔包含具體的安全責任和懲戒措施。4) 信息安全教育與技能培訓和考核管理文檔l 包括培訓周期、培訓方式、培訓容和考核方式等相關容二、 記錄1) 具有安全教育和培訓記錄l 容包括培訓人員、培訓容、培訓結果等的描述。3.5 外部人員訪問管理一、 制度1) 外部人員訪問管理文檔l 容包括允許外部人員訪問的圍（區(qū)域、系統(tǒng)、設備、信息等容）3.6 外部人員進入的條件（對哪些重要區(qū)域的訪問須提出書面申請批準后方可進入）l 外部人員進入的訪問控制措施（由專人全程陪同或監(jiān)督等）和外部人員離開的條件等；二、

12、記錄1) 外部人員訪問重要區(qū)域的登記記錄l 記錄了外部人員訪問重要區(qū)域的進入時間、離開時間、訪問區(qū)域、訪問設備或信息與陪同人等信息。2) 外部人員訪問重要區(qū)域的批準文檔l 容包括外部人員訪問重要區(qū)域的書面申請，批準人允許訪問的批準簽字等；4 系統(tǒng)建設管理4.1 系統(tǒng)定級一、 文檔1) 系統(tǒng)定級文檔l 信息系統(tǒng)的定級報告、備案表；l 包括明確信息系統(tǒng)的邊界和信息系統(tǒng)的安全保護等級，確定為某個安全等級的方法和理由；l 有相關部門的批準蓋章。2) 專家論證文檔l 專家對定級結果的論證意見。4.2 安全方案設計一、 文檔1) 系統(tǒng)的安全建設工作計劃l 包括系統(tǒng)的近期安全建設計劃和遠期安全建設計劃。2)

13、 系統(tǒng)總體安全策略、安全技術框架、安全管理策略、總體建設規(guī)劃、詳細設計方案等配套文件l 容包括主管領導批準。3) 系統(tǒng)的詳細設計方案l 根據(jù)安全方案細化形成的方案：如指導安全系統(tǒng)建設、安全產(chǎn)品采購和使用的詳細設計方案。4) 專家論證文檔l 容包括相關部門和有關安全技術專家對總體安全策略、安全技術框架、安全管理策略、總體建設規(guī)劃、詳細設計方案等相關配套文件的論證意見。5) 系統(tǒng)總體安全策略、安全技術框架、安全管理策略、總體建設規(guī)劃、詳細設計方案等配套文件l 包括配套文件的修訂版本或記錄。4.3 產(chǎn)品采購和使用一、 文檔1) 系統(tǒng)使用的有關信息安全產(chǎn)品符合國家的有關規(guī)定l 采購的流程；l 安全產(chǎn)品

14、；l 安全產(chǎn)品具有相關憑證。2) 密碼產(chǎn)品的使用情況l 采購的流程；l 安全產(chǎn)品；l 密碼產(chǎn)品具有相關憑證。3) 產(chǎn)品采購管理文檔l 包括需要的產(chǎn)品性能指標，確定產(chǎn)品的候選圍，通過招投標等方式確定采購產(chǎn)品與人員行為準則等方面；二、 記錄1) 產(chǎn)品選型測試結果記錄、候選產(chǎn)品審定記錄或更新的候選產(chǎn)品。4.4 自行軟件開發(fā)一、 制度1) 軟件開發(fā)管理制度l 容包括軟件設計、開發(fā)、測試、驗收過程的控制方法和人員行為準則，明確哪些開發(fā)活動應經(jīng)過授權、審批，明確軟件開發(fā)相關文檔的管理等。2) 代碼編寫規(guī)l 包括代碼編寫規(guī)則等。二、 文檔1) 軟件設計的相關文檔（應用軟件設計程序文件、源代碼文檔等）、軟件使

15、用指南或操作手冊和維護手冊l 軟件設計相關文檔；l 軟件使用指南或操作手冊等；l 專人負責文檔保管。三、 記錄1) 對程序資源庫的修改、更新、發(fā)布進行授權和審批的文檔或記錄l 包括批準人的簽字。4.5 外包軟件開發(fā)一、 文檔1) 需求分析說明書、軟件設計說明書、軟件操作手冊、軟件源代碼文檔等軟件開發(fā)文檔和使用指南二、 記錄1) 軟件源代碼審查記錄l 包括對可能存在后門的審查結果。2) 軟件安裝之前檢測軟件中的惡意代碼的記錄l 檢測工具是第三方的商業(yè)產(chǎn)品。4.6 工程實施一、 制度1) 工程實施管理制度l 是否包括工程實施過程的控制方法、實施參與人員的行為準則等方面容。二、 文檔1) 工程實施方

16、案l 包括工程時間限制、進度控制和質量控制等方面容。三、 記錄1) 按照實施方案形成的階段性工程報告。4.7 測試驗收一、 制度1) 測試驗收管理文檔l 包括系統(tǒng)測試驗收的過程控制方法、參與人員的行為規(guī)等容。二、 文檔2) 測試報告l 系統(tǒng)安全性測試報告；l 系統(tǒng)測試驗收報告。3) 工程測試驗收方案l 容包括參與測試的部門、人員、測試驗收的容、現(xiàn)場操作過程等4) 測試驗收記錄5) 系統(tǒng)測試驗收報告l 容包括系統(tǒng)測試驗收的過程控制方法、參與人員的行為規(guī)等。6) 系統(tǒng)安全性測試報告l 容包括測試通過的結論（如果報告中提出了存在的問題，則檢查是否有針對這些問題的改進報告），是否有第三方測試機構的簽字

17、或蓋章。7) 對測試驗收報告的審定文檔l 容包括相關人員的審定意見。4.8 系統(tǒng)交付一、 文檔1) 系統(tǒng)交付管理文檔l 容包括交付過程的控制方法和對交付參與人員的行為限制等。二、 記錄1) 系統(tǒng)交付清單l 容包括包括所交接的設備、文檔、軟件等；2) 培訓記錄l 系統(tǒng)交付技術培訓記錄，包括培訓容、培訓時間和參與人員等。4.9 系統(tǒng)備案一、 文檔1) 備案的記錄或備案文檔l 容包括將系統(tǒng)等級相關材料報主管部門備案的記錄或備案文檔；2) 公安機關備案的記錄或證明l 容包括將系統(tǒng)等級相關備案材料報相應公安機關備案的記錄或證明；3) 系統(tǒng)定級相關材料的適用控制記錄4.10 安全服務商選擇一、 文檔1)

18、與安全服務商簽訂的安全責任合同書或協(xié)議等文檔l 對信息系統(tǒng)進行安全規(guī)劃、設計、實施、維護、測評等服務的安全服務單位；l 安全服務商的安全資質文件；l 容包括與所有安全服務商簽訂的安全責任合同書或協(xié)議文檔，文檔中有圍、安全責任、違約責任、協(xié)議的有效期限和責任人的簽字等。2) 與安全服務商簽訂的服務合同5 系統(tǒng)運維管理5.1 環(huán)境管理一、 制度1) 機房安全管理制度l 容覆蓋機房物理訪問、物品帶進、帶出機房和機房環(huán)境安全等方面。二、 文檔1) 機房消防管理制度和消防預案2) 辦公環(huán)境管理辦法l 規(guī)辦公環(huán)境人員的行為；l 工作人員離開座位確保終端計算機退出登錄狀態(tài)；l 桌面上沒有包含敏感信息的紙檔文

19、件；l 工作人員調離辦公立即交還該辦公室鑰匙和不在辦公區(qū)接待來訪人員等。三、 記錄1) 機房基礎設施維護記錄l 容包括記錄維護日期、維護人、維護設備、故障原因、維護結果等。2) 消防設施巡檢記錄表5.2 資產(chǎn)管理一、 制度1) 資產(chǎn)安全管理制度l 容包括明確信息資產(chǎn)管理的責任部門、責任人等；l 其覆蓋資產(chǎn)使用、借用、維護等方面。l 容包括依據(jù)資產(chǎn)的重要程度對資產(chǎn)進行分類和標識管理，不同類別的資產(chǎn)是否采取不同的管理措施。2) 信息分類文檔l 容是否明確了信息分類標識的原則和方法。二、 記錄1) 資產(chǎn)清單5.3 介質管理一、 制度1) 介質管理制度l 介質的維修或銷毀流程、維修或銷毀制度；l 容包

20、括在介質物理傳輸過程中對人員選擇、打包、交付等情況進行控制；l 容包括對存儲介質的使用過程、送出維修以與銷毀等進行嚴格管理的方法和對帶出工作環(huán)境的存儲介質進行容加密和監(jiān)控管理的方法。l 介質的分類、標識。二、 記錄1) 介質管理記錄l 具有介質存放在安全的環(huán)境（防潮、防盜、防火、防磁，專用存儲空間）；l 容包括對某些重要介質實行異地存儲，異地存儲環(huán)境是否與本地環(huán)境一樣；l 容包括定期對其完整性（數(shù)據(jù)是否損壞或丟失）和可用性（介質是否受到物理破壞）進行檢查；l 介質的存檔、查詢、借用等記錄；l 根據(jù)介質的目錄清單對介質的使用現(xiàn)狀進行定期檢查的記錄。5.4 設備管理一、 制度1) 設備安全管理制度

21、l 對各種軟硬件設備的選型、采購、發(fā)放和領用以與帶離機構等環(huán)節(jié)進行申報和審批。2) 配套設施、軟硬件維護方面的管理制度l 容包括對配套設施、軟硬件維護進行有效的管理，包括明確維護人員的責任、涉外維修和服務的審批、維修過程的監(jiān)督控制管理等。二、 文檔1) 設備使用管理文檔l 對終端計算機、工作站、便攜機、系統(tǒng)和網(wǎng)絡等設備的操作和使用進行管理。2) 關鍵設備（包括備份和冗余設備）的操作規(guī)程l 主要設備（包括備份和冗余設備）的啟動、停止、加電/斷電等操作的手冊或規(guī)程；l 定期對日志管理情況的檢查。對日志管理情況進行檢查的記錄l 容具有設備維護記錄和主要設備的操作日志。3) 申報材料和審批報告l 容具

22、有設備的選型、采購、發(fā)放和領用以與帶離機構等申請報告。5.5 監(jiān)控管理和安全管理中心一、 制度1) 安全管理中心l 對通信線路、主機、網(wǎng)絡設備和應用軟件的運行狀況，對設備狀態(tài)、惡意代碼、網(wǎng)絡流量、補丁升級、安全審計等安全相關事項進行集中管理。二、 文檔1) 監(jiān)測記錄l 容包括記錄監(jiān)控對象、監(jiān)控容、監(jiān)控的異?，F(xiàn)象處理等方面。2) 監(jiān)測分析報告l 容包括監(jiān)測的異常現(xiàn)象、處理措施等。5.6 網(wǎng)絡安全管理一、 制度3) 網(wǎng)絡安全管理制度l 對網(wǎng)絡安全配置、日志保存時間、安全策略、升級與打補丁、口令更新周期、文件備份等方面作出規(guī)定，查看安全策略是否包括允許或者拒絕便攜式和移動式設備的網(wǎng)絡接入。 l 容具

23、有網(wǎng)絡設備配置文件的離線備份文件。二、 文檔1) 網(wǎng)絡漏洞掃描報告l 漏洞掃描的制度、漏洞掃描報告。2) 部網(wǎng)絡外聯(lián)的授權批準書l 外聯(lián)的對象和授權批準書。3) 網(wǎng)絡設備配置文件的備份文件4) 網(wǎng)絡設備升級更新的工作記錄5) 網(wǎng)絡審計日志5.7 系統(tǒng)安全管理一、 制度1) 系統(tǒng)安全管理制度l 對系統(tǒng)安全策略、安全配置、日志管理和日常操作流程等方面作出規(guī)定。2) 系統(tǒng)安全訪問控制策略說明文檔l 容包括根據(jù)業(yè)務需求和系統(tǒng)安全分析制定系統(tǒng)的訪問控制策略，控制分配文件與服務的訪問權限。二、 文檔1) 補丁測試記錄和系統(tǒng)補丁安裝操作記錄2) 詳細操作日志（包括重要的日常操作、運行維護記錄、參數(shù)的設置和修

24、改等容）；l 容包括重要的日常操作、運行維護記錄、參數(shù)的設置和修改等。3) 定期對運行日志和審計結果進行分析的記錄l 查看報告是否能夠記錄的連續(xù)多次登錄失敗、非工作時間的登錄、訪問受限系統(tǒng)或文件的失敗嘗試、系統(tǒng)錯誤等非正常事件。4) 系統(tǒng)漏洞掃描報告l 漏洞掃描制度和漏洞掃描報告。5.8 惡意代碼防管理一、 制度1) 惡意代碼防管理文檔l 包括防惡意代碼軟件的授權使用、惡意代碼庫升級、定期匯報等方面。2) 對員工的惡意代碼防教育的相關培訓文檔二、 記錄1) 惡意代碼檢測記錄l 指定專人對網(wǎng)絡和主機進行惡意代碼檢測的記錄。2) 惡意代碼庫升級記錄l 容包括查看升級記錄是否記錄升級時間、升級版本等。3) 分析報告l 容包括分析報告是否描述惡意代碼的特征、修補措施等。5.9 密碼管理一、 制度1) 密碼使用管理制度l 具有密碼使用管理制度5.10 變更管理一、 制度1) 變更管理制度l 容覆蓋變更前審批、變更過程記錄、變更后通報等方面。l 容包括變更控制的申報、審批程序，查看其是否規(guī)定需要申報的變更類型、申報流程、審批部門、批準人等方面。l 檢查變更失敗恢復程序，查看其是否規(guī)定變更失敗后的恢復流程。二、 文檔 2) 系統(tǒng)變更方案l 容包括變更類型、變更原因、變更過程、變更前評估等方面進行規(guī)定。3) 重要系統(tǒng)的變更申請書4) 變更過程記錄文檔三、 記錄l 變更方案