三級等保評審需要的網(wǎng)絡(luò)安全管理制度大全匯編

1、精選優(yōu)質(zhì)文檔-傾情為你奉上精選優(yōu)質(zhì)文檔-傾情為你奉上專心-專注-專業(yè)專心-專注-專業(yè)精選優(yōu)質(zhì)文檔-傾情為你奉上專心-專注-專業(yè)某某單位信息安全管理制度匯編2019年1月信息化管理處關(guān)于本文件文件名稱吉林省某某單位信息安全管理制度匯編文件編號控制級別內(nèi)部資料文件類別管理制度文件頁數(shù)編制日期年 月 日審核日期年 月 日簽發(fā)日期年 月 日分發(fā)控制受控文件填寫編號份數(shù)用途審批人日期經(jīng)手人日期目 錄 TOC o 1-3 h z u 安全策略總綱信息安全策略總綱總則為貫徹國家對信息安全的規(guī)定和要求，指導和規(guī)范吉林省某某單位信息系統(tǒng)建設(shè)、使用、維護和管理過程中，實現(xiàn)信息系統(tǒng)安全防護的基本目的，提高信息系統(tǒng)的

2、安全性，防范和控制系統(tǒng)故障和風險，確保信息系統(tǒng)安全、可靠、穩(wěn)定運行,維護社會秩序、公共利益和國家安全，特制定吉林省某某單位信息安全策略總綱(以下簡稱總綱)。 總綱根據(jù)國家信息安全相關(guān)政策法規(guī)而制定。 本制度適用于吉林省某某單位信息系統(tǒng)，適用于吉林省某某單位擬建、在建以及運行的非涉密信息系統(tǒng)。信息安全工作總體方針吉林省某某單位信息系統(tǒng)的安全保護管理工作總體方針是“保持適度安全；管理與技術(shù)并重；全方位實施，全員參與；分權(quán)制衡，最小特權(quán)；盡量采用成熟的技術(shù)”?！邦A防為主”是吉林省某某單位信息安全保護管理工作的基本方針。 總綱規(guī)定了吉林省某某單位信息系統(tǒng)安全管理的體系、策略和具體制度，為信息化安全管理

3、工作提供監(jiān)督依據(jù)。 吉林省某某單位信息系統(tǒng)安全管理體系是由信息安全策略總綱、安全管理制度、安全技術(shù)標準以及安全工作流程和操作規(guī)程組成的?？偩V是信息安全各個方面所應(yīng)遵守的原則方法和指導性策略文件?？偩V是制定吉林省某某單位信息安全管理制度和規(guī)定的依據(jù)。吉林省某某單位信息安全管理制度和規(guī)定了信息安全管理活動中各項管理內(nèi)容。吉林省某某單位信息安全技術(shù)標準和規(guī)范是根據(jù)總綱中對信息安全方面相關(guān)的規(guī)定所引出的，其規(guī)定了信息安全中的各項技術(shù)要求。 吉林省某某單位信息安全工作流程和操作規(guī)程詳細規(guī)定了主要應(yīng)用和事件處理的流程、步驟以及相關(guān)注意事項，并且作為具體工作時的具體依照。信息安全總體策略吉林省某某單位信息系

4、統(tǒng)總體安全保護策略是：系統(tǒng)資源的價值大小、用戶訪問權(quán)限的大小和系統(tǒng)重要程度的區(qū)別就是安全級別的客觀體現(xiàn)。信息安全保護必須符合客觀存在和發(fā)展規(guī)律，其分級、分區(qū)域、分類和分階段是做好信息安全保護工作的前提。 吉林省某某單位信息系統(tǒng)的安全保護策略由吉林省某某單位網(wǎng)絡(luò)安全與信息化工作領(lǐng)導小組負責制定與更新。 吉林省某某單位網(wǎng)絡(luò)安全與信息化工作領(lǐng)導小組根據(jù)信息系統(tǒng)的安全保護等級、安全保護需求和安全目標，結(jié)合吉林省某某單位自身的實際情況，依據(jù)國家信息安全法規(guī)和標準，制定信息系統(tǒng)的安全保護實施細則和具體管理辦法，并根據(jù)實際情況，及時調(diào)整和制定新的實施細則和具體管理辦法。 吉林省某某單位信息系統(tǒng)的安全保護工作

5、應(yīng)從技術(shù)體系和管理體系兩個方面進行，技術(shù)體系包括物理環(huán)境安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全和數(shù)據(jù)安全等五個部分，管理體系包括安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理等五個部分，由技術(shù)體系和管理體系共十個部分構(gòu)成信息系統(tǒng)安全等級保護體系。（一）物理環(huán)境安全包括：周邊環(huán)境安全，門禁檢查，防盜竊、防破壞、防火、防水、防潮、防雷擊、防電磁泄露和干擾，電源備份和管理，設(shè)備的標識、使用、存放和管理等；（二）網(wǎng)絡(luò)安全包括：網(wǎng)絡(luò)的拓撲結(jié)構(gòu)，網(wǎng)絡(luò)的布線和防護，網(wǎng)絡(luò)設(shè)備的管理和報警，網(wǎng)絡(luò)攻擊的監(jiān)察和處理，網(wǎng)絡(luò)安全審計和檢查及邊界完整性檢查；（三）主機安全包括：主機的身份鑒別、訪問控制、

6、安全審計、入侵防范、惡意代碼防范、監(jiān)控和終端接入控制等；（四）應(yīng)用安全包括：應(yīng)用系統(tǒng)的身份鑒別、訪問控制、安全審計、剩余信息保護、通信完整性和保密性、抗抵賴、軟件容錯和資源控制等；（五）數(shù)據(jù)安全包括：數(shù)據(jù)傳輸?shù)耐暾院捅Ｃ苄?、?shù)據(jù)存儲的完整性和保密性、數(shù)據(jù)的備份和恢復等；（六）安全管理制度是信息系統(tǒng)安全策略、方針性文件，規(guī)定信息安全工作的總體目標、范圍、原則和安全框架，是管理制度體系的靈魂和核心文件；（七）通過構(gòu)建和完善信息安全組織架構(gòu)的措施，明確不同安全組織和不同安全角色的定位、職責以及相互關(guān)系，強化信息安全的專業(yè)化管理，實現(xiàn)對安全風險的有效控制；（八）人員安全管理包括人員錄用、人員管理、人

7、員考核、保密協(xié)議、培訓、離崗離職等多個方面；（九）系統(tǒng)建設(shè)管理根據(jù)信息密級、系統(tǒng)重要性和安全策略將信息系統(tǒng)劃分為不同的安全域，針對不同的安全域確定不同的信息安全保護等級，采取相應(yīng)的保護。信息系統(tǒng)安全等級的定級決定了系統(tǒng)方案的設(shè)計、實施、安全措施、運行維護等信息系統(tǒng)建設(shè)的各個環(huán)節(jié)。信息系統(tǒng)定級遵循“誰建設(shè)、誰定級”的原則；（十）系統(tǒng)運維管理對信息系統(tǒng)進行綜合監(jiān)控管理，對支撐重要信息系統(tǒng)的資源進行監(jiān)控保護，確保密碼防護、病毒防護、系統(tǒng)變更等事件按照規(guī)定的信息安全管理策略實行，建立安全管理監(jiān)控中心，實現(xiàn)對人、事件、流程、資產(chǎn)等方面的綜合管理。安全管理吉林省某某單位信息系統(tǒng)定級備案管理完全按照國家相關(guān)

8、信息安全標準的相關(guān)政策要求進行。要求所有接入吉林省某某單位的信息系統(tǒng)均按照等級保護定級備案要求進行定級，參考信息系統(tǒng)安全保護等級定級指南GB/T22240-2008,由各應(yīng)用系統(tǒng)接入單位自主定級并填寫定級報告，吉林省某某單位網(wǎng)絡(luò)安全與信息化工作領(lǐng)導小組辦公室填寫定級備案表，經(jīng)吉林省某某單位網(wǎng)絡(luò)安全與信息化工作領(lǐng)導小組批準，由吉林省某某單位網(wǎng)絡(luò)安全與信息化工作領(lǐng)導小組辦公室統(tǒng)一負責向公安機關(guān)進行備案。所有吉林省某某單位信息系統(tǒng)必須確定其信息安全保護等級，并在吉林省某某單位網(wǎng)絡(luò)安全與信息化工作領(lǐng)導小組辦公室進行登記和備案。業(yè)務(wù)應(yīng)用需求和設(shè)計單位，要充分考慮信息系統(tǒng)的安全需求分析，統(tǒng)一按照業(yè)務(wù)系統(tǒng)歸

9、屬進行安全域劃分，確定定級備案情況；具體參考信息安全等級保護管理辦法、信息系統(tǒng)安全等級保護基本要求，參照信息系統(tǒng)安全等級保護實施指南、信息系統(tǒng)通用安全技術(shù)要求、信息系統(tǒng)安全工程管理要求、信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求等標準規(guī)范要求，結(jié)合行業(yè)特點進行安全需求分析。（一）信息安全需求分析，至少包括以下信息安全方面的內(nèi)容：安全威脅分析；系統(tǒng)脆弱性分析；影響性分析；風險分析；系統(tǒng)安全需求。（二）可行性分析中須包括以下信息安全方面的內(nèi)容：明確項目的總體信息安全目標，并依據(jù)信息安全需求分析的結(jié)論提出相應(yīng)的安全對策，每個信息安全需求都至少對應(yīng)一個信息安全對策，信息安全對策的強度根據(jù)相應(yīng)資產(chǎn)/系統(tǒng)的重要性來

10、選擇；描述如何從技術(shù)和管理兩個方面來實現(xiàn)所有的信息安全對策，并形成信息安全方案；增加項目建設(shè)中的信息安全管理模式、信息安全組織結(jié)構(gòu)、人員的安全職責、建設(shè)實施中的安全操作程序和相應(yīng)安全管理要求；對安全方案進行成本-效益分析；需求分析階段必須明確地定義和商定新系統(tǒng)的需求和準則，并形成文件，便于后期驗收。相關(guān)信息安全需求的要求和準則應(yīng)包括：用戶管理、權(quán)限管理、日志管理和數(shù)據(jù)管理等。業(yè)務(wù)應(yīng)用的安全設(shè)計應(yīng)按照國家信息安全標準進行，并依照信息安全需求分析評估得出的結(jié)論，通過相關(guān)專家評審會后，綜合多方意見，進行安全設(shè)計。具體要求如下：物理安全-設(shè)計中要充分考慮到物理訪問控制、防盜竊和防破壞、防雷擊、防火、防

11、水、防潮、電力、物理位置、防靜電和電磁防護，做到增強控制，對人員和設(shè)備的出入進行監(jiān)控；網(wǎng)絡(luò)安全-設(shè)計中要充分考慮到結(jié)構(gòu)安全、訪問控制、設(shè)備防護、安全審計、邊界完整性檢查、入侵防范、惡意代碼防范，確保重要主機的優(yōu)先級，做到應(yīng)用層過濾，對入網(wǎng)設(shè)備的接入進行非法外聯(lián)的定位和阻斷，對形成的記錄進行分析、形成報表，對審計系統(tǒng)進行兩種以上鑒別技術(shù)，保證特權(quán)用戶分離；主機安全-設(shè)計中充分考慮主機系統(tǒng)(操作系統(tǒng))的身份鑒別、訪問控制、入侵防范、惡意代碼防范、安全審計、資源控制、剩余信息保護，要求必須監(jiān)控服務(wù)器相關(guān)服務(wù)，保證最小授權(quán)原則，對形成的記錄進行分析并形成報表；數(shù)據(jù)安全-設(shè)計中充分考慮數(shù)據(jù)完整性、數(shù)據(jù)備

12、份和恢復、數(shù)據(jù)保密性；應(yīng)用安全-設(shè)計中充分考慮應(yīng)用系統(tǒng)的身份鑒別、訪問控制、通信完整性和保密性、軟件容錯、安全審計、資源控制、剩余信息保護、抵賴性。在信息系統(tǒng)安全規(guī)劃設(shè)計時，應(yīng)該考慮系統(tǒng)的容量和資源的可用性，以減少系統(tǒng)過載的風險，并采取相應(yīng)的保密措施，控制涉及核心數(shù)據(jù)軟件設(shè)計的相關(guān)資料的使用，并應(yīng)遵循以下原則：充分考慮應(yīng)用安全實現(xiàn)的可控性，以便盡可能地降低安全系統(tǒng)與應(yīng)用系統(tǒng)結(jié)合過程中的風險；保持安全系統(tǒng)與應(yīng)用系統(tǒng)的相互獨立性，避免功能實現(xiàn)上的交叉或跨越；建立完善的信息安全控制機制，包括：用戶標識與認證、邏輯訪問控制、公共訪問控制、審計與跟蹤等。信息系統(tǒng)安全建設(shè)管理需要按照國家信息安全標準的相關(guān)

13、要求，并在安全管理組織的領(lǐng)導下，結(jié)合應(yīng)用的實際情況，進行信息安全建設(shè)。在建設(shè)中應(yīng)充分考慮系統(tǒng)定級管理、安全方案設(shè)計管理、產(chǎn)品采購和使用管理、自行以及外包軟件開發(fā)管理、工程實施管理、測試驗收管理、系統(tǒng)交付管理、安全服務(wù)商選擇管理、系統(tǒng)備案管理、等級測評管理等因素對信息系統(tǒng)安全的影響程度。信息系統(tǒng)安全建設(shè)管理要求將系統(tǒng)建設(shè)過程有效程序化，明確指定項目實施監(jiān)理負責人，確保系統(tǒng)設(shè)計文檔和相關(guān)代碼的安全，對銷毀過程要進行安全控制，自行開發(fā)時應(yīng)當嚴格控制對程序資源庫的訪問。信息系統(tǒng)安全驗收管理按照國家相關(guān)信息安全標準的要求，結(jié)合吉林省某某單位信息系統(tǒng)的實際情況進行安全驗收管理規(guī)范化。項目驗收需得到各業(yè)務(wù)單

14、位、吉林省某某單位網(wǎng)絡(luò)安全與信息化工作領(lǐng)導小組辦公室共同確認簽字驗收。項目應(yīng)達到項目任務(wù)書中制定的總體安全目標和安全指標，實現(xiàn)全部安全功能。驗收報告中應(yīng)包括項目總體安全目標及主要內(nèi)容。驗收報告中應(yīng)包括項目采用的關(guān)鍵安全技術(shù)內(nèi)容。系統(tǒng)驗收并移交后，必須立即修改系統(tǒng)中的默認口令。應(yīng)用系統(tǒng)項目驗收應(yīng)審查如下內(nèi)容：功能檢查包括對軟件功能完整性、正確性進行審查和評價；項目管理審查包括對項目計劃、采用標準、需求方案及其執(zhí)行情況進行審查和評價；測試結(jié)果審查包括對項目測試報告、監(jiān)理單位出具的監(jiān)理報告等進行審查；技術(shù)文檔檢查包括對項目開發(fā)單位交付的文檔資料（紙質(zhì)文檔和電子文檔）進行審查。系統(tǒng)交付時，應(yīng)根據(jù)合同要

15、求制定系統(tǒng)交付的清單；系統(tǒng)運行所需要的全部設(shè)備；系統(tǒng)運行所需要的全部軟件；系統(tǒng)文檔，包括系統(tǒng)建設(shè)過程中的文檔，詳細的系統(tǒng)使用和維護文檔；系統(tǒng)應(yīng)急方案；系統(tǒng)使用培訓教材。系統(tǒng)建設(shè)項目有下列情況之一，不能通過安全驗收：驗收文件、資料、數(shù)據(jù)不真實；未達到安全設(shè)計要求；設(shè)計不符合國家信息安全建設(shè)相關(guān)標準要求；擅自修改設(shè)計目標和建設(shè)內(nèi)容；系統(tǒng)建設(shè)過程中出現(xiàn)重大問題，未能解決和做出說明，或存在糾紛。項目驗收完畢后，系統(tǒng)建設(shè)部門應(yīng)對負責系統(tǒng)使用和維護的人員進行相應(yīng)培訓，并履行服務(wù)承諾。安全測評管理是按照國家信息安全標準測評的相關(guān)要求，結(jié)合吉林省某某單位的實際情況進行安全測評。項目驗收時應(yīng)按照信息安全法律法規(guī)

16、和標準情況，進行自評估或委托具有國家相關(guān)技術(shù)資質(zhì)和安全資質(zhì)的第三方測評機構(gòu)進行測評，并出具測評報告，測評報告將作為項目驗收的參考依據(jù)。信息系統(tǒng)的安全性測試驗收應(yīng)獨立進行，測試程序應(yīng)包括以下內(nèi)容：測試驗收前根據(jù)設(shè)計方案或合同要求等制訂測試驗收方案，測試驗收方案應(yīng)對參與測試部門、人員、現(xiàn)場操作過程等進行要求，并確保測試和接收標準被清晰定義并文檔化；測試方案應(yīng)通過吉林省某某單位網(wǎng)絡(luò)安全與信息化工作領(lǐng)導小組辦公室的論證和審定；嚴格依據(jù)測試方案進行測試，測試驗收過程中詳細記錄測試結(jié)果；至少應(yīng)審查主機端口開放情況是否符合系統(tǒng)說明、使用網(wǎng)絡(luò)偵聽工具查通訊數(shù)據(jù)包是否符合系統(tǒng)說明和使用惡意代碼軟件檢測軟件包中可

17、能存在的惡意代碼等。擬定測試驗收報告，并由相關(guān)負責人簽字確認。 安全運維管理按照國家信息安全標準的要求，項目驗收完畢后，結(jié)合吉林省某某單位的實際情況進行運行維護管理工作。信息安全管理部門接管后，負責物理安全、網(wǎng)絡(luò)安全、主機安全、數(shù)據(jù)安全等管理工作，并定期和不定期的進行信息安全檢查，確保信息系統(tǒng)安全運行。各業(yè)務(wù)系統(tǒng)的維護人員負責維護和監(jiān)控責任范圍內(nèi)的應(yīng)用系統(tǒng)，不得越權(quán)進行訪問。信息安全運行維護項目應(yīng)包括但不限于以下內(nèi)容：對物理安全的機房環(huán)境、溫濕度等檢查；對網(wǎng)絡(luò)的連通性、時延、丟包率，檢查網(wǎng)絡(luò)的狀況、故障及攻擊事件等；對設(shè)備運行狀態(tài)檢查；對出口鏈路或關(guān)鍵鏈路流量進行檢查，設(shè)備配置進行備份工作等。

18、對新購置的設(shè)備和軟件在上線之前進行安全性檢查、策略合理性測試。對設(shè)備和軟件的日志進行定期和不定期的審計。對設(shè)備和軟件進行版本升級和相關(guān)庫升級。建立監(jiān)控平臺，對設(shè)備安全漏洞、安全事件、系統(tǒng)日志等信息進行監(jiān)控，制定各項計劃性的安全維護工作。建立單位作業(yè)計劃應(yīng)包括以下內(nèi)容安全設(shè)備維護、安全監(jiān)控、操作日志、日志審核、故障管理、測試等工作，明確執(zhí)行期限，落實到人。安全維護作業(yè)計劃在編制和確定后，各業(yè)務(wù)單位應(yīng)根據(jù)其內(nèi)容嚴格執(zhí)行。定期對維護計劃執(zhí)行情況進行總結(jié)分析。定期出具安全運行維護報告，報告涉及方面包括但不限于以下內(nèi)容：安全設(shè)備維護內(nèi)容、安全監(jiān)控內(nèi)容、操作日志、系統(tǒng)日志、故障處理內(nèi)容等。制度的制定與發(fā)布

19、吉林省某某單位信息化管理處負責制訂信息系統(tǒng)安全管理制度，并以文檔形式表述，經(jīng)吉林省某某單位網(wǎng)絡(luò)安全與信息化工作領(lǐng)導小組辦公室討論通過，由吉林省某某單位網(wǎng)絡(luò)安全與信息化工作領(lǐng)導小組辦公室負責人審批發(fā)布。 吉林省某某單位信息化管理處負責組織制度編制、論證、監(jiān)督檢查和修訂等工作。 吉林省某某單位信息化管理處負責根據(jù)信息系統(tǒng)安全管理制度，結(jié)合系統(tǒng)的特點進行細化和制定實施細則，報吉林省某某單位網(wǎng)絡(luò)安全與信息化工作領(lǐng)導小組辦公室審批，以正式形式發(fā)布。 吉林省某某單位信息系統(tǒng)安全管理制度編寫格式統(tǒng)一，并進行版本控制。 信息安全管理制度由吉林省某某單位網(wǎng)絡(luò)安全與信息化工作領(lǐng)導小組辦公室負責審核，以正式文件形式

20、發(fā)布，同時注明發(fā)布范圍并有收發(fā)文登記。制度的評審和修訂由吉林省某某單位網(wǎng)絡(luò)安全與信息化工作領(lǐng)導小組辦公室負責文檔的評審,對安全策略和制度的有效性進行程序化、周期性評審，并保留必要的評審記錄和依據(jù)。 吉林省某某單位信息化管理處負責定期組織對安全管理制度的執(zhí)行情況進行檢查，并結(jié)合國家信息安全主管部門每年定期對信息安全進行檢查中發(fā)現(xiàn)的問題，對安全管理制度進行有針對性的修訂與完善。 當發(fā)生重大安全事故、出現(xiàn)新的安全漏洞以及技術(shù)基礎(chǔ)結(jié)構(gòu)發(fā)生變更時，吉林省某某單位信息化管理處要對安全管理制度的細則進行修訂，修訂后報吉林省某某單位網(wǎng)絡(luò)安全與信息化工作領(lǐng)導小組辦公室進行審批。 每個策略和制度文檔有相應(yīng)的負責人

21、或負責部門，負責對明確需要修訂的文檔進行維護，并制定信息安全管理制度對應(yīng)負責人或負責部門的清單。附件1-1-1 網(wǎng)絡(luò)安全管理制度論證審定記錄（模板）網(wǎng)絡(luò)安全管理制度論證審定記錄表組織部門評審內(nèi)容評審原因評審時間參與人員姓名部門崗位職責聯(lián)系方式簽到評審意見評審結(jié)論簽字組織人負責人記錄人附件1-1-2 網(wǎng)絡(luò)安全管理制度收發(fā)文記錄（模板）網(wǎng)絡(luò)安全管理制度收發(fā)文記錄表發(fā)文信息文件名稱發(fā)文部門文件編號發(fā)文號發(fā)文日期發(fā)文方式簽收信息簽收部門簽收人簽收時間備注安全管理機構(gòu)信息安全組織及崗位職責管理規(guī)定總則為了加強吉林省某某單位對信息安全工作的管理，全面提高信息安全管理能力，規(guī)范信息安全管理組織體系，建立健全

22、信息安全機構(gòu)職責，特制定本規(guī)定。 本規(guī)定依據(jù)國家信息化領(lǐng)導小組關(guān)于加強信息安全保障工作的意見、GB/T20269-2006 信息安全技術(shù) 信息系統(tǒng)安全管理要求等政策標準制定。 本規(guī)定依照“信息安全管理的主要領(lǐng)導負責、全員參與、依法管理、分權(quán)和授權(quán)和體系化管理”原則編制，具體原則如下：（一）主要領(lǐng)導負責原則：吉林省某某單位應(yīng)確保主要領(lǐng)導參與并確立組織統(tǒng)一的信息安全保障宗旨和政策，組織有效的安全保障隊伍，調(diào)動并優(yōu)化配置必要的資源，協(xié)調(diào)安全管理工作與各部門工作的關(guān)系，并確保其落實、有效；（二）全員參與原則：信息系統(tǒng)所有相關(guān)人員普遍參與信息系統(tǒng)的安全管理，并與相關(guān)方面協(xié)同、協(xié)調(diào)，共同保障信息系統(tǒng)安全；

23、（三）依法管理原則：信息安全管理工作應(yīng)保證管理主體合法、管理行為合法、管理內(nèi)容合法、管理程序合法；（四）分權(quán)和授權(quán)原則：對特定職能或責任領(lǐng)域的管理功能實施分離、獨立審計等實行分權(quán)，避免權(quán)力過分集中所帶來的隱患，以減小未授權(quán)的修改或濫用系統(tǒng)資源的機會。任何實體（如用戶、管理員、進程、應(yīng)用或系統(tǒng)）僅享有該實體需要完成其任務(wù)所必須的權(quán)限，不應(yīng)享有任何多余權(quán)限。（五）體系化管理原則: 吉林省某某單位整體應(yīng)符合信息系統(tǒng)等級保護三級的體系化管理目標和要求。 本規(guī)定適用于吉林省某某單位。信息安全組織機構(gòu) 吉林省某某單位應(yīng)建立由吉林省某某單位網(wǎng)絡(luò)安全與信息化工作領(lǐng)導小組和吉林省某某單位網(wǎng)絡(luò)安全與信息化工作領(lǐng)導

24、小組辦公室共同構(gòu)建的安全管理機構(gòu)。 由吉林省某某單位主管領(lǐng)導或主管領(lǐng)導授權(quán)的主管機構(gòu)領(lǐng)導擔任吉林省某某單位網(wǎng)絡(luò)安全與信息化工作領(lǐng)導小組組長，小組成員包括：（一）吉林省某某單位信息化主管領(lǐng)導；（二）吉林省某某單位各業(yè)務(wù)單位的主管領(lǐng)導；（三）吉林省某某單位信息化管理處主管領(lǐng)導。 吉林省某某單位網(wǎng)絡(luò)安全與信息化工作領(lǐng)導小組辦公室是吉林省某某單位的信息化管理處，是信息安全工作的執(zhí)行機構(gòu)，負責執(zhí)行吉林省某某單位網(wǎng)絡(luò)安全與信息化工作領(lǐng)導小組交辦的各項工作，由吉林省某某單位信息化主管領(lǐng)導主管領(lǐng)導擔任負責人，成員為各業(yè)務(wù)單位的主管領(lǐng)導，信息安全執(zhí)行層包括：（一）吉林省某某單位的網(wǎng)絡(luò)管理員、系統(tǒng)管理員、安全管理

25、員、安全審計員、安全策略/規(guī)劃員、數(shù)據(jù)庫管理員、應(yīng)用管理員和機房管理員；（二）吉林省某某單位各業(yè)務(wù)單位的安全員。信息化管理處應(yīng)設(shè)立信息安全管理崗位，分別為安全管理員、安全審計員、網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員、應(yīng)用管理員和機房管理員，負責執(zhí)行網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)庫、應(yīng)用和機房的安全管理和運維工作。 其他信息化相關(guān)部門應(yīng)指派安全員，負責協(xié)調(diào)本部門信息安全工作的落實和具體執(zhí)行情況。信息安全組織職責 吉林省某某單位網(wǎng)絡(luò)安全與信息化工作領(lǐng)導小組辦公室負責領(lǐng)導吉林省某某單位的信息系統(tǒng)安全工作，組織職責如下：（一）根據(jù)國家和行業(yè)有關(guān)信息安全的政策、法律和法規(guī)，確定信息安全工作的總體方向、總體原則和安全工

26、作方法；（二）根據(jù)國家和行業(yè)有關(guān)信息安全的政策、法律和法規(guī)，批準吉林省某某單位信息系統(tǒng)的安全策略和發(fā)展規(guī)劃；（三）確定各有關(guān)部門在信息系統(tǒng)安全工作中的職責，領(lǐng)導安全工作的實施；（四）監(jiān)督安全措施的執(zhí)行，并對重要安全事件的處理進行決策；（五）指導和檢查信息化管理處的各項工作；（六）建設(shè)和完善信息系統(tǒng)安全組織體系和管理機制。 吉林省某某單位網(wǎng)絡(luò)安全與信息化工作領(lǐng)導小組辦公室負責貫徹、落實和執(zhí)行吉林省某某單位網(wǎng)絡(luò)安全與信息化工作領(lǐng)導小組下達的各項工作，組織職責如下：（一）貫徹、落實和解釋國家和行業(yè)有關(guān)信息安全的政策、法律、法規(guī)和信息安全工作要求，起草吉林省某某單位信息系統(tǒng)的安全策略和發(fā)展規(guī)劃；（二）

27、落實和執(zhí)行吉林省某某單位信息安全工作的日常事務(wù)，對具體落實情況進行總結(jié)和匯報；（三）負責安全措施的實施或組織實施，組織并參加信息安全重要事件的處理；（四）負責內(nèi)、外部組織和機構(gòu)的信息安全溝通、協(xié)調(diào)和合作工作；（五）組織編制和落實信息安全規(guī)劃、方案、實施、測試和驗收等工作；（六）指導和檢查相關(guān)單位信息系統(tǒng)安全工作落實情況；（七）監(jiān)控信息系統(tǒng)安全總體狀況，提出安全分析報告；（八）指導和檢查相關(guān)單位和下級單位信息系統(tǒng)安全人員及要害崗位人員的信息安全工作；（九）協(xié)同有關(guān)部門共同組成應(yīng)急處理小組，組織處理信息安全應(yīng)急響應(yīng)工作；（十）負責組織信息系統(tǒng)安全知識的培訓和宣傳工作。信息安全崗位職責 吉林省某某單

28、位信息安全組織中應(yīng)建立信息安全崗位，明確信息安全崗位職責。 信息安全工作主管(信息化管理處主任)的崗位職責如下：（一）組織、協(xié)調(diào)落實各項信息安全工作；（二）組織評審信息安全總體策略、規(guī)劃方案、管理制度和技術(shù)規(guī)范；（三）組織評審信息安全產(chǎn)品技術(shù)規(guī)格和相關(guān)產(chǎn)品安全規(guī)格；（四）組織監(jiān)督、檢查信息安全工作的落實情況。 安全管理員(專職)的崗位職責如下：（一）起草和編制吉林省某某單位信息安全方針、信息安全保障體系框架和信息安全策略、制度和技術(shù)規(guī)范；（二）起草和編制吉林省某某單位信息安全總體規(guī)劃，收集信息系統(tǒng)安全需求；（三）推動吉林省某某單位信息安全方針、信息安全策略、信息安全管理制度及信息安全技術(shù)規(guī)范的

29、實施落實。（四）定期組織信息系統(tǒng)漏洞掃描和信息安全風險評估工作，形成信息系統(tǒng)和整體安全現(xiàn)狀報告，并向吉林省某某單位網(wǎng)絡(luò)安全與信息化工作領(lǐng)導小組辦公室進行匯報；（五）負責制定總體網(wǎng)絡(luò)訪問控制策略和規(guī)則，并對其進行監(jiān)控和審計工作，定期發(fā)布策略執(zhí)行情況；（六）負責制定全員的安全培訓計劃，組織開展安全培訓工作；（七）對網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)庫管理員進行安全指導；（八）定期收集信息安全漏洞和公告信息，并告知相關(guān)部門的信息安全運維管理人員及安全員；（九）協(xié)調(diào)信息安全應(yīng)急響應(yīng)組織和技術(shù)支撐單位。 安全審計員的崗位職責如下：（一）定期審計信息安全策略執(zhí)行情況，收集信息系統(tǒng)日志和審計記錄，并提供審計報告；（二）

30、對安全、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)庫、機房管理員的操作行為進行監(jiān)督，安全職責落實情況進行檢查；（三）組織檢查相關(guān)單位和下級單位信息系統(tǒng)安全人員及要害崗位人員的信息安全工作。系統(tǒng)管理員的安全職責如下：（一）根據(jù)吉林省某某單位安全策略定期對系統(tǒng)進行自評估；（二）依照安全策略對系統(tǒng)進行安全配置和漏洞修補；（三）對系統(tǒng)進行日常安全運維管理，定期更改系統(tǒng)賬號，并定期提交安全運行維護記錄或報告；（四）在發(fā)生系統(tǒng)異常和安全事件時對系統(tǒng)進行應(yīng)急處置。 網(wǎng)絡(luò)管理員的安全職責如下：（一）根據(jù)吉林省某某單位安全策略定期對網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)架構(gòu)進行自評估；（二）依照安全策略對網(wǎng)絡(luò)設(shè)備進行安全配置；（三）對網(wǎng)絡(luò)設(shè)備、安全設(shè)備進

31、行日常安全運維管理，并定期提交安全運行維護記錄或報告；（四）在發(fā)生系統(tǒng)異常和安全事件時，對網(wǎng)絡(luò)設(shè)備、安全設(shè)備進行應(yīng)急處置。 數(shù)據(jù)庫管理員的安全職責如下：（一）根據(jù)吉林省某某單位安全策略定期對數(shù)據(jù)庫安全進行自評估；（二）依照安全策略對數(shù)據(jù)庫進行安全配置和漏洞修補；（三）對數(shù)據(jù)庫進行日常安全運維管理，定期檢查數(shù)據(jù)庫用戶，并提交安全運行維護記錄或報告；（四）在發(fā)生數(shù)據(jù)庫異常和安全事件時，對數(shù)據(jù)庫以及備份數(shù)據(jù)進行應(yīng)急處置和恢復。 應(yīng)用管理員的安全職責如下：（一）根據(jù)吉林省某某單位安全策略定期對應(yīng)用進行自評估；（二）依照安全策略對應(yīng)用進行安全配置和漏洞修補；（三）對應(yīng)用進行日常安全運維管理，并提交安全運

32、行維護記錄或報告；（四）在發(fā)生應(yīng)用異常和安全事件時，對應(yīng)用進行應(yīng)急處置和恢復。 機房管理員的安全職責如下：（一）負責機房的物資管理和日常維護工作；（二）根據(jù)信息化管理處的要求，嚴格遵守工作流程，確保日常工作的正常進行；（三）完成信息化管理處交辦的其他工作。 重要業(yè)務(wù)系統(tǒng)操作人員的安全職責如下：（一）根據(jù)吉林省某某單位安全策略對業(yè)務(wù)系統(tǒng)進行安全操作；（二）負責定期對業(yè)務(wù)系統(tǒng)操作進行自評估，如發(fā)現(xiàn)非法或違反安全策略的操作應(yīng)及時報告安全審計員。 相關(guān)部門安全員的崗位職責如下：（一）負責本部門信息安全工作的開展，并配合信息化管理處的信息安全工作；（二）遵照吉林省某某單位的信息安全策略協(xié)調(diào)本部門的信息安

33、全技術(shù)落實；（三）指導并參與信息安全相關(guān)項目的建設(shè)；（四）協(xié)調(diào)本部門的信息安全工作，并接受數(shù)據(jù)信息化管理處定期和不定期的檢查。信息安全崗位要求 吉林省某某單位應(yīng)設(shè)立專職的信息安全管理崗位，并由專人負責，根據(jù)信息安全管理的實際工作情況，人員編制為3-6人。 吉林省某某單位設(shè)立專職的安全管理員。 關(guān)鍵崗位應(yīng)配備多人共同管理，定期輪崗，關(guān)鍵崗位人員配備堅持“權(quán)限分散、不得交叉覆蓋”的原則，安全管理員和安全審計員不能由一人身兼。 信息化管理處應(yīng)根據(jù)崗位職責，確定崗位所需要的安全技能，并對所有信息安全崗位人員進行相應(yīng)的安全技能培訓。 吉林省某某單位信息系統(tǒng)的安全技術(shù)崗位可由其他相關(guān)管理員兼任，其中網(wǎng)絡(luò)安

34、全管理、系統(tǒng)安全管理、數(shù)據(jù)庫安全管理以及應(yīng)用安全管理工作可分別由網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員以及應(yīng)用管理員執(zhí)行。 重要業(yè)務(wù)系統(tǒng)操作人員應(yīng)在日常工作中認真執(zhí)行吉林省某某單位安全策略和技術(shù)安全規(guī)范中的各項要求。 各個業(yè)務(wù)單位的安全員應(yīng)緊密配合部信息安全工作，協(xié)調(diào)本單位信息安全策略的落實和信息安全工作的具體執(zhí)行。附則 本規(guī)定的解釋權(quán)歸吉林省某某單位。 本規(guī)定自發(fā)布之日起生效。附件2-1-1 網(wǎng)絡(luò)安全工作授權(quán)審批單（模板）網(wǎng)絡(luò)安全工作授權(quán)審批單授權(quán)審批事件信息審批事項事項類型受控資料使用 外部網(wǎng)絡(luò)連接 內(nèi)部網(wǎng)絡(luò)接入特殊權(quán)限申請 其他 申請人所在部門擔任職位申請時間詳細說明授權(quán)審批流程及簽字審批

35、人員人員簽字審批意見審批時間申請人部門領(lǐng)導主管領(lǐng)導其他相關(guān)人員附件2-1-2 網(wǎng)絡(luò)安全工作會議記錄表（模板）網(wǎng)絡(luò)安全工作會議記錄表會議信息會議名稱會議日期會議時間會議地點參會單位內(nèi)部會議 主管機構(gòu) 監(jiān)督機構(gòu) 外聯(lián)單位 服務(wù)廠商主持人記錄人人員信息參會人員單位/部門聯(lián)系方式簽到時間會議記錄會議內(nèi)容附件2-1-3 外聯(lián)單位工作聯(lián)系表（模板）外聯(lián)單位工作聯(lián)系表序號姓名聯(lián)系電話郵箱單位負責事項備注123456789101112131415161718192021222324信息安全檢查與審計管理制度總則為了加強吉林省某某單位信息安全檢查與審計工作管理，確保信息安全管理符合國家有關(guān)要求，特制訂本制度。本

36、規(guī)定適用于吉林省某某單位。安全檢查信息安全檢查包括各業(yè)務(wù)部門自查和信息安全處定期執(zhí)行的安全檢查。各業(yè)務(wù)部門的自查內(nèi)容應(yīng)包括業(yè)務(wù)系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況，自查工作應(yīng)保留自查結(jié)果。自查應(yīng)至少一個季度組織一次。信息化管理處執(zhí)行的安全檢查內(nèi)容應(yīng)包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況和業(yè)務(wù)處室自查結(jié)果抽查等。安全檢查應(yīng)至少半年組織一次。自查和安全檢查均應(yīng)在檢查之前形成檢查表，自查檢查表應(yīng)經(jīng)過業(yè)務(wù)部門領(lǐng)導審核通過，安全檢查表應(yīng)經(jīng)過信息安全工作小組審核通過。應(yīng)嚴格按照檢查表實施檢查，檢查完畢，記錄下所有檢查結(jié)果，檢查記錄需經(jīng)各業(yè)務(wù)部門領(lǐng)導簽字認可。應(yīng)對

37、檢查記錄進行歸檔，只有授權(quán)人員可以訪問閱讀。應(yīng)對檢查結(jié)果進行匯總分析，形成安全檢查報告，檢查報告應(yīng)對問題進行分析，提出解決建議。應(yīng)制定措施防止安全檢查結(jié)果的非授權(quán)散布，只對經(jīng)過授權(quán)的人員通報安全檢查結(jié)果。各業(yè)務(wù)部門應(yīng)閱讀并理解安全檢查報告，在信息化管理處的指導下對出現(xiàn)的問題進行整改。信息化管理處應(yīng)對整改過程進行監(jiān)督，并將整改結(jié)果報送信息安全工作小組。安全審計安全審計作為整體審計工作的一個部份，依據(jù)審計工作相關(guān)管理辦法開展安全審計工作。安全審計人員的配備應(yīng)根據(jù)實際情況，采用如下方法的一種，原則上應(yīng)以審計部門培養(yǎng)自身獨立的安全審計人員為主，其他手段為輔。由審計部門獨立完成，使用審計部門具備相應(yīng)技能

38、的人員完成審計工作；由審計部門和信息化管理處共同完成，信息化管理處指派熟悉技術(shù)的人員配合審計部門完成審計工作，本情形需注意審計獨立的原則，進行交叉審計；聘請外部專業(yè)審計單位完成審計工作安全審計的內(nèi)容主要包括：相關(guān)法律法規(guī)的符合情況；管理部門的相關(guān)管理要求的符合情況；現(xiàn)有安全技術(shù)措施的有效性；安全配置與安全策略的一致性；安全管理制度的執(zhí)行情況；安全檢查和自查的檢查結(jié)果及檢查報告；日志信息是否完整記錄；各類重要記錄是否免受損失、破壞或偽造篡改；檢查系統(tǒng)是否存在漏洞；檢查數(shù)據(jù)是否具備安全保障措施。安全審計工作應(yīng)具有獨立性，避免有舞弊的情況發(fā)生。安全審計的方式分為：全面審計：即審計內(nèi)容覆蓋安全管理范圍

39、內(nèi)的所有部門，以及所有信息安全控制措施要求的檢查。專項審計：即審計內(nèi)容只涉及部分部門，或部分信息安全控制措施要求的檢查。無論是采用全面審計還是專項審計方式，安全審計應(yīng)每一年對所有的部門，以及所有的信息安全控制措施要求至少進行過一次審計。被審計方應(yīng)積極配合信息安全審計工作，應(yīng)對審計結(jié)果進行確認。安全審計工作中發(fā)現(xiàn)的不符合事項應(yīng)按照審計管理相關(guān)制度要求進行改進。審計部門應(yīng)將改進過程和結(jié)果通告給信息安全工作小組。附則本制度的解釋權(quán)歸吉林省某某單位。本制度自發(fā)布之日起生效。附件2-2-1 年度網(wǎng)絡(luò)安全檢查記錄（模板）年度網(wǎng)絡(luò)安全檢查記錄單位基本情況單位名稱單位地址 ?。▍^(qū)、市） 地（區(qū)、市、州、盟）

40、縣（區(qū)、市、旗）郵政編碼單位網(wǎng)絡(luò)安全分管領(lǐng)導姓 名職務(wù)/職稱網(wǎng)絡(luò)安全責任部門責任部門負責人姓 名職務(wù)/職稱辦公電話移動電話責任部門聯(lián)系人姓 名職務(wù)/職稱辦公電話移動電話單位類型信息系統(tǒng)總數(shù)（總部和分支機構(gòu)）第四級系統(tǒng)數(shù)第三級系統(tǒng)數(shù)第二級系統(tǒng)數(shù)第一級系統(tǒng)數(shù)未定級系統(tǒng)數(shù)本單位信息系統(tǒng)總數(shù)（已在公安部門報備）第四級系統(tǒng)數(shù)第三級系統(tǒng)數(shù)第二級系統(tǒng)數(shù)未定級系統(tǒng)數(shù)本單位信息系統(tǒng)測評數(shù)量第四級系統(tǒng)數(shù)第三級系統(tǒng)數(shù)第二級系統(tǒng)數(shù)未定級系統(tǒng)數(shù)本單位信息系統(tǒng)測評合格數(shù)量第四級系統(tǒng)數(shù)第三級系統(tǒng)數(shù)第二級系統(tǒng)數(shù)未定級系統(tǒng)數(shù)一、網(wǎng)絡(luò)安全工作的基本情況1.網(wǎng)絡(luò)安全工作組織（協(xié)調(diào)）領(lǐng)導機構(gòu)情況（說明網(wǎng)絡(luò)安全組織（協(xié)調(diào)）領(lǐng)導機構(gòu)建立

41、、組成、分工以及網(wǎng)絡(luò)安全工作議事或例會制度等具體情況）2.網(wǎng)絡(luò)安全責任制落實情況（說明本單位網(wǎng)絡(luò)安全工作責任制的具體內(nèi)容：包括每個信息系統(tǒng)是否有明確的安全責任人，專職信息安全員的數(shù)量情況，是否逐級簽訂網(wǎng)絡(luò)安全責任書，是否建立了責任追究制度，是否明確了專門的監(jiān)督管理人員負責責任追究制度落實等情況）3.網(wǎng)絡(luò)安全規(guī)劃和策略（說明是否制定了本單位網(wǎng)絡(luò)安全規(guī)劃和策略，規(guī)劃和策略的核心內(nèi)容，是否落實了網(wǎng)絡(luò)安全與信息化建設(shè)同步立項、同步設(shè)計、同步建設(shè)、同步驗收等情況）4.網(wǎng)絡(luò)安全工作考核和經(jīng)費保障情況（說明本單位網(wǎng)絡(luò)安全工作是否納入到年度考核指標，是否定期召開會議或印發(fā)文件部署網(wǎng)絡(luò)安全工作，本年度的網(wǎng)絡(luò)安全

42、工作經(jīng)費預算情況，上年度的網(wǎng)絡(luò)安全經(jīng)費預算和執(zhí)行情況）5.網(wǎng)絡(luò)安全教育培訓情況（說明本單位網(wǎng)絡(luò)安全教育培訓計劃具體制定情況，信息技術(shù)人員及系統(tǒng)使用人員定期進行安全培訓的具體情況）6.網(wǎng)絡(luò)安全人員安全管理制度（說明本單位信息安全人員安全管理制度的制定情況：包括人員錄用、離崗、考核、安全保密、教育培訓管理制度。）7.機房安全管理制度（說明本單位機房安全管理制度的具體內(nèi)容：包括制定和下發(fā)人員進出機房管理制度，機房進出人員登記記錄情況，機房的日常安全保衛(wèi)和防火、防盜、防水的各項工作措施落實情況，及機房日常監(jiān)控情況）8.系統(tǒng)建設(shè)管理制度（說明本單位系統(tǒng)建設(shè)管理制度的執(zhí)行情況：包括按照制度要求在產(chǎn)品采購、

43、服務(wù)外包過程中簽訂安全保密責任書，及信息系統(tǒng)投入使用前進行安全性測試，請查閱相關(guān)記錄）目前系統(tǒng)建設(shè)并未在產(chǎn)品采購、服務(wù)外包過程中簽訂安全保密責任書，但在合同中有對保密責任的約束，信息系統(tǒng)投入使用前未進行嚴格的安全性測試，現(xiàn)已意識到網(wǎng)絡(luò)安全的重要性，會逐步完善系統(tǒng)建設(shè)管理制度，并要求系統(tǒng)建設(shè)嚴格按照管理制度有序進行。9資產(chǎn)管理制度（說明本單位是否指定專人進行網(wǎng)絡(luò)與信息系統(tǒng)資產(chǎn)管理，是否建立信息系統(tǒng)軟硬件統(tǒng)一登記表，是否及時對信息系統(tǒng)中的老舊設(shè)備進行維護和更換等）10.日常網(wǎng)絡(luò)安全監(jiān)測和預警情況（說明日常網(wǎng)絡(luò)安全監(jiān)測預警制度的制定和執(zhí)行情況，單位自身開展網(wǎng)絡(luò)安全監(jiān)測預警情況以及聘請有關(guān)技術(shù)支撐單位

44、對互聯(lián)網(wǎng)站和網(wǎng)上信息系統(tǒng)開展技術(shù)滲透情況）11.安全事件應(yīng)急處置和災備建設(shè)情況（說明本單位安全時間應(yīng)急處置的具體內(nèi)容：包括應(yīng)急預案的制定，下發(fā)和學習，定期開展應(yīng)急演練的情況，是否根據(jù)演練情況修訂或完善應(yīng)急處置預案，是否與公安、通信、電力以及其他運行支撐部門開展聯(lián)合應(yīng)急演練情況，是否建立了應(yīng)急處置工作機制，是否開展了異地災備中心建設(shè)等情況） 12.網(wǎng)絡(luò)安全事件（事故）情況（說明本年度是否發(fā)生網(wǎng)絡(luò)安全事件（事故），具體原因是什么，如何進行處置，造成的后果和影響是什么）二、信息安全等級保護具體工作情況1.信息系統(tǒng)定級備案情況（說明本單位的信息系統(tǒng)的定級及備案情況，包括資料的編制及填寫，主管部門、監(jiān)管

45、部門及公安部門的報備情況）2.等級測評工作情況（說明本單位的等級測評經(jīng)費預算情況，對選擇的等級測評機構(gòu)資質(zhì)情況及已定級的信息系統(tǒng)進行等級測評的數(shù)量，第三級以上信息系統(tǒng)按要求定期開展測評工作的情況，及等級測評報告提交受理備案的公安機關(guān)的相關(guān)工作情況）3.安全建設(shè)整改情況（說明本單位安全建設(shè)整改情況的具體內(nèi)容：包括對發(fā)現(xiàn)安全問題的信息系統(tǒng)進行安全建設(shè)整改的工作情況，及在完成整改前，采取有效的風險控制措施的執(zhí)行情況）4.安全自查工作情況（說明本單位開展安全檢查工作的計劃、內(nèi)容及執(zhí)行情況；本單位通過自查發(fā)現(xiàn)安全隱患的數(shù)量情況，對安全隱患的整改情況）5.信息安全整改工作落實情況（說明本單位信息安全整改工

46、作落實情況，包括信息安全整改短期計劃及長期計劃制定情況，整改工作落實情況，資金落實情況等）三、信息系統(tǒng)安全保護管理措施和關(guān)鍵技術(shù)措施建設(shè)情況1.網(wǎng)絡(luò)安全情況（說明本單位網(wǎng)絡(luò)安全情況：包括網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量、用戶行為等的記錄分析情況；網(wǎng)絡(luò)邊界處監(jiān)視端口掃描、強力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲等攻擊情況，及當對網(wǎng)絡(luò)設(shè)備進行遠程管理時；采取措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽情況）2.主機安全情況（說明本單位的主機安全情況：包括操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標識、口令有效性和定期更換情況；采用兩種或兩種以上組合的鑒別技術(shù)對管理用戶進行身份鑒別情況

47、，及防惡意代碼軟件安裝、更新情況）3.應(yīng)用安全情況（說明本單位應(yīng)用安全情況：包括登錄控制模塊對登錄用戶進行身份標識和鑒別情況，及依據(jù)安全策略控制用戶對文件、數(shù)據(jù)庫表等客體的訪問情況）4.數(shù)據(jù)安全及備份恢復情況（說明本單位重要信息系統(tǒng)數(shù)據(jù)在傳輸、存儲、保密等方面采取的安全保護措施情況；對重要業(yè)務(wù)應(yīng)用和重要數(shù)據(jù)的備份情況）四、信息系統(tǒng)使用信息技術(shù)產(chǎn)品和服務(wù)情況1.系統(tǒng)和應(yīng)用軟件使用情況（列表說明本單位系統(tǒng)和應(yīng)用軟件中，國內(nèi)和國外操作系統(tǒng)、數(shù)據(jù)庫、辦公軟件、業(yè)務(wù)應(yīng)用軟件、中間件、防木馬病毒軟件等的品牌、使用數(shù)量以及與國產(chǎn)的比例情況 ）2.系統(tǒng)硬件產(chǎn)品使用情況（列表說明本單位系統(tǒng)硬件產(chǎn)品中，國內(nèi)和國外

48、小型機、服務(wù)器、交換機、路由器等信息技術(shù)產(chǎn)品以及防火墻、入侵檢測設(shè)備等信息安全產(chǎn)品的硬件品牌、產(chǎn)品使用數(shù)量以及與國產(chǎn)的比例情況）3.系統(tǒng)使用密碼產(chǎn)品情況（列表說明本單位密碼產(chǎn)品中，國內(nèi)和國外密碼算法和密碼產(chǎn)品的等品牌、使用數(shù)量以及與國產(chǎn)的比例情況）4.系統(tǒng)服務(wù)使用情況（說明本單位系統(tǒng)服務(wù)中，國內(nèi)和國外信息安全服務(wù)的使用情況和比例）填表人時間網(wǎng)絡(luò)安全負責人時間人員安全管理內(nèi)部人員信息安全管理規(guī)定總則 為保障吉林省某某單位人員信息安全管理的規(guī)范性，制定本規(guī)定。 人員信息安全管理包括與信息化工作有關(guān)的人員錄用、崗位人選、人員轉(zhuǎn)崗和離崗、人員考核、人員懲戒、人員教育和培訓等的信息安全管理。 本規(guī)定適用

49、于吉林省某某單位。人員錄用信息安全人員錄用規(guī)則遵照人事部門的人員錄用管理規(guī)定執(zhí)行。錄用過程中應(yīng)注意以下涉及信息安全方面的要求：（一）錄用部門應(yīng)明確被錄用人員的信息安全技能要求，在錄用過程中依據(jù)技能要求進行考察，并對技能考核結(jié)果進行記錄；（二）對于可接觸較多機密或更高級別信息資產(chǎn)或特殊工種的人員，需要簽訂保密協(xié)議；（三）應(yīng)從內(nèi)部人員中選拔從事關(guān)鍵崗位的人員，并簽署崗位安全協(xié)議，明確應(yīng)盡的信息安全保護義務(wù)，保證其在崗工作期間和離崗后一定時期內(nèi)，均不得違反崗位安全協(xié)議。崗位人選明確所有信息安全崗位人員在信息系統(tǒng)安全保護中的職責和權(quán)限，其工作、活動范圍應(yīng)當被限制在完成其任務(wù)的最小范圍內(nèi)。 安全管理員、

50、安全審計員、網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員、機房管理員等和信息安全有關(guān)的崗位人員，必須經(jīng)過嚴格的審查并考核其業(yè)務(wù)能力。人員轉(zhuǎn)崗和離崗 人員的轉(zhuǎn)崗和離崗由所在部門及時通知人事部門，只有具備經(jīng)過人事部門簽字的保密承諾文檔后才能辦理轉(zhuǎn)崗和離崗手續(xù)。 人員轉(zhuǎn)崗和離崗時，需及時終止離崗人員的所有訪問權(quán)限，及時變更轉(zhuǎn)崗人員的訪問權(quán)限。 對轉(zhuǎn)崗和離崗人員，要對設(shè)備上保留的數(shù)據(jù)進行安全處理，包括備份需要留存的數(shù)據(jù)以及刪除不必要的數(shù)據(jù)。 對關(guān)鍵崗位的轉(zhuǎn)崗和離崗人員需重申調(diào)離后的保密義務(wù)，要求調(diào)離人員在保密承諾文檔上簽字，承諾相關(guān)保密義務(wù)后方可離開。人員考核 信息化管理處每年對所有崗位人員進行信息安全考察，

51、內(nèi)容如下：（一）對所有人員進行信息安全意識考核；（二）對涉及信息安全管理、檢查和執(zhí)行的崗位人員，將定期進行信息安全技能的考核，包括信息安全管理知識的掌握程度、所管理業(yè)務(wù)系統(tǒng)中安全產(chǎn)品的操作技能、所管理業(yè)務(wù)系統(tǒng)中使用的操作系統(tǒng)和應(yīng)用軟件的安全使用等；（三）每年發(fā)生的信息安全事故、信息安全檢查結(jié)果和信息安全審計結(jié)果將納入考察內(nèi)容。 信息安全考察結(jié)果將進行存檔，以便查詢，及與上次考核進行對比分析。 對于考核中發(fā)現(xiàn)有違反信息安全法規(guī)行為的人員或發(fā)現(xiàn)不適于承擔信息安全關(guān)鍵崗位的人員要依據(jù)有關(guān)規(guī)定處理。 信息化管理處每年還將對信息安全三大員（系統(tǒng)管理員、安全管理員、安全審計員）的人員進行一次工作督察，督察

52、的內(nèi)容參照安全組織人員崗位職責中有關(guān)的要求執(zhí)行。 人員懲戒 人員違反信息安全策略和規(guī)定時，依照信息化管理處相關(guān)規(guī)定進行處理。 如該信息安全違規(guī)行為涉及法律層面，則將移交司法機關(guān)處理。人員教育和培訓 由信息化管理處制定培訓計劃，實施信息安全教育和培訓工作，培訓計劃分層次、分階段，循序漸進地進行。分層次培訓是指對不同層次和不同崗位的人員，如對管理層（包括決策層）、安全管理員、系統(tǒng)管理員和所有信息安全相關(guān)人員開展有針對性和不同側(cè)重點的培訓。分階段培訓是指在信息安全管理體系的建立、實施和保持的不同階段，實施不同的培訓內(nèi)容。新員工在正式上崗前，需進行信息安全方面的培訓，明確崗位所要求遵守的信息安全管理制

53、度、技術(shù)規(guī)范以及操作流程。 對信息系統(tǒng)的維護人員和管理人員需定期開展信息安全技術(shù)教育培訓（每年至少一次），明確如何安全使用有關(guān)系統(tǒng)，包括各業(yè)務(wù)系統(tǒng)、主機操作系統(tǒng)、電子郵件系統(tǒng)以及計算機硬件設(shè)備等。 定期開展由供應(yīng)商或廠家提供的專業(yè)安全技術(shù)培訓，幫助相關(guān)信息安全管理人員和技術(shù)人員了解掌握正確、安全地安裝、配置和維護系統(tǒng)。 在信息安全教育和培訓后實行書面的考核，確認教育和培訓的效果，對安全教育和培訓的情況和結(jié)果記錄并歸檔保存。 日常的信息安全教育和培訓以內(nèi)部培訓為主，對于暫時沒有條件實施內(nèi)部培訓的，可根據(jù)需要，邀請廠商、合作伙伴或者專業(yè)的培訓機構(gòu)實施培訓。附則本規(guī)定的解釋權(quán)歸吉林省某某單位。本規(guī)定

54、自發(fā)布之日起生效。附件3-1-1 人員錄用審查考核結(jié)果記錄（模板）人員錄用審查考核結(jié)果記錄基本情況姓名性別出生日期身高體重籍貫民族政治面貌婚姻狀況身份證號擬定部門擬定崗位聯(lián)系電話家庭住址教育經(jīng)歷時間畢業(yè)院?；蚺嘤枡C構(gòu)專業(yè)學歷證明人工作經(jīng)歷時間單位部門崗位證明人家庭成員姓名關(guān)系職業(yè)工作單位地址或現(xiàn)住址聯(lián)系電話考核結(jié)果基本技能考核結(jié)果專業(yè)技能考核結(jié)果其他相關(guān)考核結(jié)果其他審查資料真實情況確認違紀違法情況審查其他相關(guān)情況審查審查意見用人部門意見及簽字人事部門意見及簽字主管領(lǐng)導意見及簽字附件3-1-2 信息系統(tǒng)關(guān)鍵崗位安全協(xié)議（模板）（一）協(xié)議范圍本協(xié)議適用于信息化管理處從事業(yè)務(wù)、管理和技術(shù)關(guān)鍵崗位的人

55、員。（二）協(xié)議有效期限關(guān)鍵崗位的任職期內(nèi)。（三）保密要求作為關(guān)鍵崗位人員，我嚴格遵守以下保密要求：嚴守黨和國家的秘密，認真執(zhí)行中華人民共和國保守國家秘密法和本單位的各種保密規(guī)定。嚴格遵守保密人員工作守則：不該說的秘密不說；不該看的秘密不看；不該知道的秘密不問。不把黨和國家的秘密透漏給家屬、親友和其他不應(yīng)知道秘密的人。不在私人通信和通話中涉及秘密信息；不在辦公室以外的地方存放密件；個人使用的寫有涉密信息的保密本要妥善保管，非保密本不記載秘密信息。不在不利于保密的場合談?wù)撚嘘P(guān)保密設(shè)備的相關(guān)事宜。未經(jīng)允許，不私自與外國機關(guān)、團體、人員進行往來；與在臺灣、香港、澳門及國外的親友往來、通信，需經(jīng)主管領(lǐng)導

56、同意。不利用保密設(shè)備從事私人活動。外出執(zhí)行任務(wù)或轉(zhuǎn)移駐地時，密件親自攜帶，不交于他人攜帶或保管。未經(jīng)允許不進入安全控制區(qū)域（保密要害部門、部位），如涉密機房、領(lǐng)導辦公室、檔案室等；獲準進入時，不自行翻閱文件、電報等。不在涉密機房內(nèi)拍照、錄音、錄像。認真學習保密規(guī)定，增強保密意識，加強自覺管理。（四）違約責任如未遵守保密要求，我接受本單位的相關(guān)規(guī)章制度的懲罰。 關(guān)鍵崗位聘任人簽字： 日期： 關(guān)鍵崗位所在部門領(lǐng)導簽字： 日期：附件3-1-3 信息安全崗位培訓計劃制定要求（模板）信息安全崗位培訓計劃制定要求信息安全培訓要體現(xiàn)層次性，對不同崗位的人員進行側(cè)重不同的培訓：主管信息安全工作的高層負責人或各

57、級管理人員的培訓，其重點是掌握和了解本單位信息安全的整體策略及目標、信息安全體系的構(gòu)成、安全管理機構(gòu)建立和管理制度的制訂。 負責信息安全運行管理及維護的技術(shù)人員的培訓，重點是充分理解信息安全管理策略，掌握安全評估的基本方法，對安全操作和維護技術(shù)的合理運用。 信息系統(tǒng)用戶的培訓，其重點是學習各種安全操作規(guī)程，了解和掌握與其相關(guān)的安全策略，包括自身應(yīng)該承擔的安全職責。 對于特定的管理人員，提供特定的安全培訓，比如負責密鑰管理的人員，就應(yīng)該特別注重密鑰管理方面的技能培訓，而對于網(wǎng)絡(luò)服務(wù)的提供者，著重強調(diào)網(wǎng)絡(luò)服務(wù)安全注意事項本單位關(guān)于信息安全崗位培訓工作組織實施的事宜說明如下：1、由信息化管理處統(tǒng)一領(lǐng)

58、導和布置工作，各部門視自己的需要和實際情況組織落實，各單位根據(jù)各自的培訓內(nèi)容和培訓對象制定相應(yīng)的崗位培訓計劃，培訓計劃需經(jīng)數(shù)據(jù)管理中心審核后執(zhí)行。各部門向信息化管理處報送本部門的培訓計劃和培訓記錄。2、由信息化管理處落實面向本單位全體人員的培訓工作，由各部門落實面向本部門人員的培訓工作。3、培訓結(jié)束后，由信息化管理處組織考核和記錄工作。4、信息安全崗位培訓計劃的內(nèi)容如下，請各部門視實際情況修改：信息安全崗位培訓計劃培訓目的：通過持續(xù)、有效、層次分明、專業(yè)領(lǐng)先的安全培訓來提升本單位工作人員的整體安全意識和技能，使工作人員養(yǎng)成良好的安全習慣，保證本單位信息及系統(tǒng)的有效使用和穩(wěn)定運行，為本單位的各項

59、工作的順利進行起到應(yīng)有的促進作用。培訓方式：培訓方式主要有集中培訓和指導自學兩種。培訓對象（崗位）：本單位全體工作人員（包括信息安全技術(shù)崗位、管理崗位、使用崗位的人員）培訓內(nèi)容：包括信息安全基礎(chǔ)知識、本單位信息安全策略、本單位安全管理制度、崗位操作規(guī)程等培訓時間和地點：各部門自行安排附件3-1-4 人員離崗安全處理記錄（模板）人員離崗安全處理記錄基本信息姓名聯(lián)系方式部門入職時間擔任職位是否關(guān)鍵崗位離崗原因離崗時間交接情況工作交接人交接時間辦公物品交還情況監(jiān)督人：密碼用品交接情況監(jiān)督人：賬號口令更改情況監(jiān)督人：其他物品交還情況監(jiān)督人：離崗保密承諾本人了解有關(guān)保密法規(guī)制度，知悉應(yīng)當承擔的保密義務(wù)和

60、法律責任。在此莊重承諾：一、認真遵守國家保密法律法規(guī)和中電投集團保密規(guī)章制度，履行保密義務(wù)。二、不以任何方式泄露所接觸、知悉的國家秘密和商業(yè)秘密。三、已全部清退不應(yīng)由個人持有的各類國家秘密及商業(yè)秘密載體。四、未經(jīng)原單位審查批準，不擅自發(fā)表涉及原單位未公開工作內(nèi)容的文章、著述。五、自愿接受脫密期管理，自 年 月 日至 年 月 日服從有關(guān)部門的保密監(jiān)管。違反上述承諾，自愿承擔黨紀、政紀責任和法律后果。承諾人簽名： 年 月 日審批意見部門領(lǐng)導意見及簽字人事部門意見及簽字主管領(lǐng)導意見及簽字附件3-1-5 人員培訓考核記錄（模板）人員培訓考核記錄培訓情況記錄培訓內(nèi)容培訓類型基礎(chǔ)技術(shù) 安全意識 防病毒 應(yīng)