2022年單位內(nèi)部網(wǎng)絡(luò)信息安全制度匯編（試行）

《單位內(nèi)部網(wǎng)絡(luò)信息安全制度匯編（試行）》目錄TOC\o"1-5"\h\z一、相關(guān)術(shù)語 151、縮寫 152、制度適用范圍： 153、術(shù)語定義 15一、網(wǎng)絡(luò)信息安全總體策略 18第一章總則 18第二章術(shù)語定義 18第三章組織職責(zé) 18第四章管理原則 19第五章總體目標(biāo) 19第六章安全框架 19第七章策略制定與維護(hù) 21二、信息等級保護(hù)體系制定和發(fā)布管理規(guī)定 23第五章文件起草 24第六章文件評審 26第七章文件發(fā)布 28附錄一、（xx市民政局）管理制度發(fā)布記錄表 28三、等級保護(hù)體系評審和修訂管理規(guī)定 29第一章總則 29第二章評審程序 29第三章修訂程序 31四、信息安全管理組織架構(gòu) 32第一章總則 32第二章組織目標(biāo) 33第三章信息安全組織架構(gòu) 33第四章組織的信息安全職責(zé)描述 34五、信息系統(tǒng)安全檢查管理規(guī)定 37第一章總則 37第四章組織職責(zé) 37第五章通用要求 38第六章安全檢查準(zhǔn)備 38第七章安全檢查報告 39第八章安全檢查整改 39第九章檢查工具的使用 40附錄一：安全檢查情況匯總表 40附錄二：信息系統(tǒng)安全檢查表 41六、信息安全組織架構(gòu)與崗位職責(zé) 45第一章總則 45第二章信息化領(lǐng)導(dǎo)小組 46七、人員管理制度 50第一章總則 50第二章術(shù)語定義 50第三章組織職責(zé) 50第五章在崗管理 51第六章紀(jì)律處理過程 52第七章調(diào)動管理 52第八章離崗管理 53八、網(wǎng)絡(luò)安全培訓(xùn)和考核管理規(guī)定 54第一章總貝!j 54第二章組織職責(zé) 55第三章安全培訓(xùn)管理程序 55第五章安全考核管理程序 57九、第三方機(jī)構(gòu)安全管理規(guī)定 57第一章總則 57第二章術(shù)語定義 57第三章組織職責(zé) 58第五章駐場外包人員安全管理要求 58第六章臨時來訪人員安全管理要求 59第七章外包服務(wù)質(zhì)量考核與評價 60第八章外包人員離場安全要求 60十、計算機(jī)及網(wǎng)絡(luò)保密規(guī)定 61十一、信息系統(tǒng)測試管理辦法 63第一章總則 63第二章測試組工作職責(zé) 63第三章新業(yè)務(wù)系統(tǒng)上線測試管理辦法 66第四章常規(guī)版本升級測試管理辦法 67十二、信息安全建設(shè)管理規(guī)定 68第一章總則 68第二章適用范圍 69第三章組織職責(zé) 69第四章系統(tǒng)定級 69第五章安全檢查報告 71第六章系統(tǒng)建設(shè) 71第七章系統(tǒng)備案 72第八章系統(tǒng)測評 73第九章系統(tǒng)終止 74附錄一、系統(tǒng)安全設(shè)計方案評審表 75附錄二、系統(tǒng)測試驗(yàn)收評審表 75附錄三、系統(tǒng)轉(zhuǎn)移、終止或廢棄申請表 76十三、項(xiàng)目管理規(guī)定 78第一章總則 78第二章適用范圍 78第三章職責(zé)與權(quán)限 78第四章項(xiàng)目立項(xiàng) 79第五章項(xiàng)目計劃 80第六章項(xiàng)目實(shí)施 80第七章項(xiàng)目監(jiān)控 81第八章項(xiàng)目收尾 81十四、工作環(huán)境管理規(guī)定 82第一章總貝IJ 82第二章適用范圍 82第三章術(shù)語定義 82第四章辦公區(qū)域訪問控制 82第五章辦公環(huán)境安全 83第七章辦公用計算機(jī)安全 84第八章監(jiān)督和檢查 88十五、信息系統(tǒng)資產(chǎn)管理規(guī)定 89第一章總則 89第二章適用范圍 89第三章術(shù)語定義 89第四章職責(zé) 89第五章資產(chǎn)分類 89第六章資產(chǎn)分級 90第七章信息資產(chǎn)標(biāo)識 91第八章信息資產(chǎn)維護(hù) 92第九章閑置報廢資產(chǎn)管理 93附錄一、(xx市民政局)XXXX系統(tǒng)信息資產(chǎn)清單 94十六、存儲介質(zhì)管理規(guī)定 95第一章總貝() 95第二章適用范圍 96第五章存儲介質(zhì)標(biāo)識 96第六章存儲介質(zhì)訪問 97第七章存儲介質(zhì)保管 97第八章介質(zhì)維修 98第九章存儲介質(zhì)銷毀 98附錄一、存儲介質(zhì)清單 99附錄二、存儲介質(zhì)銷毀申請表 100十七、信息系統(tǒng)運(yùn)維監(jiān)控管理規(guī)定 100第一章總貝IJ 100第二章適用范圍 101第三章術(shù)語定義 101第四章組織職責(zé) 101第五章監(jiān)控管理要求 102第六章運(yùn)維監(jiān)控工作流程 103十八、網(wǎng)絡(luò)系統(tǒng)運(yùn)行管理規(guī)定 104第三章網(wǎng)絡(luò)資源的數(shù)據(jù)管理 105第四章網(wǎng)絡(luò)資源的申請 105第五章網(wǎng)絡(luò)資源的使用 106第六章網(wǎng)絡(luò)資源的建設(shè) 106第七章網(wǎng)絡(luò)資源的變更 107第八章 網(wǎng)絡(luò)故障處理 107十九、系統(tǒng)帳號權(quán)限管理規(guī)定 108第一章總則 108第二章適用范圍 108第三章術(shù)語定義 108第四章組織職責(zé) 109第五章通用原則 109第六章特權(quán)帳號管理 111第七章 普通帳號管理 111第八章口令管理 112附錄一、（xx市民政局）業(yè)務(wù)系統(tǒng)臨時帳戶申請表 113附錄二、（xx市民政局）業(yè)務(wù)系統(tǒng)帳戶清單 114二十、補(bǔ)丁管理規(guī)定 115第一章總則 115第二章適用范圍 115第三章術(shù)語定義 115第四章組織職責(zé) 115第五章補(bǔ)丁獲取 116第六章補(bǔ)丁測試 116第七章補(bǔ)丁驗(yàn)證和歸檔 118附錄一業(yè)務(wù)系統(tǒng)補(bǔ)丁安裝登記表 118二十一、信息系統(tǒng)日志管理規(guī)定 119第一章總貝IJ 119第二章適用范圍 120第三章術(shù)語定義 120第四章組織職責(zé) 120第七章業(yè)務(wù)系統(tǒng)日志管理 122第八章設(shè)備日志管理 122二十二、防病毒管理規(guī)定 123第一章總則 123第二章適用范圍 123第三章術(shù)語定義 123第四章組織職責(zé) 124第五章防計算機(jī)病毒目的 125第六章防病毒管理內(nèi)容 126第七章防病毒應(yīng)用規(guī)定 127第八章懲罰制度 127附件：病毒事件報告表 128二十三、信息安全密碼使用管理規(guī)定 130第一章總則 130第二章帳號設(shè)立要求 130第六章維護(hù)要求 135第七章流程管理要求 137二十四、變更管理規(guī)定 139第一章總則 139第二章適用范圍 139第三章術(shù)語定義 140第四章組織職責(zé) 141第五章變更申請 141第六章變更受理 142第七章變更方案制訂 142第八章變更審批 143第九章變更實(shí)施 144第十章變更匯總 146第十一章緊急變更 146附錄一變更申請單 147二十五、備份與恢復(fù)管理規(guī)定 150第一章總則 150第二章 術(shù)語定義 150第三章職責(zé) 150第四章備份管理 151第五章備份介質(zhì)管理 153第六章備份恢復(fù)管理 155附錄一：業(yè)務(wù)系統(tǒng)備份數(shù)據(jù)清單 156二十六、安全事件管理規(guī)定 162第一章總則 162第二章適用范圍 162第三章術(shù)語定義 162第四章組織職責(zé) 163第五章事件分類 163第六章事件分級 165第七章事件監(jiān)控 166第八章事件受理 166第九章事件處置 167附錄一、信息安全異?，F(xiàn)象報告 169附錄二、信息安全事件報告 171二十七、應(yīng)急預(yù)案管理規(guī)定 173二十八、軟件管理辦法 176第一章總則 176第二章適用范圍 177第三章職責(zé)與權(quán)限 177第四章軟件管理 177第五章軟件外包開發(fā) 177第六章軟件使用 178二十九、信息交付管理規(guī)定 179第一章總則 179第二章安全交付規(guī)范 180第三章人員安全管理 183附件安全系統(tǒng)交付清單 183相關(guān)術(shù)語1、縮寫原名稱縮寫名稱備注2、制度適用范圍:適用于（xx市民政局）各部門，包括系統(tǒng)維護(hù)管理人員、網(wǎng)絡(luò)、服務(wù)器、終端、設(shè)備、信息系統(tǒng)的專用設(shè)備以及物理環(huán)境等3、術(shù)語定義（-）安全策略：是綱領(lǐng)性的安全策略主文檔，描述（xx市民政局）業(yè)務(wù)安全目標(biāo)和管理層意圖、支持目標(biāo)和指導(dǎo)原則，是信息安全實(shí)踐的根本性和指導(dǎo)性的文件。（-）信息安全等級保護(hù)管理體系是指依據(jù)國家信息安全等級保護(hù)的要求建立的系統(tǒng)內(nèi)進(jìn)行信息安全管理的制度、方針、策略、流程、指南、記錄等管理方面的規(guī)章制度集合。（三）信息安全等級保護(hù)管理體系是指依據(jù)國家信息安全等級保護(hù)的要求建立的系統(tǒng)內(nèi)進(jìn)行信息安全管理的制度、方針、策略、流程、指南、記錄等管理方面的規(guī)章制度集合。（四）安全檢查：指單位內(nèi)部或外部機(jī)構(gòu)對信息安全整體執(zhí)行情況進(jìn)行的評價活動。安全檢查的依據(jù)是單位現(xiàn)行的管理制度、信息系統(tǒng)安全體系規(guī)范和技術(shù)標(biāo)準(zhǔn)、有關(guān)法律、法規(guī)和標(biāo)準(zhǔn)要求等安全檢查包括安全例行檢查、安全專項(xiàng)檢查等。（五）安全例行檢查：指按照已制定的檢查周期所作的檢查。（六）安全專項(xiàng)抽查：指根據(jù)單位、監(jiān)管機(jī)構(gòu)或相關(guān)部門要求的安全運(yùn)行狀況所作的不定期的抽查。（七）本單位員工是指單位正式員工，包括試用期員工和借調(diào)人員等。（A）第三方機(jī)構(gòu)是指所有進(jìn)入（xx市民政局）內(nèi)部提供相關(guān)技術(shù)服務(wù)的非（xx市民政局）單位（包括但不限于供應(yīng)商、合作廠商、服務(wù)商）。第三方人員分為臨時來訪人員和駐場外包人員。臨時來訪的第三方人員是指來（xx市民政局）時間周期較短的人員，包括進(jìn)行業(yè)務(wù)交流的人員，臨時來訪參觀的人員等；駐場外包的第三方人員是指來訪時間較長的第三方技術(shù)服務(wù)人員，包括項(xiàng)目建設(shè)人員，外來信息系統(tǒng)職守人員，外來信息系統(tǒng)維護(hù)人員等。（九）存儲介質(zhì)：指用于單位計算機(jī)系統(tǒng)相關(guān)業(yè)務(wù)的電子信息輸出、存放的物理介質(zhì)、可移動和不可移動的磁盤、光盤、硬盤、磁盤陣列等。（十）帳號是指每個可訪問系統(tǒng)資源的用戶在系統(tǒng)中的標(biāo)識，可分為應(yīng)用系統(tǒng)帳號、操作系統(tǒng)帳號和數(shù)據(jù)庫帳號等。（十一）訪問權(quán)限是指帳號被賦予的可以訪問系統(tǒng)資源和使用系統(tǒng)功能的權(quán)利。（十二）超級管理員帳號/特權(quán)帳號:指對系統(tǒng)具有超級權(quán)限的帳號,包含但不限于UNIX/Linux的root,WINNT的administrators組成員，數(shù)據(jù)庫的DBA等用戶。（十三）普通帳號：用戶用于維護(hù)或訪問系統(tǒng)，實(shí)現(xiàn)日常操作的帳號，是最為常見的用戶類型。（十四）補(bǔ)丁是針對某一個具體的系統(tǒng)漏洞或安全問題而發(fā)布的專門解決該漏洞或安全問題的小程序，通常稱為修補(bǔ)程序。（十五）日志包括各業(yè)務(wù)系統(tǒng)中存儲的主機(jī)系統(tǒng)日志、設(shè)備日志和業(yè)務(wù)系統(tǒng)日志等基礎(chǔ)環(huán)境日志（十六）計算機(jī)病毒：計算機(jī)病毒是人為蓄意編制的一種寄生性的計算機(jī)程序。它能在計算機(jī)系統(tǒng)中生存，通過自我復(fù)制來傳播，在一定條件下即被激活，從而給計算機(jī)系統(tǒng)造成一定損害甚至嚴(yán)重破壞，有些病毒還能竊取計算機(jī)設(shè)備中的重要信息（十七）信息安全事件是指由于自然或者人為以及軟硬件本身缺陷或故障的原因，對信息系統(tǒng)造成危害，或?qū)ι鐣斐韶?fù)面影響的事件一、網(wǎng)絡(luò)信息安全總體策略第一章總則第一條為了加強(qiáng)（XX市民政局）信息系統(tǒng)的網(wǎng)絡(luò)安全管理，明確（XX市民政局）網(wǎng)絡(luò)安全管理的總目標(biāo)和總方向，保護(hù)（XX市民政局）系統(tǒng)自有的信息系統(tǒng)資產(chǎn)，積極預(yù)防安全事件的發(fā)生，使安全事件的影響最小化，特制定本策略文件。第二章術(shù)語定義第二條安全策略：是綱領(lǐng)性的安全策略主文檔，描述（XX市民政局）信息系統(tǒng)業(yè)務(wù)安全目標(biāo)和管理層意圖、支持目標(biāo)和指導(dǎo)原則，是網(wǎng)絡(luò)安全實(shí)踐的根本性和指導(dǎo)性的文件。第三章組織職責(zé)第三條單位組建網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組，負(fù)責(zé)批準(zhǔn)網(wǎng)絡(luò)安全策略文件并且保證本文件被執(zhí)行，同時負(fù)責(zé)對（XX市民政局）系統(tǒng)網(wǎng)絡(luò)安全方面的指導(dǎo)方向、安全建設(shè)等重大問題做出決策，協(xié)調(diào)各部門安全協(xié)同工作，支持和推動網(wǎng)絡(luò)安全工作在整個單位實(shí)施。第四條單位組建網(wǎng)絡(luò)安全等級保護(hù)工作小組，負(fù)責(zé)具體執(zhí)行安全管理策略文件的建立、實(shí)施、運(yùn)作、監(jiān)控、評審、維護(hù)和改進(jìn)工作。第五條單位所有員工有責(zé)任了解自身在單位信息安全、網(wǎng)絡(luò)安全方面的職責(zé)，并按照網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組的指示，認(rèn)真執(zhí)行相關(guān)要求。第四章管理原則第六條網(wǎng)絡(luò)安全管理工作實(shí)行“積極防范、突出重點(diǎn)、職責(zé)到位、保障業(yè)務(wù)”和“誰主管、誰負(fù)責(zé)、誰運(yùn)營、誰負(fù)責(zé)”的管理原則。第五章總體目標(biāo)第七條遵守國家相關(guān)法律法規(guī)，結(jié)合（XX市民政局）實(shí)際情況，依據(jù)現(xiàn)有管理和文化體系，逐步建設(shè)一套適用的、先進(jìn)的網(wǎng)絡(luò)安全管理體系，更好地保障（XX市民政局）網(wǎng)站、社管平臺等重要信息系統(tǒng)安全、穩(wěn)定的向社會公眾提供服務(wù)，并滿足單位不斷發(fā)展的業(yè)務(wù)需求。第六章安全框架第八條安全管理制度（一）逐步完善由安全策略、管理制度、操作規(guī)程組成的網(wǎng)絡(luò)安全管理體系。（-）網(wǎng)絡(luò)安全策略文件應(yīng)由管理層審核批準(zhǔn),并公布與傳達(dá)給單位所有人員以及同本單位有業(yè)務(wù)往來的第三方機(jī)構(gòu)。網(wǎng)絡(luò)安全策略文件在規(guī)劃期間內(nèi)或有重大變更發(fā)生時需通過管理層的審查及修訂。第九條安全管理機(jī)構(gòu)（-）必須建立網(wǎng)絡(luò)安全管理組織，以滿足網(wǎng)絡(luò)安全管理體系持續(xù)運(yùn)行的目標(biāo)。（二）加強(qiáng)與第三方機(jī)構(gòu)的溝通和合作，及時獲取相關(guān)信息。（三）必須建立安全檢查機(jī)制，定期對信息系統(tǒng)進(jìn)行安全檢查。（四）加強(qiáng)人員錄用和離崗過程的安全管理，并定期對所有人員進(jìn)行安全培訓(xùn)和考核，加強(qiáng)安全意識。（五）對所有操作或訪問信息資產(chǎn)的第三方機(jī)構(gòu)，必須向其闡明相關(guān)的責(zé)任要求，并明確告知其有責(zé)任恰當(dāng)?shù)厥褂煤捅Ｗo(hù)這些信息資產(chǎn)。第十條系統(tǒng)建設(shè)（一） 系統(tǒng)建設(shè)初期必須根據(jù)系統(tǒng)定級情況進(jìn)行安全方案設(shè)計，對可行性進(jìn)行論證。（二）確保安全和密碼產(chǎn)品采購和使用符合國家的有關(guān)規(guī)定;并只能選擇滿足條件的安全服務(wù)商。（三）確保在系統(tǒng)的開發(fā)與維護(hù)過程中，相關(guān)的安全功能和需求已被嵌入到系統(tǒng)內(nèi)。在開發(fā)新系統(tǒng)時，安全功能應(yīng)包含在初始的系統(tǒng)分析與需求描述中。這些描述必須包括自動的和手動的安全控制。這些控制必須通過測試，而且能夠整合到正在運(yùn)行的環(huán)境中。第十一條系統(tǒng)運(yùn)維（一） 信息系統(tǒng)及其相關(guān)的設(shè)備在物理上需要受到保護(hù)，防止偷竊、濫用、損壞或未經(jīng)授權(quán)的訪問。（二）確保信息系統(tǒng)相關(guān)的信息資產(chǎn)受到適當(dāng)保護(hù)，所有信息資產(chǎn)必須有確定的屬主并且根據(jù)其敏感度進(jìn)行分類和控制。所有信息系統(tǒng)必須制定相應(yīng)的操作規(guī)范,通過對日常操作的管理、介質(zhì)的管理、惡意代碼防范控制確保信息系統(tǒng)范圍內(nèi)信息處理設(shè)施的正確和安全操作。（四）對三級系統(tǒng)應(yīng)建立安全管理中心,對信息資產(chǎn)安全事件實(shí)現(xiàn)監(jiān)控和響應(yīng)。（五）所有信息系統(tǒng)變更應(yīng)有審批流程，并有完善的恢復(fù)流程。（六）應(yīng)建立有效的安全事件響應(yīng)和處理機(jī)制，安全事件必須及時的發(fā)現(xiàn)、報告、處理、調(diào)查、上報并修正，并且有事后的回顧，以吸取經(jīng)驗(yàn)教訓(xùn)，避免以后再發(fā)生同類型的事件，把損失降到最小。（七）建立完善應(yīng)急預(yù)案，以確保事故發(fā)生時，對業(yè)務(wù)活動的影響降至最小。第七章策略制定與維護(hù)第十二條網(wǎng)絡(luò)信息安全策略文件由安全管理員編寫，由網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組批準(zhǔn)，向所有相關(guān)部門、第三方機(jī)構(gòu)和相關(guān)人員發(fā)布。第十三條網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組監(jiān)督網(wǎng)絡(luò)安全活動,是否與策略的目標(biāo)一致，達(dá)到策略的要求。第十四條網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組審查和處理違反安全策略的行為。第十五條網(wǎng)絡(luò)安全等級保護(hù)工作小組定期對網(wǎng)絡(luò)安全策略進(jìn)行回顧和評審（附件一、評審記錄表），確保策略的有效性和可操作性。附件一、安全策略評審記錄表安全策略評審記錄表日期：年月日會議名稱參與人員評審對象評審結(jié)果評審意見：網(wǎng)絡(luò)安全等級保護(hù)工作小組審批結(jié)果：網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組二、信息等級保護(hù)體系制定和發(fā)布管理規(guī)定第一章總則第一條為了保證（XX市民政局）信息安全等級保護(hù)管理體系的持續(xù)性、時效性以及適應(yīng)性，滿足業(yè)務(wù)不斷變化的安全管理的需要，明確信息安全等級保護(hù)體系的制定、發(fā)布、評審和修訂等過程中的管理職責(zé)，特制定本規(guī)定。第二章職責(zé)第二條網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組，職責(zé)：（-）負(fù)責(zé)規(guī)劃、監(jiān)督、指導(dǎo)網(wǎng)絡(luò)安全等級保護(hù)管理體系文件的起草、審查、發(fā)布、清理等工作。（二）負(fù)責(zé)信息安全等級保護(hù)管理體系的評審及修訂后復(fù)審工作。（三）確保信息安全等級保護(hù)管理體系能持續(xù)恰當(dāng)和有效地運(yùn)作。（四）提供充足的資源和支持，以持續(xù)改善信息安全等級保護(hù)管理體系。第三條網(wǎng)絡(luò)安全等級保護(hù)工作小組，職責(zé)：（-）負(fù)責(zé)組織管理體系文件的起草、編制、修訂、補(bǔ)充等工作的開展，并將實(shí)施成果向領(lǐng)導(dǎo)小組匯報。（二）負(fù)責(zé)啟動和主持等級保護(hù)管理體系的管理評審工作。（三）負(fù)責(zé)協(xié)調(diào)相關(guān)人員，指導(dǎo)收集評審資料。（四）確保評審會議所提出的行動項(xiàng)目能在規(guī)定的時間內(nèi)完成，并負(fù)責(zé)其相關(guān)的監(jiān)督工作。（五）負(fù)責(zé)對評審結(jié)果如需進(jìn)行修訂項(xiàng)協(xié)調(diào)相關(guān)人員進(jìn)行修訂。（六）指派人員負(fù)責(zé)對修訂措施的執(zhí)行結(jié)果進(jìn)行驗(yàn)證。第四條相關(guān)人員，是指（XX市民政局）信息安全等級保護(hù)管理體系涉及的人員。比如：系統(tǒng)管理員、應(yīng)用管理員、開發(fā)管理人員、網(wǎng)絡(luò)管理員、數(shù)據(jù)管理員、資產(chǎn)管理員和安全管理員等，其職責(zé)是：（-）負(fù)責(zé)依據(jù)管理體系文件的內(nèi)容進(jìn)行宣貫、培訓(xùn)、執(zhí)行、檢查等工作，并依據(jù)部門情況落實(shí)管理體系的要求。（二）負(fù)責(zé)協(xié)助進(jìn)行評審。（三）負(fù)責(zé)實(shí)施修訂措施。第五章文件起草第五條（XX市民政局）網(wǎng)絡(luò)安全管理體系規(guī)范文件由網(wǎng)絡(luò)安全等級保護(hù)工作小組負(fù)責(zé)起草或組織起草。第六條負(fù)責(zé)起草的科室應(yīng)當(dāng)確定一名熟悉相關(guān)內(nèi)容員工為項(xiàng)目負(fù)責(zé)人，如涉及多個部門時，可由有關(guān)部門共同派人組成聯(lián)合起草小組，由主要起草部門負(fù)責(zé)牽頭組織。第七條起草的規(guī)范性文件應(yīng)當(dāng)結(jié)構(gòu)嚴(yán)謹(jǐn)、內(nèi)容完備、形式規(guī)范、條理清楚、用詞準(zhǔn)確、文字簡潔。第八條應(yīng)當(dāng)明確規(guī)定如下內(nèi)容：（一）制定的目的和依據(jù)；（二）適用范圍；（三）術(shù)語定義；（四）組織職責(zé)；（五）具體管理要求或規(guī)定；（六）必要的附則；（七）與規(guī)范內(nèi)容相關(guān)的資料性附錄和參考性附錄。第九條報送審查的管理制度送審稿應(yīng)當(dāng)由起草部門負(fù)責(zé)人簽署后報網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組審查。幾個部門共同起草的規(guī)范送審稿，應(yīng)當(dāng)由起草部門負(fù)責(zé)人共同簽署后報網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組審查。第十條下列材料應(yīng)當(dāng)與規(guī)范送審稿一并報送網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組審查：（一）起草說明；（二）與此規(guī)范內(nèi)容有關(guān)的規(guī)范性文件；（三）匯總的各方意見；（四）如需制定實(shí)施細(xì)則，應(yīng)當(dāng)提交實(shí)施細(xì)則的主要內(nèi)容和細(xì)則擬出臺的時間;（五）其他需要報送的材料。第十一條網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組主要從以下方面對送審稿進(jìn)行審查：（一）是否符合權(quán)限和程序；（二）是否符合原則；（三）是否與其他規(guī)范、標(biāo)準(zhǔn)相協(xié)調(diào)、銜接；（四）是否已對有關(guān)不同意見進(jìn)行協(xié)調(diào)；（五）是否具有可行性；（六）是否符合相關(guān)技術(shù)要求；（七）需要審查的其他內(nèi)容。第十二條由網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組對送審稿提出審查結(jié)論,對草案涉及的有關(guān)爭議問題以及修改情況作重點(diǎn)說明。由網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組負(fù)責(zé)人簽署的書面審查報告應(yīng)當(dāng)反饋起草部門。第六章文件評審第十三條（XX市民政局）網(wǎng)絡(luò)安全等級保護(hù)工作小組定期（至少每年一次）開展等級保護(hù)管理體系的評審工作，以確保整個等級保護(hù)管理體系的充分性、適當(dāng)性和有效性。第十四條等級保護(hù)管理體系評審內(nèi)容:（一）根據(jù)業(yè)務(wù)系統(tǒng)的性質(zhì)和安全要求，確定（或復(fù)審）等級保護(hù)管理體系的范圍，建立（復(fù)審）等級保護(hù)管理體系，包括網(wǎng)絡(luò)安全策略、標(biāo)準(zhǔn)和程序。（二）對等級保護(hù)管理體系審核結(jié)果進(jìn)行評審，分析導(dǎo)致不符合項(xiàng)的原因。（三）審查審核對象的反饋信息。總結(jié)已發(fā)現(xiàn)的安全事件和漏洞。（五）審查現(xiàn)行的安全控制措施和相關(guān)技術(shù)是否有效。復(fù)查修訂措施的實(shí)施狀況。（七）檢查先前管理評審中所定義的措施的實(shí)施狀況。（A）審查改善措施的建議。（九）復(fù)查業(yè)務(wù)和法律法規(guī)方面的變更。（十）審查可能影響信息安全等級保護(hù)管理體系的任何變更。（十一）為協(xié)調(diào)相關(guān)網(wǎng)絡(luò)安全的實(shí)施，評審相關(guān)資源的充足性。第十五條評審工作必須至少每年舉行一次，發(fā)生以下情況時，也需要啟動管理評審工作：系統(tǒng)業(yè)務(wù)發(fā)生重大變更。系統(tǒng)網(wǎng)絡(luò)安全策略的重大變更。（三）目前等級保護(hù)管理體系的執(zhí)行不力。（四）系統(tǒng)等級保護(hù)管理體系的范圍發(fā)生變更。（五）相關(guān)標(biāo)準(zhǔn)法規(guī)發(fā)布修訂版本或有變更。第七章文件發(fā)布第十六條規(guī)范草案經(jīng)網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組審議并原則通過后，起草部門根據(jù)審議中提出的修改意見對草案進(jìn)行修改，經(jīng)網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組負(fù)責(zé)人簽發(fā)，以文件形式公布。第十七條文件的發(fā)布應(yīng)遵照統(tǒng)一的格式，進(jìn)行版本控制；并應(yīng)注明發(fā)布范圍，對收發(fā)文進(jìn)行登記。對發(fā)布的制度應(yīng)在《附錄一、（XX市民政局）管理制度發(fā)布記錄表》中進(jìn)行記錄。附錄一、（XX市民政局）管理制度發(fā)布記錄表（XX市民政局）管理制度發(fā)布記錄管理制度］制訂者發(fā)布咕生效時恒版本分發(fā)歹失效時恒備注日期：文檔管理人員：審核人：三、等級保護(hù)體系評審和修訂管理規(guī)定第一章總則第一條為了保證（XX市民政局）等級保護(hù)管理體系的持續(xù)性、時效性以及適應(yīng)性，滿足單位不斷變化的安全管理的需要，明確等級保護(hù)管理體系的評審和修訂過程中管理職責(zé)，特制定本規(guī)定。第二章評審程序第二條（XX市民政局）網(wǎng)絡(luò)安全等級保護(hù)工作小組定期（至少每年一次）開展等級保護(hù)管理體系的評審工作，以確保整個等級保護(hù)管理體系的充分性、適當(dāng)性和有效性。第三條等級保護(hù)管理體系評審內(nèi)容：（-）根據(jù)具體工作的性質(zhì)和安全要求，確定（或復(fù)審）等級保護(hù)管理體系的范圍，建立（復(fù)審）等級保護(hù)管理體系，包括網(wǎng)絡(luò)安全策略、標(biāo)準(zhǔn)和程序。（二）對等級保護(hù)管理體系審核結(jié)果進(jìn)行評審，分析導(dǎo)致不符合項(xiàng)的原因。（三）審查審核對象的反饋信息?？偨Y(jié)已發(fā)現(xiàn)的安全事件和漏洞。審查現(xiàn)行的安全控制措施和相關(guān)技術(shù)是否有效。（六）復(fù)查修訂措施的實(shí)施狀況。（七）檢查先前管理評審中所定義的措施的實(shí)施狀況。（八）審查改善措施的建議。（九）復(fù)查業(yè)務(wù)和法律法規(guī)方面的變更。（十）審查可能影響等級保護(hù)管理體系的任何變更。（十一）為協(xié)調(diào)相關(guān)網(wǎng)絡(luò)安全的實(shí)施，評審相關(guān)資源的充足性。第四條評審工作必須至少每年舉行一次，發(fā)生以下情況時，也需要啟動管理評審工作：系統(tǒng)業(yè)務(wù)發(fā)生重大變更。（二）系統(tǒng)網(wǎng)絡(luò)安全策略的重大變更。（三）目前等級保護(hù)管理體系的執(zhí)行不力。（四）系統(tǒng)等級保護(hù)管理體系的范圍發(fā)生變更。（五）相關(guān)標(biāo)準(zhǔn)法規(guī)發(fā)布修訂版本或有變更。（六）評審工作的會議記錄均需歸檔，以保存正式的記錄。第三章修訂程序第五條問題的識別及確認(rèn)，采取修訂措施可能由以下原因，包括但不限于：（-）來自系統(tǒng)等級保護(hù)管理體系的相關(guān)工作人員的反饋信息或調(diào)查申請。網(wǎng)絡(luò)安全管理評審的會議討論中發(fā)現(xiàn)的問題。（三）等級保護(hù)管理體系的審核發(fā)現(xiàn)的不符合項(xiàng)。第六條調(diào)查問題的起因：（-）由網(wǎng)絡(luò)安全等級保護(hù)工作小組指派專門的人員負(fù)責(zé)對問題進(jìn)行分析調(diào)查并確認(rèn)問題的起因。（二）調(diào)查人員需提供盡可能多的關(guān)于整個問題調(diào)查的詳細(xì)結(jié)果。作為修訂措施報告的一部分，也可以提供一些額外的補(bǔ)充信息。第七條執(zhí)行修訂措施：（-）基于所調(diào)查出的問題起因，需確認(rèn)并實(shí)施相應(yīng)措施或?qū)κ鹿蔬M(jìn)行調(diào)查研究，負(fù)責(zé)上述行動的執(zhí)行者需確保更新任何相關(guān)的文件或管理流程。比如:>準(zhǔn)備制定或更新相關(guān)管理程序?！放嘤?xùn)1/通知相關(guān)人員知曉。（二）執(zhí)行人員負(fù)責(zé)跟蹤所執(zhí)行修訂措施的效果。一旦發(fā)現(xiàn)效果不如預(yù)期，其相關(guān)負(fù)責(zé)人需進(jìn)行評估分析并就進(jìn)一步的應(yīng)對措施進(jìn)行確認(rèn)。執(zhí)行人員必須確保所實(shí)施的修訂措施是可證實(shí)和可驗(yàn)證的，并保證修訂措施的報告中都有詳細(xì)說明。第八條措施的驗(yàn)證：如果驗(yàn)證出所采取的措施是達(dá)到預(yù)期效果的，則修訂措施才算是成功，可以結(jié)束跟蹤，驗(yàn)證階段包括以下兩個部分：對所規(guī)定修訂措施的執(zhí)行程度進(jìn)行驗(yàn)證。對修訂措施的執(zhí)行效果進(jìn)行驗(yàn)證。（二）措施驗(yàn)證的結(jié)果必須中有詳細(xì)的說明，且對相關(guān)記錄進(jìn)行保存。四、信息安全管理組織架構(gòu)第一章總則第一條為加強(qiáng)（XX市民政局）信息安全管理工作的組織協(xié)調(diào)，建立健全等級保護(hù)管理制度和運(yùn)行機(jī)制，切實(shí)提高（XX市民政局）信息安全管理工作水平，根據(jù)《信息安全等級保護(hù)管理辦法（xx[2007]43號）》要求,制定本規(guī)范第二章組織目標(biāo)第二條本實(shí)施規(guī)則旨在實(shí)現(xiàn)信息安全管理的以下目標(biāo)：（-） 管理組織內(nèi)的信息安全工作；管理外部組織訪問組織內(nèi)信息處理設(shè)施和信息資產(chǎn)的安全。第三章信息安全組織架構(gòu)第三條為加強(qiáng)對（XX市民政局）信息安全管理工作的領(lǐng)導(dǎo)，貫徹落實(shí)信息安全的要求及安徽省公安廳《關(guān)于開展信息安全管理專項(xiàng)檢查工作的通知》的有關(guān)要求，經(jīng)研究，決定成立（XX市民政局）網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組（以下簡稱領(lǐng)導(dǎo)小組）第四條成立領(lǐng)導(dǎo)小組，作為信息安全管理工作的最高管理機(jī)構(gòu)，領(lǐng)導(dǎo)小組下設(shè)（XX市民政局）系統(tǒng)信息安全管理工作小組。第五條領(lǐng)導(dǎo)小組由（XX市民政局）書記擔(dān)任組長，副書記擔(dān)任副組長，領(lǐng)導(dǎo)小組主要成員為隊(duì)伍建設(shè)指導(dǎo)科科長及各相關(guān)部門安全主管領(lǐng)導(dǎo)。第六條信息安全管理工作小組負(fù)責(zé)（XX市民政局）信息安全管理的具體執(zhí)行工作。工作小組組長由領(lǐng)導(dǎo)小組指定的隊(duì)伍建設(shè)指導(dǎo)科科長兼任。設(shè)置一名副組長負(fù)責(zé)具體工作，對各部門信息安全技術(shù)的實(shí)施進(jìn)行指導(dǎo)與審查。信息安全工作小組成員還包括各部門信息化負(fù)責(zé)人。第七條隊(duì)伍建設(shè)指導(dǎo)科作為信息安全工作的具體執(zhí)行部門，各科室主要負(fù)責(zé)人為本科室信息安全管理工作的第一責(zé)任人,并應(yīng)指定一名信息安全管理員作為信息安全工作聯(lián)絡(luò)員，負(fù)責(zé)本科室內(nèi)的有關(guān)信息安全管理工作。第四章組織的信息安全職責(zé)描述第八條網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組的職責(zé)包括：（一）根據(jù)國家、省、市級網(wǎng)絡(luò)安全的總體要求，結(jié)合（XX市民政局）的實(shí)際情況，統(tǒng)一領(lǐng)導(dǎo)（XX市民政局）信息安全管理的相關(guān)工作；負(fù)責(zé)協(xié)調(diào)（XX市民政局）內(nèi)部管理工作，分配信息安全管理目標(biāo)、職責(zé)，并支持和推動信息安全工作在單位內(nèi)的實(shí)施；負(fù)責(zé)對與信息安全管理有關(guān)的重大事項(xiàng)進(jìn)行決策，包括安全組織機(jī)構(gòu)調(diào)整、以及信息安全管理重大策略變更；組織審定和發(fā)布單位信息安全的發(fā)展戰(zhàn)略、總體規(guī)劃、重大政策、管理規(guī)范和技術(shù)標(biāo)準(zhǔn)；評審與監(jiān)督重大信息安全事故的處理；第九條信息安全管理工作小組的職責(zé)包括：（一）直接對領(lǐng)導(dǎo)小組負(fù)責(zé)，承擔(dān)信息的具體工作，協(xié)助領(lǐng)導(dǎo)小組在信息安全事務(wù)上的決策；（二）負(fù)責(zé)信息安全政策的貫徹與落實(shí)，并協(xié)調(diào)各信息安全執(zhí)行科室以及與第三方機(jī)構(gòu)間有關(guān)的信息安全工作;（三）負(fù)責(zé)信息安全管理體系的建立、實(shí)施和日常運(yùn)行，起草信息安全政策，確定信息安全管理標(biāo)準(zhǔn)，督促各信息安全執(zhí)行部門對于信息安全政策、措施的實(shí)施；（四）負(fù)責(zé)對員工的信息安全工作意識教育和安全技能培訓(xùn)；（五）負(fù)責(zé)維護(hù)安全事件的記錄報告，對發(fā)生的每一起安全事件調(diào)查和解決方法都記錄在案；（六）負(fù)責(zé)定期召開信息安全管理工作會議，定期總結(jié)安全事件記錄報告，并向信息安全領(lǐng)導(dǎo)小組匯報；（七）負(fù)責(zé)建立各信息安全執(zhí)行科室、關(guān)聯(lián)上級主管單位與外部安全管理主管機(jī)構(gòu)之間的定期聯(lián)系和溝通機(jī)制；（八）落實(shí)糾正措施（包括審計整改意見）和預(yù)防措施。第十條信息安全工作聯(lián)絡(luò)員的職責(zé)包括：（-）負(fù)責(zé)單位日常的具體信息安全工作，并參加信息安全工作小組所要求的各項(xiàng)活動；（二）負(fù)責(zé)向信息安全工作小組負(fù)責(zé)人報告信息安全事件和違反信息安全政策的行為，協(xié)助對違反安全政策的行為進(jìn)行調(diào)查；（三）協(xié)助信息安全工作小組負(fù)責(zé)人和單位信息安全主管領(lǐng)導(dǎo)落實(shí)針對單位的糾正措施（包括審計整改意見）和預(yù)防措施。第十一條內(nèi)部員工的職責(zé)包括:（一）嚴(yán)格遵守所有與信息安全相關(guān)的國家法律、法規(guī)和政策，遵守（XX市民政局）所有的信息安全政策；（二）積極參加信息安全教育與培訓(xùn)，提高信息安全意識；（三）有責(zé)任將違反信息安全政策的事件與行為及時報告給單位信息安全聯(lián)絡(luò)員及其他相關(guān)人員。第十二條人力資源部的職責(zé)包括：（一）人力資源工作由辦公室兼任（二）對員工的聘前、聘中及解聘過程中涉及的人員信息安全進(jìn)行有效管理；（三）負(fù)責(zé)制定和實(shí)施與信息安全相關(guān)的獎懲措施和安全績效考核體系；（四）組織實(shí)施信息安全教育與培訓(xùn)；（五）協(xié)助調(diào)查安全事件。第十三條信息中心的職責(zé)包括：（一）信息中心的工作由隊(duì)伍建設(shè)指導(dǎo)科兼任（二）負(fù)責(zé)對（XX市民政局）各科室和下屬單位的信息安全或某個主題進(jìn)行定期審計或信息安全專項(xiàng)審計；（三）主要以信息安全管理政策及各種標(biāo)準(zhǔn)規(guī)范作為審核依據(jù)；在具體的審核過程中，必要時可獲得信息安全領(lǐng)導(dǎo)小組的協(xié)助與支持；（四）負(fù)責(zé)匯報審計結(jié)果，并督促審計整改工作的進(jìn)行。五、信息系統(tǒng)安全檢查管理規(guī)定第一章總則第一條為了規(guī)范（XX市民政局）信息系統(tǒng)網(wǎng)絡(luò)安全檢查工作流程，明確職責(zé)，定期、有效地對本單位信息系統(tǒng)進(jìn)行安全檢查，特制定本規(guī)定。第二章適用范圍第二條本規(guī)定適用于本單位信息系統(tǒng)網(wǎng)絡(luò)安全檢查準(zhǔn)備、實(shí)施、報告和整改過程，管理對象為安全管理員和信息系統(tǒng)管理人員。第三章術(shù)語定義第三條安全檢查:指單位內(nèi)部或外部機(jī)構(gòu)對網(wǎng)絡(luò)安全整體執(zhí)行情況進(jìn)行的評價活動。安全檢查的依據(jù)是單位現(xiàn)行的管理制度、信息系統(tǒng)安全體系規(guī)范和技術(shù)標(biāo)準(zhǔn)、有關(guān)法律、法規(guī)和標(biāo)準(zhǔn)要求等安全檢查包括安全例行檢查、安全專項(xiàng)檢查等。第四條安全例行檢查：指按照已制定的檢查周期所作的檢查。第五條安全專項(xiàng)抽查：指根據(jù)單位、監(jiān)管機(jī)構(gòu)或相關(guān)部門要求的安全運(yùn)行狀況所作的不定期的抽查。第四章組織職責(zé)第六條安全管理員負(fù)責(zé)牽頭協(xié)調(diào)組織各信息系統(tǒng)網(wǎng)絡(luò)安全檢查的管理工作，主要包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況。第七條相關(guān)管理員應(yīng)配合安全檢查，如實(shí)提供所需要的檢查信息，對安全檢查所發(fā)現(xiàn)的問題制定整改措施、整改計劃并實(shí)施整改。第五章通用要求第八條安全檢查應(yīng)當(dāng)遵循全面、審慎、獨(dú)立的原則。第九條安全管理員應(yīng)牽頭建立檢查機(jī)制，各信息系統(tǒng)負(fù)責(zé)人配合制定檢查計劃，定期開展檢查活動。檢查計劃要根據(jù)實(shí)際情況及時進(jìn)行補(bǔ)充和調(diào)整。第十條應(yīng)當(dāng)以半年為周期對信息系統(tǒng)進(jìn)行安全檢查，檢查內(nèi)容應(yīng)包括安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況。第十一條可根據(jù)實(shí)際需要組織專項(xiàng)檢查，對于信息系統(tǒng)發(fā)生的重大事故和問題，要進(jìn)行專項(xiàng)檢查，對重大事件實(shí)施全面的監(jiān)控和評價。第十二條對于新信息系統(tǒng)，包括設(shè)備、主機(jī)、應(yīng)用信息系統(tǒng)上線或安裝前必須經(jīng)過安全檢查，檢查方式應(yīng)包括信息系統(tǒng)安全配置，漏洞評估,惡意代碼檢測，根據(jù)檢查結(jié)果進(jìn)行整改后方可上線。第十三條必須對檢查工具、檢查過程信息和檢查結(jié)果信息的使用和訪問采取控制措施加以保護(hù)，以防止任何可能的風(fēng)險。第六章安全檢查準(zhǔn)備第十四條安全管理員應(yīng)組織相關(guān)部門或人員按照半年為周期進(jìn)行安全例行檢查，根據(jù)需要組織安全專項(xiàng)檢查。第十五條安全檢查應(yīng)按照所規(guī)定的檢查要點(diǎn)、檢查方式、使用規(guī)定的檢查工具進(jìn)行檢查。第十六條應(yīng)選擇對單位信息系統(tǒng)運(yùn)行影響最小的方式和時間進(jìn)行檢查。第十七條對生產(chǎn)環(huán)境實(shí)施安全檢查應(yīng)按照《（XX市民政局）信息系統(tǒng)變更管理規(guī)定》所規(guī)定的變更流程執(zhí)行。第十八條實(shí)施對生產(chǎn)環(huán)境可能造成影響的安全檢查后，應(yīng)協(xié)調(diào)相關(guān)科室或人員對檢查結(jié)果進(jìn)行驗(yàn)證。第十九條安全檢查可采用抽查的方式進(jìn)行，抽查的采樣量應(yīng)能確保安全檢查結(jié)果的準(zhǔn)確性、代表性并符合信息系統(tǒng)實(shí)際生產(chǎn)情況。第二十條檢查過程中應(yīng)做好檢查結(jié)果的記錄工作。第七章安全檢查報告第二十一條檢查完成后由安全管理負(fù)責(zé)組織編寫檢查報告并提出整改建議（附錄一安全檢查情況匯總表），提供給相關(guān)科室。第八章安全檢查整改第二十二條相關(guān)科室應(yīng)按照檢查報告中整改的時間要求，針對檢查報告中所提出的問題制定整改實(shí)施計劃并組織整改。第二十三條安全管理員應(yīng)對整改措施的落實(shí)情況進(jìn)行跟蹤，驗(yàn)證整改措施的實(shí)施結(jié)果是否有效，必要時可進(jìn)行復(fù)查確認(rèn)。第二十四條安全管理員根據(jù)檢查結(jié)果和整改情況進(jìn)行匯總，形成安全狀況通報并提供給相關(guān)部門。第九章檢查工具的使用第二十五條在安全檢查過程中如果需要使用安全工具，只能使用經(jīng)過審核過安全檢查工具。第二十六條安全檢查工具只能在檢查設(shè)備或者被檢查科室的設(shè)備上運(yùn)行，并由檢查人員負(fù)責(zé)操作。第二十七條在生產(chǎn)信息系統(tǒng)中使用檢查工具前，安全管理員要組織進(jìn)行測試工作，對其可能產(chǎn)生的影響進(jìn)行評估和論證，必要時安排雙人進(jìn)行操作。附錄一：安全檢查情況匯總表序號不符合項(xiàng)不符合描述整改建議負(fù)責(zé)人/科室123

45678910附錄二；信息系統(tǒng)安全檢查表檢查日期： 檢查人:日常運(yùn)行維護(hù)管］內(nèi)容及要求檢查結(jié)果備忘1.信息系統(tǒng)E信息系統(tǒng)操作流程及時更新口是口否維用戶密碼管理是否規(guī)范口是口否用戶密碼是否定期更改口是口否操作日志記錄口是口否

異常情況記錄異常情況處理記錄數(shù)據(jù)完整、連續(xù)補(bǔ)丁是否更新是否安裝防病毒軟件口是口否口是口否口是口否口是口否口是口否服務(wù)器運(yùn)行情況內(nèi)容及要求檢查結(jié)果鋌服務(wù)器資源情況以及系統(tǒng)訪問情況CPU占用率內(nèi)存占用率存儲占用率系統(tǒng)響應(yīng)時長（單位：秒）文檔管理內(nèi)容及要求檢查結(jié)果備忘1.應(yīng)急計劃應(yīng)急計劃為最新，并及時完年訂，并包含：外聯(lián)聯(lián)系單、應(yīng)急聯(lián)系崗位負(fù)責(zé)人各類問題的具體應(yīng)對（故障判別、關(guān)鍵設(shè)備位置、應(yīng)余口是口否口是口否

步驟等）2. 數(shù)據(jù)備份備份數(shù)據(jù)完整、有效網(wǎng)絡(luò)設(shè)備、安全設(shè)備配置文華定期備份口是口否口是口否3. 測試報告每次測試都進(jìn)行記錄，填寫』定期整理口是口否4. 應(yīng)急演練證每次演練都進(jìn)行記錄，填寫』定期整理口是口否5. 信息系統(tǒng)」程審批信息系統(tǒng)上線、軟件升級、芯更等填寫審批單口是口否6.技術(shù)文檔管各應(yīng)用信息系統(tǒng)的技術(shù)文檔、手冊是否齊全口是口否7.IP地址記8IP地址記錄是否及時更新（抽查IP地址，每臺設(shè)備的址表）口是口否8. 防病毒措施病毒庫即時更新口是口否9.網(wǎng)絡(luò)拓?fù)鋵⒕W(wǎng)絡(luò)拓?fù)鋱D及時更新口是口否安全管理及衛(wèi)生，內(nèi)容及要求檢查結(jié)果備忘

1.人員備崗關(guān)鍵崗位有備崗□是□否外部運(yùn)維人員保密協(xié)議口是口否2.機(jī)房備品強(qiáng)機(jī)房關(guān)鍵設(shè)備、各應(yīng)用信息用口有口無是否有備份3. 是否有超今中心機(jī)房□有口無機(jī)器4. 機(jī)房管理應(yīng)急照明□有口無是否堆放有雜物(紙箱、廢棄口是口否機(jī)房的監(jiān)控信息系統(tǒng)清晰、:1□有□無機(jī)房網(wǎng)絡(luò)線路是否清晰，網(wǎng)圖□是口否是否標(biāo)準(zhǔn)5.視頻監(jiān)控視頻監(jiān)控設(shè)備清晰、有效□是口否6. 門禁信息勞門禁信息系統(tǒng)功能是否正常口正?？诓灰?.防盜報警守紅外防盜報警器功能是否正'□正?？诓灰?.機(jī)房出入人外來人員進(jìn)出機(jī)房登記口是口否記表9.機(jī)房電力件電力切換演習(xí)記錄□有口無(

UPS容量、負(fù)載情況電池供電時間配電房定期檢修空調(diào)運(yùn)行情況（空調(diào)供水、升況））（）□有口無口正?？诓?10.消防煙感、溫感消防報警信息系統(tǒng)定期演練□正?？诓灰弧跽？诓灰豢谑强诜?1.防雷信息手防雷信息系統(tǒng)安裝等級措施完整、有效（防雷接地、保安器）()□是□否六、信息安全組織架構(gòu)與崗位職責(zé)第一章總則第一條為有效實(shí)施信息安全管理，保障和實(shí)施本單位的信息安全，在單位內(nèi)部建立信息安全管理組織架構(gòu)，明確相關(guān)責(zé)任和崗位職責(zé)，特制定本規(guī)定。

第二章信息化領(lǐng)導(dǎo)小組第二條為落實(shí)國家信息化安全建設(shè)方針政策，根據(jù)安徽省、XX市相關(guān)文件要求，(XX市民政局)成立網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組，并設(shè)置相應(yīng)職能部門或人員負(fù)責(zé)各級信息系統(tǒng)安全管理工作。具體的信息安全組織架構(gòu)和崗位設(shè)置如下：組織人員組成網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組組長：書記副組長：副書記網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室主任：網(wǎng)絡(luò)安全和信息化小組成員安全管理員：系統(tǒng)管理員：審計管理員：(-) 網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組是（XX市民政局）信息安全工作的最高領(lǐng)導(dǎo)決策機(jī)構(gòu)，負(fù)責(zé)對本單位的網(wǎng)絡(luò)和信息安全工作的工作進(jìn)行整體協(xié)調(diào)。（XX市民政局）網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組（以下簡稱：領(lǐng)導(dǎo)小組）負(fù)責(zé)組織落實(shí)上層決策，領(lǐng)導(dǎo)本單位人員落實(shí)具體的網(wǎng)絡(luò)安全和信息化相關(guān)工作。主要工作職責(zé)如下：1）、領(lǐng)導(dǎo)小組負(fù)責(zé)領(lǐng)導(dǎo)落實(shí)國家、安徽省、XX市三個層面提出的安全建設(shè)的總體規(guī)劃，制定本單位的總體規(guī)劃；2）、在國家、安徽省、xx市三個層面信息安全總體方針的指導(dǎo)下，組織制定本單位信息系統(tǒng)安全策略并審批上報的信息系統(tǒng)安全策略；3）、負(fù)責(zé)組織細(xì)化上級規(guī)章制度，制定相應(yīng)程序指南，并監(jiān)督落實(shí)規(guī)章制度；4）、負(fù)責(zé)本單位信息系統(tǒng)安全管理層以上的人員權(quán)限授予工作；5）、負(fù)責(zé)審閱信息安全工作報告；負(fù)責(zé)本單位重大安全事故查處與匯報工作。（二）網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室領(lǐng)導(dǎo)小組下設(shè)領(lǐng)導(dǎo)小組辦公室（以下簡稱：辦公室），辦公室成員由本單位各科室負(fù)責(zé)信息的人員組成，（xx市民政局）隊(duì)伍建設(shè)科科長擔(dān)任辦公室主任，具體負(fù)責(zé)網(wǎng)絡(luò)安全和信息化的任務(wù)制定和落實(shí)工作。具體工作職責(zé)如下：1）、承辦領(lǐng)導(dǎo)小組的日常事務(wù)，負(fù)責(zé)組織制定和實(shí)施信息安全策略和管理制度。2）、負(fù)責(zé)組織制定和實(shí)施信息安全技術(shù)方案。3）、負(fù)責(zé)組織實(shí)施信息安全運(yùn)行監(jiān)控與審計。4）、負(fù)責(zé)組織進(jìn)行信息安全教育培訓(xùn)。5）、負(fù)責(zé)組織制度落實(shí)情況檢查及責(zé)任追究和獎勵工作。6）、負(fù)責(zé)組織信息安全檔案的建立與管理。（三）網(wǎng)絡(luò)安全和信息化小組成員信息安全管理執(zhí)行組負(fù)責(zé)信息系統(tǒng)建設(shè)和運(yùn)行維護(hù)過程中信息安全管理的具體執(zhí)行工作，具體包含的崗位和職責(zé)的描述如下?！霭踩芾韱T1）、負(fù)責(zé)組織建立、實(shí)施和維護(hù)信息安全策略、標(biāo)準(zhǔn)、規(guī)章制度和各項(xiàng)操作流程。2）、負(fù)責(zé)對安全產(chǎn)品購置提供建議，負(fù)責(zé)組織制定各種安全產(chǎn)品策略與配置規(guī)則，負(fù)責(zé)跟蹤安全產(chǎn)品投產(chǎn)后的使用情況；3）、負(fù)責(zé)指導(dǎo)并監(jiān)督系統(tǒng)管理員及普通用戶與安全相關(guān)的工作；4）、負(fù)責(zé)組織信息系統(tǒng)的安全風(fēng)險評估工作，并定期進(jìn)行系統(tǒng)漏洞掃描,形成安全評估報告；5）、根據(jù)本機(jī)構(gòu)的信息安全需求，定期提出本機(jī)構(gòu)的信息安全改進(jìn)意見,并上報信息安全管理部門主管；6）、定期查看信息安全站點(diǎn)的安全公告，跟蹤和研究各種信息安全漏洞和攻擊手段，在發(fā)現(xiàn)可能影響信息安全的安全漏洞和攻擊手段時，及時做出相應(yīng)的對策，通知并指導(dǎo)系統(tǒng)管理員進(jìn)行安全防范；7）、負(fù)責(zé)組織審議各種安全方案、安全審計報告、應(yīng)急計劃以及整體安全管理制度；8）、負(fù)責(zé)參與安全事故調(diào)查?！鱿到y(tǒng)管理員1）、負(fù)責(zé)主機(jī)操作系統(tǒng)的安全配置（包括及時修補(bǔ)系統(tǒng)漏洞）和日常審計，系統(tǒng)應(yīng)用軟件的安裝，從系統(tǒng)層面實(shí)現(xiàn)對用戶與資源的訪問控制；2）、負(fù)責(zé)應(yīng)用系統(tǒng)的日常安全檢查和日常維護(hù)，聯(lián)系應(yīng)用軟件開發(fā)廠家;3）、協(xié)助安全管理員制定主機(jī)操作系統(tǒng)的安全配置規(guī)則，并落實(shí)執(zhí)行；4）、負(fù)責(zé)主機(jī)設(shè)備的日常管理與維護(hù)，保持系統(tǒng)處于良好的運(yùn)行狀態(tài)；5）、為安全審計員提供完整、準(zhǔn)確的主機(jī)系統(tǒng)運(yùn)行活動的日志記錄；6）、在主機(jī)系統(tǒng)異?；蚬收习l(fā)生時，詳細(xì)記載發(fā)生異常時的現(xiàn)象、時間和處理方式，并及時上報；7）、編制主機(jī)設(shè)備的維修、報損、報廢計劃，報主管領(lǐng)導(dǎo)審核；■安全審計員1）、負(fù)責(zé)定期對主機(jī)系統(tǒng)、網(wǎng)絡(luò)產(chǎn)品、應(yīng)用系統(tǒng)的日志文件進(jìn)行分析審計，發(fā)現(xiàn)問題及時上報；2）、負(fù)責(zé)對信息安全保障管理活動進(jìn)行獨(dú)立的監(jiān)督，提供內(nèi)部獨(dú)立的審計和評估工作，并根據(jù)需要可以協(xié)同外部審計評估機(jī)構(gòu)進(jìn)行評估和認(rèn)證，為決策領(lǐng)導(dǎo)提供信息系統(tǒng)和信息安全保障執(zhí)行狀況的客觀評價。七、人員管理制度第一章總則第一條本規(guī)范目標(biāo)在于建立人員管理制度，用于規(guī)范對人員管理過程的安全控制。第二章術(shù)語定義第二條本單位人員是指單位正式人員，包括試用期人員和借調(diào)人員等。第三章組織職責(zé)第三條辦公室兼任本單位的人力資源部門（以下均稱人力資源部門）,負(fù)責(zé)本單位工作人員入職，在崗，離崗等過程涉及的信息安全管理。第四章入職管理第四條人力資源部門確保人員在任用前，在適當(dāng)?shù)膷徫幻枋?、任用條款和條件中明確說明其應(yīng)履行的信息安全職責(zé),確保其人員理解其信息安全職責(zé)，確保人員承擔(dān)的角色符合單位的信息安全要求。第五條人力資源部門要對任用的工作人員、候選人員進(jìn)行充分的審查,特別是對于關(guān)鍵崗位、關(guān)鍵職務(wù)人員，以及其他會大量接觸敏感信息的人員。第六條人員篩選（一）人力資源部門負(fù)責(zé)組織對單位各個職位的候選人員進(jìn)行篩選、對候選人員涉及信息安全方面的資料核實(shí)和背景調(diào)查。（二）對工作人員的背景調(diào)查應(yīng)在申請職位時進(jìn)行。調(diào)查包括以下內(nèi)容：1、是否有適當(dāng)?shù)耐扑]人，申請人的工作能力和個人職業(yè)道德情況;2、監(jiān)管部門要求；3、其它需要調(diào)查的內(nèi)容。（三）各科室負(fù)責(zé)人可根據(jù)本科室對上崗工作人員的特殊要求，提出必要的附加調(diào)查內(nèi)容，并反饋給人力資源部，以便選出合適的人員。第七條出于背景調(diào)查目的收集、處理被調(diào)查人員信息時，應(yīng)在不違反相關(guān)的法律法規(guī)的前提下進(jìn)行。第五章在崗管理第八條工作人員需申請使用單位網(wǎng)絡(luò)訪問權(quán)限或應(yīng)用系統(tǒng)帳號，必須通過相關(guān)科室審批通過后，才能授予工作所需的最小權(quán)限。第九條工作人員工作崗位發(fā)生變化時，必須通過相關(guān)科室審批，對其訪問權(quán)限進(jìn)行相應(yīng)的調(diào)整第十條人力資源部門應(yīng)當(dāng)對單位的所有工作人員進(jìn)行與其工作職能相關(guān)的信息安全意識培訓(xùn)和教育。第六章紀(jì)律處理過程第十一條對違反紀(jì)律的人員做如下處理：（一）對于信息安全違規(guī)的人員，在正式紀(jì)律處理之前應(yīng)有一個信息安全違規(guī)的確認(rèn)；（二）正式的紀(jì)律處理過程應(yīng)確保正確、公平、公正地對待被懷疑信息安全違規(guī)的工作人員；（三）對內(nèi)部工作人員的具體紀(jì)律處理執(zhí)行部門行政處罰管理規(guī)定O第七章調(diào)動管理第十二條人員調(diào)動由調(diào)入科室提出調(diào)動申請，經(jīng)調(diào)出科室負(fù)責(zé)人、相關(guān)領(lǐng)導(dǎo)和人力資源部批準(zhǔn)后，發(fā)起人員轉(zhuǎn)崗流程。第十三條轉(zhuǎn)崗人員在科室負(fù)責(zé)人的監(jiān)督下完成工作交接和工作資料交接，包括個人辦公電腦中業(yè)務(wù)資料的交接工作。第十四條調(diào)崗人員崗位變動后的系統(tǒng)使用權(quán)限依照相關(guān)規(guī)定進(jìn)行申請。第十五條由人力資源部門負(fù)責(zé)流程抄送相關(guān)業(yè)務(wù)科室，由其協(xié)調(diào)所在科室完成對新入人員使用業(yè)務(wù)系統(tǒng)的調(diào)整審批工作，由人力資源部門完成具體的權(quán)限調(diào)整操作。第十六條轉(zhuǎn)崗人員在完成工作交接后，如果新工作不需要使用到原工作中的業(yè)務(wù)資料，其個人辦公電腦硬盤由人力資源部門負(fù)責(zé)進(jìn)行數(shù)據(jù)清除,清除方式包括格式化或使用專用工具進(jìn)行安全擦除。如果新工作需要使用到原工作中的業(yè)務(wù)資料，其個人辦公電腦硬盤可以不進(jìn)行數(shù)據(jù)清除工作。第十七條如果人員轉(zhuǎn)崗限在單位范圍內(nèi)，人力資源部門負(fù)責(zé)為轉(zhuǎn)崗人員辦理辦公電腦和其他辦公用品的變動手續(xù)；如果是人員在機(jī)構(gòu)間調(diào)動，由人力資源部門為其辦理辦公電腦和其他辦公用品的回收手續(xù)。第十八條如果是人員在機(jī)構(gòu)間調(diào)動，財務(wù)部負(fù)責(zé)轉(zhuǎn)崗人員的財務(wù)欠款追繳或未報銷帳目報銷工作。第八章離崗管理第十九條任用變更與終止職責(zé)（-）應(yīng)清晰的定義和分配工作人員任用變更或任用終止的職責(zé)。（二）變更或終止的傳達(dá)應(yīng)包括安全要求和法律職責(zé)，必要時還應(yīng)包括任何保密協(xié)議規(guī)定的職責(zé)，并且在工作人員任用結(jié)束后持續(xù)一段時間仍然有效的任用條款和任用合同等。（三）必要時，在工作人員的合同中應(yīng)包含相關(guān)職責(zé)和義務(wù)在任用終止后仍然有效的內(nèi)容，如保密方面的要求。（四）內(nèi)部工作人員的任用變更或終止由所在科室、人力資源部等負(fù)責(zé)處理。第二十條資產(chǎn)歸還（一）所有的工作人員在終止任用合同或協(xié)議時，應(yīng)歸還其使用的所有單位資產(chǎn)。需要交接的信息資產(chǎn)包括計算機(jī)設(shè)備、工作證、紙質(zhì)文件資料和存儲于電子介質(zhì)中的文檔、數(shù)據(jù)等。轉(zhuǎn)崗或離崗人員辦公電腦中的數(shù)據(jù)由其所在科室決定如何處置，歸還后的辦公電腦操作系統(tǒng)盤由人力資源部門或相關(guān)科室安全管理員進(jìn)行格式化。（二）當(dāng)工作人員在單位工作期間，利用單位信息資產(chǎn)產(chǎn)生信息及其知識產(chǎn)權(quán)，除另有約定外，屬于單位所有。第二十一條變更、撤銷訪問權(quán)限（一）所有工作人員對信息和信息處理設(shè)施的訪問權(quán)限應(yīng)在崗位發(fā)生變更時進(jìn)行調(diào)整或在任用終止時注銷或刪除。（二）應(yīng)注銷或刪除或改變訪問權(quán)的內(nèi)容包括物理訪問授權(quán)、邏輯訪問授權(quán)。必要時，在對信息和信息處理設(shè)施的訪問權(quán)限進(jìn)行變更或終止前需要進(jìn)行風(fēng)險評估。八、網(wǎng)絡(luò)安全培訓(xùn)和考核管理規(guī)定第一章總則第一條為了提高單位員工網(wǎng)絡(luò)安全意識和相關(guān)人員的安全技能，向單位工作人員宣講網(wǎng)絡(luò)安全管理的各項(xiàng)法規(guī)制度，將可能的風(fēng)險降到最低，明確網(wǎng)絡(luò)安全培訓(xùn)與考核管理過程與職責(zé)，特制定本規(guī)定。第二章組織職責(zé)第二條網(wǎng)絡(luò)安全培訓(xùn)與考核工作由隊(duì)伍建設(shè)科負(fù)責(zé)組織、籌備，須遵循相關(guān)的培訓(xùn)制度。第三條安全管理員負(fù)責(zé)具體落實(shí)具體的培訓(xùn)與考核內(nèi)容、培訓(xùn)與考核形式、登記匯總以及相關(guān)事宜。第三章安全培訓(xùn)管理程序第四條安全培訓(xùn)主要包括安全意識培訓(xùn)和安全技能培訓(xùn)。（一）、安全意識培訓(xùn)會因不同的對象有所調(diào)整，建議積極參與，在某些情況下可以要求有關(guān)的第三方機(jī)構(gòu)組織參加。培訓(xùn)的內(nèi)容可以包括：?對部門工作人員進(jìn)行必要的網(wǎng)絡(luò)安全教育培訓(xùn)I,讓其了解和掌握網(wǎng)絡(luò)安全法律法規(guī)，加強(qiáng)安全意識。＞在單位組織舉辦一年一次的業(yè)務(wù)學(xué)習(xí)班。由專業(yè)人員進(jìn)行業(yè)務(wù)培訓(xùn)。＞根據(jù)單位業(yè)務(wù)發(fā)展需要，對相關(guān)業(yè)務(wù)骨干人員組織精準(zhǔn)送培,到相關(guān)業(yè)務(wù)單位進(jìn)修。＞為強(qiáng)化在崗培訓(xùn)效果，單位定期組織多種形式的培訓(xùn)考核。（二）、安全技術(shù)培訓(xùn)主要是針對信息處理設(shè)備使用者或管理人員進(jìn)行的，如系統(tǒng)安全配置，開發(fā)安全配置等IT安全技術(shù)相關(guān)內(nèi)容。第五條培訓(xùn)類型可采用內(nèi)部培訓(xùn)或外部培訓(xùn)（聘請外部專家），由專家顧問以及其他專業(yè)人員對員工進(jìn)行培訓(xùn)I,網(wǎng)絡(luò)安全培訓(xùn)應(yīng)由安全管理員進(jìn)行匯總登記。第六條安全培訓(xùn)的工作安排：（一）、安全意識培訓(xùn)?安全意識培訓(xùn)工作應(yīng)當(dāng)由隊(duì)伍建設(shè)科負(fù)責(zé)組織和準(zhǔn)備,在其他部門的配合下開展。＞單位工作人員應(yīng)該積極參加關(guān)于網(wǎng)絡(luò)安全方面的培訓(xùn)。＞新進(jìn)工作人員應(yīng)當(dāng)在入職后3個月內(nèi)參加網(wǎng)絡(luò)安全培訓(xùn)。＞關(guān)鍵/敏感崗位的人員的變動應(yīng)當(dāng)開展相關(guān)的崗位培訓(xùn)。?對網(wǎng)絡(luò)安全政策、制度、標(biāo)準(zhǔn)的重大調(diào)整、更新必須組織相關(guān)培訓(xùn)，保證所有人員及時了解、掌握變更內(nèi)容。?用戶在使用任何信息技術(shù)設(shè)施前（包括軟件和硬件），必須接受完整的培訓(xùn)，特別是應(yīng)當(dāng)包括單位各項(xiàng)使用規(guī)定。（二）、安全技術(shù)培訓(xùn)＞隊(duì)伍建設(shè)科負(fù)責(zé)組織培訓(xùn)工作，安全技能培訓(xùn)的教材、課程應(yīng)當(dāng)由安全管理員負(fù)責(zé)，保證所有需要參加培訓(xùn)的人員都能及時的參加必要的安全技能培訓(xùn)。＞當(dāng)系統(tǒng)的新建、升級對用戶使用產(chǎn)生影響時，必須事先開展必要的針對用戶的培訓(xùn)，及時掌握最新的安全技術(shù)。第五章安全考核管理程序第七條網(wǎng)絡(luò)安全考核至少一年進(jìn)行一次全面的網(wǎng)絡(luò)安全考核，由隊(duì)伍建設(shè)科負(fù)責(zé)組織相關(guān)人員成立考核小組進(jìn)行網(wǎng)絡(luò)安全考核工作。第八條由安全管理員制定關(guān)鍵網(wǎng)絡(luò)安全關(guān)鍵崗位考核內(nèi)容，考核內(nèi)容應(yīng)包括安全管理制度落實(shí)情況、安全培訓(xùn)情況以及安全技能相關(guān)內(nèi)容。第九條網(wǎng)絡(luò)安全關(guān)鍵崗位考核內(nèi)容應(yīng)根據(jù)不同崗位進(jìn)行區(qū)分。九、第三方機(jī)構(gòu)安全管理規(guī)定第一章總則第一條為了加強(qiáng)對第三方機(jī)構(gòu)的安全管理，明確定義第三方機(jī)構(gòu)必須遵守的安全管理規(guī)定以及服務(wù)交付的安全要求等，特制定本文件。第二章術(shù)語定義第二條第三方機(jī)構(gòu)是指所有進(jìn)入本單位內(nèi)部提供相關(guān)技術(shù)服務(wù)的非本單位人員（包括但不限于供應(yīng)商、合作廠商、服務(wù)商）。第三條第三方機(jī)構(gòu)人員分為臨時來訪人員和駐場外包人員。臨時來訪的第三方機(jī)構(gòu)人員是指來本單位時間周期較短的人員，包括進(jìn)行業(yè)務(wù)交流的人員，臨時來訪參觀的人員等；駐場外包的第三方機(jī)構(gòu)人員是指來訪時間較長的第三方機(jī)構(gòu)技術(shù)服務(wù)人員，包括項(xiàng)目建設(shè)人員，外來信息系統(tǒng)值守人員，外來信息系統(tǒng)維護(hù)人員等。第三章組織職責(zé)第四條辦公室及相關(guān)業(yè)務(wù)科室負(fù)具有對第三方機(jī)構(gòu)及人員的管理職責(zé)，采用“誰接洽、誰負(fù)責(zé)，誰主管、誰負(fù)責(zé)”的原則。第五章駐場外包人員安全管理要求第五條駐場工作的外包人員應(yīng)遵守單位各項(xiàng)管理制度和外包合同中約定的各種條款。第六條駐場工作的外包人員應(yīng)與單位簽署保密協(xié)議。第七條對于單位駐場外包工作人員的各種資質(zhì)，應(yīng)由相應(yīng)項(xiàng)目的單位方項(xiàng)目經(jīng)理進(jìn)行審核，并留存復(fù)印件進(jìn)行統(tǒng)一保管。第八條聘請外包人員的單位或部門應(yīng)對駐場工作的外包人員進(jìn)行單位相關(guān)安全制度等方面的培訓(xùn)，以提高外包人員的安全意識。第九條對于長期駐場工作的外包人員，聘請外包人員的單位或部門應(yīng)定期進(jìn)行安全意識和單位安全制度執(zhí)行情況方面的考核。對于考核不合格者,應(yīng)要求委托外包單位調(diào)換工作人員。第十條駐場外包工作人員由相應(yīng)項(xiàng)目的單位項(xiàng)目經(jīng)理負(fù)責(zé)安排工位、資產(chǎn)領(lǐng)用、申請相應(yīng)賬號及權(quán)限、申請網(wǎng)絡(luò)訪問配置信息。第條駐場為外包人員申請賬號和權(quán)限時，應(yīng)符合最小權(quán)限及實(shí)名制原則。第十二條駐場外包人員在駐場辦公時，必須佩戴能夠標(biāo)識外包人員身份的正式或臨時工牌，以便安全巡查時能夠?qū)Ω鞣N人員快速識別。第十三條駐場外包人員在訪問機(jī)房等受限訪問的區(qū)域時，應(yīng)遵守單位《XX市數(shù)據(jù)資源管理局中心機(jī)房管理辦法》、《（XX市民政局）機(jī)房管理辦法》和《（XX市民政局）工作環(huán)境管理規(guī)定》的有關(guān)規(guī)定，向機(jī)房管理人員提出申請并經(jīng)批準(zhǔn)后，由單位員工全程陪同方可進(jìn)入受限訪問區(qū)域，駐場外包人員進(jìn)入辦公區(qū)域應(yīng)進(jìn)行登記。第十四條駐場外包人員不得利用單位的網(wǎng)絡(luò)、服務(wù)器等資源從事未經(jīng)允許的活動。不得在單位內(nèi)部未授權(quán)使用網(wǎng)絡(luò)掃描、刺探等軟件。不得在未經(jīng)批準(zhǔn)的情況下利用單位辦公、生產(chǎn)環(huán)境測試新技術(shù)、新業(yè)務(wù)。第十五條違反以上條款規(guī)定的，單位會做出調(diào)換駐場外包人員、追究民事及刑事責(zé)任等處罰措施。第六章臨時來訪人員安全管理要求第十六條單位臨時來訪人員應(yīng)在前臺或保安室進(jìn)行來訪事由、來訪人、訪問對象等內(nèi)容的登記，并等待訪問對象接待。登記時，來訪人應(yīng)出示身份證明材料。第十七條臨時來訪人員在訪問單位機(jī)房等受限訪問區(qū)域時，應(yīng)遵守單位《XX市數(shù)據(jù)資源管理局中心機(jī)房管理辦法》、《（XX市民政局）機(jī)房管理辦法》的有關(guān)規(guī)定，向機(jī)房管理人員提出申請并經(jīng)批準(zhǔn)后，由單位員工全程陪同方可進(jìn)入。第十八條臨時來訪人員自帶電子設(shè)備未經(jīng)授權(quán)禁止接入單位網(wǎng)絡(luò)和信息系統(tǒng)。第十九條臨時來訪人員與駐場外包人員為同一個單位的，未經(jīng)單位許可，禁止在外包人員的引領(lǐng)下進(jìn)入單位任何區(qū)域。第七章外包服務(wù)質(zhì)量考核與評價第二十條單位外包項(xiàng)目經(jīng)理應(yīng)采取日常考核和定期考核相結(jié)合的方式，對外部人員的日?？记?、工作成果、服務(wù)質(zhì)量等方面進(jìn)行評價。第二十一條當(dāng)單位外包項(xiàng)目經(jīng)理通過外包質(zhì)量考核發(fā)現(xiàn)提供的外包服務(wù)有偏差時，應(yīng)書面通知提供外包服務(wù)方的項(xiàng)目經(jīng)理及時進(jìn)行調(diào)整和改進(jìn)。第八章外包人員離場安全要求第二十二條外包人員在外包合同到期、被單位提出調(diào)離或替換和個人原因離職等情況下應(yīng)當(dāng)離場。第二十三條外包人員離場時要有完整的工作交接清單及接收人簽字證明材料。第二十四條外包人員離場前，要?dú)w還領(lǐng)用的單位資產(chǎn)。第二十五條外包人員離場后，聘請外包人員的單位或部門應(yīng)按照單位有關(guān)流程，及時刪除外包人員的賬戶和權(quán)限等。第二十六條外包人員需對保密協(xié)議承諾中持續(xù)生效的條款，繼續(xù)履行保密義務(wù)。十、計算機(jī)及網(wǎng)絡(luò)保密規(guī)定第一條為加強(qiáng)本單位計算機(jī)及網(wǎng)絡(luò)保密工作，根據(jù)中央、省委、市委保密委員會有關(guān)規(guī)定和要求，制定本規(guī)定。第二條單位成立保密工作領(lǐng)導(dǎo)小組，負(fù)責(zé)指導(dǎo)、檢查和督促本單位計算機(jī)及網(wǎng)絡(luò)保密工作，單位網(wǎng)絡(luò)安全與信息化工作領(lǐng)導(dǎo)小組協(xié)助工作。第三條要加大宣傳、加強(qiáng)培訓(xùn)，不斷增強(qiáng)單位工作人員計算機(jī)及網(wǎng)絡(luò)安全保密意識。第四條確定單位檔案室計算機(jī)為涉密計算機(jī)，由辦公室具體管理，處理有關(guān)涉密信息。其他計算機(jī)（含筆記本電腦）均不得處理涉密信息。第五條單位涉密計算機(jī)只連接黨政內(nèi)網(wǎng)，嚴(yán)禁與公共信息網(wǎng)連接，實(shí)行登錄身份認(rèn)證，建立使用臺帳。第六條單位用于政務(wù)網(wǎng)上公文交換計算機(jī)由辦公室專人管理,有關(guān)用戶名、口令及聯(lián)網(wǎng)方式、技術(shù)要嚴(yán)格保密，不得對外提供。第七條涉密信息應(yīng)在涉密計算機(jī)中存儲和處理,禁止通過公共信息網(wǎng)傳遞。必要時，可在涉密移動存儲介質(zhì)中暫時存儲，但處理完畢必須清除信息。除需存檔和必須保留的副本外，在處理過程中產(chǎn)生的樣品、紙張等必須銷毀。第八條涉密信息存儲介質(zhì)由專人嚴(yán)格保管,不得在涉密計算機(jī)與連接公共信息網(wǎng)計算機(jī)之間交叉使用。使用存儲介質(zhì)應(yīng)登記，確需外出攜帶需經(jīng)單位保密工作領(lǐng)導(dǎo)小組批準(zhǔn)。第九條單位人員因工作需要查閱有關(guān)涉密信息,經(jīng)單位保密工作領(lǐng)導(dǎo)小組批準(zhǔn)后，由單位專職保密員在涉密計算機(jī)上操作進(jìn)行。第十條不得利用計算機(jī)在公共信息網(wǎng)上發(fā)布內(nèi)部消息、泄露國家機(jī)密,不得制作、查閱、復(fù)制和傳播有礙社會治安和不健康的信息。第十一條對單位涉密計算機(jī)及公文交換計算機(jī)系統(tǒng)要經(jīng)常檢查，發(fā)現(xiàn)隱患及時報告和處理。第十二條單位涉密計算機(jī)的維修、更換、報廢，經(jīng)單位保密工作領(lǐng)導(dǎo)小組批準(zhǔn)后，在單位專職保密員監(jiān)督下進(jìn)行。第十三條計算機(jī)設(shè)備應(yīng)安裝防病毒工具，具有漏洞掃描和入侵防護(hù)措施，并進(jìn)行實(shí)時監(jiān)控，定期檢測和殺毒，確保計算機(jī)安全、正常運(yùn)行。第十四條單位涉密打印機(jī)專供單位接收文電和復(fù)印、打印有關(guān)涉密資料使用，由辦公室專人管理和操作。第十五條單位各科室每季度自查一次計算機(jī)及網(wǎng)絡(luò)保密情況，單位保密工作領(lǐng)導(dǎo)小組每半年對單位計算機(jī)及網(wǎng)絡(luò)保密情況進(jìn)行一次檢查，并通報檢查結(jié)果。十一、信息系統(tǒng)測試管理辦法第一章總則第一條為規(guī)范單位業(yè)務(wù)支撐系統(tǒng)及管理支撐系統(tǒng)（以下統(tǒng)稱“業(yè)務(wù)系統(tǒng)”）上線前的測試流程及上線后的版本升級測試流程，保障業(yè)務(wù)系統(tǒng)的安全、穩(wěn)定運(yùn)行，特制定本辦法。第二條業(yè)務(wù)系統(tǒng)上線運(yùn)行及后續(xù)補(bǔ)丁版本升級，都必須經(jīng)過嚴(yán)格的系統(tǒng)測試，嚴(yán)禁未經(jīng)測試的系統(tǒng)或補(bǔ)丁版本直接上線運(yùn)行,系統(tǒng)測試通過后方可進(jìn)入系統(tǒng)驗(yàn)收環(huán)節(jié)。第三條本辦法用于規(guī)范新業(yè)務(wù)系統(tǒng)上線、常規(guī)版本升級前的測試工作,涉及的范圍涵蓋功能測試、性能測試、可靠性測試、可維護(hù)性測試和安全測TAo第四條業(yè)務(wù)科室組織項(xiàng)目相關(guān)方（項(xiàng)目需求部門、項(xiàng)目開發(fā)單位、系統(tǒng)使用人員、第三方測試人員）組成系統(tǒng)測試組，負(fù)責(zé)系統(tǒng)測試的各項(xiàng)工作（以下統(tǒng)稱“測試組”）。第二章測試組工作職責(zé)第五條嚴(yán)格按軟件系統(tǒng)測試流程完成需求申請、測試執(zhí)行、總結(jié)評估等各項(xiàng)測試活動。第六條負(fù)責(zé)檢查以下測試準(zhǔn)入條件，滿足條件后才允許啟動測試:（一）項(xiàng)目開發(fā)單位提交測試的版本必須基線化,測試過程中不得隨意更改；（二）項(xiàng)目開發(fā)單位提交的文檔應(yīng)歸檔管理，包括開發(fā)單位的系統(tǒng)測試報告、系統(tǒng)需求設(shè)計文檔、版本描述文檔、用戶手冊、系統(tǒng)安裝升級手冊、聯(lián)機(jī)幫助、缺陷列表等；（三）項(xiàng)目開發(fā)單位提交的系統(tǒng)功能列表須與業(yè)務(wù)需求部門的原始需求一致；（四）項(xiàng)目開發(fā)單位提交的遺留缺陷列表中，無導(dǎo)致系統(tǒng)宕機(jī)等致命缺陷，基本業(yè)務(wù)和新增功能無嚴(yán)重缺陷。第七條如遇以下測試終止條件，測試組應(yīng)暫?；蚪K止測試活動：（-）版本初驗(yàn)測試（含基本功能驗(yàn)證測試和缺陷回歸測試）未通過;（二）發(fā)現(xiàn)嚴(yán)重缺陷，阻塞后續(xù)大量用例無法測試；（三）項(xiàng)目需求出現(xiàn)重大變更；（四）測試人力出現(xiàn)較大變更。第八條負(fù)責(zé)檢查以下測試出口條件，符合條件后才能結(jié)束測試：（一）用例執(zhí)行覆蓋率達(dá)到100%；多輪測試后缺陷數(shù)明顯收斂，系統(tǒng)功能符合需求說明書中規(guī)定的需求;（二）系統(tǒng)無致命問題，經(jīng)評審發(fā)現(xiàn)的問題總數(shù)、嚴(yán)重問題個數(shù)符合可接受范圍；（三）上一版本承諾解決的致命、嚴(yán)重、緊急問題均通過回歸測試;（四）系統(tǒng)測試報告（或驗(yàn)收測試報告）已通過業(yè)務(wù)系統(tǒng)項(xiàng)目組審核。第九條測試過程中如遇以下爭議情況，測試組應(yīng)申請召開爭議評定會議，邀請相關(guān)人員（測試人員、業(yè)務(wù)需求部門、項(xiàng)目開發(fā)單位、系統(tǒng)使用人員）參加：（一）測試發(fā)現(xiàn)的缺陷是否符合可接受范圍，是否允許測試通過；（二）回歸測試未通過的缺陷是否允許暫不解決；（三）測試版本被打回時，需召開會議審議；（四）緊急情況下未符合測試準(zhǔn)入條件的版本，是否允許測試；（五）緊急版本為縮短上線測試時間，是否允許裁剪測試流程，是否允許適當(dāng)降低測試出口標(biāo)準(zhǔn)（緊急版本上線后仍需按標(biāo)準(zhǔn)流程進(jìn)行補(bǔ)充測試，補(bǔ)齊測試交付件）；（六）對缺陷的認(rèn)定有爭議（含缺陷嚴(yán)重級別、缺陷承諾解決時間）；（七）對系統(tǒng)的功能實(shí)現(xiàn)及原始需求有爭議；（八）變更已歸檔或發(fā)布的文件。第十條測試組在整個測試周期應(yīng)進(jìn)行嚴(yán)格的配置管理（一）創(chuàng)建獨(dú)立的測試管理配置庫，有配置管理員負(fù)責(zé)測試過程文檔、階段性文檔的更新和發(fā)布；（二）轉(zhuǎn)測試的版本、補(bǔ)丁和文檔應(yīng)在配置庫上基線化，配置管理員按標(biāo)準(zhǔn)制定項(xiàng)目版本號；（三）各階段的過程文件應(yīng)在配置庫上留痕和發(fā)布；（四）已歸檔或發(fā)布的文件，需通過評估會議仲裁后，才能變更。第三章新業(yè)務(wù)系統(tǒng)上線測試管理辦法第十一條前期工作（一）測試人員應(yīng)在需求分析階段，了解原始業(yè)務(wù)需求，提出系統(tǒng)可維護(hù)性、可測性需求；在需求功能明確后，啟動測試設(shè)計活動；（二）業(yè)務(wù)系統(tǒng)項(xiàng)目組應(yīng)在啟動測試設(shè)計活動前二周提交測試申請,測試組按《信息系統(tǒng)測試流程》要求，準(zhǔn)備測試環(huán)境、編寫測試計劃,審批通過后啟動測試活動；（三）若有自動化測試需求,業(yè)務(wù)系統(tǒng)項(xiàng)目組應(yīng)在啟動測試設(shè)計前三周提交自動化測試申請，測試組先對系統(tǒng)進(jìn)行自動化可行性分析，再按《信息系統(tǒng)測試流程》要求，啟動自動化用例設(shè)計工作；（四）測試組預(yù)估測試工作量，提前安排測試執(zhí)行時間，應(yīng)至少規(guī)劃1個月時間，安排兩輪系統(tǒng)測試、一輪回歸測試。第十二條測試范圍（一）新系統(tǒng)應(yīng)重點(diǎn)考慮功能、性能、可靠性測試;（二）運(yùn)行在不同操作系統(tǒng)、硬件設(shè)備上的系統(tǒng)，需考慮兼容性測試;（三）有大量終端客戶使用的系統(tǒng)，需考慮系統(tǒng)易用性和可維護(hù)性測試。第十三條測試方法（一）新業(yè)務(wù)系統(tǒng)測試以黑盒測試為主;有前臺界面的系統(tǒng)以自動化測試為主，采取手工與自動化相結(jié)合的方式；（二）新業(yè)務(wù)系統(tǒng)通過系統(tǒng)測試后，必須組織系統(tǒng)使用部門、業(yè)務(wù)需求部門共同完成正式的驗(yàn)收測試；（三）有大量終端客戶使用的新系統(tǒng)，全面上線前還應(yīng)安排B測試。在實(shí)際使用場所部署新系統(tǒng)，選取一批典型客戶試用一段時間，試用期間客戶發(fā)現(xiàn)的缺陷、提出的意見妥善處理和解決后方可上線。第四章常規(guī)版本升級測試管理辦法第十四條前期工作（一）僅修復(fù)缺陷的補(bǔ)丁版本，應(yīng)在啟動測試活動前一周提交測試申請，安排1至2輪回歸測試；（二）重大功能升級測試,業(yè)務(wù)系統(tǒng)項(xiàng)目組應(yīng)在啟動測試前活動前二周提交測試申請，測試組按《信息系統(tǒng)測試流程》要求，準(zhǔn)備測試環(huán)境、編寫測試計劃;（三）重大功能升級版本及原有測試用例覆蓋不全的系統(tǒng)，應(yīng)至少規(guī)劃一個月的測試設(shè)計時間，安排兩輪系統(tǒng)測試、一輪回歸測試。第十五條測試范圍（一）重大功能升級測試以功能測試為主,若新增性能指標(biāo)或系統(tǒng)架構(gòu)較大變更，還需重點(diǎn)考慮性能、穩(wěn)定性測試；（二）補(bǔ)丁版本升級測試以版本初驗(yàn)測試和回歸測試為主，版本初驗(yàn)測試重點(diǎn)針對系統(tǒng)的基本業(yè)務(wù)進(jìn)行功能測試；回歸測試重點(diǎn)驗(yàn)證修復(fù)的缺陷，并對缺陷相關(guān)聯(lián)的業(yè)務(wù)進(jìn)行功能測試。第十六條測試方法（一）常規(guī)版本升級測試以黑盒測試為主;功能測試優(yōu)先考慮自動化方式，問題回歸及不適合自動化測試的系統(tǒng)采取手工方式；（二）擁有大量終端客戶的系統(tǒng)，若業(yè)務(wù)功能或終端界面有較大變化,在系統(tǒng)測試通過后還需安排B測試。B測試期間客戶發(fā)現(xiàn)的缺陷、提出的意見妥善處理和解決后方可上線。十二、信息安全建設(shè)管理規(guī)定第一章總則第一條為了規(guī)范信息安全管理，提高信息安全保障能力和水平，維護(hù)信息系統(tǒng)安全運(yùn)行，保障和促進(jìn)信息化建設(shè)，根據(jù)《信息安全等級保護(hù)管理辦法（xx[2007]43號）》,特制定本規(guī)定。第二章適用范圍第二條本規(guī)定適用于單位信息安全保護(hù)建設(shè)全生命周期，管理對象為信息安全建設(shè)過程中所有管理人員、維護(hù)人員、使用人員以及第三方服務(wù)機(jī)構(gòu)。第三章組織職責(zé)第三條單位在網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組下設(shè)立信息安全領(lǐng)導(dǎo)小組,負(fù)責(zé)信息安全管理工作的監(jiān)督、檢查、指導(dǎo)并協(xié)調(diào)各個科室之間的協(xié)同工作,支持和推動信息安全管理工作在整個單位范圍內(nèi)的實(shí)施。第四條信息安全管理工作小組在信息安全領(lǐng)導(dǎo)小組的指導(dǎo)下負(fù)責(zé)落實(shí)信息安全管理工作的監(jiān)督、檢查、指導(dǎo)信息安全管理工作。第五條安全管理員負(fù)責(zé)協(xié)調(diào)組織單位信息安全管理建設(shè)工作,包括系統(tǒng)定級、方案設(shè)計、等級備案、等級測評等工作。第六條單位相關(guān)科室或人員協(xié)助配合安全管理員進(jìn)行信息安全建設(shè)工作。第四章系統(tǒng)定級第七條信息系統(tǒng)定級堅(jiān)持自主定級、自主保護(hù)的原則。信息系統(tǒng)的安全管理應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟(jì)建設(shè)、社會生活中的重要程度,信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。第八條信息系統(tǒng)的安全保護(hù)等級分為以下五級：第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益。第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對社會秩序和公共利益造成損害，但不損害國家安全。第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成損害。第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對國家安全造成嚴(yán)重?fù)p害。第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴(yán)重?fù)p害。第九條由安全管理員根據(jù)《GB/T22240-2019信息安全等級保護(hù)定級指南》中信息安全保護(hù)定級因素對系統(tǒng)進(jìn)行定級。第十條安全管理員制訂信息系統(tǒng)定級報告，并組織相關(guān)科室和有關(guān)安全技術(shù)專家對信息系統(tǒng)定級結(jié)果的合理性和正確性進(jìn)行評審，形成評審意見。第十一條評審?fù)ㄟ^的定級報告報送上級主管部門進(jìn)行審批，同時將相關(guān)材料報送公安機(jī)關(guān)網(wǎng)安部門進(jìn)行備案，換取備案證明。第五章安全檢查報告第十二條安全方案設(shè)計階段的目標(biāo)是根據(jù)信息系統(tǒng)的劃分情況、信息系統(tǒng)的定級情況、信息系統(tǒng)承載業(yè)務(wù)情況，通過分析明確信息系統(tǒng)安全需求，設(shè)計合理的、滿足信息安全要求的總體方案，并制定出安全實(shí)施計劃,以指導(dǎo)后續(xù)的信息系統(tǒng)安全建設(shè)工程實(shí)施。對于已運(yùn)行的信息系統(tǒng)，需求分析應(yīng)當(dāng)首先分析判斷信息系統(tǒng)的安全保護(hù)現(xiàn)狀與信息安全要求之間的差距。第十三條安全管理員協(xié)調(diào)相關(guān)部門或人員對信息系統(tǒng)的安全建設(shè)進(jìn)行總體規(guī)劃，制定近期和遠(yuǎn)期的安全建設(shè)工作計劃。第十四條安全管理員協(xié)調(diào)相關(guān)部門或人員根據(jù)信息系統(tǒng)的等級劃分情況，統(tǒng)一考慮安全保障體系的總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃和詳細(xì)設(shè)計方案。第十五條網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組負(fù)責(zé)組織相關(guān)部門和有關(guān)安全技術(shù)專家對系統(tǒng)安全設(shè)計方案進(jìn)行評審和論證（附錄一、系統(tǒng)安全設(shè)計方案評審表）。第十六條根據(jù)等級測評、安全評估的結(jié)果由安全管理員協(xié)調(diào)相關(guān)人員定期調(diào)整和修訂總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計方案等相關(guān)配套文件。第六章系統(tǒng)建設(shè)第十七條產(chǎn)品采購和使用應(yīng)按照國家相關(guān)部門要求和單位相關(guān)管理制度進(jìn)行產(chǎn)品采購第十八條對于自行、外包軟件開發(fā)以及項(xiàng)目工程實(shí)施過程應(yīng)按照《XX市數(shù)據(jù)資源管理局軟件開發(fā)管理規(guī)范》相關(guān)要求進(jìn)行管理。第十九條系統(tǒng)建設(shè)完成后可委托公正的第三方測試單位對系統(tǒng)進(jìn)行安全性測試，并出具安全性測試報告；根據(jù)設(shè)計方案或合同要求等制訂測試驗(yàn)收方案，在測試驗(yàn)收過程中應(yīng)詳細(xì)記錄測試驗(yàn)收結(jié)果，對不符合信息安全要求的及時進(jìn)行整改，并形成測試驗(yàn)收報告。第二十條安全管理員負(fù)責(zé)對第三方測試單位進(jìn)行管理，并按照《(XX市民政局)第三方機(jī)構(gòu)安全管理規(guī)定》對第三方人員行為準(zhǔn)則進(jìn)行嚴(yán)格管理。第二十一條安全管理員組織相關(guān)部門和相關(guān)人員對系統(tǒng)測試驗(yàn)收報告進(jìn)行審定，并簽字確認(rèn)《附錄二、系統(tǒng)測試驗(yàn)收報告評審表》。第七章系統(tǒng)備案第二十二條根據(jù)XX2007(43)號文要求，已運(yùn)行的第二級以上信息系統(tǒng)，應(yīng)當(dāng)在信息安全保護(hù)等級確定后30日內(nèi)，由安全管理員到所在地區(qū)的市級以上公安機(jī)關(guān)辦理備案手續(xù)。第二十三條新建第二級以上信息系統(tǒng)，應(yīng)當(dāng)在投入運(yùn)行后30日內(nèi)，由安全管理員到所在地區(qū)的市級以上公安機(jī)關(guān)辦理備案手續(xù)。第二十四條辦理信息系統(tǒng)安全保護(hù)等級備案手續(xù)時，應(yīng)當(dāng)填寫《信息系統(tǒng)安全等級保護(hù)備案表》，第三級以上信息系統(tǒng)應(yīng)當(dāng)同時提供以下材料:系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說明系統(tǒng)安全組織機(jī)構(gòu)和管理制度；系統(tǒng)安全保護(hù)設(shè)施設(shè)計實(shí)施方案或者改建實(shí)施方案；系統(tǒng)使用的信息安全產(chǎn)品清單及其認(rèn)證、銷售許可證明；測評后符合系統(tǒng)安全保護(hù)等級的技術(shù)檢測評估報告；信息系統(tǒng)安全保護(hù)等級專家評審意見；主管部門審核批準(zhǔn)信息系統(tǒng)安全保護(hù)等級的意見。安全檢查工具只能在檢查設(shè)備或者被檢查部門的設(shè)備上運(yùn)行，并由檢查人員負(fù)責(zé)操作。第八章系統(tǒng)測評第二十五條邀請具有等級保護(hù)測評資質(zhì)證書的第三方機(jī)構(gòu)對本單位系統(tǒng)進(jìn)行等級保護(hù)測評，等級保護(hù)測評機(jī)構(gòu)應(yīng)具備如下條件：在中華人民共和國境內(nèi)注冊成立（港澳臺地區(qū)除外）；由中國公民投資、中國法人投資或者國家投資的企事業(yè)單位（港澳臺地區(qū)除外）；在《中國網(wǎng)絡(luò)安全等級保護(hù)網(wǎng)》推薦目錄中能查詢到，且從事相關(guān)等保測評工作兩年以上，無違法記錄；工作人員僅限于中國公民;法人及主要業(yè)務(wù)、技術(shù)人員無犯罪記錄；使用的技術(shù)裝備、設(shè)施應(yīng)當(dāng)符合本辦法對信息安全產(chǎn)品的要求;對國家安全、社會秩序、公共利益不構(gòu)成威脅。第二十六條安全管理員負(fù)責(zé)對測評機(jī)構(gòu)等級測評過程按照單位相關(guān)規(guī)定進(jìn)行管理，負(fù)責(zé)對測評人員安全保密進(jìn)行要求，必要時與其簽訂安全保密責(zé)任書，規(guī)定應(yīng)當(dāng)履行的安全保密義務(wù)和承擔(dān)的法律責(zé)任,并負(fù)責(zé)檢查落實(shí)。第二十七條在系統(tǒng)運(yùn)行過程中，定期進(jìn)行等級測評，三級及以上系統(tǒng)至少每年對系統(tǒng)進(jìn)行一次等級測評，發(fā)現(xiàn)不符合相應(yīng)等級保護(hù)標(biāo)準(zhǔn)要求的及時整改。第二十八條在系統(tǒng)發(fā)生變更時及時對系統(tǒng)進(jìn)行等級測評，發(fā)現(xiàn)級別發(fā)生變化的及時調(diào)整級別并進(jìn)行安全改造,發(fā)現(xiàn)不符合相應(yīng)等級保護(hù)標(biāo)準(zhǔn)要求的及時整改。第九章系統(tǒng)終止第二十九條信息系統(tǒng)被轉(zhuǎn)移、終止或廢棄時，由安全管理員組織系統(tǒng)相關(guān)管理人員提出系統(tǒng)終止申請（附錄三、系統(tǒng)轉(zhuǎn)移、終止或廢棄申請表），由單位信息安全領(lǐng)導(dǎo)小組（“保密委”）進(jìn)行審批，方可執(zhí)行系統(tǒng)轉(zhuǎn)移、終止或廢棄。第三十條審批通過后由安全管理對系統(tǒng)所屬軟、硬件和介質(zhì)等敏感信息按照相關(guān)規(guī)定進(jìn)行處理。

附錄一、系統(tǒng)安全設(shè)計方案評審表日期：年月日方案名稱參與人員方案描述專家意見附錄二、系統(tǒng)測試驗(yàn)收評審表日期： 年月日測試報告名稱

評審人員交付物報告內(nèi)容（須提交測試報告做為附件）:評審意見：評審人員：日期：附錄三、系統(tǒng)轉(zhuǎn)移、終止或廢棄申請表日期：年月日系統(tǒng)名稱:系統(tǒng)申請調(diào)整狀態(tài)（轉(zhuǎn)移、終止或廢棄）：提出部門：提出人：轉(zhuǎn)移、終止或廢棄原因說明:系統(tǒng)所屬科室意見：（簽章）年月日信息安全小組領(lǐng)導(dǎo)意見：組長簽字：十三、項(xiàng)目管理規(guī)定第一章總則第一條為提項(xiàng)目管理能力，保障信息系統(tǒng)項(xiàng)目建設(shè)，推動業(yè)務(wù)發(fā)展,促進(jìn)信息系統(tǒng)項(xiàng)目管理工作規(guī)范化，特制定本規(guī)定。第二章適用范圍第二條本規(guī)定適用范圍包括項(xiàng)目的立項(xiàng)、啟動、計劃、實(shí)施、監(jiān)控、收尾等管理過程。第三章職責(zé)與權(quán)限第三條辦公室是信息系統(tǒng)項(xiàng)目的主管部門，負(fù)責(zé)信息系統(tǒng)項(xiàng)目管理工作，并參與各科室的項(xiàng)目建設(shè)管理。第四條各業(yè)務(wù)科室對接具體的項(xiàng)目，負(fù)責(zé)具體的項(xiàng)目各階段工作。其主要職責(zé)包括：（一） 負(fù)責(zé)信息系統(tǒng)需求實(shí)施可行性分析與評估，組織項(xiàng)目實(shí)施方案并要求工程實(shí)施單位能正式地執(zhí)行安全工程過程。（-） 負(fù)責(zé)牽頭項(xiàng)目立項(xiàng)工作，負(fù)責(zé)進(jìn)行項(xiàng)目報批或報備工作。（三）負(fù)責(zé)項(xiàng)目實(shí)施任務(wù)的技術(shù)組織、落實(shí)與管理工作。制定項(xiàng)目所建信息系統(tǒng)上線工作方案，部署上線投產(chǎn)和推廣工作。負(fù)責(zé)項(xiàng)目監(jiān)控，定期編制項(xiàng)目報告。（六）負(fù)責(zé)技術(shù)驗(yàn)收和項(xiàng)目相關(guān)文檔的管理，報辦公室存檔第四章項(xiàng)目立項(xiàng)第五條項(xiàng)目立項(xiàng)階段相關(guān)工作一般包括但不限于；（-） 需求科室經(jīng)前期準(zhǔn)備，確定需求目標(biāo)和范圍，編寫需求說明書,明確需求的必要性、