級等保評審需要的網(wǎng)絡(luò)安全管理制度大全匯編

某某單位信息安全管理制度匯編信息化管理處文件名稱文件編號控制級別文件類別管理制度文件頁數(shù)編制日期審核日期日期編號用途審批人日期經(jīng)手人日期第一章安全策略總綱…………錯誤!未定義書簽。信息安全策略總綱……錯誤!未定義書簽。總則………………錯誤!未定義書簽。信息安全工作總體方針…………錯誤!未定義書簽。信息安全總體策略………………錯誤!未定義書簽。安全管理…………錯誤!未定義書簽。制度的制定與發(fā)布………………錯誤!未定義書簽。制度的評審和修訂………………錯誤!未定義書簽。附件1-1-1網(wǎng)絡(luò)安全管理制度論證審定記錄(模板)…………錯誤!未定義書簽。附件1-1-2網(wǎng)絡(luò)安全管理制度收發(fā)文記錄(模板)…………錯誤!未定義書簽。信息安全組織及崗位職責(zé)管理規(guī)定………………錯誤!未定義書簽。總則………………錯誤!未定義書簽。信息安全組織機(jī)構(gòu)………………錯誤!未定義書簽。信息安全組織職責(zé)………………錯誤!未定義書簽。信息安全崗位職責(zé)………………錯誤!未定義書簽。信息安全崗位要求………………錯誤!未定義書簽。附則………………錯誤!未定義書簽。附件2-1-1網(wǎng)絡(luò)安全工作授權(quán)審批單(模板)…錯誤!未定義書簽。附件2-1-2網(wǎng)絡(luò)安全工作會議記錄表(模板)…錯誤!未定義書簽。附件2-1-3外聯(lián)單位工作聯(lián)系表(模板)………錯誤!未定義書簽。信息安全檢查與審計管理制度……錯誤!未定義書簽?？倓t………………錯誤!未定義書簽。安全檢查…………錯誤!未定義書簽。安全審計…………錯誤!未定義書簽。附則………………錯誤!未定義書簽。附件2-2-1年度網(wǎng)絡(luò)安全檢查記錄(模板)……錯誤!未定義書簽。內(nèi)部人員信息安全管理規(guī)定總則………………錯誤!未定義書簽。人員錄用…………錯誤!未定義書簽。人員轉(zhuǎn)崗和離崗…………………錯誤!未定義書簽。人員考核…………錯誤!未定義書簽。人員教育和培訓(xùn)…………………錯誤!未定義書簽。附則………………錯誤!未定義書簽。附件3-1-1人員錄用審查考核結(jié)果記錄(模板)………………錯誤!未定義書簽。附件3-1-2信息系統(tǒng)關(guān)鍵崗位安全協(xié)議(模板)………………錯誤!未定義書簽。附件3-1-3信息安全崗位培訓(xùn)計劃制定要求(模板)…………錯誤!未定義書簽。附件3-1-4人員離崗安全處理記錄(模板)……錯誤!未定義書簽。附件3-1-5人員培訓(xùn)考核記錄(模板)…………錯誤!未定義書簽。附件3-1-6人員獎懲及違紀(jì)記錄(模板)………錯誤!未定義書簽。外部人員訪問信息安全管理規(guī)定…錯誤!未定義書簽。定義………………錯誤!未定義書簽。外部人員訪問信息安全管理……錯誤!未定義書簽。第三方安全要求…………………錯誤!未定義書簽。附則………………錯誤!未定義書簽。第四章系統(tǒng)建設(shè)管理…………錯誤!未定義書簽。定級備案管理規(guī)定……錯誤!未定義書簽?？倓t………………錯誤!未定義書簽。定義………………錯誤!未定義書簽。崗位及職責(zé)………錯誤!未定義書簽。系統(tǒng)定級方法…………………系統(tǒng)定級備案管理………………錯誤!未定義書簽。附件4-1-1系統(tǒng)定級結(jié)果評審及審批意見(模板)……………錯誤!未定義書簽。信息安全方案設(shè)計管理規(guī)定總則……………安全建設(shè)總體規(guī)劃責(zé)任部門……錯誤!未定義書簽。安全方案的設(shè)計和評審…………錯誤!未定義書簽。安全方案的調(diào)整和修訂…………錯誤!未定義書簽。附件4-2-1安全方案評審及審批意見(模板)…錯誤!未定義書簽。產(chǎn)品采購和使用信息安全管理規(guī)定………………錯誤!未定義書簽。產(chǎn)品采購和使用…………………錯誤!未定義書簽。產(chǎn)品采購清單的維護(hù)……………錯誤!未定義書簽。附則………………錯誤!未定義書簽。附件4-3-1安全產(chǎn)品采購記錄(模板)…………錯誤!未定義書簽。附件4-3-2候選產(chǎn)品清單(模板)………………錯誤!未定義書簽。信息系統(tǒng)自行軟件開發(fā)管理規(guī)定…錯誤!未定義書簽。附則………………錯誤!未定義書簽。信息系統(tǒng)外包軟件開發(fā)管理規(guī)定…錯誤!未定義書簽。外包軟件開發(fā)管理……………附則……………信息系統(tǒng)工程實施安全管理制度…錯誤!未定義書簽。工程實施管理……錯誤!未定義書簽。實施過程控制方法………………錯誤!未定義書簽。實施人員行為準(zhǔn)則………………錯誤!未定義書簽。附則………………錯誤!未定義書簽。附件4-6-1工程測試驗收評審及審批意見(模板)……………錯誤!未定義書簽。信息系統(tǒng)測試驗收安全管理規(guī)定…錯誤!未定義書簽?？倓t………………錯誤!未定義書簽。測試驗收管理…………………測試驗收控制方法………………錯誤!未定義書簽。測試人員行為準(zhǔn)則………………錯誤!未定義書簽。附則…………信息系統(tǒng)交付安全管理規(guī)定總則………………錯誤!未定義書簽。交付管理……系統(tǒng)交付的控制方法……………錯誤!未定義書簽。參與人員行為準(zhǔn)則………………錯誤!未定義書簽。附則…………信息系統(tǒng)等級測評管理規(guī)定總則………………錯誤!未定義書簽。等級測評管理……錯誤!未定義書簽。附則………………錯誤!未定義書簽。信息系統(tǒng)安全服務(wù)商選擇管理辦法…………錯誤!未定義書簽?？倓t…………………錯誤!未定義書簽。安全服務(wù)商選擇…………………錯誤!未定義書簽。附則…………………錯誤!未定義書簽。附件4-10-1個人工作保密承諾書(模板)……錯誤!未定義書簽。附件4-10-2服務(wù)項目保密協(xié)議書(模板)……錯誤!未定義書簽。第五章系統(tǒng)運維管理…………錯誤!未定義書簽。環(huán)境安全管理規(guī)定……錯誤!未定義書簽?？倓t…………………錯誤!未定義書簽。機(jī)房安全管理………錯誤!未定義書簽。辦公區(qū)信息安全管理……………錯誤!未定義書簽。附則………………錯誤!未定義書簽。附件5-1-1機(jī)房來訪人員登記表(模板)………錯誤!未定義書簽。資產(chǎn)安全管理制度……錯誤!未定義書簽?？倓t………………錯誤!未定義書簽。信息系統(tǒng)資產(chǎn)使用………………錯誤!未定義書簽。信息系統(tǒng)資產(chǎn)傳輸………………錯誤!未定義書簽。信息系統(tǒng)資產(chǎn)存儲…………………錯誤!未定義書簽。信息系統(tǒng)資產(chǎn)報廢………………錯誤!未定義書簽。附則………………錯誤!未定義書簽。附件5-2-1資產(chǎn)清單(模板)……錯誤!未定義書簽。附件5-2-2信息系統(tǒng)資產(chǎn)報廢申請表(模板)…錯誤!未定義書簽。介質(zhì)安全管理制度……錯誤!未定義書簽。總則………………錯誤!未定義書簽。介質(zhì)管理標(biāo)準(zhǔn)……錯誤!未定義書簽。附則……………附件5-3-1存儲介質(zhì)操作記錄表(模板)…錯誤!末定義書簽。設(shè)備安全管理制度……錯誤!未定義書簽?？倓t……………設(shè)備安全管理……錯誤!未定義書簽。配套設(shè)施、軟硬件維護(hù)管理……錯誤!未定義書簽。附則………………錯誤!未定義書簽。附件5-4-1設(shè)備出門條(模板)…………………錯誤!未定義書簽。附件5-4-2設(shè)備維修記錄表(模板)……………錯誤!未定義書簽。附件5-4-3網(wǎng)絡(luò)運維巡檢表(模板)……………錯誤!未定義書簽。附件5-4-4主機(jī)運維巡檢表(模板)……………錯誤!未定義書簽。附件5-4-5數(shù)據(jù)庫運維巡檢表(模板)…………錯誤!未定義書簽。附件5-4-6應(yīng)用服務(wù)運維巡檢表(模板)………錯誤!未定義書簽。附件5-4-7機(jī)房相關(guān)設(shè)備運維巡檢表(模板)…錯誤!未定義書簽。運行維護(hù)和監(jiān)控管理規(guī)定運行維護(hù)和監(jiān)控工作…………安全運行維護(hù)和監(jiān)控作業(yè)計劃…錯誤!未定義書簽。附則…………附件5-5-1監(jiān)控記錄分析評審表………………錯誤!未定義書簽。網(wǎng)絡(luò)安全管理制度……錯誤!未定義書簽?？倓t………………錯誤!未定義書簽。網(wǎng)絡(luò)設(shè)備管理……錯誤!未定義書簽。用戶和口令管理…………………錯誤!未定義書簽。配置文件管理……錯誤!未定義書簽。日志管理……設(shè)備軟件管理……錯誤!未定義書簽。設(shè)備登錄管理……錯誤!未定義書簽。附則…………附件5-6-1網(wǎng)絡(luò)運維記錄表(模板)……………錯誤!未定義書簽。附件5-6-2違規(guī)外聯(lián)及接入行為檢查記錄表(模板)…………錯誤!未定義書簽。系統(tǒng)安全管理制度……錯誤!未定義書簽?？倓t………………錯誤!未定義書簽。系統(tǒng)安全策略………………安全配置…………錯誤!未定義書簽。日志管理………日常操作流程…………………附則………………錯誤!未定義書簽。附件5-7-1補(bǔ)丁測試記錄(模板)………………錯誤!未定義書簽。附件5-7-2日志審計分析記錄(模板)…………錯誤!未定義書簽。惡意代碼防范管理規(guī)定………………錯誤!未定義書簽?？倓t……………惡意代碼防范工作原則…………錯誤!未定義書簽。職責(zé)……………工作要求…………錯誤!未定義書簽。附則………………錯誤!未定義書簽。附件5-8-1惡意代碼檢查結(jié)果分析記錄(模板)……………錯誤!未定義書簽。密碼使用管理制度……錯誤!未定義書簽?？倓t…………………錯誤!未定義書簽。密碼使用要求……錯誤!未定義書簽。附則…………………錯誤!未定義書簽。變更管理制度……錯誤!未定義書簽。總則…………………錯誤!未定義書簽。變更定義……………錯誤!未定義書簽。變更過程……………錯誤!未定義書簽。變更過程職責(zé)………錯誤!未定義書簽。附則…………………錯誤!未定義書簽。備份與恢復(fù)管理制度……………錯誤!未定義書簽?？倓t…………………錯誤!未定義書簽。備份恢復(fù)管理……錯誤!未定義書簽。附則…………………錯誤!未定義書簽。附件5-11-1數(shù)據(jù)備份和恢復(fù)策略文檔(模板)………………錯誤!未定義書簽。附件5-11-2備份介質(zhì)清除或銷毀申請單(模板)……………錯誤!未定義書簽。附件5-11-3數(shù)據(jù)備份和恢復(fù)記錄(模板)……錯誤!未定義書簽。安全事件報告和處置管理制度………………錯誤!未定義書簽?？倓t………………錯誤!未定義書簽。安全事件報告和處置管理………錯誤!未定義書簽。安全事件報告和處理程序………錯誤!未定義書簽。附則………………錯誤!未定義書簽。附件5-12-1網(wǎng)絡(luò)安全行為告知書(模板)……錯誤!未定義書簽。附件5-12-2信息安全事件報告表(模板)……錯誤!未定義書簽。附件5-12-3系統(tǒng)異常事件處理記錄(模板)…錯誤!未定義書簽。應(yīng)急預(yù)案管理制度………………錯誤!未定義書簽?？倓t………………錯誤!未定義書簽。組織機(jī)構(gòu)與職責(zé)…………………錯誤!未定義書簽。安全事件應(yīng)急預(yù)案框架…………錯誤!未定義書簽。應(yīng)急響應(yīng)程序……錯誤!未定義書簽。應(yīng)急預(yù)案審查管理………………錯誤!未定義書簽。應(yīng)急預(yù)案培訓(xùn)……錯誤!未定義書簽。應(yīng)急預(yù)案演練……錯誤!未定義書簽。附則………………錯誤!未定義書簽。附件5-13-1應(yīng)急處置審批表(模板)…………錯誤!未定義書簽。附件5-13-2應(yīng)急預(yù)案評審及審批意見(模板)………………錯誤!未定義書簽。第六章其他管理制度…………錯誤!未定義書簽。安全設(shè)備運行維護(hù)規(guī)范………………錯誤!未定義書簽。適用產(chǎn)品范圍……錯誤!未定義書簽。安全策略配置規(guī)范………………錯誤!未定義書簽。安全運維規(guī)范……錯誤!未定義書簽。附則………………錯誤!未定義書簽。附件6-1-1安全設(shè)備配置變更申請表(模板)………………錯誤!未定義書簽。附件6-1-2安全設(shè)備配置變更記錄表(模板)…錯誤!未定義書簽。第一章安全策略總綱第一條為貫徹國家對信息安全的規(guī)定和要求，指導(dǎo)和規(guī)范吉林省某某單位信息系統(tǒng)建設(shè)、使用、維護(hù)和管理過程中，實現(xiàn)信息系統(tǒng)安全防護(hù)的基本目的，提高信息系統(tǒng)的安全性，防范和控制系統(tǒng)故障和風(fēng)險，確保信息系統(tǒng)安全、可靠、穩(wěn)定運行，維護(hù)社會秩序、公共利益和國家安全，特制定《吉林省某某單位信息安全策略總綱》(以下簡稱《總綱》)。第二條《總綱》根據(jù)國家信息安全相關(guān)政策法規(guī)而制第三條本制度適用于吉林省某某單位信息系統(tǒng)，適用于吉林省某某單位擬建、在建以及運行的非涉密信息系統(tǒng)。1.1.2、信息安全工作總體方針第四條吉林省某某單位信息系統(tǒng)的安全保護(hù)管理工作防為主”是吉林省某某單位信息安全保護(hù)管理工作的基本方第五條《總綱》規(guī)定了吉林省某某單位信息系統(tǒng)安全管理的體系、策略和具體制度，為信息化安全管理工作提供監(jiān)督依據(jù)。第六條吉林省某某單位信息系統(tǒng)安全管理體系是由信息安全策略總綱、安全管理制度、安全技術(shù)標(biāo)準(zhǔn)以及安全工作流程和操作規(guī)程組成的。(一)《總綱》是信息安全各個方面所應(yīng)遵守的原則方法和指導(dǎo)性策略文件。(二)《總綱》是制定吉林省某某單位信息安全管理制度和規(guī)定的依據(jù)。(三)吉林省某某單位信息安全管理制度和規(guī)定了信息安全管理活動中各項管理內(nèi)容。(四)吉林省某某單位信息安全技術(shù)標(biāo)準(zhǔn)和規(guī)范是根據(jù)《總綱》中對信息安全方面相關(guān)的規(guī)定所引出的，其規(guī)定了信息安全中的各項技術(shù)要求。第七條吉林省某某單位信息安全工作流程和操作規(guī)程詳細(xì)規(guī)定了主要應(yīng)用和事件處理的流程、步驟以及相關(guān)注意事項，并且作為具體工作時的具體依照。1.1.3、信息安全總體策略第八條吉林省某某單位信息系統(tǒng)總體安全保護(hù)策略是：系統(tǒng)資源的價值大小、用戶訪問權(quán)限的大小和系統(tǒng)重要程度的區(qū)別就是安全級別的客觀體現(xiàn)。信息安全保護(hù)必須符合客觀存在和發(fā)展規(guī)律，其分級、分區(qū)域、分類和分階段是做好信息安全保護(hù)工作的前提。第九條吉林省某某單位信息系統(tǒng)的安全保護(hù)策略由吉林省某某單位網(wǎng)絡(luò)安全與信息化工作領(lǐng)導(dǎo)小組負(fù)責(zé)制定與第十條吉林省某某單位網(wǎng)絡(luò)安全與信息化工作領(lǐng)導(dǎo)小組根據(jù)信息系統(tǒng)的安全保護(hù)等級、安全保護(hù)需求和安全目標(biāo)，結(jié)合吉林省某某單位自身的實際情況，依據(jù)國家信息安全法規(guī)和標(biāo)準(zhǔn)，制定信息系統(tǒng)的安全保護(hù)實施細(xì)則和具體管理辦法，并根據(jù)實際情況，及時調(diào)整和制定新的實施細(xì)則和具體管理辦法。第十一條吉林省某某單位信息系統(tǒng)的安全保護(hù)工作應(yīng)從技術(shù)體系和管理體系兩個方面進(jìn)行，技術(shù)體系包括物理環(huán)境安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全等五個部分，管理體系包括安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理等五個部分，由技術(shù)體系和管理體系共十個部分構(gòu)成信息系統(tǒng)安全等級保護(hù)(一)物理環(huán)境安全包括：周邊環(huán)境安全，門禁檢查，防盜竊、防破壞、防火、防水、防潮、防雷擊、防電磁泄露和(二)網(wǎng)絡(luò)安全包括：網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，網(wǎng)絡(luò)的布線和防護(hù)，網(wǎng)絡(luò)設(shè)備的管理和報警，網(wǎng)絡(luò)攻擊的監(jiān)察和處理，網(wǎng)絡(luò)安全審計和檢查及邊界完整性檢查；(三)主機(jī)安全包括：主機(jī)的身份鑒別、訪問控制、安(四)應(yīng)用安全包括：應(yīng)用系統(tǒng)的身份鑒別、訪問控制、安全審計、剩余信息保護(hù)、通信完整性和保密性、抗抵賴、軟件容錯和資源控制等；(五)數(shù)據(jù)安全包括：數(shù)據(jù)傳輸?shù)耐暾院捅Ｃ苄?、?shù)據(jù)存儲的完整性和保密性、數(shù)據(jù)的備份和恢復(fù)等；(六)安全管理制度是信息系統(tǒng)安全策略、方針性文件，規(guī)定信息安全工作的總體目標(biāo)、范圍、原則和安全框架，是管理制度體系的靈魂和核心文件；(七)通過構(gòu)建和完善信息安全組織架構(gòu)的措施，明確不同安全組織和不同安全角色的定位、職責(zé)以及相互關(guān)系，強(qiáng)化信息安全的專業(yè)化管理，實現(xiàn)對安全風(fēng)險的有效控制；(八)人員安全管理包括人員錄用、人員管理、人員考核、保密協(xié)議、培訓(xùn)、離崗離職等多個方面；(九)系統(tǒng)建設(shè)管理根據(jù)信息密級、系統(tǒng)重要性和安全策略將信息系統(tǒng)劃分為不同的安全域，針對不同的安全域確定不同的信息安全保護(hù)等級，采取相應(yīng)的保護(hù)。信息系統(tǒng)安全等級的定級決定了系統(tǒng)方案的設(shè)計、實施、安全措施、運行維護(hù)等信息系統(tǒng)建設(shè)的各個環(huán)節(jié)。信息系統(tǒng)定級遵循“誰建設(shè)、誰定級”的原則；(十)系統(tǒng)運維管理對信息系統(tǒng)進(jìn)行綜合監(jiān)控管理，對支撐重要信息系統(tǒng)的資源進(jìn)行監(jiān)控保護(hù)，確保密碼防護(hù)、病毒防護(hù)、系統(tǒng)變更等事件按照規(guī)定的信息安全管理策略實行，建立安全管理監(jiān)控中心，實現(xiàn)對人、事件、流程、資產(chǎn)等方面的綜合管理。第十二條吉林省某某單位信息系統(tǒng)定級備案管理完全按照國家相關(guān)信息安全標(biāo)準(zhǔn)的相關(guān)政策要求進(jìn)行。要求所有接入吉林省某某單位的信息系統(tǒng)均按照等級保護(hù)定級備案要求進(jìn)行定級，參考《信息系統(tǒng)安全保護(hù)等級定級指南GB/T22240-2008》,由各應(yīng)用系統(tǒng)接入單位自主定級并填寫定級報告，吉林省某某單位網(wǎng)絡(luò)安全與信息化工作領(lǐng)導(dǎo)小組辦公室填寫定級備案表，經(jīng)吉林省某某單位網(wǎng)絡(luò)安全與信息化工作領(lǐng)導(dǎo)小組批準(zhǔn)，由吉林省某某單位網(wǎng)絡(luò)安全與信息化工作領(lǐng)導(dǎo)小組辦公室統(tǒng)一負(fù)責(zé)向公安機(jī)關(guān)進(jìn)行備案。所有吉林省某某單位信息系統(tǒng)必須確定其信息安全保護(hù)等級，并在吉林省某某單位網(wǎng)絡(luò)安全與信息化工作領(lǐng)導(dǎo)小組辦公室進(jìn)第十三條業(yè)務(wù)應(yīng)用需求和設(shè)計單位，要充分考慮信息系統(tǒng)的安全需求分析，統(tǒng)一按照業(yè)務(wù)系統(tǒng)歸屬進(jìn)行安全域劃分，確定定級備案情況；具體參考《信息安全等級保護(hù)管理辦法》、《信息系統(tǒng)安全等級保護(hù)基本要求》,參照《信息系統(tǒng)安全等級保護(hù)實施指南計技術(shù)要求》等標(biāo)準(zhǔn)規(guī)范要求，結(jié)合行業(yè)特點進(jìn)行安全需求(一)信息安全需求分析，至少包括以下信息安全方面(二)可行性分析中須包括以下信息安全方面的內(nèi)容：1.明確項目的總體信息安全目標(biāo)，并依據(jù)信息安全需2.描述如何從技術(shù)和管理兩個方面來實現(xiàn)所有的信息3.增加項目建設(shè)中的信息安全管理模式、信息安全組4.對安全方案進(jìn)行成本-效益分析；5.需求分析階段必須明確地定義和商定新系統(tǒng)的需求第十四條業(yè)務(wù)應(yīng)用的安全設(shè)計應(yīng)按照國家信息安全標(biāo)準(zhǔn)進(jìn)行，并依照信息安全需求分析評估得出的結(jié)論，通過相(一)物理安全-設(shè)計中要充分考慮到物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水、防潮、電力、物理位置、防靜電和電磁防護(hù)，做到增強(qiáng)控制，對人員和設(shè)(二)網(wǎng)絡(luò)安全-設(shè)計中要充分考慮到結(jié)構(gòu)安全、訪問控制、設(shè)備防護(hù)、安全審計、邊界完整性檢查、入侵防范、惡對入網(wǎng)設(shè)備的接入進(jìn)行非法外聯(lián)的定位和阻斷，對形成的記錄進(jìn)行分析、形成報表，對審計系統(tǒng)進(jìn)行兩種以上鑒別技術(shù)，保證特權(quán)用戶分離；(三)主機(jī)安全-設(shè)計中充分考慮主機(jī)系統(tǒng)(操作系統(tǒng))的身份鑒別、訪問控制、入侵防范、惡意代碼防范、安全審計、資源控制、剩余信息保護(hù)，要求必須監(jiān)控服務(wù)器相關(guān)服務(wù)，保證最小授權(quán)原則，對形成的記錄進(jìn)行分析(四)數(shù)據(jù)安全-設(shè)計中充分考慮數(shù)據(jù)完整性、數(shù)據(jù)備份和(五)應(yīng)用安全-設(shè)計中充分考慮應(yīng)用系統(tǒng)的身份鑒別、訪問控制、通信完整性和保密性、軟件容錯、安全審計、資源控制、剩余信息保護(hù)、抵賴性。在信息系統(tǒng)安全規(guī)劃設(shè)計時，應(yīng)該考慮系統(tǒng)的容量和資源的可用性，以減少系統(tǒng)過載的風(fēng)險，并采取相應(yīng)的保密措施，控制涉及核心數(shù)據(jù)軟件設(shè)計的相關(guān)資料的使用，并應(yīng)遵循以下原則：(一)充分考慮應(yīng)用安全實現(xiàn)的可控性，以便盡可能地降低安全系統(tǒng)與應(yīng)用系統(tǒng)結(jié)合過程中的風(fēng)險；(二)保持安全系統(tǒng)與應(yīng)用系統(tǒng)的相互獨立性，避免功能實現(xiàn)上的交叉或跨越；(三)建立完善的信息安全控制機(jī)制，包括：用戶標(biāo)識與認(rèn)證、邏輯訪問控制、公共訪問控制、審計與跟蹤等。第十五條信息系統(tǒng)安全建設(shè)管理需要按照國家信息安全標(biāo)準(zhǔn)的相關(guān)要求，并在安全管理組織的領(lǐng)導(dǎo)下，結(jié)合應(yīng)用的實際情況，進(jìn)行信息安全建設(shè)。在建設(shè)中應(yīng)充分考慮系統(tǒng)定級管理、安全方案設(shè)計管理、產(chǎn)品采購和使用管理、自行以及外包軟件開發(fā)管理、工程實施管理、測試驗收管理、系統(tǒng)交付管理、安全服務(wù)商選擇管理、系統(tǒng)備案管理、等級測評管理等因素對信息系統(tǒng)安全的影響程度。信息系統(tǒng)安全建設(shè)管理要求將系統(tǒng)建設(shè)過程有效程序化，明確指定項目實施監(jiān)理負(fù)責(zé)人，確保系統(tǒng)設(shè)計文檔和相關(guān)代碼的安全，對銷毀過程要進(jìn)行安全控制，自行開發(fā)時應(yīng)第十六條信息系統(tǒng)安全驗收管理按照國家相關(guān)信息安全標(biāo)準(zhǔn)的要求，結(jié)合吉林省某某單位信息系統(tǒng)的實際情況進(jìn)行安全驗收管理規(guī)范化。項目驗收需得到各業(yè)務(wù)單位、吉林省某某單位網(wǎng)絡(luò)安全與信息化工作領(lǐng)導(dǎo)小組辦公室共同確認(rèn)簽字驗收。項目應(yīng)達(dá)到項目任務(wù)書中制定的總體安全目標(biāo)和安全指標(biāo)，實現(xiàn)全部安全功能。驗收報告中應(yīng)包括項目總安全技術(shù)內(nèi)容。系統(tǒng)驗收并移交后，必須立即修改系統(tǒng)中的(一)功能檢查包括對軟件功能完整性、正確性進(jìn)行審查(二)項目管理審查包括對項目計劃、采用標(biāo)準(zhǔn)、需求方(三)測試結(jié)果審查包括對項目測試報告、監(jiān)理單位出具(四)技術(shù)文檔檢查包括對項目開發(fā)單位交付的文檔資料(紙質(zhì)文檔和電子文檔)進(jìn)行審查。(八)系統(tǒng)文檔，包括系統(tǒng)建設(shè)過程中的文檔，詳細(xì)的系(五)系統(tǒng)建設(shè)過程中出現(xiàn)重大問題，未能解決和做出說項目驗收完畢后，系統(tǒng)建設(shè)部門應(yīng)對負(fù)責(zé)系統(tǒng)使用和維護(hù)的人員進(jìn)行相應(yīng)培訓(xùn)，并履行服務(wù)承諾。第十七條安全測評管理是按照國家信息安全標(biāo)準(zhǔn)測評的相關(guān)要求，結(jié)合吉林省某某單位的實際情況進(jìn)項目驗收時應(yīng)按照信息安全法律法規(guī)和標(biāo)準(zhǔn)情況，進(jìn)行自評估或委托具有國家相關(guān)技術(shù)資質(zhì)和安全資質(zhì)的第三方測評機(jī)構(gòu)進(jìn)行測評，并出具測評報告，測評報告將作為項目驗收的參考依據(jù)。信息系統(tǒng)的安全性測試驗收應(yīng)獨立進(jìn)行，測試程序應(yīng)包括以下內(nèi)容：(一)測試驗收前根據(jù)設(shè)計方案或合同要求等制訂測試驗收方案，測試驗收方案應(yīng)對參與測試部門、人員、現(xiàn)場操作過程等進(jìn)行要求，并確保測試和接收標(biāo)準(zhǔn)被清晰定(二)測試方案應(yīng)通過吉林省某某單位網(wǎng)絡(luò)安全與信息化工作領(lǐng)導(dǎo)小組辦公室的論證和審定；(三)嚴(yán)格依據(jù)測試方案進(jìn)行測試，測試驗收過程中詳細(xì)(四)至少應(yīng)審查主機(jī)端口開放情況是否符合系統(tǒng)說明、使用網(wǎng)絡(luò)偵聽工具查通訊數(shù)據(jù)包是否符合系統(tǒng)說明和使用惡意代碼軟件檢測軟件包中可能存在的惡意代碼(五)擬定測試驗收報告，并由相關(guān)負(fù)責(zé)人簽字確認(rèn)。第十八條安全運維管理按照國家信息安全標(biāo)準(zhǔn)的要求，項目驗收完畢后，結(jié)合吉林省某某單位的實際情況進(jìn)行運行維護(hù)管理工作。信息安全管理部門接管后，負(fù)責(zé)物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、數(shù)據(jù)安全等管理工作，并定期和不定期的進(jìn)行信息安全檢查，確保信息系統(tǒng)安全運行。各業(yè)務(wù)系統(tǒng)的維護(hù)人員負(fù)責(zé)維護(hù)和監(jiān)控責(zé)任范圍內(nèi)的應(yīng)用系統(tǒng)，不得越權(quán)進(jìn)行訪問。信息安全運行維護(hù)項目應(yīng)包括但不限于(四)對出口鏈路或關(guān)鍵鏈路流量進(jìn)行檢查，設(shè)備配置進(jìn)(五)對新購置的設(shè)備和軟件在上線之前進(jìn)行安全性檢查、(六)對設(shè)備和軟件的日志進(jìn)行定期和不定期的審計。(八)建立監(jiān)控平臺，對設(shè)備安全漏洞、安全事件、系統(tǒng)(九)建立單位作業(yè)計劃應(yīng)包括以下內(nèi)容安全設(shè)備維護(hù)、(十)定期出具安全運行維護(hù)報告，報告涉及方面包括但不限于以下內(nèi)容：安全設(shè)備維護(hù)內(nèi)容、安全監(jiān)控內(nèi)容、第十九條吉林省某某單位信息化管理處負(fù)責(zé)制訂信息系統(tǒng)安全管理制度，并以文檔形式表述，經(jīng)吉林省某某單位網(wǎng)絡(luò)安全與信息化工作領(lǐng)導(dǎo)小組辦公室討論通過，由吉林省某某單位網(wǎng)絡(luò)安全與信息化工作領(lǐng)導(dǎo)小組辦公室負(fù)責(zé)人審第二十條吉林省某某單位信息化管理處負(fù)責(zé)組織制第二十一條吉林省某某單位信息化管理處負(fù)責(zé)根據(jù)信息系統(tǒng)安全管理制度，結(jié)合系統(tǒng)的特點進(jìn)行細(xì)化和制定實施細(xì)則，報吉林省某某單位網(wǎng)絡(luò)安全與信息化工作領(lǐng)導(dǎo)小組第二十二條吉林省某某單位信息系統(tǒng)安全管理制度第二十三條信息安全管理制度由吉林省某某單位網(wǎng)絡(luò)安全與信息化工作領(lǐng)導(dǎo)小組辦公室負(fù)責(zé)審核，以正式文件第二十四條由吉林省某某單位網(wǎng)絡(luò)安全與信息化工作領(lǐng)導(dǎo)小組辦公室負(fù)責(zé)文檔的評審，對安全策略和制度的有效第二十五條吉林省某某單位信息化管理處負(fù)責(zé)定期組織對安全管理制度的執(zhí)行情況進(jìn)行檢查，并結(jié)合國家信息安全主管部門每年定期對信息安全進(jìn)行檢查中發(fā)現(xiàn)的問題，以及技術(shù)基礎(chǔ)結(jié)構(gòu)發(fā)生變更時，吉林省某某單位信息化管理處要對安全管理制度的細(xì)則進(jìn)行修訂，修訂后報吉林省某某單位網(wǎng)絡(luò)安全與信息化工作領(lǐng)導(dǎo)小組辦公室進(jìn)行審批。第二十七條每個策略和制度文檔有相應(yīng)的負(fù)責(zé)人或負(fù)責(zé)部門，負(fù)責(zé)對明確需要修訂的文檔進(jìn)行維護(hù)，并制定信附件1-1-1網(wǎng)絡(luò)安全管理制度論證審定記錄(模板)網(wǎng)絡(luò)安全管理制度論證審定記錄表組織部門評審內(nèi)容評審原因評審時間參與人員姓名部門崗位職責(zé)簽到評審意見組織人負(fù)責(zé)人記錄人附件1-1-2網(wǎng)絡(luò)安全管理制度收發(fā)文記錄(模板)網(wǎng)絡(luò)安全管理制度收發(fā)文記錄表發(fā)文部門發(fā)文號簽收信息簽收部門簽收人簽收時間備注第二章安全管理機(jī)構(gòu)2.1、信息安全組織及崗位職責(zé)管理規(guī)定第一條為了加強(qiáng)吉林省某某單位對信息安全工作的管理，全面提高信息安全管理能力，規(guī)范信息安全管理組織體第二條本規(guī)定依據(jù)《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信第三條本規(guī)定依照“信息安全管理的主要領(lǐng)導(dǎo)負(fù)責(zé)、(一)主要領(lǐng)導(dǎo)負(fù)責(zé)原則：吉林省某某單位應(yīng)確保主要領(lǐng)導(dǎo)參與并確立組織統(tǒng)一的信息安全保障宗旨和政策，組織有效的安全保障隊伍，調(diào)動并優(yōu)化配置必要的資源，協(xié)調(diào)安(二)全員參與原則：信息系統(tǒng)所有相關(guān)人員普遍參與信息系統(tǒng)的安全管理，并與相關(guān)方面協(xié)同、協(xié)調(diào)，共同保障(三)依法管理原則：信息安全管理工作應(yīng)保證管理主(四)分權(quán)和授權(quán)原則：對特定職能或責(zé)任領(lǐng)域的管理功能實施分離、獨立審計等實行分權(quán)，避免權(quán)力過分集中所帶來的隱患，以減小未授權(quán)的修改或濫用系統(tǒng)資源的機(jī)會。任何實體(如用戶、管理員、進(jìn)程、應(yīng)用或系統(tǒng))僅享有該實體需要完成其任務(wù)所必須的權(quán)限，不應(yīng)享有任何多余權(quán)限。(五)體系化管理原則：吉林省某某單位整體應(yīng)符合信息系統(tǒng)等級保護(hù)三級的體系化管理目標(biāo)和要求。第五條吉林省某某單位應(yīng)建立由吉林省某某單位網(wǎng)絡(luò)安全與信息化工作領(lǐng)導(dǎo)小組和吉林省某某單位網(wǎng)絡(luò)安全與信息化工作領(lǐng)導(dǎo)小組辦公室共同構(gòu)建的安全管理機(jī)構(gòu)。第六條由吉林省某某單位主管領(lǐng)導(dǎo)或主管領(lǐng)導(dǎo)授權(quán)的主管機(jī)構(gòu)領(lǐng)導(dǎo)擔(dān)任吉林省某某單位網(wǎng)絡(luò)安全與信息化工作(一)吉林省某某單位信息化主管領(lǐng)導(dǎo)；(二)吉林省某某單位各業(yè)務(wù)單位的主管領(lǐng)導(dǎo)；(三)吉林省某某單位信息化管理處主管領(lǐng)導(dǎo)。第七條吉林省某某單位網(wǎng)絡(luò)安全與信息化工作領(lǐng)導(dǎo)小組辦公室是吉林省某某單位的信息化管理處，是信息安全工作的執(zhí)行機(jī)構(gòu)，負(fù)責(zé)執(zhí)行吉林省某某單位網(wǎng)絡(luò)安全與信息化工作領(lǐng)導(dǎo)小組交辦的各項工作，由吉林省某某單位信息化主管領(lǐng)導(dǎo)主管領(lǐng)導(dǎo)擔(dān)任負(fù)責(zé)人，成員為各業(yè)務(wù)單位的主管領(lǐng)導(dǎo)，信息安全執(zhí)行層包括：(一)吉林省某某單位的網(wǎng)絡(luò)管理員、系統(tǒng)管理員、安全管理員、安全審計員、安全策略/規(guī)劃員、數(shù)據(jù)庫管理員、應(yīng)用管理員和機(jī)房管理員；(二)吉林省某某單位各業(yè)務(wù)單位的安全員。第八條信息化管理處應(yīng)設(shè)立信息安全管理崗位，分別為安全管理員、安全審計員、網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員、應(yīng)用管理員和機(jī)房管理員，負(fù)責(zé)執(zhí)行網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)庫、應(yīng)用和機(jī)房的安全管理和運維工作。第九條其他信息化相關(guān)部門應(yīng)指派安全員，負(fù)責(zé)協(xié)調(diào)本部門信息安全工作的落實和具體執(zhí)行情況。2.1.3、信息安全組織職責(zé)第十條吉林省某某單位網(wǎng)絡(luò)安全與信息化工作領(lǐng)導(dǎo)小組辦公室負(fù)責(zé)領(lǐng)導(dǎo)吉林省某某單位的信息系統(tǒng)安全工作，組(一)根據(jù)國家和行業(yè)有關(guān)信息安全的政策、法律和法規(guī)，確定信息安全工作的總體方向、總體原則和安全工作方(二)根據(jù)國家和行業(yè)有關(guān)信息安全的政策、法律和法規(guī)，批準(zhǔn)吉林省某某單位信息系統(tǒng)的安全策略和發(fā)展規(guī)劃；(三)確定各有關(guān)部門在信息系統(tǒng)安全工作中的職責(zé)，領(lǐng)導(dǎo)安全工作的實施；(四)監(jiān)督安全措施的執(zhí)行，并對重要安全事件的處理(五)指導(dǎo)和檢查信息化管理處的各項工作；(六)建設(shè)和完善信息系統(tǒng)安全組織體系和管理機(jī)制。第十一條吉林省某某單位網(wǎng)絡(luò)安全與信息化工作領(lǐng)導(dǎo)小組辦公室負(fù)責(zé)貫徹、落實和執(zhí)行吉林省某某單位網(wǎng)絡(luò)安全與信息化工作領(lǐng)導(dǎo)小組下達(dá)的各項工作，組織職責(zé)如下：(一)貫徹、落實和解釋國家和行業(yè)有關(guān)信息安全的政策、法律、法規(guī)和信息安全工作要求，起草吉林省某某單位信息系統(tǒng)的安全策略和發(fā)展規(guī)劃；(二)落實和執(zhí)行吉林省某某單位信息安全工作的日常(三)負(fù)責(zé)安全措施的實施或組織實施，組織并參加信(四)負(fù)責(zé)內(nèi)、外部組織和機(jī)構(gòu)的信息安全溝通、協(xié)調(diào)(五)組織編制和落實信息安全規(guī)劃、方案、實施、測(六)指導(dǎo)和檢查相關(guān)單位信息系統(tǒng)安全工作落實情況；(八)指導(dǎo)和檢查相關(guān)單位和下級單位信息系統(tǒng)安全人(九)協(xié)同有關(guān)部門共同組成應(yīng)急處理小組，組織處理(十)負(fù)責(zé)組織信息系統(tǒng)安全知識的培訓(xùn)和宣傳工作。第十二條吉林省某某單位信息安全組織中應(yīng)建立信第十三條信息安全工作主管(信息化管理處主任)的(一)組織、協(xié)調(diào)落實各項信息安全工作；(二)組織評審信息安全總體策略、規(guī)劃方案、管理制度和技術(shù)規(guī)范；(三)組織評審信息安全產(chǎn)品技術(shù)規(guī)格和相關(guān)產(chǎn)品安全(四)組織監(jiān)督、檢查信息安全工作的落實情況。第十四條安全管理員(專職)的崗位職責(zé)如下：(一)起草和編制吉林省某某單位信息安全方針、信息安全保障體系框架和信息安全策略、制度和技術(shù)規(guī)范；(二)起草和編制吉林省某某單位信息安全總體規(guī)劃，收集信息系統(tǒng)安全需求；(三)推動吉林省某某單位信息安全方針、信息安全策略、信息安全管理制度及信息安全技術(shù)規(guī)范的實施落實。(四)定期組織信息系統(tǒng)漏洞掃描和信息安全風(fēng)險評估工作，形成信息系統(tǒng)和整體安全現(xiàn)狀報告，并向吉林省某某單位網(wǎng)絡(luò)安全與信息化工作領(lǐng)導(dǎo)小組辦公室進(jìn)行匯報；(五)負(fù)責(zé)制定總體網(wǎng)絡(luò)訪問控制策略和規(guī)則，并對其進(jìn)行監(jiān)控和審計工作，定期發(fā)布策略執(zhí)行情況；(六)負(fù)責(zé)制定全員的安全培訓(xùn)計劃，組織開展安全培(七)對網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)庫管理員進(jìn)行安全指(八)定期收集信息安全漏洞和公告信息，并告知相關(guān)(九)協(xié)調(diào)信息安全應(yīng)急響應(yīng)組織和技術(shù)支撐單位。(一)定期審計信息安全策略執(zhí)行情況，收集信息系統(tǒng)(二)對安全、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)庫、機(jī)房管理(三)組織檢查相關(guān)單位和下級單位信息系統(tǒng)安全人員第十六條系統(tǒng)管理員的安全職責(zé)如下：(一)根據(jù)吉林省某某單位安全策略定期對系統(tǒng)進(jìn)行自(二)依照安全策略對系統(tǒng)進(jìn)行安全配置和漏洞修補(bǔ)；(三)對系統(tǒng)進(jìn)行日常安全運維管理，定期更改系統(tǒng)賬號，并定期提交安全運行維護(hù)記錄或報告；(四)在發(fā)生系統(tǒng)異常和安全事件時對系統(tǒng)進(jìn)行應(yīng)急處第十七條網(wǎng)絡(luò)管理員的安全職責(zé)如下：(一)根據(jù)吉林省某某單位安全策略定期對網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)架構(gòu)進(jìn)行自評估；(二)依照安全策略對網(wǎng)絡(luò)設(shè)備進(jìn)行安全配置；(三)對網(wǎng)絡(luò)設(shè)備、安全設(shè)備進(jìn)行日常安全運維管理，并定期提交安全運行維護(hù)記錄或報告；(四)在發(fā)生系統(tǒng)異常和安全事件時，對網(wǎng)絡(luò)設(shè)備、安全設(shè)備進(jìn)行應(yīng)急處置。第十八條數(shù)據(jù)庫管理員的安全職責(zé)如下：(一)根據(jù)吉林省某某單位安全策略定期對數(shù)據(jù)庫安全(二)依照安全策略對數(shù)據(jù)庫進(jìn)行安全配置和漏洞修補(bǔ)；(三)對數(shù)據(jù)庫進(jìn)行日常安全運維管理，定期檢查數(shù)據(jù)庫用戶，并提交安全運行維護(hù)記錄或報告；(四)在發(fā)生數(shù)據(jù)庫異常和安全事件時，對數(shù)據(jù)庫以及備份數(shù)據(jù)進(jìn)行應(yīng)急處置和恢復(fù)。第十九條應(yīng)用管理員的安全職責(zé)如下：(一)根據(jù)吉林省某某單位安全策略定期對應(yīng)用進(jìn)行自(二)依照安全策略對應(yīng)用進(jìn)行安全配置和漏洞修補(bǔ)；(三)對應(yīng)用進(jìn)行日常安全運維管理，并提交安全運行維護(hù)記錄或報告；(四)在發(fā)生應(yīng)用異常和安全事件時，對應(yīng)用進(jìn)行應(yīng)急處置和恢復(fù)。第二十條機(jī)房管理員的安全職責(zé)如下：(一)負(fù)責(zé)機(jī)房的物資管理和日常維護(hù)工作；(二)根據(jù)信息化管理處的要求，嚴(yán)格遵守工作流程，確保日常工作的正常進(jìn)行；(三)完成信息化管理處交辦的其他工作。第二十一條重要業(yè)務(wù)系統(tǒng)操作人員的安全職責(zé)如下：(一)根據(jù)吉林省某某單位安全策略對業(yè)務(wù)系統(tǒng)進(jìn)行安(二)負(fù)責(zé)定期對業(yè)務(wù)系統(tǒng)操作進(jìn)行自評估，如發(fā)現(xiàn)非法或違反安全策略的操作應(yīng)及時報告安全審計員。第二十二條相關(guān)部門安全員的崗位職責(zé)如下：(一)負(fù)責(zé)本部門信息安全工作的開展，并配合信息化管理處的信息安全工作；(二)遵照吉林省某某單位的信息安全策略協(xié)調(diào)本部門的信息安全技術(shù)落實；(三)指導(dǎo)并參與信息安全相關(guān)項目的建設(shè)；(四)協(xié)調(diào)本部門的信息安全工作，并接受數(shù)據(jù)信息化管理處定期和不定期的檢查。2.1.5、信息安全崗位要求第二十三條吉林省某某單位應(yīng)設(shè)立專職的信息安全管理崗位，并由專人負(fù)責(zé)，根據(jù)信息安全管理的實際工作情況，人員編制為3-6人。第二十四條吉林省某某單位設(shè)立專職的安全管理員。第二十五條關(guān)鍵崗位應(yīng)配備多人共同管理，定期輪崗，關(guān)鍵崗位人員配備堅持“權(quán)限分散、不得交叉覆蓋”的原則，安全管理員和安全審計員不能由一人身兼。第二十六條信息化管理處應(yīng)根據(jù)崗位職責(zé)，確定崗位所需要的安全技能，并對所有信息安全崗位人員進(jìn)行相應(yīng)的安全技能培訓(xùn)。第二十七條吉林省某某單位信息系統(tǒng)的安全技術(shù)崗位可由其他相關(guān)管理員兼任，其中網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、數(shù)據(jù)庫安全管理以及應(yīng)用安全管理工作可分別由網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員以及應(yīng)用管理員執(zhí)行。第二十八條重要業(yè)務(wù)系統(tǒng)操作人員應(yīng)在日常工作中認(rèn)真執(zhí)行吉林省某某單位安全策略和技術(shù)安全規(guī)范中的各項要求。第二十九條各個業(yè)務(wù)單位的安全員應(yīng)緊密配合部信息安全工作，協(xié)調(diào)本單位信息安全策略的落實和信息安全工作的具體執(zhí)行。第三十條本規(guī)定的解釋權(quán)歸吉林省某某單位。第三十一條本規(guī)定自發(fā)布之日起生效。附件2-1-1網(wǎng)絡(luò)安全工作授權(quán)審批單(模板)授權(quán)審批事件信息審批事項事項類型□特殊權(quán)限申請□其他申請人所在部門擔(dān)任職位申請時間詳細(xì)說明審批人員人員簽字審批時間申請人部門領(lǐng)導(dǎo)主管領(lǐng)導(dǎo)其他相關(guān)人員附件2-1-2網(wǎng)絡(luò)安全工作會議記錄表(模板)網(wǎng)絡(luò)安全工作會議記錄表會議信息會議時間會議地點□內(nèi)部會議□主管機(jī)構(gòu)□監(jiān)督機(jī)構(gòu)□外聯(lián)單位□服務(wù)廠商主持人記錄人人員信息參會人員單位/部門聯(lián)系方式簽到時間附件2-1-3外聯(lián)單位工作聯(lián)系表(模板)序號姓名郵箱備注1234567892.2、信息安全檢查與審計管理制度第一條為了加強(qiáng)吉林省某某單位信息安全檢查與審計工作管理，確保信息安全管理符合國家有關(guān)要求，特制訂本制度。第二條本規(guī)定適用于吉林省某某單位。第三條信息安全檢查包括各業(yè)務(wù)部門自查和信息安全處定期執(zhí)行的安全檢查。第四條各業(yè)務(wù)部門的自查內(nèi)容應(yīng)包括業(yè)務(wù)系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況，自查工作應(yīng)保留自查結(jié)果。自查應(yīng)至少一個季度組織一次。第五條信息化管理處執(zhí)行的安全檢查內(nèi)容應(yīng)包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況和業(yè)務(wù)處室自查結(jié)果抽查等。安全檢查應(yīng)至少半年組織一次。第六條自查和安全檢查均應(yīng)在檢查之前形成檢查表，自查檢查表應(yīng)經(jīng)過業(yè)務(wù)部門領(lǐng)導(dǎo)審核通過，安全檢查表應(yīng)經(jīng)過信息安全工作小組審核通過。第七條應(yīng)嚴(yán)格按照檢查表實施檢查，檢查完畢，記錄下所有檢查結(jié)果，檢查記錄需經(jīng)各業(yè)務(wù)部門領(lǐng)導(dǎo)簽字認(rèn)可。第八條應(yīng)對檢查記錄進(jìn)行歸檔，只有授權(quán)人員可以訪問第九條應(yīng)對檢查結(jié)果進(jìn)行匯總分析，形成安全檢查報告，檢查報告應(yīng)對問題進(jìn)行分析，提出解決建議。第十條應(yīng)制定措施防止安全檢查結(jié)果的非授權(quán)散布，只對經(jīng)過授權(quán)的人員通報安全檢查結(jié)果。第十一條各業(yè)務(wù)部門應(yīng)閱讀并理解安全檢查報告，在信息化管理處的指導(dǎo)下對出現(xiàn)的問題進(jìn)行整改。信息化管理處應(yīng)對整改過程進(jìn)行監(jiān)督，并將整改結(jié)果報送信息安全工作小2.2.3、安全審計第十二條安全審計作為整體審計工作的一個部份，依據(jù)審計工作相關(guān)管理辦法開展安全審計工作。第十三條安全審計人員的配備應(yīng)根據(jù)實際情況，采用如下方法的一種，原則上應(yīng)以審計部門培養(yǎng)自身獨立的安全審計人員為主，其他手段為輔。1、由審計部門獨立完成，使用審計部門具備相應(yīng)技能的人員完成審計工作；2、由審計部門和信息化管理處共同完成，信息化管理處指派熟悉技術(shù)的人員配合審計部門完成審計工作，本情形需注意審計獨立的原則，進(jìn)行交叉審計；3、聘請外部專業(yè)審計單位完成審計工作第十四條安全審計的內(nèi)容主要包括：1、相關(guān)法律法規(guī)的符合情況；2、管理部門的相關(guān)管理要求的符合情況；3、現(xiàn)有安全技術(shù)措施的有效性；4、安全配置與安全策略的一致性；5、安全管理制度的執(zhí)行情況；6、安全檢查和自查的檢查結(jié)果及檢查報告；7、日志信息是否完整記錄；8、各類重要記錄是否免受損失、破壞或偽造篡改；9、檢查系統(tǒng)是否存在漏洞；10、檢查數(shù)據(jù)是否具備安全保障措施。第十五條安全審計工作應(yīng)具有獨立性，避免有舞弊的情況發(fā)生。第十六條安全審計的方式分為：1、全面審計：即審計內(nèi)容覆蓋安全管理范圍內(nèi)的所有部門，以及所有信息安全控制措施要求的檢查。2、專項審計：即審計內(nèi)容只涉及部分部門，或部分信息安全控制措施要求的檢查。第十七條無論是采用全面審計還是專項審計方式，安全審計應(yīng)每一年對所有的部門，以及所有的信息安全控制措施要求至少進(jìn)行過一次審計。第十八條被審計方應(yīng)積極配合信息安全審計工作，應(yīng)對審計結(jié)果進(jìn)行確認(rèn)。第十九條安全審計工作中發(fā)現(xiàn)的不符合事項應(yīng)按照審計管理相關(guān)制度要求進(jìn)行改進(jìn)。審計部門應(yīng)將改進(jìn)過程和結(jié)果通告給信息安全工作小組。第二十條本制度的解釋權(quán)歸吉林省某某單位。第二十一條本制度自發(fā)布之日起生效。附件2-2-1年度網(wǎng)絡(luò)安全檢查記錄(模板)年度網(wǎng)絡(luò)安全檢查記錄單位基本情況單位名稱單位地址 縣(區(qū)、市、旗)郵政編碼單位網(wǎng)絡(luò)安全分管領(lǐng)導(dǎo)職務(wù)/職稱網(wǎng)絡(luò)安全責(zé)任部門責(zé)任部門負(fù)責(zé)人職務(wù)/職稱辦公電話移動電話責(zé)任部門聯(lián)系人職務(wù)/職稱辦公電話移動電話單位類型信息系統(tǒng)總數(shù)(總部和分支機(jī)構(gòu))第四級系統(tǒng)數(shù)第三級系統(tǒng)數(shù)第二級系統(tǒng)數(shù)第一級系統(tǒng)數(shù)未定級系統(tǒng)數(shù)(已在公安部門報備)第四級系統(tǒng)數(shù)第三級系統(tǒng)數(shù)未定級系統(tǒng)數(shù)第三級系統(tǒng)數(shù)量第二級系統(tǒng)數(shù)未定級系統(tǒng)數(shù)本單位信息系統(tǒng)測評合格數(shù)量第四級系統(tǒng)數(shù)第三級系統(tǒng)數(shù)第二級系統(tǒng)數(shù)未定級系統(tǒng)數(shù)1.網(wǎng)絡(luò)安全工作組織(協(xié)調(diào))領(lǐng)導(dǎo)機(jī)構(gòu)情況(說明網(wǎng)絡(luò)安全組織(協(xié)調(diào))領(lǐng)導(dǎo)機(jī)構(gòu)建立、組成、分工以及網(wǎng)絡(luò)安全工作議事或例會制度等具體情況)2.網(wǎng)絡(luò)安全責(zé)任制落實情況(說明本單位網(wǎng)絡(luò)安全工作責(zé)任制的具體內(nèi)容：包括每個信息系統(tǒng)是否有明確的安全責(zé)任人，專職信息安全員的數(shù)量情況，是否逐級簽訂網(wǎng)絡(luò)安全責(zé)任書，是否建立了責(zé)任追究制度，是否明確了專門的監(jiān)督管理人員負(fù)責(zé)責(zé)任追究制度落實等情況)3.網(wǎng)絡(luò)安全規(guī)劃和策略(說明是否制定了本單位網(wǎng)絡(luò)安全規(guī)劃和策略，規(guī)劃和策略的核心內(nèi)容，是否落實了網(wǎng)絡(luò)安全與信息化建設(shè)同步立項、同步設(shè)計、同步建設(shè)、同步驗收等情況)4.網(wǎng)絡(luò)安全工作考核和經(jīng)費保障情況(說明本單位網(wǎng)絡(luò)安全工作是否納入到年度考核指標(biāo)，是否定期召開會議或印發(fā)文件部署網(wǎng)絡(luò)安全工作，本年度的網(wǎng)絡(luò)安全工作經(jīng)費預(yù)算情況，上年度的網(wǎng)絡(luò)安全經(jīng)費預(yù)算和執(zhí)行情況)5.網(wǎng)絡(luò)安全教育培訓(xùn)情況培訓(xùn)的具體情況)6.網(wǎng)絡(luò)安全人員安全管理制度(說明本單位信息安全人員安全管理制度的制定情況：包括人員錄用、離崗、考核、安全保密、教育培訓(xùn)管理制度。)7.機(jī)房安全管理制度(說明本單位機(jī)房安全管理制度的具體內(nèi)容：包括制定和下發(fā)人員進(jìn)出機(jī)房管理制度，機(jī)房進(jìn)出人員登記記錄情況，機(jī)房的日常安全保衛(wèi)和防火、防盜、防水的各項工作措施落實情況，及機(jī)房日常監(jiān)控情況)8.系統(tǒng)建設(shè)管理制度(說明本單位系統(tǒng)建設(shè)管理制度的執(zhí)行情況：包括按照制度要求在產(chǎn)品采購、服務(wù)外包過程中簽訂安全保密責(zé)任書，及信息系統(tǒng)投入使用前進(jìn)行安全性測試，請查閱相關(guān)記錄)目前系統(tǒng)建設(shè)并未在產(chǎn)品采購、服務(wù)外包過程中簽訂安全保密責(zé)任書，但在合同中有對保密責(zé)任的約束，信息系統(tǒng)投入使用前未進(jìn)行嚴(yán)格的安全性測試，現(xiàn)已意識到網(wǎng)絡(luò)安全的重要性，會逐步完善系統(tǒng)建設(shè)管理制度，并要求系統(tǒng)建設(shè)嚴(yán)格按照管理制9.資產(chǎn)管理制度是否及時對信息系統(tǒng)中的老舊設(shè)備進(jìn)行維護(hù)和更換等)10.日常網(wǎng)絡(luò)安全監(jiān)測和預(yù)警情況聘請有關(guān)技術(shù)支撐單位對互聯(lián)網(wǎng)站和網(wǎng)上信息系統(tǒng)開展技術(shù)滲透情況)11.安全事件應(yīng)急處置和災(zāi)備建設(shè)情況設(shè)等情況)12.網(wǎng)絡(luò)安全事件(事故)情況(說明本年度是否發(fā)生網(wǎng)絡(luò)安全事件(事故),具體原因是什么,如何進(jìn)行處置，造成的后果和影響是什么)二、信息安全等級保護(hù)具體工作情況1.信息系統(tǒng)定級備案情況(說明本單位的信息系統(tǒng)的定級及備案情況，包括資料的編制及填寫，主管部門、監(jiān)管部門及公安部門的報備情況)2.等級測評工作情況(說明本單位的等級測評經(jīng)費預(yù)算情況，對選擇的等級測評機(jī)構(gòu)資質(zhì)情況及已定級的信息系統(tǒng)進(jìn)行等級測評的數(shù)量，第三級以上信息系統(tǒng)按要求定期開展測評工作的情況，及等級測評報告提交受理備案的公安機(jī)關(guān)的相關(guān)工作情況)3.安全建設(shè)整改情況的工作情況，及在完成整改前，采取有效的風(fēng)險控制措施的執(zhí)行情況)4.安全自查工作情況(說明本單位開展安全檢查工作的計劃、內(nèi)容及執(zhí)行情況；本單位通過自查發(fā)現(xiàn)安全隱患的數(shù)量情況，對安全隱患的整改情況)5.信息安全整改工作落實情況(說明本單位信息安全整改工作落實情況，包括信息安全整改短期計劃及長期計劃制定情況，整改工作落實情況，資金落實情況等)三、信息系統(tǒng)安全保護(hù)管理措施和關(guān)鍵技術(shù)措施建設(shè)情況■1.網(wǎng)絡(luò)安全情況(說明本單位網(wǎng)絡(luò)安全情況：包括網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量、用戶行為等的記錄分析情況；網(wǎng)絡(luò)邊界處監(jiān)視端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲等攻擊情況，及當(dāng)對網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時；采取措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽情況)2.主機(jī)安全情況(說明本單位的主機(jī)安全情況：包括操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標(biāo)識、口令有效性和定軟件安裝、更新情況)3.應(yīng)用安全情況(說明本單位應(yīng)用安全情況：包括登錄控制模塊對登錄用戶進(jìn)行身份標(biāo)識和鑒別情況，及依據(jù)安全策略控制用戶對文件、數(shù)據(jù)庫表等客體的訪問情況)4.數(shù)據(jù)安全及備份恢復(fù)情況(說明本單位重要信息系統(tǒng)數(shù)據(jù)在傳輸、存儲、保密等方面采取的安全保護(hù)措施情況；對重要業(yè)務(wù)應(yīng)用和重要數(shù)據(jù)的備份情況)四、信息系統(tǒng)使用信息技術(shù)產(chǎn)品和服務(wù)情況1.系統(tǒng)和應(yīng)用軟件使用情況2.系統(tǒng)硬件產(chǎn)品使用情況(列表說明本單位系統(tǒng)硬件產(chǎn)品中，國內(nèi)和國外小型機(jī)、服務(wù)器、交換機(jī)、路由器等信息技術(shù)產(chǎn)品以及防火墻、入侵檢測設(shè)備等信息安全產(chǎn)品的硬件品牌、產(chǎn)品使用數(shù)量以及與國產(chǎn)的比例情況)3.系統(tǒng)使用密碼產(chǎn)品情況(列表說明本單位密碼產(chǎn)品中，國內(nèi)和國外密碼算法和密碼產(chǎn)品的等品牌、使用數(shù)量以及與國產(chǎn)的比例情況)4.系統(tǒng)服務(wù)使用情況(說明本單位系統(tǒng)服務(wù)中，國內(nèi)和國外信息安全服務(wù)的使用情況和比例)填表人時間網(wǎng)絡(luò)安全負(fù)責(zé)人時間第三章人員安全管理第一條為保障吉林省某某單位人員信息安全管理的規(guī)第二條人員信息安全管理包括與信息化工作有關(guān)的人第四條信息安全人員錄用規(guī)則遵照人事部門的人員錄第五條錄用過程中應(yīng)注意以下涉及信息安全方面的要(一)錄用部門應(yīng)明確被錄用人員的信息安全技能要求，在錄用過程中依據(jù)技能要求進(jìn)行考察，并對技能考核結(jié)果進(jìn)(二)對于可接觸較多機(jī)密或更高級別信息資產(chǎn)或特殊工種的人員，需要簽訂保密協(xié)議；(三)應(yīng)從內(nèi)部人員中選拔從事關(guān)鍵崗位的人員，并簽署崗位安全協(xié)議，明確應(yīng)盡的信息安全保護(hù)義務(wù)，保證其在崗工作期間和離崗后一定時期內(nèi)，均不得違反崗位安全協(xié)議。第六條明確所有信息安全崗位人員在信息系統(tǒng)安全保護(hù)中的職責(zé)和權(quán)限，其工作、活動范圍應(yīng)當(dāng)被限制在完成其任務(wù)的最小范圍內(nèi)。第七條安全管理員、安全審計員、網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員、機(jī)房管理員等和信息安全有關(guān)的崗位人員，必須經(jīng)過嚴(yán)格的審查并考核其業(yè)務(wù)能力。3.1.4、人員轉(zhuǎn)崗和離崗第八條人員的轉(zhuǎn)崗和離崗由所在部門及時通知人事部門，只有具備經(jīng)過人事部門簽字的保密承諾文檔后才能辦理轉(zhuǎn)崗和離崗手續(xù)。第九條人員轉(zhuǎn)崗和離崗時，需及時終止離崗人員的所有訪問權(quán)限，及時變更轉(zhuǎn)崗人員的訪問權(quán)限。第十條對轉(zhuǎn)崗和離崗人員，要對設(shè)備上保留的數(shù)據(jù)進(jìn)行安全處理，包括備份需要留存的數(shù)據(jù)以及刪除不必要的數(shù)第十一條對關(guān)鍵崗位的轉(zhuǎn)崗和離崗人員需重申調(diào)離后的保密義務(wù)，要求調(diào)離人員在保密承諾文檔上簽字，承諾相關(guān)保密義務(wù)后方可離開。第十二條信息化管理處每年對所有崗位人員進(jìn)行信息安全考察，內(nèi)容如下：(一)對所有人員進(jìn)行信息安全意識考核；(二)對涉及信息安全管理、檢查和執(zhí)行的崗位人員，將定期進(jìn)行信息安全技能的考核，包括信息安全管理知識的掌握程度、所管理業(yè)務(wù)系統(tǒng)中安全產(chǎn)品的操作技能、所管理業(yè)務(wù)系統(tǒng)中使用的操作系統(tǒng)和應(yīng)用軟件的安全使用等；(三)每年發(fā)生的信息安全事故、信息安全檢查結(jié)果和信息安全審計結(jié)果將納入考察內(nèi)容。第十三條信息安全考察結(jié)果將進(jìn)行存檔，以便查詢，及與上次考核進(jìn)行對比分析。第十四條對于考核中發(fā)現(xiàn)有違反信息安全法規(guī)行為的人員或發(fā)現(xiàn)不適于承擔(dān)信息安全關(guān)鍵崗位的人員要依據(jù)有關(guān)規(guī)定處理。第十五條信息化管理處每年還將對信息安全三大員 (系統(tǒng)管理員、安全管理員、安全審計員)的人員進(jìn)行一次工作督察，督察的內(nèi)容參照《安全組織人員崗位職責(zé)》中有關(guān)的要求執(zhí)行。第十六條人員違反信息安全策略和規(guī)定時，依照信息化管理處相關(guān)規(guī)定進(jìn)行處理。第十七條如該信息安全違規(guī)行為涉及法律層面，則將移交司法機(jī)關(guān)處理。3.1.7、人員教育和培訓(xùn)第十八條由信息化管理處制定培訓(xùn)計劃，實施信息安全教育和培訓(xùn)工作，培訓(xùn)計劃分層次、分階段，循序漸進(jìn)地進(jìn)行。分層次培訓(xùn)是指對不同層次和不同崗位的人員，如對管理層(包括決策層)、安全管理員、系統(tǒng)管理員和所有信息安全相關(guān)人員開展有針對性和不同側(cè)重點的培訓(xùn)。分階段培訓(xùn)是指在信息安全管理體系的建立、實施和保持的不同階段，實施不同的培訓(xùn)內(nèi)容。第十九條新員工在正式上崗前，需進(jìn)行信息安全方面的培訓(xùn)，明確崗位所要求遵守的信息安全管理制度、技術(shù)規(guī)范以及操作流程。第二十條對信息系統(tǒng)的維護(hù)人員和管理人員需定期開展信息安全技術(shù)教育培訓(xùn)(每年至少一次),明確如何安全使用有關(guān)系統(tǒng)，包括各業(yè)務(wù)系統(tǒng)、主機(jī)操作系統(tǒng)、電子郵件系統(tǒng)以及計算機(jī)硬件設(shè)備等。第二十一條定期開展由供應(yīng)商或廠家提供的專業(yè)安全技術(shù)培訓(xùn)，幫助相關(guān)信息安全管理人員和技術(shù)人員了解掌握正確、安全地安裝、配置和維護(hù)系統(tǒng)。第二十二條在信息安全教育和培訓(xùn)后實行書面的考核，確認(rèn)教育和培訓(xùn)的效果，對安全教育和培訓(xùn)的情況和結(jié)果記錄并歸檔保存。第二十三條日常的信息安全教育和培訓(xùn)以內(nèi)部培訓(xùn)為主，對于暫時沒有條件實施內(nèi)部培訓(xùn)的，可根據(jù)需要，邀請廠商、合作伙伴或者專業(yè)的培訓(xùn)機(jī)構(gòu)實施培訓(xùn)。第二十四條本規(guī)定的解釋權(quán)歸吉林省某某單位。第二十五條本規(guī)定自發(fā)布之日起生效。附件3-1-1人員錄用審查考核結(jié)果記錄(模板)人員錄用審查考核結(jié)果記錄姓名性別出生日期體重籍貫政治面貌婚姻狀況擬定部門擬定崗位家庭住址教育經(jīng)歷時間畢業(yè)院?；蚺嘤?xùn)機(jī)構(gòu)專業(yè)學(xué)歷證明人工作經(jīng)歷時間單位部門崗位證明人家庭成員姓名關(guān)系考核結(jié)果基本技能考核結(jié)果專業(yè)技能考核結(jié)果其他相關(guān)考核結(jié)果其他審查資料真實情況確認(rèn)違紀(jì)違法情況審查其他相關(guān)情況審查審查意見用人部門意見及簽字人事部門意見及簽字主管領(lǐng)導(dǎo)意見及簽字附件3-1-2信息系統(tǒng)關(guān)鍵崗位安全協(xié)議(模板)(一)協(xié)議范圍(二)協(xié)議有效期限(三)保密要求1、嚴(yán)守黨和國家的秘密，認(rèn)真執(zhí)行《中華人民共和國保守國家秘密法》和6、未經(jīng)允許不進(jìn)入安全控制區(qū)域(保密要害部門、部位),如涉密機(jī)房、領(lǐng)7、不在涉密機(jī)房內(nèi)拍照、錄音、錄像。8、認(rèn)真學(xué)習(xí)保密規(guī)定，增強(qiáng)保密意識，加強(qiáng)自覺管理。(四)違約責(zé)任如未遵守保密要求，我接受本單位的相關(guān)規(guī)章制度的懲罰。關(guān)鍵崗位所在部門領(lǐng)導(dǎo)簽字：附件3-1-3信息安全崗位培訓(xùn)計劃制定要求(模板)信息安全崗位培訓(xùn)計劃制定要求信息安全培訓(xùn)要體現(xiàn)層次性，對不同崗位的人員進(jìn)行側(cè)重不同的培訓(xùn)：主管信息安全工作的高層負(fù)責(zé)人或各級管理人員的培訓(xùn)，其重點是掌握和了解本單位信息安全的整體策略及目標(biāo)、信息安全體系的構(gòu)成、安全管理機(jī)構(gòu)建立和管理制度的制訂。負(fù)責(zé)信息安全運行管理及維護(hù)的技術(shù)人員的培訓(xùn)，重點是充分理解信息安全管理策略，掌握安全評估的基本方法，對安全操作和維護(hù)技術(shù)的合理運信息系統(tǒng)用戶的培訓(xùn)，其重點是學(xué)習(xí)各種安全操作規(guī)程，了解和掌握與其相關(guān)的安全策略，包括自身應(yīng)該承擔(dān)的安全職責(zé)。對于特定的管理人員，提供特定的安全培訓(xùn)，比如負(fù)責(zé)密鑰管理的人員，就應(yīng)該特別注重密鑰管理方面的技能培訓(xùn)，而對于網(wǎng)絡(luò)服務(wù)的提供者，著重強(qiáng)調(diào)網(wǎng)絡(luò)服務(wù)安全注意事項本單位關(guān)于信息安全崗位培訓(xùn)工作組織實施的事宜說明如下：1、由信息化管理處統(tǒng)一領(lǐng)導(dǎo)和布置工作，各部門視自己的需要和實際情況組織落實，各單位根據(jù)各自的培訓(xùn)內(nèi)容和培訓(xùn)對象制定相應(yīng)的崗位培訓(xùn)計劃，培訓(xùn)計劃需經(jīng)數(shù)據(jù)管理中心審核后執(zhí)行。各部門向信息化管理處報送本部門的培訓(xùn)計劃和培訓(xùn)記錄。2、由信息化管理處落實面向本單位全體人員的培訓(xùn)工作，由各部門落實面向本部門人員的培訓(xùn)工作。3、培訓(xùn)結(jié)束后，由信息化管理處組織考核和記錄工作。4、信息安全崗位培訓(xùn)計劃的內(nèi)容如下，請各部門視實際情況修改：信息安全崗位培訓(xùn)計劃培訓(xùn)目的：通過持續(xù)、有效、層次分明、專業(yè)領(lǐng)先的安全培訓(xùn)來提升本單位工作人員的整體安全意識和技能，使工作人員養(yǎng)成良好的安全習(xí)慣，保證本單位信息及系統(tǒng)的有效使用和穩(wěn)定運行，為本單位的各項工作的順利進(jìn)行起到應(yīng)有的促進(jìn)培訓(xùn)方式：培訓(xùn)方式主要有集中培訓(xùn)和指導(dǎo)自學(xué)兩種。培訓(xùn)對象(崗位):本單位全體工作人員(包括信息安全技術(shù)崗位、管理崗位、使用崗位的人員)培訓(xùn)時間和地點：各部門自行安排附件3-1-4人員離崗安全處理記錄(模板)人員離崗安全處理記錄基本信息姓名部門入職時間擔(dān)任職位離崗原因離崗時間交接情況工作交接人交接時間辦公物品交還情況監(jiān)督人：密碼用品交接情況監(jiān)督人：賬號口令更改情況其他物品交還情況離崗保密承諾本人了解有關(guān)保密法規(guī)制度，知悉應(yīng)當(dāng)承擔(dān)的保密義務(wù)和法律責(zé)任。在一、認(rèn)真遵守國家保密法律法規(guī)和中電投集團(tuán)保密規(guī)章制度，履二、不以任何方式泄露所接觸、知悉的國家秘密三、已全部清退不應(yīng)由個人持有的各類國家秘密及商四、未經(jīng)原單位審查批準(zhǔn)，不擅自發(fā)表涉及原單位未公開工作內(nèi)容的審批意見部門領(lǐng)導(dǎo)意見及簽字人事部門意見及簽字主管領(lǐng)導(dǎo)意見及簽字附件3-1-5人員培訓(xùn)考核記錄(模板)人員培訓(xùn)考核記錄培訓(xùn)情況記錄培訓(xùn)內(nèi)容培訓(xùn)類型□基礎(chǔ)技術(shù)□安全意識□防病毒□應(yīng)急預(yù)案□系統(tǒng)運維培訓(xùn)日期培訓(xùn)時間培訓(xùn)地點培訓(xùn)人組織部門考核方式培訓(xùn)記錄效果評價序號姓名崗位培訓(xùn)情況考核結(jié)果備注123456789附件3-1-6人員獎懲及違紀(jì)記錄(模板)姓名部門獎勵人員信息姓名入職時間所在部門擔(dān)任崗位主要違紀(jì)事實處理意見所在部門處理意見人事部門意見相關(guān)領(lǐng)導(dǎo)意見3.2、外部人員訪問信息安全管理規(guī)定第一條為有效防范外部人員訪問帶來的信息安全風(fēng)險，加強(qiáng)和規(guī)范外來人員的信息安全管理，保證信息資源的安全，制定本規(guī)定。第二條本規(guī)定適用于吉林省某某單位。第三條本規(guī)定所述的外部人員包括軟件開發(fā)商、產(chǎn)品供應(yīng)商、系統(tǒng)集成商、設(shè)備維護(hù)商、服務(wù)提供商以及外單位借調(diào)人員和掛職人員等外來人員(寫到內(nèi)部人員管理制度中去),外部人員分為臨時外部人員和非臨時外部人員。第四條臨時外部人員指因業(yè)務(wù)洽談、技術(shù)交流、提供短期和不頻繁的技術(shù)支持服務(wù)而臨時來訪的外部人員。第五條非臨時外部人員指因從事合作開發(fā)、參與項目工程、提供技術(shù)支持、顧問服務(wù)及外單位借調(diào)人員和掛職人員等外來人員，是必須在吉林省某某單位長期辦公的外部人第六條外部人員的訪問方式包括現(xiàn)場訪問和遠(yuǎn)程網(wǎng)絡(luò)第七條接待人是指吉林省某某單位受訪部門派出的，第八條臨時外部人員訪問重要信息資源所在物理區(qū)域(如機(jī)房、重要服務(wù)器或設(shè)備等),需獲準(zhǔn)后方可進(jìn)入。第九條接待人必須全程陪同臨時外部人員，告知有關(guān)安全管理規(guī)定，不應(yīng)透露與外部工作無關(guān)的信息，不得任其第十條非臨時外部人員，由接待部門提出申請，信息化管理處出具意見，向保衛(wèi)部門提出申請，信息化管理處依第十一條原則上禁止外部人員攜帶的電腦接入吉林省某某單位網(wǎng)絡(luò)，如因工作需要(如軟件開發(fā)測試)接入吉林省某某單位網(wǎng)絡(luò)，必須向信息化管理處申請，并使用信息第十二條第三方人員如有需要訪問信息時，需要依照1、訪問申請階段，接待人根據(jù)第三方人員實際需要提3、注銷訪問階段，第三方人員訪問結(jié)束，接待人終止第十三條不允許外部人員進(jìn)行遠(yuǎn)程網(wǎng)絡(luò)訪問。如確因維護(hù)需要遠(yuǎn)程訪問，必須上報審批后方可進(jìn)行。第十四條外部人員開發(fā)測試環(huán)境只能連接開發(fā)網(wǎng)，且必需采用防火墻進(jìn)行有效隔離，嚴(yán)禁接入生產(chǎn)網(wǎng)。確需在線測試的項目，應(yīng)上報分管領(lǐng)導(dǎo)批準(zhǔn)，采取必要的防護(hù)措施，第十五條外部人員在機(jī)房內(nèi)的所有操作，都必需說明該操作可能引起的安全風(fēng)險，并由接待人確認(rèn)后才能操作。接待人必須對外部人員的操作進(jìn)行全程監(jiān)控，記錄外部人員第十六條必須定期評估外部人員帶來的安全風(fēng)險，至少每年評估一次。必須防范外部人員帶來的以下安全風(fēng)險：第十七條非臨時外部人員必須簽署安全保密協(xié)議(加一個附件)后才能進(jìn)場工作。禁止外部人員試圖了解和查閱與工作無關(guān)的吉林省某某單位資料以及訪問與工作無關(guān)的信息系統(tǒng)，外部人員如因業(yè)務(wù)需要查閱吉林省某某單位資料或訪問吉林省某某單位信息系統(tǒng)，必須獲得相關(guān)負(fù)責(zé)人批準(zhǔn)并詳細(xì)登記，并確認(rèn)已與信息化管理處簽署有效的保密協(xié)議。第十八條未經(jīng)批準(zhǔn)，禁止外部人員攜帶移動存儲介質(zhì)進(jìn)入吉林省某某單位，移動存儲介質(zhì)必須在接待人的監(jiān)控下使用。第十九條未經(jīng)相關(guān)負(fù)責(zé)人特別許可，外部人員不得在第二十條本規(guī)定的解釋權(quán)歸吉林省某某單位。第二十一條本規(guī)定自發(fā)布之日起生效。第四章系統(tǒng)建設(shè)管理第一條為規(guī)范吉林省吉林省某某單位信息系統(tǒng)定級備案管理，制定本規(guī)定。第二條本規(guī)定適用于吉林省吉林省某某單位，適用于吉林省吉林省某某單位擬建、在建以及運行的非涉密重要信第三條信息系統(tǒng)的安全保護(hù)等級分為以下五級第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益。第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對社會秩序和公共利益造成損害，但不損害國家安全。第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成損害。第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對國家安全造成嚴(yán)重?fù)p害。第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴(yán)重?fù)p害。第四條名詞定義業(yè)務(wù)部門：信息系統(tǒng)的使用部門。業(yè)務(wù)信息安全：從業(yè)務(wù)信息安全角度反映的信息系統(tǒng)安系統(tǒng)服務(wù)安全：從系統(tǒng)服務(wù)安全角度反映的信息系統(tǒng)安全。受侵害客體：等級保護(hù)對象受到破壞時所侵害的客體包括以下三個方面：a)公民、法人和其他組織的合法權(quán)益；b)社會秩序、公共利益；c)國家安全。對客體的侵害程度：等級保護(hù)對象受到破壞后對客體造成侵害的程度有造成一般損害、造成嚴(yán)重?fù)p害和造成特別嚴(yán)重?fù)p害。一般損害：工作職能受到局部影響，業(yè)務(wù)能力有所降低但不影響主要功能的執(zhí)行，出現(xiàn)較輕的法律問題，較低的財產(chǎn)損失，有限的社會不良影響，對其他組織和個人造成較低嚴(yán)重?fù)p害：工作職能受到嚴(yán)重影響，業(yè)務(wù)能力顯著下降且嚴(yán)重影響主要功能執(zhí)行，出現(xiàn)較嚴(yán)重的法律問題，較高的財產(chǎn)損失，較大范圍的社會不良影響，對其他組織和個人造特別嚴(yán)重?fù)p害：工作職能受到特別嚴(yán)重影響或喪失行使能力，業(yè)務(wù)能力嚴(yán)重下降且或功能無法執(zhí)行，出現(xiàn)極其嚴(yán)重的法律問題，極高的財產(chǎn)損失，大范圍的社會不良影響，對應(yīng)用系統(tǒng)負(fù)責(zé)人：由業(yè)務(wù)部門為每個信息系統(tǒng)指定的定系統(tǒng)定級管理負(fù)責(zé)人：由信息化管理處指定的定級備案第六條業(yè)務(wù)部門：應(yīng)對待定級系統(tǒng)指定應(yīng)用系統(tǒng)負(fù)責(zé)人，對待建、在建和已建信息系統(tǒng)根據(jù)等級保護(hù)相關(guān)要求進(jìn)第七條信息化管理處：吉林省吉林省某某單位網(wǎng)絡(luò)安全與信息化工作領(lǐng)導(dǎo)小組辦公室指定系統(tǒng)定級管理負(fù)責(zé)人，完成定級備案表，并報吉林省吉林省某某單位網(wǎng)絡(luò)安全與信息化工作領(lǐng)導(dǎo)小組審核，審核通過后報公安機(jī)關(guān)備案。4.1.4、系統(tǒng)定級方法第八條信息系統(tǒng)定級方法如圖所示：依據(jù)表3依據(jù)表2圖1信息系統(tǒng)定級方法圖第九條信息系統(tǒng)的安全保護(hù)等級由兩個定級要素決定：等級保護(hù)對象受到破壞時所侵害的客體和對客體造成侵害的程度，定級要素與信息系統(tǒng)安全保護(hù)等級的關(guān)系如表1所表1業(yè)務(wù)信息安全保護(hù)等級矩陣表受侵害的客體對客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級第十條信息系統(tǒng)安全包括業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全，與之相關(guān)的受侵害客體和對客體的侵害程度可能不同，因此，信息系統(tǒng)定級應(yīng)由業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩方第十一條根據(jù)業(yè)務(wù)信息安全被破壞時所侵害的客體以及對相應(yīng)客體的侵害程度，依據(jù)表2業(yè)務(wù)信息安全保護(hù)等級矩陣表，即可得到業(yè)務(wù)信息安全保護(hù)等級。表2業(yè)務(wù)信息安全保護(hù)等級矩陣表業(yè)務(wù)信息安全被破壞時所受侵害的客體對相應(yīng)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級第十二條根據(jù)系統(tǒng)服務(wù)安全被破壞時所侵害的客體以及對相應(yīng)客體的侵害程度，依據(jù)表3系統(tǒng)服務(wù)安全保護(hù)等級矩陣表，即可得到系統(tǒng)服務(wù)安全保護(hù)等級。系統(tǒng)服務(wù)安全被破壞時所受侵害的客體對相應(yīng)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級4.1.5、系統(tǒng)定級備案管理第十三條吉林省吉林省某某單位應(yīng)按《信息安全等級保護(hù)管理辦法》(公通字【2007】43號)和《GB/T22240—2008信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南》的要求進(jìn)行信息系統(tǒng)的定級、設(shè)計、建設(shè)、測評、備案和變更管理，具體的定級備案工作由信息化管理處和業(yè)務(wù)需求單位共同負(fù)第十四條吉林省吉林省某某單位信息系統(tǒng)定級遵循“自主定級”的原則，由業(yè)務(wù)部門進(jìn)行自主定級，吉林省吉林省某某單位信息系統(tǒng)安全保護(hù)等級一般為第二級或第三級，如因特殊情況需定級為第四級或以上，需由信息化管理處確認(rèn)。第十五條信息系統(tǒng)定級流程如下：(一)應(yīng)用系統(tǒng)負(fù)責(zé)人應(yīng)參照相關(guān)標(biāo)準(zhǔn)填寫《信息系統(tǒng)安全等級保護(hù)定級報告》,完成自主定級，報告應(yīng)中明確信息系統(tǒng)安全保護(hù)等級，詳細(xì)說明定級的方法和理由，定級方法(二)業(yè)務(wù)部門完成自主定級后，將《信息系統(tǒng)安全等級保護(hù)定級報告》提交信息化管理處進(jìn)行存檔，并將定級結(jié)果(三)由信息化管理處協(xié)助業(yè)務(wù)部門組織相關(guān)部門和有關(guān)安全技術(shù)專家對信息系統(tǒng)定級結(jié)果的合理性和正確性進(jìn)行論證和審定，并對專家論證文檔進(jìn)行保存，記錄專家對定級(四)如安全技術(shù)專家對信息系統(tǒng)定級結(jié)果的合理性和正確性存在異議，則由業(yè)務(wù)部門、信息化管理處和技術(shù)專家組共同討論確認(rèn)信息系統(tǒng)的安全保護(hù)等級，并由業(yè)務(wù)部門根據(jù)最終的論證意見重新填寫《信息系統(tǒng)安全等級保護(hù)定級報(五)如安全技術(shù)專家對信息系統(tǒng)定級結(jié)果的合理性和正確性無異議，則由吉林省吉林省某某單位網(wǎng)絡(luò)安全與信息化工作領(lǐng)導(dǎo)小組辦公室，指定的定級管理負(fù)責(zé)人根據(jù)《信息系統(tǒng)安全等級保護(hù)備案表》中填表說明填寫《備案表》,并進(jìn)(一)定級管理負(fù)責(zé)人進(jìn)行信息系統(tǒng)備案時應(yīng)當(dāng)提交公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門《備案表》(一式兩份)及中的表一、二、三；第三級及以上信息系統(tǒng)還應(yīng)當(dāng)在系統(tǒng)整改、測評完成后30日內(nèi)提交《備案表》表四以及其相關(guān)材(二)備案資料經(jīng)公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門審核通過后，定級管理負(fù)責(zé)人會收到由公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門出具的《信息系統(tǒng)安全等級保護(hù)備案材料接收(三)公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門審核后認(rèn)定備案資料不齊全的，會在當(dāng)場或者在五日內(nèi)一次性告知定級管理負(fù)責(zé)人其補(bǔ)正內(nèi)容，定級管理負(fù)責(zé)人應(yīng)根據(jù)公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門告知的補(bǔ)正內(nèi)容補(bǔ)齊相關(guān)資料，并提(四)備案材料經(jīng)公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門審核通過后，定級管理負(fù)責(zé)人會在遞交材料的十個工作日內(nèi)收到加蓋公安機(jī)關(guān)印章(或等級保護(hù)專用章)的《備案表》一(五)備案材料經(jīng)公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門審核未通過，認(rèn)為其不符合等級保護(hù)要求的，公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門會在十個工作日內(nèi)通知定級管理負(fù)責(zé)人進(jìn)行相應(yīng)整改，并向定級管理負(fù)責(zé)人出具《信息系統(tǒng)安全(六)定級管理負(fù)責(zé)人收到公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門出具的由公安部統(tǒng)一監(jiān)制《信息系統(tǒng)安全等級保護(hù)備案證明》后，信息系統(tǒng)備案工作結(jié)束。第十七條每個信息系統(tǒng)相應(yīng)的應(yīng)用系統(tǒng)負(fù)責(zé)人都應(yīng)在信息化管理處進(jìn)行登記，如應(yīng)用系統(tǒng)負(fù)責(zé)人發(fā)生變更，業(yè)務(wù)部門應(yīng)及時通知信息化管理處對人員信息進(jìn)行變更。第十八條應(yīng)用系統(tǒng)負(fù)責(zé)人有義務(wù)配合信息化管理處以及公安部進(jìn)行信息安全等級保護(hù)檢查工作。第十九條擬建以及在建的重要信息系統(tǒng)在投入使用前應(yīng)按本規(guī)定進(jìn)行信息系統(tǒng)定級，并且在信息系統(tǒng)投入使用后，應(yīng)當(dāng)按要求和程序進(jìn)行該信息系統(tǒng)安全等級備案工作。第二十條信息系統(tǒng)發(fā)生重大變更導(dǎo)致系統(tǒng)安全保護(hù)等級變化時，信息化管理處和業(yè)務(wù)部門應(yīng)重新確定信息系統(tǒng)的安全保護(hù)等級，按相應(yīng)程序報備，并按新的等級要求調(diào)整保護(hù)措施。附件4-1-1系統(tǒng)定級結(jié)果評審及審批意見(模板)系統(tǒng)定級結(jié)果評審及審批意見序號級別12345評審記錄評審專家所在單位聯(lián)系方式評審意見信息安全負(fù)責(zé)人審批意見小組審批意見主管部門審批意見