單位內(nèi)部網(wǎng)絡(luò)信息安全制度匯編（試行）

《單位內(nèi)部網(wǎng)絡(luò)信息安全制度匯編〔試行〕》

目錄

一、相關(guān)術(shù)語................................................................9

1、縮寫......................................................................9

2、制度適用范圍：...........................................................9

3、術(shù)語定義..................................................................9

一、網(wǎng)絡(luò)信息安全總體策略...................................................11

第一章總則.................................................................11

笫二章術(shù)語定義............................................................11

第三章組織職責(zé)............................................................11

第四章管理原則............................................................11

第五章總體目標(biāo)............................................................12

第六章安全框架............................................................12

第七章策略制定和維護(hù)......................................................13

二、信息等級(jí)保護(hù)體系制定和發(fā)布管埋規(guī)定....................................15

第一章總則.................................................................15

第二章職責(zé).................................................................15

第五章文件起草............................................................16

第六章文件評(píng)審............................................................17

第七章文件發(fā)布............................................................18

附錄一、（xx市民政局）管理制度發(fā)布記錄表...................................19

三、等級(jí)保護(hù)體系評(píng)審和修訂管理規(guī)定........................................20

第一章總則................................................................20

第二章評(píng)審程序............................................................20

第三章修訂程序............................................................21

四、信息安全管理組織架構(gòu)...................................................22

第一章總則................................................................22

第二章組織目標(biāo)............................................................22

第三章信息安全組織架構(gòu)....................................................22

第四章組織的信息安全職責(zé)描述..............................................23

五、信息系統(tǒng)安全檢查管理規(guī)定...............................................25

第一章總則................................................................25

第二章適用范圍............................................................25

第三章術(shù)語定義............................................................25

第四章組織職責(zé)............................................................25

第五章通用要求............................................................25

第六章安全檢查準(zhǔn)備........................................................26

第七章安全檢查報(bào)告........................................................26

第八章安全檢杳整改........................................................27

第九章檢查工具的使用......................................................27

附錄一：安全檢查情況匯總表................................................28

附錄二：信息系統(tǒng)安全檢查表................................................29

六、信息安全組織架構(gòu)和崗位職責(zé).............................................31

第一章總則................................................................31

第二章信息化領(lǐng)導(dǎo)小組......................................................31

七、人員管理制度...........................................................34

第一章總則................................................................34

第二章術(shù)語定義............................................................34

第三章組織職責(zé)............................................................34

第四章入職管理............................................................34

第五章在崗管理............................................................35

第六章紀(jì)律處理過程........................................................35

第七章調(diào)動(dòng)管理............................................................35

第八章離崗管理............................................................36

八、網(wǎng)絡(luò)安全培訓(xùn)和考核管理規(guī)定.............................................37

第一章總則................................................................37

第二章組織職責(zé)............................................................37

第三章安全培訓(xùn)管理程序....................................................37

第五章安全考核管理程序....................................................38

九、第三方機(jī)構(gòu)安全管理規(guī)定.................................................39

第一章總則................................................................39

第二章術(shù)語定義............................................................39

第三章組織職責(zé)............................................................39

第五章駐場(chǎng)外包人員安全管理要求............................................39

第六章臨時(shí)來訪人員安全管理要求............................................40

第七章外包效勞質(zhì)量考核和評(píng)價(jià)..............................................40

第八章外包人員離場(chǎng)安全要求................................................41

十、計(jì)算機(jī)及網(wǎng)絡(luò)保密規(guī)定...................................................42

十一、信息系統(tǒng)測(cè)試管理方法.................................................44

第一章總則................................................................44

第二章測(cè)試組工作職責(zé)......................................................44

第三章新業(yè)務(wù)系統(tǒng)上線測(cè)試管理方法.........................................45

第四章常規(guī)版本升級(jí)測(cè)試管理方法............................................46

十二、信息安全建設(shè)管理規(guī)定.................................................48

第一章總則................................................................48

第二章適用范圍............................................................48

第三章組織職責(zé)............................................................48

第四章系統(tǒng)定級(jí)............................................................48

第五章安全檢查報(bào)告........................................................49

第六章系統(tǒng)建設(shè)............................................................50

第七章系統(tǒng)備案............................................................50

第八章系統(tǒng)測(cè)評(píng)............................................................51

第九章系統(tǒng)終止............................................................51

附錄一、系統(tǒng)安全設(shè)計(jì)方案評(píng)審表.............................................53

附錄二、系統(tǒng)測(cè)試驗(yàn)收評(píng)審表.................................................54

附錄三、系統(tǒng)轉(zhuǎn)移、終止或廢棄申請(qǐng)表........................................55

十三、工程管理規(guī)定.........................................................56

第一章總則................................................................56

第二章適用范圍............................................................56

第三章職責(zé)和權(quán)限..........................................................56

第四章工程立項(xiàng)............................................................56

第五章工程方案............................................................57

第六章工程落地實(shí)施........................................................57

第七章工程監(jiān)控............................................................58

第八章工程收尾............................................................58

十四、工作環(huán)境管理規(guī)定.....................................................59

第一章總則................................................................59

第二章適用范圍............................................................59

第三章術(shù)語定義............................................................59

第四章辦公區(qū)域訪問控制....................................................59

第五章辦公環(huán)境安全........................................................60

第七章辦公用計(jì)算機(jī)安全....................................................60

第八章監(jiān)督和檢查..........................................................63

十五、信息系統(tǒng)資產(chǎn)管理規(guī)定.................................................64

第一章總則................................................................64

第二章適用范圍............................................................64

第三章術(shù)語定義............................................................64

第四章職責(zé)................................................................64

第五章資產(chǎn)分類............................................................64

第六章資產(chǎn)分級(jí)............................................................65

第七章信息資產(chǎn)標(biāo)識(shí)........................................................65

第八章信息資產(chǎn)維護(hù)........................................................66

第九章閑置報(bào)廢資產(chǎn)管理....................................................66

附錄一、（xx市民政局）XXXX系統(tǒng)信息資產(chǎn)清單................................68

十六、存儲(chǔ)介質(zhì)管理規(guī)定.....................................................69

第一章總則................................................................69

第二章適用范圍............................................................69

第三章術(shù)語定義...........................................................69

第四章組織職責(zé)............................................................69

第五章存儲(chǔ)介質(zhì)標(biāo)識(shí).......................................................69

第六章存儲(chǔ)介質(zhì)訪問.......................................................69

第七章存儲(chǔ)介質(zhì)保管........................................................70

第八章介質(zhì)維修............................................................70

第九章存儲(chǔ)介質(zhì)銷毀........................................................70

附錄一、存儲(chǔ)介質(zhì)清單.......................................................72

附錄二、存儲(chǔ)介質(zhì)銷毀申請(qǐng)表.................................................73

十七、信息系統(tǒng)運(yùn)維監(jiān)控管理規(guī)定.............................................74

第一章總則................................................................74

第二章適用范圍............................................................74

第三章術(shù)語定義............................................................74

第四章組織職責(zé)............................................................74

第五章監(jiān)控管理要求........................................................75

第六章運(yùn)維監(jiān)控工作流程....................................................75

十八、網(wǎng)絡(luò)系統(tǒng)運(yùn)轉(zhuǎn)管理規(guī)定.................................................77

第一章總則................................................................77

第二章組織職責(zé)............................................................77

第三章網(wǎng)絡(luò)資源的數(shù)據(jù)管理..................................................77

第四章網(wǎng)絡(luò)資源的申請(qǐng)......................................................78

第五章網(wǎng)絡(luò)資源的使用.....................................................78

第六章網(wǎng)絡(luò)資源的建設(shè)......................................................78

第七章網(wǎng)絡(luò)資源的變更.....................................................79

第八章網(wǎng)絡(luò)故障處理.......................................................79

十九、系統(tǒng)帳號(hào)權(quán)限管理規(guī)定.................................................80

第一章總則................................................................80

第二章適用范圍............................................................80

第三章術(shù)語定義............................................................80

第四章組織職責(zé)............................................................80

第五章通用原則............................................................80

第六章特權(quán)帳號(hào)管理........................................................82

第七章普通帳號(hào)管理........................................................82

第八章口令管理............................................................82

第九章檢查監(jiān)督............................................................83

附錄一、（xx市民政局）業(yè)務(wù)系統(tǒng)臨時(shí)帳戶申請(qǐng)表..............................84

附錄二、（xx市民政局）業(yè)務(wù)系統(tǒng)帳戶清單.....................................85

二十、補(bǔ)丁管理規(guī)定.........................................................86

第一章總則................................................................86

第二章適用范圍............................................................86

第三章術(shù)語定義............................................................86

第四章組織職責(zé)............................................................86

第五章補(bǔ)丁獲取............................................................86

第六章補(bǔ)丁測(cè)試............................................................87

第七章補(bǔ)丁驗(yàn)證和歸檔......................................................88

附錄一業(yè)務(wù)系統(tǒng)補(bǔ)丁安裝記錄表..............................................89

二十一、信息系統(tǒng)日志管理規(guī)定...............................................90

第一章總則................................................................90

第二章適用范圍............................................................90

第三章術(shù)語定義............................................................90

第四章組織職責(zé)............................................................90

第五章通用要求............................................................90

第六章主機(jī)系統(tǒng)日志管理....................................................91

第七章業(yè)務(wù)系統(tǒng)日志管理....................................................91

第八章設(shè)備日志管理........................................................92

二十二、防病毒管理規(guī)定.....................................................93

第一章總則................................................................93

第二章適用范圍............................................................93

第三章術(shù)語定義............................................................93

第四章組織職責(zé)............................................................93

第五章防計(jì)算機(jī)病毒目的....................................................94

第六章防病毒管理內(nèi)容......................................................94

第七章防病毒應(yīng)用規(guī)定......................................................95

第八章懲罰制度............................................................95

附件：病毒事件報(bào)告表.......................................................96

二十三、信息安全密碼使用管理規(guī)定...........................................97

第一章總則................................................................97

第二章帳號(hào)設(shè)立要求........................................................97

第四章口令設(shè)立要求........................................................98

第五章變更和取消要求......................................................98

第六章維護(hù)要求............................................................99

第七章流程管理要求.......................................................101

二十四、變更管理規(guī)定......................................................103

第一章總則...............................................................103

第二章適用范圍...........................................................103

第三章術(shù)語定義...........................................................103

第四章組織職責(zé)...........................................................104

第五章變更申請(qǐng)...........................................................104

第六章變更受理...........................................................104

第七章變更方案制訂.......................................................104

第八章變更審批...........................................................105

第九章變更落地實(shí)施.......................................................105

第十章變更匯總...........................................................107

第十一章緊急變更.........................................................107

附錄一變更申請(qǐng)單........................................................108

二十五、備份和恢復(fù)管理規(guī)定................................................110

第一章總則...............................................................110

第二章術(shù)語定義...........................................................110

第三章職責(zé)...............................................................110

第四章備份管理...........................................................110

第五章備份介質(zhì)管理.......................................................112

第六章備份恢復(fù)管理.......................................................113

附錄一：業(yè)務(wù)系統(tǒng)備份數(shù)據(jù)清單..............................................114

二十六、安全事件管理規(guī)定..................................................118

第一章總則...............................................................118

第二章適用范圍...........................................................118

第三章術(shù)語定義...........................................................118

第四章組織職責(zé)...........................................................118

第五章事件分類...........................................................118

第六章事件分級(jí)...........................................................120

第七章事件監(jiān)控...........................................................120

第八章事件受理...........................................................121

第九章事件處置...........................................................121

附錄一、信息安全不正?，F(xiàn)象報(bào)告............................................124

附錄二、信息安全事件報(bào)告..................................................125

二十七、應(yīng)急預(yù)案管理規(guī)定..................................................127

二十八、軟件管理方法......................................................129

第一章總則...............................................................129

第二章適用范圍...........................................................129

第三章職責(zé)和權(quán)限.........................................................129

第四章軟件管理...........................................................129

第五章軟件外包開發(fā).......................................................129

第六章軟件使用...........................................................130

二十九、信息交付管理規(guī)定..................................................131

第一章總則...............................................................131

第二章安全交付標(biāo)準(zhǔn).......................................................131

第三章人員安全管理.......................................................133

附件安全系統(tǒng)交付清單...................................................134

相關(guān)術(shù)語

1、縮寫

原名稱縮寫名稱備注

2、制度適用范圍：

適用于（XX市民政局I各部門，包括系統(tǒng)維護(hù)管理人員、網(wǎng)絡(luò)、效勞器、終端、設(shè)

備、信息系統(tǒng)的專用設(shè)備以及物理環(huán)境等

3、術(shù)語定義

（一）安全策略：是綱領(lǐng)性的安全策略主文檔，描述（XX市民政局）業(yè)務(wù)安全目

標(biāo)和管理層意圖、支持目標(biāo)和指導(dǎo)原則，是信息安全實(shí)踐的根本性和指導(dǎo)性的

文件。

（二）信息安全等級(jí)保護(hù)管理體系是指依據(jù)國(guó)家信息安全等級(jí)保護(hù)的要求建立的

系統(tǒng)內(nèi)進(jìn)行信息安全管理的制度、方針、策略、流程、指南、記錄等管理方面

的規(guī)章管理制度集合。

（三）信息安全等級(jí)保護(hù)管理體系是指依據(jù)國(guó)家信息安全等級(jí)保護(hù)的要求建立的

系統(tǒng)內(nèi)進(jìn)行信息安全管理的制度、方針、策略、流程、指南、記錄等管理方面

的規(guī)章管理制度集合。

（四）安全檢查:指單位內(nèi)部或外部機(jī)構(gòu)對(duì)信息安全整體執(zhí)行情況進(jìn)行的評(píng)價(jià)活動(dòng)。

安全檢查的依據(jù)是單位現(xiàn)行的管理制度、信息系統(tǒng)安全體系標(biāo)準(zhǔn)和技術(shù)標(biāo)準(zhǔn)、

有關(guān)法律、法規(guī)和標(biāo)準(zhǔn)要求等安全檢查包括安全例行檢查、安全專項(xiàng)檢查等。

（五）安全例行檢查：指按照已制定的檢查周期所作的檢查。

（六）安全專項(xiàng)抽查：指依據(jù)單位、監(jiān)管機(jī)構(gòu)或相關(guān)部門要求的安全運(yùn)轉(zhuǎn)情況所作

的不定期的抽查。

（七）本單位員工是指單位正式員工，包括試用期員工和借調(diào)人員等。

（八）第三方機(jī)構(gòu)是指所有進(jìn)入（XX市民政局）內(nèi)部提供相關(guān)技術(shù)效勞的非（XX

市民政局）單位（包括但不限于供給商、合作廠商、效勞商）。第三方人員分為

臨時(shí)來訪人員和駢場(chǎng)外包人員。臨時(shí)來訪的第三方人員是指來〔XX市民政局）

時(shí)間周期較短的人員，包括進(jìn)行業(yè)務(wù)交流的人員，臨時(shí)來訪參觀的人員等；駐

場(chǎng)外包的第三方人員是指來訪時(shí)間較長(zhǎng)的第三方技術(shù)效勞人員，包括工程建設(shè)

人員，外來信息系統(tǒng)職守人員，外來信息系統(tǒng)維護(hù)人員等。

（九）存儲(chǔ)介質(zhì)：指用于單位計(jì)算機(jī)系統(tǒng)相關(guān)業(yè)務(wù)的電子信息輸出、存放的物理介

質(zhì)、可移動(dòng)和不可移動(dòng)的磁盤、光盤、硬盤、磁盤陣列等。

（十）帳號(hào)是指每個(gè)可訪問系統(tǒng)資源的用戶在系統(tǒng)中的標(biāo)識(shí),可分為應(yīng)用系統(tǒng)帳號(hào)、

操作系統(tǒng)帳號(hào)和數(shù)據(jù)庫帳號(hào)等。

（十一）訪問權(quán)限是指帳號(hào)被賦予的可以訪問系統(tǒng)資源和使用系統(tǒng)功能的權(quán)利。

（十二）超級(jí)管理員帳號(hào)/特權(quán)帳號(hào)：指對(duì)系統(tǒng)具備超級(jí)權(quán)限的帳號(hào)，包含但不

限于UNIX/Linux的root,WINNT的administrators組成員,數(shù)據(jù)庫的DBA等

用戶。

（十三）普通帳號(hào)：用戶用于維護(hù)或訪問系統(tǒng)，實(shí)現(xiàn)日常操作的帳號(hào)，是最為常

見的用戶類型。

（十四）補(bǔ)丁是針對(duì)某一個(gè)具體的系統(tǒng)漏洞或安全問題而發(fā)布的專門解決該漏

洞或安全問題的小程序，通常稱為修補(bǔ)程序。

（十五）日志包括各業(yè)務(wù)系統(tǒng)中存儲(chǔ)的主機(jī)系統(tǒng)日志、設(shè)備日志和業(yè)務(wù)系統(tǒng)日志

等根底環(huán)境日志

（十六）計(jì)算機(jī)病毒：計(jì)算機(jī)病毒是人為蓄意編制的一種寄生性的計(jì)算機(jī)程序。

它能在計(jì)算機(jī)系統(tǒng)中生存，通過自我復(fù)制來傳播，在一定條件下即被激活，從

而給計(jì)算機(jī)系統(tǒng)造成一定損害甚至嚴(yán)重破壞，有些病毒還能竊取計(jì)算機(jī)設(shè)備中

的重要信息

（十七）信息安全事件是指由于自然或者人為以及軟硬件本身缺陷或故障的原

因，對(duì)信息系統(tǒng)造成危害，或?qū)ι鐣?huì)造成負(fù)面影響的事件

一、網(wǎng)絡(luò)信息安全總體策略

第一章總則

第一條為了進(jìn)一步加強(qiáng)（XX市民政局）信息系統(tǒng)的網(wǎng)絡(luò)安全管理，明確（XX市民政局）

網(wǎng)絡(luò)安全管理的總目標(biāo)和總方向，保護(hù)（XX市民政局）系統(tǒng)自有的信息系統(tǒng)資產(chǎn)，積極

預(yù)防安全事件的發(fā)生，使安全事件的影響最小化，特制定本策略文件。

第二章術(shù)語定義

第二條安全策略：是綱領(lǐng)性的安全策略主文檔，描述（XX市民政局）信息系統(tǒng)業(yè)務(wù)安

全目標(biāo)和管理層意圖、支持目標(biāo)和指導(dǎo)原則，是網(wǎng)絡(luò)安全實(shí)踐的根本性和指導(dǎo)性的文件。

第三章組織職責(zé)

第三條單位組建網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組，負(fù)責(zé)批準(zhǔn)網(wǎng)絡(luò)安全策略文件并且保證本

文件被執(zhí)行，同時(shí)負(fù)責(zé)對(duì)（XX市民政局）系統(tǒng)網(wǎng)絡(luò)安全方面的指導(dǎo)方向、安全建設(shè)等重

大問題做出決策，協(xié)調(diào)各部門安全協(xié)同工作，支持和推進(jìn)網(wǎng)絡(luò)安全工作在整個(gè)單位落地

實(shí)施。

第四條單位組建網(wǎng)絡(luò)安全等級(jí)保護(hù)工作小組，負(fù)責(zé)具體執(zhí)行安全管理策略文件的建立、

落地實(shí)施、運(yùn)作、監(jiān)控、評(píng)審、維護(hù)和改良工作。

第五條單位所有員工有責(zé)任了解自身在單位信息安全、網(wǎng)絡(luò)安全方面的職責(zé)，并按照

網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組的指示，認(rèn)真認(rèn)真嚴(yán)格執(zhí)行相關(guān)要求。

第四章管理原則

第六條網(wǎng)絡(luò)安全管理工作實(shí)行〃積極防范、突出重點(diǎn)、職責(zé)到位、保障業(yè)務(wù)〃和〃誰

主管、誰負(fù)責(zé)、誰運(yùn)營(yíng)、i隹負(fù)責(zé)的管理原則。

第五章總體目標(biāo)

第七條遵守國(guó)家相關(guān)法律法規(guī)，結(jié)合（XX市民政局）實(shí)際情況，依據(jù)現(xiàn)有管理和文化

體系，逐步建設(shè)一套適用的、先進(jìn)的網(wǎng)絡(luò)安全管理體系，更好地保障（XX市民政局）網(wǎng)

站、社管平臺(tái)等重要信息系統(tǒng)安全、穩(wěn)定的向社會(huì)公眾提供效勞，并滿足單位不間斷發(fā)

展的業(yè)務(wù)需求。

第六章安全框架

第八條安全管理制度

（一）逐步完善由安全策略、管理制度、操作規(guī)程組成的網(wǎng)絡(luò)安全管理體系。

（二）網(wǎng)絡(luò)安全策略文件應(yīng)當(dāng)由管理層審核查驗(yàn)批準(zhǔn)，并公布和傳達(dá)給單位所有人員

以及向本單位有業(yè)務(wù)往來的第三方機(jī)構(gòu)。網(wǎng)絡(luò)安全策略文件在規(guī)劃期間內(nèi)或有重大

變更發(fā)生時(shí)需通過管理層的審查及修訂。

第九條安全管理機(jī)構(gòu)

（一）必須建立網(wǎng)絡(luò)安全管理組織，以滿足網(wǎng)絡(luò)安全管理體系一直不間斷運(yùn)轉(zhuǎn)的目標(biāo)。

（-）加強(qiáng)和第三方機(jī)構(gòu)的溝通和合作，及時(shí)獲取相關(guān)信息。

（三）必須建立安全檢查機(jī)制，定期對(duì)信息系統(tǒng)進(jìn)行安全檢查。

（四）加強(qiáng)人員錄用和離崗過程的安全管理，并定期對(duì)所有人員進(jìn)行安全培訓(xùn)和考核，

加強(qiáng)安全意識(shí)。

（五）對(duì)所有操作或訪問信息資產(chǎn)的第三方機(jī)構(gòu)，必須向其說明相關(guān)的責(zé)任要求，并

明確告知其有責(zé)任妥當(dāng)?shù)厥褂煤捅Ｗo(hù)這些信息資產(chǎn)。

第十條系統(tǒng)建設(shè)

（一）系統(tǒng)建設(shè)初期必須依據(jù)系統(tǒng)定級(jí)情況進(jìn)行安全方案設(shè)計(jì)，對(duì)可行性進(jìn)行論證。

（二）力保安全和密碼產(chǎn)品采購(gòu)和使用符合國(guó)家的有關(guān)規(guī)定；并只能選擇滿足條件的

安全效勞商。

（三）力保在系統(tǒng)的開發(fā)和維護(hù)過程當(dāng)中，相關(guān)的安全功能和需求已被嵌入到系統(tǒng)內(nèi)。

在開發(fā)新系統(tǒng)時(shí)，安全功能應(yīng)包含在初始的系統(tǒng)分析和需求描述中。這些描述必須

包括自動(dòng)的和手動(dòng)的安全控制。這些控制必須通過測(cè)試，而且能夠整合到正在運(yùn)轉(zhuǎn)

的環(huán)境中。

第十一條系統(tǒng)運(yùn)維

（-）信息系統(tǒng)及其相關(guān)的設(shè)備在物理上需要受到保護(hù)，謹(jǐn)防偷竊、濫用、損壞或未

經(jīng)授權(quán)的訪問。

（二）力保信息系統(tǒng)相關(guān)的信息資產(chǎn)受到適當(dāng)保護(hù)，所有信息資產(chǎn)必須有確定的屬主

并且依據(jù)其敏感度進(jìn)行分類和控制。

（三）所有信息系統(tǒng)必須制定相應(yīng)的操作標(biāo)準(zhǔn)，通過對(duì)日常操作的管理、介質(zhì)的管理、

惡意代碼防范控制力保信息系統(tǒng)范圍內(nèi)信息處理設(shè)施的正確和安全操作。

（四）對(duì)三級(jí)系統(tǒng)應(yīng)建立安全管理過程當(dāng)中心，對(duì)信息資產(chǎn)安全事件實(shí)現(xiàn)監(jiān)控和響應(yīng)。

（五）所有信息系統(tǒng)變更應(yīng)有審批流程，并有完善的恢復(fù)流程。

（六）應(yīng)建立有效的安全事件響應(yīng)和處理機(jī)制，安全事件必須及時(shí)的發(fā)現(xiàn)、報(bào)告、處

理、調(diào)查、上報(bào)并修正，并且有事后的回憶，以吸取經(jīng)驗(yàn)和不足，謹(jǐn)防以后再發(fā)生

同類型的事件，把損失降到最小。

（七）建立完善應(yīng)急預(yù)案，以力保事故發(fā)生時(shí)，對(duì)業(yè)務(wù)活動(dòng)的影響降至最小。

第七章策略制定和維護(hù)

第十二條網(wǎng)絡(luò)信息安全策略文件由安全管理員撰寫，由網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組批

準(zhǔn)，向所有相關(guān)部門、第三方機(jī)構(gòu)和相關(guān)人員發(fā)布。

第十三條網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組監(jiān)督網(wǎng)絡(luò)安全活動(dòng)，是否和策略的目標(biāo)一致，到

達(dá)策略的要求。

第十四條網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組審查和處理逅反安全策略的行為。

第十五條網(wǎng)絡(luò)安全等級(jí)保護(hù)工作小組定期對(duì)網(wǎng)絡(luò)安全策略進(jìn)行回憶和評(píng)審（附件一、

評(píng)審記錄表），力保策略的有效性和可操作性。

附件一、安全策略評(píng)審記錄表

安全策略評(píng)審記錄表

日期：年月日

會(huì)議名稱

參和人員

評(píng)審對(duì)象

評(píng)審結(jié)果

評(píng)審意見：審批結(jié)果：

網(wǎng)絡(luò)安全等級(jí)保護(hù)工作小組網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組

二、信息等級(jí)保護(hù)體系制定和發(fā)布管理規(guī)定

第一章總則

第一條為了進(jìn)一步保證（XX市民政局）信息安全等級(jí)保護(hù)管理體系的一直不間斷性、

時(shí)效性以及適應(yīng)性，滿足業(yè)務(wù)不間斷變化的安全管理的需要，明確信息安全等級(jí)保護(hù)體

系的制定、發(fā)布、評(píng)審和修訂等過程當(dāng)中的管理職責(zé)，特制定本項(xiàng)規(guī)定。

第二章職責(zé)

第二條網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組，職責(zé)：

（一）負(fù)責(zé)規(guī)劃、監(jiān)督、指導(dǎo)網(wǎng)絡(luò)安全等級(jí)保護(hù)管理體系文件的起草、審查、發(fā)布、

清理等工作。

（二）負(fù)責(zé)信息安全等級(jí)保護(hù)管理體系的評(píng)審及修訂后復(fù)審工作。

（三）力保信息安全等級(jí)保護(hù)管理體系能一直不間斷妥當(dāng)和有效地運(yùn)作。

（四）提供充足的資源和支持，以一直不間斷改善信息安全等級(jí)保護(hù)管理體系。

第三條網(wǎng)絡(luò)安全等級(jí)保護(hù)工作小組，職責(zé)：

（一）負(fù)責(zé)組織管理體系文件的起草、編制、修訂、補(bǔ)充等工作的開展，并將落地實(shí)

施成果向領(lǐng)導(dǎo)小組匯報(bào)。

（二）負(fù)責(zé)啟動(dòng)和主持等級(jí)保護(hù)管理體系的管理評(píng)審工作。

（三）負(fù)責(zé)協(xié)調(diào)相關(guān)人員，指導(dǎo)收集評(píng)審資料。

（四）力保評(píng)審會(huì)議所提出的行動(dòng)工程能在規(guī)定的時(shí)間內(nèi)完成，并負(fù)責(zé)其相關(guān)的監(jiān)督

工作。

（五）負(fù)責(zé)對(duì)評(píng)審結(jié)果如需進(jìn)行修訂項(xiàng)協(xié)調(diào)相關(guān)人員進(jìn)行修訂。

（六）指派人員負(fù)責(zé)對(duì)修訂措施的執(zhí)行結(jié)果進(jìn)行驗(yàn)證。

第四條相關(guān)人員，是指（XX市民政局）信息安全等級(jí)保護(hù)管理體系涉及的人員C比方：

系統(tǒng)管理員、應(yīng)用管理員、開發(fā)管理人員、網(wǎng)絡(luò)管理員、數(shù)據(jù)管理員、資產(chǎn)管理員和安

全管理員等，其職責(zé)是：

（一）負(fù)責(zé)依據(jù)管理體系文件的內(nèi)容進(jìn)行宣貫、培訓(xùn)、執(zhí)行、檢查等工作，并依據(jù)部

門情況落實(shí)管理體系的要求。

（二）負(fù)責(zé)協(xié)助進(jìn)行評(píng)審。

（三）負(fù)責(zé)落地實(shí)施修訂措施。

第五章文件起草

第五條（XX市民政局）網(wǎng)絡(luò)安全管理體系標(biāo)準(zhǔn)文件由網(wǎng)絡(luò)安全等級(jí)保護(hù)工作小組負(fù)責(zé)

起草或組織起草。

第六條負(fù)貢起草的科室應(yīng)當(dāng)確定一名熟悉相關(guān)內(nèi)容員工為工程負(fù)貢人，如涉及多個(gè)部

門時(shí)，可由相關(guān)部門共同派人組成聯(lián)合起草小組，由主要起草部門負(fù)責(zé)牽頭組織。

第七條起草的標(biāo)準(zhǔn)性文件應(yīng)當(dāng)結(jié)構(gòu)嚴(yán)謹(jǐn)、內(nèi)容完備、形式標(biāo)準(zhǔn)、條理清楚、用詞準(zhǔn)確、

文字簡(jiǎn)潔。

第八條應(yīng)當(dāng)明確規(guī)定如下內(nèi)容：

（一）制定的目的和依據(jù)；

（二）適用范圍；

（三）術(shù)語定義；

（四）組織職責(zé)；

（五）具體管理要求或規(guī)定；

（六）必要的附則；

（七）和標(biāo)準(zhǔn)內(nèi)容相關(guān)的資料性附錄和參考性附錄。

第九條報(bào)送審查的管理制度送審稿應(yīng)當(dāng)由起草部門負(fù)責(zé)人簽署后報(bào)網(wǎng)絡(luò)安全和信息化

領(lǐng)導(dǎo)小組審查。幾個(gè)部門共同起草的標(biāo)準(zhǔn)送審稿，應(yīng)當(dāng)由起草部門負(fù)責(zé)人共同簽署后報(bào)

網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組審查。

第十條以下材料應(yīng)當(dāng)和標(biāo)準(zhǔn)送審稿一并報(bào)送網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組審查：

（一）起草說明；

（二）和此標(biāo)準(zhǔn)內(nèi)容有關(guān)的標(biāo)準(zhǔn)性文件；

（三）匯總的各方意見；

（四）如需制定落地實(shí)施細(xì)則，應(yīng)當(dāng)提交落地實(shí)施細(xì)則的主要內(nèi)容和細(xì)則擬出臺(tái)的時(shí)間;

（五）其他需要報(bào)送的材料。

第十一條網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組主要從以下方面對(duì)送審稿進(jìn)行審查：

（一）是否符合權(quán)限和程序；

（二）是否符合原則；

（三）是否和其他標(biāo)準(zhǔn)、標(biāo)準(zhǔn)相協(xié)調(diào)、銜接；

（四）是否已對(duì)有關(guān)不同意見進(jìn)行協(xié)調(diào)；

（五）是否具備可行性；

（六）是否符合相關(guān)技術(shù)要求；

（七）需要審查的其他內(nèi)容。

第十二條由網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組對(duì)送審稿提出審查結(jié)論,對(duì)草案涉及的有關(guān)爭(zhēng)

議問題以及修改情況作重點(diǎn)說明。由網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組負(fù)責(zé)人簽署的書面審查

報(bào)告應(yīng)當(dāng)反響起草部門。

第六章文件評(píng)審

第十三條（XX市民政局）網(wǎng)絡(luò)安全等級(jí)保護(hù)工作小組定期（至少每年一次）開展等

級(jí)保護(hù)管理體系的評(píng)審工作，以力保整個(gè)等級(jí)保護(hù)管理體系的充分性、適當(dāng)性和有效性。

第十四條等級(jí)保護(hù)管理體系評(píng)審內(nèi)容：

（一）依據(jù)業(yè)務(wù)系統(tǒng)的性質(zhì)和安全要求，確定（或復(fù)審）等級(jí)保護(hù)管理體系的范圍，

建立（復(fù)審）等級(jí)保護(hù)管理體系，包括網(wǎng)絡(luò)安全策略、標(biāo)準(zhǔn)和程序。

（二）對(duì)等級(jí)保護(hù)管理體系審核查驗(yàn)結(jié)果進(jìn)行評(píng)審，分析導(dǎo)致不符合項(xiàng)的原因。

（三）審查審核查驗(yàn)對(duì)象的反響信息。

（四）總結(jié)已發(fā)現(xiàn)的安全事件和漏洞。

（五）審查現(xiàn)行的安全控制措施和相關(guān)技術(shù)是否有效。

（六）復(fù)查修訂措施的落地實(shí)施情況。

（七）檢查先前管理評(píng)審中所定義的措施的落地實(shí)施情況。

（八）審查改善措施的建議。

（九）復(fù)查業(yè)務(wù)和法律法規(guī)方面的變更。

（十）審查可能影響信息安全等級(jí)保護(hù)管理體系的任何變更。

（十一）為協(xié)調(diào)相關(guān)網(wǎng)絡(luò)安全的落地實(shí)施，評(píng)審相關(guān)資源的充足性。

第十五條評(píng)審工作必須至少每年舉行一次，發(fā)生以下情況時(shí)，也需要啟動(dòng)管理評(píng)審工

作：

（-）系統(tǒng)業(yè)務(wù)發(fā)生重大變更。

（二）系統(tǒng)網(wǎng)絡(luò)安全策略的重大變更。

（三）目前等級(jí)保護(hù)管理體系的執(zhí)行不力。

（四）系統(tǒng)等級(jí)保護(hù)管理體系的范圍發(fā)生變更。

（五）相關(guān)標(biāo)準(zhǔn)法規(guī)發(fā)布修訂版本或有變更。

第七章文件發(fā)布

第十六條標(biāo)準(zhǔn)草案經(jīng)網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組審議并原則通過后，起草部門依據(jù)審

議中提出的修改意見對(duì)草案進(jìn)行修改，經(jīng)網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組負(fù)責(zé)人簽發(fā),以文件

形式公布。

第十七條文件的發(fā)布應(yīng)遵照統(tǒng)一的格式，進(jìn)行版本控制；并應(yīng)注明發(fā)布范圍，對(duì)收發(fā)

文進(jìn)行記錄。對(duì)發(fā)布的制度應(yīng)在《附錄一、（XX市民政局）管理制度發(fā)布記錄表》中進(jìn)

行記錄。

附錄一、（XX市民政局）管理制度發(fā)布記錄表

（XX市民政局）管理制度發(fā)布記錄

管理制度名稱制訂者發(fā)布者生效時(shí)間版本分發(fā)范圍失效時(shí)間備注

日期：文檔管理人員：審核查驗(yàn)人：

三、等級(jí)保護(hù)體系評(píng)審和修訂管理規(guī)定

第一章總則

第一條為了進(jìn)一步保證（XX市民政局）等級(jí)保護(hù)管理體系的一直不間斷性、時(shí)效性以

及適應(yīng)性，滿足單位不間斷變化的安全管理的需要，明確等級(jí)保護(hù)管理體系的評(píng)審

和修訂過程當(dāng)中管理職責(zé)，特制定本項(xiàng)規(guī)定。

第二章評(píng)審程序

第二條（XX市民政局）網(wǎng)絡(luò)安全等級(jí)保護(hù)工作小組定期（至少每年一次）開展等級(jí)保

護(hù)管理體系的評(píng)審工作，以力保整個(gè)等級(jí)保護(hù)管理體系的充分性、適當(dāng)性和有效性。

第三條等級(jí)保護(hù)管理體系評(píng)審內(nèi)容：

（-）依據(jù)具體工作的性質(zhì)和安全要求，確定（或復(fù)審）等級(jí)保護(hù)管理體系的范圍，

建立（復(fù)審）等級(jí)保護(hù)管理體系，包括網(wǎng)絡(luò)安全策略、標(biāo)準(zhǔn)和程序。

（二）對(duì)等級(jí)保護(hù)管理體系審核查驗(yàn)結(jié)果進(jìn)行評(píng)審，分析導(dǎo)致不符合項(xiàng)的原因。

（三）審查審核查驗(yàn)對(duì)象的反響信息。

（四）總結(jié)已發(fā)現(xiàn)的安全事件和漏洞。

（五）審查現(xiàn)行的安全控制措施和相關(guān)技術(shù)是否有效。

（六）復(fù)查修訂措施的落地實(shí)施情況。

（七）檢查先前管理評(píng)審中所定義的措施的落地實(shí)施情況。

（八）審查改善措施的建議。

（九）復(fù)查業(yè)務(wù)和法律法規(guī)方面的變更。

（十）審查可能影響等級(jí)保護(hù)管理體系的任何變更C

（十一）為協(xié)調(diào)相關(guān)網(wǎng)絡(luò)安全的落地實(shí)施，評(píng)審相關(guān)資源的充足性。

第四條評(píng)審工作必須至少每年舉行一次，發(fā)生以下情況時(shí)，也需要啟動(dòng)管理評(píng)審工作：

（-）系統(tǒng)業(yè)務(wù)發(fā)生重大變更。

（二）系統(tǒng)網(wǎng)絡(luò)安全策略的重大變更。

（三）目前等級(jí)保護(hù)管理體系的執(zhí)行不力。

（四）系統(tǒng)等級(jí)保護(hù)管理體系的范圍發(fā)生變更。

（五）相關(guān)標(biāo)準(zhǔn)法規(guī)發(fā)布修訂版本或有變更。

（六）評(píng)審工作的會(huì)議記錄均需歸檔，以保存正式的記錄。

第三章修訂程序

第五條問題的識(shí)別及確認(rèn)，采用修訂措施可能由以下原因，包括但不限于：

（一）來自系統(tǒng)等級(jí)保護(hù)管理體系的相關(guān)工作人員的反響信息或調(diào)查申請(qǐng)。

（一）網(wǎng)絡(luò)安全管理評(píng)審的會(huì)議商討中發(fā)現(xiàn)的問題C

（三）等級(jí)保護(hù)管理體系的審核查驗(yàn)發(fā)現(xiàn)的不符合項(xiàng)。

第六條調(diào)查問題的起因：

（一）由網(wǎng)絡(luò)安全等級(jí)保護(hù)工作小組指派專門的人員負(fù)責(zé)對(duì)問題進(jìn)行分析調(diào)查并確認(rèn)

問題的起因。

（二）調(diào)查人員需提供盡可能多的關(guān)于整個(gè)問題調(diào)查的詳細(xì)結(jié)果。作為修訂措施報(bào)告

的一局部，也可以提供一些額外的補(bǔ)充信息。

第七條執(zhí)行修訂措施：

（一）基于所調(diào)查出的問題起因，需確認(rèn)并落地實(shí)施相應(yīng)措施或?qū)κ鹿蔬M(jìn)行調(diào)查研究,

負(fù)責(zé)上述行動(dòng)的執(zhí)行者需力保更新任何相關(guān)的文件或管理流程。比方：

＞準(zhǔn)備制定或更新相關(guān)管理程序。