信息安全管理制度匯編

信息安全管理制度匯編（試行）

XXX

2014年1月

目錄

一.信息安全管理制度總綱...............................................................1

1.1總則...............................................................................1

1.2信息安全管理目標(biāo)..................................................................1

13安全防范管理機(jī)制................................2

1.4信息安全管理制度.......................2

XXX信息安全領(lǐng)導(dǎo)小組工作職責(zé)及崗位設(shè)置............................................3

2.1總則...............................................................................3

2.2信息安全領(lǐng)導(dǎo)小組崗位設(shè)置..........................................................4

2.3附則...............................................................................7

附件一：崗位人員聯(lián)系表.................................................................7

三.內(nèi)部人員安全管理辦法...............................................................8

3.1總則...............................................................................8

3.2員工入職...............................8

3.3員工高職離崗.......................................................................8

3.4員工培訓(xùn)...........................................................................9

3.5員工考核...........................................................................9

3.6附則..............................................................................10

附件一：XXX工作人員保密責(zé)任書(shū).........................................................11

附件二：XXX人員離崗交接記錄表.........................................................13

EP.外部人員安全管理辦法..............................................................14

4.1總則....................................14

4.2外班人員出入管理..............................14

43外野人員行為規(guī)范................................15

4.4違規(guī)處罰..........................................................................16

4.5附則..............................................................................16

五辦公環(huán)境安全管理辦法.................................17

5.1總則..............................................................................17

5.2辦公環(huán)境安全管理..............................17

5.3附則..............................................................................18

六,信息資產(chǎn)管理辦法.............................................................18

6.1總則.............................................................................18

6.2信息資產(chǎn)分類....................................................................19

63信息資產(chǎn)分級(jí)標(biāo)準(zhǔn).................................................20

6.4信息資產(chǎn)識(shí)別................................22

65附則..................................23

七存儲(chǔ)介質(zhì)管理辦法...................................................................23

7.1總則.............................................................................23

7.2管理部門(mén)職責(zé)....................................................................24

73存儲(chǔ)介質(zhì)管理....................................................................24

7.4附則.............................................................................25

A.XXX政府網(wǎng)站管理辦法..............................................................25

九信息系統(tǒng)定設(shè)安全管理辦法..........................................................26

9.1總則.............................................................................26

9.2管理部門(mén)職責(zé).....................................................................26

9.3信息系統(tǒng)建設(shè)安全................................................................26

9.3.1信息系統(tǒng)規(guī)劃與立項(xiàng)................................................26

9.3.2信息系統(tǒng)開(kāi)發(fā)與集成................................................27

9.3.3信息系統(tǒng)測(cè)試...............................................................28

9.3.4信息系統(tǒng)臉收交付及試運(yùn)行...................................................28

9.4附則.............................................................................29

十.信息系統(tǒng)運(yùn)維管理辦法.............................................................29

10.1總則.............................................................................29

10.2管理部門(mén)職責(zé)..........................30

10.3信息系統(tǒng)維護(hù)管理.................................................30

10.4信息系統(tǒng)監(jiān)控管理.................................................30

10.5附則.................................................31

十一.信息系統(tǒng)變更管理辦法............................................................31

11.1總則.............................................................................31

11.2管理部門(mén)職責(zé).................................31

11.3變更的申請(qǐng)............................32

11.4變更的測(cè)試、驗(yàn)收................................................................33

11.5變更檔案的管理..................................................................33

11.6附則.............................................................................33

附件一：系統(tǒng)變更申請(qǐng)表................................................................35

附件二：用戶測(cè)試報(bào)告..................................................................35

附件三：系統(tǒng)變更驗(yàn)收?qǐng)?bào)告..............................................................36

十二,信息系統(tǒng)業(yè)務(wù)連續(xù)性管理辦法......................................................37

12.1總則.............................................................................37

12.2管理都門(mén)職責(zé)...............................................37

12.3災(zāi)難備份與恢復(fù)管理..............................................................37

12.4應(yīng)急預(yù)案管理...............................................38

12.5附則.............................................................................39

十三.信息安全事件管理辦法............................................................39

13.1總則...............................................................................39

信息安全管理制度總綱

1.1總則

第一條為加強(qiáng)XXX市電子政務(wù)信息安全管理，防范信息安

全風(fēng)險(xiǎn)，保障計(jì)算機(jī)網(wǎng)絡(luò)與信息系統(tǒng)安全和穩(wěn)定運(yùn)行，根據(jù)《中

華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》，特制定本制度。

第二條本制度所指的信息安全管理，是指信息系統(tǒng)各要素

（包括：制度、人員、軟件、服務(wù)器、網(wǎng)絡(luò)、數(shù)據(jù)、終端等）在

運(yùn)行、維護(hù)、開(kāi)發(fā)、建設(shè)等過(guò)程中的安全管理活動(dòng)。

第三條信息安全管理按照“誰(shuí)主管誰(shuí)負(fù)責(zé)，誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé),

誰(shuí)使用誰(shuí)負(fù)責(zé)”的原則，逐級(jí)落實(shí)單位與個(gè)人信息安全責(zé)任制。

第四條本制度適用于XXX各科室，以及所有使用XXX市電

子政務(wù)網(wǎng)絡(luò)信息資源的其他機(jī)構(gòu)和個(gè)人。

1.2信息安全管理目標(biāo)

第五條信息資產(chǎn)的可用性、完整性、保密性是信息安全管

理的總體目標(biāo)。具體信息安全管理習(xí)標(biāo)是：

（一）維護(hù)范圍內(nèi)的網(wǎng)絡(luò)大規(guī)噗病毒爆發(fā)（病毒影響到三分

之一的網(wǎng)絡(luò)中斷）每年不超過(guò)1次；

（二）信息系統(tǒng)運(yùn)行無(wú)故障率大于等于99%；

（三）機(jī)房設(shè)備重大故障每年不超過(guò)3次；

（四）全年不發(fā)生重大信息安全泄漏事故；

（五）全年不發(fā)生單位級(jí)存儲(chǔ)數(shù)據(jù)丟失事故。

1.3安全防范管理機(jī)制

第六條完善安全防范管理機(jī)制是信息系統(tǒng)安全防范的組

織保證。XXX成立信息安全領(lǐng)導(dǎo)小組，負(fù)責(zé)開(kāi)展電子政務(wù)信息系

統(tǒng)建設(shè)、應(yīng)用和信息安全保障工作。系統(tǒng)安全管理科具體負(fù)責(zé)電

子政務(wù)信息系統(tǒng)安全日常工作的組織實(shí)施。

1.4信息安全管理制度

第十條信息安全管理制度包含如下管理辦法：

（一）信息安全領(lǐng)導(dǎo)小組工作職責(zé)及崗位設(shè)置

（二）內(nèi)部員工安全管理辦法

（三）外部人員安全管理辦法

（四）辦公環(huán)境安全管理辦法

（五）信息資產(chǎn)管理辦法

（六）存儲(chǔ)介質(zhì)管理辦法

（七）XXX市政府網(wǎng)站安全管理辦法（見(jiàn)德政辦發(fā)[2013]

8號(hào)）

（A）信息系統(tǒng)建設(shè)安全管理辦法

（九）信息系統(tǒng)運(yùn)維管理辦法

2

（十）信息系統(tǒng)變更管理辦法

（十一）信息系統(tǒng)業(yè)務(wù)連續(xù)性管理辦法

（十二）信息安全事件管理辦法

（十三）信息系統(tǒng)用戶密碼管理辦法

（十四）計(jì)算機(jī)病毒防治管理辦法

（十五）信息安全檢查管理辦法

（十六）信息安全責(zé)任獎(jiǎng)懲管理辦法

二.XXX信息安全領(lǐng)導(dǎo)小組工作職責(zé)及崗位

設(shè)置

2.1總則

第一條為規(guī)范XXX信息安全領(lǐng)導(dǎo)小組的日常工作秩序，明

確相應(yīng)崗位職責(zé)，使工作更加有序、高效，特制定XXX信息安全

領(lǐng)導(dǎo)小組工作職責(zé)及崗位設(shè)置。

第二條XXX各個(gè)科室要熟悉信息安全領(lǐng)導(dǎo)小組的崗位設(shè)置

和職責(zé)，明確業(yè)務(wù)對(duì)口聯(lián)系崗位，共同推動(dòng)各項(xiàng)信息安全管理工

作順利開(kāi)展。

3

2.2信息安全領(lǐng)導(dǎo)小組崗位設(shè)置

第三條為了保證能夠及時(shí)、高效、優(yōu)質(zhì)地完成信息安全領(lǐng)

導(dǎo)小組職能范圍內(nèi)的各項(xiàng)工作任務(wù)，必須設(shè)置必要的工作崗位，

并合理配備各崗位人員。

第四條根據(jù)工作職能，信息安全領(lǐng)導(dǎo)小組設(shè)置組長(zhǎng)、安全

管理員、網(wǎng)絡(luò)管理員、系統(tǒng)管理員、應(yīng)用管理員、機(jī)房管理員、

設(shè)備管理員崗位。

笫五條組長(zhǎng)職貢

組長(zhǎng)主要全面負(fù)責(zé)單位信息安全管理工作，其工作職責(zé)包括:

（一）組織貫徹執(zhí)行國(guó)家有關(guān)信息安全方針、政策和法律法

規(guī)，貫徹執(zhí)行單位信息安全有關(guān)工祚部署；

（二）負(fù)責(zé)本單位信息安全工蚱的組織、實(shí)施、協(xié)調(diào)；

（三）組織擬定單位信息安全發(fā)展總體規(guī)劃和年度工作計(jì)

劃；

（四）協(xié)調(diào)和指導(dǎo)信息安全培訓(xùn)教育工作；

（五）監(jiān)督、指導(dǎo)信息系統(tǒng)安全管理工作；建立信息反饋和

故障響應(yīng)處理機(jī)制；

（六）負(fù)責(zé)本單位與監(jiān)管單位在信息安全方面的溝通和協(xié)調(diào),

建立完善信息安全管理體系。

第六條安全管理員崗位職責(zé)

安全管理員主要負(fù)責(zé)單位信息系統(tǒng)安全管理工作，其工作職

責(zé)包括：

（一）負(fù)責(zé)監(jiān)督執(zhí)行國(guó)家有關(guān)方針、政策和法律法規(guī)，及單

位信息安全制度：

（二）負(fù)責(zé)對(duì)單位信息安全的組織管理情況、崗位設(shè)置情況、

信息安全規(guī)章制度的制定和執(zhí)行情況、應(yīng)急計(jì)劃及應(yīng)急演練情況

進(jìn)行內(nèi)部審查，提出合理化意見(jiàn)和建議；

4

（三）負(fù)責(zé)組織信息安全自查'及對(duì)單位各科室的信息安全

檢查工作；

（四）負(fù)責(zé)進(jìn)行安全日志審計(jì)，對(duì)機(jī)房環(huán)境、網(wǎng)絡(luò)安全、系

統(tǒng)研發(fā)與運(yùn)行等查找薄弱環(huán)節(jié)，提出風(fēng)險(xiǎn)評(píng)估意見(jiàn)，制定整改措

施及方案；

（五）負(fù)責(zé)計(jì)算機(jī)病毒、黑客及惡意程序的情報(bào)調(diào)研工作，

及時(shí)發(fā)布疫情預(yù)警通報(bào)，加強(qiáng)互聯(lián)網(wǎng)安全維護(hù)及管理工作；

（六）審查現(xiàn)有各類信息系統(tǒng)，在信息風(fēng)險(xiǎn)、流程優(yōu)化等方

面提出改進(jìn)建議；

（七）負(fù)責(zé)配合外部安全檢查、測(cè)評(píng)等工作。

第七條系統(tǒng)管理員崗位職責(zé)

系統(tǒng)管理員主要負(fù)責(zé)單位系統(tǒng)管理工作.不得與應(yīng)用管理崗

兼崗。其中系統(tǒng)管理工作職責(zé)包括：

（一）負(fù)責(zé)服務(wù)器的用戶及系統(tǒng)管理，定期更換用戶口令和

系統(tǒng)口令；

（二）負(fù)責(zé)服務(wù)器的系統(tǒng)安裝、核心參數(shù)配置和性能調(diào)優(yōu)，

數(shù)據(jù)備份管理；

（三）負(fù)責(zé)服務(wù)器的補(bǔ)丁分發(fā)與安裝工作；

（四）負(fù)責(zé)服務(wù)器的系統(tǒng)安全，確定安全策略，設(shè)置安全參

數(shù)，制定應(yīng)急預(yù)案。

第八條網(wǎng)絡(luò)管理員崗位職責(zé)

網(wǎng)絡(luò)管理員主要負(fù)責(zé)網(wǎng)絡(luò)系統(tǒng)管理工作，不得與應(yīng)用管理崗

兼崗。其中網(wǎng)絡(luò)管理員工作職責(zé)包括：

（一）根據(jù)有關(guān)制度、規(guī)范、標(biāo)準(zhǔn)，負(fù)責(zé)組織單位系統(tǒng)網(wǎng)絡(luò)

平臺(tái)的維護(hù)、管理。

（二）負(fù)責(zé)管理網(wǎng)絡(luò)設(shè)備用戶和權(quán)限，定期更換網(wǎng)絡(luò)設(shè)備口

令；

（三）負(fù)責(zé)網(wǎng)絡(luò)安全，制定網(wǎng)絡(luò)設(shè)備的安全策略，制定網(wǎng)絡(luò)

應(yīng)急預(yù)案；

5

（四）負(fù)責(zé)管理數(shù)據(jù)線路，維護(hù)網(wǎng)絡(luò)設(shè)備，及時(shí)修復(fù)網(wǎng)絡(luò)運(yùn)

行故障；

第九條應(yīng)用管理員崗位職責(zé)

應(yīng)用管理員主要負(fù)責(zé)應(yīng)用系統(tǒng)的日常維護(hù)工作，不得與網(wǎng)絡(luò)

管理員和系統(tǒng)管理員兼崗。其工作職責(zé)包括：

（一）負(fù)責(zé)應(yīng)用系統(tǒng)運(yùn)行過(guò)程中突發(fā)故障的受理、診斷與維

護(hù)；

（二）負(fù)責(zé)定期檢查應(yīng)用系統(tǒng)服務(wù)器運(yùn)行性能、硬盤(pán)空間、

數(shù)據(jù)備份及相關(guān)日志，定期維護(hù)應(yīng)用系統(tǒng)的歷史數(shù)據(jù)、交易日志

及文件系統(tǒng)；

（三）負(fù)責(zé)應(yīng)用系統(tǒng)的技術(shù)培訓(xùn)、測(cè)試、上線運(yùn)行及軟件下

發(fā)與系統(tǒng)升級(jí)等工作；

（四）負(fù)責(zé)收集、分析、反饋應(yīng)用系統(tǒng)故障；

（五）負(fù)責(zé)系統(tǒng)運(yùn)行相關(guān)數(shù)據(jù)的提取、分析工作；

（六）負(fù)責(zé)制定應(yīng)用系統(tǒng)安全策略和應(yīng)急預(yù)案，提出信息安

全方面的技術(shù)需求；

（七）負(fù)責(zé)對(duì)突發(fā)性安全事件進(jìn)行事后調(diào)查、分析，并提交

分析報(bào)告和處理意見(jiàn)；

（A）負(fù)責(zé)對(duì)應(yīng)用系統(tǒng)研發(fā)公司相關(guān)人員進(jìn)行現(xiàn)場(chǎng)管理、遠(yuǎn)

程技術(shù)協(xié)調(diào)與溝通工作。

第十條設(shè)備管理員崗位職責(zé)

設(shè)備管理員主要負(fù)責(zé)設(shè)備管理、維護(hù)等工作，其中設(shè)備管理

員工作職責(zé)包括：

（三）負(fù)責(zé)設(shè)備的入庫(kù)、保管,發(fā)放、調(diào)劑、報(bào)廢等工作；

（四）負(fù)責(zé)設(shè)備檔案的建立與管理和設(shè)備的盤(pán)點(diǎn)工作；

（七）負(fù)責(zé)管理協(xié)調(diào)設(shè)備的安裝、維護(hù)、保養(yǎng)及故障維修，

確保各類設(shè)備可用性；

第十一條機(jī)房管理員崗位職責(zé)

6

機(jī)房管理員負(fù)責(zé)運(yùn)行監(jiān)控、值班和場(chǎng)地監(jiān)控工作。不得與應(yīng)

用管理員、網(wǎng)絡(luò)管理員、系統(tǒng)管理員等崗位兼崗。其工作職責(zé)包

括：

（一）負(fù)責(zé)機(jī)房各應(yīng)用系統(tǒng)設(shè)備的日常運(yùn)行情況匯總與通報(bào)

工作；

（三）負(fù)責(zé)機(jī)房環(huán)境設(shè)備的日常運(yùn)行監(jiān)管、定期巡檢等維護(hù)

工作，記錄故障并妥善處理，及時(shí)反饋處理結(jié)果；

（四）負(fù)責(zé)機(jī)房場(chǎng)地管理；

（五）負(fù)責(zé)對(duì)值班人員的工作進(jìn)行監(jiān)督指導(dǎo)。

2.3附則

第十五條本辦法由XXX信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)解釋并修

訂。

第十六條本辦法自發(fā)布之日起施行。

附件一：崗位人員聯(lián)系表

崗位人員配備

網(wǎng)位

姓名職務(wù)聯(lián)系方式

組長(zhǎng)張兵

安全管理員李俊升

系統(tǒng)管理員李廣云'李吉德

網(wǎng)絡(luò)管理員孫廣華

應(yīng)用管理員李夏輝

李廣云、李吉德、李

設(shè)備管理員

夏輝

機(jī)房管理員路合江

7

三.內(nèi)部人員安全管理辦法

3.1總則

第一條為進(jìn)一步規(guī)范XXX內(nèi)部員工安全管理，有效防范

操作風(fēng)險(xiǎn)，確保本單位信息系統(tǒng)的安全運(yùn)行，特制定本辦法。

第二條本辦法適用于XXX內(nèi)部人員。

3.2員工入職

第五條人員被錄用后，應(yīng)立即與本單位簽署安全保密協(xié)議,

即《XXX員工保密責(zé)任書(shū)》（附件一）。

第六條人員被錄用后，所在部門(mén)要對(duì)其進(jìn)行必要的安全培

訓(xùn)，使其意識(shí)到信息與網(wǎng)絡(luò)安全所面臨的威脅及利害關(guān)系，確保

其支持和遵守單位的信息安全策略。

3.3員工離職離崗

第七條員工離職離崗時(shí)，應(yīng)當(dāng)做好以下事項(xiàng)的交接：

（一）管理的所有服務(wù)器、交換機(jī)、路由器等設(shè)備的用戶名

和密碼口令；

（二）信息系統(tǒng)相關(guān)資料，包括：服務(wù)器、交換機(jī)、路由器

等設(shè)備的參數(shù)、網(wǎng)絡(luò)拓?fù)鋱D、網(wǎng)絡(luò)布線圖、網(wǎng)絡(luò)劃分、IP地址

分配等資料；

8

（三）各類設(shè)備附帶的說(shuō)明書(shū),各種文字資料；

（四）與本單位有關(guān)的各種合同、上級(jí)部門(mén)的各種批文、網(wǎng)

絡(luò)管理的各種規(guī)則條例等文字材料；

（五）離職離崗員工所持有或保管的一切記錄著本單位信息

的文件、資料、圖表、筆記、報(bào)告、信件、傳真、磁帶、磁盤(pán)、

儀器以及其他任何形式的載體。

第八條員工離職離崗時(shí)，應(yīng)將工作時(shí)使用過(guò)的電腦、U盤(pán)

以及其他一切存儲(chǔ)設(shè)備中與工作相關(guān)或與單位有利益關(guān)系的信

息、文件等內(nèi)容交接給部門(mén)主管，不得在離崗離職后以任何形式

帶走相關(guān)信息。

第九條員工離職離崗后，仍對(duì)其在任職期間接觸、知悉的

屬于XXX或者雖屬于第三方但由本單位承諾或負(fù)有保密義務(wù)的信

息，承擔(dān)如同任職期間一樣的保密義務(wù)和不擅自使用的義務(wù)。

第十條員工離職離崗時(shí)必須做好離崗交接記錄并長(zhǎng)期保

存，具體參照《XXX工作人員離崗交接記錄表》（附件二）。

3.4員工培訓(xùn)

第十一條應(yīng)制定年度信息安全培訓(xùn)計(jì)劃，對(duì)員工定期進(jìn)行

信息安全培訓(xùn)，培訓(xùn)內(nèi)容應(yīng)包括：信息安全意識(shí)、網(wǎng)絡(luò)安全技能、

信息安全職責(zé)、信息安全管理規(guī)章制度和法律法規(guī)。

第十三條對(duì)從事安全維護(hù)和管理工作的員工提供專門(mén)的安

全技術(shù)培訓(xùn)和認(rèn)證培訓(xùn)。

3.5員工考核

第十四條定期對(duì)各個(gè)崗位的工作人員進(jìn)行安全技能及安全

認(rèn)知的考核；尤其應(yīng)對(duì)關(guān)鍵崗位的人員進(jìn)行全面、嚴(yán)格的安全審

9

查和技能考核。信息安全方面的考核應(yīng)作為員工日常的考核項(xiàng)，

考核內(nèi)容包括單位辦法的各項(xiàng)信息安全管理制度、規(guī)定、規(guī)程、

崗位職責(zé)及必備的信息安全管理知識(shí)和基本要求等。

3.6附則

第十五條本辦法由XXX信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)解釋并修

訂。

第十六條本辦法自發(fā)布之日起施行。

10

附件一：XXX工作人員保密責(zé)任書(shū)

本保密責(zé)任書(shū)依據(jù)國(guó)家有關(guān)保密規(guī)定簽署。

（一）保密內(nèi)容

保密內(nèi)容主要指知悉的國(guó)家秘密、單位秘密、敏感信息和個(gè)

人隙私等。包括但不限于下列秘密事項(xiàng)：

1、單位的行政辦公等各類工年信息；

2、單位的合同、協(xié)議、意見(jiàn)書(shū)、招投標(biāo)文件及可行性報(bào)告、

主要會(huì)議記錄；

3、單位內(nèi)部軟件開(kāi)發(fā)設(shè)計(jì)的源代碼、設(shè)計(jì)文檔等情況與資

料；

4、單位信息系統(tǒng)的架構(gòu)、拓?fù)?、設(shè)備及配置信息；

5、涉及單位秘密的領(lǐng)導(dǎo)講話、文件資料、函件、傳真電報(bào)、

會(huì)議記錄、紀(jì)要、檔案、簡(jiǎn)報(bào)、規(guī)章制度、統(tǒng)計(jì)圖表等應(yīng)當(dāng)保密

的事項(xiàng)。

（二）保密守則

1、不該說(shuō)的單位秘密，絕對(duì)不說(shuō)；

2、不該問(wèn)的單位秘密，絕對(duì)不問(wèn)；

3、不該看的單位秘密，絕對(duì)不看；

4、不該記錄的單位秘密，絕對(duì)不記錄；

5、不準(zhǔn)利用工作便利條件泄漏單位秘密；

6、不準(zhǔn)在私人交往和通信中泄漏單位秘密；

7、不準(zhǔn)在公共場(chǎng)所議論單位秘密；

8、不準(zhǔn)在非保密本上記錄單，立秘密；

9、攜帶秘密載體（如記錄單，‘立秘密的文件、資料和其它物

品）外出時(shí)，不得違反保密規(guī)定；

10、不參與不可靠、不真實(shí),言息的傳播。

（三）違約責(zé)任

11

1、泄漏單位秘密，尚未造成較大后果或經(jīng)濟(jì)損失，或已泄

漏單位秘密但采取補(bǔ)救措施，未給單位帶來(lái)不良影響的，給予行

政處分和經(jīng)濟(jì)處罰；

2、故意或過(guò)失泄漏單位秘密，造成嚴(yán)重后果或重大經(jīng)濟(jì)損

失的；違反本保密制度規(guī)定，為他人竊取、剌探、收買(mǎi)或違章提

供單位秘密的；利用職權(quán)強(qiáng)制他人違反保密規(guī)定的；情節(jié)嚴(yán)重者,

按國(guó)家相關(guān)法律提起訴訟。

甲方（蓋章）:乙方（蓋章）:

簽名：筌名：

日期：日期：

12

附件二：XXX人員離崗交接記錄表

離崗人員部門(mén)崗位

離崗事由：

工作交接給：交凄內(nèi)容：

資料接受人簽字：

日期：

是否收回所有權(quán)限是否

領(lǐng)導(dǎo)意見(jiàn)：

簽字：

日期：

13

四.外部人員安全管理辦法

4.1總則

第一條為明確外部人員在XXX實(shí)施服務(wù)時(shí)必須遵守的信

息安全要求，規(guī)范外部人員及其陪同人員的行為與責(zé)任，特制定

本辦法。

惜格式的：項(xiàng)目符號(hào)和福號(hào)

42第二條本辦法適用在XXX實(shí)施服務(wù)的外部人員。

第三條外部人員管理由項(xiàng)目接口人及其科室負(fù)責(zé)。

4.2外部人員出入管理

第四條外部人員進(jìn)入辦公環(huán)境及中心機(jī)房時(shí)，應(yīng)聯(lián)系相應(yīng)

的項(xiàng)目接口人進(jìn)行協(xié)調(diào)。

第五條項(xiàng)目接口人負(fù)責(zé)帶領(lǐng)外部人員進(jìn)入辦公環(huán)境或機(jī)

房。

第六條如外部人員需要在現(xiàn)場(chǎng)工作（以下簡(jiǎn)稱駐場(chǎng)）超過(guò)

兩周，由綜合科負(fù)責(zé)與外部人員簽訂《外部人員駐場(chǎng)行為規(guī)范協(xié)

議》，并歸檔保存。

第七條外部人員原則上不得開(kāi)通任何本單位的信息系統(tǒng)、

網(wǎng)絡(luò)賬號(hào)權(quán)限。如外部人員因特殊原因確需開(kāi)通賬號(hào)權(quán)限，需由

項(xiàng)目接口人代其向相應(yīng)的賬號(hào)權(quán)限管理部門(mén)申請(qǐng)。

第八條項(xiàng)目接口人應(yīng)作為外部人員賬號(hào)權(quán)限的責(zé)任人，負(fù)

責(zé)檢查監(jiān)督其對(duì)該賬號(hào)權(quán)限的使用情況。

第九條外部人員在使用完賬號(hào)權(quán)限后，項(xiàng)目接口人應(yīng)及時(shí)

通知賬號(hào)權(quán)限管理人員收回賬號(hào)權(quán)限。

第十條外部人員離場(chǎng)時(shí)，應(yīng)及時(shí)通知項(xiàng)目接口人，做好工

14

作的交接、說(shuō)明等。

第十一條外部人員駐場(chǎng)后，需接受信息安全意識(shí)教育、相

關(guān)制度及外部人員行為規(guī)范等培訓(xùn)。對(duì)外部人員所做的培訓(xùn)，要

保留培訓(xùn)記錄。

4.3外部人員行為規(guī)范

第十二條外部人員駐場(chǎng)期間，必須遵守XXX的各項(xiàng)規(guī)章制

度。

第十三條外部人員進(jìn)入機(jī)房等重要場(chǎng)所時(shí)必須由XXX內(nèi)部

員工陪同，必須填寫(xiě)來(lái)訪登記表。

第十四條外部人員未經(jīng)授權(quán)不得使用任何辦公設(shè)施；外部

人員所接觸到的文檔資料未經(jīng)許可不得復(fù)制或帶離。

第十五條XXX保留對(duì)外部人員隨時(shí)進(jìn)行信息安全狀況檢查

的權(quán)利，外部人員必須給予配合和協(xié)助。

第十六條外部人員的計(jì)算機(jī)終端設(shè)備必須按照XXX要求的

方式接入單位網(wǎng)絡(luò)。

第十七條外部人員的計(jì)算機(jī)終端設(shè)備在接入單位網(wǎng)絡(luò)前，

必須安裝本單位認(rèn)可的軟件、系統(tǒng)安全補(bǔ)丁和防病毒軟件，及時(shí)

升級(jí)病毒庫(kù)。

第十八條如外部人員發(fā)現(xiàn)計(jì)算機(jī)終端出現(xiàn)病毒，應(yīng)及時(shí)斷

開(kāi)網(wǎng)絡(luò)連接，并通知XXX項(xiàng)目接口人進(jìn)行處理。

第十九條在訪問(wèn)互聯(lián)網(wǎng)時(shí)，必須遵守《中華人民共和國(guó)計(jì)

算機(jī)信息系統(tǒng)安全保護(hù)條例》、《中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)

國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定實(shí)施辦法》等法律法規(guī)，嚴(yán)格執(zhí)行安全保

密制度，并對(duì)所提供的信息負(fù)責(zé)。

第二十條未經(jīng)許可，嚴(yán)禁在XXX市電子政務(wù)網(wǎng)絡(luò)內(nèi)使用網(wǎng)

絡(luò)嗅探、掃描等黑客工具。

第二十一條嚴(yán)禁繞開(kāi)任何主磯、網(wǎng)絡(luò)設(shè)備的認(rèn)證方式，嚴(yán)

15

禁訪問(wèn)未經(jīng)授權(quán)的網(wǎng)段或網(wǎng)絡(luò)資源。

第二十二條嚴(yán)禁在XXX市電子政務(wù)網(wǎng)絡(luò)內(nèi)傳播病毒、蠕蟲(chóng)、

木馬、間諜軟件等惡意軟件。

4.4違規(guī)處罰

第二十三條外部人員如違反本單位信息安全的相關(guān)規(guī)定，

其違規(guī)行為按照相關(guān)規(guī)定處理。

第二十四條對(duì)于違規(guī)情節(jié)特別嚴(yán)重的外部人員，XXX有權(quán)

要求對(duì)方根據(jù)具體情況賠償損失。

第二十五條對(duì)于違反國(guó)家法律法規(guī)的外部人員，XXX將會(huì)

同違規(guī)人員所屬單位將違規(guī)人員移交司法機(jī)關(guān)，對(duì)違規(guī)人員給本

單位造成的損失，由違規(guī)人員所屬單位負(fù)責(zé)賠償。

4.5附則

第二十六條本辦法由XXX信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)解釋并

修譏

第二十七條本辦法自發(fā)布之3起施行。

附件：《外部人員駐場(chǎng)行為規(guī)范協(xié)議》

16

五.辦公環(huán)境安全管理辦法

5.1總則

第一條為進(jìn)一步規(guī)范XXX辦公環(huán)境安全管理，加強(qiáng)計(jì)算

機(jī)及網(wǎng)絡(luò)信息安全保密工作，特制定本規(guī)定。

第二條本規(guī)定適用于XXX辦公環(huán)境的管理。

第三條工作人員要做好自身辦公環(huán)境的管理工作；XXX信

息安全領(lǐng)導(dǎo)小組負(fù)責(zé)監(jiān)督檢查。

5.2辦公環(huán)境安全管理

第四條個(gè)人工作場(chǎng)所及辦公桌應(yīng)保持整潔，重要資料注意

保密，不得隨意存放；長(zhǎng)時(shí)間離席，應(yīng)將資料放入辦公抽屜，不

應(yīng)隨意灑落在桌面上。

第五條人員離開(kāi)座位應(yīng)確保終端計(jì)算機(jī)退出登錄狀態(tài)。

第六條所有人員未經(jīng)允許不得訪問(wèn)其他同事的電腦及資料

等。

第七條所有人員應(yīng)妥善保管好自己負(fù)責(zé)的抽屜、文件柜鑰

匙，文件柜應(yīng)保持上鎖狀態(tài)，且確保鑰匙已經(jīng)撥出。

第八條所有會(huì)議室在使用完畢后，應(yīng)將使用過(guò)的寫(xiě)字板上

的文字內(nèi)容清除干凈。

第九條在辦公場(chǎng)所工作時(shí)，應(yīng)保持適當(dāng)?shù)恼f(shuō)話音量，不要

在辦公室及公共場(chǎng)所大聲談?wù)摴ぷ?，以免泄露工作敏感信息?/p>

第十條所有工作人員在下班離開(kāi)辦公場(chǎng)所前，應(yīng)關(guān)閉個(gè)人

電腦等設(shè)備及電源開(kāi)關(guān)，并應(yīng)關(guān)閉相應(yīng)的辦公室窗戶。

第十一條所有打印或復(fù)印的資料應(yīng)及時(shí)取走以防資料被他

17

人錯(cuò)誤取走；作廢的資料不得隨意亂放，應(yīng)自己收回或者及時(shí)進(jìn)

行粉碎、銷毀處理。

5.3附則

第十二條本辦法由XXX信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)解釋并修

訂。

第十三條本辦法自發(fā)布之日起施行。

六.信息資產(chǎn)管理辦法

6,1總則

第一條本規(guī)定所稱的信息資產(chǎn)，是指任何對(duì)XXX具有價(jià)

值的信息的存在形式或者載體，包括計(jì)算機(jī)硬件、通信設(shè)施、I

T環(huán)境、數(shù)據(jù)庫(kù)、軟件、文檔資料、信息服務(wù)和人員等。信息資

產(chǎn)管理是指對(duì)信息資產(chǎn)進(jìn)行識(shí)別、分類賦值和安全保護(hù)等工作。

第二條為加強(qiáng)對(duì)XXX信息資產(chǎn)的管理和保護(hù)，建立以信息

資產(chǎn)管理為基礎(chǔ)的安全管理體系，持制定本規(guī)定。

第三條本規(guī)定適用于XXX信息資產(chǎn)管理。

第四條XXX各科室負(fù)責(zé)人是本科室信息資產(chǎn)管理的第一責(zé)

任人，負(fù)責(zé)組織本規(guī)定的貫徹落實(shí)。

18

6.2信息資產(chǎn)分類

第五條信息資產(chǎn)主要分為以下五類：

（一）數(shù)據(jù)資產(chǎn)，以物理或電子的方式記錄的數(shù)據(jù)，如文件

資料、電子數(shù)據(jù)等。文件資料類包括公文、合同、操作單、項(xiàng)目

文檔、記錄、傳真、財(cái)務(wù)報(bào)告、發(fā)展計(jì)劃、應(yīng)急預(yù)案、本科室產(chǎn)

生的日常數(shù)據(jù)，以及各類外來(lái)流入文件等；電子數(shù)據(jù)類如制度文

件、管理辦法、體系文件、技術(shù)方案及報(bào)告、工作記錄、表單、

配置文件、拓?fù)鋱D、系統(tǒng)信息表、用戶手冊(cè)、數(shù)據(jù)庫(kù)數(shù)據(jù)、操作

和統(tǒng)計(jì)數(shù)據(jù)、開(kāi)發(fā)過(guò)程中的源代碼等。

（二）軟件資產(chǎn)，各種系統(tǒng)軟件、應(yīng)用軟件（0A、業(yè)務(wù)軟

件等）和工具軟件（開(kāi)發(fā)系統(tǒng)、網(wǎng)管軟件、安全軟件等），包

括操作系統(tǒng)、數(shù)據(jù)庫(kù)應(yīng)用程序、網(wǎng)絡(luò)軟件、辦公應(yīng)用系統(tǒng)、業(yè)

務(wù)系統(tǒng)程序、軟件開(kāi)發(fā)工具等。

（三）實(shí)物資產(chǎn)，與業(yè)務(wù)相關(guān)的設(shè)備，包括計(jì)算機(jī)（工作站

和服務(wù)器等）和網(wǎng)絡(luò)通信設(shè)備、磁介質(zhì)（磁帶和磁盤(pán)等）、裝

置、環(huán)境等。

（四）人員資產(chǎn)，承擔(dān)某項(xiàng)與業(yè)務(wù)活動(dòng)相關(guān)責(zé)任的角色和職

位：例如普通用戶、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、第三方服務(wù)人

員等，這些人員與各類數(shù)據(jù)、軟件和實(shí)物資產(chǎn)的操作直接相關(guān)。

19

（五）服務(wù)資產(chǎn)，安保（例如監(jiān)控、門(mén)禁、保安等），環(huán)境

服務(wù)（例如清潔），基礎(chǔ)保障（供水、供熱、供電），設(shè)備維

護(hù)，通信服務(wù)（例如互聯(lián)網(wǎng)接入）。

6.3信息資產(chǎn)分級(jí)標(biāo)準(zhǔn)

第六條信息資產(chǎn)的安全等級(jí)并不是取決于其經(jīng)濟(jì)價(jià)值的大

小，而是由信息資產(chǎn)的機(jī)密性、完整性和可用性三部分價(jià)值屬性

決定的。

（一）保密性賦值：根據(jù)信息資產(chǎn)在保密性上的不同要求，

將其分為五個(gè)不同的等級(jí)，分別對(duì)應(yīng)信息資產(chǎn)在保密性上應(yīng)達(dá)成

的不同程度或者保密性缺失時(shí)對(duì)整個(gè)組織的影響。下表提供了一

種保密性賦值的參考。

賦值定義

包含組織最重要的秘密，關(guān)系未來(lái)發(fā)展的前途命運(yùn)，對(duì)組織根本利益有著

5很高

決定性的影響，如果泄露會(huì)造成災(zāi)難性的損害

4高包含組織的重要秘密，其泄露會(huì)使組織的安全和利益遭受嚴(yán)重?fù)p害

3中等組織的一般性秘密，其泄露會(huì)使組織的安全和利益受到損害

僅能在組織內(nèi)部或在組織某一部門(mén)內(nèi)部公開(kāi)的信息，向外擴(kuò)散有可能對(duì)組

2低

織的利益造成輕微攢害

1很低可對(duì)社會(huì)公開(kāi)的信息，公用的信息處理設(shè)備和系統(tǒng)資源等

（二）完整性賦值：根據(jù)信息資產(chǎn)在完整性上的不同要求，

將其分為五個(gè)不同的等級(jí)，分別對(duì)應(yīng)信息資產(chǎn)在完整性上缺失時(shí)

對(duì)整個(gè)組織的影響。下表提供了一種完整性賦值的參考。

20

賦值定義

完整性價(jià)值非常關(guān)犍，未經(jīng)?§權(quán)的修改或破壞會(huì)對(duì)組織造成重大的或無(wú)法

5很高

接受的影響，對(duì)業(yè)務(wù)沖擊重大，并可能造成嚴(yán)重的業(yè)務(wù)中斷，難以彌補(bǔ)

完整性價(jià)值較高，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成重大影響，對(duì)業(yè)務(wù)

4高

沖擊嚴(yán)重，較難彌補(bǔ)

完整性價(jià)值中等，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成膨響，對(duì)業(yè)務(wù)沖擊

3中等

明顯，但可以彌補(bǔ)

完整性價(jià)值較低，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成輕微影響，對(duì)業(yè)務(wù)

2低

沖擊輕微，容易彌補(bǔ)

完整性價(jià)值非常低，未經(jīng)授權(quán)的修改或破壞對(duì)組織造成的影響可以忽略，

1很低

對(duì)業(yè)務(wù)沖擊可以忽略

（三）可用性賦值：根據(jù)信息資產(chǎn)在可用性上的不同要求，

將其分為五個(gè)不同的等級(jí)，分別對(duì)應(yīng)信息資產(chǎn)在可用性上應(yīng)達(dá)成

的不同程度。下表提供了一種可用性賦值的參考。

賦值定義

可用性價(jià)值非常高，合法使用者對(duì)信息及信息系統(tǒng)的可用度達(dá)到年度9

5很高

9.9%以上，或系統(tǒng)不允許中斷

可用性價(jià)值較高，合法使用者對(duì)信息及信息系統(tǒng)的可用度達(dá)到每天90%

4高

以上，或系統(tǒng)允許中斷時(shí)間小于1Omin

可用性價(jià)值中等，合法使用者對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí)間

3中等

達(dá)到7。%以上，或系統(tǒng)允許中斷時(shí)間小于30min

可用性價(jià)值較低,合法使用者對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí)間

2低

達(dá)到25%以上，或系統(tǒng)允許中斷時(shí)間小于60min

可用性價(jià)值可以忽略，合法賃用者對(duì)信息及信息系統(tǒng)的可用度在正常工作

1很低

時(shí)間低于25%

21

（四）信息資產(chǎn)重要性等級(jí)：資產(chǎn)重要性等級(jí)應(yīng)依據(jù)資產(chǎn)在

保密性、完整性和可用性上的賦值等級(jí)綜合計(jì)算得出。通常，根

據(jù)最終賦值將信息資產(chǎn)重要性劃分為五級(jí)，級(jí)別越高表示資產(chǎn)越

重要，也可以根據(jù)單位的實(shí)際情況確定信息資產(chǎn)識(shí)別中的賦值依

據(jù)和等級(jí)。下表中的信息資產(chǎn)等級(jí)劃分表明了不同等級(jí)的重要性

的綜合描述。

等級(jí)描述

5很高非常重要，其安全屬性破壞后可能對(duì)組織造成非常嚴(yán)重的損失

4高重要，其安全屬性破壞后可能對(duì)組織造成比較嚴(yán)重的損失

3中等比較重要，其安全屬性破壞后可能對(duì)組織造成中等程度的損失

2低不太重要，其安全屬性破壞后可能對(duì)組織造成較低的損失

1很低不重要，其安全屬性破壞后對(duì)組織造成導(dǎo)很小的損失，甚至忽略不計(jì)

6.4信息資產(chǎn)識(shí)別

第七條信息資產(chǎn)識(shí)別是指按照規(guī)定屬性對(duì)各類信息資產(chǎn)的

辨認(rèn)和區(qū)分，包括信息資產(chǎn)識(shí)別、分類和登記等項(xiàng)工作。信息資

產(chǎn)責(zé)任人應(yīng)按規(guī)定屬性對(duì)信息資產(chǎn)逐項(xiàng)分類識(shí)別。

第八條計(jì)算機(jī)系統(tǒng)設(shè)計(jì)、開(kāi)發(fā)、測(cè)試和運(yùn)行的技術(shù)文檔等,

也屬于計(jì)算機(jī)系統(tǒng)信息資產(chǎn)，但不按本辦法進(jìn)行管理，可參照已

有的相關(guān)規(guī)定、辦法進(jìn)行管理。

第九條在信息資產(chǎn)識(shí)別中，信息資產(chǎn)責(zé)任人應(yīng)按規(guī)定要求

對(duì)所管轄的信息資產(chǎn)進(jìn)行調(diào)查，并形成信息資產(chǎn)管理庫(kù)（或系統(tǒng)）。

第十條在計(jì)算機(jī)設(shè)備采購(gòu)和新系統(tǒng)上線后，信息資產(chǎn)責(zé)任

人應(yīng)對(duì)新增信息資產(chǎn)進(jìn)行識(shí)別和登記，更新信息資產(chǎn)管理庫(kù)，并

為其指定責(zé)任人。

22

第十一條在系統(tǒng)變更、設(shè)備升級(jí)或廢棄后，信息資產(chǎn)責(zé)任

人應(yīng)立即更新信息資產(chǎn)管理庫(kù)。

第十二條信息資產(chǎn)責(zé)任人應(yīng)至少每年進(jìn)行一次信息資產(chǎn)審

計(jì)工作，對(duì)信息資產(chǎn)管理庫(kù)與實(shí)際情況的一致性進(jìn)行審計(jì)。

第十三條各科室應(yīng)根據(jù)業(yè)務(wù)流程列出信息資產(chǎn)清單并將每

項(xiàng)資產(chǎn)的名稱，資產(chǎn)編號(hào)，所處位置，資產(chǎn)價(jià)值，資產(chǎn)負(fù)責(zé)人等

相關(guān)信息記錄在《信息資產(chǎn)登記表》。

6.5附則

第十四條本辦法由XXX信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)解釋并修

訂。

第十五條本辦法自發(fā)布之日起施行。

附件：《信息資產(chǎn)登記表》

七.存儲(chǔ)介質(zhì)管理辦法

7.1總則

第一條本辦法所稱的存儲(chǔ)介質(zhì)，是指硬盤(pán)、軟盤(pán)、U盤(pán)、

光盤(pán)、磁帶、存儲(chǔ)卡等。

第二條為進(jìn)一步加強(qiáng)存儲(chǔ)介質(zhì)的管理，確保XXX信息的

安全，特制定本辦法。

第三條本辦法適用于XXX各類存儲(chǔ)介質(zhì)的管理。

23

7.2管理部門(mén)職責(zé)

第四條存儲(chǔ)介質(zhì)以科室為單位申領(lǐng)，由綜合科統(tǒng)一購(gòu)置、

統(tǒng)一發(fā)放，安全科負(fù)責(zé)使用過(guò)程的監(jiān)督、管理和回收。

7.3存儲(chǔ)介質(zhì)管理

第五條存儲(chǔ)介質(zhì)的管理應(yīng)遵循“統(tǒng)一購(gòu)置、統(tǒng)一標(biāo)識(shí)、統(tǒng)

一備案、跟蹤管理”的原則，嚴(yán)格控制發(fā)放范圍。

第六條存儲(chǔ)介質(zhì)的配發(fā)和使用要經(jīng)科室負(fù)責(zé)人審核批準(zhǔn)，

重要存儲(chǔ)介質(zhì)要進(jìn)行編號(hào)，不得借于他人使用。

第八條新購(gòu)計(jì)算機(jī)、移動(dòng)存儲(chǔ)等設(shè)備，要先進(jìn)行保密標(biāo)識(shí)

登記，再發(fā)放使用。

第九條在存儲(chǔ)介質(zhì)使用過(guò)程中，應(yīng)當(dāng)注意檢查病毒、木馬

等惡意代碼，注意遠(yuǎn)離水源、火源，避免接觸強(qiáng)磁物體、避免陽(yáng)

光直接照射。

第十條存儲(chǔ)介質(zhì)應(yīng)當(dāng)用于存儲(chǔ)工作信息，不得用于其他用

途。內(nèi)、外網(wǎng)存儲(chǔ)介質(zhì)不得混用。存儲(chǔ)涉密信息的介質(zhì)要嚴(yán)格按

照保密要求管理。

第H■■一條存儲(chǔ)介質(zhì)存儲(chǔ)涉及單位內(nèi)部不宜公開(kāi)信息的，應(yīng)

對(duì)文件實(shí)施口令保護(hù)設(shè)置。

第十二條使用人應(yīng)當(dāng)定期對(duì)存儲(chǔ)介質(zhì)存儲(chǔ)信息進(jìn)行整理。

第十三條使用光盤(pán)備份的數(shù)據(jù)要登記編號(hào)，分類存放。

第十四條涉密移動(dòng)存儲(chǔ)介質(zhì)的保存必須選擇安全保密的場(chǎng)

所和部位，存放在保密設(shè)備里。

第十五條存儲(chǔ)介質(zhì)需作數(shù)據(jù)恢復(fù)的，應(yīng)由本單位專業(yè)人員

進(jìn)行操作；必須送外部作數(shù)據(jù)恢復(fù)的，應(yīng)由科室負(fù)責(zé)人審核同意

后，到具有保密資質(zhì)的單位進(jìn)行數(shù)據(jù)恢復(fù)，并將廢舊的存儲(chǔ)介質(zhì)

24

（硬盤(pán)、軟盤(pán)、U盤(pán)、光盤(pán)、磁帶,存儲(chǔ)卡）收回，統(tǒng)一銷毀。

第十六條存儲(chǔ)介質(zhì)在報(bào)廢前，應(yīng)按保密規(guī)定要求進(jìn)行信息

清除處理。信息清除處理時(shí)所采取的信息清除技術(shù)、設(shè)備和措施

應(yīng)符合國(guó)家保密工作部門(mén)的有關(guān)規(guī)定。存儲(chǔ)介質(zhì)報(bào)廢應(yīng)由各科室

負(fù)責(zé)人履行批準(zhǔn)、清點(diǎn)、登記回收。

第十七條如存儲(chǔ)介質(zhì)不慎遺失，當(dāng)事人應(yīng)立即報(bào)本科室負(fù)

責(zé)人，及時(shí)采取有效措施，防止信息泄密。如有泄密由保密部門(mén)

按規(guī)定處理，同時(shí)進(jìn)行登記備案。

第十八條工作人員離職離崗時(shí)，應(yīng)將統(tǒng)一配發(fā)的存儲(chǔ)介質(zhì)

退還本科室負(fù)責(zé)人并做好變更記錄。

7.4附則

第十九條本辦法由XXX信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)解釋并修

訂。

第二十條本辦法自發(fā)布之日起施行。

八.XXX政府網(wǎng)站管理辦法

（詳見(jiàn)德政辦發(fā)[2013]8號(hào)）

25

九.信息系統(tǒng)建設(shè)安全管理辦法

9.1總則

第二條為進(jìn)一步規(guī)范XXX信息系統(tǒng)安全建設(shè)管理，保障計(jì)

算機(jī)信息系統(tǒng)建設(shè)安全進(jìn)行，特制定本辦法。

第三條本辦法適用于XXX信息系統(tǒng)的安全建設(shè)管理。

9.2管理部門(mén)職責(zé)

第四條XXX信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)監(jiān)督指導(dǎo)信息系統(tǒng)建

設(shè)的安全管理，各科室配合。

9.3信息系統(tǒng)建設(shè)安全

第五條信息安全管理應(yīng)貫穿，言息系統(tǒng)建設(shè)過(guò)程的始終，信

息系統(tǒng)建設(shè)過(guò)程簡(jiǎn)要如下：

4

規(guī)劃立項(xiàng)A4開(kāi)發(fā)集成伊環(huán)境測(cè)試驗(yàn)收交付

9.3.1信息系統(tǒng)規(guī)劃與立項(xiàng)

第六條信息系統(tǒng)建設(shè)項(xiàng)目應(yīng)在規(guī)劃與立項(xiàng)階段同步考慮安

全問(wèn)題，建設(shè)方案除滿足國(guó)家相應(yīng)法律法規(guī)外，還應(yīng)滿足XXX信

息安全管理制度的相關(guān)要求。項(xiàng)目技術(shù)方案應(yīng)包括以下基本安全

26

內(nèi)容:

（一）需求部門(mén)提出的信息安全需求；

（二）信息安全需求分析和實(shí)現(xiàn)；

（三）運(yùn)行平臺(tái)的信息安全策咯與設(shè)計(jì)。

第七條XXX信息安全領(lǐng)導(dǎo)人、組負(fù)責(zé)組織相關(guān)部門(mén)和人員

制定針對(duì)該項(xiàng)目的詳細(xì)信息安全審查方案，并按照該審查方案對(duì)

項(xiàng)目技術(shù)方案進(jìn)行審查并提出審查意見(jiàn)，未通過(guò)安全審核的項(xiàng)目

不得予以立項(xiàng)。信息安全審查方案的內(nèi)容設(shè)計(jì)要基于信息系統(tǒng)的

安全等級(jí)。

9.3.2信息系統(tǒng)開(kāi)發(fā)與集成

第八條系統(tǒng)的開(kāi)發(fā)應(yīng)符合軟件工程規(guī)范，并依據(jù)安全需求

進(jìn)行安全設(shè)計(jì)，保證安全功能的完整實(shí)現(xiàn)；開(kāi)發(fā)的系統(tǒng)應(yīng)具有完

整的安全擴(kuò)展方案（包括本系統(tǒng)擴(kuò)容、功能增強(qiáng)和與第三方系統(tǒng)

對(duì)接三個(gè)方面），以及應(yīng)急預(yù)案。

第九條系統(tǒng)開(kāi)發(fā)商在完成開(kāi)發(fā)任務(wù)后應(yīng)將開(kāi)發(fā)成果及其相

關(guān)技術(shù)文檔全部移交XXXo外部開(kāi)發(fā)商還應(yīng)與XXX簽署相關(guān)知識(shí)

產(chǎn)權(quán)保護(hù)協(xié)議和保密協(xié)議，不得將系統(tǒng)采用的關(guān)鍵安全技術(shù)措施

和核心安全功能設(shè)計(jì)對(duì)外公開(kāi)。

第十條系統(tǒng)的開(kāi)發(fā)人員不能兼任系統(tǒng)管理人員或系統(tǒng)操作

人員，不得在程序代碼中植入后門(mén)和惡意代碼程序；由于系統(tǒng)軟

件后門(mén)及木馬程序等引發(fā)的安全事件，XXX將追溯相關(guān)單位及人

員的法律責(zé)任。

第十一條系統(tǒng)的開(kāi)發(fā)、測(cè)試與修改工作不得在XXX已上線

運(yùn)行的環(huán)境中進(jìn)行。

第十二條對(duì)于涉密信息系統(tǒng)的集成建設(shè)，采購(gòu)部門(mén)應(yīng)考慮

選擇具有國(guó)家相關(guān)部門(mén)頒發(fā)的涉密系統(tǒng)集成資質(zhì)證書(shū)的單位或企

業(yè)，并簽訂嚴(yán)格的保密協(xié)議。

27

933信息系統(tǒng)測(cè)試

第十三條系統(tǒng)上線前，XXX信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)組織相

關(guān)部門(mén)和人員對(duì)系統(tǒng)進(jìn)行嚴(yán)格的安全性能測(cè)試，并形成相應(yīng)的測(cè)

試報(bào)告，測(cè)試報(bào)告應(yīng)包括以下內(nèi)容：

（一）應(yīng)對(duì)測(cè)試系統(tǒng)技術(shù)資料的完整程度進(jìn)行檢查，完整的

信息系統(tǒng)技術(shù)資料包括：配置數(shù)據(jù),維護(hù)操作手冊(cè)、快速故障處

理手冊(cè)、系統(tǒng)應(yīng)急預(yù)案等；

（二）應(yīng)對(duì)測(cè)試系統(tǒng)的配置參數(shù)進(jìn)行安全檢查，測(cè)試系統(tǒng)的

配置參數(shù)必須滿足安全要求；

（三）應(yīng)對(duì)測(cè)試系統(tǒng)進(jìn)行漏洞與描，存在漏洞的測(cè)試系統(tǒng)嚴(yán)

禁上線運(yùn)行；

（四）應(yīng)對(duì)測(cè)試系統(tǒng)進(jìn)行進(jìn)程檢查、內(nèi)部測(cè)試及壓力評(píng)測(cè)，

檢測(cè)結(jié)果要達(dá)到預(yù)期目標(biāo)；應(yīng)對(duì)測(cè)試系統(tǒng)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估，并

要求供應(yīng)商對(duì)賬號(hào)進(jìn)行清理，由系統(tǒng)管理員對(duì)密碼進(jìn)行重置；

（五）測(cè)試系統(tǒng)應(yīng)具備日志系統(tǒng)，其記錄的系統(tǒng)日志將成為

事后診斷和追查的重要線索和證據(jù)；

（六）測(cè)試開(kāi)發(fā)環(huán)境與實(shí)際運(yùn)行環(huán)境應(yīng)分離，開(kāi)發(fā)人員和測(cè)

試人員應(yīng)做分離，測(cè)試數(shù)據(jù)和測(cè)試結(jié)果應(yīng)受到控制；處于測(cè)試階

段的開(kāi)發(fā)系統(tǒng)、實(shí)驗(yàn)系統(tǒng)原則上不允許上線投入運(yùn)行。

9.3.4信息系統(tǒng)驗(yàn)收交付及試運(yùn)行

第十四條系統(tǒng)驗(yàn)收交付時(shí)，項(xiàng)目接口人應(yīng)根據(jù)制定的系統(tǒng)

交付清單對(duì)所交接的硬件、軟件和文檔等進(jìn)行清點(diǎn)。

第十五條系統(tǒng)驗(yàn)收交付時(shí)，項(xiàng)目接口人應(yīng)收回施工過(guò)程中

使用的臨時(shí)賬號(hào)，并及時(shí)進(jìn)行處理。

第十六條系統(tǒng)驗(yàn)收交付時(shí)，由項(xiàng)目負(fù)責(zé)人提出驗(yàn)收申請(qǐng)，

項(xiàng)目接口人應(yīng)根據(jù)制定的系統(tǒng)驗(yàn)收方案的要求，組織相關(guān)部門(mén)和

28

人員對(duì)系統(tǒng)安全性進(jìn)行審定，詳細(xì)記錄驗(yàn)收結(jié)果，形成系統(tǒng)驗(yàn)收

報(bào)告，并上報(bào)XXX信息安全領(lǐng)導(dǎo)小組。

第十七條系統(tǒng)驗(yàn)收交付時(shí)，系統(tǒng)開(kāi)發(fā)商應(yīng)對(duì)本單位系統(tǒng)管

理人員和使用人員進(jìn)行相應(yīng)的技能培訓(xùn)。

第十八條系統(tǒng)上線試運(yùn)行期間，項(xiàng)目接口人要加強(qiáng)對(duì)試運(yùn)

行系統(tǒng)的安全監(jiān)控，并對(duì)試運(yùn)行情況進(jìn)行詳細(xì)記錄，避免試運(yùn)行

系統(tǒng)對(duì)其他系統(tǒng)造成影響；要加強(qiáng)對(duì)試運(yùn)行系統(tǒng)的跟蹤支持和優(yōu)

化，不得降低試運(yùn)行系統(tǒng)的安全級(jí)別。

9.4附則

第十九條本辦法由XXX信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)解釋并修

訂。

第二十條本辦法自發(fā)布之日起施行。

十,信息系統(tǒng)運(yùn)維管理辦法

10.1總則

第一條為規(guī)范信息系統(tǒng)的運(yùn)維管理工作，確保信息系統(tǒng)安

全、可靠運(yùn)行，有效防范信息安全風(fēng)險(xiǎn)，特制定本辦法。

第二條本辦法適用于XXX信息系統(tǒng)運(yùn)維管理。

29

10.2管理部門(mén)職責(zé)

第三條各科室負(fù)責(zé)本科室管理的信息系統(tǒng)維護(hù)和安全控制

工作。

10.3信息系統(tǒng)維護(hù)管理

第四條各科室必須合理配備人員，明確職責(zé)，責(zé)任到人。

第五條各科室對(duì)信息系統(tǒng)運(yùn)行過(guò)程中的突發(fā)故障進(jìn)行初步

診斷，并調(diào)度、聯(lián)絡(luò)相關(guān)人員執(zhí)行相應(yīng)的維護(hù)任務(wù)。

第六