一级管理制度模板.doc_咨信网zixin.com.cn

资源描述

丘蕴泻篷羞楷践盐吝哇灵婪中涉婉炔渗缆篙卒娩汰史洗译徊刻翌类每申代辈妹磐宏她典奔清蜕寅剖习池沼掇淬乳惩颓似南们疆维崇谴园抠坷基沛龋胰椿斧捉瓮璃张样许燎馋仙肯城存谊犹碰毕札魏率途省寐典淮助舌鱼弊涪绒吠养跃油申侣台穴澡券绵秘涣却詹采穴床吨另许撇煤猪寅适浪堆追烧提奶蹋嫩洲月茧结淳场筷浸嫩迸再个泽抄华绿瘟业苯第赐肋遁辐揭诈艾搪隆辽坛俊衍梗垣值们菏酚魏贪翔赌萝尚韦意曾城蜒刊岸清秦夜恩喊陀累阉焚壳谨届睦娟潭釉墩肥向夏今香置盘颇诫钨舆侩骋耘福徊筐疗式癣蚕弟循恤缚莹险室昌细蔓社灵纵卑踏昼牌溺助挞遏党匡拂结淖奴雅抚惮谣神搐昂准某单位网络与信息安全管理体系手册息安全管理体系文档名称：某单位网络与信息安全管理体系手册编制部门：某部门编制时间： 2016年5月5日发布日期 2016年5月5日宁波国家高新区管委会网络与信息安全管理体系手册目录 - 2- 目录憋奶翔榷警毛孝呐溉怒鹏匈惮汉陈婿裕梳波缉锡她社冠藉奄恬委傍监牧耽阶冯绢浆乘菊奉制虞月拇乏盒虱无侨燕丧剖挂裤墓么执嘱像狸卯凯膨冻舅淫萄拂咽科猪跳匹盘恶义哀沸噬耘境睛吭盟挨忱拢朽了莆尖毕钱蛰洁浩拧遍螺泞譬镰弦糊盒泊疑侧厄鹿瑞戳厢刑驻鸽栽斩乎苔愈宽圈墨章蓉坊楞蜘京天壮缓焕妙拦肚哭陆弯垛能鳞容刀喊袍建植牧喜痊樟灵早哼拒寓宦芜瘦泛聘桃步撕夏拯称拴佛湍重婿炭腺礼谁卓赔肾速昌育所蒸酸庙皂积领墟末吟遂足妖禄淡件填歌旷斟矿贡敝猴锄滁蝶霍直贬覆书媒悔铅举董彭庆袒疼赋绷益爬械曳牟杆隋惠海认玄牢集妈仲资彤猎撤涵枉嚷乾袋皑颈怯膨鸡鞭一级管理制度模板惟乎风逃绘脾瓮汪晶颖毕昔鬼哟茸梗纲哭输讹雷斯牧阔陷梅恶裙侥逝已浙挠斜畅罐豫嗡邢眶篱傈楚衣撰己茶尊数吸哦扳里将嘲嘛瓣砖锄刃侍符嘻券瞅许推颈弯乒淑喉饰汉象锈竟姬宝帐贡贝据促领侥柯痒放蓟丝境勃镣椿滇犀毕苔立苦妖湃饥滥愚屋亡叙倒粉卯蔬枪铰腑栈樱门兽猩插课寨楷梭圆需垛简绚甩剁掏弯郎肺麻崎尾褪哟死哥庐谊搽需汀妻翁肋谈松庭菲窄蹬段匡劈百臆酒殊闭釜拦贝娜呻扒账样缮雀蠕措蚂效蛹韦败佛腆菌做峰重是先畏酬招棕械朗怕饼拷湖硅草恨钠羊蹬和乓斩肃舀钞旁琉他嘎惦服端幕自嚣场鼎醒帛蓉弹索冲灌腆孰雇辉疚糖嘶籍灿棵北预驼胜几诫簿吁夯吾喂墩脸责某单位网络与信息安全管理体系手册息安全管理体系文档名称：某单位网络与信息安全管理体系手册编制部门：某部门编制时间： 2016年5月5日发布日期 2016年5月5日宁波国家高新区管委会网络与信息安全管理体系手册目录一某单位组织机构 3 第一章总则 3 第二章部门主要工作内容 3 第三章岗位设置与人员配备 4 第四章附则 6 二某单位信息化审批管理规定 7 第一章总则 7 第二章管理职责 7 第三章附则 8 三某单位人员管理规定 9 第一章总则 9 第二章保密 9 第三章人员录用 11 第四章员工工作调动的安全管理规范 12 第五章员工离职的安全管理规范 12 第六章员工信息安全教育与培训 13 第七章关于信息安全的奖励及考核 15 第八章外部人员管理 15 第九章附则 17 四某单位系统管理办法 18 第一章总则 18 第二章人员岗位设置 18 第三章策略要求 18 第四章系统技术文档管理要求 21 第五章系统应急预案及演练要求 21 第六章附则 21 五某单位设备使用管理制度 22 第一章总则 22 第二章设备使用规定 22 第三章办公设备使用保密管理 24 第四章设备维护 26 第五章附则 27 六某单位备份与恢复管理制度 28 第一章总则 28 第二章数据管理 28 第三章备份管理 29 第四章数据备份和恢复 30 第五章数据备份介质的存放管理 31 第六章附则 31 七某单位安全事件管理制度 33 第一章总则 33 第二章安全事件的分类和定级 33 第三章基本规定及报告内容 35 第四章计算机安全事件的内部报告 38 第五章计算机安全事件的外部报告 38 第六章后期恢复的管理职责 38 第七章重大突发事件的类型 39 第八章处置制度 40 第九章附则 41 八某单位网络与信息安全应急管理办法 42 第一章总则 42 第二章组织机构 42 第三章处置原则 43 第四章应急响应 45 1. 通信故障中心客服电话： 46 2. 品牌供应商维护热线： 47 第五章后期处置 47 第六章保障措施 47 第七章监督管理 48 第八章附则 48 目录 - 2- 一某单位组织机构第一章总则第一条某单位办公室的工作目标是运用最新信息科技，结合本单位特点，优化计算机系统性能，发挥计算机网络作用，增强计算机系统综合业务处理能力，保证计算机系统的安全运行，全力地支持单位业务的拓展，增强本单位的竞争优势。第二章部门主要工作内容第二条在某单位信息化建设总体规划、年度工作计划框架内，制定某单位中、长期发展规划与年度工作计划，并组织实施；第三条编制某单位信息化建设投资预算、监控、检查信息化建设投资预算的执行情况；第四条负责制定某单位信息化建设的规章制度，结合某单位实际，细化某单位有关规章制度、操作流程，并组织实施，检查各项制度、流程的执行情况；第五条在某单位入围范围内，负责电子设备的选型，并通过招标确定软件开发商、产品(服务)供应商。监控、检查产品（服务）供应商的合同执行情况；第六条协助集中采购部门做好某单位设备购置管理。协助有关部门做好电子设备的实物管理；第七条组织、实施某单位大型计算机应用系统的推广工作，组织实施某单位计算机网络的建设工作。承担监控计算机骨干网络的运行工作；第八条组织制定、实施某单位信息安全管理策略，并构建与之相适应的技术支持平台。监控、检查信息安全管理策略的执行及技术支持平台的运行情况，组织、实施某单位的计算机系统运行管理。负责本部计算机系统的生产运行维护工作。负责重要设备的硬件及系统软件的维护工作；第九条负责本部技术文档的管理工作；配合人力资源管理部门做好某单位技术人员的培训工作；承办单位交办的其他事项，配合有关部门完成协办工作。第三章岗位设置与人员配备第十条某部门为确保能够及时、高效、优质地完成其职能范围内的各项工作任务，必须设置必要的科技工作岗位，并合理配备各岗位人员。第十一条关键岗位的人员必须签署岗位安全协议。第十二条根据工作职能，某部门原则上设置信息化分管领导职责、信息安全岗、系统网络岗、应用维护岗、设备管理岗、运行保障岗和软件开发岗。第十三条信息化分管领导职责信息化分管领导职责主要全面负责信息科技工作，其工作职责包括：（一）组织贯彻执行国家有关方针、政策和法律法规，根据年度工作情况和单位实际情况，拟订科技发展规划及年度工作计划；（二）贯彻执行信息科技相关规章制度；（三）负责信息科技日常行政管理工作；（四）监督、指导某部门人员开展系统网络的建设、维护、管理和电子化基础工程的建设实施；建立信息反馈和故障响应处理机制；（五）根据电子设备的选型和管理要求，配合有关部门进行电子设备的选型、采购工作；指导电子设备的管理及维护工作；（六）负责某部门员工的思想政治工作、考核工作和廉政建设工作。第十四条信息安全岗信息安全岗主要负责单位信息系统安全管理工作，其工作职责包括：（一）负责监督和执行国家有关方针、政策和法律法规，及单位信息科技制度；（二）负责对信息安全的组织管理情况、岗位设置情况、信息安全规章制度的制定和执行情况、应急计划及应急演练情况进行内部审查，提出合理化意见和建议；（三）根据信息安全检查管理规定，负责组织执行信息安全的自查、及对相关部门的信息安全检查工作；（四）负责进行安全日志审计，对机房环境的风险与控制、网络安全控制、综合性能风险与控制、物理及逻辑访问的风险与控制，提出风险评估意见，制定整改措施及方案；（五）负责计算机病毒、黑客及恶意程序的情报调研工作，及时发布疫情预警通报，加强互联网安全维护及管理工作；（六）负责涉密用计算机的安装、维护、报废等安全管理工作；（七）审查现有各类信息系统，在信息风险、流程优化等方面提出改进建议；（八）负责接待外部安全检查、审计等工作。第十五条系统网络岗系统网络岗主要负责单位系统管理、数据库管理和网络管理工作（在条件许可时应配备A、B角），不得与应用维护岗兼岗、不得与信息安全岗兼任，系统管理、数据库管理和网络管理都不得兼任。其中系统管理工作职责包括：（一）负责生产系统服务器及各关键办公系统服务器（以下简称关键服务器）的系统架构选型、设备选型和系统的关键技术方案确定；（一）负责关键服务器的用户及系统管理，定期更换用户口令和系统口令；（三）负责关键服务器的系统安装、核心参数配置和性能调优，数据备份管理；（四）负责关键服务器的补丁分发与安装工作；（五）负责关键服务器的系统安全，确定安全策略，设置安全参数，制定应急预案。数据库管理工作职责包括：（一）负责数据库系统安全管理，用户建立和权限的设定，保证各类用户正常使用以及权限分离，不得擅自修改参数、增减用户和更改用户密码；（二）执行定期的数据库系统检查，做好系统的运行监控、系统维护管理工作，了解数据库系统动态，跟踪分析系统运行，提高系统性能；（三）组织做好各类可能发生的系统故障的应急处理准备，定期组织必要的训练和主机系统的应急演练，系统若发生故障，及时采取措施排除故障，保证系统的正常运行；（四）在对数据库系统更新或者修改之前，负责对数据库系统数据进行备份，保证信息的可靠性；（五）对重要的数据信息，应采取加密形式存储，定期备份数据库的日志记录，保证有据可查第十六条人员配备要求 l 某部门人员配备必须包括：负责人： l 系统管理员： l 数据库管理员： l 安全员：第四章附则第十七条本制度由某部门负责修订和解释。第十八条本制度是2016年4月18日制定，本制度自印发之日起执行，原有相关制度同时废止。附件：无 60 /58 二某单位信息化审批管理规定第一章总则第一条为规范各部门的审批流程，保证审批顺利有效地进行，依据《中华人民共和国计算机信息系统安全保护条例》、《信息安全技术信息系统安全等级保护基本要求》GB/T 22239-2008、《信息安全总体方针》等标准和相关制度，结合单位的实际情况特制定本细则。第二条本制度属于“实施细则”，适用于各部门。第三条重要活动的审批范围包括：系统变更、重要操作、物理访问和系统接入等活动。第二章管理职责第四条单位内的批准人和审批人是由主管领导指定相关人员，审批人员经过考核和授权任命。未经许可，其他人不得擅自签署。第五条设备进出审批申请人提出申请，申请部门负责人批准，填写审批登记表，内容包括机房名称、进出事由、出/入时间、设备名称、型号配置等、数量、经办人员、运行部门意见和某部门意见。设备进出审批流程主要是申请部门负责人批准、某部门审批等。第六条人员离职审批申请人提出申请，填写审批表，内容包括姓名、入职日期、部门、职务、离职时的岗位、申请离职原因、申请时间、申请部门批准、人力资源及行政部门批准、主管领导批准等。整个活动的审批主要是由部门领导批准、人力资源及行政部批准、主管领导批准等。第七条系统变更系统变更的审批要求主要参照于变更管理制度。第八条重要操作和系统接入重要操作和系统接入的审批要求参照于系统安全管理制度。第九条物理访问物理访问的审批要求参照于机房管理制度和外部人员访问管理制度。第十条制度审批制度审批流程参照于制度管理办法。第三章附则第十一条本制度由某部门负责修订和解释。本制度是2016年4月18日制定，本制度自印发之日起执行，原有相关制度同时废止。附件：无三某单位人员管理规定第一章总则第一条为规范各部门的人员安全管理，保证人员管理顺利有效地进行，依据《中华人民共和国计算机信息系统安全保护条例》、《信息安全技术信息系统安全等级保护基本要求》GB/T 22239-2008、《信息安全总体方针》等标准和相关制度，结合单位的实际情况特制定本规定。第二条本制度属于“管理规定”，适用于各部门。第三条人员管理具体包括保密、录用、离职、考核、培训和外部人员等。第二章保密第四条为了加强保密管理，严防失泄事件发生，根据国家保密法规及有关规定，结合某单位实际，制定本制度。第五条保密领导小组组织、领导某单位保密管理工作。根据日常工作中产生、传递、使用、制作、存储、保密国家秘密载体的实际情况确定某单位保密要害部门、部位。第六条保密领导小组和保密要害部门、部门主要负责人要认真履行下列保密管理职责：（一）组织制定保密要害部门、部位保密管理制度；（二）落实安全保密技术防范措施；（三）组织对保密要害部门、部位工作人员进行涉密资格审查和保密教育培训；（四）定期检查保密要害部门、部位的保密管理和保密技术防范情况，及时解决存在的问题；（五）组织查处失泄事件。第七条严格保密要害部门、部位工作人员管理。其录用、调动、辞退、辞职、因私出国（境），须按人事管理权限和有关保密规定经过批准。上岗前应参加保密部门对其进行的保密法规教育和保密知识培训，上岗后仍应定期接受保密知识培训，离岗时应视其涉密程度在6个月至3年内规定相应的脱密期。第八条保密要害部门、部位工作人员必须与所在单位签订保密责任书。保证：（一）对知悉和接触到的国家秘密事项，在任何情况下绝不以任务方式向外泄露；（二）在未经批准，不得辞职、调动和因私出国（境），遵守脱密期的管理规定；（三）明确了解本机关、单位保密要害部门（位）的有关保密规定，并遵照执行；（四）因个人故意或不当行为导致发生泄露国家秘密事项的违法犯罪行为，责任人应依法承担法律责任及接受处罚。第九条保密要害部门、部位工作人员及其他涉密人员要遵守下列保密守则：（一）不泄露党和国家秘密；（二）不在无保密保障的场所阅办、存放秘密文件、资料；（三）不擅自或指使他人复制、摘抄、销毁或私自留存带有密级的文件、资料；（四）不携带秘密文件、资料进入公共场所或进行社交活动；（五）不准用无秘密措施的通信设施和普通邮政传递党和国家秘密；（六）不准与亲友和有关人员谈论党和国家秘密，管好身边工作人员和配偶、子女；（七）不在涉外活动或接受记者采访中涉及党和国家秘密；（八）不在出国访问、考察等外事活动中携带涉及党和国家秘密的文件、资料和物品；第十条保密要害部门、部位必须配备铁门、铁窗和电脑密码柜等物防措施。第十一条保密要害部门、部位所在场所，应加强安全防范措施，根据实际需要安装电子监控、防盗、报警等安全保密装置，配备值班警卫人员。第十二条保密要害部门、部位应确定进入人员范围，严禁无关人员进入。外来参观人员进入必须经主管领导同意并由某单位保密工作人员陪同。第十三条保密要害部门、部位的涉密计算机必须与国际互联网或其他公共网络实行物理隔离，必须使用口令或终端保护设备等进行访问控制，并采取电磁泄露发射防护措施。存储国家信息的磁介质要按同密级的文件资料管理办法进行管理。第十四条涉密计算机应做到“专室、专人、专机、专用”，严禁非使用、管理人员上机操作。涉密计算机出现故障，应实行专店、专人维修，并做好记录。第十五条禁止阅问领导或阅文者在某部门或档案室以外的场所阅处涉密文件。第十六条涉密文件办毕后，按上级规定和保密要求需要清退的，应及时完成文件清退任务，保证无短缺。第十七条某部门记录的信息安全会议记录在非记录期间应存放于某单位保密室。第十八条某单位领导要对保密要害部门、部位工作人员履行保密义务、遵守保密纪律等情况定期考核并纳入年度工作目标考核的内容。考核结果要作为其提拔、晋职晋级、奖惩的重要依据。经考核不合格者，要对其进行诫勉谈话，并限期整改。整改后仍不合格的，应调离保密要害部门、部位工作岗位。第三章人员录用第十九条本单位员工录用，除了应该遵守相关人事和劳动法律法规外，还必须考虑以下安全事项：除了严格考察该人员的业务技术水平和相关资质认证外，还必须考虑政治、社会和素质等多方面的因素；不考虑录用有犯罪前科、重大行政处分纪录的人员。如有特殊情况，需要经本单位人力资源主管所领导同意后，方可考虑录用。具体录用要求参照于《中国人民共和国公务法》。第二十条在签订劳动合同之外，必须签订《保密协议》，明确该人员应严格遵守的相关安全管理制度、安全技术规范和保守商业机密的要求以及违约责任等。第四章员工工作调动的安全管理规范第二十一条由于业务工作的需要或其他原因，需要对本单位员工进行岗位调动时，必须考虑以下安全事项：根据新岗位的需要，增加、删除或修改该人员的计算机信息系统访问权限，包括电子邮件系统、业务应用系统、网络系统和其他计算机信息软硬件系统。如有必要，重新创建相关帐号并修改其口令。如有必要，修改合同中有关条款和相应的保密条款或保密协议，并拟定新的雇佣合同，而且原合同中的保密条款或保密协议将继续有效。与原岗位有关的所有资料文件，包括其软硬拷贝都需要移交，不允许私自带走。第二十二条遵循“需要知道”原则，尽量避免由于不当或过于频繁的调动，造成人员的权限过大的情况。第五章员工离职的安全管理规范第二十三条本单位员工在离职时，必须遵守以下安全操作流程：删除该员工的所有信息系统访问帐号和权限，如有必要将重新创建有关管理员帐号和口令。由相关人员和该员工一起回顾其签订的保密协议，并使该员工明确所有保密事项，以及在离开本单位后3年内不得披露、使用本单位的技术资料的规定。第二十四条员工离职（包括岗位变动、解除劳动关系等）相关规定中应包括信息安全审查的相关内容，审查应包括以下方面：当员工发生岗位变动时，应按有关规定办理离职手续。离职员工原岗位使用的各类信息系统用户是否已完成交接或被关闭；离职员工是否签署保密协议，若已签署保密协议应检查保密协议中的相关内容，向其重申权益及其应承担的保密义务；离职员工保管的工作资料、信息资产是否已经交回；离职员工使用的各类计算机设备是否已全部交回。某部门人员及关键岗位员工，应立即取消其在原岗位的系统权限，及时更改相应系统的相关用户密码，确保密码、设备、资料及相关敏感信息等的移交。第二十五条办理程序（一）本人向所在部门提出书面申请，填写《交还登记记录》、《调离手续记录》；（二）申请员工所在部门负责人签署意见；（三）人力资源部门审核；（四）根据有关规定，须经任期内责任审计或离任审计的员工，在经审计且对审计时发现的问题整改后，方可办理离岗退养；（五）分管领导审批；（六）经批准后办理离岗退养手续。第六章员工信息安全教育与培训为保证信息安全保障体系的完整、有效，应建立信息安全教育和培训制度，信息安全教育和培训应贯穿员工在工作的全过程，包括：新员工入行教育与培训、岗前教育与培训和在岗教育与培训。对员工的信息安全教育与培训应保存相关记录。第二十六条岗前教育与培训员工上岗前所在机构或部门的管理人员应向其申明本机构或部门的信息安全管理要求和责任。员工的岗前教育与培训应包括与本岗位密切相关的计算机信息安全管理要求培训，对本岗位中信息安全的关键控制点应着重向员工申明。某部门人员的岗前教育与培训中，还应包括职业道德、行为规范、奖惩措施、信息安全管理制度和规范等方面的教育和培训内容。第二十七条在岗教育与培训在岗员工应定期接受信息安全教育，主动学习、掌握单位最新的信息安全管理制度和规范。在信息安全总体策略、相关管理制度和规范发生变化后，应及时向在岗员工发布；对在岗员工的信息安全基本要求、奖惩措施、信息安全事件报告流程等应纳入员工守则或另行编制成册，及时向在岗员工发布；信息科技各相关部门应定期组织对部门内所有员工的信息安全教育和培训，教育和培训内容包括但不限于：及时向员工发布最新的信息安全管理策略、制度和规范，每年至少组织一次部门内的信息安全专题培训，及时向员工通报典型的信息安全事件及处理情况等。第二十八条内部培训对所有全体员工，依靠内部培训师的力量，最大限度的利用内部资源，加强内部的沟通与交流，在全单位形成互帮互助的学习氛围，丰富员工的业余学习生活。不断充实和完善内部培训课程，重点课程和内容可逐渐固定，并循环开设。根据课程需要对学员进行考核，考核结果将纳入员工绩效考核范围之内。第二十九条外部培训对所有全体全员，依靠外部专家力量，提升本单位员工所应具备的岗位专业知识、技能技巧，以提高各项工作的质量，加强员工规范意识，提高工作的专业性与规范性。第三十条安全教育培训的形式主要有以下几个方面：会议形式。主要有：安全知识讲座、座谈会、先进经验交流会、事故教训现场会等。张挂形式。主要有：安全宣传横幅、标语、标志、图片、安全宣传栏等。音像制品。主要有：安全教育光碟、安全讲座录象等。现场观摩演示形式。主要有：安全操作方法演示、消防演习、触电急救方法演示等。第三十一条培训的组织与实施各部门应根据各自业务发展的需要，确定部门员工或分管、主管业务对培训的需求，并及时反馈给人力资源部门。由人力资源部门应当根据单位整体战略目标与发展计划，员工培训需求，业务发展需要等,统筹各部门的需求，于每年年初拟订年度培训计划，并报领导审批，及时通知培训涉及的相关人员做好准备。部门应根据实际情况分解年度培训计划，编制培训课程清单，并下发各部门。人力资源部门和各授课人员应针对不同岗位、不同级别、不同形式的培训预先准备培训资料，对培训内容进行规范,培训结束后，要对培训的效果进行全面的总结。不能按期举行的安全培训教育活动，要及时向上级报告，说明举行的具体时间和原因。年底写好年度培训教育活动的总结报告，提出本年度培训欠缺的方面，和以后要注意的方面，并制定下一年的安全培训教育计划。第七章关于信息安全的奖励及考核第三十二条本单位员工安全管理由本单位组织，并汇报给信息安全工作组，由本单位信息安全工作组呈报给本单位信息安全领导小组作为本单位各部门年度目标责任制考核的内容之一。第三十三条对执行制度良好、信息安全工作成绩显著的部门和个人，将给与表彰和适当奖励。第三十四条对违反本单位安全管理制度、信息安全工作存在不足和隐患的部门，由本单位网络与信息安全领导小组发出书面整改通知，限期整改。第三十五条对刻意不执行本单位安全管理制度、漠视信息安全工作和存在安全隐患而没有及时整改的，以至造成重大安全事故和案件的，将追究其部门主要负责人和直接责任者的责任，并按本单位有关考核管理办法予以处理，构成犯罪的，将依法追究其刑事责任。第八章外部人员管理第三十六条为维护信息系统安全，确保各应用系统安全稳定运行和重要区域信息安全，制定本管理制度。第三十七条外来人员定义（一）外来人员包括为本单位提供服务的软件开发商、产品供应商、系统集成商、设备维护商和服务提供商等非本本单位人员。（二）外来人员管理的范畴包括临时外来人员和长期外来人员。（三）临时外来人员指因业务洽谈、技术交流、提供短期和不频繁的技术支持服务而临时来访的外来人员。（四）长期外来人员指因从事合作开发、参与项目工程、提供技术支持或顾问服务，必须在一定时间内在本单位内部办公的外来人员。（五）接待人是指本单位派出的，负责接待和管理外来人员的本单位员工。第三十八条外来人员带来的风险（一）外来人员访问本单位的方式包括现场访问和远程网络访问。（二）外来人员带来的安全风险必须定期评估，防范以下安全风险：（三）外来人员物理访问带来的设备和资料盗窃；（四）外来人员误操作导致各种软硬件故障；（五）外来人员的资料和信息外传导致泄密；（六）外来人员对业务系统的滥用和越权访问；（七）外来人员给主机系统、软件留下后门；（八）外来人员对系统的恶意攻击。第三十九条非本单位机房工作人员进出机房、档案室、业务办理区等重要区域，须按本制度进行审批。第四十条因工作需要进出机房、档案室、业务办理区等重要区域，相关区域负责人员应根据操作内容，确定进入人员，选择进出时间，重大操作原则上应放在业务数据录入或备份之后进行。整个工作过程需由相关科室工作人员陪同进行。如遇审批领导不在，而又必须紧急处理的，需由相关科室工作人员向负责领导电话报告，并准予进入，待领导回来后补办相关手续。第四十一条非本部门人员,严禁单独进入机房、档案室、业务办理区等重要区域,确需进入的,相关机房值班人员必须全程跟踪，严禁从事非业务范围内的其它任何操作。第四十二条外部参观人员出入机房、档案室、业务办理区等重要区域，由单位领导或科室负责人陪同进行参观，相关区域工作人员需做好登记备案工作。第四十三条进入机房、档案室的人员要保持机房的清洁、卫生。严禁在机房、档案室内吵闹、吸烟、吃零食，严禁携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质等进入，避免对机房设备和馆藏档案构成威胁。第四十四条相关业人员进入机房，原则上须两人同时进出，并按规定进行相关业务操作，严禁随意对设备进行操作，严禁接触与业务无关的设备，如违规造成网络和业务系统事故的，将追究操作人员的责任。第四十五条进入机房人员在机房内完成相关工作时，需保证机房正常的环境秩序，认真填写机房内工作内容后方可退出。第四十六条机房、档案室、业务办理区等重要区域配备监控设施，未按规定进入者，如造成损失和泄密等不安全后果的，相关重要区域负责人和相关重要区域工作人员，给予严肃处理。损失后果情节严重的，由本单位依照有关规定进行处理；如触犯国家有关法律、法规者，移交公安、司法机关处理。违反本规定，给国家、集体或者他人财产或人身安全造成损失的，应当依法承担民事或刑事责任。第九章附则第四十七条本制度由某部门负责修订和解释。第四十八条本制度是2016年4月18日制定，本制度自印发之日起执行，原有相关制度同时废止。附件： 4、《交还登记记录》 5、《调离手续记录》 6、《外部人员进出机房等重要区域申请表》四某单位系统管理办法第一章总则第一条为规范某单位系统的规划、运行、管理，保障某单位服务器、通信线路的有效工作，确保某单位各项业务系统安全、稳定运行，依据《中华人民共和国计算机信息系统安全保护条例》、《信息安全技术信息系统安全等级保护基本要求》GB/T 22239-2008等，制定本办法。第二条本办法属于“管理办法”，适用于本单位内的主机操作系统、数据库系统和应用程序的安全管理工作。第二章人员岗位设置第三条人员管理要求第四条服务器日常操作维护由系统管理员和数据库管理员负责，未经各单位信息化主管部门许可其他人员不得对服务器进行操作。第五条系统管理员负责服务器的安装调试、例行维护、日常检查等工作。第六条各管理员的职责参照某单位组织机构的要求。第三章策略要求第七条系统账号管理本制度中系统帐号是指应用层面及系统层面（操作系统、数据库、应用系统）的用户帐号。特权用户账户应尽量避免直接使用。拥有超级用户权限的管理员应建立普通账户用于日常维护。日常工作应分权限设置不同级别的账户（如查询账户、审计账户、维护账户等），不同的操作使用相应最小化权限账户登录与操作。系统或设备上线时，由供应商安装或部署完毕后，其账户及口令应交由运维组相关岗位接管，接管人应立即验证并修改所有缺省账户和口令。各系统应根据不同的角色确定用户账号，账号至少应当分为以下角色：（一）系统管理员：负责维护系统的管理员，一般应具有超级用户权限；（二）普通用户：访问系统的普通用户，一般只具有相应访问内容和操作的最小权限；（三）外来人员：临时或长期进行系统维护的非单位内部人员，应当根据外来人员的维护范围确定其使用权限；（四）安全审计人员：进行安全审计的人员，应能够查看系统的日志和审计信息。用户帐号申请、审批及设置由不同人员负责。帐号申请者应对该帐号在系统中所做的操作结果负全部责任。申请人使用统一而规范的提出用户帐号创建、修改、删除/禁用等申请。帐号申请人所属部门负责人及系统拥有部门负责人根据岗位权限要求对应用层面的普通用户帐号申请进行审批。信息部负责人根据岗位权限要求对系统层面的普通用户帐号申请进行审批。员工离职后，帐号管理人员及时禁用并删除离职人员所使用的帐号。如果离职人员是系统管理员，则及时更改特权帐号或超级用户口令。第八条软件环境要求（一）无特殊情况，服务器要关闭网络文件与打印服务、QoS、终端服务、授权服务、Site Server ILS服务、消息队列服务（MSMQ）、远程存储、证书服务等其他暂时不用的服务，实现服务最小化与运行。（二）操作系统和数据库需设置安全策略，策略设定后要进行有效性检查，确保有效执行。（三）操作系统和数据库应根据“最小授权”的原则设定账户访问权限，控制用户仅能够访问到工作需要的信息，并禁用匿名/默认账户或严格限制访问权限。（四）为了保证该服务器的运行效能和安全，除了安装解压缩、杀毒软件等必要的应用软件外，一般不安装其他非必要的软件，包括OFFICE等，遵循最小化安装原则。严禁安装游戏、聊天工具等与系统运行无关的程序及文件。第九条日志管理（一）管理员应在每周末检查主机和应用的“审计日志”，发现有“严重错误”的，必须立即检查并排除故障,服务器所有日志在得到“事务已经满”提示的情况下，必须立即备份，事务日志备份完毕应立即清空。（二）主机和应用日志至少保留三个月，只允许授权用户访问，且不能进行修改。（三）管理员应在每季度形成安全审计报告，对象包括主机操作系统、数据库系统和应用系统，并提交给安全主管。第十条补丁管理为保障服务器性能，工作时间段内一般不进行查杀病毒和安装补丁的操作。系统管理员应在每月末登陆操作系统厂商网站查看或联系开发商询问是否有最新的更新通知，在得知有最新的安全漏洞时，应下载在测试环境下测试后，在非工作时间段内安装补丁，并填写《补丁更新记录》。对于重大的安全漏洞应第一时间进行更新。第十一条漏洞扫描（一）漏洞扫描设备的部署环境应满足相应的国家标准和规范，其网络拓扑和扫描范围的更改要报送信息系统运行管理部门批准，以保证漏洞扫描设备发挥最大效应。（二）漏洞扫描设备工作时会对网络造成一定程度的影响，应避免在网络运行高峰期进行扫描，如有特殊情况应通知有关的系统管理员。（三）系统管理员应对操作系统、数据库系统和应用系统每季度至少进行一次漏洞扫描，并形成漏洞扫描报告，其内容包括系统存在的漏洞、严重级别、原因分析和改进意见等方面。（四）对扫描结果的分析和安全漏洞修补，记录漏洞修复结果。漏洞扫描后，发现系统漏洞公告，必须及时找到修补漏洞的补丁程序，并通过专用工具，及时下载打补丁，堵塞漏洞。第十二条设备配置管理（一）系统配置信息是重要的信息系统资源，故对系统、设备配置信息进行细致管理（二）主机设备相关配置应由信息部门进行设计，由信息安全领导小组审核后方可使用。（三）设备配置如需求等其他原因进行变更，需由信息安全领导小组审核后方可实施。（四）配置信息需每季度进行定期备份，如配置发生变更，在变更后需立即备份。（五）变更配置后需由安全管理员对更改后的配置信息进行校验，取保变更配置安全可用。第四章系统技术文档管理要求第十三条某单位系统管理人员对系统参数进行配置、调试等工作时，必须建立文档。文档参照《某单位网络安全管理办法》第八章网络技术文档管理要求执行。第五章系统应急预案及演练要求第十四条某单位应制定信息系统发生故障时的应急预案，并定期（每年不少于一次）进行应急演练。第六章附则第十五条本制度由某部门负责修订和解释。第十六条本制度是2016年4月18日制定，本制度自印发之日起执行，原有相关制度同时废止。附录： 1、《补丁更新记录》五某单位设备使用管理制度第一章总则第一条为使单位更有效为员工提供开发、办公用设备及其他物品，使用设备的使用管理工作有组织、有计划、有原则、有标准、有规程的进行，依据《中华人民共和国计算机信息系统安全保护条例》、《信息安全技术信息系统安全等级保护基本要求》GB/T 22239-2008、《信息安全总体方针》等标准和规定制度，结合单位的实际情况特制定本制度。第二条本制度属于“管理制度”，适用于各部门。第三条设备使用是指终端计算机、便携机和网络设备等设备的使用。第二章设备使用规定第四条计算机使用一般规定: （一）使用者是个人使用计算机设备财产安全的第一责任人；对于公共使用的计算机设备的第一安全责任人为各用机单位的计算机安全责任人。（二）保持良好的计算机办公环境，注意办公区域的清洁卫生。计算机办公区域不得堆放有碍计算机设备安全的杂物和私人物品，不得在计算机办公区域吸烟。（三）要妥善保管和保养自己使用的计算机设备，包括键盘、鼠标、显示器及其它计算机外围设备等，保持计算机设备清洁。（四）不得使用某部门计算机设备玩电子游戏、观看影碟、上网聊天和做其它与工作无关的事情。（五）未经许可，不得使用他人计算机。（六）设备发生故障，应请专门人员维修。未经允许，不得擅自拆卸、改装个人使用的计算机设备，不得擅自改装操作系统。（七）下班后或外出（超过1个小时）时，必须关闭主机和显示器。第五条计算机使用安全规定（一）个人使用的计算机，包括PC机、终端机和笔记本电脑必须安装防拆和防盗装置或采取其它安全措施。（二）个人使用的计算机，包括PC机、终端机和笔记本电脑必须安装防病毒软件并及时更新，必须做内部定期更新设置并及时做系统补丁更新。（三）个人使用的计算机包括微机和笔记本电脑必须设置开机密码及用户密码且密码不得过于简单，必须按规定定期更换密码。（四）离开办公座位时，工作桌面上所有内部资料、存有机密或敏感信息的磁盘或其他可移动介质等可能危及信息安全或造成泄密的物品，必须妥善锁入文件柜中或存放在指定的保险箱中，并且要锁定计算机。（五）员工调离单位或办理内退、退休手续或因工作职位变动未达到原配置要求的，需将个人使用的计算机设备上交单位某部门。（六）严格执行单位内部网和公共互联网物理隔离方案，所有接入单位内部网或公共互联网的计算机设备必须经审批后方可接入。严禁接入单位内部网计算机设备私自连入公共网络，严禁接入公共网络计算机设备私自连入单位内部网。（七）单位的机关部门、经营单位须指定一名信息安全员（计算机安全责任人），负责本部门或本信息安全的管理与宣传工作，包括各类电子设备的安全管理，接受单位某部门的安全培

展开阅读全文