1、优质文档信息平安管理制度汇编某单位 信息平安管理制度汇编 制定部门 某单位 审 核 批 准 生效日期 制度修订、修改记录 更改日期 原章节或内容 修订内容 修订部门 批准人 备注 目录 某单位信息平安总体方针与平安策略 - 3 - 某单位信息平安工作管理规定 - 12 - 某单位信息平安管理策略 - 16 - 某单位机房设备管理规定 - 25 - 某单位信息设备管理方法 29 某单位网络平安管理方法 34 某单位病毒防范平安管理方法 42 某单位备份与恢复管理规定 45 某单位网站运行维护管理方法 49 某单位信息系统变更管理方法 51 某单位信息平安惩戒管理规定 56 某单位第三方访问管理程
2、序 57 某单位信息工程管理规定 60 某单位消防管理制度 63 某单位软件管理方法 65 某单位帐户权限与口令管理规定 67 某单位工程测试验收管理方法 73 某单位信息系统应急响应管理规定(条款序号)76 某单位信息系统建设管理方法 82 某单位信息系统运行管理方法 87 某单位网络接入管理方法 93 某单位信息资产管理方法 96 某单位信息系统平安管理岗位及其职责 99 某单位员工平安管理规定 101 某单位运行维护管理规定 108 某单位平安岗位人员管理规定 110 某单位培训及教育管理规定 116 某单位外来人员平安管理规定 121 某单位介质管理规定 125 某单位环境设施和物理设
3、备管理规定 129 某单位网络连接管理规定 136 某单位计算机用户平安手册 138 某单位系统平安管理说明 142 某单位平安事件报告与处置管理规定 164 某单位信息平安总体方针与平安策略 总那么 第一条 为建立、实施、运行、监督、评审、保持和改进某单位的信息平安管理体系,确定信息平安方针和目标。第二条 对信息平安风险进行有效管理,确保全体人员理解并遵照执行信息平安管理体系文件、持续改进信息平安管理体系的有效性,特制定本文件。信息平安总体方针 第三条 信息平安方针为:平安第一、综合防范、预防为主、持续改进。(一) 平安第一:信息平安为信息系统业务连续性提供根底保障,把信息平安作为信息系统建
4、设与系统运行的首要任务。(二) 综合防范:管理措施和技术措施并重,建立有效的识别和预防信息平安风险机制,合理选择平安控制方式,使信息平安风险的发生概率降低到可接受水平。(三) 预防为主:依据国家相关规定和信息平安管理实践,根据信息资产的重要性等级,定期对重要信息资产进行平安测评,采取有效措施消除可能的隐患,最大程度降低信息平安事件发生的概率。(四) 持续改进:建立全面覆盖信息平安各层面的平安管理机制,建立持续改进的体系框架,不断自我完善,为业务的稳定运行提供可靠的平安保障。第四条 总体目标 (一) 保护信息系统及数据的完整性、可用性、机密性,不遭受破坏、更改及泄漏。(二) 确保信息系统连续、可
5、靠、正常运行,提供及时、持续和高质量的效劳并不断改进。(三) 信息平安管理体系建设和运行能满足信息系统日常平安管理的需要,并覆盖各个平安管理层面。平安策略 第五条 信息资产管理策略 (一) 各类信息资产由信息技术科负责统筹管理,责任到人。(二) 对信息资产进行梳理,建立信息资产清单,明确各信息资产的使用人员、运维人员、管理人员等相关责任人,制定各自的职责;信息资产清单应定期维护与更新;定期对信息资产进行盘点,确保信息资产的账实相符合完好无损。(三) 为确保信息资产能受到适当的保护,信息应当分类以显示其所需保护的要求、优先、程度。信息分类应按照业务对信息访问的需求,及这些需求带来的影响进行划分,
6、分为非常重要、重要、一般三个等级。(四) 信息资产分类应该具有一定的灵活性。可以将信息资产分为数据、软件、硬件、文档、设备、人员等共6种类型,内容如下:1) 数据:储存在电子媒介的各种数据资料,包括源代码、数据库数据、各种数据资料、系统文档、运行管理规定、用户手册等。2) 软件:应用软件、系统软件、开发工具和资源库等。3) 硬件:效劳器、路由器、交换机、硬件防火墙、交换机、备份存储设备等。4) 文档:纸质的各种文件、工程过程文件、日常管理记录文件、开展规划等。5) 设备:UPS电源设备、空调、门禁、消防设施等。6) 人员:系统管理人员、维护人员、外包效劳人员等。(五) 建立信息系统资产清单,明
7、确每个信息系统的负责人和管理员,并落实其岗位职责。按照国家信息系统平安等级保护根本要求(GB/T 22239-2023)的要求,对信息系统分级,并按级别采取相应的平安保护措施。(六) 信息系统分级后所采取的对应平安保护措施,必须由相应的负责人定期检查。(七) 各类信息资产必须进行标识管理,标识内容包括资产名称、资产信息、所属系统、资产类别、重要级别、责任人等。第六条 人员平安管理策略 (一) 访问敏感信息外包效劳人员应在访问信息处理设施前签署相关协议。(二) 所有管理人员离职时,确保其归还所有设备及删除其所有访问权限。人员离任前要履行交接手续,确保密码、设备、技术资料及相关敏感信息等的移交。(
8、三) 平安教育是指单位平安教育、部门教育和岗位教育。平安教育制度应纳入本单位的所有员工教育体系。平安教育要结合实际情况,编制具体的平安教育方案,方案要有明确的针对性,并适时修正、变更或补充内容。平安教育要由办公室负责,每次平安教育必须有考核机制。第七条 物理和环境平安管理策略 (一) 设立物理平安保护区域,该区域包括放置重要存储设备和网络设备等重要信息科技设备的区域。物理平安保护区域的出入口设置平安屏障(如门禁)。(二) 确保只有经过授权的人员才可以访问物理平安保护区域,整个访问过程应被监控和记录。(三) 采用双回路市电、UPS等措施,保证设备电力供应连续。(四) 建立严格的设备维护流程保证设
9、备的可靠性和信息完整性,一般情况下不允许信息处理设备带出机房,如需将设备带出机房需进行审批。(五) 教育体育局所属的便携式设备、台式机、笔记本、掌上和其他便携式电子设备由个人负责保护,不允许将这些设备放于无人看守的或是没有平安防范措施的环境中。(六) 办公需根据平安要求统一安装防病毒软件,并设置密码和屏幕保护,人员离开后需启动屏保或关机。(七) 人员离开后,门禁卡、重要文件等不允许摆放在桌面,需妥善保管。第八条 网络平安管理策略 (一) 对网络系统的运营与平安防范实行统一管理,对政务外网、局域网应分别指定专人负责维护操作并建立维护记录。(二) 管理人员需对网络交换机、路由器等网络关键设备进行定
10、期检查、保养,对发现的问题进行记录、分析和跟踪解决。(三) 建立网络管理系统,监控网络资源及运行状态,保障网络平安运行,跟踪网络配置变化等。(四) 严格控制网络访问权限,定期对网络线路进行例行检查,防止非法接入。(五) 根据信息平安级别,将网络划分为不同的逻辑平安域(以下简称为域),实施有效的平安控制,对每个域和整个网络进行物理或逻辑分区、实现网络内容过滤、逻辑访问控制、传输加密、网络监控、记录活动日志等。(六) 网络交换机、路由器等网络关键设备要有备份,骨干网、重要通讯线路和网点通讯线路必须有备份或冗余回路。第九条 运行平安管理策略 (一) 建立管理和操作信息处理设备的责任和流程,包括制定适
11、当的操作手册和回退流程,在关键环节实行相互监督制度以减少疏忽或滥用系统的风险。任何对信息处理设备的操作都要有文档化的说明作为操作记录,文档中应具有每个操作的详细执行说明。操作说明的文档必须经过一套正式的管理流程进行授权,并对操作行为进行评估和审计。(二) 定期备份重要业务信息和软件。要有足够的备份设备进行所有重要的业务信息和软件的备份,使得在灾难发生或存储设备失败时能够恢复。其他系统也要定期备份,以符合业务连续性策略的要求。(三) 存储介质必须受到控制和物理保护。存放敏感信息的存储介质必须按照一套适宜的管理标准进行管理,不再需要的介质中的内容必须平安去除。所有个人的存储介质不允许存放和传输业务
12、和技术敏感信息,所有个人可移动介质不允许在重要业务处理效劳器或敏感个人上使用。重要业务介质需保存在档案室或保密文件柜内。(四) 制定相关制度和标准,管理所有信息系统的日志,以支持有效的审核、平安取证分析和预防欺诈。应保证系统日志中包含足够的内容,以便完成有效的内部控制、解决系统故障和满足审计需要;应采日志备份制度,并确保其完整性;在意外情况发生后应及时复查系统日志。(五) 部署防病毒系统,建立全面的计算机病毒查杀机制。所有连入内部域的及其他设备,都应安装杀毒软件,并在接入之前进行病毒扫描;制定病毒库升级策略和扫描策略,定期进病毒库更新和病毒扫描。第十条 访问控制管理策略 (一) 建立和完善身份
13、认证、授权与访问控制、应用层通信加密等应用层平安系统的管理规定,改善业务应用系统的整体平安性。并部署和管理身份认证系统、授权和访问控制系统。(二) 严格控制访问权限审批,制定符合业务操作流程的访问控制审批单,形成访问控制审批过程记录。访问控制管理部门应拒绝不合理的访问控制请求。(三) 信息系统与信息处理设备必须具有对用户标识、用户口令以及特权访问的控制措施,重要信息系统与信息处理设备需有两种不同的身份鉴别方式。原那么上要求每个人在不同系统的用户标识是唯一的。用户密码应具有一定的复杂度,需要字母、字符、数字等组成,密码长度不能小于8位,并每六个月定期进行更换。(四) 信息技术科需要定期或不定期的
14、检查用户ID建立、使用、权限划分及密码的变更是否符合控制策略规定。(五) 不允许在没有通过身份验证的情况下,访问信息系统设备和其它信息处理系统。连续的登陆尝试应受限制。(六) 信息系统的用户应遵守良好的口令设置习惯,所有信息系统用户应养成良好的计算机使用习惯,对公共设备的使用,根据实际情况,在会话结束后执行适宜的锁定机制。每个用户的身份只能鉴定一个用户,不允许共享身份或组身份,除非由平安管理员批准。用户要为以该用户身份执行的所有操作负责。(七) 用户对网络访问的权限实行最小化原那么,用户对网络的访问应设定强制式的路径。(八) 效劳器或网络设备上的用户标识应是唯一的,登陆效劳器或网络设备的用户只
15、能使用自己的用户标识,用户标识可以用来确认用户的操作行为,并作为追究责任的依据。(九) 通过平安设备或平安技术进行应用系统访问控制,只容许合法用户逻辑访问应用系统中的信息。对敏感系统配备专用的隔离区域,并设置只能与可信任的应用系统共享资源。(十) 建立监控信息处理设备使用情况的程序或设备,以保证用户只进行明确授权的活动。所需的监控级别应在评估风险后确定。第十一条 移动设备平安管理策略 (一) 使用移动设备远程访问业务信息时,只有在成功认证并通过访问控制机制后才准许连接。原那么上不允许在公用场合使用移动设备或远程访问业务系统。(二) 移动存储介质的管理,遵循“谁使用、谁负责的原那么,使用移动存储
16、介质的人员负责移动存储介质的平安,对移动存储介质使用过程中各种平安威胁及可能造成的数据泄露负责。(三) 外来人员所有的移动存储介质,在接入本教育体育局计算机系统前,应征得计算机使用者的同意,计算机使用者对因接入外来不明移动存储介质导致的平安问题负全部责任。(四) 涉密移动存储介质只能在本教育体育局涉密计算机和涉密信息系统内使用,严禁涉密移动存储介质在与互联网连接的计算机和个人计算机上使用。(五) 使用涉密移动存储介质保存涉密信息,必须对信息内容进行加密处理。第十二条 数据平安管理策略 (一) 根据数据的重要程度和敏感程度进行分级管理和保护。重要程度划分标准如下:1) 重要程度高:一旦数据平安受损,会中断关键业务运行;会造成重大财务损失;会导致严重社会影响;会造成严重法律后果等。2) 重要程度中:一旦数据平安受损,会对关键业务运行有直接影
