1、目录1.安全工作的总体方针、政策性文件和安全策略文件52.安全管理制度93.设备管理制度124.审批管理制度155.系统投入运行测试管理制度186.机房管理制度197.网络安全管理制度238.系统安全管理制度259.职员录用管理制度2810.职工离职管理制度3011.系统数据备份与恢复管理制度3312.信息系统变更及发布管理制度3513.资产安全管理制度3814.信息系统补丁及版本管理制度4115.安全事件报告和处置管理制度4316.恶意代码防范制度4717.存储介质管理制度5018.系统建设管理制度5219.漏洞扫描制度5420.软件开发管理制度5621.信息系统权限划分实施细则6022.安
2、全事件定级6323.年度安全培训计划6624.办公环境管理办法6825.关键设备操作规程6926.安全责任管理规定7227.计算机类设备接入网络管理办法7328.应急预案总体框架7629.应急处置方案8030.保密协议书8431.岗位职责文件8732.网络管理操作规程9233.密码管理制度9534.外包运维管理制度9635.信息审核发布管理制度97附件1.设备领用登记表98附件2.设备更新及更换申请表99附件3.设备报废鉴定表100附件4.接入/外联授权审批表101附件5.网络外联及准入申请表102附件6.外部人员运维申请表103附件7.系统投入运行申请表104附件8.中心机房进出人员登记表(
3、 )月105附件9.外部人员访问审批单106附件10.机房安全检查记录表107附件11.网络设备及服务器更新记录表108附件12.系统运维记录109附件13.离职移交手续单110附件14.系统变更申请表111附件15.补丁安装操作记录(范文)112附件16.系统补丁更新记录113附件17.介质使用管理记录表114附件18.培训记录单115附件19.应急预案培训记录表116附件20.安全事件处理记录117附件21.设备带离机房审批记录118附件22.恶意代码培训记录119附件23.介质归档登记表120附件24.安全教育培训记录121附件25.管理制度评审记录122附件26.会议纪要123附件27
4、.安全管理制度修订记录124附件28.操作运维记录125附件29.数据备份登记表0附件30.安全技能考核记录2附件31.安全管理人员信息表3附件32.网络主机恶意代码检测记录表4附件33.补丁更新测试记录表5附件34.外联单位联系表6附件35.日志分析记录7前 言为保障xx市xx区农业农村局信息系统业务的正常持续运行,保护信息资产(具体包括单位拥有、控制、管理和使用的所有硬件、软件、信息、服务、人员和无形资产等信息资产)的安全,确保“单位信息系统”达到网络安全法律法规要求,制定本制度。本制度旨在为单位的信息安全管理实践提供清晰的策略方向,阐明信息安全建设和管理的重要原则,为单位的信息安全管理工
5、作提供指引与支持。1.安全工作的总体方针、政策性文件和安全策略文件第一章 总则一、为保障xx市xx区农业农村局业务的正常持续运行,保护信息资产(具体包括单位拥有、控制、管理和使用的所有硬件、软件、信息、服务、人员和无形资产等信息资产)的安全,制定本方针。二、本方针旨在为xx市xx区农业农村局的信息安全管理实践提供清晰的策略方向,阐明信息安全建设和管理的重要原则,为单位的信息安全管理工作提供指引与支持。三、本方针的适用对象主要包括单位信息安全相关成员,以及与单位有关的集成商、软件开发商、产品提供商、商业合作伙伴、临时工作人员和其它第三方机构或人员。第二章 信息安全方针一、xx市xx区农业农村局成
6、立网络安全与信息化领导小组,小组成员由单位领导、部门负责人组成,领导小组办公室设于xx市xx区农产品质量安全管理站,xx市xx区农产品质量安全管理站负责单位网络安全与信息化工作的组织协调和具体落实。xx市xx区农产品质量安全管理站组织定期召开会议,对有关信息安全重大问题做出决策。二、xx市xx区农产品质量安全管理站是xx市xx区农业农村局信息安全管理职能部门。单位建立有效的信息安全管理体系,定义信息资产的安全需求,持续进行信息资产的风险评估,建立并完善信息安全保护策略和程序,使单位拥有可控的风险管理架构、方法和保障落实机制,确保单位在不断变化的信息安全风险环境中,始终能够通过科学的方法和持续的
7、改进来增强单位抵抗风险的能力。三、xx市xx区农业农村局信息安全相关成员必须接受必要的信息安全教育与培训,充分理解单位制订的信息安全管理规定,明确在保护单位信息资产安全过程中所应担当的角色和责任。四、根据“谁主管,谁负责;谁运行,谁负责”的原则,建立信息安全绩效考核体系。对于违反信息安全规定的部门和个人,将按有关规定进行处理。第三章 信息安全管理原则xx市xx区农业农村局的信息安全管理推行治理原则、管理与技术并重原则和PDCA(“Plan:规划”“Do:实施”“Check:检查”“Act:处置”)全面质量管理原则。1、治理原则:信息安全管理要符合xx市xx区农业农村局的治理原则。在战略层面上,
8、信息安全决策必须由最了解xx市xx区农业农村局整体目标与价值的权威部门来决定,使信息安全问题得到最高管理层的关注,信息安全实践由国际和国内得到普遍实践与认可的治理标准(如ISO27001、ITIL等)来指导。2、管理与技术并重原则:信息安全不是单纯的技术问题,在采用安全技术和产品的同时,重视采取有效的管理措施,不断积累完善针对实际情况的各类安全管理策略、规章制度,全面提高信息安全管理水平,达到成本效益最优目标。3、PDCA全面质量管理原则:对信息与信息系统的建设、运行、维护、废止的全过程进行信息安全管理;在对信息资产的管理上遵循PDCA全面质量管理原则,针对xx市xx区农业农村局内外部业务环境
9、及技术条件的变化情况,进行周期性的风险评估,根据风险状况及时调整信息安全管理策略和方法。第四章 信息安全方针的评审一、信息安全方针需要根据工作环境、业务内容和技术状况的变化情况,进行定期评审(一年一次)或不定期评审(当发生了较大的安全事故或单位经历较大的变革时),并根据实际情况进行修订,以适应当前最新的信息安全需要。二、信息安全方针的变更由各部门提出,xx市xx区农产品质量安全管理站进行汇总、分析研讨,并负责起草工作,单位网络安全与信息化领导小组审批后发布。三、单位将通过纸质文件或电子文件方式向所有工作人员发布本方针的最新版本及相关信息。第五章 安全策略框架建立一套关于物理、主机、网络、应用、
10、数据、建设和管理等六个方面的安全需求、控制措施及执行程序,并在关联制度文档中定义出相关的安全角色,并对其赋予管理职责。“以人为本”,通过对信息安全工作人员的安全意识培训等方法不断加强系统分布的合理性和有效性。1、物理方面依据实际情况建立机房管理制度,明确机房的出入管理办法,机房介质存放方式,机房设备维护周期及维护方式,机房设备信息保密要求,机房温湿度控制方式等等环境要求。通过明确机房责任人、建立机房管理相关办法、对维护和出入等过程建立记录等方式对机房安全进行保护。2、网络方面从技术角度实现网络的合理分布、网络设备的实施监控、网络访问策略的统一规划、网络安全扫描以及对网络配置文件等必要信息进行定
11、期备份。从管理角度明确网络各个区域的安全责任人,建立网络维护方面相关操作办法并由某人或某部门监督执行看,确保各信息系统网络运行情况稳定、可靠、正常的运行。3、主机方面要求各类主机操作系统和数据库系统在满足各类业务系统的正常运行条件下,建立系统访问控制办法、划分系统使用权限、安装恶意代码防范软件并对恶意代码的检查过程进行记录。明确各类主机的责任人,对主机关键信息进行定期备份。4、应用方面从技术角度实现应用系统的操作可控、访问可控、通信可控。从管理角度实现各类控制办法的有效执行,建立完善的维护操作规程以及明确定期备份内容。5、数据方面对本单位的各类业务数据、设备配置信息、总体规划信息等等关键数据建
12、立维护办法,并由某部门或某人监督、执行。通过汇报或存储方式实现关键数据的安全传输、存储和使用。6、建设和管理方面(1)信息安全管理机制成立信息安全管理职能部门,设立单独的安全主管、系统管理员、网络管理员、安全管理员等主要安全角色,依据信息安全等级保护二级标准(要求),建立信息系统的整体管理办法。(2)信息安全管理组织分别建立安全管理岗位和机构的职责文件,对机构和人员的职责进行明确,各个安全角色不能兼任。建立信息发布、变更、审批等流程和制度类文件,增强制度的有效性。建立安全审核和检查的相关制度及报告方式。(3)人员安全管理要求对人员的录用、离岗、考核、培训、安全意识教育等方面应通过制度和操作程序
13、进行明确,并且,定期对各个岗位人员的技能和安全意识进行培训。(4)信息安全等级保护工作及风险评估要求定期对已备案的信息系统进行等级保护测评,以保证信息系统运行风险维持在较低水平,不断增强系统的稳定性和安全性。(5)报告安全事件要求对突发安全事件建立应急预案管理制度和相关操作办法,并定期组织人员进行演练,以保证信息系统在面临突发事件时能够在较短时间内恢复正常的使用。(6)业务持续性要求根据对系统的等级测评、风险评估等间接问题挖掘,及时改进信息系统的各类弊端,包括业务弊端,应建立相关改进措施或改进办法,以保证对信息系统的业务持续性要求。(7)违反信息安全要求的惩罚建立惩处办法,对违反信息安全总体方
14、针、安全策略的、程序流程和管理措施的人员,依照问题的严重性进行惩罚。附 则(1) 本制度由xx市xx区农业农村局负责解释。(2) 本制度自颁布之日起实行。2.安全管理制度一、总则为贯彻执行国家、地方和本行业有关信息化建设的方针政策,有效保障xx市xx区农业农村局信息系统正常运行。单位信息系统管理的规范化、程序化、制度化,进一步提高管理制度的体系化和制定发布流程的标准化,特制定本制度。具体建设目标:建立完整的信息安全运行体系,实现网络系统安全系统的集中管理和透明化监控,提高对突发事件的应急响应处理能力,保证关键业务应用运行的可用性、可依赖性以及故障恢复能力。二、规范性引用文件下列文件中的条款通过
15、本标准的引用而成为本标准的条款。凡注明日期的引用文件,其随后所有的修改单或修订版均不适用于本标准(不包括勘误、通知单),然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡未注日期的引用文件,其最新版本适用于本标准。信息安全技术 信息系统安全保障评估框架信息安全技术 信息系统安全管理要求信息安全技术 信息系统安全等级保护基本要求三、安全管理1、系统建设管理信息系统的安全管理贯穿系统的整个生命周期,系统建设管理主要关注的是生命周期中的前三个阶段(初始、采购、实施)中各项安全管理活动。系统建设管理分别从工程实施建设前、建设过程以及建设完毕交付等三方面考虑,具体包括系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评和安全服务商选择十一个控制点。2、系统运维管理目的是保障信息系统日常运行的安全稳定,对