1、单位内部网络信息安全制度汇编(试行)目 录一、相关术语111、缩写112、制度适用范围:113、术语定义11一、网络信息安全总体策略13第一章 总则13第二章 术语定义13第三章 组织职责13第四章 管理原则13第五章 总体目标14第六章 安全框架14第七章 策略制定与维护15二、信息等级保护体系制定和发布管理规定17第一章 总则17第二章 职责17第五章 文件起草18第六章 文件评审19第七章 文件发布20附录一、(xx市民政局)管理制度发布记录表21三、等级保护体系评审和修订管理规定22第一章 总则22第二章 评审程序22第三章 修订程序23四、信息安全管理组织架构24第一章 总则24第二
2、章 组织目标24第三章 信息安全组织架构24第四章 组织的信息安全职责描述25五、信息系统安全检查管理规定27第一章 总则27第二章 适用范围27第三章 术语定义27第四章 组织职责27第五章 通用要求27第六章 安全检查准备28第七章 安全检查报告28第八章 安全检查整改29第九章 检查工具的使用29附录一: 安全检查情况汇总表30附录二: 信息系统安全检查表31六、信息安全组织架构与岗位职责33第一章 总则33第二章 信息化领导小组33七、人员管理制度36第一章 总则36第二章 术语定义36第三章 组织职责36第四章 入职管理36第五章 在岗管理37第六章 纪律处理过程37第七章 调动管理
3、37第八章 离岗管理38八、网络安全培训和考核管理规定39第一章 总则39第二章 组织职责39第三章 安全培训管理程序39第五章 安全考核管理程序40九、第三方机构安全管理规定41第一章 总则41第二章 术语定义41第三章 组织职责41第五章 驻场外包人员安全管理要求41第六章 临时来访人员安全管理要求42第七章 外包服务质量考核与评价42第八章 外包人员离场安全要求43十、计算机及网络保密规定44十一、信息系统测试管理办法46第一章 总则46第二章 测试组工作职责46第三章 新业务系统上线测试管理办法47第四章 常规版本升级测试管理办法48十二、信息安全建设管理规定50第一章 总则50第二章
4、 适用范围50第三章 组织职责50第四章 系统定级50第五章 安全检查报告51第六章 系统建设52第七章 系统备案52第八章 系统测评53第九章 系统终止53附录一、系统安全设计方案评审表55附录二、系统测试验收评审表56附录三、系统转移、终止或废弃申请表57十三、项目管理规定58第一章 总则58第二章 适用范围58第三章 职责与权限58第四章 项目立项58第五章 项目计划59第六章 项目实施59第七章 项目监控60第八章 项目收尾60十四、工作环境管理规定61第一章 总则61第二章 适用范围61第三章 术语定义61第四章 办公区域访问控制61第五章 办公环境安全61第七章 办公用计算机安全6
5、2第八章 监督和检查65十五、信息系统资产管理规定66第一章 总则66第二章 适用范围66第三章 术语定义66第四章 职责66第五章 资产分类66第六章 资产分级67第七章 信息资产标识67第八章 信息资产维护68第九章 闲置报废资产管理68附录一、(xx市民政局)XXXX系统信息资产清单70十六、存储介质管理规定71第一章 总则71第二章 适用范围71第三章 术语定义71第四章 组织职责71第五章 存储介质标识71第六章 存储介质访问71第七章 存储介质保管72第八章 介质维修72第九章 存储介质销毁72附录一、存储介质清单74附录二、存储介质销毁申请表75十七、信息系统运维监控管理规定76
6、第一章 总则76第二章 适用范围76第三章 术语定义76第四章 组织职责76第五章 监控管理要求77第六章 运维监控工作流程77十八、网络系统运行管理规定79第一章 总则79第二章 组织职责79第三章 网络资源的数据管理79第四章 网络资源的申请80第五章 网络资源的使用80第六章 网络资源的建设80第七章 网络资源的变更81第八章 网络故障处理81十九、系统帐号权限管理规定82第一章 总则82第二章 适用范围82第三章 术语定义82第四章 组织职责82第五章 通用原则82第六章 特权帐号管理84第七章 普通帐号管理84第八章 口令管理84第九章 检查监督85附录一、(xx市民政局)业务系统临
7、时帐户申请表86附录二、(xx市民政局)业务系统帐户清单87二十、补丁管理规定88第一章 总则88第二章 适用范围88第三章 术语定义88第四章 组织职责88第五章 补丁获取88第六章 补丁测试89第七章 补丁验证和归档89附录一 业务系统补丁安装登记表91二十一、信息系统日志管理规定92第一章 总则92第二章 适用范围92第三章 术语定义92第四章 组织职责92第五章 通用要求92第六章 主机系统日志管理93第七章 业务系统日志管理93第八章 设备日志管理94二十二、防病毒管理规定95第一章 总则95第二章 适用范围95第三章 术语定义95第四章 组织职责95第五章 防计算机病毒目的96第六
8、章 防病毒管理内容96第七章 防病毒应用规定97第八章 惩罚制度97附件:病毒事件报告表98二十三、信息安全密码使用管理规定99第一章 总则99第二章 帐号设立要求99第四章 口令设立要求100第五章 变更与取消要求100第六章 维护要求101第七章 流程管理要求103二十四、变更管理规定105第一章 总则105第二章 适用范围105第三章 术语定义105第四章 组织职责106第五章 变更申请106第六章 变更受理106第七章 变更方案制订106第八章 变更审批107第九章 变更实施107第十章 变更汇总109第十一章 紧急变更109附录一 变更申请单110二十五、备份与恢复管理规定112第一
9、章 总则112第二章 术语定义112第三章 职责112第四章 备份管理112第五章 备份介质管理114第六章 备份恢复管理115附录一:业务系统备份数据清单116二十六、安全事件管理规定120第一章 总则120第二章 适用范围120第三章 术语定义120第四章 组织职责120第五章 事件分类120第六章 事件分级122第七章 事件监控122第八章 事件受理123第九章 事件处置123附录一、信息安全异常现象报告126附录二、信息安全事件报告127二十七、应急预案管理规定129二十八、软件管理办法131第一章 总则131第二章 适用范围131第三章 职责与权限131第四章 软件管理131第五章
10、软件外包开发131第六章 软件使用132二十九、信息交付管理规定133第一章 总则133第二章 安全交付规范133第三章 人员安全管理135附件 安全系统交付清单136相关术语1、缩写原名称缩写名称备注2、制度适用范围:适用于(xx市民政局)各部门,包括系统维护管理人员、网络、服务器、终端、设备、信息系统的专用设备以及物理环境等3、术语定义(一) 安全策略:是纲领性的安全策略主文档,描述(xx市民政局)业务安全目标和管理层意图、支持目标和指导原则,是信息安全实践的根本性和指导性的文件。(二) 信息安全等级保护管理体系是指依据国家信息安全等级保护的要求建立的系统内进行信息安全管理的制度、方针、策
11、略、流程、指南、记录等管理方面的规章制度集合。(三) 信息安全等级保护管理体系是指依据国家信息安全等级保护的要求建立的系统内进行信息安全管理的制度、方针、策略、流程、指南、记录等管理方面的规章制度集合。(四) 安全检查:指单位内部或外部机构对信息安全整体执行情况进行的评价活动。安全检查的依据是单位现行的管理制度、信息系统安全体系规范和技术标准、有关法律、法规和标准要求等安全检查包括安全例行检查、安全专项检查等。(五) 安全例行检查:指按照已制定的检查周期所作的检查。(六) 安全专项抽查:指根据单位、监管机构或相关部门要求的安全运行状况所作的不定期的抽查。(七) 本单位员工是指单位正式员工,包括
12、试用期员工和借调人员等。(八) 第三方机构是指所有进入(xx市民政局)内部提供相关技术服务的非(xx市民政局)单位(包括但不限于供应商、合作厂商、服务商)。第三方人员分为临时来访人员和驻场外包人员。临时来访的第三方人员是指来(xx市民政局)时间周期较短的人员,包括进行业务交流的人员,临时来访参观的人员等;驻场外包的第三方人员是指来访时间较长的第三方技术服务人员,包括项目建设人员,外来信息系统职守人员,外来信息系统维护人员等。(九) 存储介质:指用于单位计算机系统相关业务的电子信息输出、存放的物理介质、可移动和不可移动的磁盘、光盘、硬盘、磁盘阵列等。(十) 帐号是指每个可访问系统资源的用户在系统
13、中的标识,可分为应用系统帐号、操作系统帐号和数据库帐号等。(十一) 访问权限是指帐号被赋予的可以访问系统资源和使用系统功能的权利。(十二) 超级管理员帐号/特权帐号:指对系统具有超级权限的帐号,包含但不限于UNIX/Linux的root,WINNT的administrators组成员,数据库的DBA等用户。(十三) 普通帐号:用户用于维护或访问系统,实现日常操作的帐号,是最为常见的用户类型。(十四) 补丁是针对某一个具体的系统漏洞或安全问题而发布的专门解决该漏洞或安全问题的小程序,通常称为修补程序。(十五) 日志包括各业务系统中存储的主机系统日志、设备日志和业务系统日志等基础环境日志(十六)
14、计算机病毒:计算机病毒是人为蓄意编制的一种寄生性的计算机程序。它能在计算机系统中生存,通过自我复制来传播,在一定条件下即被激活,从而给计算机系统造成一定损害甚至严重破坏,有些病毒还能窃取计算机设备中的重要信息(十七) 信息安全事件是指由于自然或者人为以及软硬件本身缺陷或故障的原因,对信息系统造成危害,或对社会造成负面影响的事件一、网络信息安全总体策略第一章 总则第一条 为了加强(xx市民政局)信息系统的网络安全管理,明确(xx市民政局)网络安全管理的总目标和总方向,保护(xx市民政局)系统自有的信息系统资产,积极预防安全事件的发生,使安全事件的影响最小化,特制定本策略文件。第二章 术语定义第二条 安全策略:是纲领性的安