温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,汇文网负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。
网站客服:3074922707
单位
内部
网络
信息
安全
制度
汇编
试行
《单位内部网络信息安全制度汇编(试行)》
目 录
一、相关术语 11
1、缩写 11
2、制度适用范围: 11
3、术语定义 11
一、网络信息安全总体策略 13
第一章 总则 13
第二章 术语定义 13
第三章 组织职责 13
第四章 管理原则 13
第五章 总体目标 14
第六章 安全框架 14
第七章 策略制定与维护 15
二、信息等级保护体系制定和发布管理规定 17
第一章 总则 17
第二章 职责 17
第五章 文件起草 18
第六章 文件评审 19
第七章 文件发布 20
附录一、(xx市民政局)管理制度发布记录表 21
三、等级保护体系评审和修订管理规定 22
第一章 总则 22
第二章 评审程序 22
第三章 修订程序 23
四、信息安全管理组织架构 24
第一章 总则 24
第二章 组织目标 24
第三章 信息安全组织架构 24
第四章 组织的信息安全职责描述 25
五、信息系统安全检查管理规定 27
第一章 总则 27
第二章 适用范围 27
第三章 术语定义 27
第四章 组织职责 27
第五章 通用要求 27
第六章 安全检查准备 28
第七章 安全检查报告 28
第八章 安全检查整改 29
第九章 检查工具的使用 29
附录一: 安全检查情况汇总表 30
附录二: 信息系统安全检查表 31
六、信息安全组织架构与岗位职责 33
第一章 总则 33
第二章 信息化领导小组 33
七、人员管理制度 36
第一章 总则 36
第二章 术语定义 36
第三章 组织职责 36
第四章 入职管理 36
第五章 在岗管理 37
第六章 纪律处理过程 37
第七章 调动管理 37
第八章 离岗管理 38
八、网络安全培训和考核管理规定 39
第一章 总则 39
第二章 组织职责 39
第三章 安全培训管理程序 39
第五章 安全考核管理程序 40
九、第三方机构安全管理规定 41
第一章 总则 41
第二章 术语定义 41
第三章 组织职责 41
第五章 驻场外包人员安全管理要求 41
第六章 临时来访人员安全管理要求 42
第七章 外包服务质量考核与评价 42
第八章 外包人员离场安全要求 43
十、计算机及网络保密规定 44
十一、信息系统测试管理办法 46
第一章 总则 46
第二章 测试组工作职责 46
第三章 新业务系统上线测试管理办法 47
第四章 常规版本升级测试管理办法 48
十二、信息安全建设管理规定 50
第一章 总则 50
第二章 适用范围 50
第三章 组织职责 50
第四章 系统定级 50
第五章 安全检查报告 51
第六章 系统建设 52
第七章 系统备案 52
第八章 系统测评 53
第九章 系统终止 53
附录一、系统安全设计方案评审表 55
附录二、系统测试验收评审表 56
附录三、系统转移、终止或废弃申请表 57
十三、项目管理规定 58
第一章 总则 58
第二章 适用范围 58
第三章 职责与权限 58
第四章 项目立项 58
第五章 项目计划 59
第六章 项目实施 59
第七章 项目监控 60
第八章 项目收尾 60
十四、工作环境管理规定 61
第一章 总则 61
第二章 适用范围 61
第三章 术语定义 61
第四章 办公区域访问控制 61
第五章 办公环境安全 61
第七章 办公用计算机安全 62
第八章 监督和检查 65
十五、信息系统资产管理规定 66
第一章 总则 66
第二章 适用范围 66
第三章 术语定义 66
第四章 职责 66
第五章 资产分类 66
第六章 资产分级 67
第七章 信息资产标识 67
第八章 信息资产维护 68
第九章 闲置报废资产管理 68
附录一、(xx市民政局)XXXX系统信息资产清单 70
十六、存储介质管理规定 71
第一章 总则 71
第二章 适用范围 71
第三章 术语定义 71
第四章 组织职责 71
第五章 存储介质标识 71
第六章 存储介质访问 71
第七章 存储介质保管 72
第八章 介质维修 72
第九章 存储介质销毁 72
附录一、存储介质清单 74
附录二、存储介质销毁申请表 75
十七、信息系统运维监控管理规定 76
第一章 总则 76
第二章 适用范围 76
第三章 术语定义 76
第四章 组织职责 76
第五章 监控管理要求 77
第六章 运维监控工作流程 77
十八、网络系统运行管理规定 79
第一章 总则 79
第二章 组织职责 79
第三章 网络资源的数据管理 79
第四章 网络资源的申请 80
第五章 网络资源的使用 80
第六章 网络资源的建设 80
第七章 网络资源的变更 81
第八章 网络故障处理 81
十九、系统帐号权限管理规定 82
第一章 总则 82
第二章 适用范围 82
第三章 术语定义 82
第四章 组织职责 82
第五章 通用原则 82
第六章 特权帐号管理 84
第七章 普通帐号管理 84
第八章 口令管理 84
第九章 检查监督 85
附录一、(xx市民政局)业务系统临时帐户申请表 86
附录二、(xx市民政局)业务系统帐户清单 87
二十、补丁管理规定 88
第一章 总则 88
第二章 适用范围 88
第三章 术语定义 88
第四章 组织职责 88
第五章 补丁获取 88
第六章 补丁测试 89
第七章 补丁验证和归档 89
附录一 业务系统补丁安装登记表 91
二十一、信息系统日志管理规定 92
第一章 总则 92
第二章 适用范围 92
第三章 术语定义 92
第四章 组织职责 92
第五章 通用要求 92
第六章 主机系统日志管理 93
第七章 业务系统日志管理 93
第八章 设备日志管理 94
二十二、防病毒管理规定 95
第一章 总则 95
第二章 适用范围 95
第三章 术语定义 95
第四章 组织职责 95
第五章 防计算机病毒目的 96
第六章 防病毒管理内容 96
第七章 防病毒应用规定 97
第八章 惩罚制度 97
附件:病毒事件报告表 98
二十三、信息安全密码使用管理规定 99
第一章 总则 99
第二章 帐号设立要求 99
第四章 口令设立要求 100
第五章 变更与取消要求 100
第六章 维护要求 101
第七章 流程管理要求 103
二十四、变更管理规定 105
第一章 总则 105
第二章 适用范围 105
第三章 术语定义 105
第四章 组织职责 106
第五章 变更申请 106
第六章 变更受理 106
第七章 变更方案制订 106
第八章 变更审批 107
第九章 变更实施 107
第十章 变更汇总 109
第十一章 紧急变更 109
附录一 变更申请单 110
二十五、备份与恢复管理规定 112
第一章 总则 112
第二章 术语定义 112
第三章 职责 112
第四章 备份管理 112
第五章 备份介质管理 114
第六章 备份恢复管理 115
附录一:业务系统备份数据清单 116
二十六、安全事件管理规定 120
第一章 总则 120
第二章 适用范围 120
第三章 术语定义 120
第四章 组织职责 120
第五章 事件分类 120
第六章 事件分级 122
第七章 事件监控 122
第八章 事件受理 123
第九章 事件处置 123
附录一、信息安全异常现象报告 126
附录二、信息安全事件报告 127
二十七、应急预案管理规定 129
二十八、软件管理办法 131
第一章 总则 131
第二章 适用范围 131
第三章 职责与权限 131
第四章 软件管理 131
第五章 软件外包开发 131
第六章 软件使用 132
二十九、信息交付管理规定 133
第一章 总则 133
第二章 安全交付规范 133
第三章 人员安全管理 135
附件 安全系统交付清单 136
相关术语
1、缩写
原名称
缩写名称
备注
2、制度适用范围:
适用于(xx市民政局)各部门,包括系统维护管理人员、网络、服务器、终端、设备、信息系统的专用设备以及物理环境等
3、术语定义
(一) 安全策略:是纲领性的安全策略主文档,描述(xx市民政局)业务安全目标和管理层意图、支持目标和指导原则,是信息安全实践的根本性和指导性的文件。
(二) 信息安全等级保护管理体系是指依据国家信息安全等级保护的要求建立的系统内进行信息安全管理的制度、方针、策略、流程、指南、记录等管理方面的规章制度集合。
(三) 信息安全等级保护管理体系是指依据国家信息安全等级保护的要求建立的系统内进行信息安全管理的制度、方针、策略、流程、指南、记录等管理方面的规章制度集合。
(四) 安全检查:指单位内部或外部机构对信息安全整体执行情况进行的评价活动。安全检查的依据是单位现行的管理制度、信息系统安全体系规范和技术标准、有关法律、法规和标准要求等安全检查包括安全例行检查、安全专项检查等。
(五) 安全例行检查:指按照已制定的检查周期所作的检查。
(六) 安全专项抽查:指根据单位、监管机构或相关部门要求的安全运行状况所作的不定期的抽查。
(七) 本单位员工是指单位正式员工,包括试用期员工和借调人员等。
(八) 第三方机构是指所有进入(xx市民政局)内部提供相关技术服务的非(xx市民政局)单位(包括但不限于供应商、合作厂商、服务商)。第三方人员分为临时来访人员和驻场外包人员。临时来访的第三方人员是指来(xx市民政局)时间周期较短的人员,包括进行业务交流的人员,临时来访参观的人员等;驻场外包的第三方人员是指来访时间较长的第三方技术服务人员,包括项目建设人员,外来信息系统职守人员,外来信息系统维护人员等。
(九) 存储介质:指用于单位计算机系统相关业务的电子信息输出、存放的物理介质、可移动和不可移动的磁盘、光盘、硬盘、磁盘阵列等。
(十) 帐号是指每个可访问系统资源的用户在系统中的标识,可分为应用系统帐号、操作系统帐号和数据库帐号等。
(十一) 访问权限是指帐号被赋予的可以访问系统资源和使用系统功能的权利。
(十二) 超级管理员帐号/特权帐号:指对系统具有超级权限的帐号,包含但不限于UNIX/Linux的root,WINNT的administrators组成员,数据库的DBA等用户。
(十三) 普通帐号:用户用于维护或访问系统,实现日常操作的帐号,是最为常见的用户类型。
(十四) 补丁是针对某一个具体的系统漏洞或安全问题而发布的专门解决该漏洞或安全问题的小程序,通常称为修补程序。
(十五) 日志包括各业务系统中存储的主机系统日志、设备日志和业务系统日志等基础环境日志
(十六) 计算机病毒:计算机病毒是人为蓄意编制的一种寄生性的计算机程序。它能在计算机系统中生存,通过自我复制来传播,在一定条件下即被激活,从而给计算机系统造成一定损害甚至严重破坏,有些病毒还能窃取计算机设备中的重要信息
(十七) 信息安全事件是指由于自然或者人为以及软硬件本身缺陷或故障的原因,对信息系统造成危害,或对社会造成负面影响的事件
一、网络信息安全总体策略
第一章 总则
第一条 为了加强(xx市民政局)信息系统的网络安全管理,明确(xx市民政局)网络安全管理的总目标和总方向,保护(xx市民政局)系统自有的信息系统资产,积极预防安全事件的发生,使安全事件的影响最小化,特制定本策略文件。
第二章 术语定义
第二条 安全策略:是纲领性的安