分册一安全管理制度

《分册一安全管理制度》由会员分享，可在线阅读，更多相关《分册一安全管理制度（153页珍藏版）》请在金锄头文库上搜索。

1、中国轻工业信息中心信息系统等级中国轻工业信息中心信息系统等级 化保护管理制度化保护管理制度 中国轻工信息中心等保管理制度 2 目目 录录 分册一分册一 安全管理制度安全管理制度5 5 第一章 总则 5 第二章 机构总体安全方针与安全策略管理制度 5 第三章 制度管理 9 分册二分册二 安全管理机构安全管理机构1010 第一章管理机构和职责 .10 第二章岗位职责及人员配备 .12 第三章授权和审批 .13 第四章沟通和合作 .15 第五章审核和检查插入附件 .16 分册三分册三 人员安全管理制度人员安全管理制度1717 第一章人员录用 .17 第二章岗位人选 .17 第三章安全意识教育和培训

2、.17 第四章人员考核 .18 第五章外部人员访问管理 .18 第六章签订保密合同 .19 第七章人员离岗 .19 分册四分册四 系统建设管理系统建设管理2020 第一章信息系统产品选型采购管理制度 .20 第二章信息系统自行软件开发管理制度 .21 第三章信息系统外包软件开发管理制度 .22 第四章信息系统工程实施管理制度 .22 第五章信息系统工程验收管理制度 .25 第六章信息系统工程交付管理制度 .26 第七章系统备案管理制度 .26 第八章信息系统安全服务商选择管理办法 .26 分册五分册五 系统运维管理系统运维管理2828 第一章环境管理 .28 中国轻工信息中心等保管理制度 3

3、第二章资产管理 .30 第三章介质管理 .31 第四章设备管理 .34 第五章监控管理和安全管理中心 .40 第六章网络安全管理 .41 第七章系统安全管理 .45 第八章恶意代码防范管理 .50 第九章密码管理 .51 第十章变更管理 .52 第十一章备份与恢复管理.52 第十二章安全事件处置.54 第十三章应急预案管理.60 第十四章附则.66 附件附件6767 附件 1信息系统安全管理制度样式模板 .67 附件 2信息系统技术岗位人员配备要求 .69 附件 3安全管理各岗位人员信息表 .72 附件 4信息安全外单位沟通合作联系表 .72 附件 5聘用顾问申请审批表 .73 附件 6安全顾

4、问名单 .74 附件 7人员需求申请、面试评估、转正评估一体表 .75 附件 8信息系统内部工作人员保密协议 .77 附件 9信息系统关键岗位安全协议 .80 附件 10信息安全岗位培训计划制定要求 .81 附件 11安全培训签到表 .83 附件 12安全责任和惩戒措施（试行） .84 附件 13外部人员访问申请审批单（含安全责任协议） .86 附件 14信息系统产品采购申请审批单 .88 附件 15GB/T 8566-2007 信息技术 软件生存周期过程简介和目录89 附件 16软件代码编写遵循原则 .91 附件 17程序资源库修改、更新、发布审核表 .92 附件 18软件系统正式上线管理办

5、法 .93 附件 19软件系统验收管理办法 .95 中国轻工信息中心等保管理制度 4 附件 20安全服务商保密协议样本 .97 附件 21机房管理日志 100 附件 22机房基础设施维护记录样表 101 附件 23第三方人员进入机房登记表样表 101 附件 24节假日值班样表 102 附件 25资产清单 102 附件 26资产类型代码定义表 104 附件 27介质管理清单 104 附件 28介质管理记录 105 附件 29介质维修记录表 106 附件 30介质销毁记录表 107 附件 31维修单位保密协议书 108 附件 32产品采购申请审批单 109 附件 33携带物品出门条 110 附件

6、34设备维修记录表 111 附件 35设备报废记录表 112 附件 36设备维护记录表 113 附件 37网络巡检表 118 附件 38主机巡检表 119 附件 39数据库巡检表 121 附件 40应用服务巡检表 122 附件 41机房设备巡检表 123 附件 42客户端计算机准入与变更控制流程 124 附件 43设备准入申请与执行记录表 125 附件 44网络外联授权申请表 126 附件 45网络设备配置更改记录表 127 附件 46系统用户新增变更注销申请表 128 附件 47变更审批单 129 附件 48数据备份和恢复策略文档 132 附件 49定期备份系统清单 137 附件 50运维部

7、门备份策略审批表 138 附件 51业务部门需求申请提交与执行记录表 139 附件 52数据备份和恢复记录 140 附件 53重大信息安全事件报告表 141 中国轻工信息中心等保管理制度 5 附件 54重大信息安全事件处理结果报告表 142 附件 55系统异常事件处理记录 143 附件 56应急处置审批表 144 中国轻工信息中心等保管理制度 6 分册一分册一 安全管理制度安全管理制度 第一章第一章 总则总则 第一条 为规范和加强中国轻工业信息中心信息系统的建设、使用、 维护和管理工作，保证信息系统稳定可靠的运行，维护社会 秩序、公共利益和国家安全，特制定本制度。 第二条 本制度根据中华人民共

8、和国计算机信息系统安全保护条例 、 信息安全技术 信息系统安全管理要求 （GB/T 20269- 2006） 、 信息系统安全等级保护基本要求 、 信息系统安 全等级保护测评准则 ，等有关法律、标准、政策，制定本 制度。 第三条 本制度适用于中国轻工业信息中心。所有连入信息中心网络 的个人用户、单位用户、计算机房等，都必须遵守本制度。 第二章第二章 机构总体安全方针与安全策略机构总体安全方针与安全策略管理制度管理制度 第一节第一节 系统总体安全方针系统总体安全方针 第四条 根据国家信息安全等级保护坚持自主定级、自主保护的原则， 根据信息系统在国家安全、经济建设、社会生活中的重要程 中国轻工信息

9、中心等保管理制度 7 度，信息系统遭到破坏后对国家安全、社会秩序、公共利益 以及公民、法人和其他组织的合法权益的危害程度等因素确 定将中国轻工业信息中心信息系统定级为最高国家信息安全 等级保护第三级。 第一条 中国轻工业信息中心信息系统是由中国轻工业信息中心为 管理单位，为中国轻工业提供信息化服务。 第二条 本制度为中国轻工业信息中心信息系统建立相应的安全管 理制度，明确岗位职责，实行领导责任制，层层落实，责任 到人，使系统中的每个工作人员都明确应承担的责任和义务。 第三条 所有连入本系统的个人用户、单位用户、计算机房等，都 必须遵守本制度。 第四条 中国轻工业信息中心信息安全管理工作的指导方

10、针“预防为 主，安全第一，依法办事，综合治理”。 “预防为主”是信息安 全管理工作的基本方针。 第五条 安全策略：主管部门制定清晰的信息安全方针，并通过在 整个业务运行中颁发和维护信息安全方针来表明高层对信息 安全支持和承诺。 第六条 信息中心根据信息系统的保护等级、安全需求和安全目标， 中国轻工信息中心等保管理制度 8 结合中国轻工业信息中心自身的实际情况，依据国家有关安 全法规和国家标准，制定安全策略。并根据环境、系统和威 胁的变化情况，及时调整安全策略，制定新的防护计划，实 施必要的防护措施，动态保障系统的安全性。 第七条所有信息系统安全控制措施（包括技术控制措施和管理控制 措施）的选择

11、、运营和维护均依据安全策略进行。 第八条对安全管理工作的各类管理内容建立安全管理制度和操作规 程，并要求管理人员或操作人员按照管理制度和操作规程进 行日常管理操作。形成由安全策略、管理制度、操作规程等 构成的全面的信息安全管理制度体系。 第二节第二节 系统运行使用安全策略系统运行使用安全策略 第一条 中国轻工业信息中心信息系统的安全管理策略由信息中心 负责制定与更新。信息中心根据信息系统的保护等级、安全 需求和安全目标，结合中国轻工业信息中心自身的实际情况， 依据国家有关安全法规和国家标准，制定安全管理策略。并 应根据环境、系统和威胁变化情况，及时调整安全策略，制 定新的防护计划。 第二条 策

12、略规则审核。定期对系统内安全设备的安全策略规则进 行审核。 中国轻工信息中心等保管理制度 9 第三条 策略规则备份。定期对系统内安全设备的安全策略规则进 行备份。 第四条 软件安装控制。对系统内软件安装进行集中管理，严禁用 户私自安装。 第五条 系统变更管理。根据系统规模、用户数量变化的情况进行 风险评估，及时调整系统的保护策略。 第六条 符合性检查。应定期采用技术手段对系统的运行情况和用 户操作行为进行安全法规、国家保密标准符合性方面的检查。 第七条 文档资料。更新应根据系统的变化情况，及时更新系统文 档资料，使之与实际状况保持一致。 第八条 由信息中心负责制定主干防火墙访问控制策略，查看（

13、用 户权限）主干防火墙的访问控制策略；负责主干防火墙的日 志审计，每月导出一次防火墙审计日志，进行审计并备案。 第九条 在缺省情况处于关闭状态，即不允许任何数据经过防火墙， 内外网之间的用户完全隔离。用户在使用时根据实际需要在 防火墙上开放端口，允许相关的服务通过防火墙，达到既保 证内网安全又能提供对外部网络的访问。 第十条 主机审计安全管理策略由信息中心制定统一的监控策略下 中国轻工信息中心等保管理制度 10 发，对全网各个接入端进行实时监控，防止任何未得到许可 的非法接入，包括文件监控、非法外连监控、地址绑定监控、 设备监控、打印监控等。 第十一条入侵检测系统安全管理策略利用入侵检测系统识

14、别来自网 络外部或内部的多种攻击行为，实时报警和记录入侵信息， 并根据事件的等级程度实现与防火墙的联动，阻断入侵来源， 为网络系统提供安全保障。 第十二条由信息中心负责主要的检测策略的制定和升级，通过刻盘 导入，信息中心可以根据实际情况增加更细粒度的检测规则， 信息中心和各接入部门将审计日志按月导出，备份。 第十三条安全管理的服务器、客户机需部署防病毒软件，信息中心 做统一的策略管理和病毒码的升级。对于所有的客户端，采 用开启全部实时监控的策略。 第十四条身份认证管理策略身份认证体系作为内网基础建设设施， 具有基本的身份鉴别、身份认证、应用加密等安全机制。其 管理策略主要集中在数字证书的生成、

15、分发、管理等多个方 面。 第十五条证书的生成由信息中心负责；证书的发放由信息中心负责。 通过涉密内网完善的数字证书管理办法，严格控制证书的生 中国轻工信息中心等保管理制度 11 成、分发和管理。 第十六条信息系统中一些服务器、用户终端以及应用程序的本地登 录和远程登录是否需要进行用户身份鉴别。 第十七条对敏感信息、重要信息和主体进行分类分级并对主体访问 敏感信息和重要信息采用分类分级的强制访问控制策略。 第十八条安全域之间的边界应划分明确，各安全域之间的所有数据 通信都应安全可控； 第十九条在不同等级的安全域间通信，应禁止敏感信息由高等级安 全域流向低等级安全域。 第三章第三章 制度管理制度管

16、理 第一节第一节 管理制度管理制度 第一条 对安全管理活动中的各类管理内容建立安全管理制度，以规 范安全管理活动，约束人员的行为方式。 第二条 对要求管理人员或操作人员执行的日常管理操作，建立操作 规程（见分册五第四章设备管理第四节设备操作规程） ，以 规范操作行为，防止操作失误。 第三条 形成由安全政策、安全策略、管理制度、操作规程等构成的 全面的信息安全管理制度体系。 中国轻工信息中心等保管理制度 12 第二节第二节 制定与发布制定与发布 第四条 在信息安全领导小组的负责下，指定或授权运维部门负责安 全管理制度的制定。 第五条 用统一的格式（格式见附件 1）编写安全管理制度，并进行 版本控制。 第六条 组织相关人员对制定的安全管理制度进行论证和审定。 第七条 安全管理制度经过管理层签发后通过正式、有效的方式发布。 第八条 安全管理制度在发布时注明发布范围，并对收发文进行登记。 第三节第三节 评审和修订评审和修订 第九条 信息安全领导小组负责定期组织运维部门对安全管理制度体 系的合理性和适用性进行审定。 第十条 每年对安全管理制度进行检查和审定，对存在