信息安全管理制度参考模板课件

信息安全管理制度参考模板 福建省网络信息安全协调小组办公室 二0 一二年-一月 一、 XXX厅（局）国际互联网使用管理办法 2 二、 XXX厅（局）内网安全管理制度 4 三、 XXX厅（局）信息安全组织机构管理制度 8 四、 XXX厅（局）信息安全事件管理办法 21 五、 XXX厅（局）信息系统信息发布制度 24 六、 XXX厅（局）机房安全管理制度 26 七、 XXX厅（局）网络安全管理制度 31 八、 XXX厅（局）信息系统运行维护管理制度 33 九、 XXX厅（局）信息系统用户管理制度 38 十、XXX厅（局）信息资产和设备管理制度 45 十一、XXX厅（局）信息系统安全审计管理制度 52 十二、XXX厅（局）数据存储介质管理制度 57 十三、XXX厅（局）软件开发项目管理制度 58 十四、XXX厅（局）信息系统建设管理制度 61 十五、XXX厅（局）信息系统应急预案 68 十七、XXX厅（局）信息系统变更管理制度 71 十八、XXX厅（局）技术测评制度 72 信息安全管理制度参考模板编制说明 74 XXX厅（局） 国际互联网使用管理办法 第一条 为规范党政机关国际互联网（以下简称：外网）的使用和管理，根据国 家有关法律法规的规定，结合本单位实际，制定本制度。 第二条外网的开通和使用，实际方便工作和保障安全相结合的原则。 第三条XX部门是外网管理工作的主要责任部门，负责外网的网络管理和维护 保障工作，以及网站日常工作的管理。xxx部门负责外网网站发布信息的审核、 舆论导向的指引。xxx部门负责外网上网指引、登记备案和有关法律法规的宣传 教育。 第四条 特殊工作岗位实行定岗管理，特殊工作岗位可开通外网。其他工作岗位 需要开通外网的，实行配额管理。 第五条 申请开通外网的程序是：填写“开通外网申请表"，经部门领导同意后, 报XX部门提出审核意见，审核通过的，进行登记备案后，由XX部门办理开通事 宜。 第六条 超出配额的，申请部门应提出撤销原使用人员名单，否则，申请不予受 理。被停止使用外网人员的上网设备由XX部门负责拆除。 第七条接入互联网的电脑应与内网物理隔离，严禁在外网计算机上处理涉密文 件和敏感的工作信息。 第八条在外网计算机上使用的移动存储介质禁止在内网和涉密网中使用，杜绝 发生U盘交叉使用（混用）的现象。 第九条上网人员要自觉接受身份认证和IP绑定技术对个人上网活动的安全监 督检查，严禁擅自改动单位分配的IP地址。 第十条及时对外网计算机操作系统补丁进行更新。 第十一条上网人员要提高自身的恶意代码防范意识，在接收文件或邮件之前， 必须先进行恶意代码检查，或利用杀毒软件进行检查。 第十二条 上网人员应自觉学习国家有关的法律法规，严禁在外网计算机上使用 存有涉密信息的优盘、移动硬盘等移动存储介质。 第十三条严禁在互联网上浏览反动、淫秽等国家明文禁止的信息。违反规定者, 按国家有关法规和相关纪律处分规定追究责任。 第十四条 本制度由XXXX负责解释。 第十五条本制度自发布之日起生效执行。 附件：开通外网申请表 开通外网申请表 申请人姓名 所在部门 申请原因： 部门领导意见： 负责人（签章）: XX部门审核意见: 负责人（签章）： 外网接入安全管理承诺 1、 自觉遵守国家计算机信息网络安全管理的有关法律和行政法规。 2、 自觉遵守我单位国际互联网使用管理制度 3、 所申请的外网仅供本人使用 4、 申请人确认上述承诺，如有违反愿接受相应处罚。 申请人签字： 年 月 日 二、XXX厅（局）内网安全管理制度 XXX厅（局） 内网安全管理制度 第一章总则 第一条为加强内部计算机网络（即党政机关内部计算机网络，以下简称内 网，网内的计算机以下统称为内网计算机，使用人员以下统称为内网用户）的使 用和管理，保障内网的安全稳定运行，根据国家法律、法规和相关规定，结合本 单位实际，制定本制度。 第二条 本制度规范的内容包括：网络管理、终端管理、用户管理、介质管 理和安全事件报告。 第三条xx部门是内网管理工作的主要责任部门，负责内网的网络管理和 维护保障工作。 第二章网络管理 第四条内网必须与国际互联网实行物理隔离。 第五条 内网进行分级、分层、分域管理，对内网信息系统及相应的局域网 （业务专网）划分为独立可管理和控制的安全域。不同的安全域应采取相应的安全 策略和保护手段。 第六条 建设内网安全与应用支撑平台，实行内网用户、资源的统一注册管 理，并为单位信息系统的安全和安全域防护提供身份鉴别、授权管理、边界防护 等公共安全技术手段。 第七条加强对内网信息上网前的保密审查和对已上网信息的保密检查，防 止涉及国家秘密的信息上网。 第八条按国家相关要求定期开展信息安全等级保护和风险评估工作，排除 信息系统安全隐患。对于集中处理工作秘密的信息系统可以参照秘密级信息系统 的分级保护相关要求实施安全防护。 第九条 内网应配置独立的交换机，内网综合布线须满足《涉及国家秘密的 信息系统分级保护技术要求》中的相关要求。 第十条 内网信息系统利用公网（PSTN、ISDN、ADSL、DDN、X. 25、帧中继、 ATM、SDH等）进行远程传输时，必须使用VPN技术和IP密码机实行加密处理。 第十一条 内网因工作需要与其他网络进行连接，连接方式和设备必须满足 国家保密部门的要求。 第十二条内外网因工作需要进行数据交换时，必须采用符合国家保密部门 要求的方式（如：刻录光盘）或设备（如：保密部门认可的安全移动存储介质管理 系统）0 第十三条 通过部署统一的补丁升级系统、防病毒系统、漏洞扫描系统、网 页防篡改系统、存储备份系统、容灾系统，建立与应用相适应的安全策略，全面 加强主机和应用系统安全。 第十四条 建立监控、备份恢复、应急处理、安全审计、安全事件报告等工 作制度。技术部门通过监控机房、网络、主机、应用、数据等运行状态，主动发 现安全隐患，及时采取相应措施，尽快恢复受影响或被中断的应用服务。 第三章终端管理 第十五条内网计算机必须安装违规上互联网监控软件。 第十六条内网计算机应采用“双布线双用户终端"或“双布线单用户终端” 的隔离卡物理隔离解决方案。 第十七条 严禁在内网计算机上使用无线网卡、无线键盘、无线鼠标、蓝牙 等一切无线设备。 第十八条 严禁在内网发布涉密信息，内网计算机不得存储、处理、传输国 家秘密信息，非涉密移动存储介质不得存储国家秘密信息。 第十九条 严禁在内网计算机上连接手机、相机、USB存储介质等一切非授 权的可存储或连接其他网络的外置设备。 第二十条内网计算机启用屏幕保护程序并设置恢复密码，屏幕保护的闲置 时间设置为10分钟以内。 第二十一条内网计算机必须保证密码安全。内网计算机和应用系统密码需 定期修改，密码长度不少于8位，并由字母、数字和特殊字符混合组成。 第二十二条及时对内网计算机操作系统补丁和防病毒软件病毒库进行更 新，定期对计算机进行全盘扫描、杀毒。 第四章用户管理 第二十三条内网用户应定期接受保密教育和培训，建立完善的人员安全监 管制度。 第二十四条对内网用户进入网络的行为实行安全准入管理制度。安全准入 行为管理包括便携式计算机、台式计算机、移动存储介质、打印机等设备的注册, 外来软件的安装等。 第二十五条 内网用户不得私自安装与工作无关的软件，如需安装非工作需 要的软件必须向XX部门申请。 第二十六条 内网用户不得擅自更改内网计算机系统设置，如计算机名、IP 地址、用户名等。 第二十七条内网用户不得通过拨号、无线网卡等方式连接国际互联网。 第二十八条定期组织对内网信息系统的安全保密检测和检查，加强对内 网、保密技术知识的教育和培训。 第五章介质管理 第二十九条内网计算机必须使用部门认可的内网专用移动存储介质。 第三十条 指定专人负责安全移动存储介质管理系统的保管、发放、登记管 理等，建立介质资产清单，落实安全责任制度，明确责任主体。 第三十一条内网计算机及安全移动存储介质改变用途或报废之前，须由技 术人员使用专用数据销毁工具将硬盘或移动存储介质中的数据进行彻底清除， 以保护信息安全。 第三十二条内网安全移动存储介质的维修、报废，先报主管领导审批，由 专人负责登记备案后，再进行维修、报废处理。 第六章安全事件报告 第三十三条 内网用户发现安全事件已经发生或可能发生时，应立即采取补 救措施并及时报告XX部门。 第三十四条XX部门接到报告后，应当立即做出处理，并及时向上级领导 部门报告。 第三十五条 内网用户对本人的行为负责；各部门负责人负有管理、监督本 部门人员遵守本办法的责任。 第三十六条 违反本制度规定的，由管理部门或管理人员及时报告XX, XX 根据违规情况按有关法规追究责任。 第七章附则 第三十七条 本制度由XXXX负责解释。 第三十八条本制度自发布之日起生效执行。 三、XXX厅（局）信息安全组织机构管理制度 XXX厅（局） 信息安全组织机构管理制度 第一章总则 第一条 为加强信息安全管理，明确信息安全责任，保障信息化建设的稳步 发展，特制定本制度。 第二章机构设置 第二条由单位主管信息化工作的领导牵头，组织与信息安全相关的各部门 负责人，成立信息安全领导机构，统筹管理信息安全相关工作。 第三条信息安全领导机构下设政府信息安全检查工作、互联网信息安全检 查工作、内网信息安全检查工作、信息安全风险评估工作等专项工作小组，分别 负责信息安全各领域相关工作。 第四条成立信息安全领导机构，完成以下岗位和成员的设置。信息安全领 导机构：组长、副组长、成员。 第五条成立政府信息安全检查工作小组，完成以下岗位和成员的设置。政 府信息安全检查工作小组：组长、副组长、成员。 第六条成立互联网信息安全检查工作小组，完成以下岗位和成员的设置。 互联网信息安全检查工作小组：组长、副组长、成员。 第七条成立内网信息安全检查工作小组，完成以下岗位和成员的设置 内网信息安全检查工作小组：组长、副组长、成员。 第八条成立信息安全应急响应工作小组，完成以下岗位和成员的设置。 信息安全应急响应工作小组：组长、副组长、成员。 第九条 成立信息系统安全等级（分级）保护工作小组，并完成以下岗位和 成员的设置。信息系统安全等级（分级）保护工作小组：组长、副组长、成员。 第十条成立信息安全风险评估工作小组，完成以下岗位和成员的设置。 信息安全风险评估工作小组：组长、副组长、成员。 第三章工作职责 第十一条信息安全领导机构工作职责。 信息安全领导机构负责领导安全工作的规划、建设和管理，检查指导各下属 工作小组信息安全工作，协调处理信息安全工作中产生的重大问题，建设和完善 信息安全组织体系。 第十二条政府信息安全检查工作小组工作职责。 政府信息安全检查工作小组人负责检查信息安全制度落实情况、安全防范措 施落实情况、安全防范措施落实情况、应急响应机制建设情况、责任追究情况、 安全隐患排查及整改情况、安全形势、安全风险状况等。 第十三条互联网信息安全检查工作小组工作职责。 互联网信息安全检查工作小组负责互联网信息安全检查工作部署、制定检查 工作计划和检查方案，监控互联网信息系统安全状况，定期汇总分析并提出安全 分析报告。 第十四条内网信息安全检查工作小组工作职责。 内网信息安全检查工作小组负责安排内网信息安全检查工作、制定检查工作 计划和检查方案、对检查工作进行检查部署，监控内网信息系统安全状况，定期 汇总分析并提出安全分析报告。 第十五条 信息系统安全等级（分级）保护工作小组工作职责。 信息系统安全等级（分级）保护工作小组负责制定详细的信息系统安全等级 （分级）保护工作计划、采购和使用相应等级的信息安全产品、建设安全设施、 落实安全技术措施、完成系统整改等。 第十六条信息安全应急响应工作小组工作职责。 信息安