《信息安全管理制度参考模板教学内容(DOC 140页)》由会员分享,可在线阅读,更多相关《信息安全管理制度参考模板教学内容(DOC 140页)(140页珍藏版)》请在金锄头文库上搜索。
1、信息安全管理制度参考模板信息安全管理制度参考模板(试行)宁波市网络与信息安全协调小组办公室宁波市经济和信息化委员会二一二年十二月目 录前 言1一、关于编制背景1二、关于体系结构1三XXX国际互联网使用管理办法5附件1、开通外网申请表8附件2、信息发布涉密审查登记表9四、XXX内网安全管理制度10五、XXX涉密网络安全管理制度16六、XXX信息安全组织机构管理制度22附件1、信息安全检查工作责任书27附件2、互联网信息安全检查工作责任书29附件3、内网信息安全检查工作责任书31附件4、信息系统安全等级(分级)保护工作责任书33附件5、信息安全保密工作责任书35附件6、信息安全风险评估工作责任书3
2、7附件7、信息安全应急响应工作责任书39附件8、安全管理员职责说明书41附件9、系统管理员职责说明书43附件10、网络管理员职责说明书44附件11、机房管理员职责说明书45附件12、安全审计员职责说明书46附件13、信息审查员职责说明书47七、XXX信息安全事件管理办法48八、XXX信息系统信息发布制度52附件1、信息发布审批登记表54九、XXX机房安全管理制度55附件1、进入XXX申请处58附件2、机房出入登记表59附件3、机房巡检表60十、XXX网络安全管理制度62十一、XXX信息系统运行维护管理制度67附件1、备份计划表73附件2、数据恢复测试计划表74十二、XXX信息系统用户管理制度7
3、5附件1、安全保密责任书(在岗人员)82附件2、保密承诺书(离岗人员)86附件3、信息安全培训计划表88附件4、信息安全培训记录表89附件5、用户权限审批和修改表90十三、XXX信息资产和设备管理制度91附件1、内(外)网PC资产信息表105附件2、服务器内外网IP对应表106附件3、安全产品清单107十四、XXX信息系统安全审计管理制度108十五、XXX数据存储介质管理制度115十六、XXX软件开发项目管理制度117前 言信息安全管理制度是实现信息安全管理的重要方面,是信息安全考评和检查的重要内容。近年来,我省党政机关、重要信息系统的信息安全检查结果表明,一些单位或部门对如何建立信息安全制度
4、体系缺乏了解,对体系构成、制度要素、内容覆盖等方面缺乏完整性和规范性。为了更好地指导各单位建立信息安全管理制度,根据国家、省和市信息安全考评和检查的有关要求,结合工作重点,我们编制了“信息安全管理制度参考模板”(试行),供各单位完善信息安全制度体系建设参考。各单位可根据自身业务特点和信息系统建设情况,对本制度模板进行增加、减少、修改等选择性采用。一、关于编制背景信息安全管理制度是实现信息安全管理的重要方面,是信息安全考评和检查的重要内容。近年来,我市党政机关、重要信息系统的信息安全检查结果表明,一些单位或部门对如何建立信息安全制度体系缺乏了解,对体系构成、制度要素、内容覆盖等方面缺乏完整性和规
5、范性。为了更好地指导各单位编制信息安全制度,根据国家、省和市信息安全考评和检查的有关要求,结合工作重点,我们编制了“信息安全管理制度参考模板”(试行),供各单位完善信息安全制度体系建设参考。二、关于体系结构制度模板采用金字塔型的“三层”架构设计,由单位发文、部门发文和记录文档三部分组成。各部分详细结构如下:第一层:单位发文包含制度如下:1) XXX国际互联网使用管理办法2) XXX内网安全管理制度3) XXX涉密网络安全管理制度4) XXX信息安全组织机构管理制度a) 信息安全检查工作责任书b) 内网信息安全检查工作责任书c) 互联网信息安全检查工作责任书d) 信息系统安全等级(分级)保护工作
6、责任书e) 信息安全保密工作责任书f) 信息安全风险评估工作责任书g) 信息安全应急响应工作责任书h) 安全管理员职责说明书i) 系统管理员职责说明书j) 网络管理员职责说明书k) 机房管理员职责说明书l) 安全审计员职责说明书m) 信息审查员职责说明书5) XXX信息安全事件管理办法6) XXX信息系统信息发布制度本部分制度适用于单位对信息系统的全局性管理,为信息系统管理的基础制度,应为单位全体人员普遍遵守。第二层:部门发文包含制度如下:1) XXX机房安全管理制度2) XXX网络安全管理制度3) XXX信息系统运行维护管理制度4) XXX信息系统用户管理制度a) 安全保密责任书(在岗人员)
7、b) 保密承诺书(离岗人员)5) XXX信息资产和设备管理制度6) XXX信息系统安全审计管理制度7) XXX数据存储介质管理制度8) XXX软件开发项目管理制度本部分制度适用于技术部门(如:信息中心、应用开发、安全运维等)的日常管理,为信息系统的技术类管理制度。第三层:记录文档包含的部分表单如下:1) 开通外网申请表2) 信息发布涉密审查登记表3) 信息发布审批登记表4) 进入XXX申请表5) 机房出入登记表6) 机房巡检表7) 备份计划表8) 数据恢复测试计划表9) 信息安全培训计划表10) 信息安全培训记录表11) 用户权限审批和修改表12) 内(外)网PC资产信息表13) 服务器内外网
8、IP对应表14) 安全产品清单本部分记录文件是印证单位发文、部门发文得到落实的客观记录,是联合检查的重要内容。三XXX国际互联网使用管理办法XXX国际互联网使用管理办法第一条 为规范党政机关国际互联网(以下简称:外网)的使用和管理,根据国家有关法律法规的规定,结合本单位实际,制定本制度。第二条 外网的开通和使用,实行方便工作和保障安全相结合的原则。第三条 XX部门是外网管理工作的主要责任部门,负责外网的网络管理和维护保障工作,以及网站日常工作的管理。XXX部门负责外网网站发布信息的审核、舆论导向的指引。XXX部门负责外网上网指引、登记备案和有关法律法规的宣传教育。第四条 特殊工作岗位实行定岗管
9、理,特殊工作岗位可开通外网。其他工作岗位需要开通外网的,实行配额管理。第五条 申请开通外网的程序是:填写“开通外网申请表”,经部门领导同意后,报XX部门提出审核意见,审核通过的,进行登记备案后,由XX部门办理开通事宜。第六条 超出配额的,申请部门应提出撤销原使用人员名单,否则,申请不予受理。被停止使用外网人员的上网设备由XX部门负责拆除。第七条 接入互联网的电脑应与内网物理隔离,严禁在外网计算机上处理涉密文件和敏感的工作信息。第八条 在外网计算机上使用的移动存储介质禁止在内网和涉密网中使用,杜绝发生U盘交叉使用(混用)的现象。第九条 上网人员要自觉接受身份认证和IP绑定技术对个人上网活动的安全
10、监督检查,严禁擅自改动单位分配的IP地址。第十条 及时对外网计算机操作系统补丁进行更新。第十一条 上网人员要提高自身的恶意代码防范意识,在接收文件或邮件之前,必须先进行恶意代码检查。第十二条 上网人员应自觉学习国家有关的法律法规,严禁在外网计算机上使用存有涉密信息的优盘、移动硬盘等移动存储介质。第十三条 严禁在互联网上浏览反动、淫秽等国家明文禁止的信息。违反规定者,按国家有关法规和相关纪律处分规定追究责任。第十四条 应当建立健全信息发布涉密审查制度,指定机构和人员对拟在互联网及其他公共信息网络发布的信息进行涉密审查,并建立审查记录档案。第十五条 本制度由XXXX负责解释。第十六条 本制度自发布
11、之日起生效执行。附件:1.开通外网申请表 2.信息发布涉密审查登记表附件1、开通外网申请表附件1开通外网申请表申请人姓名所在部门申请原因:部门领导意见: 负责人(签章):XX部门审核意见: 负责人(签章):外网接入安全管理承诺1、自觉遵守国家计算机信息网络安全管理的有关法律和行政法规。2、自觉遵守我单位国际互联网使用管理制度。3、所申请的外网仅供本人使用。4、申请人确认上述承诺,如有违反愿接受相应处罚。 申请人签字: 年 月 日附件2、信息发布涉密审查登记表附件2信息发布涉密审查登记表编号: 填表日期: 年 月 日信息发布人所属部门信息标题信息类别信息内容:涉密审查内容1工作敏感信息发现 未发
12、现2国家秘密信息发现 未发现3国家机密信息发现 未发现4国家绝密信息发现 未发现审查意见审查通过,予以发布涉及敏感信息,暂缓发布审查人(签章): 年 月 日四、XXX内网安全管理制度XXX内网安全管理制度第一章总 则第一条 为加强内部计算机网络(即党政机关内部计算机网络,以下简称内网,网内的计算机以下统称为内网计算机,使用人员以下统称为内网用户)的使用和管理,保障内网的安全稳定运行,根据国家法律、法规和相关规定,结合本单位实际,制定本制度。第二条 本制度规范的内容包括:网络管理、终端管理、用户管理、介质管理和安全事件报告。第三条 XX部门是内网管理工作的主要责任部门,负责内网的网络管理和维护保
13、障工作。第二章 网络管理第四条 内网必须与国际互联网实行物理隔离。第五条 内网进行分级、分层、分域管理,对内网信息系统及相应的局域网(业务专网)划分为独立可管理和控制的安全域。不同的安全域应采取相应的安全策略和保护手段。第六条 建设内网安全与应用支撑平台,实行内网用户、资源的统一注册管理,并为单位信息系统的安全和安全域防护提供身份鉴别、授权管理、边界防护等公共安全技术手段。第七条 加强对内网信息上网前的保密审查和对已上网信息的保密检查,防止涉及国家秘密的信息上网。第八条 按国家相关要求定期开展信息安全等级保护和风险评估工作,排除信息系统安全隐患。对于集中处理工作秘密的信息系统可以参照秘密级信息系统的分级保护相关要求实施安全防护。第九条 内网应配置独立的交换机,内网综合布线须满足涉及国家秘密的信息系统分级保护技术要求中的相关要求。第十条 内网信息系统利用公网(PSTN、ISDN、ADSL、DDN、X.25、帧中继、ATM、SDH 等)进行远程传输时,必须使用VPN技术和IP密码机实行加密处理。第十一条 内网因工作需要与其他网络进行连接,连接方式和设备必须满足国家保
