《信息安全管理制度汇编》由会员分享,可在线阅读,更多相关《信息安全管理制度汇编(129页珍藏版)》请在金锄头文库上搜索。
1、-内部资料注意保存*信息平安制度汇编*二一六年一月. z.-目录一、总则6二、平安管理制度7第一章管理制度71.平安组织构造71.1信息平安领导小组职责71.2 信息平安工作组职责81.3信息平安岗位92.平安管理制度112.1平安管理制度体系112.2平安方针和主策略122.3平安管理制度和标准122.4平安流程和操作规程142.5平安记录单14第二章制定和发布15第三章评审和修订16三、平安管理机构17第一章岗位设置171.组织机构172.关键岗位19第二章人员配备21第三章授权和审批22第四章沟通和合作24第五章审核和检查26四、人员平安管理28第一章人员录用281.组织编制282.招聘
2、原则283.招聘时机284.录用人员根本要求295.招聘人员岗位要求296.招聘种类296.1 外招296.2 内招307.招聘程序307.1 人事需求申请307.2 甄选307.3 录用32第二章*协议33第三章人员离岗35第三章人员考核371制定平安管理目标372.目标考核383.奖惩措施38第四章平安意识教育和培训391.平安教育培训制度39第一章总则39第二章平安教育的含义和方式39第三章平安教育制度实施39第四章三级平安教育及其他教育内容41第五章附则43第五章外部人员访问管理制度441.总则442.来访登记控制443.进出门禁系统控制454.携带物品控制46五、系统建立管理47第一
3、章平安方案设计471.概述472设计要求和分析482.1平安计算环境设计482.2平安区域边界设计492.3平安通信网络设计502.4平安管理中心设计503针对本单位的具体实践513.1平安计算环境建立513.2平安区域边界建立523.3平安通信网络建立523.4平安管理中心建立533.5平安管理标准制定543.6系统整体分析54第二章产品采购和使用55第三章自行软件开发581.申报582.平安性论证和审批583.复议584.工程平安立项585.工程管理595.1 概要595.2正文60第四章工程实施621.信息化工程实施阶段622.概要设计子阶段的平安要求623.详细设计子阶段的平安要求63
4、4.工程实施子阶段的平安要求63第五章测试验收651.文档准备652.确认签字653.专人负责654.测试方案65第六章系统交付681.试运行682.组织验收68第七章系统备案701.系统备案702.设备管理703.投产后的监控与跟踪72第八章平安效劳商选择74六、系统运维管理75第一章环境管理751.机房环境、设备752.办公环境管理76第二章资产管理811.总则812.资产管理制度81第三章介质管理851.介质平安管理制度851.1计算机及软件备案管理制度851.2计算机平安使用与*管理制度851.3用户密码平安*管理制度861.4涉密移动存储设备的使用管理制度861.5数据复制操作管理制
5、度871.6计算机、存储介质、及相关设备维修、维护、报废、销毁管理制度87第四章设备管理891.主机、存储系统运维管理892.应用效劳系统运维管理893.数据系统运维管理904.信息*管理915.日常维护916.:平安检查表92第五章监控管理和平安管理中心941.监控管理942.平安管理中心95第六章网络平安管理96第七章系统平安管理981.总则982.系统平安策略983.系统日志管理994.个人操作管理1005.惩办100第八章恶意代码防范管理1011.恶意代码三级防范机制1011.1恶意代码初级平安设置与防范1011.2.恶意代码中级平安设置与防范1011.3恶意代码高级平安设置与防范10
6、22.防御恶意代码技术管理人员职责1023.防御恶意代码员工日常行为标准103第九章密码管理104第十章变更管理1061.变更1062.变更程序1062.1变更申请1062.2变更审批1062.3 变更实施1062.4变更验收106一变更申请表107二变更验收表108第十一章备份与恢复管理1091.总则1092.设备备份1103.应用系统、程序和数据备份1114.备份介质和介质库管理1145.系统恢复1156.人员备份116第十二章平安事件处置1171.工作原则1172.组织指挥机构与职责1173.先期处置1184.应急处置1194.1应急指挥1194.2应急支援1194.3信息处理1194.
7、4应急完毕1205后期处置1205.1善后处置1205.2调查和评估121第十三章应急预案管理1221.应急处理和灾难恢复1222.应急方案1233.应急方案的实施保障1244.应急演练125. z.-一、总则为标准*信息平安工作,确保全体员工理解信息平安工作与职责,并落实到日常工作中,推动信息平安保障工作的顺利进展,结合*的实际情况,特制定本制度。本管理制度所称信息系统平安,包括计算机网络和应用系统以下简称信息系统的硬件、软件、数据及环境受到有效保护,信息系统的连续、稳定、平安运行得到可靠保障。信息系统平安管理坚持“谁主管谁负责的原则,公司的所有部门和员工都应各自履行相关的信息系统平安建立和
8、管理的义务与责任。信息系统平安工作的总体目标是:实施信息系统平安等级保护,建立健全先进实用、完整可靠的信息系统平安体系,保证系统和信息的完整性、真实性、可用性、*性和可控性,保障信息化建立和应用,支撑公司业务持续、稳定、安康开展。信息系统平安体系建立必须坚持“统一标准、保障应用、符合法规、综合防范、集成共享的原则。本制度适用于公司所有部门和个人。. z.-二、平安管理制度第一章 管理制度1.平安组织构造*平安管理组织应形成由主管领导牵头的信息平安领导小组、具体信息平安职能部门负责日常工作的组织模式,组织构造图如下所示:组织机构图1.1信息平安领导小组职责信息平安领导小组是由*主管领导牵头,各部
9、门的负责人为组成成员的组织机构,主要负责批准*平安策略、分配平安责任并协调平安策略能够实施,确保平安管理工作有一个明确的方向,从管理和决策层角度对信息平安管理提供支持。信息平安领导小组的主要责任如下:(一) 确定网络与信息平安工作的总体方向、目标、总体原则和平安工作方法; (二) 审查并批准政府的信息平安策略和平安责任; (三) 分配和指导平安管理总体职责与工作; (四) 在网络与信息面临重大平安风险时,监视控制可能发生的重大变化; (五) 对平安管理的重大更改事项例如:组织机构调整、关键人事变动、信 息系统更改等进展决策; (六) 指挥、协调、催促并审查重大平安事件的处理,并协调改良措施;
10、(七) 审核网络平安建立和管理的重要活动,如重要平安工程建立、重要的安 全管理措施出台等; (八) 定期组织相关部门和相关人员对平安管理制度体系的合理性和适用性进 行审定。1.2 信息平安工作组职责信息平安工作组是信息平安工作的日常执行机构,内设专职的平安管理组织和岗位,负责日常具体平安工作的落实、组织和协调。信息平安工作组的主要职责如下:一 贯彻执行和解释信息平安领导小组的决议;二 贯彻执行和解释国家主管机构下发的信息平安策略;三 负责组织和协调各类信息平安规划、方案、实施、测试和验收评审会议;四 负责落实和执行各类信息平安具体工作,并对具体落实情况进展总 结和汇报;五 负责内外部组织和机构
11、的沟通、协调和合作工作; 六 负责制定所有信息平安相关的管理制度和标准; 七 负责针对信息平安相关的管理制度和标准具体落实工作进展监视、 检查、考核、指导及审批,例如现有平安技术措施的有效性、平安配置与平安策略的一致性、平安管理制度的执行情况等。 以上组织构造和职责通过信息平安组织职责体系加以说明。1.3信息平安岗位为了有效落实信息平安各项工作,*应设立以下专职的平安岗位,负责平安工作的落实和执行: 1.3.1信息平安工作组主管1) 负责网络与信息平安的日常整体协调、管理工作; 2) 负责组织人员制定信息平安管理制度,并对管理制度进展推广、培训和 指导;3) 负责重大平安事件的具体协调和沟通工
12、作。 平安管理员岗位1) 负责执行网络与信息平安工作的日常协调、管理工作;2) 负责日常的平安监控管理,并对上报和发现的各类平安事件进展响应; 3) 负责系统、网络和应用平安管理的协调和技术指导; 4) 负责平安管理平台平安策略制定,访问控制策略审核; 5) 负责组织平安管理制度的推广和培训工作; 6) 负责定期进展平安检查,检查内容包括系统日常运行、系统漏洞和数据 备份等情况。平安审计员岗位1) 负责平安管理制度落实情况的检查、监视和指导; 2) 负责平安策略执行情况的审核。 系统管理员1) 负责系统平安稳定运行的日常管理工作; 2) 负责保持系统的防病毒系统、补丁等保持最新,定期对系统进展
13、平安加 固,保持系统漏洞最小化。 网络管理员1) 负责网络设备平安稳定运行的日常管理工作;2) 负责保持网络设备的漏洞最小化,定期对系统进展平安加固; 3) 负责保持网络路由和交换策略与业务需求保护一致。4*应根据日常的运行维护和管理工作,设置物理环境管理 、数据库管理、应用管理以及资产管理等岗位,这些岗位也应当包括平安职责,这些平安职责的具体内容通过信息平安管理岗位说明书落实。2.平安管理制度2.1平安管理制度体系*平安管理制度应建立信息平安方针、平安策略、平安管理制度、平安技术标准以及流程的一套信息平安管理制度体系。2.2平安方针和主策略最高方针,纲领性的平安策略主文档,陈述本策略的目的、
14、适用范围、信息平安的管理意图、支持目标以及指导原则,信息平安各个方面所应遵守的原则方法和指导性策略。 2.3平安管理制度和标准各类管理规定、管理方法和暂行规定。从平安策略主文档中规定的平安各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理方法和实施方法,是必须具有可操作性,而且必须得到有效推行和实施的。 技术标准和标准,包括各个平安等级区域网络设备、主机操作系统和主要应用程序的应遵守的平安配置和管理的技术标准和标准。技术标准和标准将作为各个网络设备、主机操作系统和应用程序的安装、配置、采购、工程评审、日常平安管理和维护时必须遵照的标准,不允许发生违背和冲突。本工程将为*编制如下平安管理制度和标准:平安方针平安策略平安管理组织体系职责内部人员平安管理规定外部人员平安管理规定等级保护平安管理标准
