公司信息系统安全等级保护二级制度编制草案(可编辑)

《公司信息系统安全等级保护二级制度编制草案(可编辑)》由会员分享，可在线阅读，更多相关《公司信息系统安全等级保护二级制度编制草案(可编辑)（40页珍藏版）》请在金锄头文库上搜索。

1、XX公司信息系统安全等级保护二级制度编制草案（可编辑）精选资料XX公司信息系统安全等级保护二级制度汇编XX目 录.安全工作的总体方针、政策性文件和安全策略文件设备管理 制度审批管理制度网络接入管理审批制度系统投入运行测试管理制 度办公环境管理制度关键设备操作规程机房管理制度机房办公环境 管理办法网络安全管理制度系统安全管理制度员工离职管理制度系 统数据备份与恢复管理制度计算机类设备接入网络管理办法信息系 统变更及发布管理制度XX资产安全管理制度信息系统补丁及版本管 理制度安全事件报告和处置管理制度系统漏洞扫描系统运行安全管 理制度恶意代码防范制度存储介质管理制度XX信息系统权限划分实 施细则安

2、全事件定级年度安全培训计划应急预案总体框架XX应急处 置方案保密协议书安全技能考核记录安全教育培训记录安全事件处 理记录补丁安装操作记录（范文）系统补丁更新记录操作运维记录系 统运维记录管理制度评审记录信息系统会议纪要机房安全检查记录 表设备带离机房审批单离职移交手续单培训记录单设备带离机房审 批记录设备领用登记表外部人员访问审批单外联授权审批表网络设 备及服务器更新记录系统变更申请表系统投入运行申请表应急预案 培训记录.安全工作的总体方针、政策性文件和安全策略文件第 一章总则第一条为保障XX业务的正常持续运行保护信息资产的安全 制定本方针。第二条本方针旨在为XX的信息安全管理实践提供清晰的策

3、略方 向阐明信息安全建设和管理的重要原则为XX的信息安全管理工作提供指引与支持。第三条除非特别说明本方针的管理对象包括XX拥有、控制、管理 和使用的所有硬件、软件、信息、服务、人员和无形资产等信息资产。本方针的适用对象主要包括与以上信息资产相关的XX的所有部 门以及与XX有关的集成商、软件开发商、产品提供商、顾问、商业 合作伙伴、临时工作人员和其他第三方机构或人员。第二章信息安全方针第四条信息安全管理委员会是XX最高信息 安全管理机构下设信息安全管理领导小组和信息安全管理工作小组。第五条信息安全管理领导小组组长由*担任小组成员由XX信息 中心和局领导组成。信息安全管理领导小组定期召开会议对有关

4、信息安全重大问题做 出决策。第六条信息安全管理工作小组组长由*兼任小组成员由XX专职 人员和各部门信息安全管理员组成。信息安全管理工作小组负责信息安全政策和措施的宣传、贯彻和 督促检查并针对信息安全事件建立完善的响应、报告和调查机制。第七条本方针的适用对象必须遵守国家有关信息安全的法律、更 程序分发计算机管理员组织完成变更处理后进行程序分发。紧急事件变更流程的程序分发同一般系统变更流程。、补办文档和领导审批记录紧急问题得到妥善解决后需要分别补 办各类文档和审批记录。第一条系统变更过程中采取各种措施保证调试系统应用程序访问权限受到良好控制。这些措施包括：、通过调试环境的访问控制限制对调试环境的访

5、 问、通过物理隔离的手段限制对调试环境的访问、通过逻辑隔离的手 段限制对调试环境的访问、对授权访问调试环境的开发人员进行详细 记录使用该记录对调试环境访问权限的检查确保只有经授权开发人 员才能访问调试环境、普通用户只能通过前台登录系统不能通过后台 （如使用调试环境操作系统的命令行）进行操作、开发人员不应该拥 有前台应用程序的业务操作访问权限更不应该在前台应用程序中担 任实际的业务操作任务、从技术角度限制开发人员对调试环境中应用 程序文件夹的访问权限只有经过授权的开发人员对程序拥有读、写和 执行的权限XX资产安全管理制度一、为加强XX信息固定资产的保管 及使用管理特制定本规定。二、本规则所称信息

6、固定资产包括XX信息化范围内所涉及的房屋 及建筑物、信息化硬件及其附属设备、信息化软件及其集成系统、工 具等。三、信息化固定资产管理及保养细则由信息中心会同使用部门共 同制定。（一）机房设备由信息中心负责管理（二）网络设备、网络软件、网络线路等由网络管理员负责总体管 理（三）电脑及其附属设备、应用软件、工具等由机房管理员负责管理。四、人员移交时对于固定资产按规定详列清册办理移交。五、固定资产因故障须送厂商修复时应依照有关规定程序办理相 关手续。已经确认报废的固定资产应在保密部门和监察部门的共同监督 下将其中的存储介质进行不可恢复的粉碎性物理毁灭。信息系统补丁及版本管理制度总则为加强XX系统补丁

7、及版本的 管理规范补丁及版本的部署流程保证信息系统补丁及版本的及时更 新确保信息系统安全稳定高效的运行特制定本办法。本办法所涉及的补丁包括硬件微码补丁、操作系统补丁、数据库 补丁和应用系统补丁。本办法所涉及的版本包括网络设备、安全设备、存储、服务器、 终端等硬件产品的操作系统版本各类系统软件（数据库、中间件）及 各类业务系统的版本。适用范围XX负责部署在信息中心的各类软硬件产品的补丁及版 本更新工作及市本级各类终端设备的补丁及版本更新工作。信息中心负责本级各类软硬件产品的补丁及版本更新工作及终端 设备的补丁及版本更新工作。职责分工补丁版本管理硬件设备操作系统版本管理员每月和相关 厂商联系获取操

8、作系统版本的最新情况并对版本的更新后可能会产 生的影响进行评估确认是否可以升级升级版本之前先做备份。各类业务系统应该部署与之相应的测试系统版本升级之前应做充 分的测试测试天后无重大问题可进行正式部署并将版本升级后做的 改动内容告知各使用对象。操作系统管理员负责各操作系统（含浏览器、办公软件）补丁的 管理。负责收集操作系统漏洞信息跟踪最新补丁信息评估漏洞威胁、成 因和严重性。负责提出操作系统漏洞修补要求和相关防护措施审批变更计划。数据库管理员负责各数据库补丁的管理。负责收集数据库漏洞信息跟踪最新补丁信息评估漏洞威胁、成因 和严重性。负责提出数据库漏洞修补要求和相关防护措施审批变更计划。系统管理员

9、负责各应用系统（含中间件）补丁的管理。负责收集应用系统漏洞信息跟踪最新补丁信息评估漏洞威胁、成 因和严重性。负责提出应用系统漏洞修补要求和相关防护措施审批变更计划。 补丁测试负责搭建测试环境负责测试补丁和测试结果的记录。负责跟踪最新补丁信息和下载补丁。补丁安装员负责补丁的安装或分发负责制订补丁修补计划。负责解决补丁安装或分发过程中出现的问题。补丁管理补丁由信息中心统一进行下载、测试和安装未经许可不 可私自下载安装。补丁来源须为原厂商官方网站或原厂商工作人员对于非法的补丁 禁止安装。补丁安装前应先做好系统和数据备份工作避免出现问题进行回退 经严格测试通过后方可安装对测试不成功的补丁严禁安装。测试

10、中发现的问题应做详细分析判断发生问题的原因并及时解决 如果不能解决须记录发生问题的环境立即反馈给原厂商。对于刚发布的严重等级漏洞（无补丁）或未通过测试的补丁可采 用临时解决办法消除漏洞的威胁或者暂时接受该风险。制订补丁修补计划须先分析信息资产、IT系统环境、IT网络环境 和信息资产重要等级确定需要安装的补丁和相应严重等级同时明确 修补时间、修补方式和修补范围。补丁安装须先填写变更工单（或工作票）相应补丁管理员和应用 系统管理员对变更的必要性、风险和修补计划进行评审评审通过后由 应用系统管理员安排运维人员全过程配合补丁安装员完成补丁的安 装和应用系统的测试。补丁安装顺序遵循“资产价值大、威胁等级

11、高优先安装”的原则。对于漏洞级别为严重的补丁无特殊情况须在补丁发布后星期内安 装。补丁安装完成后应进行全面检查以确认补丁安装情况同时制定补 丁清单列表。附则本办法由本单位信息中心负责解释。本办法自发布之日起施行。安全事件报告和处置管理制度一、目的提高处置网络与信息安全突发公共事件的能力形成科学、有效、 反应迅速的应急工作机制确保重要计算机信息系统的实体安全、运行 安全和数据安全最大限度地减轻网络与信息安全突发公共事件的危 害保障国家和人民生命财产的安全保护公众利益维护正常的政治、经 济和社会秩序。二、适用范围本预案适用于XX发生的网络与信息安全突发公共事 件和可能导致网络与信息安全突发公共事件

12、的应对工作。本预案启动后本单位其它网络与信息安全应急预案与本预案相冲 突的按照本预案执行法律、法规和规章另有规定的从其规定。三、职责本预案由信息中心制订报领导批准后实施。单位有关部门应根据本预案制定部门网络与信息安全应急预案并 报信息中心备案。结合信息网络快速发展和本单位经济社会发展状况配合相关法律 法规的制定、修改和完善适时修订本预案。本预案自印发之日起实施。四、要求工作原则预防为主：立足安全防护加强预警重点保护基 础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统从 预防、监控、应急处理、应急保障和打击犯罪等环节在法律、管理、 技术、人才等方面采取多种措施充分发挥各方面的作用共同构

13、筑网络 与信息安全保障体系。快速反应：在网络与信息安全突发公共事件发生时按照快速反应 机制及时获取充分而准确的信息跟踪研判果断决策迅速处置最大程 度地减少危害和影响。以人为本：把保障公共利益以及公民、法人和其他组织的合法权 益的安全作为首要任务及时采取措施最大限度地避免公民财产遭受 损失。分级负责：按照“谁主管谁负责、谁运营谁负责、谁使用谁负责” 以及“条块结合以条为主”的原则建立和完善安全责任制及联动工作 机制。根据部门职能各司其职加强部门间、各局的协调与配合形成合力 共同履行应急处置工作的管理职责。常备不懈：加强技术储备规范应急处置措施与操作流程定期进行 预案演练确保应急预案切实有效实现网

14、络与信息安全突发公共事件 应急处置的科学化、程序化与规范化。组织指挥机构与职责发生网络与信息安全突发公共事件后应成立网络与信息安全应急 协调小组（以下简称协调小组）为本单位网络与信息安全应急处置的 组织协调机构负责领导、协调全局网络与信息安全突发公共事件的应 急处置工作。单位网络与信息安全协调小组下设办公室（以下简称协调小组办 公室）负责日常工作和综合协调并与公安网监部门进行联系。先期处置（）当发生网络与信息安全突发公共事件时事发部门应做好先期 应急处置工作立即采取措施控制事态同时向相关主管部门通报。（）网络与信息安全事件分为四级:特别重大（级）、重大（级）、较大 （级）、一般（级）。（）主管

15、部门在接到本系统网络与信息安全突发公共事件发生或 可能发生的信息后应加强与有关方面的联系掌握最新发展态势。对级或级的网络与信息安全突发公共事件由该上级主管部门自行 负责应急处置工作。对有可能演变为级或级的网络与信息安全突发公共事件要为协调 小组处置工作提出建议方案并作好启动本预案的各项准备工作。主管部门要根据网络与信息安全突发公共事件发展态势视情况决 定赶赴现场指导、组织派遣应急支援力量支持事发部门做好应急处置 工作。应急处置应急指挥本预案启动后根据协调小组会议的部署担任 总指挥的领导和参与指挥的领导迅速赶赴相应的指挥平台进入指挥 岗位启动指挥系统。相关联动部门按照本预案确定的有关职责立即开展

16、工作。需要成立现场指挥部的事发部门立即在现场开设指挥部并提供现 场指挥运作的相关保障。现场指挥部要根据事件性质迅速组建各类应急工作组开展应急处 置工作。现场指挥部在协调小组的领导下全权负责现场的应急援救工作。主管部门负责对发生网络与信息安全突发公共事件的网络与信息 系统的现场应急处置工作。应急支援本预案启动后协调小组的应急响应先遣小组赶赴事发 地督促、指导和协调处置工作。协调小组办公室根据事态的发展和处置工作需要及时增派专家小 组和应急支援单位调动必需的物资、设备支援应急工作。参加现场处置工作的各有关部门和单位要在现场指挥部统一指挥 下协助开展处置行动。信息处理()现场信息收集、分析和上报。事