XXXXXXXXXX
信息安全制度汇编
XXXXXXXXXX
二〇XX年X月
目录
总 6
二安全理制度 7
第章 理制度 7
1安全组织结构 7
11信息安全领导组职责 7
12 信息安全工作组职责 8
13信息安全岗位 9
2安全理制度 11
21安全理制度体系 11
22安全方针策略 12
23安全理制度规范 12
24安全流程操作规程 14
25安全记录单 14
第二章 制定发布 15
第三章 评审修订 16
三安全理机构 17
第章 岗位设置 17
1组织机构 17
2关键岗位 19
第二章 员配备 21
第三章 授权审批 22
第四章 沟通合作 24
第五章 审核检查 26
四员安全理 28
第章 员录 28
1组织编制 28
2招聘原 28
3招聘时机 28
4录员基求 29
5招聘员岗位求 29
6招聘种类 29
61 外招 29
62 招 30
7招聘程序 30
71 事需求申请 30
72 甄选 30
73 录 32
第二章 保密协议 33
第三章 员离岗 35
第三章 员考核 37
1.制定安全理目标 37
2目标考核 38
3奖惩措施 38
第四章 安全意识教育培训 39
1安全教育培训制度 39
第章 总 39
第二章 安全教育含义方式 39
第三章 安全教育制度实施 39
第四章 三级安全教育教育容 41
第五章 附 43
第五章 外部员访问理制度 44
1总 44
2访登记控制 44
3进出门禁系统控制 45
4携带物品控制 46
五系统建设理 47
第章 安全方案设计 47
1概述 47
2.设计求分析 48
21安全计算环境设计 48
22安全区域边界设计 49
23安全通信网络设计 50
24安全理中心设计 50
3.针单位具体实践 51
31安全计算环境建设 51
32安全区域边界建设 52
33安全通信网络建设 52
34安全理中心建设 53
35安全理规范制定 54
36系统整体分析 54
第二章 产品采购 55
第三章 行软件开发 58
1申报 58
2安全性证审批 58
3复议 58
4项目安全立项 58
5项目理 59
51 概 59
52正文 60
第四章 工程实施 62
1信息化项目实施阶段 62
2概设计子阶段安全求 62
3详细设计子阶段安全求 63
4项目实施子阶段安全求 63
第五章 测试验收 65
1文档准备 65
2确认签字 65
3专负责 65
4测试方案 65
第六章 系统交付 68
1试运行 68
2组织验收 68
第七章 系统备案 70
1系统备案 70
2设备理 70
3投产监控踪 72
第八章 安全服务商选择 74
六系统运维理 75
第章 环境理 75
1机房环境设备 75
2办公环境理 76
第二章 资产理 81
1总 81
2资产理制度 81
第三章 介质理 85
1介质安全理制度 85
11计算机软件备案理制度 85
12计算机安全保密理制度 85
13户密码安全保密理制度 86
14涉密移动存储设备理制度 86
15数复制操作理制度 87
16计算机存储介质相关设备维修维护报废销毁理制度 87
第四章 设备理 89
1机存储系统运维理 89
2应服务系统运维理 89
3数系统运维理 90
4信息保密理 91
5日常维护 91
6附件:安全检查表 92
第五章 监控理安全理中心 94
1监控理 94
2安全理中心 95
第六章 网络安全理 96
第七章 系统安全理 98
1总 98
2系统安全策略 98
3系统日志理 99
4操作理 100
5惩处 100
第八章 恶意代码防范理 101
1恶意代码三级防范机制 101
11恶意代码初级安全设置防范 101
12恶意代码中级安全设置防范 101
13恶意代码高级安全设置防范 102
2防御恶意代码技术理员职责 102
3防御恶意代码员工日常行规范 103
第九章 密码理 104
第十章 变更理 106
1变更 106
2变更程序 106
21变更申请 106
22变更审批 106
23 变更实施 106
24变更验收 106
附件变更申请表 107
附件二变更验收表 108
第十章 备份恢复理 109
1总 109
2设备备份 110
3应系统程序数备份 111
4备份介质介质库理 114
5系统恢复 115
6员备份 116
第十二章 安全事件处置 117
1工作原 117
2组织指挥机构职责 117
3先期处置 118
4应急处置 119
41应急指挥 119
42应急支援 119
43信息处理 119
44应急结束 120
5期处置 120
51善处置 120
52调查评估 121
第十三章 应急预案理 122
1应急处理灾难恢复 122
2应急计划 123
3应急计划实施保障 124
4应急演练 125
总
规范XXXXXXXXXX信息安全工作确保全体员工理解信息安全工作职责落实日常工作中推动信息安全保障工作利进行结合XXXXXXXXXX实际情况特制定制度
理制度称信息系统安全包括计算机网络应系统(简称信息系统)硬件软件数环境受效保护信息系统连续稳定安全运行保障
信息系统安全理坚持谁谁负责原公司部门员工应履行相关信息系统安全建设理义务责
信息系统安全工作总体目标:实施信息系统安全等级保护建立健全先进实完整信息系统安全体系保证系统信息完整性真实性性保密性控性保障信息化建设应支撑公司业务持续稳定健康发展
信息系统安全体系建设必须坚持统标准保障应符合法规综合防范集成享原
制度适公司部门
二安全理制度
第章 理制度
1安全组织结构
XXXXXXXXXX安全理组织应形成领导牵头信息安全领导组具体信息安全职部门负责日常工作组织模式组织结构图示:
组
织
机
构
图
11信息安全领导组职责
信息安全领导组XXXXXXXXXX领导牵头部门负责组成成员组织机构负责批准XXXXXXXXXX安全策略分配安全责协调安全策略够实施确保安全理工作明确方理决策层角度信息安全理提供支持信息安全领导组责:
() 确定网络信息安全工作总体方目标总体原安全工作方法
(二) 审查批准政府信息安全策略安全责
(三) 分配指导安全理总体职责工作
(四) 网络信息面重安全风险时监督控制发生重变化
(五) 安全理重更改事项(例:组织机构调整关键事变动信 息系统更改等)进行决策
(六) 指挥协调督促审查重安全事件处理协调改进措施
(七) 审核网络安全建设理重活动重安全项目建设重安 全理措施出台等
(八) 定期组织相关部门相关员安全理制度体系合理性适性进 行审定
12 信息安全工作组职责
信息安全工作组信息安全工作日常执行机构设专职安全理组织岗位负责日常具体安全工作落实组织协调信息安全工作组职责:
() 贯彻执行解释信息安全领导组决议
(二) 贯彻执行解释国家机构发信息安全策略
(三) 负责组织协调类信息安全规划方案实施测试验收评审会议
(四) 负责落实执行类信息安全具体工作具体落实情况进行总 结汇报
(五) 负责外部组织机构沟通协调合作工作
(六) 负责制定信息安全相关理制度规范
(七) 负责针信息安全相关理制度规范具体落实工作进行监督 检查考核指导审批例现安全技术措施效性安全配置安全策略致性安全理制度执行情况等
组织结构职责通信息安全组织职责体系加说明
13信息安全岗位
效落实信息安全项工作XXXXXXXXXX应设立专职安全岗位负责安全工作落实执行:
131信息安全工作组
1) 负责网络信息安全日常整体协调理工作
2) 负责组织员制定信息安全理制度理制度进行推广培训 指导
3) 负责重安全事件具体协调沟通工作
132安全理员岗位
1) 负责执行网络信息安全工作日常协调理工作
2) 负责日常安全监控理报发现类安全事件进行响应
3) 负责系统网络应安全理协调技术指导
4) 负责安全理台安全策略制定访问控制策略审核
5) 负责组织安全理制度推广培训工作
6) 负责定期进行安全检查检查容包括系统日常运行系统漏洞数 备份等情况
133安全审计员岗位
1) 负责安全理制度落实情况检查监督指导
2) 负责安全策略执行情况审核
134系统理员
1) 负责系统安全稳定运行日常理工作
2) 负责保持系统防病毒系统补丁等保持新定期系统进行安全加 固保持系统漏洞化
135网络理员
1) 负责网络设备安全稳定运行日常理工作
2) 负责保持网络设备漏洞化定期系统进行安全加固
3) 负责保持网络路交换策略业务需求保护致
4)XXXXXXXXXX应根日常运行维护理工作设置物理环境理 数库理应理资产理等岗位岗位应包括安全职
责安全职责具体容通信息安全理岗位说明书落实
2安全理制度
21安全理制度体系
XXXXXXXXXX安全理制度应建立信息安全方针安全策略安全理制度安全技术规范流程套信息安全理制度体系
22安全方针策略
高方针纲领性安全策略文档陈述策略目适范围信息安全理意图支持目标指导原信息安全方面应遵守原方法指导性策略
23安全理制度规范
类理规定理办法暂行规定安全策略文档中规定安全方面应遵守原方法指导性策略引出具体理规定理办法实施办法必须具操作性必须效推行实施
技术标准规范包括安全等级区域网络设备机操作系统应程序应遵守安全配置理技术标准规范技术标准规范作网络设备机操作系统应程序安装配置采购项目评审日常安全理维护时必须遵标准允许发生违背突项目XXXXXXXXXX编制安全理制度规范:
安全方针
安全策略
安全理组织体系职责
部员安全理规定
外部员安全理规定
等级保护安全理规范
风险评估理规范
软件开发理规定
IT外包理规定
工程安全理规定
产品采购安全理规定
服务商安全理规定
机房理制度
办公环境安全理规定
资产安全理制度
设备安全理规定
介质安全理规定
运行维护安全理规范
网络安全理规定
系统安全理规定
防病毒安全理规定
密码理制度
变更理制度
备份恢复理规定
安全事件理制度
应急预案
安全流程操作规程详细规定业务应事件处理流程步骤相关注意事项作具体工作时具体部分必须具操作性必须效推行实施
24安全流程操作规程
安全流程操作规程详细规定业务应事件处理流程步骤相关注意事项作具体工作时具体部分必须具操作性必须效推行实施
25安全记录单
安全记录单落实安全流程操作规程具体表单根等级信息系统求通方式安全记录单落实日常工作中具体执行包括日常操作记录工作记录流转记录审批记录等
第二章 制定发布
安全策略系列文档制定必须效发布执行发布执行程中理层力支持推动外必须合适行发布推动手段时发布执行前员做相关部分充分培训保证员知道解相关部分容
安全策略制定发布程中应实施安全理:
() 安全理制度应具统格式进行版控制
(二) 信息安全工作组负责安全理制度制定
(三) 安全理职部门应组织相关员制定安全理制度进行证审定
(四) 安全理制度应通文件形式发通知
(五) 安全理制度应注明发布范围收发文进行登记必须注意长期艰苦工作需付出艰苦努力牵扯许部门绝数员工需改变工作方式流程推行起阻力会相时安全策略身存缺陷包括切实行太复杂繁琐部分规定缺欠等会导致整体策略难落实
第三章 评审修订
信息安全领导组应组织相关员信息安全策略体系文件进行评审确定效执行期限时应指定信息安全职部门年审视安全策略系列文档具体检查容包括:
() 信息安全策略中更新
(二) 信息安全标准中更新信息安全标准需全部更新仅 变更受影响部分进行更新果必年度审视/更新流程信息安全标准做次全面更新
(三) 安全理组织机构员安全职责更新
(四) 操作流程更新
(五) 类理规定理办法暂行规定更新
(六) 户协议更新等等 通信息安全策略理规定落实相关容
三安全理机构
第章 岗位设置
健全岗位设置职责分配技求等安全组织建设重点容安全理工作利开展具巨意义
缺乏健全岗位设置职责分配技求导致负责难落实责权利难胜安全理工作等严重问题
1组织机构
1) XXXXXXXXXX成立信息安全领导组信息安全高决策机构设办公室负责信息安全领导组日常事务
2) 信息安全工作领导组高领导单位领导委授权
3) 信息安全领导组负责研究重事件落实方针政策制定总体策略等职责包括:
a) 根国家行业关信息安全政策法律法规批准公司信息安全总体策略规划理规范技术标准
b) 确定公司信息安全关部门工作职责指导监督信息安全工作
c) 信息安全领导组设两工作组:信息安全工作组应急处理工作组组长均公司负责担
4) 信息安全工作组职责包括:
a) 贯彻执行公司信息安全领导组决议协调规范公司信息安全工作
b) 根信息安全领导组工作部署信息安全工作进行具体安排落实
c) 组织重信息安全工作制度技术操作策略进行审查拟订信息安全总体策略规划监督执行
d) 负责协调督促职部门关单位信息安全工作参信息系统工程建设中安全规划监督安全措施执行
e) 组织信息安全工作检查分析信息安全总体状况提出分析报告安全风险防范策
f) 负责接受单位紧急信息安全事件报告组织进行事件调查分析原涉范围评估安全事件严重程度提出信息安全事件防范措施
g) 时信息安全工作领导组级关部门单位报告信息安全事件
h) 踪先进信息安全技术组织信息安全知识培训宣传工作
5) 应急处理工作组职责包括:
a) 审定公司网络信息系统安全应急策略应急预案
b) 决定相应应急预案启动负责现场指挥组织相关员排障恢复系统
c) 年组织信息安全应急策略应急预案进行测试演练
6) 公司应指定分信息领导负责单位信息安全理配备信息安全技术员条件
应设置信息安全工作组办公室公司信息安全领导组工作组负责落实单位信息安全工作应急处理工作
2关键岗位
设置信息系统关键岗位加强理配备系统理员网络理员应开发理员安全审计员安全保密理员求五独立害岗位员必须严格遵守保密法规关信息安全理规定
1) 系统理员职责:
a) 负责系统运行理实施系统安全运行细
b) 严格户权限理维护系统安全正常运行
c) 认真记录系统安全事项时信息安全员报告安全事件
d) 进行系统操作员予安全监督
2) 网络理员职责:
a) 负责网络运行理实施网络安全策略安全运行细
b) 安全配置网络参数严格控制网络户访问权限维护网络安全正常运行
c) 监控网络关键设备网络端口网络物理线路防范黑客入侵时信息安全员报告安全事件
d) 操作网络理功员进行安全监督
3) 应开发理员职责:
a) 负责系统开发建设中严格执行系统安全策略保证系统安全功准确实现
b) 系统投产运行前完整移交系统相关安全策略等资料
c) 系统设置门
d) 系统核心技术保密等
4) 安全审计员负责涉系统安全事件类操作员行进行审计监督职包括:
a) 操作员证书号进行审计
b) 操作时间审计
c) 操作类型审计
d) 事件类型进行审计
e) 日志理等
5) 安全保密理员负责日常安全保密理活动职责:
a) 监视全网运行安全告警信息
b) 网络审计信息常规分析
c) 安全设备常规设置维护
d) 执行应急中心制定具体安全策略
e) 应急理机构领导机构报告重网络安全事件等
第二章 员配备
配备足够数量系统理员网络理员安全理员利完成安全理工作非常重效避免力足带问题配备专职安全理员理工作落实专更高效开展安全理工作关键事务岗位配备进行理防止出现疏忽利互相约束监督机制建立
果没配备足够数量系统理员网络理员安全理员工作度繁忙出现安全事件果安全理员兼职出现顾业务忽视安全情况关键事务岗位员足会导致疏忽意
1实际工作需配备足够数量系统理员网络理员安全理员
2安全理部配备专职安全理员
3识出关键事务岗位关键岗位配备进行理防止疏忽建立起约束监督机制
岗位名称
员数量
员名称
系统理员
网络理员
应开发理员
安全审计员
安全保密理员
第三章 授权审批
授权审批保证安全关工作认控制排盲目性致性安全工作更加权威科学利增强责感
果授权审批工作做够完善会带执行难等问题安全工作控制安全带问题长期解决安全问题日积月累终导致严重安全事件发生
应规范进行授权审批流程建设:
1明确审批授权事项审批授权部门
2 建立系统变更重操作物理访问系统接入等事项审批程序 重活动实施逐级审批
3审批程序执行审批程记入文档进行审计
4 定期审查审批事项时更新需授权审批项目审批部门审批等信息
制度名称
信息系统理授权审批制度
受控状态
文件编号
执行部门
监督部门
考证部门
第1条 提高企业信息系统性稳定性安全性特制定制度
第2条 制度适信息部户部门企业信息系统相关员
第3条 企业中涉信息系统方面工作统信息部负责
第4条 信息系统理授权方式
企业信息系统授权职位说明书授权书基准逐级授权授权方式越级授权视效
第5条 企业信息系统理授权程序
1.总裁授权运营总监全面负责企业信息系统开发理修改等工作
2.运营总裁授权信息部理负责信息系统开发理修改等具体工作
3.信息部理授权属员工完成相应工作
第6条 企业信息系统理中文件审批程序图示
信息部员工
高领导
信息部理
运营总监
信息系统理文件审批程序示意图
第7条 企业中户部门信息系统根职级权建议权修改权否造成全部果事承担
第8条 制度信息部制定解释权修改权属信息部
第9条 制度总裁审批日起实施修订时
编制日期
审核日期
批准日期
修改标记
修改处数
修改日期
第四章 沟通合作
安全理问题涉层次员技术需家密切配合做方出现问题会影响整安全理工作利开展种安全问题进行定期沟通合作非常必
果安全理关沟通合作推进利出现安全问题反馈支持安全问题会变越越严重直出现严重安全事件
应规范进行沟通合作:
1 安全理部提出半年召开次安全协调专题会议期天关部门包括外部顾问机构员参加时提出问题解决问题
会议记录
时间
点
持
记录员
时间调度
参加员:
会议议题
发言
会议容
执行
监督
完成时间
2 年兄弟单位公安机关电信公司等召开次安全总结会时通邮件等时合作沟通
3 通邮件电话等供应商业界专家专业安全公司安全组织进行时合作沟通
4 建立外联单位联系列表包括外联单位名称合作容联系联系方式等信息
5 聘请信息安全专家作常年安全顾问指导信息安全建设参安全规划安全评审等
第五章 审核检查
安全工作开展情况进行定级审核检查时效督促安全制度安全技术执行运作情况减少安全疏忽时发现解决问题安全工作日常化制度化
安全工作果保证时审核检查容易导致项工作折扣带问题会积累起终导致严重安全事件发生补丁长期更新系统长期暴露黑客攻击威胁
1安全理员周进行安全检查检查容包括系统日常运行系统漏洞数备份等情况
2部员级单位季度进行全面安全检查检查容包括现安全技术措施效性安全配置安全策略致性安全理制度执行情况等
3次检查制定安全检查表格实施安全检查汇总安全检查数形成安全检查报告安全检查结果进行通报
4述工作求写入安全审核检查理制度规范安全审核安全检查工作频率等重容
安全检查记录表
检查类型:定期安全检查
单位名称
XXXXXXXXXX
工程名称
检查时间
检查单位
检查项目部位
参见检察员
检查记录
检查结意见
填表:
四员安全理
第章 员录
1组织编制
部门根实际工作需进行工作分析设定工作岗位明确岗位职责职条件需数等
根权责分工职位相互关系建立组织架构根职位员配备数确定组织编制 部门负责制订部门组织编制事行政部汇总制订全公司组织编制年11月份制订年编制公司营决策重调整重形势变化总理意需时修订
2招聘原
员招聘根事编制安排般超出批准编制(确须超出原编制招员应先规定修订编制)
员招聘应遵循公开公公正原等竞争择优录取
3招聘时机
原员异动离职需补缺
工作业务量扩现力满足工作需求需扩招
4录员基求
41 具备应聘岗位需文化技求通考试考核合格
42具备应聘岗位求年龄身体条件
43 身份正具效身份证国家规定证明
44 思想品德认公司文化够觉遵守公司规章制度觉维护公司权益形象愿意 公司服务
45服公司工作安排努力做职工作
46 患精神性传染性影响正常工作危害公众健康疾病员录
47 隐瞒伪造证件履历员录
48 受刑罚正追究刑事责员录
49 公司辞退开动离职原公司员工行录
5招聘员岗位求
部门应根职位求性年龄教育程度相关工作年限专业知识技适职 条件做出明确说明便事行政部遴选初试
6招聘种类
61 外招
外招适公司现力满足实际工作需时(数量足职资格足)
62 招
621 招适选拔职级职位更高职级职位员公司现力资源满足 情况应优先采招形式 622 招报名员需填写招员报名表部门员批准送交事行政部
7招聘程序
71 事需求申请
711 需求部门根生产营发展需事行政部处领取员需求申请表提出事需求申请注明招外招部门员审核事行政部根部门定编定岗情况确认呈总理核准
712 需求部门应实际需求日前提出事需求申请生产作业员提前7天申请办公室普通职员 提前15天申请部门(含)中层理员提前30天申请便事行政部统筹安排招聘
713 事行政部应部门需求时组织招聘需求时间未招合适员事行政部应需求 部门说明原需求部门协调行确认预计时间视需重新确认需求条件
72 甄选
721 事行政部根批准需求申请制订招聘计划组织招聘选择招聘渠道形式:
a)厂区门口招聘职介机构劳务推介(招聘生产作业员)
b)参加招聘会网络招聘(招聘办公室普通职员中层理员)
c)院校合作校方推介(招聘实生)
d)猎头公司推荐(招聘高层理员)
722事行政部应聘资料进行收集分类档需岗位职位描述做初步筛选
723拟选员般需两次面谈测试面试层次步骤:
a)应聘员填写求职员登记表事行政部应应试者解背景进行资格审查(初试)符合公司基求需求部门基条件者予谢绝
b)事行政部初选合格员推荐需求部门需求部门组织应聘员进行专业力方面复试
1)需求部门复试认合格提请批准录(生产作业员部门部长批准办公室职员总 理批准)认合格予谢绝 2) 部门复试否预备录应聘员均转事行政部通知应聘者
724背景调查 事行政部负责通面试部门(含)级员进行工作历学历状况身份证明等进行背景调查填写应聘者背景资料查询表(见附件5)调查结果进行汇总报相关领导
725薪资核定审批手续办理
力资源根面试评价背景调查情况生产作业员薪资进行核定审批办公室普通职员部门(含)员薪资核定事行政部审核交总理进行核准
73 录
事行政部根批准录意见发放录通知书通知录员报关事宜
第二章 保密协议
信息安全员应签订保密协议履行约定纪律方面条款部员中选拔事关键岗位员签署岗位安全协议信息安全员调离岗位时签订离岗员保密协议
保密协议附件:
甲方:XXXXXXXXXX
乙方:
甲乙双方根中华民国劳动法国家方政府关规定遵循等愿协商致诚实信原甲方商业秘密保密事项达成协议
保密容
甲乙双方确认乙方应承担保密义务甲方商业秘密范围包括限容
1.技术信息:技术方案工程设计技术报告检测报告实验数试验结果图纸样品等
2.营信息:包括营方针投资决策意产品服务定价市场分析广告策略等
3.公司法律规定者关协议约定外承担保密义务事项
二双方权利义务
1.甲方提供正常工作条件乙方发明科研成果提供良应生产条件根创造济效益予奖励
2.乙方必须甲方求事营生产项目科研项目设计开发生产营设计开发成果资料交甲方甲方拥权处置权
3.乙方刺探非职工作需商业秘密
4.未甲方书面意乙方利甲方商业秘密进行新产品设计开发撰写文第三方公布
5.双方解终止劳动合乙方第三方公开甲方拥未公众知悉商业秘密
6.双方协定竞业限制解终止劳动合竞业限制期乙方生产类营类业务竞争关系单位职生产甲方竞争关系类产品营类业务
7.乙方必须严格遵守甲方保密制度防止泄露甲方商业秘密
8.甲方安排乙方职涉密岗位予乙方保密津贴
三保密期限
乙方承担保密义务期限列第____种
1.限期保密直甲方宣布解密者秘密信息实际已公开
2.限期保密保密期限离职日起____年
四保密津贴
甲方意乙方离职承担保密义务支付保密津贴保密津贴支付方式:
_______________________________________________________________________________
五违约责
1.乙方违反合条款应次性甲方支付违约金××万元时甲方权次性收回已乙方发放保密费
2.果乙方违约行造成甲方损失乙方支付违约金外应承担相应责
六劳动争议处理
事合产生切纠纷双方友等协商解决协商成方均权合签订民法院提起诉讼
七
1.乙方确认签署合前已仔细审阅合容完全解合条款法律含义知悉认公司保密理制度
2.协议双方前口头书面协议抵触协议准协议修改必须采双方意书面形式
3.协议未事宜国家法律政府部门关规章制度执行
八合式两份双方执份具等法律效力双方授权代表签字盖公章日起生效
甲方(盖章) 乙方(签名盖章)
法定代表签名:
年 月 日 年 月 日
编制日期 审核日期 批准日期
第三章 员离岗
1工作员离岗离职时关部门应时取消计算机涉密信息系统访问授权工作员离岗离职职期间接触知悉属局者属第三方单位承诺负保密义务秘密信息承担职期间样保密义务擅义务直该秘密信息成公开信息离职员种原离职
2离职员职务需持保切记录着单位秘密信息文件资料图表笔记报告信件传真磁带磁盘仪器形式载体均公司秘密信息商业价值
3离职员应离职时者公司提出请求时返全部属公司财物包括记载着公司秘密信息切载体记录着秘密信息载体离职员备视离职员已意载体物权转单位公司应离职员返载体时予离职员相载体身价值济补偿秘密信息载体消复制出时公司秘密信息复制单位享权载体原载体秘密信息消种情况离职员须载体返公司须予离职员济补偿
4离职员离职时应工作时电脑u盘切存储设备中关工作相关局会利益关系信息文件等容交接部门领导离职形式带走相关信息
员工辞离职交接单
年 月 日
姓名
部门
职 务
工作起止日期
交 接 容
部门
工作交接 (□ 业务文档 □ 相关文件) 部门理签字:
(注:办已办未办工作附表二) 日 期:
事
行
政
部
1普通品(□ 办公品 □ 胸 卡 □ 钥匙 : )办签字
2特殊物品(□U盘 □电脑 □: ) 日 期:
□ 计算机设备交回
□ 密码清 办签字:
□ 帐号清
□ 网络理情况 日 期:
□保险 保险: 年 月
办签字:
日 期:
财务部
1 款 (□ 办支票 □ 汇票 □ 现金 □ 相关款 )
2 (□ 应清算款项 □ )
3工资截止日期: 年 月 日 办签字
4 违约金 元 日 期:
注:1严格遵守公司签订保密合保守公司商业秘密
2该原件交公司总办存档未交物品部门负责应物品名称价钱注明便财务部核发工资时扣列事项未交接完毕领导未批准离职申请财务部予办理财务交接手续未领薪资予发放公司损失情况求赔偿离职员工违法行公司保留追究法律责权利
事签字: 日 期: 年 月 日
第三章 员考核
加强安全生产监督理防止减少生产安全事保障 企业员工生命财产安全切实贯彻落实安全第预防综合治理方针促进企业济发展根中华民国安全生产法等法律法规特指定制度
1.制定安全理目标
a) 单位年号文件必须针企业年度生产工作状况年度企业发展规模整体安全生产具体情况新形势规定求制定全年安全生产理目标理措施
b) 项目部年年初单位统制定安全生产目标理前提根工程施工特点年度安全生产计划中制定安全生产理目标实现目标理措施
c) 工程开工前项目部必须制定工程开工竣工生产施工程中整体安全生产理目标应详细制定施工阶段针性安全生产理目标措施时安全生产理目标层层分解理员班组
d) 级制定安全生产理目标时应紧密结合企业理手册中环境理目标职业健康安全理目标
2目标考核
a) 单位直属单位目标理考核季度抽检考核年度考核结合季度考核情况纳入年度考核
b) 项目部属工程项目考核应做月次记录相关安全检查整改情况记录
3奖惩措施
a) 单位年安全生产号文件中规定执行
b) 项目部应根项目工程具体实际情况制定奖罚制度
第四章 安全意识教育培训
1安全教育培训制度
第章 总
第条 规范公司广员工安全意识降低避免安全事公司运营理带风险制定制度
第二条 制度适公司总部分公司办事处行政中心负责制定解释总裁审批颁布实施
第三条 公司员工违反制度规定引起安全事责均制度追究相关事责
第二章 安全教育含义方式
第四条 制度指安全教育培训容包括公司网络信息安全客户资料安全公司财产安全员生命安全消防安全交通安全设备安全保密安全等事项
第五条 公司员工安全教育采取集体培训专业口部门针业务特点制定相关规定组织学教育行政中心定期检查督导考核方式进行
第三章 安全教育制度实施
第六条 级教育全体员工公司教育中心制作课件计划行政中心召集员教育中心具体负责组织授课重点岗位员部门会哦语中心组织教育培训工作
第七条 二三级安全教育新入公司员工部门负责组织进行教育
第八条 日常安全会议
公司安全例会季次行政中心持公司安全关部门负责分公司安全责参加总结季度安全生产部运营中安全方面综合情况分析存问题季度安全工作重点作出布置
二公司年末召开次安全工作会议总结年安全生产取成绩足年度安全生产先进集体进行表彰布置年度安全工作务
三部门月召开安全例会安全责持安全分领导关部门(岗位)负责参加容:传达级安全理文件信息月安全工作进行总结提出存问题月安全工作重点进行布置提出相应预防措施推广安全理典型验先进事迹社会中已发生重安全事中吸取教育行政中心做会议记录存档
四部门日常会安全工作进行分析总结预想前安全素研究落实行安全控制措施
五安全会议培训工作做领导计划容记录防止走场
第四章 三级安全教育教育容
第九条 新进公司职工(包括新调入员实生代培员等)必须进行三级安全教育考试合格方岗
第十条 级(公司级)安全教育时间少15时教育容:
国家关安全生产法令法规规定
二公司性质营特点安全理(特种信息处理设施设备安全方面)规章制度
三安全生产基知识消防知识气体防护常识
四职业安全卫生关知识
五公司类型企业典型事教训产生安全隐患基础知识
第十条 二级安全教育时间少15时教育容:
单位概况施工生产工作特点设施设备危险源相应安全措施注意事项 二单位安全生产实施细安全技术操作规程
三安全设施工具防护品急救器材消防器材性方法等
四事教训
第十二条 三级(部门级)安全教育部门负责负责教育采取讲解实际操作相结合方式进行时间少8时(技术财务结算客服部门少15时)安全教育考核合格方参重工作具体务
岗位作业程序工作特点安全注意事项
二岗位安全操作规程
三岗位设备工具性安全装置安全设施安全监测设备保方法
四发现紧急情况时急救措施报告方法
第十四条 三级安全教育考试考核情况逐级填写三级安全教育卡片建立安全教育档案三级安全教育完毕公司行政中心审核正常开展方面工作
第十五条 未三级安全教育考试合格者分配工作否发生事分配接受工作单位领导负责
第十六条 常性安全生产教育形式采:安全活动日班前班会种安全会议广播标语简报电视播放录象等结合公司务需开展安全生产常性教育项目部具体实施
第十七条 季节性教育部门结合季节特征节假日前职工容易疏忽放松安全生产规律 抓住环节进行安全教育然条件变化风雪暴雨冰冻雷雨季节应抓住气候变化特点进行安全教育 第十八条 安全教育
新工艺新技术新设备新产品投产前部门写出新安全操作规程注意熟悉岗位关员进行安全教育考试合格方事新岗位产品理工作
二脱离操作岗位(产假病假学外岗等)六月重返岗位操作者应进行岗位复工教育
三职工公司调动工作岗位变动工种(岗位)时接受单位应进行二三级安全教育考试合格方事新工作
四严重违章违纪职工部门进行单独教育考察认定回岗工作符合工作需求予辞退处理
五参加特殊区域高危场作业员作业前必须进行针性安全教育
第十九条 公司项目部关部门应建立安全教育培训台帐
第二十条 外员安全教育接访部门负责杜绝进入公司重区域产生切果接部门责全部承担
第二十条 技术中心机房等重点部位非直接理部门领导授权私进入
第二十二条 安全教育工作考核行政中心负责考核结果纳入公司绩效考核范畴
第五章 附
第二十三条 制度颁布日起实施
第五章 外部员访问理制度
1总
第条 规范公司部理减少外员访问洽谈业务公司正常办公影响维护序部理秩序良公司形象制定制度
第二条 制度适公司总部分公司办事处行政中心负责制定解释总裁审批颁布实施
2访登记控制
第三条 公司访问外员必须访登记表进行登记预约未公司相关员确定访客律谢绝进入办公区域登记表必须明确记录时间姓名证件名称(号码)受访部门员名称事访值班员离开时间离开时值班员等相关信息备注中说明需明确记录事项
第四条 公司业务关确定具体情况员访时必须时询问访客身份目需咨询解事项认真登记相关部门办公员核实处理
第五条 访公司外员实行谁接谁负责安全控制方式需进入办公区域必须受访部门安排员陪控制范围机房财务室档案室等重点部位非检查单位员律禁止入
第六条 公司副总级领导带客户访客般需出示证件登记受访部门确认记录访数目逗留时间参观范围等相关事项做勤服务保障工作
第七条 公司前台保安控制外员第责值班时必须公司规定接访客户
第八条 前台员负责访客登记预约引导访员访时先引导贵宾室接室等候电话受访部门()核实确定预约予引导没预约意图明确明显没业务关联进行劝离处理
3进出门禁系统控制
第九条 公司部员工必须部员工门禁信息登记卡进出办公区域
第十条 公司部办公区域间门禁系统日常工作时必须处锁闭状态部员工均责义务关闭门禁系统避免闲杂员进出办公区域
第十条 外员访问时前台根预约确定结果引导贵宾室接室确定受访部门方便接时前台保安开启门禁引导客进入客带受访部门
第十二条 受访部门访员商谈相关业务必须客送离办公区域时通知保安前台引导客离开避免访客意走动影响办公秩序
第十三条 确定访客业务商谈完毕已离开办公区域前台准开启门禁系统返回特殊情况必须受访部门确认次引导进入
第十四条 敏感行业员提示勿意走动指定范围活动(业务员外卖员快件投递员等)
4携带物品控制
第十五条 公司员工外员离开公司时携带办公件物品文档资料时保安前台必须进行查问确定放行条予携带物品离开
第十六条 重客访需携带物品接部门负责陪离开补填放行条
第十七条 工作时间外禁止切携带公司物品离开办公区域行员工义务配合保安检查
第十八条 访者目视感觉携带危险品必须立采取措施进行处理确保公司员财产安全
第五章 附
第十九条 规定发布日起执行
五系统建设理
第章 安全方案设计
1概述
1)根系统安全保护等级选择基安全措施设计安全标准必须达等级保护相关等级基求风险分析结果进行补充调整必安全措施
2)指定授权专门部门信息系统安全建设进行总体规划制定期远期安全建设工作计划
3)应根信息系统等级划分情况统考虑安全保障体系总体安全策略安全技术框架安全理策略总体建设规划详细设计方案形成配套文件
4)应组织相关部门关安全技术专家总体安全策略安全技术框架安全理策略总体建设规划详细设计方案等相关配套文件合理性正确性进行证审定批准正式实施
5)根等级测评安全评估结果定期调整修订总体安全策略安全技术框架安全理策略总体建设规划详细设计方案等相关配套文件
系统根中心理三重保护体系框架进行设计构建安全机制策略形成定级系统安全保护环境该环境包括四部分:安全计算环境安全区域边界安全通信网络安全理中心
2.设计求分析
针四方面进行设计:
21安全计算环境设计
(1)户身份鉴
应支持户标识户鉴
(2)访问控制
安全策略控制范围户创建象具访问操作权限权限根户进行授权具体针访问象具体操作
(3)标记强制访问控制
访问者访问者身份鉴基础进行安全标记实现体访问客体操作进行控制
(4)系统安全审计
访问行进行完整审计审计容包括访问象访问象访问行时间等容
(5)户数完整性保护
采备份HASH方法数完整性进行保护防止篡改
(6)户数保密性保护
采密码等技术支持保密性保护机制安全计算环境中存储处理户数进行保密性保护
(7)客体安全重
客体安全重指访问象应保留访问象特征避免访问象访问造成访问象间信息泄露
(8)程序信执行保护
采信计算技术保证程序执行程信信复杂环节重点服务器计算环境实现信
(1) (2) (3) (4)求通高强度身份认证产品实现(5) (6) (7)通较流行敏感信息数保护技术实现(8)复杂求做信环境复杂命题毕竟数情况计算环境建立开放台进行建设硬件开始操作系统基国外产品构成信执行保护操作系统台实现难做完全信
22安全区域边界设计
(1)区域边界访问控制
求区域边界进行控制防止非授权访问
(2)区域边界包滤
求区域边界进行包滤检测措施
(3)区域边界安全审计
求区域边界进行安全审计措施保证外数审计
(4)区城边界完整性保护
应区域边界设置探测器例外接探测软件探渊非法外联侵行时报告安全理中心
23安全通信网络设计
(1)通信网络安全审计
安全通信网络设置审计机制安全理中心集中理确认违规行进行报警
(2)通信网络数传输完轶性保护
网络传输数进行完整性检验保护保证网络传输数安全性
(3)通信网络数传输保密性保护
网络数进行传输保密
(4)通信网络信接保护
通信网络采信接保护
安全通信网络设计针通信网络保密求采网络加密技术实现求采VPN技术实现通信网络数保护
24安全理中心设计
(1)系统理
系统系统理员行进行身份鉴授权仅允许系统理员访问特定界面特定系统数情况系统理员分网络理员机理员存储理员网络理员网络设备进行策略配置机理员服务器操作系
统进行理配置数情况机理员分PC服务器理员型机理员存储理员存储设备进行维护理
(2)安全理
安全理员进行身份鉴授权总周知安全理员仅安全设备理安全设备涉整计算系统方面安全理员理变尤重数安全设备具LOG记录功时提供方便接口进行授权理
(3)审计理
根信息安全等级保护三级求安全审计员进行身份鉴理安全审计员种设备交道保证安全审计员行进行控制样复杂求
3.针单位具体实践
31安全计算环境建设
安全计算环境设计选重产品高强度子身份认证系统采该身份认证系统实现户身份鉴访问控制标记强制访问控制系统安全审计等求采基代理技术身份认证技术功外实现访问程控制保证请求效请求程正确数格式正确等等
32安全区域边界建设
外部网络部网络保护系统防火墙防DDoS攻击设备侵检测设备防病毒网关组成防火墙开放必需服务端日配IDS需考虑两者间联动提供攻击检测报警防DDoS设施起外部网络层分布式拒绝服务攻击基控制作完整抵御分布式拒绝服务攻击包括整体应策略应层机制
防病毒网关流入数进行防毒检溯作防毒第道防线边界起章作仅仅具防病毒网关够必须终端安装网络防病毒软件做全网统策略保证流入病毒进行实时查杀选杀毒软件终端理软件相结合方式保证染毒文件通网络移动指定病毒服务器相应目录便安全理员进行步处理
33安全通信网络建设
安全通信网络求基采台VPN设备解决外部终端需访问部网络资源时采IPSecVPN者SSL VPN具分支机构情况采带加速功VPN设备提高网络传输效率IPSecVPN技术较成熟配置相较麻烦实际程中SSL VPN方便
VPN系统审计数校验等功必须开
34安全理中心建设
目前厂商提供安全理中心设计解决方案研究产品解决方案SOC产品安全理台产品数冠ITIL规范设计部署基没家产品真正实现ITIL规范中求实现涉安全产品仅限少量合作伙伴产品难做范围产品统理目前安全产品没遵循统规范造成
选产品实现安全理中心功理系统理工具+数铭合方式实现选产品利权限系统级进行划分划员进行理理制度相互约束提供技术支撑象理工具信息获取采数整合理工具实现数整合数整合产品较尤ERP系统中较广泛提供高理者进行决策价格够般企业接受前方案设计中少考虑该产品安全理中心安全理中心建设中利数整合工具实现理工具间信息互通
单位安全理中心设计中采运维理网理网络理LOG日志理相结合方式时安全设备网络设备选择中着重考虑系统间兼容性开放性避免某设备法进行安全理造成枯网络序
35安全理规范制定
目前业界数户已达成识单纯技术解决安全问题必须配套相应理手段安全理规范必非常重辅助手段根实际情况采系统理员安全理员安全审计员三权分立互兼原约束理员行时配合门禁USB Key等手段实现理员间互相监督约束
36系统整体分析
系统等保建设中采身份认证技术敏感信息保护技术等实现计算环境求采防火墙IDS等技术实现边界安全采VPN实现通网安全采干理工具数整合工具实现安全理中心安全系统建设中配套建设相应理制度规范理员权限进行划分构建安全体系完整适保护体系
第二章 产品采购
第条系统实施阶段需采购网络安全设备必须公司进行统采购确保采购设备少符合面求:
1)网络安全设备选型应根国家电力行业关规定选择国家关权威部门测评认证产品
2)安全设备均需进行严格检测购回设备均应测试环境连续72时单机运行测试联机48时应系统兼容性运行测试严禁未测试验收验收合格设备交付
3)通述测试设备进入试运行阶段试运行时间长短根需行确定通试运行设备投入生产系统正式运行
第二条 软件开发外包方应考虑点:
1)检查代码权知识产权情况
2)质量合格证进行工作精确度
3)第三方发生障情况第三方备份保存
4)进行质量审核
5)合代码质量方面求
6)安装前进行测试检测特洛伊代码
7)提供源代码相关设计实施文档
8)重项目建设中源代码进行审核
第三条 计算机系统集成信息技术产品(操作系统数库等)安全专产品(防火墙IDS等)应达求:
1)项目实施需计算机配套设备网络设备重机具(ATM) 计算机软件产品购置计算机应系统合作开发者外包开发确定现制度中相关规定执行
2)安全产品采购必须公司进行统采购
3)安全专产品应具国家职部分颁发信息安全专产品销售许证
4)密码产品符合国家密码部门求源国家部门批准密码研制单位
5)关键安全专产品应获国家相关安全认证选型中根实际需制定安全产品选型标准
6)关键信息技术产品安全功模块应获国家相关安全认证选型中根实际需制定信息技术产品选型标准
7)安全设备均需进行严格检测购回设备均应测试环境连续72时单机运行测试联机48时应系统兼容性运行测试严禁未测试验收验收合格设备交付
8)通述测试设备进入试运行阶段试运行时间长短根需行确定通试运行设备投入生产系统正式运行
第四条 产品服务供应商应达求:
1)系统集成商资质求:少拥国家权威部门认系统级集成资质较重系统应更高级集成资质
2)工商求:
①产品系统服务提供单位营业执税务登记合法期限
②产品系统服务提供商产品系统服务提供资格
③连续赢利期限求
④连续相关法律诉讼年限求
⑤没发生重理技术员变化流动期限求
⑥没发生业变化期限求
3)信息安全产品采购请参阅信息安全产品采购理制度
4)安全服务商资质:少应具国家级安全服务资质较重系统应更高级安全服务资质
5)员资质求:系统集成员安全服务员相关理员应获国家权威部门颁发信息安全员资质认证
6)求:系统符合国家相关法律法规相关部门技术理规定非法信息恶意代码进行效控制关规定设备进行控制作非法攻击跳板
7)服务供应商选择参阅安全服务外包理制度
第三章 行软件开发
1申报
阶段项目审批单位项目申报容进行审批项目进行安全性证必时聘请外单位专家参证工作
2安全性证审批
安全性证应着重项目安全需求分析安全策总体安全方案进行成效益合理性行性效性分析信息化项目立项审批表出明确结:
1)适
2)合适(否决)
3)需作复议
3复议
证结需作复议项目通知申报单位关容进行必补充者修改次提交复审
4项目安全立项
审批项目审批单位项目进行立项信息系统项目务书条目中应增加相应计算机安全方面容:
1)项目理模式组织结构责:增加项目建设中安全理模式安全组织结构
五员安全职责
2)项目实施基程序相应理求:增加项目建设实施中安全操作程序相应安全理求
3)项目设计目标容关键技术:增加总体安全目标安全策实现安全策总体安全方案
4)项目实现功性指标:增加描述系统拥具体安全功安全功强度
5)项目验收考核指标:增加安全性测试考核指标
立项项目采引进合作开发者外包开发等形式需第三方签订安全保密协议
5项目理
51 概
511 目
规范项目文档理工作特制定规范
512 范围
规范仅适项目文档理工作
513 编制修订
规范项目实施组负责编制修订
514 发布
规范保密科负责发布发布项目组成员通OA系统查阅
52正文
521 文档架构构成
项目文档(简称文档)电子版纸介质组成二者必须致(应系统源代码电子文档形式提交)
文档项目启动项目计划项目执行控制项目收尾四阶段进行理四阶段文档分类简写分:项目启动(PS)项目计划(PP)项目执行控制(PE)项目收尾(PC)
522 文档编码规
523文档理职责
项目文档项目实施组负责理信息资料科派出位事兼项目文档理员
项目组成员应求时审定文档交付项目文档理员项目文档理员应该时文档编码档
项目文档理员负责项目文档理时更新项目文档目录
项目文档理员周档变更文档出份简报呈交实施组组长保密科科长
524文档架构变更
文档体系结构需变更时需程序执行:
项目组成员提出申请实施组组长批准保密科科长批准项目文档理员变更
525 文档授权
项目文档理员发布文档默认全体项目组成员读取权限需特殊指定权限文档项目组成员交付文档时特说明
第四章 工程实施
1信息化项目实施阶段
信息化项目实施阶段包括3子阶段:概设计详细设计项目实施阶段工作项目开发承担单位完成项目审批单位负责监督工作
2概设计子阶段安全求
概设计阶段系统层次设计求功指标分配子系统层次子阶段安全目标保证子系统设计实现总体安全方案中安全功概设计说明书中少应达安全求:
1)应子系统描述系统安全体系结构
2)应描述子系统提供安全功
3)应标识求基础性硬件固件软件硬件固件软件中实现支持性保护机制提供功表示
4)应标识子系统接口说明接口外部见
5)描述子系统接口途方法适提供影响例外情况错误消息细节
6)确证子系统(开发买)安全功指标满足系统安全需求
3详细设计子阶段安全求
新开发系统系统进行修改阶段务完成买现成品软硬件模块设计先完成模块详细设计方案根模块详细设计整系统详细设计子阶段安全目标保证模块设计实现概设计中安全功阶段详细设计说明书中少包括信息安全容:
1)详细设计中应提出相应具体安全方案标明实现安全功应检查技术原理
2)系统层面模块层面安全设计进行审查
3)完成安全测试评估求(通常包括完整系统软件硬件安全测试方案少相关测试程序草案)
4)确认模块设计模块间接口设计满足系统层面安全求
4项目实施子阶段安全求
新开发系统进行系统修改阶段目模块(软硬件)集成完整系统检查确认集成系统符合求阶段中应完成具体信息安全工作:
1)更新系统安全威胁评估预测系统寿命
2)找出描述实现安全方案系统模块安全求限制相关系统验证机制检查方法
3)完善系统运行程序全生命期支持安全计划密钥分发等
4)系统集成操作手册中应制定安全集成操作程序
5)系统修改操作手册中应制定系统修改安全操作程序
6)项目参员进行信息安全意识培训
7)参加项目建设安全理技术员安全职责进行检查
第五章 测试验收
1文档准备
系统建设完成项目承建方项目合交付部分应部门进行项目交付交付容少包括:
1)制定系统交付清单交付设备软件文档进行清点
2)系统运维员进行技培训求系统运维员进行日常维护
3)提供系统建设程文档包括实施方案实施记录等
4)提供系统运行维护帮助操作手册
2确认签字
系统交付项目实施应部门相关项目负责进行签字确认
3专负责
系统交付项目应系统部门负责必须安系统交付求完成交付工作
4测试方案
应制定投产验收测试纲项目实施完成项目应单位项目开发承担单位组织进行测试测试纲中应少包括安全性测试评估求:
1)配置理:系统开发单位应配置理系统提供配置理文档
2)安装生成启动程序:应制定安装生成启动程序保证终产生安全配置
3)安全功测试:系统安全功进行测试保证符合详细设计详细设计进行检查保证符合概设计总体安全方案
4)系统理员指南:应提供安全理系统高效利系统安全功优点保护功等详细准确信息
5)系统户指南:必须包含两方面容:首先必须解释户见安全功途样户持续效保护信息次必须解释维护系统安全时户起作
6)安全功强度评估:功强度分析应说明概率排列机制(口令字哈希函数)实现系统安全功例口令机制功强度分析通说明口令空间否足够指出口令字功否满足强度求
7)脆弱性分析:应分析采取安全策完备性(安全策否满足安全需求)安全策间赖关系通常穿透性测试评估述容判断实际应中否会利削弱系统安全
第五条 测试完成项目测试组应提交测试报告中应包括安全性测试评估结果通安全性测试评估测试组提出修改意见项目开发承担单位应作进步修改
第六章 系统交付
1试运行
测试通项目应单位组织进入试运行阶段应系列安全措施维护系统安全包括处理系统现场运行时安全问题采取措施保证系统安全水系统运行期间会降具体工作:
1)监测系统安全性包括事报告
2)进行户安全培训培训进行总结
3)监视安全关部件拆处理
4)监测新发现系统安全攻击系统受威胁变化安全风险关素
5)监测安全部件备份支持支持系统安全关维护培训
6)评估系统改动安全造成影响
7)监测系统物理功配置包括运行程太显眼改变影响系统安全风险
2组织验收
系统安全试运行半年项目应单位组织项目开发承担单位科技部门员参加项目验收组项目进行验收验收应增加安全容:
1)项目否已达项目务书中制定总体安全目标安全指标实现全部安全功
2)采技术否符合国家电力行业关安全技术标准规范
3)否实现验收测评安全技术指标
4)项目建设程中种文档资料否规范齐全
5)验收报告中应条目中反映系统安全性验收情况:
6)项目设计总体安全目标容
7)项目采关键安全技术
8)验收专家组中安全专家安全验收评价意见
第七章 系统备案
1系统备案
1)系统建设完成相应公安机关进行备案系统备案备案相关材料公司进行统理相应系统应理部门阅
2)系统等级相关材料报系统部门进行备案
3)系统级求备案材料报相应公安机关备案
2设备理
1)设备均应指定专负责均应设定严格理员身份鉴访问控制严禁盗帐号密码超越理权限非法操作安全设备
2)设备口令少10位须包含写字母数字等易猜测强口令遵循省电网公司统帐号口令理办法
3)设备网络配置应遵循统规划分配相关网络配置应信息理部门备案
4)设备安全策略应进行统理安全策略固化变更应安全理员审核批准时更新策略配置库
5)设备须备机备件公司统进行保分发换
6)加强设备外联控制严禁擅接入国际互联网公众信息网络
7)工作需设备需携带出工作环境时应递交申请相关责签字留档
8)存储介质(含磁盘磁带光盘优盘)理应遵循: ①工作原需外介质应首先进行病毒检查 ②存储介质粘贴统标识注明编号部门责 ③存储介质损坏原更换需交回处理
9)安全设备理:
①安全设备月详细检查次记录分析相关日志疑行时进行处理
②关键安全设备媒体必需进行日常巡检
③设备配置更改时应做配置备份工作
④安全设备出现障立报告领导时通知系统集成商关单位进行障排应填写操作记录技术文档
10)设备相应责负责:
①建立详细运行日志记录备份制度
②负责设备登记登记容应包括运行起止时间累计运行时数运行状况等
③负责进行设备日常清洗定期保养维护做维护记录保障设备处佳状况
④旦设备出现障责应立实填写障报告通知关员处理
⑤设备责应保证设备出厂标称环境(温度湿度电压电磁干扰粉尘度等)工作
11)时关注发类信息安全通告关注新病毒防治信息提示根求调节相应设备参数配置
12)安全理员应界定重设备重设备配置技术文档应考虑双份备份存放份异
3投产监控踪
项目投产应进行段时间监控踪具体包括求:
1)应系统关键安全性变化情况进行监控解变化原
2)系统安全事发生应急处理恢复总结进行全程踪编写详细记录
3)监控新增安全部件系统安全影响
4)踪安全关部件拆处理情况监控系统安全性变化
5)新发现系统安全攻击进行监控记录发生频率系统影响
6)监控系统受威胁变化评估发生性造成影响
7)监控踪安全部件备份情况
8)监控运行程序变化记录变化系统安全影响
9)监控系统物理环境变化情况记录变化系统安全影响
10)监控安全配置变化情况记录变化系统安全影响
11)述监控踪容果系统安全良影响处应系统设计配置运行理做相应改进保证系统安全正常运行
第八章 安全服务商选择
1)系统进入运行程三级系统年聘请第三方测评机构系统进行次等级测评二级系统已年测评次发现符合相应等级保护标准求时整改
2)系统发生变更时时系统进行等级测评发现级发生变化时调整级进行安全改造发现符合相应等级保护标准求时整改
3)测评机构选择具国家相关技术资质安全资质单位
4)系统等级测评信息部负责理
六系统运维理
第章 环境理
1机房环境设备
机房环境通机房监控服务器进行远程检查时进行员现场检查理机房应保持整洁进行定期扫准存放食物禁止存放杂物私品严禁存放易燃易爆具腐蚀性危险品机房设备设施物品准意乱动配置常仪器仪表工具资料外带出机房机房温度应控制20℃~25℃间湿度40~60密闭防尘检查机房周边设备UPS空调消防等设备正常运行机房出入应登记非工作员未许意进入机房许方进入进入机房准喧哗准吸烟准餐机房应配置事明装置备应急
设备检查包括:设备外观检查(硬件完性稳定性告警系统面板参数标识)接续连线检查(接线电源引接线架间连接电缆负载连接电路接续性等)机架部简单清洁接续端子尘加固等设备部软件设置参数检查核历史告警信息阅读设备运行资料核记录应系统日志设备线缆标识否清晰完整应系统磁盘空间CPU占情况应系统服务运行状态数备份否正常进行
2办公环境理
加强办公环境保密性理规范办公环境员行包括工作员调离办公室应立交该办公室钥匙办公区接访员工作员离开座位应确保终端计算机退出登录状态桌面没包含敏感信息纸档文件
² 附表:
机房巡检表
机房巡检表
检查时间 年 月 日
检查
机房环境
检查项
结
情况摘
检查项
结
情况摘
温度
□正常□异常
℃
湿度
□正常 □异常
痕迹
□正常□异常
清洁
□正常 □异常
异响
□ □
异味
□ □
注痕迹检查面墙壁天花否痕迹水渍机房否鼠患蚁蟑螂痕迹正常室温:20~25℃
二周边设备
检查项
结
情况摘
检查项
结
情况摘
UPS
□正常 □异常
电池组
□正常 □异常
空调
□正常 □异常
消防
□正常 □异常
三电话交换机网络设备
检查项
结
情况摘
电话交换机
外线电话正常通话
□正常 □异常
线电话正常通话
□正常 □异常
电话交换机正常工作
□正常 □异常
网络设备
防火墙
网络通讯状况
□正常 □异常
网络流量025
□正常 □异常
网络交换机
数指示灯状况
□正常 □异常
网络通讯状况
□正常 □异常
交换机端口网线状况
□正常 □异常
重参数维护记录表
参数维护发起姓名
事件发起日期
事件发起单位部门
联系电话
维护员姓名
工作日期
维护员单位部门
联系电话
参数修改事
理部门领导
审批意见
维护员具体操作
新参数实施测试结果
备注:
非机房维护员进入申请表
申请员姓名
进入时间
进入员单位名
联系电话
进入事
陪员姓名
陪员部门
备注:
外维护登记表
维护员姓名
工作日期
维护员单位
联系电话
系统前状态
维护象
系统问题源
问题描述
解决方法说明
系统运维员
审核意见
备注:
第二章 资产理
1总
1) 安全理部关部门负责资产理:
2) 编制保存信息系统相关资产清单包括资产责部门重程度处位置等
3) 建立资产安全理制度规定信息系统资产理责员责部门规范资产理行
4) 根资产重程度资产进行标识理根资产价值选择相应理措施
5) 信息分类标识方法作出规定信息传输存储等进行规范化理
2资产理制度
第条 加强公司固定资产低值易耗品采购保报废等理保证公司资产安全完整充分发挥资产效制定制度
第二条 制度适公司固定资产低值易耗品理
第三条 根资产价值年限分固定资产低值易耗品两类
1固定资产:单位价值2000元(含2000元)年限1年形资产
2低值易耗品:单位价值2000元(含2000元)种具物品办公品等期限1年
第四条 公司综合理部负责公司资产实物理公司财务部负责公司资产价值理部门负责公司资产理
第五条 综合理部设资产理员岗位负责公司资产全面统理部门建立资产理台账固定资产低值易耗品分设帐薄进行理资产部门步建立台帐部门必须设立名兼职资产理员负责部门资产进行登记综合部资产理员定期会相关部门公司资产进行盘点
第六条 固定资产低值易耗品购置:部门提出采购求报综合部(资产理员)审核综合部根现资产情况消耗标准判断否意购置直接部门调拨加注意见需采购报相关领导审核批准物资采供部综合理部采购员采购
第七条固定资产低值易耗品验收:采购资产采供部综合理部物品采购申请表联合验收详细核品名规格数量金额仔细检查商品质量验收合格物品填写入库单记入库存验收合格物品须时通知采购员调换否予入库
第八条 固定资产发放:发放固定资产时须相关员行政副总审批签字办理领必须出库单中签字确认程中保善素造成固定资产遗失失窃损坏必须规定赔偿
第九条 低值易耗品发放:发放低值易耗品时综合理部根现资产情况消耗标准确认否超标加注意见领资产理部门负责须分出库单中签字确认
第十条 办公资产离职时须办公资产移交办公资产相关部门负责核实确认方办理离职手续
第十条 固定资产登记转移:综合理部负责核查统计部门固定资产明确部门理责综合理部资产理员应根固定资产出库单时登记资产理台帐部门固定资产出现遗失损毁应部门填写固定资产处置申请单总理办公会相关领导审批时更新固定资产理台帐固定资产公司部调拨转移须填写固定资产部转移通知单转出转入部门相关员部门负责签字确认方转移
第十二条 低值易耗品登记:综合部资产理员低耗品出库单分设部门台帐进行登记
第十三条 固定资产报废:固定资产专业员确认已法维修维修费超资产原值时部门申请报废总理办公会研究意办理相应手续
第十四条 低值易耗品报废:部门负责意综合理部理审批报废
第十五条 资产盘点检查
1部门资产理员负责部门资产查盘点清查盘点情况报综合理部
2综合理部负责资产登记检查日常监督理工作定期抽查部门资产理情况
3季度末综合理部会财务部部门资产理情况进行全面检查盘点出具书面报告部门盘盈盘亏资产找出原责报总理办公会审批处理属理善等素造成追究事理者责视具体情况赔偿损失
第十六条 资产交接
1资产理员进行工作交接时须保证账目实物相符部门负责审核批准
2部门负责新岗时须岗部门固定资产进行确认
第十七条 未事宜根物资理财务理相关制度执行
第三章 介质理
1介质安全理制度
11计算机软件备案理制度
1购买计算机相关公文处理设备须局办公室统组织购买接受捐赠信息安全保密办公室计算机相关设备关信息参数登记备案统发放
2信息安全保密办公室建立完整计算机网络设备技术档案定期计算机软件安装情况进行检查登记备案
3计算机安装正版信息安全防护软件时升级更新操作系统漏洞补丁信息安全软件
4拒绝历明软件光盘需引入软件均须首先防止病毒传染
12计算机安全保密理制度
1计算机信息系统应国家保密法标准国家信息安全等级保护求实行分类分级理保密设施步规划步建设
2办公计算机局域网分网外网网运行东县协办公系统软件专公文处理交换属涉密网外网专部门浏览国际互联网属非涉密网外网采双线路实行物理隔离
3涉机关工作秘密信息(简称涉密信息)应规定涉密信息系统中处理严禁计算机互联网处理涉密信息
4未申报意局机关办公计算机修改网IP址网关DNS服务器子网掩码等设置
5严禁含线网卡线鼠标线键盘等具线互联功设备处理涉密信息
6严禁外员单独接触计算机网络系统资源严禁办公计算机带工作关场确工作需需携带涉密信息手提电脑外出必须做备案登记确保涉密信息安全
13户密码安全保密理制度
1户密码理范围指涉密计算机密码
2涉密计算机设置密码长度等5字符密码定期更换
3涉密计算机需设置操作系统开机登录屏幕保护等密码保护方式
14涉密移动存储设备理制度
1涉密移动存储设备信息安全保密办公室负责登记备案科室负责负责理做专专
2严禁涉密移动存储设备外网间交叉
3移动存储设备接入部门计算机信息系统前 应查杀病毒木马等恶意代码
4严禁涉密存储设备带工作关场
15数复制操作理制度
1互联网信息复制网时应采取严格技术防护措施查杀病毒木马等恶意代码严防病毒等传播
2移动存储设备网外网复制数时应采取严格保密措施防止泄密
3复制传递密级电子文档应严格复制传递等密级纸质文件关规定办理外网传递转发抄送涉密信息
4科室工作需外网公开部信息资料时必须该科室负责审核关领导意交相关负责统发布
16计算机存储介质相关设备维修维护报废销毁理制度
1计算机存储介质相关设备维修维护报废销毁信息安全保密办公室负责保密求实行定点维修需外请维修派专全程监督需外送维修应信息安全保密办公室拆信息存储部件防止存储资料泄密
2办公计算机存储介质相关设备变更途时必须进行严格消磁技术处理
3机关计算机存储介质相关设备报废销毁时应拆存储部件
信息安全保密办公室关求统销毁时作备案登
第四章 设备理
1机存储系统运维理
日常巡检硬件运行状态仔细检查设备硬件提示信息时发现问题防止影响扩化时解决障恢复系统正常运作系统冗余性外部提示包括面板指示灯电源指示灯网卡指示灯磁盘指示灯种硬件障提示报警信息
定期监控cpu性存情况硬盘利情况硬盘运行状态网卡状态系统日志交换分区进程状态存储交换机端口状态存储传输情况通监控数机存储系统性进行评估发现隐患先问题确定点进行段时间问题信息数监控根搜集更更高密度数问题原做出判断果属般应系统问题相应问题应工作加入工作日程时排系统隐患果硬件瓶颈导致相关数做出整合报表附加解决提案提交公司级终拟定解决方案确保服务系统高性高冗余性
2应服务系统运维理
应服务系统公司外业务信息台公司信息化力体现时承载公司部工作台台持续稳定运行显十分理员应运服务服务需求服务群定解便规划网络构架划分网络资源定位应运服务性
应运服务运维理结合机房硬件日常理服务配置信息进行维护理日常巡检条件话网域检测服务响应力定期进入服务操作系统检查应系统服务配置否正常检查日志文件否异常报错检查服务台操作系统否流畅通配置信息障报错服务性理提高服务台事件分析处理力
3数系统运维理
数系统承载服务台数功正常运行应服务系统等重数系统运维体现数服务维护数备份两方面
数库运维服务理包括动数性理快速发现诊断解决性问题发现问题时找出性瓶颈解决数库性问题注意数库系统变化动预防发生问题保证数访问响应力
数备份服务冗余性着重作数文件做日常数增量备份定期全备份重文件做光盘移动存储等介质数备份条件话数进行异数备份日常工作中监控备份服务进程备份情况(起止时间否成功出错告警)出现问题时处理恢复数服务户业务数需更新时记录更新日期便障发生快恢复数
备份应系统数时运维检修工作进行数备份网络设备配置参数备份网系统备份等运维工作中出现配置错误时通相关备份恢复参数短时间恢复网络系统正常运行
4信息保密理
运维员责网络机系统软件应软件等密码核心参数业务数等涉公司机密运营理期规划发展规划信息负保密责意复制传播进行日常运维工作时未级相关部门批准关员进入机房已许需相关员陪
5日常维护
日常工作中定期系统进行优化检查系统补丁安装情况查防毒系统病毒库升级状态关闭系统组件系统服务检查修复服务系统错误日志理账户密码户权限应服务配置修改参数更新数系统性维护监控备份服务保障应服务系统着公司业务增涨改变做出相应服务更新负责网络传输设备安装调试测试排网络障优化网络性预防网络隐患保障网络畅通稳定运行
维护工作站出现操作系统办公软件软件客户端病毒入侵数误删漏洞补丁缺失网络通断常见硬件错误等障现象印机扫描仪传真机数码存储产品等出现驱动程序错误印扫描收发传真数存储错误享错误等影响正常工作软件障程度提供技术支持工作保障公司业务利进行
6附件:安全检查表
服务器
检查项
提示操作正常值
结
情况摘
备注
整体检查
硬件障
查服务器设备障灯
□正常 □异常
障处理详情
补丁
否新补丁需测试安装
□ □否
补丁安装详情
防病毒
病毒库否升级新
□ □否
病毒库日期
XXX服务
系统事件
错误事件明登陆事件
□正常 □异常
日志文件
设置运行正常数量正常
□正常 □异常
磁盘卷组
处失效状态逻辑卷
□正常 □异常
功
服务器台正常访问
□正常 □异常
远程登陆正常工作
□正常 □异常
数备份
备份时间: 年 月 日
系统事件
错误事件明登陆事件
□正常 □异常
日志文件
设置运行正常数量正常
□正常 □异常
磁盘卷组
处失效状态逻辑卷
□正常 □异常
功
服务器运行情况
□正常 □异常
远程登陆正常工作
□正常 □异常
服务
办公系统正常启动
□正常 □异常
数备份
备份时间: 年 月 日
系统事件
错误事件明登陆事件
□正常 □异常
日志文件
设置运行正常数量正常
□正常 □异常
磁盘卷组
处失效状态逻辑卷
□正常 □异常
功
远程登陆正常工作
□正常 □异常
服务器运行情况
□正常 □异常
数库正常工作
□正常 □异常
数备份
备份时间: 年 月 日
系统事件
错误事件明登陆事件
□正常 □异常
日志文件
设置运行正常数量正常
□正常 □异常
磁盘卷组
处失效状态逻辑卷
□正常 □异常
功
远程登陆正常工作
□正常 □异常
服务器运行情况
□正常 □异常
数库正常工作
□正常 □异常
数备份
备份时间: 年 月 日
第五章 监控理安全理中心
1监控理
1) 安全监控系统设备理实行监控中心监控设备辖区综合理制度
2) 监控中心负责监控系统局域网系统设备运行理巡检日常保养维修维护工作确保监控系统设备正常运行
3) 监控中心监控系统设备情况进行检查指导监督监控员负责造成监控系统设备损坏进行责追究
4) 监控设备辖区单位监控中心签订监控设备理责书辖监控设备负理维护责
5) 监控中心监控设备进行日常理严格程序操作监控机维护监控系统
6) 规范程序操作等原造成监控设备损坏系统法正常运行追究理责
7) 未监控中心意监控员等严禁擅开启工控机接口严禁监控机U盘等外接输入输出介质相连严禁监控机监控系统中安装关程序严禁删系统中程序改变存储位置严禁改动系统预设参数
8) 监控室属监重未领导批准非工作员严禁入严禁员理进入监控室
9) 监控室会客进行娱乐活动严禁非监控员操作监控系统设备严禁意改变调整移动监控设备严
禁利监控设备事监控务关活动违反规定造成设备正常工作系统紊乱追究相关责责
10) 监控员负责监控台监控室日常保洁保持室清洁整齐室严禁吸烟准监控室堆放杂物私物品
2安全理中心
网络传输设备运行进行状态网络传输信息进行监控理通网络设备外部信息运行日志负载状态配置参数通信状况服务功等信息确保设备正常工作实时监控网络计算机接入数量终端户网行网络端口传输流量等数记录进行分析评审发现疑行形成分析报告安全理中心负责报告进行分析检查
第六章 网络安全理
1局域网市公司信息中心统理
2计算机户加入局域网必须系统理员安排接入网络分配计算机名IP址帐号权限记录档
3入网户必须分配帐号密码负责严格求做密码口令保密更换工作泄密登录时必须帐号口令长度6位必须字母数字混合
4未批准擅接入更改计算机名址帐号权限业务系统岗位变动时应时重新设置该岗帐号工作口令
5需联接互联网户必需填写计算机入网申请表单位分领导部门负责意信息中心安排监控检查已接入互联网户应妥善保计算机分配帐号密码安全负责利互联网做工作关事情造成病毒感染应付全部责
6入网计算机必须防病毒安全保密措施确工作需外单位通种存储媒体网络通讯等方式进行数交换必须进行病毒检查违反规定造成电子数失密病毒感染违反承担相应责时应追究部门负责领导责
7办公电脑应安装全省统指定趋势防病毒系统定期升级病毒码杀毒引擎时查杀病毒未信息中心意理删换杀毒软件(防火墙)发现病毒应时信息中心汇报系统理员统清病毒
8入网户事列危害公司网络安全活动:
(1)未允许公司网络功进行删修改增加
(2)未允许公司网络中存储处理传输数应程序进行删修改增加
(3)系统软件应软件关键数重技术文档未领导批准擅拷贝提供外单位非法拷贝引起问题拷贝承担全部责
9入网户必须遵守国家关法律法规公司关规定违反信息中心停止入网权追究相应责
10户必须做防火防潮防雷防盗防尘防泄密等防范措施重文件资料须做备份
第七章 系统安全理
1总
第条 保证单位信息系统操作系统数库系统安全根中华民国计算机信息系统安全保护条例结合单位系统建设实际情况特制定制度
第二条 制度适XXXXXXXXXX系统部门员
2系统安全策略
第三条信息安全责部门负责单位员权限分配权限设定遵循授权原
1)理员权限:维护系统数库服务器进行维护系统理员数库理员应权限分离担
2)普通操作权限:系统员针工作范围予操作权限
3)查询权限:单位理员权限查询数输入修改数
4)特殊操作权限:严格控制单位理方面特殊操作权限赋予相关科室负责例退费操作等
第四条 加强密码策略普通户进行鉴时果输入三次错误口令锁定需系统理员确认解锁帐号够
第五条 户口令应满足求:
1) 8字符
2) 字符组合:azAZ09@#^&*() +
3) 口令三月少修改次
第六条 定期安装系统新补丁程序安装前进行安全测试重文件进行备份
第七条 月操作系统进行安全漏洞扫描时发现新安全问题通升级补丁加固等方式解决
第八条 第七条关闭信息系统必服务
第九条 第八条做备份策略保障系统障时快速恢复系统正常避免数丢失
3系统日志理
第十条 系统重数服务器配值参数修改必须征XX领导批准做相应记录
第十条 项操作均应进行日志理记录应包括操作员操作时间操作容等详细信息
第十二条 审计日志应包括局限容:包括重户行系统资源异常重系统命令等系统重安全事件
第十三条 安全审计员应日审计日志进行审查异常事件时进解决定期形成日志分析报告
第十四条 系统审计日志应定期做备份工作
4操作理
第十五条 单位工作员申请账户权限需填写系统权限申请表系统理员批准方开通账号申请表应详细记录账号信息
第十六条 员离职调职时需交回相关系统账号密码系统理员删变更账号方离职调职
第十七条 单位工作员严禁私办公计算机安装软件免造成病毒感染严禁私更改计算机设置安全策略
第十八条 严格理口令包括口令选择保更换采取关闭guest匿名户增强理员口令选择求等措施
第十九条 第十八条计算机设备应设屏幕密码保护户界面保证数机密性安全
5惩处
第二十条 违反理制度提请单位行政部视情节予相应批评教育通报批评行政处分处警告追究责触犯国家法律行政法规关法律行政法规规定予处罚构成犯罪法追究刑事责
第八章 恶意代码防范理
1恶意代码三级防范机制
11恶意代码初级安全设置防范
初级安全设置防范:
运行防毒软件(金山毒霸 360等)应实时监控定期更新病毒库
时系统应程序补丁
启防火墙系统
administration账号密码创建理员账号理日常事务默认理员账号administration般执行需特
权执行程序进行系统设置时启动(超级理员) <4>禁GUEST账号养成良网惯
12恶意代码中级安全设置防范
中级安全设置防范:关闭必端口说139端口(NetBIOS协议)IRCrpc漏洞445端口 3389等
享文件设置户访问权限
NTFS(标准文件系统)格式分区设置文件夹访问权限文件运行权限控制面板→计算机理→户组→户关闭前户外切户修改Internet explorer安全设置安全等级调高
13恶意代码高级安全设置防范
高级安全设置防范:安全策略gpeditmsc入手限定更改密码期限限定输入密码错误次数(防止限次重试输入)禁必服务Terminal Services(终端服务) IIS(信息服务器)等关闭默认享包括C D E等安装系统备份原软件
gpeditmsc中关闭动播放功AutoRun病毒启动组策略→理模板→系统→禁动播放注册表安全操作例注册表中关闭系统安全服务关闭抢占系统资料台启动项隐藏隐藏文件注册表项全部开备份关键注册表项(安全模式备份)
2防御恶意代码技术理员职责
21应精通恶意代码防范措施熟悉公司相关规范未非技术员提供安全技术支持帮助监督非技术员理解执行防范恶意代码规范
22应解常见恶意代码信息种类需情况常识初步判断恶意代码产生
23应负责辖范围计算机安装防御恶意代码软件
24应辖范围计算机安装防御恶意代码软件进行适安全配置
25辖范围系统网络应周相关网站查相关系统网络新发现漏洞相关补丁信息
26点出现系统网络相关补丁更新应立相关设备进行安装
27应负责范围网络服务器户PC进行相应配置周动进行服务器网络安全扫描确保扫描完成
28旦发现恶意代码导致异常系统行必须立启动恶意代码紧急应措施
3防御恶意代码员工日常行规范
31确保计算机安装防御恶意代码软件进行适配置
32擅更改系统应软件
33情况必须通防御恶意代码系统进行扫描确认安全:
331通Internet载文件应程序
332享网络传输载数应程序
333拷贝软盘光盘移动设备数应程序
34必须周备份重数
35旦发现恶意代码导致异常系统行必须立通知负责防御恶意代码技术员
第九章 密码理
确保网络安全运行保护拥护权益受侵害特制订理制度
密码设置:
1服务器密码网络理中心负责系统理员商议确定必须两时场设定
2服务器密码须网络理中心负责场时系统理员记录封存
3密码容设置规:必须数字字符特殊字符组成密码长度少8字符机密级计算机设置密码长度少10字符设置密码时应量避开规律易破译数字字符组合作密码
4密码定期更换般服务器密码更换周期30天重服务器密码更换周期超7天
5重服务器需分设置BIOS操作系统开机登录屏幕保护三密码
二密码口令保存
(1)中心服务器设置户密码系统理员行保存严禁密码转告工作需必须转告应请示级领导批示非系统理员密码完成工作系统理员应该时更改密码保证密码安全
(2)中心服务器设置户密码须登记造册系统理员理保存备案记录交网络理中心负责封存
(3)密码更换系统理员需新密码口令记录登记封存
(4)发现密码泄密迹象黑客入侵系统理员立刻报告网络理中心负责网络理中心负责应时系统理员商定修改密码严查泄密源头修补系统漏洞详细情况书面形式报级领导
第十章 变更理
1变更
公司总理负责公司形式变更理
2变更程序
21变更申请
实施变更时变更申请应项变更程产生风险进行分析制定控制措施填写变更申请表专负责理
22变更审批
变更申请表填应部门分公司领导审批部门组织关员变更原实际需确定否进行变更
23 变更实施
变更批准相关职责部门负责实施时性变更未审查批准超原批准范围期限
24变更验收
变更实施结束变更部门应变更情况进行验收填写变更验收表确保变更达计划求变更部门应时变更结果通知相关部门员
附件变更申请表
编号:
变更名称
申请部门
申请姓名
职务
日期
变更说明技术:
风险分析结:
控制措施:
申请单位领导意见:
审批部门意见:
分领导签字:
附件二变更验收表
编号:
验收变更项目
变更单位
组织验收单位
日期
验收组成员
姓 名
属单位
职 务
验收意见(附验收报告):
验收负责签字:
部门审查意见:
签 字:
需沟通部门(变更结果)
单位部门
签字
单位部门
签字
第十章 备份恢复理
1总
第条 保障公司信息系统安全计算机系统失效数丢失时备份快恢复系统数保护关键应数安全保证数丢失特制定办法
第二条 信息系统涉网络设备网络线路加密设备计算机设备应系统数库维护员采取备份措施确保需时备资源供调配恢复
第三条 理办法中涉设备指运行信息技术部机房中网络设备加密设备计算机设备
第四条 信息系统备份手段根信息重程度恢复时间求分实时热备份冷备份等台系统应量样备份手段便理信息技术部负责信息系统备份恢复理制定数备份计划数备份时间容级员保期限异存取销毁手续等进行明确规定
第五条 信息技术部应根系统重程度恢复求关规定求制定系统配置操作系统应系统数库数文件备份周期保存期限
第六条 重系统数备份周期备份保存期限应遵循原:
() 少保留份全系统备份
(二) 日运行中发生变更文件应进行备份
(三) 生产系统程序库定期做备份月少做次
(四) 生产系统变更时须变更前程序库进行备份
(五) 批加工文件更新操作应进行批加工前备份
(六) 天批加工结束数文件进行批备份核心数须进行第二备份
(七) 批加工生成报表相应备份手段规定保留期限进行保留
(八) 制作户数盘文件应备份
(九) 重业务系统月末半年末年末计息日等特殊日数备份须永久保留
(十) 定期生产系统数进行删减压缩删减数备份磁带永久保留
(十) 未明确保存期限项备份保存少应保存周
2设备备份
第七条 信息系统电源设备应量保证两套电源源
第八条 关键通讯线路网点通讯线路必须采双通讯线路网络运行线路备份线路必须选网络服务供应商重网络设备必须冗余备份
第九条 核心服务器必须采热备份方式确保运行机出现障时候备机够动接重服务器根联机服务求采热备份方式双机备份冗余容错措施采双机热备份机系统配置求称致磁盘采阵列磁盘动态热备份全镜容错技术
UPS采机方式阵列方式等
第十条 没业务数存放工作站设备必须预先安装备份机根系统重性影响面考虑部分系统套备机应套运行机系统套备机应套运行机
第十条 系统介质做双备份份系统维护部门理方便时安装份作灾难备份异存放
第十二条 备机必须季度进行检查保证备机系统处状态
保证双机热备软件够起作安装时测试需季度进行切换测试工作
3应系统程序数备份
第十三条 需备份文件备份周期备份介质保留时间:
() 系统数库文件两套存储设备实时镜文件备份周期日全备份备份介质磁带数备份文件保留份文档安全服务商保留份城灾备中心份异灾备中心份保留时间永久
(二) 应系统配置文件备份周期周次全备份备份介质生产磁盘磁带数备份文件保留份文档安全服务商保留份城灾备中心份异灾备中心份保留时间永久
(三) 邮件数库文件备份周期2时次数镜周次全备备份保留时间1月邮件数备份数中心邮件档服务器保留时间永久
(四) 办公业务文件服务器文件享文件备份周期月次磁带备份保留数中心备份介质备份服务器磁盘保留时间月
(五) 文件传输台发送接受投资系统相关行情估值文件年金系统相关文件备份周期日次全备份备份介质备份服务器磁盘保留时间永久数备份文件保留份文档安全服务商保留份城灾备中心份异灾备中心份保留时间永久
(六) WindowsLinux操作系统文件备份备份周期周次全备份保留数中心保留时间月备份介质备份服务器磁盘
第十四条 数备份异数备份
() 数备份:备份文件均保留份
(二) 城备份:城灾备中心实现生产中心投资年金系统数备份包括数库文件应系统配置文件
(三) 异备份:异灾备中心实现生产中心投资年金系统数备份包括数库文件应系统配置文件AD域控服务器备份(计划灾备三期实现)
第十五条 信息技术部应充分合理利信息系统提供种安全机制实现系统备份备份系统构成配置应生产系统量保持致制定效行切换机制确保生产系统出现障时迅速接承载业务运行系统运维岗日常维护应保障生产环境备份环境生产备份机备份生产库完整性
第十六条 信息技术部系统运维岗应该时重系统重数数进行备份防止系统数丢失遇相重改动更新应天立进行完全备份
第十七条 信息系统应系统程序数备份信息技术部系统运维岗负责相关理工作信息技术部系统运维岗执行软件系统部署升级前应检查软件系统应数备份恢复操作指导系统障恢复手册否完整软件系统首次部署时应系统应软件进行全备份系统配置更改时做操作系统全备份运行机进行系统应软件升级时候必须首先进行系统应软件进行备份升级完成时应时备机进行升级
第十八条 数提取变更执行流程应事先做充分备份工作预防时变发生数变更操作注意踪系统运行情况发生异常起变更操作前应急方案准备恢复
第十九条 网络设备配置必须统备份网络设备日志统收集统分析统备份
第二十条 服务器日志数应该集中收集定期分析定期备份定期销毁
第二十条 设备维护特磁盘磁带设备维护时首先做信息备份
第二十二条 数库数文件日志文件控制文件进行定期备份原周次完全备份天次增量备份(目前暂定全库备份)时数备份模式根情况选择完整备份部分备份备份工具进行数卸出装载
第二十三条 备份数应该严格理存储脱机介质(磁带)异存放妥善保存备份数资料保点应防火防热防潮防尘防磁防盗设施备份系统备份数必须原系统数拥样密级严格遵守涉密信息理制度
4备份介质介质库理
第二十四条 介质介质库理应设专负责系统运维岗应制定磁带量计划天整理备份磁带库磁带情况定期检查备份执行情况定期检查永久备份磁带否损坏负责磁带定期进行重新读写磁带库磁带机应定期检修
第二十五条 备份介质应备份象分类存放混放混备份磁带应作标签分类摆放预先安排方便查找
第二十六条 异数备份应保证少48时生产数保障信息系统数安全备份数效更新
第二十七条 业务数备份介质必须存放保护特定场时拷贝进行异(非建筑物)保存存放系统第二备份磁带第二备份磁带库应远离机房少十公里外设立第二备份库第二备份磁带应专专业数公司时送第二备份磁库严格执行异数备份交接交接双方必须严格履行交接手续整操作程相应监控设备进行书面记录备查
第二十八条 生产介质阅须执行严格审批制度机房磁带未许许带出机房非公司磁带需批准填写相关手续方带走未授权意导入导出备份介质中信息数意备份介质数报表带出机房
第二十九条 介质报废销毁须符合规范保密性求废弃备份介质数报表应存放指定点专集中销毁
5系统恢复
第三十条 已建立备份系统应定期进行实际切换演练防止生产系统切换备份系统时备份系统正常工作生产系统瘫痪信息技术部运维岗应定期进行双机热备演练测试生成测试报告果测试成功应提出相应解决方案应定期值班员进行应急恢复训练实施演保证相关员正确进行应急恢复
第三十条 系统崩溃特殊情况应区分系统级恢复应级恢复数级恢复分制定策略时量通系统备份进行机系统恢复造成停业障线员应立报告领导提出相应办法必时启备份系统
第三十二条 旦发生数丢失数破坏等情况系统运维员进行备份数恢复免造成必麻烦更损失全盘恢复般应服务器发生意外灾难导致数全部丢失系统崩溃计划系统升级系统重组等文件恢复般恢复受损文件者全盘恢复追加增量备份恢复新备份
第三十三条 城灾备中心启:数中心完全瘫痪时启城数灾备中心异灾备中心启:数中心城灾备中心法运行时启动异灾备中心
6员备份
第三十四条 信息系统关键岗位(现阶段定义:项目理岗系统运维岗硬件运维岗)员设置应做职责分明相互配合防止突发原引起工作岗位角色缺失关键岗位员应执行备份机制设置AB角色保障日常生产跨工作岗位角色权责转移必须角色岗位员部门提出级进行书面授权否视效授权
第三十五条 信息系统运行维护工作必须指定AB角A角负责日常维护工作B角A角出差者时时候负责解决障A角责B角进行培训直B角独立处理障
附
第三十六条 理办法信息技术部负责解释指导
第三十七条 理办法发日起实施
第十二章 安全事件处置
1工作原
预防:立足安全防护加强预警重点保护基础信息网络关系国家安全济命脉社会稳定重信息系统预防监控应急处理应急保障击犯罪等环节法律理技术等方面采取种措施充分发挥方面作构筑网络信息安全保障体系 快速反应:网络信息安全突发公事件发生时快速反应机制时获取充分准确信息踪研判果断决策迅速处置程度减少危害影响
:保障公利益公民法组织合法权益安全作首务时采取措施限度避免财产遭受损失
分级负责:谁谁负责谁运营谁负责谁谁负责条块结合条原建立完善安全责制联动工作机制根部门职司职加强部门间局间协调配合形成合力履行应急处置工作理职责
常备懈:加强技术储备规范应急处置措施操作流程定期进行预案演练确保应急预案切实效实现网络信息安全突发公事件应急处置科学化程序化规范化
2组织指挥机构职责
发生网络信息安全突发公事件应成立局网络信息安全应急协调组局网络信息安全应急处置组织协调机构负责领导协调全局网络信息安全突发公事件应急处置工作局网络信息安全协调组设办公室负责日常工作综合协调公安网监部门进行联系
3先期处置
(1)发生网络信息安全突发公事件时事发部门应做先期应急处置工作立采取措施控制事态时相关局级部门通报
(2)网络信息安全事件分四级特重(Ⅰ级)重(Ⅱ级)较(Ⅲ级)般(Ⅳ级)
(3)部门接系统网络信息安全突发公事件发生发生信息应加强关方面联系掌握新发展态势Ⅲ级Ⅳ级网络信息安全突发公事件部门行负责应急处置工作演变Ⅱ级Ⅰ级网络信息安全突发公事件局协调组处置工作提出建议方案作启动预案项准备工作部门根网络信息安全突发公事件发展态势视情况决定赶赴现场指导组织派遣应急支援力量支持事发部门做应急处置工作
4应急处置
41应急指挥
启动根局协调组会议部署担总指挥领导参指挥领导迅速赶赴相应指挥台进入指挥岗位启动指挥系统相关联动部门预案确定关职责立开展工作 需成立现场指挥部事发部门立现场开设指挥部提供现场指挥运作相关保障现场指挥部根事件性质迅速组建类应急工作组开展应急处置工作现场指挥部局协调组领导全权负责现场应急援救工作部门负责发生网络信息安全突发公事件网络信息系统现场应急处置工作
42应急支援
动协调组应急响应先遣组督促指导协调处置工作协调组办公室根事态发展处置工作需时增派专家组应急支援单位调动必需物资设备支援应急工作 参加现场处置工作部门现场指挥部统指挥协助开展处置行动
43信息处理
(1)现场信息收集分析报事发部门应事件进行动态监测评估时事件性质危害程度损失情况处置工作等情况局委局政府紧急信息报送关规定时报局协调组办公室隐瞒缓报
谎报
(2)级信息处理局协调组办公室明确信息采集编辑分析审核签发责做信息分析报告发布工作
(3)信息发布咨询网络信息安全突发公事件发生时局协调组办公室时做信息发布工作通局级新闻单位发布网络信息安全突发公事件预警应急处置相关信息通知社会界做应急准备预防措施增强公众信心信息发布新闻报道国家关规定时进行
44应急结束
网络信息安全突发公事件应急处置效控制监测统计数报公司组办公室局协调组提出应急结束建议批准实施
5期处置
51善处置
应急处置工作结束事发单位迅速采取措施抓紧组织抢修受损基础设施减少损失快恢复正常工作统计种数查明原事件造成损失影响恢复重建力进行分析评估认真制定恢复重建计划迅速组织实施关部门提供必员技术物资装备资金等支持善处置关情况报协调组办公室
52调查评估
应急处置工作结束局级部门应立组织关员专家组成事件调查组政府关部门配合事件发生处置程进行全面调查查清事件发生原财产损失状况总结验教训根问责制关规定关责员做出处理
第十三章 应急预案理
1应急处理灾难恢复
应急处理灾难恢复安全等级应选择满足求项:
a)应急处理基求:应信息系统应急处理明确求制定具体应急处理措施安全理员应协助分领导落实应急处理措施
b)应急处理制度化求:应制定总体应急计划灾难恢复计划应急处理组负责落实制定针关键应系统支持系统应急计划灾难恢复计划进行测试计划涉员进行培训保证员具相应执行力应急需外部关单位应签订合制定安全事件处理制度制定系统信息文档备份制度等等
c)应急处理检查求:信息安全领导组应负责指定专负责应急计划实施恢复计划理工作信息系统安全机制集中理机构应协助应急处理组负责具体落实检查验证应急计划灾难恢复计划保证应急计划灾难恢复计划够效执行
d)应急处理强制保护求:针应急计划灾难恢复计划实施进行独立审计针应急计划灾难恢复计划进行定期评估断改进完善
e)应急处理持续改进求:制定包括全面理细应急计划灾难恢复计划基应急计划灾难恢复计划安全策略进行验证操作程监督
2应急计划
应急计划安全等级应满足求:
a) 制定应急计划策略明确制定应急计划需职权相应理部门
b) 进行业务影响分析识关键信息系统部件确定优先次序
c) 确定防御性控制减系统中断影响提高系统性注意采取措施减少应急计划生命周期费
d) 制定恢复策略确保系统中断快速效恢复
e) 制定信息系统应急计划包括恢复受损系统需指导方针规程
f) 计划测试培训演练发现计划足培训技术员
g) 计划维护规律更新适应系统发展
h) 制定灾难备份计划启动方式
3应急计划实施保障
应急计划实施保障安全等级应选择满足求项:
a)应急计划责求:应明确应急计划组织实施员知道应急计划实施程中责
b)应急计划力求:系统相关员进行培训知道时应急计划中控制手段恢复策略保证执行应急计划应具力
c)应急计划系统化理:进行系统化理实施维护整组织应急计划体系记录计划实施程确保应急计划执行足够资源保证
d)应急计划监督措施:风险评估开始考虑运行理程识引起业务程中断事件应业务资源业务程理者参监督
e)应急计划持续改进:应针计划正确性完整性进行定期检查计划发生重变化时应立检查根业务应重程度断计划容规程进行评估完善
4应急演练
信息技术中心负责组织公司应急演练编写测试预案演模拟机房出现事公司部门协作战员位应急处理力应急演练结束信息技术中心根演练结果进行汇总全公司通报总计发现问题落实整改分支机构问题监督进行整改
文档香网(httpswwwxiangdangnet)户传
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档
XXXXXXXXXX
信息安全制度汇编
XXXXXXXXXX
二〇XX年X月
目录
总 6
二安全理制度 7
第章 理制度 7
1安全组织结构 7
11信息安全领导组职责 7
12 信息安全工作组职责 8
13信息安全岗位 9
2安全理制度 11
21安全理制度体系 11
22安全方针策略 12
23安全理制度规范 12
24安全流程操作规程 14
25安全记录单 14
第二章 制定发布 15
第三章 评审修订 16
三安全理机构 17
第章 岗位设置 17
1组织机构 17
2关键岗位 19
第二章 员配备 21
第三章 授权审批 22
第四章 沟通合作 24
第五章 审核检查 26
四员安全理 28
第章 员录 28
1组织编制 28
2招聘原 28
3招聘时机 28
4录员基求 29
5招聘员岗位求 29
6招聘种类 29
61 外招 29
62 招 30
7招聘程序 30
71 事需求申请 30
72 甄选 30
73 录 32
第二章 保密协议 33
第三章 员离岗 35
第三章 员考核 37
1.制定安全理目标 37
2目标考核 38
3奖惩措施 38
第四章 安全意识教育培训 39
1安全教育培训制度 39
第章 总 39
第二章 安全教育含义方式 39
第三章 安全教育制度实施 39
第四章 三级安全教育教育容 41
第五章 附 43
第五章 外部员访问理制度 44
1总 44
2访登记控制 44
3进出门禁系统控制 45
4携带物品控制 46
五系统建设理 47
第章 安全方案设计 47
1概述 47
2.设计求分析 48
21安全计算环境设计 48
22安全区域边界设计 49
23安全通信网络设计 50
24安全理中心设计 50
3.针单位具体实践 51
31安全计算环境建设 51
32安全区域边界建设 52
33安全通信网络建设 52
34安全理中心建设 53
35安全理规范制定 54
36系统整体分析 54
第二章 产品采购 55
第三章 行软件开发 58
1申报 58
2安全性证审批 58
3复议 58
4项目安全立项 58
5项目理 59
51 概 59
52正文 60
第四章 工程实施 62
1信息化项目实施阶段 62
2概设计子阶段安全求 62
3详细设计子阶段安全求 63
4项目实施子阶段安全求 63
第五章 测试验收 65
1文档准备 65
2确认签字 65
3专负责 65
4测试方案 65
第六章 系统交付 68
1试运行 68
2组织验收 68
第七章 系统备案 70
1系统备案 70
2设备理 70
3投产监控踪 72
第八章 安全服务商选择 74
六系统运维理 75
第章 环境理 75
1机房环境设备 75
2办公环境理 76
第二章 资产理 81
1总 81
2资产理制度 81
第三章 介质理 85
1介质安全理制度 85
11计算机软件备案理制度 85
12计算机安全保密理制度 85
13户密码安全保密理制度 86
14涉密移动存储设备理制度 86
15数复制操作理制度 87
16计算机存储介质相关设备维修维护报废销毁理制度 87
第四章 设备理 89
1机存储系统运维理 89
2应服务系统运维理 89
3数系统运维理 90
4信息保密理 91
5日常维护 91
6附件:安全检查表 92
第五章 监控理安全理中心 94
1监控理 94
2安全理中心 95
第六章 网络安全理 96
第七章 系统安全理 98
1总 98
2系统安全策略 98
3系统日志理 99
4操作理 100
5惩处 100
第八章 恶意代码防范理 101
1恶意代码三级防范机制 101
11恶意代码初级安全设置防范 101
12恶意代码中级安全设置防范 101
13恶意代码高级安全设置防范 102
2防御恶意代码技术理员职责 102
3防御恶意代码员工日常行规范 103
第九章 密码理 104
第十章 变更理 106
1变更 106
2变更程序 106
21变更申请 106
22变更审批 106
23 变更实施 106
24变更验收 106
附件变更申请表 107
附件二变更验收表 108
第十章 备份恢复理 109
1总 109
2设备备份 110
3应系统程序数备份 111
4备份介质介质库理 114
5系统恢复 115
6员备份 116
第十二章 安全事件处置 117
1工作原 117
2组织指挥机构职责 117
3先期处置 118
4应急处置 119
41应急指挥 119
42应急支援 119
43信息处理 119
44应急结束 120
5期处置 120
51善处置 120
52调查评估 121
第十三章 应急预案理 122
1应急处理灾难恢复 122
2应急计划 123
3应急计划实施保障 124
4应急演练 125
总
规范XXXXXXXXXX信息安全工作确保全体员工理解信息安全工作职责落实日常工作中推动信息安全保障工作利进行结合XXXXXXXXXX实际情况特制定制度
理制度称信息系统安全包括计算机网络应系统(简称信息系统)硬件软件数环境受效保护信息系统连续稳定安全运行保障
信息系统安全理坚持谁谁负责原公司部门员工应履行相关信息系统安全建设理义务责
信息系统安全工作总体目标:实施信息系统安全等级保护建立健全先进实完整信息系统安全体系保证系统信息完整性真实性性保密性控性保障信息化建设应支撑公司业务持续稳定健康发展
信息系统安全体系建设必须坚持统标准保障应符合法规综合防范集成享原
制度适公司部门
二安全理制度
第章 理制度
1安全组织结构
XXXXXXXXXX安全理组织应形成领导牵头信息安全领导组具体信息安全职部门负责日常工作组织模式组织结构图示:
组
织
机
构
图
11信息安全领导组职责
信息安全领导组XXXXXXXXXX领导牵头部门负责组成成员组织机构负责批准XXXXXXXXXX安全策略分配安全责协调安全策略够实施确保安全理工作明确方理决策层角度信息安全理提供支持信息安全领导组责:
() 确定网络信息安全工作总体方目标总体原安全工作方法
(二) 审查批准政府信息安全策略安全责
(三) 分配指导安全理总体职责工作
(四) 网络信息面重安全风险时监督控制发生重变化
(五) 安全理重更改事项(例:组织机构调整关键事变动信 息系统更改等)进行决策
(六) 指挥协调督促审查重安全事件处理协调改进措施
(七) 审核网络安全建设理重活动重安全项目建设重安 全理措施出台等
(八) 定期组织相关部门相关员安全理制度体系合理性适性进 行审定
12 信息安全工作组职责
信息安全工作组信息安全工作日常执行机构设专职安全理组织岗位负责日常具体安全工作落实组织协调信息安全工作组职责:
() 贯彻执行解释信息安全领导组决议
(二) 贯彻执行解释国家机构发信息安全策略
(三) 负责组织协调类信息安全规划方案实施测试验收评审会议
(四) 负责落实执行类信息安全具体工作具体落实情况进行总 结汇报
(五) 负责外部组织机构沟通协调合作工作
(六) 负责制定信息安全相关理制度规范
(七) 负责针信息安全相关理制度规范具体落实工作进行监督 检查考核指导审批例现安全技术措施效性安全配置安全策略致性安全理制度执行情况等
组织结构职责通信息安全组织职责体系加说明
13信息安全岗位
效落实信息安全项工作XXXXXXXXXX应设立专职安全岗位负责安全工作落实执行:
131信息安全工作组
1) 负责网络信息安全日常整体协调理工作
2) 负责组织员制定信息安全理制度理制度进行推广培训 指导
3) 负责重安全事件具体协调沟通工作
132安全理员岗位
1) 负责执行网络信息安全工作日常协调理工作
2) 负责日常安全监控理报发现类安全事件进行响应
3) 负责系统网络应安全理协调技术指导
4) 负责安全理台安全策略制定访问控制策略审核
5) 负责组织安全理制度推广培训工作
6) 负责定期进行安全检查检查容包括系统日常运行系统漏洞数 备份等情况
133安全审计员岗位
1) 负责安全理制度落实情况检查监督指导
2) 负责安全策略执行情况审核
134系统理员
1) 负责系统安全稳定运行日常理工作
2) 负责保持系统防病毒系统补丁等保持新定期系统进行安全加 固保持系统漏洞化
135网络理员
1) 负责网络设备安全稳定运行日常理工作
2) 负责保持网络设备漏洞化定期系统进行安全加固
3) 负责保持网络路交换策略业务需求保护致
4)XXXXXXXXXX应根日常运行维护理工作设置物理环境理 数库理应理资产理等岗位岗位应包括安全职
责安全职责具体容通信息安全理岗位说明书落实
2安全理制度
21安全理制度体系
XXXXXXXXXX安全理制度应建立信息安全方针安全策略安全理制度安全技术规范流程套信息安全理制度体系
22安全方针策略
高方针纲领性安全策略文档陈述策略目适范围信息安全理意图支持目标指导原信息安全方面应遵守原方法指导性策略
23安全理制度规范
类理规定理办法暂行规定安全策略文档中规定安全方面应遵守原方法指导性策略引出具体理规定理办法实施办法必须具操作性必须效推行实施
技术标准规范包括安全等级区域网络设备机操作系统应程序应遵守安全配置理技术标准规范技术标准规范作网络设备机操作系统应程序安装配置采购项目评审日常安全理维护时必须遵标准允许发生违背突项目XXXXXXXXXX编制安全理制度规范:
安全方针
安全策略
安全理组织体系职责
部员安全理规定
外部员安全理规定
等级保护安全理规范
风险评估理规范
软件开发理规定
IT外包理规定
工程安全理规定
产品采购安全理规定
服务商安全理规定
机房理制度
办公环境安全理规定
资产安全理制度
设备安全理规定
介质安全理规定
运行维护安全理规范
网络安全理规定
系统安全理规定
防病毒安全理规定
密码理制度
变更理制度
备份恢复理规定
安全事件理制度
应急预案
安全流程操作规程详细规定业务应事件处理流程步骤相关注意事项作具体工作时具体部分必须具操作性必须效推行实施
24安全流程操作规程
安全流程操作规程详细规定业务应事件处理流程步骤相关注意事项作具体工作时具体部分必须具操作性必须效推行实施
25安全记录单
安全记录单落实安全流程操作规程具体表单根等级信息系统求通方式安全记录单落实日常工作中具体执行包括日常操作记录工作记录流转记录审批记录等
第二章 制定发布
安全策略系列文档制定必须效发布执行发布执行程中理层力支持推动外必须合适行发布推动手段时发布执行前员做相关部分充分培训保证员知道解相关部分容
安全策略制定发布程中应实施安全理:
() 安全理制度应具统格式进行版控制
(二) 信息安全工作组负责安全理制度制定
(三) 安全理职部门应组织相关员制定安全理制度进行证审定
(四) 安全理制度应通文件形式发通知
(五) 安全理制度应注明发布范围收发文进行登记必须注意长期艰苦工作需付出艰苦努力牵扯许部门绝数员工需改变工作方式流程推行起阻力会相时安全策略身存缺陷包括切实行太复杂繁琐部分规定缺欠等会导致整体策略难落实
第三章 评审修订
信息安全领导组应组织相关员信息安全策略体系文件进行评审确定效执行期限时应指定信息安全职部门年审视安全策略系列文档具体检查容包括:
() 信息安全策略中更新
(二) 信息安全标准中更新信息安全标准需全部更新仅 变更受影响部分进行更新果必年度审视/更新流程信息安全标准做次全面更新
(三) 安全理组织机构员安全职责更新
(四) 操作流程更新
(五) 类理规定理办法暂行规定更新
(六) 户协议更新等等 通信息安全策略理规定落实相关容
三安全理机构
第章 岗位设置
健全岗位设置职责分配技求等安全组织建设重点容安全理工作利开展具巨意义
缺乏健全岗位设置职责分配技求导致负责难落实责权利难胜安全理工作等严重问题
1组织机构
1) XXXXXXXXXX成立信息安全领导组信息安全高决策机构设办公室负责信息安全领导组日常事务
2) 信息安全工作领导组高领导单位领导委授权
3) 信息安全领导组负责研究重事件落实方针政策制定总体策略等职责包括:
a) 根国家行业关信息安全政策法律法规批准公司信息安全总体策略规划理规范技术标准
b) 确定公司信息安全关部门工作职责指导监督信息安全工作
c) 信息安全领导组设两工作组:信息安全工作组应急处理工作组组长均公司负责担
4) 信息安全工作组职责包括:
a) 贯彻执行公司信息安全领导组决议协调规范公司信息安全工作
b) 根信息安全领导组工作部署信息安全工作进行具体安排落实
c) 组织重信息安全工作制度技术操作策略进行审查拟订信息安全总体策略规划监督执行
d) 负责协调督促职部门关单位信息安全工作参信息系统工程建设中安全规划监督安全措施执行
e) 组织信息安全工作检查分析信息安全总体状况提出分析报告安全风险防范策
f) 负责接受单位紧急信息安全事件报告组织进行事件调查分析原涉范围评估安全事件严重程度提出信息安全事件防范措施
g) 时信息安全工作领导组级关部门单位报告信息安全事件
h) 踪先进信息安全技术组织信息安全知识培训宣传工作
5) 应急处理工作组职责包括:
a) 审定公司网络信息系统安全应急策略应急预案
b) 决定相应应急预案启动负责现场指挥组织相关员排障恢复系统
c) 年组织信息安全应急策略应急预案进行测试演练
6) 公司应指定分信息领导负责单位信息安全理配备信息安全技术员条件
应设置信息安全工作组办公室公司信息安全领导组工作组负责落实单位信息安全工作应急处理工作
2关键岗位
设置信息系统关键岗位加强理配备系统理员网络理员应开发理员安全审计员安全保密理员求五独立害岗位员必须严格遵守保密法规关信息安全理规定
1) 系统理员职责:
a) 负责系统运行理实施系统安全运行细
b) 严格户权限理维护系统安全正常运行
c) 认真记录系统安全事项时信息安全员报告安全事件
d) 进行系统操作员予安全监督
2) 网络理员职责:
a) 负责网络运行理实施网络安全策略安全运行细
b) 安全配置网络参数严格控制网络户访问权限维护网络安全正常运行
c) 监控网络关键设备网络端口网络物理线路防范黑客入侵时信息安全员报告安全事件
d) 操作网络理功员进行安全监督
3) 应开发理员职责:
a) 负责系统开发建设中严格执行系统安全策略保证系统安全功准确实现
b) 系统投产运行前完整移交系统相关安全策略等资料
c) 系统设置门
d) 系统核心技术保密等
4) 安全审计员负责涉系统安全事件类操作员行进行审计监督职包括:
a) 操作员证书号进行审计
b) 操作时间审计
c) 操作类型审计
d) 事件类型进行审计
e) 日志理等
5) 安全保密理员负责日常安全保密理活动职责:
a) 监视全网运行安全告警信息
b) 网络审计信息常规分析
c) 安全设备常规设置维护
d) 执行应急中心制定具体安全策略
e) 应急理机构领导机构报告重网络安全事件等
第二章 员配备
配备足够数量系统理员网络理员安全理员利完成安全理工作非常重效避免力足带问题配备专职安全理员理工作落实专更高效开展安全理工作关键事务岗位配备进行理防止出现疏忽利互相约束监督机制建立
果没配备足够数量系统理员网络理员安全理员工作度繁忙出现安全事件果安全理员兼职出现顾业务忽视安全情况关键事务岗位员足会导致疏忽意
1实际工作需配备足够数量系统理员网络理员安全理员
2安全理部配备专职安全理员
3识出关键事务岗位关键岗位配备进行理防止疏忽建立起约束监督机制
岗位名称
员数量
员名称
系统理员
网络理员
应开发理员
安全审计员
安全保密理员
第三章 授权审批
授权审批保证安全关工作认控制排盲目性致性安全工作更加权威科学利增强责感
果授权审批工作做够完善会带执行难等问题安全工作控制安全带问题长期解决安全问题日积月累终导致严重安全事件发生
应规范进行授权审批流程建设:
1明确审批授权事项审批授权部门
2 建立系统变更重操作物理访问系统接入等事项审批程序 重活动实施逐级审批
3审批程序执行审批程记入文档进行审计
4 定期审查审批事项时更新需授权审批项目审批部门审批等信息
制度名称
信息系统理授权审批制度
受控状态
文件编号
执行部门
监督部门
考证部门
第1条 提高企业信息系统性稳定性安全性特制定制度
第2条 制度适信息部户部门企业信息系统相关员
第3条 企业中涉信息系统方面工作统信息部负责
第4条 信息系统理授权方式
企业信息系统授权职位说明书授权书基准逐级授权授权方式越级授权视效
第5条 企业信息系统理授权程序
1.总裁授权运营总监全面负责企业信息系统开发理修改等工作
2.运营总裁授权信息部理负责信息系统开发理修改等具体工作
3.信息部理授权属员工完成相应工作
第6条 企业信息系统理中文件审批程序图示
信息部员工
高领导
信息部理
运营总监
信息系统理文件审批程序示意图
第7条 企业中户部门信息系统根职级权建议权修改权否造成全部果事承担
第8条 制度信息部制定解释权修改权属信息部
第9条 制度总裁审批日起实施修订时
编制日期
审核日期
批准日期
修改标记
修改处数
修改日期
第四章 沟通合作
安全理问题涉层次员技术需家密切配合做方出现问题会影响整安全理工作利开展种安全问题进行定期沟通合作非常必
果安全理关沟通合作推进利出现安全问题反馈支持安全问题会变越越严重直出现严重安全事件
应规范进行沟通合作:
1 安全理部提出半年召开次安全协调专题会议期天关部门包括外部顾问机构员参加时提出问题解决问题
会议记录
时间
点
持
记录员
时间调度
参加员:
会议议题
发言
会议容
执行
监督
完成时间
2 年兄弟单位公安机关电信公司等召开次安全总结会时通邮件等时合作沟通
3 通邮件电话等供应商业界专家专业安全公司安全组织进行时合作沟通
4 建立外联单位联系列表包括外联单位名称合作容联系联系方式等信息
5 聘请信息安全专家作常年安全顾问指导信息安全建设参安全规划安全评审等
第五章 审核检查
安全工作开展情况进行定级审核检查时效督促安全制度安全技术执行运作情况减少安全疏忽时发现解决问题安全工作日常化制度化
安全工作果保证时审核检查容易导致项工作折扣带问题会积累起终导致严重安全事件发生补丁长期更新系统长期暴露黑客攻击威胁
1安全理员周进行安全检查检查容包括系统日常运行系统漏洞数备份等情况
2部员级单位季度进行全面安全检查检查容包括现安全技术措施效性安全配置安全策略致性安全理制度执行情况等
3次检查制定安全检查表格实施安全检查汇总安全检查数形成安全检查报告安全检查结果进行通报
4述工作求写入安全审核检查理制度规范安全审核安全检查工作频率等重容
安全检查记录表
检查类型:定期安全检查
单位名称
XXXXXXXXXX
工程名称
检查时间
检查单位
检查项目部位
参见检察员
检查记录
检查结意见
填表:
四员安全理
第章 员录
1组织编制
部门根实际工作需进行工作分析设定工作岗位明确岗位职责职条件需数等
根权责分工职位相互关系建立组织架构根职位员配备数确定组织编制 部门负责制订部门组织编制事行政部汇总制订全公司组织编制年11月份制订年编制公司营决策重调整重形势变化总理意需时修订
2招聘原
员招聘根事编制安排般超出批准编制(确须超出原编制招员应先规定修订编制)
员招聘应遵循公开公公正原等竞争择优录取
3招聘时机
原员异动离职需补缺
工作业务量扩现力满足工作需求需扩招
4录员基求
41 具备应聘岗位需文化技求通考试考核合格
42具备应聘岗位求年龄身体条件
43 身份正具效身份证国家规定证明
44 思想品德认公司文化够觉遵守公司规章制度觉维护公司权益形象愿意 公司服务
45服公司工作安排努力做职工作
46 患精神性传染性影响正常工作危害公众健康疾病员录
47 隐瞒伪造证件履历员录
48 受刑罚正追究刑事责员录
49 公司辞退开动离职原公司员工行录
5招聘员岗位求
部门应根职位求性年龄教育程度相关工作年限专业知识技适职 条件做出明确说明便事行政部遴选初试
6招聘种类
61 外招
外招适公司现力满足实际工作需时(数量足职资格足)
62 招
621 招适选拔职级职位更高职级职位员公司现力资源满足 情况应优先采招形式 622 招报名员需填写招员报名表部门员批准送交事行政部
7招聘程序
71 事需求申请
711 需求部门根生产营发展需事行政部处领取员需求申请表提出事需求申请注明招外招部门员审核事行政部根部门定编定岗情况确认呈总理核准
712 需求部门应实际需求日前提出事需求申请生产作业员提前7天申请办公室普通职员 提前15天申请部门(含)中层理员提前30天申请便事行政部统筹安排招聘
713 事行政部应部门需求时组织招聘需求时间未招合适员事行政部应需求 部门说明原需求部门协调行确认预计时间视需重新确认需求条件
72 甄选
721 事行政部根批准需求申请制订招聘计划组织招聘选择招聘渠道形式:
a)厂区门口招聘职介机构劳务推介(招聘生产作业员)
b)参加招聘会网络招聘(招聘办公室普通职员中层理员)
c)院校合作校方推介(招聘实生)
d)猎头公司推荐(招聘高层理员)
722事行政部应聘资料进行收集分类档需岗位职位描述做初步筛选
723拟选员般需两次面谈测试面试层次步骤:
a)应聘员填写求职员登记表事行政部应应试者解背景进行资格审查(初试)符合公司基求需求部门基条件者予谢绝
b)事行政部初选合格员推荐需求部门需求部门组织应聘员进行专业力方面复试
1)需求部门复试认合格提请批准录(生产作业员部门部长批准办公室职员总 理批准)认合格予谢绝 2) 部门复试否预备录应聘员均转事行政部通知应聘者
724背景调查 事行政部负责通面试部门(含)级员进行工作历学历状况身份证明等进行背景调查填写应聘者背景资料查询表(见附件5)调查结果进行汇总报相关领导
725薪资核定审批手续办理
力资源根面试评价背景调查情况生产作业员薪资进行核定审批办公室普通职员部门(含)员薪资核定事行政部审核交总理进行核准
73 录
事行政部根批准录意见发放录通知书通知录员报关事宜
第二章 保密协议
信息安全员应签订保密协议履行约定纪律方面条款部员中选拔事关键岗位员签署岗位安全协议信息安全员调离岗位时签订离岗员保密协议
保密协议附件:
甲方:XXXXXXXXXX
乙方:
甲乙双方根中华民国劳动法国家方政府关规定遵循等愿协商致诚实信原甲方商业秘密保密事项达成协议
保密容
甲乙双方确认乙方应承担保密义务甲方商业秘密范围包括限容
1.技术信息:技术方案工程设计技术报告检测报告实验数试验结果图纸样品等
2.营信息:包括营方针投资决策意产品服务定价市场分析广告策略等
3.公司法律规定者关协议约定外承担保密义务事项
二双方权利义务
1.甲方提供正常工作条件乙方发明科研成果提供良应生产条件根创造济效益予奖励
2.乙方必须甲方求事营生产项目科研项目设计开发生产营设计开发成果资料交甲方甲方拥权处置权
3.乙方刺探非职工作需商业秘密
4.未甲方书面意乙方利甲方商业秘密进行新产品设计开发撰写文第三方公布
5.双方解终止劳动合乙方第三方公开甲方拥未公众知悉商业秘密
6.双方协定竞业限制解终止劳动合竞业限制期乙方生产类营类业务竞争关系单位职生产甲方竞争关系类产品营类业务
7.乙方必须严格遵守甲方保密制度防止泄露甲方商业秘密
8.甲方安排乙方职涉密岗位予乙方保密津贴
三保密期限
乙方承担保密义务期限列第____种
1.限期保密直甲方宣布解密者秘密信息实际已公开
2.限期保密保密期限离职日起____年
四保密津贴
甲方意乙方离职承担保密义务支付保密津贴保密津贴支付方式:
_______________________________________________________________________________
五违约责
1.乙方违反合条款应次性甲方支付违约金××万元时甲方权次性收回已乙方发放保密费
2.果乙方违约行造成甲方损失乙方支付违约金外应承担相应责
六劳动争议处理
事合产生切纠纷双方友等协商解决协商成方均权合签订民法院提起诉讼
七
1.乙方确认签署合前已仔细审阅合容完全解合条款法律含义知悉认公司保密理制度
2.协议双方前口头书面协议抵触协议准协议修改必须采双方意书面形式
3.协议未事宜国家法律政府部门关规章制度执行
八合式两份双方执份具等法律效力双方授权代表签字盖公章日起生效
甲方(盖章) 乙方(签名盖章)
法定代表签名:
年 月 日 年 月 日
编制日期 审核日期 批准日期
第三章 员离岗
1工作员离岗离职时关部门应时取消计算机涉密信息系统访问授权工作员离岗离职职期间接触知悉属局者属第三方单位承诺负保密义务秘密信息承担职期间样保密义务擅义务直该秘密信息成公开信息离职员种原离职
2离职员职务需持保切记录着单位秘密信息文件资料图表笔记报告信件传真磁带磁盘仪器形式载体均公司秘密信息商业价值
3离职员应离职时者公司提出请求时返全部属公司财物包括记载着公司秘密信息切载体记录着秘密信息载体离职员备视离职员已意载体物权转单位公司应离职员返载体时予离职员相载体身价值济补偿秘密信息载体消复制出时公司秘密信息复制单位享权载体原载体秘密信息消种情况离职员须载体返公司须予离职员济补偿
4离职员离职时应工作时电脑u盘切存储设备中关工作相关局会利益关系信息文件等容交接部门领导离职形式带走相关信息
员工辞离职交接单
年 月 日
姓名
部门
职 务
工作起止日期
交 接 容
部门
工作交接 (□ 业务文档 □ 相关文件) 部门理签字:
(注:办已办未办工作附表二) 日 期:
事
行
政
部
1普通品(□ 办公品 □ 胸 卡 □ 钥匙 : )办签字
2特殊物品(□U盘 □电脑 □: ) 日 期:
□ 计算机设备交回
□ 密码清 办签字:
□ 帐号清
□ 网络理情况 日 期:
□保险 保险: 年 月
办签字:
日 期:
财务部
1 款 (□ 办支票 □ 汇票 □ 现金 □ 相关款 )
2 (□ 应清算款项 □ )
3工资截止日期: 年 月 日 办签字
4 违约金 元 日 期:
注:1严格遵守公司签订保密合保守公司商业秘密
2该原件交公司总办存档未交物品部门负责应物品名称价钱注明便财务部核发工资时扣列事项未交接完毕领导未批准离职申请财务部予办理财务交接手续未领薪资予发放公司损失情况求赔偿离职员工违法行公司保留追究法律责权利
事签字: 日 期: 年 月 日
第三章 员考核
加强安全生产监督理防止减少生产安全事保障 企业员工生命财产安全切实贯彻落实安全第预防综合治理方针促进企业济发展根中华民国安全生产法等法律法规特指定制度
1.制定安全理目标
a) 单位年号文件必须针企业年度生产工作状况年度企业发展规模整体安全生产具体情况新形势规定求制定全年安全生产理目标理措施
b) 项目部年年初单位统制定安全生产目标理前提根工程施工特点年度安全生产计划中制定安全生产理目标实现目标理措施
c) 工程开工前项目部必须制定工程开工竣工生产施工程中整体安全生产理目标应详细制定施工阶段针性安全生产理目标措施时安全生产理目标层层分解理员班组
d) 级制定安全生产理目标时应紧密结合企业理手册中环境理目标职业健康安全理目标
2目标考核
a) 单位直属单位目标理考核季度抽检考核年度考核结合季度考核情况纳入年度考核
b) 项目部属工程项目考核应做月次记录相关安全检查整改情况记录
3奖惩措施
a) 单位年安全生产号文件中规定执行
b) 项目部应根项目工程具体实际情况制定奖罚制度
第四章 安全意识教育培训
1安全教育培训制度
第章 总
第条 规范公司广员工安全意识降低避免安全事公司运营理带风险制定制度
第二条 制度适公司总部分公司办事处行政中心负责制定解释总裁审批颁布实施
第三条 公司员工违反制度规定引起安全事责均制度追究相关事责
第二章 安全教育含义方式
第四条 制度指安全教育培训容包括公司网络信息安全客户资料安全公司财产安全员生命安全消防安全交通安全设备安全保密安全等事项
第五条 公司员工安全教育采取集体培训专业口部门针业务特点制定相关规定组织学教育行政中心定期检查督导考核方式进行
第三章 安全教育制度实施
第六条 级教育全体员工公司教育中心制作课件计划行政中心召集员教育中心具体负责组织授课重点岗位员部门会哦语中心组织教育培训工作
第七条 二三级安全教育新入公司员工部门负责组织进行教育
第八条 日常安全会议
公司安全例会季次行政中心持公司安全关部门负责分公司安全责参加总结季度安全生产部运营中安全方面综合情况分析存问题季度安全工作重点作出布置
二公司年末召开次安全工作会议总结年安全生产取成绩足年度安全生产先进集体进行表彰布置年度安全工作务
三部门月召开安全例会安全责持安全分领导关部门(岗位)负责参加容:传达级安全理文件信息月安全工作进行总结提出存问题月安全工作重点进行布置提出相应预防措施推广安全理典型验先进事迹社会中已发生重安全事中吸取教育行政中心做会议记录存档
四部门日常会安全工作进行分析总结预想前安全素研究落实行安全控制措施
五安全会议培训工作做领导计划容记录防止走场
第四章 三级安全教育教育容
第九条 新进公司职工(包括新调入员实生代培员等)必须进行三级安全教育考试合格方岗
第十条 级(公司级)安全教育时间少15时教育容:
国家关安全生产法令法规规定
二公司性质营特点安全理(特种信息处理设施设备安全方面)规章制度
三安全生产基知识消防知识气体防护常识
四职业安全卫生关知识
五公司类型企业典型事教训产生安全隐患基础知识
第十条 二级安全教育时间少15时教育容:
单位概况施工生产工作特点设施设备危险源相应安全措施注意事项 二单位安全生产实施细安全技术操作规程
三安全设施工具防护品急救器材消防器材性方法等
四事教训
第十二条 三级(部门级)安全教育部门负责负责教育采取讲解实际操作相结合方式进行时间少8时(技术财务结算客服部门少15时)安全教育考核合格方参重工作具体务
岗位作业程序工作特点安全注意事项
二岗位安全操作规程
三岗位设备工具性安全装置安全设施安全监测设备保方法
四发现紧急情况时急救措施报告方法
第十四条 三级安全教育考试考核情况逐级填写三级安全教育卡片建立安全教育档案三级安全教育完毕公司行政中心审核正常开展方面工作
第十五条 未三级安全教育考试合格者分配工作否发生事分配接受工作单位领导负责
第十六条 常性安全生产教育形式采:安全活动日班前班会种安全会议广播标语简报电视播放录象等结合公司务需开展安全生产常性教育项目部具体实施
第十七条 季节性教育部门结合季节特征节假日前职工容易疏忽放松安全生产规律 抓住环节进行安全教育然条件变化风雪暴雨冰冻雷雨季节应抓住气候变化特点进行安全教育 第十八条 安全教育
新工艺新技术新设备新产品投产前部门写出新安全操作规程注意熟悉岗位关员进行安全教育考试合格方事新岗位产品理工作
二脱离操作岗位(产假病假学外岗等)六月重返岗位操作者应进行岗位复工教育
三职工公司调动工作岗位变动工种(岗位)时接受单位应进行二三级安全教育考试合格方事新工作
四严重违章违纪职工部门进行单独教育考察认定回岗工作符合工作需求予辞退处理
五参加特殊区域高危场作业员作业前必须进行针性安全教育
第十九条 公司项目部关部门应建立安全教育培训台帐
第二十条 外员安全教育接访部门负责杜绝进入公司重区域产生切果接部门责全部承担
第二十条 技术中心机房等重点部位非直接理部门领导授权私进入
第二十二条 安全教育工作考核行政中心负责考核结果纳入公司绩效考核范畴
第五章 附
第二十三条 制度颁布日起实施
第五章 外部员访问理制度
1总
第条 规范公司部理减少外员访问洽谈业务公司正常办公影响维护序部理秩序良公司形象制定制度
第二条 制度适公司总部分公司办事处行政中心负责制定解释总裁审批颁布实施
2访登记控制
第三条 公司访问外员必须访登记表进行登记预约未公司相关员确定访客律谢绝进入办公区域登记表必须明确记录时间姓名证件名称(号码)受访部门员名称事访值班员离开时间离开时值班员等相关信息备注中说明需明确记录事项
第四条 公司业务关确定具体情况员访时必须时询问访客身份目需咨询解事项认真登记相关部门办公员核实处理
第五条 访公司外员实行谁接谁负责安全控制方式需进入办公区域必须受访部门安排员陪控制范围机房财务室档案室等重点部位非检查单位员律禁止入
第六条 公司副总级领导带客户访客般需出示证件登记受访部门确认记录访数目逗留时间参观范围等相关事项做勤服务保障工作
第七条 公司前台保安控制外员第责值班时必须公司规定接访客户
第八条 前台员负责访客登记预约引导访员访时先引导贵宾室接室等候电话受访部门()核实确定预约予引导没预约意图明确明显没业务关联进行劝离处理
3进出门禁系统控制
第九条 公司部员工必须部员工门禁信息登记卡进出办公区域
第十条 公司部办公区域间门禁系统日常工作时必须处锁闭状态部员工均责义务关闭门禁系统避免闲杂员进出办公区域
第十条 外员访问时前台根预约确定结果引导贵宾室接室确定受访部门方便接时前台保安开启门禁引导客进入客带受访部门
第十二条 受访部门访员商谈相关业务必须客送离办公区域时通知保安前台引导客离开避免访客意走动影响办公秩序
第十三条 确定访客业务商谈完毕已离开办公区域前台准开启门禁系统返回特殊情况必须受访部门确认次引导进入
第十四条 敏感行业员提示勿意走动指定范围活动(业务员外卖员快件投递员等)
4携带物品控制
第十五条 公司员工外员离开公司时携带办公件物品文档资料时保安前台必须进行查问确定放行条予携带物品离开
第十六条 重客访需携带物品接部门负责陪离开补填放行条
第十七条 工作时间外禁止切携带公司物品离开办公区域行员工义务配合保安检查
第十八条 访者目视感觉携带危险品必须立采取措施进行处理确保公司员财产安全
第五章 附
第十九条 规定发布日起执行
五系统建设理
第章 安全方案设计
1概述
1)根系统安全保护等级选择基安全措施设计安全标准必须达等级保护相关等级基求风险分析结果进行补充调整必安全措施
2)指定授权专门部门信息系统安全建设进行总体规划制定期远期安全建设工作计划
3)应根信息系统等级划分情况统考虑安全保障体系总体安全策略安全技术框架安全理策略总体建设规划详细设计方案形成配套文件
4)应组织相关部门关安全技术专家总体安全策略安全技术框架安全理策略总体建设规划详细设计方案等相关配套文件合理性正确性进行证审定批准正式实施
5)根等级测评安全评估结果定期调整修订总体安全策略安全技术框架安全理策略总体建设规划详细设计方案等相关配套文件
系统根中心理三重保护体系框架进行设计构建安全机制策略形成定级系统安全保护环境该环境包括四部分:安全计算环境安全区域边界安全通信网络安全理中心
2.设计求分析
针四方面进行设计:
21安全计算环境设计
(1)户身份鉴
应支持户标识户鉴
(2)访问控制
安全策略控制范围户创建象具访问操作权限权限根户进行授权具体针访问象具体操作
(3)标记强制访问控制
访问者访问者身份鉴基础进行安全标记实现体访问客体操作进行控制
(4)系统安全审计
访问行进行完整审计审计容包括访问象访问象访问行时间等容
(5)户数完整性保护
采备份HASH方法数完整性进行保护防止篡改
(6)户数保密性保护
采密码等技术支持保密性保护机制安全计算环境中存储处理户数进行保密性保护
(7)客体安全重
客体安全重指访问象应保留访问象特征避免访问象访问造成访问象间信息泄露
(8)程序信执行保护
采信计算技术保证程序执行程信信复杂环节重点服务器计算环境实现信
(1) (2) (3) (4)求通高强度身份认证产品实现(5) (6) (7)通较流行敏感信息数保护技术实现(8)复杂求做信环境复杂命题毕竟数情况计算环境建立开放台进行建设硬件开始操作系统基国外产品构成信执行保护操作系统台实现难做完全信
22安全区域边界设计
(1)区域边界访问控制
求区域边界进行控制防止非授权访问
(2)区域边界包滤
求区域边界进行包滤检测措施
(3)区域边界安全审计
求区域边界进行安全审计措施保证外数审计
(4)区城边界完整性保护
应区域边界设置探测器例外接探测软件探渊非法外联侵行时报告安全理中心
23安全通信网络设计
(1)通信网络安全审计
安全通信网络设置审计机制安全理中心集中理确认违规行进行报警
(2)通信网络数传输完轶性保护
网络传输数进行完整性检验保护保证网络传输数安全性
(3)通信网络数传输保密性保护
网络数进行传输保密
(4)通信网络信接保护
通信网络采信接保护
安全通信网络设计针通信网络保密求采网络加密技术实现求采VPN技术实现通信网络数保护
24安全理中心设计
(1)系统理
系统系统理员行进行身份鉴授权仅允许系统理员访问特定界面特定系统数情况系统理员分网络理员机理员存储理员网络理员网络设备进行策略配置机理员服务器操作系
统进行理配置数情况机理员分PC服务器理员型机理员存储理员存储设备进行维护理
(2)安全理
安全理员进行身份鉴授权总周知安全理员仅安全设备理安全设备涉整计算系统方面安全理员理变尤重数安全设备具LOG记录功时提供方便接口进行授权理
(3)审计理
根信息安全等级保护三级求安全审计员进行身份鉴理安全审计员种设备交道保证安全审计员行进行控制样复杂求
3.针单位具体实践
31安全计算环境建设
安全计算环境设计选重产品高强度子身份认证系统采该身份认证系统实现户身份鉴访问控制标记强制访问控制系统安全审计等求采基代理技术身份认证技术功外实现访问程控制保证请求效请求程正确数格式正确等等
32安全区域边界建设
外部网络部网络保护系统防火墙防DDoS攻击设备侵检测设备防病毒网关组成防火墙开放必需服务端日配IDS需考虑两者间联动提供攻击检测报警防DDoS设施起外部网络层分布式拒绝服务攻击基控制作完整抵御分布式拒绝服务攻击包括整体应策略应层机制
防病毒网关流入数进行防毒检溯作防毒第道防线边界起章作仅仅具防病毒网关够必须终端安装网络防病毒软件做全网统策略保证流入病毒进行实时查杀选杀毒软件终端理软件相结合方式保证染毒文件通网络移动指定病毒服务器相应目录便安全理员进行步处理
33安全通信网络建设
安全通信网络求基采台VPN设备解决外部终端需访问部网络资源时采IPSecVPN者SSL VPN具分支机构情况采带加速功VPN设备提高网络传输效率IPSecVPN技术较成熟配置相较麻烦实际程中SSL VPN方便
VPN系统审计数校验等功必须开
34安全理中心建设
目前厂商提供安全理中心设计解决方案研究产品解决方案SOC产品安全理台产品数冠ITIL规范设计部署基没家产品真正实现ITIL规范中求实现涉安全产品仅限少量合作伙伴产品难做范围产品统理目前安全产品没遵循统规范造成
选产品实现安全理中心功理系统理工具+数铭合方式实现选产品利权限系统级进行划分划员进行理理制度相互约束提供技术支撑象理工具信息获取采数整合理工具实现数整合数整合产品较尤ERP系统中较广泛提供高理者进行决策价格够般企业接受前方案设计中少考虑该产品安全理中心安全理中心建设中利数整合工具实现理工具间信息互通
单位安全理中心设计中采运维理网理网络理LOG日志理相结合方式时安全设备网络设备选择中着重考虑系统间兼容性开放性避免某设备法进行安全理造成枯网络序
35安全理规范制定
目前业界数户已达成识单纯技术解决安全问题必须配套相应理手段安全理规范必非常重辅助手段根实际情况采系统理员安全理员安全审计员三权分立互兼原约束理员行时配合门禁USB Key等手段实现理员间互相监督约束
36系统整体分析
系统等保建设中采身份认证技术敏感信息保护技术等实现计算环境求采防火墙IDS等技术实现边界安全采VPN实现通网安全采干理工具数整合工具实现安全理中心安全系统建设中配套建设相应理制度规范理员权限进行划分构建安全体系完整适保护体系
第二章 产品采购
第条系统实施阶段需采购网络安全设备必须公司进行统采购确保采购设备少符合面求:
1)网络安全设备选型应根国家电力行业关规定选择国家关权威部门测评认证产品
2)安全设备均需进行严格检测购回设备均应测试环境连续72时单机运行测试联机48时应系统兼容性运行测试严禁未测试验收验收合格设备交付
3)通述测试设备进入试运行阶段试运行时间长短根需行确定通试运行设备投入生产系统正式运行
第二条 软件开发外包方应考虑点:
1)检查代码权知识产权情况
2)质量合格证进行工作精确度
3)第三方发生障情况第三方备份保存
4)进行质量审核
5)合代码质量方面求
6)安装前进行测试检测特洛伊代码
7)提供源代码相关设计实施文档
8)重项目建设中源代码进行审核
第三条 计算机系统集成信息技术产品(操作系统数库等)安全专产品(防火墙IDS等)应达求:
1)项目实施需计算机配套设备网络设备重机具(ATM) 计算机软件产品购置计算机应系统合作开发者外包开发确定现制度中相关规定执行
2)安全产品采购必须公司进行统采购
3)安全专产品应具国家职部分颁发信息安全专产品销售许证
4)密码产品符合国家密码部门求源国家部门批准密码研制单位
5)关键安全专产品应获国家相关安全认证选型中根实际需制定安全产品选型标准
6)关键信息技术产品安全功模块应获国家相关安全认证选型中根实际需制定信息技术产品选型标准
7)安全设备均需进行严格检测购回设备均应测试环境连续72时单机运行测试联机48时应系统兼容性运行测试严禁未测试验收验收合格设备交付
8)通述测试设备进入试运行阶段试运行时间长短根需行确定通试运行设备投入生产系统正式运行
第四条 产品服务供应商应达求:
1)系统集成商资质求:少拥国家权威部门认系统级集成资质较重系统应更高级集成资质
2)工商求:
①产品系统服务提供单位营业执税务登记合法期限
②产品系统服务提供商产品系统服务提供资格
③连续赢利期限求
④连续相关法律诉讼年限求
⑤没发生重理技术员变化流动期限求
⑥没发生业变化期限求
3)信息安全产品采购请参阅信息安全产品采购理制度
4)安全服务商资质:少应具国家级安全服务资质较重系统应更高级安全服务资质
5)员资质求:系统集成员安全服务员相关理员应获国家权威部门颁发信息安全员资质认证
6)求:系统符合国家相关法律法规相关部门技术理规定非法信息恶意代码进行效控制关规定设备进行控制作非法攻击跳板
7)服务供应商选择参阅安全服务外包理制度
第三章 行软件开发
1申报
阶段项目审批单位项目申报容进行审批项目进行安全性证必时聘请外单位专家参证工作
2安全性证审批
安全性证应着重项目安全需求分析安全策总体安全方案进行成效益合理性行性效性分析信息化项目立项审批表出明确结:
1)适
2)合适(否决)
3)需作复议
3复议
证结需作复议项目通知申报单位关容进行必补充者修改次提交复审
4项目安全立项
审批项目审批单位项目进行立项信息系统项目务书条目中应增加相应计算机安全方面容:
1)项目理模式组织结构责:增加项目建设中安全理模式安全组织结构
五员安全职责
2)项目实施基程序相应理求:增加项目建设实施中安全操作程序相应安全理求
3)项目设计目标容关键技术:增加总体安全目标安全策实现安全策总体安全方案
4)项目实现功性指标:增加描述系统拥具体安全功安全功强度
5)项目验收考核指标:增加安全性测试考核指标
立项项目采引进合作开发者外包开发等形式需第三方签订安全保密协议
5项目理
51 概
511 目
规范项目文档理工作特制定规范
512 范围
规范仅适项目文档理工作
513 编制修订
规范项目实施组负责编制修订
514 发布
规范保密科负责发布发布项目组成员通OA系统查阅
52正文
521 文档架构构成
项目文档(简称文档)电子版纸介质组成二者必须致(应系统源代码电子文档形式提交)
文档项目启动项目计划项目执行控制项目收尾四阶段进行理四阶段文档分类简写分:项目启动(PS)项目计划(PP)项目执行控制(PE)项目收尾(PC)
522 文档编码规
523文档理职责
项目文档项目实施组负责理信息资料科派出位事兼项目文档理员
项目组成员应求时审定文档交付项目文档理员项目文档理员应该时文档编码档
项目文档理员负责项目文档理时更新项目文档目录
项目文档理员周档变更文档出份简报呈交实施组组长保密科科长
524文档架构变更
文档体系结构需变更时需程序执行:
项目组成员提出申请实施组组长批准保密科科长批准项目文档理员变更
525 文档授权
项目文档理员发布文档默认全体项目组成员读取权限需特殊指定权限文档项目组成员交付文档时特说明
第四章 工程实施
1信息化项目实施阶段
信息化项目实施阶段包括3子阶段:概设计详细设计项目实施阶段工作项目开发承担单位完成项目审批单位负责监督工作
2概设计子阶段安全求
概设计阶段系统层次设计求功指标分配子系统层次子阶段安全目标保证子系统设计实现总体安全方案中安全功概设计说明书中少应达安全求:
1)应子系统描述系统安全体系结构
2)应描述子系统提供安全功
3)应标识求基础性硬件固件软件硬件固件软件中实现支持性保护机制提供功表示
4)应标识子系统接口说明接口外部见
5)描述子系统接口途方法适提供影响例外情况错误消息细节
6)确证子系统(开发买)安全功指标满足系统安全需求
3详细设计子阶段安全求
新开发系统系统进行修改阶段务完成买现成品软硬件模块设计先完成模块详细设计方案根模块详细设计整系统详细设计子阶段安全目标保证模块设计实现概设计中安全功阶段详细设计说明书中少包括信息安全容:
1)详细设计中应提出相应具体安全方案标明实现安全功应检查技术原理
2)系统层面模块层面安全设计进行审查
3)完成安全测试评估求(通常包括完整系统软件硬件安全测试方案少相关测试程序草案)
4)确认模块设计模块间接口设计满足系统层面安全求
4项目实施子阶段安全求
新开发系统进行系统修改阶段目模块(软硬件)集成完整系统检查确认集成系统符合求阶段中应完成具体信息安全工作:
1)更新系统安全威胁评估预测系统寿命
2)找出描述实现安全方案系统模块安全求限制相关系统验证机制检查方法
3)完善系统运行程序全生命期支持安全计划密钥分发等
4)系统集成操作手册中应制定安全集成操作程序
5)系统修改操作手册中应制定系统修改安全操作程序
6)项目参员进行信息安全意识培训
7)参加项目建设安全理技术员安全职责进行检查
第五章 测试验收
1文档准备
系统建设完成项目承建方项目合交付部分应部门进行项目交付交付容少包括:
1)制定系统交付清单交付设备软件文档进行清点
2)系统运维员进行技培训求系统运维员进行日常维护
3)提供系统建设程文档包括实施方案实施记录等
4)提供系统运行维护帮助操作手册
2确认签字
系统交付项目实施应部门相关项目负责进行签字确认
3专负责
系统交付项目应系统部门负责必须安系统交付求完成交付工作
4测试方案
应制定投产验收测试纲项目实施完成项目应单位项目开发承担单位组织进行测试测试纲中应少包括安全性测试评估求:
1)配置理:系统开发单位应配置理系统提供配置理文档
2)安装生成启动程序:应制定安装生成启动程序保证终产生安全配置
3)安全功测试:系统安全功进行测试保证符合详细设计详细设计进行检查保证符合概设计总体安全方案
4)系统理员指南:应提供安全理系统高效利系统安全功优点保护功等详细准确信息
5)系统户指南:必须包含两方面容:首先必须解释户见安全功途样户持续效保护信息次必须解释维护系统安全时户起作
6)安全功强度评估:功强度分析应说明概率排列机制(口令字哈希函数)实现系统安全功例口令机制功强度分析通说明口令空间否足够指出口令字功否满足强度求
7)脆弱性分析:应分析采取安全策完备性(安全策否满足安全需求)安全策间赖关系通常穿透性测试评估述容判断实际应中否会利削弱系统安全
第五条 测试完成项目测试组应提交测试报告中应包括安全性测试评估结果通安全性测试评估测试组提出修改意见项目开发承担单位应作进步修改
第六章 系统交付
1试运行
测试通项目应单位组织进入试运行阶段应系列安全措施维护系统安全包括处理系统现场运行时安全问题采取措施保证系统安全水系统运行期间会降具体工作:
1)监测系统安全性包括事报告
2)进行户安全培训培训进行总结
3)监视安全关部件拆处理
4)监测新发现系统安全攻击系统受威胁变化安全风险关素
5)监测安全部件备份支持支持系统安全关维护培训
6)评估系统改动安全造成影响
7)监测系统物理功配置包括运行程太显眼改变影响系统安全风险
2组织验收
系统安全试运行半年项目应单位组织项目开发承担单位科技部门员参加项目验收组项目进行验收验收应增加安全容:
1)项目否已达项目务书中制定总体安全目标安全指标实现全部安全功
2)采技术否符合国家电力行业关安全技术标准规范
3)否实现验收测评安全技术指标
4)项目建设程中种文档资料否规范齐全
5)验收报告中应条目中反映系统安全性验收情况:
6)项目设计总体安全目标容
7)项目采关键安全技术
8)验收专家组中安全专家安全验收评价意见
第七章 系统备案
1系统备案
1)系统建设完成相应公安机关进行备案系统备案备案相关材料公司进行统理相应系统应理部门阅
2)系统等级相关材料报系统部门进行备案
3)系统级求备案材料报相应公安机关备案
2设备理
1)设备均应指定专负责均应设定严格理员身份鉴访问控制严禁盗帐号密码超越理权限非法操作安全设备
2)设备口令少10位须包含写字母数字等易猜测强口令遵循省电网公司统帐号口令理办法
3)设备网络配置应遵循统规划分配相关网络配置应信息理部门备案
4)设备安全策略应进行统理安全策略固化变更应安全理员审核批准时更新策略配置库
5)设备须备机备件公司统进行保分发换
6)加强设备外联控制严禁擅接入国际互联网公众信息网络
7)工作需设备需携带出工作环境时应递交申请相关责签字留档
8)存储介质(含磁盘磁带光盘优盘)理应遵循: ①工作原需外介质应首先进行病毒检查 ②存储介质粘贴统标识注明编号部门责 ③存储介质损坏原更换需交回处理
9)安全设备理:
①安全设备月详细检查次记录分析相关日志疑行时进行处理
②关键安全设备媒体必需进行日常巡检
③设备配置更改时应做配置备份工作
④安全设备出现障立报告领导时通知系统集成商关单位进行障排应填写操作记录技术文档
10)设备相应责负责:
①建立详细运行日志记录备份制度
②负责设备登记登记容应包括运行起止时间累计运行时数运行状况等
③负责进行设备日常清洗定期保养维护做维护记录保障设备处佳状况
④旦设备出现障责应立实填写障报告通知关员处理
⑤设备责应保证设备出厂标称环境(温度湿度电压电磁干扰粉尘度等)工作
11)时关注发类信息安全通告关注新病毒防治信息提示根求调节相应设备参数配置
12)安全理员应界定重设备重设备配置技术文档应考虑双份备份存放份异
3投产监控踪
项目投产应进行段时间监控踪具体包括求:
1)应系统关键安全性变化情况进行监控解变化原
2)系统安全事发生应急处理恢复总结进行全程踪编写详细记录
3)监控新增安全部件系统安全影响
4)踪安全关部件拆处理情况监控系统安全性变化
5)新发现系统安全攻击进行监控记录发生频率系统影响
6)监控系统受威胁变化评估发生性造成影响
7)监控踪安全部件备份情况
8)监控运行程序变化记录变化系统安全影响
9)监控系统物理环境变化情况记录变化系统安全影响
10)监控安全配置变化情况记录变化系统安全影响
11)述监控踪容果系统安全良影响处应系统设计配置运行理做相应改进保证系统安全正常运行
第八章 安全服务商选择
1)系统进入运行程三级系统年聘请第三方测评机构系统进行次等级测评二级系统已年测评次发现符合相应等级保护标准求时整改
2)系统发生变更时时系统进行等级测评发现级发生变化时调整级进行安全改造发现符合相应等级保护标准求时整改
3)测评机构选择具国家相关技术资质安全资质单位
4)系统等级测评信息部负责理
六系统运维理
第章 环境理
1机房环境设备
机房环境通机房监控服务器进行远程检查时进行员现场检查理机房应保持整洁进行定期扫准存放食物禁止存放杂物私品严禁存放易燃易爆具腐蚀性危险品机房设备设施物品准意乱动配置常仪器仪表工具资料外带出机房机房温度应控制20℃~25℃间湿度40~60密闭防尘检查机房周边设备UPS空调消防等设备正常运行机房出入应登记非工作员未许意进入机房许方进入进入机房准喧哗准吸烟准餐机房应配置事明装置备应急
设备检查包括:设备外观检查(硬件完性稳定性告警系统面板参数标识)接续连线检查(接线电源引接线架间连接电缆负载连接电路接续性等)机架部简单清洁接续端子尘加固等设备部软件设置参数检查核历史告警信息阅读设备运行资料核记录应系统日志设备线缆标识否清晰完整应系统磁盘空间CPU占情况应系统服务运行状态数备份否正常进行
2办公环境理
加强办公环境保密性理规范办公环境员行包括工作员调离办公室应立交该办公室钥匙办公区接访员工作员离开座位应确保终端计算机退出登录状态桌面没包含敏感信息纸档文件
² 附表:
机房巡检表
机房巡检表
检查时间 年 月 日
检查
机房环境
检查项
结
情况摘
检查项
结
情况摘
温度
□正常□异常
℃
湿度
□正常 □异常
痕迹
□正常□异常
清洁
□正常 □异常
异响
□ □
异味
□ □
注痕迹检查面墙壁天花否痕迹水渍机房否鼠患蚁蟑螂痕迹正常室温:20~25℃
二周边设备
检查项
结
情况摘
检查项
结
情况摘
UPS
□正常 □异常
电池组
□正常 □异常
空调
□正常 □异常
消防
□正常 □异常
三电话交换机网络设备
检查项
结
情况摘
电话交换机
外线电话正常通话
□正常 □异常
线电话正常通话
□正常 □异常
电话交换机正常工作
□正常 □异常
网络设备
防火墙
网络通讯状况
□正常 □异常
网络流量025
□正常 □异常
网络交换机
数指示灯状况
□正常 □异常
网络通讯状况
□正常 □异常
交换机端口网线状况
□正常 □异常
重参数维护记录表
参数维护发起姓名
事件发起日期
事件发起单位部门
联系电话
维护员姓名
工作日期
维护员单位部门
联系电话
参数修改事
理部门领导
审批意见
维护员具体操作
新参数实施测试结果
备注:
非机房维护员进入申请表
申请员姓名
进入时间
进入员单位名
联系电话
进入事
陪员姓名
陪员部门
备注:
外维护登记表
维护员姓名
工作日期
维护员单位
联系电话
系统前状态
维护象
系统问题源
问题描述
解决方法说明
系统运维员
审核意见
备注:
第二章 资产理
1总
1) 安全理部关部门负责资产理:
2) 编制保存信息系统相关资产清单包括资产责部门重程度处位置等
3) 建立资产安全理制度规定信息系统资产理责员责部门规范资产理行
4) 根资产重程度资产进行标识理根资产价值选择相应理措施
5) 信息分类标识方法作出规定信息传输存储等进行规范化理
2资产理制度
第条 加强公司固定资产低值易耗品采购保报废等理保证公司资产安全完整充分发挥资产效制定制度
第二条 制度适公司固定资产低值易耗品理
第三条 根资产价值年限分固定资产低值易耗品两类
1固定资产:单位价值2000元(含2000元)年限1年形资产
2低值易耗品:单位价值2000元(含2000元)种具物品办公品等期限1年
第四条 公司综合理部负责公司资产实物理公司财务部负责公司资产价值理部门负责公司资产理
第五条 综合理部设资产理员岗位负责公司资产全面统理部门建立资产理台账固定资产低值易耗品分设帐薄进行理资产部门步建立台帐部门必须设立名兼职资产理员负责部门资产进行登记综合部资产理员定期会相关部门公司资产进行盘点
第六条 固定资产低值易耗品购置:部门提出采购求报综合部(资产理员)审核综合部根现资产情况消耗标准判断否意购置直接部门调拨加注意见需采购报相关领导审核批准物资采供部综合理部采购员采购
第七条固定资产低值易耗品验收:采购资产采供部综合理部物品采购申请表联合验收详细核品名规格数量金额仔细检查商品质量验收合格物品填写入库单记入库存验收合格物品须时通知采购员调换否予入库
第八条 固定资产发放:发放固定资产时须相关员行政副总审批签字办理领必须出库单中签字确认程中保善素造成固定资产遗失失窃损坏必须规定赔偿
第九条 低值易耗品发放:发放低值易耗品时综合理部根现资产情况消耗标准确认否超标加注意见领资产理部门负责须分出库单中签字确认
第十条 办公资产离职时须办公资产移交办公资产相关部门负责核实确认方办理离职手续
第十条 固定资产登记转移:综合理部负责核查统计部门固定资产明确部门理责综合理部资产理员应根固定资产出库单时登记资产理台帐部门固定资产出现遗失损毁应部门填写固定资产处置申请单总理办公会相关领导审批时更新固定资产理台帐固定资产公司部调拨转移须填写固定资产部转移通知单转出转入部门相关员部门负责签字确认方转移
第十二条 低值易耗品登记:综合部资产理员低耗品出库单分设部门台帐进行登记
第十三条 固定资产报废:固定资产专业员确认已法维修维修费超资产原值时部门申请报废总理办公会研究意办理相应手续
第十四条 低值易耗品报废:部门负责意综合理部理审批报废
第十五条 资产盘点检查
1部门资产理员负责部门资产查盘点清查盘点情况报综合理部
2综合理部负责资产登记检查日常监督理工作定期抽查部门资产理情况
3季度末综合理部会财务部部门资产理情况进行全面检查盘点出具书面报告部门盘盈盘亏资产找出原责报总理办公会审批处理属理善等素造成追究事理者责视具体情况赔偿损失
第十六条 资产交接
1资产理员进行工作交接时须保证账目实物相符部门负责审核批准
2部门负责新岗时须岗部门固定资产进行确认
第十七条 未事宜根物资理财务理相关制度执行
第三章 介质理
1介质安全理制度
11计算机软件备案理制度
1购买计算机相关公文处理设备须局办公室统组织购买接受捐赠信息安全保密办公室计算机相关设备关信息参数登记备案统发放
2信息安全保密办公室建立完整计算机网络设备技术档案定期计算机软件安装情况进行检查登记备案
3计算机安装正版信息安全防护软件时升级更新操作系统漏洞补丁信息安全软件
4拒绝历明软件光盘需引入软件均须首先防止病毒传染
12计算机安全保密理制度
1计算机信息系统应国家保密法标准国家信息安全等级保护求实行分类分级理保密设施步规划步建设
2办公计算机局域网分网外网网运行东县协办公系统软件专公文处理交换属涉密网外网专部门浏览国际互联网属非涉密网外网采双线路实行物理隔离
3涉机关工作秘密信息(简称涉密信息)应规定涉密信息系统中处理严禁计算机互联网处理涉密信息
4未申报意局机关办公计算机修改网IP址网关DNS服务器子网掩码等设置
5严禁含线网卡线鼠标线键盘等具线互联功设备处理涉密信息
6严禁外员单独接触计算机网络系统资源严禁办公计算机带工作关场确工作需需携带涉密信息手提电脑外出必须做备案登记确保涉密信息安全
13户密码安全保密理制度
1户密码理范围指涉密计算机密码
2涉密计算机设置密码长度等5字符密码定期更换
3涉密计算机需设置操作系统开机登录屏幕保护等密码保护方式
14涉密移动存储设备理制度
1涉密移动存储设备信息安全保密办公室负责登记备案科室负责负责理做专专
2严禁涉密移动存储设备外网间交叉
3移动存储设备接入部门计算机信息系统前 应查杀病毒木马等恶意代码
4严禁涉密存储设备带工作关场
15数复制操作理制度
1互联网信息复制网时应采取严格技术防护措施查杀病毒木马等恶意代码严防病毒等传播
2移动存储设备网外网复制数时应采取严格保密措施防止泄密
3复制传递密级电子文档应严格复制传递等密级纸质文件关规定办理外网传递转发抄送涉密信息
4科室工作需外网公开部信息资料时必须该科室负责审核关领导意交相关负责统发布
16计算机存储介质相关设备维修维护报废销毁理制度
1计算机存储介质相关设备维修维护报废销毁信息安全保密办公室负责保密求实行定点维修需外请维修派专全程监督需外送维修应信息安全保密办公室拆信息存储部件防止存储资料泄密
2办公计算机存储介质相关设备变更途时必须进行严格消磁技术处理
3机关计算机存储介质相关设备报废销毁时应拆存储部件
信息安全保密办公室关求统销毁时作备案登
第四章 设备理
1机存储系统运维理
日常巡检硬件运行状态仔细检查设备硬件提示信息时发现问题防止影响扩化时解决障恢复系统正常运作系统冗余性外部提示包括面板指示灯电源指示灯网卡指示灯磁盘指示灯种硬件障提示报警信息
定期监控cpu性存情况硬盘利情况硬盘运行状态网卡状态系统日志交换分区进程状态存储交换机端口状态存储传输情况通监控数机存储系统性进行评估发现隐患先问题确定点进行段时间问题信息数监控根搜集更更高密度数问题原做出判断果属般应系统问题相应问题应工作加入工作日程时排系统隐患果硬件瓶颈导致相关数做出整合报表附加解决提案提交公司级终拟定解决方案确保服务系统高性高冗余性
2应服务系统运维理
应服务系统公司外业务信息台公司信息化力体现时承载公司部工作台台持续稳定运行显十分理员应运服务服务需求服务群定解便规划网络构架划分网络资源定位应运服务性
应运服务运维理结合机房硬件日常理服务配置信息进行维护理日常巡检条件话网域检测服务响应力定期进入服务操作系统检查应系统服务配置否正常检查日志文件否异常报错检查服务台操作系统否流畅通配置信息障报错服务性理提高服务台事件分析处理力
3数系统运维理
数系统承载服务台数功正常运行应服务系统等重数系统运维体现数服务维护数备份两方面
数库运维服务理包括动数性理快速发现诊断解决性问题发现问题时找出性瓶颈解决数库性问题注意数库系统变化动预防发生问题保证数访问响应力
数备份服务冗余性着重作数文件做日常数增量备份定期全备份重文件做光盘移动存储等介质数备份条件话数进行异数备份日常工作中监控备份服务进程备份情况(起止时间否成功出错告警)出现问题时处理恢复数服务户业务数需更新时记录更新日期便障发生快恢复数
备份应系统数时运维检修工作进行数备份网络设备配置参数备份网系统备份等运维工作中出现配置错误时通相关备份恢复参数短时间恢复网络系统正常运行
4信息保密理
运维员责网络机系统软件应软件等密码核心参数业务数等涉公司机密运营理期规划发展规划信息负保密责意复制传播进行日常运维工作时未级相关部门批准关员进入机房已许需相关员陪
5日常维护
日常工作中定期系统进行优化检查系统补丁安装情况查防毒系统病毒库升级状态关闭系统组件系统服务检查修复服务系统错误日志理账户密码户权限应服务配置修改参数更新数系统性维护监控备份服务保障应服务系统着公司业务增涨改变做出相应服务更新负责网络传输设备安装调试测试排网络障优化网络性预防网络隐患保障网络畅通稳定运行
维护工作站出现操作系统办公软件软件客户端病毒入侵数误删漏洞补丁缺失网络通断常见硬件错误等障现象印机扫描仪传真机数码存储产品等出现驱动程序错误印扫描收发传真数存储错误享错误等影响正常工作软件障程度提供技术支持工作保障公司业务利进行
6附件:安全检查表
服务器
检查项
提示操作正常值
结
情况摘
备注
整体检查
硬件障
查服务器设备障灯
□正常 □异常
障处理详情
补丁
否新补丁需测试安装
□ □否
补丁安装详情
防病毒
病毒库否升级新
□ □否
病毒库日期
XXX服务
系统事件
错误事件明登陆事件
□正常 □异常
日志文件
设置运行正常数量正常
□正常 □异常
磁盘卷组
处失效状态逻辑卷
□正常 □异常
功
服务器台正常访问
□正常 □异常
远程登陆正常工作
□正常 □异常
数备份
备份时间: 年 月 日
系统事件
错误事件明登陆事件
□正常 □异常
日志文件
设置运行正常数量正常
□正常 □异常
磁盘卷组
处失效状态逻辑卷
□正常 □异常
功
服务器运行情况
□正常 □异常
远程登陆正常工作
□正常 □异常
服务
办公系统正常启动
□正常 □异常
数备份
备份时间: 年 月 日
系统事件
错误事件明登陆事件
□正常 □异常
日志文件
设置运行正常数量正常
□正常 □异常
磁盘卷组
处失效状态逻辑卷
□正常 □异常
功
远程登陆正常工作
□正常 □异常
服务器运行情况
□正常 □异常
数库正常工作
□正常 □异常
数备份
备份时间: 年 月 日
系统事件
错误事件明登陆事件
□正常 □异常
日志文件
设置运行正常数量正常
□正常 □异常
磁盘卷组
处失效状态逻辑卷
□正常 □异常
功
远程登陆正常工作
□正常 □异常
服务器运行情况
□正常 □异常
数库正常工作
□正常 □异常
数备份
备份时间: 年 月 日
第五章 监控理安全理中心
1监控理
1) 安全监控系统设备理实行监控中心监控设备辖区综合理制度
2) 监控中心负责监控系统局域网系统设备运行理巡检日常保养维修维护工作确保监控系统设备正常运行
3) 监控中心监控系统设备情况进行检查指导监督监控员负责造成监控系统设备损坏进行责追究
4) 监控设备辖区单位监控中心签订监控设备理责书辖监控设备负理维护责
5) 监控中心监控设备进行日常理严格程序操作监控机维护监控系统
6) 规范程序操作等原造成监控设备损坏系统法正常运行追究理责
7) 未监控中心意监控员等严禁擅开启工控机接口严禁监控机U盘等外接输入输出介质相连严禁监控机监控系统中安装关程序严禁删系统中程序改变存储位置严禁改动系统预设参数
8) 监控室属监重未领导批准非工作员严禁入严禁员理进入监控室
9) 监控室会客进行娱乐活动严禁非监控员操作监控系统设备严禁意改变调整移动监控设备严
禁利监控设备事监控务关活动违反规定造成设备正常工作系统紊乱追究相关责责
10) 监控员负责监控台监控室日常保洁保持室清洁整齐室严禁吸烟准监控室堆放杂物私物品
2安全理中心
网络传输设备运行进行状态网络传输信息进行监控理通网络设备外部信息运行日志负载状态配置参数通信状况服务功等信息确保设备正常工作实时监控网络计算机接入数量终端户网行网络端口传输流量等数记录进行分析评审发现疑行形成分析报告安全理中心负责报告进行分析检查
第六章 网络安全理
1局域网市公司信息中心统理
2计算机户加入局域网必须系统理员安排接入网络分配计算机名IP址帐号权限记录档
3入网户必须分配帐号密码负责严格求做密码口令保密更换工作泄密登录时必须帐号口令长度6位必须字母数字混合
4未批准擅接入更改计算机名址帐号权限业务系统岗位变动时应时重新设置该岗帐号工作口令
5需联接互联网户必需填写计算机入网申请表单位分领导部门负责意信息中心安排监控检查已接入互联网户应妥善保计算机分配帐号密码安全负责利互联网做工作关事情造成病毒感染应付全部责
6入网计算机必须防病毒安全保密措施确工作需外单位通种存储媒体网络通讯等方式进行数交换必须进行病毒检查违反规定造成电子数失密病毒感染违反承担相应责时应追究部门负责领导责
7办公电脑应安装全省统指定趋势防病毒系统定期升级病毒码杀毒引擎时查杀病毒未信息中心意理删换杀毒软件(防火墙)发现病毒应时信息中心汇报系统理员统清病毒
8入网户事列危害公司网络安全活动:
(1)未允许公司网络功进行删修改增加
(2)未允许公司网络中存储处理传输数应程序进行删修改增加
(3)系统软件应软件关键数重技术文档未领导批准擅拷贝提供外单位非法拷贝引起问题拷贝承担全部责
9入网户必须遵守国家关法律法规公司关规定违反信息中心停止入网权追究相应责
10户必须做防火防潮防雷防盗防尘防泄密等防范措施重文件资料须做备份
第七章 系统安全理
1总
第条 保证单位信息系统操作系统数库系统安全根中华民国计算机信息系统安全保护条例结合单位系统建设实际情况特制定制度
第二条 制度适XXXXXXXXXX系统部门员
2系统安全策略
第三条信息安全责部门负责单位员权限分配权限设定遵循授权原
1)理员权限:维护系统数库服务器进行维护系统理员数库理员应权限分离担
2)普通操作权限:系统员针工作范围予操作权限
3)查询权限:单位理员权限查询数输入修改数
4)特殊操作权限:严格控制单位理方面特殊操作权限赋予相关科室负责例退费操作等
第四条 加强密码策略普通户进行鉴时果输入三次错误口令锁定需系统理员确认解锁帐号够
第五条 户口令应满足求:
1) 8字符
2) 字符组合:azAZ09@#^&*() +
3) 口令三月少修改次
第六条 定期安装系统新补丁程序安装前进行安全测试重文件进行备份
第七条 月操作系统进行安全漏洞扫描时发现新安全问题通升级补丁加固等方式解决
第八条 第七条关闭信息系统必服务
第九条 第八条做备份策略保障系统障时快速恢复系统正常避免数丢失
3系统日志理
第十条 系统重数服务器配值参数修改必须征XX领导批准做相应记录
第十条 项操作均应进行日志理记录应包括操作员操作时间操作容等详细信息
第十二条 审计日志应包括局限容:包括重户行系统资源异常重系统命令等系统重安全事件
第十三条 安全审计员应日审计日志进行审查异常事件时进解决定期形成日志分析报告
第十四条 系统审计日志应定期做备份工作
4操作理
第十五条 单位工作员申请账户权限需填写系统权限申请表系统理员批准方开通账号申请表应详细记录账号信息
第十六条 员离职调职时需交回相关系统账号密码系统理员删变更账号方离职调职
第十七条 单位工作员严禁私办公计算机安装软件免造成病毒感染严禁私更改计算机设置安全策略
第十八条 严格理口令包括口令选择保更换采取关闭guest匿名户增强理员口令选择求等措施
第十九条 第十八条计算机设备应设屏幕密码保护户界面保证数机密性安全
5惩处
第二十条 违反理制度提请单位行政部视情节予相应批评教育通报批评行政处分处警告追究责触犯国家法律行政法规关法律行政法规规定予处罚构成犯罪法追究刑事责
第八章 恶意代码防范理
1恶意代码三级防范机制
11恶意代码初级安全设置防范
初级安全设置防范:
运行防毒软件(金山毒霸 360等)应实时监控定期更新病毒库
时系统应程序补丁
启防火墙系统
administration账号密码创建理员账号理日常事务默认理员账号administration般执行需特
权执行程序进行系统设置时启动(超级理员) <4>禁GUEST账号养成良网惯
12恶意代码中级安全设置防范
中级安全设置防范:关闭必端口说139端口(NetBIOS协议)IRCrpc漏洞445端口 3389等
享文件设置户访问权限
NTFS(标准文件系统)格式分区设置文件夹访问权限文件运行权限控制面板→计算机理→户组→户关闭前户外切户修改Internet explorer安全设置安全等级调高
13恶意代码高级安全设置防范
高级安全设置防范:安全策略gpeditmsc入手限定更改密码期限限定输入密码错误次数(防止限次重试输入)禁必服务Terminal Services(终端服务) IIS(信息服务器)等关闭默认享包括C D E等安装系统备份原软件
gpeditmsc中关闭动播放功AutoRun病毒启动组策略→理模板→系统→禁动播放注册表安全操作例注册表中关闭系统安全服务关闭抢占系统资料台启动项隐藏隐藏文件注册表项全部开备份关键注册表项(安全模式备份)
2防御恶意代码技术理员职责
21应精通恶意代码防范措施熟悉公司相关规范未非技术员提供安全技术支持帮助监督非技术员理解执行防范恶意代码规范
22应解常见恶意代码信息种类需情况常识初步判断恶意代码产生
23应负责辖范围计算机安装防御恶意代码软件
24应辖范围计算机安装防御恶意代码软件进行适安全配置
25辖范围系统网络应周相关网站查相关系统网络新发现漏洞相关补丁信息
26点出现系统网络相关补丁更新应立相关设备进行安装
27应负责范围网络服务器户PC进行相应配置周动进行服务器网络安全扫描确保扫描完成
28旦发现恶意代码导致异常系统行必须立启动恶意代码紧急应措施
3防御恶意代码员工日常行规范
31确保计算机安装防御恶意代码软件进行适配置
32擅更改系统应软件
33情况必须通防御恶意代码系统进行扫描确认安全:
331通Internet载文件应程序
332享网络传输载数应程序
333拷贝软盘光盘移动设备数应程序
34必须周备份重数
35旦发现恶意代码导致异常系统行必须立通知负责防御恶意代码技术员
第九章 密码理
确保网络安全运行保护拥护权益受侵害特制订理制度
密码设置:
1服务器密码网络理中心负责系统理员商议确定必须两时场设定
2服务器密码须网络理中心负责场时系统理员记录封存
3密码容设置规:必须数字字符特殊字符组成密码长度少8字符机密级计算机设置密码长度少10字符设置密码时应量避开规律易破译数字字符组合作密码
4密码定期更换般服务器密码更换周期30天重服务器密码更换周期超7天
5重服务器需分设置BIOS操作系统开机登录屏幕保护三密码
二密码口令保存
(1)中心服务器设置户密码系统理员行保存严禁密码转告工作需必须转告应请示级领导批示非系统理员密码完成工作系统理员应该时更改密码保证密码安全
(2)中心服务器设置户密码须登记造册系统理员理保存备案记录交网络理中心负责封存
(3)密码更换系统理员需新密码口令记录登记封存
(4)发现密码泄密迹象黑客入侵系统理员立刻报告网络理中心负责网络理中心负责应时系统理员商定修改密码严查泄密源头修补系统漏洞详细情况书面形式报级领导
第十章 变更理
1变更
公司总理负责公司形式变更理
2变更程序
21变更申请
实施变更时变更申请应项变更程产生风险进行分析制定控制措施填写变更申请表专负责理
22变更审批
变更申请表填应部门分公司领导审批部门组织关员变更原实际需确定否进行变更
23 变更实施
变更批准相关职责部门负责实施时性变更未审查批准超原批准范围期限
24变更验收
变更实施结束变更部门应变更情况进行验收填写变更验收表确保变更达计划求变更部门应时变更结果通知相关部门员
附件变更申请表
编号:
变更名称
申请部门
申请姓名
职务
日期
变更说明技术:
风险分析结:
控制措施:
申请单位领导意见:
审批部门意见:
分领导签字:
附件二变更验收表
编号:
验收变更项目
变更单位
组织验收单位
日期
验收组成员
姓 名
属单位
职 务
验收意见(附验收报告):
验收负责签字:
部门审查意见:
签 字:
需沟通部门(变更结果)
单位部门
签字
单位部门
签字
第十章 备份恢复理
1总
第条 保障公司信息系统安全计算机系统失效数丢失时备份快恢复系统数保护关键应数安全保证数丢失特制定办法
第二条 信息系统涉网络设备网络线路加密设备计算机设备应系统数库维护员采取备份措施确保需时备资源供调配恢复
第三条 理办法中涉设备指运行信息技术部机房中网络设备加密设备计算机设备
第四条 信息系统备份手段根信息重程度恢复时间求分实时热备份冷备份等台系统应量样备份手段便理信息技术部负责信息系统备份恢复理制定数备份计划数备份时间容级员保期限异存取销毁手续等进行明确规定
第五条 信息技术部应根系统重程度恢复求关规定求制定系统配置操作系统应系统数库数文件备份周期保存期限
第六条 重系统数备份周期备份保存期限应遵循原:
() 少保留份全系统备份
(二) 日运行中发生变更文件应进行备份
(三) 生产系统程序库定期做备份月少做次
(四) 生产系统变更时须变更前程序库进行备份
(五) 批加工文件更新操作应进行批加工前备份
(六) 天批加工结束数文件进行批备份核心数须进行第二备份
(七) 批加工生成报表相应备份手段规定保留期限进行保留
(八) 制作户数盘文件应备份
(九) 重业务系统月末半年末年末计息日等特殊日数备份须永久保留
(十) 定期生产系统数进行删减压缩删减数备份磁带永久保留
(十) 未明确保存期限项备份保存少应保存周
2设备备份
第七条 信息系统电源设备应量保证两套电源源
第八条 关键通讯线路网点通讯线路必须采双通讯线路网络运行线路备份线路必须选网络服务供应商重网络设备必须冗余备份
第九条 核心服务器必须采热备份方式确保运行机出现障时候备机够动接重服务器根联机服务求采热备份方式双机备份冗余容错措施采双机热备份机系统配置求称致磁盘采阵列磁盘动态热备份全镜容错技术
UPS采机方式阵列方式等
第十条 没业务数存放工作站设备必须预先安装备份机根系统重性影响面考虑部分系统套备机应套运行机系统套备机应套运行机
第十条 系统介质做双备份份系统维护部门理方便时安装份作灾难备份异存放
第十二条 备机必须季度进行检查保证备机系统处状态
保证双机热备软件够起作安装时测试需季度进行切换测试工作
3应系统程序数备份
第十三条 需备份文件备份周期备份介质保留时间:
() 系统数库文件两套存储设备实时镜文件备份周期日全备份备份介质磁带数备份文件保留份文档安全服务商保留份城灾备中心份异灾备中心份保留时间永久
(二) 应系统配置文件备份周期周次全备份备份介质生产磁盘磁带数备份文件保留份文档安全服务商保留份城灾备中心份异灾备中心份保留时间永久
(三) 邮件数库文件备份周期2时次数镜周次全备备份保留时间1月邮件数备份数中心邮件档服务器保留时间永久
(四) 办公业务文件服务器文件享文件备份周期月次磁带备份保留数中心备份介质备份服务器磁盘保留时间月
(五) 文件传输台发送接受投资系统相关行情估值文件年金系统相关文件备份周期日次全备份备份介质备份服务器磁盘保留时间永久数备份文件保留份文档安全服务商保留份城灾备中心份异灾备中心份保留时间永久
(六) WindowsLinux操作系统文件备份备份周期周次全备份保留数中心保留时间月备份介质备份服务器磁盘
第十四条 数备份异数备份
() 数备份:备份文件均保留份
(二) 城备份:城灾备中心实现生产中心投资年金系统数备份包括数库文件应系统配置文件
(三) 异备份:异灾备中心实现生产中心投资年金系统数备份包括数库文件应系统配置文件AD域控服务器备份(计划灾备三期实现)
第十五条 信息技术部应充分合理利信息系统提供种安全机制实现系统备份备份系统构成配置应生产系统量保持致制定效行切换机制确保生产系统出现障时迅速接承载业务运行系统运维岗日常维护应保障生产环境备份环境生产备份机备份生产库完整性
第十六条 信息技术部系统运维岗应该时重系统重数数进行备份防止系统数丢失遇相重改动更新应天立进行完全备份
第十七条 信息系统应系统程序数备份信息技术部系统运维岗负责相关理工作信息技术部系统运维岗执行软件系统部署升级前应检查软件系统应数备份恢复操作指导系统障恢复手册否完整软件系统首次部署时应系统应软件进行全备份系统配置更改时做操作系统全备份运行机进行系统应软件升级时候必须首先进行系统应软件进行备份升级完成时应时备机进行升级
第十八条 数提取变更执行流程应事先做充分备份工作预防时变发生数变更操作注意踪系统运行情况发生异常起变更操作前应急方案准备恢复
第十九条 网络设备配置必须统备份网络设备日志统收集统分析统备份
第二十条 服务器日志数应该集中收集定期分析定期备份定期销毁
第二十条 设备维护特磁盘磁带设备维护时首先做信息备份
第二十二条 数库数文件日志文件控制文件进行定期备份原周次完全备份天次增量备份(目前暂定全库备份)时数备份模式根情况选择完整备份部分备份备份工具进行数卸出装载
第二十三条 备份数应该严格理存储脱机介质(磁带)异存放妥善保存备份数资料保点应防火防热防潮防尘防磁防盗设施备份系统备份数必须原系统数拥样密级严格遵守涉密信息理制度
4备份介质介质库理
第二十四条 介质介质库理应设专负责系统运维岗应制定磁带量计划天整理备份磁带库磁带情况定期检查备份执行情况定期检查永久备份磁带否损坏负责磁带定期进行重新读写磁带库磁带机应定期检修
第二十五条 备份介质应备份象分类存放混放混备份磁带应作标签分类摆放预先安排方便查找
第二十六条 异数备份应保证少48时生产数保障信息系统数安全备份数效更新
第二十七条 业务数备份介质必须存放保护特定场时拷贝进行异(非建筑物)保存存放系统第二备份磁带第二备份磁带库应远离机房少十公里外设立第二备份库第二备份磁带应专专业数公司时送第二备份磁库严格执行异数备份交接交接双方必须严格履行交接手续整操作程相应监控设备进行书面记录备查
第二十八条 生产介质阅须执行严格审批制度机房磁带未许许带出机房非公司磁带需批准填写相关手续方带走未授权意导入导出备份介质中信息数意备份介质数报表带出机房
第二十九条 介质报废销毁须符合规范保密性求废弃备份介质数报表应存放指定点专集中销毁
5系统恢复
第三十条 已建立备份系统应定期进行实际切换演练防止生产系统切换备份系统时备份系统正常工作生产系统瘫痪信息技术部运维岗应定期进行双机热备演练测试生成测试报告果测试成功应提出相应解决方案应定期值班员进行应急恢复训练实施演保证相关员正确进行应急恢复
第三十条 系统崩溃特殊情况应区分系统级恢复应级恢复数级恢复分制定策略时量通系统备份进行机系统恢复造成停业障线员应立报告领导提出相应办法必时启备份系统
第三十二条 旦发生数丢失数破坏等情况系统运维员进行备份数恢复免造成必麻烦更损失全盘恢复般应服务器发生意外灾难导致数全部丢失系统崩溃计划系统升级系统重组等文件恢复般恢复受损文件者全盘恢复追加增量备份恢复新备份
第三十三条 城灾备中心启:数中心完全瘫痪时启城数灾备中心异灾备中心启:数中心城灾备中心法运行时启动异灾备中心
6员备份
第三十四条 信息系统关键岗位(现阶段定义:项目理岗系统运维岗硬件运维岗)员设置应做职责分明相互配合防止突发原引起工作岗位角色缺失关键岗位员应执行备份机制设置AB角色保障日常生产跨工作岗位角色权责转移必须角色岗位员部门提出级进行书面授权否视效授权
第三十五条 信息系统运行维护工作必须指定AB角A角负责日常维护工作B角A角出差者时时候负责解决障A角责B角进行培训直B角独立处理障
附
第三十六条 理办法信息技术部负责解释指导
第三十七条 理办法发日起实施
第十二章 安全事件处置
1工作原
预防:立足安全防护加强预警重点保护基础信息网络关系国家安全济命脉社会稳定重信息系统预防监控应急处理应急保障击犯罪等环节法律理技术等方面采取种措施充分发挥方面作构筑网络信息安全保障体系 快速反应:网络信息安全突发公事件发生时快速反应机制时获取充分准确信息踪研判果断决策迅速处置程度减少危害影响
:保障公利益公民法组织合法权益安全作首务时采取措施限度避免财产遭受损失
分级负责:谁谁负责谁运营谁负责谁谁负责条块结合条原建立完善安全责制联动工作机制根部门职司职加强部门间局间协调配合形成合力履行应急处置工作理职责
常备懈:加强技术储备规范应急处置措施操作流程定期进行预案演练确保应急预案切实效实现网络信息安全突发公事件应急处置科学化程序化规范化
2组织指挥机构职责
发生网络信息安全突发公事件应成立局网络信息安全应急协调组局网络信息安全应急处置组织协调机构负责领导协调全局网络信息安全突发公事件应急处置工作局网络信息安全协调组设办公室负责日常工作综合协调公安网监部门进行联系
3先期处置
(1)发生网络信息安全突发公事件时事发部门应做先期应急处置工作立采取措施控制事态时相关局级部门通报
(2)网络信息安全事件分四级特重(Ⅰ级)重(Ⅱ级)较(Ⅲ级)般(Ⅳ级)
(3)部门接系统网络信息安全突发公事件发生发生信息应加强关方面联系掌握新发展态势Ⅲ级Ⅳ级网络信息安全突发公事件部门行负责应急处置工作演变Ⅱ级Ⅰ级网络信息安全突发公事件局协调组处置工作提出建议方案作启动预案项准备工作部门根网络信息安全突发公事件发展态势视情况决定赶赴现场指导组织派遣应急支援力量支持事发部门做应急处置工作
4应急处置
41应急指挥
启动根局协调组会议部署担总指挥领导参指挥领导迅速赶赴相应指挥台进入指挥岗位启动指挥系统相关联动部门预案确定关职责立开展工作 需成立现场指挥部事发部门立现场开设指挥部提供现场指挥运作相关保障现场指挥部根事件性质迅速组建类应急工作组开展应急处置工作现场指挥部局协调组领导全权负责现场应急援救工作部门负责发生网络信息安全突发公事件网络信息系统现场应急处置工作
42应急支援
动协调组应急响应先遣组督促指导协调处置工作协调组办公室根事态发展处置工作需时增派专家组应急支援单位调动必需物资设备支援应急工作 参加现场处置工作部门现场指挥部统指挥协助开展处置行动
43信息处理
(1)现场信息收集分析报事发部门应事件进行动态监测评估时事件性质危害程度损失情况处置工作等情况局委局政府紧急信息报送关规定时报局协调组办公室隐瞒缓报
谎报
(2)级信息处理局协调组办公室明确信息采集编辑分析审核签发责做信息分析报告发布工作
(3)信息发布咨询网络信息安全突发公事件发生时局协调组办公室时做信息发布工作通局级新闻单位发布网络信息安全突发公事件预警应急处置相关信息通知社会界做应急准备预防措施增强公众信心信息发布新闻报道国家关规定时进行
44应急结束
网络信息安全突发公事件应急处置效控制监测统计数报公司组办公室局协调组提出应急结束建议批准实施
5期处置
51善处置
应急处置工作结束事发单位迅速采取措施抓紧组织抢修受损基础设施减少损失快恢复正常工作统计种数查明原事件造成损失影响恢复重建力进行分析评估认真制定恢复重建计划迅速组织实施关部门提供必员技术物资装备资金等支持善处置关情况报协调组办公室
52调查评估
应急处置工作结束局级部门应立组织关员专家组成事件调查组政府关部门配合事件发生处置程进行全面调查查清事件发生原财产损失状况总结验教训根问责制关规定关责员做出处理
第十三章 应急预案理
1应急处理灾难恢复
应急处理灾难恢复安全等级应选择满足求项:
a)应急处理基求:应信息系统应急处理明确求制定具体应急处理措施安全理员应协助分领导落实应急处理措施
b)应急处理制度化求:应制定总体应急计划灾难恢复计划应急处理组负责落实制定针关键应系统支持系统应急计划灾难恢复计划进行测试计划涉员进行培训保证员具相应执行力应急需外部关单位应签订合制定安全事件处理制度制定系统信息文档备份制度等等
c)应急处理检查求:信息安全领导组应负责指定专负责应急计划实施恢复计划理工作信息系统安全机制集中理机构应协助应急处理组负责具体落实检查验证应急计划灾难恢复计划保证应急计划灾难恢复计划够效执行
d)应急处理强制保护求:针应急计划灾难恢复计划实施进行独立审计针应急计划灾难恢复计划进行定期评估断改进完善
e)应急处理持续改进求:制定包括全面理细应急计划灾难恢复计划基应急计划灾难恢复计划安全策略进行验证操作程监督
2应急计划
应急计划安全等级应满足求:
a) 制定应急计划策略明确制定应急计划需职权相应理部门
b) 进行业务影响分析识关键信息系统部件确定优先次序
c) 确定防御性控制减系统中断影响提高系统性注意采取措施减少应急计划生命周期费
d) 制定恢复策略确保系统中断快速效恢复
e) 制定信息系统应急计划包括恢复受损系统需指导方针规程
f) 计划测试培训演练发现计划足培训技术员
g) 计划维护规律更新适应系统发展
h) 制定灾难备份计划启动方式
3应急计划实施保障
应急计划实施保障安全等级应选择满足求项:
a)应急计划责求:应明确应急计划组织实施员知道应急计划实施程中责
b)应急计划力求:系统相关员进行培训知道时应急计划中控制手段恢复策略保证执行应急计划应具力
c)应急计划系统化理:进行系统化理实施维护整组织应急计划体系记录计划实施程确保应急计划执行足够资源保证
d)应急计划监督措施:风险评估开始考虑运行理程识引起业务程中断事件应业务资源业务程理者参监督
e)应急计划持续改进:应针计划正确性完整性进行定期检查计划发生重变化时应立检查根业务应重程度断计划容规程进行评估完善
4应急演练
信息技术中心负责组织公司应急演练编写测试预案演模拟机房出现事公司部门协作战员位应急处理力应急演练结束信息技术中心根演练结果进行汇总全公司通报总计发现问题落实整改分支机构问题监督进行整改
文档香网(httpswwwxiangdangnet)户传
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档
