某单位
信息安全理制度汇编
制定部门
某单位
审 核
批 准
生效日期
制度修订修改记录
更改日期
原章节容
修订容
修订部门
批准
备注
目录
某单位信息安全总体方针安全策略 3
某单位信息安全工作理规定 12
某单位信息安全理策略 16
某单位机房设备理规定 25
某单位信息设备理办法 29
某单位网络安全理办法 34
某单位病毒防范安全理办法 42
某单位备份恢复理规定 45
某单位网站运行维护理办法 49
某单位信息系统变更理办法 51
某单位信息安全惩戒理规定 56
某单位第三方访问理程序 57
某单位信息项目理规定 60
某单位消防理制度 63
某单位软件理办法 65
某单位帐户权限口令理规定 67
某单位项目测试验收理办法 73
某单位信息系统应急响应理规定(条款序号) 76
某单位信息系统建设理办法 82
某单位信息系统运行理办法 87
某单位网络接入理办法 93
某单位信息资产理办法 96
某单位信息系统安全理岗位职责 99
某单位员工安全理规定 101
某单位运行维护理规定 108
某单位安全岗位员理规定 110
某单位培训教育理规定 116
某单位外员安全理规定 121
某单位介质理规定 125
某单位环境设施物理设备理规定 129
某单位网络连接理规定 136
某单位计算机户安全手册 138
某单位系统安全理说明 142
某单位安全事件报告处置理规定 164
某单位信息安全总体方针安全策略
总
第条 建立实施运行监督评审保持改进某单位信息安全理体系确定信息安全方针目标
第二条 信息安全风险进行效理确保全体员理解遵执行信息安全理体系文件持续改进信息安全理体系效性特制定文件
信息安全总体方针
第三条 信息安全方针:安全第综合防范预防持续改进
() 安全第:信息安全信息系统业务连续性提供基础保障信息安全作信息系统建设系统运行首务
(二) 综合防范:理措施技术措施重建立效识预防信息安全风险机制合理选择安全控制方式信息安全风险发生概率降低接受水
(三) 预防:国家相关规定信息安全理实践根信息资产重性等级定期重信息资产进行安全测评采取效措施消隐患程度降低信息安全事件发生概率
(四) 持续改进:建立全面覆盖信息安全层面安全理机制建立持续改进体系框架断完善业务稳定运行提供安全保障
第四条 总体目标
() 保护信息系统数完整性性机密性遭受破坏更改泄漏
(二) 确保信息系统连续正常运行提供时持续高质量服务断改进
(三) 信息安全理体系建设运行满足信息系统日常安全理需覆盖安全理层面
安全策略
第五条 信息资产理策略
() 类信息资产信息技术科负责统筹理责
(二) 信息资产进行梳理建立信息资产清单明确信息资产员运维员理员等相关责制定职责信息资产清单应定期维护更新定期信息资产进行盘点确保信息资产账实相符合完损
(三) 确保信息资产受适保护信息应分类显示需保护求优先程度信息分类应业务信息访问需求需求带影响进行划分分非常重重般三等级
(四) 信息资产分类应该具定灵活性信息资产分数软件硬件文档设备员等6种类型容:
1) 数:储存电子媒介种数资料包括源代码数库数种数资料系统文档运行理规定户手册等
2) 软件:应软件系统软件开发工具资源库等
3) 硬件:服务器路器交换机硬件防火墙交换机备份存储设备等
4) 文档:纸质种文件项目程文件日常理记录文件发展规划等
5) 设备:UPS电源设备空调门禁消防设施等
6) 员:系统理员维护员外包服务员等
(五) 建立信息系统资产清单明确信息系统负责理员落实岗位职责国家信息系统安全等级保护基求(GBT 222392008)求信息系统分级级采取相应安全保护措施
(六) 信息系统分级采取应安全保护措施必须相应负责定期检查
(七) 类信息资产必须进行标识理标识容包括资产名称资产信息属系统资产类重级责等
第六条 员安全理策略
() 访问敏感信息外包服务员应访问信息处理设施前签署相关协议
(二) 理员离职时确保设备删访问权限员离前履行交接手续确保密码设备技术资料相关敏感信息等移交
(三) 安全教育指单位安全教育部门教育岗位教育安全教育制度应纳入单位员工教育体系安全教育结合实际情况编制具体安全教育计划计划明确针性适时修正变更补充容安全教育办公室负责次安全教育必须考核机制
第七条 物理环境安全理策略
() 设立物理安全保护区域该区域包括放置重存储设备网络设备等重信息科技设备区域物理安全保护区域出入口设置安全屏障(门禁)
(二) 确保授权员访问物理安全保护区域整访问程应监控记录
(三) 采双回路市电UPS等措施保证设备电力供应连续
(四) 建立严格设备维护流程保证设备性信息完整性般情况允许信息处理设备带出机房需设备带出机房需进行审批
(五) 教育局属便携式设备台式机笔记掌电脑便携式电子设备负责保护允许设备放守没安全防范措施环境中
(六) 办公电脑需根安全求统安装防病毒软件设置密码屏幕保护员离开需启动屏保关机
(七) 员离开门禁卡重文件等允许摆放桌面需妥善保
第八条 网络安全理策略
() 网络系统运营安全防范实行统理政务外网局域网应分指定专负责维护操作建立维护记录
(二) 理员需网络交换机路器等网络关键设备进行定期检查保养发现问题进行记录分析踪解决
(三) 建立网络理系统监控网络资源运行状态保障网络安全运行踪网络配置变化等
(四) 严格控制网络访问权限定期网络线路进行例行检查防止非法接入
(五) 根信息安全级网络划分逻辑安全域(简称域)实施效安全控制域整网络进行物理逻辑分区实现网络容滤逻辑访问控制传输加密网络监控记录活动日志等
(六) 网络交换机路器等网络关键设备备份骨干网重通讯线路网点通讯线路必须备份冗余回路
第九条 运行安全理策略
() 建立理操作信息处理设备责流程包括制定适操作手册回退流程关键环节实行相互监督制度减少疏忽滥系统风险信息处理设备操作文档化说明作操作记录文档中应具操作详细执行说明操作说明文档必须套正式理流程进行授权操作行进行评估审计
(二) 定期备份重业务信息软件足够备份设备进行重业务信息软件备份灾难发生存储设备失败时够恢复系统定期备份符合业务连续性策略求
(三) 存储介质必须受控制物理保护存放敏感信息存储介质必须套合适理标准进行理需介质中容必须安全清存储介质允许存放传输业务技术敏感信息移动介质允许重业务处理服务器敏感电脑重业务介质需保存档案室保密文件柜
(四) 制定相关制度标准理信息系统日志支持效审核安全取证分析预防欺诈应保证系统日志中包含足够容便完成效部控制解决系统障满足审计需应采日志备份制度确保完整性意外情况发生应时复查系统日志
(五) 部署防病毒系统建立全面计算机病毒查杀机制连入部域电脑设备应安装杀毒软件接入前进行病毒扫描制定病毒库升级策略扫描策略定期进病毒库更新病毒扫描
第十条 访问控制理策略
() 建立完善身份认证授权访问控制应层通信加密等应层安全系统理规定改善业务应系统整体安全性部署理身份认证系统授权访问控制系统
(二) 严格控制访问权限审批制定符合业务操作流程访问控制审批单形成访问控制审批程记录访问控制理部门应拒绝合理访问控制请求
(三) 信息系统信息处理设备必须具户标识户口令特权访问控制措施重信息系统信息处理设备需两种身份鉴方式原求系统户标识唯户密码应具定复杂度需字母字符数字等组成密码长度8位六月定期进行更换
(四) 信息技术科需定期定期检查户ID建立权限划分密码变更否符合控制策略规定
(五) 允许没通身份验证情况访问信息系统设备信息处理系统连续登陆尝试应受限制
(六) 信息系统户应遵守良口令设置惯信息系统户应养成良计算机惯公设备根实际情况会话结束执行合适锁定机制户身份鉴定户允许享身份组身份非安全理员批准户该户身份执行操作负责
(七) 户网络访问权限实行化原户网络访问应设定强制式路径
(八) 服务器网络设备户标识应唯登陆服务器网络设备户户标识户标识确认户操作行作追究责
(九) 通安全设备安全技术进行应系统访问控制容许合法户逻辑访问应系统中信息敏感系统配备专隔离区域设置信应系统享资源
(十) 建立监控信息处理设备情况程序设备保证户进行明确授权活动需监控级应评估风险确定
第十条 移动设备安全理策略
() 移动设备远程访问业务信息时成功认证通访问控制机制准许连接原允许公场合移动设备远程访问业务系统
(二) 移动存储介质理遵循谁谁负责原移动存储介质员负责移动存储介质安全移动存储介质程中种安全威胁造成数泄露负责
(三) 外员移动存储介质接入教育局计算机系统前应征计算机者意计算机者接入外明移动存储介质导致安全问题负全部责
(四) 涉密移动存储介质教育局涉密计算机涉密信息系统严禁涉密移动存储介质互联网连接计算机计算机
(五) 涉密移动存储介质保存涉密信息必须信息容进行加密处理
第十二条 数安全理策略
() 根数重程度敏感程度进行分级理保护
重程度划分标准:
1) 重程度高:旦数安全受损会中断关键业务运行会造成重财务损失会导致严重社会影响会造成严重法律果等
2) 重程度中:旦数安全受损会关键业务运行直接影响造成定程度财务损失造成定程度声誉损失造成定程度法律果等
3) 重程度低:旦数安全受损关键业务运行直接影响仅造成较财务损失仅造成较声誉损失造成法律果等
敏感程度划分标准:
1) 高敏感程度(保密):单位根利益着决定性影响果泄露会造成灾难性影响
2) 中敏感程度(部):仅单位部设部门部公开外扩散组织利益造成损害
3) 低敏感程度(公开):社会公开者公开单位利益造成损害
(二) 保障网络配置操作系统数库配置等数安全性操作维护员授权进入系统台数库中业务数进行维护时操作员监督进行办公动化系统中教育局员通认证授权系统登录浏览权限范围容电子邮件文档电子邮件容台特殊格式存放拥相关权限员登录系统
(三) 采加密数字证书等技术手段防范数传输处理存储程中出现泄露篡改风险允许明文方式存储传送户密码等涉密敏感信息
第十三条 信息安全事件理策略
() 策略称信息安全事件指然者软硬件障等原信息系统造成危害社会造成负面影响事件
(二) 加强信息安全事件理时掌握分析重信息安全事件关情况降低信息安全事件带损失保障网络信息系统安全运行
(三) 制定信息安全事件理规定包括信息安全事件分类分级响应流程评估处理总结改进相关员组织定位相关部门员公布相关部门员熟知信息安全事件响应流程够相互协作条理执行相关流程确保关部门事件处理中够集中精力做出适效决策减少产生危害
(四) 信息安全事件事件产生影响分A类(会社会秩序公利益造成特严重损害)B类(会社会秩序公利益造成严重损害)C类(会单位部利益造成特严重损害)D类(会单位部利益造成严重损害)
(五) 信息安全事件响应流程分信息安全事件报识信息安全事件通报信息安全事件遏制信息安全事件解决恢复四流程应系统运维服务单位设备提供商等保持联系保证信息安全事件发生时采取行动取关意见
(六) 信息安全事件事处理包括信息安全事件调查信息安全事件总结信息安全事件报告三方面
(七) 根前述信息安全事件策略明确相关部门员阶段中职责进行培训事件发生立准确响应
第十四条 业务连续性理策略
() 利安全测评风险评估结果应制定计划维护重业务进程停顿失效限定时间恢复业务操作旦制定计划
(二) 业务连续性计划定期演练确保效性种测试应确保恢复组员相关员知道项计划业务连续性计划定期进行更新
某单位信息安全工作理规定
总
第条 策略目标:加强某单位(简称单位)信息安全保障力建立健全单位安全理体系提高整体网络信息安全水保证网络通信畅通业务系统正常运营提高网络服务质量单位安全体系框架策略明确单位安全工作展开办法指导部门展开安全工作
第二条 适范围:策略适单位科室部门信息安全工作信息安全工作纲领性策略
信息安全工作基原
第三条 等级划分原:国家信息安全等级保护求根业务系统重程度面风险等素决定类信息安全保护级合理规划
第四条 步规划步建设步运行原:安全建设应业务系统步规划步建设步运行环节疏忽业务系统带危害
第五条 三分技术七分理原:网络信息安全单纯技术问题需采安全技术产品时重视安全理断完善类安全理规章制度操作规程全面提高安全理水
第六条 外重原:安全工作需做外重防范外部威胁时加强规范部员行审计机制
第七条 整体规划分步实施原:需单位信息安全建设进行整体规划分步实施逐步建立完善信息安全体系
第八条 风险理原:进行安全风险理确认影响信息系统安全风险较低成降低接受水
第九条 适度安全原:没绝安全安全易性矛盾需做适度安全找安全易性衡点
第十条 统理原:安全建设应业务系统相结合做全程全网统监控审计统理
安全组织工作理
第十条 单位网络信息安全组织机构包括:
1 单位信息安全领导组:单位网络信息安全工作领导决策机构
2 单位信息安全工作组:单位信息安全工作执行机构
3 单位信息安全实施组:单位信息安全工作组日常执行机构该机构日常相关工作单位信息技术科完成
第十二条 加强部员安全理特权原清晰划分岗位岗位职责中明确信息安全责害工作岗位实现职责分离关键事务双岗重岗位员备份定期进行员安全审查关员岗位安全详见安全岗位员理规定中规定
第十三条 员工应签署保密协议接受信息安全教育培训提高安全意识时报告网络信息安全事件关员工安全详见员工安全理规定培训教育理规定中规定
第十四条 必须加强第三方访问外包服务安全控制风险评估基础制定安全控制措施第三方单位外包服务单位签署安全责协议明确安全责关第三方员安全详见外员安全理规定中规定
安全体系运作理
第十五条 建设完整安全体系实现设计实施修改维护生命周期安全体系身保障
第十六条 安全策略身应规范创建执行修改更新废止等整生命周期维护保障
第十七条 单位信息安全体系建设维护通时获知评价信息安全现状通安全现状评估实施信息安全建设工作减少降低信息安全风险提高信息安全保障水
安全风险理
第十八条 必须加强信息资产理建立维护信息资产清单维护新网络拓扑图建立信息资产责制信息资产进行分类理贴标签
第十九条 安全威胁提前预警时国外安全信息通知单位级信息安全理员员工确保够时采取应措施降低单位信息安全风险
第二十条 应部署网络层面系统层面访问控制安全审计安全监控技术措施保障业务系统安全运行
项目建设安全理
第二十条 加强项目建设安全理配套安全系统必须业务系统步规划步建设步运行加强安全规划安全评估证理关项目安全理详见某单位信息项目理规定中规定
运行维护安全理
第二十二条 加强机房办公区域安全理设备正常运行提供物理环境安全保障
第二十三条 建立日常维护操作规程变更控制规程规范日常运行维护操作严格控制审批变更行关日常维护变更理详见运行维护理办法某单位信息系统变更理办法中规定
第二十四条 加强单位病毒防治工作提升单位病毒整体防护力降低防范病毒单位业务造成影响关病毒防护理详见某单位病毒防范安全理办法中规定
第二十五条 加强户帐号权限理特权原户分配权限避免出现帐号情况关帐号权限理详见运行维护理规定中规定
第二十六条 制定业务系统应急方案时发现报告处理记录关应急响应安全理详见某单位应急响应理规定中规定
系统级安全理求
第二十七条 系统应建立安全维护作业计划严格执行维护作业计划加强设备操作系统数库应系统安全运行监控编写日常安全运行维护报告
第二十八条 系统求建立系统应急计划计划容基单位相关安全策略
某单位信息安全理策略
策略目标
加强某单位(简称单位)信息安全保障力建立健全单位安全理体系提高整体信息安全水保证业务系统正常运营提高网络服务质量单位安全体系框架策略规范单位安全策略制定发布修改废止检查监督落实建立科学严谨理办法
适范围
策略适单位信息技术科部门安全专员
安全策略制定权限
第条 单位信息技术科负责制定单位层安全策略包括:单位信息安全体系单位安全策略框架单位信息安全方针单位信息安全体系等级化标准单位安全技术标准技术规范单位安全理制度规定单位安全组织机构员职责单位户协议
第二条 属员组织遵单位发安全策略结合系统实际情况制定细化成适部门具体理办法实施细操作规程等单位规章制度相抵触须报单位信息技术科备案
安全策略制定求
第条 单位安全策略中出现单位涉密信息
第二条 单位安全策略进行汇编时必须保留安全策略版控制信息密级标识
单位安全策略修改废止
第条 必须定期安全策略进行评审中适欠缺条款时进行修改补充已适信息安全制度规定应时废止
第二条 现行安全策略列情形时必须时修改:
1 发生重安全事件暴露出安全策略存漏洞缺陷时
2 组织机构业务系统进行重调整变更
3 事项两规章制度中规定致
4 级业务部门安全策略相抵触
5 需修改安全策略情形
第三条 现行安全策略列情形时必须时予废止:
1 关信息安全制度规定废止该信息安全制度规定失单位现行层策略相抵触
2 已规定事项已执行完毕没存必
3 已新规章制度代
第四条 单位层安全策略修改废止须单位信息安全领导审批确认单位信息技术科备案
单位安全策略监督检查
第条 安全策略发布实施部门应安全策略制度规定贯彻执行执行中存问题规章制度修改废止意见建议等情况进行检查监督意见建议时反馈信息技术科
第二条 保障项信息安全理制度贯彻落实单位信息技术科必须定期检查安全策略落实情况信息安全理制度落实情况检查信息安全检查工作重容
第三条 信息安全检查工作结束起草检查报告时必须通报安全策略落实情况执行力行必须提出整改意见限期纠改继续追踪落实情况
第四条 安全策略贯彻落实情况必须作重考核项目纳入部门综合考评体系
第五条 安全策略落实做出显著成绩部门应予表彰奖励违反规章制度造成严重果部门应追究事相关单位领导责具体参单位考核制度办理
户权限理
户权限
全网中设备权限配置功实现然差应确保安全基础提供户分级理功
户权限设置应遵循原:
() 操作系统理员:进行操作系统日常维护
(二) 数库理员:进行数库系统日常维护
(三) 安全理员:员系统操作进行行监督定期分析记录系统安全配置进行配置(包括日常业务需配置)
户权限划分均必须制约原操作系统理员具操作系统理权限数库理员兼中安全理员专职员
(四) 特权分散原:维护理重操作权力分散干程序节点户必须规定干具特权程序节点户齐实现该操作
(五) 授权原:仅户进行操作时必需权限分配户分配关更权限
户登录理
户通统程进行系统登录登录程应具功:
() 原唯户识符区分户权限特殊需情况组识符
(二) 户进行身份验证检查户否系统授权合法户
(三) 提示户访问级权限
(四) 确保身份验证结束前户法访问系统
(五) 户维护份统记录
(六) 户注销应立删户权限
(七) 定期检查整理户帐户期帐号时封闭长期帐号定期检查必时封闭
户口令理
户口令户登录系统关键保证口令安全性户口令理应该遵循安全原:
() 进行网络安全理时设备中级理口令密码系统理员统进行理注意保密
(二) 口令密码设置符合保密求针设备理权限设置分级口令
(三) 选择长口令般少8字符口令包括写英文字母数字组合姓名汉语拼音常见英文单词
(四) 定期改变口令3 月更换次重设备系统采次密动态密钥卡等方式
(五) 户口令明文显示显示器
(六) 户口令系统应数分开保存
(七) 采效措施保证户口令传输存储时安全例口令加密传输保存
运行安全
网络攻击防范
网络攻击防范防止网络恶意攻击保证网络正常运行网络攻击单位部兄弟单位员等网络攻击防范重点保护象核心路器核心交换机防火墙网络系统业务系统等重服务器等须防范网络攻击包括局限:网络系统资源数非法理分配破坏路网络系统拒绝服务攻击DoS病毒木马缓区溢出垃圾邮件等
单位应制定网络攻击防范措施策容少包括网络安全防护安全漏洞检测安全事件响应等三方面部门制定具体安全策略应报单位信息技术科审批备案
网络攻击防范应注意方面:
() 国家部门认网络攻击防范产品
(二) 网络边界重网段处架设防火墙防止非授权信息通
(三) 网络边界重网段处进行网络实时入侵检测果检测入侵行应立通知相关员进行应急处理
(四) 核心节点网络理中心安装网络漏洞扫描器整网络进行安全扫描便发现预防破坏活动发现漏洞应时通知相关员进行处理
(五) 网络中路器关键机等定期进行系统漏洞扫描发现漏洞应时通知相关员进行处理
(六) 保证网络中网络设备服务器间通信数传输防止传输信息泄露篡改删等非法操作
(七) 网络中网络设备应系统正常运行阶段应关闭业务关端口防止非法访问
(八) 允许设备软件供应商成超级户
(九) 季度服务器进行漏洞扫描出具漏扫报告
病毒防范
() 病毒防范工作应遵循原:
(二) 单位应分制定网络病毒防范规划安装配置病毒防范系统
(三) 相关设备禁止安装运行业务关软件防止关软件操作感染病毒
(四) 相关设备定期进行病毒检测发现病毒立汇报关部门进行应急处理
(五) 理员应采取安全方式时进行病毒检测软件病毒特征代码库升级定期进行防病毒工作登记记录
(六) 全体员工应增强病毒防范意识配合理员做病毒防范工作
访问控制
访问控制目防止未授权员网络设备服务器系统等资源修改破坏保证网络安全
1 外部网络间设置防火墙实现部网络访问控制
() 采防火墙技术虚拟LAN 技术实现部网安全域隔离访问控制
(二) 建议相关设备具分级户理功严格身份识机制
(三) 网络设备服务器系统提供服务必须具访问控制功保证认证通前提供服务
(四) 网络设备进行远端配置理时必须进行身份认证
(五) 采效手段保证网络设备配置理数传输安全
(六) 网络中应软件应防止异常中断非法进入系统
(七) 相关设备提供超时键盘锁定功
(八) 集成调试支持程分配合作伙伴系统户身份必须系统部门登记建立授权必须明确指定变更定义户权限容权限效时间工作员调离岗位时必须立取消该工作员系统户授权必须详细记录户定义授权变更
行审计
安全理员需系统相关设备操作进行记录防止相关设备非法
() 路器机服务器数库等运行维护理必须审计方案记录
(二) 应定期审计记录进行审查分析
(三) 相关设备系统软件应软件应具开审计功
(四) 事件必须审计记录:
l 网络设备服务启动关闭
l 网络设备服务配置修改
l 网络连接方式改变
l 登录网络设备服务器系统
l 异常情况
(五) 审计记录应包含信息:
l 户操作时户识符
l 事件发生日期时间
l 事件容操作结果
1 网络设备服务器审计记录应符合相应备份原
2 审计记录未授权户修改删
3 季度进行审计记录分析发现异常情况立汇报相关员
异常流量监控
() 优化网络运行理
通检测分析带宽状况合理分配带宽资源
(二) 强化网络行理
根种应业务流量制定相关策略限制非流业务峰值时段进行限速阻断
(三) 保障关键网络应
保障关键应(力资源系统网站系统等)限制非流业务占带宽监测阻断异常流量
(四) 实时监控网络运行
识阻断网络攻击根发连接数确定阻断DOS攻击等异常行保护网络设备安全
流量监控系统提供流量视化异常流量监测机制安全理员时掌握流量情况够通流量报表统计分析出整网机器流量排名调整安全策略QoS策略提供时通观察协议流量分布透视企业部网络运作情况网络流量做目然
操作安全
系统相关安全操作需安全理员进行配置:
() 重操作应相关员授权
(二) 必须严格设备系统操作规程进行日常操作
(三) 级操作员应仅权限范围进行操作非法拷贝增加修改删数
(四) 级操作员进行越权操作尝试
(五) 级操作员必须严格保身份识数(户卡口令等)泄漏
(六) 级操作员必须实记录操作日志
IP址理制度
IP址组织限资源时户认证种常手段意增加更改IP址理者需规划建立明确户IP址数库实施保密性处理
核心业务系统安全控制
1 网络访问控制
业务数库服务器开放中间件服务器系统理员相关数维护员均网络断开
2 数库维护员控制
数库维护员单独开户户单独开放数修改权限数库理员拥数库系统户全部权限负责数库系统日常维护数查询员单独开户赋予读权限期考虑专电脑进行查询
3 系统维护员控制
系统维护员单独开户户分配理权限系统理员拥系统理权限负责操作系统日常维护
4 数恢复
果种原导致系统数错误需进行历史数恢复通系统备份进行恢复
5 数库登陆日志
建立数库登陆日志记录次登陆IP时间户名等便日进行事踪追查
6 数库操作日志
建立数库操作日志记录次进行操作户ip时间户名数类型数象等便日志进行踪追查
7 定期更换密码
季度需更换次密码密码长度8位数字母字符组合
某单位机房设备理规定
总
第条 保障某单位(简称教育局)业务正常进行结合教育局实际机房设备情况特制定理办法
第二条 办法适托鄞州区信息中心机房IT基础设施(简称机房设备)理
第三条 教育局计算机信息安全领导组负责鄞州教育局信息设备安全理鄞州教育局部门外单位访员须遵守办法
理职责
第四条 机房信息设备某单位计算机信息安全领导组指定机房理员负责理维护职责:
() 负责信息设备日常运行监控定期维护检修
(二) 负责机房出入申请陪配合安全审计员审计机房门禁权限员进出记录
(三) 协调某单位部门外单位员做机房日常出入登记安防工作
(四) 配合区信息中心保持维护机房卫生环境美观
机房员出入理
第五条 进入机房员应遵守机房理办法
第六条 工作时间应急者巡检需应进入机房设备运行区域应量避免机房部值班
第七条 非工作员般进入机房特殊情况需相关部门负责批准教育局计算机信息安全员全程陪非工作时间进入机房员进入机房前需鄞州教育局机房进出登记表进行机房出入登记
第八条 机房严禁吸烟喝水进食嬉戏进行剧烈运动应保持机房安静
第九条 进入机房携带易燃易爆腐蚀性强电磁辐射性流体物质等设备正常运行构成威胁物品
机房设备出入理
第十条 非教育局计算机安全理组织架构员未许严禁擅进入机房进行机操作运行设备种配置进行更改
第十条 外单位技术协作员禁止携带笔记电脑相关存储设备未检查软件介质等进入机房应教育局计算机信息安全领导组提供指定设备进行操作
第十二条 机房设备进出需进行严格登记永久性设备应计入资产理时性设备果需机房进入前必须确定通FCCCCC认证保证电磁安全性
第十三条 员进出机房须手关门注意安全严禁设备包装等易燃材料放置遗留机房
机房设备运行操作维护理
第十四条 机房部重操作必须实行双复核作业
第十五条 机房中教育局设备关施工检修工程须报教育局计算机信息安全负责批准进行施工检修程中必须教育局计算机信息安全员相关员现场陪防止施工检修程中信息设备造成损坏禁止工作时间进行施工
第十六条 机房教育局设备应年进行机房安全检查演练设备维护保养
第十七条 教育局计算机信息安负责应定期定期办法执行情况进行检查督促项制度落实作员考核
机房设备卫生理
第十八条 信息设备托区政府信息中心机房单位维护员需季度单位设备信息进行扫保持设备卫生清洁
附
第十九条 办法教育局计算机信息安全领导组制定负责解释修订
附件 员出入申请表
申请 (申请填写)
鄞州教育局员
外单位员单位名称 电话
日期 (yyyymmdd):
估计进出时间 (hhmm):
进出事:
涉设备系统:
操作程 (申请填写)
操作目 涉设备系统 操作类型(检查修改)
技术操作说明
携带设备 类型 数量 接入(机网络UPS空调) 途
审批接收 (负责填写)
部门负责意见:
操作结果 (申请填写)
□操作 □成功
□失败包含:
□部分完成:
进出时间(hhmm) 签字
附件二 机房进出登记表
编号
日期
部门名称
员签名(陪员需签字)
事
进入时间
审批确认
某单位信息设备理办法
第条 加强硬件设备理设备理工作科学化规范化保证设备正常运行结合单位实际特制定办法
第二条 办法明确信息处理设备验收安装调试出入库维修报废等容理求
第三条 办法适类信息处理设备理
第四条 教育局信息技术科负责理类信息处理设备验收安装调试出入库维修报废
第五条 系统理员负责相关事宜审批
第六条 设备验收
新设备货系统理员合中设备清单数检查清点相关配置
第七条 设备安装调试
() 系统理员配合设备厂商系统集成商进行设备安装调试
(二) 安装完成检查误方准通电开机
(三) 设备安装完成根业务安全需求设备策略参数安全漏洞进行配置检查保障系统安全性方投入运行
第八条 设备出入库理
() 新设备验收完成系统理员根系统验收记录合容硬件设备相关资料进行登记更新设备清单
(二) 领新设备出库需进行硬件设备申领登记
第九条 设备
() 非维护员准擅机操作维护员设备进行设备维护关活动
(二) 严禁通电情况拆卸移动设备设备开停机需严格操作手册步骤进行
第十条 设备理
() 设备应贴说明标签说明设备设备名称途负责等关键信息
(二) 需建立设备清单设备清单中需详细记录设备品牌型号IP址途责重性级等信息
(三) 设备技术资料需时进行档理
(四) 应时做设备策略备份工作
第十条 设备维修
() 设备维修前需设备负责分领导说明维修原
(二) 厂商系统集成商维保期门维修设备设备负责全程陪门维修工程师做数备份保密措施
(三) 法现场维修需涉外维修设备需拆硬盘等数存储介质修复设备提前报废
(四) 硬盘等存储介质损坏进行维修直接换新介质损坏介质相关理员统保根介质安全理求定期销毁
第十二条 设备报废理
() 报废申请
1) 折旧年限已功丧失退化零部件损耗设备
2) 超强度然损耗等原造成性减化事频发法正常设备
3) 长期闲置预见未会设备
4) 软件系统更新技术进步等原设备
5) 国家规定必须报废设备
(二) 报废处理
1) 设备负责需信息技术科进行设备报废处理登记信息技术科相关负责审批签字
2) 专负责硬件设备容数进行销毁处理确认签字
3) 信息部门报废流程完根单位相关规定报财务等部门审批
附件 设备出入登记表
设备进出发起员填写
发起
负责员
进出事
协助单位
协助员
设备进出区域
□ 机房
□ :_________________
申请日期
设备进出状态
□ 进入机房
□ 迁出机房
计划实施
日期
进出紧急程度
□ 紧急
□ 普通
否需组配合
□
□ 否
设备信息登记
设备类型
□ 机
□ 网络设备
□ 软件介质
□ ( )
设备属
□ 鄞州教育局资产
□ 外部单位资产
□ 时设备(备件应急)
设备型号
数量
项目属
合编号
供电功率
电源数量
设备重量
占机柜空间
网络接入介质
□ 光纤
数量:
接入网络区域
□ 政务外网
□ 局域网
□ 网线
数量:
审核员签字意见
部门负责
鄞州教育局分领导
附件二 报废申报表 页 第 页
序号
品 名
设备编号
型号 规格
领时间
已时间(年)
原值(元)
报废原
设备
设备存放点
(单位编码)
备注
合 计
台(件)数:
金 额 数(元):
申请姓名:
联系电话:
申请时间:
某单位网络安全理办法
第条 办法规定网络理控制保证网络控制网络服务安全保障应系统信息网络传输程中安全
第二条 办法适网络架构设备安全理运行维护操作安全理
第三条 信息技术科负责信息网络安全理工作
第四条 网络建设规划理
() 网络建设规划方案设计应网络性扩展性理性前提
(二) 网络建设规划须安全需求进行分析评估充分考虑网络设备物理安全设备身安全漏洞网络边界安全入侵防护访问控制数分级保护敏感数保密等方面安全性求规划部署必网络安全防护产品
(三) 根重性安全性进行网络区域划分实现网络分级分类控制
(四) 采取必技术手段重业务数通讯提供优先服务支持保障
(五) 建立统 IP 址规划分配策略
第五条 网络联接理
() 网络安全区域模块化方式分部网络外联网络Interne网线网络应严格控制网络联通隔离针需求实施相应安全控制策略
(二) 外联网络Internet 网线网络等访问部网络应符合授权原应接入控制户认证机制
(三) 外联网络接入点应严控制须信息技术科授权许应明确外联网络边界范围识外部网络连接信息允许访问前实施适控制
(四) 原允许外员机器直接接入部网络果确需应信息技术科授权者开辟外部员专网络区域供
(五) 应严格控制类网络数分析设备确需求须审批
(六) 应重(敏感)网段进行监控整骨干网络区域进行性安全性监控时发现防止网络病毒网络攻击类黑客程序传播
(七) 存储敏感信息电脑严禁接入 Internet 网
第六条 网络配置理
() 应根设备类型制订相应安全配置理策略网络端口服务业务化原进行优化
(二) 应定期网络设备配置安全进行评估形成事踪机制
(三) 应根业务情况时维护网络设备配置信息
(四) 应制订明确配置备份策略配置更改时备份网络设备配置信息
(五) 重网络设备需开启日志功统通日志审计系统进行收集分析
第七条 网络户理
() 网络户权限控制须统理户名密码策略根总体方针安全策略中访问控制策略求进行设置
(二) 网络户须采切实行监控理审计机制
(三) 网络户权限分配变更应根业务求权限化原进行
第八条 访问控制理
() 应建立访问控制策略确保户访问明确授权业务
(二) 应网络路进行明确清晰控制确保户授权访问
(三) 网络登录监控操作均须严格户认证操作授权事件审计
(四) 应控制远程登录理明确户创建程中安全控制求
(五) 须通策略设置限制远程登录户访问范围访问权限
(六) 安全理员须定期远程登录户情况进行检查审计
第九条 网络应理
() 网络应需求分析阶段须充分考虑单位网络条件限制(带宽数加密网络规范等)选择合适网络协议网络通讯方式
(二) 应系统启(含升级)前 应提供明确网络访问控制需求明确址(包括 IP 址 MAC 址)网络协议端口网络安全保护等具体求
(三) 网络理员应建立应系统网络访问资源登记簿记录应系统网络资源(客户端址服务端址服务端端口号等)
(四) 新网络应进入网络前应进行适安全评估确保安全性
(五) 新网络应启应安全状况进行安全测评根测评结果完善优化安全策略
第十条 网络维护理
() 应建立规范网络维护流程网络配置标准操作规程
(二) 网络变更操作应根变更理制度形成变更记录形成文档档保
(三) 制订类网络障安全事件处理方法流程形成统联动处理机制
(四) 网络变更网络障处理等应详细文档应严格控制网络变更执行时间点员
(五) 网络安全设备应定期升级更新升级前备份设备策略
(六) 定期网络系统进行扫描
第十条 网络监控理
() 定期网络报警日志未授权访问配置变更户登录等信息进行监视审计
(二) 部署网络监控理软件网络设备通讯线路进行实时监控
(三) 应关键网络设备运行情况重网络线路状况进行24时监控
(四) 通日志审计系统保存完整网络日志信息确保日志信息完整性安全性
(五) 应定期检查分析网络设备日志信息检查分析结果记录形成文档
(六) 应网络设备配置日志变更障维护等资料进行时备份维护
第十二条 网络设备理
() 应建立骨干网络设备登记簿记录设备线时间维保时间障维修记录途等事项
(二) 重网络设备部署中心机房
(三) 网络设备应落实专理制订关键网络设备备份措施
(四) 业务需时开通网络设备期须时回收相关网络资源
网络系统安全运行包括三方面容:网络系统数资源安全保护二网络病毒防治理三网信息安全电子邮件四网络服务器设备升级漏洞扫描五网络服务器设备防护
数资源安全保护网络系统中存贮种数信息开展业务工作必须重数数资源破坏严重影响工作正常运行数资源安全保护手段数备份规定:
1网络应重部门数必须做季度备份
2网络系统重数时备份
3般机部门作周备份
4系统软件种应软件采磁盘光盘时备份
5数备份时必须登记备检查数备份必须正确
6严格网络户权限入网户名口令理
7备份数应保留3月
网络病毒防治
1服务器必须安装防病毒软件网网络保证台防病毒软件
2定期网络系统进行病毒检查清理
3磁盘须检查确认病毒方机
4严格控制磁盘交换外软磁盘部门外磁盘须检验认私造成病毒侵害追究事责
5加强网员职业道德教育严禁游戏盘网络玩游戏者发现严肃处理
网信息安全电子邮件
1 网络理员必须定期网坛网信息检查发现关泄漏政府机密反动言健康信息时删记录时报信息技术科
2网员收反动邮件责时报信息技术科报发现单位视情节轻重做相应处罚情节严重者单位提请刑事处罚
网络服务器设备升级漏洞扫描
1季度网络服务器设备升级补丁应根厂家提供软件进行升级补丁升级补丁前求重网络服务器设备进行备份
2定期网络服务器设备进行漏洞扫描3月次扫漏洞时修补
网络服务器设备防护
1网络服务器设备登录需户名+口令口令需字母数字特殊符号长度8位口令3月修改次
网络服务器设备(包括路器交换机认证服务器等)种密码根网络服务器设备理职责范围负责理维护泄漏
网络服务器设备类密码长度系统允许长度少8位
网络服务器设备类密码必须定期更换更换周期超60天核心网络服务器设备密码更换周期超180天
季度现网络设备服务器设备应系统日志进行汇总分析记录结果生成日志分析记录设备日志少保留1年
网络服务器设备理员工作调整具原网络服务器设备操作职时该部门负责必须时收回该员权限密码行安排重新进行密码设定
严格执行国家相关法律法规防止发生窃密泄密事件外员未单位领导批准意私外员单位网络系统作途
部门加强网络安全理检查监督旦发现问题时报相关负责信息安全负责分析指导关部门作善处理造成事责情节予必济行政处理
附:
网络安全策略
网络安全策略指保证网络提供定级安全保护必须遵守规网络安全工作核心网络安全策略仅包括技术策略安全理策略越越重安全策略具定时效性需实施中断优化调整安全技术措施安全产品应需盲目引进围绕安全策略具体需求序组织起架构动态安全防范体系网络安全策略必须基网络风险充分分析基础
网络接入条件求
l 应系统正式运行前实施安全策略求应系统提供源址(包括IP 址MAC 址)目标址(包括IP 址MAC址)应协议端口网络资源求安全保护求等信息
l 部员办公电脑应符合前端理规定
l 外员电脑原允许接入部网络果确工作需应授权应符合前端应关规定时采取登录认证技术进行检验记录
l 带离式设备网络接入必须充分保障设备线路网络安全
漏洞扫描
定期季度重服务器进行漏洞扫描扫描结果进行分析形成扫描报告必服务开放端口进行关闭限制存漏洞补丁
系统补丁
1) 补丁选择策略:
l 选择半年前发布厂商推荐稳定补丁
l 厂家推出新补丁进行适性分析优先选择相关补丁进行测试
l 时考虑设备部件微码中间件版匹配问题
2) 补丁安装原:
l 补丁安装前必须做系统备份
l 补丁安装前必须测试首先测试环境中进行测试测试通准业务环境投产业务测试误正式业务环境运行
l 维护包测试期建议少6月紧急关键补丁测试期酌情调整
l 新装重装系统必须安装符合补丁选择策略补丁
l 补丁投产时应分期备机环境进行投产序建议先备进行时间间隔应合理控制(建议二周)
运行日志理
l 网络设备必须建立运行操作日志保证日志信息完整性准确性建立检查机制
l 运行日志应包括:记录日期操作员复核员系统启联机时间联机时间完成工作容时间点错误容记录解决情况交接班记录等信息
l 网络设备出现障时应填写类障相关报告记录操作员发现户报告系统出现障障解决处理情况
l 操作员认真填写天运行日志准确记录联机批量障状况
l 运行操作日志必须包含操作复核两类签名运行操作应日检查系统运行情况检查运行操作日志填写档发现问题时处理
l 定期运行日志进行分类分析装订档建立系统运行日志日志信息长期保存备稽查
l 定期关键网络设备配置进行备份备份配置份保存份刻盘形式保存五防保险箱
某单位病毒防范安全理办法
第条 建立统病毒防范体系快速应类病毒性突发事件爆发时处置病毒带危害建立办法办法适单位信息系统服务器病毒防范理
第二条 信息技术科负责信息系统病毒防范理工作
第三条 预防理
() 构建预防防杀结合计算机病毒长效理应急处理机制全局应部署统防病毒产品实施全行统预警理
(二) 类计算机应安装指定防病毒软件启动防护功服务器设备定期更新终端设备实时进行更新
(三) 制订防病毒应急预案定期开展应急演练
第四条 检测控制理
() 应确保防病毒系统组件正常升级
(二) 防病毒理员应全面掌握辖范围防病毒系统运行状态
(三) 计算机户发现电脑遭受病毒攻击防病毒软件法正常清病毒时应立报告防病毒理员采取相应措施进行杀毒
(四) 外电子邮件外部必须交换移动存贮介质前须进行病毒检查
(五) 病毒规模爆发期间应时采取效措施防止病毒扩散消病毒隐患
(六) 造成业务影响病毒事件处理应编制报告文件说明病毒爆发原处理方法整改方法信息技术科负责汇报情况
第五条 监督检查理
() 防病毒理员须认真时做防病毒系统维护巡检监督
(二) 防病毒理员应定期分析总结防病毒系统运行情况月进行报
第六条 教育处罚
() 防病毒理员应定期计算机户进行防病毒培训介绍病毒感染途径破坏形式造成果等提高计算机户病毒认知力
(二) 类计算机员认真学计算机病毒防治知识技加强防范意识觉遵守关计算机病毒防治规定
(三) 工作严重失安装规定防病毒软件造成计算机信息系统遭受病毒侵害意输入计算机病毒蓄意危害破坏计算机信息系统行应根相关规定进行处罚
附件 病毒防范月报告表
X年X月
病毒事件发生数量
查杀病毒数量
防病毒软件否正常升级
病毒类型
影响业务病毒事件 X月X日
爆发原
处理方法
整改方法
影响业务病毒事件 X月X日
爆发原
处理方法
整改方法
某单位备份恢复理规定
第条 效防范系统风险规范数备份数恢复制度确保信息系统安全运行制定办法
第二条 办法适单位系统数备份恢复理
第三条 数备份容包括:教育局开发理程中关键业务数具体指计算机网络设备操作系统应软件系统数应数
第四条 根信息系统情况备份容种数备份方式:
() 完全备份:备份容进行整体备份
(二) 增量备份:仅备份相次备份新增加修改数
(三) 差分备份:仅备份相次完全备份新增加修改数
(四) 需备份:仅备份应系统需部分数
(五) 具体采取备份方式应够确保真实重现备份系统运行环境数
第五条 应根种数重性容量确定备份方式备份周期保留周期制定确保数安全效备份策略恢复预案具体备份恢复相关部门负责实施
第六条 计算机设备进行软件安装系统升级改造更改配置时应进行信息数设备参数完全备份应系统更新应实现数迁移转换确保历史数完整性确认误新系统数进行完全备份
第七条 数备份介质选择满足系统备份策略数备份保存求包括安全性方便性服务质量
第八条 信息备份系统须指定理建立修改理系统授权表系统授权口令相关部门进行数备份修改时应时做修改记录告理理出现离调职等情况应交接新理原系统理权限账户密码等进行重新设置
第九条 数备份理责部门加强备份介质理正确介质合理处理废弃介质备份介质应该放适保存安全环境防盗防潮防鼠害防虫咬避免高温高压磁性介质远离磁性辐射性等介质严格存取控制备份数介质进行定期检查确认备份数完整性正确性效性
第十条 出现障导致系统数确实损坏法抢救时需审核恢复预案估算损失具体操作:
() 恢复计划方案通相关部门意系统进行障操作恢复操作应影响障原追查障处理
(二) 恢复操作前相关信息系统系统理员应时场先备份现场系统数环境恢复方案求进行恢复
(三) 系统恢复应相关信息系统系统理员进行测试时进行次备份恢复情况应报告相关部门
(四) 重信息数季度进行次数全备年应少进行次备份数恢复演练做出性评估
第十条 认真做数备份文档工作完整记录备份系统配置备份数源相关信息做备份工作运行日志维护日志工作建立备份文件档案档案库详细记录备份数信息时做数备份文卷理备份应明确标识包括卷名备份时间运行环境备份等卷名统规命名系统名称—(数类型+备份方式+存储介质)备份时间序号组成
卷名命名示例
系统名称
数类型
备份方式
存储介质
备份时间
序号
ABC
0操作系统
1应软件
2应数
3
0完全备份
1增量备份
2差分备份
3需备份
4
0磁带
1光盘
2硬盘
3
YMD
XXX
注:某备份资料问卷理中记录信息:
() 卷名:办公动化22120140902001(表示备份资料:办公动化应数差分备份方式备份光盘备份时间2014年9月2日序号001)
(二) 运行环境包括操作系统名称版号数库名称版号等
(三) 备份部门名称备份姓名重备份数备份原少应保留两份拷贝份现保存保证数正常快速恢复数查询份现外保存避免发生灾难数法恢复
第十二条 应加强数备份理工作考核力度建立相应理规定未严格遵守规定造成备份系统发生障数丢失泄露导致信息系统法正常运行信息技术科应评估造成损失明确事原责信息安全惩戒理规定相关规定进行处理处理情况防范措施反映数备份报告中需时填写信息安全事件报告
附件 数备份恢复核查记录
核查时间: 核查:
备份理系统名称: 服务器名IP址:
备份理方式
备份象
数源设备名IP址
备份目
备份模式
备份周期
策略状态
新成功日期
数恢复验证
某单位网站运行维护理办法
第条 保证网站高速安全运行特制定办法
第二条 适网站运行维护程中涉安全理活动
第三条 信息技术科规定口理部门负责规定修订解释说明协调实施工作
第四条 系统理员负责网站日常更新维护工作确保网络运行通畅安全
网站信息发布理
第五条 部门发布信息资料部门负责系统理员初审关审定网站发布更新教育局网站实行网站容监督机制系统理员周两次(周二周四视实际情况调整)检查网站日更新容做相应日志旦发现异常情况危害网站安全情形时应立相关领导联系时相应版进行处理确保网站运行安全做日志记录
第六条 部门求常网查阅相关栏目时准确发布信息部门需保证负责相应容准确性时效性常规性容负责部门需月检查否现状相符
网站安全保密理
第七条 网站容必须遵守相关法律法规
第八条 网站安全涉网络保密理工作板块负责部门进行检查监督确保部门更新容安全
第九条 网站户登录名登录密码等应妥善保定期根情况更新账号密码转告泄漏予授权进行资料更新
第十条 系统理员发现危害信息应发现时立通知相关负责协调予解决:
() 违反宪法确定基原
(二) 危害国家安全泄漏国家机密颠覆国家政权破坏国家统
(三) 损害国家荣誉利益
(四) 煽动民族仇恨民族歧视破坏民族团结
(五) 破坏国家宗教政策宣扬邪教封建迷信
(六) 散布谣言扰乱社会秩序破坏社会稳定
(七) 散布淫秽色情赌博暴力恐怖者教唆犯罪
(八) 侮辱者诽谤侵害合法权益
(九) 煽动非法集会结社游行示威聚众扰乱社会秩序
(十) 非法民间组织名义活动
(十) 违反单位相关制度
(十二) 含法律行政法规禁止容
第十条 员事列危害网站安全活动:
() 窃取网站理账号密码
(二) 未允许网站功进行删修改者增加
(三) 未允许网站中存储处理者传输数应程序进行删修改者增加
(四) 通特网局域网恶意攻击网站导致网站正常运行
(五) 危害网站安全
第十二条 违反安全保密法规泄露单位秘密追究相关员责
某单位信息系统变更理办法
第条 规范信息系统问题变更理时准确处理信息系统问题变更保障单位计算机系统稳定高效安全运行特制定办法
第二条 办法称变更指业务系统业务环境作计划改动包括应程序更新软件缺陷修正业务数修改业务系统软硬件环境调整网络通信环境变化等
职责分工
第三条 信息技术科变更理职责
() 负责信息系统变更理审核工作
(二) 拟定信息系统变更理制度规定
(三) 负责变更项目方案编写证审核实施包括机系统网络业务数信息运行环境应软件等
(四) 业务部门提供变更技术支持
(五) 外部维护员操作信息系统变更情况进行检查核实
第四条 相关业务部门变更理职责
() 负责业务系统相关变更申请变更前审核工作
(二) 负责业务相关变更项目测试变更验证确认工作
(三) 时反映变更程中出现情况需解决问题
(四) 积极采取措施减少非正常数变更申请
变更分类
第五条 根变更身风险程度业务连续运行影响程度变更分常规变更般变更重变更重变更
第六条 常规变更指涉业务系统数运行环境规定操作指令预先确定脚业务系统数运行环境进行设置调整纠错等日常性事务性维护性变更
第七条 般变更指涉业务系统非关键数信息运行环境没业务运行连续性风险非常规变更通常业务环境改变单点者局部(网络端口开通外围系统环境恢复等)
第八条 重变更指涉业务系统非关键数信息运行环境具业务运行连续性风险变更相关联数信息调整全局性参数设置数库性参数优化运行操作规程调整业务网络运行性参数调整应程序缺陷修正系统投产局部冷热备系统启进入Ⅲ级应急计算机信息系统突发事件处置事项等
第九条 重变更指涉关键性数改变数变更新系统网络拓扑环境改变等变更
变更申请
第十条 业务信息部门发起变更申请应根变更事项填写变更申请表部门负责进行审批
() 业务数变更(维护)业务部门提出申请系统理员进行审核
(二) 业务环境变更(维护)外部维护员系统理员提出申请分领导进行审核涉业务数系统运行连续性影响须相关业务理部门审核验证
第十条 系统技术原引起变更业务运行检查维护等需变更信息科发起涉业务数系统运行连续性影响必须相关业务理部门确认验证
第十二条 业务数变更(维护)申请应业务部门进行审核审批信息技术科负责实施业务数变更(维护)应报应业务部门负责审批确认方办理
第十三条 特殊情况变更电话直接分领导报告说明原批准先进行变更操作补充变更申请表
变更受理
第十四条 信息技术科接变更申请表必须变更申请容进行审核检查素否完备
第十五条 变更申请正式受理信息技术科编号确定变更实施员
第十六条 信息技术科根变更类型处理变更申请中:
() 常规变更:直接转入变更实施环节
(二) 般变更:编制配备变更策略说明文件脚明确变更实施员转入信息技术科变更审批环节
(三) 重变更:制定变更实施方案(实施方案包含变更实施员变更具体实施步骤容拟变更实施日期时间变更中相关部门需配合确认工作)转入信息技术科变更审批环节
(四) 重变更:制定变更实施方案(实施方案计划般容外须包含变更影响范围否影响系统业务连续运行评估变更回退方案)转入信息技术科变更审批环节
变更实施
第十七条 外部维护员承担变更实施工作需严格审批变更方案容实施变更操作操作程进行记录变更完系统理员进行核实
第十八条 具备测试条件变更事项变更实施前测试环境进行严格完整模拟测试
第十九条 变更实施批准信息技术科应实施前通知参变更审批流程相关部门
第二十条 重变更重变更实施程必须双办理操作现场监督复核
第二十条 变更实施程中某种原导致变更失败必须终批准变更系统理员分领导决定否启动回退方案
变更反馈分析
第二十二条 影响业务变更实施完成信息技术科时业务部门反馈变更实施情况
第二十三条 信息技术科必须定期收集踪类变更执行情况特重变更频繁发生变更进行分析积累变更实施验防范变更操作风险
附件 配置设备变更记录
编号:
变更体
变更日期
操作员
批准
变更题
变更原
变更容操作方法
完成结果
备
注
某单位信息安全惩戒理规定
第条 违反信息安全方针标准行根违反程度(造成果)进行行政济处罚特制定规定
第二条 规定适信息安全惩戒理控制适象全局员包括外部维护员
第三条 局员外部维护员屡次违背局安全策略安全理规定求进行违背安全策略操作信息技术科立刻解信息资源访问权限特权报单位领导
第四条 意制造传播病毒电子邮件炸弹等黑客攻击手段攻击信息系统包括篡改删信息系统数程序相关配置等行造成重影响发现查实严重处理责者违反国家法律法追究法律责
第五条 外部维护员违背局安全策略程序进行安全破坏相关法规业务合规定惩戒直追究济法律责
某单位第三方访问理程序
第条 规范第三方员组织单位物理访问逻辑访问做单位信息系统安全防护工作特制定理程序
第二条 理程序适单位网络应系统数库逻辑访问物理访问机房理规定实行
第三条 第三方访问指单位外组织员单位信息系统逻辑访问
第四条 第三方访问包括网络访问数库访问信息系统访问
第五条 第三方访问前应第三方访问导致风险进行评估采取适控制措施(:授权签署保密协议等)维护第三方访问单位信息处理设施信息资产安全评估意见填写第三方访问申请授权表
第六条 第三方授权方式包括签订协议时访问授权两种方式
() 单位建立长期业务合作关系需常单位工作第三方长期逻辑访问单位信息系统第三方责部门应签订保密协议规定单位活动场范围时间员资格求违反安全规定协议须承担法律赔偿责等必时工作员进行资格审查
(二) 果属时业务工作需第三方访问采时授权方式时授权操作时需单位员旁监督进行
第七条 第三方访问单位网络数库信息系统时需书面授权
第八条 访问敏感信息须第三方员特权户时应信息部门负责批准
第九条 授权程序
() 第三方访问前第三方需申请账号应填写第三方访问申请授权表
(二) 第三方访问申请授权表应明确规定访问类型时间权限
(三) 授权理部门(信息技术科)应访者身份访问类型访问导致风险进行风险等级评估采取相应控制措施
(四) 申请部门单位接获授权外员进行信息安全教育访问授权范围进行控制
附件 第三方访问申请授权表
记录表式号: 记录序号:
申请
申请日期
授权信息
○正式员工
○实生 ○第三方员
○
姓名
联系方式
工作单位
申请期间
开始 结束
申请原
备注
审核意见
签名:
日期: 年 月 日
批准意见
签名:
日期: 年 月 日
某单位信息项目理规定
第条 提升项目理力保障信息系统项目建设推动业务发展促进信息系统项目理工作规范化特制定规定
第二条 规定适范围包括项目立项启动计划实施监控收尾等理程
职责权限
信息技术科信息系统项目部门负责信息系统项目理工作职责包括:
第三条 负责信息系统需求实施行性分析评估组织项目实施方案
第四条 负责牵头项目立项工作负责进行项目报批报备工作
第五条 负责项目实施务技术组织落实理工作
第六条 制定项目建信息系统线工作方案部署运行工作
第七条 负责项目监控定期编制项目报告
第八条 负责技术验收项目相关文档理协助需求部门完成项目评估
项目立项
第九条 需求部门前期准备确定需求目标范围编写需求说明书明确需求必性合理性重性行性等相关领导提交
第十条 组织员项目需求进行评估
第十条 拟定项目实施初步方案包括制定项目计划编制项目预算表识潜风险
第十二条 确定项目前期技术业务联系
第十三条 准备项目申报材料完成项目报批报备流程报批报备材料般包括限
() 项目立项申请表
(二) 项目实施方案(包括项目计划项目组织架构资源情况等)
(三) 需求说明书
(四) 技术方案
(五) 预算编制表
(六) 项目关文档项目分析报告(行性必性分析)项目涉业务挂规定项目审批意见该项目相关前期项目总结报告重会议纪等
(七) 项目需求部门发起项目预算申请
项目计划
第十四条 细化项目实施方案包括细化项目范围说明书制定具体项目进度计划资源配置计划重里程碑等
第十五条 细化技术实施方案编写项目理计划
项目实施
第十六条 落实项目计划实施完成项目涉信息系统设计开发测试设备部署 系统投入维护工作
第十七条 理项目进程作项目实施程中信息发布报告
第十八条 需求部门应积极配合项目实施工作包括业务需求解释业务问题协调需求变更审核户验收测试确认项目实施结果部署方案等工作
项目监控
第十九条 项目监控项目计划确定范围时间费资源质量风险等目标进行监测识纠正问题偏差控制出现变更项目计划推进
第二十条 项目监控程中项目组应时识风险踪已识信息科技项目风险检测剩余风险配合风险理等工作开展
第二十条 项目组时收集项目信息月编制项目报告项目相关部门汇报项目状态进展项目报告中包括该周期项目完成工作周期项目计划项目里程碑完成情况项目重问题列表等
项目收尾
第二十二条 项目收尾包括结束项目相关活动般包括项目费决算项目评估项目文档整理档项目关闭等工作
第二十三条 项目完工项目相关文档应整理档妥善保存项目文档包括限
() 项目立项申请文档业务需求文档项目实施方案项目预算编制表项目分析报告项目涉业务理规定规定等
(二) 项目商务文档询价文档招投标文档合等
(三) 项目实施文档概设计详细设计技术方案操作手册测试文档等
(四) 项目理文档包括项目评估报告会议纪等
第二十四条 项目相关活动全部结束项目组编写项目总结报告进行项目关闭项目关闭须业务部门项目部门确认
某单位消防理制度
做单位消防工作确保工作员身生命财产安全落实消防工作防防消结合基原应付突发火灾事特制定预案:
组织机构
单位领导总负责组建灭火应急疏散组织机构灭火行动组通信联络组疏散引导组安全防护救护组组成具体分工:
1灭火行动组:灭火行动组负责单位般初级火灾扑救工作
2通信联络组:负责通信联络部门统协调
3疏散引导组:负责火灾时员安全疏散财产安全转移
4安全防护救护组:负责火灾时车辆医疗救护等勤保障工作
二报警接处警程序
1报警监控中心必须配备火警电话值班员坚守工作岗位单位重点害部位进行全方位24时监控
2监控中心收监控区火警信号火警电话应立讲机通知值班员巡逻员赶赴现场电话通知值班领导
3值班室必须配备必救灾设施值班员赶赴现场未发生火灾应查明警示信号报警原做详细记录
4火灾发生应根火情立拨119报告消防队信息反馈监控报警中心时进行灭火疏散工作
5监控中心根火灾情况调集关员启动灭火应急预案
三应急疏散组织程序措施
1灭火应急疏散预案利进行保卫科应加强日常性检查确保消防通道畅通
2公聚集场( 员相集中场)应保持消防通道畅通出入口明显标志消防通道安全门锁闭疏散路线明显引导图例
3火灾发生时疏散引导员应迅速赶赴火场利应急广播指挥群组织疏散
4疏散路线量简捷安排走道应设疏散指示
5疏散引导组工作员分工明确统指挥
四扑救般初级火灾程序措施
1火灾发生时沉着冷静采适方法组织灭火疏散
2立扑灭火灾抓住战机迅速消灭
3立扑灭火灾先控制火势蔓延开展全面扑救
4火灾扑救服火场时指挥员统指挥分工明确密切配合
5消防员赶时指挥员应火场现场情况报告消防员服消防员统指挥配合消防队实施灭火疏散工作
6火灾扑救完毕保卫部门积极协助公安消防部门调查火灾原落实三放原处理火灾事
五通信联络安全防护救护程序措施
1参加灭火应急疏散工作工作员应开通信工具确保通讯畅通服通信联络组长调遣
2救灾组成员应火场命
3医务室员现场时救治火场受伤员必时方医院联系救治工作
4应调集车辆确保交通畅通
5指定专抢救转移物资进行登记保火灾损失情况协关部门进行清理登记
六日常工作:
1落实消防责制宣传消防知识提高员工消防意识
2年应保证12次消防演
3定期检查维护消防设施
某单位软件理办法
第条 指导信息系统建设安全理加强软件理效控制技术风险促进信息系统规范化标准化建设特制定办法
第二条 办法适类软件系统开发理
职责权限
第三条 信息技术科信息系统职理部门负责信息系统需软件统规划开发修改采购培训升级维护理保障软件信息系统中安全运行提供软件中技术支持
软件理
第四条 软件安装(含更新安装)软件存储介质拷贝必须交信息技术科统登记保存
第五条 严格执行软件版理分发流程防止软件盗误流失越权
第六条 软件设计方案数结构加密算法源代码等技术资料严禁散失外泄
软件开发
第七条 软件开发指根业务需进行应软件开发根业务变化进行应软件修改视软件开发
第八条 软件总体设计时应根应软件实际途步进行安全保密设计
第九条 软件开发程中应步完成相关文档手册编写工作保证相关资料完整性准确性
第十条 软件外包开发开发商签订服务协议中软件风险条款明确权责义务确定补偿措施限额保障双方合法权益
第十条 开发环境必须业务环境相隔离
第十二条 软件开发完成项目组进行测试试运行信息技术科领导提请验收通
第十三条 信息技术科组织相关技术专家业务部门进行项目验收出评审意见报请验收通
软件
第十四条 标准化软件购买测试试运行确认安全线运行
第十五条 外包开发软件正式投入前必须部评审确认软件功性安全性均满足相关标准业务求技术文档完备
第十六条 必须严格完备测试试运行应软件正式线运行
第十七条 正确评估软件线风险做相应应急备份计划
第十八条 软件员前接受操作培训安全教育
第十九条 软件应遵循功原权限策略关闭必服务端口
第二十条 标准化软件应充分测试前提时安装补丁程序
第二十条 标准化软件采购外包软件开发均需合中约定期服务容包括软件功升级版修改变更配置更改项目理员负责
第二十二条 外包开发软件功性升级变更配置更改严格日常维护操作流程执行根业务需求进行软件升级修改软件开发程理
某单位帐户权限口令理规定
总
第条 保障某单位(简称教育局)信息系统运行构建安全IT运维环境明确理职责规范操作行信息安全工作理规定特制定理办法
第二条 运维组安全理岗负责账户权限关系表维护工作保证时更新部门负责负责审核完整性准确性
第三条 理办法适运维组
账号理
第四条 运维组负责业务环境中类网络机数库等系统账户权限理业务应系统账户权限操作
第五条 运维组应专负责账户权限理工作工作范围包括踪类账户权限分配变更相关口令理相关文档进行维护
第六条 设备机应系统开放端口账户应完成正常工作必需开放建立新系统线前计算机系统运行环境进行清理简化清必账户关闭必端口
第七条 系统设备线时供应商安装部署完毕账户口令应交运维组相关岗位接接应立验证修改缺省账户口令
第八条 特权户账户应量避免直接拥超级户权限理员应建立普通账户日常维护日常工作应分权限设置级账户(查询账户审计账户维护账户等)操作账户登录操作
第九条 业务环境关键系统(包括业务台电子政务外网系统)应建立账户权限应关系表该关系表应权限理相关负责妥善维护
第十条 严禁账户登录系统系统理员应时调整岗位变更员账户权限更新应关系表工作户建立明细防止通闲置账户进入系统
权限理
权限申请
第十条 权限申请授予遵循授权原授予权限完成务必需权限获取权限时必须承担相应责权限者应包括口令丢失误操作等行承担责
第十二条 权限申请流程:
() 账户权限申请填写权限申请表(参附件)
(二) 运维组业务部门相关负责审批申请表确定申请权限必权限
(三) 审批通权限账户理相关员时更新应关系表
(四) 相关系统理员严格权限申请表设置相应权限
权限
第十三条 避免受限制权限降低误操作率系统类权限应进行分级理时操作审计开发测试等职责应进行分离
第十四条 默认没启动审计系统线时需手工开审计功
第十五条 核心系统业务操作应产生审计记录审计记录应包括时间发起者类型描述结果采取措施控制审计权限保护审计记录安全
第十六条 运维操作应采取恰认证措施产生审计记录
第十七条 岗位必须账户权限应关系表权限分配落实岗位负责设备机应系统应账户口令理
权限废止
第十八条 员工岗位发生变更需时修改应系统账户权限必时重新流程申请新权限
第十九条 权限调整流程:
() 员工岗位变更者离职时局办公室正式通知运维组相关负责
(二) 权限理员根局相关流程进行系统权限调整
(三) 权限理员应时更新账户权限关系表
口令理
第二十条 口令设置应遵守列规定:
() 业务系统账户必须设置口令
(二) 口令必须容易猜出禁止字典中存单词包含户账户组合规律数字 (123456)
(三) 口令应满足定复杂度果系统支持口令应少8位特权账户口令应少12位口令应写字母数字特殊字符组合
(四) 果系统支持设置口令时应强制高强度口令
(五) 果系统支持口令输入时应显示
(六) 果系统口令历史记录功应启限定6月口令重
第二十条 口令保存应遵守列规定:
() 明文口令禁止保存未加保护容易接触介质中应采取安全物理保护措施
(二) 口令应安全提供户禁止未加保护传输方式明文邮件等传输户口令
(三) 数库户口令读形式贮存批处理文件动登录脚软件宏(Macro)终端功键严格访问控制计算机中未授权员访问位置 (四级求)
(四) 口令形式写相关设备附
第二十二条 口令应遵守列规定:
() 工作员口令(PC机口令)理业务系统口令(机设备应系统口令)必须严格区应避免相口令业务系统口令
(二) 未授权口令泄露
第二十三条 口令修改应遵守列规定:
() 重系统账户口令少三月更新次
(二) 员特权户口令责岗位必须立修改口令果怀疑知道口令已泄露应立更改
监督审计
第二十四条 安全理岗负责监督理办法落实情况违反理办法执行力行应提出整改意见求限期纠改踪落实情况
附
第二十五条 规范运维组制定负责解释修订
第二十六条 规范发布日起执行
附件 权限申请表
权限申请表
申请资料
姓名 _________________________ 部门岗位:________________________________
日期:_________________________
申请容
相关责签字更新记录
□ 签字: ________________ 日期: _________________
相关系统理员设置权限
□ 设置完成
□ 情况备注:_______________________________________________________________
签字: ______________________________ 日期: ____________________________
签字: ______________________________ 日期: ____________________________
签字: ______________________________ 日期: ____________________________
相关责审核
□ 审核通
签字: ____________________________ 日期: ____________________________
附件二 账户权限关系表
网络权限
权限
角色名
角色ID
岗位
户
理资源(概)
认证方式Group
备注
理员
读
机权限
权限
角色名
角色ID
岗位
户
理资源(概)
认证方式Group
备注
理员
部分操作
网监控安全应权限
权限
角色名
角色ID
岗位
户
理资源(概)
认证方式Group
备注
理员
读
监控员
某单位项目测试验收理办法
第条 规范单位项目测试理工作提高测试工作效率质量促进应开发更业务发展服务特制定办法
第二条 办法适单位信息系统建设项目测试验收工作
测试计划
第三条 项目实施单位编写项目测试计划测试计划应考虑测试目标风险范围测试方案进度力资源安排等中测试方案应明确测试容测试重点数准备测试方法等
第四条 项目理员应组织项目测试计划进行评审涉业务部门评审方应包括业务部门
第五条 项目实施单位负责根评审意见修订项目测试计划提交通评审项目测试计划评审表中签字确认
测试程
第六条 项目实施员项目实施方案招标文件业务需求说明书系统规格说明书项目测试计划编写测试方案测试方案范围覆盖业务功点风险点
第七条 项目理员组织员测试方案进行评审评审员包括:信息部门需求部门实施单位项目组成员
第八条 项目实施单位根评审意见修订测试纲提交通评审方测试方案签字确认实施
测试执行
第九条 项目理员负责监督测试定期检查测试进度适时调整测试时间计划测试员负责编写测试报告根测试步骤记录测试结果
第十条 测试结果预期结果符确认缺陷测试员应时提交缺陷报告持续踪直关闭
第十条 项目理员审核缺陷报告确保缺陷信息描述准确清晰
第十二条 测试收尾阶段项目理员应检查缺陷状态业务需求部门项目组确认作残留缺陷外缺陷终记录均应关闭残留缺陷确认标准:
() 开发方明确回复补丁中版中修改非严重缺陷记录
(二) 非项目问题属项目素造成项目周期闭环缺陷记录
测试总结验收
第十三条 测试执行完成项目理员负责收集整理项测试资料组织编写项目测试报告
第十四条 项目测试报告容包括:项目名称编号测试程简述测试结果结
第十五条 项目测试报告提交相关需求部门审核进行户业务验收确认符合业务求召开项目验收会议验收通部门负责领导项目测试报告签字确认项目实施单位提交验收清单包括设备清单类开发文档等
第十六条 项目实施单位负责编制操作手册需求部门系统维护员根合求进行培训
文档理
第十七条 类测试文档理包括文档资料收集整理分类档全程文档
第十八条 文档资料纸质电子形式项目理员理档
第十九条 测试程文档资料容包括:测试计划测试方案项目测试计划评审表测试明细案例项目测试报告操作手册业务文件会议纪等
第二十条 业务测试文档理必须符合相关保密求
某单位信息系统应急响应理规定
总
第条 策略目标:加强某单位(简称单位)信息安全保障力建立健全单位安全理体系提高整体网络信息安全水保证业务系统正常运营提高网络服务质量单位安全体系框架策略加强单位针系统发生严重重安全事件时启应急响应力提高单位网络业务系统持续效运行力
第二条 适范围:预案指网络信息系统重性根政府安全业务开展重程度遭破坏危害程度确定预案启动政府网络信息安全应急预案预案相突预案执行法律法规规章规定规定
第三条 员角色职责:策略适单位安全理员系统理员
组织职责
第四条 单位应急指挥组单位信息安全领导组单位业务部门负责组成负责重安全事件应急指挥决策
第五条 单位应急技术组信息部门专职技术员部门信息安全理员组成负责重安全事件中技术问题处理解决
第六条 快速反应通道指单位级应急响应组织业务系统产品厂商集成商专业安全厂商负责具体设备系统安全问题处理解决
工作原
第七条 工作原
()预防综合防范立足安全防护加强预警重点保护基础信息网络重信息系统完善风险预警报告机制降低突发事件发生概率
(二)明确责协调配合谁谁负责谁运营谁负责原建立完善安全责制协调理机制根部门职司职加强部门间协调配合形成合力履行应急处置工作理职责
(三)快速反应基础网络信息安全突发事件发生时快速反应机制时获取充分准确信息踪研判果断决策迅速处置程度减少危害影响
(四)科学持续改进加强技术储备规范应急处置措施操作流程实现网络信息安全突发事件应急处置工作科学化程序化规范化树立常备懈观念定期定期进行预案演练确保应急预案切实行
安全求
第八条 单位业务系统必须制定详细业务应急计划信息技术科进行备案
第九条 单位业务系统应急措施制定严格确保业务系统性采短时间够恢复系统措施优先应急措施
第十条 单位业务系统应制定详细应急响应流程整流程包括安全事件发现报告事件分析协调处理总结奖惩等容
应急预案框架
第十条 事件分类
信息系统突发事件事件现象分三类:系统异常应异常数异常
()系统异常指单位计算机信息系统系统硬件系统软件通讯链路基础设施等障导致系统中断系统性幅降突发事件
(二)应异常指信息系统部门应软件障等导致业务中断法正常开展突发事件
(三)数异常指数丢失者篡改等原造成数完整性致性受损导致业务中断法正常开展突发事件
第十二条 分级分类
网络信息系统突发事件影响业务类持续时间等数分三级:I级(重)II级(较)III级(般)
()I级(重):重网络信息系统规模瘫痪影响工作时间超3时突发事件影响单位正常营活动
(二)II级(较):重网络信息系统造成较规模瘫痪影响工作时间超2时突发事件尚未直接影响单位正常营活动
(三)III级(般):某部门网络信息系统瘫痪影响工作时间1时突发事件影响单位正常业务开展
第十三条 组织体系
发生Ⅰ级Ⅱ级网络信息系统突发事件单位信息安全领导组转网络信息系统应急协调组单位网络信息系统应急处置组织协调机构信息系统应急协调组组长副组长信息化分局长信息技术科科长分担成员部门负责具体责部门信息技术科
第十四条 预防预警
早发现早报告早处置原加强网络信息系统突发事件引发突发事件关信息收集分析判断持续监测发生突发事件时事发部门应时信息系统应急协调组报告迟超1时
第十五条 先期处置
发生网络信息系统突发事件时应应急预案作突发事件应急处置时事件等级分类响应流程进行应急响应加强部门间协调配合快速效处理突发事件
第十六条 应急流程
()发生突发事件该部门应急处置联络应半时通知受影响业务关联部门单位
(二)相关方分寻找障原确认障方解决问题
(三)事部门应急处置联络应障处理进展情况时通报直障处理结束
中III级事件需局领导时汇报处理突发事件进展情况直障处理结束
第十七条 应急操作
()发生信息系统突发事件时操作员(事)应严格关规定迅速进行现场分析处理
1.发现异味火花等应立关机切断相关电源查明原消障方开电源继续操作
2.属简单障应时予现场处理
3.操作员(事)法处理处理握障较复杂严重难弄清时属第III类范围事件应保护现场迅速部门员取联系分析原时作出处理
(二)部门员法处理处理握时事件升级II类应时记录关情况已采取措施等迅速信息系统应急协调组责部门—信息技术科取联系取应急支持
信息技术科获知机部门计算机系统发生异常障时应迅速作出响应
(三)问题较复杂时难握处理涉面较较严重需协调初步判断属III级事件必须时情况报告应急协调组组长听取处理指示
(四)现场应急维修维护工作须机部门技术支撑部门少双汇进行
(五)计算机系统障异常发生时机部门操作员(事)处理员应障发生情况处理办法作时记录填写障报告表
(六)应急障电话:
1 网络障维护电话:
区政府信息中心:87523306
2 局信息维护部门热线:
信息技术科:87525686
第十八条 应急结束
网络信息系统突发事件应急处置效控制恢复正常运行应急结束应急处理联络应应急预案规定通知报告程序通知相关部门相关业务部门单位应急终止
第十九条 善处理
应急处置工作结束迅速采取措施抓紧组织抢修受损基础设施减少损失快恢复正常工作统计种数查明原事件造成损失影响恢复重建力进行分析评估认真制定恢复重建计划迅速组织实施
第二十条 调查评估
应急处置工作结束协调组事件发生处置程进行全面调查查清事件发生原财产损失情况总结验教训
保障措施
第二十条 通信信息保障
加强应急通信装备准备建立备份系统紧急保障措施形成跨区域手段路线线相结合反应快速稳定通信系统
第二十二条 应急装备保障
建立信息网络硬件软件应急救援设备等应急物资库网络信息安全突发事件发生时协调组办公室负责统调
第二十三条 数保障
重信息系统均应建立异容灾备份系统相关工作机制保证重数受破坏紧急恢复容灾备份系统应具定兼容性特殊情况系统间互备份
第二十四条 应急队伍保障
专求建立网络信息安全应急保障队伍协调组办公室选择干国家关部门资质认理规范服务力较强单位作网络信息安全应急支援单位提供技术支持服务
第二十五条 费保障
网络信息系统突发事件应急处置资金应列入单位年度预算
第二十六条 宣传培训
充分利政府外网络媒体资源加强网络信息安全等方面知识培训提高防范意识技开展预防预警救互救等知识宣讲活动普应急救援基知识提高员工防范意识应急处置力
第二十七条 演练
建立应急预案定期者定期演练制度通演练发现应急工作体系工作机制存问题断完善应急预案提高应急处置力
某单位信息系统建设理办法
系统规划立项
第条 职部门进行信息系统建设项目立项申请程中应信息系统安全等级保护工作组项目提出安全建议
第二条 根项目立项中项目立项申请立项证立项评估立项审批四程序应结合单位类安全理技术规范
第三条 职部门进行项目立项申请时提交项目立项建议书等相关资料中应增加安全方面资料:
2 系统安全需求分析说明书
3 系统安全功说明书
4 系统中采安全设备性指标参数
第四条 提交立项申请项目进行项目立项证评估程中应包括项目安全建设证评估
第五条 项目安全性证项目安全需求分析安全功说明安全设备性指标技术方案技术行性进行总体分析审计
第六条 项目立项证评估程中信息技术科负责项目安全性建设技术部分证评估
第七条 提交项目立项申请时应技术方案中增加安全方面说明文档容包括:
1 根某单位安全规范中求系统建设程中进行安全部署说明
2 根某单位安全规范中求系统建设程中法实现安全部署说明证
3 系统建设程中具体安全功安全功实现方法技术
4 系统建设程中采安全设备品牌型号性指标说明业务系统影响分析
第八条 信息系统项目安全性证评估关注方面容:
1 项目建设中网络规划中安全域划分网络冗余网络传输安全网络访问控制网络边界安全远程访问安全
2 项目建设中系统性容量系统业务兼容性
3 项目建设中应系统中身份验证角色访问控制数加密备份日志审计等安全功
4 项目建设中应系统否门漏洞安全隐患
系统开发
第九条 应系统开发应该根理目标容规模性质等具体情况系统观点出发运系统工程方法
第十条 应开发应总体规划确立开发方案实施步骤时间进度费预算员安排等事项
第十条 某单位总体安排部署信息技术科承担相应信息系统开发务委托第三方开发务相应技术济证报安全审核批准立项进行开发委托开发
第十二条 委托开发需委托方订立合委托协议委托单位相关员资质进行审查应系统开发应遵循国家标准开发规范开发环境必须实际运行环境物理分开
第十三条 开发完成时移交程序源代码相关技术文档关键安全技术措施核心安全功设计进行公开发表
第十四条 开发范围
1 服务器等重设备系统配置底层软件安装调试运行外购软件环境设置
2 总体理信息系统涉子系统调研行性分析功定义框架设计程序编制调试试反馈完善验收等阶段开发工作
3 级部门协作交流进行项目研究开发
4 工作关开发务
第十五条 应系统开发分析阶段
1 原系统状况存问题进行详细解分析
2 根户提出建立新系统求进行初步调查初步行性分析提出系统总体规划
3 信息部门批准系统行开展开发工作原系统进行深入详细调查彻底掌握原系统模型:绘制系统业务流程图组织结构图
4 详细调查基础提出新系统逻辑模型进行需求分析:绘制系统数流程图进行数分析进行功分析
5 编写系统方案说明书分析需设备投资技术求开发时间等提交户理员专家进行讨安全审核批准
第十六条 应系统开发设计阶段
1 系统总体设计包括系统总体结构设计数库设计计算机网络系统配置方案设计
2 系统详细设计包括代码设计户界面设计计算机处理程设计
3 编写系统设计说明书(系统设计报告)全面准确清楚阐明系统实施程中具体应采取手段方法技术响应环境求
第十七条 应系统开发实施阶段
1 做系统实施准备工作购置安装必硬件设备购置系统软件应软件包培训操作员数存储等
2 程序设计
3 系统测试
4 系统初始化转换
第十八条 应系统开发理维护阶段
1 系统投入运行进行系统评价
2 保障系统正常运行着环境断改善提高系统始终处正确工作状态进行系统数库维护
系统废止
第十九条 新系统投入应建立相应操作规程安全理规定具体容详见信息系统运行安全理部分
第二十条 系统相关理规定具体容详见信息系统运行安全理某单位机房设备理规定部分
第二十条 信息系统废止更新实行审批备案善处理
第二十二条 信息系统转移终止废弃时应正确处理系统敏感信息根终止信息系统存储介质清单识载重信息存储介质处位置前状态等列出需清销毁存储介质清单
第二十三条 改进技术转变业务新信息系统信息系统终止处理程中应确保信息转移设备迁移介质销毁等方面安全
第二十四条 果采销毁手段应确保介质销毁效行销毁时根存储介质处理方案存储介质进行处理记录处理程包括参员处理方式否残余信息检查结果等
系统投入运行审批流程
第二十五条 信息系统正式投入运行前应请相关安全部门专家信息系统安全性进行证
第二十六条 某单位进行审批安全批准系统正式投入运行
某单位信息系统运行理办法
系统运行理基求
第条 保障信息系统安全运行信息安全理机构必须组织编写相关理规范制度般制度少应包括(包含仅限)容:
1 中心机房理规定
2 信息安全运维员理规定
3 信息资产理相关制度
4 网络安全理相关制度
5 防病毒安全理规定
6 终端安全理规定
7 帐户权限口令理规定
8 外员理规定
9 安全事件报告制度流程
10 应急响应计划
系统运行台安全理
第二条 保障信息系统安全运行信息安全理机构必须组织编写相关安全操作规程般理规范少应包括(包含仅限)容
1 操作系统安全配置理规范
2 网络设备安全配置理规范
3 安全设备配置理规范
4 数库安全配置理规范
5 数备份恢复策略方法流程
安全理规定策略制订发布更新废止
第三条 安全理规定策略 必须正式文件形式发布施行
第四条 安全理规定策略 某单位制订某单位信息系统安全等级保护工作组审批发布
第五条 安全理规定策略 发布必信息部门应召集相关员学安全
第六条 策略详细讲解规章制度容解答疑问
第七条 安全理规定策略 修订需正式文件形式重新发布施行修订策略需相应层次理部门审批
第八条 签署发布规章制度必须标明该规章制度施行日期
第九条 安全理规定策略修改废止 必须定期安全策略进行评审中适欠缺条款时进行修改补充已适信息安全制度规定应时废止
第十条 现行安全理规定策略列情形时必须时修改:
4 发生重安全事件暴露出安全策略存漏洞缺陷时
5 组织机构实际运行环境进行重调整变更
6 事项两规章制度中规定致
7 级部门安全策略相抵触
8 需修改安全策略情形
第十条 现行安全理规定策略列情形时必须时予废止:
1 关信息安全制度规定废止该信息安全制度规定失某单位现行层策略相抵触
2 已规定事项已执行完毕没存必
3 已新规章制度代
第十二条 信息部门安全理规定策略修改废止须某单位领导组审批确认信息部门备案
第十三条 安全理规定策略发布实施部门应安全理规定策略贯彻执行执行中存问题规章制度修改废止意见建议等情况进行检查监督意见建议时反馈信息部门
第十四条 保障项信息安全理规定贯彻落实信息部门必须定期检查安全理规定策略落实情况信息安全理规定落实情况检查信息安全检查工作重容
第十五条 信息安全检查工作结束起草检查报告时必须通报安全理规定策略落实情况执行力行必须提出整改意见限期纠改继续追踪落实情况
第十六条 安全理规定策略落实做出显著成绩部门应予表彰奖励违反规章制度造成严重果部门应追究事责
重安全事件处理
第十七条 某单位信息安全事件指针TCPIP网络中然灾害灾害硬件软件数非法攻击病毒入侵等安全原遭破坏更改泄漏()造成系统正常运行影响正常业务发展称安全事件
第十八条 根网络信息安全突发事件发生程性质特征网络信息安全突发事件划分网络安全突发事件信息安全突发事件网络安全突发事件指然灾害事灾难破坏引起网络信息系统损坏信息安全突发事件指信息系统身脆弱性破坏引起信息系统运行障损坏
具体分9类:
1 网站页攻击恶意纂改出现非法者恰信息
2 恶意代码攻击异常网络攻击
3 网络线路障
4 网络设备障
5 机房物理安全问题
6 应服务器非法侵入攻击破坏
7 数库安全遭破坏
8 电力供应障
9 然灾害
第十九条 根网络信息安全突发事件控性危害程度影响范围财政局信息安全突发事件般分四级::般(IV级)较(III级)重(II级)特重(I级)
第二十条 某单位系统理员负责安全事件判断报告安全事件应急恢复流程启动申请
第二十条 某单位负责组织协调处理般安全事件负责制定安全事件处理流程
第二十二条 系统发生安全事件应根安全事件处理流程进行处理汇报
第二十三条 部门安全理员应信息安全事件发生处理办法进行记录安全事件记录单提交某单位进行备案
第二十四条 部门处理般安全事件程中部门信息安全理员需判断事件严重程度果已升严重安全事件应启动应急响应流程具体详见应急响应计划
应急响应计划
第二十五条 信息系统应急响应计划 针信息系统发生意外事件导致业务差错停顿甚系统混乱崩溃等灾难性局面建立完整紧急救助计划严密组织科学分工通某单位部训练素队伍规范工作流程处理障切实保证业务持续服务效实现维持生产序运转稳定营秩序目标应急响应计划全局性障具时预防突发时抢救障恢复业务运行保障作
第二十六条 信息系统应急响应计划 包括9程:现状描述风险分析建立应急组织制定技术应急指南制定业务应急措施测试认证培训演练修订完善启动终止
1 现状描述出网络系统机应基础设施现状已安全措施应急响应计划执行者够快速解计算机系统现状快速应急需信息
2 风险分析系统重性风险进行评估作制定应急响应计划做预防准备性措施确保风险较重系统应急处理优先级
3 建立应急组织机构信息系统应急响应计划重组织落实措施应急响应计划利实施提供组织保证确定实施紧急救助队伍组织结构职责分工技术应急措施业务应急措施实施提供全面保障
4 制定技术应急措施信息系统应急响应计划核心信息部门负责提出技术应急措施确定紧急状态技术部门应急工作标准流程员操作规范预防抢救恢复等处时段三程应急措施构成
5 制定业务应急措施信息系统应急响应计划关键业务应急措施业务部门负责提出业务应急措施确定紧急状态业务部门应急工作标准流程员操作规范样预防抢救恢复等处时段三程应急措施构成
6 测试认证应急响应计划提出测试认证求求技术应急措施业务应急措施通测试确保行必时通级行组织专家认证
7 培训演练求应急响应计划容进行培训相关员熟知应急响应计划容进行应急进行演练
8 修订完善应急响应计划修订更新出规定求通实践断完善应急响应计划
9 启动终止出应急响应计划启动终止条件
第二十七条 某单位业务系统应急措施制定严格确保业务系统性采短时间够恢复系统措施优先应急措施
第二十八条 某单位业务系统应制定详细应急响应流程整流程包括安全事件发现报告事件分析协调处理总结奖惩等容
某单位网络接入理办法
总
第条 确某单位计算机网络(简称网络)健康发展正常运行规范系统设备接入网络行网络户提供良接入服务保障网络者安全正常运行根中华民国计算机信息系统安全保护条例单位相关理规定规定特制定理办法
第二条 办法适:
l 单位需接入网络计算机系统设备
l 需接入单位网络合作部门计算机系统设备
l 时造访员带计算机系统设备
第三条 办法信息技术科统理执行安全理员负责申请接入设备进行安全检查入网审批系统理员负责服务器类系统补丁安装升级服务支持员负责桌面系统安装升级
接入理
第四条 系统设备接入单位网络前必须接受检查审核检查审核通方接入规定访问相关网络资源检查审核工作信息技术科负责具体流程说明:
() 需接入网络户提出网络接入申请填写申请表格说明接入设备类型接入途接入区域环境资源范围预计终止时间等提交领导审批
(二) 安全审批签字提交网络理员做系统安全检查核实设备系统补丁病毒防护情况否符合单位求符合安全求返回信息技术科安装必工具补丁
(三) 安全检查通网络理员根户申请审核分配网络资源确定户IP址网段网络设备安全设备完成相应设置工作需需访问服务器资源进行配置调整系统理员负责
第五条 工作需外部员(包括设备厂家系统服务商合作开发商分单位员等)需接入单位网络相应接口负责提出网络接入申请外部员离开单位需接口负责提出取消网络接入申请外部员接入网络计算机名必须采实名制技术交流者工作原时造访外部员指定区域(会议室公区域)接入网络
第六条 户果需延长接入时间必须重新填写网络接入申请表申请时间期网络理员权调整配置中止网络连接
第七条 户终止连接时必须办理户注销手续便信息技术部释放户网络资源
第八条 网络接入申请材料信息技术科存档备查验
理
第九条 保护单位计算机系统安全受病毒侵害员工推卸责导致良影响网络行视违反单位规定追究责
第十条 禁止单位业务关单位网络系统行员工责保护单位网络系统安全保护重数工作机密安全
第十条 接入户必须严格信息技术科核准区域IP址接入网络擅更改需变动须网络理员批准
第十二条 接入户必须保证维护理计算机系统安装合适系统安全补丁程序时更新病毒库定期进行全系统扫描
第十三条 接入户必须网络病毒源保持足够警惕决开历明疑电子邮件
第十四条 接入户旦发现怀疑电脑系统已病毒感染应立断开网络时联系信息技术科安全理员进行处理
第十五条 接入网络户必须严格遵守执行单位相关安全保密制度运行理规定禁止滥网络严禁行:
() 私卸载操作系统补丁者防病毒软件
(二) 单位部电话线拨号网
(三) 私安装黑客软件入侵工具
(四) 散布病毒者干扰破坏系统软件工具
(五) 擅侦听截取网络中传输信息
(六) 破解盜账号密码泄漏账号密码
(七) 私账号IP址予者盗账号IP址
(八) 窺视电子邮件
(九) 方式滥网络资源包括电子邮件量传送广告连锁信信息灌爆信箱掠夺资源等方式影响系统正常运作
(十) 电子邮件聊天工具BBS类似功方法散布欺诈诽谤侮辱猥亵骚扰非法软件交易违法讯息
第十六条 接入网络户必须严格尊重知识产权避免列涉侵害知识产权行:
()未授权软件工具
(二)违法载拷贝受著作权保护作品
(三)未著作许受保护作品传公开网站
(四)理会作者明示禁止转载通告意转载BBS网文章
(五)私开放公众WEB服务架设网站
(六)涉侵害知识产权行
罚
第十七条 网络理员密切监测网络果发现户网络异常户违反办法行安全理员中断该户计算机系统网络连接办法规定进行相应处理
第十八条 员工责采取积极防范措施避免维护计算机系统禁止接入网络禁网络连接导致单位业务影响员工承担
第十九条 网络理部门定期者定期联网机器IP址系统补丁防病毒库软件远程接入设备理情况进行检查发现违反规定接入行单位相关规定网络资源予通报批评超三次者报单位办公室予警告处分造成单位计算机信息系统严重障导致单位重损失视情节严重程度予严重警告处分实施相应济处罚触犯国家法律法移交国家法律部门处理
第二十条 外部员(包括设备厂家系统服务商合作开发商分单位员等)旦接入单位网络视单位员工进行理相应接口负责负领导监督责触犯相应规定行相应接口负责负责时造访员果违规接入网络行果相应接员负责
某单位信息资产理办法
信息资产理规定
第条 信息资产:信息系统软硬件系统数系统授权信息口令文件密钥算法文件应数库数文件系统说明文档户手册培训资料运行支持程序记录应急响应计划信息
第二条 某单位信息资产包括类:
1 网络设备:核心交换机二层交换机光纤转换器路器调制解调器层交换机等构成信息系统网络传输环境设备软件传输介质
2 服务器:类承载业务系统软件机PC服务器系统操作系统包括安装服务器类应系统构建系统台软件(数库中间件群件系统商业软件台等)
3 存储设备:NASSAN磁带机磁带库磁盘阵列光纤交换机等构成信息系统存储环境设备软件传输介质
4 安全设备:防火墙等构成信息系统信息安全环境设备软件
5 工作站资产:指监控终端理服务器服务终端例网终端等
6 生产终端:包括般途笔记PC
7 移动专资产:移动通信类专门设备信息安全理资产理中作资产理范畴
8 资产:非信息资产
第三条 信息资产安全性赋值规定进行:
1 项资产机密性价值完整性价值性价值分三级
2 根资产包含秘密信息揭露时造成果严重性资产机密性价值分轻度损害中度损害严重损害三级
3 根资产处正确完整赖状态时造成果严重性资产完整性价值分轻度损害中度损害严重损害三级
4 根资产时造成果严重性资产性分体局部整体三级
第四条 信息部门负责识理信息资产信息资产信息录入某单位安全理系统中信息资产理部分
第五条 信息资产部属性发生变更系统理员时更新某单位安全理系统中变更包括理位置变动信息资产配置信息补丁信息等变动
第六条 信息资产理权限发生变更应时信息资产状况时更新某单位安全理系统中理权限变更包括信息资产属系统发生变更信息资产属部门发生变更
第七条 信息资产设备年定期进行信息安全评估安全加固
第八条 信息资产信息时反映某单位安全理系统中
第九条 信息资产设备应根系统资产重性部署程度安全保护措施
第十条 信息资产应分类保明显标识
第十条 基相关容具体详见软硬件设备安全理介质理规定(该规定删减)
软硬件设备安全理
第十二条 某单位软硬件设备必须分类理
1 信息资产理规定相关容分类
2 硬件设备必须固定位置易移动
3 处理敏感(部)数设备应放安全位置
4 应明确现资产价值资产重性
5 软硬件设备必须明显标识明确保责
6 前实际情况相符软件硬件清单位置图技术档案负责等容
第十三条 新软件硬件设备开始启前应设备进行安全检查
第十四条 购置设备货时检查必须实际运行环境隔离
第十五条 硬件设备备件线路应定期检测维修授权维护员进行
第十六条 送出修理设备应进行防止泄密处理填写记录
第十七条 硬件设备报废程序处理
第十八条 需进行软硬件操作需安全审核某单位分领导审批方进行操作
某单位信息系统安全理岗位职责
信息系统安全理岗位职责
效实施信息系统安全理保障实施某单位信息系统安全根某单位信息系统运行理现状建立信息系统安全理组织架构具体信息系统安全组织理岗位职责:
1安全理员
(1)负责安全设备系统(防火墙入侵检测IT审计网闸加密设备防病毒等)维护理
(2)负责组织制定种安全产品策略配置规
(3)负责踪安全产品投产情况
(4)负责指导监督系统理员(包括机系统理员网络理员数库理员应理员等)普通户安全相关工作
(5)负责组织信息系统安全风险评估工作定期进行系统漏洞扫描形成安全评估报告
(6)根单位信息系统安全需求定期提出单位信息系统安全改进意见报信息系统安全理部门
(7)定期查信息安全站点安全公告踪研究种信息安全漏洞攻击手段发现影响信息安全安全漏洞攻击手段时时做出相应策通知指导系统理员进行安全防范
(8)负责组织审议种安全方案安全审计报告应急计划整体安全理规定
(9)负责参安全事调查
2应理员
(1)负责业务应系统进行安全配置督促软件开发商提供补丁修补已发现漏洞
(2)负责业务应系统户口令安全性进行理业务应系统登录户进行监测分析
(3)负责提出数备份求制定数备份策略督促数库理员备份方案时完成恢复需数
(4)负责实施系统软件版理应软件备份恢复理
3安全审计员
(1)负责定期机系统网络产品应系统日志文件进行分析审计发现问题时报
(2)负责信息安全保障理活动进行独立监督提供部独立审计评估工作根需协外部审计评估机构进行评估认证决策领导提供信息系统信息安全保障执行状况客观评价
二信息系统安全理原
1安全理员兼职岗位职务
2应理员岗位数库理员岗位应理员岗位组合根具体情况设置应理员岗位
述指安全关活动包括:硬件软件维护系统软件设计实现维护处理保密信息系统媒介发放回收访问控制证件发放回收重程序数删销毁等
安全审计员必须授权原分授予安全理员应理员完成身务需权限形成相互制约关系
某单位员工安全理规定
总
第条 策略目标:加强某单位(简称单位)信息安全保障力建立健全单位安全理体系提高整体网络信息安全水保证业务系统正常运营提高网络服务质量单位安全体系框架策略明确理单位员工信息安全理办法
第二条 适范围:策略适单位部门员工
员工录安全理规范
第三条 单位员工录应该遵守相关事劳动法律法规外必须考虑安全事项:
1 严格考察该员业务技术水相关资质认证外必须考虑政治社会素质等方面素
2 考虑录犯罪前科重行政处分纪录员特殊情况需单位力资源领导意方考虑录
第四条 签订劳动合外必须签订保密协议明确该员应严格遵守相关安全理规定安全技术规范保守商业机密求违约责等
员工工作调动安全理规范
第五条 业务工作需原需单位员工进行岗位调动时必须考虑安全事项:
1 根新岗位需增加删修改该员计算机信息系统访问权限包括电子邮件系统业务应系统网络系统计算机信息软硬件系统
2 必重新创建相关帐号修改口令
3 必修改合中关条款相应保密条款保密协议拟定新雇佣合原合中保密条款保密协议继续效
4 原岗位关资料文件包括软硬拷贝需移交允许私带走
第六条 遵循需知道原量避免频繁调动造成员权限情况
员工离职安全理规范
第七条 单位员工离职时必须遵守安全操作流程:
1 删该员工信息系统访问帐号权限必重新创建关理员帐号口令
2 相关员该员工起回顾签订保密协议该员工明确保密事项离开单位3年披露单位技术资料规定
3 员工离职时应部门填写员工离职记录详细填写员工离职情况交接记录
员工安全审计
第八条 单位信息安全工作组定期组织单位员工进行安全审计监督工作审计监督结果报告抄送该员属部门负责作该员工作考核
第九条 遵守单位信息安全理规定安全技术规范单位员工查实属部门负责根关规定报请局办公室该员工进行处罚
员工安全培训教育
第十条 单位员工安全培训教育信息技术科统计划组织办公室协助实施具体培训容求遵某单位信息安全规章制度培训教育理规定
第十条 单位员工安全培训教育成绩作该员工作考核
关信息安全奖励考核
第十二条 单位员工安全理信息技术科考核汇报属部门领导部门领导呈报分领导作部门年度目标责制考核容
第十三条 执行制度良信息安全工作成绩显著部门表彰适奖励
第十四条 违反单位安全理规定信息安全工作存足隐患部门单位网络信息安全领导组发出书面整改通知限期整改
第十五条 刻意执行单位安全理规定漠视信息安全工作存安全隐患没时整改造成重安全事案件追究部门负责直接责者责单位关考核理办法予处理构成犯罪法追究刑事责
附 员工离职申请记录表
记录表式号: 记录序号:
申请
属部门
申请日期
离职日期
离职原
移交记录
备注
审核意见
签名:
日期: 年 月 日
批准意见
签名:
日期: 年 月 日
附件二 员工保密协议书
编号:
甲方:
住:
乙方:
身份证号码: 住址:
根中华民国劳动法中华民国反正竞争法中华民国保密法中华民国电信条例等相关法律法规甲乙双方等愿原订立协议资遵守
保密义务
甲方根国家关法律法规部规章制度确定工作职责乙方开放职责范围技术商业信息
乙方意甲方利益努力事危害甲方安全行事正相关业务密码技术秘密行
二保密范围
乙方工作信关系获交换甲方营理程中未社会公开定范围公开信息验技术资料包括建设营计划重会议容重公文容招投标方案技术方案财务数员工信息单位技术工程营文书事档案等切关甲方技术业务理秘密信息国家法律法规规定涉通信保密网络安全容
三保密信息
()乙方服务某单位期间:
1保证擅发表泄漏关某单位秘密获计划信息努力确保资料遗失缺损
2某单位指示业务范围允许进行技术秘密交流:直接间接甲方部外部关员泄漏私利益计划复制公开包含甲方秘密技术秘密文件文件副工作中保接触关客户文件应妥善未许超出工作范围
(二) 乙方种原结束某单位工作时应时某单位关文件记录材料(包括笔记复印资料电子文档等)某单位
四时效时效期间应遵守准
鉴某单位拥相关业务密码技术秘密竞争中重价值存劳动关系存续期间终止解乙方意:述义务乙方受聘某单位工作期间效重相关业务密码技术秘密长期效
五违约责
乙方违反协议项规定某单位权:
() 责令乙方停止违约侵权行
(二) 视情节处年总收入罚款扣发奖金纪律处分行政处分直开
(三) 求乙方赔偿违约侵权行导致切济损失寻求法律救助程中发生切费中包括律师费诉讼费
(四) 触犯法律提请关部门追究法律责
六争议解决办法
执行协议发生纠纷双方协商解决协商调解成者方愿意协商调解方提起诉讼权利
七乙方某单位原签订保密协议书协议签订日起原协议时废止原某单位规章制度协议突协议准突继续效
八协议效力
协议式两份甲乙双方执份甲乙双方签章日起生效两份协议具等法律效力
甲方(签盖): 乙方(签字盖章):
签订日期: 年 月 日 签订日期: 年 月 日
某单位运行维护理规定
总
第条 策略目标:加强某单位(简称单位)信息安全保障力建立健全单位安全理体系提高整体网络信息安全水保证业务系统正常运营提高网络服务质量单位安全体系框架策略加强单位日常运行维护安全理工作作单位级策略起指导规范系统理员日常安全运行维护工作安全理工作
第二条 适范围:策略适单位TCPIP网络系统
第三条 员角色职责:办法适单位安全理员部门安全理员系统理员
第四条 策略相关性:办法涉单位相关安全技术规范安全检查监控等理办法
组织职责
第五条 单位系统理员应根单位类技术规范制定系统安全运行维护计划根已制定安全运行维护计划进行日常操作检查
第六条 信息安全理员应定期检查系统安全运行维护计划执行情况查安全运行维护记录实际匹配情况进行记录
第七条 信息安全理员应定期单位信息部门提交安全检查情况记录报告信息部门统进行备案审计
操作程序操作记录
第八条 系统理员进行系统日常操作活动时应文档程序进行计算机启动关机程序备份设备维护计算机机房信息处理理安全控制程序
第九条 系统理员应操作程序作正式文件相关理员审批修改
第十条 严格日常运行安全理便落实检查运行部门系统理员应做日常记录登记
第十条 重设备种操作行应保留审计记录
登录规程口令理
第十二条 单位系统制定相应登录规程包括:登录失败审核帐户锁定登录连接时间超时控制历史登录信息提示等
第十三条 单位系统帐号口令应根某单位信息安全规章制度帐户权限口令理规定中规定严格执行
安全检查
第十四条 单位信息中心根等级业务系统定义安全目标季度进行检查:
1 信息安全组织机构组成运作
2 日常运行安全
3 数备份安全
4 技术资料安全
5 防病毒
6 物理环境安全
7 设备物理安全
8 机安全
9 数库系统安全
10 应系统安全
11 网络系统安全
12 信息安全应急
13 黑客防范计算机安全专产品等
某单位安全岗位员理规定
总
第条 策略目标:加强某单位(简称单位)信息安全保障力建立健全单位安全理体系提高整体网络信息安全水保证业务系统正常运营提高网络服务质量单位安全体系框架策略明确单位安全岗位员岗位技求岗位工作容理考核办法
第二条 适范围:适单位安全理员
第三条 安全岗位员:承担单位部门专兼职安全理员单位信息安全实施组成员
单位安全岗位员理
安全岗位员理考核
第四条 单位专职安全理员:专职负责单位信息安全理工作单位信息安全实施组成员具体员信息技术科安全岗位员工属信息技术科负责理考核
第五条 部门专兼职安全理员:负责部门信息安全理工作单位信息部门安全理组织成员具体员部门日常工作属相应部门理时作单位信息安全组织体系重成员工作考核部分属单位信息安全实施组
安全岗位员培训教育
第六条 安全岗位员需进行相关安全理技专业培训教育等工作安全岗位员培训信息技术科牵头负责安全岗位员培训成绩作相应工作考核项
单位安全岗位员求
单位安全岗位员技求
岗位名称
岗位技求
信息安全
学科学历计算机通信电信工程通信工程信息安全专业
信息安全理员
学科学历计算机通信信息安全专业
信息安全审计员
学科学历计算机通信信息安全专业
业务部门信息安全专员
学科学历计算机通信信息安全专业
机房理员
学科学历计算机通信
系统理员
学科学历计算机通信
数库理员
学科学历计算机通信
网络理员
学科学历计算机通信
单位信息安全相关岗位员安全职责
第七条 信息安全工作涉单位方面员表明确单位信息安全相关岗位员安全职责求
岗位名称
具体工作容
安全
1负责某单位日常工作计划指挥协调控制网络信息理工作
2负责制定信息化工作应规划年度工作计划组织计划落实情况实施检查
3负责相关技术单位网络运营商联系协调工作
4负责网络信息系统理维护工作保证网络信息正常运行
5负责组织关员学相关必需计算机专业技术培训
6负责组织外部关部门计算机联网信息交换
7负责网络信息建设应功开发单位理信息发布等方面工作提供方便效技术支持
8保关键核心技术协调组织某单位制定重技术决策技术方案 领导认协调组织实施
9做信息化理工作
机房理员
1机房理员负责计算机房日常理维护
2机房理员应规定作息时间班班时间应机房理员办公室
3机房理员应机房计算机等设备进行编号建档编号标签贴台计算机显示器
4保证计算机正常运行计算机完率应保持97常设备进行检测发现问题应时查找原损坏追查责修复时修复作记录修复时报
5机房设备包括零配件详细帐目交部门存档份设备部件报损应先部门报告确认填写相应报损单零配件采购严格学校采购程序进行采购
6机房理员外权拆卸计算机机房理员应锁台计算机机常检查否完遇损坏时维修更换机房理员应负责机房卫生保证计算机良工作环境
系统理员
1 项目规划建设阶段提出信息安全方面建议
2 负责系统交付网络设备操作系统数库等信息安全状况检查验收
3 负责系统设备日常运行安全维护理工作保持系统处良运行状态
4 负责单位种应系统台理工作做系统更新数维护
5 负责监控室视频监控系统资料查询调阅数设备维护理工作
6 负责办公动化系统电子邮件系统WEB网站应系统技术理支持维护工作
7 负责信息系统操作员权限设置参信息系统中应软件技术标准应标准规范性制度实施
安全理员
1参某单位计算机信息安全理规定技术规范制订
2负责实施维护某单位计算机信息安全理规定技术规范
3负责某单位计算机信息安全解决方案计划设计评估实施工作
4监督检查某单位计算机信息系统安全运行情况(保密性完整性性)
5负责某单位计算机信息系统部安全审计
6负责某单位计算机信息安全事响应处理
7负责某单位工作员计算机信息安全教育培训
8参密钥(加密设备)超级理员口令单位机房钥匙理
9定期计算机信息安全汇报相关部门信息安全工作情况
数库理员
1 负责系统交付业务应系统数访问控制安全程理
2 负责数传输程中安全求落实
3 负责部门联系收集整理相关重数记录做整理备份
4 负责信息数库系统存储备份恢复等日常理工作
5 负责信息数库安全理工作
6 负责信息数质量进行监控监督考核
网络理员
1 负责单位网络安全配置安全日志维护审计
2 负责IP网络安全理规定落实
3 负责单位PC软硬件维护维修
4 负责单位印机复印机传真机扫描仪维护维修
5 负责制定系统网络建设改造方案组织实施
6 负责通讯线路网络设备网系统运行理工作
7 负责全局计算机网络运行维护工作记录网络运行障维护情况排网络运行中出现障保障网络系统畅通做运行日志
8 负责落实项网络安全理规定户理
9 负责计算机网络操作系统型数库系统运行理日常维护
单位安全岗位员安全控制
第八条 安全岗位员录审计调动解聘方面进行严格安全控制保障单位信息安全组织体系关键
安全岗位员录
第九条 单位安全岗位员录应该遵守相关事劳动法律法规外必须考虑安全事项:
1 严格考察该员业务技术水相关资质认证(相关计算机认证证书等)时必须考虑政治社会素质等方面素
2 考虑录犯罪前科重行政处分纪录黑客历员特殊情况需单位技术部门领导意方考虑录
第十条 签订劳动合外必须签订保密协议明确该员应严格遵守相关安全理规定安全技术规范保守商业机密求违约责等
安全岗位员审计
第十条 单位定期进行安全工作检查容包括安全岗位员审计时安全检查结果作安全岗位员工作考核
安全岗位员调动
第十二条 业务工作需原需安全岗位员进行岗位调动时必须考虑安全事项:
1 根新岗位需增加删修改该员信息系统访问权限
2 必修改保密协议拟定新雇佣合原合中保密协议继续效
3 原岗位关资料文件包括软硬拷贝需移交允许私带走
4 遵循需知道原量避免频繁调动造成员权限情况
安全岗位员离职
第十三条 单位安全岗位员离职时必须遵守安全操作流程:
1 删该员工信息系统访问账号权限必重新创建关理员账号口令
2 相关员该员工起回顾签订保密协议该员工明确保密事项离开单位3年披露单位技术资料规定
某单位培训教育理规定
总
第条 策略目标:加强某单位(简称单位)信息安全保障力建立健全单位安全理体系提高整体网络信息安全水保证业务系统正常运营提高网络服务质量单位安全体系框架策略明确单位信息安全培训教育工作容相关员职责单位员工进行关信息安全理理培训安全理规定教育安全防范意识宣传专门安全技术训练确保单位信息安全策略规章制度技术规范利执行限度降低消安全风险
第二条 适范围:策略适单位部门员工
信息安全培训求
第三条 信息安全培训工作需分层次分阶段循序渐进进行必须够覆盖全员培训
第四条 分层次培训指层次员理层(包括决策层)信息安全理员系统理员单位员工开展针性侧重点培训
第五条 分阶段指信息安全理体系建立实施保持阶段培训工作计划分步实施信息安全培训采部外部结合方式进行
理层
第六条 理层培训目标明确建立单位信息安全体系迫切性重性获单位理层形支持承诺
第七条 理层培训方式采聘请外部信息安全培训专业单位技术专家咨询顾问专题讲座研讨会等形式
信息安全理员
第八条 信息安全理员培训目标理解掌握信息安全原理相关技术强化信息安全意识支撑单位信息安全体系建立实施保持
第九条 信息安全理员培训方式采聘请外部信息安全专业资格授证培训参加信息安全专业培训学信息安全理理技术单位部学研讨方式
单位系统理员
第十条 单位系统理员培训目标掌握系统相关专业安全技术协助单位部门信息安全理员维护保障系统正常安全运行
第十条 单位系统理员培训方式采外部部相结合培训学方式
单位员工
第十二条 单位员工培训目标解单位相关信息安全制度技术规范安全高效单位信息系统
第十三条 单位员工培训方式采取部外部培训相结合方式
信息安全培训容
安全体系安全职责分工
第十四条 单位级领导员工明确解单位信息安全体系明确安全职责明确身维护保障单位系统正常安全运行需承担相关责义务
第十五条 培训应采长期覆盖单位全员
新员工入职安全培训
第十六条 新员工正式岗前应进行信息安全方面培训明确岗位求遵守单位信息安全制度技术规范
单位员工安全技术教育
第十七条 针单位系统维护员理员应定期开展安全技术教育培训(年少次)明确安全关系统包括业务系统机操作系统电子邮件系统部网站普通计算机周边硬件设备
项安全专业技术教育
第十八条 针单位安全理员系统理员应定期开展供应商厂家提供专业安全技术培训(年少次)帮助相关安全理员系统理员解掌握正确安全安装配置维护系统
安全专业资格认证
第十九条 针单位安全理员系统理员应根实际情况挑选单位信息安全理安全技术员进行相关认证考试培训参加认证考试提高单位安全理员信息安全理理技术水
信息安全部考核(含培训)
第二十条 针单位安全理员系统理员应根岗位员工进行相关信息安全培训培训实行书面(开卷闭卷)信息安全考核
单位信息安全培训理
安全培训发起
第二十条 单位部门安全理组织根身安全理需发起相应安全培训计划
第二十二条 涉纳入单位员工考核培训需局办公室确认单位网络信息安全办公室备案考核结果
第二十三条 新员工单位全员安全培训教育纳入单位整体培训计划中
安全培训实施
第二十四条 培训实施办公室负责
第二十五条 专业性强培训培训发起级安全培训组织负责
第二十六条 具体操作程遵守单位相关培训理规定
附件 员培训考核记录表
编号:
培训名称
目
培训方式
□集中课 □学 □讨
□操作 □讲解 □
日期
考核方式
□书面考试 □现场操作 □总结 □领导评定 □
点
参加培训员登记表
姓名
部门
考核结果
考核
培训容:
附件:(授课题纲等)
培训实施情况:
讲:
办公室:
备注:表供部培训外培必时参
某单位外员安全理规定
总
第条 策略目标:加强某单位(简称单位)信息安全保障力建立健全单位安全理体系提高整体网络信息安全水保证网络通信畅通业务系统正常运营提高网络服务质量单位安全体系框架策略效防范外员(非单位员工)进入单位信息网络带安全风险加强规范单位部门外员安全理提供外员单位活动遵守行准
第二条 适范围:策略适单位部门
外员定义风险
外员定义
第三条 外员包括单位提供服务软件开发商产品供应商系统集成商设备维护商服务提供商等非单位员
第四条 外员理范畴包括时外员长期外员
第五条 时外员指业务洽谈技术交流提供短期频繁技术支持服务时访外员
第六条 长期外员指事合作开发参项目工程提供技术支持顾问服务必须定时间单位部办公外员
第七条 接指单位派出负责接理外员单位员工
外员带风险
第八条 外员访问单位方式包括现场访问远程网络访问
第九条 外员带安全风险必须定期评估防范安全风险:
1 外员物理访问带设备资料盗窃
2 外员误操作导致种软硬件障
3 外员资料信息外传导致泄密
4 外员业务系统滥越权访问
5 外员机系统软件留门
6 外员系统恶意攻击
外员短期访问安全理
物理安全
第十条 外员现场访问需遵单位物理安全理规定求:
1 外员进出单位均需登记遵单位物理安全理规定执行
2 外员进入机房部机房设备理规定律进行登记必须信息技术科负责接全程陪
网络访问安全
第十条 原允许外员现场访问单位网络果必须需外员接员遵守安全求:
时接入单位网络外员需网络安全理员意旦发生安全事件核实起外员引起相关责单位接员负责
第十二条 外员远程访问单位网络原允许果必须需外员接员遵守安全求:
1 时远程访问单位网络外员需信息技术科负责意时进行网络连接申请表填写旦发生安全事件核实起外员引起相关责相关岗位负责负责
2 时远程访问单位网络外员访问程中单位接员应够确定访问容访问结束单位接员应时关闭督促相关技术负责员关闭时访问通路记录访问结束时间
外员长期访问安全理
物理安全
第十三条 外员现场访问需遵单位物理安全理规定执行求:
1 遵守单位物理安全理规定物理安全负责部门办理外员进出证件证件表明访问时间段接部门长期访问终止接负责收回证件交物理安全负责部门做备案
2 外员进入机房部律进行登记必须信息技术科负责接员工全程陪
网络访问安全
第十四条 外员现场长期访问单位网络外员遵守单位安全理规定规范外外员接员必须遵守安全求:
1 长期访问单位网络外员需签署相关某单位外员安全保密协议(没该附件)承诺遵守单位安全制度规范
2 需信息技术科负责审批确认长期访问终止接通知信息安全岗位相关工作员进行备案作相应安全评估检查工作
3 外员访问单位网络期间违反单位安全理规定根保密协议相关单位安全理规定进行处罚外单位接属部门应承担责
第十五条 原允许外员长期远程访问单位网络果必须需外员接员遵守安全求:
1 信息安全理员组织相关岗位员进行安全评估通允许接入时根访问求制定访问控制策略否禁止接入
2 需签署相关保密协议承诺遵守单位安全制度规范
3 需单位信息技术科负责审批确认外员访问程中单位接员应够确定访问容访问终止单位接应时关闭督促相关技术负责员关闭时访问通路记录访问结束时间
4 外员访问单位网络期间违反单位安全理规定根保密协议相关单位安全理规定进行处罚外单位接属部门应承担责
附件 网络连接申请表
记录表编号: 记录序号:
申请
申请日期
属部门
户类型
□正式员工 □实生 □第三方员 □
期间
开始 结束
网络类型
○网 ○外网 ○线网络 ○
IP址
机器类型编号
类型:○台式电脑 ○笔记电脑 ○U盘 ○服务器
○ 编号:
连接目
备注
审核意见
签名:
日期: 年 月 日
批准意见
签名:
日期: 年 月 日
某单位介质理规定
第条 根关法规确保某单位(简称单位)介质安全存放理结合单位实际情况制定出介质理规定
第二条 规定称介质指存储记录单位信息硬盘软盘U盘光盘磁带存储卡等介质
第三条 检查容包括计算机存储介质外观否完数信息否读写容否正确等
介质理
第四条 应根系统重程度恢复求相关规定制定系统配置操作系统应系统数库数文件备份策略包括备份周期保存期限等
第五条 建立备份介质理规定审批程序备份介质环节中敏感数应必屏蔽
第六条 介质介质库理应专负责定时检查备份执行情况定期检查永久备份磁带否损坏
第七条 应设立异磁带理库存放环境应满足数存储介质存放条件设两数备份介质保室第保室设机房第二保室设机房建筑物异式两份数备份介质分存放两保室份数备份介质存放第保室
磁带标签带标命名规范清晰
例:
介质安全存放
计算机输入输出设备中印机外磁带磁盘等介质需作信息资料载体长期保存规定环境条件存放会出现数丢失国家标准电子计算机机房设计规范求介质存放条件:
项目
纸介
磁带
磁盘
已记录
未记录
已记录
未记录
温度
°C
5~40
18~28
0~40
18~28
0~40
相湿度
%
30~70
20~80
20~80
磁场强度A/m
<3200
<3200
<4000
<4000
第八条 介质保存必须选择安全场专进行理
第九条 介质存储容进行分类编号理建立登记簿登记簿记录容包括编号名称途备份日期效期重写时间责时间等项
第十条 备份介质需异存放必须办理登记手续登记容反映出名称入库时间存放存放点专进行理
第十条 单位存储介质需必须征信息技术科负责意进行时间审批等详细登记
第十二条 存储介质进行维护销毁需清介质中敏感信息防止重信息外泄
第十三条 外部员机构涉密存储介质进行维护时需存储涉密信息采取保存删等安全保密措施指定员监督维修程保密涉密信息泄露外部员机构需涉密计算机存储介质转存非指定设备时关责应根关规定外部员机构签署保密协议维修结束关责应监督维修员维修介质中涉密信息进行恢复性删处理涉密计算机存储介质外部维修前必须获相关领导批准时涉密信息进行恢复性删处理确需保留涉密信息必须求关外部员机构签署保密协议
第十四条 涉密移动存储介质销毁相关部门信息技术科负责批准进行销毁部门擅销毁
第十五条 涉密移动存储介质单位办公场确工作需带出办公场需信息技术科负责批准履行相关手续采取严格保密措施
第十六条 定期存储介质进行次清查核完整性性进行检查确认数没受损坏丢失
附件 介质盘点记录
单位部门名称
盘点日期
员签字
介质盘点记录:
问题处理程:
采取措施避免次发生:
备注:
附件二 介质记录
介质名称
档日期
查寻时间
情况
签名
某单位环境设施物理设备理规定
目
第条 防止单位区域遭未授权访问造成资产丢失损坏正访问等发生规范办公区域中特殊物理区域IT设备理特制定规定
适范围
第二条 规定适单位办公区域IT设备理
职责
第三条 信息技术科理职责
a) 规定口理部门
b) 负责规定修订解释说明协调实施工作
c) 负责单位环境设施物理设备理
d) 负责远程办公设备理
e) 负责计算机设备维护
f) 负责单位机房理
g) 负责机房设备维护
办公区域安全
第四条 物理安全边界入口控制:应设立门卫接位置保安员
单位办公区域
第五条 单位办公区域必须具备条件:
a) 相应防火防盗措施
b) 办公区域明显位置须张贴逃生通道示意图
c) 设置门禁系统防止未授权员进入
d) 重设备应该单独设立安全区建立相应制度
外部环境威胁安全防护
第六条 防止火灾发生办公区域应禁止乱堆乱放纸箱废纸等易燃品外应配备干粉灭火器备发生火灾时应急
第七条 财务部门区域规定:
a) 财务部员外出离开座位时放重文件抽屉锁离开办公室财务室门锁
b) 关员意出入财务重探财务信息
第八条 机房规定:
a) 服务器关键系统网络设备应存放机房专门点
b) 关员意进入机房
c) 机房理员进入机房应遵守机房设备理规定
d) 机房温度应18℃~22℃间时保持干燥防尘防火具备定防盗措施
关机房具体理规请参见机房设备理规定
公访问交接区
第九条 访客办公室工作员必须确认单位联系允许客行进入办公区域确认单位员姓名电话应询问方
第十条 单位外员包括承包单位员邮快递员送货员维修员保洁员等进入单位办公场时必须遵循方面求:
a) 未授权单位外员仅限进入单位指定等候区时访客单位部员带领会客区
b) 外物资货物需确认安全隐患方运送点
c) 单位外员需带出物资设备时需申请出门许
设备安全
第十条 IT部门必须件IT设备(简称设备)指定设备负责包括局限桌面电脑服务器笔记电脑通信设备设备负责责包括:设备置安全设施中采取必措施量保持设备环境安全通提供必维护设备采取必安全措施设备牌正常状态掌握设备前者设备运行情况
部设备
设备授权
第十二条 员需填写设备理登记表申请授权方IT设备
关键设备
第十三条 生成存储处理传输单位受限信息设备包括服务器通信设备设备负责必须安放机房专机柜安全区域防止该设备破坏非法侵入类设备连接单位部网时通ADSLISDN等方式连接互联网特殊技术需求须IT负责审批接入互联网理者需指定计算机外设备负责负责必须实施设备安全理防止理疏忽导致丢失非法入侵
值守计算机
第十四条 单位网络系统连接包含单位受限信息客户端计算机值守时全体员计算机采安全防护措施义务利口令保护电脑留值守公场(会议室等)公场电脑外公场电脑行规定
带出设备授权理
第十五条 未授权单位IT设备笔记电脑桌面电脑U盘移动硬盘等带出单位需带出请参考相关规定执行
外部设备
第十六条 单位范围外安装单位计算机网络设备时设备负责必须设备执行等单位设备安全防护措施
第十七条 单位外设备应遵守规定:
a) IT设备笔记电脑存储介质存单位受限信息介质带出单位时应物理加锁放置安全点时刻必须者控制
b) 防止带出IT设备笔记电脑桌面电脑等遗失失窃导致信息泄漏必须进行BIOS口令验证OS登录验证硬盘保存信息文件夹进行加密取消享文件夹等安全设置采口令求须满足某单位信息安全总体方针安全策略相关规定
c) 通存储介质(U盘移动硬盘等)带出信息时须采取加密密码保护等必安全措施
d) 口令信息设备分开保保存容易泄漏员方记录纸
e) 果IT设备存单位重信息介质丢失窃者必须立信息安全部门负责报告
f) 需寄送包含信息物理介质例单位产品光盘需单位签署合作协议(包括相关信息安全条款)物流单位介质必须防篡改包装
单位网络连接
第十八条 远程办公单位外点单位部网连接时必须单位指定连接方法
设备返回
第十九条 单位外设备返回单位时新设备购入时必须通病毒防护软件效方法检查保证该设备存病毒果发现病毒感染设备员必须采取恰策根病毒病毒感染设备法确定安全前接入单位网络单位外设备返回单位时设备负责须填写设备理登记表
维护修理
第二十条 设备负责必须根需通维护服务阶段性预防维护必措施负责保设备保持正常工作状态维护必须设备达佳运行方式目
第二十条 机房理员需定期网络设备服务器进行巡检发现问题需机房设备理规定中提求网络设备服务器进行维护处理
安全防护措施
第二十二条 设备需维护维修时设备负责必须采取必安全措施保护设备中存储受限信息低求维护维修前删受限信息(删受限信息前确认否需进行备份操作)需维护修理工作委托第三方进行时必须设备采取适安全防护措施
计算机信息系统远程诊断配置端口保护
第二十三条 单位重服务器信息系统单位指定理员远程诊断配置端口设备信息系统进行诊断配置员权实施单位重服务器信息系统应放置机房实现远程诊断配置端口实施物理隔离方式保护员物理逻辑访问端口
设备废弃
第二十四条 设备废弃设备责IT部门提交设备理登记表IT部门批准实施设备需废弃时设备负责必须保证硬盘类置存储设备实际销毁设备储存数完全清专门清工具硬盘储存数进行完全清
设备
第二十五条 严禁单位利拥存储设备网络通信设备等处理操作属单位信息时禁止述拥设备接入单位部网
布线安全
第二十六条 IT部门制定布线方案时须考虑:
a) 电源线路通信线路原应铺网线应电缆道
b) 电源线通信线加隔离
c) 电源线路设备清楚加标记
d) 网络线路文件化配线方案
支持性设施安全
第二十七条 建立电源理体制包括:
a) 停电电提前通知
b) 定期电源检查
c) 工作负载检查
d) 重设备停电紧急应方法采UPS
外应定期检查支持性设施例供水排污空调等避免支持性设施失效引起系统中断
附件 设备理登记表
记录表式号: 记录序号:
申请
申请日期
属部门
申请类型
○ ○领 ○作废 ○丢弃 ○返
设备信息
编号
类型
○台式电脑 ○笔记电脑 ○U盘 ○服务器 ○
名称(型号)
期间领丢失作废返时间
开始 结束(时填写)
(领丢失作废返时填写)
丢失场
○公司 ○家庭 ○
领目丢失作废返原
备注
审核意见
签名:
日期: 年 月 日
批准意见
签名:
日期: 年 月 日
某单位网络连接理规定
目
第条 规范某单位(简称单位)网络连接防止未授权通信连接威胁单位信息安全
范围
第二条 适通专线等方式接入拨出单位网络:
第三条 适单位员顾问供应商等单位网络环境工作员
物理规定
第四条 集中存放单位机密信息部门:档案室必须单位网络物理隔离
第五条 未批准测试网络单位网络直接连接
第六条 未批准严禁私设立接入服务
第七条 需通Internet网络完成工作统单位连接Internet
第八条 单位接入Internet网络第三方网络时必须保证拨出计算机单位部网络物理断开
第九条 需第三方员远程接入单位维护机器时必须维护机器单位部网络物理隔离远程维护完成时关闭接入服务
第十条 长期需建立外部连接部门必须建立理规定明确理责
第十条 需网络网口必须关闭
第十二条 信息技术科定期定期检查单位外连接计算机网络安全状况理善安全隐患限期整改
第十三条 信息技术科确定系统组成符合单位安全求情况第三方等外部计算机网络连接单位部网络
第十四条 部档案信息系统直接连接Internet
第十五条 禁止通Internet连接单位部档案信息系统直接修改系统中数信息
第十六条 户果希通Internet建立单位连接获单位网络访问前必须信息系统批准
第十七条 严禁通Internet传统固定密码方式Telnet连接非动态密码证明安全户认证技术
职责
l 信息技术科
第十八条 负责接入接出连接进行限制策略合理性进行审核
第十九条 建立维护接入接出清单
第二十条 负责接入系统进行审计
l 业务部门
第二十条 负责否业务需进行审核
第二十二条 负责接入接出系统日常维护理
第二十三条 负责接入接出系统符合网络连接策略规定
l 网络理员
第二十四条 负责接入服务器建立网络划分具体实施
第二十五条 负责接入接出系统技术支持
某单位计算机户安全手册
目
第条 确保某单位(简称单位)信息网络稳定运行规范员工行合理安全单位信息网络资源
范围
第二条 手册适单位接入网络计算机户
职责
第三条 信息技术科职责
a) 定期定期发起计算机软硬件日常规范进行巡查
b) 计算机相关资产盘点清查
c) 网络接入软硬件申请审核
d) 组织安排定期计算机技安全知识培训
e) 制定统安全策略
f) 手册中条款做终解释
第四条 系统网络理员职责
g) 维护单位员工计算机中软硬件
h) 定期定期执行计算机规范检查
i) 反馈安全事
j) 执行信息部门制定安全策略
第五条 计算机户职责
k) 遵守手册中规范
l) 配合安全检查
m) 时反馈安全事件
通
第六条 员工觉遵守职业道德高度责心觉维护单位利益
第七条 员工禁止私收集泄露单位机密信息
第八条 员工禁止利单位网络传播散布工作关文章评特破坏社会秩序文章政治性评
第九条 员工禁止载传播工作关文件:屏幕保护文件图片文件说音视频文件等
第十条 员工禁止未许软件
细
第十条 员工安全理
a) 员工入职
员工入职单位员工岗位需求统配备计算机计算机配置满足工作需需填写相关报告进行申请
b) 员工调动(包括单位部门间调动)
i 员工调动需退原岗位计算机交信息技术科处理新岗位岗重新申请计算机移交计算机前请确认重资料已作备份
ii 员工需携带原计算机新岗位需提出纸质申请
c) 员工离职
i 员工离职信息技术科签字确认前需交计算机资产信息技术科保
ii 确认保密事项离开单位3年披露单位技术资料
第十二条 培训教育
d) 新员工正式岗前应接受信息安全方面教育培训掌握岗位求计算机技员工应参加信息技术科组织计算机技培训考核
第十三条 计算机设备
e) 员工计算机必须加入单位域接受统理
f) 员工间私调配计算机硬件设备私开启计算机机箱安装拆卸插接硬件硬件障应时联系信息技术科报修
g) 员工离开计算机设备时应锁定注销前系统
h) 员工私未允许外存储设备(移动硬盘U盘MP3等)特殊情况需信息技术科申请说明备案
i) 员工需台(含台式机)电脑时需计算机软硬申请流程
j) 便携机带离单位时者责妥善保
第十四条 帐号口令设置
k) 员工必须帐号登录计算机帐号者帐号登录计算机妥善保帐号透露影响信息网络正常运行根登录帐号追溯责
l) 员工属计算机时应该设置开机屏幕保护口令口令需满足复杂性求口令需三月更改次6月重复
第十五条 网络
m) 员工网络需填写网络接入申请表获许方接入
n) 员工擅更改网络理员分配固定IP址计算机名网络配置
o) 员工工作时间做工作关事聊QQMSN炒股票等迅雷BT电驴等P2P载软件
p) 办公室网络设备出现障者网络接口足时应填信息部门申请私连接网络设备拔插交换机网线者意更改网络设备配置
q) 员工形式私拨号网
r) 员工带计算机设备未允许接入单位网络工作需必须接入单位网络须填写网络接入申请表通相应流程遵守手册中规范
s) 线网络密钥信息技术科相关员统理线网络密钥关员泄露
t) 外员接入单位网络特殊需接员工信息技术科提出接入申请获准需遵守手册中规范
第十六条 审核检查
u) 信息技术科负责员工计算机软硬件日常规范进行审核员工登录计算机帐号追溯责做相应处罚
v) 信息技术科负责定期(年)员工计算机相关资产盘点检查符合规范行做出处罚部门发出整改通知
第十七条 安全事件处理
涉信息安全事件均信息技术科统负责协调处理
某单位系统安全理说明
系统安全理
第条 业务服务器系统操作维护密码相关应系统维护员负责理维护泄漏
第二条 业务服务器操作密码长度系统允许长度少8位
第三条 业务服务器操作密码必须定期更换更换周期超60天
第四条 业务服务器员工作调整具原业务服务器操作职时该业务服务器理职负责必须时收回该员权限密码行安排重新进行密码设定
第五条 LINUX户帐号密码配置:
帐号建立授权应遵户理规范
Ø 户建立策略
根系统需求角色进行帐户建立赋予权限
帐户命名必须条例相关命名求
Ø 角色划分
LINUX系统特性单位架构操作系统户分类类型(组):
超级权限户(root)
系统理
安全检查
操作员
Ø 户标识
确定员责户应指定唯户名UID唯UID户应通相关技术理手段区分操作日志便日审计责区分
Ø root超级户
限制root数
Root密码应公开周期更改
机器采root密码
Root登陆系统时系统身密码验证外建议第三方软件进行验证
Ø 密码安全配置
密码长效期高30天
密码期长时间户更改默认值:maxexpired1
密码短长度默认值:minlen6
密码中少包含字母字符数量默认值:minother1
密码长时间重复默认值:histexpire0
第六条 Windows服务器密码安全配置:
Windows Server置户帐户删通禁重命名设置相关权限方式保证定系统安全性
Administrator帐户:该帐户安装应重新命名日常服务器理说建议直接户外建立隶属Administrator组理员便实施细粒度安全控制审核
Guest帐户:帐号必须禁特殊需保留定重命名
Ø 帐户密码策略
密码复杂性求:策略强制求少时四字符集中三:
写字母
写字母
数字
非字母数字字符
密码长度值:设置短密码长度默认值0
密码长存留期:设置密码长期限默认值42天
密码短存留期:设置密码短期限默认值0天
第七条 漏洞扫描补丁更新制度
定期检测关系统安全漏洞时更新系统补丁程序时求三月检查次运行环境正式安装新版前求先检测
第八条 Windows Server安全性配置标准
目:支撑windows系统信息安全规范操作系统层面安全配置制定标准
范围:标准适Windows server系统
安全配置标准
1) 系统补丁安装标准
Windows server安全相关补丁:
1 Server Pack(补丁包):Server Pack测试修复程序安全更新程序关键更新程序更新程序累积集合重补丁集合
2 Security Patch(安全补丁):Security Patch针特定问题广泛发布修复程序修复特定产品安全相关漏洞Microsoft发布安全公告中Security Patch分严重重中等低四等级严重安全补丁缺失会造成蠕虫快速传播(:震荡波击波)系统身网络造成重影响类补丁需时应操作系统
3 Hotfix(修补程序):Hotfix针某具体系统漏洞安全问题发布专门解决该漏洞安全问题程序通常称修补程序果发布Server Pacth面出现安全方面漏洞通常应补丁会Hotfix修补程序形式发布
2) 补丁安全原
1 必须安装等级严重重Server Pacth
2 关安全方面Hotfixes补丁应时安装
3 新安全补丁发布升级步骤政府部网提供信息准
4 安装补丁留副
注意:补丁更新慎重出现硬件兼容现象者影响前应系统安装补丁前测试验证
3) 账号口令安全配置标准
1 密码策略配置求
通安全策略调整默认密码策略提高系统安全水密码策略中项具体求表举例:
策略
默认设置
安全设置
强制执行密码历史记录
记住1密码
记住5密码
密码长期限
42天
90天
密码短期限
0天
0天
短密码长度
0字符
8字符
密码必须符合复杂性求
禁
启
域中户原加密存储密码
禁
禁
密码策略设置步骤图:
进入控制面板理工具安全策略账户策略>密码策略
2 密码复杂性配置求
密码策略中密码必须符合复杂性求选项启动系统强制求密码设置具备定强度求密码少包含四种类
n 英语写字母 ABC……Z
n 英语写字母 abc……z
n 西方阿拉伯数组 012……9
n 非字母数字字符符号@#等
第九条 账户安全控制求
1 账户锁定策略配置求
效账号锁定策略助防止攻击者猜出您账号应密码求表求调整账户锁定策略:
策略
默认设置
安全设置
账户锁定时间
未定义
20分钟
账户锁定阈值
0
5次效登录
复位账户锁定计数器
未定义
20分钟
账号锁定配置具体操作图:
进入控制面板理工具安全策略账户策略>账户锁定策略
2 系统置账号理求
Windows系统中存删置账号包括Administratorguest理员账号求更改缺省账户名称隶属Administrators组账号严格控制求禁guest账号防止攻击者利已知户名破坏远程服务器
3 账号理求
时测试账户期账号应该三工作日时删:(测试账户账户系统默认产生系统操作程中新增系统安全加固角度类账户必须时删)
第十条 目录文件权限控制标准
权限控制遵循原:权限累计拒绝权限允许权限高文件权限文件夹权限高
1 目录文件保护配置求
求表容受保护目录权限进行设置缺省情况Administrators组SYSTEM具完全控制权限Everyone组具读取运行权限账户台机求根具体情况重文件目录进行账户权限设置图:
注:图目录权限设置示例实际服务器进行设置时需严格检查重目录文件应账户权限设置
第十条 安全选项配置标准
安全选项
注释
安全设置
匿名连接额外限制
确定匿名连接计算机应具权限
允许枚举sam账号享
断开会话前需空闲时间
确定服务消息块(SMB)会话活动挂起前该会话中必须连续空闲时间
15分钟
果法记录安全审计立关闭系统
确定系统法记录安全事件时否关闭系统
停
登录屏幕显示次登录户名
确定否次登录计算机户名显示登录画面中
启
关机时清理虚拟存页面交换文件
确定关闭系统时否清楚虚拟存页面文件
启
密码期前提示户更改密码
确定提前长时间(天)警告户密码期通种提前警告户时间创建足够安全性密码
14天
具体设置方法:
进入控制面板理工具安全策略策略>安全选项中完成表提安全选项调整
第十二条 日志审计配置标准
1 审核策略配置求
Windows系统默认开启安全审核求通开启审核策略记录操作:
审核策略
默认配置
安全设置
审核策略更改
审核
成功失败
审核登陆时间
审核
成功失败
审核象访问
审核
失败
审核程追踪
审核
审核
审核目录服务访问
审核
失败
审核特权
审核
失败
审核系统事件
审核
成功失败
审核账户登陆时间
审核
成功失败
审核账户理
审核
成功失败
配置方法:
进入控制面板理工具安全策略策略>审核策略开相应审核选项:
2 日志属性配置求
请根实际情况调整系统日志属性:
日志类
安全设置
应程序
日志
10240K
达日志时
改写事件
(手动清日志)
安全性
日志
10240K
达日志时
改写事件
(手动清日志)
系统
日志
10240K
达日志时
改写事件
(手动清日志)
第十三条 安全配置参考
1 NTFS文件系统
NTFS文件系统FATFAT32强壮稳定易崩溃提供基NTFS文件系统文件目录访问控制列表(ACL)
2 享理
求停必文件享特注意系统默认启隐含系统享C$D$IPC$等
关闭默认享方法:服务配置中禁server服务
3 启屏幕保护
请设置带密码屏幕保护时间设定5分钟系统操作5分钟动启屏幕保护次进入系统需认证
第十四条 Linux配置
注:LINUX系统版影响配置建议沟通开发商验证设置根身系统特性符合实际情况
1.口令文件配置
测评容:LINUX系统缺少口令更新周期限制
口令老化(Password aging)种增强系统口令生命期认证机制然会定程序削弱户便利性够确保户口令定期更换种非常安全措施部分Linux发行版默认会开口令老化功容易启
1编辑etclogindefs文件通参数修改口令老化默认配置:
# Password aging controls:
#PASS_MAX_DAYS 密码效期天数设置9999实际关闭口令老化功
#PASS_MIN_DAYS 表示次密码修改少天户允许修改口令
#PASS_MIN_LEN表示口令长度
#PASS_WARN_AGE 表示口令期前少天开始通知户口令期
PASS_MAX_DAYS 9999
PASS_MIN_DAYS 0
PASS_WARN_AGE 7
2外编辑etcdefaultuseradd文件中查找INACTIVEEXPIRE关键字:
# useradd defaults file
GROUP100
HOMEhome
INACTIVE14
设置口令已期户直没修改口令少天户帐户置锁定设置14天
EXPIRE
直接指明新户口令失效日期格式YYYYMMDD
SHELLbinbash
设置配置修改创建新户效果更改已创建户配置chage工具:
[root@rhel4 ~]#chage M 60 shangwen
设置户shangwenPASS_MAX_DAYS60天相应更新shadow文件l选项查户密码老化相关信息m设置PASS_MIN_DAYSW设置PASS_WARN_AGE等等chage工具设置口令老化方方面面参数chage详细参数信息:
法:chage [选项] 户名
选项:
d ——lastday 日期 次密码设置时间设日期
E ——expiredate 期日期 帐户期时间设期日期
h ——help 显示帮助信息退出
I ——inactive 失效密码 期失效密码设失效密码
l ——list 显示帐户年龄信息
m ——mindays 天数 两次改变密码间相距天数设天数
M ——maxdays 天数 两次改变密码间相距天数设天数
W ——warndays 警告天数 期警告天数设警告天数
2户登录失败处理设置
测评容:LINUX系统缺少户登录失败处理功
PAM(插入验证模块)pam_tally模块踪成功登录次数达预先设定限制值禁止户帐号通常讲锁住户
户尝试登录4次失败锁住户需etcpamdsystemauth文件中加入面两行:
auth required libsecuritypam_tallyso onerrfail no_magic_root
account required libsecuritypam_tallyso deny3 no_magic_root reset
面面选项具体描述:
* onerrfail
果奇怪事情发生例开文件决定模块应该反应
* no_magic_root
表示模块uid0户触发计数器增加
系统理员应该选项例:telnetrshlogin类服务
* deny3
选项表明果户登录3次失败拒绝访问
* reset
选项指示模块成功实体应复位0
面实现种策略完全例子:
auth required libsecuritypam_envso
auth required libsecuritypam_tallyso onerrfail no_magic_root
auth sufficient libsecuritypam_unixso likeauth nullok
auth required libsecuritypam_denyso
account required libsecuritypam_unixso
account required libsecuritypam_tallyso deny5 no_magic_root reset
password requisite libsecurityISApam_cracklibso retry3
password sufficient libsecurityISApam_unixso nullok use_authtok md5 shadow
password required libsecurityISApam_denyso
session required libsecurityISApam_limitsso
session required libsecurityISApam_unixso
3安全审计配置
测评容:LINUX系统未开启安全审计功
Linux核中Auditing Subsystem默认关闭通auditctl s查(Red Hat Enterprise Linux例)
code:
[root@www ~]# auditctl s
AUDIT_STATUS enabled0 flag1 pid0 rate_limit0 backlog_limit64 lost0 backlog0
启动审计子系统需enabled值设1(通VI 命令编辑)
code
[root@www ~]# auditctl s
AUDIT_STATUS enabled1 flag1 pid25717 rate_limit0 backlog_limit8192 lost0 backlog0
果auditd服务没启动话记录会保留varlogmessages里
RHEL5中审计子系统包括3文件auditdconfauditrulesauditlog
auditdconf审计子系统deamon配置文件该文件
● 设置审计消息专日志文件
● 确定否循环日志文件
● 果日志文件启动掉太磁盘空间发出警告
文件容:
#
# This file controls the configuration of the audit daemon
#
log_file varlogauditauditlog
log_format RAW
priority_boost 3
flush INCREMENTAL
freq 20
num_logs 4
dispatcher sbinaudispd
disp_qos lossy
max_log_file 10
max_log_file_action ROTATE
space_left 75
space_left_action SYSLOG
action_mail_acct root
admin_space_left 50
admin_space_left_action SUSPEND
disk_full_action SUSPEND
disk_error_action SUSPEND
man 5 auditdconf:
log_file
审计日志文件完整路径果您配置守护进程默认varlogaudit外目录中写日志文件时定修改面文件权限根户读写执行权限户访问目录目录中日志文件
log_format
写日志时格式设置RAW时数会核中检索格式写日志文件中设置NOLOG时数会写日志文件中果dispatcher选项指定数然会发送审计事件调度程序中
priority_boost
审计应采少优先级推进守护进程必须非负数0表示没变化
flush
长时间日志文件中写次数值NONEINCREMENTALDATASYNC果设置NONE需做特殊努力数刷新日志文件中果设置INCREMENTALfreq选项值确定长时间发生次磁盘刷新果设置DATA审计数日志文件直步果设置SYNC次写日志文件时数元数步
freq
果flush设置INCREMETNAL审计守护进程写日志文件中前核中接收记录数
num_logs
max_log_file_action设置ROTATE时保存日志文件数目必须0~99间数果设置2会循环日志果递增日志文件数目必递增etcauditauditrules中核backlog设置值便留出日志循环时间果没设置num_logs值默认0意味着循环日志文件
dispatcher
启动守护进程时审计守护进程动启动程序守护进程传递程序进步定制报表者您定义分析程序兼容格式产生定义程序示例代码usrsharedocauditskeletonc中找调度程序根户特权运行选项时极心选项必需
disp_qos
控制调度程序审计守护进程间通信类型效值lossylossless果设置lossy审计守护进程调度程序间缓区已满 (缓区128千字节)发送调度程序引入事件会丢弃然log_format没设置nolog事件然会写磁盘中果设置lossless调度程序发送事件前日志写磁盘前调度程序会等缓区足够空间
max_log_file
兆字节表示日志文件容量达容量时会执行max_log_file _action指定动作
max_log_file_action
达max_log_file日志文件时采取动作值必须IGNORESYSLOGSUSPENDROTATEKEEP_LOGS果设置IGNORE日志文件达max_log_file采取动作果设置SYSLOG达文件容量时会系统日志var logmessages中写入条警告果设置SUSPEND达文件容量会日志文件写入审计消息果设置ROTATE达指定文件容量会循环日志文件会保存定数目老文件数目num_logs参数指定老文件文件名auditlogN中 N数字数字越文件越老果设置KEEP_LOGS会循环日志文件会忽略num_logs参数会删日志文件
space_left
兆字节表示磁盘空间数量达水时会采取space_left_action参数中动作
space_left_action
磁盘空间量达space_left中值时采取动作效值IGNORESYSLOGEMAILSUSPENDSINGLE HALT果设置IGNORE采取动作果设置SYSLOG系统日志varlogmessages写条警告消息果设置 EMAILaction_mail_acct址发送封电子邮件varlogmessages中写条警告消息果设置 SUSPEND审计日志文件中写警告消息果设置SINGLE系统单户模式果设置SALT系统会关闭
action_mail_acct
负责维护审计守护进程日志理员电子邮件址果址没机名假定机名址root必须安装sendmail配置指定电子邮件址发送电子邮件
admin_space_left
兆字节表示磁盘空间数量选项设置space_left_action更动性动作防万space_left_action没理员释放磁盘空间值应space_left_action果达水会采取admin_space_left_ action指定动作
admin_space_left_action
磁盘空间量达admin_space_left指定值时采取动作效值IGNORESYSLOGEMAILSUSPENDSINGLEHALT值关联动作space_left_action中相
disk_full_action
果含审计文件分区已满采取动作值IGNORESYSLOGSUSPENDSINGLEHALT值关联动作space_left _action中相
提示:
果循环审计日志文件含varlogaudit分区变满引起系统错误建议varlogaudit位单独专分区
4资源控制配置
测评容:LINUX系统未配置单账户资源限制值
资源控制值etcsecuritylimitsconf文件限制:
limitsconf 文件实际 Linux PAM(插入式认证模块Pluggable Authentication Modules)中 pam_limitsso 配置文件针单会话
limitsconf格式:
username@groupname type resource limitusername@groupname:设置需限制户名组名前面加@户名区通配符*做户限制
type: softhard soft 指前系统生效设置值
hard 表明系统中设定值
soft 限制har 限制高 表明时设置 soft hard 值
resource:
core 限制核文件
date 数
fsize 文件
memlock 锁定存址空间
nofile 开文件数目
rss 持久设置
stack 栈
cpu 分钟单位 CPU 时间
noproc 进程数目
as 址空间限制
maxlogins 户允许登录数目
limitsconf 文件配置生效必须确保 pam_limitsso 文件加入启动文件中
第十五条 MySQL配置
注:MYSQL系统版影响配置建议沟通开发商验证设置根身系统特性符合实际情况
1 口令文件配置
测评容:MySQL数库系统缺少口令长度复杂度更新周期限制
建议:
1) MySQL数库缺少方面设定功建议通建立完善口令理规定规定户口令长度必须68位必须字母数字2种组合定期进行口令修改
2) 通安全远程连接工具软件口令进行配置
1户登录失败处理设置
测评容:MySQL数库系统缺少户登录失败处理功
建议:
1) MySQL数库缺少方面设定功建议通建立完善口令理规定规定权限户接触数库权限户尝试数库登录操作
2) 通安全远程连接工具软件非法户口令尝试登录次数做限制限制3次
2数库日志
3) 日志文件类型概述:
1.
错误日志 记录启动运行停止mysqld时出现问题
Myini配置信息:
#Enter a name for the error log file Otherwise a default name will be used
#logerrordmysql_log_errtxt
2.
查询日志 记录建立客户端连接执行语句
Myini配置信息:
#Enter a name for the query log file Otherwise a default name will be used
#logdmysql_logtxt
3.
更新日志 记录更改数语句赞成该日志
Myini配置信息:
#Enter a name for the update log file Otherwise a default name will be used
#logupdatedmysql_log_updatetxt
4.
二进制日志 记录更改数语句复制
Myini配置信息:
#Enter a name for the binary log Otherwise a default name will be used
#logbindmysql_log_bin
5.
日志记录执行时间超long_query_time秒查询索引查询
Myini配置信息:
#Enter a name for the slow query log file Otherwise a default name will be used
#long_query_time 1
#logslowqueries dmysql_log_slowtxt
3LINUX环境配置:
Sql代码
1 # [mysqld] 中輸入
2 #log
3 logerrorusrlocalmysqllogerrorlog
4 logusrlocalmysqllogmysqllog
5 long_query_time2
6 logslowqueries usrlocalmysqllogslowquerylog
# [mysqld] 中輸入 #log logerrorusrlocalmysqllogerrorlog logusrlocalmysqllogmysqllog long_query_time2 logslowqueries usrlocalmysqllogslowquerylog
windows环境配置:
Sql代码
1 # [mysqld] 中輸入
2 #log
3 logerrorEPROGRA~1EASYPH~10B1mysqllogserrorlog
4 logEPROGRA~1EASYPH~10B1mysqllogsmysqllog
5 long_query_time2
6 logslowqueries EPROGRA~1EASYPH~10B1mysqllogsslowquerylog # [mysqld] 中輸入 #log logerrorEPROGRA~1EASYPH~10B1mysqllogserrorlog logEPROGRA~1EASYPH~10B1mysqllogsmysqllog long_query_time2 logslowqueries EPROGRA~1EASYPH~10B1mysqllogsslowquerylog
开启慢查询
long_query_time 2 指执行超久sql会log里2秒
logslowqueries usrlocalmysqllogslowquerylog 查询返回较慢语句进行记录
logqueriesnotusingindexes nouseindexlog 字面意思log没索引query
logmyloglog 执行语句进行记录
注:日志存放默认情况开启时日志存放DataDir目录 果没指定名称话会机名名称 机名songcomputer相关日志songcomputerlog文件
Mysql日志关闭开启:
命令查否启日志
mysql>show variables like 'log_’
Value值OFF表示未开启服务开启需myini配置信息写入(myinimysql安装目录)然掉前面#
号重启mysql服务OK现会指定日志文件已创建相反停止mysql日志服务需myini中应配置信息掉
1 连接数配置
日志理分析制度(包括维护员更改服务器户属性服务器配置记录手册)
信息技术科统负责实时安全危险性较关键服务器周检查次监控日志应建立日常审计日志理规定防止重日志记录丢失毁坏篡改日常审计应专门员完成员应具备相应安全审计技相关安全知识日常审计员负责进行日常安全事件合规性审计时填写审计日志审计日志容应包括日非法变更非法入侵情况ID申请敏感交易情况等容
某单位安全事件报告处置理规定
第条 加强某单位计算机安全理防范信息系统技术风险保障信息系统安全运行根中华民国计算机信息系统安全保护条例制定制度
制度适:
第二条 信息部门计算机安全事件报告必须做快速时客观真实实行口理分报告原
第三条 信息部门负责系统计算机安全事件接报汇总通报处置工作
第四条 信息部门运行计算机安全理员负责辖区计算机安全事件报告接报协助处理工作
第五条 发生计算机犯罪案件单位应关规定级公安局监部门报告
计算机安全事件具体包括:
()信息系统软硬件障
(二)网络通信系统障
(三)供电系统障
(四)系统感染计算机病毒
(五)数处理中心遭水灾火灾雷击
(六)信息部门网络遭遇入侵攻击
(七)信息系统敏感数泄露
(八)信息系统数失窃
(九)信息部门数处理设备失窃
符合条件计算机安全事件必须报告:
()计算机信息系统中断运行正常超4时
(二)造成直接济损失超100万元
(三)严重威胁单位资金安全
(四)计算机安全事件造成单位正常运营影响范围较
计算机安全事件报告包括容:
()计算机安全事件发生时间点单位单位负责联系方式
(二)计算机安全事件类涉软硬件系统情况事件发生程
(三)计算机安全事件造成果影响范围
(四)计算机安全事件发生原
(五)责涉案员
(六)计算机安全事件发生采取应急措施
第六条 发生计算机安全事件逐级报程序事件发生部门事件发生12时单位信息部门报告
第七条 均权信息部门报告存计算机安全隐患接报告信息部门应立报告进行初步评估必应组织计算机安全隐患进行检查处置
第八条 计算机安全事件必须时报报告容应素齐全客观准确计算机安全事件报告制度执行情况列计算机安全检查容
第九条 计算机安全事件信息部门会事件涉部门提出方案处理报告报计算机信息安全领导组审核通相关责进行处罚
第十条 制度印发日起实施
安全事件理
第十条 安全事件通报制度
参标准:
GBZ 209862007信息安全技术信息安全事件分类分级指南
GBZ 209852007信息技术安全技术信息安全事件理指南
第十二条 安全事件类型
称安全事件包括已发生已发生安全事件信息包括预见发生安全事件
事件类型定义根影响程度济损失威胁程度等
()计算机信息系统中断运行正常超4时
(二)造成直接济损失超100万元
(三)严重威胁资金安全
(四)计算机安全事件造成正常运营影响范围较
第十三条 安全事件现场处置职责
信息安全领导组负责网络信息安全通报工作组织指导协调确定承担单位网络信息安全信息通报工作职部门负责联络员
信息安全领导组根安全事件发生类型发生安全事件进行处置定期已发生已发生安全事件信息进行分析网络信息安全事件分级分类分析方式包括:异常现象分析直觉判断工具分析事件数分析信息综合分析等已发生已发生安全事件信息分析结果进行记录参考附件
第十四条 事件报告理职责
信息安全事件实行分等级响应处置制度安全事件快通适理渠道报告制定正式报告程充员工知道报告安全事件程序责信息安全事件发生根危害发生部位迅速确定事件等级根等级启动相应响应处置程序定期安全弱点疑事件进行报告告知员工未许测试弱点属滥系统确定事者入侵疑事件应报告安全事件报告应记录案档留存
通报方式采取例行通报紧急通报两种方式
例行通报明确专负责定期时信息安全领导组汇总报告单位关突发事件发生状况动
紧急通报:旦出现预警信号区单位应第时间形成书面预警报告时报信息安全领导组安全事件发生期间日次信息安全领导组报告关情况
信息安全领导组作安全事件报告职部门事件报告根职部门求发现未发现安全事件报告职部门发生计算机安全事件逐级报程序事件发生12时计算机安全部门报告
信息安全领导组负责接报安全事件报告时进行处理填写信息系统安全事件记录表记录事件处理程重区域业务应发生安全事件注意控制事件影响追究安全事件发生技术原理责写出处理报告进行必评估
计算机安全事件报告包括容:
()计算机安全事件发生时间点单位单位负责联系方式
(二)计算机安全事件类涉软硬件系统情况事件发生程
(三)计算机安全事件造成果影响范围
(四)计算机安全事件发生原
(五)责涉案员
(六)计算机安全事件发生采取应急措施
第十五条 期恢复理职责
信息安全领导组作单位网络信息安全信息期职部门负责已发生已发生安全事件进行汇总发生安全弱点疑事件进行明确定义情况户均应尝试验证安全事件疑事件
信息安全领导组已发生安全事件开展教育培训确保发生类似安全事件时时处理恢复信息系统安全事件带影响减低
密切关注突发事件预警系统监测变量严防突发事件出现反复突发事件发生单位关部门应事件原全程进行彻底调查
适机制事障类型数量代价量化监督该信息重复发生影响事障指导出需增强附加控制限制未出现事频度损坏代价
信息安全领导组应突发事件处置工作进行评估总结针突发事件处置程中暴露出问题修改完善监测措施评级体系风险预警机制提出完善相关法规建议工作员进行突发事件发生处置培训
信息安全领导组应召集部门定期安全事件通报处置期恢复等进行宣传教育员培训
第十六条 安全事件定级
参标准:
GBZ 209862007信息安全技术 信息安全事件分类分级指南
GBZ 209852007信息技术 安全技术 信息安全事件理指南
第十七条 安全事件分级
信息安全事件分级考虑三素:信息系统重程度系统损失社会影响
信息系统重程度
信息系统重程度考虑信息系统承载业务国家安全济建设社会生活重性业务信息系统赖程度划分特重信息系统重信息系统般信息系统
系统损失
系统损失指信息系统安全事件信息系统软硬件功数破坏导致系统业务中断事发组织造成损失考虑恢复系统正常运行消安全事件负面影响需付出代价划分特严重系统损失严重系统损失较系统损失较系统损失说明:
社会影响
社会影响指信息安全事件社会造成影响范围程度考虑国家安全社会秩序济建设公众利益等方面影响划分特重社会影响重社会影响较社会影响般社会影响
计算机安全事件具体包括:
()信息系统软硬件障
(二)网络通信系统障
(三)供电系统障
(四)系统感染计算机病毒
(五)数处理中心遭水灾火灾雷击
(六)网络遭遇入侵攻击
(七)信息系统敏感数泄露
(八)信息系统数失窃
(九)数处理设备失窃
(十)计算机安全事件
第十八条 安全事件定级
安全事件处置需贯穿整安全理全程类突发公事件性质严重程度控性影响范围等素般分四级:Ⅰ级(特重)Ⅱ级(重)Ⅲ级(较)Ⅳ级(般)
特重事件(I级)
特重事件指够导致特严重影响破坏信息安全事件包括情况:
a)会特重信息系统遭受特严重系统损失
b)产生特重社会影响
重事件(II级)
重事件指够导致严重影响破坏信息安全事件包括情况:
a)会特重信息系统遭受严重系统损失重信息系统遭受特严重系统损失
b)产生重社会影响
较事件(III级)
较事件指够导致较严重影响破坏信息安全事件包括情况:
a)会特重信息系统遭受较系统损失重信息系统遭受严重系统损失般信息系统遭受特严重系统损失
b)产生较社会影响
般事件(IV级)
般事件指满足条件信息安全事件包括情况:
a)会特重信息系统遭受较系统损失重信息系统遭受较系统损失般信息系统遭受严重严重级系统损失
b)产生般社会影响
附件 信息系统安全事件记录表
编 号:
填写
填写时间
发生时间
恢复时间
事件现象
处理程
事件原
责
教训总结
影响范围
整改方法
负责意见
签字:
技术支持单位意见
签字
文档香网(httpswwwxiangdangnet)户传
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档
某单位
信息安全理制度汇编
制定部门
某单位
审 核
批 准
生效日期
制度修订修改记录
更改日期
原章节容
修订容
修订部门
批准
备注
目录
某单位信息安全总体方针安全策略 3
某单位信息安全工作理规定 12
某单位信息安全理策略 16
某单位机房设备理规定 25
某单位信息设备理办法 29
某单位网络安全理办法 34
某单位病毒防范安全理办法 42
某单位备份恢复理规定 45
某单位网站运行维护理办法 49
某单位信息系统变更理办法 51
某单位信息安全惩戒理规定 56
某单位第三方访问理程序 57
某单位信息项目理规定 60
某单位消防理制度 63
某单位软件理办法 65
某单位帐户权限口令理规定 67
某单位项目测试验收理办法 73
某单位信息系统应急响应理规定(条款序号) 76
某单位信息系统建设理办法 82
某单位信息系统运行理办法 87
某单位网络接入理办法 93
某单位信息资产理办法 96
某单位信息系统安全理岗位职责 99
某单位员工安全理规定 101
某单位运行维护理规定 108
某单位安全岗位员理规定 110
某单位培训教育理规定 116
某单位外员安全理规定 121
某单位介质理规定 125
某单位环境设施物理设备理规定 129
某单位网络连接理规定 136
某单位计算机户安全手册 138
某单位系统安全理说明 142
某单位安全事件报告处置理规定 164
某单位信息安全总体方针安全策略
总
第条 建立实施运行监督评审保持改进某单位信息安全理体系确定信息安全方针目标
第二条 信息安全风险进行效理确保全体员理解遵执行信息安全理体系文件持续改进信息安全理体系效性特制定文件
信息安全总体方针
第三条 信息安全方针:安全第综合防范预防持续改进
() 安全第:信息安全信息系统业务连续性提供基础保障信息安全作信息系统建设系统运行首务
(二) 综合防范:理措施技术措施重建立效识预防信息安全风险机制合理选择安全控制方式信息安全风险发生概率降低接受水
(三) 预防:国家相关规定信息安全理实践根信息资产重性等级定期重信息资产进行安全测评采取效措施消隐患程度降低信息安全事件发生概率
(四) 持续改进:建立全面覆盖信息安全层面安全理机制建立持续改进体系框架断完善业务稳定运行提供安全保障
第四条 总体目标
() 保护信息系统数完整性性机密性遭受破坏更改泄漏
(二) 确保信息系统连续正常运行提供时持续高质量服务断改进
(三) 信息安全理体系建设运行满足信息系统日常安全理需覆盖安全理层面
安全策略
第五条 信息资产理策略
() 类信息资产信息技术科负责统筹理责
(二) 信息资产进行梳理建立信息资产清单明确信息资产员运维员理员等相关责制定职责信息资产清单应定期维护更新定期信息资产进行盘点确保信息资产账实相符合完损
(三) 确保信息资产受适保护信息应分类显示需保护求优先程度信息分类应业务信息访问需求需求带影响进行划分分非常重重般三等级
(四) 信息资产分类应该具定灵活性信息资产分数软件硬件文档设备员等6种类型容:
1) 数:储存电子媒介种数资料包括源代码数库数种数资料系统文档运行理规定户手册等
2) 软件:应软件系统软件开发工具资源库等
3) 硬件:服务器路器交换机硬件防火墙交换机备份存储设备等
4) 文档:纸质种文件项目程文件日常理记录文件发展规划等
5) 设备:UPS电源设备空调门禁消防设施等
6) 员:系统理员维护员外包服务员等
(五) 建立信息系统资产清单明确信息系统负责理员落实岗位职责国家信息系统安全等级保护基求(GBT 222392008)求信息系统分级级采取相应安全保护措施
(六) 信息系统分级采取应安全保护措施必须相应负责定期检查
(七) 类信息资产必须进行标识理标识容包括资产名称资产信息属系统资产类重级责等
第六条 员安全理策略
() 访问敏感信息外包服务员应访问信息处理设施前签署相关协议
(二) 理员离职时确保设备删访问权限员离前履行交接手续确保密码设备技术资料相关敏感信息等移交
(三) 安全教育指单位安全教育部门教育岗位教育安全教育制度应纳入单位员工教育体系安全教育结合实际情况编制具体安全教育计划计划明确针性适时修正变更补充容安全教育办公室负责次安全教育必须考核机制
第七条 物理环境安全理策略
() 设立物理安全保护区域该区域包括放置重存储设备网络设备等重信息科技设备区域物理安全保护区域出入口设置安全屏障(门禁)
(二) 确保授权员访问物理安全保护区域整访问程应监控记录
(三) 采双回路市电UPS等措施保证设备电力供应连续
(四) 建立严格设备维护流程保证设备性信息完整性般情况允许信息处理设备带出机房需设备带出机房需进行审批
(五) 教育局属便携式设备台式机笔记掌电脑便携式电子设备负责保护允许设备放守没安全防范措施环境中
(六) 办公电脑需根安全求统安装防病毒软件设置密码屏幕保护员离开需启动屏保关机
(七) 员离开门禁卡重文件等允许摆放桌面需妥善保
第八条 网络安全理策略
() 网络系统运营安全防范实行统理政务外网局域网应分指定专负责维护操作建立维护记录
(二) 理员需网络交换机路器等网络关键设备进行定期检查保养发现问题进行记录分析踪解决
(三) 建立网络理系统监控网络资源运行状态保障网络安全运行踪网络配置变化等
(四) 严格控制网络访问权限定期网络线路进行例行检查防止非法接入
(五) 根信息安全级网络划分逻辑安全域(简称域)实施效安全控制域整网络进行物理逻辑分区实现网络容滤逻辑访问控制传输加密网络监控记录活动日志等
(六) 网络交换机路器等网络关键设备备份骨干网重通讯线路网点通讯线路必须备份冗余回路
第九条 运行安全理策略
() 建立理操作信息处理设备责流程包括制定适操作手册回退流程关键环节实行相互监督制度减少疏忽滥系统风险信息处理设备操作文档化说明作操作记录文档中应具操作详细执行说明操作说明文档必须套正式理流程进行授权操作行进行评估审计
(二) 定期备份重业务信息软件足够备份设备进行重业务信息软件备份灾难发生存储设备失败时够恢复系统定期备份符合业务连续性策略求
(三) 存储介质必须受控制物理保护存放敏感信息存储介质必须套合适理标准进行理需介质中容必须安全清存储介质允许存放传输业务技术敏感信息移动介质允许重业务处理服务器敏感电脑重业务介质需保存档案室保密文件柜
(四) 制定相关制度标准理信息系统日志支持效审核安全取证分析预防欺诈应保证系统日志中包含足够容便完成效部控制解决系统障满足审计需应采日志备份制度确保完整性意外情况发生应时复查系统日志
(五) 部署防病毒系统建立全面计算机病毒查杀机制连入部域电脑设备应安装杀毒软件接入前进行病毒扫描制定病毒库升级策略扫描策略定期进病毒库更新病毒扫描
第十条 访问控制理策略
() 建立完善身份认证授权访问控制应层通信加密等应层安全系统理规定改善业务应系统整体安全性部署理身份认证系统授权访问控制系统
(二) 严格控制访问权限审批制定符合业务操作流程访问控制审批单形成访问控制审批程记录访问控制理部门应拒绝合理访问控制请求
(三) 信息系统信息处理设备必须具户标识户口令特权访问控制措施重信息系统信息处理设备需两种身份鉴方式原求系统户标识唯户密码应具定复杂度需字母字符数字等组成密码长度8位六月定期进行更换
(四) 信息技术科需定期定期检查户ID建立权限划分密码变更否符合控制策略规定
(五) 允许没通身份验证情况访问信息系统设备信息处理系统连续登陆尝试应受限制
(六) 信息系统户应遵守良口令设置惯信息系统户应养成良计算机惯公设备根实际情况会话结束执行合适锁定机制户身份鉴定户允许享身份组身份非安全理员批准户该户身份执行操作负责
(七) 户网络访问权限实行化原户网络访问应设定强制式路径
(八) 服务器网络设备户标识应唯登陆服务器网络设备户户标识户标识确认户操作行作追究责
(九) 通安全设备安全技术进行应系统访问控制容许合法户逻辑访问应系统中信息敏感系统配备专隔离区域设置信应系统享资源
(十) 建立监控信息处理设备情况程序设备保证户进行明确授权活动需监控级应评估风险确定
第十条 移动设备安全理策略
() 移动设备远程访问业务信息时成功认证通访问控制机制准许连接原允许公场合移动设备远程访问业务系统
(二) 移动存储介质理遵循谁谁负责原移动存储介质员负责移动存储介质安全移动存储介质程中种安全威胁造成数泄露负责
(三) 外员移动存储介质接入教育局计算机系统前应征计算机者意计算机者接入外明移动存储介质导致安全问题负全部责
(四) 涉密移动存储介质教育局涉密计算机涉密信息系统严禁涉密移动存储介质互联网连接计算机计算机
(五) 涉密移动存储介质保存涉密信息必须信息容进行加密处理
第十二条 数安全理策略
() 根数重程度敏感程度进行分级理保护
重程度划分标准:
1) 重程度高:旦数安全受损会中断关键业务运行会造成重财务损失会导致严重社会影响会造成严重法律果等
2) 重程度中:旦数安全受损会关键业务运行直接影响造成定程度财务损失造成定程度声誉损失造成定程度法律果等
3) 重程度低:旦数安全受损关键业务运行直接影响仅造成较财务损失仅造成较声誉损失造成法律果等
敏感程度划分标准:
1) 高敏感程度(保密):单位根利益着决定性影响果泄露会造成灾难性影响
2) 中敏感程度(部):仅单位部设部门部公开外扩散组织利益造成损害
3) 低敏感程度(公开):社会公开者公开单位利益造成损害
(二) 保障网络配置操作系统数库配置等数安全性操作维护员授权进入系统台数库中业务数进行维护时操作员监督进行办公动化系统中教育局员通认证授权系统登录浏览权限范围容电子邮件文档电子邮件容台特殊格式存放拥相关权限员登录系统
(三) 采加密数字证书等技术手段防范数传输处理存储程中出现泄露篡改风险允许明文方式存储传送户密码等涉密敏感信息
第十三条 信息安全事件理策略
() 策略称信息安全事件指然者软硬件障等原信息系统造成危害社会造成负面影响事件
(二) 加强信息安全事件理时掌握分析重信息安全事件关情况降低信息安全事件带损失保障网络信息系统安全运行
(三) 制定信息安全事件理规定包括信息安全事件分类分级响应流程评估处理总结改进相关员组织定位相关部门员公布相关部门员熟知信息安全事件响应流程够相互协作条理执行相关流程确保关部门事件处理中够集中精力做出适效决策减少产生危害
(四) 信息安全事件事件产生影响分A类(会社会秩序公利益造成特严重损害)B类(会社会秩序公利益造成严重损害)C类(会单位部利益造成特严重损害)D类(会单位部利益造成严重损害)
(五) 信息安全事件响应流程分信息安全事件报识信息安全事件通报信息安全事件遏制信息安全事件解决恢复四流程应系统运维服务单位设备提供商等保持联系保证信息安全事件发生时采取行动取关意见
(六) 信息安全事件事处理包括信息安全事件调查信息安全事件总结信息安全事件报告三方面
(七) 根前述信息安全事件策略明确相关部门员阶段中职责进行培训事件发生立准确响应
第十四条 业务连续性理策略
() 利安全测评风险评估结果应制定计划维护重业务进程停顿失效限定时间恢复业务操作旦制定计划
(二) 业务连续性计划定期演练确保效性种测试应确保恢复组员相关员知道项计划业务连续性计划定期进行更新
某单位信息安全工作理规定
总
第条 策略目标:加强某单位(简称单位)信息安全保障力建立健全单位安全理体系提高整体网络信息安全水保证网络通信畅通业务系统正常运营提高网络服务质量单位安全体系框架策略明确单位安全工作展开办法指导部门展开安全工作
第二条 适范围:策略适单位科室部门信息安全工作信息安全工作纲领性策略
信息安全工作基原
第三条 等级划分原:国家信息安全等级保护求根业务系统重程度面风险等素决定类信息安全保护级合理规划
第四条 步规划步建设步运行原:安全建设应业务系统步规划步建设步运行环节疏忽业务系统带危害
第五条 三分技术七分理原:网络信息安全单纯技术问题需采安全技术产品时重视安全理断完善类安全理规章制度操作规程全面提高安全理水
第六条 外重原:安全工作需做外重防范外部威胁时加强规范部员行审计机制
第七条 整体规划分步实施原:需单位信息安全建设进行整体规划分步实施逐步建立完善信息安全体系
第八条 风险理原:进行安全风险理确认影响信息系统安全风险较低成降低接受水
第九条 适度安全原:没绝安全安全易性矛盾需做适度安全找安全易性衡点
第十条 统理原:安全建设应业务系统相结合做全程全网统监控审计统理
安全组织工作理
第十条 单位网络信息安全组织机构包括:
1 单位信息安全领导组:单位网络信息安全工作领导决策机构
2 单位信息安全工作组:单位信息安全工作执行机构
3 单位信息安全实施组:单位信息安全工作组日常执行机构该机构日常相关工作单位信息技术科完成
第十二条 加强部员安全理特权原清晰划分岗位岗位职责中明确信息安全责害工作岗位实现职责分离关键事务双岗重岗位员备份定期进行员安全审查关员岗位安全详见安全岗位员理规定中规定
第十三条 员工应签署保密协议接受信息安全教育培训提高安全意识时报告网络信息安全事件关员工安全详见员工安全理规定培训教育理规定中规定
第十四条 必须加强第三方访问外包服务安全控制风险评估基础制定安全控制措施第三方单位外包服务单位签署安全责协议明确安全责关第三方员安全详见外员安全理规定中规定
安全体系运作理
第十五条 建设完整安全体系实现设计实施修改维护生命周期安全体系身保障
第十六条 安全策略身应规范创建执行修改更新废止等整生命周期维护保障
第十七条 单位信息安全体系建设维护通时获知评价信息安全现状通安全现状评估实施信息安全建设工作减少降低信息安全风险提高信息安全保障水
安全风险理
第十八条 必须加强信息资产理建立维护信息资产清单维护新网络拓扑图建立信息资产责制信息资产进行分类理贴标签
第十九条 安全威胁提前预警时国外安全信息通知单位级信息安全理员员工确保够时采取应措施降低单位信息安全风险
第二十条 应部署网络层面系统层面访问控制安全审计安全监控技术措施保障业务系统安全运行
项目建设安全理
第二十条 加强项目建设安全理配套安全系统必须业务系统步规划步建设步运行加强安全规划安全评估证理关项目安全理详见某单位信息项目理规定中规定
运行维护安全理
第二十二条 加强机房办公区域安全理设备正常运行提供物理环境安全保障
第二十三条 建立日常维护操作规程变更控制规程规范日常运行维护操作严格控制审批变更行关日常维护变更理详见运行维护理办法某单位信息系统变更理办法中规定
第二十四条 加强单位病毒防治工作提升单位病毒整体防护力降低防范病毒单位业务造成影响关病毒防护理详见某单位病毒防范安全理办法中规定
第二十五条 加强户帐号权限理特权原户分配权限避免出现帐号情况关帐号权限理详见运行维护理规定中规定
第二十六条 制定业务系统应急方案时发现报告处理记录关应急响应安全理详见某单位应急响应理规定中规定
系统级安全理求
第二十七条 系统应建立安全维护作业计划严格执行维护作业计划加强设备操作系统数库应系统安全运行监控编写日常安全运行维护报告
第二十八条 系统求建立系统应急计划计划容基单位相关安全策略
某单位信息安全理策略
策略目标
加强某单位(简称单位)信息安全保障力建立健全单位安全理体系提高整体信息安全水保证业务系统正常运营提高网络服务质量单位安全体系框架策略规范单位安全策略制定发布修改废止检查监督落实建立科学严谨理办法
适范围
策略适单位信息技术科部门安全专员
安全策略制定权限
第条 单位信息技术科负责制定单位层安全策略包括:单位信息安全体系单位安全策略框架单位信息安全方针单位信息安全体系等级化标准单位安全技术标准技术规范单位安全理制度规定单位安全组织机构员职责单位户协议
第二条 属员组织遵单位发安全策略结合系统实际情况制定细化成适部门具体理办法实施细操作规程等单位规章制度相抵触须报单位信息技术科备案
安全策略制定求
第条 单位安全策略中出现单位涉密信息
第二条 单位安全策略进行汇编时必须保留安全策略版控制信息密级标识
单位安全策略修改废止
第条 必须定期安全策略进行评审中适欠缺条款时进行修改补充已适信息安全制度规定应时废止
第二条 现行安全策略列情形时必须时修改:
1 发生重安全事件暴露出安全策略存漏洞缺陷时
2 组织机构业务系统进行重调整变更
3 事项两规章制度中规定致
4 级业务部门安全策略相抵触
5 需修改安全策略情形
第三条 现行安全策略列情形时必须时予废止:
1 关信息安全制度规定废止该信息安全制度规定失单位现行层策略相抵触
2 已规定事项已执行完毕没存必
3 已新规章制度代
第四条 单位层安全策略修改废止须单位信息安全领导审批确认单位信息技术科备案
单位安全策略监督检查
第条 安全策略发布实施部门应安全策略制度规定贯彻执行执行中存问题规章制度修改废止意见建议等情况进行检查监督意见建议时反馈信息技术科
第二条 保障项信息安全理制度贯彻落实单位信息技术科必须定期检查安全策略落实情况信息安全理制度落实情况检查信息安全检查工作重容
第三条 信息安全检查工作结束起草检查报告时必须通报安全策略落实情况执行力行必须提出整改意见限期纠改继续追踪落实情况
第四条 安全策略贯彻落实情况必须作重考核项目纳入部门综合考评体系
第五条 安全策略落实做出显著成绩部门应予表彰奖励违反规章制度造成严重果部门应追究事相关单位领导责具体参单位考核制度办理
户权限理
户权限
全网中设备权限配置功实现然差应确保安全基础提供户分级理功
户权限设置应遵循原:
() 操作系统理员:进行操作系统日常维护
(二) 数库理员:进行数库系统日常维护
(三) 安全理员:员系统操作进行行监督定期分析记录系统安全配置进行配置(包括日常业务需配置)
户权限划分均必须制约原操作系统理员具操作系统理权限数库理员兼中安全理员专职员
(四) 特权分散原:维护理重操作权力分散干程序节点户必须规定干具特权程序节点户齐实现该操作
(五) 授权原:仅户进行操作时必需权限分配户分配关更权限
户登录理
户通统程进行系统登录登录程应具功:
() 原唯户识符区分户权限特殊需情况组识符
(二) 户进行身份验证检查户否系统授权合法户
(三) 提示户访问级权限
(四) 确保身份验证结束前户法访问系统
(五) 户维护份统记录
(六) 户注销应立删户权限
(七) 定期检查整理户帐户期帐号时封闭长期帐号定期检查必时封闭
户口令理
户口令户登录系统关键保证口令安全性户口令理应该遵循安全原:
() 进行网络安全理时设备中级理口令密码系统理员统进行理注意保密
(二) 口令密码设置符合保密求针设备理权限设置分级口令
(三) 选择长口令般少8字符口令包括写英文字母数字组合姓名汉语拼音常见英文单词
(四) 定期改变口令3 月更换次重设备系统采次密动态密钥卡等方式
(五) 户口令明文显示显示器
(六) 户口令系统应数分开保存
(七) 采效措施保证户口令传输存储时安全例口令加密传输保存
运行安全
网络攻击防范
网络攻击防范防止网络恶意攻击保证网络正常运行网络攻击单位部兄弟单位员等网络攻击防范重点保护象核心路器核心交换机防火墙网络系统业务系统等重服务器等须防范网络攻击包括局限:网络系统资源数非法理分配破坏路网络系统拒绝服务攻击DoS病毒木马缓区溢出垃圾邮件等
单位应制定网络攻击防范措施策容少包括网络安全防护安全漏洞检测安全事件响应等三方面部门制定具体安全策略应报单位信息技术科审批备案
网络攻击防范应注意方面:
() 国家部门认网络攻击防范产品
(二) 网络边界重网段处架设防火墙防止非授权信息通
(三) 网络边界重网段处进行网络实时入侵检测果检测入侵行应立通知相关员进行应急处理
(四) 核心节点网络理中心安装网络漏洞扫描器整网络进行安全扫描便发现预防破坏活动发现漏洞应时通知相关员进行处理
(五) 网络中路器关键机等定期进行系统漏洞扫描发现漏洞应时通知相关员进行处理
(六) 保证网络中网络设备服务器间通信数传输防止传输信息泄露篡改删等非法操作
(七) 网络中网络设备应系统正常运行阶段应关闭业务关端口防止非法访问
(八) 允许设备软件供应商成超级户
(九) 季度服务器进行漏洞扫描出具漏扫报告
病毒防范
() 病毒防范工作应遵循原:
(二) 单位应分制定网络病毒防范规划安装配置病毒防范系统
(三) 相关设备禁止安装运行业务关软件防止关软件操作感染病毒
(四) 相关设备定期进行病毒检测发现病毒立汇报关部门进行应急处理
(五) 理员应采取安全方式时进行病毒检测软件病毒特征代码库升级定期进行防病毒工作登记记录
(六) 全体员工应增强病毒防范意识配合理员做病毒防范工作
访问控制
访问控制目防止未授权员网络设备服务器系统等资源修改破坏保证网络安全
1 外部网络间设置防火墙实现部网络访问控制
() 采防火墙技术虚拟LAN 技术实现部网安全域隔离访问控制
(二) 建议相关设备具分级户理功严格身份识机制
(三) 网络设备服务器系统提供服务必须具访问控制功保证认证通前提供服务
(四) 网络设备进行远端配置理时必须进行身份认证
(五) 采效手段保证网络设备配置理数传输安全
(六) 网络中应软件应防止异常中断非法进入系统
(七) 相关设备提供超时键盘锁定功
(八) 集成调试支持程分配合作伙伴系统户身份必须系统部门登记建立授权必须明确指定变更定义户权限容权限效时间工作员调离岗位时必须立取消该工作员系统户授权必须详细记录户定义授权变更
行审计
安全理员需系统相关设备操作进行记录防止相关设备非法
() 路器机服务器数库等运行维护理必须审计方案记录
(二) 应定期审计记录进行审查分析
(三) 相关设备系统软件应软件应具开审计功
(四) 事件必须审计记录:
l 网络设备服务启动关闭
l 网络设备服务配置修改
l 网络连接方式改变
l 登录网络设备服务器系统
l 异常情况
(五) 审计记录应包含信息:
l 户操作时户识符
l 事件发生日期时间
l 事件容操作结果
1 网络设备服务器审计记录应符合相应备份原
2 审计记录未授权户修改删
3 季度进行审计记录分析发现异常情况立汇报相关员
异常流量监控
() 优化网络运行理
通检测分析带宽状况合理分配带宽资源
(二) 强化网络行理
根种应业务流量制定相关策略限制非流业务峰值时段进行限速阻断
(三) 保障关键网络应
保障关键应(力资源系统网站系统等)限制非流业务占带宽监测阻断异常流量
(四) 实时监控网络运行
识阻断网络攻击根发连接数确定阻断DOS攻击等异常行保护网络设备安全
流量监控系统提供流量视化异常流量监测机制安全理员时掌握流量情况够通流量报表统计分析出整网机器流量排名调整安全策略QoS策略提供时通观察协议流量分布透视企业部网络运作情况网络流量做目然
操作安全
系统相关安全操作需安全理员进行配置:
() 重操作应相关员授权
(二) 必须严格设备系统操作规程进行日常操作
(三) 级操作员应仅权限范围进行操作非法拷贝增加修改删数
(四) 级操作员进行越权操作尝试
(五) 级操作员必须严格保身份识数(户卡口令等)泄漏
(六) 级操作员必须实记录操作日志
IP址理制度
IP址组织限资源时户认证种常手段意增加更改IP址理者需规划建立明确户IP址数库实施保密性处理
核心业务系统安全控制
1 网络访问控制
业务数库服务器开放中间件服务器系统理员相关数维护员均网络断开
2 数库维护员控制
数库维护员单独开户户单独开放数修改权限数库理员拥数库系统户全部权限负责数库系统日常维护数查询员单独开户赋予读权限期考虑专电脑进行查询
3 系统维护员控制
系统维护员单独开户户分配理权限系统理员拥系统理权限负责操作系统日常维护
4 数恢复
果种原导致系统数错误需进行历史数恢复通系统备份进行恢复
5 数库登陆日志
建立数库登陆日志记录次登陆IP时间户名等便日进行事踪追查
6 数库操作日志
建立数库操作日志记录次进行操作户ip时间户名数类型数象等便日志进行踪追查
7 定期更换密码
季度需更换次密码密码长度8位数字母字符组合
某单位机房设备理规定
总
第条 保障某单位(简称教育局)业务正常进行结合教育局实际机房设备情况特制定理办法
第二条 办法适托鄞州区信息中心机房IT基础设施(简称机房设备)理
第三条 教育局计算机信息安全领导组负责鄞州教育局信息设备安全理鄞州教育局部门外单位访员须遵守办法
理职责
第四条 机房信息设备某单位计算机信息安全领导组指定机房理员负责理维护职责:
() 负责信息设备日常运行监控定期维护检修
(二) 负责机房出入申请陪配合安全审计员审计机房门禁权限员进出记录
(三) 协调某单位部门外单位员做机房日常出入登记安防工作
(四) 配合区信息中心保持维护机房卫生环境美观
机房员出入理
第五条 进入机房员应遵守机房理办法
第六条 工作时间应急者巡检需应进入机房设备运行区域应量避免机房部值班
第七条 非工作员般进入机房特殊情况需相关部门负责批准教育局计算机信息安全员全程陪非工作时间进入机房员进入机房前需鄞州教育局机房进出登记表进行机房出入登记
第八条 机房严禁吸烟喝水进食嬉戏进行剧烈运动应保持机房安静
第九条 进入机房携带易燃易爆腐蚀性强电磁辐射性流体物质等设备正常运行构成威胁物品
机房设备出入理
第十条 非教育局计算机安全理组织架构员未许严禁擅进入机房进行机操作运行设备种配置进行更改
第十条 外单位技术协作员禁止携带笔记电脑相关存储设备未检查软件介质等进入机房应教育局计算机信息安全领导组提供指定设备进行操作
第十二条 机房设备进出需进行严格登记永久性设备应计入资产理时性设备果需机房进入前必须确定通FCCCCC认证保证电磁安全性
第十三条 员进出机房须手关门注意安全严禁设备包装等易燃材料放置遗留机房
机房设备运行操作维护理
第十四条 机房部重操作必须实行双复核作业
第十五条 机房中教育局设备关施工检修工程须报教育局计算机信息安全负责批准进行施工检修程中必须教育局计算机信息安全员相关员现场陪防止施工检修程中信息设备造成损坏禁止工作时间进行施工
第十六条 机房教育局设备应年进行机房安全检查演练设备维护保养
第十七条 教育局计算机信息安负责应定期定期办法执行情况进行检查督促项制度落实作员考核
机房设备卫生理
第十八条 信息设备托区政府信息中心机房单位维护员需季度单位设备信息进行扫保持设备卫生清洁
附
第十九条 办法教育局计算机信息安全领导组制定负责解释修订
附件 员出入申请表
申请 (申请填写)
鄞州教育局员
外单位员单位名称 电话
日期 (yyyymmdd):
估计进出时间 (hhmm):
进出事:
涉设备系统:
操作程 (申请填写)
操作目 涉设备系统 操作类型(检查修改)
技术操作说明
携带设备 类型 数量 接入(机网络UPS空调) 途
审批接收 (负责填写)
部门负责意见:
操作结果 (申请填写)
□操作 □成功
□失败包含:
□部分完成:
进出时间(hhmm) 签字
附件二 机房进出登记表
编号
日期
部门名称
员签名(陪员需签字)
事
进入时间
审批确认
某单位信息设备理办法
第条 加强硬件设备理设备理工作科学化规范化保证设备正常运行结合单位实际特制定办法
第二条 办法明确信息处理设备验收安装调试出入库维修报废等容理求
第三条 办法适类信息处理设备理
第四条 教育局信息技术科负责理类信息处理设备验收安装调试出入库维修报废
第五条 系统理员负责相关事宜审批
第六条 设备验收
新设备货系统理员合中设备清单数检查清点相关配置
第七条 设备安装调试
() 系统理员配合设备厂商系统集成商进行设备安装调试
(二) 安装完成检查误方准通电开机
(三) 设备安装完成根业务安全需求设备策略参数安全漏洞进行配置检查保障系统安全性方投入运行
第八条 设备出入库理
() 新设备验收完成系统理员根系统验收记录合容硬件设备相关资料进行登记更新设备清单
(二) 领新设备出库需进行硬件设备申领登记
第九条 设备
() 非维护员准擅机操作维护员设备进行设备维护关活动
(二) 严禁通电情况拆卸移动设备设备开停机需严格操作手册步骤进行
第十条 设备理
() 设备应贴说明标签说明设备设备名称途负责等关键信息
(二) 需建立设备清单设备清单中需详细记录设备品牌型号IP址途责重性级等信息
(三) 设备技术资料需时进行档理
(四) 应时做设备策略备份工作
第十条 设备维修
() 设备维修前需设备负责分领导说明维修原
(二) 厂商系统集成商维保期门维修设备设备负责全程陪门维修工程师做数备份保密措施
(三) 法现场维修需涉外维修设备需拆硬盘等数存储介质修复设备提前报废
(四) 硬盘等存储介质损坏进行维修直接换新介质损坏介质相关理员统保根介质安全理求定期销毁
第十二条 设备报废理
() 报废申请
1) 折旧年限已功丧失退化零部件损耗设备
2) 超强度然损耗等原造成性减化事频发法正常设备
3) 长期闲置预见未会设备
4) 软件系统更新技术进步等原设备
5) 国家规定必须报废设备
(二) 报废处理
1) 设备负责需信息技术科进行设备报废处理登记信息技术科相关负责审批签字
2) 专负责硬件设备容数进行销毁处理确认签字
3) 信息部门报废流程完根单位相关规定报财务等部门审批
附件 设备出入登记表
设备进出发起员填写
发起
负责员
进出事
协助单位
协助员
设备进出区域
□ 机房
□ :_________________
申请日期
设备进出状态
□ 进入机房
□ 迁出机房
计划实施
日期
进出紧急程度
□ 紧急
□ 普通
否需组配合
□
□ 否
设备信息登记
设备类型
□ 机
□ 网络设备
□ 软件介质
□ ( )
设备属
□ 鄞州教育局资产
□ 外部单位资产
□ 时设备(备件应急)
设备型号
数量
项目属
合编号
供电功率
电源数量
设备重量
占机柜空间
网络接入介质
□ 光纤
数量:
接入网络区域
□ 政务外网
□ 局域网
□ 网线
数量:
审核员签字意见
部门负责
鄞州教育局分领导
附件二 报废申报表 页 第 页
序号
品 名
设备编号
型号 规格
领时间
已时间(年)
原值(元)
报废原
设备
设备存放点
(单位编码)
备注
合 计
台(件)数:
金 额 数(元):
申请姓名:
联系电话:
申请时间:
某单位网络安全理办法
第条 办法规定网络理控制保证网络控制网络服务安全保障应系统信息网络传输程中安全
第二条 办法适网络架构设备安全理运行维护操作安全理
第三条 信息技术科负责信息网络安全理工作
第四条 网络建设规划理
() 网络建设规划方案设计应网络性扩展性理性前提
(二) 网络建设规划须安全需求进行分析评估充分考虑网络设备物理安全设备身安全漏洞网络边界安全入侵防护访问控制数分级保护敏感数保密等方面安全性求规划部署必网络安全防护产品
(三) 根重性安全性进行网络区域划分实现网络分级分类控制
(四) 采取必技术手段重业务数通讯提供优先服务支持保障
(五) 建立统 IP 址规划分配策略
第五条 网络联接理
() 网络安全区域模块化方式分部网络外联网络Interne网线网络应严格控制网络联通隔离针需求实施相应安全控制策略
(二) 外联网络Internet 网线网络等访问部网络应符合授权原应接入控制户认证机制
(三) 外联网络接入点应严控制须信息技术科授权许应明确外联网络边界范围识外部网络连接信息允许访问前实施适控制
(四) 原允许外员机器直接接入部网络果确需应信息技术科授权者开辟外部员专网络区域供
(五) 应严格控制类网络数分析设备确需求须审批
(六) 应重(敏感)网段进行监控整骨干网络区域进行性安全性监控时发现防止网络病毒网络攻击类黑客程序传播
(七) 存储敏感信息电脑严禁接入 Internet 网
第六条 网络配置理
() 应根设备类型制订相应安全配置理策略网络端口服务业务化原进行优化
(二) 应定期网络设备配置安全进行评估形成事踪机制
(三) 应根业务情况时维护网络设备配置信息
(四) 应制订明确配置备份策略配置更改时备份网络设备配置信息
(五) 重网络设备需开启日志功统通日志审计系统进行收集分析
第七条 网络户理
() 网络户权限控制须统理户名密码策略根总体方针安全策略中访问控制策略求进行设置
(二) 网络户须采切实行监控理审计机制
(三) 网络户权限分配变更应根业务求权限化原进行
第八条 访问控制理
() 应建立访问控制策略确保户访问明确授权业务
(二) 应网络路进行明确清晰控制确保户授权访问
(三) 网络登录监控操作均须严格户认证操作授权事件审计
(四) 应控制远程登录理明确户创建程中安全控制求
(五) 须通策略设置限制远程登录户访问范围访问权限
(六) 安全理员须定期远程登录户情况进行检查审计
第九条 网络应理
() 网络应需求分析阶段须充分考虑单位网络条件限制(带宽数加密网络规范等)选择合适网络协议网络通讯方式
(二) 应系统启(含升级)前 应提供明确网络访问控制需求明确址(包括 IP 址 MAC 址)网络协议端口网络安全保护等具体求
(三) 网络理员应建立应系统网络访问资源登记簿记录应系统网络资源(客户端址服务端址服务端端口号等)
(四) 新网络应进入网络前应进行适安全评估确保安全性
(五) 新网络应启应安全状况进行安全测评根测评结果完善优化安全策略
第十条 网络维护理
() 应建立规范网络维护流程网络配置标准操作规程
(二) 网络变更操作应根变更理制度形成变更记录形成文档档保
(三) 制订类网络障安全事件处理方法流程形成统联动处理机制
(四) 网络变更网络障处理等应详细文档应严格控制网络变更执行时间点员
(五) 网络安全设备应定期升级更新升级前备份设备策略
(六) 定期网络系统进行扫描
第十条 网络监控理
() 定期网络报警日志未授权访问配置变更户登录等信息进行监视审计
(二) 部署网络监控理软件网络设备通讯线路进行实时监控
(三) 应关键网络设备运行情况重网络线路状况进行24时监控
(四) 通日志审计系统保存完整网络日志信息确保日志信息完整性安全性
(五) 应定期检查分析网络设备日志信息检查分析结果记录形成文档
(六) 应网络设备配置日志变更障维护等资料进行时备份维护
第十二条 网络设备理
() 应建立骨干网络设备登记簿记录设备线时间维保时间障维修记录途等事项
(二) 重网络设备部署中心机房
(三) 网络设备应落实专理制订关键网络设备备份措施
(四) 业务需时开通网络设备期须时回收相关网络资源
网络系统安全运行包括三方面容:网络系统数资源安全保护二网络病毒防治理三网信息安全电子邮件四网络服务器设备升级漏洞扫描五网络服务器设备防护
数资源安全保护网络系统中存贮种数信息开展业务工作必须重数数资源破坏严重影响工作正常运行数资源安全保护手段数备份规定:
1网络应重部门数必须做季度备份
2网络系统重数时备份
3般机部门作周备份
4系统软件种应软件采磁盘光盘时备份
5数备份时必须登记备检查数备份必须正确
6严格网络户权限入网户名口令理
7备份数应保留3月
网络病毒防治
1服务器必须安装防病毒软件网网络保证台防病毒软件
2定期网络系统进行病毒检查清理
3磁盘须检查确认病毒方机
4严格控制磁盘交换外软磁盘部门外磁盘须检验认私造成病毒侵害追究事责
5加强网员职业道德教育严禁游戏盘网络玩游戏者发现严肃处理
网信息安全电子邮件
1 网络理员必须定期网坛网信息检查发现关泄漏政府机密反动言健康信息时删记录时报信息技术科
2网员收反动邮件责时报信息技术科报发现单位视情节轻重做相应处罚情节严重者单位提请刑事处罚
网络服务器设备升级漏洞扫描
1季度网络服务器设备升级补丁应根厂家提供软件进行升级补丁升级补丁前求重网络服务器设备进行备份
2定期网络服务器设备进行漏洞扫描3月次扫漏洞时修补
网络服务器设备防护
1网络服务器设备登录需户名+口令口令需字母数字特殊符号长度8位口令3月修改次
网络服务器设备(包括路器交换机认证服务器等)种密码根网络服务器设备理职责范围负责理维护泄漏
网络服务器设备类密码长度系统允许长度少8位
网络服务器设备类密码必须定期更换更换周期超60天核心网络服务器设备密码更换周期超180天
季度现网络设备服务器设备应系统日志进行汇总分析记录结果生成日志分析记录设备日志少保留1年
网络服务器设备理员工作调整具原网络服务器设备操作职时该部门负责必须时收回该员权限密码行安排重新进行密码设定
严格执行国家相关法律法规防止发生窃密泄密事件外员未单位领导批准意私外员单位网络系统作途
部门加强网络安全理检查监督旦发现问题时报相关负责信息安全负责分析指导关部门作善处理造成事责情节予必济行政处理
附:
网络安全策略
网络安全策略指保证网络提供定级安全保护必须遵守规网络安全工作核心网络安全策略仅包括技术策略安全理策略越越重安全策略具定时效性需实施中断优化调整安全技术措施安全产品应需盲目引进围绕安全策略具体需求序组织起架构动态安全防范体系网络安全策略必须基网络风险充分分析基础
网络接入条件求
l 应系统正式运行前实施安全策略求应系统提供源址(包括IP 址MAC 址)目标址(包括IP 址MAC址)应协议端口网络资源求安全保护求等信息
l 部员办公电脑应符合前端理规定
l 外员电脑原允许接入部网络果确工作需应授权应符合前端应关规定时采取登录认证技术进行检验记录
l 带离式设备网络接入必须充分保障设备线路网络安全
漏洞扫描
定期季度重服务器进行漏洞扫描扫描结果进行分析形成扫描报告必服务开放端口进行关闭限制存漏洞补丁
系统补丁
1) 补丁选择策略:
l 选择半年前发布厂商推荐稳定补丁
l 厂家推出新补丁进行适性分析优先选择相关补丁进行测试
l 时考虑设备部件微码中间件版匹配问题
2) 补丁安装原:
l 补丁安装前必须做系统备份
l 补丁安装前必须测试首先测试环境中进行测试测试通准业务环境投产业务测试误正式业务环境运行
l 维护包测试期建议少6月紧急关键补丁测试期酌情调整
l 新装重装系统必须安装符合补丁选择策略补丁
l 补丁投产时应分期备机环境进行投产序建议先备进行时间间隔应合理控制(建议二周)
运行日志理
l 网络设备必须建立运行操作日志保证日志信息完整性准确性建立检查机制
l 运行日志应包括:记录日期操作员复核员系统启联机时间联机时间完成工作容时间点错误容记录解决情况交接班记录等信息
l 网络设备出现障时应填写类障相关报告记录操作员发现户报告系统出现障障解决处理情况
l 操作员认真填写天运行日志准确记录联机批量障状况
l 运行操作日志必须包含操作复核两类签名运行操作应日检查系统运行情况检查运行操作日志填写档发现问题时处理
l 定期运行日志进行分类分析装订档建立系统运行日志日志信息长期保存备稽查
l 定期关键网络设备配置进行备份备份配置份保存份刻盘形式保存五防保险箱
某单位病毒防范安全理办法
第条 建立统病毒防范体系快速应类病毒性突发事件爆发时处置病毒带危害建立办法办法适单位信息系统服务器病毒防范理
第二条 信息技术科负责信息系统病毒防范理工作
第三条 预防理
() 构建预防防杀结合计算机病毒长效理应急处理机制全局应部署统防病毒产品实施全行统预警理
(二) 类计算机应安装指定防病毒软件启动防护功服务器设备定期更新终端设备实时进行更新
(三) 制订防病毒应急预案定期开展应急演练
第四条 检测控制理
() 应确保防病毒系统组件正常升级
(二) 防病毒理员应全面掌握辖范围防病毒系统运行状态
(三) 计算机户发现电脑遭受病毒攻击防病毒软件法正常清病毒时应立报告防病毒理员采取相应措施进行杀毒
(四) 外电子邮件外部必须交换移动存贮介质前须进行病毒检查
(五) 病毒规模爆发期间应时采取效措施防止病毒扩散消病毒隐患
(六) 造成业务影响病毒事件处理应编制报告文件说明病毒爆发原处理方法整改方法信息技术科负责汇报情况
第五条 监督检查理
() 防病毒理员须认真时做防病毒系统维护巡检监督
(二) 防病毒理员应定期分析总结防病毒系统运行情况月进行报
第六条 教育处罚
() 防病毒理员应定期计算机户进行防病毒培训介绍病毒感染途径破坏形式造成果等提高计算机户病毒认知力
(二) 类计算机员认真学计算机病毒防治知识技加强防范意识觉遵守关计算机病毒防治规定
(三) 工作严重失安装规定防病毒软件造成计算机信息系统遭受病毒侵害意输入计算机病毒蓄意危害破坏计算机信息系统行应根相关规定进行处罚
附件 病毒防范月报告表
X年X月
病毒事件发生数量
查杀病毒数量
防病毒软件否正常升级
病毒类型
影响业务病毒事件 X月X日
爆发原
处理方法
整改方法
影响业务病毒事件 X月X日
爆发原
处理方法
整改方法
某单位备份恢复理规定
第条 效防范系统风险规范数备份数恢复制度确保信息系统安全运行制定办法
第二条 办法适单位系统数备份恢复理
第三条 数备份容包括:教育局开发理程中关键业务数具体指计算机网络设备操作系统应软件系统数应数
第四条 根信息系统情况备份容种数备份方式:
() 完全备份:备份容进行整体备份
(二) 增量备份:仅备份相次备份新增加修改数
(三) 差分备份:仅备份相次完全备份新增加修改数
(四) 需备份:仅备份应系统需部分数
(五) 具体采取备份方式应够确保真实重现备份系统运行环境数
第五条 应根种数重性容量确定备份方式备份周期保留周期制定确保数安全效备份策略恢复预案具体备份恢复相关部门负责实施
第六条 计算机设备进行软件安装系统升级改造更改配置时应进行信息数设备参数完全备份应系统更新应实现数迁移转换确保历史数完整性确认误新系统数进行完全备份
第七条 数备份介质选择满足系统备份策略数备份保存求包括安全性方便性服务质量
第八条 信息备份系统须指定理建立修改理系统授权表系统授权口令相关部门进行数备份修改时应时做修改记录告理理出现离调职等情况应交接新理原系统理权限账户密码等进行重新设置
第九条 数备份理责部门加强备份介质理正确介质合理处理废弃介质备份介质应该放适保存安全环境防盗防潮防鼠害防虫咬避免高温高压磁性介质远离磁性辐射性等介质严格存取控制备份数介质进行定期检查确认备份数完整性正确性效性
第十条 出现障导致系统数确实损坏法抢救时需审核恢复预案估算损失具体操作:
() 恢复计划方案通相关部门意系统进行障操作恢复操作应影响障原追查障处理
(二) 恢复操作前相关信息系统系统理员应时场先备份现场系统数环境恢复方案求进行恢复
(三) 系统恢复应相关信息系统系统理员进行测试时进行次备份恢复情况应报告相关部门
(四) 重信息数季度进行次数全备年应少进行次备份数恢复演练做出性评估
第十条 认真做数备份文档工作完整记录备份系统配置备份数源相关信息做备份工作运行日志维护日志工作建立备份文件档案档案库详细记录备份数信息时做数备份文卷理备份应明确标识包括卷名备份时间运行环境备份等卷名统规命名系统名称—(数类型+备份方式+存储介质)备份时间序号组成
卷名命名示例
系统名称
数类型
备份方式
存储介质
备份时间
序号
ABC
0操作系统
1应软件
2应数
3
0完全备份
1增量备份
2差分备份
3需备份
4
0磁带
1光盘
2硬盘
3
YMD
XXX
注:某备份资料问卷理中记录信息:
() 卷名:办公动化22120140902001(表示备份资料:办公动化应数差分备份方式备份光盘备份时间2014年9月2日序号001)
(二) 运行环境包括操作系统名称版号数库名称版号等
(三) 备份部门名称备份姓名重备份数备份原少应保留两份拷贝份现保存保证数正常快速恢复数查询份现外保存避免发生灾难数法恢复
第十二条 应加强数备份理工作考核力度建立相应理规定未严格遵守规定造成备份系统发生障数丢失泄露导致信息系统法正常运行信息技术科应评估造成损失明确事原责信息安全惩戒理规定相关规定进行处理处理情况防范措施反映数备份报告中需时填写信息安全事件报告
附件 数备份恢复核查记录
核查时间: 核查:
备份理系统名称: 服务器名IP址:
备份理方式
备份象
数源设备名IP址
备份目
备份模式
备份周期
策略状态
新成功日期
数恢复验证
某单位网站运行维护理办法
第条 保证网站高速安全运行特制定办法
第二条 适网站运行维护程中涉安全理活动
第三条 信息技术科规定口理部门负责规定修订解释说明协调实施工作
第四条 系统理员负责网站日常更新维护工作确保网络运行通畅安全
网站信息发布理
第五条 部门发布信息资料部门负责系统理员初审关审定网站发布更新教育局网站实行网站容监督机制系统理员周两次(周二周四视实际情况调整)检查网站日更新容做相应日志旦发现异常情况危害网站安全情形时应立相关领导联系时相应版进行处理确保网站运行安全做日志记录
第六条 部门求常网查阅相关栏目时准确发布信息部门需保证负责相应容准确性时效性常规性容负责部门需月检查否现状相符
网站安全保密理
第七条 网站容必须遵守相关法律法规
第八条 网站安全涉网络保密理工作板块负责部门进行检查监督确保部门更新容安全
第九条 网站户登录名登录密码等应妥善保定期根情况更新账号密码转告泄漏予授权进行资料更新
第十条 系统理员发现危害信息应发现时立通知相关负责协调予解决:
() 违反宪法确定基原
(二) 危害国家安全泄漏国家机密颠覆国家政权破坏国家统
(三) 损害国家荣誉利益
(四) 煽动民族仇恨民族歧视破坏民族团结
(五) 破坏国家宗教政策宣扬邪教封建迷信
(六) 散布谣言扰乱社会秩序破坏社会稳定
(七) 散布淫秽色情赌博暴力恐怖者教唆犯罪
(八) 侮辱者诽谤侵害合法权益
(九) 煽动非法集会结社游行示威聚众扰乱社会秩序
(十) 非法民间组织名义活动
(十) 违反单位相关制度
(十二) 含法律行政法规禁止容
第十条 员事列危害网站安全活动:
() 窃取网站理账号密码
(二) 未允许网站功进行删修改者增加
(三) 未允许网站中存储处理者传输数应程序进行删修改者增加
(四) 通特网局域网恶意攻击网站导致网站正常运行
(五) 危害网站安全
第十二条 违反安全保密法规泄露单位秘密追究相关员责
某单位信息系统变更理办法
第条 规范信息系统问题变更理时准确处理信息系统问题变更保障单位计算机系统稳定高效安全运行特制定办法
第二条 办法称变更指业务系统业务环境作计划改动包括应程序更新软件缺陷修正业务数修改业务系统软硬件环境调整网络通信环境变化等
职责分工
第三条 信息技术科变更理职责
() 负责信息系统变更理审核工作
(二) 拟定信息系统变更理制度规定
(三) 负责变更项目方案编写证审核实施包括机系统网络业务数信息运行环境应软件等
(四) 业务部门提供变更技术支持
(五) 外部维护员操作信息系统变更情况进行检查核实
第四条 相关业务部门变更理职责
() 负责业务系统相关变更申请变更前审核工作
(二) 负责业务相关变更项目测试变更验证确认工作
(三) 时反映变更程中出现情况需解决问题
(四) 积极采取措施减少非正常数变更申请
变更分类
第五条 根变更身风险程度业务连续运行影响程度变更分常规变更般变更重变更重变更
第六条 常规变更指涉业务系统数运行环境规定操作指令预先确定脚业务系统数运行环境进行设置调整纠错等日常性事务性维护性变更
第七条 般变更指涉业务系统非关键数信息运行环境没业务运行连续性风险非常规变更通常业务环境改变单点者局部(网络端口开通外围系统环境恢复等)
第八条 重变更指涉业务系统非关键数信息运行环境具业务运行连续性风险变更相关联数信息调整全局性参数设置数库性参数优化运行操作规程调整业务网络运行性参数调整应程序缺陷修正系统投产局部冷热备系统启进入Ⅲ级应急计算机信息系统突发事件处置事项等
第九条 重变更指涉关键性数改变数变更新系统网络拓扑环境改变等变更
变更申请
第十条 业务信息部门发起变更申请应根变更事项填写变更申请表部门负责进行审批
() 业务数变更(维护)业务部门提出申请系统理员进行审核
(二) 业务环境变更(维护)外部维护员系统理员提出申请分领导进行审核涉业务数系统运行连续性影响须相关业务理部门审核验证
第十条 系统技术原引起变更业务运行检查维护等需变更信息科发起涉业务数系统运行连续性影响必须相关业务理部门确认验证
第十二条 业务数变更(维护)申请应业务部门进行审核审批信息技术科负责实施业务数变更(维护)应报应业务部门负责审批确认方办理
第十三条 特殊情况变更电话直接分领导报告说明原批准先进行变更操作补充变更申请表
变更受理
第十四条 信息技术科接变更申请表必须变更申请容进行审核检查素否完备
第十五条 变更申请正式受理信息技术科编号确定变更实施员
第十六条 信息技术科根变更类型处理变更申请中:
() 常规变更:直接转入变更实施环节
(二) 般变更:编制配备变更策略说明文件脚明确变更实施员转入信息技术科变更审批环节
(三) 重变更:制定变更实施方案(实施方案包含变更实施员变更具体实施步骤容拟变更实施日期时间变更中相关部门需配合确认工作)转入信息技术科变更审批环节
(四) 重变更:制定变更实施方案(实施方案计划般容外须包含变更影响范围否影响系统业务连续运行评估变更回退方案)转入信息技术科变更审批环节
变更实施
第十七条 外部维护员承担变更实施工作需严格审批变更方案容实施变更操作操作程进行记录变更完系统理员进行核实
第十八条 具备测试条件变更事项变更实施前测试环境进行严格完整模拟测试
第十九条 变更实施批准信息技术科应实施前通知参变更审批流程相关部门
第二十条 重变更重变更实施程必须双办理操作现场监督复核
第二十条 变更实施程中某种原导致变更失败必须终批准变更系统理员分领导决定否启动回退方案
变更反馈分析
第二十二条 影响业务变更实施完成信息技术科时业务部门反馈变更实施情况
第二十三条 信息技术科必须定期收集踪类变更执行情况特重变更频繁发生变更进行分析积累变更实施验防范变更操作风险
附件 配置设备变更记录
编号:
变更体
变更日期
操作员
批准
变更题
变更原
变更容操作方法
完成结果
备
注
某单位信息安全惩戒理规定
第条 违反信息安全方针标准行根违反程度(造成果)进行行政济处罚特制定规定
第二条 规定适信息安全惩戒理控制适象全局员包括外部维护员
第三条 局员外部维护员屡次违背局安全策略安全理规定求进行违背安全策略操作信息技术科立刻解信息资源访问权限特权报单位领导
第四条 意制造传播病毒电子邮件炸弹等黑客攻击手段攻击信息系统包括篡改删信息系统数程序相关配置等行造成重影响发现查实严重处理责者违反国家法律法追究法律责
第五条 外部维护员违背局安全策略程序进行安全破坏相关法规业务合规定惩戒直追究济法律责
某单位第三方访问理程序
第条 规范第三方员组织单位物理访问逻辑访问做单位信息系统安全防护工作特制定理程序
第二条 理程序适单位网络应系统数库逻辑访问物理访问机房理规定实行
第三条 第三方访问指单位外组织员单位信息系统逻辑访问
第四条 第三方访问包括网络访问数库访问信息系统访问
第五条 第三方访问前应第三方访问导致风险进行评估采取适控制措施(:授权签署保密协议等)维护第三方访问单位信息处理设施信息资产安全评估意见填写第三方访问申请授权表
第六条 第三方授权方式包括签订协议时访问授权两种方式
() 单位建立长期业务合作关系需常单位工作第三方长期逻辑访问单位信息系统第三方责部门应签订保密协议规定单位活动场范围时间员资格求违反安全规定协议须承担法律赔偿责等必时工作员进行资格审查
(二) 果属时业务工作需第三方访问采时授权方式时授权操作时需单位员旁监督进行
第七条 第三方访问单位网络数库信息系统时需书面授权
第八条 访问敏感信息须第三方员特权户时应信息部门负责批准
第九条 授权程序
() 第三方访问前第三方需申请账号应填写第三方访问申请授权表
(二) 第三方访问申请授权表应明确规定访问类型时间权限
(三) 授权理部门(信息技术科)应访者身份访问类型访问导致风险进行风险等级评估采取相应控制措施
(四) 申请部门单位接获授权外员进行信息安全教育访问授权范围进行控制
附件 第三方访问申请授权表
记录表式号: 记录序号:
申请
申请日期
授权信息
○正式员工
○实生 ○第三方员
○
姓名
联系方式
工作单位
申请期间
开始 结束
申请原
备注
审核意见
签名:
日期: 年 月 日
批准意见
签名:
日期: 年 月 日
某单位信息项目理规定
第条 提升项目理力保障信息系统项目建设推动业务发展促进信息系统项目理工作规范化特制定规定
第二条 规定适范围包括项目立项启动计划实施监控收尾等理程
职责权限
信息技术科信息系统项目部门负责信息系统项目理工作职责包括:
第三条 负责信息系统需求实施行性分析评估组织项目实施方案
第四条 负责牵头项目立项工作负责进行项目报批报备工作
第五条 负责项目实施务技术组织落实理工作
第六条 制定项目建信息系统线工作方案部署运行工作
第七条 负责项目监控定期编制项目报告
第八条 负责技术验收项目相关文档理协助需求部门完成项目评估
项目立项
第九条 需求部门前期准备确定需求目标范围编写需求说明书明确需求必性合理性重性行性等相关领导提交
第十条 组织员项目需求进行评估
第十条 拟定项目实施初步方案包括制定项目计划编制项目预算表识潜风险
第十二条 确定项目前期技术业务联系
第十三条 准备项目申报材料完成项目报批报备流程报批报备材料般包括限
() 项目立项申请表
(二) 项目实施方案(包括项目计划项目组织架构资源情况等)
(三) 需求说明书
(四) 技术方案
(五) 预算编制表
(六) 项目关文档项目分析报告(行性必性分析)项目涉业务挂规定项目审批意见该项目相关前期项目总结报告重会议纪等
(七) 项目需求部门发起项目预算申请
项目计划
第十四条 细化项目实施方案包括细化项目范围说明书制定具体项目进度计划资源配置计划重里程碑等
第十五条 细化技术实施方案编写项目理计划
项目实施
第十六条 落实项目计划实施完成项目涉信息系统设计开发测试设备部署 系统投入维护工作
第十七条 理项目进程作项目实施程中信息发布报告
第十八条 需求部门应积极配合项目实施工作包括业务需求解释业务问题协调需求变更审核户验收测试确认项目实施结果部署方案等工作
项目监控
第十九条 项目监控项目计划确定范围时间费资源质量风险等目标进行监测识纠正问题偏差控制出现变更项目计划推进
第二十条 项目监控程中项目组应时识风险踪已识信息科技项目风险检测剩余风险配合风险理等工作开展
第二十条 项目组时收集项目信息月编制项目报告项目相关部门汇报项目状态进展项目报告中包括该周期项目完成工作周期项目计划项目里程碑完成情况项目重问题列表等
项目收尾
第二十二条 项目收尾包括结束项目相关活动般包括项目费决算项目评估项目文档整理档项目关闭等工作
第二十三条 项目完工项目相关文档应整理档妥善保存项目文档包括限
() 项目立项申请文档业务需求文档项目实施方案项目预算编制表项目分析报告项目涉业务理规定规定等
(二) 项目商务文档询价文档招投标文档合等
(三) 项目实施文档概设计详细设计技术方案操作手册测试文档等
(四) 项目理文档包括项目评估报告会议纪等
第二十四条 项目相关活动全部结束项目组编写项目总结报告进行项目关闭项目关闭须业务部门项目部门确认
某单位消防理制度
做单位消防工作确保工作员身生命财产安全落实消防工作防防消结合基原应付突发火灾事特制定预案:
组织机构
单位领导总负责组建灭火应急疏散组织机构灭火行动组通信联络组疏散引导组安全防护救护组组成具体分工:
1灭火行动组:灭火行动组负责单位般初级火灾扑救工作
2通信联络组:负责通信联络部门统协调
3疏散引导组:负责火灾时员安全疏散财产安全转移
4安全防护救护组:负责火灾时车辆医疗救护等勤保障工作
二报警接处警程序
1报警监控中心必须配备火警电话值班员坚守工作岗位单位重点害部位进行全方位24时监控
2监控中心收监控区火警信号火警电话应立讲机通知值班员巡逻员赶赴现场电话通知值班领导
3值班室必须配备必救灾设施值班员赶赴现场未发生火灾应查明警示信号报警原做详细记录
4火灾发生应根火情立拨119报告消防队信息反馈监控报警中心时进行灭火疏散工作
5监控中心根火灾情况调集关员启动灭火应急预案
三应急疏散组织程序措施
1灭火应急疏散预案利进行保卫科应加强日常性检查确保消防通道畅通
2公聚集场( 员相集中场)应保持消防通道畅通出入口明显标志消防通道安全门锁闭疏散路线明显引导图例
3火灾发生时疏散引导员应迅速赶赴火场利应急广播指挥群组织疏散
4疏散路线量简捷安排走道应设疏散指示
5疏散引导组工作员分工明确统指挥
四扑救般初级火灾程序措施
1火灾发生时沉着冷静采适方法组织灭火疏散
2立扑灭火灾抓住战机迅速消灭
3立扑灭火灾先控制火势蔓延开展全面扑救
4火灾扑救服火场时指挥员统指挥分工明确密切配合
5消防员赶时指挥员应火场现场情况报告消防员服消防员统指挥配合消防队实施灭火疏散工作
6火灾扑救完毕保卫部门积极协助公安消防部门调查火灾原落实三放原处理火灾事
五通信联络安全防护救护程序措施
1参加灭火应急疏散工作工作员应开通信工具确保通讯畅通服通信联络组长调遣
2救灾组成员应火场命
3医务室员现场时救治火场受伤员必时方医院联系救治工作
4应调集车辆确保交通畅通
5指定专抢救转移物资进行登记保火灾损失情况协关部门进行清理登记
六日常工作:
1落实消防责制宣传消防知识提高员工消防意识
2年应保证12次消防演
3定期检查维护消防设施
某单位软件理办法
第条 指导信息系统建设安全理加强软件理效控制技术风险促进信息系统规范化标准化建设特制定办法
第二条 办法适类软件系统开发理
职责权限
第三条 信息技术科信息系统职理部门负责信息系统需软件统规划开发修改采购培训升级维护理保障软件信息系统中安全运行提供软件中技术支持
软件理
第四条 软件安装(含更新安装)软件存储介质拷贝必须交信息技术科统登记保存
第五条 严格执行软件版理分发流程防止软件盗误流失越权
第六条 软件设计方案数结构加密算法源代码等技术资料严禁散失外泄
软件开发
第七条 软件开发指根业务需进行应软件开发根业务变化进行应软件修改视软件开发
第八条 软件总体设计时应根应软件实际途步进行安全保密设计
第九条 软件开发程中应步完成相关文档手册编写工作保证相关资料完整性准确性
第十条 软件外包开发开发商签订服务协议中软件风险条款明确权责义务确定补偿措施限额保障双方合法权益
第十条 开发环境必须业务环境相隔离
第十二条 软件开发完成项目组进行测试试运行信息技术科领导提请验收通
第十三条 信息技术科组织相关技术专家业务部门进行项目验收出评审意见报请验收通
软件
第十四条 标准化软件购买测试试运行确认安全线运行
第十五条 外包开发软件正式投入前必须部评审确认软件功性安全性均满足相关标准业务求技术文档完备
第十六条 必须严格完备测试试运行应软件正式线运行
第十七条 正确评估软件线风险做相应应急备份计划
第十八条 软件员前接受操作培训安全教育
第十九条 软件应遵循功原权限策略关闭必服务端口
第二十条 标准化软件应充分测试前提时安装补丁程序
第二十条 标准化软件采购外包软件开发均需合中约定期服务容包括软件功升级版修改变更配置更改项目理员负责
第二十二条 外包开发软件功性升级变更配置更改严格日常维护操作流程执行根业务需求进行软件升级修改软件开发程理
某单位帐户权限口令理规定
总
第条 保障某单位(简称教育局)信息系统运行构建安全IT运维环境明确理职责规范操作行信息安全工作理规定特制定理办法
第二条 运维组安全理岗负责账户权限关系表维护工作保证时更新部门负责负责审核完整性准确性
第三条 理办法适运维组
账号理
第四条 运维组负责业务环境中类网络机数库等系统账户权限理业务应系统账户权限操作
第五条 运维组应专负责账户权限理工作工作范围包括踪类账户权限分配变更相关口令理相关文档进行维护
第六条 设备机应系统开放端口账户应完成正常工作必需开放建立新系统线前计算机系统运行环境进行清理简化清必账户关闭必端口
第七条 系统设备线时供应商安装部署完毕账户口令应交运维组相关岗位接接应立验证修改缺省账户口令
第八条 特权户账户应量避免直接拥超级户权限理员应建立普通账户日常维护日常工作应分权限设置级账户(查询账户审计账户维护账户等)操作账户登录操作
第九条 业务环境关键系统(包括业务台电子政务外网系统)应建立账户权限应关系表该关系表应权限理相关负责妥善维护
第十条 严禁账户登录系统系统理员应时调整岗位变更员账户权限更新应关系表工作户建立明细防止通闲置账户进入系统
权限理
权限申请
第十条 权限申请授予遵循授权原授予权限完成务必需权限获取权限时必须承担相应责权限者应包括口令丢失误操作等行承担责
第十二条 权限申请流程:
() 账户权限申请填写权限申请表(参附件)
(二) 运维组业务部门相关负责审批申请表确定申请权限必权限
(三) 审批通权限账户理相关员时更新应关系表
(四) 相关系统理员严格权限申请表设置相应权限
权限
第十三条 避免受限制权限降低误操作率系统类权限应进行分级理时操作审计开发测试等职责应进行分离
第十四条 默认没启动审计系统线时需手工开审计功
第十五条 核心系统业务操作应产生审计记录审计记录应包括时间发起者类型描述结果采取措施控制审计权限保护审计记录安全
第十六条 运维操作应采取恰认证措施产生审计记录
第十七条 岗位必须账户权限应关系表权限分配落实岗位负责设备机应系统应账户口令理
权限废止
第十八条 员工岗位发生变更需时修改应系统账户权限必时重新流程申请新权限
第十九条 权限调整流程:
() 员工岗位变更者离职时局办公室正式通知运维组相关负责
(二) 权限理员根局相关流程进行系统权限调整
(三) 权限理员应时更新账户权限关系表
口令理
第二十条 口令设置应遵守列规定:
() 业务系统账户必须设置口令
(二) 口令必须容易猜出禁止字典中存单词包含户账户组合规律数字 (123456)
(三) 口令应满足定复杂度果系统支持口令应少8位特权账户口令应少12位口令应写字母数字特殊字符组合
(四) 果系统支持设置口令时应强制高强度口令
(五) 果系统支持口令输入时应显示
(六) 果系统口令历史记录功应启限定6月口令重
第二十条 口令保存应遵守列规定:
() 明文口令禁止保存未加保护容易接触介质中应采取安全物理保护措施
(二) 口令应安全提供户禁止未加保护传输方式明文邮件等传输户口令
(三) 数库户口令读形式贮存批处理文件动登录脚软件宏(Macro)终端功键严格访问控制计算机中未授权员访问位置 (四级求)
(四) 口令形式写相关设备附
第二十二条 口令应遵守列规定:
() 工作员口令(PC机口令)理业务系统口令(机设备应系统口令)必须严格区应避免相口令业务系统口令
(二) 未授权口令泄露
第二十三条 口令修改应遵守列规定:
() 重系统账户口令少三月更新次
(二) 员特权户口令责岗位必须立修改口令果怀疑知道口令已泄露应立更改
监督审计
第二十四条 安全理岗负责监督理办法落实情况违反理办法执行力行应提出整改意见求限期纠改踪落实情况
附
第二十五条 规范运维组制定负责解释修订
第二十六条 规范发布日起执行
附件 权限申请表
权限申请表
申请资料
姓名 _________________________ 部门岗位:________________________________
日期:_________________________
申请容
相关责签字更新记录
□ 签字: ________________ 日期: _________________
相关系统理员设置权限
□ 设置完成
□ 情况备注:_______________________________________________________________
签字: ______________________________ 日期: ____________________________
签字: ______________________________ 日期: ____________________________
签字: ______________________________ 日期: ____________________________
相关责审核
□ 审核通
签字: ____________________________ 日期: ____________________________
附件二 账户权限关系表
网络权限
权限
角色名
角色ID
岗位
户
理资源(概)
认证方式Group
备注
理员
读
机权限
权限
角色名
角色ID
岗位
户
理资源(概)
认证方式Group
备注
理员
部分操作
网监控安全应权限
权限
角色名
角色ID
岗位
户
理资源(概)
认证方式Group
备注
理员
读
监控员
某单位项目测试验收理办法
第条 规范单位项目测试理工作提高测试工作效率质量促进应开发更业务发展服务特制定办法
第二条 办法适单位信息系统建设项目测试验收工作
测试计划
第三条 项目实施单位编写项目测试计划测试计划应考虑测试目标风险范围测试方案进度力资源安排等中测试方案应明确测试容测试重点数准备测试方法等
第四条 项目理员应组织项目测试计划进行评审涉业务部门评审方应包括业务部门
第五条 项目实施单位负责根评审意见修订项目测试计划提交通评审项目测试计划评审表中签字确认
测试程
第六条 项目实施员项目实施方案招标文件业务需求说明书系统规格说明书项目测试计划编写测试方案测试方案范围覆盖业务功点风险点
第七条 项目理员组织员测试方案进行评审评审员包括:信息部门需求部门实施单位项目组成员
第八条 项目实施单位根评审意见修订测试纲提交通评审方测试方案签字确认实施
测试执行
第九条 项目理员负责监督测试定期检查测试进度适时调整测试时间计划测试员负责编写测试报告根测试步骤记录测试结果
第十条 测试结果预期结果符确认缺陷测试员应时提交缺陷报告持续踪直关闭
第十条 项目理员审核缺陷报告确保缺陷信息描述准确清晰
第十二条 测试收尾阶段项目理员应检查缺陷状态业务需求部门项目组确认作残留缺陷外缺陷终记录均应关闭残留缺陷确认标准:
() 开发方明确回复补丁中版中修改非严重缺陷记录
(二) 非项目问题属项目素造成项目周期闭环缺陷记录
测试总结验收
第十三条 测试执行完成项目理员负责收集整理项测试资料组织编写项目测试报告
第十四条 项目测试报告容包括:项目名称编号测试程简述测试结果结
第十五条 项目测试报告提交相关需求部门审核进行户业务验收确认符合业务求召开项目验收会议验收通部门负责领导项目测试报告签字确认项目实施单位提交验收清单包括设备清单类开发文档等
第十六条 项目实施单位负责编制操作手册需求部门系统维护员根合求进行培训
文档理
第十七条 类测试文档理包括文档资料收集整理分类档全程文档
第十八条 文档资料纸质电子形式项目理员理档
第十九条 测试程文档资料容包括:测试计划测试方案项目测试计划评审表测试明细案例项目测试报告操作手册业务文件会议纪等
第二十条 业务测试文档理必须符合相关保密求
某单位信息系统应急响应理规定
总
第条 策略目标:加强某单位(简称单位)信息安全保障力建立健全单位安全理体系提高整体网络信息安全水保证业务系统正常运营提高网络服务质量单位安全体系框架策略加强单位针系统发生严重重安全事件时启应急响应力提高单位网络业务系统持续效运行力
第二条 适范围:预案指网络信息系统重性根政府安全业务开展重程度遭破坏危害程度确定预案启动政府网络信息安全应急预案预案相突预案执行法律法规规章规定规定
第三条 员角色职责:策略适单位安全理员系统理员
组织职责
第四条 单位应急指挥组单位信息安全领导组单位业务部门负责组成负责重安全事件应急指挥决策
第五条 单位应急技术组信息部门专职技术员部门信息安全理员组成负责重安全事件中技术问题处理解决
第六条 快速反应通道指单位级应急响应组织业务系统产品厂商集成商专业安全厂商负责具体设备系统安全问题处理解决
工作原
第七条 工作原
()预防综合防范立足安全防护加强预警重点保护基础信息网络重信息系统完善风险预警报告机制降低突发事件发生概率
(二)明确责协调配合谁谁负责谁运营谁负责原建立完善安全责制协调理机制根部门职司职加强部门间协调配合形成合力履行应急处置工作理职责
(三)快速反应基础网络信息安全突发事件发生时快速反应机制时获取充分准确信息踪研判果断决策迅速处置程度减少危害影响
(四)科学持续改进加强技术储备规范应急处置措施操作流程实现网络信息安全突发事件应急处置工作科学化程序化规范化树立常备懈观念定期定期进行预案演练确保应急预案切实行
安全求
第八条 单位业务系统必须制定详细业务应急计划信息技术科进行备案
第九条 单位业务系统应急措施制定严格确保业务系统性采短时间够恢复系统措施优先应急措施
第十条 单位业务系统应制定详细应急响应流程整流程包括安全事件发现报告事件分析协调处理总结奖惩等容
应急预案框架
第十条 事件分类
信息系统突发事件事件现象分三类:系统异常应异常数异常
()系统异常指单位计算机信息系统系统硬件系统软件通讯链路基础设施等障导致系统中断系统性幅降突发事件
(二)应异常指信息系统部门应软件障等导致业务中断法正常开展突发事件
(三)数异常指数丢失者篡改等原造成数完整性致性受损导致业务中断法正常开展突发事件
第十二条 分级分类
网络信息系统突发事件影响业务类持续时间等数分三级:I级(重)II级(较)III级(般)
()I级(重):重网络信息系统规模瘫痪影响工作时间超3时突发事件影响单位正常营活动
(二)II级(较):重网络信息系统造成较规模瘫痪影响工作时间超2时突发事件尚未直接影响单位正常营活动
(三)III级(般):某部门网络信息系统瘫痪影响工作时间1时突发事件影响单位正常业务开展
第十三条 组织体系
发生Ⅰ级Ⅱ级网络信息系统突发事件单位信息安全领导组转网络信息系统应急协调组单位网络信息系统应急处置组织协调机构信息系统应急协调组组长副组长信息化分局长信息技术科科长分担成员部门负责具体责部门信息技术科
第十四条 预防预警
早发现早报告早处置原加强网络信息系统突发事件引发突发事件关信息收集分析判断持续监测发生突发事件时事发部门应时信息系统应急协调组报告迟超1时
第十五条 先期处置
发生网络信息系统突发事件时应应急预案作突发事件应急处置时事件等级分类响应流程进行应急响应加强部门间协调配合快速效处理突发事件
第十六条 应急流程
()发生突发事件该部门应急处置联络应半时通知受影响业务关联部门单位
(二)相关方分寻找障原确认障方解决问题
(三)事部门应急处置联络应障处理进展情况时通报直障处理结束
中III级事件需局领导时汇报处理突发事件进展情况直障处理结束
第十七条 应急操作
()发生信息系统突发事件时操作员(事)应严格关规定迅速进行现场分析处理
1.发现异味火花等应立关机切断相关电源查明原消障方开电源继续操作
2.属简单障应时予现场处理
3.操作员(事)法处理处理握障较复杂严重难弄清时属第III类范围事件应保护现场迅速部门员取联系分析原时作出处理
(二)部门员法处理处理握时事件升级II类应时记录关情况已采取措施等迅速信息系统应急协调组责部门—信息技术科取联系取应急支持
信息技术科获知机部门计算机系统发生异常障时应迅速作出响应
(三)问题较复杂时难握处理涉面较较严重需协调初步判断属III级事件必须时情况报告应急协调组组长听取处理指示
(四)现场应急维修维护工作须机部门技术支撑部门少双汇进行
(五)计算机系统障异常发生时机部门操作员(事)处理员应障发生情况处理办法作时记录填写障报告表
(六)应急障电话:
1 网络障维护电话:
区政府信息中心:87523306
2 局信息维护部门热线:
信息技术科:87525686
第十八条 应急结束
网络信息系统突发事件应急处置效控制恢复正常运行应急结束应急处理联络应应急预案规定通知报告程序通知相关部门相关业务部门单位应急终止
第十九条 善处理
应急处置工作结束迅速采取措施抓紧组织抢修受损基础设施减少损失快恢复正常工作统计种数查明原事件造成损失影响恢复重建力进行分析评估认真制定恢复重建计划迅速组织实施
第二十条 调查评估
应急处置工作结束协调组事件发生处置程进行全面调查查清事件发生原财产损失情况总结验教训
保障措施
第二十条 通信信息保障
加强应急通信装备准备建立备份系统紧急保障措施形成跨区域手段路线线相结合反应快速稳定通信系统
第二十二条 应急装备保障
建立信息网络硬件软件应急救援设备等应急物资库网络信息安全突发事件发生时协调组办公室负责统调
第二十三条 数保障
重信息系统均应建立异容灾备份系统相关工作机制保证重数受破坏紧急恢复容灾备份系统应具定兼容性特殊情况系统间互备份
第二十四条 应急队伍保障
专求建立网络信息安全应急保障队伍协调组办公室选择干国家关部门资质认理规范服务力较强单位作网络信息安全应急支援单位提供技术支持服务
第二十五条 费保障
网络信息系统突发事件应急处置资金应列入单位年度预算
第二十六条 宣传培训
充分利政府外网络媒体资源加强网络信息安全等方面知识培训提高防范意识技开展预防预警救互救等知识宣讲活动普应急救援基知识提高员工防范意识应急处置力
第二十七条 演练
建立应急预案定期者定期演练制度通演练发现应急工作体系工作机制存问题断完善应急预案提高应急处置力
某单位信息系统建设理办法
系统规划立项
第条 职部门进行信息系统建设项目立项申请程中应信息系统安全等级保护工作组项目提出安全建议
第二条 根项目立项中项目立项申请立项证立项评估立项审批四程序应结合单位类安全理技术规范
第三条 职部门进行项目立项申请时提交项目立项建议书等相关资料中应增加安全方面资料:
2 系统安全需求分析说明书
3 系统安全功说明书
4 系统中采安全设备性指标参数
第四条 提交立项申请项目进行项目立项证评估程中应包括项目安全建设证评估
第五条 项目安全性证项目安全需求分析安全功说明安全设备性指标技术方案技术行性进行总体分析审计
第六条 项目立项证评估程中信息技术科负责项目安全性建设技术部分证评估
第七条 提交项目立项申请时应技术方案中增加安全方面说明文档容包括:
1 根某单位安全规范中求系统建设程中进行安全部署说明
2 根某单位安全规范中求系统建设程中法实现安全部署说明证
3 系统建设程中具体安全功安全功实现方法技术
4 系统建设程中采安全设备品牌型号性指标说明业务系统影响分析
第八条 信息系统项目安全性证评估关注方面容:
1 项目建设中网络规划中安全域划分网络冗余网络传输安全网络访问控制网络边界安全远程访问安全
2 项目建设中系统性容量系统业务兼容性
3 项目建设中应系统中身份验证角色访问控制数加密备份日志审计等安全功
4 项目建设中应系统否门漏洞安全隐患
系统开发
第九条 应系统开发应该根理目标容规模性质等具体情况系统观点出发运系统工程方法
第十条 应开发应总体规划确立开发方案实施步骤时间进度费预算员安排等事项
第十条 某单位总体安排部署信息技术科承担相应信息系统开发务委托第三方开发务相应技术济证报安全审核批准立项进行开发委托开发
第十二条 委托开发需委托方订立合委托协议委托单位相关员资质进行审查应系统开发应遵循国家标准开发规范开发环境必须实际运行环境物理分开
第十三条 开发完成时移交程序源代码相关技术文档关键安全技术措施核心安全功设计进行公开发表
第十四条 开发范围
1 服务器等重设备系统配置底层软件安装调试运行外购软件环境设置
2 总体理信息系统涉子系统调研行性分析功定义框架设计程序编制调试试反馈完善验收等阶段开发工作
3 级部门协作交流进行项目研究开发
4 工作关开发务
第十五条 应系统开发分析阶段
1 原系统状况存问题进行详细解分析
2 根户提出建立新系统求进行初步调查初步行性分析提出系统总体规划
3 信息部门批准系统行开展开发工作原系统进行深入详细调查彻底掌握原系统模型:绘制系统业务流程图组织结构图
4 详细调查基础提出新系统逻辑模型进行需求分析:绘制系统数流程图进行数分析进行功分析
5 编写系统方案说明书分析需设备投资技术求开发时间等提交户理员专家进行讨安全审核批准
第十六条 应系统开发设计阶段
1 系统总体设计包括系统总体结构设计数库设计计算机网络系统配置方案设计
2 系统详细设计包括代码设计户界面设计计算机处理程设计
3 编写系统设计说明书(系统设计报告)全面准确清楚阐明系统实施程中具体应采取手段方法技术响应环境求
第十七条 应系统开发实施阶段
1 做系统实施准备工作购置安装必硬件设备购置系统软件应软件包培训操作员数存储等
2 程序设计
3 系统测试
4 系统初始化转换
第十八条 应系统开发理维护阶段
1 系统投入运行进行系统评价
2 保障系统正常运行着环境断改善提高系统始终处正确工作状态进行系统数库维护
系统废止
第十九条 新系统投入应建立相应操作规程安全理规定具体容详见信息系统运行安全理部分
第二十条 系统相关理规定具体容详见信息系统运行安全理某单位机房设备理规定部分
第二十条 信息系统废止更新实行审批备案善处理
第二十二条 信息系统转移终止废弃时应正确处理系统敏感信息根终止信息系统存储介质清单识载重信息存储介质处位置前状态等列出需清销毁存储介质清单
第二十三条 改进技术转变业务新信息系统信息系统终止处理程中应确保信息转移设备迁移介质销毁等方面安全
第二十四条 果采销毁手段应确保介质销毁效行销毁时根存储介质处理方案存储介质进行处理记录处理程包括参员处理方式否残余信息检查结果等
系统投入运行审批流程
第二十五条 信息系统正式投入运行前应请相关安全部门专家信息系统安全性进行证
第二十六条 某单位进行审批安全批准系统正式投入运行
某单位信息系统运行理办法
系统运行理基求
第条 保障信息系统安全运行信息安全理机构必须组织编写相关理规范制度般制度少应包括(包含仅限)容:
1 中心机房理规定
2 信息安全运维员理规定
3 信息资产理相关制度
4 网络安全理相关制度
5 防病毒安全理规定
6 终端安全理规定
7 帐户权限口令理规定
8 外员理规定
9 安全事件报告制度流程
10 应急响应计划
系统运行台安全理
第二条 保障信息系统安全运行信息安全理机构必须组织编写相关安全操作规程般理规范少应包括(包含仅限)容
1 操作系统安全配置理规范
2 网络设备安全配置理规范
3 安全设备配置理规范
4 数库安全配置理规范
5 数备份恢复策略方法流程
安全理规定策略制订发布更新废止
第三条 安全理规定策略 必须正式文件形式发布施行
第四条 安全理规定策略 某单位制订某单位信息系统安全等级保护工作组审批发布
第五条 安全理规定策略 发布必信息部门应召集相关员学安全
第六条 策略详细讲解规章制度容解答疑问
第七条 安全理规定策略 修订需正式文件形式重新发布施行修订策略需相应层次理部门审批
第八条 签署发布规章制度必须标明该规章制度施行日期
第九条 安全理规定策略修改废止 必须定期安全策略进行评审中适欠缺条款时进行修改补充已适信息安全制度规定应时废止
第十条 现行安全理规定策略列情形时必须时修改:
4 发生重安全事件暴露出安全策略存漏洞缺陷时
5 组织机构实际运行环境进行重调整变更
6 事项两规章制度中规定致
7 级部门安全策略相抵触
8 需修改安全策略情形
第十条 现行安全理规定策略列情形时必须时予废止:
1 关信息安全制度规定废止该信息安全制度规定失某单位现行层策略相抵触
2 已规定事项已执行完毕没存必
3 已新规章制度代
第十二条 信息部门安全理规定策略修改废止须某单位领导组审批确认信息部门备案
第十三条 安全理规定策略发布实施部门应安全理规定策略贯彻执行执行中存问题规章制度修改废止意见建议等情况进行检查监督意见建议时反馈信息部门
第十四条 保障项信息安全理规定贯彻落实信息部门必须定期检查安全理规定策略落实情况信息安全理规定落实情况检查信息安全检查工作重容
第十五条 信息安全检查工作结束起草检查报告时必须通报安全理规定策略落实情况执行力行必须提出整改意见限期纠改继续追踪落实情况
第十六条 安全理规定策略落实做出显著成绩部门应予表彰奖励违反规章制度造成严重果部门应追究事责
重安全事件处理
第十七条 某单位信息安全事件指针TCPIP网络中然灾害灾害硬件软件数非法攻击病毒入侵等安全原遭破坏更改泄漏()造成系统正常运行影响正常业务发展称安全事件
第十八条 根网络信息安全突发事件发生程性质特征网络信息安全突发事件划分网络安全突发事件信息安全突发事件网络安全突发事件指然灾害事灾难破坏引起网络信息系统损坏信息安全突发事件指信息系统身脆弱性破坏引起信息系统运行障损坏
具体分9类:
1 网站页攻击恶意纂改出现非法者恰信息
2 恶意代码攻击异常网络攻击
3 网络线路障
4 网络设备障
5 机房物理安全问题
6 应服务器非法侵入攻击破坏
7 数库安全遭破坏
8 电力供应障
9 然灾害
第十九条 根网络信息安全突发事件控性危害程度影响范围财政局信息安全突发事件般分四级::般(IV级)较(III级)重(II级)特重(I级)
第二十条 某单位系统理员负责安全事件判断报告安全事件应急恢复流程启动申请
第二十条 某单位负责组织协调处理般安全事件负责制定安全事件处理流程
第二十二条 系统发生安全事件应根安全事件处理流程进行处理汇报
第二十三条 部门安全理员应信息安全事件发生处理办法进行记录安全事件记录单提交某单位进行备案
第二十四条 部门处理般安全事件程中部门信息安全理员需判断事件严重程度果已升严重安全事件应启动应急响应流程具体详见应急响应计划
应急响应计划
第二十五条 信息系统应急响应计划 针信息系统发生意外事件导致业务差错停顿甚系统混乱崩溃等灾难性局面建立完整紧急救助计划严密组织科学分工通某单位部训练素队伍规范工作流程处理障切实保证业务持续服务效实现维持生产序运转稳定营秩序目标应急响应计划全局性障具时预防突发时抢救障恢复业务运行保障作
第二十六条 信息系统应急响应计划 包括9程:现状描述风险分析建立应急组织制定技术应急指南制定业务应急措施测试认证培训演练修订完善启动终止
1 现状描述出网络系统机应基础设施现状已安全措施应急响应计划执行者够快速解计算机系统现状快速应急需信息
2 风险分析系统重性风险进行评估作制定应急响应计划做预防准备性措施确保风险较重系统应急处理优先级
3 建立应急组织机构信息系统应急响应计划重组织落实措施应急响应计划利实施提供组织保证确定实施紧急救助队伍组织结构职责分工技术应急措施业务应急措施实施提供全面保障
4 制定技术应急措施信息系统应急响应计划核心信息部门负责提出技术应急措施确定紧急状态技术部门应急工作标准流程员操作规范预防抢救恢复等处时段三程应急措施构成
5 制定业务应急措施信息系统应急响应计划关键业务应急措施业务部门负责提出业务应急措施确定紧急状态业务部门应急工作标准流程员操作规范样预防抢救恢复等处时段三程应急措施构成
6 测试认证应急响应计划提出测试认证求求技术应急措施业务应急措施通测试确保行必时通级行组织专家认证
7 培训演练求应急响应计划容进行培训相关员熟知应急响应计划容进行应急进行演练
8 修订完善应急响应计划修订更新出规定求通实践断完善应急响应计划
9 启动终止出应急响应计划启动终止条件
第二十七条 某单位业务系统应急措施制定严格确保业务系统性采短时间够恢复系统措施优先应急措施
第二十八条 某单位业务系统应制定详细应急响应流程整流程包括安全事件发现报告事件分析协调处理总结奖惩等容
某单位网络接入理办法
总
第条 确某单位计算机网络(简称网络)健康发展正常运行规范系统设备接入网络行网络户提供良接入服务保障网络者安全正常运行根中华民国计算机信息系统安全保护条例单位相关理规定规定特制定理办法
第二条 办法适:
l 单位需接入网络计算机系统设备
l 需接入单位网络合作部门计算机系统设备
l 时造访员带计算机系统设备
第三条 办法信息技术科统理执行安全理员负责申请接入设备进行安全检查入网审批系统理员负责服务器类系统补丁安装升级服务支持员负责桌面系统安装升级
接入理
第四条 系统设备接入单位网络前必须接受检查审核检查审核通方接入规定访问相关网络资源检查审核工作信息技术科负责具体流程说明:
() 需接入网络户提出网络接入申请填写申请表格说明接入设备类型接入途接入区域环境资源范围预计终止时间等提交领导审批
(二) 安全审批签字提交网络理员做系统安全检查核实设备系统补丁病毒防护情况否符合单位求符合安全求返回信息技术科安装必工具补丁
(三) 安全检查通网络理员根户申请审核分配网络资源确定户IP址网段网络设备安全设备完成相应设置工作需需访问服务器资源进行配置调整系统理员负责
第五条 工作需外部员(包括设备厂家系统服务商合作开发商分单位员等)需接入单位网络相应接口负责提出网络接入申请外部员离开单位需接口负责提出取消网络接入申请外部员接入网络计算机名必须采实名制技术交流者工作原时造访外部员指定区域(会议室公区域)接入网络
第六条 户果需延长接入时间必须重新填写网络接入申请表申请时间期网络理员权调整配置中止网络连接
第七条 户终止连接时必须办理户注销手续便信息技术部释放户网络资源
第八条 网络接入申请材料信息技术科存档备查验
理
第九条 保护单位计算机系统安全受病毒侵害员工推卸责导致良影响网络行视违反单位规定追究责
第十条 禁止单位业务关单位网络系统行员工责保护单位网络系统安全保护重数工作机密安全
第十条 接入户必须严格信息技术科核准区域IP址接入网络擅更改需变动须网络理员批准
第十二条 接入户必须保证维护理计算机系统安装合适系统安全补丁程序时更新病毒库定期进行全系统扫描
第十三条 接入户必须网络病毒源保持足够警惕决开历明疑电子邮件
第十四条 接入户旦发现怀疑电脑系统已病毒感染应立断开网络时联系信息技术科安全理员进行处理
第十五条 接入网络户必须严格遵守执行单位相关安全保密制度运行理规定禁止滥网络严禁行:
() 私卸载操作系统补丁者防病毒软件
(二) 单位部电话线拨号网
(三) 私安装黑客软件入侵工具
(四) 散布病毒者干扰破坏系统软件工具
(五) 擅侦听截取网络中传输信息
(六) 破解盜账号密码泄漏账号密码
(七) 私账号IP址予者盗账号IP址
(八) 窺视电子邮件
(九) 方式滥网络资源包括电子邮件量传送广告连锁信信息灌爆信箱掠夺资源等方式影响系统正常运作
(十) 电子邮件聊天工具BBS类似功方法散布欺诈诽谤侮辱猥亵骚扰非法软件交易违法讯息
第十六条 接入网络户必须严格尊重知识产权避免列涉侵害知识产权行:
()未授权软件工具
(二)违法载拷贝受著作权保护作品
(三)未著作许受保护作品传公开网站
(四)理会作者明示禁止转载通告意转载BBS网文章
(五)私开放公众WEB服务架设网站
(六)涉侵害知识产权行
罚
第十七条 网络理员密切监测网络果发现户网络异常户违反办法行安全理员中断该户计算机系统网络连接办法规定进行相应处理
第十八条 员工责采取积极防范措施避免维护计算机系统禁止接入网络禁网络连接导致单位业务影响员工承担
第十九条 网络理部门定期者定期联网机器IP址系统补丁防病毒库软件远程接入设备理情况进行检查发现违反规定接入行单位相关规定网络资源予通报批评超三次者报单位办公室予警告处分造成单位计算机信息系统严重障导致单位重损失视情节严重程度予严重警告处分实施相应济处罚触犯国家法律法移交国家法律部门处理
第二十条 外部员(包括设备厂家系统服务商合作开发商分单位员等)旦接入单位网络视单位员工进行理相应接口负责负领导监督责触犯相应规定行相应接口负责负责时造访员果违规接入网络行果相应接员负责
某单位信息资产理办法
信息资产理规定
第条 信息资产:信息系统软硬件系统数系统授权信息口令文件密钥算法文件应数库数文件系统说明文档户手册培训资料运行支持程序记录应急响应计划信息
第二条 某单位信息资产包括类:
1 网络设备:核心交换机二层交换机光纤转换器路器调制解调器层交换机等构成信息系统网络传输环境设备软件传输介质
2 服务器:类承载业务系统软件机PC服务器系统操作系统包括安装服务器类应系统构建系统台软件(数库中间件群件系统商业软件台等)
3 存储设备:NASSAN磁带机磁带库磁盘阵列光纤交换机等构成信息系统存储环境设备软件传输介质
4 安全设备:防火墙等构成信息系统信息安全环境设备软件
5 工作站资产:指监控终端理服务器服务终端例网终端等
6 生产终端:包括般途笔记PC
7 移动专资产:移动通信类专门设备信息安全理资产理中作资产理范畴
8 资产:非信息资产
第三条 信息资产安全性赋值规定进行:
1 项资产机密性价值完整性价值性价值分三级
2 根资产包含秘密信息揭露时造成果严重性资产机密性价值分轻度损害中度损害严重损害三级
3 根资产处正确完整赖状态时造成果严重性资产完整性价值分轻度损害中度损害严重损害三级
4 根资产时造成果严重性资产性分体局部整体三级
第四条 信息部门负责识理信息资产信息资产信息录入某单位安全理系统中信息资产理部分
第五条 信息资产部属性发生变更系统理员时更新某单位安全理系统中变更包括理位置变动信息资产配置信息补丁信息等变动
第六条 信息资产理权限发生变更应时信息资产状况时更新某单位安全理系统中理权限变更包括信息资产属系统发生变更信息资产属部门发生变更
第七条 信息资产设备年定期进行信息安全评估安全加固
第八条 信息资产信息时反映某单位安全理系统中
第九条 信息资产设备应根系统资产重性部署程度安全保护措施
第十条 信息资产应分类保明显标识
第十条 基相关容具体详见软硬件设备安全理介质理规定(该规定删减)
软硬件设备安全理
第十二条 某单位软硬件设备必须分类理
1 信息资产理规定相关容分类
2 硬件设备必须固定位置易移动
3 处理敏感(部)数设备应放安全位置
4 应明确现资产价值资产重性
5 软硬件设备必须明显标识明确保责
6 前实际情况相符软件硬件清单位置图技术档案负责等容
第十三条 新软件硬件设备开始启前应设备进行安全检查
第十四条 购置设备货时检查必须实际运行环境隔离
第十五条 硬件设备备件线路应定期检测维修授权维护员进行
第十六条 送出修理设备应进行防止泄密处理填写记录
第十七条 硬件设备报废程序处理
第十八条 需进行软硬件操作需安全审核某单位分领导审批方进行操作
某单位信息系统安全理岗位职责
信息系统安全理岗位职责
效实施信息系统安全理保障实施某单位信息系统安全根某单位信息系统运行理现状建立信息系统安全理组织架构具体信息系统安全组织理岗位职责:
1安全理员
(1)负责安全设备系统(防火墙入侵检测IT审计网闸加密设备防病毒等)维护理
(2)负责组织制定种安全产品策略配置规
(3)负责踪安全产品投产情况
(4)负责指导监督系统理员(包括机系统理员网络理员数库理员应理员等)普通户安全相关工作
(5)负责组织信息系统安全风险评估工作定期进行系统漏洞扫描形成安全评估报告
(6)根单位信息系统安全需求定期提出单位信息系统安全改进意见报信息系统安全理部门
(7)定期查信息安全站点安全公告踪研究种信息安全漏洞攻击手段发现影响信息安全安全漏洞攻击手段时时做出相应策通知指导系统理员进行安全防范
(8)负责组织审议种安全方案安全审计报告应急计划整体安全理规定
(9)负责参安全事调查
2应理员
(1)负责业务应系统进行安全配置督促软件开发商提供补丁修补已发现漏洞
(2)负责业务应系统户口令安全性进行理业务应系统登录户进行监测分析
(3)负责提出数备份求制定数备份策略督促数库理员备份方案时完成恢复需数
(4)负责实施系统软件版理应软件备份恢复理
3安全审计员
(1)负责定期机系统网络产品应系统日志文件进行分析审计发现问题时报
(2)负责信息安全保障理活动进行独立监督提供部独立审计评估工作根需协外部审计评估机构进行评估认证决策领导提供信息系统信息安全保障执行状况客观评价
二信息系统安全理原
1安全理员兼职岗位职务
2应理员岗位数库理员岗位应理员岗位组合根具体情况设置应理员岗位
述指安全关活动包括:硬件软件维护系统软件设计实现维护处理保密信息系统媒介发放回收访问控制证件发放回收重程序数删销毁等
安全审计员必须授权原分授予安全理员应理员完成身务需权限形成相互制约关系
某单位员工安全理规定
总
第条 策略目标:加强某单位(简称单位)信息安全保障力建立健全单位安全理体系提高整体网络信息安全水保证业务系统正常运营提高网络服务质量单位安全体系框架策略明确理单位员工信息安全理办法
第二条 适范围:策略适单位部门员工
员工录安全理规范
第三条 单位员工录应该遵守相关事劳动法律法规外必须考虑安全事项:
1 严格考察该员业务技术水相关资质认证外必须考虑政治社会素质等方面素
2 考虑录犯罪前科重行政处分纪录员特殊情况需单位力资源领导意方考虑录
第四条 签订劳动合外必须签订保密协议明确该员应严格遵守相关安全理规定安全技术规范保守商业机密求违约责等
员工工作调动安全理规范
第五条 业务工作需原需单位员工进行岗位调动时必须考虑安全事项:
1 根新岗位需增加删修改该员计算机信息系统访问权限包括电子邮件系统业务应系统网络系统计算机信息软硬件系统
2 必重新创建相关帐号修改口令
3 必修改合中关条款相应保密条款保密协议拟定新雇佣合原合中保密条款保密协议继续效
4 原岗位关资料文件包括软硬拷贝需移交允许私带走
第六条 遵循需知道原量避免频繁调动造成员权限情况
员工离职安全理规范
第七条 单位员工离职时必须遵守安全操作流程:
1 删该员工信息系统访问帐号权限必重新创建关理员帐号口令
2 相关员该员工起回顾签订保密协议该员工明确保密事项离开单位3年披露单位技术资料规定
3 员工离职时应部门填写员工离职记录详细填写员工离职情况交接记录
员工安全审计
第八条 单位信息安全工作组定期组织单位员工进行安全审计监督工作审计监督结果报告抄送该员属部门负责作该员工作考核
第九条 遵守单位信息安全理规定安全技术规范单位员工查实属部门负责根关规定报请局办公室该员工进行处罚
员工安全培训教育
第十条 单位员工安全培训教育信息技术科统计划组织办公室协助实施具体培训容求遵某单位信息安全规章制度培训教育理规定
第十条 单位员工安全培训教育成绩作该员工作考核
关信息安全奖励考核
第十二条 单位员工安全理信息技术科考核汇报属部门领导部门领导呈报分领导作部门年度目标责制考核容
第十三条 执行制度良信息安全工作成绩显著部门表彰适奖励
第十四条 违反单位安全理规定信息安全工作存足隐患部门单位网络信息安全领导组发出书面整改通知限期整改
第十五条 刻意执行单位安全理规定漠视信息安全工作存安全隐患没时整改造成重安全事案件追究部门负责直接责者责单位关考核理办法予处理构成犯罪法追究刑事责
附 员工离职申请记录表
记录表式号: 记录序号:
申请
属部门
申请日期
离职日期
离职原
移交记录
备注
审核意见
签名:
日期: 年 月 日
批准意见
签名:
日期: 年 月 日
附件二 员工保密协议书
编号:
甲方:
住:
乙方:
身份证号码: 住址:
根中华民国劳动法中华民国反正竞争法中华民国保密法中华民国电信条例等相关法律法规甲乙双方等愿原订立协议资遵守
保密义务
甲方根国家关法律法规部规章制度确定工作职责乙方开放职责范围技术商业信息
乙方意甲方利益努力事危害甲方安全行事正相关业务密码技术秘密行
二保密范围
乙方工作信关系获交换甲方营理程中未社会公开定范围公开信息验技术资料包括建设营计划重会议容重公文容招投标方案技术方案财务数员工信息单位技术工程营文书事档案等切关甲方技术业务理秘密信息国家法律法规规定涉通信保密网络安全容
三保密信息
()乙方服务某单位期间:
1保证擅发表泄漏关某单位秘密获计划信息努力确保资料遗失缺损
2某单位指示业务范围允许进行技术秘密交流:直接间接甲方部外部关员泄漏私利益计划复制公开包含甲方秘密技术秘密文件文件副工作中保接触关客户文件应妥善未许超出工作范围
(二) 乙方种原结束某单位工作时应时某单位关文件记录材料(包括笔记复印资料电子文档等)某单位
四时效时效期间应遵守准
鉴某单位拥相关业务密码技术秘密竞争中重价值存劳动关系存续期间终止解乙方意:述义务乙方受聘某单位工作期间效重相关业务密码技术秘密长期效
五违约责
乙方违反协议项规定某单位权:
() 责令乙方停止违约侵权行
(二) 视情节处年总收入罚款扣发奖金纪律处分行政处分直开
(三) 求乙方赔偿违约侵权行导致切济损失寻求法律救助程中发生切费中包括律师费诉讼费
(四) 触犯法律提请关部门追究法律责
六争议解决办法
执行协议发生纠纷双方协商解决协商调解成者方愿意协商调解方提起诉讼权利
七乙方某单位原签订保密协议书协议签订日起原协议时废止原某单位规章制度协议突协议准突继续效
八协议效力
协议式两份甲乙双方执份甲乙双方签章日起生效两份协议具等法律效力
甲方(签盖): 乙方(签字盖章):
签订日期: 年 月 日 签订日期: 年 月 日
某单位运行维护理规定
总
第条 策略目标:加强某单位(简称单位)信息安全保障力建立健全单位安全理体系提高整体网络信息安全水保证业务系统正常运营提高网络服务质量单位安全体系框架策略加强单位日常运行维护安全理工作作单位级策略起指导规范系统理员日常安全运行维护工作安全理工作
第二条 适范围:策略适单位TCPIP网络系统
第三条 员角色职责:办法适单位安全理员部门安全理员系统理员
第四条 策略相关性:办法涉单位相关安全技术规范安全检查监控等理办法
组织职责
第五条 单位系统理员应根单位类技术规范制定系统安全运行维护计划根已制定安全运行维护计划进行日常操作检查
第六条 信息安全理员应定期检查系统安全运行维护计划执行情况查安全运行维护记录实际匹配情况进行记录
第七条 信息安全理员应定期单位信息部门提交安全检查情况记录报告信息部门统进行备案审计
操作程序操作记录
第八条 系统理员进行系统日常操作活动时应文档程序进行计算机启动关机程序备份设备维护计算机机房信息处理理安全控制程序
第九条 系统理员应操作程序作正式文件相关理员审批修改
第十条 严格日常运行安全理便落实检查运行部门系统理员应做日常记录登记
第十条 重设备种操作行应保留审计记录
登录规程口令理
第十二条 单位系统制定相应登录规程包括:登录失败审核帐户锁定登录连接时间超时控制历史登录信息提示等
第十三条 单位系统帐号口令应根某单位信息安全规章制度帐户权限口令理规定中规定严格执行
安全检查
第十四条 单位信息中心根等级业务系统定义安全目标季度进行检查:
1 信息安全组织机构组成运作
2 日常运行安全
3 数备份安全
4 技术资料安全
5 防病毒
6 物理环境安全
7 设备物理安全
8 机安全
9 数库系统安全
10 应系统安全
11 网络系统安全
12 信息安全应急
13 黑客防范计算机安全专产品等
某单位安全岗位员理规定
总
第条 策略目标:加强某单位(简称单位)信息安全保障力建立健全单位安全理体系提高整体网络信息安全水保证业务系统正常运营提高网络服务质量单位安全体系框架策略明确单位安全岗位员岗位技求岗位工作容理考核办法
第二条 适范围:适单位安全理员
第三条 安全岗位员:承担单位部门专兼职安全理员单位信息安全实施组成员
单位安全岗位员理
安全岗位员理考核
第四条 单位专职安全理员:专职负责单位信息安全理工作单位信息安全实施组成员具体员信息技术科安全岗位员工属信息技术科负责理考核
第五条 部门专兼职安全理员:负责部门信息安全理工作单位信息部门安全理组织成员具体员部门日常工作属相应部门理时作单位信息安全组织体系重成员工作考核部分属单位信息安全实施组
安全岗位员培训教育
第六条 安全岗位员需进行相关安全理技专业培训教育等工作安全岗位员培训信息技术科牵头负责安全岗位员培训成绩作相应工作考核项
单位安全岗位员求
单位安全岗位员技求
岗位名称
岗位技求
信息安全
学科学历计算机通信电信工程通信工程信息安全专业
信息安全理员
学科学历计算机通信信息安全专业
信息安全审计员
学科学历计算机通信信息安全专业
业务部门信息安全专员
学科学历计算机通信信息安全专业
机房理员
学科学历计算机通信
系统理员
学科学历计算机通信
数库理员
学科学历计算机通信
网络理员
学科学历计算机通信
单位信息安全相关岗位员安全职责
第七条 信息安全工作涉单位方面员表明确单位信息安全相关岗位员安全职责求
岗位名称
具体工作容
安全
1负责某单位日常工作计划指挥协调控制网络信息理工作
2负责制定信息化工作应规划年度工作计划组织计划落实情况实施检查
3负责相关技术单位网络运营商联系协调工作
4负责网络信息系统理维护工作保证网络信息正常运行
5负责组织关员学相关必需计算机专业技术培训
6负责组织外部关部门计算机联网信息交换
7负责网络信息建设应功开发单位理信息发布等方面工作提供方便效技术支持
8保关键核心技术协调组织某单位制定重技术决策技术方案 领导认协调组织实施
9做信息化理工作
机房理员
1机房理员负责计算机房日常理维护
2机房理员应规定作息时间班班时间应机房理员办公室
3机房理员应机房计算机等设备进行编号建档编号标签贴台计算机显示器
4保证计算机正常运行计算机完率应保持97常设备进行检测发现问题应时查找原损坏追查责修复时修复作记录修复时报
5机房设备包括零配件详细帐目交部门存档份设备部件报损应先部门报告确认填写相应报损单零配件采购严格学校采购程序进行采购
6机房理员外权拆卸计算机机房理员应锁台计算机机常检查否完遇损坏时维修更换机房理员应负责机房卫生保证计算机良工作环境
系统理员
1 项目规划建设阶段提出信息安全方面建议
2 负责系统交付网络设备操作系统数库等信息安全状况检查验收
3 负责系统设备日常运行安全维护理工作保持系统处良运行状态
4 负责单位种应系统台理工作做系统更新数维护
5 负责监控室视频监控系统资料查询调阅数设备维护理工作
6 负责办公动化系统电子邮件系统WEB网站应系统技术理支持维护工作
7 负责信息系统操作员权限设置参信息系统中应软件技术标准应标准规范性制度实施
安全理员
1参某单位计算机信息安全理规定技术规范制订
2负责实施维护某单位计算机信息安全理规定技术规范
3负责某单位计算机信息安全解决方案计划设计评估实施工作
4监督检查某单位计算机信息系统安全运行情况(保密性完整性性)
5负责某单位计算机信息系统部安全审计
6负责某单位计算机信息安全事响应处理
7负责某单位工作员计算机信息安全教育培训
8参密钥(加密设备)超级理员口令单位机房钥匙理
9定期计算机信息安全汇报相关部门信息安全工作情况
数库理员
1 负责系统交付业务应系统数访问控制安全程理
2 负责数传输程中安全求落实
3 负责部门联系收集整理相关重数记录做整理备份
4 负责信息数库系统存储备份恢复等日常理工作
5 负责信息数库安全理工作
6 负责信息数质量进行监控监督考核
网络理员
1 负责单位网络安全配置安全日志维护审计
2 负责IP网络安全理规定落实
3 负责单位PC软硬件维护维修
4 负责单位印机复印机传真机扫描仪维护维修
5 负责制定系统网络建设改造方案组织实施
6 负责通讯线路网络设备网系统运行理工作
7 负责全局计算机网络运行维护工作记录网络运行障维护情况排网络运行中出现障保障网络系统畅通做运行日志
8 负责落实项网络安全理规定户理
9 负责计算机网络操作系统型数库系统运行理日常维护
单位安全岗位员安全控制
第八条 安全岗位员录审计调动解聘方面进行严格安全控制保障单位信息安全组织体系关键
安全岗位员录
第九条 单位安全岗位员录应该遵守相关事劳动法律法规外必须考虑安全事项:
1 严格考察该员业务技术水相关资质认证(相关计算机认证证书等)时必须考虑政治社会素质等方面素
2 考虑录犯罪前科重行政处分纪录黑客历员特殊情况需单位技术部门领导意方考虑录
第十条 签订劳动合外必须签订保密协议明确该员应严格遵守相关安全理规定安全技术规范保守商业机密求违约责等
安全岗位员审计
第十条 单位定期进行安全工作检查容包括安全岗位员审计时安全检查结果作安全岗位员工作考核
安全岗位员调动
第十二条 业务工作需原需安全岗位员进行岗位调动时必须考虑安全事项:
1 根新岗位需增加删修改该员信息系统访问权限
2 必修改保密协议拟定新雇佣合原合中保密协议继续效
3 原岗位关资料文件包括软硬拷贝需移交允许私带走
4 遵循需知道原量避免频繁调动造成员权限情况
安全岗位员离职
第十三条 单位安全岗位员离职时必须遵守安全操作流程:
1 删该员工信息系统访问账号权限必重新创建关理员账号口令
2 相关员该员工起回顾签订保密协议该员工明确保密事项离开单位3年披露单位技术资料规定
某单位培训教育理规定
总
第条 策略目标:加强某单位(简称单位)信息安全保障力建立健全单位安全理体系提高整体网络信息安全水保证业务系统正常运营提高网络服务质量单位安全体系框架策略明确单位信息安全培训教育工作容相关员职责单位员工进行关信息安全理理培训安全理规定教育安全防范意识宣传专门安全技术训练确保单位信息安全策略规章制度技术规范利执行限度降低消安全风险
第二条 适范围:策略适单位部门员工
信息安全培训求
第三条 信息安全培训工作需分层次分阶段循序渐进进行必须够覆盖全员培训
第四条 分层次培训指层次员理层(包括决策层)信息安全理员系统理员单位员工开展针性侧重点培训
第五条 分阶段指信息安全理体系建立实施保持阶段培训工作计划分步实施信息安全培训采部外部结合方式进行
理层
第六条 理层培训目标明确建立单位信息安全体系迫切性重性获单位理层形支持承诺
第七条 理层培训方式采聘请外部信息安全培训专业单位技术专家咨询顾问专题讲座研讨会等形式
信息安全理员
第八条 信息安全理员培训目标理解掌握信息安全原理相关技术强化信息安全意识支撑单位信息安全体系建立实施保持
第九条 信息安全理员培训方式采聘请外部信息安全专业资格授证培训参加信息安全专业培训学信息安全理理技术单位部学研讨方式
单位系统理员
第十条 单位系统理员培训目标掌握系统相关专业安全技术协助单位部门信息安全理员维护保障系统正常安全运行
第十条 单位系统理员培训方式采外部部相结合培训学方式
单位员工
第十二条 单位员工培训目标解单位相关信息安全制度技术规范安全高效单位信息系统
第十三条 单位员工培训方式采取部外部培训相结合方式
信息安全培训容
安全体系安全职责分工
第十四条 单位级领导员工明确解单位信息安全体系明确安全职责明确身维护保障单位系统正常安全运行需承担相关责义务
第十五条 培训应采长期覆盖单位全员
新员工入职安全培训
第十六条 新员工正式岗前应进行信息安全方面培训明确岗位求遵守单位信息安全制度技术规范
单位员工安全技术教育
第十七条 针单位系统维护员理员应定期开展安全技术教育培训(年少次)明确安全关系统包括业务系统机操作系统电子邮件系统部网站普通计算机周边硬件设备
项安全专业技术教育
第十八条 针单位安全理员系统理员应定期开展供应商厂家提供专业安全技术培训(年少次)帮助相关安全理员系统理员解掌握正确安全安装配置维护系统
安全专业资格认证
第十九条 针单位安全理员系统理员应根实际情况挑选单位信息安全理安全技术员进行相关认证考试培训参加认证考试提高单位安全理员信息安全理理技术水
信息安全部考核(含培训)
第二十条 针单位安全理员系统理员应根岗位员工进行相关信息安全培训培训实行书面(开卷闭卷)信息安全考核
单位信息安全培训理
安全培训发起
第二十条 单位部门安全理组织根身安全理需发起相应安全培训计划
第二十二条 涉纳入单位员工考核培训需局办公室确认单位网络信息安全办公室备案考核结果
第二十三条 新员工单位全员安全培训教育纳入单位整体培训计划中
安全培训实施
第二十四条 培训实施办公室负责
第二十五条 专业性强培训培训发起级安全培训组织负责
第二十六条 具体操作程遵守单位相关培训理规定
附件 员培训考核记录表
编号:
培训名称
目
培训方式
□集中课 □学 □讨
□操作 □讲解 □
日期
考核方式
□书面考试 □现场操作 □总结 □领导评定 □
点
参加培训员登记表
姓名
部门
考核结果
考核
培训容:
附件:(授课题纲等)
培训实施情况:
讲:
办公室:
备注:表供部培训外培必时参
某单位外员安全理规定
总
第条 策略目标:加强某单位(简称单位)信息安全保障力建立健全单位安全理体系提高整体网络信息安全水保证网络通信畅通业务系统正常运营提高网络服务质量单位安全体系框架策略效防范外员(非单位员工)进入单位信息网络带安全风险加强规范单位部门外员安全理提供外员单位活动遵守行准
第二条 适范围:策略适单位部门
外员定义风险
外员定义
第三条 外员包括单位提供服务软件开发商产品供应商系统集成商设备维护商服务提供商等非单位员
第四条 外员理范畴包括时外员长期外员
第五条 时外员指业务洽谈技术交流提供短期频繁技术支持服务时访外员
第六条 长期外员指事合作开发参项目工程提供技术支持顾问服务必须定时间单位部办公外员
第七条 接指单位派出负责接理外员单位员工
外员带风险
第八条 外员访问单位方式包括现场访问远程网络访问
第九条 外员带安全风险必须定期评估防范安全风险:
1 外员物理访问带设备资料盗窃
2 外员误操作导致种软硬件障
3 外员资料信息外传导致泄密
4 外员业务系统滥越权访问
5 外员机系统软件留门
6 外员系统恶意攻击
外员短期访问安全理
物理安全
第十条 外员现场访问需遵单位物理安全理规定求:
1 外员进出单位均需登记遵单位物理安全理规定执行
2 外员进入机房部机房设备理规定律进行登记必须信息技术科负责接全程陪
网络访问安全
第十条 原允许外员现场访问单位网络果必须需外员接员遵守安全求:
时接入单位网络外员需网络安全理员意旦发生安全事件核实起外员引起相关责单位接员负责
第十二条 外员远程访问单位网络原允许果必须需外员接员遵守安全求:
1 时远程访问单位网络外员需信息技术科负责意时进行网络连接申请表填写旦发生安全事件核实起外员引起相关责相关岗位负责负责
2 时远程访问单位网络外员访问程中单位接员应够确定访问容访问结束单位接员应时关闭督促相关技术负责员关闭时访问通路记录访问结束时间
外员长期访问安全理
物理安全
第十三条 外员现场访问需遵单位物理安全理规定执行求:
1 遵守单位物理安全理规定物理安全负责部门办理外员进出证件证件表明访问时间段接部门长期访问终止接负责收回证件交物理安全负责部门做备案
2 外员进入机房部律进行登记必须信息技术科负责接员工全程陪
网络访问安全
第十四条 外员现场长期访问单位网络外员遵守单位安全理规定规范外外员接员必须遵守安全求:
1 长期访问单位网络外员需签署相关某单位外员安全保密协议(没该附件)承诺遵守单位安全制度规范
2 需信息技术科负责审批确认长期访问终止接通知信息安全岗位相关工作员进行备案作相应安全评估检查工作
3 外员访问单位网络期间违反单位安全理规定根保密协议相关单位安全理规定进行处罚外单位接属部门应承担责
第十五条 原允许外员长期远程访问单位网络果必须需外员接员遵守安全求:
1 信息安全理员组织相关岗位员进行安全评估通允许接入时根访问求制定访问控制策略否禁止接入
2 需签署相关保密协议承诺遵守单位安全制度规范
3 需单位信息技术科负责审批确认外员访问程中单位接员应够确定访问容访问终止单位接应时关闭督促相关技术负责员关闭时访问通路记录访问结束时间
4 外员访问单位网络期间违反单位安全理规定根保密协议相关单位安全理规定进行处罚外单位接属部门应承担责
附件 网络连接申请表
记录表编号: 记录序号:
申请
申请日期
属部门
户类型
□正式员工 □实生 □第三方员 □
期间
开始 结束
网络类型
○网 ○外网 ○线网络 ○
IP址
机器类型编号
类型:○台式电脑 ○笔记电脑 ○U盘 ○服务器
○ 编号:
连接目
备注
审核意见
签名:
日期: 年 月 日
批准意见
签名:
日期: 年 月 日
某单位介质理规定
第条 根关法规确保某单位(简称单位)介质安全存放理结合单位实际情况制定出介质理规定
第二条 规定称介质指存储记录单位信息硬盘软盘U盘光盘磁带存储卡等介质
第三条 检查容包括计算机存储介质外观否完数信息否读写容否正确等
介质理
第四条 应根系统重程度恢复求相关规定制定系统配置操作系统应系统数库数文件备份策略包括备份周期保存期限等
第五条 建立备份介质理规定审批程序备份介质环节中敏感数应必屏蔽
第六条 介质介质库理应专负责定时检查备份执行情况定期检查永久备份磁带否损坏
第七条 应设立异磁带理库存放环境应满足数存储介质存放条件设两数备份介质保室第保室设机房第二保室设机房建筑物异式两份数备份介质分存放两保室份数备份介质存放第保室
磁带标签带标命名规范清晰
例:
介质安全存放
计算机输入输出设备中印机外磁带磁盘等介质需作信息资料载体长期保存规定环境条件存放会出现数丢失国家标准电子计算机机房设计规范求介质存放条件:
项目
纸介
磁带
磁盘
已记录
未记录
已记录
未记录
温度
°C
5~40
18~28
0~40
18~28
0~40
相湿度
%
30~70
20~80
20~80
磁场强度A/m
<3200
<3200
<4000
<4000
第八条 介质保存必须选择安全场专进行理
第九条 介质存储容进行分类编号理建立登记簿登记簿记录容包括编号名称途备份日期效期重写时间责时间等项
第十条 备份介质需异存放必须办理登记手续登记容反映出名称入库时间存放存放点专进行理
第十条 单位存储介质需必须征信息技术科负责意进行时间审批等详细登记
第十二条 存储介质进行维护销毁需清介质中敏感信息防止重信息外泄
第十三条 外部员机构涉密存储介质进行维护时需存储涉密信息采取保存删等安全保密措施指定员监督维修程保密涉密信息泄露外部员机构需涉密计算机存储介质转存非指定设备时关责应根关规定外部员机构签署保密协议维修结束关责应监督维修员维修介质中涉密信息进行恢复性删处理涉密计算机存储介质外部维修前必须获相关领导批准时涉密信息进行恢复性删处理确需保留涉密信息必须求关外部员机构签署保密协议
第十四条 涉密移动存储介质销毁相关部门信息技术科负责批准进行销毁部门擅销毁
第十五条 涉密移动存储介质单位办公场确工作需带出办公场需信息技术科负责批准履行相关手续采取严格保密措施
第十六条 定期存储介质进行次清查核完整性性进行检查确认数没受损坏丢失
附件 介质盘点记录
单位部门名称
盘点日期
员签字
介质盘点记录:
问题处理程:
采取措施避免次发生:
备注:
附件二 介质记录
介质名称
档日期
查寻时间
情况
签名
某单位环境设施物理设备理规定
目
第条 防止单位区域遭未授权访问造成资产丢失损坏正访问等发生规范办公区域中特殊物理区域IT设备理特制定规定
适范围
第二条 规定适单位办公区域IT设备理
职责
第三条 信息技术科理职责
a) 规定口理部门
b) 负责规定修订解释说明协调实施工作
c) 负责单位环境设施物理设备理
d) 负责远程办公设备理
e) 负责计算机设备维护
f) 负责单位机房理
g) 负责机房设备维护
办公区域安全
第四条 物理安全边界入口控制:应设立门卫接位置保安员
单位办公区域
第五条 单位办公区域必须具备条件:
a) 相应防火防盗措施
b) 办公区域明显位置须张贴逃生通道示意图
c) 设置门禁系统防止未授权员进入
d) 重设备应该单独设立安全区建立相应制度
外部环境威胁安全防护
第六条 防止火灾发生办公区域应禁止乱堆乱放纸箱废纸等易燃品外应配备干粉灭火器备发生火灾时应急
第七条 财务部门区域规定:
a) 财务部员外出离开座位时放重文件抽屉锁离开办公室财务室门锁
b) 关员意出入财务重探财务信息
第八条 机房规定:
a) 服务器关键系统网络设备应存放机房专门点
b) 关员意进入机房
c) 机房理员进入机房应遵守机房设备理规定
d) 机房温度应18℃~22℃间时保持干燥防尘防火具备定防盗措施
关机房具体理规请参见机房设备理规定
公访问交接区
第九条 访客办公室工作员必须确认单位联系允许客行进入办公区域确认单位员姓名电话应询问方
第十条 单位外员包括承包单位员邮快递员送货员维修员保洁员等进入单位办公场时必须遵循方面求:
a) 未授权单位外员仅限进入单位指定等候区时访客单位部员带领会客区
b) 外物资货物需确认安全隐患方运送点
c) 单位外员需带出物资设备时需申请出门许
设备安全
第十条 IT部门必须件IT设备(简称设备)指定设备负责包括局限桌面电脑服务器笔记电脑通信设备设备负责责包括:设备置安全设施中采取必措施量保持设备环境安全通提供必维护设备采取必安全措施设备牌正常状态掌握设备前者设备运行情况
部设备
设备授权
第十二条 员需填写设备理登记表申请授权方IT设备
关键设备
第十三条 生成存储处理传输单位受限信息设备包括服务器通信设备设备负责必须安放机房专机柜安全区域防止该设备破坏非法侵入类设备连接单位部网时通ADSLISDN等方式连接互联网特殊技术需求须IT负责审批接入互联网理者需指定计算机外设备负责负责必须实施设备安全理防止理疏忽导致丢失非法入侵
值守计算机
第十四条 单位网络系统连接包含单位受限信息客户端计算机值守时全体员计算机采安全防护措施义务利口令保护电脑留值守公场(会议室等)公场电脑外公场电脑行规定
带出设备授权理
第十五条 未授权单位IT设备笔记电脑桌面电脑U盘移动硬盘等带出单位需带出请参考相关规定执行
外部设备
第十六条 单位范围外安装单位计算机网络设备时设备负责必须设备执行等单位设备安全防护措施
第十七条 单位外设备应遵守规定:
a) IT设备笔记电脑存储介质存单位受限信息介质带出单位时应物理加锁放置安全点时刻必须者控制
b) 防止带出IT设备笔记电脑桌面电脑等遗失失窃导致信息泄漏必须进行BIOS口令验证OS登录验证硬盘保存信息文件夹进行加密取消享文件夹等安全设置采口令求须满足某单位信息安全总体方针安全策略相关规定
c) 通存储介质(U盘移动硬盘等)带出信息时须采取加密密码保护等必安全措施
d) 口令信息设备分开保保存容易泄漏员方记录纸
e) 果IT设备存单位重信息介质丢失窃者必须立信息安全部门负责报告
f) 需寄送包含信息物理介质例单位产品光盘需单位签署合作协议(包括相关信息安全条款)物流单位介质必须防篡改包装
单位网络连接
第十八条 远程办公单位外点单位部网连接时必须单位指定连接方法
设备返回
第十九条 单位外设备返回单位时新设备购入时必须通病毒防护软件效方法检查保证该设备存病毒果发现病毒感染设备员必须采取恰策根病毒病毒感染设备法确定安全前接入单位网络单位外设备返回单位时设备负责须填写设备理登记表
维护修理
第二十条 设备负责必须根需通维护服务阶段性预防维护必措施负责保设备保持正常工作状态维护必须设备达佳运行方式目
第二十条 机房理员需定期网络设备服务器进行巡检发现问题需机房设备理规定中提求网络设备服务器进行维护处理
安全防护措施
第二十二条 设备需维护维修时设备负责必须采取必安全措施保护设备中存储受限信息低求维护维修前删受限信息(删受限信息前确认否需进行备份操作)需维护修理工作委托第三方进行时必须设备采取适安全防护措施
计算机信息系统远程诊断配置端口保护
第二十三条 单位重服务器信息系统单位指定理员远程诊断配置端口设备信息系统进行诊断配置员权实施单位重服务器信息系统应放置机房实现远程诊断配置端口实施物理隔离方式保护员物理逻辑访问端口
设备废弃
第二十四条 设备废弃设备责IT部门提交设备理登记表IT部门批准实施设备需废弃时设备负责必须保证硬盘类置存储设备实际销毁设备储存数完全清专门清工具硬盘储存数进行完全清
设备
第二十五条 严禁单位利拥存储设备网络通信设备等处理操作属单位信息时禁止述拥设备接入单位部网
布线安全
第二十六条 IT部门制定布线方案时须考虑:
a) 电源线路通信线路原应铺网线应电缆道
b) 电源线通信线加隔离
c) 电源线路设备清楚加标记
d) 网络线路文件化配线方案
支持性设施安全
第二十七条 建立电源理体制包括:
a) 停电电提前通知
b) 定期电源检查
c) 工作负载检查
d) 重设备停电紧急应方法采UPS
外应定期检查支持性设施例供水排污空调等避免支持性设施失效引起系统中断
附件 设备理登记表
记录表式号: 记录序号:
申请
申请日期
属部门
申请类型
○ ○领 ○作废 ○丢弃 ○返
设备信息
编号
类型
○台式电脑 ○笔记电脑 ○U盘 ○服务器 ○
名称(型号)
期间领丢失作废返时间
开始 结束(时填写)
(领丢失作废返时填写)
丢失场
○公司 ○家庭 ○
领目丢失作废返原
备注
审核意见
签名:
日期: 年 月 日
批准意见
签名:
日期: 年 月 日
某单位网络连接理规定
目
第条 规范某单位(简称单位)网络连接防止未授权通信连接威胁单位信息安全
范围
第二条 适通专线等方式接入拨出单位网络:
第三条 适单位员顾问供应商等单位网络环境工作员
物理规定
第四条 集中存放单位机密信息部门:档案室必须单位网络物理隔离
第五条 未批准测试网络单位网络直接连接
第六条 未批准严禁私设立接入服务
第七条 需通Internet网络完成工作统单位连接Internet
第八条 单位接入Internet网络第三方网络时必须保证拨出计算机单位部网络物理断开
第九条 需第三方员远程接入单位维护机器时必须维护机器单位部网络物理隔离远程维护完成时关闭接入服务
第十条 长期需建立外部连接部门必须建立理规定明确理责
第十条 需网络网口必须关闭
第十二条 信息技术科定期定期检查单位外连接计算机网络安全状况理善安全隐患限期整改
第十三条 信息技术科确定系统组成符合单位安全求情况第三方等外部计算机网络连接单位部网络
第十四条 部档案信息系统直接连接Internet
第十五条 禁止通Internet连接单位部档案信息系统直接修改系统中数信息
第十六条 户果希通Internet建立单位连接获单位网络访问前必须信息系统批准
第十七条 严禁通Internet传统固定密码方式Telnet连接非动态密码证明安全户认证技术
职责
l 信息技术科
第十八条 负责接入接出连接进行限制策略合理性进行审核
第十九条 建立维护接入接出清单
第二十条 负责接入系统进行审计
l 业务部门
第二十条 负责否业务需进行审核
第二十二条 负责接入接出系统日常维护理
第二十三条 负责接入接出系统符合网络连接策略规定
l 网络理员
第二十四条 负责接入服务器建立网络划分具体实施
第二十五条 负责接入接出系统技术支持
某单位计算机户安全手册
目
第条 确保某单位(简称单位)信息网络稳定运行规范员工行合理安全单位信息网络资源
范围
第二条 手册适单位接入网络计算机户
职责
第三条 信息技术科职责
a) 定期定期发起计算机软硬件日常规范进行巡查
b) 计算机相关资产盘点清查
c) 网络接入软硬件申请审核
d) 组织安排定期计算机技安全知识培训
e) 制定统安全策略
f) 手册中条款做终解释
第四条 系统网络理员职责
g) 维护单位员工计算机中软硬件
h) 定期定期执行计算机规范检查
i) 反馈安全事
j) 执行信息部门制定安全策略
第五条 计算机户职责
k) 遵守手册中规范
l) 配合安全检查
m) 时反馈安全事件
通
第六条 员工觉遵守职业道德高度责心觉维护单位利益
第七条 员工禁止私收集泄露单位机密信息
第八条 员工禁止利单位网络传播散布工作关文章评特破坏社会秩序文章政治性评
第九条 员工禁止载传播工作关文件:屏幕保护文件图片文件说音视频文件等
第十条 员工禁止未许软件
细
第十条 员工安全理
a) 员工入职
员工入职单位员工岗位需求统配备计算机计算机配置满足工作需需填写相关报告进行申请
b) 员工调动(包括单位部门间调动)
i 员工调动需退原岗位计算机交信息技术科处理新岗位岗重新申请计算机移交计算机前请确认重资料已作备份
ii 员工需携带原计算机新岗位需提出纸质申请
c) 员工离职
i 员工离职信息技术科签字确认前需交计算机资产信息技术科保
ii 确认保密事项离开单位3年披露单位技术资料
第十二条 培训教育
d) 新员工正式岗前应接受信息安全方面教育培训掌握岗位求计算机技员工应参加信息技术科组织计算机技培训考核
第十三条 计算机设备
e) 员工计算机必须加入单位域接受统理
f) 员工间私调配计算机硬件设备私开启计算机机箱安装拆卸插接硬件硬件障应时联系信息技术科报修
g) 员工离开计算机设备时应锁定注销前系统
h) 员工私未允许外存储设备(移动硬盘U盘MP3等)特殊情况需信息技术科申请说明备案
i) 员工需台(含台式机)电脑时需计算机软硬申请流程
j) 便携机带离单位时者责妥善保
第十四条 帐号口令设置
k) 员工必须帐号登录计算机帐号者帐号登录计算机妥善保帐号透露影响信息网络正常运行根登录帐号追溯责
l) 员工属计算机时应该设置开机屏幕保护口令口令需满足复杂性求口令需三月更改次6月重复
第十五条 网络
m) 员工网络需填写网络接入申请表获许方接入
n) 员工擅更改网络理员分配固定IP址计算机名网络配置
o) 员工工作时间做工作关事聊QQMSN炒股票等迅雷BT电驴等P2P载软件
p) 办公室网络设备出现障者网络接口足时应填信息部门申请私连接网络设备拔插交换机网线者意更改网络设备配置
q) 员工形式私拨号网
r) 员工带计算机设备未允许接入单位网络工作需必须接入单位网络须填写网络接入申请表通相应流程遵守手册中规范
s) 线网络密钥信息技术科相关员统理线网络密钥关员泄露
t) 外员接入单位网络特殊需接员工信息技术科提出接入申请获准需遵守手册中规范
第十六条 审核检查
u) 信息技术科负责员工计算机软硬件日常规范进行审核员工登录计算机帐号追溯责做相应处罚
v) 信息技术科负责定期(年)员工计算机相关资产盘点检查符合规范行做出处罚部门发出整改通知
第十七条 安全事件处理
涉信息安全事件均信息技术科统负责协调处理
某单位系统安全理说明
系统安全理
第条 业务服务器系统操作维护密码相关应系统维护员负责理维护泄漏
第二条 业务服务器操作密码长度系统允许长度少8位
第三条 业务服务器操作密码必须定期更换更换周期超60天
第四条 业务服务器员工作调整具原业务服务器操作职时该业务服务器理职负责必须时收回该员权限密码行安排重新进行密码设定
第五条 LINUX户帐号密码配置:
帐号建立授权应遵户理规范
Ø 户建立策略
根系统需求角色进行帐户建立赋予权限
帐户命名必须条例相关命名求
Ø 角色划分
LINUX系统特性单位架构操作系统户分类类型(组):
超级权限户(root)
系统理
安全检查
操作员
Ø 户标识
确定员责户应指定唯户名UID唯UID户应通相关技术理手段区分操作日志便日审计责区分
Ø root超级户
限制root数
Root密码应公开周期更改
机器采root密码
Root登陆系统时系统身密码验证外建议第三方软件进行验证
Ø 密码安全配置
密码长效期高30天
密码期长时间户更改默认值:maxexpired1
密码短长度默认值:minlen6
密码中少包含字母字符数量默认值:minother1
密码长时间重复默认值:histexpire0
第六条 Windows服务器密码安全配置:
Windows Server置户帐户删通禁重命名设置相关权限方式保证定系统安全性
Administrator帐户:该帐户安装应重新命名日常服务器理说建议直接户外建立隶属Administrator组理员便实施细粒度安全控制审核
Guest帐户:帐号必须禁特殊需保留定重命名
Ø 帐户密码策略
密码复杂性求:策略强制求少时四字符集中三:
写字母
写字母
数字
非字母数字字符
密码长度值:设置短密码长度默认值0
密码长存留期:设置密码长期限默认值42天
密码短存留期:设置密码短期限默认值0天
第七条 漏洞扫描补丁更新制度
定期检测关系统安全漏洞时更新系统补丁程序时求三月检查次运行环境正式安装新版前求先检测
第八条 Windows Server安全性配置标准
目:支撑windows系统信息安全规范操作系统层面安全配置制定标准
范围:标准适Windows server系统
安全配置标准
1) 系统补丁安装标准
Windows server安全相关补丁:
1 Server Pack(补丁包):Server Pack测试修复程序安全更新程序关键更新程序更新程序累积集合重补丁集合
2 Security Patch(安全补丁):Security Patch针特定问题广泛发布修复程序修复特定产品安全相关漏洞Microsoft发布安全公告中Security Patch分严重重中等低四等级严重安全补丁缺失会造成蠕虫快速传播(:震荡波击波)系统身网络造成重影响类补丁需时应操作系统
3 Hotfix(修补程序):Hotfix针某具体系统漏洞安全问题发布专门解决该漏洞安全问题程序通常称修补程序果发布Server Pacth面出现安全方面漏洞通常应补丁会Hotfix修补程序形式发布
2) 补丁安全原
1 必须安装等级严重重Server Pacth
2 关安全方面Hotfixes补丁应时安装
3 新安全补丁发布升级步骤政府部网提供信息准
4 安装补丁留副
注意:补丁更新慎重出现硬件兼容现象者影响前应系统安装补丁前测试验证
3) 账号口令安全配置标准
1 密码策略配置求
通安全策略调整默认密码策略提高系统安全水密码策略中项具体求表举例:
策略
默认设置
安全设置
强制执行密码历史记录
记住1密码
记住5密码
密码长期限
42天
90天
密码短期限
0天
0天
短密码长度
0字符
8字符
密码必须符合复杂性求
禁
启
域中户原加密存储密码
禁
禁
密码策略设置步骤图:
进入控制面板理工具安全策略账户策略>密码策略
2 密码复杂性配置求
密码策略中密码必须符合复杂性求选项启动系统强制求密码设置具备定强度求密码少包含四种类
n 英语写字母 ABC……Z
n 英语写字母 abc……z
n 西方阿拉伯数组 012……9
n 非字母数字字符符号@#等
第九条 账户安全控制求
1 账户锁定策略配置求
效账号锁定策略助防止攻击者猜出您账号应密码求表求调整账户锁定策略:
策略
默认设置
安全设置
账户锁定时间
未定义
20分钟
账户锁定阈值
0
5次效登录
复位账户锁定计数器
未定义
20分钟
账号锁定配置具体操作图:
进入控制面板理工具安全策略账户策略>账户锁定策略
2 系统置账号理求
Windows系统中存删置账号包括Administratorguest理员账号求更改缺省账户名称隶属Administrators组账号严格控制求禁guest账号防止攻击者利已知户名破坏远程服务器
3 账号理求
时测试账户期账号应该三工作日时删:(测试账户账户系统默认产生系统操作程中新增系统安全加固角度类账户必须时删)
第十条 目录文件权限控制标准
权限控制遵循原:权限累计拒绝权限允许权限高文件权限文件夹权限高
1 目录文件保护配置求
求表容受保护目录权限进行设置缺省情况Administrators组SYSTEM具完全控制权限Everyone组具读取运行权限账户台机求根具体情况重文件目录进行账户权限设置图:
注:图目录权限设置示例实际服务器进行设置时需严格检查重目录文件应账户权限设置
第十条 安全选项配置标准
安全选项
注释
安全设置
匿名连接额外限制
确定匿名连接计算机应具权限
允许枚举sam账号享
断开会话前需空闲时间
确定服务消息块(SMB)会话活动挂起前该会话中必须连续空闲时间
15分钟
果法记录安全审计立关闭系统
确定系统法记录安全事件时否关闭系统
停
登录屏幕显示次登录户名
确定否次登录计算机户名显示登录画面中
启
关机时清理虚拟存页面交换文件
确定关闭系统时否清楚虚拟存页面文件
启
密码期前提示户更改密码
确定提前长时间(天)警告户密码期通种提前警告户时间创建足够安全性密码
14天
具体设置方法:
进入控制面板理工具安全策略策略>安全选项中完成表提安全选项调整
第十二条 日志审计配置标准
1 审核策略配置求
Windows系统默认开启安全审核求通开启审核策略记录操作:
审核策略
默认配置
安全设置
审核策略更改
审核
成功失败
审核登陆时间
审核
成功失败
审核象访问
审核
失败
审核程追踪
审核
审核
审核目录服务访问
审核
失败
审核特权
审核
失败
审核系统事件
审核
成功失败
审核账户登陆时间
审核
成功失败
审核账户理
审核
成功失败
配置方法:
进入控制面板理工具安全策略策略>审核策略开相应审核选项:
2 日志属性配置求
请根实际情况调整系统日志属性:
日志类
安全设置
应程序
日志
10240K
达日志时
改写事件
(手动清日志)
安全性
日志
10240K
达日志时
改写事件
(手动清日志)
系统
日志
10240K
达日志时
改写事件
(手动清日志)
第十三条 安全配置参考
1 NTFS文件系统
NTFS文件系统FATFAT32强壮稳定易崩溃提供基NTFS文件系统文件目录访问控制列表(ACL)
2 享理
求停必文件享特注意系统默认启隐含系统享C$D$IPC$等
关闭默认享方法:服务配置中禁server服务
3 启屏幕保护
请设置带密码屏幕保护时间设定5分钟系统操作5分钟动启屏幕保护次进入系统需认证
第十四条 Linux配置
注:LINUX系统版影响配置建议沟通开发商验证设置根身系统特性符合实际情况
1.口令文件配置
测评容:LINUX系统缺少口令更新周期限制
口令老化(Password aging)种增强系统口令生命期认证机制然会定程序削弱户便利性够确保户口令定期更换种非常安全措施部分Linux发行版默认会开口令老化功容易启
1编辑etclogindefs文件通参数修改口令老化默认配置:
# Password aging controls:
#PASS_MAX_DAYS 密码效期天数设置9999实际关闭口令老化功
#PASS_MIN_DAYS 表示次密码修改少天户允许修改口令
#PASS_MIN_LEN表示口令长度
#PASS_WARN_AGE 表示口令期前少天开始通知户口令期
PASS_MAX_DAYS 9999
PASS_MIN_DAYS 0
PASS_WARN_AGE 7
2外编辑etcdefaultuseradd文件中查找INACTIVEEXPIRE关键字:
# useradd defaults file
GROUP100
HOMEhome
INACTIVE14
设置口令已期户直没修改口令少天户帐户置锁定设置14天
EXPIRE
直接指明新户口令失效日期格式YYYYMMDD
SHELLbinbash
设置配置修改创建新户效果更改已创建户配置chage工具:
[root@rhel4 ~]#chage M 60 shangwen
设置户shangwenPASS_MAX_DAYS60天相应更新shadow文件l选项查户密码老化相关信息m设置PASS_MIN_DAYSW设置PASS_WARN_AGE等等chage工具设置口令老化方方面面参数chage详细参数信息:
法:chage [选项] 户名
选项:
d ——lastday 日期 次密码设置时间设日期
E ——expiredate 期日期 帐户期时间设期日期
h ——help 显示帮助信息退出
I ——inactive 失效密码 期失效密码设失效密码
l ——list 显示帐户年龄信息
m ——mindays 天数 两次改变密码间相距天数设天数
M ——maxdays 天数 两次改变密码间相距天数设天数
W ——warndays 警告天数 期警告天数设警告天数
2户登录失败处理设置
测评容:LINUX系统缺少户登录失败处理功
PAM(插入验证模块)pam_tally模块踪成功登录次数达预先设定限制值禁止户帐号通常讲锁住户
户尝试登录4次失败锁住户需etcpamdsystemauth文件中加入面两行:
auth required libsecuritypam_tallyso onerrfail no_magic_root
account required libsecuritypam_tallyso deny3 no_magic_root reset
面面选项具体描述:
* onerrfail
果奇怪事情发生例开文件决定模块应该反应
* no_magic_root
表示模块uid0户触发计数器增加
系统理员应该选项例:telnetrshlogin类服务
* deny3
选项表明果户登录3次失败拒绝访问
* reset
选项指示模块成功实体应复位0
面实现种策略完全例子:
auth required libsecuritypam_envso
auth required libsecuritypam_tallyso onerrfail no_magic_root
auth sufficient libsecuritypam_unixso likeauth nullok
auth required libsecuritypam_denyso
account required libsecuritypam_unixso
account required libsecuritypam_tallyso deny5 no_magic_root reset
password requisite libsecurityISApam_cracklibso retry3
password sufficient libsecurityISApam_unixso nullok use_authtok md5 shadow
password required libsecurityISApam_denyso
session required libsecurityISApam_limitsso
session required libsecurityISApam_unixso
3安全审计配置
测评容:LINUX系统未开启安全审计功
Linux核中Auditing Subsystem默认关闭通auditctl s查(Red Hat Enterprise Linux例)
code:
[root@www ~]# auditctl s
AUDIT_STATUS enabled0 flag1 pid0 rate_limit0 backlog_limit64 lost0 backlog0
启动审计子系统需enabled值设1(通VI 命令编辑)
code
[root@www ~]# auditctl s
AUDIT_STATUS enabled1 flag1 pid25717 rate_limit0 backlog_limit8192 lost0 backlog0
果auditd服务没启动话记录会保留varlogmessages里
RHEL5中审计子系统包括3文件auditdconfauditrulesauditlog
auditdconf审计子系统deamon配置文件该文件
● 设置审计消息专日志文件
● 确定否循环日志文件
● 果日志文件启动掉太磁盘空间发出警告
文件容:
#
# This file controls the configuration of the audit daemon
#
log_file varlogauditauditlog
log_format RAW
priority_boost 3
flush INCREMENTAL
freq 20
num_logs 4
dispatcher sbinaudispd
disp_qos lossy
max_log_file 10
max_log_file_action ROTATE
space_left 75
space_left_action SYSLOG
action_mail_acct root
admin_space_left 50
admin_space_left_action SUSPEND
disk_full_action SUSPEND
disk_error_action SUSPEND
man 5 auditdconf:
log_file
审计日志文件完整路径果您配置守护进程默认varlogaudit外目录中写日志文件时定修改面文件权限根户读写执行权限户访问目录目录中日志文件
log_format
写日志时格式设置RAW时数会核中检索格式写日志文件中设置NOLOG时数会写日志文件中果dispatcher选项指定数然会发送审计事件调度程序中
priority_boost
审计应采少优先级推进守护进程必须非负数0表示没变化
flush
长时间日志文件中写次数值NONEINCREMENTALDATASYNC果设置NONE需做特殊努力数刷新日志文件中果设置INCREMENTALfreq选项值确定长时间发生次磁盘刷新果设置DATA审计数日志文件直步果设置SYNC次写日志文件时数元数步
freq
果flush设置INCREMETNAL审计守护进程写日志文件中前核中接收记录数
num_logs
max_log_file_action设置ROTATE时保存日志文件数目必须0~99间数果设置2会循环日志果递增日志文件数目必递增etcauditauditrules中核backlog设置值便留出日志循环时间果没设置num_logs值默认0意味着循环日志文件
dispatcher
启动守护进程时审计守护进程动启动程序守护进程传递程序进步定制报表者您定义分析程序兼容格式产生定义程序示例代码usrsharedocaudit
disp_qos
控制调度程序审计守护进程间通信类型效值lossylossless果设置lossy审计守护进程调度程序间缓区已满 (缓区128千字节)发送调度程序引入事件会丢弃然log_format没设置nolog事件然会写磁盘中果设置lossless调度程序发送事件前日志写磁盘前调度程序会等缓区足够空间
max_log_file
兆字节表示日志文件容量达容量时会执行max_log_file _action指定动作
max_log_file_action
达max_log_file日志文件时采取动作值必须IGNORESYSLOGSUSPENDROTATEKEEP_LOGS果设置IGNORE日志文件达max_log_file采取动作果设置SYSLOG达文件容量时会系统日志var logmessages中写入条警告果设置SUSPEND达文件容量会日志文件写入审计消息果设置ROTATE达指定文件容量会循环日志文件会保存定数目老文件数目num_logs参数指定老文件文件名auditlogN中 N数字数字越文件越老果设置KEEP_LOGS会循环日志文件会忽略num_logs参数会删日志文件
space_left
兆字节表示磁盘空间数量达水时会采取space_left_action参数中动作
space_left_action
磁盘空间量达space_left中值时采取动作效值IGNORESYSLOGEMAILSUSPENDSINGLE HALT果设置IGNORE采取动作果设置SYSLOG系统日志varlogmessages写条警告消息果设置 EMAILaction_mail_acct址发送封电子邮件varlogmessages中写条警告消息果设置 SUSPEND审计日志文件中写警告消息果设置SINGLE系统单户模式果设置SALT系统会关闭
action_mail_acct
负责维护审计守护进程日志理员电子邮件址果址没机名假定机名址root必须安装sendmail配置指定电子邮件址发送电子邮件
admin_space_left
兆字节表示磁盘空间数量选项设置space_left_action更动性动作防万space_left_action没理员释放磁盘空间值应space_left_action果达水会采取admin_space_left_ action指定动作
admin_space_left_action
磁盘空间量达admin_space_left指定值时采取动作效值IGNORESYSLOGEMAILSUSPENDSINGLEHALT值关联动作space_left_action中相
disk_full_action
果含审计文件分区已满采取动作值IGNORESYSLOGSUSPENDSINGLEHALT值关联动作space_left _action中相
提示:
果循环审计日志文件含varlogaudit分区变满引起系统错误建议varlogaudit位单独专分区
4资源控制配置
测评容:LINUX系统未配置单账户资源限制值
资源控制值etcsecuritylimitsconf文件限制:
limitsconf 文件实际 Linux PAM(插入式认证模块Pluggable Authentication Modules)中 pam_limitsso 配置文件针单会话
limitsconf格式:
username@groupname type resource limitusername@groupname:设置需限制户名组名前面加@户名区通配符*做户限制
type: softhard soft 指前系统生效设置值
hard 表明系统中设定值
soft 限制har 限制高 表明时设置 soft hard 值
resource:
core 限制核文件
date 数
fsize 文件
memlock 锁定存址空间
nofile 开文件数目
rss 持久设置
stack 栈
cpu 分钟单位 CPU 时间
noproc 进程数目
as 址空间限制
maxlogins 户允许登录数目
limitsconf 文件配置生效必须确保 pam_limitsso 文件加入启动文件中
第十五条 MySQL配置
注:MYSQL系统版影响配置建议沟通开发商验证设置根身系统特性符合实际情况
1 口令文件配置
测评容:MySQL数库系统缺少口令长度复杂度更新周期限制
建议:
1) MySQL数库缺少方面设定功建议通建立完善口令理规定规定户口令长度必须68位必须字母数字2种组合定期进行口令修改
2) 通安全远程连接工具软件口令进行配置
1户登录失败处理设置
测评容:MySQL数库系统缺少户登录失败处理功
建议:
1) MySQL数库缺少方面设定功建议通建立完善口令理规定规定权限户接触数库权限户尝试数库登录操作
2) 通安全远程连接工具软件非法户口令尝试登录次数做限制限制3次
2数库日志
3) 日志文件类型概述:
1.
错误日志 记录启动运行停止mysqld时出现问题
Myini配置信息:
#Enter a name for the error log file Otherwise a default name will be used
#logerrordmysql_log_errtxt
2.
查询日志 记录建立客户端连接执行语句
Myini配置信息:
#Enter a name for the query log file Otherwise a default name will be used
#logdmysql_logtxt
3.
更新日志 记录更改数语句赞成该日志
Myini配置信息:
#Enter a name for the update log file Otherwise a default name will be used
#logupdatedmysql_log_updatetxt
4.
二进制日志 记录更改数语句复制
Myini配置信息:
#Enter a name for the binary log Otherwise a default name will be used
#logbindmysql_log_bin
5.
日志记录执行时间超long_query_time秒查询索引查询
Myini配置信息:
#Enter a name for the slow query log file Otherwise a default name will be used
#long_query_time 1
#logslowqueries dmysql_log_slowtxt
3LINUX环境配置:
Sql代码
1 # [mysqld] 中輸入
2 #log
3 logerrorusrlocalmysqllogerrorlog
4 logusrlocalmysqllogmysqllog
5 long_query_time2
6 logslowqueries usrlocalmysqllogslowquerylog
# [mysqld] 中輸入 #log logerrorusrlocalmysqllogerrorlog logusrlocalmysqllogmysqllog long_query_time2 logslowqueries usrlocalmysqllogslowquerylog
windows环境配置:
Sql代码
1 # [mysqld] 中輸入
2 #log
3 logerrorEPROGRA~1EASYPH~10B1mysqllogserrorlog
4 logEPROGRA~1EASYPH~10B1mysqllogsmysqllog
5 long_query_time2
6 logslowqueries EPROGRA~1EASYPH~10B1mysqllogsslowquerylog # [mysqld] 中輸入 #log logerrorEPROGRA~1EASYPH~10B1mysqllogserrorlog logEPROGRA~1EASYPH~10B1mysqllogsmysqllog long_query_time2 logslowqueries EPROGRA~1EASYPH~10B1mysqllogsslowquerylog
开启慢查询
long_query_time 2 指执行超久sql会log里2秒
logslowqueries usrlocalmysqllogslowquerylog 查询返回较慢语句进行记录
logqueriesnotusingindexes nouseindexlog 字面意思log没索引query
logmyloglog 执行语句进行记录
注:日志存放默认情况开启时日志存放DataDir目录 果没指定名称话会机名名称 机名songcomputer相关日志songcomputerlog文件
Mysql日志关闭开启:
命令查否启日志
mysql>show variables like 'log_’
Value值OFF表示未开启服务开启需myini配置信息写入(myinimysql安装目录)然掉前面#
号重启mysql服务OK现会指定日志文件已创建相反停止mysql日志服务需myini中应配置信息掉
1 连接数配置
日志理分析制度(包括维护员更改服务器户属性服务器配置记录手册)
信息技术科统负责实时安全危险性较关键服务器周检查次监控日志应建立日常审计日志理规定防止重日志记录丢失毁坏篡改日常审计应专门员完成员应具备相应安全审计技相关安全知识日常审计员负责进行日常安全事件合规性审计时填写审计日志审计日志容应包括日非法变更非法入侵情况ID申请敏感交易情况等容
某单位安全事件报告处置理规定
第条 加强某单位计算机安全理防范信息系统技术风险保障信息系统安全运行根中华民国计算机信息系统安全保护条例制定制度
制度适:
第二条 信息部门计算机安全事件报告必须做快速时客观真实实行口理分报告原
第三条 信息部门负责系统计算机安全事件接报汇总通报处置工作
第四条 信息部门运行计算机安全理员负责辖区计算机安全事件报告接报协助处理工作
第五条 发生计算机犯罪案件单位应关规定级公安局监部门报告
计算机安全事件具体包括:
()信息系统软硬件障
(二)网络通信系统障
(三)供电系统障
(四)系统感染计算机病毒
(五)数处理中心遭水灾火灾雷击
(六)信息部门网络遭遇入侵攻击
(七)信息系统敏感数泄露
(八)信息系统数失窃
(九)信息部门数处理设备失窃
符合条件计算机安全事件必须报告:
()计算机信息系统中断运行正常超4时
(二)造成直接济损失超100万元
(三)严重威胁单位资金安全
(四)计算机安全事件造成单位正常运营影响范围较
计算机安全事件报告包括容:
()计算机安全事件发生时间点单位单位负责联系方式
(二)计算机安全事件类涉软硬件系统情况事件发生程
(三)计算机安全事件造成果影响范围
(四)计算机安全事件发生原
(五)责涉案员
(六)计算机安全事件发生采取应急措施
第六条 发生计算机安全事件逐级报程序事件发生部门事件发生12时单位信息部门报告
第七条 均权信息部门报告存计算机安全隐患接报告信息部门应立报告进行初步评估必应组织计算机安全隐患进行检查处置
第八条 计算机安全事件必须时报报告容应素齐全客观准确计算机安全事件报告制度执行情况列计算机安全检查容
第九条 计算机安全事件信息部门会事件涉部门提出方案处理报告报计算机信息安全领导组审核通相关责进行处罚
第十条 制度印发日起实施
安全事件理
第十条 安全事件通报制度
参标准:
GBZ 209862007信息安全技术信息安全事件分类分级指南
GBZ 209852007信息技术安全技术信息安全事件理指南
第十二条 安全事件类型
称安全事件包括已发生已发生安全事件信息包括预见发生安全事件
事件类型定义根影响程度济损失威胁程度等
()计算机信息系统中断运行正常超4时
(二)造成直接济损失超100万元
(三)严重威胁资金安全
(四)计算机安全事件造成正常运营影响范围较
第十三条 安全事件现场处置职责
信息安全领导组负责网络信息安全通报工作组织指导协调确定承担单位网络信息安全信息通报工作职部门负责联络员
信息安全领导组根安全事件发生类型发生安全事件进行处置定期已发生已发生安全事件信息进行分析网络信息安全事件分级分类分析方式包括:异常现象分析直觉判断工具分析事件数分析信息综合分析等已发生已发生安全事件信息分析结果进行记录参考附件
第十四条 事件报告理职责
信息安全事件实行分等级响应处置制度安全事件快通适理渠道报告制定正式报告程充员工知道报告安全事件程序责信息安全事件发生根危害发生部位迅速确定事件等级根等级启动相应响应处置程序定期安全弱点疑事件进行报告告知员工未许测试弱点属滥系统确定事者入侵疑事件应报告安全事件报告应记录案档留存
通报方式采取例行通报紧急通报两种方式
例行通报明确专负责定期时信息安全领导组汇总报告单位关突发事件发生状况动
紧急通报:旦出现预警信号区单位应第时间形成书面预警报告时报信息安全领导组安全事件发生期间日次信息安全领导组报告关情况
信息安全领导组作安全事件报告职部门事件报告根职部门求发现未发现安全事件报告职部门发生计算机安全事件逐级报程序事件发生12时计算机安全部门报告
信息安全领导组负责接报安全事件报告时进行处理填写信息系统安全事件记录表记录事件处理程重区域业务应发生安全事件注意控制事件影响追究安全事件发生技术原理责写出处理报告进行必评估
计算机安全事件报告包括容:
()计算机安全事件发生时间点单位单位负责联系方式
(二)计算机安全事件类涉软硬件系统情况事件发生程
(三)计算机安全事件造成果影响范围
(四)计算机安全事件发生原
(五)责涉案员
(六)计算机安全事件发生采取应急措施
第十五条 期恢复理职责
信息安全领导组作单位网络信息安全信息期职部门负责已发生已发生安全事件进行汇总发生安全弱点疑事件进行明确定义情况户均应尝试验证安全事件疑事件
信息安全领导组已发生安全事件开展教育培训确保发生类似安全事件时时处理恢复信息系统安全事件带影响减低
密切关注突发事件预警系统监测变量严防突发事件出现反复突发事件发生单位关部门应事件原全程进行彻底调查
适机制事障类型数量代价量化监督该信息重复发生影响事障指导出需增强附加控制限制未出现事频度损坏代价
信息安全领导组应突发事件处置工作进行评估总结针突发事件处置程中暴露出问题修改完善监测措施评级体系风险预警机制提出完善相关法规建议工作员进行突发事件发生处置培训
信息安全领导组应召集部门定期安全事件通报处置期恢复等进行宣传教育员培训
第十六条 安全事件定级
参标准:
GBZ 209862007信息安全技术 信息安全事件分类分级指南
GBZ 209852007信息技术 安全技术 信息安全事件理指南
第十七条 安全事件分级
信息安全事件分级考虑三素:信息系统重程度系统损失社会影响
信息系统重程度
信息系统重程度考虑信息系统承载业务国家安全济建设社会生活重性业务信息系统赖程度划分特重信息系统重信息系统般信息系统
系统损失
系统损失指信息系统安全事件信息系统软硬件功数破坏导致系统业务中断事发组织造成损失考虑恢复系统正常运行消安全事件负面影响需付出代价划分特严重系统损失严重系统损失较系统损失较系统损失说明:
社会影响
社会影响指信息安全事件社会造成影响范围程度考虑国家安全社会秩序济建设公众利益等方面影响划分特重社会影响重社会影响较社会影响般社会影响
计算机安全事件具体包括:
()信息系统软硬件障
(二)网络通信系统障
(三)供电系统障
(四)系统感染计算机病毒
(五)数处理中心遭水灾火灾雷击
(六)网络遭遇入侵攻击
(七)信息系统敏感数泄露
(八)信息系统数失窃
(九)数处理设备失窃
(十)计算机安全事件
第十八条 安全事件定级
安全事件处置需贯穿整安全理全程类突发公事件性质严重程度控性影响范围等素般分四级:Ⅰ级(特重)Ⅱ级(重)Ⅲ级(较)Ⅳ级(般)
特重事件(I级)
特重事件指够导致特严重影响破坏信息安全事件包括情况:
a)会特重信息系统遭受特严重系统损失
b)产生特重社会影响
重事件(II级)
重事件指够导致严重影响破坏信息安全事件包括情况:
a)会特重信息系统遭受严重系统损失重信息系统遭受特严重系统损失
b)产生重社会影响
较事件(III级)
较事件指够导致较严重影响破坏信息安全事件包括情况:
a)会特重信息系统遭受较系统损失重信息系统遭受严重系统损失般信息系统遭受特严重系统损失
b)产生较社会影响
般事件(IV级)
般事件指满足条件信息安全事件包括情况:
a)会特重信息系统遭受较系统损失重信息系统遭受较系统损失般信息系统遭受严重严重级系统损失
b)产生般社会影响
附件 信息系统安全事件记录表
编 号:
填写
填写时间
发生时间
恢复时间
事件现象
处理程
事件原
责
教训总结
影响范围
整改方法
负责意见
签字:
技术支持单位意见
签字
文档香网(httpswwwxiangdangnet)户传
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档
