单位部网络信息安全制度汇编(试行)
目 录
相关术语 11
1缩写 11
2制度适范围: 11
3术语定义 11
网络信息安全总体策略 13
第章 总 13
第二章 术语定义 13
第三章 组织职责 13
第四章 理原 13
第五章 总体目标 14
第六章 安全框架 14
第七章 策略制定维护 15
二信息等级保护体系制定发布理规定 17
第章 总 17
第二章 职责 17
第五章 文件起草 18
第六章 文件评审 19
第七章 文件发布 20
附录(xx市民政局)理制度发布记录表 21
三等级保护体系评审修订理规定 22
第章 总 22
第二章 评审程序 22
第三章 修订程序 23
四信息安全理组织架构 24
第章 总 24
第二章 组织目标 24
第三章 信息安全组织架构 24
第四章 组织信息安全职责描述 25
五信息系统安全检查理规定 27
第章 总 27
第二章 适范围 27
第三章 术语定义 27
第四章 组织职责 27
第五章 通求 27
第六章 安全检查准备 28
第七章 安全检查报告 28
第八章 安全检查整改 29
第九章 检查工具 29
附录: 安全检查情况汇总表 30
附录二: 信息系统安全检查表 31
六信息安全组织架构岗位职责 33
第章 总 33
第二章 信息化领导组 33
七员理制度 36
第章 总 36
第二章 术语定义 36
第三章 组织职责 36
第四章 入职理 36
第五章 岗理 37
第六章 纪律处理程 37
第七章 调动理 37
第八章 离岗理 38
八网络安全培训考核理规定 39
第章 总 39
第二章 组织职责 39
第三章 安全培训理程序 39
第五章 安全考核理程序 40
九第三方机构安全理规定 41
第章 总 41
第二章 术语定义 41
第三章 组织职责 41
第五章 驻场外包员安全理求 41
第六章 时访员安全理求 42
第七章 外包服务质量考核评价 42
第八章 外包员离场安全求 43
十计算机网络保密规定 44
十信息系统测试理办法 46
第章 总 46
第二章 测试组工作职责 46
第三章 新业务系统线测试理办法 47
第四章 常规版升级测试理办法 48
十二信息安全建设理规定 50
第章 总 50
第二章 适范围 50
第三章 组织职责 50
第四章 系统定级 50
第五章 安全检查报告 51
第六章 系统建设 52
第七章 系统备案 52
第八章 系统测评 53
第九章 系统终止 53
附录系统安全设计方案评审表 55
附录二系统测试验收评审表 56
附录三系统转移终止废弃申请表 57
十三项目理规定 58
第章 总 58
第二章 适范围 58
第三章 职责权限 58
第四章 项目立项 58
第五章 项目计划 59
第六章 项目实施 59
第七章 项目监控 60
第八章 项目收尾 60
十四工作环境理规定 61
第章 总 61
第二章 适范围 61
第三章 术语定义 61
第四章 办公区域访问控制 61
第五章 办公环境安全 61
第七章 办公计算机安全 62
第八章 监督检查 65
十五信息系统资产理规定 66
第章 总 66
第二章 适范围 66
第三章 术语定义 66
第四章 职责 66
第五章 资产分类 66
第六章 资产分级 67
第七章 信息资产标识 67
第八章 信息资产维护 68
第九章 闲置报废资产理 68
附录(xx市民政局)XXXX系统信息资产清单 70
十六存储介质理规定 71
第章 总 71
第二章 适范围 71
第三章 术语定义 71
第四章 组织职责 71
第五章 存储介质标识 71
第六章 存储介质访问 71
第七章 存储介质保 72
第八章 介质维修 72
第九章 存储介质销毁 72
附录存储介质清单 74
附录二存储介质销毁申请表 75
十七信息系统运维监控理规定 76
第章 总 76
第二章 适范围 76
第三章 术语定义 76
第四章 组织职责 76
第五章 监控理求 77
第六章 运维监控工作流程 77
十八网络系统运行理规定 79
第章 总 79
第二章 组织职责 79
第三章 网络资源数理 79
第四章 网络资源申请 80
第五章 网络资源 80
第六章 网络资源建设 80
第七章 网络资源变更 81
第八章 网络障处理 81
十九系统帐号权限理规定 82
第章 总 82
第二章 适范围 82
第三章 术语定义 82
第四章 组织职责 82
第五章 通原 82
第六章 特权帐号理 84
第七章 普通帐号理 84
第八章 口令理 84
第九章 检查监督 85
附录(xx市民政局)业务系统时帐户申请表 86
附录二(xx市民政局)业务系统帐户清单 87
二十补丁理规定 88
第章 总 88
第二章 适范围 88
第三章 术语定义 88
第四章 组织职责 88
第五章 补丁获取 88
第六章 补丁测试 89
第七章 补丁验证档 89
附录 业务系统补丁安装登记表 91
二十信息系统日志理规定 92
第章 总 92
第二章 适范围 92
第三章 术语定义 92
第四章 组织职责 92
第五章 通求 92
第六章 机系统日志理 93
第七章 业务系统日志理 93
第八章 设备日志理 94
二十二防病毒理规定 95
第章 总 95
第二章 适范围 95
第三章 术语定义 95
第四章 组织职责 95
第五章 防计算机病毒目 96
第六章 防病毒理容 96
第七章 防病毒应规定 97
第八章 惩罚制度 97
附件:病毒事件报告表 98
二十三信息安全密码理规定 99
第章 总 99
第二章 帐号设立求 99
第四章 口令设立求 100
第五章 变更取消求 100
第六章 维护求 101
第七章 流程理求 103
二十四变更理规定 105
第章 总 105
第二章 适范围 105
第三章 术语定义 105
第四章 组织职责 106
第五章 变更申请 106
第六章 变更受理 106
第七章 变更方案制订 106
第八章 变更审批 107
第九章 变更实施 107
第十章 变更汇总 109
第十章 紧急变更 109
附录 变更申请单 110
二十五备份恢复理规定 112
第章 总 112
第二章 术语定义 112
第三章 职责 112
第四章 备份理 112
第五章 备份介质理 114
第六章 备份恢复理 115
附录:业务系统备份数清单 116
二十六安全事件理规定 120
第章 总 120
第二章 适范围 120
第三章 术语定义 120
第四章 组织职责 120
第五章 事件分类 120
第六章 事件分级 122
第七章 事件监控 122
第八章 事件受理 123
第九章 事件处置 123
附录信息安全异常现象报告 126
附录二信息安全事件报告 127
二十七应急预案理规定 129
二十八软件理办法 131
第章 总 131
第二章 适范围 131
第三章 职责权限 131
第四章 软件理 131
第五章 软件外包开发 131
第六章 软件 132
二十九信息交付理规定 133
第章 总 133
第二章 安全交付规范 133
第三章 员安全理 135
附件 安全系统交付清单 136
相关术语
1缩写
原名称
缩写名称
备注
2制度适范围:
适(xx市民政局)部门包括系统维护理员网络服务器终端设备信息系统专设备物理环境等
3术语定义
() 安全策略:纲领性安全策略文档描述(xx市民政局)业务安全目标理层意图支持目标指导原信息安全实践根性指导性文件
(二) 信息安全等级保护理体系指国家信息安全等级保护求建立系统进行信息安全理制度方针策略流程指南记录等理方面规章制度集合
(三) 信息安全等级保护理体系指国家信息安全等级保护求建立系统进行信息安全理制度方针策略流程指南记录等理方面规章制度集合
(四) 安全检查:指单位部外部机构信息安全整体执行情况进行评价活动安全检查单位现行理制度信息系统安全体系规范技术标准关法律法规标准求等安全检查包括安全例行检查安全专项检查等
(五) 安全例行检查:指已制定检查周期作检查
(六) 安全专项抽查:指根单位监机构相关部门求安全运行状况作定期抽查
(七) 单位员工指单位正式员工包括试期员工调员等
(八) 第三方机构指进入(xx市民政局)部提供相关技术服务非(xx市民政局)单位(包括限供应商合作厂商服务商)第三方员分时访员驻场外包员时访第三方员指(xx市民政局)时间周期较短员包括进行业务交流员时访参观员等驻场外包第三方员指访时间较长第三方技术服务员包括项目建设员外信息系统职守员外信息系统维护员等
(九) 存储介质:指单位计算机系统相关业务电子信息输出存放物理介质移动移动磁盘光盘硬盘磁盘阵列等
(十) 帐号指访问系统资源户系统中标识分应系统帐号操作系统帐号数库帐号等
(十) 访问权限指帐号赋予访问系统资源系统功权利
(十二) 超级理员帐号特权帐号:指系统具超级权限帐号包含限UNIXLinuxrootWINNTadministrators组成员数库DBA等户
(十三) 普通帐号:户维护访问系统实现日常操作帐号常见户类型
(十四) 补丁针某具体系统漏洞安全问题发布专门解决该漏洞安全问题程序通常称修补程序
(十五) 日志包括业务系统中存储机系统日志设备日志业务系统日志等基础环境日志
(十六) 计算机病毒:计算机病毒蓄意编制种寄生性计算机程序计算机系统中生存通复制传播定条件激活计算机系统造成定损害甚严重破坏病毒窃取计算机设备中重信息
(十七) 信息安全事件指然者软硬件身缺陷障原信息系统造成危害社会造成负面影响事件
网络信息安全总体策略
第章 总
第条 加强(xx市民政局)信息系统网络安全理明确(xx市民政局)网络安全理总目标总方保护(xx市民政局)系统信息系统资产积极预防安全事件发生安全事件影响化特制定策略文件
第二章 术语定义
第二条 安全策略:纲领性安全策略文档描述(xx市民政局)信息系统业务安全目标理层意图支持目标指导原网络安全实践根性指导性文件
第三章 组织职责
第三条 单位组建网络安全信息化领导组负责批准网络安全策略文件保证文件执行时负责(xx市民政局)系统网络安全方面指导方安全建设等重问题做出决策协调部门安全协工作支持推动网络安全工作整单位实施
第四条 单位组建网络安全等级保护工作组负责具体执行安全理策略文件建立实施运作监控评审维护改进工作
第五条 单位员工责解身单位信息安全网络安全方面职责网络安全信息化领导组指示认真执行相关求
第四章 理原
第六条 网络安全理工作实行积极防范突出重点职责位保障业务谁谁负责谁运营谁负责理原
第五章 总体目标
第七条 遵守国家相关法律法规结合(xx市民政局)实际情况现理文化体系逐步建设套适先进网络安全理体系更保障(xx市民政局)网站社台等重信息系统安全稳定社会公众提供服务满足单位断发展业务需求
第六章 安全框架
第八条 安全理制度
() 逐步完善安全策略理制度操作规程组成网络安全理体系
(二) 网络安全策略文件应理层审核批准公布传达单位员单位业务第三方机构网络安全策略文件规划期间重变更发生时需通理层审查修订
第九条 安全理机构
() 必须建立网络安全理组织满足网络安全理体系持续运行目标
(二) 加强第三方机构沟通合作时获取相关信息
(三) 必须建立安全检查机制定期信息系统进行安全检查
(四) 加强员录离岗程安全理定期员进行安全培训考核加强安全意识
(五) 操作访问信息资产第三方机构必须阐明相关责求明确告知责恰保护信息资产
第十条 系统建设
() 系统建设初期必须根系统定级情况进行安全方案设计行性进行证
(二) 确保安全密码产品采购符合国家关规定选择满足条件安全服务商
(三) 确保系统开发维护程中相关安全功需求已嵌入系统开发新系统时安全功应包含初始系统分析需求描述中描述必须包括动手动安全控制控制必须通测试够整合正运行环境中
第十条 系统运维
() 信息系统相关设备物理需受保护防止偷窃滥损坏未授权访问
(二) 确保信息系统相关信息资产受适保护 信息资产必须确定属根敏感度进行分类控制
(三) 信息系统必须制定相应操作规范通日常操作理介质理恶意代码防范控制确保信息系统范围信息处理设施正确安全操作
(四) 三级系统应建立安全理中心信息资产安全事件实现监控响应
(五) 信息系统变更应审批流程完善恢复流程
(六) 应建立效安全事件响应处理机制安全事件必须时发现报告处理调查报修正事回顾吸取验教训避免发生类型事件损失降
(七) 建立完善应急预案确保事发生时业务活动影响降
第七章 策略制定维护
第十二条 网络信息安全策略文件安全理员编写网络安全信息化领导组批准相关部门第三方机构相关员发布
第十三条 网络安全信息化领导组监督网络安全活动否策略目标致达策略求
第十四条 网络安全信息化领导组审查处理违反安全策略行
第十五条 网络安全等级保护工作组定期网络安全策略进行回顾评审(附件评审记录表)确保策略效性操作性
附件安全策略评审记录表
安全策略评审记录表
日期: 年 月 日
会议名称
参员
评审象
评审结果
评审意见:
网络安全等级保护工作组
审批结果:
网络安全信息化领导组
二信息等级保护体系制定发布理规定
第章 总
第条 保证(xx市民政局)信息安全等级保护理体系持续性时效性适应性满足业务断变化安全理需明确信息安全等级保护体系制定发布评审修订等程中理职责特制定规定
第二章 职责
第二条 网络安全信息化领导组职责:
() 负责规划监督指导网络安全等级保护理体系文件起草审查发布清理等工作
(二) 负责信息安全等级保护理体系评审修订复审工作
(三) 确保信息安全等级保护理体系持续恰效运作
(四) 提供充足资源支持持续改善信息安全等级保护理体系
第三条 网络安全等级保护工作组职责:
() 负责组织理体系文件起草编制修订补充等工作开展实施成果领导组汇报
(二) 负责启动持等级保护理体系理评审工作
(三) 负责协调相关员指导收集评审资料
(四) 确保评审会议提出行动项目规定时间完成负责相关监督工作
(五) 负责评审结果需进行修订项协调相关员进行修订
(六) 指派员负责修订措施执行结果进行验证
第四条 相关员指(xx市民政局)信息安全等级保护理体系涉员:系统理员应理员开发理员网络理员数理员资产理员安全理员等职责:
() 负责理体系文件容进行宣贯培训执行检查等工作部门情况落实理体系求
(二) 负责协助进行评审
(三) 负责实施修订措施
第五章 文件起草
第五条 (xx市民政局)网络安全理体系规范文件网络安全等级保护工作组负责起草组织起草
第六条 负责起草科室应确定名熟悉相关容员工项目负责 涉部门时关部门派组成联合起草组起草部门负责牵头组织
第七条 起草规范性文件应结构严谨容完备形式规范条理清楚词准确文字简洁
第八条 应明确规定容:
()制定目
(二)适范围
(三)术语定义
(四)组织职责
(五)具体理求规定
(六)必附
(七)规范容相关资料性附录参考性附录
第九条 报送审查理制度送审稿应起草部门负责签署报网络安全信息化领导组审查部门起草规范送审稿应起草部门负责签署报网络安全信息化领导组审查
第十条 列材料应规范送审稿报送网络安全信息化领导组审查:
()起草说明
(二)规范容关规范性文件
(三)汇总方意见
(四)需制定实施细应提交实施细容细拟出台时间
(五)需报送材料
第十条 网络安全信息化领导组方面送审稿进行审查:
()否符合权限程序
(二)否符合原
(三)否规范标准相协调衔接
(四)否已关意见进行协调
(五)否具行性
(六)否符合相关技术求
(七)需审查容
第十二条 网络安全信息化领导组送审稿提出审查结草案涉关争议问题修改情况作重点说明网络安全信息化领导组负责签署书面审查报告应反馈起草部门
第六章 文件评审
第十三条 (xx市民政局)网络安全等级保护工作组定期(少年次)开展等级保护理体系评审工作确保整等级保护理体系充分性适性效性
第十四条 等级保护理体系评审容:
() 根业务系统性质安全求确定(复审)等级保护理体系范围建立(复审)等级保护理体系包括网络安全策略标准程序
(二) 等级保护理体系审核结果进行评审分析导致符合项原
(三) 审查审核象反馈信息
(四) 总结已发现安全事件漏洞
(五) 审查现行安全控制措施相关技术否效
(六) 复查修订措施实施状况
(七) 检查先前理评审中定义措施实施状况
(八) 审查改善措施建议
(九) 复查业务法律法规方面变更
(十) 审查影响信息安全等级保护理体系变更
(十) 协调相关网络安全实施评审相关资源充足性
第十五条 评审工作必须少年举行次发生情况时需启动理评审工作:
() 系统业务发生重变更
(二) 系统网络安全策略重变更
(三) 目前等级保护理体系执行力
(四) 系统等级保护理体系范围发生变更
(五) 相关标准法规发布修订版变更
第七章 文件发布
第十六条 规范草案网络安全信息化领导组审议原通起草部门根审议中提出修改意见草案进行修改网络安全信息化领导组负责签发文件形式公布
第十七条 文件发布应遵统格式进行版控制应注明发布范围收发文进行登记发布制度应附录(xx市民政局)理制度发布记录表中进行记录
附录(xx市民政局)理制度发布记录表
(xx市民政局)理制度发布记录
理制度名称
制订者
发布者
生效时间
版
分发范围
失效时间
备注
日期:
文档理员:
审核:
三等级保护体系评审修订理规定
第章 总
第条 保证(xx市民政局)等级保护理体系持续性时效性适应性满足单位断变化安全理需明确等级保护理体系评审修订程中理职责特制定规定
第二章 评审程序
第二条 (xx市民政局)网络安全等级保护工作组定期(少年次)开展等级保护理体系评审工作确保整等级保护理体系充分性适性效性
第三条 等级保护理体系评审容:
() 根具体工作性质安全求确定(复审)等级保护理体系范围建立(复审)等级保护理体系包括网络安全策略标准程序
(二) 等级保护理体系审核结果进行评审分析导致符合项原
(三) 审查审核象反馈信息
(四) 总结已发现安全事件漏洞
(五) 审查现行安全控制措施相关技术否效
(六) 复查修订措施实施状况
(七) 检查先前理评审中定义措施实施状况
(八) 审查改善措施建议
(九) 复查业务法律法规方面变更
(十) 审查影响等级保护理体系变更
(十) 协调相关网络安全实施评审相关资源充足性
第四条 评审工作必须少年举行次发生情况时需启动理评审工作:
() 系统业务发生重变更
(二) 系统网络安全策略重变更
(三) 目前等级保护理体系执行力
(四) 系统等级保护理体系范围发生变更
(五) 相关标准法规发布修订版变更
(六) 评审工作会议记录均需档保存正式记录
第三章 修订程序
第五条 问题识确认采取修订措施原包括限:
() 系统等级保护理体系相关工作员反馈信息调查申请
(二) 网络安全理评审会议讨中发现问题
(三) 等级保护理体系审核发现符合项
第六条 调查问题起:
() 网络安全等级保护工作组指派专门员负责问题进行分析调查确认问题起
(二) 调查员需提供关整问题调查详细结果作修订措施报告部分提供额外补充信息
第七条 执行修订措施:
() 基调查出问题起需确认实施相应措施事进行调查研究负责述行动执行者需确保更新相关文件理流程:
Ø 准备制定更新相关理程序
Ø 培训通知相关员知晓
(二) 执行员负责踪执行修订措施效果旦发现效果预期相关负责需进行评估分析进步应措施进行确认执行员必须确保实施修订措施证实验证保证修订措施报告中详细说明
第八条 措施验证:
() 果验证出采取措施达预期效果修订措施算成功结束踪验证阶段包括两部分:
Ø 规定修订措施执行程度进行验证
Ø 修订措施执行效果进行验证
(二) 措施验证结果必须中详细说明相关记录进行保存
四信息安全理组织架构
第章 总
第条 加强(xx市民政局)信息安全理工作组织协调建立健全等级保护理制度运行机制切实提高(xx市民政局)信息安全理工作水根信息安全等级保护理办法(xx[2007]43号)求制定规范
第二章 组织目标
第二条 实施规旨实现信息安全理目标:
() 理组织信息安全工作
(二) 理外部组织访问组织信息处理设施信息资产安全
第三章 信息安全组织架构
第三条 加强(xx市民政局)信息安全理工作领导贯彻落实信息安全求安徽省公安厅关开展信息安全理专项检查工作通知关求研究决定成立(xx市民政局)网络安全信息化领导组(简称领导组)
第四条 成立领导组作信息安全理工作高理机构领导组设(xx市民政局)系统信息安全理工作组
第五条 领导组(xx市民政局)书记担组长副书记担副组长领导组成员队伍建设指导科科长相关部门安全领导
第六条 信息安全理工作组负责(xx市民政局)信息安全理具体执行工作工作组组长领导组指定队伍建设指导科科长兼设置名副组长负责具体工作部门信息安全技术实施进行指导审查信息安全工作组成员包括部门信息化负责
第七条 队伍建设指导科作信息安全工作具体执行部门 科室负责科室信息安全理工作第责应指定名信息安全理员作信息安全工作联络员负责科室关信息安全理工作
第四章 组织信息安全职责描述
第八条 网络安全信息化领导组职责包括:
() 根国家省市级网络安全总体求结合(xx市民政局)实际情况统领导(xx市民政局)信息安全理相关工作
(二) 负责协调(xx市民政局)部理工作分配信息安全理目标职责支持推动信息安全工作单位实施
(三) 负责信息安全理关重事项进行决策包括安全组织机构调整信息安全理重策略变更
(四) 组织审定发布单位信息安全发展战略总体规划重政策理规范技术标准
(五) 评审监督重信息安全事处理
第九条 信息安全理工作组职责包括:
() 直接领导组负责承担信息具体工作协助领导组信息安全事务决策
(二) 负责信息安全政策贯彻落实协调信息安全执行科室第三方机构间关信息安全工作
(三) 负责信息安全理体系建立实施日常运行起草信息安全政策确定信息安全理标准督促信息安全执行部门信息安全政策措施实施
(四) 负责员工信息安全工作意识教育安全技培训
(五) 负责维护安全事件记录报告发生起安全事件调查解决方法记录案
(六) 负责定期召开信息安全理工作会议定期总结安全事件记录报告信息安全领导组汇报
(七) 负责建立信息安全执行科室关联级单位外部安全理机构间定期联系沟通机制
(八) 落实纠正措施(包括审计整改意见)预防措施
第十条 信息安全工作联络员职责包括:
() 负责单位日常具体信息安全工作参加信息安全工作组求项活动
(二) 负责信息安全工作组负责报告信息安全事件违反信息安全政策行协助违反安全政策行进行调查
(三) 协助信息安全工作组负责单位信息安全领导落实针单位纠正措施(包括审计整改意见)预防措施
第十条 部员工职责包括:
() 严格遵守信息安全相关国家法律法规政策遵守(xx市民政局)信息安全政策
(二) 积极参加信息安全教育培训提高信息安全意识
(三) 责违反信息安全政策事件行时报告单位信息安全联络员相关员
第十二条 力资源部职责包括:
() 力资源工作办公室兼
(二) 员工聘前聘中解聘程中涉员信息安全进行效理
(三) 负责制定实施信息安全相关奖惩措施安全绩效考核体系
(四) 组织实施信息安全教育培训
(五) 协助调查安全事件
第十三条 信息中心职责包括:
() 信息中心工作队伍建设指导科兼
(二) 负责(xx市民政局)科室属单位信息安全某题进行定期审计信息安全专项审计
(三) 信息安全理政策种标准规范作审核具体审核程中必时获信息安全领导组协助支持
(四) 负责汇报审计结果督促审计整改工作进行
五信息系统安全检查理规定
第章 总
第条 规范(xx市民政局)信息系统网络安全检查工作流程明确职责定期效单位信息系统进行安全检查特制定规定
第二章 适范围
第二条 规定适单位信息系统网络安全检查准备实施报告整改程理象安全理员信息系统理员
第三章 术语定义
第三条 安全检查:指单位部外部机构网络安全整体执行情况进行评价活动安全检查单位现行理制度信息系统安全体系规范技术标准关法律法规标准求等安全检查包括安全例行检查安全专项检查等
第四条 安全例行检查:指已制定检查周期作检查
第五条 安全专项抽查:指根单位监机构相关部门求安全运行状况作定期抽查
第四章 组织职责
第六条 安全理员负责牵头协调组织信息系统网络安全检查理工作包括系统日常运行系统漏洞数备份等情况
第七条 相关理员应配合安全检查实提供需检查信息安全检查发现问题制定整改措施整改计划实施整改
第五章 通求
第八条 安全检查应遵循全面审慎独立原
第九条 安全理员应牵头建立检查机制信息系统负责配合制定检查计划定期开展检查活动检查计划根实际情况时进行补充调整
第十条 应半年周期信息系统进行安全检查检查容应包括安全技术措施效性安全配置安全策略致性安全理制度执行情况
第十条 根实际需组织专项检查信息系统发生重事问题进行专项检查重事件实施全面监控评价
第十二条 新信息系统包括设备机应信息系统线安装前必须安全检查检查方式应包括信息系统安全配置漏洞评估恶意代码检测根检查结果进行整改方线
第十三条 必须检查工具检查程信息检查结果信息访问采取控制措施加保护防止风险
第六章 安全检查准备
第十四条 安全理员应组织相关部门员半年周期进行安全例行检查根需组织安全专项检查
第十五条 安全检查应规定检查点检查方式规定检查工具进行检查
第十六条 应选择单位信息系统运行影响方式时间进行检查
第十七条 生产环境实施安全检查应(xx市民政局)信息系统变更理规定规定变更流程执行
第十八条 实施生产环境造成影响安全检查应协调相关科室员检查结果进行验证
第十九条 安全检查采抽查方式进行抽查采样量应确保安全检查结果准确性代表性符合信息系统实际生产情况
第二十条 检查程中应做检查结果记录工作
第七章 安全检查报告
第二十条 检查完成安全理负责组织编写检查报告提出整改建议(附录安全检查情况汇总表)提供相关科室
第八章 安全检查整改
第二十二条 相关科室应检查报告中整改时间求针检查报告中提出问题制定整改实施计划组织整改
第二十三条 安全理员应整改措施落实情况进行踪验证整改措施实施结果否效必时进行复查确认
第二十四条 安全理员根检查结果整改情况进行汇总形成安全状况通报提供相关部门
第九章 检查工具
第二十五条 安全检查程中果需安全工具审核安全检查工具
第二十六条 安全检查工具检查设备者检查科室设备运行检查员负责操作
第二十七条 生产信息系统中检查工具前安全理员组织进行测试工作产生影响进行评估证必时安排双进行操作
附录: 安全检查情况汇总表
序号
符合项
符合描述
整改建议
负责科室
1
2
3
4
5
6
7
8
9
10
附录二: 信息系统安全检查表
检查日期: 检查:
日常运行维护理
容求
检查结果
备注
1 信息系统日常运维
信息系统操作流程时更新
户密码理否规范
户密码否定期更改
操作日志记录
异常情况记录
异常情况处理
记录数完整连续
补丁否更新
否安装防病毒软件
□□否
□□否
□□否
□□否
□□否
□□否
□□否
□□否
□□否
服务器运行情况
容求
检查结果
备注
服务器资源情况系统访问情况
CPU占率
存占率
存储占率
系统响应时长(单位:秒)
文档理
容求
检查结果
备注
1 应急计划
应急计划新时完善修订包含:
□□否
1 外联联系单应急联系电话岗位负责
2 类问题具体应措施(障判关键设备位置应急操作步骤等)
□□否
2 数备份
备份数完整效
网络设备安全设备配置文件否定期备份
□□否
□□否
3 测试报告
次测试进行记录填写报告定期整理
□□否
4 应急演练记录
次演练进行记录填写报告定期整理
□□否
5 信息系统线流程审批
信息系统线软件升级设置变更等填写审批单
□□否
6 技术文档理
应信息系统技术文档操作手册否齐全
□□否
7 IP址记录
IP址记录否时更新
(抽查IP址台设备IP址表)
□□否
8 防病毒措施
病毒库时更新
□□否
9 网络拓扑图
网络拓扑图时更新
□□否
安全理卫生情况
容求
检查结果
备注
1 员备岗
关键岗位备岗
外部运维员保密协议
□□否
□□否
2 机房备品备件
机房关键设备应信息系统等否备份
□□
3 否超年限机器
中心机房
□□
4 机房理
应急明
否堆放杂物(纸箱废弃物等)
机房监控信息系统清晰效
机房网络线路否清晰网线颜色否标准
□□
□□否
□□
□□否
5 视频监控
视频监控设备清晰效
□□否
6 门禁信息系统
门禁信息系统功否正常
□正常□正常
7 防盗报警器
红外防盗报警器功否正常
□正常□正常
8 机房出入员登记表
外员进出机房登记
□□否
9 机房电力供应等
电力切换演记录
UPS容量负载情况
电池供电时间
配电房定期检修
空调运行情况(空调供水排水情况)
□□
( )
( )
□□
□正常□正常
10 消防
烟感温感
消防报警信息系统
定期演练
□正常□正常
□正常□正常
□□否
11 防雷信息系统
防雷信息系统安装等级
措施完整效(防雷接防雷保安器)
( )
□□否
六信息安全组织架构岗位职责
第章 总
第条 效实施信息安全理保障实施单位信息安全单位部建立信息安全理组织架构明确相关责岗位职责特制定规定
第二章 信息化领导组
第二条 落实国家信息化安全建设方针政策根安徽省xx市相关文件求(xx市民政局)成立网络安全信息化领导组设置相应职部门员负责级信息系统安全理工作具体信息安全组织架构岗位设置:
组织
员组成
网络安全信息化领导组
组 长: 书记
副组长: 副书记
网络安全信息化组成员
安全理员:
系统理员:
审计理员:
网络安全信息化领导组办公室
:
网络安全信息化领导组
组 长: 书记
副组长: 副书记
组织
员组成
网络安全信息化领导组办公室
:
网络安全信息化组成员
安全理员:
系统理员:
审计理员:
() 网络安全信息化领导组
网络安全信息化领导组(xx市民政局)信息安全工作高领导决策机构负责单位网络信息安全工作工作进行整体协调
(xx市民政局)网络安全信息化领导组(简称:领导组)负责组织落实层决策领导单位员落实具体网络安全信息化相关工作工作职责:
1)领导组负责领导落实国家安徽省xx市三层面提出安全建设总体规划制定单位总体规划
2)国家安徽省xx市三层面信息安全总体方针指导组织制定单位信息系统安全策略审批报信息系统安全策略
3)负责组织细化级规章制度制定相应程序指南监督落实规章制度
4)负责单位信息系统安全理层员权限授予工作
5)负责审阅信息安全工作报告负责单位重安全事查处汇报工作
(二) 网络安全信息化领导组办公室
领导组设领导组办公室(简称:办公室)办公室成员单位科室负责信息员组成(xx市民政局)队伍建设科科长担办公室具体负责网络安全信息化务制定落实工作具体工作职责:
1)承办领导组日常事务负责组织制定实施信息安全策略理制度
2)负责组织制定实施信息安全技术方案
3)负责组织实施信息安全运行监控审计
4)负责组织进行信息安全教育培训
5)负责组织制度落实情况检查责追究奖励工作
6)负责组织信息安全档案建立理
(三) 网络安全信息化组成员
信息安全理执行组负责信息系统建设运行维护程中信息安全理具体执行工作具体包含岗位职责描述
n 安全理员
1)负责组织建立实施维护信息安全策略标准规章制度项操作流程
2)负责安全产品购置提供建议负责组织制定种安全产品策略配置规负责踪安全产品投产情况
3)负责指导监督系统理员普通户安全相关工作
4)负责组织信息系统安全风险评估工作定期进行系统漏洞扫描形成安全评估报告
5)根机构信息安全需求定期提出机构信息安全改进意见报信息安全理部门
6)定期查信息安全站点安全公告踪研究种信息安全漏洞攻击手段发现影响信息安全安全漏洞攻击手段时时做出相应策通知指导系统理员进行安全防范
7)负责组织审议种安全方案安全审计报告应急计划整体安全理制度
8)负责参安全事调查
n 系统理员
1)负责机操作系统安全配置(包括时修补系统漏洞)日常审计系统应软件安装系统层面实现户资源访问控制
2)负责应系统日常安全检查日常维护联系应软件开发厂家
3)协助安全理员制定机操作系统安全配置规落实执行
4)负责机设备日常理维护保持系统处良运行状态
5)安全审计员提供完整准确机系统运行活动日志记录
6)机系统异常障发生时详细记载发生异常时现象时间处理方式时报
7)编制机设备维修报损报废计划报领导审核
n 安全审计员
1)负责定期机系统网络产品应系统日志文件进行分析审计发现问题时报
2)负责信息安全保障理活动进行独立监督提供部独立审计评估工作根需协外部审计评估机构进行评估认证决策领导提供信息系统信息安全保障执行状况客观评价
七员理制度
第章 总
第条 规范目标建立员理制度规范员理程安全控制
第二章 术语定义
第二条 单位员指单位正式员包括试期员调员等
第三章 组织职责
第三条 办公室兼单位力资源部门(均称力资源部门)负责单位工作员入职岗离岗等程涉信息安全理
第四章 入职理
第四条 力资源部门确保员前适岗位描述条款条件中明确说明应履行信息安全职责确保员理解信息安全职责确保员承担角色符合单位信息安全求
第五条 力资源部门工作员候选员进行充分审查特关键岗位关键职务员会量接触敏感信息员
第六条 员筛选
() 力资源部门负责组织单位职位候选员进行筛选候选员涉信息安全方面资料核实背景调查
(二) 工作员背景调查应申请职位时进行调查包括容:
1 否适推荐申请工作力职业道德情况
2 监部门求
3 需调查容
(三) 科室负责根科室岗工作员特殊求提出必附加调查容反馈力资源部便选出合适员
第七条 出背景调查目收集处理调查员信息时应违反相关法律法规前提进行
第五章 岗理
第八条 工作员需申请单位网络访问权限应系统帐号必须通相关科室审批通授予工作需权限
第九条 工作员工作岗位发生变化时必须通相关科室审批访问权限进行相应调整
第十条 力资源部门应单位工作员进行工作职相关信息安全意识培训教育
第六章 纪律处理程
第十条 违反纪律员做处理:
() 信息安全违规员正式纪律处理前应信息安全违规确认
(二) 正式纪律处理程应确保正确公公正怀疑信息安全违规工作员
(三) 部工作员具体纪律处理执行部门行政处罚理规定
第七章 调动理
第十二条 员调动调入科室提出调动申请调出科室负责相关领导力资源部批准发起员转岗流程
第十三条 转岗员科室负责监督完成工作交接工作资料交接包括办公电脑中业务资料交接工作
第十四条 调岗员岗位变动系统权限相关规定进行申请
第十五条 力资源部门负责流程抄送相关业务科室协调科室完成新入员业务系统调整审批工作力资源部门完成具体权限调整操作
第十六条 转岗员完成工作交接果新工作需原工作中业务资料办公电脑硬盘力资源部门负责进行数清清方式包括格式化专工具进行安全擦果新工作需原工作中业务资料办公电脑硬盘进行数清工作
第十七条 果员转岗限单位范围力资源部门负责转岗员办理办公电脑办公品变动手续果员机构间调动力资源部门办理办公电脑办公品回收手续
第十八条 果员机构间调动财务部负责转岗员财务欠款追缴未报销帐目报销工作
第八章 离岗理
第十九条 变更终止职责
() 应清晰定义分配工作员变更终止职责
(二) 变更终止传达应包括安全求法律职责必时应包括保密协议规定职责工作员结束持续段时间然效条款合等
(三) 必时工作员合中应包含相关职责义务终止然效容保密方面求
(四) 部工作员变更终止科室力资源部等负责处理
第二十条 资产
() 工作员终止合协议时应单位资产需交接信息资产包括计算机设备工作证纸质文件资料存储电子介质中文档数等转岗离岗员办公电脑中数科室决定处置办公电脑操作系统盘力资源部门相关科室安全理员进行格式化
(二) 工作员单位工作期间利单位信息资产产生信息知识产权约定外属单位
第二十条 变更撤销访问权限
() 工作员信息信息处理设施访问权限应岗位发生变更时进行调整终止时注销删
(二) 应注销删改变访问权容包括物理访问授权逻辑访问授权必时信息信息处理设施访问权限进行变更终止前需进行风险评估
八网络安全培训考核理规定
第章 总
第条 提高单位员工网络安全意识相关员安全技单位工作员宣讲网络安全理项法规制度风险降低明确网络安全培训考核理程职责特制定规定
第二章 组织职责
第二条 网络安全培训考核工作队伍建设科负责组织筹备须遵循相关培训制度
第三条 安全理员负责具体落实具体培训考核容培训考核形式登记汇总相关事宜
第三章 安全培训理程序
第四条 安全培训包括安全意识培训安全技培训
()安全意识培训会象调整建议积极参某情况求关第三方机构组织参加培训容包括:
Ø 部门工作员进行必网络安全教育培训解掌握网络安全法律法规加强安全意识
Ø 单位组织举办年次业务学班专业员进行业务培训
Ø 根单位业务发展需相关业务骨干员组织精准送培相关业务单位进修
Ø 强化岗培训效果单位定期组织种形式培训考核
(二)安全技术培训针信息处理设备者理员进行系统安全配置开发安全配置等IT安全技术相关容
第五条 培训类型采部培训外部培训(聘请外部专家)专家顾问专业员员工进行培训网络安全培训应安全理员进行汇总登记
第六条 安全培训工作安排:
()安全意识培训
Ø 安全意识培训工作应队伍建设科负责组织准备部门配合开展
Ø 单位工作员应该积极参加关网络安全方面培训
Ø 新进工作员应入职3月参加网络安全培训
Ø 关键敏感岗位员变动应开展相关岗位培训
Ø 网络安全政策制度标准重调整更新必须组织相关培训保证员时解掌握变更容
Ø 户信息技术设施前(包括软件硬件)必须接受完整培训特应包括单位项规定
(二)安全技术培训
Ø 队伍建设科负责组织培训工作安全技培训教材课程应安全理员负责保证需参加培训员时参加必安全技培训
Ø 系统新建升级户产生影响时必须事先开展必针户培训时掌握新安全技术
第五章 安全考核理程序
第七条 网络安全考核少年进行次全面网络安全考核队伍建设科负责组织相关员成立考核组进行网络安全考核工作
第八条 安全理员制定关键网络安全关键岗位考核容考核容应包括安全理制度落实情况安全培训情况安全技相关容
第九条 网络安全关键岗位考核容应根岗位进行区分
九第三方机构安全理规定
第章 总
第条 加强第三方机构安全理明确定义第三方机构必须遵守安全理规定服务交付安全求等特制定文件
第二章 术语定义
第二条 第三方机构指进入单位部提供相关技术服务非单位员(包括限供应商合作厂商服务商)
第三条 第三方机构员分时访员驻场外包员时访第三方机构员指单位时间周期较短员包括进行业务交流员时访参观员等驻场外包第三方机构员指访时间较长第三方机构技术服务员包括项目建设员外信息系统值守员外信息系统维护员等
第三章 组织职责
第四条 办公室相关业务科室负具第三方机构员理职责采谁接洽谁负责谁谁负责原
第五章 驻场外包员安全理求
第五条 驻场工作外包员应遵守单位项理制度外包合中约定种条款
第六条 驻场工作外包员应单位签署保密协议
第七条 单位驻场外包工作员种资质应相应项目单位方项目理进行审核留存复印件进行统保
第八条 聘请外包员单位部门应驻场工作外包员进行单位相关安全制度等方面培训提高外包员安全意识
第九条 长期驻场工作外包员聘请外包员单位部门应定期进行安全意识单位安全制度执行情况方面考核考核合格者应求委托外包单位调换工作员
第十条 驻场外包工作员相应项目单位项目理负责安排工位资产领申请相应账号权限申请网络访问配置信息
第十条 驻场外包员申请账号权限时应符合权限实名制原
第十二条 驻场外包员驻场办公时必须佩戴够标识外包员身份正式时工牌便安全巡查时够种员快速识
第十三条 驻场外包员访问机房等受限访问区域时应遵守单位xx市数资源理局中心机房理办法(xx市民政局)机房理办法(xx市民政局)工作环境理规定关规定机房理员提出申请批准单位员工全程陪方进入受限访问区域 驻场外包员进入办公区域应进行登记
第十四条 驻场外包员利单位网络服务器等资源事未允许活动单位部未授权网络扫描刺探等软件未批准情况利单位办公生产环境测试新技术新业务
第十五条 违反条款规定单位会做出调换驻场外包员追究民事刑事责等处罚措施
第六章 时访员安全理求
第十六条 单位时访员应前台保安室进行访事访访问象等容登记等访问象接登记时访应出示身份证明材料
第十七条 时访员访问单位机房等受限访问区域时应遵守单位xx市数资源理局中心机房理办法(xx市民政局)机房理办法关规定机房理员提出申请批准单位员工全程陪方进入
第十八条 时访员带电子设备未授权禁止接入单位网络信息系统
第十九条 时访员驻场外包员单位未单位许禁止外包员引领进入单位区域
第七章 外包服务质量考核评价
第二十条 单位外包项目理应采取日常考核定期考核相结合方式外部员日常考勤工作成果服务质量等方面进行评价
第二十条 单位外包项目理通外包质量考核发现提供外包服务偏差时应书面通知提供外包服务方项目理时进行调整改进
第八章 外包员离场安全求
第二十二条 外包员外包合期单位提出调离换原离职等情况应离场
第二十三条 外包员离场时完整工作交接清单接收签字证明材料
第二十四条 外包员离场前领单位资产
第二十五条 外包员离场聘请外包员单位部门应单位关流程时删外包员账户权限等
第二十六条 外包员需保密协议承诺中持续生效条款继续履行保密义务
十计算机网络保密规定
第条 加强单位计算机网络保密工作根中央省委市委保密委员会关规定求制定规定
第二条 单位成立保密工作领导组负责指导检查督促单位计算机网络保密工作单位网络安全信息化工作领导组协助工作
第三条 加宣传加强培训断增强单位工作员计算机网络安全保密意识
第四条 确定单位档案室计算机涉密计算机办公室具体理处理关涉密信息计算机(含笔记电脑)均处理涉密信息
第五条 单位涉密计算机连接政网严禁公信息网连接实行登录身份认证建立台帐
第六条 单位政务网公文交换计算机办公室专理关户名口令联网方式技术严格保密外提供
第七条 涉密信息应涉密计算机中存储处理禁止通公信息网传递必时涉密移动存储介质中暂时存储处理完毕必须清信息需存档必须保留副外处理程中产生样品纸张等必须销毁
第八条 涉密信息存储介质专严格保涉密计算机连接公信息网计算机间交叉存储介质应登记确需外出携带需单位保密工作领导组批准
第九条 单位员工作需查阅关涉密信息单位保密工作领导组批准单位专职保密员涉密计算机操作进行
第十条 利计算机公信息网发布部消息泄露国家机密制作查阅复制传播碍社会治安健康信息
第十条 单位涉密计算机公文交换计算机系统常检查发现隐患时报告处理
第十二条 单位涉密计算机维修更换报废单位保密工作领导组批准单位专职保密员监督进行
第十三条 计算机设备应安装防病毒工具具漏洞扫描入侵防护措施进行实时监控定期检测杀毒确保计算机安全正常运行
第十四条 单位涉密印机专供单位接收文电复印印关涉密资料办公室专理操作
第十五条 单位科室季度查次计算机网络保密情况单位保密工作领导组半年单位计算机网络保密情况进行次检查通报检查结果
十信息系统测试理办法
第章 总
第条 规范单位业务支撑系统理支撑系统(统称业务系统)线前测试流程线版升级测试流程保障业务系统安全稳定运行特制定办法
第二条 业务系统线运行续补丁版升级必须严格系统测试严禁未测试系统补丁版直接线运行系统测试通方进入系统验收环节
第三条 办法规范新业务系统线常规版升级前测试工作涉范围涵盖功测试性测试性测试维护性测试安全测试
第四条 业务科室组织项目相关方(项目需求部门项目开发单位系统员第三方测试员)组成系统测试组负责系统测试项工作(统称测试组)
第二章 测试组工作职责
第五条 严格软件系统测试流程完成需求申请测试执行总结评估等项测试活动
第六条 负责检查测试准入条件满足条件允许启动测试:
() 项目开发单位提交测试版必须基线化测试程中意更改
(二) 项目开发单位提交文档应档理包括开发单位系统测试报告系统需求设计文档版描述文档户手册系统安装升级手册联机帮助缺陷列表等
(三) 项目开发单位提交系统功列表须业务需求部门原始需求致
(四) 项目开发单位提交遗留缺陷列表中导致系统宕机等致命缺陷基业务新增功严重缺陷
第七条 遇测试终止条件测试组应暂停终止测试活动:
() 版初验测试(含基功验证测试缺陷回测试)未通
(二) 发现严重缺陷阻塞续量例法测试
(三) 项目需求出现重变更
(四) 测试力出现较变更
第八条 负责检查测试出口条件符合条件结束测试:
() 例执行覆盖率达100%轮测试缺陷数明显收敛系统功符合需求说明书中规定需求
(二) 系统致命问题评审发现问题总数严重问题数符合接受范围
(三) 版承诺解决致命严重紧急问题均通回测试
(四) 系统测试报告(验收测试报告)已通业务系统项目组审核
第九条 测试程中遇争议情况测试组应申请召开争议评定会议邀请相关员(测试员业务需求部门项目开发单位系统员)参加:
() 测试发现缺陷否符合接受范围否允许测试通
(二) 回测试未通缺陷否允许暂解决
(三) 测试版回时需召开会议审议
(四) 紧急情况未符合测试准入条件版否允许测试
(五) 紧急版缩短线测试时间否允许裁剪测试流程否允许适降低测试出口标准(紧急版线需标准流程进行补充测试补齐测试交付件)
(六) 缺陷认定争议(含缺陷严重级缺陷承诺解决时间)
(七) 系统功实现原始需求争议
(八) 变更已档发布文件
第十条 测试组整测试周期应进行严格配置理
() 创建独立测试理配置库配置理员负责测试程文档阶段性文档更新发布
(二) 转测试版补丁文档应配置库基线化配置理员标准制定项目版号
(三) 阶段程文件应配置库留痕发布
(四) 已档发布文件需通评估会议仲裁变更
第三章 新业务系统线测试理办法
第十条 前期工作
() 测试员应需求分析阶段解原始业务需求提出系统维护性测性需求需求功明确启动测试设计活动
(二) 业务系统项目组应启动测试设计活动前二周提交测试申请测试组信息系统测试流程求准备测试环境编写测试计划审批通启动测试活动
(三) 动化测试需求业务系统项目组应启动测试设计前三周提交动化测试申请测试组先系统进行动化行性分析信息系统测试流程求启动动化例设计工作
(四) 测试组预估测试工作量提前安排测试执行时间应少规划1月时间安排两轮系统测试轮回测试
第十二条 测试范围
() 新系统应重点考虑功性性测试
(二) 运行操作系统硬件设备系统需考虑兼容性测试
(三) 量终端客户系统需考虑系统易性维护性测试
第十三条 测试方法
() 新业务系统测试黑盒测试前台界面系统动化测试采取手工动化相结合方式
(二) 新业务系统通系统测试必须组织系统部门业务需求部门完成正式验收测试
(三) 量终端客户新系统全面线前应安排β测试实际场部署新系统选取批典型客户试段时间试期间客户发现缺陷提出意见妥善处理解决方线
第四章 常规版升级测试理办法
第十四条 前期工作
() 仅修复缺陷补丁版应启动测试活动前周提交测试申请安排12轮回测试
(二) 重功升级测试业务系统项目组应启动测试前活动前二周提交测试申请测试组信息系统测试流程求准备测试环境编写测试计划
(三) 重功升级版原测试例覆盖全系统应少规划月测试设计时间安排两轮系统测试轮回测试
第十五条 测试范围
() 重功升级测试功测试新增性指标系统架构较变更需重点考虑性稳定性测试
(二) 补丁版升级测试版初验测试回测试版初验测试重点针系统基业务进行功测试回测试重点验证修复缺陷缺陷相关联业务进行功测试
第十六条 测试方法
() 常规版升级测试黑盒测试功测试优先考虑动化方式问题回适合动化测试系统采取手工方式
(二) 拥量终端客户系统业务功终端界面较变化系统测试通需安排β测试β测试期间客户发现缺陷提出意见妥善处理解决方线
十二信息安全建设理规定
第章 总
第条 规范信息安全理提高信息安全保障力水维护信息系统安全运行保障促进信息化建设根信息安全等级保护理办法(xx[2007]43号)特制定规定
第二章 适范围
第二条 规定适单位信息安全保护建设全生命周期理象信息安全建设程中理员维护员员第三方服务机构
第三章 组织职责
第三条 单位网络安全信息化领导组设立信息安全领导组负责信息安全理工作监督检查指导协调科室间协工作支持推动信息安全理工作整单位范围实施
第四条 信息安全理工作组信息安全领导组指导负责落实信息安全理工作监督检查指导信息安全理工作
第五条 安全理员负责协调组织单位信息安全理建设工作包括系统定级方案设计等级备案等级测评等工作
第六条 单位相关科室员协助配合安全理员进行信息安全建设工作
第四章 系统定级
第七条 信息系统定级坚持定级保护原信息系统安全理应根信息系统国家安全济建设社会生活中重程度信息系统遭破坏国家安全社会秩序公利益公民法组织合法权益危害程度等素确定
第八条 信息系统安全保护等级分五级:
n 第级信息系统受破坏会公民法组织合法权益造成损害损害国家安全社会秩序公利益
n 第二级信息系统受破坏会公民法组织合法权益产生严重损害者社会秩序公利益造成损害损害国家安全
n 第三级信息系统受破坏会社会秩序公利益造成严重损害者国家安全造成损害
n 第四级信息系统受破坏会社会秩序公利益造成特严重损害者国家安全造成严重损害
n 第五级信息系统受破坏会国家安全造成特严重损害
第九条 安全理员根GBT 222402019信息安全等级保护定级指南中信息安全保护定级素系统进行定级
第十条 安全理员制订信息系统定级报告组织相关科室关安全技术专家信息系统定级结果合理性正确性进行评审形成评审意见
第十条 评审通定级报告报送级部门进行审批时相关材料报送公安机关网安部门进行备案换取备案证明
第五章 安全检查报告
第十二条 安全方案设计阶段目标根信息系统划分情况信息系统定级情况信息系统承载业务情况通分析明确信息系统安全需求设计合理满足信息安全求总体方案制定出安全实施计划指导续信息系统安全建设工程实施已运行信息系统需求分析应首先分析判断信息系统安全保护现状信息安全求间差距
第十三条 安全理员协调相关部门员信息系统安全建设进行总体规划制定期远期安全建设工作计划
第十四条 安全理员协调相关部门员根信息系统等级划分情况统考虑安全保障体系总体安全策略安全技术框架安全理策略总体建设规划详细设计方案
第十五条 网络安全信息化领导组负责组织相关部门关安全技术专家系统安全设计方案进行评审证(附录系统安全设计方案评审表)
第十六条 根等级测评安全评估结果安全理员协调相关员定期调整修订总体安全策略安全技术框架安全理策略总体建设规划详细设计方案等相关配套文件
第六章 系统建设
第十七条 产品采购应国家相关部门求单位相关理制度进行产品采购
第十八条 行外包软件开发项目工程实施程应xx市数资源理局软件开发理规范相关求进行理
第十九条 系统建设完成委托公正第三方测试单位系统进行安全性测试出具安全性测试报告根设计方案合求等制订测试验收方案测试验收程中应详细记录测试验收结果符合信息安全求时进行整改形成测试验收报告
第二十条 安全理员负责第三方测试单位进行理(xx市民政局)第三方机构安全理规定第三方员行准进行严格理
第二十条 安全理员组织相关部门相关员系统测试验收报告进行审定签字确认附录二系统测试验收报告评审表
第七章 系统备案
第二十二条 根xx2007(43)号文求已运行第二级信息系统应信息安全保护等级确定30日安全理员区市级公安机关办理备案手续
第二十三条 新建第二级信息系统应投入运行30日安全理员区市级公安机关办理备案手续
第二十四条 办理信息系统安全保护等级备案手续时应填写信息系统安全等级保护备案表第三级信息系统应时提供材料:
n 系统拓扑结构说明
n 系统安全组织机构理制度
n 系统安全保护设施设计实施方案者改建实施方案
n 系统信息安全产品清单认证销售许证明
n 测评符合系统安全保护等级技术检测评估报告
n 信息系统安全保护等级专家评审意见
n 部门审核批准信息系统安全保护等级意见 安全检查工具检查设备者检查部门设备运行检查员负责操作
第八章 系统测评
第二十五条 邀请具等级保护测评资质证书第三方机构单位系统进行等级保护测评等级保护测评机构应具备条件:
n 中华民国境注册成立(港澳台区外)
n 中国公民投资中国法投资者国家投资企事业单位(港澳台区外)
n 中国网络安全等级保护网推荐目录中查询事相关等保测评工作两年违法记录
n 工作员仅限中国公民
n 法业务技术员犯罪记录
n 技术装备设施应符合办法信息安全产品求
n 国家安全社会秩序公利益构成威胁
第二十六条 安全理员负责测评机构等级测评程单位相关规定进行理负责测评员安全保密进行求必时签订安全保密责书规定应履行安全保密义务承担法律责负责检查落实
第二十七条 系统运行程中定期进行等级测评三级系统少年系统进行次等级测评发现符合相应等级保护标准求时整改
第二十八条 系统发生变更时时系统进行等级测评发现级发生变化时调整级进行安全改造发现符合相应等级保护标准求时整改
第九章 系统终止
第二十九条 信息系统转移终止废弃时安全理员组织系统相关理员提出系统终止申请(附录三系统转移终止废弃申请表)单位信息安全领导组(保密委)进行审批方执行系统转移终止废弃
第三十条 审批通安全理系统属软硬件介质等敏感信息相关规定进行处理
附录系统安全设计方案评审表
日期: 年 月 日
方案名称
参员
方案描述
专家意见
附录二系统测试验收评审表
日期: 年 月 日
测试报告名称
评审员
交付物
报告容(须提交测试报告做附件):
评审意见:
评审员:
日期:
附录三系统转移终止废弃申请表
日期: 年 月 日
系统名称:
系统申请调整状态(转移终止废弃):
提出部门:
提出:
转移终止废弃原说明:
系统属科室意见:
( 签章 )
年 月 日
信息安全组领导意见:
组长签字: 年 月 日
十三项目理规定
第章 总
第条 提项目理力保障信息系统项目建设推动业务发展促进信息系统项目理工作规范化特制定规定
第二章 适范围
第二条 规定适范围包括项目立项启动计划实施监控收尾等理程
第三章 职责权限
第三条 办公室信息系统项目部门负责信息系统项目理工作参科室项目建设理
第四条 业务科室接具体项目负责具体项目阶段工作职责包括:
() 负责信息系统需求实施行性分析评估组织项目实施方案求工程实施单位正式执行安全工程程
(二) 负责牵头项目立项工作负责进行项目报批报备工作
(三) 负责项目实施务技术组织落实理工作
(四) 制定项目建信息系统线工作方案部署线投产推广工作
(五) 负责项目监控定期编制项目报告
(六) 负责技术验收项目相关文档理报办公室存档
第四章 项目立项
第五条 项目立项阶段相关工作般包括限
() 需求科室前期准备确定需求目标范围编写需求说明书明确需求必性合规性重性行性等信息部门领导提交
(二) 业务科室发起组织办公室审计部门财务部门技术专家等项目需求进行评估
(三) 拟定项目实施初步方案包括制定项目计划编制项目预算表识潜风险
(四) 确定项目前期技术业务联系
(五) 办公室会业务科室准备项目申报材料办公室完成项目报批报备流程
报批报备材料般包括限:
u 项目立项申请表
u 项目实施方案(包括项目计划项目组织架构资源情况等)
u 需求说明书
u 技术方案
u 预算编制表
u 项目关文档项目分析报告(行性必性分析)项目涉业务规定项目审批意见该项目相关前项目总结报告重会议纪等
n 项目需求科室发起项目预算申请
第五章 项目计划
第六条 项目计划阶段相关工作包括限:
() 细化项目实施方案包括细化项目范围说明书制定具体项目进度计划资源配置计划重里程碑等
(二) 细化技术实施方案
(三) 编写项目理计划书
第六章 项目实施
第七条 项目实施阶段相关工作包括限:
() 落实项目计划实施完成项目涉信息系统设计开发测试设备线 系统投产维护工作
(二) 理项目进程作项目实施程中信息发布报告
(三) 需求部门应积极配合项目实施工作包括业务需求解释业务问题协调需求变更审核户验收测试确认项目实施结果线方案等工作
第七章 项目监控
第八条 项目监控项目计划确定范围时间费资源质量风险等目标进行监测识纠正问题偏差控制出现变更项目计划推进
第九条 项目监控程中项目组应时识风险踪已识信息系统项目风险检测剩余风险配合风险理等工作开展
第十条 项目组须时收集项目信息月编制项目报告办公室汇报项目状态进展项目报告中须包括该周期项目完成工作周期项目计划项目里程碑完成情况项目重问题列表等
第八章 项目收尾
第十条 项目收尾包括结束项目相关活动般包括项目费决算项目评估项目文档整理档项目关闭等工作
第十二条 项目完工项目相关文档应整理档妥善保存项目文档包括限:
() 项目立项申请文档业务需求文档项目实施方案项目预算编制表项目分析报告项目涉业务理规定规定等
(二) 项目商务文档询价文档招投标文档合等
(三) 项目实施文档概设计详细设计技术方案操作手册测试文档等
(四) 项目理文档包括项目评估报告会议纪等
第十三条 项目相关活动均结束项目组编制项目总结报告进行项目关闭项目关闭须业务科室办公室确认
十四工作环境理规定
第章 总
第条 加强单位办公区域安全理保护部机密信息确保单位信息资产安全规范员工第三方机构员单位办公区域行特制定规定
第二章 适范围
第二条 规定适(xx市民政局)科室员工第三方机构员
第三章 术语定义
第三条 办公区域指单位部员工日常办公工作处工作区域
第四章 办公区域访问控制
第四条 应工作环境划定重办公区域重办公区域访问应严格限制未许员工擅进入严格限制办公区域设备室存储介质室等
第五条 未许授权员禁止办公区域计算机笔记硬盘存储介质移动介质带离单位
第六条 员工离职时收回员工技术资料存储介质访问权(例工卡办公室钥匙等)
第七条 接员应觉保守秘密第三方员透露业务范围外技术商务情况意承诺授权范围外行事已承诺双方达成意事宜应作正式记录
第八条 第三方机构员进入单位办公区域应遵(xx市民政局)第三方机构安全理规定中相应规定
第五章 办公环境安全
第九条 员工班桌面密级纸件文档磁介质等班前应关闭设备电源办公室公设备进行检查员工离开座位超30分钟桌面密级相关文档
第十条 密级文档应放抽屉保密柜交资料室统保存存放机密文件保密柜必须锁设置密码专统理
第十条 单独办公室员工离开办公室时必须锁门
第十二条 办公室员工时离开时必须锁门
第十三条 妥善保单位贵重物品仪器班贵重物品仪器必须存放保密柜保险柜必须锁设置密码
第十四条 员工调离部门更换办公室时必须立交办公室钥匙相关公设备
第十五条 维护员进入办公区域进行设备维修时应事先相关部门取联系维修程中应专进行监督
第十六条 复印机等设备办公室统理员工复印机等设备应关规定进行复印作废纸张应时销毁
第十七条 指定义务消防员积极配合物业部门做办公室防火安全工作配合做楼消防系统设备维护工作熟悉配备种灭火器具积极配合接受部门办公区域安全检查
第七章 办公计算机安全
第十八条 员工应觉遵守职业道德高度责心觉维护单位利益利计算机私收集泄漏单位秘密信息
第十九条 禁止员工利单位网络传播散布工作关文章评特破坏社会秩序文章政治性评
第二十条 计算机口令设置
()员工属计算机时应该设置开机屏幕保护目录享口令
(二)户口令应时包含写字母数字特殊字符组合口令长度12字符少8位弱口令(例户名姓名拼音等)写纸记录文件中
(三)口令少季度更改次重复
第二十条 计算机设备
()员工私办公计算机设备装配读写光驱磁带机磁光盘机USB硬盘等外置存储设备
(二)员工私开启办公计算机机箱确需应相应部门提出申请
(三)员工私配备工作计算机转
第二十二条 便携机
()外出办公时便携式设备处状态
(二)果物理锁定功便携式设备时应该采该功
(三)果便携式计算机设备盗应立公安机关报案
(四)允许便携式计算机关员操作防止程序数遭破坏
第二十三条 移动介质
()含敏感信息文件存放移动介质中时必须加密
(二)移动介质中长期存贮含敏感信息文件完毕必须时删必时做低级格式化者销毁
(三)通移动介质传播病毒者恶意程序
第二十四条 软件
()员工应安装单位规定拥版权操作系统工具软件私安装工作关应软件特盗版软件
(二)员工应安装运行单位规定防病毒软件时升级单位公布防病毒措施应时完成私安装运行未单位许防病毒软件
(三)果员工发现防病毒软件效清病毒应立报告关部门问题处理前禁止感染病毒文件
(四)员工制造传播计算机病毒
(五)员工安装Windows操作系统时特殊需安装IISTELNETFTP等必服务
(六)员工安装黑客工具软件安装影响破坏单位网络运行软件
(七)机保密文件应采取适加密措施妥善存放
第二十五条 网络
()未允许员工意更改IP址
(二)办公网络标准协议TCPIP非工作需启网络协议SPXIPXNETBIOS等
(三)未批准员工单位部私拨号网
(五)员工工作需计算机安装两块块网卡连接网络设备时应提出申请网络理员负责安装调试时应注意计算机启动路网关功
(六)员工应私更改网络设备连接需变动时应提出申请网络理员负责更改
第二十六条 电子邮件系统
()员工收疑电子邮件开时通知关部门处理免感染存病毒
(二)外部电子邮件附件前应进行病毒检查确保病毒
(三)收部员工发含病毒邮件进行杀毒外应时通知方杀毒
第二十七条 互联网
()员工应利单位网资源访问工作关站点特淫秽游戏反动等类型网站
(二)员工应利单位网资源载工作关文件
第二十八条 远程拨号(拨入)
()远程拨号户须严格控制应部门负责确认
(二)远程拨入单位部员工须次性口令VPN技术采回拨功
(三)远程拨号户拨入号码告知
第二十九条
()员工私开设WWWFTPTELNETBBSNEWS等服务
(二)员工私设立拨号接入服务
(三)员工间私互相转IT资源账号电子邮件账户
(四)工作岗位调动离岗时员工应动移交种应系统账号
(五)员工完成应系统操作离开工作岗位时应时退出应系统
(六)员工离开办公计算机时应计算机屏幕锁定
(七)员工果发现计算机入侵应马通知相关安全部门相关规定操作
第八章 监督检查
第三十条 科室办公区域安全理应接受关职部门监督检查计算机应接受信息安全等级保护工作组监督检查检查中提出问题时整改
第三十条 科室领导理员应部门计算机户进行效监督理违反理规定行时指正严重违反者立报
十五信息系统资产理规定
第章 总
第条 识单位信息资产指定资产责确定相关职责识资产接受信息资产进行适保护防止未授权访问特制定规定
第二章 适范围
第二条 文件适(xx市民政局)业务系统相关信息资产
第三章 术语定义
第三条 信息资产:信息系统相关组织价值事物计算机硬件软件数服务文档等
第四章 职责
第四条 业务系统理员负责信息资产分类赋值标识维修理
第五章 资产分类
第五条 信息资产识指规定属性类信息资产辨认区分包括信息资产识分类登记等项工作便理资产进行分类具体分:
() 机设备:类承载业务系统软件计算机系统操作系统包括安装服务器类应系统构建系统台软件(数库中间件群件系统商业软件台等)
(二) 网络设备:交换机负载均衡光纤转换器路器缓服务器调制解调器层交换机线APACBASHubRASVoIP网关等构成信息系统网络传输环境设备
(三) 存储设备 磁带机磁盘阵列磁带光盘软盘移动硬盘等
(四) 安全设备:VPN网关防火墙容滤网关入侵检测系统防病毒网关加密机安全网闸等构成信息系统信息安全环境设备软件
(五) 办公设备工作站台式计算机便携计算机等
(六) 业务信息技术文档等
(七) 设备印机复印机扫描仪传真机等
第六章 资产分级
第六条 信息资产安全价值资产机密性价值完整性价值性价值三部分组成
第七条 根资产业务价值性赋值等级资产划分五级级越高表示资产越重
5
高
非常重安全属性破坏组织造成非常严重损失
4
高
重安全属性破坏组织造成较严重损失
3
中等
较重安全属性破坏组织造成中等程度损失
2
低
太重安全属性破坏组织造成较低损失
1
低
重安全属性破坏组织造成非常低损失甚忽略计
第七章 信息资产标识
第八条 识出进行分类信息资产应进行标识标识方法采标签文档标识数标识等方法
第九条 信息资产进行标识时应标识信息资产名称分类资产编号资产理员重级等信息根信息资产类标识容方法
第十条 资产标识时资产编号资产分级信息维护员信息
资产编号原 址员X1X2X3
说明:
址:表示物理位置
员:表示维护员信息包括部门角色等
X1业务台信息
X2资产分类机设备网络设备等
X3资产信息分级信息
第十条 信息资产理者物理位置重级等等信息发生变更时需相应标识进行变更变更记录信息资产理者保存报办公室进行复核存档
第十二条 信息资产理者需维护负责信息分类清单定期回顾更新
第八章 信息资产维护
第十三条 办公室协助信息资产理者核实维护信息资产信息
第十四条 维护应规定求信息资产进行调查建立附件:信息资产清单记录信息资产状况档案
第十五条 信息资产属性发生变更时信息资产理者时信息资产清单进行变更保存报办公室复核存档变更包括理位置变动信息资产配置信息补丁信息等变更
第九章 闲置报废资产理
第十六条 单位部部门根工作需申请设备申请填写相应申请单部门负责审核批准设备应时返回关办公室
第十七条 单位新进办公设备办公室首先进行检查确认然编号贴设备标签方
第十八条 办公室单位台设备建立档案做详细记录设备定期维护障处理提供资料
第十九条 办公室单位台设备进行半年次定期维护维护程中发现问题须时处理
第二十条 设备出现障时设备员应时告知办公室擅处理办公室接障通知时进行障排时排障应出说明
第二十条 网络维护部门日单位局域网广域网进行检查检查路器交换机集线器调制解调器状态发现问题时解决确保网络正常运行
第二十二条 设备员爱护已设备保持设备清洁避免非法操作设备部门某种原设备进行退库时应时通知办公室
第二十三条 设备更新障等原导致设备报废时申请填写报废申请单申请报废设备应报废申请单起送交设备理员检验检验填写检验结果部门负责审核提交领导批准
第二十四条 报废设备放置指定空间办公室负责具体处理废品工作
第二十五条 旧设备利
办公室部门设备进行入库登记设备登记表中注明 种配件进行检查价值设备配件进行利
() 涉敏感信息资产级3级闲置资产应安全理员处进行备案重闲置资产中容涉敏感信息资产分级4级闲置资产中容应重资产分级4级闲置资产存储安全保密环境中
(二) 包含敏感信息介质资产级3级安全存储销毁记录纸设备介质提供收集销毁服务应注意选择合作商销毁敏感部件资产级3级做记录便保持审计踪迹
附录(xx市民政局)XXXX系统信息资产清单
(xx市民政局)XXXX系统信息资产清单
日期:
编号
名称
机架
型号
服务
操作系统
外网IP
外网IP
责部门
重程度
备注
十六存储介质理规定
第章 总
第条 标准保障存储介质信息安全存储介质标识传递访问保销毁等活动提出明确安全理规定特制定文件
第二章 适范围
第二条 规定适(xx市民政局)存储介质安全理程理象介质理员安全理员介质员
第三章 术语定义
第三条 存储介质:指单位计算机系统相关业务电子信息输出存放物理介质移动移动磁盘光盘硬盘磁盘阵列等
第四章 组织职责
第四条 系统理员负责理系统属相关存储介质标识传递访问保密销毁等理
第五条 安全理员负责单位相关存储介质理程进行监督
第五章 存储介质标识
第六条 存储介质标志必须置容易识位置标签须存储介质表面出现(xx市民政局)信息安全资产理规定中标识求进行标识
第七条 存储介质应该根分类进行标签磁带磁盘存储介质等分类标签
第六章 存储介质访问
第八条 安装存储介质时必须防止非授权访问
第九条 存储介质第三方需系统理员确认机密信息已删
第十条 必须存储介质出库入库保持记录进行控制库中移出移出请求应该完成需相关部门意注明原移出时间介质理员须介质清单进行登记
第十条 含单位部信息存储介质外部员保密严禁单位员工第三方带走更换属合作方保修范围损坏介质需合作方签订保密协议防止泄漏中保密信息
第七章 存储介质保
第十二条 办公室重介质中数软件采取加密存储根承载数软件重程度介质进行分类标识理
第十三条 存储介质保存环境求(防火电力空调湿度静电环境保护措施)
第十四条 含机密绝密信息存储介质存放保险柜里
第十五条 必须建立存储目录清单相应理负责执行盘点控制流程存储必须年盘点次磁带库权发生变化时必须进行次存储库盘点更新介质清单
第十六条 存储介质盘点检查出现差异必须报告部门领导存储介质库介质包括开空白带格式化擦媒体操作装置中必须包括清单盘点中存储介质库负责理者必须清单文档签字
第八章 介质维修
第十七条 介质送出维修前应进行申请审核确保删敏感信息维修点送专门定点单位敏感信息维修程应安排员全程监督
第九章 存储介质销毁
第十八条 计算机存储介质存储保密信息前必须进行格式化
第十九条 存储介质销毁首先提交销毁申请(附录二存储介质销毁申请表)安全理员确认方执行销毁销毁介质理员介质清单中进行备注
第二十条 果第三方服务商通存储介质提供信息求返回存储介质时保证存储介质包含容已销毁
第二十条 存储介质删保密信息必须执行重复写操作防止数恢复
第二十二条 含保密信息存储介质报废处理方式切碎者烧毁磁带磁盘光盘硬盘等存储介质报废处理方式切碎者烧毁
附录存储介质清单
日期:
序号
名称
介质途
责
时间
时间
原
备注
附录二存储介质销毁申请表
日期:
申请员:
联系电话:
销毁原销毁办法
安全理员意见:
签字:
年 月 日
十七信息系统运维监控理规定
第章 总
第条 单位开发建设网络系统机系统类应系统等(简称信息系统)单位生产营理核心支持系统实现单位决策科学执行力强调目标程控制重手段明确单位信息系统理职责提高系统运行维护水信息系统稳定运行特制订规定
第二章 适范围
第二条 规定中信息系统包括单位应系统信息化基础台机房环境应系统包括相关部门业务应软件基础台包括服务器系统软件中间件网络应系统等
第三条 规范规定集中监控室运维监控工作容运行流程员职责
第三章 术语定义
第四条 运维监控:监控应系统网络服务器系统软件中间件机房环境等运行状态
第四章 组织职责
第五条 信息系统运维监控工作办公室负责承担制定类相关理规定牵头系统理员落实相关规定实施方案
第六条 机房运维工程师:机房值守查监控信息分析判断时处理发生事件踪事件处理状态提醒职查分配事件判断分配处理踪督促事件处理编制日报调整监控重心预防重事件(事件级特严重)发生报审核
第七条 安全理员:踪重事件(事件级特严重)处理状态听取运维组汇报审核日报填写意见发生重事件(事件级特严重)时时送呈办公室审阅编制月报报审核
第五章 监控理求
第八条 监控应系统运行状态应系统状态分服务器系统软件中间件等状态组合容指标组成应系统监控指标
第九条 监控服务器运行状态包括硬件运行情况操作系统状态等等系列关键指标体现服务器运行负荷典型指标设置报警阈值
第十条 监控系统软件中间件运行状态包括数库交易系统客户端行情系统等等系列关键系统软件中间件典型指标设置报警阈值(见附件)
第十条 监控网络安全设备状态典型指标设置报警阈值
第十二条 监控机房环境温度湿度电压等关键指标设置报警阈值详见(xx市民政局)机房理办法
第十三条 典型指标设置报警阈值必须运维工程师进行调整形成相应调整变更表(见附件二)进行备案
第十四条 工作日生成运维监控理日报月生成运维监控理月报相关领导汇报时阶段性分析数调整修改运维策略针问题目设置运维工作重点提高运维水
第六章 运维监控工作流程
第十五条 安排系统运维员组组成监控组月月初办公室登记落实运维员统安排值班时间
第十六条 运维工程师少隔4时查处理事件根事件紧急程度时处理运维工程师必时召集相关技术员起处理事件保证重事件时处理完毕
第十七条 事件级分:特严重(特严重指直接影响业务核心系统信息理系统非计划停机时间超30分钟事件)严重警告般(严重警告般应监控系统定义3等级事件影响非计划停机时间产生)4等级监控系统发现严重级事件时运维工程师必须时处理报送运维领导者报送相关系统理员处理
第十八条 运维工程师踪事件处理状态时提醒相关员处理科室领导关注组工程师处理事件状态督促相关工程师时处理事件科室关注运维组事件安排状态督促运维员时完成
第十九条 运维工程师运维日报流程展开编制工作:(见附件三)
第二十条 天工作结束运维工程师编制运维日报总结天中运维工作情况汇报科室领导审核科室领导接日报日报容进行审核解监控系统运行情况填写审核意见
第二十条 月运维工程师根监控情况编制运维月报呈送办公室审阅办公室审阅月报报单位领导
十八网络系统运行理规定
第章 总
第条 保障单位网络运行安全稳定加强种网络资源理规范网络建设特制定规定
第二条 纳入规定理范围网络资源包括:IP址网络设备网络安全设备网络理设备软件网络访问权限通讯线路等
第三条 网络资源申请建设变更障处理必须遵守理规定
第二章 组织职责
第四条 工作职责包括:
() 负责单位网络系统规划建设网络资源理网络运行监控分析网络障排等
(二) 负责进入机房设备网络配置审核日常网络运行监控机房网络资源变更流程监督等
(三) 负责规定求申请网络资源发现网络障通报等
第三章 网络资源数理
第五条 项网络资源应专统理
第六条 网络IP址登记登记容包括限IP址MAC址设备类型提供服务等
第七条 网络设备软件登记登记容包括限设备名称IP址设备途访问权限等网络设备软件配置参数备份变更应立进行重新备份保存
第八条 通讯线路登记登记容包括限线路类型两端址线路编号报障电话端联系等
第四章 网络资源申请
第九条 接入业务网络需网络资源必须申请审批手续部门提出申请初步评估提出意见分配资源者报部门领导批准分配资源进入机房设备需网络变更进行流程审核方实施
第十条 新增网络访问需求规定流程提出申请发起流程果部门业务需提出网络访问需求部门负责维护员代提出申请发起流程
第五章 网络资源
第十条 需规定正确网络资源
() 意变更IP址改变网络接入位置
(二) 正确设置户密码少达三种字符组合12位台设备密码
(三) 正确安装防病毒软件配置动升级动定期扫描
(四) 正确配置操作系统动升级功求定期重启系统
(五) 禁止远程登录网络设备网络设备理应明确限定登录机员操作权限
(六) 禁止交易时间业务网网络资源进行变更操作
(七) 遵守业务网规定业务网移动介质
第十二条 员需具备基网络知识
() IP址配置网关配置
(二) 网络通断判断路踪判断
(三) 静态路添加
第六章 网络资源建设
第十三条 新增应系统新项目需网络必须网络方案草拟网络方案合理性评审网络方案安全性评估
第十四条 新增应系统项目负责部门队根业务需求开发商建议提出新增应系统项目网络建设方案
第十五条 接新增应系统项目网络建设方案先进行方案评审评审容包括限:网络结构科学合理性已网络影响数流否清晰关键设备线路冗余措施数流量估算投入运行网络监控方法等
第十六条 审核网络方案报告部门负责批准实施
第七章 网络资源变更
第十七条 业务需求调整网络资源需求员提出网络资源变更申请流程
第十八条 安全理员接申请审核报批进行办理原涉单位业务网络变更必须非交易时间操作
第十九条 重设备重应系统关网络变更操作前需进行公告告知关维护员操作中需记录操作程操作需通知相关员进行测试
第八章 网络障处理
第二十条 员监控员发现网络障立通报安全理员
第二十条 安全理员接障报告网络障应急处理流程进行障排
第二十二条 障处理处理员填写网络障申报处理表根障性质求填写信息系统事件档案障报告报部门存档
十九系统帐号权限理规定
第章 总
第条 加强(xx市民政局)信息系统户理提高户安全理水提出信息系统户帐号理程中安全求文包括通求特权户普通户求口令理求
第二章 适范围
第二条 文适(xx市民政局)业务系统户理员系统理员
第三章 术语定义
第三条 帐号指访问系统资源户系统中标识分应系统帐号操作系统帐号数库帐号等
第四条 访问权限指帐号赋予访问系统资源系统功权利
第五条 超级理员帐号特权帐号:指系统具超级权限帐号包含限UNIXLinuxrootWINNTadministrators组成员数库DBA等户
第六条 普通帐号:户维护访问系统实现日常操作帐号常见户类型
第四章 组织职责
第七条 (xx市民政局)办公室负责户帐号权限安全理工作
第五章 通原
第八条 系统访问必须授权未授权情况系统中运行未审批程序授权通书面文件通员工岗位分工等方式实现
第九条 系统应采户名密码认证方式实现登录控制系统访问应唯帐号口令
第十条 系统中应建立享帐号帐号唯户相应拥帐号户意帐号交
第十条 帐号权限分配应遵循满足需求授权原 户分配权限时 进行系统理操作权限进行授权避免分配关更权限
第十二条 关户登陆帐号权限理相关操作系统中留日志日志少保留3月
第十三条 创立新户角色户组户角色定义进行修改时应考虑相容职责分工原例操作员审核员分离开发员维护员分离等
第十四条 员工工作调动离职时系统中帐号应立撤销继续帐号分配
第十五条 开发员时生产环境中系统帐号需必须安全理员提出申请安全理员意系统理员时开启时帐号开发员访问生产系统时必须系统维护员访问进行监督访问结束时删帐号更改口令操作日志进行审阅
第十六条 果系统中存第三方厂商员帐号情况应第三方厂商签订相关安全保密协议合理确保第三方厂商够执行(xx市民政局)安全理求职责相容求果外部员需通远程登录访问系统进行操作更新安全理员提出申请(附录(xx市民政局)业务系统时帐户申请表)相关系统理员时开通远程登录功操作完成系统理员应时终止远程登录
第十七条 部分系统接口原系统中预设户帐号应接口程序脚相关设置进行加密实施访问控制防止未授权访问
第十八条 系统应分级理设立特权帐号时普通帐号帐号分安全等级进行理定期检查户帐号权限重点检查特权帐号否存特权时限期
第十九条 系统理员帐户进行登记(附录二(xx市民政局)业务系统帐户清单)根需定期进行审查更新
第六章 特权帐号理
第二十条 业务系统特权帐号负责相关工作系统理员持妥善保存
第二十条 系统维护需特权帐号系统理员特殊原够现场实施特权帐号登录操作系统理员指定时特权帐号处理问题务完成系统理员应立更新相应特权帐号密码收回特权帐号权限
第二十二条 服务提供商产品厂家技术员等第三方员系统进行维护时果需特权户系统理员通设置时口令方式第三方员授权特权帐号授权期立通更改特权帐号口令收加特权帐号
第二十三条 相关系统理员果离职应立更新持特权帐号密码
第七章 普通帐号理
第二十四条 系统理员根少权限原审批帐号权限申请相关部门复审系统理员执行帐号权限操作
第二十五条 系统户离职岗位调整该户直接领导必须通知系统理员系统理员进行户信息调整时更新帐户清单
第二十六条 户离职岗位调整该户直接领导未通知系统理员该户造成损失该户直接领导负责
第二十七条 普通户日常维护工作系统理员负责
第八章 口令理
第二十八条 帐号口令拥者必须严格确保口令安全保密性旦迹象表明口令泄露户必须立修改口令
第二十九条 系统中帐号口令应避免弱口令口令长度低8位须数字字母特殊字符组成少3月进行更新
第三十条 帐号初始口令应安全途径告知帐号者帐号者首次登录系统时应立修改帐号口令
第三十条 户忘记口令时理员必须该户进行适身份识提供时口令
第三十二条 口令系统中保存传输时必须采取安全措施保证帐号安全性例口令进行加密等 非安全保否口令记录纸张等切视介质
第三十三条 程序帐号密码需保存配置文件里时文件属性应置读应程序访问
第九章 检查监督
第三十四条 业务系统安全理员负责检查监督生产系统口令理少3月进行1次检查
附录(xx市民政局)业务系统时帐户申请表
(xx市民政局)业务系统时户申请表
日期:
申请员:
联系电话:
申请原期限途:
系统理员意见:
签字:
年 月 日
附录二(xx市民政局)业务系统帐户清单
(xx市民政局)业务系统帐户清单
日期:
序号
帐户名称
帐户类
属台系统
途
员
备注
二十补丁理规定
第章 总
第条 加强单位信息系统安全补丁理工作规范信息系统安全补丁识安装程降低信息系统安全漏洞带安全风险提高信息系统抗攻击力特制定规定
第二章 适范围
第二条 规定适(xx市民政局)系统TCPIP网络(生产环境办公等非生产环境)
第三条 规定适象(xx市民政局)系统信息安全理员系统负责理员IT 设备员工
第三章 术语定义
第四条 补丁针某具体系统漏洞安全问题发布专门解决该漏洞安全问题程序通常称修补程序
第四章 组织职责
第五条 系统理员负责协调安全补丁测试加载回退负责补丁加载监督验证
第六条 安全理员负责补丁理程中进行监督
第五章 补丁获取
第七条 安全理员系统理员负责正式渠道获取安全补丁正式渠道包括企业发产品厂商提供建议网站载安全补丁负责安全补丁进行完整性校验确保获取安全补丁软件未修改
第八条 踪信息系统补丁信息踪手段包括限:
() 定期踪信息资产厂家补丁发布网站者新补丁信息少月查询次
(二) 定期通安全漏洞扫描器扫描信息资产漏洞缺失情况少季度扫描次
(三) 相关信息资产厂家建立补丁通告协议
(四) 补丁发布两周获取补丁信息
(五) 购买新系统设备时候进行补丁检查确保厂家已安装较新补丁
第六章 补丁测试
第九条 业务系统属基础台相关系统补丁加载前必须进行补丁测试
第十条 补丁测试必需测试环境中进行测试程测试结果保留记录备查测试没通补丁生产系统中加载
第十条 具备测试条件补丁加载制定提交加载程风险规避方案确保加载成功时系统恢复
第十二条 补丁测试容包括补丁安装测试补丁功性测试补丁兼容性测试补丁回退测试:
() 安装测试测试补丁安装程否正确误补丁安装系统否正常启动
(二) 补丁功性测试测试补丁否安全漏洞进行修补
(三) 补丁兼容性测试测试补丁加载否应系统带影响业务否正常运行
(四) 补丁回退测试包括补丁卸载测试系统原测试
第十三条 系统设备理员负责组织进行补丁测试工作安全理员负责组织办公机补丁测试工作重生产系统进行补丁测试工作必须安排相关厂商进行配合
第十四条 系统设备理员需补丁测试结果提交科室负责进行审核业务系统补丁安装登记表中进行登记审核通进行补丁加载
第七章 补丁验证档
第十五条 补丁安装完成系统设备理员必需查系统信息确保安全补丁已成功加载
第十六条 生产环境服务器必须加载补丁系统计划验证方案进行严格测试验证确保补丁加载影响系统性确保项业务操作正常
第十七条 (xx市民政局)办公电脑补丁安装前必须做备份确保补丁回退措施
第十八条 补丁加载周系统设备理员必须加强系统性事件进行密切监控
第十九条 系统补丁加载进行档处理备份加载补丁包需进行补丁理重信息资产(服务器操作系统数库网路设备安全设备应系统等)建立补丁加载记录没加载补丁标注原相应防范措施
附录 业务系统补丁安装登记表
________业务系统补丁安装登记表
日期:
系统名称
补丁名称
补丁安装时间
安装申请
安装审批
简描述补丁更新原
二十信息系统日志理规定
第章 总
第条 加强(xx市民政局)信息系统日志数理工作真实效保存类日志确保数保密性完整性性特制定文
第二章 适范围
第二条 文件适(xx市民政局)系统理员员
第三章 术语定义
第三条 日志包括业务系统中存储机系统日志设备日志业务系统日志等基础环境日志
第四章 组织职责
第四条 安全理员负责牵头制订相关日志理策略
第五条 系统理员负责执行机系统业务系统日志理策略数库理员负责数库日志理
第六条 网络理员负责执行网络设备日志理策略安全理员负责执行安全设备日志理
第五章 通求
第七条 日志关员意察日志身需保持完整性非授权员更改日志需保持性做备份便审计时
第八条 日志需少包括容:
() 户帐号
(二) 登录退出日期时间
(三) 识出终端身份代号址
(四) 记录相关系统访问成功失败登录日志
(五) 成功拒绝处理数资源访问登录相关记录
第九条 统日志理便审计应建立时间步服务器重系统日志进行时间步
第十条 应建立日志服务器日志服务器容量磁盘实施日志进行收集保存日志传送通SNMPSYSLOG等方式
第十条 日志维护理结果必须周进行检查发现疑滥安全性事情况发生时问题进行分析踪影响较错误日志必须时相关部门负责汇报
第十二条 业务系统运行维护员应6月运行日志审计数进行分析便时发现异常行
第六章 机系统日志理
第十三条 机系统日志操作系统日志数库日志组成
第十四条 机日志访问权限进行控制开审计选项防止非法访问
第十五条 系统理员应生产环境类机日志进行备份涉重机密数应备份存储介质进行异保存机系统日志保留6月数库理员数库进行理日志保留期限6月
第十六条 部门需查阅机系统日志应(xx市民政局)信息系统变更理规定提交变更申请系统理员数库理员调出指定机日志非生产环境查阅完成非生产环境删
第七章 业务系统日志理
第十七条 应业务系统服务器进行配置运行脚日日志集中发送日志服务器
第十八条 业务系统日志访问权限进行控制开审计选项防止非法访问
第十九条 日志文件日志服务器集中保存日志保留期限6月
第二十条 部门需查阅业务系统日志应部门负责组负责提出申请相关负责意系统理员负责相关日志收集通查询保留方式进行发送邮箱查阅完成申请员必须时日志进行删
第八章 设备日志理
第二十条 设备日志防火墙路器交换机负载均衡设备通信设备等产生日志
第二十二条 应设备进行配置运行脚日日志集中发送日志服务器
第二十三条 设备日志访问权限进行控制开审计选项防止非法访问
第二十四条 日志文件日志服务器集中保存日志保留期限6月
第二十五条 部门需查阅设备日志应部门负责组负责提出申请相关负责意相关理员负责相关日志收集通查询保留方式进行发送邮箱查阅完成申请员必须时日志进行删
二十二防病毒理规定
第章 总
第条 加强(xx市民政局)信息系统服务器终端PC机防病毒理保证信息系统稳定快速安全运行提高全体员工防病毒意识落实全体员工防病毒责制定规定
第二章 适范围
第二条 标准规定办公室计算机病毒防治理容
第三条 标准适办公室计算机设备操作
第三章 术语定义
第四条 计算机病毒:计算机病毒蓄意编制种寄生性计算机程序计算机系统中生存通复制传播定条件激活计算机系统造成定损害甚严重破坏病毒窃取计算机设备中重信息
第四章 组织职责
第五条 计算机病毒防治工作办公室负责承担制定类相关理规定研究类计算机病毒防治技术牵头实施负责检查考核奖惩
() 监(xx市民政局)防病毒情况
(二) 监督防病毒产品部署
(三) 组织计算机防病毒教育培训
(四) 负责防病毒规定制定维护
(五) 计算机防病毒情况进行检查
(六) 户报病毒应追踪根源查找病毒传播者
(七) (xx市民政局)提供相关重突发性病毒预警发布
第六条 安全理员组织职责
() 负责防病毒专业安全厂商保持联系
(二) 监督审核(xx市民政局)防病毒情况
(三) 负责维护理防病毒服务器
(四) 配置查杀策略升级策略
(五) 天早晨检查防病毒服务器病毒定义更新
(六) 周五早晨检查网络中病毒发作情况
(七) 负责计算机病毒预警发布
(八) 接受户计算机病毒报告进行相应诊断分析处理记录备案
(九) 月填写防病毒系统运行情况报告提交信息安全领导组
第七条 系统理员组织职责
() 理计算机发现疑计算机病毒现象时时网络理员报告配合网络理员进行病毒清处置
(二) 服务器PC防病毒软件安装
第五章 防计算机病毒目
第八条 计算机病毒尤恶性病毒具强破坏性危害性病毒发作时造成计算机系统软(硬)件破坏瘫痪计算机法正常工作计算机病毒防治工作保证类计算机系统安全类重文档受病毒破坏
第九条 目前已发现窃取计算机重信息计算机病毒计算机病毒防治工作利单位类计算机设备重信息安全保密
第六章 防病毒理容
第十条 办公室生产环境系统计算机病毒产品办公室统购买发放系统理员安全理员规定指定点载防病毒软件
第十条 系统应落实专负责部门计算机病毒安装查杀工作报办公室办公室备案员发生变更调整时应时报办公室办理变更登记
第十二条 办公室通知系统(部门)进行计算机防病毒产品安装升级办法指导升级工作防病毒软件中心应设置动扫描工作安全理员确认扫描结果
第十三条 时检查防病毒软件病毒库升级更新情况
第十四条 订购专业安全厂商安全通告服务时获取病毒预警信息
第十五条 办公室半年次进行检查信息系统种产品恶意代码库升级情况进行记录机防病毒产品防病毒网关邮件防病毒网关截获危险病毒恶意代码进行时分析处理形成书面报表总结汇报理计算机发现疑计算机病毒现象时时安全理员报告配合理员进行病毒清处置
第十六条 立解决病毒问题办公室时组织协相关技术业务员进行踪解决时联系防病毒厂商问题解决前快采取相应措施阻止事件进步扩
第十七条 计算机病毒引起计算机信息系统瘫痪程序数严重破坏等重较事应做现场保护工作参(xx市民政局)信息系统应急预案理规定进行汇报处置
第七章 防病毒应规定
第十八条 系统理员禁止私安装非法软件卸载安装防病毒软件
第十九条 系统理员禁止运行未审核批准软件外(:网络载移动磁盘等介质)程序文档应运行开前进行计算机病毒检测清
第二十条 web方式接收电子邮件时意开历明疑电子邮件邮件系统接受带附件邮件时开启防病毒软件邮件接收监控功
第二十条 系统员工遇怀疑发生防病毒软件查杀病毒事件时应第时间报告办公室监部门
第八章 惩罚制度
第二十二条 意制造传播计算机病毒触犯国家关法律规定员相关部门国家关法律法规进行处罚
第二十三条 违反标准规定造成计算机系统瘫痪严重影响系统产生严重果视情节轻重办公室关规定责部门实施处罚
第二十四条 标准执行情况列入单位信息化单项考核中
附件:病毒事件报告表
病毒事件报告表
序号:________ 日期:____年__月__日 审核:________
病毒事征兆
发现报告员
发现报告时间
报告象
现象描述
备注
发现员工填写
病毒处理
处理
员
处理
时间
指导
员
病毒处理
具体容描述
备注
结果采取措施
安全
理
员填
写
病毒检查
容
否安装防病毒软件杀毒软件品牌
防病毒软件否新病毒码
反馈信息:
备注:
二十三信息安全密码理规定
第章 总
第条 满足(xx市民政局)信息系统密码安全理需特制定理办法
第二章 帐号设立求
第二条 系统求
() 办公室操作系统业务系统数库网络设备等均需支持基帐号访问控制功
(二) 需口令应软件业务软件需口令文件提供妥善保护
第三条 帐号申请原
() 授权户申请系统帐号
(二) 系统帐号设立必须规定相应流程规定进行
(三) 员工申请帐号前应该接受适培训确保够正常操作避免系统安全造成隐患
(四) 帐号相应权限应该满足户需原户职责关权限
(五) 确工作需必须申请系统帐号单位外部员必须单位领导批准单位正式员工作安全责果需接触办公室秘密信息必须通技术部审批签署保密协议
(六) 系统帐号必须区分责责必须细化部门组作责
第四条 公帐号
() 系统应严格限制开设公帐号般情况公帐号具访问保密信息系统写权限
(二) 公帐号应该设立责负责帐号正常维护
第五条 匿名帐号
() 匿名帐号允许访问系统中公开办公室益资源访问部公开秘密等级资源
(二) 匿名户系统访问必须详细记录
第四章 口令设立求
第六条 口令生成
() 系统帐号分配时必须时生成相应口令帐号起传送户
(二) 户接受帐号口令必须马修改口令时间存没口令帐号非该帐号已失效
(三) 系统帐号验证口令作证系统果帐号名确定公开规产生口令应公开口令
(四) 理员传递帐号口令时应采取加密安全传输途径保证口令会中途截取
第七条 口令设立原
() 帐号口令必须具足够长度复杂度口令难猜测
(二) 帐号口令必须必时间次数循环
(三) 帐号口令间应没直接联系保证前口令推知现口令
(四) 帐号前两口令间相部分应量减少减低前口令分析出口令机会
(五) 帐号口令应取意义词语符号者姓名生日易猜测信息
第八条 口令低标准
() 普通户口令长度低8位10口令重复口令中必须包含字母数字
(二) 理员超级理员帐号口令长度低8位10口令重复口令中必须包含字母数字口令中符号出现2次口令中相位置字符相3口令意义单词短语
第五章 变更取消求
第九条 帐号
() 帐号限申请帐号程中声明禁止帐号
(二) 帐号系统正式前必须更改原系统中缺省帐号口令保证正式环境安全
(三) 帐号程中帐号访问工作关资源
第十条 帐号权限变更
() 帐号工作职责发生转变造成现职责现系统中职责时应申请权限修改理员发现户具工作需权限直接停止余权限
(二) 帐号工作职责发生转变需系统资源情况应申请关闭帐号关闭帐号需转移帐号责
第十条 口令修改
() 帐号应定期修改帐号口令修改口令间隔应标准相关规定标准没规定户间隔应6月
(二) 帐号户必须理员求更改口令时进行更改口令果户拒绝配合理员通知户关闭户帐号保证系统安全
(三) 帐号户丢失遗忘口令必须通规定流程理员申请初试化口令户接回执应马更改口令
(四) 帐号户求口令修改方式必须确保户身份理员必须记录
(五) 理员没户申请时候私更改户帐号口令非办公室技术部需
(六) 系统超级理员帐号口令属系统高机密应该严格限定范围员确工作需超级理员帐号口令应超级理员帐号口令责申请口令完成操作责更改口令
第十二条 帐号取消
() 户果职责变动离岗需系统权限须帐号移交责原岗位应申请帐号销户理员取消权限
(二) 户离职理员应关闭户系统中权限
第六章 维护求
第十三条 密码口令理
() 密码口令纸质介质明文电子数保存通电子邮件传输
(二) 缺省设置密码
(三) 密码告诉
(四) 果系统密码泄漏必须立更改
(五) 享超级户口令户组适工具su
(六) 系统集成商施工期间设立缺省密码系统投入前删
(七) 密码加密形式保存加密算法强度高加密算法逆
(八) 输入时密码显示出
(九) 系统应该强制指定密码策略包括密码短效期长效期短长度复杂性等
(十) 系统理员外般户改变户口令
(十) 果需特殊户口令(说UNIXOracle)禁止通该户进行交互式登录
(十二) 强制户第次登录改变口令
(十三) 求较高情况强度更高认证机制例:双素认证
(十四) 果话密码生成器帮助户选择口令
(十五) 定时运行密码检查器检查口令强度保存机密绝密信息系统应该周检查次口令强度系统应该月检查次
第十四条 信息系统户责义务
() 户义务确保口令安全系统帐号口令泄漏时避免弱口令
(二) 便携式计算机户应设置开机BIOS口令
(三) 远程登陆户确保口令保留计算机
(四) 信息系统中帐号口令应
(五) 公开口令全部部分非种行会影响系统帐号安全性
(六) 严禁通手段非法取帐号口令进入系统违反者应进行严厉制裁直追究法律责
(七) 帐号口令告权帐号果户种行导致帐号造成办公室信息系统影响帐号持造成影响行实施负相责
(八) 严禁利系统安全漏洞访问权限外资源发现立严惩
第十五条 系统理员责义务
() 确保匿名帐号外系统户必须口令
(二) 定期审计检查系统户数量权限
(三) 确保系统网络设备默认帐号口令
(四) 确保关键应服务器启口令强制策略
(五) 户进行口令安全培训
(六) 建议理员机帐号口令
第七章 流程理求
办公室部员信息系统帐号开户权限变更流程进行:
() 首先户提出书面申请详细列出需权限部门领导审批申请权限工作需
(二) 果户申请系统规定需高级部门审批权限需部门高级审批
(三) 果必系统中业务部门负责员进行户求否合理审批
(四) 然安全负责员审核安全性相应负责员进行开户操作审批审批环节中审批意该申请退回户申请
第十六条 非办公室员信息系统中开户非技术部规定否均流程进行:
() 接口部门责代非办公室员申请明确指明责
(二) 非办公室员接口部门部门领导进行审批
(三) 需部门领导审批
(四) 安全理员进行审批备案
(五) 业务负责审批申请合理性
(六) 相应负责员进行开户
(七) 审批审批环节中意审批意户申请退回户申请
(八) 明文规定非办公室员开户具体规定执行
第十七条 户职责变动需信息系统资源应立销户办公室部员帐号销户流程:
() 户提出申请
(二) 安全控制员审批执行(离职员帐号安全控制办员直接处理)
(三) 非办公室员帐号停止责应负责提出销户销户流程:
(四) 帐号责提出申请
(五) 接口部门审批
(六) 技术部审批备案
(七) 安全理员操作
第十八条 例外情况
() 安全理员系统安全原紧急情况部门允许情况流程执行帐号操作
(二) 系统升级迁移等情况相应部门认情况直接操作流程
二十四变更理规定
第章 总
第条 加强单位信息系统变更理程中安全理规范变更操作降低系统变更风险特制定规定
第二章 适范围
第二条 规定适象信息系统变更理程包括变更申请受理审批实施程理象(xx市民政局)相关业务部门信息安全等级保护工作领导组
第三章 术语定义
第三条 理环境指(xx市民政局)信息系统理维护范围类系统支持运行需系统网络设备机房基础设施等
第四条 理变更指理环境实施变更理变更分技术变更业务变更中根变更紧急程度分紧急变更常规变更
第五条 技术变更指设备系统网络应软件系统操作流程等配置系统参数改变
第六条 业务变更指理系统提供业务服务数改变载查询例:业务品种客户信息客户数等
第七条 紧急变更指理事件问题引发第三方(含监机构合作伙伴)求急需处理变更
第八条 常规变更指紧急变更外变更
第九条 根变更影响业务服务类型变更影响范围分三级:
() 级变更:影响重业务功影响网络性影响整体形象变更:重业务重功网络割接升级重安全补丁升级重配置变化网络系统重改变
(二) 二级变更:影响系统部分功:般性系统升级系统配置变化服务象变化网络系统局部(非重部分)变化
(三) 三级变更:整体影响部门业务系统影响:般性功变化般性安全补丁范围变化
第四章 组织职责
第十条 (xx市民政局)相关业务部门负责根求提出业务变更申请信息安全等级保护工作领导组业务变更进行审批协助进行业务变更实施
第十条 办公室负责系统技术变更申请审批受理组织相关员进行变更实施
第五章 变更申请
第十二条 变更申请应规范规定格式提交变更申请(附录变更申请单)变更申请需申请部门负责批准
第十三条 变更申请应详细填写变更原变更求变更紧急程序变更类型
第十四条 变更申请时间:
() 技术变更提前二工作日申请
(二) 业务变更提前三工作日申请
第十五条 变更申请根理系统中功点变更分提出变更申请避免变更中涵盖系统变更动作
第六章 变更受理
第十六条 类变更统信息安全等级保护工作领导组负责受理
第十七条 素填写全申请时间符合求描述清变更申请办公室退回变更申请部门员
第七章 变更方案制订
第十八条 信息安全等级保护工作领导组负责接变更申请应组织相关员填写变更实施方案计划时涉业务变更时应相关部门员研究制订评估方案应急方案
第十九条 需第三方服务商提供变更方案脚时变更申请部门应通正式渠道(例邮箱等)信息安全等级保护工作领导组提出信息安全等级保护工作领导组根变更容制定变更方案通正式渠道反馈
第二十条 变更实施计划回退方案应包含容:
() 变更日期时间(包括变更实施计划开始时间结束时间)
(二) 变更影响范围否影响理系统业务连续运行
(三) 变更中部门需配合确认工作明确变更实施员
(四) 变更实施验证方案
(五) 否完成相关技术培训操作手册操作日志修订
(六) 变更否涉配置变更
(七) 变更分析评估方案(包括风险分析隐患分析等)
(八) 变更具体实施步骤容
(九) 变更回退方案
(十) 变更应急方案
第二十条 根变更方案变更申请变更申请单中说明变更级
第八章 变更审批
第二十二条 变更审批应根级进行审批方式
()级变更信息安全领导组组长进行审批
(二)二级技术变更信息安全等级保护工作领导组领导进行审批二级业务变更信息安全等级保护工作领导组领导变更申请部门领导审批
(三)三级变更变更申请部门审批
(四)未批准变更信息安全等级保护工作领导组负责变更未批准具体原通知变更申请相关单位部门
第二十三条 业务造成影响变更需变更实施前通知相关业务部门
第九章 变更实施
第二十四条 紧急变更外理系统业务连续运行造成影响变更实施时间避开业务高峰日期特殊日期
第二十五条 具备测试条件变更测试环境进行严格完整模拟测试
第二十六条 应根变更情况时召开协调会变更进行通报协调进步明确变更实施求相关配合工作
第二十七条 技术变更实施前:
() 变更实施员需做关操作流程制定操作日志修改技术文档整理操作员培训等工作
(二) 应根变更受理情况协调相关技术支持员进行验证
第二十八条 业务变更实施前:
() 变更实施计划进行确认做实施前准备工作
(二) 应根变更受理情况协调相关技术员业务员进行验证
第二十九条 变更实施求:
() 变更实施员应确认变更实施计划评估验证应急回退方案
(二) 变更实施程中变更实施计划执行时间环境序条件等求执行变更实施计划严格监控整变更实施程
(三) 变更实施程必须保证双操作
(四) 变更实施完成认真检查现场执行结果根变更验证方案变更情况进行验证变更实施结果反馈相关部门
第三十条 变更实施程中果发生变更实施计划相符意外情况时没找原排错误方法时变更实施员必须立报告该变更审批决定否终止变更恢复变更实施前理环境详细记录信息
第三十条 变更实施程中果需启动新变更变更实施计划周需调整变更容应重新进行变更审批某种原导致变更失败必须实施部门审批决定否启动回退方案
第三十二条 变更实施理系统变更实施员进行踪检查验证确保变更结果正确性
第三十三条 涉客户帐户变更必须变更前帐户进行检查确保变更实施准确误
第三十四条 变更实施种中出现安全事件应(xx市民政局)信息系统安全事件理规定执行
第十章 变更汇总
第三十五条 变更实施完成信息安全等级保护工作领导组变更申请部门反馈变更实施情况
第三十六条 技术变更应二工作日反馈变更申请部门
第三十七条 业务变更实施完成应三工作日反馈变更申请部门涉保密业务变更完成变更实施变更指定方式相关单位部门反馈
第三十八条 果变更失败信息安全等级保护工作领导组负责分析产生问题原提出改进意见时反馈变更申请相关部门
第十章 紧急变更
第三十九条 工作日受理需立实施紧急变更需完成申请审批流程(特殊紧急情况邮件电话形式)
第四十条 非正常工作时间需立实施紧急变更邮件电话形式进行申请审批终形成纸质文档存档
第四十条 紧急变更实施前变更实施员制定简单变更实施计划验证回退恢复方案中回退恢复方案现行成熟方案具操作性
第四十二条 紧急变更实施完成变更实施员变更实施结果反馈变更申请部门
附录 变更申请单
日期:
变更申请
属部门
联系电话
变更申请时间
期完成时间
变更原
变更求
缓急程度
□常规 □紧急
变更类型
□技术 □业务
变更申请部门
意见
签章: 日期:
信息安全等级保护工作领导组意见
签章: 日期:
变更级
级
信息安全领导组组长意见
签章: 日期:
变更实施
属部门
联系电话
变更方案详述
(方案附件)
变更象
变更容
签章: 日期:
回退方案详述
(方案附件)
回退象
回退容
签章: 日期:
二十五备份恢复理规定
第章 总
第条 加强(xx市民政局)数安全理进步规范数传输档处置安全理数备份行确保类数完整性保密性性特制定理办法
第二章 术语定义
第二条 数指计算机系统存储信息包括战略规划信息业务决策信息市场信息客户信息项目信息操作信息系统信息财务信息理控制信息事信息合规信息等
第三章 职责
第三条 理办法业务系统理员负责执行:
()系统理员负责机系统进行备份恢复
(二)数库系统理员 负责数库系统进行备份恢复
(三)应系统理员 负责应系统进行备份恢复
(四)网络理员:负责网络系统进行备份恢复
第四章 备份理
第四条 业务系统备份采取定期备份动态备份相结合原定期备份定周期计划进行动态备份指操作系统应系统发生较变动实时进行备份操作系统数库数定期进行备份系统变更较应调整前进行次操作系统应软件备份时步备份机相关容系统应配置备份定期进行
第五条 业务系统理员授权员应填写附录:业务系统备份数清单业务系统审批签字确保业务系统网络设备操作系统系统配置数核心业务数定期进行备份备份策略正确
第六条 数备份采0级备份增量备份数备份策略制定应综合系统性存储容量数量增长速度业务需求备份方式存储介质存储介质型号效期等素备份策略制定应考虑特殊日版升级日增加备份
第七条 数备份应采性宜损坏介质磁带光盘等备份数物理介质应注明数源备份日期恢复步骤等信息置安全环境保
第八条 数备份时仔细检查备份作业备份程序执行结果核实目标备份源备份容致确保备份数完整性正确性
第九条 数备份时应时记录备份情况包括备份作业备份周期时间容数保存期限介质型号介质容量业务种类转存情况异备份记录相关变更记录等信息进行日备份问题记录
第十条 操作系统备份求:
() 操作系统层备份范围包括操作系统系统运行产生登录操作日志文件
(二) 操作系统应半年少备份次
(三) 操作系统运行产生登录操作日志文件应月少备份次
(四) 操作系统安装系统补丁进行系统升级修改系统配置导致系统改变情况发生前必须进行操作系统备份
(五) 操作系统层备份系统理员负责实施
(六) 操作系统层备份完成应少保留24月
第十条 数库备份求:
() 数库层备份范围包括数库日志文件数文件系统程序文件
(二) 数库日志文件包括档日志文件告警日志文件踪文件
(三) 安装数库补丁应系统补丁数库升级导致数库改变操作发生前必须备份完整数库数文件数库程序文件备份应执行备份介质异存放
(四) 数库数文件天增量备份周进行次全量备份
(五) 数库档日志应天进行增量备份
(六) 数库发生障时需进行系统恢复应先备份障数库数文件
(七) 数库层备份数库理员负责实施
(八) 备份数库日志文件数库程序文件备份应少保留24月
第十二条 应系统备份求:
() 应系统层备份包括应系统程序文件日志文件
(二) 应系统程序文件日志文件应月少备份次备份应执行备份介质异存放
(三) 根补丁级安装应系统补丁前视求执行系统备份
(四) 应系统备份应系统理员负责实施
(五) 应系统备份应少保留12月
第五章 备份介质理
第十三条 备份数需定期进行抽检采备份数恢复测试环境方式备份数正确性进行验证
第十四条 备份理员应备份数情况进行天次检查填写附录二:备份登记记录相关业务系统应月备份登记记录签字审核
第十五条 快恢复障应(场)保留备份介质时避免场灾难导致破坏应做异备份异备份场物理环境保护级低场场采媒介控制措施应扩展涵盖备场
第十六条 备份理员应时冷备介质进行异存放填写附录三:异备份登记记录业务系统应月异备份登记记录签字审核
第十七条 备份理员应制定详细操作备份恢复操作方案业务系统审批签字
第十八条 备份理员根方案半年异备份业务数测试环境进行次恢复性测试确保演练备份恢复时间预定时间备份介质没期备份数完整恢复测试完毕时填写附录四:备份恢复测试记录
第十九条 备份理员应根备份数须保存长期限求备份介质寿命期前时更换备份介质更换填写附录五:备份介质更换记录相关业务系统应半年备份介质更换记录签字审核次
第二十条 正式备份数恢复期备份数销毁必须相关业务系统部门领导认方进行
第二十条 备份介质保存机房中授权进入机房员接触系统备份磁带
第二十二条 异备份介质保存异专库房中库房钥匙(门禁卡等)负责异存放备份介质维护员掌握
第二十三条 应根日常备份需提前估算购买备份介质数量时检查备份介质量避免备份介质写满者容量足情况发生
第二十四条 备份介质达年限应备份介质保存数进行审核需继续保存应备份理员数装移新备份介质做恢复性测试签字确认
第二十五条 安全理员应月备份介质进行审核签字确认
第六章 备份恢复理
第二十六条 解决障程中需恢复生产系统中数库环境必须首先提出申请获办公室负责批准实施
第二十七条 数恢复前必须根情况需恢复数进行必备份防止数丢失
第二十八条 数恢复必须严格操作手册执行出现问题时办公室相关员进行现场技术支持
第二十九条 数恢复必须进行验证确认确保数恢复完整性性
第三十条 数备份员根(xx市民政局)业务系统实际拟定需测试备份数项目测试周期
第三十条 设备障操作失误等造成般障需恢复部分设备备份数遵循异常事件处理流程设备理员数库理员负责恢复
第三十二条 灾难等原造成重事遵循持续性理流程启动灾难恢复计划进行恢复
附录:业务系统备份数清单
(xx市民政局)业务系统备份数清单
业务系统名称
序号
数名称
保存期限
操作方式
(手工动)
备份方式
备份周期
操作员
联系方式
备份操作步骤
1
2
3
备注:
业务系统审批签字
签字日期
附录二:备份登记记录
(xx市民政局)
备份登记记录
业务系统名称
数名称
备份方式
备份状态
备份签字
备份日期
备注:业务系统月审核次
审核意见
业务系统审核签字
签字日期
附录三:异备份登记记录
(xx市民政局)
异备份登记记录
业务系统名称
介质编号
数名称
介质类型
数量
存放点
备份签字
备份日期
备注:业务系统月审核次
审核意见
业务系统审核签字
签字日期
附录四:备份恢复测试记录
(xx市民政局)
备份恢复测试记录
业务系统名称
备份介质编号
备份数名称
介质类型
介质存放点
测试方案
测试结果
续工作
测试
测试日期
备注:
附录五:备份介质更换记录
(xx市民政局)
备份介质更换记录
备份数名称
存放点
原备份介质
新备份介质
更换签字
更换日期
介质编号
介质类型
数量
介质编号
介质类型
数量
备注:业务系统半年审核次
审核意见
业务系统审核签字
签字日期
审核意见
部门领导审核签字
签字日期
二十六安全事件理规定
第章 总
第条 加强部理规范信息安全事件处理流程提高安全事件发生时应变力做快速反应正确应程度降低安全事件带负面影响确保信息系统业务正常稳定开展特制定规定
第二章 适范围
第二条 规定适象信息安全事件处置程包括事件分类分级报告处置流程等理象办公室相关业务部门信息安全工作领导组
第三章 术语定义
第三条 信息安全事件指然者软硬件身缺陷障原信息系统造成危害社会造成负面影响事件
第四章 组织职责
第四条 信息安全工作组安全事件受理解决部门负责受理信息安全事件协调组织安全事件解决方案措施反馈处理结果安全理员安全事件具体受理员协调组织相关员处理安全事件
第五条 相关部门应配合信息安全工作领导组做安全事件解决发现安全事件部门安全联络员时报信息安全工作领导组
第五章 事件分类
第六条 信息安全事件分害程序事件网络攻击事件信息破坏事件信息容安全事件设备设施障灾害性事件信息安全事件等7基分类
() 害程序事件指蓄意制造传播害程序受害程序影响导致信息安全事件害程序指插入信息系统中段程序害程序危害系统中数应程序操作系统保密性完整性性影响信息系统正常运行包括计算机病毒事件蠕虫事件僵尸网络事件混合攻击程序事件害事件
(二) 网络攻击事件指通网络技术手段利信息系统配置缺陷协议缺陷程序缺陷暴力攻击信息系统实施攻击造成信息系统异常信息系统前运行造成潜危害信息安全事件包括拒绝服务攻击事件门攻击事件漏洞攻击事件网络扫描窃听事件网络钓鱼事件干扰事件网络攻击事件
(三) 信息破坏事件指通网络技术手段造成信息系统中信息篡改假泄漏窃取等导致信息安全事件 信息破坏事件包括信息篡改事件信息假事件信息泄漏事件信息窃取事件信息丢失事件信息破坏事件
(四) 信息容安全事件指利信息网络发布传播危害国家安全社会稳定公利益容安全事件 信息容安全事件包括违反宪法法律行政法规信息安全事件 针社会事项进行讨评形成网敏感舆热点出现定规模炒作信息安全事件 组织串连煽动集会游行信息安全事件 信息容安全事件等
(五) 设备设施障指信息系统身障外围保障设施障导致信息安全事件非技术手段意意造成信息系统破坏导致信息安全事件设备设施障包括软硬件身障外围保障设施障破坏事设备设施障
(六) 灾害性事件指抗力信息系统造成物理破坏导致信息安全事件 灾害性事件包括水灾台风震雷击坍塌火灾恐怖袭击战争等导致信息安全事件
(七) 事件类指6基分类信息安全事件
第六章 事件分级
第七条 根信息安全事件分级考虑素信息安全事件划分四级:特重事件重事件较事件般事件
() 特重事件指够导致特严重影响破坏信息安全事件包括情况:
n 会特重信息系统遭受特严重系统损失
n 产生特重社会影响
(二) 重事件指够导致严重影响破坏信息安全事件包括情况:
n 会特重信息系统遭受严重系统损失重信息系统遭受特严重系统损失
n 产生重社会影响
(三) 较事件指够导致较严重影响破坏信息安全事件包括情况:
n 会特重信息系统遭受较系统损失重信息系统遭受严重系统损失般信息信息系统遭受特严重系统损失
n 产生较社会影响
(四) 般事件指满足条件信息安全事件包括情况:
n 会特重信息系统遭受较系统损失重信息系统遭受较系统损失般信息系统遭受严重严重级系统损失
n 产生般社会影响
第七章 事件监控
第八条 信息安全运维部值班员安全理台进行监控出现安全事件应时填写附录异常现象报告单报运维值班负责通知安全理员
第九条 系统理员网络理员设备理员应负责系统网络设备进行日志监控发现安全事件时填写附录异常现象报告单通知安全理员
第八章 事件受理
第十条 安全理员接异常报告单进行判断否安全事件
第十条 果确认安全事件根事件类型分级求安全事件进行定义初步填写附录二信息安全事件报告
第十二条 较级安全事件安全理员时报信息安全工作领导组负责
第九章 事件处置
第十三条 般安全事件处置流程
() 般安全事件统安全理员接口受理相关系统理员配合安全理员事件进行统筹理踪
(二) 般安全事件处理流程安全理员负责协调处理涉生产环境系统变更(xx市民政局)信息系统变更理规定进行处理
(三) 般安全事件处理完成安全理员组织相关员事件进行分析完成信息安全事件报告结果通知相关事件发起相关系统理员安全事件产生类系统漏洞应明确表示相关员尝试验证该漏洞
第十四条 较安全事件处置流程
() 现场保护:果信息安全事件数程序相关求存数程序存储介质进行备份保护数证安全完整
(二) 防止扩散:果发生信息安全事件设备员会影响系统设备员应立采取隔离措施发现设备感染网络病毒设备网络断开
(三) 应急恢复处理:
n 果发生信息安全事件设备员工作时会影响业务运行求快采应急措施启动备资源
n 应急恢复处理时必须保证产生二次损坏丢失证
(四) 分析事件原:
n 调查分析安全事件处理核心目找发生安全事件原相关解决方案
n 果调查程中发现安全事件涉窃取办公室济利益者损害办公室名誉行安全事件处理报告办公室相关部门处理触犯法律法规行办公室相关部门决定否移交公安部门进行调查处理
(五) 制定解决方案:根信息安全事件情况信息安全工作领导组组织办公室相关部门讨制定安全事件解决方案必时联系相关第三方服务商协助处理
(六) 实施解决方案:确定解决方案相关员进行方案实施恢复系统正常运作状态包括遭受安全事件影响系统进行恢复安全修复两方面工作作必技术处理保证发生相信息安全事件
(七) 实施检查:信息安全工作领导组应组织事件处理结果进行验证回顾处理结果否达预期效果进行评审事件处理程进行记录保留相关文档
(八) 总结反馈:
n 信息安全工作领导组应定期审阅安全事件报告分析安全事件总结验教训
n 确认资产否受类似威胁采取预防措施
n 审查安全事件涉安全策略标准程序确定否需更新相关文件
n 安全事件进行总结总结反馈相关部门
n 安全事件中汲取验教训
n 安全理员根实际情况完成信息安全事件报告发送相关部门
(九) 9) 重特重事件信息安全领导组审定否启动相关应急预案
(十) 10) 涉生产环境变更必须变更理规定进行实施涉国家秘密事件处理恢复员重操作求少两名工作员场登记备案
附录信息安全异常现象报告
日期:
报告详细情况
姓名: 址:
单位: 部门:
电话: 电子信箱:
信息安全异常现象描述
异常现象描述:
l 发生什
l 发生
l 什会发生
l 受影响部分
l 业务负面影响
l 已确定脆弱性
信息安全异常现象细节
发生异常现象日期时间:
发现异常现象日期时间:
报告异常现象日期时间:
异常现象否结束?(选择) ¨ 否 ¨
果具体说明异常现象持续长时间(天时分钟):
附录二信息安全事件报告
日期:
信息安全事件概述
事件进步概述:
l 发生什
l 发生
l 什会发生
l 受影响部分
l 业务负面影响
l 已确定脆弱性
信息安全事件细节
发生事件日期时间:
发现事件日期时间:
报告事件日期时间:
事件否结束?(选择) ¨ 否 ¨
果具体说明事件持续长时间(天时分钟):
果否具体说明目前止事件已持续长时间:
信息安全事件类型
实际发生 ¨ 未遂 ¨ 疑 ¨
害程序事件 ¨
计算机病毒事件¨ 僵尸网络事件¨
恶意代码¨ 蠕虫事件¨
混合攻击程序事件 ¨
(选择项) 网络攻击事件 ¨ (指出涉威胁类型)
拒绝服务攻击事件¨
漏洞攻击事件¨
网络钓鱼事件¨
门攻击事件¨
网络扫描窃听事件¨
干扰事件¨
¨
(选择项) 信息破坏事件 ¨ (指出涉威胁类型)
信息篡改事件¨
信息泄漏事件¨
信息丢失事件¨
信息假事件¨
信息窃取事件¨
¨
信息容安全事件 ¨ (指出涉威胁类型)
(包括违反宪法法律行政法规信息安全事件 针社会事项进行讨评形成网敏感舆热点出现定规模炒作信息安全事件 组织串连煽动集会游行信息安全事件 信息容安全事件等) 具体说明:
未知 ¨ (果尚法确定事件属意意外错误造成选择项果述威胁类型缩写指出涉威胁类型)
二十七应急预案理规定
第条 级文件求切实做(xx市民政局)网络信息安全事件应急工作特制定应急预案
第二条 组织机构
成立网络安全信息化工作领导组组长单位书记副组长单位副书记办公室队伍建设科等相关负责组成员网络安全信息化组组织拟订应信息安全突发事件工作规划应急预案汇总关信息安全突发事件种重信息进行综合分析提出建议办公室承担网络信息安全专项应急日常工作负责网络信息安全突发事件日常监测预警
第三条 应急支撑力量
市单位通信线路服务器网络设备硬件资源统市政府申请市政务云数中心提供资源服务单位网络信息安全预警应急处理提供技术保障进步提高安全事件发现分析力 技术逐步实现发现预警处置通报等环节应急处理联动机制
第四条 事件先期处置
() 网站网页篡改事件紧急处置措施
n 网站网页网络信息理员负责时密切监视信息容
n 发现网出现非法信息时网络信息理员立刻单位领导通报情况情况紧急应先时采取删等处理措施程序报告
n 网络信息安全相关负责应接通知立赶现场作必记录清理非法信息妥善保存关记录日志审计记录强化安全防范措施网站网页重新投入
n 追查非法信息源关情况网络信息安全理部门反映情况严重公安部门报案
(二) 黑客攻击事件紧急处置措施
n 网络信息理员发现网页容篡改通入侵检测系统发现黑客正进行攻击时应立网络信息安全负责通报情况
n 网络信息安全相关负责 应接通知立赶现场首先攻击服务器等设备网络中隔离出保护现场关情况网络信息安全理部门反映情况严重公安部门报案
n 现场进行分析写出分析报告存档必时报市委
n 恢复重建攻击破坏系统
(三) 病毒事件紧急处置措施
n 发现计算机感染病毒应立网络信息安全负责报告该机网络隔离开
n 网络信息安全相关负责员接通报立赶现场该设备硬盘进行数备份
n 启反病毒软件该机进行杀毒处理时通病毒检测软件机器进行病毒扫描清工作
n 果现行反病毒软件法清该病毒应迅速联系关产品商家研究解决
(四) 软件系统遭破坏性攻击紧急处置措施
n 重软件系统时必须存备份软件系统相应数必须单位容灾备份规定间隔时进行备份保存安全处
n 旦软件遭破坏性攻击应立网络信息安全负责报告该系统停止运行
n 检查信息系统日志等资料确定攻击源关情况网络信息工作领导组汇报恢复软件系统数
n 单位规定应急预案需三月进行审查根实际情况更新容
第五条 报告联系部门
发生重信息安全突发事件时网络信息安全理员时收集报通报突发事件关情况单位领导汇报确保安全策略制定执行网络信息安全部门反映情况单位工作机构办事机构通报情况方协商做突发事件处置工作
二十八软件理办法
第章 总
第条 指导信息系统建设安全理加强软件理效控制技术风险促进信息系统规范化标准化建设特制定办法
第二章 适范围
第二条 办法适类软件系统理
第三章 职责权限
第三条 办公室统理单位部业务系统业务科室信息系统职理部门办公室总体牵头负责信息系统需软件采购培训升级维护理保障软件信息系统中安全运行提供软件中技术支持
第四章 软件理
第四条 软件安装(含更新安装)软件存储介质拷贝必须交办公室统登记保存
第五条 严格执行软件版理分发流程防止软件盗误流失越权
第六条 软件设计方案数结构加密算法源代码等技术资料严禁散失外泄
第五章 软件外包开发
第七条 软件总体设计时应根应软件实际途步进行安全保密设计指定业务科室负责系统交付理工作理规定求完成系统交付工作
第八条 软件外包开发开发商签定服务协议中求制订测试验收方案软件风险条款明确权责义务确定补偿措施限额保障双方合法权益
第九条 求开发单位提供软件源代码求系统线前开发商必须审查系统否存门
第十条 软件安装前项目组进行检测软件包中否存恶意代码分领导提请验收测试报告
第十条 业务科室组织安全技术专家进行项目验收报告出评审意见报请验收通
第六章 软件
第十二条 标准化软件购买测试试运行确认安全线运行
外包开发软件正式投入前必须部评审确认软件功性安全性均满足相关标准业务求技术文档完备
第十三条 单位系统正式线运行前委托公正第三方测试单位系统进行安全性测试
第十四条 正确评估软件线风险做相应应急备份计划
第十五条 软件员前应接受必操作培训安全教育
第十六条 软件应遵循功原权限策略关闭必服务端口
第十七条 标准化软件应充分测试前提时安装补丁程序
第十八条 标准化软件采购外包软件开发均需合中约定期服务容包括软件功升级版修改变更配置更改项目理员负责
第十九条 外包开发软件功性升级变更配置更改严格日常维护操作流程执行根业务需求进行软件升级修改软件开发程理
二十九信息交付理规定
第章 总
第条 规范单位信息安全交付行提高信息安全交付安全意识确保信息资产安全特制定规定
第二条 规定规范安全交付程员行准
第三条 制定详细安全系统交付清单(见附件)根交付清单交接设备软件文档等进行清点
第四条 业务科室负责系统交付理工作理规定求完成系统交付工作
第二章 安全交付规范
第五条 物理环境安全
() 通单位信息安全领导组书面审批进出机房办公区域敏感区域遵守相关理规定
(二) 严禁泄露门禁系统密码配机房钥匙遗失应时报备案
(三) 信息安全项目实施中未授权设备进行违规操作包括数查复制配置信息泄露更改等
(四) 设备更新旧设备销毁应检查含存储介质设备确保销毁前敏感数授权软件已移安全重写
(五) 单位接收资产应保证资产完整性保密性种方式传输非相关工作员交付完成应获资产全部
第六条 通信操作安全
() 未单位信息安全领导组许设备程序配置文件数日志进行查询复制修改等操作改动网络设备连接
(二) 未单位信息安全领导组许设备安装时软件工具报告安装软件工具设备带危害现场服务结束删服务需允许安装时软件工具恢复设备运行环境
(三) 敏感区域拍需(xx市民政局)许
(四) 设备进行风险操作时(例软件升级重硬件更换网络结构变更等)应征(xx市民政局)意方执行操作前应数信息进行备份虚拟环境中做安全测试
第七条 访问控制理
() 设备调试测试程中应时已安装服务器终端设备设置理员密码保证密码复杂度
(二) 服务项目移交前须统修改调试密码提交单位移交清单中包括密码移交容求行修改密码签字确认
(三) 操作访问权限进行必限制分权分域权限原设置确保员唯户身份证明密码仅供
(四) 定期设备密码进行更新保证密码复杂度定期设备账号进行清理清账号
(五) 项目服务员接入单位网络时必须设置指定网络配置避免址突造成设备影响
(六) 远程服务前必须信息安全领导组提交远程服务申请申请获批准服务工程师应求提供接入设备信息(登录名登录密码登录址拨入号码等)需必须授权终端远程维护软件接入网络
(七) 远程服务结束创建远程服务环境登陆信息应时修改删通知单位相关部门时关闭设备远程服务权限
(八) 操作单位设备程中禁止服务器终端连接互联网需连接应先申报
第八条 信息系统开发维护
() 服务交付程中涉设备配置组网方案IP址设备口令技术规格存储数接参数业务特性线信息终端户信息等扩散泄漏
(二) 设备调测软件升级程中需合法渠道获取软件版
(三) 非单位设备安装购买操作系统数库等软件单位购买设备序列号相关软件序列号信息非项目途
(四) 维护程中系统密码等重信息应通网加密邮件方式通知禁止采口头书面形式
(五) 服务商等第三方员获信息包括姓名职位联系方式培训历等信息进行效理范围扩散泄漏
第三章 员安全理
第九条 交付程中实施交付员应动学相关理规定安全事案例提高服务交付安全意识
第十条 实施交付程中违反规定行进行追责处理构成违法犯罪应追究刑事责
附件 安全系统交付清单
交付第三方
项目服务时间
交付实施员
交付容(第三方责填写):
第三方责签字确认:
年 月 日
信息安全领导机构签字确认:
年 月 日
文档香网(httpswwwxiangdangnet)户传
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档
目 录
相关术语 11
1缩写 11
2制度适范围: 11
3术语定义 11
网络信息安全总体策略 13
第章 总 13
第二章 术语定义 13
第三章 组织职责 13
第四章 理原 13
第五章 总体目标 14
第六章 安全框架 14
第七章 策略制定维护 15
二信息等级保护体系制定发布理规定 17
第章 总 17
第二章 职责 17
第五章 文件起草 18
第六章 文件评审 19
第七章 文件发布 20
附录(xx市民政局)理制度发布记录表 21
三等级保护体系评审修订理规定 22
第章 总 22
第二章 评审程序 22
第三章 修订程序 23
四信息安全理组织架构 24
第章 总 24
第二章 组织目标 24
第三章 信息安全组织架构 24
第四章 组织信息安全职责描述 25
五信息系统安全检查理规定 27
第章 总 27
第二章 适范围 27
第三章 术语定义 27
第四章 组织职责 27
第五章 通求 27
第六章 安全检查准备 28
第七章 安全检查报告 28
第八章 安全检查整改 29
第九章 检查工具 29
附录: 安全检查情况汇总表 30
附录二: 信息系统安全检查表 31
六信息安全组织架构岗位职责 33
第章 总 33
第二章 信息化领导组 33
七员理制度 36
第章 总 36
第二章 术语定义 36
第三章 组织职责 36
第四章 入职理 36
第五章 岗理 37
第六章 纪律处理程 37
第七章 调动理 37
第八章 离岗理 38
八网络安全培训考核理规定 39
第章 总 39
第二章 组织职责 39
第三章 安全培训理程序 39
第五章 安全考核理程序 40
九第三方机构安全理规定 41
第章 总 41
第二章 术语定义 41
第三章 组织职责 41
第五章 驻场外包员安全理求 41
第六章 时访员安全理求 42
第七章 外包服务质量考核评价 42
第八章 外包员离场安全求 43
十计算机网络保密规定 44
十信息系统测试理办法 46
第章 总 46
第二章 测试组工作职责 46
第三章 新业务系统线测试理办法 47
第四章 常规版升级测试理办法 48
十二信息安全建设理规定 50
第章 总 50
第二章 适范围 50
第三章 组织职责 50
第四章 系统定级 50
第五章 安全检查报告 51
第六章 系统建设 52
第七章 系统备案 52
第八章 系统测评 53
第九章 系统终止 53
附录系统安全设计方案评审表 55
附录二系统测试验收评审表 56
附录三系统转移终止废弃申请表 57
十三项目理规定 58
第章 总 58
第二章 适范围 58
第三章 职责权限 58
第四章 项目立项 58
第五章 项目计划 59
第六章 项目实施 59
第七章 项目监控 60
第八章 项目收尾 60
十四工作环境理规定 61
第章 总 61
第二章 适范围 61
第三章 术语定义 61
第四章 办公区域访问控制 61
第五章 办公环境安全 61
第七章 办公计算机安全 62
第八章 监督检查 65
十五信息系统资产理规定 66
第章 总 66
第二章 适范围 66
第三章 术语定义 66
第四章 职责 66
第五章 资产分类 66
第六章 资产分级 67
第七章 信息资产标识 67
第八章 信息资产维护 68
第九章 闲置报废资产理 68
附录(xx市民政局)XXXX系统信息资产清单 70
十六存储介质理规定 71
第章 总 71
第二章 适范围 71
第三章 术语定义 71
第四章 组织职责 71
第五章 存储介质标识 71
第六章 存储介质访问 71
第七章 存储介质保 72
第八章 介质维修 72
第九章 存储介质销毁 72
附录存储介质清单 74
附录二存储介质销毁申请表 75
十七信息系统运维监控理规定 76
第章 总 76
第二章 适范围 76
第三章 术语定义 76
第四章 组织职责 76
第五章 监控理求 77
第六章 运维监控工作流程 77
十八网络系统运行理规定 79
第章 总 79
第二章 组织职责 79
第三章 网络资源数理 79
第四章 网络资源申请 80
第五章 网络资源 80
第六章 网络资源建设 80
第七章 网络资源变更 81
第八章 网络障处理 81
十九系统帐号权限理规定 82
第章 总 82
第二章 适范围 82
第三章 术语定义 82
第四章 组织职责 82
第五章 通原 82
第六章 特权帐号理 84
第七章 普通帐号理 84
第八章 口令理 84
第九章 检查监督 85
附录(xx市民政局)业务系统时帐户申请表 86
附录二(xx市民政局)业务系统帐户清单 87
二十补丁理规定 88
第章 总 88
第二章 适范围 88
第三章 术语定义 88
第四章 组织职责 88
第五章 补丁获取 88
第六章 补丁测试 89
第七章 补丁验证档 89
附录 业务系统补丁安装登记表 91
二十信息系统日志理规定 92
第章 总 92
第二章 适范围 92
第三章 术语定义 92
第四章 组织职责 92
第五章 通求 92
第六章 机系统日志理 93
第七章 业务系统日志理 93
第八章 设备日志理 94
二十二防病毒理规定 95
第章 总 95
第二章 适范围 95
第三章 术语定义 95
第四章 组织职责 95
第五章 防计算机病毒目 96
第六章 防病毒理容 96
第七章 防病毒应规定 97
第八章 惩罚制度 97
附件:病毒事件报告表 98
二十三信息安全密码理规定 99
第章 总 99
第二章 帐号设立求 99
第四章 口令设立求 100
第五章 变更取消求 100
第六章 维护求 101
第七章 流程理求 103
二十四变更理规定 105
第章 总 105
第二章 适范围 105
第三章 术语定义 105
第四章 组织职责 106
第五章 变更申请 106
第六章 变更受理 106
第七章 变更方案制订 106
第八章 变更审批 107
第九章 变更实施 107
第十章 变更汇总 109
第十章 紧急变更 109
附录 变更申请单 110
二十五备份恢复理规定 112
第章 总 112
第二章 术语定义 112
第三章 职责 112
第四章 备份理 112
第五章 备份介质理 114
第六章 备份恢复理 115
附录:业务系统备份数清单 116
二十六安全事件理规定 120
第章 总 120
第二章 适范围 120
第三章 术语定义 120
第四章 组织职责 120
第五章 事件分类 120
第六章 事件分级 122
第七章 事件监控 122
第八章 事件受理 123
第九章 事件处置 123
附录信息安全异常现象报告 126
附录二信息安全事件报告 127
二十七应急预案理规定 129
二十八软件理办法 131
第章 总 131
第二章 适范围 131
第三章 职责权限 131
第四章 软件理 131
第五章 软件外包开发 131
第六章 软件 132
二十九信息交付理规定 133
第章 总 133
第二章 安全交付规范 133
第三章 员安全理 135
附件 安全系统交付清单 136
相关术语
1缩写
原名称
缩写名称
备注
2制度适范围:
适(xx市民政局)部门包括系统维护理员网络服务器终端设备信息系统专设备物理环境等
3术语定义
() 安全策略:纲领性安全策略文档描述(xx市民政局)业务安全目标理层意图支持目标指导原信息安全实践根性指导性文件
(二) 信息安全等级保护理体系指国家信息安全等级保护求建立系统进行信息安全理制度方针策略流程指南记录等理方面规章制度集合
(三) 信息安全等级保护理体系指国家信息安全等级保护求建立系统进行信息安全理制度方针策略流程指南记录等理方面规章制度集合
(四) 安全检查:指单位部外部机构信息安全整体执行情况进行评价活动安全检查单位现行理制度信息系统安全体系规范技术标准关法律法规标准求等安全检查包括安全例行检查安全专项检查等
(五) 安全例行检查:指已制定检查周期作检查
(六) 安全专项抽查:指根单位监机构相关部门求安全运行状况作定期抽查
(七) 单位员工指单位正式员工包括试期员工调员等
(八) 第三方机构指进入(xx市民政局)部提供相关技术服务非(xx市民政局)单位(包括限供应商合作厂商服务商)第三方员分时访员驻场外包员时访第三方员指(xx市民政局)时间周期较短员包括进行业务交流员时访参观员等驻场外包第三方员指访时间较长第三方技术服务员包括项目建设员外信息系统职守员外信息系统维护员等
(九) 存储介质:指单位计算机系统相关业务电子信息输出存放物理介质移动移动磁盘光盘硬盘磁盘阵列等
(十) 帐号指访问系统资源户系统中标识分应系统帐号操作系统帐号数库帐号等
(十) 访问权限指帐号赋予访问系统资源系统功权利
(十二) 超级理员帐号特权帐号:指系统具超级权限帐号包含限UNIXLinuxrootWINNTadministrators组成员数库DBA等户
(十三) 普通帐号:户维护访问系统实现日常操作帐号常见户类型
(十四) 补丁针某具体系统漏洞安全问题发布专门解决该漏洞安全问题程序通常称修补程序
(十五) 日志包括业务系统中存储机系统日志设备日志业务系统日志等基础环境日志
(十六) 计算机病毒:计算机病毒蓄意编制种寄生性计算机程序计算机系统中生存通复制传播定条件激活计算机系统造成定损害甚严重破坏病毒窃取计算机设备中重信息
(十七) 信息安全事件指然者软硬件身缺陷障原信息系统造成危害社会造成负面影响事件
网络信息安全总体策略
第章 总
第条 加强(xx市民政局)信息系统网络安全理明确(xx市民政局)网络安全理总目标总方保护(xx市民政局)系统信息系统资产积极预防安全事件发生安全事件影响化特制定策略文件
第二章 术语定义
第二条 安全策略:纲领性安全策略文档描述(xx市民政局)信息系统业务安全目标理层意图支持目标指导原网络安全实践根性指导性文件
第三章 组织职责
第三条 单位组建网络安全信息化领导组负责批准网络安全策略文件保证文件执行时负责(xx市民政局)系统网络安全方面指导方安全建设等重问题做出决策协调部门安全协工作支持推动网络安全工作整单位实施
第四条 单位组建网络安全等级保护工作组负责具体执行安全理策略文件建立实施运作监控评审维护改进工作
第五条 单位员工责解身单位信息安全网络安全方面职责网络安全信息化领导组指示认真执行相关求
第四章 理原
第六条 网络安全理工作实行积极防范突出重点职责位保障业务谁谁负责谁运营谁负责理原
第五章 总体目标
第七条 遵守国家相关法律法规结合(xx市民政局)实际情况现理文化体系逐步建设套适先进网络安全理体系更保障(xx市民政局)网站社台等重信息系统安全稳定社会公众提供服务满足单位断发展业务需求
第六章 安全框架
第八条 安全理制度
() 逐步完善安全策略理制度操作规程组成网络安全理体系
(二) 网络安全策略文件应理层审核批准公布传达单位员单位业务第三方机构网络安全策略文件规划期间重变更发生时需通理层审查修订
第九条 安全理机构
() 必须建立网络安全理组织满足网络安全理体系持续运行目标
(二) 加强第三方机构沟通合作时获取相关信息
(三) 必须建立安全检查机制定期信息系统进行安全检查
(四) 加强员录离岗程安全理定期员进行安全培训考核加强安全意识
(五) 操作访问信息资产第三方机构必须阐明相关责求明确告知责恰保护信息资产
第十条 系统建设
() 系统建设初期必须根系统定级情况进行安全方案设计行性进行证
(二) 确保安全密码产品采购符合国家关规定选择满足条件安全服务商
(三) 确保系统开发维护程中相关安全功需求已嵌入系统开发新系统时安全功应包含初始系统分析需求描述中描述必须包括动手动安全控制控制必须通测试够整合正运行环境中
第十条 系统运维
() 信息系统相关设备物理需受保护防止偷窃滥损坏未授权访问
(二) 确保信息系统相关信息资产受适保护 信息资产必须确定属根敏感度进行分类控制
(三) 信息系统必须制定相应操作规范通日常操作理介质理恶意代码防范控制确保信息系统范围信息处理设施正确安全操作
(四) 三级系统应建立安全理中心信息资产安全事件实现监控响应
(五) 信息系统变更应审批流程完善恢复流程
(六) 应建立效安全事件响应处理机制安全事件必须时发现报告处理调查报修正事回顾吸取验教训避免发生类型事件损失降
(七) 建立完善应急预案确保事发生时业务活动影响降
第七章 策略制定维护
第十二条 网络信息安全策略文件安全理员编写网络安全信息化领导组批准相关部门第三方机构相关员发布
第十三条 网络安全信息化领导组监督网络安全活动否策略目标致达策略求
第十四条 网络安全信息化领导组审查处理违反安全策略行
第十五条 网络安全等级保护工作组定期网络安全策略进行回顾评审(附件评审记录表)确保策略效性操作性
附件安全策略评审记录表
安全策略评审记录表
日期: 年 月 日
会议名称
参员
评审象
评审结果
评审意见:
网络安全等级保护工作组
审批结果:
网络安全信息化领导组
二信息等级保护体系制定发布理规定
第章 总
第条 保证(xx市民政局)信息安全等级保护理体系持续性时效性适应性满足业务断变化安全理需明确信息安全等级保护体系制定发布评审修订等程中理职责特制定规定
第二章 职责
第二条 网络安全信息化领导组职责:
() 负责规划监督指导网络安全等级保护理体系文件起草审查发布清理等工作
(二) 负责信息安全等级保护理体系评审修订复审工作
(三) 确保信息安全等级保护理体系持续恰效运作
(四) 提供充足资源支持持续改善信息安全等级保护理体系
第三条 网络安全等级保护工作组职责:
() 负责组织理体系文件起草编制修订补充等工作开展实施成果领导组汇报
(二) 负责启动持等级保护理体系理评审工作
(三) 负责协调相关员指导收集评审资料
(四) 确保评审会议提出行动项目规定时间完成负责相关监督工作
(五) 负责评审结果需进行修订项协调相关员进行修订
(六) 指派员负责修订措施执行结果进行验证
第四条 相关员指(xx市民政局)信息安全等级保护理体系涉员:系统理员应理员开发理员网络理员数理员资产理员安全理员等职责:
() 负责理体系文件容进行宣贯培训执行检查等工作部门情况落实理体系求
(二) 负责协助进行评审
(三) 负责实施修订措施
第五章 文件起草
第五条 (xx市民政局)网络安全理体系规范文件网络安全等级保护工作组负责起草组织起草
第六条 负责起草科室应确定名熟悉相关容员工项目负责 涉部门时关部门派组成联合起草组起草部门负责牵头组织
第七条 起草规范性文件应结构严谨容完备形式规范条理清楚词准确文字简洁
第八条 应明确规定容:
()制定目
(二)适范围
(三)术语定义
(四)组织职责
(五)具体理求规定
(六)必附
(七)规范容相关资料性附录参考性附录
第九条 报送审查理制度送审稿应起草部门负责签署报网络安全信息化领导组审查部门起草规范送审稿应起草部门负责签署报网络安全信息化领导组审查
第十条 列材料应规范送审稿报送网络安全信息化领导组审查:
()起草说明
(二)规范容关规范性文件
(三)汇总方意见
(四)需制定实施细应提交实施细容细拟出台时间
(五)需报送材料
第十条 网络安全信息化领导组方面送审稿进行审查:
()否符合权限程序
(二)否符合原
(三)否规范标准相协调衔接
(四)否已关意见进行协调
(五)否具行性
(六)否符合相关技术求
(七)需审查容
第十二条 网络安全信息化领导组送审稿提出审查结草案涉关争议问题修改情况作重点说明网络安全信息化领导组负责签署书面审查报告应反馈起草部门
第六章 文件评审
第十三条 (xx市民政局)网络安全等级保护工作组定期(少年次)开展等级保护理体系评审工作确保整等级保护理体系充分性适性效性
第十四条 等级保护理体系评审容:
() 根业务系统性质安全求确定(复审)等级保护理体系范围建立(复审)等级保护理体系包括网络安全策略标准程序
(二) 等级保护理体系审核结果进行评审分析导致符合项原
(三) 审查审核象反馈信息
(四) 总结已发现安全事件漏洞
(五) 审查现行安全控制措施相关技术否效
(六) 复查修订措施实施状况
(七) 检查先前理评审中定义措施实施状况
(八) 审查改善措施建议
(九) 复查业务法律法规方面变更
(十) 审查影响信息安全等级保护理体系变更
(十) 协调相关网络安全实施评审相关资源充足性
第十五条 评审工作必须少年举行次发生情况时需启动理评审工作:
() 系统业务发生重变更
(二) 系统网络安全策略重变更
(三) 目前等级保护理体系执行力
(四) 系统等级保护理体系范围发生变更
(五) 相关标准法规发布修订版变更
第七章 文件发布
第十六条 规范草案网络安全信息化领导组审议原通起草部门根审议中提出修改意见草案进行修改网络安全信息化领导组负责签发文件形式公布
第十七条 文件发布应遵统格式进行版控制应注明发布范围收发文进行登记发布制度应附录(xx市民政局)理制度发布记录表中进行记录
附录(xx市民政局)理制度发布记录表
(xx市民政局)理制度发布记录
理制度名称
制订者
发布者
生效时间
版
分发范围
失效时间
备注
日期:
文档理员:
审核:
三等级保护体系评审修订理规定
第章 总
第条 保证(xx市民政局)等级保护理体系持续性时效性适应性满足单位断变化安全理需明确等级保护理体系评审修订程中理职责特制定规定
第二章 评审程序
第二条 (xx市民政局)网络安全等级保护工作组定期(少年次)开展等级保护理体系评审工作确保整等级保护理体系充分性适性效性
第三条 等级保护理体系评审容:
() 根具体工作性质安全求确定(复审)等级保护理体系范围建立(复审)等级保护理体系包括网络安全策略标准程序
(二) 等级保护理体系审核结果进行评审分析导致符合项原
(三) 审查审核象反馈信息
(四) 总结已发现安全事件漏洞
(五) 审查现行安全控制措施相关技术否效
(六) 复查修订措施实施状况
(七) 检查先前理评审中定义措施实施状况
(八) 审查改善措施建议
(九) 复查业务法律法规方面变更
(十) 审查影响等级保护理体系变更
(十) 协调相关网络安全实施评审相关资源充足性
第四条 评审工作必须少年举行次发生情况时需启动理评审工作:
() 系统业务发生重变更
(二) 系统网络安全策略重变更
(三) 目前等级保护理体系执行力
(四) 系统等级保护理体系范围发生变更
(五) 相关标准法规发布修订版变更
(六) 评审工作会议记录均需档保存正式记录
第三章 修订程序
第五条 问题识确认采取修订措施原包括限:
() 系统等级保护理体系相关工作员反馈信息调查申请
(二) 网络安全理评审会议讨中发现问题
(三) 等级保护理体系审核发现符合项
第六条 调查问题起:
() 网络安全等级保护工作组指派专门员负责问题进行分析调查确认问题起
(二) 调查员需提供关整问题调查详细结果作修订措施报告部分提供额外补充信息
第七条 执行修订措施:
() 基调查出问题起需确认实施相应措施事进行调查研究负责述行动执行者需确保更新相关文件理流程:
Ø 准备制定更新相关理程序
Ø 培训通知相关员知晓
(二) 执行员负责踪执行修订措施效果旦发现效果预期相关负责需进行评估分析进步应措施进行确认执行员必须确保实施修订措施证实验证保证修订措施报告中详细说明
第八条 措施验证:
() 果验证出采取措施达预期效果修订措施算成功结束踪验证阶段包括两部分:
Ø 规定修订措施执行程度进行验证
Ø 修订措施执行效果进行验证
(二) 措施验证结果必须中详细说明相关记录进行保存
四信息安全理组织架构
第章 总
第条 加强(xx市民政局)信息安全理工作组织协调建立健全等级保护理制度运行机制切实提高(xx市民政局)信息安全理工作水根信息安全等级保护理办法(xx[2007]43号)求制定规范
第二章 组织目标
第二条 实施规旨实现信息安全理目标:
() 理组织信息安全工作
(二) 理外部组织访问组织信息处理设施信息资产安全
第三章 信息安全组织架构
第三条 加强(xx市民政局)信息安全理工作领导贯彻落实信息安全求安徽省公安厅关开展信息安全理专项检查工作通知关求研究决定成立(xx市民政局)网络安全信息化领导组(简称领导组)
第四条 成立领导组作信息安全理工作高理机构领导组设(xx市民政局)系统信息安全理工作组
第五条 领导组(xx市民政局)书记担组长副书记担副组长领导组成员队伍建设指导科科长相关部门安全领导
第六条 信息安全理工作组负责(xx市民政局)信息安全理具体执行工作工作组组长领导组指定队伍建设指导科科长兼设置名副组长负责具体工作部门信息安全技术实施进行指导审查信息安全工作组成员包括部门信息化负责
第七条 队伍建设指导科作信息安全工作具体执行部门 科室负责科室信息安全理工作第责应指定名信息安全理员作信息安全工作联络员负责科室关信息安全理工作
第四章 组织信息安全职责描述
第八条 网络安全信息化领导组职责包括:
() 根国家省市级网络安全总体求结合(xx市民政局)实际情况统领导(xx市民政局)信息安全理相关工作
(二) 负责协调(xx市民政局)部理工作分配信息安全理目标职责支持推动信息安全工作单位实施
(三) 负责信息安全理关重事项进行决策包括安全组织机构调整信息安全理重策略变更
(四) 组织审定发布单位信息安全发展战略总体规划重政策理规范技术标准
(五) 评审监督重信息安全事处理
第九条 信息安全理工作组职责包括:
() 直接领导组负责承担信息具体工作协助领导组信息安全事务决策
(二) 负责信息安全政策贯彻落实协调信息安全执行科室第三方机构间关信息安全工作
(三) 负责信息安全理体系建立实施日常运行起草信息安全政策确定信息安全理标准督促信息安全执行部门信息安全政策措施实施
(四) 负责员工信息安全工作意识教育安全技培训
(五) 负责维护安全事件记录报告发生起安全事件调查解决方法记录案
(六) 负责定期召开信息安全理工作会议定期总结安全事件记录报告信息安全领导组汇报
(七) 负责建立信息安全执行科室关联级单位外部安全理机构间定期联系沟通机制
(八) 落实纠正措施(包括审计整改意见)预防措施
第十条 信息安全工作联络员职责包括:
() 负责单位日常具体信息安全工作参加信息安全工作组求项活动
(二) 负责信息安全工作组负责报告信息安全事件违反信息安全政策行协助违反安全政策行进行调查
(三) 协助信息安全工作组负责单位信息安全领导落实针单位纠正措施(包括审计整改意见)预防措施
第十条 部员工职责包括:
() 严格遵守信息安全相关国家法律法规政策遵守(xx市民政局)信息安全政策
(二) 积极参加信息安全教育培训提高信息安全意识
(三) 责违反信息安全政策事件行时报告单位信息安全联络员相关员
第十二条 力资源部职责包括:
() 力资源工作办公室兼
(二) 员工聘前聘中解聘程中涉员信息安全进行效理
(三) 负责制定实施信息安全相关奖惩措施安全绩效考核体系
(四) 组织实施信息安全教育培训
(五) 协助调查安全事件
第十三条 信息中心职责包括:
() 信息中心工作队伍建设指导科兼
(二) 负责(xx市民政局)科室属单位信息安全某题进行定期审计信息安全专项审计
(三) 信息安全理政策种标准规范作审核具体审核程中必时获信息安全领导组协助支持
(四) 负责汇报审计结果督促审计整改工作进行
五信息系统安全检查理规定
第章 总
第条 规范(xx市民政局)信息系统网络安全检查工作流程明确职责定期效单位信息系统进行安全检查特制定规定
第二章 适范围
第二条 规定适单位信息系统网络安全检查准备实施报告整改程理象安全理员信息系统理员
第三章 术语定义
第三条 安全检查:指单位部外部机构网络安全整体执行情况进行评价活动安全检查单位现行理制度信息系统安全体系规范技术标准关法律法规标准求等安全检查包括安全例行检查安全专项检查等
第四条 安全例行检查:指已制定检查周期作检查
第五条 安全专项抽查:指根单位监机构相关部门求安全运行状况作定期抽查
第四章 组织职责
第六条 安全理员负责牵头协调组织信息系统网络安全检查理工作包括系统日常运行系统漏洞数备份等情况
第七条 相关理员应配合安全检查实提供需检查信息安全检查发现问题制定整改措施整改计划实施整改
第五章 通求
第八条 安全检查应遵循全面审慎独立原
第九条 安全理员应牵头建立检查机制信息系统负责配合制定检查计划定期开展检查活动检查计划根实际情况时进行补充调整
第十条 应半年周期信息系统进行安全检查检查容应包括安全技术措施效性安全配置安全策略致性安全理制度执行情况
第十条 根实际需组织专项检查信息系统发生重事问题进行专项检查重事件实施全面监控评价
第十二条 新信息系统包括设备机应信息系统线安装前必须安全检查检查方式应包括信息系统安全配置漏洞评估恶意代码检测根检查结果进行整改方线
第十三条 必须检查工具检查程信息检查结果信息访问采取控制措施加保护防止风险
第六章 安全检查准备
第十四条 安全理员应组织相关部门员半年周期进行安全例行检查根需组织安全专项检查
第十五条 安全检查应规定检查点检查方式规定检查工具进行检查
第十六条 应选择单位信息系统运行影响方式时间进行检查
第十七条 生产环境实施安全检查应(xx市民政局)信息系统变更理规定规定变更流程执行
第十八条 实施生产环境造成影响安全检查应协调相关科室员检查结果进行验证
第十九条 安全检查采抽查方式进行抽查采样量应确保安全检查结果准确性代表性符合信息系统实际生产情况
第二十条 检查程中应做检查结果记录工作
第七章 安全检查报告
第二十条 检查完成安全理负责组织编写检查报告提出整改建议(附录安全检查情况汇总表)提供相关科室
第八章 安全检查整改
第二十二条 相关科室应检查报告中整改时间求针检查报告中提出问题制定整改实施计划组织整改
第二十三条 安全理员应整改措施落实情况进行踪验证整改措施实施结果否效必时进行复查确认
第二十四条 安全理员根检查结果整改情况进行汇总形成安全状况通报提供相关部门
第九章 检查工具
第二十五条 安全检查程中果需安全工具审核安全检查工具
第二十六条 安全检查工具检查设备者检查科室设备运行检查员负责操作
第二十七条 生产信息系统中检查工具前安全理员组织进行测试工作产生影响进行评估证必时安排双进行操作
附录: 安全检查情况汇总表
序号
符合项
符合描述
整改建议
负责科室
1
2
3
4
5
6
7
8
9
10
附录二: 信息系统安全检查表
检查日期: 检查:
日常运行维护理
容求
检查结果
备注
1 信息系统日常运维
信息系统操作流程时更新
户密码理否规范
户密码否定期更改
操作日志记录
异常情况记录
异常情况处理
记录数完整连续
补丁否更新
否安装防病毒软件
□□否
□□否
□□否
□□否
□□否
□□否
□□否
□□否
□□否
服务器运行情况
容求
检查结果
备注
服务器资源情况系统访问情况
CPU占率
存占率
存储占率
系统响应时长(单位:秒)
文档理
容求
检查结果
备注
1 应急计划
应急计划新时完善修订包含:
□□否
1 外联联系单应急联系电话岗位负责
2 类问题具体应措施(障判关键设备位置应急操作步骤等)
□□否
2 数备份
备份数完整效
网络设备安全设备配置文件否定期备份
□□否
□□否
3 测试报告
次测试进行记录填写报告定期整理
□□否
4 应急演练记录
次演练进行记录填写报告定期整理
□□否
5 信息系统线流程审批
信息系统线软件升级设置变更等填写审批单
□□否
6 技术文档理
应信息系统技术文档操作手册否齐全
□□否
7 IP址记录
IP址记录否时更新
(抽查IP址台设备IP址表)
□□否
8 防病毒措施
病毒库时更新
□□否
9 网络拓扑图
网络拓扑图时更新
□□否
安全理卫生情况
容求
检查结果
备注
1 员备岗
关键岗位备岗
外部运维员保密协议
□□否
□□否
2 机房备品备件
机房关键设备应信息系统等否备份
□□
3 否超年限机器
中心机房
□□
4 机房理
应急明
否堆放杂物(纸箱废弃物等)
机房监控信息系统清晰效
机房网络线路否清晰网线颜色否标准
□□
□□否
□□
□□否
5 视频监控
视频监控设备清晰效
□□否
6 门禁信息系统
门禁信息系统功否正常
□正常□正常
7 防盗报警器
红外防盗报警器功否正常
□正常□正常
8 机房出入员登记表
外员进出机房登记
□□否
9 机房电力供应等
电力切换演记录
UPS容量负载情况
电池供电时间
配电房定期检修
空调运行情况(空调供水排水情况)
□□
( )
( )
□□
□正常□正常
10 消防
烟感温感
消防报警信息系统
定期演练
□正常□正常
□正常□正常
□□否
11 防雷信息系统
防雷信息系统安装等级
措施完整效(防雷接防雷保安器)
( )
□□否
六信息安全组织架构岗位职责
第章 总
第条 效实施信息安全理保障实施单位信息安全单位部建立信息安全理组织架构明确相关责岗位职责特制定规定
第二章 信息化领导组
第二条 落实国家信息化安全建设方针政策根安徽省xx市相关文件求(xx市民政局)成立网络安全信息化领导组设置相应职部门员负责级信息系统安全理工作具体信息安全组织架构岗位设置:
组织
员组成
网络安全信息化领导组
组 长: 书记
副组长: 副书记
网络安全信息化组成员
安全理员:
系统理员:
审计理员:
网络安全信息化领导组办公室
:
网络安全信息化领导组
组 长: 书记
副组长: 副书记
组织
员组成
网络安全信息化领导组办公室
:
网络安全信息化组成员
安全理员:
系统理员:
审计理员:
() 网络安全信息化领导组
网络安全信息化领导组(xx市民政局)信息安全工作高领导决策机构负责单位网络信息安全工作工作进行整体协调
(xx市民政局)网络安全信息化领导组(简称:领导组)负责组织落实层决策领导单位员落实具体网络安全信息化相关工作工作职责:
1)领导组负责领导落实国家安徽省xx市三层面提出安全建设总体规划制定单位总体规划
2)国家安徽省xx市三层面信息安全总体方针指导组织制定单位信息系统安全策略审批报信息系统安全策略
3)负责组织细化级规章制度制定相应程序指南监督落实规章制度
4)负责单位信息系统安全理层员权限授予工作
5)负责审阅信息安全工作报告负责单位重安全事查处汇报工作
(二) 网络安全信息化领导组办公室
领导组设领导组办公室(简称:办公室)办公室成员单位科室负责信息员组成(xx市民政局)队伍建设科科长担办公室具体负责网络安全信息化务制定落实工作具体工作职责:
1)承办领导组日常事务负责组织制定实施信息安全策略理制度
2)负责组织制定实施信息安全技术方案
3)负责组织实施信息安全运行监控审计
4)负责组织进行信息安全教育培训
5)负责组织制度落实情况检查责追究奖励工作
6)负责组织信息安全档案建立理
(三) 网络安全信息化组成员
信息安全理执行组负责信息系统建设运行维护程中信息安全理具体执行工作具体包含岗位职责描述
n 安全理员
1)负责组织建立实施维护信息安全策略标准规章制度项操作流程
2)负责安全产品购置提供建议负责组织制定种安全产品策略配置规负责踪安全产品投产情况
3)负责指导监督系统理员普通户安全相关工作
4)负责组织信息系统安全风险评估工作定期进行系统漏洞扫描形成安全评估报告
5)根机构信息安全需求定期提出机构信息安全改进意见报信息安全理部门
6)定期查信息安全站点安全公告踪研究种信息安全漏洞攻击手段发现影响信息安全安全漏洞攻击手段时时做出相应策通知指导系统理员进行安全防范
7)负责组织审议种安全方案安全审计报告应急计划整体安全理制度
8)负责参安全事调查
n 系统理员
1)负责机操作系统安全配置(包括时修补系统漏洞)日常审计系统应软件安装系统层面实现户资源访问控制
2)负责应系统日常安全检查日常维护联系应软件开发厂家
3)协助安全理员制定机操作系统安全配置规落实执行
4)负责机设备日常理维护保持系统处良运行状态
5)安全审计员提供完整准确机系统运行活动日志记录
6)机系统异常障发生时详细记载发生异常时现象时间处理方式时报
7)编制机设备维修报损报废计划报领导审核
n 安全审计员
1)负责定期机系统网络产品应系统日志文件进行分析审计发现问题时报
2)负责信息安全保障理活动进行独立监督提供部独立审计评估工作根需协外部审计评估机构进行评估认证决策领导提供信息系统信息安全保障执行状况客观评价
七员理制度
第章 总
第条 规范目标建立员理制度规范员理程安全控制
第二章 术语定义
第二条 单位员指单位正式员包括试期员调员等
第三章 组织职责
第三条 办公室兼单位力资源部门(均称力资源部门)负责单位工作员入职岗离岗等程涉信息安全理
第四章 入职理
第四条 力资源部门确保员前适岗位描述条款条件中明确说明应履行信息安全职责确保员理解信息安全职责确保员承担角色符合单位信息安全求
第五条 力资源部门工作员候选员进行充分审查特关键岗位关键职务员会量接触敏感信息员
第六条 员筛选
() 力资源部门负责组织单位职位候选员进行筛选候选员涉信息安全方面资料核实背景调查
(二) 工作员背景调查应申请职位时进行调查包括容:
1 否适推荐申请工作力职业道德情况
2 监部门求
3 需调查容
(三) 科室负责根科室岗工作员特殊求提出必附加调查容反馈力资源部便选出合适员
第七条 出背景调查目收集处理调查员信息时应违反相关法律法规前提进行
第五章 岗理
第八条 工作员需申请单位网络访问权限应系统帐号必须通相关科室审批通授予工作需权限
第九条 工作员工作岗位发生变化时必须通相关科室审批访问权限进行相应调整
第十条 力资源部门应单位工作员进行工作职相关信息安全意识培训教育
第六章 纪律处理程
第十条 违反纪律员做处理:
() 信息安全违规员正式纪律处理前应信息安全违规确认
(二) 正式纪律处理程应确保正确公公正怀疑信息安全违规工作员
(三) 部工作员具体纪律处理执行部门行政处罚理规定
第七章 调动理
第十二条 员调动调入科室提出调动申请调出科室负责相关领导力资源部批准发起员转岗流程
第十三条 转岗员科室负责监督完成工作交接工作资料交接包括办公电脑中业务资料交接工作
第十四条 调岗员岗位变动系统权限相关规定进行申请
第十五条 力资源部门负责流程抄送相关业务科室协调科室完成新入员业务系统调整审批工作力资源部门完成具体权限调整操作
第十六条 转岗员完成工作交接果新工作需原工作中业务资料办公电脑硬盘力资源部门负责进行数清清方式包括格式化专工具进行安全擦果新工作需原工作中业务资料办公电脑硬盘进行数清工作
第十七条 果员转岗限单位范围力资源部门负责转岗员办理办公电脑办公品变动手续果员机构间调动力资源部门办理办公电脑办公品回收手续
第十八条 果员机构间调动财务部负责转岗员财务欠款追缴未报销帐目报销工作
第八章 离岗理
第十九条 变更终止职责
() 应清晰定义分配工作员变更终止职责
(二) 变更终止传达应包括安全求法律职责必时应包括保密协议规定职责工作员结束持续段时间然效条款合等
(三) 必时工作员合中应包含相关职责义务终止然效容保密方面求
(四) 部工作员变更终止科室力资源部等负责处理
第二十条 资产
() 工作员终止合协议时应单位资产需交接信息资产包括计算机设备工作证纸质文件资料存储电子介质中文档数等转岗离岗员办公电脑中数科室决定处置办公电脑操作系统盘力资源部门相关科室安全理员进行格式化
(二) 工作员单位工作期间利单位信息资产产生信息知识产权约定外属单位
第二十条 变更撤销访问权限
() 工作员信息信息处理设施访问权限应岗位发生变更时进行调整终止时注销删
(二) 应注销删改变访问权容包括物理访问授权逻辑访问授权必时信息信息处理设施访问权限进行变更终止前需进行风险评估
八网络安全培训考核理规定
第章 总
第条 提高单位员工网络安全意识相关员安全技单位工作员宣讲网络安全理项法规制度风险降低明确网络安全培训考核理程职责特制定规定
第二章 组织职责
第二条 网络安全培训考核工作队伍建设科负责组织筹备须遵循相关培训制度
第三条 安全理员负责具体落实具体培训考核容培训考核形式登记汇总相关事宜
第三章 安全培训理程序
第四条 安全培训包括安全意识培训安全技培训
()安全意识培训会象调整建议积极参某情况求关第三方机构组织参加培训容包括:
Ø 部门工作员进行必网络安全教育培训解掌握网络安全法律法规加强安全意识
Ø 单位组织举办年次业务学班专业员进行业务培训
Ø 根单位业务发展需相关业务骨干员组织精准送培相关业务单位进修
Ø 强化岗培训效果单位定期组织种形式培训考核
(二)安全技术培训针信息处理设备者理员进行系统安全配置开发安全配置等IT安全技术相关容
第五条 培训类型采部培训外部培训(聘请外部专家)专家顾问专业员员工进行培训网络安全培训应安全理员进行汇总登记
第六条 安全培训工作安排:
()安全意识培训
Ø 安全意识培训工作应队伍建设科负责组织准备部门配合开展
Ø 单位工作员应该积极参加关网络安全方面培训
Ø 新进工作员应入职3月参加网络安全培训
Ø 关键敏感岗位员变动应开展相关岗位培训
Ø 网络安全政策制度标准重调整更新必须组织相关培训保证员时解掌握变更容
Ø 户信息技术设施前(包括软件硬件)必须接受完整培训特应包括单位项规定
(二)安全技术培训
Ø 队伍建设科负责组织培训工作安全技培训教材课程应安全理员负责保证需参加培训员时参加必安全技培训
Ø 系统新建升级户产生影响时必须事先开展必针户培训时掌握新安全技术
第五章 安全考核理程序
第七条 网络安全考核少年进行次全面网络安全考核队伍建设科负责组织相关员成立考核组进行网络安全考核工作
第八条 安全理员制定关键网络安全关键岗位考核容考核容应包括安全理制度落实情况安全培训情况安全技相关容
第九条 网络安全关键岗位考核容应根岗位进行区分
九第三方机构安全理规定
第章 总
第条 加强第三方机构安全理明确定义第三方机构必须遵守安全理规定服务交付安全求等特制定文件
第二章 术语定义
第二条 第三方机构指进入单位部提供相关技术服务非单位员(包括限供应商合作厂商服务商)
第三条 第三方机构员分时访员驻场外包员时访第三方机构员指单位时间周期较短员包括进行业务交流员时访参观员等驻场外包第三方机构员指访时间较长第三方机构技术服务员包括项目建设员外信息系统值守员外信息系统维护员等
第三章 组织职责
第四条 办公室相关业务科室负具第三方机构员理职责采谁接洽谁负责谁谁负责原
第五章 驻场外包员安全理求
第五条 驻场工作外包员应遵守单位项理制度外包合中约定种条款
第六条 驻场工作外包员应单位签署保密协议
第七条 单位驻场外包工作员种资质应相应项目单位方项目理进行审核留存复印件进行统保
第八条 聘请外包员单位部门应驻场工作外包员进行单位相关安全制度等方面培训提高外包员安全意识
第九条 长期驻场工作外包员聘请外包员单位部门应定期进行安全意识单位安全制度执行情况方面考核考核合格者应求委托外包单位调换工作员
第十条 驻场外包工作员相应项目单位项目理负责安排工位资产领申请相应账号权限申请网络访问配置信息
第十条 驻场外包员申请账号权限时应符合权限实名制原
第十二条 驻场外包员驻场办公时必须佩戴够标识外包员身份正式时工牌便安全巡查时够种员快速识
第十三条 驻场外包员访问机房等受限访问区域时应遵守单位xx市数资源理局中心机房理办法(xx市民政局)机房理办法(xx市民政局)工作环境理规定关规定机房理员提出申请批准单位员工全程陪方进入受限访问区域 驻场外包员进入办公区域应进行登记
第十四条 驻场外包员利单位网络服务器等资源事未允许活动单位部未授权网络扫描刺探等软件未批准情况利单位办公生产环境测试新技术新业务
第十五条 违反条款规定单位会做出调换驻场外包员追究民事刑事责等处罚措施
第六章 时访员安全理求
第十六条 单位时访员应前台保安室进行访事访访问象等容登记等访问象接登记时访应出示身份证明材料
第十七条 时访员访问单位机房等受限访问区域时应遵守单位xx市数资源理局中心机房理办法(xx市民政局)机房理办法关规定机房理员提出申请批准单位员工全程陪方进入
第十八条 时访员带电子设备未授权禁止接入单位网络信息系统
第十九条 时访员驻场外包员单位未单位许禁止外包员引领进入单位区域
第七章 外包服务质量考核评价
第二十条 单位外包项目理应采取日常考核定期考核相结合方式外部员日常考勤工作成果服务质量等方面进行评价
第二十条 单位外包项目理通外包质量考核发现提供外包服务偏差时应书面通知提供外包服务方项目理时进行调整改进
第八章 外包员离场安全求
第二十二条 外包员外包合期单位提出调离换原离职等情况应离场
第二十三条 外包员离场时完整工作交接清单接收签字证明材料
第二十四条 外包员离场前领单位资产
第二十五条 外包员离场聘请外包员单位部门应单位关流程时删外包员账户权限等
第二十六条 外包员需保密协议承诺中持续生效条款继续履行保密义务
十计算机网络保密规定
第条 加强单位计算机网络保密工作根中央省委市委保密委员会关规定求制定规定
第二条 单位成立保密工作领导组负责指导检查督促单位计算机网络保密工作单位网络安全信息化工作领导组协助工作
第三条 加宣传加强培训断增强单位工作员计算机网络安全保密意识
第四条 确定单位档案室计算机涉密计算机办公室具体理处理关涉密信息计算机(含笔记电脑)均处理涉密信息
第五条 单位涉密计算机连接政网严禁公信息网连接实行登录身份认证建立台帐
第六条 单位政务网公文交换计算机办公室专理关户名口令联网方式技术严格保密外提供
第七条 涉密信息应涉密计算机中存储处理禁止通公信息网传递必时涉密移动存储介质中暂时存储处理完毕必须清信息需存档必须保留副外处理程中产生样品纸张等必须销毁
第八条 涉密信息存储介质专严格保涉密计算机连接公信息网计算机间交叉存储介质应登记确需外出携带需单位保密工作领导组批准
第九条 单位员工作需查阅关涉密信息单位保密工作领导组批准单位专职保密员涉密计算机操作进行
第十条 利计算机公信息网发布部消息泄露国家机密制作查阅复制传播碍社会治安健康信息
第十条 单位涉密计算机公文交换计算机系统常检查发现隐患时报告处理
第十二条 单位涉密计算机维修更换报废单位保密工作领导组批准单位专职保密员监督进行
第十三条 计算机设备应安装防病毒工具具漏洞扫描入侵防护措施进行实时监控定期检测杀毒确保计算机安全正常运行
第十四条 单位涉密印机专供单位接收文电复印印关涉密资料办公室专理操作
第十五条 单位科室季度查次计算机网络保密情况单位保密工作领导组半年单位计算机网络保密情况进行次检查通报检查结果
十信息系统测试理办法
第章 总
第条 规范单位业务支撑系统理支撑系统(统称业务系统)线前测试流程线版升级测试流程保障业务系统安全稳定运行特制定办法
第二条 业务系统线运行续补丁版升级必须严格系统测试严禁未测试系统补丁版直接线运行系统测试通方进入系统验收环节
第三条 办法规范新业务系统线常规版升级前测试工作涉范围涵盖功测试性测试性测试维护性测试安全测试
第四条 业务科室组织项目相关方(项目需求部门项目开发单位系统员第三方测试员)组成系统测试组负责系统测试项工作(统称测试组)
第二章 测试组工作职责
第五条 严格软件系统测试流程完成需求申请测试执行总结评估等项测试活动
第六条 负责检查测试准入条件满足条件允许启动测试:
() 项目开发单位提交测试版必须基线化测试程中意更改
(二) 项目开发单位提交文档应档理包括开发单位系统测试报告系统需求设计文档版描述文档户手册系统安装升级手册联机帮助缺陷列表等
(三) 项目开发单位提交系统功列表须业务需求部门原始需求致
(四) 项目开发单位提交遗留缺陷列表中导致系统宕机等致命缺陷基业务新增功严重缺陷
第七条 遇测试终止条件测试组应暂停终止测试活动:
() 版初验测试(含基功验证测试缺陷回测试)未通
(二) 发现严重缺陷阻塞续量例法测试
(三) 项目需求出现重变更
(四) 测试力出现较变更
第八条 负责检查测试出口条件符合条件结束测试:
() 例执行覆盖率达100%轮测试缺陷数明显收敛系统功符合需求说明书中规定需求
(二) 系统致命问题评审发现问题总数严重问题数符合接受范围
(三) 版承诺解决致命严重紧急问题均通回测试
(四) 系统测试报告(验收测试报告)已通业务系统项目组审核
第九条 测试程中遇争议情况测试组应申请召开争议评定会议邀请相关员(测试员业务需求部门项目开发单位系统员)参加:
() 测试发现缺陷否符合接受范围否允许测试通
(二) 回测试未通缺陷否允许暂解决
(三) 测试版回时需召开会议审议
(四) 紧急情况未符合测试准入条件版否允许测试
(五) 紧急版缩短线测试时间否允许裁剪测试流程否允许适降低测试出口标准(紧急版线需标准流程进行补充测试补齐测试交付件)
(六) 缺陷认定争议(含缺陷严重级缺陷承诺解决时间)
(七) 系统功实现原始需求争议
(八) 变更已档发布文件
第十条 测试组整测试周期应进行严格配置理
() 创建独立测试理配置库配置理员负责测试程文档阶段性文档更新发布
(二) 转测试版补丁文档应配置库基线化配置理员标准制定项目版号
(三) 阶段程文件应配置库留痕发布
(四) 已档发布文件需通评估会议仲裁变更
第三章 新业务系统线测试理办法
第十条 前期工作
() 测试员应需求分析阶段解原始业务需求提出系统维护性测性需求需求功明确启动测试设计活动
(二) 业务系统项目组应启动测试设计活动前二周提交测试申请测试组信息系统测试流程求准备测试环境编写测试计划审批通启动测试活动
(三) 动化测试需求业务系统项目组应启动测试设计前三周提交动化测试申请测试组先系统进行动化行性分析信息系统测试流程求启动动化例设计工作
(四) 测试组预估测试工作量提前安排测试执行时间应少规划1月时间安排两轮系统测试轮回测试
第十二条 测试范围
() 新系统应重点考虑功性性测试
(二) 运行操作系统硬件设备系统需考虑兼容性测试
(三) 量终端客户系统需考虑系统易性维护性测试
第十三条 测试方法
() 新业务系统测试黑盒测试前台界面系统动化测试采取手工动化相结合方式
(二) 新业务系统通系统测试必须组织系统部门业务需求部门完成正式验收测试
(三) 量终端客户新系统全面线前应安排β测试实际场部署新系统选取批典型客户试段时间试期间客户发现缺陷提出意见妥善处理解决方线
第四章 常规版升级测试理办法
第十四条 前期工作
() 仅修复缺陷补丁版应启动测试活动前周提交测试申请安排12轮回测试
(二) 重功升级测试业务系统项目组应启动测试前活动前二周提交测试申请测试组信息系统测试流程求准备测试环境编写测试计划
(三) 重功升级版原测试例覆盖全系统应少规划月测试设计时间安排两轮系统测试轮回测试
第十五条 测试范围
() 重功升级测试功测试新增性指标系统架构较变更需重点考虑性稳定性测试
(二) 补丁版升级测试版初验测试回测试版初验测试重点针系统基业务进行功测试回测试重点验证修复缺陷缺陷相关联业务进行功测试
第十六条 测试方法
() 常规版升级测试黑盒测试功测试优先考虑动化方式问题回适合动化测试系统采取手工方式
(二) 拥量终端客户系统业务功终端界面较变化系统测试通需安排β测试β测试期间客户发现缺陷提出意见妥善处理解决方线
十二信息安全建设理规定
第章 总
第条 规范信息安全理提高信息安全保障力水维护信息系统安全运行保障促进信息化建设根信息安全等级保护理办法(xx[2007]43号)特制定规定
第二章 适范围
第二条 规定适单位信息安全保护建设全生命周期理象信息安全建设程中理员维护员员第三方服务机构
第三章 组织职责
第三条 单位网络安全信息化领导组设立信息安全领导组负责信息安全理工作监督检查指导协调科室间协工作支持推动信息安全理工作整单位范围实施
第四条 信息安全理工作组信息安全领导组指导负责落实信息安全理工作监督检查指导信息安全理工作
第五条 安全理员负责协调组织单位信息安全理建设工作包括系统定级方案设计等级备案等级测评等工作
第六条 单位相关科室员协助配合安全理员进行信息安全建设工作
第四章 系统定级
第七条 信息系统定级坚持定级保护原信息系统安全理应根信息系统国家安全济建设社会生活中重程度信息系统遭破坏国家安全社会秩序公利益公民法组织合法权益危害程度等素确定
第八条 信息系统安全保护等级分五级:
n 第级信息系统受破坏会公民法组织合法权益造成损害损害国家安全社会秩序公利益
n 第二级信息系统受破坏会公民法组织合法权益产生严重损害者社会秩序公利益造成损害损害国家安全
n 第三级信息系统受破坏会社会秩序公利益造成严重损害者国家安全造成损害
n 第四级信息系统受破坏会社会秩序公利益造成特严重损害者国家安全造成严重损害
n 第五级信息系统受破坏会国家安全造成特严重损害
第九条 安全理员根GBT 222402019信息安全等级保护定级指南中信息安全保护定级素系统进行定级
第十条 安全理员制订信息系统定级报告组织相关科室关安全技术专家信息系统定级结果合理性正确性进行评审形成评审意见
第十条 评审通定级报告报送级部门进行审批时相关材料报送公安机关网安部门进行备案换取备案证明
第五章 安全检查报告
第十二条 安全方案设计阶段目标根信息系统划分情况信息系统定级情况信息系统承载业务情况通分析明确信息系统安全需求设计合理满足信息安全求总体方案制定出安全实施计划指导续信息系统安全建设工程实施已运行信息系统需求分析应首先分析判断信息系统安全保护现状信息安全求间差距
第十三条 安全理员协调相关部门员信息系统安全建设进行总体规划制定期远期安全建设工作计划
第十四条 安全理员协调相关部门员根信息系统等级划分情况统考虑安全保障体系总体安全策略安全技术框架安全理策略总体建设规划详细设计方案
第十五条 网络安全信息化领导组负责组织相关部门关安全技术专家系统安全设计方案进行评审证(附录系统安全设计方案评审表)
第十六条 根等级测评安全评估结果安全理员协调相关员定期调整修订总体安全策略安全技术框架安全理策略总体建设规划详细设计方案等相关配套文件
第六章 系统建设
第十七条 产品采购应国家相关部门求单位相关理制度进行产品采购
第十八条 行外包软件开发项目工程实施程应xx市数资源理局软件开发理规范相关求进行理
第十九条 系统建设完成委托公正第三方测试单位系统进行安全性测试出具安全性测试报告根设计方案合求等制订测试验收方案测试验收程中应详细记录测试验收结果符合信息安全求时进行整改形成测试验收报告
第二十条 安全理员负责第三方测试单位进行理(xx市民政局)第三方机构安全理规定第三方员行准进行严格理
第二十条 安全理员组织相关部门相关员系统测试验收报告进行审定签字确认附录二系统测试验收报告评审表
第七章 系统备案
第二十二条 根xx2007(43)号文求已运行第二级信息系统应信息安全保护等级确定30日安全理员区市级公安机关办理备案手续
第二十三条 新建第二级信息系统应投入运行30日安全理员区市级公安机关办理备案手续
第二十四条 办理信息系统安全保护等级备案手续时应填写信息系统安全等级保护备案表第三级信息系统应时提供材料:
n 系统拓扑结构说明
n 系统安全组织机构理制度
n 系统安全保护设施设计实施方案者改建实施方案
n 系统信息安全产品清单认证销售许证明
n 测评符合系统安全保护等级技术检测评估报告
n 信息系统安全保护等级专家评审意见
n 部门审核批准信息系统安全保护等级意见 安全检查工具检查设备者检查部门设备运行检查员负责操作
第八章 系统测评
第二十五条 邀请具等级保护测评资质证书第三方机构单位系统进行等级保护测评等级保护测评机构应具备条件:
n 中华民国境注册成立(港澳台区外)
n 中国公民投资中国法投资者国家投资企事业单位(港澳台区外)
n 中国网络安全等级保护网推荐目录中查询事相关等保测评工作两年违法记录
n 工作员仅限中国公民
n 法业务技术员犯罪记录
n 技术装备设施应符合办法信息安全产品求
n 国家安全社会秩序公利益构成威胁
第二十六条 安全理员负责测评机构等级测评程单位相关规定进行理负责测评员安全保密进行求必时签订安全保密责书规定应履行安全保密义务承担法律责负责检查落实
第二十七条 系统运行程中定期进行等级测评三级系统少年系统进行次等级测评发现符合相应等级保护标准求时整改
第二十八条 系统发生变更时时系统进行等级测评发现级发生变化时调整级进行安全改造发现符合相应等级保护标准求时整改
第九章 系统终止
第二十九条 信息系统转移终止废弃时安全理员组织系统相关理员提出系统终止申请(附录三系统转移终止废弃申请表)单位信息安全领导组(保密委)进行审批方执行系统转移终止废弃
第三十条 审批通安全理系统属软硬件介质等敏感信息相关规定进行处理
附录系统安全设计方案评审表
日期: 年 月 日
方案名称
参员
方案描述
专家意见
附录二系统测试验收评审表
日期: 年 月 日
测试报告名称
评审员
交付物
报告容(须提交测试报告做附件):
评审意见:
评审员:
日期:
附录三系统转移终止废弃申请表
日期: 年 月 日
系统名称:
系统申请调整状态(转移终止废弃):
提出部门:
提出:
转移终止废弃原说明:
系统属科室意见:
( 签章 )
年 月 日
信息安全组领导意见:
组长签字: 年 月 日
十三项目理规定
第章 总
第条 提项目理力保障信息系统项目建设推动业务发展促进信息系统项目理工作规范化特制定规定
第二章 适范围
第二条 规定适范围包括项目立项启动计划实施监控收尾等理程
第三章 职责权限
第三条 办公室信息系统项目部门负责信息系统项目理工作参科室项目建设理
第四条 业务科室接具体项目负责具体项目阶段工作职责包括:
() 负责信息系统需求实施行性分析评估组织项目实施方案求工程实施单位正式执行安全工程程
(二) 负责牵头项目立项工作负责进行项目报批报备工作
(三) 负责项目实施务技术组织落实理工作
(四) 制定项目建信息系统线工作方案部署线投产推广工作
(五) 负责项目监控定期编制项目报告
(六) 负责技术验收项目相关文档理报办公室存档
第四章 项目立项
第五条 项目立项阶段相关工作般包括限
() 需求科室前期准备确定需求目标范围编写需求说明书明确需求必性合规性重性行性等信息部门领导提交
(二) 业务科室发起组织办公室审计部门财务部门技术专家等项目需求进行评估
(三) 拟定项目实施初步方案包括制定项目计划编制项目预算表识潜风险
(四) 确定项目前期技术业务联系
(五) 办公室会业务科室准备项目申报材料办公室完成项目报批报备流程
报批报备材料般包括限:
u 项目立项申请表
u 项目实施方案(包括项目计划项目组织架构资源情况等)
u 需求说明书
u 技术方案
u 预算编制表
u 项目关文档项目分析报告(行性必性分析)项目涉业务规定项目审批意见该项目相关前项目总结报告重会议纪等
n 项目需求科室发起项目预算申请
第五章 项目计划
第六条 项目计划阶段相关工作包括限:
() 细化项目实施方案包括细化项目范围说明书制定具体项目进度计划资源配置计划重里程碑等
(二) 细化技术实施方案
(三) 编写项目理计划书
第六章 项目实施
第七条 项目实施阶段相关工作包括限:
() 落实项目计划实施完成项目涉信息系统设计开发测试设备线 系统投产维护工作
(二) 理项目进程作项目实施程中信息发布报告
(三) 需求部门应积极配合项目实施工作包括业务需求解释业务问题协调需求变更审核户验收测试确认项目实施结果线方案等工作
第七章 项目监控
第八条 项目监控项目计划确定范围时间费资源质量风险等目标进行监测识纠正问题偏差控制出现变更项目计划推进
第九条 项目监控程中项目组应时识风险踪已识信息系统项目风险检测剩余风险配合风险理等工作开展
第十条 项目组须时收集项目信息月编制项目报告办公室汇报项目状态进展项目报告中须包括该周期项目完成工作周期项目计划项目里程碑完成情况项目重问题列表等
第八章 项目收尾
第十条 项目收尾包括结束项目相关活动般包括项目费决算项目评估项目文档整理档项目关闭等工作
第十二条 项目完工项目相关文档应整理档妥善保存项目文档包括限:
() 项目立项申请文档业务需求文档项目实施方案项目预算编制表项目分析报告项目涉业务理规定规定等
(二) 项目商务文档询价文档招投标文档合等
(三) 项目实施文档概设计详细设计技术方案操作手册测试文档等
(四) 项目理文档包括项目评估报告会议纪等
第十三条 项目相关活动均结束项目组编制项目总结报告进行项目关闭项目关闭须业务科室办公室确认
十四工作环境理规定
第章 总
第条 加强单位办公区域安全理保护部机密信息确保单位信息资产安全规范员工第三方机构员单位办公区域行特制定规定
第二章 适范围
第二条 规定适(xx市民政局)科室员工第三方机构员
第三章 术语定义
第三条 办公区域指单位部员工日常办公工作处工作区域
第四章 办公区域访问控制
第四条 应工作环境划定重办公区域重办公区域访问应严格限制未许员工擅进入严格限制办公区域设备室存储介质室等
第五条 未许授权员禁止办公区域计算机笔记硬盘存储介质移动介质带离单位
第六条 员工离职时收回员工技术资料存储介质访问权(例工卡办公室钥匙等)
第七条 接员应觉保守秘密第三方员透露业务范围外技术商务情况意承诺授权范围外行事已承诺双方达成意事宜应作正式记录
第八条 第三方机构员进入单位办公区域应遵(xx市民政局)第三方机构安全理规定中相应规定
第五章 办公环境安全
第九条 员工班桌面密级纸件文档磁介质等班前应关闭设备电源办公室公设备进行检查员工离开座位超30分钟桌面密级相关文档
第十条 密级文档应放抽屉保密柜交资料室统保存存放机密文件保密柜必须锁设置密码专统理
第十条 单独办公室员工离开办公室时必须锁门
第十二条 办公室员工时离开时必须锁门
第十三条 妥善保单位贵重物品仪器班贵重物品仪器必须存放保密柜保险柜必须锁设置密码
第十四条 员工调离部门更换办公室时必须立交办公室钥匙相关公设备
第十五条 维护员进入办公区域进行设备维修时应事先相关部门取联系维修程中应专进行监督
第十六条 复印机等设备办公室统理员工复印机等设备应关规定进行复印作废纸张应时销毁
第十七条 指定义务消防员积极配合物业部门做办公室防火安全工作配合做楼消防系统设备维护工作熟悉配备种灭火器具积极配合接受部门办公区域安全检查
第七章 办公计算机安全
第十八条 员工应觉遵守职业道德高度责心觉维护单位利益利计算机私收集泄漏单位秘密信息
第十九条 禁止员工利单位网络传播散布工作关文章评特破坏社会秩序文章政治性评
第二十条 计算机口令设置
()员工属计算机时应该设置开机屏幕保护目录享口令
(二)户口令应时包含写字母数字特殊字符组合口令长度12字符少8位弱口令(例户名姓名拼音等)写纸记录文件中
(三)口令少季度更改次重复
第二十条 计算机设备
()员工私办公计算机设备装配读写光驱磁带机磁光盘机USB硬盘等外置存储设备
(二)员工私开启办公计算机机箱确需应相应部门提出申请
(三)员工私配备工作计算机转
第二十二条 便携机
()外出办公时便携式设备处状态
(二)果物理锁定功便携式设备时应该采该功
(三)果便携式计算机设备盗应立公安机关报案
(四)允许便携式计算机关员操作防止程序数遭破坏
第二十三条 移动介质
()含敏感信息文件存放移动介质中时必须加密
(二)移动介质中长期存贮含敏感信息文件完毕必须时删必时做低级格式化者销毁
(三)通移动介质传播病毒者恶意程序
第二十四条 软件
()员工应安装单位规定拥版权操作系统工具软件私安装工作关应软件特盗版软件
(二)员工应安装运行单位规定防病毒软件时升级单位公布防病毒措施应时完成私安装运行未单位许防病毒软件
(三)果员工发现防病毒软件效清病毒应立报告关部门问题处理前禁止感染病毒文件
(四)员工制造传播计算机病毒
(五)员工安装Windows操作系统时特殊需安装IISTELNETFTP等必服务
(六)员工安装黑客工具软件安装影响破坏单位网络运行软件
(七)机保密文件应采取适加密措施妥善存放
第二十五条 网络
()未允许员工意更改IP址
(二)办公网络标准协议TCPIP非工作需启网络协议SPXIPXNETBIOS等
(三)未批准员工单位部私拨号网
(五)员工工作需计算机安装两块块网卡连接网络设备时应提出申请网络理员负责安装调试时应注意计算机启动路网关功
(六)员工应私更改网络设备连接需变动时应提出申请网络理员负责更改
第二十六条 电子邮件系统
()员工收疑电子邮件开时通知关部门处理免感染存病毒
(二)外部电子邮件附件前应进行病毒检查确保病毒
(三)收部员工发含病毒邮件进行杀毒外应时通知方杀毒
第二十七条 互联网
()员工应利单位网资源访问工作关站点特淫秽游戏反动等类型网站
(二)员工应利单位网资源载工作关文件
第二十八条 远程拨号(拨入)
()远程拨号户须严格控制应部门负责确认
(二)远程拨入单位部员工须次性口令VPN技术采回拨功
(三)远程拨号户拨入号码告知
第二十九条
()员工私开设WWWFTPTELNETBBSNEWS等服务
(二)员工私设立拨号接入服务
(三)员工间私互相转IT资源账号电子邮件账户
(四)工作岗位调动离岗时员工应动移交种应系统账号
(五)员工完成应系统操作离开工作岗位时应时退出应系统
(六)员工离开办公计算机时应计算机屏幕锁定
(七)员工果发现计算机入侵应马通知相关安全部门相关规定操作
第八章 监督检查
第三十条 科室办公区域安全理应接受关职部门监督检查计算机应接受信息安全等级保护工作组监督检查检查中提出问题时整改
第三十条 科室领导理员应部门计算机户进行效监督理违反理规定行时指正严重违反者立报
十五信息系统资产理规定
第章 总
第条 识单位信息资产指定资产责确定相关职责识资产接受信息资产进行适保护防止未授权访问特制定规定
第二章 适范围
第二条 文件适(xx市民政局)业务系统相关信息资产
第三章 术语定义
第三条 信息资产:信息系统相关组织价值事物计算机硬件软件数服务文档等
第四章 职责
第四条 业务系统理员负责信息资产分类赋值标识维修理
第五章 资产分类
第五条 信息资产识指规定属性类信息资产辨认区分包括信息资产识分类登记等项工作便理资产进行分类具体分:
() 机设备:类承载业务系统软件计算机系统操作系统包括安装服务器类应系统构建系统台软件(数库中间件群件系统商业软件台等)
(二) 网络设备:交换机负载均衡光纤转换器路器缓服务器调制解调器层交换机线APACBASHubRASVoIP网关等构成信息系统网络传输环境设备
(三) 存储设备 磁带机磁盘阵列磁带光盘软盘移动硬盘等
(四) 安全设备:VPN网关防火墙容滤网关入侵检测系统防病毒网关加密机安全网闸等构成信息系统信息安全环境设备软件
(五) 办公设备工作站台式计算机便携计算机等
(六) 业务信息技术文档等
(七) 设备印机复印机扫描仪传真机等
第六章 资产分级
第六条 信息资产安全价值资产机密性价值完整性价值性价值三部分组成
第七条 根资产业务价值性赋值等级资产划分五级级越高表示资产越重
5
高
非常重安全属性破坏组织造成非常严重损失
4
高
重安全属性破坏组织造成较严重损失
3
中等
较重安全属性破坏组织造成中等程度损失
2
低
太重安全属性破坏组织造成较低损失
1
低
重安全属性破坏组织造成非常低损失甚忽略计
第七章 信息资产标识
第八条 识出进行分类信息资产应进行标识标识方法采标签文档标识数标识等方法
第九条 信息资产进行标识时应标识信息资产名称分类资产编号资产理员重级等信息根信息资产类标识容方法
第十条 资产标识时资产编号资产分级信息维护员信息
资产编号原 址员X1X2X3
说明:
址:表示物理位置
员:表示维护员信息包括部门角色等
X1业务台信息
X2资产分类机设备网络设备等
X3资产信息分级信息
第十条 信息资产理者物理位置重级等等信息发生变更时需相应标识进行变更变更记录信息资产理者保存报办公室进行复核存档
第十二条 信息资产理者需维护负责信息分类清单定期回顾更新
第八章 信息资产维护
第十三条 办公室协助信息资产理者核实维护信息资产信息
第十四条 维护应规定求信息资产进行调查建立附件:信息资产清单记录信息资产状况档案
第十五条 信息资产属性发生变更时信息资产理者时信息资产清单进行变更保存报办公室复核存档变更包括理位置变动信息资产配置信息补丁信息等变更
第九章 闲置报废资产理
第十六条 单位部部门根工作需申请设备申请填写相应申请单部门负责审核批准设备应时返回关办公室
第十七条 单位新进办公设备办公室首先进行检查确认然编号贴设备标签方
第十八条 办公室单位台设备建立档案做详细记录设备定期维护障处理提供资料
第十九条 办公室单位台设备进行半年次定期维护维护程中发现问题须时处理
第二十条 设备出现障时设备员应时告知办公室擅处理办公室接障通知时进行障排时排障应出说明
第二十条 网络维护部门日单位局域网广域网进行检查检查路器交换机集线器调制解调器状态发现问题时解决确保网络正常运行
第二十二条 设备员爱护已设备保持设备清洁避免非法操作设备部门某种原设备进行退库时应时通知办公室
第二十三条 设备更新障等原导致设备报废时申请填写报废申请单申请报废设备应报废申请单起送交设备理员检验检验填写检验结果部门负责审核提交领导批准
第二十四条 报废设备放置指定空间办公室负责具体处理废品工作
第二十五条 旧设备利
办公室部门设备进行入库登记设备登记表中注明 种配件进行检查价值设备配件进行利
() 涉敏感信息资产级3级闲置资产应安全理员处进行备案重闲置资产中容涉敏感信息资产分级4级闲置资产中容应重资产分级4级闲置资产存储安全保密环境中
(二) 包含敏感信息介质资产级3级安全存储销毁记录纸设备介质提供收集销毁服务应注意选择合作商销毁敏感部件资产级3级做记录便保持审计踪迹
附录(xx市民政局)XXXX系统信息资产清单
(xx市民政局)XXXX系统信息资产清单
日期:
编号
名称
机架
型号
服务
操作系统
外网IP
外网IP
责部门
重程度
备注
十六存储介质理规定
第章 总
第条 标准保障存储介质信息安全存储介质标识传递访问保销毁等活动提出明确安全理规定特制定文件
第二章 适范围
第二条 规定适(xx市民政局)存储介质安全理程理象介质理员安全理员介质员
第三章 术语定义
第三条 存储介质:指单位计算机系统相关业务电子信息输出存放物理介质移动移动磁盘光盘硬盘磁盘阵列等
第四章 组织职责
第四条 系统理员负责理系统属相关存储介质标识传递访问保密销毁等理
第五条 安全理员负责单位相关存储介质理程进行监督
第五章 存储介质标识
第六条 存储介质标志必须置容易识位置标签须存储介质表面出现(xx市民政局)信息安全资产理规定中标识求进行标识
第七条 存储介质应该根分类进行标签磁带磁盘存储介质等分类标签
第六章 存储介质访问
第八条 安装存储介质时必须防止非授权访问
第九条 存储介质第三方需系统理员确认机密信息已删
第十条 必须存储介质出库入库保持记录进行控制库中移出移出请求应该完成需相关部门意注明原移出时间介质理员须介质清单进行登记
第十条 含单位部信息存储介质外部员保密严禁单位员工第三方带走更换属合作方保修范围损坏介质需合作方签订保密协议防止泄漏中保密信息
第七章 存储介质保
第十二条 办公室重介质中数软件采取加密存储根承载数软件重程度介质进行分类标识理
第十三条 存储介质保存环境求(防火电力空调湿度静电环境保护措施)
第十四条 含机密绝密信息存储介质存放保险柜里
第十五条 必须建立存储目录清单相应理负责执行盘点控制流程存储必须年盘点次磁带库权发生变化时必须进行次存储库盘点更新介质清单
第十六条 存储介质盘点检查出现差异必须报告部门领导存储介质库介质包括开空白带格式化擦媒体操作装置中必须包括清单盘点中存储介质库负责理者必须清单文档签字
第八章 介质维修
第十七条 介质送出维修前应进行申请审核确保删敏感信息维修点送专门定点单位敏感信息维修程应安排员全程监督
第九章 存储介质销毁
第十八条 计算机存储介质存储保密信息前必须进行格式化
第十九条 存储介质销毁首先提交销毁申请(附录二存储介质销毁申请表)安全理员确认方执行销毁销毁介质理员介质清单中进行备注
第二十条 果第三方服务商通存储介质提供信息求返回存储介质时保证存储介质包含容已销毁
第二十条 存储介质删保密信息必须执行重复写操作防止数恢复
第二十二条 含保密信息存储介质报废处理方式切碎者烧毁磁带磁盘光盘硬盘等存储介质报废处理方式切碎者烧毁
附录存储介质清单
日期:
序号
名称
介质途
责
时间
时间
原
备注
附录二存储介质销毁申请表
日期:
申请员:
联系电话:
销毁原销毁办法
安全理员意见:
签字:
年 月 日
十七信息系统运维监控理规定
第章 总
第条 单位开发建设网络系统机系统类应系统等(简称信息系统)单位生产营理核心支持系统实现单位决策科学执行力强调目标程控制重手段明确单位信息系统理职责提高系统运行维护水信息系统稳定运行特制订规定
第二章 适范围
第二条 规定中信息系统包括单位应系统信息化基础台机房环境应系统包括相关部门业务应软件基础台包括服务器系统软件中间件网络应系统等
第三条 规范规定集中监控室运维监控工作容运行流程员职责
第三章 术语定义
第四条 运维监控:监控应系统网络服务器系统软件中间件机房环境等运行状态
第四章 组织职责
第五条 信息系统运维监控工作办公室负责承担制定类相关理规定牵头系统理员落实相关规定实施方案
第六条 机房运维工程师:机房值守查监控信息分析判断时处理发生事件踪事件处理状态提醒职查分配事件判断分配处理踪督促事件处理编制日报调整监控重心预防重事件(事件级特严重)发生报审核
第七条 安全理员:踪重事件(事件级特严重)处理状态听取运维组汇报审核日报填写意见发生重事件(事件级特严重)时时送呈办公室审阅编制月报报审核
第五章 监控理求
第八条 监控应系统运行状态应系统状态分服务器系统软件中间件等状态组合容指标组成应系统监控指标
第九条 监控服务器运行状态包括硬件运行情况操作系统状态等等系列关键指标体现服务器运行负荷典型指标设置报警阈值
第十条 监控系统软件中间件运行状态包括数库交易系统客户端行情系统等等系列关键系统软件中间件典型指标设置报警阈值(见附件)
第十条 监控网络安全设备状态典型指标设置报警阈值
第十二条 监控机房环境温度湿度电压等关键指标设置报警阈值详见(xx市民政局)机房理办法
第十三条 典型指标设置报警阈值必须运维工程师进行调整形成相应调整变更表(见附件二)进行备案
第十四条 工作日生成运维监控理日报月生成运维监控理月报相关领导汇报时阶段性分析数调整修改运维策略针问题目设置运维工作重点提高运维水
第六章 运维监控工作流程
第十五条 安排系统运维员组组成监控组月月初办公室登记落实运维员统安排值班时间
第十六条 运维工程师少隔4时查处理事件根事件紧急程度时处理运维工程师必时召集相关技术员起处理事件保证重事件时处理完毕
第十七条 事件级分:特严重(特严重指直接影响业务核心系统信息理系统非计划停机时间超30分钟事件)严重警告般(严重警告般应监控系统定义3等级事件影响非计划停机时间产生)4等级监控系统发现严重级事件时运维工程师必须时处理报送运维领导者报送相关系统理员处理
第十八条 运维工程师踪事件处理状态时提醒相关员处理科室领导关注组工程师处理事件状态督促相关工程师时处理事件科室关注运维组事件安排状态督促运维员时完成
第十九条 运维工程师运维日报流程展开编制工作:(见附件三)
第二十条 天工作结束运维工程师编制运维日报总结天中运维工作情况汇报科室领导审核科室领导接日报日报容进行审核解监控系统运行情况填写审核意见
第二十条 月运维工程师根监控情况编制运维月报呈送办公室审阅办公室审阅月报报单位领导
十八网络系统运行理规定
第章 总
第条 保障单位网络运行安全稳定加强种网络资源理规范网络建设特制定规定
第二条 纳入规定理范围网络资源包括:IP址网络设备网络安全设备网络理设备软件网络访问权限通讯线路等
第三条 网络资源申请建设变更障处理必须遵守理规定
第二章 组织职责
第四条 工作职责包括:
() 负责单位网络系统规划建设网络资源理网络运行监控分析网络障排等
(二) 负责进入机房设备网络配置审核日常网络运行监控机房网络资源变更流程监督等
(三) 负责规定求申请网络资源发现网络障通报等
第三章 网络资源数理
第五条 项网络资源应专统理
第六条 网络IP址登记登记容包括限IP址MAC址设备类型提供服务等
第七条 网络设备软件登记登记容包括限设备名称IP址设备途访问权限等网络设备软件配置参数备份变更应立进行重新备份保存
第八条 通讯线路登记登记容包括限线路类型两端址线路编号报障电话端联系等
第四章 网络资源申请
第九条 接入业务网络需网络资源必须申请审批手续部门提出申请初步评估提出意见分配资源者报部门领导批准分配资源进入机房设备需网络变更进行流程审核方实施
第十条 新增网络访问需求规定流程提出申请发起流程果部门业务需提出网络访问需求部门负责维护员代提出申请发起流程
第五章 网络资源
第十条 需规定正确网络资源
() 意变更IP址改变网络接入位置
(二) 正确设置户密码少达三种字符组合12位台设备密码
(三) 正确安装防病毒软件配置动升级动定期扫描
(四) 正确配置操作系统动升级功求定期重启系统
(五) 禁止远程登录网络设备网络设备理应明确限定登录机员操作权限
(六) 禁止交易时间业务网网络资源进行变更操作
(七) 遵守业务网规定业务网移动介质
第十二条 员需具备基网络知识
() IP址配置网关配置
(二) 网络通断判断路踪判断
(三) 静态路添加
第六章 网络资源建设
第十三条 新增应系统新项目需网络必须网络方案草拟网络方案合理性评审网络方案安全性评估
第十四条 新增应系统项目负责部门队根业务需求开发商建议提出新增应系统项目网络建设方案
第十五条 接新增应系统项目网络建设方案先进行方案评审评审容包括限:网络结构科学合理性已网络影响数流否清晰关键设备线路冗余措施数流量估算投入运行网络监控方法等
第十六条 审核网络方案报告部门负责批准实施
第七章 网络资源变更
第十七条 业务需求调整网络资源需求员提出网络资源变更申请流程
第十八条 安全理员接申请审核报批进行办理原涉单位业务网络变更必须非交易时间操作
第十九条 重设备重应系统关网络变更操作前需进行公告告知关维护员操作中需记录操作程操作需通知相关员进行测试
第八章 网络障处理
第二十条 员监控员发现网络障立通报安全理员
第二十条 安全理员接障报告网络障应急处理流程进行障排
第二十二条 障处理处理员填写网络障申报处理表根障性质求填写信息系统事件档案障报告报部门存档
十九系统帐号权限理规定
第章 总
第条 加强(xx市民政局)信息系统户理提高户安全理水提出信息系统户帐号理程中安全求文包括通求特权户普通户求口令理求
第二章 适范围
第二条 文适(xx市民政局)业务系统户理员系统理员
第三章 术语定义
第三条 帐号指访问系统资源户系统中标识分应系统帐号操作系统帐号数库帐号等
第四条 访问权限指帐号赋予访问系统资源系统功权利
第五条 超级理员帐号特权帐号:指系统具超级权限帐号包含限UNIXLinuxrootWINNTadministrators组成员数库DBA等户
第六条 普通帐号:户维护访问系统实现日常操作帐号常见户类型
第四章 组织职责
第七条 (xx市民政局)办公室负责户帐号权限安全理工作
第五章 通原
第八条 系统访问必须授权未授权情况系统中运行未审批程序授权通书面文件通员工岗位分工等方式实现
第九条 系统应采户名密码认证方式实现登录控制系统访问应唯帐号口令
第十条 系统中应建立享帐号帐号唯户相应拥帐号户意帐号交
第十条 帐号权限分配应遵循满足需求授权原 户分配权限时 进行系统理操作权限进行授权避免分配关更权限
第十二条 关户登陆帐号权限理相关操作系统中留日志日志少保留3月
第十三条 创立新户角色户组户角色定义进行修改时应考虑相容职责分工原例操作员审核员分离开发员维护员分离等
第十四条 员工工作调动离职时系统中帐号应立撤销继续帐号分配
第十五条 开发员时生产环境中系统帐号需必须安全理员提出申请安全理员意系统理员时开启时帐号开发员访问生产系统时必须系统维护员访问进行监督访问结束时删帐号更改口令操作日志进行审阅
第十六条 果系统中存第三方厂商员帐号情况应第三方厂商签订相关安全保密协议合理确保第三方厂商够执行(xx市民政局)安全理求职责相容求果外部员需通远程登录访问系统进行操作更新安全理员提出申请(附录(xx市民政局)业务系统时帐户申请表)相关系统理员时开通远程登录功操作完成系统理员应时终止远程登录
第十七条 部分系统接口原系统中预设户帐号应接口程序脚相关设置进行加密实施访问控制防止未授权访问
第十八条 系统应分级理设立特权帐号时普通帐号帐号分安全等级进行理定期检查户帐号权限重点检查特权帐号否存特权时限期
第十九条 系统理员帐户进行登记(附录二(xx市民政局)业务系统帐户清单)根需定期进行审查更新
第六章 特权帐号理
第二十条 业务系统特权帐号负责相关工作系统理员持妥善保存
第二十条 系统维护需特权帐号系统理员特殊原够现场实施特权帐号登录操作系统理员指定时特权帐号处理问题务完成系统理员应立更新相应特权帐号密码收回特权帐号权限
第二十二条 服务提供商产品厂家技术员等第三方员系统进行维护时果需特权户系统理员通设置时口令方式第三方员授权特权帐号授权期立通更改特权帐号口令收加特权帐号
第二十三条 相关系统理员果离职应立更新持特权帐号密码
第七章 普通帐号理
第二十四条 系统理员根少权限原审批帐号权限申请相关部门复审系统理员执行帐号权限操作
第二十五条 系统户离职岗位调整该户直接领导必须通知系统理员系统理员进行户信息调整时更新帐户清单
第二十六条 户离职岗位调整该户直接领导未通知系统理员该户造成损失该户直接领导负责
第二十七条 普通户日常维护工作系统理员负责
第八章 口令理
第二十八条 帐号口令拥者必须严格确保口令安全保密性旦迹象表明口令泄露户必须立修改口令
第二十九条 系统中帐号口令应避免弱口令口令长度低8位须数字字母特殊字符组成少3月进行更新
第三十条 帐号初始口令应安全途径告知帐号者帐号者首次登录系统时应立修改帐号口令
第三十条 户忘记口令时理员必须该户进行适身份识提供时口令
第三十二条 口令系统中保存传输时必须采取安全措施保证帐号安全性例口令进行加密等 非安全保否口令记录纸张等切视介质
第三十三条 程序帐号密码需保存配置文件里时文件属性应置读应程序访问
第九章 检查监督
第三十四条 业务系统安全理员负责检查监督生产系统口令理少3月进行1次检查
附录(xx市民政局)业务系统时帐户申请表
(xx市民政局)业务系统时户申请表
日期:
申请员:
联系电话:
申请原期限途:
系统理员意见:
签字:
年 月 日
附录二(xx市民政局)业务系统帐户清单
(xx市民政局)业务系统帐户清单
日期:
序号
帐户名称
帐户类
属台系统
途
员
备注
二十补丁理规定
第章 总
第条 加强单位信息系统安全补丁理工作规范信息系统安全补丁识安装程降低信息系统安全漏洞带安全风险提高信息系统抗攻击力特制定规定
第二章 适范围
第二条 规定适(xx市民政局)系统TCPIP网络(生产环境办公等非生产环境)
第三条 规定适象(xx市民政局)系统信息安全理员系统负责理员IT 设备员工
第三章 术语定义
第四条 补丁针某具体系统漏洞安全问题发布专门解决该漏洞安全问题程序通常称修补程序
第四章 组织职责
第五条 系统理员负责协调安全补丁测试加载回退负责补丁加载监督验证
第六条 安全理员负责补丁理程中进行监督
第五章 补丁获取
第七条 安全理员系统理员负责正式渠道获取安全补丁正式渠道包括企业发产品厂商提供建议网站载安全补丁负责安全补丁进行完整性校验确保获取安全补丁软件未修改
第八条 踪信息系统补丁信息踪手段包括限:
() 定期踪信息资产厂家补丁发布网站者新补丁信息少月查询次
(二) 定期通安全漏洞扫描器扫描信息资产漏洞缺失情况少季度扫描次
(三) 相关信息资产厂家建立补丁通告协议
(四) 补丁发布两周获取补丁信息
(五) 购买新系统设备时候进行补丁检查确保厂家已安装较新补丁
第六章 补丁测试
第九条 业务系统属基础台相关系统补丁加载前必须进行补丁测试
第十条 补丁测试必需测试环境中进行测试程测试结果保留记录备查测试没通补丁生产系统中加载
第十条 具备测试条件补丁加载制定提交加载程风险规避方案确保加载成功时系统恢复
第十二条 补丁测试容包括补丁安装测试补丁功性测试补丁兼容性测试补丁回退测试:
() 安装测试测试补丁安装程否正确误补丁安装系统否正常启动
(二) 补丁功性测试测试补丁否安全漏洞进行修补
(三) 补丁兼容性测试测试补丁加载否应系统带影响业务否正常运行
(四) 补丁回退测试包括补丁卸载测试系统原测试
第十三条 系统设备理员负责组织进行补丁测试工作安全理员负责组织办公机补丁测试工作重生产系统进行补丁测试工作必须安排相关厂商进行配合
第十四条 系统设备理员需补丁测试结果提交科室负责进行审核业务系统补丁安装登记表中进行登记审核通进行补丁加载
第七章 补丁验证档
第十五条 补丁安装完成系统设备理员必需查系统信息确保安全补丁已成功加载
第十六条 生产环境服务器必须加载补丁系统计划验证方案进行严格测试验证确保补丁加载影响系统性确保项业务操作正常
第十七条 (xx市民政局)办公电脑补丁安装前必须做备份确保补丁回退措施
第十八条 补丁加载周系统设备理员必须加强系统性事件进行密切监控
第十九条 系统补丁加载进行档处理备份加载补丁包需进行补丁理重信息资产(服务器操作系统数库网路设备安全设备应系统等)建立补丁加载记录没加载补丁标注原相应防范措施
附录 业务系统补丁安装登记表
________业务系统补丁安装登记表
日期:
系统名称
补丁名称
补丁安装时间
安装申请
安装审批
简描述补丁更新原
二十信息系统日志理规定
第章 总
第条 加强(xx市民政局)信息系统日志数理工作真实效保存类日志确保数保密性完整性性特制定文
第二章 适范围
第二条 文件适(xx市民政局)系统理员员
第三章 术语定义
第三条 日志包括业务系统中存储机系统日志设备日志业务系统日志等基础环境日志
第四章 组织职责
第四条 安全理员负责牵头制订相关日志理策略
第五条 系统理员负责执行机系统业务系统日志理策略数库理员负责数库日志理
第六条 网络理员负责执行网络设备日志理策略安全理员负责执行安全设备日志理
第五章 通求
第七条 日志关员意察日志身需保持完整性非授权员更改日志需保持性做备份便审计时
第八条 日志需少包括容:
() 户帐号
(二) 登录退出日期时间
(三) 识出终端身份代号址
(四) 记录相关系统访问成功失败登录日志
(五) 成功拒绝处理数资源访问登录相关记录
第九条 统日志理便审计应建立时间步服务器重系统日志进行时间步
第十条 应建立日志服务器日志服务器容量磁盘实施日志进行收集保存日志传送通SNMPSYSLOG等方式
第十条 日志维护理结果必须周进行检查发现疑滥安全性事情况发生时问题进行分析踪影响较错误日志必须时相关部门负责汇报
第十二条 业务系统运行维护员应6月运行日志审计数进行分析便时发现异常行
第六章 机系统日志理
第十三条 机系统日志操作系统日志数库日志组成
第十四条 机日志访问权限进行控制开审计选项防止非法访问
第十五条 系统理员应生产环境类机日志进行备份涉重机密数应备份存储介质进行异保存机系统日志保留6月数库理员数库进行理日志保留期限6月
第十六条 部门需查阅机系统日志应(xx市民政局)信息系统变更理规定提交变更申请系统理员数库理员调出指定机日志非生产环境查阅完成非生产环境删
第七章 业务系统日志理
第十七条 应业务系统服务器进行配置运行脚日日志集中发送日志服务器
第十八条 业务系统日志访问权限进行控制开审计选项防止非法访问
第十九条 日志文件日志服务器集中保存日志保留期限6月
第二十条 部门需查阅业务系统日志应部门负责组负责提出申请相关负责意系统理员负责相关日志收集通查询保留方式进行发送邮箱查阅完成申请员必须时日志进行删
第八章 设备日志理
第二十条 设备日志防火墙路器交换机负载均衡设备通信设备等产生日志
第二十二条 应设备进行配置运行脚日日志集中发送日志服务器
第二十三条 设备日志访问权限进行控制开审计选项防止非法访问
第二十四条 日志文件日志服务器集中保存日志保留期限6月
第二十五条 部门需查阅设备日志应部门负责组负责提出申请相关负责意相关理员负责相关日志收集通查询保留方式进行发送邮箱查阅完成申请员必须时日志进行删
二十二防病毒理规定
第章 总
第条 加强(xx市民政局)信息系统服务器终端PC机防病毒理保证信息系统稳定快速安全运行提高全体员工防病毒意识落实全体员工防病毒责制定规定
第二章 适范围
第二条 标准规定办公室计算机病毒防治理容
第三条 标准适办公室计算机设备操作
第三章 术语定义
第四条 计算机病毒:计算机病毒蓄意编制种寄生性计算机程序计算机系统中生存通复制传播定条件激活计算机系统造成定损害甚严重破坏病毒窃取计算机设备中重信息
第四章 组织职责
第五条 计算机病毒防治工作办公室负责承担制定类相关理规定研究类计算机病毒防治技术牵头实施负责检查考核奖惩
() 监(xx市民政局)防病毒情况
(二) 监督防病毒产品部署
(三) 组织计算机防病毒教育培训
(四) 负责防病毒规定制定维护
(五) 计算机防病毒情况进行检查
(六) 户报病毒应追踪根源查找病毒传播者
(七) (xx市民政局)提供相关重突发性病毒预警发布
第六条 安全理员组织职责
() 负责防病毒专业安全厂商保持联系
(二) 监督审核(xx市民政局)防病毒情况
(三) 负责维护理防病毒服务器
(四) 配置查杀策略升级策略
(五) 天早晨检查防病毒服务器病毒定义更新
(六) 周五早晨检查网络中病毒发作情况
(七) 负责计算机病毒预警发布
(八) 接受户计算机病毒报告进行相应诊断分析处理记录备案
(九) 月填写防病毒系统运行情况报告提交信息安全领导组
第七条 系统理员组织职责
() 理计算机发现疑计算机病毒现象时时网络理员报告配合网络理员进行病毒清处置
(二) 服务器PC防病毒软件安装
第五章 防计算机病毒目
第八条 计算机病毒尤恶性病毒具强破坏性危害性病毒发作时造成计算机系统软(硬)件破坏瘫痪计算机法正常工作计算机病毒防治工作保证类计算机系统安全类重文档受病毒破坏
第九条 目前已发现窃取计算机重信息计算机病毒计算机病毒防治工作利单位类计算机设备重信息安全保密
第六章 防病毒理容
第十条 办公室生产环境系统计算机病毒产品办公室统购买发放系统理员安全理员规定指定点载防病毒软件
第十条 系统应落实专负责部门计算机病毒安装查杀工作报办公室办公室备案员发生变更调整时应时报办公室办理变更登记
第十二条 办公室通知系统(部门)进行计算机防病毒产品安装升级办法指导升级工作防病毒软件中心应设置动扫描工作安全理员确认扫描结果
第十三条 时检查防病毒软件病毒库升级更新情况
第十四条 订购专业安全厂商安全通告服务时获取病毒预警信息
第十五条 办公室半年次进行检查信息系统种产品恶意代码库升级情况进行记录机防病毒产品防病毒网关邮件防病毒网关截获危险病毒恶意代码进行时分析处理形成书面报表总结汇报理计算机发现疑计算机病毒现象时时安全理员报告配合理员进行病毒清处置
第十六条 立解决病毒问题办公室时组织协相关技术业务员进行踪解决时联系防病毒厂商问题解决前快采取相应措施阻止事件进步扩
第十七条 计算机病毒引起计算机信息系统瘫痪程序数严重破坏等重较事应做现场保护工作参(xx市民政局)信息系统应急预案理规定进行汇报处置
第七章 防病毒应规定
第十八条 系统理员禁止私安装非法软件卸载安装防病毒软件
第十九条 系统理员禁止运行未审核批准软件外(:网络载移动磁盘等介质)程序文档应运行开前进行计算机病毒检测清
第二十条 web方式接收电子邮件时意开历明疑电子邮件邮件系统接受带附件邮件时开启防病毒软件邮件接收监控功
第二十条 系统员工遇怀疑发生防病毒软件查杀病毒事件时应第时间报告办公室监部门
第八章 惩罚制度
第二十二条 意制造传播计算机病毒触犯国家关法律规定员相关部门国家关法律法规进行处罚
第二十三条 违反标准规定造成计算机系统瘫痪严重影响系统产生严重果视情节轻重办公室关规定责部门实施处罚
第二十四条 标准执行情况列入单位信息化单项考核中
附件:病毒事件报告表
病毒事件报告表
序号:________ 日期:____年__月__日 审核:________
病毒事征兆
发现报告员
发现报告时间
报告象
现象描述
备注
发现员工填写
病毒处理
处理
员
处理
时间
指导
员
病毒处理
具体容描述
备注
结果采取措施
安全
理
员填
写
病毒检查
容
否安装防病毒软件杀毒软件品牌
防病毒软件否新病毒码
反馈信息:
备注:
二十三信息安全密码理规定
第章 总
第条 满足(xx市民政局)信息系统密码安全理需特制定理办法
第二章 帐号设立求
第二条 系统求
() 办公室操作系统业务系统数库网络设备等均需支持基帐号访问控制功
(二) 需口令应软件业务软件需口令文件提供妥善保护
第三条 帐号申请原
() 授权户申请系统帐号
(二) 系统帐号设立必须规定相应流程规定进行
(三) 员工申请帐号前应该接受适培训确保够正常操作避免系统安全造成隐患
(四) 帐号相应权限应该满足户需原户职责关权限
(五) 确工作需必须申请系统帐号单位外部员必须单位领导批准单位正式员工作安全责果需接触办公室秘密信息必须通技术部审批签署保密协议
(六) 系统帐号必须区分责责必须细化部门组作责
第四条 公帐号
() 系统应严格限制开设公帐号般情况公帐号具访问保密信息系统写权限
(二) 公帐号应该设立责负责帐号正常维护
第五条 匿名帐号
() 匿名帐号允许访问系统中公开办公室益资源访问部公开秘密等级资源
(二) 匿名户系统访问必须详细记录
第四章 口令设立求
第六条 口令生成
() 系统帐号分配时必须时生成相应口令帐号起传送户
(二) 户接受帐号口令必须马修改口令时间存没口令帐号非该帐号已失效
(三) 系统帐号验证口令作证系统果帐号名确定公开规产生口令应公开口令
(四) 理员传递帐号口令时应采取加密安全传输途径保证口令会中途截取
第七条 口令设立原
() 帐号口令必须具足够长度复杂度口令难猜测
(二) 帐号口令必须必时间次数循环
(三) 帐号口令间应没直接联系保证前口令推知现口令
(四) 帐号前两口令间相部分应量减少减低前口令分析出口令机会
(五) 帐号口令应取意义词语符号者姓名生日易猜测信息
第八条 口令低标准
() 普通户口令长度低8位10口令重复口令中必须包含字母数字
(二) 理员超级理员帐号口令长度低8位10口令重复口令中必须包含字母数字口令中符号出现2次口令中相位置字符相3口令意义单词短语
第五章 变更取消求
第九条 帐号
() 帐号限申请帐号程中声明禁止帐号
(二) 帐号系统正式前必须更改原系统中缺省帐号口令保证正式环境安全
(三) 帐号程中帐号访问工作关资源
第十条 帐号权限变更
() 帐号工作职责发生转变造成现职责现系统中职责时应申请权限修改理员发现户具工作需权限直接停止余权限
(二) 帐号工作职责发生转变需系统资源情况应申请关闭帐号关闭帐号需转移帐号责
第十条 口令修改
() 帐号应定期修改帐号口令修改口令间隔应标准相关规定标准没规定户间隔应6月
(二) 帐号户必须理员求更改口令时进行更改口令果户拒绝配合理员通知户关闭户帐号保证系统安全
(三) 帐号户丢失遗忘口令必须通规定流程理员申请初试化口令户接回执应马更改口令
(四) 帐号户求口令修改方式必须确保户身份理员必须记录
(五) 理员没户申请时候私更改户帐号口令非办公室技术部需
(六) 系统超级理员帐号口令属系统高机密应该严格限定范围员确工作需超级理员帐号口令应超级理员帐号口令责申请口令完成操作责更改口令
第十二条 帐号取消
() 户果职责变动离岗需系统权限须帐号移交责原岗位应申请帐号销户理员取消权限
(二) 户离职理员应关闭户系统中权限
第六章 维护求
第十三条 密码口令理
() 密码口令纸质介质明文电子数保存通电子邮件传输
(二) 缺省设置密码
(三) 密码告诉
(四) 果系统密码泄漏必须立更改
(五) 享超级户口令户组适工具su
(六) 系统集成商施工期间设立缺省密码系统投入前删
(七) 密码加密形式保存加密算法强度高加密算法逆
(八) 输入时密码显示出
(九) 系统应该强制指定密码策略包括密码短效期长效期短长度复杂性等
(十) 系统理员外般户改变户口令
(十) 果需特殊户口令(说UNIXOracle)禁止通该户进行交互式登录
(十二) 强制户第次登录改变口令
(十三) 求较高情况强度更高认证机制例:双素认证
(十四) 果话密码生成器帮助户选择口令
(十五) 定时运行密码检查器检查口令强度保存机密绝密信息系统应该周检查次口令强度系统应该月检查次
第十四条 信息系统户责义务
() 户义务确保口令安全系统帐号口令泄漏时避免弱口令
(二) 便携式计算机户应设置开机BIOS口令
(三) 远程登陆户确保口令保留计算机
(四) 信息系统中帐号口令应
(五) 公开口令全部部分非种行会影响系统帐号安全性
(六) 严禁通手段非法取帐号口令进入系统违反者应进行严厉制裁直追究法律责
(七) 帐号口令告权帐号果户种行导致帐号造成办公室信息系统影响帐号持造成影响行实施负相责
(八) 严禁利系统安全漏洞访问权限外资源发现立严惩
第十五条 系统理员责义务
() 确保匿名帐号外系统户必须口令
(二) 定期审计检查系统户数量权限
(三) 确保系统网络设备默认帐号口令
(四) 确保关键应服务器启口令强制策略
(五) 户进行口令安全培训
(六) 建议理员机帐号口令
第七章 流程理求
办公室部员信息系统帐号开户权限变更流程进行:
() 首先户提出书面申请详细列出需权限部门领导审批申请权限工作需
(二) 果户申请系统规定需高级部门审批权限需部门高级审批
(三) 果必系统中业务部门负责员进行户求否合理审批
(四) 然安全负责员审核安全性相应负责员进行开户操作审批审批环节中审批意该申请退回户申请
第十六条 非办公室员信息系统中开户非技术部规定否均流程进行:
() 接口部门责代非办公室员申请明确指明责
(二) 非办公室员接口部门部门领导进行审批
(三) 需部门领导审批
(四) 安全理员进行审批备案
(五) 业务负责审批申请合理性
(六) 相应负责员进行开户
(七) 审批审批环节中意审批意户申请退回户申请
(八) 明文规定非办公室员开户具体规定执行
第十七条 户职责变动需信息系统资源应立销户办公室部员帐号销户流程:
() 户提出申请
(二) 安全控制员审批执行(离职员帐号安全控制办员直接处理)
(三) 非办公室员帐号停止责应负责提出销户销户流程:
(四) 帐号责提出申请
(五) 接口部门审批
(六) 技术部审批备案
(七) 安全理员操作
第十八条 例外情况
() 安全理员系统安全原紧急情况部门允许情况流程执行帐号操作
(二) 系统升级迁移等情况相应部门认情况直接操作流程
二十四变更理规定
第章 总
第条 加强单位信息系统变更理程中安全理规范变更操作降低系统变更风险特制定规定
第二章 适范围
第二条 规定适象信息系统变更理程包括变更申请受理审批实施程理象(xx市民政局)相关业务部门信息安全等级保护工作领导组
第三章 术语定义
第三条 理环境指(xx市民政局)信息系统理维护范围类系统支持运行需系统网络设备机房基础设施等
第四条 理变更指理环境实施变更理变更分技术变更业务变更中根变更紧急程度分紧急变更常规变更
第五条 技术变更指设备系统网络应软件系统操作流程等配置系统参数改变
第六条 业务变更指理系统提供业务服务数改变载查询例:业务品种客户信息客户数等
第七条 紧急变更指理事件问题引发第三方(含监机构合作伙伴)求急需处理变更
第八条 常规变更指紧急变更外变更
第九条 根变更影响业务服务类型变更影响范围分三级:
() 级变更:影响重业务功影响网络性影响整体形象变更:重业务重功网络割接升级重安全补丁升级重配置变化网络系统重改变
(二) 二级变更:影响系统部分功:般性系统升级系统配置变化服务象变化网络系统局部(非重部分)变化
(三) 三级变更:整体影响部门业务系统影响:般性功变化般性安全补丁范围变化
第四章 组织职责
第十条 (xx市民政局)相关业务部门负责根求提出业务变更申请信息安全等级保护工作领导组业务变更进行审批协助进行业务变更实施
第十条 办公室负责系统技术变更申请审批受理组织相关员进行变更实施
第五章 变更申请
第十二条 变更申请应规范规定格式提交变更申请(附录变更申请单)变更申请需申请部门负责批准
第十三条 变更申请应详细填写变更原变更求变更紧急程序变更类型
第十四条 变更申请时间:
() 技术变更提前二工作日申请
(二) 业务变更提前三工作日申请
第十五条 变更申请根理系统中功点变更分提出变更申请避免变更中涵盖系统变更动作
第六章 变更受理
第十六条 类变更统信息安全等级保护工作领导组负责受理
第十七条 素填写全申请时间符合求描述清变更申请办公室退回变更申请部门员
第七章 变更方案制订
第十八条 信息安全等级保护工作领导组负责接变更申请应组织相关员填写变更实施方案计划时涉业务变更时应相关部门员研究制订评估方案应急方案
第十九条 需第三方服务商提供变更方案脚时变更申请部门应通正式渠道(例邮箱等)信息安全等级保护工作领导组提出信息安全等级保护工作领导组根变更容制定变更方案通正式渠道反馈
第二十条 变更实施计划回退方案应包含容:
() 变更日期时间(包括变更实施计划开始时间结束时间)
(二) 变更影响范围否影响理系统业务连续运行
(三) 变更中部门需配合确认工作明确变更实施员
(四) 变更实施验证方案
(五) 否完成相关技术培训操作手册操作日志修订
(六) 变更否涉配置变更
(七) 变更分析评估方案(包括风险分析隐患分析等)
(八) 变更具体实施步骤容
(九) 变更回退方案
(十) 变更应急方案
第二十条 根变更方案变更申请变更申请单中说明变更级
第八章 变更审批
第二十二条 变更审批应根级进行审批方式
()级变更信息安全领导组组长进行审批
(二)二级技术变更信息安全等级保护工作领导组领导进行审批二级业务变更信息安全等级保护工作领导组领导变更申请部门领导审批
(三)三级变更变更申请部门审批
(四)未批准变更信息安全等级保护工作领导组负责变更未批准具体原通知变更申请相关单位部门
第二十三条 业务造成影响变更需变更实施前通知相关业务部门
第九章 变更实施
第二十四条 紧急变更外理系统业务连续运行造成影响变更实施时间避开业务高峰日期特殊日期
第二十五条 具备测试条件变更测试环境进行严格完整模拟测试
第二十六条 应根变更情况时召开协调会变更进行通报协调进步明确变更实施求相关配合工作
第二十七条 技术变更实施前:
() 变更实施员需做关操作流程制定操作日志修改技术文档整理操作员培训等工作
(二) 应根变更受理情况协调相关技术支持员进行验证
第二十八条 业务变更实施前:
() 变更实施计划进行确认做实施前准备工作
(二) 应根变更受理情况协调相关技术员业务员进行验证
第二十九条 变更实施求:
() 变更实施员应确认变更实施计划评估验证应急回退方案
(二) 变更实施程中变更实施计划执行时间环境序条件等求执行变更实施计划严格监控整变更实施程
(三) 变更实施程必须保证双操作
(四) 变更实施完成认真检查现场执行结果根变更验证方案变更情况进行验证变更实施结果反馈相关部门
第三十条 变更实施程中果发生变更实施计划相符意外情况时没找原排错误方法时变更实施员必须立报告该变更审批决定否终止变更恢复变更实施前理环境详细记录信息
第三十条 变更实施程中果需启动新变更变更实施计划周需调整变更容应重新进行变更审批某种原导致变更失败必须实施部门审批决定否启动回退方案
第三十二条 变更实施理系统变更实施员进行踪检查验证确保变更结果正确性
第三十三条 涉客户帐户变更必须变更前帐户进行检查确保变更实施准确误
第三十四条 变更实施种中出现安全事件应(xx市民政局)信息系统安全事件理规定执行
第十章 变更汇总
第三十五条 变更实施完成信息安全等级保护工作领导组变更申请部门反馈变更实施情况
第三十六条 技术变更应二工作日反馈变更申请部门
第三十七条 业务变更实施完成应三工作日反馈变更申请部门涉保密业务变更完成变更实施变更指定方式相关单位部门反馈
第三十八条 果变更失败信息安全等级保护工作领导组负责分析产生问题原提出改进意见时反馈变更申请相关部门
第十章 紧急变更
第三十九条 工作日受理需立实施紧急变更需完成申请审批流程(特殊紧急情况邮件电话形式)
第四十条 非正常工作时间需立实施紧急变更邮件电话形式进行申请审批终形成纸质文档存档
第四十条 紧急变更实施前变更实施员制定简单变更实施计划验证回退恢复方案中回退恢复方案现行成熟方案具操作性
第四十二条 紧急变更实施完成变更实施员变更实施结果反馈变更申请部门
附录 变更申请单
日期:
变更申请
属部门
联系电话
变更申请时间
期完成时间
变更原
变更求
缓急程度
□常规 □紧急
变更类型
□技术 □业务
变更申请部门
意见
签章: 日期:
信息安全等级保护工作领导组意见
签章: 日期:
变更级
级
信息安全领导组组长意见
签章: 日期:
变更实施
属部门
联系电话
变更方案详述
(方案附件)
变更象
变更容
签章: 日期:
回退方案详述
(方案附件)
回退象
回退容
签章: 日期:
二十五备份恢复理规定
第章 总
第条 加强(xx市民政局)数安全理进步规范数传输档处置安全理数备份行确保类数完整性保密性性特制定理办法
第二章 术语定义
第二条 数指计算机系统存储信息包括战略规划信息业务决策信息市场信息客户信息项目信息操作信息系统信息财务信息理控制信息事信息合规信息等
第三章 职责
第三条 理办法业务系统理员负责执行:
()系统理员负责机系统进行备份恢复
(二)数库系统理员 负责数库系统进行备份恢复
(三)应系统理员 负责应系统进行备份恢复
(四)网络理员:负责网络系统进行备份恢复
第四章 备份理
第四条 业务系统备份采取定期备份动态备份相结合原定期备份定周期计划进行动态备份指操作系统应系统发生较变动实时进行备份操作系统数库数定期进行备份系统变更较应调整前进行次操作系统应软件备份时步备份机相关容系统应配置备份定期进行
第五条 业务系统理员授权员应填写附录:业务系统备份数清单业务系统审批签字确保业务系统网络设备操作系统系统配置数核心业务数定期进行备份备份策略正确
第六条 数备份采0级备份增量备份数备份策略制定应综合系统性存储容量数量增长速度业务需求备份方式存储介质存储介质型号效期等素备份策略制定应考虑特殊日版升级日增加备份
第七条 数备份应采性宜损坏介质磁带光盘等备份数物理介质应注明数源备份日期恢复步骤等信息置安全环境保
第八条 数备份时仔细检查备份作业备份程序执行结果核实目标备份源备份容致确保备份数完整性正确性
第九条 数备份时应时记录备份情况包括备份作业备份周期时间容数保存期限介质型号介质容量业务种类转存情况异备份记录相关变更记录等信息进行日备份问题记录
第十条 操作系统备份求:
() 操作系统层备份范围包括操作系统系统运行产生登录操作日志文件
(二) 操作系统应半年少备份次
(三) 操作系统运行产生登录操作日志文件应月少备份次
(四) 操作系统安装系统补丁进行系统升级修改系统配置导致系统改变情况发生前必须进行操作系统备份
(五) 操作系统层备份系统理员负责实施
(六) 操作系统层备份完成应少保留24月
第十条 数库备份求:
() 数库层备份范围包括数库日志文件数文件系统程序文件
(二) 数库日志文件包括档日志文件告警日志文件踪文件
(三) 安装数库补丁应系统补丁数库升级导致数库改变操作发生前必须备份完整数库数文件数库程序文件备份应执行备份介质异存放
(四) 数库数文件天增量备份周进行次全量备份
(五) 数库档日志应天进行增量备份
(六) 数库发生障时需进行系统恢复应先备份障数库数文件
(七) 数库层备份数库理员负责实施
(八) 备份数库日志文件数库程序文件备份应少保留24月
第十二条 应系统备份求:
() 应系统层备份包括应系统程序文件日志文件
(二) 应系统程序文件日志文件应月少备份次备份应执行备份介质异存放
(三) 根补丁级安装应系统补丁前视求执行系统备份
(四) 应系统备份应系统理员负责实施
(五) 应系统备份应少保留12月
第五章 备份介质理
第十三条 备份数需定期进行抽检采备份数恢复测试环境方式备份数正确性进行验证
第十四条 备份理员应备份数情况进行天次检查填写附录二:备份登记记录相关业务系统应月备份登记记录签字审核
第十五条 快恢复障应(场)保留备份介质时避免场灾难导致破坏应做异备份异备份场物理环境保护级低场场采媒介控制措施应扩展涵盖备场
第十六条 备份理员应时冷备介质进行异存放填写附录三:异备份登记记录业务系统应月异备份登记记录签字审核
第十七条 备份理员应制定详细操作备份恢复操作方案业务系统审批签字
第十八条 备份理员根方案半年异备份业务数测试环境进行次恢复性测试确保演练备份恢复时间预定时间备份介质没期备份数完整恢复测试完毕时填写附录四:备份恢复测试记录
第十九条 备份理员应根备份数须保存长期限求备份介质寿命期前时更换备份介质更换填写附录五:备份介质更换记录相关业务系统应半年备份介质更换记录签字审核次
第二十条 正式备份数恢复期备份数销毁必须相关业务系统部门领导认方进行
第二十条 备份介质保存机房中授权进入机房员接触系统备份磁带
第二十二条 异备份介质保存异专库房中库房钥匙(门禁卡等)负责异存放备份介质维护员掌握
第二十三条 应根日常备份需提前估算购买备份介质数量时检查备份介质量避免备份介质写满者容量足情况发生
第二十四条 备份介质达年限应备份介质保存数进行审核需继续保存应备份理员数装移新备份介质做恢复性测试签字确认
第二十五条 安全理员应月备份介质进行审核签字确认
第六章 备份恢复理
第二十六条 解决障程中需恢复生产系统中数库环境必须首先提出申请获办公室负责批准实施
第二十七条 数恢复前必须根情况需恢复数进行必备份防止数丢失
第二十八条 数恢复必须严格操作手册执行出现问题时办公室相关员进行现场技术支持
第二十九条 数恢复必须进行验证确认确保数恢复完整性性
第三十条 数备份员根(xx市民政局)业务系统实际拟定需测试备份数项目测试周期
第三十条 设备障操作失误等造成般障需恢复部分设备备份数遵循异常事件处理流程设备理员数库理员负责恢复
第三十二条 灾难等原造成重事遵循持续性理流程启动灾难恢复计划进行恢复
附录:业务系统备份数清单
(xx市民政局)业务系统备份数清单
业务系统名称
序号
数名称
保存期限
操作方式
(手工动)
备份方式
备份周期
操作员
联系方式
备份操作步骤
1
2
3
备注:
业务系统审批签字
签字日期
附录二:备份登记记录
(xx市民政局)
备份登记记录
业务系统名称
数名称
备份方式
备份状态
备份签字
备份日期
备注:业务系统月审核次
审核意见
业务系统审核签字
签字日期
附录三:异备份登记记录
(xx市民政局)
异备份登记记录
业务系统名称
介质编号
数名称
介质类型
数量
存放点
备份签字
备份日期
备注:业务系统月审核次
审核意见
业务系统审核签字
签字日期
附录四:备份恢复测试记录
(xx市民政局)
备份恢复测试记录
业务系统名称
备份介质编号
备份数名称
介质类型
介质存放点
测试方案
测试结果
续工作
测试
测试日期
备注:
附录五:备份介质更换记录
(xx市民政局)
备份介质更换记录
备份数名称
存放点
原备份介质
新备份介质
更换签字
更换日期
介质编号
介质类型
数量
介质编号
介质类型
数量
备注:业务系统半年审核次
审核意见
业务系统审核签字
签字日期
审核意见
部门领导审核签字
签字日期
二十六安全事件理规定
第章 总
第条 加强部理规范信息安全事件处理流程提高安全事件发生时应变力做快速反应正确应程度降低安全事件带负面影响确保信息系统业务正常稳定开展特制定规定
第二章 适范围
第二条 规定适象信息安全事件处置程包括事件分类分级报告处置流程等理象办公室相关业务部门信息安全工作领导组
第三章 术语定义
第三条 信息安全事件指然者软硬件身缺陷障原信息系统造成危害社会造成负面影响事件
第四章 组织职责
第四条 信息安全工作组安全事件受理解决部门负责受理信息安全事件协调组织安全事件解决方案措施反馈处理结果安全理员安全事件具体受理员协调组织相关员处理安全事件
第五条 相关部门应配合信息安全工作领导组做安全事件解决发现安全事件部门安全联络员时报信息安全工作领导组
第五章 事件分类
第六条 信息安全事件分害程序事件网络攻击事件信息破坏事件信息容安全事件设备设施障灾害性事件信息安全事件等7基分类
() 害程序事件指蓄意制造传播害程序受害程序影响导致信息安全事件害程序指插入信息系统中段程序害程序危害系统中数应程序操作系统保密性完整性性影响信息系统正常运行包括计算机病毒事件蠕虫事件僵尸网络事件混合攻击程序事件害事件
(二) 网络攻击事件指通网络技术手段利信息系统配置缺陷协议缺陷程序缺陷暴力攻击信息系统实施攻击造成信息系统异常信息系统前运行造成潜危害信息安全事件包括拒绝服务攻击事件门攻击事件漏洞攻击事件网络扫描窃听事件网络钓鱼事件干扰事件网络攻击事件
(三) 信息破坏事件指通网络技术手段造成信息系统中信息篡改假泄漏窃取等导致信息安全事件 信息破坏事件包括信息篡改事件信息假事件信息泄漏事件信息窃取事件信息丢失事件信息破坏事件
(四) 信息容安全事件指利信息网络发布传播危害国家安全社会稳定公利益容安全事件 信息容安全事件包括违反宪法法律行政法规信息安全事件 针社会事项进行讨评形成网敏感舆热点出现定规模炒作信息安全事件 组织串连煽动集会游行信息安全事件 信息容安全事件等
(五) 设备设施障指信息系统身障外围保障设施障导致信息安全事件非技术手段意意造成信息系统破坏导致信息安全事件设备设施障包括软硬件身障外围保障设施障破坏事设备设施障
(六) 灾害性事件指抗力信息系统造成物理破坏导致信息安全事件 灾害性事件包括水灾台风震雷击坍塌火灾恐怖袭击战争等导致信息安全事件
(七) 事件类指6基分类信息安全事件
第六章 事件分级
第七条 根信息安全事件分级考虑素信息安全事件划分四级:特重事件重事件较事件般事件
() 特重事件指够导致特严重影响破坏信息安全事件包括情况:
n 会特重信息系统遭受特严重系统损失
n 产生特重社会影响
(二) 重事件指够导致严重影响破坏信息安全事件包括情况:
n 会特重信息系统遭受严重系统损失重信息系统遭受特严重系统损失
n 产生重社会影响
(三) 较事件指够导致较严重影响破坏信息安全事件包括情况:
n 会特重信息系统遭受较系统损失重信息系统遭受严重系统损失般信息信息系统遭受特严重系统损失
n 产生较社会影响
(四) 般事件指满足条件信息安全事件包括情况:
n 会特重信息系统遭受较系统损失重信息系统遭受较系统损失般信息系统遭受严重严重级系统损失
n 产生般社会影响
第七章 事件监控
第八条 信息安全运维部值班员安全理台进行监控出现安全事件应时填写附录异常现象报告单报运维值班负责通知安全理员
第九条 系统理员网络理员设备理员应负责系统网络设备进行日志监控发现安全事件时填写附录异常现象报告单通知安全理员
第八章 事件受理
第十条 安全理员接异常报告单进行判断否安全事件
第十条 果确认安全事件根事件类型分级求安全事件进行定义初步填写附录二信息安全事件报告
第十二条 较级安全事件安全理员时报信息安全工作领导组负责
第九章 事件处置
第十三条 般安全事件处置流程
() 般安全事件统安全理员接口受理相关系统理员配合安全理员事件进行统筹理踪
(二) 般安全事件处理流程安全理员负责协调处理涉生产环境系统变更(xx市民政局)信息系统变更理规定进行处理
(三) 般安全事件处理完成安全理员组织相关员事件进行分析完成信息安全事件报告结果通知相关事件发起相关系统理员安全事件产生类系统漏洞应明确表示相关员尝试验证该漏洞
第十四条 较安全事件处置流程
() 现场保护:果信息安全事件数程序相关求存数程序存储介质进行备份保护数证安全完整
(二) 防止扩散:果发生信息安全事件设备员会影响系统设备员应立采取隔离措施发现设备感染网络病毒设备网络断开
(三) 应急恢复处理:
n 果发生信息安全事件设备员工作时会影响业务运行求快采应急措施启动备资源
n 应急恢复处理时必须保证产生二次损坏丢失证
(四) 分析事件原:
n 调查分析安全事件处理核心目找发生安全事件原相关解决方案
n 果调查程中发现安全事件涉窃取办公室济利益者损害办公室名誉行安全事件处理报告办公室相关部门处理触犯法律法规行办公室相关部门决定否移交公安部门进行调查处理
(五) 制定解决方案:根信息安全事件情况信息安全工作领导组组织办公室相关部门讨制定安全事件解决方案必时联系相关第三方服务商协助处理
(六) 实施解决方案:确定解决方案相关员进行方案实施恢复系统正常运作状态包括遭受安全事件影响系统进行恢复安全修复两方面工作作必技术处理保证发生相信息安全事件
(七) 实施检查:信息安全工作领导组应组织事件处理结果进行验证回顾处理结果否达预期效果进行评审事件处理程进行记录保留相关文档
(八) 总结反馈:
n 信息安全工作领导组应定期审阅安全事件报告分析安全事件总结验教训
n 确认资产否受类似威胁采取预防措施
n 审查安全事件涉安全策略标准程序确定否需更新相关文件
n 安全事件进行总结总结反馈相关部门
n 安全事件中汲取验教训
n 安全理员根实际情况完成信息安全事件报告发送相关部门
(九) 9) 重特重事件信息安全领导组审定否启动相关应急预案
(十) 10) 涉生产环境变更必须变更理规定进行实施涉国家秘密事件处理恢复员重操作求少两名工作员场登记备案
附录信息安全异常现象报告
日期:
报告详细情况
姓名: 址:
单位: 部门:
电话: 电子信箱:
信息安全异常现象描述
异常现象描述:
l 发生什
l 发生
l 什会发生
l 受影响部分
l 业务负面影响
l 已确定脆弱性
信息安全异常现象细节
发生异常现象日期时间:
发现异常现象日期时间:
报告异常现象日期时间:
异常现象否结束?(选择) ¨ 否 ¨
果具体说明异常现象持续长时间(天时分钟):
附录二信息安全事件报告
日期:
信息安全事件概述
事件进步概述:
l 发生什
l 发生
l 什会发生
l 受影响部分
l 业务负面影响
l 已确定脆弱性
信息安全事件细节
发生事件日期时间:
发现事件日期时间:
报告事件日期时间:
事件否结束?(选择) ¨ 否 ¨
果具体说明事件持续长时间(天时分钟):
果否具体说明目前止事件已持续长时间:
信息安全事件类型
实际发生 ¨ 未遂 ¨ 疑 ¨
害程序事件 ¨
计算机病毒事件¨ 僵尸网络事件¨
恶意代码¨ 蠕虫事件¨
混合攻击程序事件 ¨
(选择项) 网络攻击事件 ¨ (指出涉威胁类型)
拒绝服务攻击事件¨
漏洞攻击事件¨
网络钓鱼事件¨
门攻击事件¨
网络扫描窃听事件¨
干扰事件¨
¨
(选择项) 信息破坏事件 ¨ (指出涉威胁类型)
信息篡改事件¨
信息泄漏事件¨
信息丢失事件¨
信息假事件¨
信息窃取事件¨
¨
信息容安全事件 ¨ (指出涉威胁类型)
(包括违反宪法法律行政法规信息安全事件 针社会事项进行讨评形成网敏感舆热点出现定规模炒作信息安全事件 组织串连煽动集会游行信息安全事件 信息容安全事件等) 具体说明:
未知 ¨ (果尚法确定事件属意意外错误造成选择项果述威胁类型缩写指出涉威胁类型)
二十七应急预案理规定
第条 级文件求切实做(xx市民政局)网络信息安全事件应急工作特制定应急预案
第二条 组织机构
成立网络安全信息化工作领导组组长单位书记副组长单位副书记办公室队伍建设科等相关负责组成员网络安全信息化组组织拟订应信息安全突发事件工作规划应急预案汇总关信息安全突发事件种重信息进行综合分析提出建议办公室承担网络信息安全专项应急日常工作负责网络信息安全突发事件日常监测预警
第三条 应急支撑力量
市单位通信线路服务器网络设备硬件资源统市政府申请市政务云数中心提供资源服务单位网络信息安全预警应急处理提供技术保障进步提高安全事件发现分析力 技术逐步实现发现预警处置通报等环节应急处理联动机制
第四条 事件先期处置
() 网站网页篡改事件紧急处置措施
n 网站网页网络信息理员负责时密切监视信息容
n 发现网出现非法信息时网络信息理员立刻单位领导通报情况情况紧急应先时采取删等处理措施程序报告
n 网络信息安全相关负责应接通知立赶现场作必记录清理非法信息妥善保存关记录日志审计记录强化安全防范措施网站网页重新投入
n 追查非法信息源关情况网络信息安全理部门反映情况严重公安部门报案
(二) 黑客攻击事件紧急处置措施
n 网络信息理员发现网页容篡改通入侵检测系统发现黑客正进行攻击时应立网络信息安全负责通报情况
n 网络信息安全相关负责 应接通知立赶现场首先攻击服务器等设备网络中隔离出保护现场关情况网络信息安全理部门反映情况严重公安部门报案
n 现场进行分析写出分析报告存档必时报市委
n 恢复重建攻击破坏系统
(三) 病毒事件紧急处置措施
n 发现计算机感染病毒应立网络信息安全负责报告该机网络隔离开
n 网络信息安全相关负责员接通报立赶现场该设备硬盘进行数备份
n 启反病毒软件该机进行杀毒处理时通病毒检测软件机器进行病毒扫描清工作
n 果现行反病毒软件法清该病毒应迅速联系关产品商家研究解决
(四) 软件系统遭破坏性攻击紧急处置措施
n 重软件系统时必须存备份软件系统相应数必须单位容灾备份规定间隔时进行备份保存安全处
n 旦软件遭破坏性攻击应立网络信息安全负责报告该系统停止运行
n 检查信息系统日志等资料确定攻击源关情况网络信息工作领导组汇报恢复软件系统数
n 单位规定应急预案需三月进行审查根实际情况更新容
第五条 报告联系部门
发生重信息安全突发事件时网络信息安全理员时收集报通报突发事件关情况单位领导汇报确保安全策略制定执行网络信息安全部门反映情况单位工作机构办事机构通报情况方协商做突发事件处置工作
二十八软件理办法
第章 总
第条 指导信息系统建设安全理加强软件理效控制技术风险促进信息系统规范化标准化建设特制定办法
第二章 适范围
第二条 办法适类软件系统理
第三章 职责权限
第三条 办公室统理单位部业务系统业务科室信息系统职理部门办公室总体牵头负责信息系统需软件采购培训升级维护理保障软件信息系统中安全运行提供软件中技术支持
第四章 软件理
第四条 软件安装(含更新安装)软件存储介质拷贝必须交办公室统登记保存
第五条 严格执行软件版理分发流程防止软件盗误流失越权
第六条 软件设计方案数结构加密算法源代码等技术资料严禁散失外泄
第五章 软件外包开发
第七条 软件总体设计时应根应软件实际途步进行安全保密设计指定业务科室负责系统交付理工作理规定求完成系统交付工作
第八条 软件外包开发开发商签定服务协议中求制订测试验收方案软件风险条款明确权责义务确定补偿措施限额保障双方合法权益
第九条 求开发单位提供软件源代码求系统线前开发商必须审查系统否存门
第十条 软件安装前项目组进行检测软件包中否存恶意代码分领导提请验收测试报告
第十条 业务科室组织安全技术专家进行项目验收报告出评审意见报请验收通
第六章 软件
第十二条 标准化软件购买测试试运行确认安全线运行
外包开发软件正式投入前必须部评审确认软件功性安全性均满足相关标准业务求技术文档完备
第十三条 单位系统正式线运行前委托公正第三方测试单位系统进行安全性测试
第十四条 正确评估软件线风险做相应应急备份计划
第十五条 软件员前应接受必操作培训安全教育
第十六条 软件应遵循功原权限策略关闭必服务端口
第十七条 标准化软件应充分测试前提时安装补丁程序
第十八条 标准化软件采购外包软件开发均需合中约定期服务容包括软件功升级版修改变更配置更改项目理员负责
第十九条 外包开发软件功性升级变更配置更改严格日常维护操作流程执行根业务需求进行软件升级修改软件开发程理
二十九信息交付理规定
第章 总
第条 规范单位信息安全交付行提高信息安全交付安全意识确保信息资产安全特制定规定
第二条 规定规范安全交付程员行准
第三条 制定详细安全系统交付清单(见附件)根交付清单交接设备软件文档等进行清点
第四条 业务科室负责系统交付理工作理规定求完成系统交付工作
第二章 安全交付规范
第五条 物理环境安全
() 通单位信息安全领导组书面审批进出机房办公区域敏感区域遵守相关理规定
(二) 严禁泄露门禁系统密码配机房钥匙遗失应时报备案
(三) 信息安全项目实施中未授权设备进行违规操作包括数查复制配置信息泄露更改等
(四) 设备更新旧设备销毁应检查含存储介质设备确保销毁前敏感数授权软件已移安全重写
(五) 单位接收资产应保证资产完整性保密性种方式传输非相关工作员交付完成应获资产全部
第六条 通信操作安全
() 未单位信息安全领导组许设备程序配置文件数日志进行查询复制修改等操作改动网络设备连接
(二) 未单位信息安全领导组许设备安装时软件工具报告安装软件工具设备带危害现场服务结束删服务需允许安装时软件工具恢复设备运行环境
(三) 敏感区域拍需(xx市民政局)许
(四) 设备进行风险操作时(例软件升级重硬件更换网络结构变更等)应征(xx市民政局)意方执行操作前应数信息进行备份虚拟环境中做安全测试
第七条 访问控制理
() 设备调试测试程中应时已安装服务器终端设备设置理员密码保证密码复杂度
(二) 服务项目移交前须统修改调试密码提交单位移交清单中包括密码移交容求行修改密码签字确认
(三) 操作访问权限进行必限制分权分域权限原设置确保员唯户身份证明密码仅供
(四) 定期设备密码进行更新保证密码复杂度定期设备账号进行清理清账号
(五) 项目服务员接入单位网络时必须设置指定网络配置避免址突造成设备影响
(六) 远程服务前必须信息安全领导组提交远程服务申请申请获批准服务工程师应求提供接入设备信息(登录名登录密码登录址拨入号码等)需必须授权终端远程维护软件接入网络
(七) 远程服务结束创建远程服务环境登陆信息应时修改删通知单位相关部门时关闭设备远程服务权限
(八) 操作单位设备程中禁止服务器终端连接互联网需连接应先申报
第八条 信息系统开发维护
() 服务交付程中涉设备配置组网方案IP址设备口令技术规格存储数接参数业务特性线信息终端户信息等扩散泄漏
(二) 设备调测软件升级程中需合法渠道获取软件版
(三) 非单位设备安装购买操作系统数库等软件单位购买设备序列号相关软件序列号信息非项目途
(四) 维护程中系统密码等重信息应通网加密邮件方式通知禁止采口头书面形式
(五) 服务商等第三方员获信息包括姓名职位联系方式培训历等信息进行效理范围扩散泄漏
第三章 员安全理
第九条 交付程中实施交付员应动学相关理规定安全事案例提高服务交付安全意识
第十条 实施交付程中违反规定行进行追责处理构成违法犯罪应追究刑事责
附件 安全系统交付清单
交付第三方
项目服务时间
交付实施员
交付容(第三方责填写):
第三方责签字确认:
年 月 日
信息安全领导机构签字确认:
年 月 日
文档香网(httpswwwxiangdangnet)户传
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档
