《信息安全管理制度汇编_2.docx》由会员分享,可在线阅读,更多相关《信息安全管理制度汇编_2.docx(17页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、信息安全管理制度汇编内部资料注意保存XXXXXXXXXX信息安全制度汇编XXXXXXXXXX二一六年一月目录一、总则(6)二、安全管理制度(7)第一章管理制度(7)1.安全组织构造(7)1.1信息安全领导小组职责(7)1.2信息安全工作组职责(8)1.3信息安全岗位(9)2.安全管理制度(11)2.1安全管理制度体系(11)2.2安全方针和主策略(12)2.3安全管理制度和规范(12)2.4安全流程和操作规程(14)2.5安全记录单(14)第二章制定和发布(15)第三章评审和修订(16)三、安全管理机构(17)第一章岗位设置(17)1.组织机构(17)2.关键岗位(19)第二章人员配备(21)
2、第三章受权和审批(22)第四章沟通和合作(24)第五章审核和检查(26)四、人员安全管理(28)第一章人员录用(28)1.组织编制(28)2.招聘原则(28)3.招聘机会(28)4.录用人员基本要求(29)5.招聘人员岗位要求(29)6.招聘种类(29)6.1外招(29)6.2内招(30)7.招聘程序(30)7.1人事需求申请(30)7.2甄选(30)7.3录用(32)第二章保密协议(33)第三章人员离岗(35)第三章人员考核(37)1制定安全管理目的(37)2.目的考核(38)3.赏罚措施(38)第四章安全意识教育和培训(39)1.安全教育培训制度(39)第一章总则(39)第二章安全教育的含
3、义和方式(39)第三章安全教育制度施行(39)第四章三级安全教育及其他教育内容(41)第五章附则(43)第五章外部人员访问管理制度(44)1.总则(44)2.来访登记控制(44)3.进出门禁系统控制(45)4.携带物品控制(46)五、系统建设管理(47)第一章安全方案设计(47)1.概述(47)2设计要求和分析(48)2.1安全计算环境设计(48)2.2安全区域边界设计(49)2.3安全通信网络设计(50)2.4安全管理中心设计(50)3针对本单位的详细实践(51)3.1安全计算环境建设(51)3.2安全区域边界建设(52)3.3安全通信网络建设(52)3.4安全管理中心建设(53)3.5安全
4、管理规范制定(54)3.6系统整体分析(54)第二章产品采购和使用(55)第三章自行软件开发(58)1.申报(58)2.安全性论证和审批(58)3.复议(58)4.项目安全立项(58)5.项目管理(59)5.1概要(59)5.2正文(60)第四章工程施行(62)1.信息化项目施行阶段(62)2.概要设计子阶段的安全要求(62)3.具体设计子阶段的安全要求(63)4.项目施行子阶段的安全要求(63)第五章测试验收(65)1.文档准备(65)2.确认签字(65)3.专人负责(65)4.测试方案(65)第六章系统交付(68)1.试运行(68)2.组织验收(68)第七章系统备案(70)1.系统备案(7
5、0)2.设备管理(70)3.投产后的监控与跟踪(72)第八章安全服务商选择(74)六、系统运维管理(75)第一章环境管理(75)1.机房环境、设备(75)2.办公环境管理(76)第二章资产管理(81)1.总则(81)2.(资产管理制度)(81)第三章介质管理(85)1.介质安全管理制度(85)1.1计算机及软件备案管理制度(85)1.2计算机安全使用与保密管理制度(85)1.3用户密码安全保密管理制度(86)1.4涉密移动存储设备的使用管理制度(86)1.5数据复制操作管理制度(87)1.6计算机、存储介质、及相关设备维修、维护、报废、销毁管理制度(87)第四章设备管理(89)1.主机、存储系
6、统运维管理(89)2.应用服务系统运维管理(89)3.数据系统运维管理(90)4.信息保密管理(91)5.日常维护(91)6.附件:安全检查表(92)第五章监控管理和安全管理中心(94)1.监控管理(94)2.安全管理中心(95)第六章网络安全管理(96)第七章系统安全管理(98)1.总则(98)2.系统安全策略(98)3.系统日志管理(99)4.个人操作管理(100)5.惩办(100)第八章恶意代码防备管理(101)1.恶意代码三级防备机制(101)1.1恶意代码初级安全设置与防备(101)1.2.恶意代码中级安全设置与防备(101)1.3恶意代码高级安全设置与防备(102)2.防御恶意代码
7、技术管理人员职责(102)3.防御恶意代码员工日常行为规范(103)第九章密码管理(104)第十章变更管理(106)1.变更(106)2.变更程序(106)2.1变更申请(106)2.2变更审批(106)2.3变更施行(106)2.4变更验收(106)附件一变更申请表(107)附件二变更验收表(108)第十一章备份与恢复管理(109)1.总则(109)2.设备备份(110)3.应用系统、程序和数据备份(111)4.备份介质和介质库管理(114)5.系统恢复(115)6.人员备份(116)第十二章安全事件处置(117)1.工作原则(117)2.组织指挥机构与职责(117)3.先期处置(118)4
8、.应急处置(119)4.1应急指挥(119)4.2应急支援(119)4.3信息处理(119)4.4应急结束(120)5后期处置(120)5.1善后处置(120)5.2调查和评估(121)第十三章应急预案管理(122)1.应急处理和灾难恢复(122)2.应急计划(123)3.应急计划的施行保障(124)4.应急演练(125)一、总则为规范XXXXXXXXXX信息安全工作,确保全体员工理解信息安全工作与职责,并落实到日常工作中,推动信息安全保障工作的顺利进行,结合XXXXXXXXXX的实际情况,特制定本制度。本管理制度所称信息系统安全,包括计算机网络和应用系统下面简称信息系统的硬件、软件、数据及环
9、境遭到有效保护,信息系统的连续、稳定、安全运行得到可靠保障。信息系统安全管理坚持“谁主管谁负责的原则,公司的所有部门和员工都应各自履行相关的信息系统安全建设和管理的义务与责任。信息系统安全工作的总体目的是:施行信息系统安全等级保护,建立健全先进实用、完好可靠的信息系统安全体系,保证系统和信息的完好性、真实性、可用性、保密性和可控性,保障信息化建设和应用,支撑公司业务持续、稳定、健康发展。信息系统安全体系建设必须坚持“统一标准、保障应用、符合法规、综合防备、集成分享的原则。本制度适用于公司所有部门和个人。二、安全管理制度第一章管理制度1.安全组织构造XXXXXXXXXX安全管理组织应构成由主管领
10、导牵头的信息安全领导小组、详细信息安全职能部门负责日常工作的组织形式,组织构造图如下所示:组织机构图1.1信息安全领导小组职责信息安全领导小组是由XXXXXXXXXX主管领导牵头,各部门的负责人为组成成员的组织机构,主要负责批准XXXXXXXXXX安全策略、分配安全责任并协调安全策略能够施行,确保安全管理工作有一个明确的方向,从管理和决策层角度对信息安全管理提供支持。信息安全领导小组的主要责任如下: (一)确定网络与信息安全工作的总体方向、目的、总体原则和安全工作方法;(二)审查并批准政府的信息安全策略和安全责任;(三)分配和指导安全管理总体职责与工作;(四)在网络与信息面临重大安全风险时,监
11、督控制可能发生的重大变化;(五)对安全管理的重大更改事项例如:组织机构调整、关键人事变动、信息系统更改等进行决策;(六)指挥、协调、催促并审查重大安全事件的处理,并协调改良措施;(七)审核网络安全建设和管理的重要活动,如重要安全项目建设、重要的安全管理措施出台等;(八)定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定。1.2信息安全工作组职责信息安全工作组是信息安全工作的日常执行机构,内设专职的安全管理组织和岗位,负责日常详细安全工作的落实、组织和协调。信息安全工作组的主要职责如下:一贯彻执行和解释信息安全领导小组的决议;二贯彻执行和解释国家主管机构下发的信息安全策略;三负
12、责组织和协调各类信息安全规划、方案、施行、测试和验收评审会议;四负责落实和执行各类信息安全详细工作,并对详细落实情况进行总结和汇报;五负责内外部组织和机构的沟通、协调和合作工作;六负责制定所有信息安全相关的管理制度和规范;七负责针对信息安全相关的管理制度和规范详细落实工作进行监督、检查、考核、指导及审批,例如现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。以上组织构造和职责通过(信息安全组织职责体系)加以讲明。1.3信息安全岗位为了有效落实信息安全各项工作,XXXXXXXXXX应设立下面专职的安全岗位,负责安全工作的落实和执行:1.3.1信息安全工作组主管1)负责网络与信息安全的日常整体协调、管理工作;2)负责组织人员制定信息安全管理制度,并对管理制度进行推广、培训和指导;3)负责重大安全事件的详细协调和沟通工作。