1、企业机房中心信息安全管理制度编 制： 审 核： 批 准： 版 本 号: ESZAQDGF001 编 制： 审 核： 批 准： 版 本 号: 目 录第一章 总则7第二章 信息安全管理手册8一、 信息安全方针8二、 总体安全策略9三、 管理制度标准和要求11四、 管理标准制定和发布12五、 管理制度审核与修订12六、 管理制度的作废与销毁12七、 适用范围12第三章 安全管理机构14一、 总则14二、 信息安全管理机构14三、 工作职责及岗位说明15四、 授权和审批22五、 沟通和合作24六、 审核与检查24第四章 人员安全管理制度26一、 人员录用制度26二、 人员离岗制度26三、 人员考核制度2、26四、 安全意识教育和培训27五、 第三方人员访问管理27第五章 系统建设管理制度28一、 系统定级28二、 安全方案设计和审定28三、 产品采购29四、 自行软件开发29五、 外包软件开发29六、 工程实施30七、 测试验收30八、 系统交付31九、 安全服务商选择和运维31第六章 办公环境保密管理制度32第七章 机房安全管理制度33一、 机房出入管理33二、 机房环境管理33三、 机房设备管理34第八章 资产安全管理制度35一、 资产管理职责部门35二、 资产的分类分级35三、 资产的登记与标记36四、 资产的使用与维护36五、 资产的移动管理37六、 资产的销毁37第九章 信息分类分级3、标识管理制度38一、 信息资产分类标准分类原则38二、 信息等级划分标准38三、 等级划分标准38四、 标记与处理39第十章 介质安全管理制度40一、 介质的使用与维护40二、 介质定期检查41三、 介质的维修与报废41第十一章 设备安全管理制度42一、 总则42二、 设备的购买42三、 设备的登记与领用42四、 设备的维护流程43五、 设备操作规程44六、 设备的报废44第十二章 监控管理制度45第十三章 系统运维管理制度46一、 系统维护管理46二、 系统访问控制47三、 系统用户安全管理48四、 系统审计50五、 监视系统的使用51六、 系统备份52七、 时钟同步52第十四章 网络安全管4、理制度53一、 网络安全规划53二、 网络接入控制53三、 网络安全审计53四、 网络设备管理54五、 网络安全检查54六、 网络访问控制55七、 网络服务安全56第十五章 恶意代码防范管理制度56一、 病毒及恶意代码防范的日常管理56二、 病毒及恶意代码的查杀与处理57第十六章 账号权限及密码管理制度58一、 账号权限管理58二、 密码产品58三、 密码的设置58四、 密码和口令的保存59第十七章 变更管理制度60一、 总则60二、 变更定义60三、 变更职责61四、 变更申请62五、 变更方案制定与评审62六、 变更实施63七、 变更回退64八、 变更回顾65第十八章 备份与恢复管理制度65、6一、 资产识别66二、 制定备份方案66三、 备份计划实施67四、 备份的介质标识67五、 备份介质的安全存放67六、 备份介质的定期测试68七、 信息恢复68第十九章 安全事件管理制度69一、 信息安全事件分类69二、 信息安全事件分级69三、 信息安全事件的预防70四、 信息安全事件的报告71五、 信息安全事件响应71六、 信息安全事件的调查处理72七、 信息安全事件的整改72八、 信息泄密事件处理流程73九、 奖励与惩罚73第二十章 应急预案管理制度75一、 应急预案编制75二、 应急预案评审76三、 应急预案培训76四、 应急预案演练76五、 应急预案修订77第二十一章 安全服务商管6、理78第二十二章 附件78附件1：变更流程图78附件2：机房每日巡检登记表84附件3：设备出入机房登记表85附件4：变更申请表86附件5：外来人员访问登记表87附件6：介质备份恢复测试记录表89第一章 总则为规范xx中心（以下简称“上海XX”）信息系统安全等级保护管理，提高系统的安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据中华人民共和国计算机信息系统安全保护条例（国务院第147号）、信息安全等级保护管理办法（公通字200743号）等有关文件，依据信息系统安全等级保护基本要求（GB/T 22239-2008）标准和信息安全总体方针，结合现有管理要求，制定本制度7、。为加强xx中心信息系统的管理，减少网络信息安全事件的发生，以防对国有资产造成损害，特制定本安全管理制度，明确岗位职责，规范操作流程，维护整个信息系统的正常运行，确保信息系统的安全，现根据中华人民共和国计算机信息系统安全保护条例、信息安全技术信息系统安全等级保护基本要求等有关规定，结合实际，制订本制度。 本手册按照信息系统安全等级保护定级指南，结合xx中心信息系统的实际编制而成。本文档所描述的信息安全管理制度适用于xx中心信息系统的所有信息安全相关管理和技术工作，加强对信息安全工作的规范性管理。本制度由制定，每年定期进行审核，根据审核结果进行修订，并通过正式发布。 xx中心信息部年 月 日 第8、二章 信息安全管理手册一、 信息安全方针全员参与 明确责任预防为主 快速响应风险管控 持续改进具体阐述如下：1. 在xx中心信息安全协调小组的领导下，全面贯彻国家和上海市关于信息安全工作的相关指导性文件精神，在xx中心内建立可持续改进的信息安全管理体系。2. 全员参与信息安全管理体系建设，落实信息安全管理责任制，建立和完善各项信息安全管理制度，使得信息安全管理有章可循。3. 通过定期地信息安全宣传、教育与培训，不断提高xx中心所有人员的信息安全意识及能力。4. 推行预防为主的信息安全积极防御理念，同时对所发生的信息安全事件进行快速、有序地响应。5. 贯彻风险管理的理念，定期对“上海市免疫规划信9、息系统”等 重要信息系统进行风险评估和控制，将信息安全风险控制在可接受的水平。6. 按照PDCA精神，持续改进xx中心信息安全各项工作，保障xx中心安全畅通与可控，保障所开发和维护信息系统的安全稳定，为xx中心提供安全可靠的服务。二、 总体安全策略1. 建立安全管理组织机构，明确相关岗位及职责，建立健全信息安全管理责任制，使得信息安全各项职责落实到人。2. 对信息安全管理体系进行定期地评审，并实施相应的纠正和预防措施，以保证信息安全管理体系持续的充分性、适宜性、有效性。3. 对信息系统中所存在的安全风险进行有计划的评估和管理。定期对信息系统实施信息安全风险评估，根据评估结果选择适当的安全策略和10、控制措施，将安全风险控制在可接受的水平。4. 按照国家等级保护有关要求，对系统服务及信息确定安全等级，并根据不同的安全等级实施分等级保护。5. 规范信息系统信息资产（包括硬件、软件、服务等）管理流程，建立信息资产管理台帐，明确资产所有者、使用者与维护者，对所有信息资产进行标记，实现对信息资产购买、使用、变更、报废整个周期的安全管理。6. 加强所有人员（包括内部人员，以及各类外来人员）的安全管理，明确岗位安全职责，制定针对违规的惩戒措施，落实人员聘用、在岗和离岗时的安全控制，与敏感岗位人员签署保密协议。7. 通过正式的信息安全培训，以网站、简报、会议、讲座等各种形式的信息安全教育活动，不断加强人11、员的信息安全意识，提高他们的信息安全技能和意识。8. 保障机房物理与环境安全。实施包括门禁、视频监控、报警等安全防范措施，确保机房物理安全。部署机房专用空调、UPS等环境保障设施，对机房设施运转情况进行定期巡检和维护。严格对机房人员和设备的出入管理， 进出需登记，外来人员需由相关管理人员陪同方能访问机房。9. 加强对信息系统外包业务与外包方的管理，在与信息系统外包方签署的服务协议中，对信息系统安全加以要求。通过审批、访问控制、监控、签署保密协议等措施，加强外部方访问信息系统的管理，防止外部方危害信息系统安全。10. 建立信息系统（包括基础设施、网络和服务器设备、系统、应用等）文档化的操作和维护12、规程，使得各个相关人员能够采用规范化的形式对系统进行操作，降低和避免因误操作所引发信息安全事件的可能性。11. 统一部署网络防恶意代码软件，并进行恶意代码库的统一更新，防范恶意代码、木马等恶意代码对信息系统的影响。通过强化恶意代码防范的管理措施，如加强介质管理，严禁擅自安装软件，加强人员安全意识教育，定期进行恶意代码检测等，提高信息系统对恶意代码的防范能力。12. 对重要的信息和信息系统进行备份，并对备份介质进行安全地保存，以及对备份数据定期进行备份测试验证，保证各种备份信息的保密性、完整性和可用性，确保所有重要信息系统和重要数据在故障、灾难后及其它特定要求下进行可靠的恢复。13. 采用技术和13、管理两方面的控制措施，加强对信息系统外网的安全控制，不断提高网络的安全性和稳定性。对外网与互联网进行逻辑隔离。通过实施网络访问控制等技术防范措施，对接入进行严格审批，加强使用安全管理，加强对系统使用的安全培训和教育，确保信息系统的安全。14. 加强信息安全日常管理，包括系统口令管理、无人值守设备管理、屏幕保护、便携机管理等，促使每位人员的日常工作符合信息系统信息安全策略和制度要求。15. 按照“仅知”原则，通过功能和技术配置，对重要信息系统、数据等实施访问控制。进一步推广数字证书的使用，以及安全的授权管理制度，并落实授权责任人。对系统特殊权限和系统实用工具的使用进行严格的审批和监管。16. 进14、一步重视软件开发安全。在信息系统立项和审批过程中，同步考虑信息安全需求和目标。需保证系统设计、开发过程的安全，重点加强对软件代码安全性的管理。属于外包软件开发的，需与服务提供商签署保密协议。系统开发完成后，要求通过第三方安全机构对软件安全性的测评。17. 在符合国家密码管理相关规定的条件下，合理使用密码技术和密码设备，严格密钥生成、分发、保存等方面的安全管理，保障密码技术使用的安全性。18. 重视对IT服务连续性的管理，建立对各类信息安全事件的预防、预警、响应、处置、恢复机制，编写针对信息系统的应急预案，并定期进行测试和演练，在信息系统发生故障或事故时，能迅速、有序地进行应急处置，最大限度地降15、低因信息系统突发事件或意外灾害所带来的影响。19. 对所适用的国家信息安全相关法律法规进行定期的识别、记录和更新，并对信息安全管理现状与法律法规的符合性进行检查，确保各项信息安全工作符合国家信息安全相关法律法规要求。三、 管理制度标准和要求1. 以XX中心信息系统持续安全稳定运行作为总体目标，按照总体安全策略文件执行具体的安全策略。2. 该制度应对系统管理活动中重要的管理内容建立安全管理制度，以规范安全管理活动，约束人员的行为方式，详见系统运维管理章节中相关内容。3. 该制度应对要求管理人员或操作人员执行的重要管理操作，建立操作规程，以规范操作行为，防止操作失误，详见系统运维管理章节中相关内容16、。四、 管理标准制定和发布1. 在安全领导小组的总体负责和监督下，组织相关业务科室或人员制订安全管理制度。2. 保证安全管理制度具有统一的格式风格，并进行版本控制。3. 组织信息所的相关人员通过内部评审对制定的管理制度进行论证和审定。4. 安全管理制度应经过安全领导小组相关负责人签发后按照一定的程序和途径以文件形式发布。5. 本管理制度适用于以xx中心信息系统为核心的应用。五、 管理制度审核与修订1 由信息部每年检查一次制度的适用情况，并对现有制度的有效性进行评审。对不合适的地方进行修订，必要时更换新版。2 信息部每年组织对制度控制实施情况进行检查、评审，对存在的问题通知相应部门进行整改，并对17、整改情况进行跟踪验证并保存记录。六、 管理制度的作废与销毁管理制度经过定期的评审和修改后，更换新的版本，旧版本的交由文档管理员回收作为作废文件，并做好回收记录。七、 适用范围本手册按照ISO/IEC 27001：2005 信息安全管理体系要求及GB/T 22239-2008信息安全等级保护基本要求，结合信息系统的实际编制而成，符合ISO/IEC 27001：2005 及GB/T22239-2008标准的全部要求。本管理制度适用于信息系统建设和运维过程。第三章 安全管理机构一、 总则为标准化信息安全管理流程，明确安全管理组织机构、角色、职责等，促进信息系统安全管理的组织建设，指导信息安全管理工作18、，落实信息安全管理责任制，特制定本管理办法。信息安全管理机构的建设、管理，均适用本管理办法。二、 信息安全管理机构上海市XX中心信息安全管理组织机构主要由信息安全领导小组和信息安全管理小组组成，信息安全管理小组由信息部安全管理员、机房管理员、网络管理员、应用管理员、主机管理员等负责信息系统的具体管理工作；聘请内部、领域内信息安全专家对信息系统建设和整改进行评审；日常系统运维通过外包给专业的服务公司具体实施。信息安全管理组织架构如图3-1所示。图2-1 信息安全管理组织架构1. 安全领导小组由上海市XX中心信息化领导小组担任；2. 安全管理小组由上海市信息部主任与副主任共同担任；3. 信息系统管19、理人员角色主要包括机房管理员、网络管理员、机房管理员、安全管理员、安全审计员等；4. 同时为了完善信息系统的安全建设、维护和规划，由第三方维护人员优化系统维护，由信息安全专家对系统安全建设进行评审。5. 其中安全管理员不可兼任其他岗位。三、 工作职责及岗位说明1. 安全领导小组工作职责： 贯彻关于信息安全方面工作的方针政策，审定信息系统安全建设规划。 对信息系统安全工作的重大事项做出决策。 研究审定信息系统安全建设和管理工作中的制度、标准及相关政策，并协调相关部门监督制度、政策的实施情况。 组织、协调和指导信息安全的宣传、普及教育工作。2. 安全管理小组工作职责： 负责贯彻落实上海市网络及信息20、安全领导小组关于信息系统安全工作的要求和规定。 负责各业务处室信息系统安全管理工作。 根据信息化建设的总体目标，负责信息系统的安全管理体系，包括：制度建设、技术保障和操作规范等各方面的逐步建成。 负责灾难备份系统及相关设施的完善及日常管理工作。制订并完善灾难备份系统评估标准，形成标准化管理模式。 监控灾难备份系统运行状况，定期或不定期组织演练，对灾难备份系统的运行状况进行审计和评估，并提出改进意见。 当信息系统运行发生重大问题时，协助相关部门正确判断原因，根据指令立即采取安全措施启动相关处理程序。 加强信息系统的安全教育，通过各种方式进行宣传和培训，提高全系统安全防范意识。 负责信息系统安全工21、作进行指导、检查并进行情况通报。 负责全系统的计算机恶意代码防治和网络安全的管理工作。 负责与外部安全机构（如上海市信息安全认证测评中心）的协调联系，在发生重大安全事件时以协调获取外部安全机构的支持。 负责制订信息系统安全规划，并在实施过程中逐步完善。 负责信息系统运行安全保障工作的管理、组织、实施和监督。 负责运行维护体系和技术支持平台的建设与运行管理。 组织制订和贯彻信息系统运行安全保障和维护工作制度。 组织实施对信息系统各类事故（故障）进行应急处理。 负责数据综合利用和查询展示的管理和实施。 负责容灾备份中心的运行管理。 负责落实信息安全领导小组部署的各项工作。 负责信息系统安全制度、技22、术保障和操作规范的建立及其它相关信息安全管理工作。 负责对信息安全状况的定期检查；当出现安全事件时，对发生的安全事件及时上报，并配合相关的调查和纠正工作。 负责对内部人员进行信息系统安全的教育、培训，提高本局内部人员的信息系统安全意识。3. 各管理人员职责：1) 机房管理员职责：负责机房相关的运维、审批、变更等事务，保存机房相关的文档、数据。 负责保障机房物理与环境的安全建设管理，对实施方责任、时间进度、任务要求、质量控制等进行监督管理。 负责制定机房基础设施的相关资产清单。内容包括资产管理的责任部门、信息分类和资产标识的方法和资产名称、重要程度、所处位置等。 规范机房资产（包括机房物理与环境23、等）管理流程，建立机房资产管理台帐，明确资产所有者、使用者与维护者，对所有机房资产进行标记，实现对机房资产购买、使用、变更、报废整个周期的安全管理。 负责制定重要基础设施等的文档化的操作和维护规程，使得相关人员能够采用规范化的形式对系统进行操作，降低和避免因误操作所引发信息安全事件的可能性。 负责保障机房物理与环境安全。实施包括门禁、视频监控、报警等安全防范措施，确保机房物理安全。部署机房专用空调、UPS等环境保障设施，对机房设施运转情况进行定期巡检、维护、故障处理和变更管理。严格对机房人员和设备的出入管理， 进出需登记，外来人员需由相关管理人员陪同方能访问机房。 在机房基础设施变更、重要操作24、物理访问等的进行逐级审批，负责日常审批，重大变更上报到信息安全部。 负责组织实施机房基础设施各类事故（故障）的应急处理。2) 网络管理员职责：负责网络相关的运维、审批、变更事务，保存网络相关的文档、数据。 负责保障网络安全建设管理，对实施方责任、时间进度、任务要求、质量控制等进行监督管理。 规范网络管理流程，建立网络相关资产管理台帐，明确资产所有者、使用者与维护者，对所有信息资产进行标记，实现对信息资产购买、使用、变更、报废整个周期的安全管理。 采用技术和管理两方面的控制措施，加强对信息系统的安全控制，不断提高网络的安全性和稳定性，信息系统外网与互联网进行逻辑隔离。通过实施网络访问控制等技术25、防范措施，对接入进行严格审批并登记，加强使用安全管理，加强对系统使用的安全培训和教育，确保信息系统的安全。 对重要网络设备应有文档化的操作和维护规程，使得各个相关人员能够采用规范化的形式对系统进行操作，降低和避免因误操作所引发信息安全事件的可能性。 负责保障网络安全。协助安全管理员部署网络安全产品，确保网络安全。对网络设备设施运转情况进行定期巡检、维护、故障处理和变更管理。 在网络系统变更、重要操作、访问等的进行逐级审批，负责日常审批，重大变更上报到信息安全部。 负责组织实施网络各类事故（故障）的应急处理。3) 主机管理员职责：负责主机相关的运维、审批、变更事务，保存主机相关的文档、数据。 负26、责保障主机（包括服务器设备、操作系统、数据库系统、数据备份）安全建设管理，对实施方责任、时间进度、任务要求、质量控制等进行监督管理。 负责主机运行维护体系和主机技术支持平台的建设与运行管理。负责建立服务器设备、操作系统、数据库系统、数据备份文档化的操作和维护规程，使得各个相关人员能够采用规范化的形式对系统进行操作，降低和避免因误操作所引发信息安全事件的可能性。 负责灾难备份系统及相关设施的完善及日常管理工作。制订并完善灾难备份系统运行的评估标准，形成标准化管理模式。监控灾难备份系统运行状况，定期或不定期组织防灾备灾演练，对灾难备份系统的运行状况进行审计和评估，并提出改进意见。 对重要的信息和信27、息系统进行备份，并对备份介质进行安全地保存，以及对备份数据定期进行备份测试验证，保证各种备份信息的保密性、完整性和可用性，确保所有重要信息系统和重要数据在故障、灾难后及其它特定要求下进行可靠的恢复。 在外网上统一部署网络防恶意代码软件，并进行恶意代码库的统一更新，防范恶意代码、木马等恶意代码对信息系统的影响。通过强化恶意代码防范的管理措施，如加强主机管理，严禁擅自安装软件，定期进行恶意代码检测等，提高信息系统对恶意代码的防范能力。负责全系统的计算机恶意代码防治和主机安全的管理工作，制定检查计划（包含在主机巡检工作中），督促检查工作。 加强信息安全日常管理，包括系统口令管理、无人值守设备管理、屏28、幕保护、便携机管理等，促使每位人员的日常工作符合信息系统的信息安全策略和制度要求。 通过功能和技术配置，对重要信息系统、数据等实施访问控制。对系统特殊权限和系统实用工具的使用进行严格的审批和监管。 规范主机（包括服务器设备、操作系统、数据库系统、数据备份）资产管理流程，建立主机相关资产管理台帐，明确资产所有者、使用者与维护者，对所有信息资产进行标记，实现对主机相关资产购买、使用、变更、报废整个周期的安全管理。 在主机系统变更、重要操作、访问等的进行逐级审批，负责日常审批，重大变更上报到信息安全部。 负责组织实施网络各类事故（故障）的应急处理。4) 系统管理员职责：负责应用系统相关的运维、审批、29、变更事务，保存应用系统相关的文档、数据。 负责保障软件开发管理，对实施方责任、时间进度、任务要求、质量控制等进行监督管理。进一步重视软件开发安全。在系统立项和审批过程中，同步考虑信息安全需求和目标。需保证系统设计、开发过程的安全，重点加强对软件代码安全性的管理。属于外包软件开发的，需与服务提供商签署保密协议。系统开发完成后，并要求通过第三方安全机构对软件安全性的测评。 规范信息资产管理流程，建立信息资产管理台帐，明确资产所有者、使用者与维护者，对所有信息资产进行标记，实现对信息资产购买、使用、变更、报废整个周期的安全管理。 负责建立重要应用的文档化操作和维护规程，使得各个相关人员能够采用规范化30、的形式对系统进行操作，降低和避免因误操作所引发信息安全事件的可能性。 规范应用系统资产管理流程，建立应用系统资产管理台帐，明确资产所有者、使用者与维护者，对所有信息资产进行标记，实现对主机相关资产购买、使用、变更、报废整个周期的安全管理。 加强信息安全日常管理，包括应用系统口令管理、授权审批管理等，促使每位人员的日常工作符合信息系统安全策略和制度要求。 在应用系统变更、重要操作、访问等的进行逐级审批，负责日常审批，重大变更上报到信息安全部。 负责组织实施应用系统各类事故（故障）的应急处理。5) 安全管理员职责：负责信息系统的安全相关事务，协助监督安全制度的执行、修改等。 负责安全制度的贯彻执行31、。 负责制订信息系统安全规划，并在实施过程中逐步完善。 负责制定安全设备或系统的相关资产清单。内容包括资产管理的责任部门、信息分类和资产标识的方法和资产名称、重要程度、所处位置等。 负责规范安全设备或系统管理流程，建立管理台帐，明确资产所有者、使用者与维护者，对安全设备或系统进行标记，实现对机房资产购买、使用、变更、报废整个周期的安全管理。 负责制定安全设备或系统的文档化的操作和维护规程，使得相关人员能够采用规范化的形式对系统进行操作，降低和避免因误操作所引发信息安全事件的可能性。 负责对安全设备或系统运行维护管理，对安全设备或系统运转情况进行定期巡检、维护、故障处理和变更管理。负责组织实施安32、全设备或系统各类事故（故障）的应急处理。 负责协助领导安排安全培训，负责协助负责制定每年安全教育计划，加强信息系统的安全教育，通过各种方式进行宣传和培训，提高全系统安全防范意识。 负责制定安全检查计划，至少每季度检查一次。包括检查职责、检查周期、检查范围、检查内容、检查报告的编制、检查整改、检查通报等内容。对信息系统安全检查并进行情况通报。对记录进行收集、整理、归档。 当出现安全事件时，负责对发生的安全事件及时上报，并配合相关的调查和纠正工作。 当信息系统运行发生重大问题时，协助相关部门正确判断原因，根据指令立即采取安全措施启动相关处理程序。 负责与外部安全机构的协调联系，在发生重大安全事件时33、以协调获取外部安全机构的支持。 负责对介质的管理。对介质的归档、查询和借用进行记录，对介质进行定期盘点并记录，对故障介质的进行送修和销毁并记录，对于保密性高的介质销毁需要申报领导批准，并进行记录。对介质物理传输的交接进行记录。 负责对各种记录文档、表单，半年一次进行汇总，并对制度开展情况向信息安全部领导进行汇报。6) 信息安全专家： 协助信息系统的定级的适用性与合理性评审。 参与信息系统建设方案评审，对总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的合理性和正确性进行论证和审定。7) 外包服务商：主要职责见相关合同。四、 授权和审批为规范信息系统运维过程中审34、批程序，加强内部控制，明确审批权限，特此说明需授权审批事项、流程。1. 授权人与事项说明对信息系统相关授权审批事项，信息部对信息系统的访问、变更等授权给信息系统相关安全管理人员。具体如下：1) 机房管理员负责机房相关事务的授权和审批，包括外来人员进出机房、机房基础设施维修和检查、电子门禁出入证审批等。2) 网络管理员负责网络相关事务的授权和审批，包括信息系统网络设备维修与检查、网络设备策略变更、网络设备版本升级、网络设备用户名与密码变更、网络系统链路与结构变更、第三方服务对网络设备的登录与查看等。3) 主机管理员负责主机相关事务的授权和审批，包括主机策略变更、主机应用软件变更、主机维修与检查、35、主机用户名与密码变更、主机接入网络接口与端口变更、第三方服务对主机的查看等。4) 系统管理员负责应用相关事务的授权和审批，包括设备、介质系统用户权限变更、系统策略变更、第三方服务对应用系统的查看等。5) 安全管理员负责信息系统的安全相关事务的授权与审批，包括管理制度的变更、监督安全制度的执行、修改等。6) 信息部主任负责系统重大变更相关事项的授权与审批。2. 授权审批流程对信息系统的操作与变更，由信息部主任判断职责，固定授权给相应的管理人员，审批流程如下：1) 由外包公司或者第三方服务人员发起申请，并填写申请单，相应的管理人员进行授权审批。2) 经审批后，相关操作人员进行操作，审批人对操作人行36、为进行过程监督和检查，确认操作成功后，进行操作成功签字。3) 保存相关授权审批记录。3. 授权审批审查由信息部每年度组织进行对相关管理人员的授权审批记录进行检查，评审下年度相应的授权审批人和审批权限，及时更新需授权和审批的项目、审批部门和审批人等信息，保存审批文档。五、 沟通和合作1. 信息所和相关负责人员、管理人员应加强合作与沟通（如XX中心内部、兄弟单位、与其他相关企事业单位、与系统集成商等）。2. 不定期召开交流和协调会议，共同协助处理信息安全问题，确保安全工作的顺利实施。3. 每半年组织相关部门和人员召开安全工作会议，协调安全工作的顺利实施。4. 加强与其他兄弟单位、公安局及电信公司的37、沟通与合作，经常举行一些沟通交流会，以便在发生信息安全事件时能够得到及时的支持和帮助。5. 聘请信息安全专家作为常年的安全顾问，指导信息安全建设，参与安全规划和安全评审等。6. 建立外联单位联系列表，包括外联单位名称、合作内容、联系人和联系方式等信息；7. 对协调会议、安全评审等进行记录。六、 审核与检查1. 系统管理员应每季度进行安全检查，检查内容包括用户账号情况、系统漏洞情况、系统审计情况等。2. 安全管理员应按照相关策略和要求进行安全检查，并妥善保存相关的安全检查执行记录。3. 网络管理员应每月对网络设备、安全设备进行常规性安全检查和维护，保证网络畅通和安全，并出具相关检查记录。4. 机38、房管理员应每天巡检机房，并记录机房物理状态，保证机房干净、整洁，消除机房潜在威胁。5. 主机管理员，应每月对主要服务器进行安全检查，主要包括：安全审核策略、密码策略、账户策略、系统补丁等，并出具相关报告。6. 安全领导小组应定期召开信息安全会议，审核信息所相关记录和报告，规划下阶段安全计划。第四章 人员安全管理制度一、 人员录用制度1. 应保证被录用人具备基本的专业技术水平和安全管理知识，在正式上岗前应对被录用人员进行基本的专业技术水平考核和安全管理知识考核。2. 应对被录用人的身份、背景、专业资格和资质等进行审查，并对相关审查资料进行留底和备案。3. 应对被录用人所具备的与岗位相关的技术技能39、进行考核。4. 应对被录用人说明其角色和职责，并进行针对性的岗位培训。5. 被录用人应签署保密协议，防止系统中的核心信息和相关重要信息的泄漏。二、 人员离岗制度1. 对于因各种原因即将离岗的员工，应立即终止其与系统相关的所有访问权限。2. 即将离职的系统管理员，应将管理设备的口令和密码上交，后续管理员应在第一时间进行口令和密码的修改工作。3. 应立即取回即将离职员工的各种与系统和单位相关的身份证件、钥匙、徽章等以及机构提供的软、硬件设备和其他介质。4. 离职员工应在人事部门办理严格的调离手续，并承诺调离后的保密义务后方可离开，详见中心组织人事处人员离职流转单。三、 人员考核制度1. 应定期对各40、个岗位的人员进行安全技能及安全认知的培训和考核，以确保系统各个方面的管理人员意识到信息安全威胁和隐患，并在正常工作时遵守信息安全方针，这种培训与考核有时候要扩大到有关的第三方管理人员和用户。2. 应对关键岗位的人员进行全面、严格的安全审查；对与系统各个方面的管理人员应该进行身份审查、岗位职责审查、权限和责任审查、保密审查等；对其他关键人员应该进行身份审查岗位职责审查等，以确保系统的安全运行和管理。3. 对违背安全策略和规定的人员进行惩戒；对违规的单位内部员工，情节较轻的，进行批评并要求其进行书面检讨，情节较重的，由相关部门追究其行政责任；对于违规的第三方管理人员，情节较轻的，责令其改正，并告知41、其项目负责人和该公司相关负责人，情节较重的，由相关部门追究其行政责任。四、 安全意识教育和培训1. 定期对各类人员进行环境安全、信息安全等方面的安全意识教育，可以通过召开会议或下发书面文件进行。2. 准确告知每个岗位上人员相关的安全责任和相关惩戒措施，对于较为关键和复杂的，应进行指导和相关培训工作。3. 制定安全教育和培训计划，不定期对信息安全基础知识、岗位操作规程等进行培训。4. 对安全教育和培训的情况和结果进行详细记录，并归档保存。五、 第三方人员访问管理1. 第三方人员应在对系统进行访问前需签署安全责任合同书或保密协议。2. 第三方人员对中心机房的访问，必须通过电子邮件的申请，并经过信息42、所的审批，到场后填写外来人员访问登记表（附件5），由专人陪同或监督下进行，对于访问人、访问时间、访问对象等相关信息进行记录并备案。3. 未经信息所相关负责人许可，第三方人员不得使用任何方法（如拷贝磁盘、刻录光盘、打印数据、手工记录等）带走与系统相关的任何数据和程序，否则，视为严重违规处理。4. 第三方人员使用的系统或设备口令和密码，日常工作相关管理人员应在其离开后立即更改。第五章 系统建设管理制度一、 系统定级1. 根据此系统的整体规划和设计运行需要，按照信息系统安全等级保护定级指南，此系统的安全保护等级拟定为三级。2. 以书面的形式定义确定了安全保护等级的信息系统的属性，包括使命、业务、网络43、硬件、软件、数据、边界、人员等。3. 确保信息系统的定级结果经过相关部门的批准。二、 安全方案设计和审定1. 根据此系统的安全等级保护级别选择安全措施，依据风险评估的结果补充和调整相应的安全措施。2. 以书面的形式描述对系统的安全保护要求和策略、安全措施等内容，形成系统的安全方案。3. 对安全方案进行细化，形成能指导安全系统建设和安全产品采购的详细设计方案。4. 组织相关部门和有关安全技术专家对安全设计方案的合理性和正确性进行论证和审定。5. 在项目正式开始实施之前，应确保安全设计方案经过相关部门和有关技术专家批准。三、 产品采购1. 确保采购的所有产品（包括网络产品、安全产品等）都符合国家44、的有关规定和信息安全等级保护对应等级的相关标准。2. 确保所采购的所有密码产品都符合国家密码主管部门的要求。3. 指定或授权专门的部门负责产品的采购。四、 自行软件开发1. 确保开发环境与实际运行环境物理分开。2. 确保提供软件设计的相关文档和使用指南。3. 在软件安装之前检测软件包中可能存在的恶意代码，并制定恶意软件代码检测文档。4. 确保系统开发文档由专人负责保管，系统开发文档的使用受到控制，并对系统开发文档的使用进行认证的书面记录。五、 外包软件开发1. 与软件开发单位签订相应的软件开发协议，明确知识产权的归属和安全方面的要求。2. 根据软件开发协议的要求检测软件质量，或者请第三方软件测45、试单位对软件质量进行检测。3. 在软件安装之前和应用系统正式上线之前检测软件包中可能存在的恶意代码。4. 要求软件设计开发单位提供软件设计的相关文档和使用指南。5. 要求软件开发单位针对软件的安装、使用和注意事项进行相关培训。六、 工程实施1. 项目开始实施之前，应与工程实施单位签订与安全相关的协议，以约束工程实施单位的行为和工程实施的质量。2. 在项目实施的过程中，应指定或授权专门的人员或部门负责工程实施整个过程的管理，必要时可引入外部信息工程监理机构进行工程实施的监理。3. 应制定详细的工程实施方案控制实施过程，确保工程的进度和工程的完成质量。4. 应制定工程实施方面的管理规范，明确说明实46、施过程的控制方法和人员行为准则，及时提交相关表单文档。七、 测试验收1. 系统建设完成之后，应组织对系统进行软件运行测试、系统应用测试、系统安全性测试等。2. 在测试验收前根据系统设计方案和合同要求等制订测试验收方案，测试验收过程中详细记录测试验收结果，形成测试验收报告。3. 对系统测试验收的控制方法和人员行为准则进行书面规定。4. 指定或授权专门的部门或人员负责系统测试验收的管理，并按照管理规定的要求完成系统测试验收工作。系统测试验收过程中，要重视系统安全性测试，应针对安全性测试专门设计测试方案，形成测试报告。5. 组织相关部门和相关人员对系统测试验收报告进行审定，没有疑问后由双方签字。八、47、 系统交付1. 对系统交付的控制方法和人员行为准则进行书面规定。2. 明确系统的交接手续，形成书面系统交接流程，并按照交接流程完成交接工作。3. 制定详细的系统交付清单，并根据交付清单对所交接的设备、软件和文档等进行清点和确认；4. 系统交付后，应敦促系统建设方完成对委托建设方的运维技术人员的相关培训工作。5. 系统交付后，应敦促系统建设方提交系统建设过程中的相关文档和指导用户进行系统运行维护的技术文档。6. 系统交付后，系统建设方应进行一定期限的服务承诺，并提交服务承诺书，及时的对系统运行维护提供技术支持，以确保系统能够安全、稳定、高效的运行。九、 安全服务商选择和运维1. 在选择安全服务商48、时，确保该服务商能够符合国家信息安全的有关规定。2. 与选定的安全服务商签订安全服务协议。第六章 办公环境保密管理制度1. 单位门卫处负责外来来访人员出入登记，门卫处核实来访人员时须与单位相关接待人员联系并填写审批表。2. 接待人员应在公共接待区接待外来人员，未经允许不得私自将外来人员带入办公区域内；3. 带领外部人员进入办公场所时，应主动进行出入登记。4. 办公人员在远离自己的办公位置时，应确保办公位置上无重要、敏感文件，办公电脑处于锁定状态。5. 工作人员调离办公室时，应将磁卡、钥匙等相关证件进行交接并登记。第七章 机房安全管理制度一、 机房出入管理1. 最后离开机房的人员要关灯、锁门。由49、机房负责人（管理员）对机房出入进行核查。2. 对外部人员进出机房，需经领导批准后并填写人员进出机房登记表，外部人员进出机房需有安全小组人员陪同并控制其活动范围。3. 机房门禁系统的磁卡必须专人专用，妥善保管，不得随便借给他人使用。严禁携带易燃易爆物品、强磁物品、食品及其它与工作无关的物品进入机房。4. 进入机房的人员，必须换上专用拖鞋或套上鞋套。5. 机房相关负责人下班之前，检查设备及电源情况，在确保安全的情况下，方准离开。6. 机房门禁卡由信息所保管，不得随意转借，丢失应及时声明。二、 机房环境管理1. 机房工作人员需做好机房清洁工作，保证机房清洁明亮。2. 机房内禁止吸烟，注意防火。3. 50、机房相关负责人进行定期对机房环境（包括空调温、湿度；电力系统；网络设备；服务器）进行巡检，保证机房设备、环境的卫生和相关设备的有效性，并填写机房每日巡检表（详见附件2）。4. 电力设施注意相关机房内设备不要插入墙壁插座。5. 机房温度尽量保持在22-24摄氏度，相对湿度保持在50-60%，电压2205%，电流40A。6. 为防止磁记录的破坏，机房内不准使用磁化杯、收音机等产生磁场的物体。三、 机房设备管理1. 机房设备维修和出入，机房相关负责人需登记设备出入机房登记表（见附件3）记录工作。2. 进入机房的工作人员未经允许不得随意对机房内设备进行操作，非管理人员不可对设备进行任何调试；设备发生故51、障时，应对故障产生、处理过程和结果等做好详细记录。3. 机房硬件设备（包括网络设备、安全设备、服务器等）须按要求放置在机房内，不得自行配置、更换或者带出，更不能挪作它用。4. 发现违规行为，违规人员要进行书面检讨，违规事件应报安全领导小组负责人进行记录。第八章 资产安全管理制度一、 资产管理职责部门综合保障处归口管理我中心所有固定资产，中心所有固定资产均适用中心制定的固定资产使用管理办法，信息所为本单位信息系统资产管理的责任部门，其职责如下：，其职责如下：1. 负责相关信息资产的管理，包括采购、记录、变更、报废等；2. 负责备品备件的出入库管理；3. 负责对有形资产进行分类、分级和标记；4. 52、负责检查台帐、信息系统中信息资产相关记录，并将记录情况纳入考核计划中。5. 建立重要数据信息管理登记档案，详细记录数据信息的分类、名称、用途、借阅等情况，并对所有信息系统实行登记备案管理。6. 按资产的使用规则和限制，正确使用信息资产；7. 对于数据信息设有明确的访问权限，具有相应权限的人员才能访问该类数据信息。8. 根据数据信息的重要等级规定相应的传播方式。严禁涉密数据信息在非涉密网络上传播。已确认作废的数据信息需妥善处理，避免数据的外泄。二、 资产的分类分级1. 资产分类分为关键资产和非关键资产： 关键资产：对业务连续性和系统可用性影响大的资产（价格或价值较高的资产）。 非关键资产：对业务53、连续性和系统可用性影响小的资产（价格或价值较低的资产）。2. 数据资产可以按其对信息系统的重要性程度，以及信息的保密性、完整性、可用性被破坏后对信息系带来的影响，划分为以下几种安全级别： 敏感信息：涉及工作秘密等信息 一般信息：不涉及工作秘密的信息三、 资产的登记与标记1. 各科室配合综合保障处对固定资产进行分类分级、登记，确定该资产的类型、编号、用途、位置、格式、规格、价值等具体信息；2. 根据发放的资产清单及设备标牌，对有形资产进行粘贴标记，并指定资产责任人，由资产责任人对所负责的资产进行保护；3. 在资产新增、更新、调拨、报废时，向综合保障处提出需求，经过审核，报告领导批准后按照相关规定54、执行，由综合保障处更新固定资产清单；4. 各科室配合综合保障处定期检查有形资产的标记与使用情况，对资产丢失，标签缺损的情况进行记录，并纳入考核；5. 对管理的数据资产进行归类和统计，对电子文件采用统一样式的电子标记进行标识。四、 资产的使用与维护1. 制定信息资产使用规范说明，包括使用授权、管理方式、操作方法、移动管理等。2. 工作人员，包括雇员、承包方人员和第三方人员需明确到他们使用信息资产时的限制条件，需对信息资产的使用和管理负责；3. 确保在采用移动介质进行数据传输时，传输完毕后及时删除介质上保留的数据信息，对于只读介质，由信息安全专员进行保存；4. 存储介质在长期存储时，需确保介质贮存55、地点符合防火、防水、防震、防潮、防霉、防鼠害、防虫蛀、防静电、防磁等方面的安全要求，介质的存储要符合介质生产商对介质存储的要求；5. 定期对单位存储介质中的数据进行备份和恢复测试，并进行测试记录，防止由于介质老化而导致的重要信息丢失；6. 涉及国家秘密的信息通过移动介质进行存储时，应参照国家有关规定执行；7. 定期检查数据资产的安全管理情况，发现问题进行记录。五、 资产的移动管理1. 所有有形资产的移动必须经过资产责任授权；2. 物理介质在物理地点之外运送时，为了防止未授权访问、不当使用或被毁坏，各部门可采取以下必要的措施： 物理介质的包装采取防篡改的包装进行密封（即封口破坏后无法恢复原状，可56、以很容易发现未授权访问的企图），防止信息在送信的过程中泄漏或被修改。 含有敏感信息的物理介质必须由内部人员亲自押运，不得交由第三方单独运送。3. 所有有形资产的移动必须登记。六、 资产的销毁1. 各部门检查并清空待报废设备内的所有信息，交综合保障处统一处理。2. 综合保障处对报废设备进行清点，形成待报废设备清单。3. 综合保障处定期对报废设备进行统一处理，处理前对设备的存储信息进行检查。4. 门根据介质上存储的信息的敏感程度，采取适当的措施对已报废的介质进行处理： 包含敏感信息的介质，应按照国家要求，去专门地点删除原有介质上的数据信息或进行消磁处理；对于只读介质，可采用粉碎等方式进行处理。 对57、处置敏感介质做记录，以便保持审核踪迹。第九章 信息分类分级标识管理制度一、 信息资产分类标准分类原则根据信息资产的表现形式，可将信息资产分为系统相关信息、业务信息等。 二、 信息等级划分标准信息包括数据和文档，各部门需将所有信息按照敏感性和重要程度分为不同的等级，并按不同的等级进行标识和处理。三、 等级划分标准信息等级划分标准描述如下：涉及国家秘密的信息数据按照相关国家保密要求的进行处理，在安全保密管理相关制度中具体描述。涉及国家秘密的信息不准进入 城市综合管理和应急联动中心系统。本单位以业务系统的信息为主：1. 敏感信息：最重要的业务系统信息，泄露会使业务系统安全遭受特别严重的损害。 保存方58、法：根据相关规定，统一存放在指定地点。 处置方法：对于敏感信息需严禁复制、存储、邮寄、传真和E-MAIL，不允许将其通过电话和手机等以交谈方式告诉第三方，如需借阅必须经过授权或填写借阅记录。2. 内部信息：重要的业务系统信息，泄露会使系统的安全和利益遭受严重的损害。 保存方法：各部门分别存放在加锁文件柜中。 处置方法：可在得到授权的情况下对机密文件进行复制、存储、邮寄、传真和E-MAIL，可在授权的情况下将其部分内容通过电话和手机等以交谈方式告诉相关人员，如需借阅必须经过授权或填写借阅记录。3. 公开信息：一般的业务系统信息，泄露会使业务系统安全遭受损害。 保存方法：指定专人管理，具有专门存放59、的文件夹。 处置方法：对于信息文件可以在本单位内或部门内部复制、存储，可以传真和E-MAIL给相关人员，可以将其通过电话和手机等方式告诉相关人员，如需借阅必须经过授权或填写借阅记录。4. 可以公开：可以在单位内部传阅。 保存方法：各人文件夹。四、 标记与处理在对信息划分等级的同时，必须对信息进行标记。信息的标记遵循以下规范：1. 电子文档的右上角加上方框来标明该文档的信息等级，方框高2cm，宽3cm，方框内加注字体大小为4号，字体为宋体。2. 纸质文档要标上信息等级（一级、二级、三级）。3. 敏感信息在输出时要携带合适的分类标记，输出方式可以表现为打印出的报告、屏幕显示、记录媒体（例如磁带、磁60、盘、CD）、电子报文和文件传送等。4. 所有的数据复印都要清楚标明信息等级，以便使授权的接收者注意。第十章 介质安全管理制度介质属于资产类，故资产管理责任单位为局规财处。一、 介质的使用与维护介质包括磁带、磁盘、U盘、光盘、硬盘、存贮卡和打印出的文件等，对移动介质的管理如下： 存储介质的领用、发放、维修、销毁等需履行相应的手续，包括申请、审批、登记、归档等必要环节，并明确各环节当事人的责任和义务。 存储介质必须经过病毒查杀后，方可进入计算机信息系统运行。 如果信息不再需要，需删除可重复使用的移动介质中的信息。 如果信息需要保存，则使用人保存在个人计算机中，而不应放在移动介质中。 介质在长期保管61、时，其保管的地点必须满足防火、防水、防震、防潮、防霉、防鼠害、防虫蛀、防静电、防磁等方面的安全要求，介质的保管要符合介质生产商对介质保管的要求。 并定期对介质中的数据进行转存和验证测试，防止由于介质老化、失效而导致的重要数据丢失。 各科室若需使用存储介质，需经主管领导审批同意后统一向综合保障处消耗品管理员处领用，并进行计算机消耗品领用本登记。 各科室内部实行存储介质借用制度，由借用人填写“介质借用/领用申请表”向科室相关负责人借用介质，介质使用后及时归还。各相关负责人需做好相关的登记管理工作。 存储介质的保管工作必须符合国家相关管理制度。各类存储介质如未经批准严禁由个人私自带离开本单位外。 对62、重要介质中的数据和软件采取加密存储，并根据所承载数据和软件的重要程度对介质进行分类和标识管理。 非SM存储介质不得用于存储SM信息，SM存储介质也不得任意用作他途。SM存储介质不得在非密计算机上使用。已定为SM存储介质的密级不可降低密级使用。 存储介质由信息所负责标明密级，发放和领用介质时需进行相关登记。二、 介质定期检查定期对存储介质进行清点，收回不使用介质，核对使用人员登记。定期对移动存储介质进行统一杀毒处理。三、 介质的维修与报废1. 介质送出维修之前需进行申请审核，确保删除敏感信息，维修地点要送到专门的定点单位。如可能有敏感信息，维修过程需安排人员全程监督。2. 存储介质维修维护由专人63、负责。外送维修必须到本单位服务外包定点单位。3. 对存储敏感信息的存储介质需在指定地点，由指定人员（并有人监督）进行安全的报废和处置，以免敏感信息外泄。4. 磁带可通过消磁或物理破坏的方式进行处置，确保消除磁带上所存储的敏感信息。5. 磁盘、U盘、硬盘、存贮卡等可通过专业软件或多次格式化进行处置，或者采用物理方式进行破坏。6. 光盘可通过物理方式进行粉碎处理。7. 定期收集损坏的存储介质，经分管主管领导批准后，进行统一销毁。 第十一章 设备安全管理制度一、 总则为规范化信息化设备的购买、使用、维护、报废流程，明确设备购买、使用、维护和报废流程中的申报、审批责任，确保信息化资产使用过程信息安全，64、特制订本管理制度（本制度中未明确部分参考我中心固定资产使用管理办法）。二、 设备的购买本单位此处所指设备指单位使用范围内的IT设备、信息安全产品和密码类产品等，设备的购买由局规财处根据单位需求，提交申请，经过相关领导一致审批通过后购买。 选购IT设备前，对拟购买的IT设备进行试用，测试其性能及安全功能是否满足需求，若不能满足，则考虑其他供应商或采取相应的控制措施。 选购信息安全产品， 需对产品资质进行审查，选购通过国家权威机构认证的信息安全产品。 选购密码类产品，需对产品资质进行审查，使用国家保密主管机构批准的密码类产品。三、 设备的登记与领用1. 综合保障处对本单位所有IT设备的硬件配置、操65、作系统、责任人等信息进行登记，在设备台帐中记录该设备的品牌、型号、S/N号、详细配置、保修期限等，在设备上粘贴设备标签后，资产入库，非涉密IT设备严禁存放、浏览涉密信息。2. 需使用设备的，由资产使用人提出资产领用申请，经科室负责人审批后，至资产管理员处办理领用。资产管理员在资产台帐中记录该资产的领用人，领用人在设备标签上进行签字后，方能办理资产出库，交由领用人使用。四、 设备的维护流程1. 设备管理采取专人负责的原则，为每台设备指定责任人，若设备为个人使用，则设备使用人为设备责任人，负责定期检查设备情况；若设备为单位系统使用，则任命相关负责人负责设备的维护与定期检查。2. 各设备负责人需按照66、信息设备维护要求的时间间隔和规范，对设备进行维护并记录。3. 个人使用设备如需升级或维修，应由使用用人提出申请，经领导批准后，进行维修或升级；单位系统使用设备需升级或维修，需由相关负责人提交申请，经领导批准或进行设备维修和升级。4. 原则上个人使用设备由使用责任人维护，如出现本人不能维护的故障时，及时通知信息所，由信息所视具体情况进行设备报修。5. 送外单位维修的设备不得存储内部敏感信息。在送修前由信息所对送修设备是否存有内部敏感信息进行检查。如有，则先拆除硬盘等存储部件，或使用信息清除软件对磁盘信息进行彻底清除后，方能送修。6. 重要设备的维护人员在现场维护过程中，需有单位相关负责人在场，外67、部人员的访问进行登记，必要时要求其签署保密协议。7. 设备进行升级或维修后，如设备配置进行了变更，则由资产领用人将最新设备配置报资产管理员处进行备案，以保证有资产管理员处有最新的设备配置。五、 设备操作规程1. 应规范信息系统设备包括终端计算机、工作站、便携机、系统和网络等设备和使用管理，建立信息系统设备维护操作规程。2. 具体操作规程应包括服务器安全运维操作规程、网络设备运维操作规程、安全设备运维操作规程、终端维护操作规程、机房基础设施维护操作规程、系统维护操作规程。具体要求如下： 操作规程的制定应符合设备特性； 操作规程应规范设备、系统的登录方式、操作流程； 操作规程应明确操作人员每种的操68、作类型、操作结果等； 操作规程应规定设备、系统人员操作角色等。3. 设备、系统运维操作规程的建立应通过信息部领导的审批授权后，方能投入具体实施。4. 应定期对操作规程做定期评审，评审操作规程的合理性和适用性。5. 操作人员应严格按照具体操作规程执行，如有违背，按照情节严重性处以警告、记过、开出等惩罚。六、 设备的报废1. 设备确因设备老化、性能落后等原因，造成设备无法继续使用的，由资产管理员提出报废申请，依照相关管理规定，实施报废处理，并在资产清单中进行记录。2. 设备在报废处理前，由信息所对其是否存有内部敏感信息进行检查。如有，对于其存储部件进行消磁或物理毁坏，确保不会因设备处置不当造成泄密69、。第十二章 监控管理制度建立安全管理中心，该安全管理中心由安全领导小组、信息管理员、信息所组成，主要负责信息系统物理环境、网络运行环境、主机运行环境、系统运行环境等平台的监管、突发事件的处理、上报和应急。 对信息系统内所有物理门禁、环境参数、应用情况进行监控，并设立专人负责相关监控系统、设备的日常维护，对异常行为做出及时处理并记录。 对信息系统内所有的设备运行、通讯链路进行监控，每周进行巡检，对异常情况进行记录，并由信息所进行处理。 系统运行期间，不定时检查数据库服务器、应用服务器及网络等运行是否正常，记录日常巡检情况。 信息所每日应对应用系统对应服务器上的系统错误日志、磁盘或数据库文件使用率70、CPU使用率等信息进行检查，记录检查结果如发现异常，及时进行诊断和故障排查，针对不能自行解决的故障，立即通知安全领导小组和维护厂商进行处理。 操作系统管理岗位对所有服务器系统日志、磁盘使用率、CPU使用率等进行检查。记录检查结果，如发现异常，及时进行诊断和故障排查，针对不能自行解决的故障，立即通知安全领导小组和维护厂商进行处理。 数据库管理岗位对数据库服务器安全日志、非法登陆信息、数据库错误日志等进行检查，记录检查结果，如发现异常，及时进行诊断和故障排查，针对不能自行解决的故障，立即通知安全领导小组和维护厂商进行处理。 对于上述系统日常监控工作，应考虑采用工具或脚本实现自动实时监控，一旦发现71、错误或告警，通过邮件方式发送到管理员信箱，通知管理员及时处理。第十三章 系统运维管理制度一、 系统维护管理1. 安全系统必须做好防火、防热、防潮、防尘、防磁、防盗各方面的物理安全防护。2. 内部服务器和业务应用系统需部署网络入侵检测系统，实现对网络中的入侵行为的监测。分析入侵的警报，采取相应的预防措施。3. 信息所的操作人员上岗前必须经过上岗前的专业知识培训，包括专门的信息安全培训，能正确地执行本岗位操作工作。4. 重要信息系统的操作手册和系统运行维护保养手册作为工作秘密由安全管理员保存并存档，根据“责任分割”的原则，各岗位操作人员只能得到操作手册的相关部分，并要求其妥善保管。操作手册更新后，72、由安全管理员发到各操作人员手中，同时回收旧版本，确保岗位操作人员得到最新和正确的操作手册。5. 定期对系统使用中的信息安全管理情况进行检查。6. 在制定的所有系统外包服务协议中，必须包括网络的安全特性、服务级别以及所有系统服务的管理要求等内容。7. 在系统服务过程中，需根据系统服务协议中规定的安全条款、安全特性、服务级别管理等要求对服务提供商的服务进行定期评审和监督。8. 系统管理员对系统中运行的软件版本进行严格控制，对系统软件版本升级、补丁更新、安全加固等活动组织评审和测试，防止因上述变更影响到应用系统的正常运行。9. 定期对系统进行漏洞扫描，对发现的系统安全漏洞及时进行修补。10. 安全系73、统如遇故障，安全管理员立即向单位领导汇报，同时通知相关技术人员和单位进行维修。二、 系统访问控制由信息所基于业务和访问的安全要求，建立各应用系统的访问控制策略，作为系统维护保养手册的一部分。 1. 访问控制策略需考虑到下列内容： 各个业务应用的安全要求； 业务应用中工作角色和用户访问需求； 网络环境中的访问权限的管理要求； 访问控制角色的分离，例如访问请求、访问授权、访问管理； 用户访问请求的正式授权管理要求； 用户访问控制的定期检查与评审要求； 用户访问权的取消。2. 基于访问控制策略，对操作系统的登录程序加以控制： 不显示系统或应用标识符，直到登录过程已成功完成为止； 显示只有已授权的用户74、才能访问计算机的告警通知； 在登录过程中，不提供对未授权用户的帮助消息； 限制所允许的不成功登录尝试的次数； 记录不成功的尝试和成功的尝试； 如果达到登录的最大尝试次数，向系统控制台发送警报消息。3. 系统管理员需限制用户对应用系统远程访问的范围和内容，在远程访问过程结束后需确保断开连接；4. 系统管理员负责记录用户远程访问操作过程，包括访问时间、连接方式、访问用户、操作过程等。5. 针对防火墙及入侵检测等安全系统的远程访问，必须使用严格的用户认证手段，任何情况下都不允许通过其他网络对安全系统实施远程访问。另外，安全系统的远程连接中必须使用加密技术，以防窃听。三、 系统用户安全管理1. 系统用75、户注册与注销程序 在服务器和系统进行安装时，要改变默认的操作系统管理员账号名称和数据库账号名称； 新用户注册时，由用户所在部门递交访问授权异动申请，并报相关系统管理员审核； 系统管理员需检查所授予的访问级别是否与业务目的相适合，是否与组织的安全方针保持一致，例如，它没有违背责任分割原则； 如申请不符合业务要求，则不予批准，如符合要求，由系统管理员根据访问授权异动记录，在系统中建立唯一用户ID； 在对于业务或操作而言必需的地方，才允许使用组ID，此时需递交组ID申请，并报相关系统主管审核批准； 当用户的工作角色或岗位发生变更，或离职时，员工所在单位（部门）需立刻递交访问授权异动申请，并报相关系统76、管理员批准；系统管理员根据新的访问授权异动申请取消或封锁该用户的访问权； 各信息系统管理人员负责定期（每月）检查并取消或封锁多余的用户ID和帐号，确保多余的用户ID不会发给其他用户。2. 系统用户标识和鉴别 所有用户拥有唯一指定标识，如员工工号； 用户ID是应用系统中用户唯一的、专供其使用的标识符，系统管理员需配置系统，使用户的各个活动能追踪到责任者； 当需要采用一组用户或一项特定作业使用一个共享的用户ID时，需遵照组ID管理进行控制，具体参见“用户注册及注销程序”的组ID条款；3. 系统用户口令管理 在用户初次使用应用系统时，系统管理员提供给一个安全的临时口令，并强制其立即修改；临时口令以安77、全的方式给予用户，不得使用第三方或未保护的（明文）电子邮件消息； 系统管理员需对用户口令设置进行指导和要求，如口令长度和复杂性、定期更换等； 系统管理员需确保口令不以未保护的形式存储在计算机系统内； 系统管理员需在系统或软件安装后改变提供商的默认口令；4. 各信息系统管理人员根据已审核批准的访问授权异动申请表为用户进行正确的授权，使得用户与其行为相连接；5. 特殊权限管理应遵守用户注册和注销管理程序的规定，特殊权限包括操作系统、数据库管理系统和每个应用程序，特殊权限需被分配一个不同于正常业务用途所用的用户ID；6. 用户访问权限复查 系统管理员负责定期（每年）或在有任何变更之后（如人员提升、降78、级或雇用终止）清查并填写访问授权相关记录； 对于特定的特殊权限的访问权的授权，系统管理员每6个月进行一次访问权复查，填写访问授权相关记录；具有特殊权限的帐户的变更需在周期性复查时记入日志。四、 系统审计1. 系统日志包含的内容： 用户ID； 日期、时间和关键事件的细节，例如登录和退出； 终端身份或位置； 成功的和被拒绝的对系统尝试访问的记录； 成功的和被拒绝的对数据以及其他资源尝试访问的记录； 系统配置的变化； 特殊权限的使用； 系统实用工具和应用程序的使用； 访问的文件和访问类型； 网络地址和协议； 访问控制系统引发的警报； 防恶意代码系统等防护设施的激活和停用。2. 系统管理员必须将系统所79、有服务器、应用软件等等系统审核、帐号审核和应用审核的日志系统的功能打开，如有警报其功能也必须打开。3. 日志必须保存一定的期限，任何个人和部门不得以任何理由删除保存期之内的日志。4. 日志必须由系统管理员定期检查，特权使用、非授权访问、系统故障和异常等条目必须进行评审，以查找影响信息安全的风险来源和事实。5. 安全审计员负责人需定期评审系统管理员和系统操作员的活动日志。6. 系统管理员和安全审计员共同确保入侵检测系统和安全审计系统处于启动状态，日志需保存一定期限，定期评审异常事件，对所有可疑或经确认的入侵行为或入侵企图需及时汇报并采取相应的响应措施。 7. 安全审计员负责记录、分析故障日志，并80、对其采取适当的措施。8. 安全管理员负责评审故障日志，以确保已满意地解决故障。9. 安全管理员负责评审纠正措施，以确保没有危及控制措施的安全，以及所采取的措施给予了充分授权。五、 监视系统的使用信息所建立信息处理设施的监视使用程序，并定期评审监视活动的结果。各个设施的监视级别由风险评估决定。要考虑的监视范围包括：1. 授权访问的细节。 用户ID； 关键事件的日期和时间； 事件类型； 访问的文件； 使用的程序/工具。2. 所有特殊权限操作。 特殊权限帐户的使用，例如监督员、根用户、管理员； 系统的启动和终止； I/O设备的装配/拆卸。3. 未授权的访问尝试。 失败的或被拒绝的用户活动； 失败的或81、被拒绝的涉及数据和其他资源的活动； 违反访问策略或网关和防火墙的通知； 私有入侵检测系统的警报。4. 系统警报或故障。 控制台警报或消息； 系统日志异常； 网络管理警报； 访问控制系统引发的警报。5. 改变或企图改变系统的安全设置和控制措施的活动。六、 系统备份1. 信息所制定系统备份策略，包括系统配置备份和设备备份，并做好相应备案；2. 信息所根据系统备份策略定期做好系统配置备份和系统设备备份，并做好备份记录；3. 信息所做好系统配置及设备备份的保存与管理，保证备份的安全性；4. 信息所定期对配置备份及设备备份进行测试，保证系统备份的可用性，并对测试结果进行记录。七、 时钟同步信息所负责实现82、信息系统内的所有信息处理设施的时钟使用已设的精确时间源进行同步。第十四章 网络安全管理制度一、 网络安全规划1. 信息所在网络系统规划、升级、改造建设过程中，组织相关人员对网络建设方案进行评审，使方案满足网络安全管理要求。2. 当网络拓扑结构发生变化时，及时更新网络拓扑图并将相应的安全策略。二、 网络接入控制1. 对涉及到网络变更方面的需求（如网络结构变更、终端网络需求变更（如Hub的接入）、非常规性网络访问（如外来人员临时性访问），需提出书面申请，信息所对变更申请进行评审通过后，方可进行操作；2. 对网络与其他外部单位网络的进行安全防护，在网络边界处采取安全措施进行有效隔离防护，并对违规行为83、进行检查和阻断；3. 对网络进行VLAN和安全域划分，不同业务应用系统尽量安排在不通的安全域中，各VLAN和安全域间需采取有效的访问控制措施；4. 对网络设备、网络设备之间的连接线缆进行标识，重要网络端口也须进行详细标识；三、 网络安全审计1. 采取开启网络设备日志，记录与网络安全相关的操作与活动，并定期对记录进行评审，将评审结果进行记录。2. 日志保存时间至少保证在一个月以上。3. 在网络关键位置采取网络审计手段，对网络访问操作行为进行记录，定期对记录进行评审，将评审结果进行记录。四、 网络设备管理1. 制定网络备份策略（如网络配置备份、硬件备份），并做好相应备案；2. 网络设备应尽可能采取84、最小服务，以提高网络设备的吞吐率和运行稳定性；3. 每月对网络配置、网络设备日志进行备份，并做好备份记录；4. 做好网络配置、网络设备日志及网络设备备件的保存与管理，保证备份的安全性；5. 定期对配置备份及设备备件进行测试，保证其可用性，并对测试结果进行记录；6. 定期对网络设备巡检，并形成书面维护记录，运行日志进行较长时间的保存，一般是3个月。7. 根据厂家提供的软件升级版本对网络设备进行更新，并在更新前对现有的重要文件进行备份；8. 建立日志服务器，保存日志时间要求超过6个月；9. 定期对设备口令进行更新。五、 网络安全检查1. 信息所应制定详细的网络检查项目，对网络系统运行的日常检查工作85、，将检查结果进行记录。2. 信息所应定期对网络设备配置进行检查和评估，确保网络配置与安全策略保持一致，并对检查结果进行记录。3. 信息所应定期对网络系统进行漏洞扫描，对发现的网络系统安全漏洞进行及时的修补。六、 网络访问控制1. 制定网络访问控制策略，并做好相应备案。2. 访问控制策略内容需包括： 根据业务、管理等情况，对不同的科室和业务接入进行划分。 明确只能访问被允许访问的网络和网络服务。 规定访问网络和网络服务使用的手段(如，拨号、VPN等)。3. 基于网络访问控制策略进行网络路由控制。4. 如有用户需要接入网络，填写终端接入申请表，向信息所提出书面申请并审核开通，确保网络用户的访问权限86、符合网络访问控制策略。5. 制定远程设备维护的管理职责与制度，交信息安全管理小组备案，以保证远程维护人员的操作符合信息安全管理策略，防止由于疏忽、密码账户泄漏造成未授权访问连接网络设备与服务器。6. 信息所确保维护厂商的远程维护连接只允许访问指定的设备和服务，由安全领导小组负责审批、开启和关闭，保持每次远程连接记录备查，并对远程访问帐号定期进行审核。7. 信息所对远程诊断和配置端口采取技术手段与管理措施进行保护，如无必要，禁止使用远程诊断和配置端口。8. 信息所需对远程用户进行身份鉴别（如回拨程序、证书、密钥、口令等），若系统的远程访问无法提供用户鉴别措施时，禁止使用远程访问功能。七、 网络服87、务安全1. 所有网络服务协议中，必须包括网络的安全特性、服务级别以及所有网络服务的管理要求等内容。2. 在网络服务过程中，根据网络服务协议中规定的安全条款、安全特性、服务级别管理等要求对服务提供商的服务进行定期评审和监督。第十五章 恶意代码防范管理制度一、 病毒及恶意代码防范的日常管理1. 安装杀毒软件的计算机，不得自行卸载或安装第二套防杀恶意代码软件，以免造成杀毒功能失效或系统不稳定情况，且任何人员不得擅自停用杀毒软件。2. 信息系统所使用的软件必须是正式版本，不得使用测试版和盗版软件。安装重要的软件，需向中心分管领导提出申请，经同意后安装。3. 定期进行培训，提高所有用户的防病毒及恶意代码88、意识和安全技能；4. 及时告知病毒及防恶意代码软件版本，在读取移动存储设备上的数据以及网络上接收文件或邮件之前，先进行病毒及恶意代码检查，对外来计算机或存储设备接入网络系统之前也需进行病毒及恶意代码检查；5. 指定专人对网络和主机进行病毒及恶意代码检测并保存检测记录；6. 定期检查信息系统内各种产品的病毒及恶意代码库的升级情况并进行记录，对主机防病毒及恶意代码产品、网关和邮件防病毒及恶意代码网关上截获的危险恶意代码进行及时分析处理，并形成书面的报表和总结汇报。7. 终端用户要及时进行补丁升级，避免因操作系统漏洞而造成的病毒及恶意代码入侵，并做好本机重要数据的备份。终端可通过在线备案后实现补丁自89、动更新。8. 加强计算机病毒及恶意代码、木马防范基础工作，计算机终端需设置开机密码，严格设置共享资源读、写权限；介质（磁盘、光盘和U盘等）复制、使用前先作病毒及恶意代码检测，确认无病毒及恶意代码后才能使用。9. 局域网与互联网之间实施物理隔离，连接互联网的终端用户需提高警惕,不下载和运行来历不明的程序,对于不明来历的邮件附件也不要随意打开。下载的软件、信息和数据要先查毒后使用。10. 对移动介质、移动设备接入网络要进行严格控制，避免因上述原因发生病毒及恶意代码感染事件；11. 因工作需要使用外来移动介质（设备）的，必须由使用人递交介质使用申请，获本部门批准，并将介质接入杀毒专用计算机（与系统物90、理隔离）进行恶意代码检测，确认无毒后，方可接入网络内使用；12. 定期检查网络内服务器的杀毒软件运行状态，并将检查结果进行记录；并将检查结果纳入人员考核指标中；二、 病毒及恶意代码的查杀与处理1. 一旦发生病毒及恶意代码入侵事件，进行病毒及恶意代码查杀工作，如下载专杀工具、进行手工杀毒等； 2. 一旦部门局域网内计算机发生感染病毒及恶意代码疫情，为避免计算机疫情扩散，将封堵该部门局域网与业务网之间的物理链路，待采取进一步措施查杀灭病毒及恶意代码，在疫情警报解除后，再恢复网络间物理链路的连接。第十六章 账号权限及密码管理制度一、 账号权限管理1. 做好系统管理员、业务管理员的备案；同时做好系统用91、户备案管理。2. 业务管理员需定期检查相关系统的账号权限分配情况，确保落实权限最小化原则。角色分配应与岗位需求吻合，避免功能扩大。同一账户被赋角色不得存在功能互相矛盾、嵌套情况。严格控制隐私信息查询、浏览、导出权限。3. 限制超级账号的使用，并做好相应的使用审计工作。4. 业务管理员应及时解除无用账号相应权限，系统管理员应定期检查并禁用或注销无用账号。二、 密码产品1. 使用符合国家密码管理规定的密码技术和产品。2. 密码算法和密钥的使用符合国家密码管理规定。三、 密码的设置1. 服务器的密码，由安全管理员和系统管理员商议确定，必须两人同时在场设定。2. 服务器的密码须安全管理员在场时要由系统92、管理员记录封存。3. 密码内容设置规则：必须由数字、字符和特殊字符组成；密码长度不能少于8个字符；机密级计算机设置的密码长度不得少于10个字符；设置密码时应尽量避开有规律、易破译的数字或字符组合作为自己的密码。4. 密码要定期更换:一般重要设备密码更换周期不得多于180天；四、 密码和口令的保存1. 服务器设置的用户密码由系统管理员自行保存，严禁将自用密码转告他人；若工作需要必须转告，应请示上级领导批示；非系统管理员使用密码完成工作后，系统管理员应该及时更改密码，保证密码安全。2. 服务器所有设置的用户密码须登记造册，由系统管理员管理保存，并将备案记录交于网络管理中心负责人封存。3. 密码更换93、后系统管理员需将新密码或口令记录登记封存。4. 如发现密码有泄密迹象或黑客入侵，系统管理员要立刻报告网络管理中心负责人，网络管理中心负责人应及时与系统管理员商定修改密码，并严查泄密源头修补系统漏洞，将详细情况以书面形式上报上一级领导。5. 本着“谁使用，谁负责”的原则，信息系统使用人员不得转让或泄露信息系统操作账号和密码，坚决杜绝网络直报系统用户和密码共享（如上传至互联网或随意张贴），避免多人使用一个账号。发现账号、密码已泄露或被盗用时，应立即采取措施，更改密码，同时向上级领导报告。第十七章 变更管理制度一、 总则为规范上海XX信息系统变更管理，建立系统变更流程安全保障机制，通过对变更流程中申94、请、审批、实施、测试、回退等步骤进行控制，确保信息系统安全有效运行，特制订本管理办法。二、 变更定义信息系统变更可分为日常变更、紧急变更，定义如下：1. 日常变更：日常运维管理工作中非紧急变更，分为一般变更、较大变更和重大变更。 一般变更：变更不影响信息系统的正常运行，变更影响范围及变更风险很小的变更，如更改普通用户权限，对非重要位置的参数进行变更等； 较大变更：变更可能影响信息系统的正常运行，变更影响范围及变更风险一般的变更，如非核心业务系统补丁升级，网络安全策略变更等； 重大变更：变更需要停止信息系统运行，变更影响范围及变更风险很大的变更，如更改网络结构，核心业务系统补丁升级等。2. 紧急95、变更 紧急变更：是指在系统维护管理过程中应变系统紧急突发故障的变更，且如不尽快采取相关措施将造成更大的风险。三、 变更职责1. 变更申请人指系统相关人员，如系统维护人员、用户、厂商、管理人员等，其变更职责如下： 负责识别变更需求，提出变更申请。2. 变更审批人指具备变更事项审批权限人员，如信息安全领导小组、信息安全管理小组，其变更职责如下： 负责组织变更的审批、评审； 负责组织重大技术变更的计划，回退过程的测试与演练； 负责组织重大技术变更的测试、实施。3. 变更管理委员会指信息部变更管理人，其职责如下： 协助变更申请人递交变更申请 协调变更控制管理流程； 负责组织制定常规变更计划； 负责组织96、人员实施常规变更； 负责向信息安全领导小组进行重大技术变更的申请和报告； 负责本文件的编制和管理； 参与变更的审批、评估； 参与变更的计划，回退过程的测试与演练； 参与变更的测试、实施； 参与变更后的跟踪与反馈。 协助制定、调整变更计划及发布实施计划； 总结变更过程中发现的问题并及时对变更实施和制度的进行改进。4. 变更实施人主要职责如下： 负责调派和协调变更实施资源； 负责规划和提交变更实施方案； 负责记录变更实施过程情况； 负责提交变更实施过程文档和总结报告。四、 变更申请任何变更都必须进行申请和审批，变更管理委员应对变更事项进行分门别类的记录。1. 变更申请人按照实际需求填写附件4变更申97、请表，明确变更类型、变更负责人、变更实施人、变更操作流程等。2. 变更管理委员判断变类型，协助变更申请人向相关变更审批人提交申请。五、 变更方案制定与评审根据变更类型，制定评审和审批方式。1. 一般变更可不提交变更实施方案，但必须进行变更申请和记录。2. 较大变更和重大变更应制定变更实施方案，方案制定原则应以降低变更实施过程风险和保障变更实施安全为原则，方案应包括更前的备份、变更计划、实施人员、实施流程、所用工具、回退计划、回退不成功的应急预案等。 在变更实施前，应由变更管理委员会、变更事项所涉及到管理人员、业务人员、组成评审小组对较大变更实施方案进行评审；变更实施方案通过后，由相关变更审批人98、进行签字审批 在变更实施前，应由信息安全领导小组、变更事项所涉及到管理人员、业务人员、组成评审小组对重大变更方案进行评审，必要时，重大变更方案评审进行专家评审；变更实施方案通过后，由相关变更审批人进行签字审批。3. 应根据信息系统可能遇到的紧急故障，提前制定紧急变更实施方案，方案制定原则应以降低变更实施过程风险和快速响应故障为原则，方案应包括实施人员、实施流程、实施工具、回退计划、回退不成功的应急预案。 在紧急故障发生前，应由变更管理委员会召集相关管理人员、业务人员对紧急变更进行评审；变更实施方案通过后，由相关变更审批人进行签字审批。六、 变更实施任何变更的实施，都必须经过审批，变更实施负责人99、应对变更实施过程进行记录。1. 一般变更实施 变更实施人根据变更申请表中申请内容、领导意见，进行实施。 变更实施人记录变更事件、事件、类型。2. 较大变更实施 变更实施前由变更实施人员进行备份，变更实施后进行变更情况记录； 如变更不成功，立即按照变更实施计划中的回退计划实行变更回退过程，使其状态回到变更前的状态，并进行记录； 变更完成后由变更实施人员进行后期跟踪及反馈，并进行记录。3. 重大变更实施 变更实施前由相关人员进行实施测试，并对测试情况进行记录，测试通过后方可实施； 变更实施前通知所有将受变更影响的用户； 变更实施前由变更实施人员进行备份，变更实施后进行变更情况记录； 重大变更后，需100、要系统负责人进行验证、测试。 变更完成后由安全领导小组负责领导组织进行后期跟踪及反馈，并进行记录； 重大变更结束后，对相关文件进行更新，报告安全领导小组。4. 紧急变更实施 变更实施负责人根据变更申请书和已有的紧急变更实施方案，进行紧急实施。 变更实施前由变更实施人员进行备份，变更实施后进行变更情况记录； 如变更不成功，立即按照变更实施计划中的回退计划实行变更回退过程，使其状态回到变更前的状态，并进行记录。七、 变更回退当变更实施失败或者无法在规定的时间内完成，则需要进行回退。在下一次实施前，变更请求者必须重新提交新的变更申请单，以便重新进行审批。变更失败处理流程如下：1. 变更失败报告 遇到101、变更失败或者无法在规定的时间内无法完成变更时，变更实施人及时向变更管理委员会报告事件情况、已采取的措施，变更实施人及时评估即时修改错误、继续变更的风险。2. 变更失败回退 变更领导人组织相关实施人员按照变更实施方案中的回退计划进行回退，并保障回退实施安全。3. 变更方案再制定与实施 发生变更失败事件后，事发单位进行变更失败分析和总结，多方分析变更过程中造成失败的原因，重新制定变更计划，完善变更失败应急措施，保障人员操作等可控性，具体变更方案评审参照本章第五节，变更实施流程参照本章第六节。八、 变更回顾1. 变更完成后由变更管理委员会负责组织进行后期跟踪及反馈，并进行记录； 2. 变更实施负责人102、向变更管理委员会提交变更过程文档，对整个变更过程进行总结，改进相关措施和计划。3. 建立变更事件管理库，完善变更实施措施和管理流程。第十八章 备份与恢复管理制度一、 资产识别1. 收集需要备份的资产相关信息，主要包括资产的重要性、资产的保护级别等属性；对资产清单中确定的重要业务数据、操作系统、应用系统、数据库等进行备份。需要检查的信息资产可能包括：业务运作数据；重要的信息数据；操作系统；系统配置参数；技术文件；档案资料；应用软件；软件源代码等。2. 无法备份的信息，尽量多使用其复制件，保存原件。二、 制定备份方案根据资产识别的结果和备份级别制定信息备份计划记录，具体包括：1. 确定备份周期：根103、据信息更新速度、易损坏成度及备份介质的有效期，确定周期。2. 确定备份介质类型：确定备份使用的介质，一般是光盘、软盘或硬盘，要同时考虑成本与可靠性。3. 确定备份方式：一般采用复制、双系统同步、转储、压缩复制等。4. 确定备份工具：备份使用的工具，如光盘记录机、复印机、软驱、压缩软件等，选择工具时，要确定在信息失效之前，对应的恢复工具可用。5. 确定备份数量：确定备份的数量，一般信息备份一份即可，对于特别重要的信息需要备份多份。6. 存放位置：备份信息须与原始信息分开存放，要根据信息保密级别有相应的保密措施。7. 责任人：确定备份的责任人。8. 备份方案需提交给安全领导小组负责人，经确认并批准104、后予以实施。9. 当责任人没有足够的工具或条件时，可要求相关工程师协助。三、 备份计划实施1. 对分散的信息进行整理、归类；处理信息，在备份信息前，先将其复制到有备份工具的计算机上；执行备份程序；检查备份数据的可用性；清理过程数据。2. 对网络设备数据采取每日异地数据中心备份方式，并保存1年的数据。四、 备份的介质标识标识需依据介质本身的特点，加标签或直接手写在介质上；对于已经有标识的纸面文档的复印件，可不用再另加标识；各部门需采取适宜的方法对备份信息介质进行标识，防止备份信息的误用，标识的内容包括： 备份信息的名称；备份的日期；版本号；必要时，备份还原工具。 考虑信息本身在被使用时的特点，确105、定标识的内容。五、 备份介质的安全存放备份完毕，备份操作员需向部门主任或备份管理人员提交备份成果：备份介质；备份过程中的相关文件，如：备份记录文件、备份恢复工具或软件、备份恢复指导书等；将备份介质保存到备份计划中指定的位置，需按时间顺序存放。介质的存储主要考虑以下几个方面： 备份介质须保存在适宜的环境中； 对备份介质进行异地存储，以避免主要场地发生灾难时资产受到损坏； 备份介质存储场地的物理和环境保护； 分配专人对备份介质进行管理，对备份介质的访问进行控制。六、 备份介质的定期测试针对重要服务器、网络设备和安全系统等进行定期备份。备份数据需定期进行数据恢复测试，确保备份数据的有效性和可靠性，测106、试后填写备份介质恢复测试记录表（见附件6）。七、 信息恢复当重要信息被篡改、破坏或丢失时，使用备份数据恢复信息；当存在多份备份时，根据需要选择合适的备份；备份信息使用前，需检查备份信息的完整性和可用性。第十九章 安全事件管理制度一、 信息安全事件分类网络与信息安全事件一般可以分为攻击类、故障类和灾害类等，可能造成的后果是业务中断、系统宕机、网络瘫痪、信息破坏等。根据系统安全事件的发生原因、性质和机理，网络与信息安全事件主要分为有害程序事件、网络攻击事件、信息破坏事件、设备设施故障和灾害性事件五类: 1) 有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马、僵尸网络事件、混合程序攻击事件、网页107、内嵌恶意代码事件和其他有害程序事件。2) 网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。3) 信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。4) 设备设施故障分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。5) 灾害性事件是指自然灾害等其他突发事件导致的网络和信息系统故障。二、 信息安全事件分级根据信息安全事件的分级考虑要素，将信息安全事件划分为四个级别：特别重大事件、重大事件、较大事件和一般事件。1) 特别重大事件是指能够导致特别严重影响108、或破坏的信息安全事件，包括以下情况：会使特别重要信息系统遭受特别严重的系统损失；产生的社会影响会波及到全市的大部分地，威胁到国家安全，引起社会动荡，对经济建设有极其恶劣的负面影响，或者严重损害公众利益。2) 重大事件是指能够导致严重影响或破坏的信息安全事件，包括以下情况：会使特别重要信息系统遭受严重的系统损失；或使重要信息系统遭受特别严重的系统损失；产生的社会影响波及到全的大部分地，对经济建设有重大的负面影响，或者损害到公众利益。3) 较大事件是指能够导致较严重影响或破坏的信息安全事件，包括以下情况：会使特别重要信息系统遭受较大的系统损失；或使重要信息系统遭受严重的系统损失、一般信息信息系统遭109、受特别严重的系统损失；扰乱社会秩序，对经济建设有一定的负面影响，或者影响到公众利益。4) 一般事件是指能够导致较小影响或破坏的信息安全事件，包括以下情况：会使特别重要信息系统遭受较小的系统损失；或使重要信息系统遭受较大的系统损失，一般信息系统遭受严重的系统损失；对国家安全、社会秩序、经济建设和公众利益基本没有影响，但对个别公民、法人或其他组织的利益会造成损害。三、 信息安全事件的预防1. 必须积极贯彻预防为主、严格管理的原则，评价事件发生的潜在因素和可能的程度；组织制定和监督实施预防措施、操作规程或工作标准；配置必要的资源；开展教育培训、检查、考核和整改活动，控制或消除可能导致事件发生的各种因110、素。预防措施需下达至直接相关的层次和岗位。2. 信息所根据事件发生可能造成的危害、损失，组织制定不同级别的应急预案，并对应急预案的可靠性进行评价。应急预案需受控和备案，并发放至直接相关层次和岗位，保存相关记录。应急预案需定期进行演练和培训，必要时组织修订。四、 信息安全事件的报告1. 事件通知1) 当信息系统发生事件时，信息系统使用人或维护人需立即在第一时间向信息所口头通知事件情况，说明事件发生的时间、部位、表象、程度和影响；2) 信息所接到口头通知后立即组织人员开展抢修工作，1小时后仍未恢复时，立即向安全领导小组汇报。2. 事件调查报告1) 发生重大信息安全事件，信息所需在3个有效工作日内将111、书面信息安全事件调查报告报安全领导小组，由领导审定后，在5个有效工作日内，将审核意见及报告上报上级的分管领导审批。2) 较大信息安全事件，信息所需在5个有效工作日内将书面信息安全事件调查报告报安全领导小组并审批。3) 一般信息安全事件，故障处理人在个3有效工作日内将书面信息安全事件调查报告报安全领导小组审批。4) 信息系统故障，信息所需在当天将故障情况登记在册，内容包括故障发生、处理经过和简要原因分析。在一个月内同一部位连续发生同一故障3次，按一般信息安全事件处理。五、 信息安全事件响应1. 当事件发生时，信息所立即启动应急预案或采取有效措施，全力而有序地组织抢救抢修，防止事件扩大，消除各种危112、险，尽快恢复系统，将各种损失减到最低程度。2. 信息所的相关人员需在事发或接到事发报告1小时内到达事发现场，开展事件处理工作。3. 发生重大信息安全事件，在迅速进行应急处理或者请求其他力量支援进行应急处理的同时，立即报告网安办，并尽可能保存好原始证据，保护好现场；如涉及违法犯罪的，同时依法报告公安、安全等部门。4. 在应急处理过程中，尽量采取手工记录、截屏、文件备份和影像设备记录等多种手段，对应急处理的步骤和结果进行详细记录。六、 信息安全事件的调查处理1. 对于信息安全事件，在故障排除或采取必要措施后，由信息所召集、成立事件调查组，必要时，可邀请委托维护单位以外有能力的机构做出技术鉴定。 2113、. 事件调查组利用合法手段在事件现场收取证据；向信息系统使用或维护单位了解事件发生经过，收集相关资料，查明事件发生的原因、危害程度及造成的损失等情况，检查预防和控制事件发生的措施以及事件发生后应急预案是否得当并得到落实，确定事件的级别和性质，查明相关责任并提出处理建议，提出防止类似事件再次发生的措施和建议。3. 信息系统使用或维护部门（单位）需积极协助、配合调查组完成调查工作；保护事件现场、向调查组提供相关资料、接受调查组的询问等，并对其真实性负责。七、 信息安全事件的整改1. 安全领导小组需在事件调查结束后迅速组织制定和下达事件整改措施，明确措施内容、完成期限、责任单位和检查方式，并监督实施114、。2. 信息系统使用和维护单位负责组织事件整改措施的落实，在规定的期限内，完成相应的整改工作，防止同类事件的再次发生。八、 信息泄密事件处理流程1. 信息部人员在系统运维过程中如果发现信息泄露事件或者系统运行可疑现象后，应该向相关系统负责人报告；2. 系统负责人分析主要原因并上报的安全事件，如果是一般安全事件，则直接处理；如果是较大安全事件或者信息泄露事件，则应该立即向信息部主任或副主任上报；3. 信息部主任或副主任接到上报后，立即协调运维小组人员进行安全事件分析，如可以处理，则直接处理；如无法处理，则必须及时向信息安全主管领导报告；4. 信息部主任接到运维小组人员无法处理事件的报告后，立即协115、调应急处理小组外部专家顾问分析安全事件，并在一小时内制定安全事件处理方案，由信息部主任督促应急处理小组内部人员按照方案处理事件，及时消除安全问题；5. 信息安全事件处理完毕后，向信息安全主管领导提交相关报告备案。九、 奖励与惩罚1. （奖励）对获取关键证据和确定事件发生原因做出特殊贡献的人员，由 信息部给予表彰奖励。2. （惩戒）发生信息安全事件，有关责任人有瞒报、缓报和漏报等失职情况，由信息部给予通报批评，并与个人年终考核挂钩；对造成严重不良后果的，将视情节轻重报安全领导小组追究责任人的行政责任；构成犯罪的，由有关部门依法追究其法律责任。3. （惩戒）在重大信息安全事件的调查处理中，对于有销116、毁、篡改、藏匿证据，或者提供虚假证据，干扰、阻碍调查以及授意他人干扰、阻碍调查行为的人员，由信息部给予通报批评，并与个人年终考核挂钩；对造成严重不良后果的，将视情节轻重报信息领导小组追究责任人的行政责任；构成犯罪的，由有关部门依法追究其法律责任。4. （备案）信息部将对信息安全事件报告以日期为索引进行分类、编号、归档，长期保存，以供借鉴。第二十章 应急预案管理制度1. 应在统一的应急预案框架下制定不同事件的应急预案，应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程和事后教育和培训等内容，制定的应急预案须经安全领导小组确认且具备可操作性。2. 对涉及实时性要求高的局部系统，在15117、分钟内无法恢复系统正常使用的情况下，应立即启动应急预案并上报上级单位。3. 应对系统相关的人员进行培训使之了解如何及何时使用应急预案中的控制手段及恢复策略，对应急预案的培训和演练至少每年举办一次并应留有记录。一、 应急预案编制规范、合理的编制应急预案是保证应急预案质量的基础。应急预案的编制应当符合下列基本要求：1) 符合有关法律、法规、规章和标准的规定。2) 结合本地区、本部门、本单位的安全生产实际情况。3) 结合本地区、本部门、本单位的信息系统风险性分析情况。4) 应急组织和人员的职责分工明确，并有具体的落实措施。5) 有明确、具体的事故预防措施和应急程序，并与其应急能力相适应。6) 有明确118、的应急保障措施，并能满足本地区、本部门、本单位的应急工作要求。7) 预案基本要素齐全、完整，预案附件提供的信息准确。8) 预案内容与相关应急预案相互衔接。二、 应急预案评审为保证xx中心应急预案的质量，信息部应当组织有关专家对所编制的应急预案进行审定。涉及相关部门职能或者需要有关部门配合的，应当征得有关部门同意。应急预案评审或者论证应当符合下列两方面要求：1) 参加应急预案评审的人员应当包括应急预案涉及的部门工作人员和有关安全及应急管理方面的专家。2) 应急预案的评审或者论证应当注重应急预案的实用性、基本要素的完整性、预防措施的针对性、组织体系的科学性、响应程序的操作性、应急保障措施的可行性、119、应急预案的衔接性等内容。三、 应急预案培训应急预案需要通过广泛的宣传教育培训，让相关人员了解、熟悉，才能提高各相关人员应急处置能力。信息部应当组织开展本单位信息系统的应急预案培训活动，使有关人员了解应急预案内容，熟悉应急职责、应急程序和岗位应急处置方案。应急预案的要点和程序应当张贴在应急地点和应急指挥场所，并设有明显的标志。四、 应急预案演练加强应急预案演练，是保证应急预案实效的重要措施，信息部应当定期组织应急预案演练，提高信息系统应急事件处置能力。信息部应当制定信息系统的应急预案演练计划，根据信息系统的预防重点，每年至少组织一次综合应急预案演练或者专项应急预案演练。应急预案演练结束后，应急预120、案演练组织单位应当对应急预案演练效果进行评估，撰写应急预案演练评估报告，分析存在的问题，并对应急预案提出修订意见。五、 应急预案修订应急预案的及时修订是保证应急预案针对性、实效性的重要措施。信息部制定的应急预案，应当根据预案演练、机构变化等情况适时修订。所制定的应急预案应当至少每年修订一次，预案修订情况应有记录并归档。有下列情形之一的，应急预案应当及时修订：1) 信息系统发生变化，形成新的重大风险源的。2) 应急组织指挥体系或者职责已经调整的。3) 依据的法律、法规、规章和标准发生变化的。4) 应急预案演练评估报告要求修订的。5) 应急预案管理部门要求修订的。第二十一章 安全服务商管理安全服务121、商指为我中心提供安全建设、整改、咨询、测评等第三方服务的信息安全厂商，中心相关安全服务厂商应遵守如下规定：1.应按照“安全第一、预防为主”的原则，采取科学有效的安全管理措施，应用确保信息安全的技术手段，建立权责明确、覆盖信息化全过程的岗位责任制，对信息化全过程实行严格监督和管理，确保信息安全。2.建立信息检索安全保密制度，所有安全服务商均需和我中心签订安全保密协议，明确符合安全管理及其他相关制度的要求。并对服务人员进行安全保密教育。3安全服务商需确保服务人员的素质、技术与管理水平能满足拟承担项目的要求，并进行相应的安全资质管理。4.信息部配备专人对服务方提供的服务进行安全性监督与评估，采取安全122、措施对访问实施控制，出现问题应遵照合同规定及时处理和报告，确保其提供的服务符合中心的要求。5.使用安全服务商相关设备时，应对其进行必要的安全检查。6.在重要安全区域对服务人员的每次访问进行风险控制；必要时应对其访问进行限制。7.服务人员须遵守我中心网络信息安全管理制度。第二十二章 附件附件1：变更流程图一般变更流程较大变更流程重大变更流程紧急变更流程附件2：机房每日巡检登记表机房每日巡检登记表空调状态UPS负载日期温度湿度1精密2精密(新)3大金4三菱挂5三菱立6配电AC1C2视频监控中央空调磁盘柜是否漏水签名早中晚早中晚早中晚早中晚附件3：设备出入机房登记表设备出入机房登记表日期：设备类型：型号：设备状态：进入 送修 其它_设备出入原因： 申请人签字：日期：科主任意见： 签字： 日期：设备编号备注注：1. 本表由管理部门负责存查 2. 表格不够可以续表附件4：变更申请表变更申请表在Sharepoint电子流程中体现 信息部附件5：外来人员访问登记表外来人员访问登记表来访日期时间(到达-离开)公司名称来访人员操作概要操作的设备名称（或IP）目前设备运行状态备注附件6：介质备份恢复测试记录表序号信息系统名称数据库名称备份数据库文件日期备份数据库文件大小还原测试结果测试人员还原测试时间备注