等级保护信息安全管理制度模板.docx

等级保护信息安全管理制度模板.docx

《等级保护信息安全管理制度模板.docx》由会员分享，可在线阅读，更多相关《等级保护信息安全管理制度模板.docx（139页珍藏版）》请在冰点文库上搜索。

等级保护信息安全管理制度模板

XXX公司信息安全管理制度

内部公开

文件版本：

V1.0

文件编号：

XX-XX-PXX

编写：

审核：

审批：

20XX年XX月XX日发布20XX年XX月XX日生效

XXX公司

本文件中包含的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属XXX公司所有。

未经许可任何人不得将此文件中的任何部分以任何形式进行复制、储存和传播。

变更记录

序号

版本

变更内容概要

变更人/

日期

审核人/

日期

批准人/

日期

1

1.0

初稿

XX

XX

XX

2

2.0

修订版（试用）

XX

XX

XX

注：

1、对本文档内容进行变更后，应在变更记录中详细记录变更的内容。

XXX公司信息系统信息安全策略总纲

第一章总则

第一条为贯彻国家对信息安全的规定和要求，指导和规范XXX公司信息系统（以下简称“信息系统”）建设、使用、维护和管理过程中，实现信息系统安全防护的基本目的，提高信息系统的安全性，防范和控制系统故障和风险，确保信息系统安全、可靠、稳定运行,维护社会秩序、公共利益和国家安全，特制定本制度。

第二条本制度根据国家信息安全相关政策法规而制定。

第三条本制度适用于XXX公司以及其指定的信息系统运维单位。

第二章信息安全工作总体方针

第四条信息系统的安全保护管理工作总体方针是“保持适度安全；管理与技术并重；全方位实施，全员参与；分权制衡，最小特权；尽量采用成熟的技术”。

“预防为主”是信息安全保护管理工作的基本方针。

第五条本文件规定了信息系统安全管理的体系、策略、具体制度，为信息化安全管理工作提供监督依据。

第六条信息系统安全管理体系是由信息安全策略、安全管理制度、安全技术标准、以及安全工作流程和操作规程组成的。

（一）信息系统安全策略是信息安全各个方面所应遵守的原则方法和指导性策略。

（二）信息系统安全管理制度和规定是从安全策略总纲中规定的各个安全方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法，规定安全管理活动中各项管理内容。

（三）信息系统安全技术标准和规范是从安全策略总纲中规定的各个安全方面所应遵守的原则方法和指导性策略引出的具体的技术标准和规范。

第七条信息系统安全工作流程和操作规程详细规定主要业务应用和事件处理的流程、步骤以及相关注意事项，作为具体工作时的具体依照。

第三章总体安全策略

第八条信息系统总体安全保护策略是：

系统基础资源和信息资源的价值大小、用户访问权限的大小、系统中各子系统重要程度的区别等就是级别的客观体现。

信息安全保护必须符合客观存在和发展规律，其分级、分区域、分类和分阶段是做好信息安全保护的前提。

第九条信息系统的安全保护策略由信息系统安全领导小组负责制定与更新。

第一十条信息安全职能部门根据信息系统的保护等级、安全保护需求和安全目标，结合信息系统自身的实际情况，依据国家有关安全法规和国家标准，授权制定信息系统的安全保护实施细则和具体管理办法，并根据环境、系统和威胁变化情况，及时调整和制定新的实施细则和具体管理办法。

第一十一条信息系统的安全防护工作应从物理、网络、主机、应用、数据以及安全管理制度、安全管理机构、人员管理、系统建设管理和系统运维管理十个部分进行，并构成系统整体安全控制机制（附件1.1）。

（一）物理安全包括：

周边环境，门禁检查，防火、防水、防潮、防鼠和防雷，防电磁泄露和干扰，电源备份和管理，设备的标识、使用、存放和管理等；

（二）网络安全包括：

网络的拓扑结构，网络的布线和防护，网络设备的管理和报警，网络攻击的监察和处理等；

（三）主机安全包括：

主机的身份鉴别、访问控制，主机安全审计、入侵防范，主机的恶意代码防范，终端接入控制和重要服务器的监控等；

（四）应用安全包括：

系统登录，权限划分与识别，数据备份与容灾处理，运行管理和访问控制，密码保护机制和信息存储管理，资源控制和代码安全等；

（五）数据安全包括：

数据传输的完整性和保密性，数据存储的完整性和保密性，数据的备份和恢复。

（六）安全管理制度是信息系统安全策略、方针性文件，规定信息安全工作的总体目标、范围、原则和安全框架，是管理制度体系的灵魂和核心文件；

（七）安全管理机构通过构建和完善信息安全组织架构，明确不同安全组织、不同安全角色的定位、职责以及相互关系，强化信息安全的专业化管理，实现对安全风险的有效控制；

（八）人员安全管理从人员录用、人员管理、人员考核、保密协议、培训、离岗离职等多个方面都制定相应的管理制度和规定；

（九）系统建设管理根据信息密级、系统重要性和安全策略将信息系统划分为不同的安全域，针对不同的安全域确定不同的信息安全保护等级，并进行相应的保护。

信息系统安全等级的定级决定了系统方案的设计、实施、安全措施、运行维护等信息系统建设的各个环节。

信息系统定级遵循“谁建设、谁定级”的原则；

（十）系统运维管理对环境、资产、介质、设备进行综合监控管理，对支撑重要信息系统的资源进行监控保护，确保密码防护、病毒防护和系统变更等事件要求按照定义好的安全管理策略措施，建立安全管理监控中心，实现对人、事件、流程和资产的综合管理。

第四章安全管理

第一十二条信息系统按照等级保护定级备案要求进行定级，参考《信息系统安全保护等级定级指南GB/T22240-2008》,由XXX公司自主定级并填写定级备案表，经信息安全领导小组批准，由信息安全职能部门负责信息系统向公安机关进行备案。

第一十三条信息系统业务应用需求和设计单位，要充分考虑信息系统的安全需求分析，具体参考等级保护《管理办法》、《信息系统安全等级保护基本要求》，参照《信息系统安全等级保护实施指南》、《信息系统通用安全技术要求》、《信息系统安全工程管理要求》、《信息系统等级保护安全设计技术要求》等标准规范要求，结合信息系统自身特点进行安全需求分析。

（一）安全需求分析，至少包括以下信息安全方面的内容：

1.安全威胁分析；

2.系统脆弱性分析；

3.影响性分析；

4.风险分析；

5.系统安全需求；

（二）可行性分析中须包括以下信息安全方面的内容：

1.明确项目的总体安全目标，并增加针对前面分析出的安全需求所提出的相应安全对策，每个安全需求都至少对应一个安全对策，安全对策的强度根据相应资产/系统的重要性来选择；

2.应描述如何从技术和管理两个方面来实现所有的安全对策，并形成安全方案；

3.增加项目建设中的安全管理模式、安全组织结构、人员的安全职责、建设实施中的安全操作程序和相应安全管理要求；

4.对安全方案进行成本-效益分析。

5.需求分析阶段，必须明确地定义和商定信息系统的要求和准则，并形成文件，便于后期验收。

相关安全需求的要求和准则应包括：

用户管理，权限管理，日志管理和数据管理（存储、传输）。

第一十四条研究设计单位对于信息系统的安全设计，要求按照国家相关信息安全相关标准，并按照安全需求分析评估得出的结论，通过相关专家评审会后，综合多方意见，进行安全设计。

具体要求如下：

1.物理安全-设计中要充分考虑到物理访问控制、防盗窃和防破坏、防雷击、防火、防水、防潮、电力、物理位置、静电、电磁防护，做到增强控制，对出入、人员、电子设备共同监控等。

2.网络安全-设计中要充分考虑到结构安全、访问控制、设备防护、安全审计、边界完整性检查、入侵防范、恶意代码防范，确保重要主机的优先级，做到应用层过滤，对设备的接入做一定的非法外联的定位、阻断，对形成的记录进行分析并形成报表。

3.系统安全-设计中充分考虑身份鉴别、访问控制、入侵防范、恶意代码防范、安全审计、资源控制、剩余信息保护、安全标记和可信路径，要求必须监控服务器相关服务，做到最小授权原则，对形成的记录进行分析并形成报表。

4.数据安全-设计中充分数据完整性、备份和恢复以及数据保密性。

5.应用安全-设计中充分考虑身份鉴别、访问控制、通信完整性、软件容错、通信保密性、安全审计、资源控制、剩余信息保护、抵赖性、安全标记、可信路径。

在系统安全规划设计时，应该考虑系统的容量和资源的可用性，以减少系统过载的风险，并应采取相应的保密措施，控制涉及核心数据软件设计的相关资料的使用，并应遵循以下原则：

1.充分考虑应用安全实现的可控性，以便尽可能地降低安全与应用相结合过程的风险；

2.保持安全与应用的相互独立性，避免功能实现上的交叉或跨越；

3.建立完善的安全控制机制，包括：

用户标识与认证、逻辑访问控制、公共访问控制、审计与跟踪等。

第一十五条信息系统安全建设管理需要按照国家信息安全标准的相关要求，并在安全管理组织的领导下结合应用的实际情况，进行相关系统安全建设。

在建设中应充分考虑系统定级管理、安全方案设计管理、产品采购和使用管理、自行软件开发管理、外包软件开发管理、工程实施管理、测试验收管理、系统交付管理、安全服务商选择管理、系统备案管理和等级测评管理等。

信息系统安全建设管理要求将信息系统建设项目过程有效程序化，明确指定项目实施监理负责人，对工程项目外包要求对应废止和暂停的项目，要确保相关的系统设计、文档、代码等的安全，对销毁过程要进行安全控制；对建设项目制定测试验收要求，除测试外还要全面检查。

第一十六条信息系统安全验收管理按照国家相关信息安全标准的相关要求进行验收。

项目验收须得到各业务处室、信息安全领导小组、信息安全职能部门共同确认签字验收。

项目应达到项目任务书中制定的总体安全目标和安全指标，实现全部安全功能。

验收报告中应包括项目设计总体安全目标及主要内容和项目中所采用的关键安全技术内容。

系统验收并移交后，必须立即修改系统中相关的口令。

信息系统项目验收应审查如下内容：

1.功能检查：

对软件功能完整性、正确性进行审查和评价；

2.项目管理审查：

对项目计划、采用标准、需求方案及其执行情况进行审查和评价；

3.测试结果审查：

对项目测试报告、监理单位出具的监理报告等进行审查；

4.技术文档检查：

对项目开发单位交付的文档资料（纸质文档和电子文档）进行审查。

5.系统交付时，应根据合同要求制定系统交付的清单；

6.系统运行所需要的全部设备；

7.系统运行所需要的全部软件；

8.系统文档，包括系统建设过程中的文档，详细的系统使用和维护文档；

9.系统应急方案；

10.系统使用培训教材。

系统建设项目有下列情况之一，不能通过安全验收：

1.验收文件、资料、数据不真实；

2.未达到安全设计要求；

3.设计不符合国家信息安全建设相关标准要求；

4.擅自修改设计目标和建设内容；

5.系统建设过程中出现重大问题，未能解决和做出说明，或存在纠纷。

项目验收完毕后，系统建设部门应对负责系统使用和维护的人员进行相应培训，并履行服务承诺。

第一十七条信息系统安全测评管理是按照国家相关信息安全标准测评的相关要求，在结合XXX公司的实际情况进行安全测评。

项目验收时应按照信息安全法律法规和标准情况，进行自评估或委托第三方测评机构进行相关测评，测评报告将作为项目验收的参考依据，主要检查项目建设和管理是否符合有关信息安全法律、法规和国家信息安全建设相关标准。

信息系统的安全性测试验收应独立进行，测试程序应包括以下内容：

1.测试验收前根据设计方案或合同要求等制订测试验收方案，测试验收方案应对参与测试部门、人员、现场操作过程等进行要求，并确保测试和接受标准被清晰定义并文档化；

2.测试方案应通过XXX部项目管理处和信息安全领导小组的论证和审定；

3.严格依据测试方案进行测试，测试验收过程中详细记录测试结果；

4.审查主机端口开放情况是否符合系统说明，使用网络侦听工具检查通讯数据包是否符合系统说明，并使用恶意代码软件检测软件包中可能存在的恶意代码等；

5.形成正式的，经过签字确认的测试验收报告。

第一十八条安全运维管理是按照国家相关信息安全标准的相关要求，项目验收且系统建设符合相关标准，在结合XXX公司的实际情况下进行安全运维管理。

运行维护管理部门接管后，由运行维护管理部门指定的信息运维单位负责信息系统的网络安全、主机安全、数据安全、系统运维等安全运维管理工作，由机房负责信息系统的物理安全，信息系统运维单位定期和不定期对安全设备的策略进行检查，确保安全策略符合系统现状的要求。

信息系统安全运行维护项目应包括但不限于以下内容：

1.对网络的连通性、时延、丢包率、故障及攻击事件等进行检查；

2.对设备运行状态检查，包括CPU负荷、连通性等；

3.对出口链路或关键链路流量检查，设备备份工作等。

4.对设备和软件的日志进行审计。

5.对设备和软件分为版本升级和特征库升级。

6.建立监控平台，对设备安全漏洞、安全事件、设备的启动和关闭时间、系统日志等信息进行监控，制定各项计划性的安全维护工作。

7.建立单位作业计划应包括安全设备维护、安全监控、操作日志、日志审核、故障管理、测试等，明确执行期限并落实到人。

安全维护作业计划在编制和确定后，各业务处室应根据其内容严格执行，并定期对维护计划执行情况进行总结分析。

8.定期出具安全运行维护报告，报告设计方面包括但不限于以下内容：

安全设备维护、安全监控、操作日志、日志审核、故障管理、测试等工作。

9.对人员安全管理，签订安全运行岗位安全协议以及岗位变化，制定考核指标，实施安全管理，制定培训计划，通过信息安全教育和培训，进行信息安全方面的培训，明确岗位所要求遵守的信息安全制度、技术规范以及操作流程。

10.对“第三方”人员进入机房访问需要在信息系统运维单位人员的陪同下，信息系统运维单位人员出示客户卡或运维单位的《介绍信》后，在机房值班处换取参观卡，并填写《来客访问登记表》才能进入机房。

接待人必须全程陪同临时“第三方”人员，告知有关安全管理规定，不应透露与“第三方”工作无关的信息，不得任其自行走动和未经允许使用的计算机设备。

第五章制度的制定与发布

第一十九条信息安全指导委员会通过对信息安全方针和目标的进一步诠释明确，审批和发布信息安全总体策略；信息安全领导小组负责将具体的安全策略进一步明确细化为信息安全的管理规定和制度；信息安全工作小组对管理层面的管理规定及制度进一步落实为具体的管理细则、实施指南和操作流程。

第二十条信息安全职能部门负责组织制度编制、组织相关人员进行论证、监督检查和修订。

第二十一条指定或授权负责信息系统建设和运维的部门负责根据信息系统安全管理制度，结合本系统的特点进行细化和执行，实施细则报信息安全职能部门进行备案。

第二十二条信息系统安全管理制度编写格式统一，并进行版本控制。

第二十三条信息安全保护管理制度由信息安全领导小组负责审核，以正式文件形式发布，同时注明发布范围并有收发文登记。

第六章制度的评审和修订

第二十四条由信息安全领导小组和信息安全职能部门负责文档的评审,对安全策略和制度的有效性进行程序化、周期性评审，并保留必要的评审记录和依据。

第二十五条信息安全职能部门负责定期组织对安全管理制度的执行情况进行检查，结合国家信息安全主管部门每年定期对信息安全进行检查中。

第二十六条发现的问题或发生重大安全事故、出现新的安全漏洞以及技术基础结构发生变更时，信息安全职能部门对安全管理制度进行有针对性的修订与完善。

第七章制度的授权和审批

第二十七条信息安全职能部门应建立安全管理制度清单，根据制度的变化，及时更新制度清单

第二十八条信息安全职能部门应指定或授权专门的人员负责安全管理制度的日常管理工作，包括制度存档、制度维护、制度传阅和制度销毁工作，并将责任落实到岗位。

第八章附则

第二十九条本制度的解释权归XXX公司。

第三十条本制度自发布之日起生效。

附件

附件1系统整体安全控制机制

附件2管理制度列表

等保要求类

等级保护控制点

具体制度清单

安全管理制度

管理制度

安全管理制度1.1-信息安全策略总纲

制度和发表

评审和修订

安全管理机构

岗位设置

安全管理机构2.1-信息安全组织及岗位职责管理规定

人员配备

授权和审批

沟通和合作

审核和检查

安全管理机构2.2－安全检查与审计管理制度

人员安全管理

人员录用

人员安全管理3.1-人员安全管理规定

人员离岗

人员考核

安全意识教育和培训

外部访问人员管理

人员安全管理3.2-第三方人员访问管理规定

系统建设管理

系统定级

系统建设管理4.1-系统定级管理规定

安全方案设计

系统建设管理4.2-安全方案设计管理规定

产品采购和使用

系统建设管理4.3-信息系统产品采购和使用管理规定

外包软件开发

系统建设管理4.4-信息系统外包软件开发管理规定

工程实施

系统建设管理4.5-信息系统工程实施管理制度

测试验收

系统建设管理4.6-信息系统测试验收管理规定

系统交付

系统建设管理4.7-信息系统交付管理规定

系统备案

系统建设管理4.8-信息系统备案管理规定

等级测评

系统建设管理4.9-信息系统等级测评管理规定

安全服务商选择

系统建设管理4.10-信息系统安全服务商选择管理办法

系统运维管理

环境管理

系统运维管理5.1-环境安全管理规定

资产管理

系统运维管理5.2-资产管理规定

介质管理

系统运维管理5.3-介质安全管理制度

设备管理

系统运维管理5.4-设备安全管理制度

监控管理和安全管理中心

系统运维管理5.5-监控管理和安全管理中心

网络安全管理

系统运维管理5.6-网络安全管理制度

系统安全管理

系统运维管理5.7-系统安全管理制度

恶意代码防范管理

系统运维管理5.8-恶意代码防范管理规定

密码管理

系统运维管理5.9-密码使用管理制度

变更管理

系统运维管理5.10-变更管理规定

备份与恢复管理

系统运维管理5.11-备份与恢复管理制度

安全事件处置

系统运维管理5.12-安全事件报告和处置管理制度

应急预案管理

系统运维管理5.13-应急预案管理制度

附件3管理制度借阅登记表

编号：

制度名称

部门

借阅人

借阅时间

归还时间

验收人

附件4安全管理制度检查结果报告

管理制度

制度名称

检查结果

安全管理制度

安全管理制度1.1-信息安全策略总纲

安全管理机构

安全管理机构2.1-信息安全组织及岗位职责管理规定

安全管理机构2.2－安全检查与审计管理制度

人员安全管理

人员安全管理3.1-人员安全管理规定

人员安全管理3.2-第三方人员访问管理规定

系统建设管理

系统建设管理4.1-系统定级管理规定

系统建设管理4.2-安全方案设计管理规定

系统建设管理4.3-信息系统产品采购和使用管理规定

系统建设管理4.4-信息系统外包软件开发管理规定

系统建设管理4.5-信息系统工程实施管理制度

系统建设管理4.6-信息系统测试验收管理规定

系统建设管理4.7-信息系统交付管理规定

系统建设管理4.8-信息系统备案管理规定

系统建设管理4.9-信息系统等级测评管理规定

系统建设管理4.10-信息系统安全服务商选择管理办法

系统运维管理

系统运维管理5.1-环境安全管理规定

系统运维管理5.2-资产管理规定

系统运维管理5.3-介质安全管理制度

系统运维管理5.4-设备安全管理制度

系统运维管理5.5-监控管理和安全管理中心

系统运维管理5.6-网络安全管理制度

系统运维管理5.7-系统安全管理制度

系统运维管理5.8-恶意代码防范管理规定

系统运维管理5.9-密码使用管理制度

系统运维管理5.10-变更管理规定

系统运维管理5.11-备份与恢复管理制度

系统运维管理5.12-安全事件报告和处置管理制度

系统运维管理5.13-应急预案管理制度

附件5信息系统安全管理制度样式模板

X制度（字体：

黑体三号加粗）

制度正文：

第一章总则（标题字体：

黑体小三加粗，下同）

第一条为规范和加强…的管理，特制定本制度。

（本条写制度编写目的）（正文字体：

仿宋—GB2312四号，下同）

第二条本制度根据…编写。

（本条写制度编写依据，如国家标准、中央文件、法律法规、单位制度等）

第三条本制度适用于…的管理。

（本条写制度适用范围，同时对不适合本制度的一些情况作出说明）

第四条（必要的名词解释，本条为可选项，视实际需要）

第五条（原则和方针，本条为可选项，视实际需要）

第二章标题

第六条制度正文。

第三章标题

第七条制度正文。

第…章标题

第八条制度正文。

第X章附则

第九条本制度的解释权归XXX公司。

第一十条本制度自发布之日起生效。

第一十一条原《XX制度》自本制度公布之日起同时废止。

（本条为可选项，视实际需要）

附件6国家信息安全参考标准

等级保护政策参考

1.中华人民共和国计算机信息系统安全保护条例（国务院147号令）

2.国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）

3.关于信息安全等级保护工作的实施意见（公通字[2004]66号）

4.信息安全等级保护管理办法（公通字[2007]43号）

5.关于开展全国重要信息系统安全等级保护定级工作的通知（公信安[2007]861号）

6.信息安全等级保护备案实施细则（公信安[2007]1360号）

7.公安机关信息安全等级保护检查工作规范（公信安[2008]736号）

8.关于加强国家电子政务工程建设项目信息安全风险评估工作的通知（发改高技[2008]2071号）

9.关于开展信息安全等级保护安全建设整改工作的指导意见（公信安[2009]1429号）

10.信息系统安全等级测评报告模版（试行）（公信安[2009]1487）

等级保护标准参考

1-计算机信息系统安全等级保护划分准则

2-信息安全技术信息系统安全等级保护实施指南-信安字[2007]10号

3-信息安全技术信息系统安全保护等级定级指南

4-信息安全技术信息系统安全等级保护基本要求

5-信息安全技术信息系统安全等级保护测评要求

6-信息安全技术信息系统安全等级保护测评过程指南

7-信息安全技术信息系统等级保护安全设计技术要求-信安秘字[2009]059

8-信息安全技术网络