xx公司信息系统安全等级保护二级制度编制草案.doc
《xx公司信息系统安全等级保护二级制度编制草案.doc》由会员分享,可在线阅读,更多相关《xx公司信息系统安全等级保护二级制度编制草案.doc(94页珍藏版)》请在冰点文库上搜索。
xx公司信息系统安全等级保护二级制度汇编
xx
目录
1.《安全工作的总体方针、政策性文件和安全策略文件》 4
2.设备管理制度 8
3.审批管理制度 11
4.网络接入管理审批制度 12
5.系统投入运行测试管理制度 13
6.办公环境管理制度 14
7.关键设备操作规程 16
8.机房管理制度 19
9.机房办公环境管理办法 24
10.网络安全管理制度 25
11.系统安全管理制度 27
12.员工离职管理制度 30
13.系统数据备份与恢复管理制度 33
14.计算机类设备接入网络管理办法 34
15.信息系统变更及发布管理制度 38
16.xx资产安全管理制度 41
17.信息系统补丁及版本管理制度 42
18.安全事件报告和处置管理制度 45
19.系统漏洞扫描系统运行安全管理制度 49
20.恶意代码防范制度 51
21.存储介质管理制度 53
22.xx信息系统权限划分实施细则 54
23.安全事件定级 57
24.年度安全培训计划 62
25.应急预案总体框架 63
26.xx应急处置方案 67
27.保密协议书 71
1.安全技能考核记录 74
2.安全教育培训记录 75
3.安全事件处理记录 76
4.补丁安装操作记录(范文) 77
5.系统补丁更新记录 78
6.操作运维记录 79
7.系统运维记录 80
8.管理制度评审记录 81
9.信息系统会议纪要 82
10.机房安全检查记录表 83
11.设备带离机房审批单 84
12.离职移交手续单 85
13.培训记录单 86
14.设备带离机房审批记录 87
15.设备领用登记表 88
16.外部人员访问审批单 89
17.外联授权审批表 90
18.网络设备及服务器更新记录 91
19.系统变更申请表 92
20.系统投入运行申请表 93
21应急预案培训记录 94
1.《安全工作的总体方针、政策性文件和安全策略文件》
第一章总则
第一条为保障xx业务的正常持续运行,保护信息资产的安全,制定本方针。
第二条本方针旨在为xx的信息安全管理实践提供清晰的策略方向,阐明信息安全建设和管理的重要原则,为xx的信息安全管理工作提供指引与支持。
第三条除非特别说明,本方针的管理对象包括xx拥有、控制、管理和使用的所有硬件、软件、信息、服务、人员和无形资产等信息资产。
本方针的适用对象主要包括与以上信息资产相关的xx的所有部门,以及与xx有关的集成商、软件开发商、产品提供商、顾问、商业合作伙伴、临时工作人员和其他第三方机构或人员。
第二章信息安全方针
第四条信息安全管理委员会是xx最高信息安全管理机构,下设信息安全管理领导小组和信息安全管理工作小组。
第五条信息安全管理领导小组组长由***担任,小组成员由xx信息中心和局领导组成。
信息安全管理领导小组定期召开会议,对有关信息安全重大问题做出决策。
第六条信息安全管理工作小组组长由***兼任,小组成员由xx专职人员和各部门信息安全管理员组成。
信息安全管理工作小组负责信息安全政策和措施的宣传、贯彻和督促检查,并针对信息安全事件建立完善的响应、报告和调查机制。
第七条本方针的适用对象必须遵守国家有关信息安全的法律、法规、上级主管部门及行业内的相关规定和要求,以及xx的有关规定。
第八条xx建立有效的信息安全管理体系,定义信息资产的安全需求,持续进行信息资产的风险评估,建立并完善信息安全保护策略和程序,使xx拥有可控的风险管理架构、方法和保障落实机制,确保xx在不断变化的信息安全风险环境中,始终能够通过科学的方法和持续的改进来增强xx抵抗风险的能力。
第九条xx全体干部职工必须接受必要的信息安全教育与培训,充分理解xx制订的信息安全管理规定,明确在保护xx信息资产安全过程中所应担当的角色和责任。
第十条根据“谁主管,谁负责;谁运行,谁负责”的原则,建立信息安全绩效考核体系。
对于违反信息安全规定的部门和个人,将按有关规定进行处理。
第三章信息安全管理原则
第十一条xx的信息安全管理推行治理原则、管理与技术并重原则和PDCA(“Plan:
规划”—“Do:
实施”—“Check:
检查”—“Act:
处置”)动态循环管理原则。
(一)治理原则:
信息安全管理要符合xx的治理原则。
在战略层面上,
信息安全决策必须由最了解xx整体目标与价值的权威部门来决定,使信息安全问题得到最高管理层的关注,并进入xx战略层的日常议题;在战术层面上,信息安全实践由国际和国内得到普遍实践与认可的治理标准(如ISO27001、ITIL、COBIT等)来指导。
(二) 管理与技术并重原则:
信息安全不是单纯的技术问题,在采用安全技术和产品的同时,重视采取有效的管理措施,不断积累完善针对实际情况的各类安全管理策略、规章制度,全面提高信息安全管理水平,达到成本效益最优目标。
(三) PDCA动态循环管理原则:
对信息与信息系统的建设、运行、维护、废止的全过程进行信息安全管理;在对信息资产的管理上遵循PDCA动态循环管理原则,针对xx内外部业务环境及技术条件的变化情况,进行周期性的风险评估,根据风险状况及时调整信息安全管理策略和方法。
第四章信息安全方针的评审
第十二条信息安全方针需要根据经营环境、业务内容和技术状况的变化情况,进行定期评审(一年一次)或不定期评审(当发生了较大的安全事故或xx经历较大的变革时),并根据实际情况进行修订,以适应当前最新的信息安全需要。
第十三条信息安全方针的变更由信息安全管理委员会、xx各部门提出,由信息安全管理工作小组进行汇总、分析研讨,并负责起草工作,由信息安全管理领导小组审批后发布。
第十四条xx将通过纸质文件或电子文件方式向所有工作人员发布本方针的最新版本及相关信息。
第五章信息安全方针的执行
第十五条各部门及下属机构负责向所属的干部职工、相关承包方和第三方人员宣传、贯彻和落实执行本方针,信息安全管理工作小组负责督促检查。
第十六条从本单位机房管理的实际情况出发,需将覆盖物理机房,介质管理,网络设备运维,流程审批,培训记录等相关记录表单按照年份存储归档以方便日后查询记录。
2.设备管理制度
为确保xx通信信息处计算机设备管理规范有序,确保单位信息系统和客户端正常可靠地运行,保证日常工作的顺利开展,特制定计算机、服务器、网络设备管理制度。
本系统所有的计算机、服务器、网络设备由信息中心统一管理,通过相应采购渠道进来的计算机、服务器、网络设备均应列入单位固定资产帐,并由专人管理,定期登记。
本制度的设备是指包括服务器、网络设备等专有设备,以及跟系统相关的计算机客户终端设备。
xx相关的各种设备、线路等,指定信息中心专人负责,并对系统指定专人定期维护管理。
个人日常办公使用的计算机设备主要有计算机主机(包括机箱内的各种芯片、功能卡、内存、硬盘、软驱、光驱等)、显示器、打印机、外设(键盘、鼠标、音箱、U盘)以及随机资料等。
用于个人办公的计算机设备,都将直接分配到个人使用和保管。
各人都必须对自己领用的设备负责。
领用(退回)任何设备时,必须认真清点并签收(签退)。
设备的领用、更新、更换、维护和淘汰
采购入库设备由机房管理员到仓库登记领取,统一发放,并登记领用人,并填写《设备领用登记表》,明确责任人;
设备的更新及更换。
一是定期对部分需要升级的机器增加新配件(如增加内存)或更新部分配件;二是使用的设备已经到了淘汰的年份而必须更换新设备。
设备更新和旧设备淘汰工作根据xx通信信息中心的统一部署按计划分批进行。
更换流程:
由需求人员填写《设备更新及更换申请表》,提出目前遇到的困难和所需设备性能要求;
信息中心进行技术鉴定;
部门负责人签字;
信息中心负责人签字;
信息中心分析IT设备需求,形成设备调拨或采购方案,如需采购则依照政府采购标准进行统一采购。
所有独立IT设备,应按规定在财资处办理固定资产登记,填写设备卡,同时进行备案;
对新旧设备按各部门需求情况进行统一调拨。
计算机设备的淘汰。
如需报废计算机及相关设备,由使用人员填写《设备报废鉴定表》,经相关部门鉴定无二次利用价值时,转由财资处根据我所相关规定办理设备报废手续。
IT设备实行包干管理负责制。
每台设备都应有专人负责保管(包括说明书及有关附件),在未特别指定管理人员的设备由操作人员负责管理,并切实负起保管、维护责任。
信息中心负责定期检查IT设备使用情况,进行需求分析,制订解决方案。
在使用IT设备前,应掌握操作规程,阅读有关手册,经培训合格后方可进行相关操作。
分配到个人或科室使用的设备,使用者对设备的安全和完整负有责任。
各人必须爱护、珍惜分配给自己使用的计算机设备。
各人原则上只能使用自己分配的计算机。
非必要时,不能将机器交由他人操作(特别是非本单位人员)。
未经当事人同意,不能擅自在他人的计算机上进行任何操作。
未经授权同意,不得擅自操作服务器和网络设备。
所有计算机设备,未经授权同意,不得擅自拆、换任何零件、配件、外设。
不论该行为是否已经对设备、网络、数据造成影响,一经发现,将严肃处理。
未经授权同意,不得擅自将私有或外来的零件、配件、设备,加入到系统内部的计算机设备中或网络中,不得擅自安装未经认可、允许的游戏和盗版软件。
如果需要将系统内的计算机设备搬离办公地点(或借给外单位)使用,必须经相关领导负责人同意后才能搬离或借出(必要时将相关数据删除)。
如果人员工作发生本局内调动,原有设备不能满足新的岗位需要,或者实际情况不适合计算机设备跟随调动的,必须预先向信息中心提交申请报告,由部门领导同意后按实际情况处理。
各科室队及本人必须保证自己所用微机的清洁、卫生和安全。
由信息中心定期对计算机设备进行全面清查、核对。
3.审批管理制度
为确保计算机网络(以下简称“内网”)的健康发展和正常运行,规范系统和设备接入内网的行为、为内网用户提供良好的接入服务,保障每个网络使用者安全、正常地运行,根据《中华人民共和国计算机信息系统安全保护条例》和单位相关管理制度的规定,特制定本管理办法。
本办法适用于:
本级机构所有需要接入和使用网络的计算机系统及设备;
需要接入本级机构网络的合作单位计算机系统及设备;
临时造访人员自带的计算机系统及设备。
本办法由信息中心统一管理和执行。
安全管理员负责对申请接入设备进行安全检查和入网审批,系统管理员负责服务器类系统及补丁的安装和升级,服务支持人员负责桌面系统的安装及升级。
4.网络接入管理审批制度
系统及设备在接入单位网络前必须接受检查和审核,检查审核通过后方可接入并按规定访问和使用相关网络资源,检查和审核工作由信息中心负责。
具体的流程说明如下:
需要接入网络的用户提出网络接入申请,填写《外连授权审批记录》,说明接入设备的类型、接入用途、接入区域、使用环境、使用资源范围和预计终止时间等,并提交主管领导审批。
主管领导审批、签字后,提交给信息中心主任做系统安全检查,核实设备和系统的补丁和病毒防护情况是否符合单位要求。
如不符合安全要求则由网络处填写审批意见,并视系统类型返回运行管理处或服务支持处安装必要的工具和补丁。
安全检查通过后,网络管理员根据用户使用申请审核并分配网络资源,确定用户IP地址和网段,并在网络设备和安全设备上完成相应的设置工作。
由于使用需要而需要对被访问的服务器资源进行的配置调整由系统管理员负责。
如因工作需要,外部人员(包括设备厂家、系统服务商、合作开发商和分单位人员等)需要接入单位网络,由相应的接口负责人提出网络接入申请,外部人员在离开单位后,需由接口负责人提出取消网络接入申请,外部人员在接入内网的计算机名必须采用实名制。
因技术交流或者其他工作原因临时造访的外部人员只能在指定区域(会议室和公共区域)接入网络。
用户如果需要延长接入时间则必须重新填写网络接入申请表,申请时间到期后,网络管理员有权调整配置以中止其网络连接。
用户终止连接时必须办理用户注销手续,以便信息中心释放用户网络资源。
网络接入申请材料在机房柜子存档以备查验。
5.系统投入运行测试管理制度
对准备投入的信息系统进行系统测试,测试时间按照具体情况,由信息中心和信息办商议决定测试时间,无故障运行一月并填先写《系统测试报告》。
《系统测试报告》经信息中心检查通过后,填写《系统投入运行申请表》并上报局领导审批签字通过,方可正式投入运行。
罚则
网络管理员将密切监测网络,如果发现用户网络异常或用户有违反本办法的使用行为,安全管理员将中断该用户的计算机系统的网络连接,并按本办法的规定进行相应的处理。
员工有责任采取积极防范措施,避免自己维护的计算机系统被禁止接入网络。
由于禁用网络连接所导致的对单位业务的影响将由员工个人承担。
信息中心将定期或者不定期地对联网机器的IP地址、系统补丁和防病毒库软件、远程接入设备管理情况进行检查,发现有违反本规定的接入行为或不按单位相关规定使用网络资源的,将给予通报批评;超过三次以上者将上报单位人力资源管理部门给予警告处分;对于由此造成单位计算机信息系统严重故障或导致单位重大损失的,将视情节严重程度给予严重警告以上处分,并实施相应的经济处罚,触犯国家法律的,则依法移交国家法律部门处理。
外部人员(包括设备厂家、系统服务商、合作开发商和分单位人员等)一旦接入单位网络,视同单位员工进行管理,相应的接口负责人对其负领导监督责任,对于其触犯相应规定的行为由相应的接口负责人负责。
临时造访人员如果违规接入网络,其行为后果由相应的接待人员负责。
6.办公环境管理制度
为了提升单位形象,使本单位每位员工由一个优美舒适、整洁有序的办公环境,特制定本规定:
爱护办公室环境,保持办公区域、办公桌面的清洁,办公桌面各种资料、工具、文件、配件等均应放置整齐、美观;
报刊、书籍阅完后要放到固定的报架上,不得放在桌面或台面上;
室内不准堆放杂物,垃圾应及时清理,不准堆积,保持室内网线、电线等线路整齐,不零乱;
设备、纸张要摆放整齐,因打印等产生的各种废纸、杂物要放入垃圾筐内,未用完的纸张应放回原处,不得造成浪费;
自觉养成良好的卫生习惯,搞好个人卫生,保持服装、头发干净、整洁;
员工要珍惜、爱护本部门各种设备,严禁私自转借或出租,因过失造成设备损坏的,要查明原因,并根据造成损坏程度由过失人全部赔偿;
注意节约用电、用水,节约用电等,严禁在办公室私自使用大功率电器;
办公电话本着节俭效能的原则,严格控制公话私用;
员工午餐或长时间离开办公室应将办公用品、相关资料收拾整理好;
在指定的就餐处用餐,用完餐后将餐具收拾好,并清理桌面杂物,保持桌面干净,整洁;
严禁在上班时间吃带壳有声响的零食,自带零食以及包装不允许长时间放置于办公桌上;
办公所有区域不得吸烟,保持室内空气流通。
办公室严禁随地吐痰、乱扔烟头、纸屑等。
下班时,应整理干净办公桌上所用物品,座椅置于桌下,所有废弃物品必须投放于垃圾袋中带出,避免过夜杂物发霉产生难闻气味影响办公环境;
保洁人员打扫办公环境卫生情况,保证每次打扫办公环境的干净、整洁;
每位员工应节约使用打印纸,不得打印与工作无关的内容,非正式文件应正反两面使用。
每位员工都应爱护花草等绿色植物,严禁在办公区域的绿色植物花盆内乱倒水、茶叶、赃物等影响植物生长。
对带有敏感内容的文档不得随意放置电脑桌面,需放入其他盘符建立文件夹的快捷方式,需对电脑进行屏保设置,恢复时使用密码恢复,建议设置频幕保护时间为10分钟。
对外来人员访问时,需在会议室进行接待以及处理相应事件,不得在办公区处理工作,特殊情况除外。
工作期间不得做与工作无关的事情,例如打游戏,随意聊天等。
7.关键设备操作规程
一、设备使用守则
1、局里使用人员必须熟悉系统和设备的技术结构、主要功能、主要性能指标和使用方法,严格遵守系统和设备的操作规程。
2、各类设备在开机前,必须检查环境条件,电源电压和连接线缆等,符合要求后方可开机。
开机必须按规定的顺序和操作规程进行,并待设备稳定后方能进行工作。
3、设备如需关机,每次关机前,必须先保存当前运行日志,检查设备的运行状态,按要求顺序关机,并填写操作记录。
4、当设备在运行中发生故障时,必须报告相关领导,认真记录故障现象,保护故障现场,请维修人员检查。
5、所有设备必须定期进行维护保养,长期不用的库存设备应定期加电检查。
二、预防性维护保养守则
预防性维护保养是指通过合理选择良好的工作环境,掌握正确的操作使用方法和规程,建立健全各项规章制度,作好日常维护保养以及主动捕捉故障预发现象等措施,来改善系统固有的可靠性指标,减少系统的故障发生率,确保系统的长期可靠运行,提高机器设备的使用寿命。
预防性维护保养的主要内容:
1、加强机房建设与管理,确保机器运行处于良好的环境中。
2、定期(至少在7个工作日内)检查ups系统和电源供电设备。
3、建立完整的设备维修档案,每周要调阅各类机器记录进行分析比较,捕捉故障苗头,及时采取措施。
4、加强现场观察,捕捉异常现象。
从设备启动、停止的现象,正常运行时的噪声,设备上指示灯的状态,以及设备发热程度等方面捕捉可能故障的预发现象。
5、做好故障情报工作,审定各种可能发生的故障的处理方案。
6、按时更换或调整某些元器件或零部件。
7、认真作好日常的例行性维护和测试。
三、定期常规维护守则
定期常规维护是为保证设备正常运行而定期进行的日常维修保养。
1、日常维护的主要工作是:
a.开机前检查机器运行的环境条件是否满足要求。
b.电源电压是否正常。
c.机器设备的开关,连线,插头插座等是否正常,有无错位、松动。
d.开机后检查设备的各种指示和运行状况是否正常。
e.作好设备清洁工作
2、周维护的主要工作是:
a.清除设备表面灰尘和机内卫生(每月至少2-3次)。
b.检查设备主要性能,发现问题及时解决或通知维修部门解决。
c.清理磁盘空间,删除过期文件。
d.对个楼配线间进行定期检查并认真填写巡检报表
3、月维护的主要工作有:
a.认真检查,机器参数和指标。
b.用吸尘器清洁机器表面灰尘。
c.对电源,空调系统,接地系统等运行环境进行系统检修。
4、年维护的主要工作有:
a.清除工作间地板下和走槽里的灰尘,检查线缆的完好性和隔离性,更换老化、变质和绝缘不好的线缆。
b.检查机房内的防火,防水,防盗等设施和安全警报装置。
c.全面检查电源、空调、接地等系统并进行全面检修。
d.对设备的软、硬件性能进行全面测试,调整有关参数,并按上级统一要求进行系统参数的调整。
e.校正各种设备仪表等。
5严格按照操作手册进行操作如出现技术问题应及时联系技术工程师进行解决处理
四、信息中心关键设备操作流程
1、对于防火墙的操作流程,如设备需要断电或重启必须在网络空闲时进行,如午休以及休息日。
2、核心交换机、汇聚交换机,楼层交换机的操作流程,所有需要操作都要有相应方案,方案通过领导审批之后,才能进行相关操作。
操作过程中如有修改必须做好相应记录。
在完成操作之后,需由专人值守,查看网络是否有异常,以便做出相应恢复措施。
网络设备操作完成之后最短观察网络现状时间为一天。
如设备需要断电,1、首先save配置,然后导出配置。
2、输入shoutdown–hnow关机命令,等待设备关机。
3、在指示灯熄灭之后,切断电源。
开机则反之。
3、安全设备由信息中心工程师集中管理,有专人进行管理。
对于安全设备操作可根据网络设备操作流程进行。
如防火墙设备操作中在设备管理→基本信息→选择密码必须符合要求。
完成密码修改后重新登录一次查看修改完成之后的密码是否可行
4、如果机房发生全面积停电,则将不必要的服务器以及不必要的网络设备做断电处理,以延长重要网络设备和主机的工作时间,如UPS报警只剩5-15分钟则关闭全部服务器与网络设备。
5.关于服务器开关使用,远程登录到服务器中。
完成操作后需退出。
服务器如需断电,window操作系统首先点击开始,然后点击关机。
等待系统关闭之后再进行断电。
Windows,Linux系统,1、打开终端管理器。
2、输入shoutdown–hnow。
3、在系统关闭之后进行断电处理。
8.机房管理制度
一、机房进出入管理
1、严禁非机房工作人员进入机房,特殊情况需经中心值班负责人批准,并填写机房登记表,在机房人员的陪同下方可进入。
2、业务系统开发人员、机房内设备检修维护人员须由中心相关人员陪同方可进入工作。
3、严禁业务系统开发人员、机房设备维修人员单独进入主机房、网络机房和配电房等核心区域。
在核心区域进行操作期间,须由中心相关人员始终陪同。
4、进入机房人员应遵守机房管理制度,更换专用工作鞋。
5、信息中心人员严禁将门卡(或钥匙)借给无关人员使用。
6、进入机房人员不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质等对设备正常运行构成威胁的物品。
7、如有第三方人员需进出入机房,必须填写《外部人员访问审批单》需相关领导签字方可生效进入。
二、安全管理
(1).环境安全
1、机房必须保持安静、整洁,严禁喧哗、会客、吸烟、聚众聊天或玩游戏。
2、机房内实际温度应保持在20℃—25℃之间,相对湿度保持为45%—65%。
3、配备环境监控系统和远程报警系统的机房,须每天检查系统的运行状况,确保系统正常运行。
4、定期做好机房及设备的清洁保养工作,严禁在机房内堆放杂物,存放复印纸、打印纸及软盘、光盘、U盘等移动存贮介质。
严禁将茶杯、饮料、5食品、报纸、杂志等带入机房。
设备安装过程中产生的各类包装物应在当日及时清理干净。
5、机房配备安全员,专门负责机房的防火、防盗,负责机房供电系统、空调系统、通风系统的安全和日常养护工作,定期检查机房设施情况,做好安全记录,并对机房全体工作人员经常进行防火、防盗、防爆、防破坏教育和培训,提高安全意识。
6、严禁易燃、易爆、易腐蚀品进入机房;严禁将水洒落在机房设备和地板上;严禁踩踏机房电源插座或网线插座;未经许可,非机房工作人员严禁动用各种电源开关,严禁动用任何线路和设备。
7、机房用电量严禁超负荷运行,严禁在机房内使用电炉、取暖炉、电水壶等大功率家用电器。
8、定期对机房供电系统及照明器具进行检查,防止因线路开关老化或损坏而短路造成火灾。
雷雨季节要加强对机房防雷设备、地线及防护电路的检查。
9、机房内一律不得动用明火,要严格控制电烙铁、电焊机等的使用,确需使用时,应经徐处同意并按规定操作。
10、机房配备管理员,专门负责机房的防火、防盗,负责机房供电系统、空调系统(并填写空调维护记录)、通风系统的安全和日常养护工作,定期检查机房设施情况,做好安全记录,并对机房全体工作人员经常进行防火、防盗、防爆、防破坏教育和培训,提高安全意识。
11、机房软、硬件相关物品都由信息中心统一管理,且机房物品带入、带出机房必须进行登记。
(2). 人员操
升级会员 