信息安全管理制度汇编.docx
《信息安全管理制度汇编.docx》由会员分享,可在线阅读,更多相关《信息安全管理制度汇编.docx(107页珍藏版)》请在冰点文库上搜索。
信息安全管理制度汇编
信息安全管理制度汇编
某单位信息安全管理制度汇编制定部门某单位审核批准生效日期制度修订、修改记录更改日期原章节或内容修订内容修订部门批准人备注目录某单位信息安全总体方针与安全策略-3-某单位信息安全工作管理规定-12-某单位信息安全管理策略-16-某单位机房设备管理规定-25-某单位信息设备管理办法29某单位网络安全管理办法34某单位病毒防范安全管理办法42某单位备份与恢复管理规定45某单位网站运行维护管理办法49某单位信息系统变更管理办法51某单位信息安全惩戒管理规定56某单位第三方访问管理程序57某单位信息项目管理规定60某单位消防管理制度
63某单位软件管理办法65某单位帐户权限与口令管理规定67某单位项目测试验收管理办法73某单位信息系统应急响应管理规定(条款序号)76某单位信息系统建设管理办法82某单位信息系统运行管理办法87某单位网络接入管理办法93某单位信息资产管理办法96某单位信息系统安全管理岗位及其职责99某单位员工安全管理规定某单位运行维护管理规定108某单位安全岗位人员管理规定110某单位培训及教育管理规定116某单位外来人员安全管理规定121某单位介质管理规定125某单位环境设施和物理设备管理规定129某单位网络连接管理规定136某单位计算机用户安全手册138某单位系统安全管理说明142某单位安全事件报告与处置管理规定164某单位信息安全总体方针与安全策略总则第一条为建立、实施、运行、监督、评审、保持和改进某单位的信息安全管理体系,确定信息安全方针和目标。
第二条对信息安全风险进行有效管理,确保全体人员理解并遵照执行信息安全管理体系文件、持续改进信息安全管理体系的有效性,特制定本文件。
信息安全总体方针第三条信息安全方针为:
安全第一、综合防范、预防为主、持续改进。
(一)安全第一:
信息安全为信息系统业务连续性提供基础保障,把信息安全作为信息系统建设与系统运行的首要任务。
(二)综合防范:
管理措施和技术措施并重,建立有效的识别和预防信息安全风险机制,合理选择安全控制方式,使信息安全风险的发生概率降低到可接受水平。
(三)预防为主:
依据国家相关规定和信息安全管理实践,根据信息资产的重要性等级,定期对重要信息资产进行安全测评,采取有效措施消除可能的隐患,最大程度降低信息安全事件发生的概率。
(四)持续改进:
建立全面覆盖信息安全各层面的安全管理机制,建立持续改进的体系框架,不断自我完善,为业务的稳定运行提供可靠的安全保障。
第四条总体目标
(一)保护信息系统及数据的完整性、可用性、机密性,不遭受破坏、更改及泄漏。
(二)确保信息系统连续、可靠、正常运行,提供及时、持续和高质量的服务并不断改进。
(三)信息安全管理体系建设和运行能满足信息系统日常安全管理的需要,并覆盖各个安全管理层面。
安全策略第五条信息资产管理策略
(一)各类信息资产由信息技术科负责统筹管理,责任到人。
(二)对信息资产进行梳理,建立信息资产清单,明确各信息资产的使用人员、运维人员、管理人员等相关责任人,制定各自的职责;信息资产清单应定期维护与更新;定期对信息资产进行盘点,确保信息资产的账实相符合完好无损。
(三)为确保信息资产能受到适当的保护,信息应当分类以显示其所需保护的要求、优先、程度。
信息分类应按照业务对信息访问的需求,及这些需求带来的影响进行划分,分为非常重要、重要、一般三个等级。
(四)信息资产分类应该具有一定的灵活性。
可以将信息资产分为数据、软件、硬件、文档、设备、人员等共6种类型,内容如下:
1)数据:
储存在电子媒介的各种数据资料,包括代码、数据库数据、各种数据资料、系统文档、运行管理规定、用户手册等。
2)软件:
应用软件、系统软件、开发工具和资库等。
3)硬件:
服务器、路由器、交换机、硬件防火墙、交换机、备份存储设备等。
4)文档:
纸质的各种文件、项目过程文件、日常管理记录文件、发展规划等。
5)设备:
UPS电设备、空调、门禁、消防设施等。
6)人员:
系统管理人员、维护人员、外包服务人员等。
(五)建立信息系统资产清单,明确每个信息系统的负责人和管理员,并落实其岗位职责。
按照国家《信息系统安全等级保护基本要求》(GB/T22239-2021)的要求,对信息系统分级,并按级别采取相应的安全保护措施。
(六)信息系统分级后所采取的对应安全保护措施,必须由相应的负责人定期检查。
(七)各类信息资产必须进行标识管理,标识内容包括资产名称、资产信息、所属系统、资产类别、重要级别、责任人等。
第六条人员安全管理策略
(一)访问敏感信息外包服务人员应在访问信息处理设施前签署相关协议。
(二)所有管理人员离职时,确保其归还所有设备及删除其所有访问权限。
人员离任前要履行交接手续,确保密码、设备、技术资料及相关敏感信息等的移交。
(三)安全教育是指单位安全教育、部门教育和岗位教育。
安全教育制度应纳入本单位的所有员工教育体系。
安全教育要结合实际情况,编制具体的安全教育计划,计划要有明确的针对性,并适时修正、变更或补充内容。
安全教育要由办公室负责,每次安全教育必须有考核机制。
第七条物理和环境安全管理策略
(一)设立物理安全保护区域,该区域包括放置重要存储设备和网络设备等重要信息科技设备的区域。
物理安全保护区域的出入口设置安全屏障(如门禁)。
(二)确保只有经过授权的人员才可以访问物理安全保护区域,整个访问过程应被监控和记录。
(三)采用双回路市电、UPS等措施,保证设备电力供应连续。
(四)建立严格的设备维护流程保证设备的可靠性和信息完整性,一般情况下不允许信息处理设备带出机房,如需将设备带出机房需进行审批。
(五)教育局所属的便携式设备、台式机、笔记本、掌上电脑和其他便携式电子设备由个人负责保护,不允许将这些设备放于无人看守的或是没有安全防范措施的环境中。
(六)办公电脑需根据安全要求统一安装防病毒软件,并设置密码和屏幕保护,人员离开后需启动屏保或关机。
(七)人员离开后,门禁卡、重要文件等不允许摆放在桌面,需妥善保管。
第八条网络安全管理策略
(一)对网络系统的运营与安全防范实行统一管理,对政务外网、局域网应分别指定专人负责维护操作并建立维护记录。
(二)管理人员需对网络交换机、路由器等网络关键设备进行定期检查、保养,对发现的问题进行记录、分析^p和跟踪解决。
(三)建立网络管理系统,监控网络资及运行状态,保障网络安全运行,跟踪网络配置变化等。
(四)严格控制网络访问权限,定期对网络线路进行例行检查,防止非法接入。
(五)根据信息安全级别,将网络划分为不同的逻辑安全域(以下简称为域),实施有效的安全控制,对每个域和整个网络进行物理或逻辑分区、实现网络内容过滤、逻辑访问控制、传输加密、网络监控、记录活动日志等。
(六)网络交换机、路由器等网络关键设备要有备份,骨干网、重要通讯线路和网点通讯线路必须有备份或冗余回路。
第九条运行安全管理策略
(一)建立管理和操作信息处理设备的责任和流程,包括制定适当的操作手册和回退流程,在关键环节实行相互监督制度以减少疏忽或滥用系统的风险。
任何对信息处理设备的操作都要有文档化的说明作为操作记录,文档中应具有每个操作的详细执行说明。
操作说明的文档必须经过一套正式的管理流程进行授权,并对操作行为进行评估和审计。
(二)定期备份重要业务信息和软件。
要有足够的备份设备进行所有重要的业务信息和软件的备份,使得在灾难发生或存储设备失败时能够恢复。
其他系统也要定期备份,以符合业务连续性策略的要求。
(三)存储介质必须受到控制和物理保护。
存放敏感信息的存储介质必须按照一套合适的管理标准进行管理,不再需要的介质中的内容必须安全清除。
所有个人的存储介质不允许存放和传输业务和技术敏感信息,所有个人可移动介质不允许在重要业务处理服务器或敏感个人电脑上使用。
重要业务介质需保存在档案室或保密文件柜内。
(四)制定相关制度和标准,管理所有信息系统的日志,以支持有效的审核、安全取证分析^p和预防欺诈。
应保证系统日志中包含足够的内容,以便完成有效的内部控制、解决系统故障和满足审计需要;应采日志备份制度,并确保其完整性;在意外情况发生后应及时复查系统日志。
(五)部署防病毒系统,建立全面的计算机病毒查杀机制。
所有连入内部域的电脑及其他设备,都应安装杀毒软件,并在接入之前进行病毒扫描;制定病毒库升级策略和扫描策略,定期进病毒库更新和病毒扫描。
第十条访问控制管理策略
(一)建立和完善身份认证、授权与访问控制、应用层通信加密等应用层安全系统的管理规定,改善业务应用系统的整体安全性。
并部署和管理身份认证系统、授权和访问控制系统。
(二)严格控制访问权限审批,制定符合业务操作流程的访问控制审批单,形成访问控制审批过程记录。
访问控制管理部门应拒绝不合理的访问控制请求。
(三)信息系统与信息处理设备必须具有对用户标识、用户口令以及特权访问的控制措施,重要信息系统与信息处理设备需有两种不同的身份鉴别方式。
原则上要求每个人在不同系统的用户标识是唯一的。
用户密码应具有一定的复杂度,需要字母、字符、数字等组成,密码长度不能小于8位,并每六个月定期进行更换。
(四)信息技术科需要定期或不定期的检查用户ID建立、使用、权限划分及密码的变更是否符合控制策略规定。
(五)不允许在没有通过身份验证的情况下,访问信息系统设备和其它信息处理系统。
连续的登陆尝试应受限制。
(六)信息系统的用户应遵守良好的口令设置习惯,所有信息系统用户应养成良好的计算机使用习惯,对公共设备的使用,根据实际情况,在会话结束后执行合适的锁定机制。
每个用户的身份只能鉴定一个用户,不允许共享身份或组身份,除非由安全管理员批准。
用户要为以该用户身份执行的所有操作负责。
(七)用户对网络访问的权限实行最小化原则,用户对网络的访问应设定强制式的路径。
(八)服务器或网络设备上的用户标识应是唯一的,登陆服务器或网络设备的用户只能使用自己的用户标识,用户标识可以用来确认用户的操作行为,并作为追究责任的依据。
(九)通过安全设备或安全技术进行应用系统访问控制,只容许合法用户逻辑访问应用系统中的信息。
对敏感系统配备专用的隔离区域,并设置只能与可信任的应用系统共享资。
(十)建立监控信息处理设备使用情况的程序或设备,以保证用户只进行明确授权的活动。
所需的监控级别应在评估风险后确定。
第十一条移动设备安全管理策略
(一)使用移动设备远程访问业务信息时,只有在成功认证并通过访问控制机制后才准许连接。
原则上不允许在公用场合使用移动设备或远程访问业务系统。
(二)移动存储介质的管理,遵循“谁使用、谁负责”的原则,使用移动存储介质的人员负责移动存储介质的安全,对移动存储介质使用过程中各种安全威胁及可能造成的数据泄露负责。
(三)外来人员所有的移动存储介质,在接入本教育局计算机系统前,应征得计算机使用者的同意,计算机使用者对因接入外来不明移动存储介质导致的安全问题负全部责任。
(四)涉密移动存储介质只能在本教育局涉密计算机和涉密信息系统内使用,严禁涉密移动存储介质在与互联网连接的计算机和个人计算机上使用。
(五)使用涉密移动存储介质保存涉密信息,必须对信息内容进行加密处理。
第十二条数据安全管理策略
(一)根据数据的重要程度和敏感程度进行分级管理和保护。
重要程度划分标准如下:
1)重要程度高:
一旦数据安全受损,会中断关键业务运行;会造成重大财务损失;会导致严重社会影响;会造成严重法律后果等。
2)重要程度中:
一旦数据安全受损,会对关键业务运行有直接影响;造成一定程度财务损失;造成一定程度声誉损失;造成一定程度的法律后果等。
3)重要程度低:
一旦数据安全受损,对关键业务运行无直接影响;仅造成较小的财务损失;仅造成较小的声誉损失;不造成法律后果等。
敏感程度划分标准如下:
1)高敏感程度(保密):
对单位根本利益有着决定性影响,如果泄露会造成灾难性的影响。
2)中敏感程度(内部使用):
仅在单位内部或在内设部门内部公开,向外扩散有可能对组织的利益造成损害。
3)低敏感程度(公开):
可以对社会公开,或者公开后不对单位利益造成损害。
(二)保障网络配置、操作系统和数据库配置等数据的安全性,操作维护人员只有经过授权才能进入系统;对后台数据库中的业务数据进行维护时,操作人员在他人的监督下进行;在办公自动化系统中,教育局人员通过认证和授权系统登录后,只能浏览权限范围内的内容和电子邮件,所有文档和电子邮件的内容在后台以特殊格式存放,只有拥有相关权限的人员登录系统后。
(三)采用加密、数字证书等技术手段防范数据在传输、处理、存储过程中出现泄露或被篡改的风险。
不允许以明文方式存储和传送用户密码等涉密敏感信息。
第十三条信息安全事件管理策略
(一)本策略所称信息安全事件是指由于自然或者人为以及软硬件或故障等原因,对信息系统造成危害,或对社会造成负面影响的事件。
(二)加强信息安全事件管理,及时掌握和分析^p重大信息安全事件有关情况,降低信息安全事件带来的损失,保障网络与信息系统的安全运行。
(三)制定信息安全事件管理规定,包括信息安全事件分类、分级、响应流程、评估/处理、总结/改进及相关的人员与组织定位。
并向所有相关部门和人员公布,使得相关部门和人员熟知信息安全事件响应流程,并能够相互协作、有条理的执行相关流程。
确保有关部门在事件处理中能够集中精力做出适当的、有效的决策,从而减少可能产生的危害。
(四)信息安全事件按照事件产生的影响分为A类(会对社会秩序和公共利益造成特别严重损害),B类(会对社会秩序和公共利益造成严重损害),C类(会对单位内部利益造成特别严重损害)D类(会对单位内部利益造成严重损害)。
(五)信息安全事件响应流程可分为信息安全事件上报、识别,信息安全事件通报,信息安全事件遏制以及信息安全事件解决和恢复四个流程。
应与系统运维服务单位、设备提供商等保持联系,保证信息安全事件发生后,及时采取行动并取得有关意见。
(六)信息安全事件事后处理包括信息安全事件调查、信息安全事件总结和信息安全事件报告三个方面。
(七)根据前述信息安全事件的策略,明确相关部门和人员在各阶段中的职责,并进行培训,在事件发生后能立即、准确响应。
第十四条业务连续性管理策略
(一)利用安全测评和风险评估的结果,应制定计划来维护或在重要业务进程停顿或失效后在限定时间内恢复业务操作。
一旦制定了计划。
(二)业务连续性计划要定期演练以确保有效性,这种测试应确保所有恢复的组员和相关人员都知道此项计划。
业务连续性计划要定期进行更新。
某单位信息安全工作管理规定总则第一条策略目标:
为了加强某单位(以下简称“本单位”)信息安全保障能力,建立健全本单位安全管理体系,提高整体网络与信息安全水平,保证网络通信畅通和业务系统的正常运营,提高网络服务质量,在本单位安全体系框架下,本策略明确本单位安全工作的展开办法,指导各部门展开各自安全工作。
第二条适用范围:
本策略适用于本单位及各科室部门所有信息安全工作,是信息安全工作的纲领性策略。
信息安全工作的基本原则第三条“等级划分”原则:
按照国家信息安全等级保护要求,根据各业务系统的重要程度以及面临的风险大小等因素决定各类信息的安全保护级别,合理规划。
第四条“同步规划、同步建设、同步运行”原则:
安全建设应与业务系统同步规划、同步建设、同步运行,在任何一个环节的疏忽都可能给业务系统带来危害。
第五条“三分技术、七分管理”原则:
网络与信息安全不是单纯的技术问题,需要在采用安全技术和产品的同时,重视安全管理,不断完善各类安全管理规章制度和操作规程,全面提高安全管理水平。
第六条“内外并重”原则:
安全工作需要做到内外并重,在防范外部威胁的同时,加强规范内部人员行为和审计机制。
第七条“整体规划,分步实施”原则:
需要对本单位信息安全建设进行整体规划,分步实施,逐步建立完善的信息安全体系。
第八条“风险管理”原则:
进行安全风险管理,确认可能影响信息系统的安全风险,并以较低的成本将其降低到可接受的水平。
第九条“适度安全”原则:
没有绝对的安全,安全和易用性是矛盾的,需要做到适度安全,找到安全和易用性的平衡点。
第十条“统一管理”原则:
安全的建设应和业务系统相结合,做到全程全网统一监控和审计,统一管理。
安全组织的工作管理第十一条本单位网络与信息安全组织机构包括:
1.本单位信息安全领导小组:
是本单位网络与信息安全工作的领导和决策机构;
2.本单位信息安全工作组:
是本单位信息安全工作的执行机构;
3.本单位信息安全实施组:
是本单位信息安全工作组的日常执行机构。
该机构日常相关工作由本单位信息技术科完成第十二条加强内部人员安全管理,依据最小特权原则清晰划分岗位,在所有岗位职责中明确信息安全责任,要害工作岗位实现职责分离,关键事务双人临岗,重要岗位要有人员备份,定期进行人员的安全审查。
关于人员岗位安全详见《安全岗位人员管理规定》中的规定。
第十三条所有员工都应签署保密协议,并接受信息安全教育培训,提高安全意识,及时报告网络与信息安全事件。
关于员工安全详见《员工安全管理规定》和《培训及教育管理规定》中的规定。
第十四条必须加强第三方访问和外包服务的安全控制,在风险评估的基础上制定安全控制措施,并与第三方本单位和外包服务本单位签署安全责任协议,明确其安全责任。
关于第三方人员安全详见《外来人员安全管理规定》中的规定。
安全体系的运作管理第十五条建设完整安全体系,实现从设计、实施、修改和维护生命周期的安全体系自身保障。
第十六条安全策略本身应规范从创建、执行、修改、到更新、废止等整个生命周期的维护保障。
第十七条本单位信息安全体系的建设和维护,要通过及时获知和评价信息安全的现状,通过对于安全现状的评估,实施信息安全建设工作,减少和降低信息安全风险,提高信息安全保障水平。
安全风险管理第十八条必须加强信息资产管理,建立和维护信息资产清单,维护最新的网络拓扑图,建立信息资产责任制,对信息资产进行分类管理和贴标签。
第十九条对安全威胁提前预警,及时将国内外安全信息通知本单位各级信息安全管理人员及员工,确保能够及时采取应对措施,以此降低本单位的信息安全风险。
第二十条应部署网络层面和系统层面的访问控制、安全审计以及安全监控技术措施,保障业务系统的安全运行。
项目建设安全管理第二十一条加强项目建设的安全管理,配套安全系统必须与业务系统“同步规划、同步建设、同步运行”,加强安全规划、安全评估和论证的管理。
关于项目安全管理详见《某单位信息项目管理规定》中的规定。
运行维护安全管理第二十二条加强机房和办公区域的安全管理,为设备的正常运行提供物理和环境安全保障。
第二十三条建立日常维护操作规程和变更控制规程,规范日常运行维护操作,严格控制和审批任何变更行为。
关于日常维护和变更管理详见《运行维护管理办法》和《某单位信息系统变更管理办法》中的规定。
第二十四条加强本单位病毒防治工作,提升本单位病毒整体防护能力,降低并防范病毒对于本单位业务造成的影响。
关于病毒防护管理详见《某单位病毒防范安全管理办法》中的规定。
第二十五条加强用户帐号和权限管理,按照最小特权原则为用户分配权限,避免出现共用帐号的情况。
关于帐号和权限管理详见《运行维护管理规定》中的规定。
第二十六条制定各业务系统的应急方案,及时发现、报告、处理和记录。
关于应急响应的安全管理详见《某单位应急响应管理规定》中的规定。
系统级安全管理要求第二十七条各系统应建立安全维护作业计划,严格执行维护作业计划,加强对设备、操作系统、数据库、应用系统的安全运行监控,编写日常安全运行维护报告。
第二十八条各系统要求建立本系统应急计划,计划内容基于本单位相关安全策略。
某单位信息安全管理策略策略目标为了加强某单位(以下简称“本单位”)信息安全保障能力,建立健全本单位安全管理体系,提高整体信息安全水平,保证业务系统的正常运营,提高网络服务质量,在本单位安全体系框架下,本策略为规范本单位安全策略的制定、发布、修改、废止、检查和监督落实,建立科学和严谨的管理办法。
适用范围本策略适用于本单位信息技术科及各部门安全专员。
安全策略的制定权限第一条本单位信息技术科负责制定本单位层的安全策略,主要包括:
本单位信息安全体系、本单位安全策略框架、本单位信息安全方针、本单位信息安全体系等级化标准、本单位安全技术标准和技术规范、本单位安全管理制度和规定、本单位安全组织机构和人员职责以及本单位用户协议。
第二条下属人员组织遵照本单位下发的安全策略,结合系统实际情况,制定和细化成适用于部门的具体管理办法、实施细则和操作规程等,不得与单位的规章制度相抵触,并须报单位信息技术科备案。
安全策略的制定要求第一条本单位安全策略中不得出现本单位的涉密信息。
第二条对本单位安全策略进行汇编时,必须保留各安全策略的版本控制信息和密级标识。
本单位安全策略修改与废止第一条必须定期对安全策略进行评审,对其中不适用的或欠缺的条款,及时进行修改和补充。
对已不适用的信息安全制度或规定应及时废止。
第二条当现行安全策略有下列情形之一时,必须及时修改:
1.当发生重大安全事件,暴露出安全策略存在漏洞和缺陷时;
2.组织机构或业务系统进行重大调整和变更后;
3.同一个事项在两个规章制度中规定不一致;
4.与上级业务主管部门的安全策略相抵触;
5.其它需要修改安全策略的情形。
第三条当现行安全策略有下列情形之一时,必须及时予以废止:
1.因有关信息安全制度或规定废止,使该信息安全制度或规定失去依据,或与本单位现行上层策略相抵触;
2.因已规定的事项已经执行完毕,没有存在必要;
3.已被新的规章制度所替代。
第四条本单位层安全策略的修改与废止须经本单位信息安全领导审批确认,本单位信息技术科备案。
本单位安全策略监督和检查第一条安全策略发布实施后,各部门应就安全策略制度或规定的贯彻执行,执行中存在的问题以及对规章制度修改或废止的意见建议等情况进行检查和监督,并将意见和建议及时反馈给信息技术科。
第二条为保障各项信息安全管理制度的贯彻落实,本单位信息技术科必须定期检查安全策略的落实情况,信息安全管理制度的落实情况检查是信息安全检查工作的重要内容。
第三条信息安全检查工作结束后,在起草检查报告时,必须通报安全策略的落实情况,对执行不力的行为必须提出整改意见,限期纠改,并继续追踪其落实情况。
第四条安全策略的贯彻落实情况,必须作为重要的考核项目,纳入部门的综合考评体系。
第五条为安全策略落实做出显著成绩的部门或个人,应给予表彰和奖励;对违反规章制度造成严重后果的部门或个人,应追究当事人、相关单位及主管领导的责任。
具体参照本单位考核制度办理。
用户权限管理用户权限全网中不同设备的权限配置和功能实现虽然有所差别,但都应在确保安全的基础上尽可能提供用户分级管理的功能。
用户权限的设置应遵循以下原则:
(一)操作系统管理员:
进行操作系统日常维护
(二)数据库管理员:
进行数据库系统日常维护
升级会员 