三级等保评审需要的网络安全管理制度大全汇编.doc
《三级等保评审需要的网络安全管理制度大全汇编.doc》由会员分享,可在线阅读,更多相关《三级等保评审需要的网络安全管理制度大全汇编.doc(284页珍藏版)》请在冰点文库上搜索。
某某单位
信息安全管理制度汇编
2019年1月
信息化管理处
关于本文件
文件名称
吉林省某某单位信息安全管理制度汇编
文件编号
控制级别
内部资料
文件类别
管理制度
文件页数
编制
日期
年月日
审核
日期
年月日
签发
日期
年月日
分发控制[受控文件填写]
编号
份数
用途
审批人
日期
经手人
日期
目录
第一章 安全策略总纲 1
、 信息安全策略总纲 1
、 总则 1
、 信息安全工作总体方针 1
、 信息安全总体策略 1
、 安全管理 1
、 制度的制定与发布 1
、 制度的评审和修订 1
附件1-1-1网络安全管理制度论证审定记录(模板) 1
附件1-1-2网络安全管理制度收发文记录(模板) 1
第二章 安全管理机构 1
、 信息安全组织及岗位职责管理规定 1
、 总则 1
、 信息安全组织机构 1
、 信息安全组织职责 1
、 信息安全岗位职责 1
、 信息安全岗位要求 1
、 附则 1
附件2-1-1网络安全工作授权审批单(模板) 1
附件2-1-2网络安全工作会议记录表(模板) 1
附件2-1-3外联单位工作联系表(模板) 1
、 信息安全检查与审计管理制度 1
、 总则 1
、 安全检查 1
、 安全审计 1
、 附则 1
附件2-2-1年度网络安全检查记录(模板) 1
第三章 人员安全管理 1
、 内部人员信息安全管理规定 1
、 总则 1
、 人员录用 1
、 岗位人选 1
、 人员转岗和离岗 1
、 人员考核 1
、 人员惩戒 1
、 人员教育和培训 1
、 附则 1
附件3-1-1人员录用审查考核结果记录(模板) 1
附件3-1-2信息系统关键岗位安全协议(模板) 1
附件3-1-3信息安全岗位培训计划制定要求(模板) 1
附件3-1-4人员离岗安全处理记录(模板) 1
附件3-1-5人员培训考核记录(模板) 1
附件3-1-6人员奖惩及违纪记录(模板) 1
、 外部人员访问信息安全管理规定 1
、 总则 1
、 定义 1
、 外部人员访问信息安全管理 1
、 第三方安全要求 1
、 附则 1
第四章 系统建设管理 1
、 定级备案管理规定 1
、 总则 1
、 定义 1
、 岗位及职责 1
、 系统定级方法 1
、 系统定级备案管理 1
附件4-1-1系统定级结果评审及审批意见(模板) 1
、 信息安全方案设计管理规定 1
、 总则 1
、 安全建设总体规划责任部门 1
、 安全方案的设计和评审 1
、 安全方案的调整和修订 1
、 附则 1
附件4-2-1安全方案评审及审批意见(模板) 1
、 产品采购和使用信息安全管理规定 1
、 总则 1
、 产品采购和使用 1
、 产品采购清单的维护 1
、 附则 1
附件4-3-1安全产品采购记录(模板) 1
附件4-3-2候选产品清单(模板) 1
、 信息系统自行软件开发管理规定 1
、 总则 1
、 自行软件开发管理 1
、 附则 1
、 信息系统外包软件开发管理规定 1
、 总则 1
、 外包软件开发管理 1
、 附则 1
、 信息系统工程实施安全管理制度 1
、 总则 1
、 工程实施管理 1
、 实施过程控制方法 1
、 实施人员行为准则 1
、 附则 1
附件4-6-1工程测试验收评审及审批意见(模板) 1
、 信息系统测试验收安全管理规定 1
、 总则 1
、 测试验收管理 1
、 测试验收控制方法 1
、 测试人员行为准则 1
、 附则 1
、 信息系统交付安全管理规定 1
、 总则 1
、 交付管理 1
、 系统交付的控制方法 1
、 参与人员行为准则 1
、 附则 1
、 信息系统等级测评管理规定 1
、 总则 1
、 等级测评管理 1
、 附则 1
、 信息系统安全服务商选择管理办法 1
、 总则 1
、 安全服务商选择 1
、 附则 1
附件4-10-1个人工作保密承诺书(模板) 1
附件4-10-2服务项目保密协议书(模板) 1
第五章 系统运维管理 1
、 环境安全管理规定 1
、 总则 1
、 机房安全管理 1
、 办公区信息安全管理 1
、 附则 1
附件5-1-1机房来访人员登记表(模板) 1
、 资产安全管理制度 1
、 总则 1
、 信息系统资产使用 1
、 信息系统资产传输 1
、 信息系统资产存储 1
、 信息系统资产维护 1
、 信息系统资产报废 1
、 附则 1
附件5-2-1资产清单(模板) 1
附件5-2-2信息系统资产报废申请表(模板) 1
、 介质安全管理制度 1
、 总则 1
、 介质管理标准 1
、 附则 1
附件5-3-1存储介质操作记录表(模板) 1
、 设备安全管理制度 1
、 总则 1
、 设备安全管理 1
、 配套设施、软硬件维护管理 1
、 设备使用管理 1
、 附则 1
附件5-4-1设备出门条(模板) 1
附件5-4-2设备维修记录表(模板) 1
附件5-4-3网络运维巡检表(模板) 1
附件5-4-4主机运维巡检表(模板) 1
附件5-4-5数据库运维巡检表(模板) 1
附件5-4-6应用服务运维巡检表(模板) 1
附件5-4-7机房相关设备运维巡检表(模板) 1
、 运行维护和监控管理规定 1
、 总则 1
、 运行维护和监控工作 1
、 安全运行维护和监控作业计划 1
、 附则 1
附件5-5-1监控记录分析评审表 1
、 网络安全管理制度 1
、 总则 1
、 网络设备管理 1
、 用户和口令管理 1
、 配置文件管理 1
、 日志管理 1
、 设备软件管理 1
、 设备登录管理 1
、 附则 1
附件5-6-1网络运维记录表(模板) 1
附件5-6-2违规外联及接入行为检查记录表(模板) 1
、 系统安全管理制度 1
、 总则 1
、 系统安全策略 1
、 安全配置 1
、 日志管理 1
、 日常操作流程 1
、 附则 1
附件5-7-1补丁测试记录(模板) 1
附件5-7-2日志审计分析记录(模板) 1
、 恶意代码防范管理规定 1
、 总则 1
、 恶意代码防范工作原则 1
、 职责 1
、 工作要求 1
、 附则 1
附件5-8-1恶意代码检查结果分析记录(模板) 1
、 密码使用管理制度 1
、 总则 1
、 密码使用管理 1
、 密码使用要求 1
、 附则 1
、 变更管理制度 1
、 总则 1
、 变更定义 1
、 变更过程 1
、 变更过程职责 1
、 附则 1
、 备份与恢复管理制度 1
、 总则 1
、 备份恢复管理 1
、 附则 1
附件5-11-1数据备份和恢复策略文档(模板) 1
附件5-11-2备份介质清除或销毁申请单(模板) 1
附件5-11-3数据备份和恢复记录(模板) 1
、 安全事件报告和处置管理制度 1
、 总则 1
、 安全事件定级 1
、 安全事件报告和处置管理 1
、 安全事件报告和处理程序 1
、 附则 1
附件5-12-1网络安全行为告知书(模板) 1
附件5-12-2信息安全事件报告表(模板) 1
附件5-12-3系统异常事件处理记录(模板) 1
、 应急预案管理制度 1
、 总则 1
、 组织机构与职责 1
、 安全事件应急预案框架 1
、 应急响应程序 1
、 应急预案审查管理 1
、 应急预案培训 1
、 应急预案演练 1
、 附则 1
附件5-13-1应急处置审批表(模板) 1
附件5-13-2应急预案评审及审批意见(模板) 1
第六章 其他管理制度 1
、 安全设备运行维护规范 1
、 总则 1
、 适用产品范围 1
、 安全策略配置规范 1
、 安全运维规范 1
、 附则 1
附件6-1-1安全设备配置变更申请表(模板) 1
附件6-1-2安全设备配置变更记录表(模板) 1
第一章安全策略总纲
1.1、信息安全策略总纲
1.1.1、总则
第一条为贯彻国家对信息安全的规定和要求,指导和规范吉林省某某单位信息系统建设、使用、维护和管理过程中,实现信息系统安全防护的基本目的,提高信息系统的安全性,防范和控制系统故障和风险,确保信息系统安全、可靠、稳定运行,维护社会秩序、公共利益和国家安全,特制定《吉林省某某单位信息安全策略总纲》(以下简称《总纲》)。
第二条《总纲》根据国家信息安全相关政策法规而制定。
第三条本制度适用于吉林省某某单位信息系统,适用于吉林省某某单位拟建、在建以及运行的非涉密信息系统。
1.1.2、信息安全工作总体方针
第四条吉林省某某单位信息系统的安全保护管理工作总体方针是“保持适度安全;管理与技术并重;全方位实施,全员参与;分权制衡,最小特权;尽量采用成熟的技术”。
“预防为主”是吉林省某某单位信息安全保护管理工作的基本方针。
第五条《总纲》规定了吉林省某某单位信息系统安全管理的体系、策略和具体制度,为信息化安全管理工作提供监督依据。
第六条吉林省某某单位信息系统安全管理体系是由信息安全策略总纲、安全管理制度、安全技术标准以及安全工作流程和操作规程组成的。
(一)《总纲》是信息安全各个方面所应遵守的原则方法和指导性策略文件。
(二)《总纲》是制定吉林省某某单位信息安全管理制度和规定的依据。
(三)吉林省某某单位信息安全管理制度和规定了信息安全管理活动中各项管理内容。
(四)吉林省某某单位信息安全技术标准和规范是根据《总纲》中对信息安全方面相关的规定所引出的,其规定了信息安全中的各项技术要求。
第七条吉林省某某单位信息安全工作流程和操作规程详细规定了主要应用和事件处理的流程、步骤以及相关注意事项,并且作为具体工作时的具体依照。
1.1.3、信息安全总体策略
第八条吉林省某某单位信息系统总体安全保护策略是:
系统资源的价值大小、用户访问权限的大小和系统重要程度的区别就是安全级别的客观体现。
信息安全保护必须符合客观存在和发展规律,其分级、分区域、分类和分阶段是做好信息安全保护工作的前提。
第九条吉林省某某单位信息系统的安全保护策略由吉林省某某单位网络安全与信息化工作领导小组负责制定与更新。
第十条吉林省某某单位网络安全与信息化工作领导小组根据信息系统的安全保护等级、安全保护需求和安全目标,结合吉林省某某单位自身的实际情况,依据国家信息安全法规和标准,制定信息系统的安全保护实施细则和具体管理办法,并根据实际情况,及时调整和制定新的实施细则和具体管理办法。
第十一条吉林省某某单位信息系统的安全保护工作应从技术体系和管理体系两个方面进行,技术体系包括物理环境安全、网络安全、主机安全、应用安全和数据安全等五个部分,管理体系包括安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等五个部分,由技术体系和管理体系共十个部分构成信息系统安全等级保护体系。
(一)物理环境安全包括:
周边环境安全,门禁检查,防盗窃、防破坏、防火、防水、防潮、防雷击、防电磁泄露和干扰,电源备份和管理,设备的标识、使用、存放和管理等;
(二)网络安全包括:
网络的拓扑结构,网络的布线和防护,网络设备的管理和报警,网络攻击的监察和处理,网络安全审计和检查及边界完整性检查;
(三)主机安全包括:
主机的身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、监控和终端接入控制等;
(四)应用安全包括:
应用系统的身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性和保密性、抗抵赖、软件容错和资源控制等;
(五)数据安全包括:
数据传输的完整性和保密性、数据存储的完整性和保密性、数据的备份和恢复等;
(六)安全管理制度是信息系统安全策略、方针性文件,规定信息安全工作的总体目标、范围、原则和安全框架,是管理制度体系的灵魂和核心文件;
(七)通过构建和完善信息安全组织架构的措施,明确不同安全组织和不同安全角色的定位、职责以及相互关系,强化信息安全的专业化管理,实现对安全风险的有效控制;
(八)人员安全管理包括人员录用、人员管理、人员考核、保密协议、培训、离岗离职等多个方面;
(九)系统建设管理根据信息密级、系统重要性和安全策略将信息系统划分为不同的安全域,针对不同的安全域确定不同的信息安全保护等级,采取相应的保护。
信息系统安全等级的定级决定了系统方案的设计、实施、安全措施、运行维护等信息系统建设的各个环节。
信息系统定级遵循“谁建设、谁定级”的原则;
(十)系统运维管理对信息系统进行综合监控管理,对支撑重要信息系统的资源进行监控保护,确保密码防护、病毒防护、系统变更等事件按照规定的信息安全管理策略实行,建立安全管理监控中心,实现对人、事件、流程、资产等方面的综合管理。
1.1.4、安全管理
第十二条吉林省某某单位信息系统定级备案管理完全按照国家相关信息安全标准的相关政策要求进行。
要求所有接入吉林省某某单位的信息系统均按照等级保护定级备案要求进行定级,参考《信息系统安全保护等级定级指南GB/T22240-2008》,由各应用系统接入单位自主定级并填写定级报告,吉林省某某单位网络安全与信息化工作领导小组办公室填写定级备案表,经吉林省某某单位网络安全与信息化工作领导小组批准,由吉林省某某单位网络安全与信息化工作领导小组办公室统一负责向公安机关进行备案。
所有吉林省某某单位信息系统必须确定其信息安全保护等级,并在吉林省某某单位网络安全与信息化工作领导小组办公室进行登记和备案。
第十三条业务应用需求和设计单位,要充分考虑信息系统的安全需求分析,统一按照业务系统归属进行安全域划分,确定定级备案情况;具体参考《信息安全等级保护管理办法》、《信息系统安全等级保护基本要求》,参照《信息系统安全等级保护实施指南》、《信息系统通用安全技术要求》、《信息系统安全工程管理要求》、《信息系统等级保护安全设计技术要求》等标准规范要求,结合行业特点进行安全需求分析。
(一)信息安全需求分析,至少包括以下信息安全方面的内容:
1.安全威胁分析;
2.系统脆弱性分析;
3.影响性分析;
4.风险分析;
5.系统安全需求。
(二)可行性分析中须包括以下信息安全方面的内容:
1.明确项目的总体信息安全目标,并依据信息安全需求分析的结论提出相应的安全对策,每个信息安全需求都至少对应一个信息安全对策,信息安全对策的强度根据相应资产/系统的重要性来选择;
2.描述如何从技术和管理两个方面来实现所有的信息安全对策,并形成信息安全方案;
3.增加项目建设中的信息安全管理模式、信息安全组织结构、人员的安全职责、建设实施中的安全操作程序和相应安全管理要求;
4.对安全方案进行成本-效益分析;
5.需求分析阶段必须明确地定义和商定新系统的需求和准则,并形成文件,便于后期验收。
相关信息安全需求的要求和准则应包括:
用户管理、权限管理、日志管理和数据管理等。
第十四条业务应用的安全设计应按照国家信息安全标准进行,并依照信息安全需求分析评估得出的结论,通过相关专家评审会后,综合多方意见,进行安全设计。
具体要求如下:
(一)物理安全-设计中要充分考虑到物理访问控制、防盗窃和防破坏、防雷击、防火、防水、防潮、电力、物理位置、防静电和电磁防护,做到增强控制,对人员和设备的出入进行监控;
(二)网络安全-设计中要充分考虑到结构安全、访问控制、设备防护、安全审计、边界完整性检查、入侵防范、恶意代码防范,确保重要主机的优先级,做到应用层过滤,对入网设备的接入进行非法外联的定位和阻断,对形成的记录进行分析、形成报表,对审计系统进行两种以上鉴别技术,保证特权用户分离;
(三)主机安全-设计中充分考虑主机系统(操作系统)的身份鉴别、访问控制、入侵防范、恶意代码防范、安全审计、资源控制、剩余信息保护,要求必须监控服务器相关服务,保证最小授权原则,对形成的记录进行分析并形成报表;
(四)数据安全-设计中充分考虑数据完整性、数据备份和恢复、数据保密性;
(五)应用安全-设计中充分考虑应用系统的身份鉴别、访问控制、通信完整性和保密性、软件容错、安全审计、资源控制、剩余信息保护、抵赖性。
在信息系统安全规划设计时,应该考虑系统的容量和资源的可用性,以减少系统过载的风险,并采取相应的保密措施,控制涉及核心数据软件设计的相关资料的使用,并应遵循以下原则:
(一)充分考虑应用安全实现的可控性,以便尽可能地降低安全系统与应用系统结合过程中的风险;
(二)保持安全系统与应用系统的相互独立性,避免功能实现上的交叉或跨越;
(三)建立完善的信息安全控制机制,包括:
用户标识与认证、逻辑访问控制、公共访问控制、审计与跟踪等。
第十五条信息系统安全建设管理需要按照国家信息安全标准的相关要求,并在安全管理组织的领导下,结合应用的实际情况,进行信息安全建设。
在建设中应充分考虑系统定级管理、安全方案设计管理、产品采购和使用管理、自行以及外包软件开发管理、工程实施管理、测试验收管理、系统交付管理、安全服务商选择管理、系统备案管理、等级测评管理等因素对信息系统安全的影响程度。
信息系统安全建设管理要求将系统建设过程有效程序化,明确指定项目实施监理负责人,确保系统设计文档和相关代码的安全,对销毁过程要进行安全控制,自行开发时应当严格控制对程序资源库的访问。
第十六条信息系统安全验收管理按照国家相关信息安全标准的要求,结合吉林省某某单位信息系统的实际情况进行安全验收管理规范化。
项目验收需得到各业务单位、吉林省某某单位网络安全与信息化工作领导小组办公室共同确认签字验收。
项目应达到项目任务书中制定的总体安全目标和安全指标,实现全部安全功能。
验收报告中应包括项目总体安全目标及主要内容。
验收报告中应包括项目采用的关键安全技术内容。
系统验收并移交后,必须立即修改系统中的默认口令。
应用系统项目验收应审查如下内容:
(一)功能检查包括对软件功能完整性、正确性进行审查和评价;
(二)项目管理审查包括对项目计划、采用标准、需求方案及其执行情况进行审查和评价;
(三)测试结果审查包括对项目测试报告、监理单位出具的监理报告等进行审查;
(四)技术文档检查包括对项目开发单位交付的文档资料(纸质文档和电子文档)进行审查。
(五)系统交付时,应根据合同要求制定系统交付的清单;
(六)系统运行所需要的全部设备;
(七)系统运行所需要的全部软件;
(八)系统文档,包括系统建设过程中的文档,详细的系统使用和维护文档;
(九)系统应急方案;
(十)系统使用培训教材。
系统建设项目有下列情况之一,不能通过安全验收:
(一)验收文件、资料、数据不真实;
(二)未达到安全设计要求;
(三)设计不符合国家信息安全建设相关标准要求;
(四)擅自修改设计目标和建设内容;
(五)系统建设过程中出现重大问题,未能解决和做出说明,或存在纠纷。
项目验收完毕后,系统建设部门应对负责系统使用和维护的人员进行相应培训,并履行服务承诺。
第十七条安全测评管理是按照国家信息安全标准测评的相关要求,结合吉林省某某单位的实际情况进行安全测评。
项目验收时应按照信息安全法律法规和标准情况,进行自评估或委托具有国家相关技术资质和安全资质的第三方测评机构进行测评,并出具测评报告,测评报告将作为项目验收的参考依据。
信息系统的安全性测试验收应独立进行,测试程序应包括以下内容:
(一)测试验收前根据设计方案或合同要求等制订测试验收方案,测试验收方案应对参与测试部门、人员、现场操作过程等进行要求,并确保测试和接收标准被清晰定义并文档化;
(二)测试方案应通过吉林省某某单位网络安全与信息化工作领导小组办公室的论证和审定;
(三)严格依据测试方案进行测试,测试验收过程中详细记录测试结果;
(四)至少应审查主机端口开放情况是否符合系统说明、使用网络侦听工具查通讯数据包是否符合系统说明和使用恶意代码软件检测软件包中可能存在的恶意代码等。
(五)拟定测试验收报告,并由相关负责人签字确认。
第十八条安全运维管理按照国家信息安全标准的要求,项目验收完毕后,结合吉林省某某单位的实际情况进行运行维护管理工作。
信息安全管理部门接管后,负责物理安全、网络安全、主机安全、数据安全等管理工作,并定期和不定期的进行信息安全检查,确保信息系统安全运行。
各业务系统的维护人员负责维护和监控责任范围内的应用系统,不得越权进行访问。
信息安全运行维护项目应包括但不限于以下内容:
(一)对物理安全的机房环境、温湿度等检查;
(二)对网络的连通性、时延、丢包率,检查网络的状况、故障及攻击事件等;
(三)对设备运行状态检查;
(四)对出口链路或关键链路流量进行检查,设备配置进行备份工作等。
(五)对新购置的设备和软件在上线之前进行安全性检查、策略合理性测试。
(六)对设备和软件的日志进行定期和不定期的审计。
(七)对设备和软件进行版本升级和相关库升级。
(八)建立监控平台,对设备安全漏洞、安全事件、系统日志等信息进行监控,制定各项计划性的安全维护工作。
(九)建立单位作业计划应包括以下内容安全设备维护、安全监控、操作日志、日志审核、故障管理、测试等工作,明确执行期限,落实到人。
安全维护作业计划在编制和确定后,各业务单位应根据其内容严格执行。
定期对维护计划执行情况进行总结分析。
(十)定期出具安全运行维护报告,报告涉及方面包括但不限于以下内容:
安全设备维护内容、安全监控内容、操作日志、系统日志、故障处理内容等。
1.1.5、制度的制定与发布
第十九条吉林省某某单位信息化管理处负责制订信息系统安全管理制度,并以文档形式表述,经吉林省某某单位网络安全与信息化工作领导小组办公室讨论通过,由吉林省某某单位网络安全与信息化工作领导小组办公室负责人审批发布。
第二十条吉林省某某单位信息化管理处负责组织制度编制、论证、监督检查和修订等工作。
第二十一条吉林省某某单位信息化管理处负责根据信息系统安全管理制度,结合系统的特点进行细化和制定实施细则,报吉林省某某单位网络安全与信息化工作领导小组办公室审批,以正式形式发布。
第二十二条吉林省某某单位信息系统安全管理制度编写格式统一,并进行版本控制。
第二十三条信息安全管理制度由吉林省某某单位网络安全与信息化工作领导小组办公室负责审核,以正式文件形式发布,同时注明发布范围并有收发文登记。
1.1.6、制度的评审和修订
第二十四条由吉林省某某单位网络安全与信息化工作领导小组办公室负责文档的评审,对安全策略和制度的有效性进行程序化、周期性评审,并保留必要的评审记录和依据。
第二十五条吉林省某某单位信息化管理处负责定期组织对安全管理制度的执行情况进行检查,并结合国家信息安全主管部门每年定期对信息安全进行检查中发现的问题,对安全管理制度进行有针对性的修订与完善。
第二十六条当发生重大安全事故、出现新的安全漏洞以及技术基础结构发生变更时,吉林省某某单位信息化管理处要对安全管
升级会员 