網絡信息安全管理制度

1、網絡信息安全管理制度第一章 總則第一條 為了加強信息管理，規(guī)范信息安全操作行為，提高信息安全保障能力和水平，維護信息安全，促進信息化建設，根據(jù)中華人民共和國計算機信息系統(tǒng)安全保護條 例等規(guī)定，以環(huán)境信息網絡管理維護規(guī)范（環(huán)保部制定）等標準為基本管理操作準則，制訂本管理制度。第二條 本制度適用范圍為信息與監(jiān)控中心，其他單位可參照執(zhí)行。第二章 崗位管理第三條 業(yè)務信息工作人員（包括監(jiān)控與信息中心技術人員及機關業(yè)務系統(tǒng)管理人員）、機房運維人員（包括外包機構人員），應遵循環(huán)境信息網絡管理維護規(guī)范等規(guī)定。第四條 機房運維人員根據(jù)運維合同規(guī)定由機房管理部門對其實行管理。第五條 信息工作人員崗位設置為系統(tǒng)管

2、理員、業(yè)務管理員、網絡管理員、安全管理員、安全審計員。人員崗位及職責（1） 系統(tǒng)管理員系統(tǒng)管理員是從事服務器及存儲設備運行管理的人員，業(yè)務上應具備熟練掌握操作系統(tǒng)、熟練操作服務器和存儲設備的能力。1、負責指定的服務器、存儲等設備的資料登記、軟件保管及設備報修。2、配合完成指定的業(yè)務軟件運行環(huán)境的建立，正式運行后的服務器系統(tǒng)軟硬件操作的監(jiān)管，執(zhí)行中心的備份策略。3、在所負責的的服務器、存儲設備發(fā)生硬件故障時,及時組織有關人員恢復系統(tǒng)的運行,針對系統(tǒng)事故找到系統(tǒng)事故原因。4、負責指定的服務器操作系統(tǒng)的管理口令修改。5、負責制定、執(zhí)行服務器及存儲設備故障應急預案。（二）業(yè)務管理員（業(yè)務聯(lián)系人）業(yè)務管

3、理員是部署在應用服務器上的操作系統(tǒng)及業(yè)務系統(tǒng)運行管理的人員，業(yè)務上應具備業(yè)務系統(tǒng)安裝及基本調試操作的能力（業(yè)務軟件廠家負責培訓），業(yè)務系統(tǒng)及部署操作系統(tǒng)故障分析的能力，預防系統(tǒng)風險的能力。1、負責維護業(yè)務系統(tǒng)的運行及業(yè)務系統(tǒng)的安裝環(huán)境。2、負責制定、執(zhí)行業(yè)務系統(tǒng)及其數(shù)據(jù)的備份計劃。3、負責業(yè)務數(shù)據(jù)的數(shù)據(jù)備份及數(shù)據(jù)恢復。4、負責制定執(zhí)行本業(yè)務系統(tǒng)的故障應急預案。（三）網絡管理員網絡管理員是網絡及網絡設備運行管理的管理人員，業(yè)務上應具備規(guī)劃大型網絡的能力，網絡故障分析的能力。1、負責日常監(jiān)控網絡運行，保持網絡安全、穩(wěn)定、暢通。2、負責網絡、安全設備的資料登記，軟件保管及設備維修。3、負責網絡、安全

4、設備的配置情況及針對相關業(yè)務配置參數(shù)設置，并備份各個設備的配置文件。4、負責網絡、安全設備的編號和調配。5、負責網絡資源規(guī)劃和網絡布線配線架的管理。6、負責對網絡的效能進行評價，提出網絡結構、網絡技術和網絡管理的改進措施。7、負責制定和執(zhí)行網絡故障應急預案。（四）安全管理員安全管理員是網絡安全、系統(tǒng)安全進行風險評估的管理人員，業(yè)務上應具備文字處理的能力、劃分系統(tǒng)保護定級及系統(tǒng)恢復定級的能力、協(xié)調溝通的能力。1、負責定期對網絡、操作系統(tǒng)等進行安全漏洞掃描，通知各相關技術人員并給予指導。2、負責組織實施信息安全風險評估，報告。3、負責組織人員進行安全培訓。4、負責確定系統(tǒng)保護定級和劃分系統(tǒng)恢復等級

5、。5、負責配合省公安廳和經信委的信息安全檢查。（五）安全審計員安全審計員是審計網絡安全策略、安全防護、角色權限的管理人員。業(yè)務上應具備辦公及應用軟件安全分析的能力、系統(tǒng)安全風險策略及數(shù)據(jù)安全風險策略分析的能力、組織協(xié)調的能力。1、負責辦公軟件和應用軟件的安裝和維護。2、負責重要系統(tǒng)的用戶角色權限的審計。網絡安全、病毒防護的審計。3、負責數(shù)據(jù)備份與災難恢復的審計。4、協(xié)助進行網絡帶寬分配、網絡訪問控制、網絡安全審計、網絡邊界完整性、網絡入侵防范、網絡惡意代碼防范、地址綁定等安全功能進行測試。5、負責重要系統(tǒng)軟硬件獲取應用的審計。6、負責應急預案的審計，并組織應急演練。第六條 信息工作人員與機房運

6、維人員都必須遵守山東省環(huán)境保護廳環(huán)境信息網絡管理維護規(guī)范，簽訂信息安全責任書。第七條 對違反信息安全操作規(guī)范或嚴重疏忽，根據(jù)造成的后果的大小，可對信息工作人員的當年年度考核評定為不合格或職務晉升、評選先進等實行一票否決。人事關系隸屬其他部門人員通知相關部門負責人，根據(jù)廳有關規(guī)定進行處理。造成重大事故，構成犯罪的，將追究刑事責任。第八條 信息工作人員離崗必須交接的內容：1、將領用的辦公電腦、U盤、移動硬盤等辦公品辦理退還手續(xù)。2、本崗位所有的工作資料。3、經辦未了的事項。第九條 離崗交接要求1、離崗人員必須認真填寫離崗表格資料，填寫資料字跡要清晰。2、離崗表格資料由信息主管部門負責對離崗人員材料

7、進行評審。3、資料、文件、未完工作交接時，需由信息主管部門確定監(jiān)交人，監(jiān)督移交是否完整、準確，并幫助移交工作順利完成。資料交接清單必須有移交人、交接人以及監(jiān)交人三方的簽字認可。4、離崗交接未通過評審者，人事部門不得為其辦理離職手續(xù)。5、交接時可能會出現(xiàn)資料交接不完全，人員離崗后，信息主管部門保留對移交人的追索權力。第十條 根據(jù)信息安全等級保護檢查工作規(guī)范的規(guī)定，信息部門每年舉辦一次信息安全技術培訓。第三章 網絡管理第十一條 根據(jù)山東省環(huán)境保護廳環(huán)境信息網絡管理維護規(guī)范標準，網絡管理員每天檢查網絡設備的運行情況。第十二條 網絡管理員日常檢查各網絡運行狀態(tài)，記錄網絡運行各項參數(shù)。日常檢查內網管理軟

8、件、網絡與安全管理軟件的運行情況。及時執(zhí)行網絡與安全管理軟件升級維護，并記錄網絡安全日常維護表。第十三條 網絡管理員配合安全審計員定期對網絡帶寬分配、網絡訪問控制、網絡安全審計、網絡邊界完整性、網絡入侵防范、網絡惡意代碼防范、地址綁定等安全功能進行測試。第十四條 網絡資源及網絡參數(shù)變更，必須有機房負責人進行審批。第十五條 出現(xiàn)網絡異常，網絡管理員及時報告機房負責人，核實原因。如網絡出現(xiàn)故障或事故，應按照信息安全應急預案處理，及時維修、更換備機。第十六條 網絡、安全設備接入網絡，必須經過運維管理部門審批。發(fā)現(xiàn)私自接入網絡行為的，給予警告、記過處分，造成不良后果的，可以撤職。第十七條 利用網絡從事

9、非法活動的，將根據(jù)有關法律法規(guī)，追究責任。第四章 系統(tǒng)管理第十八條 根據(jù)“誰應用，誰負責”的原則，確定每個業(yè)務系統(tǒng)的業(yè)務管理員，軟件研發(fā)單位負責對業(yè)務管理員進行培訓。第十九條 業(yè)務管理員應每天檢查所管理業(yè)務系統(tǒng)（包括所使用的硬件設備）的運行情況，檢查業(yè)務系統(tǒng)備份情況，及時修補系統(tǒng)補丁。第二十條 對業(yè)務系統(tǒng)進行升級與維護，必須錄入系統(tǒng)日常維護表。第二十一條 業(yè)務系統(tǒng)及其備份系統(tǒng)發(fā)生故障時，系統(tǒng)管理員及時通知軟件開發(fā)商并報告機房負責人，核實原因。如系統(tǒng)不能恢復或數(shù)據(jù)丟失等重大事故發(fā)生，應按照信息安全應急預案處理。第二十二條 每年7月，業(yè)務管理員配合安全管理員對業(yè)務系統(tǒng)進行風險評估，根據(jù)風險評估報告

10、（符合GB/T20984標準），進行系統(tǒng)修訂。第二十三條 每年7月，業(yè)務管理員配合安全管理員核定信息系統(tǒng)等保定級、系統(tǒng)恢復定級，按照信息安全檢查內容進行自查。第二十四條 業(yè)務系統(tǒng)服務器不得開放與工作無關的服務端口。如需開通其他服務端口，必須備案，并自行保證信息安全。第五章 軟硬件資產管理第二十五條 進入機房的軟件、服務器、存儲、網絡與安全設備進行統(tǒng)一的編號和調配，如在財務管理所規(guī)定的固定資產價值范圍內（含軟件和其它信息設備），應統(tǒng)一登記，計入固定資產臺賬。第二十六條 由行政管理部門和使用部門對軟件和信息設備共同進行資產管理。1、設置固定資產實物臺帳，建立固定資產卡片。2、對固定資產進行統(tǒng)一分類

11、資產編號。3、對固定資產的使用落實到具體負責人。第二十七條 資產編號規(guī)則應按財政廳規(guī)定的資產編號規(guī)則實施。第二十八條 信息管理部門定期組織人員，進行軟件資產清查盤點，對清查盤點中發(fā)現(xiàn)的問題，應當查明原因，說明情況，軟件資產清查盤點工作應當符合信息安全和保密的要求，防止信息外泄。第二十九條 符合下列條 件之一的軟件資產可以申請報廢（一）閑置一年以上及版本陳舊已不再使用的（二）達不到業(yè)務要求需要淘汰、報廢、刪除的；（三）已超過授權期限，無法使用的；（四）其他特殊情況需要處置的。第三十條 根據(jù)設備新舊程度，信息管理部門應組織系統(tǒng)管理員和網絡設備管理員及業(yè)務管理員，定期修訂設備保養(yǎng)計劃，設備進行保養(yǎng)及

12、清洗，需按照保養(yǎng)計劃執(zhí)行。第三十一條 信息設備發(fā)生故障時，應及時報告機房負責人并通知相關負責人，核實原因。如設備故障可能會導致系統(tǒng)或數(shù)據(jù)丟失時，應按照信息安全應急預案處理。第三十二條 網絡設備、安全設備、服務器設備其它機房設備維修，必須經過運維管理部門審批，填寫維修單。第三十三條 未經運維管理部門審批，不得拆換信息設備零件、配件、外設，不得改變網絡設備、安全設備、服務器設備、存儲設備安裝位置及系統(tǒng)設置，更不準挪作它用。第三十四條 符合下列條 件之一的信息設備可以申請報廢（一）超過使用年限、自然損耗造成性能降低、主要部件損壞，無法修復的。（二）多次修理，費用超過設備原值50%以上的。（三）設備屬

13、淘汰產品，不能滿足正常工作的。（四）其他特殊情況需要處置的。第六章 信息安全管理第三十五條 按照關于加強黨政機關計算機信息系統(tǒng)安全和保密管理的若干規(guī)定，重要數(shù)據(jù)應參照執(zhí)行。第三十六條 擁有重要數(shù)據(jù)的部門應該及時對數(shù)據(jù)進行備份，防止數(shù)據(jù)的丟失；涉及數(shù)據(jù)備份和恢復的部門要指定業(yè)務管理員負責數(shù)據(jù)備份工作，并認真填寫備份日志。第三十七條 數(shù)據(jù)備份應根據(jù)不同業(yè)務制定不同的備份周期和備份策略，存放備份數(shù)據(jù)的介質必須具有明確的標識。備份數(shù)據(jù)應定期測試，以確保備份數(shù)據(jù)的可恢復性。第三十八條 備份介質必須歸檔。備份介質要有業(yè)務管理員負責保管工作，保存地點應有防火，防熱，防潮，防塵，防磁，防盜設施。第三十九條 數(shù)

14、據(jù)清理前業(yè)務管理員必須對數(shù)據(jù)進行備份，在確認備份正確后方可進行清理操作。歷次清理前的備份數(shù)據(jù)要根據(jù)備份策略進行定期保存或永久保存，并確?？梢噪S時使用。數(shù)據(jù)清理的實施應避開業(yè)務高峰期，避免對聯(lián)機業(yè)務運行造成影響。第四十條 數(shù)據(jù)恢復前，業(yè)務管理員必須對原環(huán)境的數(shù)據(jù)進行備份，防止有用數(shù)據(jù)的丟失。數(shù)據(jù)恢復過程中要嚴格按照數(shù)據(jù)恢復手冊執(zhí)行，出現(xiàn)問題時由技術部門進行現(xiàn)場技術支持。數(shù)據(jù)恢復后，必須進行驗證、確認，確保數(shù)據(jù)恢復的完整性和可用性。第四十一條 數(shù)據(jù)的備份、恢復、轉出、轉入的權限都應嚴格控制。嚴禁未經授權將數(shù)據(jù)備份出系統(tǒng)，轉給無關的人員或單位；嚴禁未經授權進行數(shù)據(jù)恢復或轉入操作。當存儲過重要數(shù)據(jù)的介質（如光盤、軟盤、磁帶等）報廢時應由專業(yè)技術人員進行物理性銷毀。第七章 密碼管理第四十二條 網絡設備、服務器設備及其應用系統(tǒng)等系統(tǒng)密碼和管理密碼，應統(tǒng)一管理、專人使用。第四十三條 密碼更新應由各設備及系統(tǒng)管理員編制新密碼，實施更新，并送機