2023企業(yè)網(wǎng)絡(luò)安全及信息化規(guī)范化工作手冊

網(wǎng)絡(luò)安全及信息化規(guī)范化工作手冊

（2023版）

I

目次

前言.....................................................................................II

1范圍...................................................................................1

2規(guī)范性引用文件........................................................................1

3網(wǎng)絡(luò)安全組織體系建設(shè)..................................................................1

4網(wǎng)絡(luò)信息安全規(guī)章制度建設(shè)..............................................................1

5符合性（合規(guī)性）管理................................................................2

6信息化工作管理內(nèi)容....................................................................3

附錄A（規(guī)范性附錄）常用表格...........................................................20

II

1范圍

本標準主要用于信息化工作，其中主要內(nèi)容包括了組織體系建設(shè)、規(guī)章制度建設(shè)、合規(guī)性管理及信

息化工作內(nèi)容。

本標準適用于XXXXXX公司（以下簡稱XXX公司）及下屬企業(yè)。

2網(wǎng)絡(luò)安全組織體系建設(shè)

2.1網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組

企業(yè)應(yīng)成立網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組，組長由XXXXXX擔(dān)任。

XXXXXX對本企業(yè)網(wǎng)絡(luò)安全工作負主體責(zé)任，領(lǐng)導(dǎo)班子主要負責(zé)人是第一責(zé)任人，分管網(wǎng)絡(luò)安全的領(lǐng)

導(dǎo)班子成員是直接責(zé)任人。

分管生產(chǎn)的領(lǐng)導(dǎo)班子成員對工控系統(tǒng)（含電力監(jiān)控系統(tǒng)，下同）負直接領(lǐng)導(dǎo)責(zé)任，分管信息化的領(lǐng)

導(dǎo)班子成員對管理信息系統(tǒng)基礎(chǔ)設(shè)施（含機房、網(wǎng)絡(luò)、硬件及相關(guān)設(shè)施）網(wǎng)絡(luò)安全負直接領(lǐng)導(dǎo)責(zé)任，分

管其它業(yè)務(wù)的領(lǐng)導(dǎo)班子成員對本業(yè)務(wù)范圍內(nèi)的信息系統(tǒng)網(wǎng)絡(luò)安全負直接領(lǐng)導(dǎo)責(zé)任。

2.2網(wǎng)絡(luò)安全與信息化工作小組

企業(yè)應(yīng)成立網(wǎng)絡(luò)安全與信息工作小組，且明確至少一名副職領(lǐng)導(dǎo)主管網(wǎng)絡(luò)安全工作，工作小組中至

少有一名專職網(wǎng)絡(luò)安全員。

應(yīng)配置專職網(wǎng)絡(luò)安全員，且不應(yīng)兼任網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員等職責(zé)。

對于網(wǎng)絡(luò)管理員，負責(zé)網(wǎng)絡(luò)規(guī)劃，網(wǎng)絡(luò)設(shè)備的安裝調(diào)試與維護及網(wǎng)絡(luò)安全管理。

對于系統(tǒng)管理員，負責(zé)登錄操作系統(tǒng)，管理操作系統(tǒng)及應(yīng)用系統(tǒng)中的相關(guān)文件、安全、系統(tǒng)更新、

補丁，保證操作系統(tǒng)及應(yīng)用系統(tǒng)安全穩(wěn)定的運行。

對于數(shù)據(jù)庫管理員，負責(zé)管理數(shù)據(jù)庫，保證數(shù)據(jù)庫正常運行，優(yōu)化數(shù)據(jù)庫，解決數(shù)據(jù)庫方面的問題。

對于網(wǎng)絡(luò)安全員，負責(zé)按照一定的安全策略，利用記錄日志、系統(tǒng)活動和用戶活動等信息，檢查、

審查和檢驗操作事件，并發(fā)現(xiàn)漏洞和隱患，提出整改建議。

2.3網(wǎng)絡(luò)信息安全專職部門

企業(yè)應(yīng)設(shè)立網(wǎng)絡(luò)安全管理工作的職能部門，設(shè)立系統(tǒng)管理員、審計管理員和安全管理員等崗位，并

定義部門及各個工作崗位的職責(zé)。

3網(wǎng)絡(luò)信息安全規(guī)章制度建設(shè)

3.1公司目標與網(wǎng)絡(luò)信息安全目標

企業(yè)應(yīng)制定網(wǎng)絡(luò)信息安全目標，與公司目標相輔相成。

企業(yè)在制定網(wǎng)絡(luò)信息安全目標時，應(yīng)考慮與法律法規(guī)、國家、行業(yè)標準等網(wǎng)絡(luò)信息安全要求，具備

可行性。

3.2網(wǎng)絡(luò)信息安全規(guī)劃

1

在組織進行網(wǎng)絡(luò)安全信息規(guī)劃時，網(wǎng)絡(luò)安全現(xiàn)狀及需求調(diào)研，明確安全狀況及安全規(guī)劃需求。制定

信息安全建設(shè)目標，明確未來信息安全建設(shè)的方向。應(yīng)涵蓋工控網(wǎng)絡(luò)，信息網(wǎng)絡(luò)，應(yīng)用系統(tǒng)安全，數(shù)據(jù)

安全，安全管控措施，智慧電廠，安全培訓(xùn)，能力提升等多個方面。

進行比較全面的長遠的發(fā)展計劃，是對未來整體性、長期性、基本性問題的思考、考量和設(shè)計未來

整套行動方案。即進行全面的、目標長遠的信息安全發(fā)展計劃，為信息安全建設(shè)指明方向，符合整體發(fā)

展戰(zhàn)略。

3.3制度體系

3.3.1實施細則/管理制度

對安全管理活動中的各類管理內(nèi)容建立安全管理制度。包括但不限于物理、網(wǎng)絡(luò)、主機、數(shù)據(jù)、應(yīng)

用、管理等層面的管理內(nèi)容。

3.3.2規(guī)程/作業(yè)指導(dǎo)書

對安全管理人員或操作人員執(zhí)行的日常管理操作建立操作規(guī)程。

4符合性（合規(guī)性）管理

合規(guī)性管理的目標是對合規(guī)風(fēng)險的有效識別和主動管理,保障企業(yè)信息化管理和信息化人員的工作

符合法律、法規(guī)、國家及行業(yè)標準、上級公司要求，切實防范合規(guī)性風(fēng)險，主要內(nèi)容有：

----法律

?網(wǎng)絡(luò)安全法

?電子商務(wù)法

?密碼法

?電子簽名法

一一行政法規(guī)

?計算機軟件保護條例

?互聯(lián)網(wǎng)信息內(nèi)容管理工作

?信息網(wǎng)絡(luò)傳播權(quán)保護條例

?互聯(lián)網(wǎng)信息服務(wù)管理辦法

?互聯(lián)網(wǎng)信息服務(wù)管理辦法

—部門規(guī)章

?互聯(lián)網(wǎng)域名管理辦法

?網(wǎng)絡(luò)安全等級保護條例

----規(guī)范性文件

?互聯(lián)網(wǎng)群組信息服務(wù)管理規(guī)定

?互聯(lián)網(wǎng)論壇社區(qū)服務(wù)管理規(guī)定

?移動互聯(lián)網(wǎng)應(yīng)用程序信息服務(wù)管理規(guī)定

?互聯(lián)網(wǎng)用戶賬號名稱管理規(guī)定

----國家、行業(yè)標準

?信息安全技術(shù)網(wǎng)絡(luò)安全等級保護測評要求GB/T28448-2019

?信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求GB/T22239-2019

?信息安全技術(shù)網(wǎng)絡(luò)安全等級保護安全設(shè)計技術(shù)要求GB/T25070-2019

2

信息安全技術(shù)網(wǎng)絡(luò)安全等級保護安全管理中心技術(shù)要求GB/T36958-2018

信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求GB/T22239-2008

信息安全技術(shù)信息系統(tǒng)安全等級保護定級指南GB/T22240-2008

信息安全技術(shù)信息系統(tǒng)物理安全技術(shù)要求GB/T21052-2007

信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求GB/T20271-2006

信息安全技術(shù)信息系統(tǒng)安全管理要求GB/T20269-2006

信息安全技術(shù)信息系統(tǒng)安全工程管理要求GB/T20282-2006

信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求GB/T20270-2006

一上級單位、調(diào)度機構(gòu)文件

5信息化工作管理內(nèi)容

5.1項目開發(fā)、建設(shè)

5.1.1項目預(yù)算管理

每年9月，XXX公司組織收集下年度信息化預(yù)算相關(guān)信息。

預(yù)算的編制應(yīng)依據(jù)上級公司預(yù)算編制的總體原則及要求，也應(yīng)參照歷史數(shù)據(jù)、行業(yè)對標、成本定額。

企業(yè)應(yīng)召集相關(guān)部門和人員對信息化預(yù)算進行初審，根據(jù)初審情況進行預(yù)算調(diào)整。

信息化主管部門應(yīng)與數(shù)據(jù)中心的業(yè)務(wù)預(yù)算溝通確認，按時向本單位預(yù)算管理委員會辦公室及數(shù)據(jù)中

心提供預(yù)算安排及依據(jù)等資料。

企業(yè)應(yīng)根據(jù)XXX公司下達的信息化預(yù)算，編制月度分解預(yù)算。

預(yù)算指標下達后，企業(yè)應(yīng)嚴格執(zhí)行，并落實到各部門、各環(huán)節(jié)、各崗位，不得越權(quán)調(diào)整、變動預(yù)算

方案。

重大政策變化、不可抗力因素、企業(yè)生產(chǎn)經(jīng)營發(fā)生重大變化等情況，預(yù)算需要進行調(diào)整的，按審批

程序進行預(yù)算調(diào)整。

5.1.2項目建設(shè)管理

5.1.2.1概述

集團公司將信息化項目建設(shè)劃分為了硬件系統(tǒng)集成項目建設(shè)與應(yīng)用系統(tǒng)項目建設(shè)兩種情形。分別印

發(fā)了《XXXXXX硬件系統(tǒng)集成項目建設(shè)管理指南》與《XXXXXX應(yīng)用系統(tǒng)項目建設(shè)管理指南》，是對硬件集

成項目與應(yīng)用系統(tǒng)開發(fā)項目全生命周期管理事宜的指導(dǎo)文件，現(xiàn)將每個階段應(yīng)形成的資料做歸納整理,

不詳述內(nèi)容。

5.1.2.2硬件集成建設(shè)

5.1.2.2.1項目立項

?《項目立項申請書》

?《一項目可行性研究報告》

?《項目立項論證報告》

?《一項目立項批復(fù)》

?《項目計劃及預(yù)算申報表》

?《一一項目計劃及預(yù)算批復(fù)》

5.1.2.2.2項目組織及管理

3

?《項目管理辦公室（PMO）組織機構(gòu)及人員》

?《項目管理辦公室（PMO）職責(zé)》

?《項目質(zhì)量管理辦法》

?《項目進度管理辦法》

?《項目變更管理辦法》

?《項目合同管理辦法》

?《項目文檔管理辦法》

?《項目工作制度》

?《項目風(fēng)險管理辦法》

?《關(guān)于成立項目管理組織的通知》

?《關(guān)于印發(fā)項目管理辦法的通知》

5.1.2.2.3項目準備

?《項目招標計劃申請書》

?《項目招標文件》（非集成類硬件）。

?《項目招標文件》（集成類硬件）。

?《項目招標文件審查報告》

?《會議紀要（招標文件審查）》

?《項目招標委托合同》

?《項目可研批復(fù)》

?《項目招標公告及招標公告確認函》

?《項目投標申請人報名表》

?《項目招標文件澄清及回執(zhí)》

?《項目招標文件確認函》

?《項目招標工作組標前會議紀要及工作手冊》

?《項目評標報告》

?《項目評標結(jié)果匯報會會議紀要》

?《項目中標公示》

?《項目中標通知書》

?《項目評標專家抽取記錄》

?《項目評標專家及參評人員簽到表》

?《項目投標文件接收表》

?《項目綜合評分統(tǒng)計表》

?《項目商務(wù)評分統(tǒng)計表》

?《項目商務(wù)評分表》

?《項目技術(shù)評分統(tǒng)計表》

?《項目技術(shù)評分表》

?《項目價格評分統(tǒng)計表》

?《會議紀要（定標會議）》

?《項目合同》（非集成類硬件）

?《項目合同》（集成類硬件）

5.1.2.2.4項目開工

?《項目章程》

?《項目技術(shù)方案》

4

?《項目安全解決方案》

?《項目計劃》

?《項目開工申請報告》

?《關(guān)于召開項目章程和技術(shù)方案評審會的通知》

?《______項目會議議程》

?《項目會議紀要（項目章程和技術(shù)方案評審）》

?《關(guān)于項目開工申請報告的批復(fù)》

?項目啟動會

?《關(guān)于召開項目啟動會的通知》

?《項目會議議程》

?《項目會議紀要（項目啟動會）》

5.1.2.2.5方案設(shè)計

5.1.2.2.6開箱驗收

5.1.2.2.7安裝調(diào)試

?《項目系統(tǒng)環(huán)境申請表》

?《硬件系統(tǒng)集成到貨驗收報告》

?《硬件系統(tǒng)集成調(diào)試報告》

5.1.2.2.8驗收

?《項目系統(tǒng)初步驗收申請書》

?《項目初步驗收方案》

?《項目初步驗收報告》

?《項目初步驗收報告評審書》（按需要）

?《項目竣工驗收申請》

?《項目竣工驗收方案》

?《項目竣工驗收報告》

?《項目竣工驗收報告評審書》（按需要）

?《項目交付件確認單》

5.1.2.3應(yīng)用系統(tǒng)建設(shè)

5.1.2.3.1項目立項

?《項目立項申請書》

?《項目可行性研究報告》

?《項目立項論證報告》

?《項目立項批復(fù)》

?《項目計劃及預(yù)算申報表》

?《項目計劃及預(yù)算批復(fù)》

5.1.2.3.2項目組織及管理

?《項目管理辦公室（PMO）組織機構(gòu)及人員》

?《項目管理辦公室（PMO）職責(zé)》

?《關(guān)于成立_______項目管理組織的通知》

5.1.2.3.3項目準備

?《項目招標計劃申請書》

?《項目招標文件》（應(yīng)用系統(tǒng)建設(shè)類）

5

?《______項目招標文件》（應(yīng)用系統(tǒng)運維類）

*《______項目招標文件》（咨詢服務(wù)類）

?《______項目招標文件》（非集成類硬件）

?《______項目招標文件》（集成類硬件）

?《______項目招標文件》（硬件運維類）

?《______項目評標標準》（應(yīng)用系統(tǒng)建設(shè)類）

*《招標文件提交申請單》

*《______項目招標文件審查報告》

?《______項目招標委托合同》

?《______項目可研批復(fù)》

*《______項目招標公告及招標公告確認函》

?《______項目投標申請人報名表》

?《______項目招標文件澄清及回執(zhí)》

?《______項目招標文件確認函》

?《______項目招標工作組標前會議紀要及工作手冊》

*《______項目評標報告》

*《______項目評標結(jié)果匯報會會議紀要》

*《______項目中標公示》

?《______項目中標通知書》

?《______項目評標專家抽取記錄》

*《______項目評標專家及參評人員簽到表》

?《______項目投標文件接收表》

*《_______項目綜合評分統(tǒng)計表》

*《______項目商務(wù)評分統(tǒng)計表》

?《_______項目商務(wù)評分表》

?《_______項目技術(shù)評分統(tǒng)計表》

*《_______項目技術(shù)評分表》

?《_______項目價格評分統(tǒng)計表》

*《會議紀要（定標會議）》

?《_______項目合同》（應(yīng)用系統(tǒng)建設(shè)類）；

?《_______項目合同》（應(yīng)用系統(tǒng)運維類）；

?《______項目合同》（咨詢服務(wù)類）；

*《______項目合同》（非集成類硬件）；

*《______項目合同》（集成類硬件）；

?《______項目合同》（硬件運維類）。

5.1.2.3.4項目開工

《項目質(zhì)量管理辦法》

《項目安全管理辦法》

《項目進度管理辦法》

《項目變更管理辦法》

《——項目需求管理辦法》

?項目合同管理辦法》

《項目文檔管理辦法》

6

?《項目工作制度》

?《項目風(fēng)險管理辦法》

?《項目溝通管理辦法》

?《關(guān)于印發(fā)項目管理辦法的通知》

?《項目章程》

?《項目工作說明書》

?《項目技術(shù)方案》

?《項目計劃》

?《項目開工申請報告》

?《關(guān)于召開項目章程和技術(shù)方案評審會的通知》

?《項目會議議程》

?《項目會議紀要（項目章程和技術(shù)方案評審）》

?《關(guān)于項目開工申請報告的批復(fù)》

5.1.2.3.5方案設(shè)計

?《項目客戶需求說明書》

?《項目軟件需求規(guī)格說明書》

?《項目客戶需求說明書及軟件需求規(guī)格說明書評審報告》。

?《項目概要設(shè)計》

?《項目概要設(shè)計評審報告》

?《項目詳細設(shè)計》

?《項目詳細設(shè)計評審報告》

5.1.2.3.6系統(tǒng)開發(fā)測試

?《項目系統(tǒng)應(yīng)用環(huán)境申請表》

?《項目單元測試》

?《項目技術(shù)規(guī)范書》

?《項目接口數(shù)據(jù)規(guī)范》

?《項目程序維護手冊》

?《項目用戶操作手冊》

?《項目程序員開發(fā)手冊》

?《項目系統(tǒng)安裝手冊》

?《項目系統(tǒng)運行維護管理規(guī)定》

?《項目系統(tǒng)標準代碼設(shè)計技術(shù)規(guī)范》

?《項目系統(tǒng)測試方案》

?《項目系統(tǒng)測試問題清單》

?《項目系統(tǒng)測試審查表》

?《項目系統(tǒng)測試報告》

?《項目用戶測試方案》

?《項目用戶測試用例》

?《項目用戶測試問題清單》

?《項目用戶測試審查表》

?《項目用戶測試報告》

5.1.2.3.7上線

?《項目試點應(yīng)用報告》

7

?《項目上線試運行方案》

?《關(guān)于召開系統(tǒng)上線試運行動員會的通知》

?《項目會議議程（系統(tǒng)上線試運行動員會）》

?《項目會議紀要（系統(tǒng)上線試運行動員會）》

?《項目系統(tǒng)上線試運行問題清單》

?《項目試上線試運行報告》

?《項目試上線試運行評審報告》

5.1.2.3.8驗收

?《項目系統(tǒng)初步驗收申請書》

?《項目初步驗收方案》

?《項目初步驗收報告》

?《項目初步驗收報告評審書》

?《項目竣工驗收申請》

?《項目竣工驗收方案》

?《項目竣工驗收報告》

?《項目竣工驗收報告評審書》

?《項目交付件確認單》

5.1.3應(yīng)用系統(tǒng)上線

企業(yè)的應(yīng)用系統(tǒng)上線運行前應(yīng)必須報XXX公司信息化主管部門審批。一般地，XXX公司所屬企業(yè)宜采

用申請集中部署的方式上線應(yīng)用系統(tǒng)，不宜自建應(yīng)用系統(tǒng)。

應(yīng)用軟件系統(tǒng)部署前，業(yè)務(wù)部門應(yīng)提交《應(yīng)用軟件系統(tǒng)業(yè)務(wù)受理申請表》（見附錄A.6），報信息

化主管部門批準后,方可進行系統(tǒng)部署，部署時必須對主機進行加固，操作系統(tǒng)最小化安裝；關(guān)閉非必

要的端口和服務(wù)；部署后對主機和應(yīng)用軟件進行安全評估監(jiān)測，漏洞掃描，無高危風(fēng)險和漏洞才能部署

試運行。

對于擬啟用的應(yīng)用軟件系統(tǒng)，應(yīng)提供應(yīng)用軟件系統(tǒng)的最終驗收報告及有關(guān)部門通過最終驗收的批準

文件,并附《XXXXXX應(yīng)用軟件系統(tǒng)項目建設(shè)管理指南》規(guī)定的所有項目開發(fā)過程文檔。業(yè)務(wù)部門提交《應(yīng)

用軟件系統(tǒng)啟用申請表》（見附錄A.7）,報信息化主管部門批準啟用后，方可投入運行。

信息系統(tǒng)等級保護二級及以下系統(tǒng)的啟用申請由信息化主管部門進行審核并做好文檔備案;等級保

護三級系統(tǒng)的啟用申請由信息化主管部門組織相關(guān)方管理者、技術(shù)負責(zé)人、信息安全專家和用戶組成專

家組，對系統(tǒng)進行專項安全評估。評估通過后，專家組出具評估報告，信息化主管部門審核并做好文檔

備案，逐級批準后方可啟用。

5.1.4項目評估

信息化項目建設(shè)中以應(yīng)用軟件建設(shè)為主的項目試運行時間不少于六個月；以硬件建設(shè)為主的項目試

運行時間不少于三個月。試運行期間若出現(xiàn)質(zhì)量問題，經(jīng)處理解決后，試運行時間必須做相應(yīng)延長。

對管理應(yīng)用系統(tǒng)類項目，可視情況進行項目實用化驗收與鑒定，系統(tǒng)需求功能100%的實現(xiàn)；系統(tǒng)業(yè)

務(wù)數(shù)據(jù)100%的加載；系統(tǒng)功能100%的應(yīng)用；系統(tǒng)安全隱患100%消除。

為降低項目建設(shè)的隨意性，避免重復(fù)投資，提高項目建設(shè)質(zhì)量，項目建設(shè)應(yīng)統(tǒng)籌考慮至少未來三年

的業(yè)務(wù)需求。竣工驗收通過的項目，原則上三年內(nèi)不得續(xù)建。

5.1.5應(yīng)用系統(tǒng)下線

企業(yè)信息化主管部門負責(zé)應(yīng)用系統(tǒng)的下線管理。

8

應(yīng)用系統(tǒng)如需下線時，應(yīng)用系統(tǒng)業(yè)務(wù)部門負責(zé)提交《應(yīng)用軟件系統(tǒng)停用申請表》（見附錄A.8）,

信息化主管部門根據(jù)下線申請表做好應(yīng)用系統(tǒng)的各項準備工作，包括數(shù)據(jù)備份,系統(tǒng)備份等工作。

涉及新老系統(tǒng)過渡的應(yīng)用系統(tǒng)，下線前，業(yè)務(wù)部門負責(zé)新老系統(tǒng)數(shù)據(jù)遷移、并行運行及應(yīng)用順利過

渡，為老應(yīng)用系統(tǒng)下線提供條件。

涉及新老系統(tǒng)過渡的應(yīng)用系統(tǒng)，完成新老應(yīng)用系統(tǒng)順利過渡及老應(yīng)用系統(tǒng)下線的各項準備工作后，

應(yīng)用管理員組織應(yīng)用系統(tǒng)運維服務(wù)商完成老應(yīng)用系統(tǒng)的下線及新應(yīng)用系統(tǒng)的正式上線運行及推廣工作。

涉及新老系統(tǒng)過渡的應(yīng)用系統(tǒng)，老系統(tǒng)正式下線后，信息化主管部門負責(zé)服務(wù)器及網(wǎng)絡(luò)資源的回收。

5.2網(wǎng)絡(luò)信息運維

5.2.1人員管理

5.2.1.1網(wǎng)絡(luò)信息安全人員管理

應(yīng)指定或授權(quán)專門的部門或人員負責(zé)網(wǎng)絡(luò)信息安全人員錄用。對被錄用人的身份、背景、專業(yè)資格

和資質(zhì)等進行審查，對其所具有的技術(shù)技能進行考核，并簽署保密協(xié)議。

應(yīng)嚴格規(guī)范人員離崗過程，及時終止離崗員工的所有訪問權(quán)限。應(yīng)取回各種身份證件、鑰匙、徽章

等以及機構(gòu)提供的軟硬件設(shè)備。

對于關(guān)鍵崗位人員，應(yīng)從內(nèi)部人員中選拔，并簽署崗位安全協(xié)議。關(guān)鍵事務(wù)崗位應(yīng)配備多人同時管

理。關(guān)鍵崗位人員離崗須承諾調(diào)離后的保密義務(wù)后方可離開。

5.2.1.2外委人員管理

外委人員應(yīng)具備相應(yīng)的專業(yè)技能，熟悉信息系統(tǒng)，具有較強的責(zé)任心和專業(yè)素養(yǎng)。

外委人員訪問重要工作區(qū)域應(yīng)提出書面申請，批準后由專人全程陪同或監(jiān)督，并登記備案。

對外委人員允許訪問的區(qū)域、系統(tǒng)、設(shè)備、信息等內(nèi)容應(yīng)進行書面的規(guī)定，且應(yīng)簽訂保密協(xié)議，并

按照規(guī)定執(zhí)行。

5.2.2培訓(xùn)教育管理

應(yīng)對公司員工進行網(wǎng)絡(luò)安全意識教育。每年應(yīng)至少組織一次全員范圍內(nèi)的信息安全培訓(xùn)，公司全員

應(yīng)了解信息安全相關(guān)政策法規(guī)，具備信息安全意識及基礎(chǔ)防護能力。

應(yīng)對專業(yè)人員進行崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)I。專業(yè)人員應(yīng)每年至少參加兩次信息安全專業(yè)

技術(shù)培訓(xùn)，專業(yè)人員應(yīng)掌握信息安全政策法規(guī)，掌握信息安全理論與技術(shù)規(guī)范。

應(yīng)對教育和培訓(xùn)的情況和結(jié)果進行記錄并歸檔保存。

5.2.3訪問控制

5.2.3.1物理訪問管理

應(yīng)對機房劃分區(qū)域管理，區(qū)域和區(qū)域之間設(shè)置物理隔離裝置，在重要區(qū)域前設(shè)置交付或安裝等過度

區(qū)域。

重要區(qū)域應(yīng)配置電子門禁系統(tǒng)，控制、鑒別和記錄進出的人員。

進入機房的來訪人員應(yīng)經(jīng)過申請和審批流程，并限制和監(jiān)控活動范圍。

5.2.3.2邏輯訪問管理

應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟動訪問控制功能。

應(yīng)根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許、拒絕訪問的能力，控制粒度為端口級。

9

應(yīng)對進出網(wǎng)絡(luò)的信息內(nèi)容進行過濾，實現(xiàn)對應(yīng)用層HTTP、FTP、TELNET.SMTP、POP3等協(xié)議命令級

的控制。

應(yīng)在會話處于非活躍一定時間或會話結(jié)束后終止網(wǎng)絡(luò)連接，且限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)。

5.2.3.3密碼權(quán)限管理

企業(yè)應(yīng)對使用信息系統(tǒng)的用戶分配賬戶和權(quán)限。

應(yīng)重命名和刪除默認賬戶，修改默認賬戶的默認口令。及時刪除或停用多余的、過期的賬戶，不應(yīng)

在系統(tǒng)中使用共享賬戶。

應(yīng)根據(jù)用戶的角色分配權(quán)限，實現(xiàn)管理用戶的權(quán)限分離，僅授予管理用戶所需的最小權(quán)限。用戶權(quán)

限變更需要按《權(quán)限變更申請表》（附錄A.12）經(jīng)過相關(guān)審批后方可執(zhí)行。

系統(tǒng)口令應(yīng)由數(shù)字、字符和特殊字符組成，密碼長度不能少于8個字符，并應(yīng)定期更換，更換間隔

應(yīng)小于三個月。

5.2.3.4桌面終端管理

信息化主管部門應(yīng)負責(zé)用戶計算機設(shè)備的操作系統(tǒng)和公司標準應(yīng)用軟件的安裝、設(shè)置和管理。操作

系統(tǒng)、辦公類軟件、防病毒軟件、各類業(yè)務(wù)管理軟件等應(yīng)使用統(tǒng)一推廣使用的軟件，不應(yīng)擅自卸載、改

動設(shè)置。

在工作中不應(yīng)下載、安裝、使用未經(jīng)許可的應(yīng)用軟件以及與工作無關(guān)的軟件。因工作原因需要安裝

其他軟件的，應(yīng)填寫《計算機終端維護申請表》（見附表A.1）提交至信息化主管部門。凡私自安裝或

使用盜版軟件者，一經(jīng)發(fā)現(xiàn)將給予嚴肅處理，且由此引出的版權(quán)糾紛及相關(guān)賠償責(zé)任，由該計算機使用

人或所在部門負完全責(zé)任。

企業(yè)為員工配置的計算機應(yīng)作為工作中的必要工具，不應(yīng)使用計算機來進行娛樂活動等與工作無關(guān)

的事情。計算機用戶應(yīng)定期對計算機進行檢查和清理工作，刪除無用的文件。

計算機用戶不得擅自打開計算機設(shè)備的外殼，不得插拔、更換、添加計算機設(shè)備硬件、重裝或恢復(fù)

操作系統(tǒng)、格式化硬盤等操作，禁止帶電接插各種電纜和觸摸打印頭。

5.2.3.5接入管理

XXX公司所屬各單位在接入XXX公司廣域網(wǎng)前，應(yīng)向XXX公司信息化主管部門以書面形式遞交廣域網(wǎng)

接入申請，由XXX公司遞交集團公司科技信息部審批后。在接入時，應(yīng)配置好接入路由器和邊界防火墻，

并與線路運營商一并完成線路調(diào)試工作。接入后，網(wǎng)內(nèi)設(shè)備的變更應(yīng)報XXX公司信息化主管部門審批。

XXX公司所屬各單位在接入XXX公司廣域網(wǎng)后第一次正式運行前，應(yīng)提前三日向XXX公司匯報，并由

XXX公司向集團科技信息部申請聯(lián)調(diào)，聯(lián)調(diào)正常后方可正式投入使用。

XXX公司廣域網(wǎng)上所有節(jié)點的IP地址由XXX公司按集團公司要求統(tǒng)一負責(zé)分配使用，未經(jīng)集團公司科

技信息部和XXX公司授權(quán)、分配IP地址的網(wǎng)絡(luò)節(jié)點不允許進行接入。接入后的IP地址不允許隨意更改。

XXX公司所屬各單位廣域網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)、互連方式等的改建、擴建方案必須上報XXX公司信息化主管

部門，經(jīng)XXX公司審查后交集團公司科技信息部審批方可實施，以確保廣域網(wǎng)的互聯(lián)和正常運行。

5.2.4日志管理

企業(yè)應(yīng)定期檢查服務(wù)器、信息化及網(wǎng)絡(luò)安全設(shè)備的日志信息，及時發(fā)現(xiàn)設(shè)備異常狀況，采取措施。

有日志審計系統(tǒng)的，應(yīng)將審計系統(tǒng)的設(shè)備配置盡量完善，屏蔽被監(jiān)測設(shè)備的正常信息，防止忽略異常信

息。

對于非終端設(shè)備，應(yīng)采取監(jiān)測、記錄網(wǎng)絡(luò)運行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相

關(guān)的網(wǎng)絡(luò)日志不少于六個月。

10

5.2.5數(shù)據(jù)、資料

5.2.5.1數(shù)據(jù)安全管理

企業(yè)在數(shù)據(jù)收集、存儲、傳輸、使用、備份和銷毀的各個環(huán)節(jié)，均需制定完備的安全策略，防止數(shù)

據(jù)的泄露、篡改和失真等不安全情況發(fā)生。

通過對數(shù)據(jù)存儲設(shè)備的場所管理及存儲設(shè)備的管理，保證數(shù)據(jù)的物理安全。

應(yīng)采取合適的技術(shù)手段，保證數(shù)據(jù)的傳輸安全。重要及涉密數(shù)據(jù)在傳輸時需采取加密手段，禁止涉

密數(shù)據(jù)直接通過互聯(lián)網(wǎng)傳遞。

信息系統(tǒng)應(yīng)具備嚴格的身份驗證手段，有效杜絕未授權(quán)人員的數(shù)據(jù)訪問行為。對于集中部署，多級

使用的信息系統(tǒng)，宜采用分級授權(quán)的方式，確保相關(guān)人員數(shù)據(jù)訪問權(quán)限準確。

相關(guān)數(shù)據(jù)管理部門應(yīng)做好數(shù)據(jù)訪問權(quán)限管理工作，對授權(quán)用戶須有詳細記錄，在人員崗位變動時，

及時調(diào)整數(shù)據(jù)訪問權(quán)限。

對委托外部單位進行維護的信息系統(tǒng)，系統(tǒng)各企業(yè)應(yīng)制定嚴格的維護管理要求，采取措施嚴格控制

數(shù)據(jù)庫的訪問權(quán)限，防止數(shù)據(jù)的非法訪問和數(shù)據(jù)泄露。

信息系統(tǒng)管理員在對系統(tǒng)數(shù)據(jù)進行維護操作時，應(yīng)提前做好保證數(shù)據(jù)安全的措施，禁止使用數(shù)據(jù)庫

工具對業(yè)務(wù)數(shù)據(jù)進行添加、修改或刪除。

存儲有保密數(shù)據(jù)的筆記本電腦、移動硬盤、U盤、光盤等移動設(shè)備，應(yīng)提前制定防止丟失的安全控

制措施；在使用完畢后，及時將數(shù)據(jù)清除。

5.2.5.2資料管理

信息化及網(wǎng)絡(luò)安全的資料包含但不限于如下：

?臺賬資料

?管理制度、操作規(guī)程

?拓撲圖

?設(shè)備配置信息

?項目建設(shè)過程資料

?巡檢、操作記錄

?日志

信息化主管部門應(yīng)對信息技術(shù)資料實行分類管理，重要技術(shù)資料應(yīng)有副本并異地存放。

任何部門和個人未經(jīng)信息化主管部門同意不得將企業(yè)內(nèi)所使用的信息技術(shù)資料傳遞給外單位或個

人，如工作需要，借閱、復(fù)制信息技術(shù)資料應(yīng)履行必要的審批手續(xù)。

報廢及銷毀信息技術(shù)資料應(yīng)由信息化主管部門批準，并登記備案。

在存儲更新頻率較高的信息化及網(wǎng)絡(luò)安全資料時，宜使用不接入任何網(wǎng)絡(luò)的專用計算機并對其中資

料進行透明加密，由企業(yè)信息化部門對其中資料進行更新、管理。

5.2.5.3介質(zhì)管理

應(yīng)建立介質(zhì)安全管理制度，對介質(zhì)的存放環(huán)境、使用、維護和銷毀方面做出規(guī)定。

應(yīng)確保介質(zhì)存放在安全的環(huán)境中，對各類介質(zhì)進行控制和保護，并實行存儲環(huán)境專人管理。

應(yīng)對介質(zhì)在物理傳輸過程中的人員選擇、打包、交付等情況進行控制，對介質(zhì)歸檔和查詢等進行登

記記錄，并根據(jù)存檔介質(zhì)的目錄清單定期盤點。

應(yīng)對存儲介質(zhì)的使用過程、送出維修以及銷毀等進行嚴格的管理，對帶出工作環(huán)境的存儲介質(zhì)進

行內(nèi)容加密和監(jiān)控管理，對送出維修或銷毀的介質(zhì)應(yīng)首先清除介質(zhì)中的敏感數(shù)據(jù)，對保密性較高的存儲

介質(zhì)未經(jīng)批準不得自行銷毀。

11

應(yīng)根據(jù)數(shù)據(jù)備份的需要對某些介質(zhì)實行異地存儲，存儲地的環(huán)境要求和管理方法應(yīng)與本地相同。

應(yīng)對重要介質(zhì)中的數(shù)據(jù)和軟件采取加密存儲，并根據(jù)所承載數(shù)據(jù)和軟件的重要程度對介質(zhì)進行分類

標識管理。

5.2.6系統(tǒng)監(jiān)控

5.2.6.1資產(chǎn)臺賬

企業(yè)應(yīng)按照XX集團臺賬模板（見附錄A.2至A.5）對信息化設(shè)備、已上線的應(yīng)用系統(tǒng)及信息化終端等

設(shè)備設(shè)施建立臺賬。

5.2.6.2服務(wù)水平管理

企業(yè)的系統(tǒng)管理員應(yīng)對信息系統(tǒng)提供的服務(wù)水平進行評估，為系統(tǒng)提供服務(wù)質(zhì)量的好壞進行判斷,

從而預(yù)防意外故障。其中包括：

?系統(tǒng)可用性

?系統(tǒng)性能指標

?業(yè)務(wù)應(yīng)答時間

5.2.6.3日常巡檢

應(yīng)定期對系統(tǒng)進行巡檢，檢查內(nèi)容主要包括：

?機房環(huán)境（溫濕度、清潔）

?設(shè)備硬件運行狀況（各指示燈）

?軟件平臺運行狀況（系統(tǒng)健康檢查）

?系統(tǒng)鏈路狀況（通斷）

5.2.6.4系統(tǒng)健康檢查

對系統(tǒng)健康狀態(tài)進行檢查，主要包括：

?CPU整體使用百分比

?用戶態(tài)使用百分比

?內(nèi)核態(tài)使用百分比

?每個CPU使用情況

?磁盤讀寫吞吐

?磁盤讀寫次數(shù)

?內(nèi)存使用百分比

?網(wǎng)卡出入帶寬

?網(wǎng)卡出入包量

?TCP狀態(tài)監(jiān)控

5.2.6.5電源管理

機房應(yīng)在機房供電線路上設(shè)置穩(wěn)壓器及電壓防護設(shè)備。

應(yīng)設(shè)置UPS,至少滿足主設(shè)備在斷電情況下的正常運行要求。

應(yīng)設(shè)置冗余或并行的電力電纜線路為信息系統(tǒng)供電。

5.2.7配置

12

5.2.7.1系統(tǒng)配置管理

在網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全設(shè)備正式上線運行時，應(yīng)將其配置導(dǎo)出，并存儲在專用的移動介質(zhì)中。

企業(yè)應(yīng)對配置信息采用一套規(guī)范的命名規(guī)則，以區(qū)分各時期不同的配置信息。如在保電等重要時期

的運行配置和平常時期的運行配置。

5.2.7.2系統(tǒng)運行平臺、運行環(huán)境管理

企業(yè)應(yīng)根據(jù)系統(tǒng)系統(tǒng)臺賬，收集各應(yīng)用系統(tǒng)運行的環(huán)境及配置信息。應(yīng)收集的要素包括但不限于以

下方面：

?硬件設(shè)備配置要求

?操作系統(tǒng)

?數(shù)據(jù)庫系統(tǒng)

?Web應(yīng)用

?運行庫

?配置信息

?安裝說明書

對于軟件程序及電子版的說明書應(yīng)針對應(yīng)用系統(tǒng)使用專用的移動存儲介質(zhì)。運行在虛擬化中的應(yīng)用

系統(tǒng)應(yīng)在運行時克隆一份，然后存儲在專用的移動存儲介質(zhì)中。

5.3信息化與網(wǎng)絡(luò)安全

5.3.1網(wǎng)絡(luò)信息安全組織

參見第2章內(nèi)容。

5.3.2網(wǎng)絡(luò)信息安全機制

5.3.2.1系統(tǒng)分級

企業(yè)應(yīng)根據(jù)《信息系統(tǒng)安全等級保護定級指南》自主確定信息系統(tǒng)的安全保護等級，如新建信息系

統(tǒng)在設(shè)計、規(guī)劃階段應(yīng)確定安全保護等級。其中，信息系統(tǒng)的安全保護等級分為以下五級：

?第一級（自主保護級）：信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益

造成損害，但不損害國家安全、社會秩序和公共利益.

?第二級（指導(dǎo)保護級）：信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益

產(chǎn)生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。

?第三級（監(jiān)督保護級）：信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，

或者對國家安全造成損害。

?第四級（強制保護級）：信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴重

損害，或者對國家安全造成嚴重損害。

?第五級（專控保護級）：信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴重損害。

5.3.2.2網(wǎng)絡(luò)信息安全策略

企業(yè)應(yīng)根據(jù)系統(tǒng)的等級，提出相應(yīng)的系統(tǒng)的安全保護需求，確定安全方針，制定安全策略。

從技術(shù)角度，應(yīng)從物理環(huán)境安全、通信網(wǎng)絡(luò)安全、網(wǎng)絡(luò)邊界安全、主機設(shè)備安全和應(yīng)用數(shù)據(jù)安全的

角度對系統(tǒng)實施安全技術(shù)管理。

13

從管理角度，應(yīng)從總體方針及安全策略、網(wǎng)絡(luò)安全管理制度、技術(shù)標準及操作規(guī)程、記錄及表單的

角度對系統(tǒng)進行安全管理。

5.3.3外委安全

外委單位應(yīng)具有獨立法人資格及相關(guān)資質(zhì)，擁有良好的商業(yè)信譽和經(jīng)營實力，具備與信息系統(tǒng)運維

工作相符的資質(zhì)和能力。

在與外委單位簽訂相關(guān)協(xié)議時，應(yīng)明確工作范圍及工作內(nèi)容，并同時簽訂保密協(xié)議。

在委托進行軟件開發(fā)時，應(yīng)確保以下事項：

?檢測其中可能存在的惡意代碼；

?要求提供軟件設(shè)計文檔和設(shè)計指南；

?要求提供源代碼，并審查軟件中可能存在的后門和隱蔽信道。

在委托硬件集成項目實施時，應(yīng)確保以下事項：

?指定或授權(quán)部門或人員負責(zé)實施過程的管理；

?制定實施方案控制項目實施過程；

?較大的項目通過第三方監(jiān)理控制實施過程。

5.3.4機房安全

機房應(yīng)選擇在具有反震、防風(fēng)和防雨等能力的建筑內(nèi)。避免設(shè)置在高層或地下室，以及用水設(shè)備的

下層或隔壁。

機房應(yīng)具備防盜竊、防破壞、防雷擊、防火、防水防潮、防靜電、防電磁的功能或措施。

機房內(nèi)應(yīng)設(shè)置溫度、濕度自動調(diào)節(jié)設(shè)備設(shè)施，使溫濕度變化在設(shè)備運行所允許的范圍之內(nèi)。

機房內(nèi)監(jiān)控攝像頭的布置能保證其錄像能夠辨別進入人員和操作設(shè)備行為，信息機房外樓道應(yīng)安裝

監(jiān)控攝像頭。視頻監(jiān)控數(shù)據(jù)保存時間不應(yīng)少于3個月，門禁數(shù)據(jù)保存時間不應(yīng)少于6個月。

5.3.5終端安全

信息化主管部門應(yīng)建立計算機病毒防控機制，所有終端都應(yīng)安裝有統(tǒng)一的企業(yè)版防病毒軟件，并負

責(zé)對病毒庫、主程序版本進行升級和實施病毒監(jiān)控管理，強制實施統(tǒng)一的防病毒策略。

未安裝防病毒軟件的計算機用戶應(yīng)聯(lián)系信息主管部門進行安裝，且不應(yīng)以任何方式卸載防病毒軟件、

停止防病毒服務(wù)和更改防病毒軟件配置。發(fā)現(xiàn)計算機中病毒時應(yīng)立刻斷開網(wǎng)絡(luò)連接，并及時報告信息主

管部門。筆記本電腦等移動終端，應(yīng)定期接入局域網(wǎng)進行病毒庫更新和查殺病毒。

外來移動存儲介質(zhì)不應(yīng)內(nèi)網(wǎng)計算機上使用。未安裝防病毒軟件的計算機不應(yīng)接入內(nèi)網(wǎng)。信息化主管

部門應(yīng)定期檢查各部門的計算機防病毒工作，并通報檢查結(jié)果。

信息化主管部門應(yīng)對防病毒軟件制定相應(yīng)的實施策略，對所有計算機實施實時監(jiān)控掃描，客戶機可

以根據(jù)需要進行手動掃描；每周進行預(yù)設(shè)病毒掃描并生成報告。

5.3.6安全配置策略

5.3.6.1Windows主機安全策略

賬戶策略-〉密碼策略：

?“密碼必須符合復(fù)雜性要求”選擇“已啟動”

?“密碼長度最小值”設(shè)置為“8個字符”

?“強制密碼歷史”設(shè)置為“5個記住的密碼”

?“密碼最長存留期”設(shè)置為“90天”

14

?“密碼最短使用期限”是否是設(shè)置為“2天”

本地策略->審核策略：

?設(shè)置為成功和失敗都審核

本地策略->用戶權(quán)限分配：

?“從遠端系統(tǒng)強制關(guān)機”設(shè)置為“只指派給Administrators組”

?“關(guān)閉系統(tǒng)”設(shè)置為“只指派給Administrators組”

?“取得文件或其它對象的所有權(quán)”設(shè)置為“只指派給Administrators組”

本地策略->安全選項：

?“網(wǎng)絡(luò)訪問：不允許SAM帳戶的匿名枚舉”設(shè)置為'‘已啟用"

?“交互式登錄：提示用戶在密碼過期之前進行更改”設(shè)置為“15天”

?“域成員：”禁用計算機帳戶密碼更改”設(shè)置為“已禁用”

?“賬戶鎖定閥值”設(shè)置為10次無效登錄

?“賬戶鎖定時間”設(shè)置為3分鐘

?“復(fù)位帳戶鎖定計數(shù)器”設(shè)置為“3分鐘之后”

?“允許本地登錄”右擊“屬性”請根據(jù)系統(tǒng)和業(yè)務(wù)的需要添加用戶或組本地登錄此計算

機

?“交互式登錄：不需要按ctrl+alt+del”，在“屬性”中設(shè)置為“已禁用”

?“交互式登錄：需要域控制器身份驗證以對工作站進行解鎖”設(shè)置為“已啟用”

?“網(wǎng)絡(luò)安全：在超過登錄時間后強制注銷”設(shè)置為“已啟用”錄時間后強制注銷"Microsoft

網(wǎng)絡(luò)服務(wù)器”設(shè)置為“在掛起會話之前所需的空閑時間”為15分鐘

?“交互登錄：不顯示上次的用戶名”配置為''已啟用"

?“關(guān)機：清除虛擬內(nèi)存頁面文件”配置為“已啟用”

?“交互式登錄：設(shè)置可被緩存的前次登錄個數(shù)為5”

?“交互式登陸標題設(shè)置為警告”

?”交互式登陸文本設(shè)置請勿非法登陸本系統(tǒng)”

管理工具->事件查看器

?日志大小設(shè)置不小于“8192KB”最大的日志尺寸時，“按需要改寫事件”

5.3.6.2Linux主機安全策略

注：在此以CentOS7為例，其他Linux版本可參照。

口令長度至少8位，包含小寫字母和特殊字符。

〃修改/etc/security/pam.pwcheck.conf的參數(shù)

Minlen=8

Lcredit=1

Ocredit=1

連續(xù)登錄6次失敗，鎖定該賬號。Root除外。

〃將以下代碼添加到/etc/pam.d/sshd

authrequiredpam_tally.sono_magic_root

accountrequiredpamtally,sodeny=6nomagicroot

口令90天內(nèi)更換。

15

〃修改/etc/login.defs的參數(shù)

PASSMAXDAYS90

PASS_MIN_DAYS10

PASSWARNAGE7

鎖定與運維無關(guān)的賬號。

在root權(quán)限下執(zhí)行以下命令

passwd-1"停用的賬號名稱"〃一般有Ip,nuucp,hpdb,sync,adm

最小權(quán)限配置關(guān)鍵文件。

〃執(zhí)行以下代碼

chmod644/etc/passwd

chmod600/etc/shadow

chmod644/etc/group

chmod644/etc/service

chmod644/etc/login.defs

chmod600/etc/xinetd.conf

chmod600/etc/security

chmod600/etc/ssh/ssh_config

新建的賬戶的缺省權(quán)限最小話

〃將以下語句增加到/etc/profile

Umask027

5.3.7等級保護

企業(yè)應(yīng)當按照《信息安全等級保護管理辦法》及《信息系統(tǒng)安全等級保護實施指南》具體實施等級

保護工作。按《信息系統(tǒng)安全等級保護定級指南》確定信息系統(tǒng)的安全保護等級?？缡』蛘呗?lián)網(wǎng)運行的

信息系統(tǒng)可以由XXX公司或集團統(tǒng)一確定安全保護等級。

信息系統(tǒng)的安全保護等級確定后，企業(yè)應(yīng)當按照國家信息安全等級保護管理規(guī)范和技術(shù)標準，使用

符合國家有關(guān)規(guī)定，滿足信息系統(tǒng)安全保護等級需求的信息技術(shù)產(chǎn)品，開展信息系統(tǒng)安全建設(shè)或者改建

工作。

在信息系統(tǒng)建設(shè)過程中，企業(yè)應(yīng)當按照《計算機信息系統(tǒng)安全保護等級劃分準則》(GB17859T999)、

《信息系統(tǒng)安全等級保護基本要求》等技術(shù)標準，參照《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》

(GB/T20271-2006),《信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》(GB/T20270-2006)＞《信息安全技

術(shù)操作系統(tǒng)安全技術(shù)要求》(GB/T20272-2006),《信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》

(GB/T20273-2006),《信息安全技術(shù)服務(wù)器技術(shù)要求》、《信息安全技術(shù)終端計算機系統(tǒng)安全等級

技術(shù)要求》(GA/T671-2006)等技術(shù)標準同步建設(shè)符合該等級要求的信息安全設(shè)施。應(yīng)當參照《信息安

全技術(shù)信息系統(tǒng)安全管理要求》(GB/T20269-2006),《信息安全技術(shù)信息系統(tǒng)安全工程管理要求》

(GB/T20282-2006),《信息系統(tǒng)安全等級保護基本要求》等管理規(guī)范，制定并落實符合本系統(tǒng)安全保

護等級要求的安全管理制度。

信息系統(tǒng)建設(shè)完成后，企業(yè)應(yīng)當選擇符合本辦法規(guī)定條件的測評機構(gòu)，依據(jù)《信息系統(tǒng)安全等級保

護測評要求》等技術(shù)標準，定期對信息系統(tǒng)安全等級狀況開展等級測評。第二級信息系統(tǒng)應(yīng)當每兩年至

少進行一次等級測評，第三級信息系統(tǒng)應(yīng)當每年至少進行一次等級測評。

16

企業(yè)應(yīng)當定期對信息系統(tǒng)安全狀況、安全保護制度及措施的落實情況進行自查。第二級信息系統(tǒng)應(yīng)

當每兩年至少進行一次自查，第三級信息系統(tǒng)應(yīng)當每年至少進行一次自查。

經(jīng)測評或者自查，信息系統(tǒng)安全狀況未達到安全保護等級要求的，企業(yè)應(yīng)當制定方案進行整改。

已運營（運行）或新建的第二級以上信息系統(tǒng)，應(yīng)當在安全保護等級確定后30日內(nèi)，企業(yè)應(yīng)到所在

地設(shè)區(qū)的市級以上公安機關(guān)辦理備案手續(xù)。

辦理信息系統(tǒng)安全保護等級備案手續(xù)時，應(yīng)當填寫《信息系統(tǒng)安全等級保護備案表》，第三級以上

信息系統(tǒng)應(yīng)當同時提供以下材料：

?系統(tǒng)拓撲結(jié)構(gòu)及說明；

?系統(tǒng)安全組織機構(gòu)和管理制度；

?系統(tǒng)安全保護設(shè)施設(shè)計實施方案或者改建實施方案；

?系統(tǒng)使用的信息安全產(chǎn)品清單及其認證、銷售許可證明；

?測評后符合系統(tǒng)安全保護等級的技術(shù)檢測評估報告；

?信息系統(tǒng)安全保護等級專家評審意見；

?主管部門審核批準信息系統(tǒng)安全保護等級的意見。

企業(yè)應(yīng)當接受公安機關(guān)、國家指定的專門部門的安全監(jiān)督、檢查、指導(dǎo)，如實向公安機關(guān)、國家指

定的專門部門提供下列有關(guān)信息安全保護的信息資料及數(shù)據(jù)文件：

?信息系統(tǒng)備案事項變更情況；

?安全組織、人員的變動情況；

?信息安全管理制度、措施變更情況；

?信息系統(tǒng)運行狀況記錄；

?運營、使用單位及主管部門定期對信息系統(tǒng)安全狀況的檢查記錄；

?對信息系統(tǒng)開展等級測評的技術(shù)測評報告；

?信息安全產(chǎn)品使用的變更情況；

?信息安全事件應(yīng)急預(yù)案，信息安全事件應(yīng)急處置結(jié)果報告；

?信息系統(tǒng)安全建設(shè)、整改結(jié)果報告。

第三級以上信息系統(tǒng)應(yīng)當選擇使用符合以下條件的信息安全產(chǎn)品：

?產(chǎn)品研制、生產(chǎn)單位是由XXXXXX公民、法人投資或者國家投資或者控股的，在中華人民

共和國境內(nèi)具有獨立的法人資格；

?產(chǎn)品的核心技術(shù)、關(guān)鍵部件具有我國自主知識產(chǎn)權(quán)；

?產(chǎn)品研制、生產(chǎn)單位及其主要業(yè)務(wù)、技術(shù)人員無犯罪記錄；

?產(chǎn)品研制、生產(chǎn)單位聲明沒有故意留有或者設(shè)置漏洞、后門、木馬等程序和功能；

?對國家安全、社會秩序、公共利益不構(gòu)成危害；

?對已列入信息安全產(chǎn)品認證目錄的，應(yīng)當取得國家信息安全產(chǎn)品認證機構(gòu)頒發(fā)的認證證

書。

第三級以上信息系統(tǒng)應(yīng)當選擇符合下列條件的等級保護測評機構(gòu)進行測評：

?在中華人民共和國境內(nèi)注冊成立（港澳臺地區(qū)除外）；

?由XXXXXX公民投資、XXXXXX法人投資或者國家投資的企事業(yè)單位（港澳臺地區(qū)除外）；

?從事相關(guān)檢測評估工作兩年以上，無違法記錄；

?工作人員僅限于XXXXXX公民；

?法人及主要業(yè)務(wù)、技術(shù)人員無犯罪記錄；

?使用的技術(shù)裝備、設(shè)施應(yīng)當符合本辦法對信息安全產(chǎn)品的要求；

?具有完備的保密管理、項目管理、質(zhì)量管理、人員管理和培訓(xùn)教育等安全管理制度；

?對國家安全、社會秩序、公共利益不構(gòu)成威脅。

17

5.4應(yīng)急管理

5.4.1應(yīng)急管理

應(yīng)在企業(yè)統(tǒng)一的應(yīng)急預(yù)案框架下制定網(wǎng)絡(luò)信息安全應(yīng)急預(yù)案，其中應(yīng)包括啟動條件、處理流程、系

統(tǒng)恢復(fù)流程、事后教育培訓(xùn)等。

針對不同的事件，應(yīng)制定相應(yīng)的應(yīng)急預(yù)案，且應(yīng)從人力、設(shè)備、技術(shù)和財務(wù)方面確保執(zhí)行預(yù)案時有

足夠資源保障。

應(yīng)急預(yù)案框架或?qū)ｍ棏?yīng)急預(yù)案中，應(yīng)包括應(yīng)急小組人員名單及聯(lián)系方式、有應(yīng)急設(shè)備（軟硬件）清

單并能正常工作、有第三方技術(shù)支持人員名單及聯(lián)系方式、有應(yīng)急預(yù)案執(zhí)行所需資金并能夠落實。

針對應(yīng)急預(yù)案，應(yīng)在每次啟動或演練后，進行審查修訂，根據(jù)實際情況更新內(nèi)容。

5.4.2應(yīng)急演練

系統(tǒng)相關(guān)的人員應(yīng)進行應(yīng)急預(yù)案培訓(xùn)，至少每年應(yīng)舉辦一次。

應(yīng)定期對應(yīng)急預(yù)案進行演練，根據(jù)不同的應(yīng)急