《信息安全技術(shù)政府部門信息安全管理基本要求：補(bǔ)篇信息安全管理制度參考模板》

GB/TXXXXX—XXXX

信息安全管理制度參考模板

9信息安全管理制度參考模板

9.1互聯(lián)網(wǎng)使用管理辦法模板

本項(xiàng)內(nèi)容包括：

a)為規(guī)范政府部門國(guó)際互聯(lián)網(wǎng)（以下簡(jiǎn)稱：外網(wǎng)）的使用和管理，根據(jù)國(guó)家有關(guān)法律法規(guī)的規(guī)定，

結(jié)合本單位實(shí)際，制定本制度。

b)外網(wǎng)的開通和使用，實(shí)行方便工作和保障安全相結(jié)合的原則。

c)（）部門是外網(wǎng)管理工作的主要責(zé)任部門，負(fù)責(zé)外網(wǎng)的網(wǎng)絡(luò)管理和維護(hù)保障工作，以及網(wǎng)站

日常工作的管理。（）部門負(fù)責(zé)外網(wǎng)網(wǎng)站發(fā)布信息的審核、輿論導(dǎo)向的指引。（）部門負(fù)

責(zé)外網(wǎng)上網(wǎng)指引、登記備案和有關(guān)法律法規(guī)的宣傳教育。

d)特殊工作崗位實(shí)行定崗管理，特殊工作崗位可開通外網(wǎng)。其他工作崗位需要開通外網(wǎng)的，實(shí)行

配額管理。

e)申請(qǐng)開通外網(wǎng)的程序是：填寫開通外網(wǎng)申請(qǐng)表（參見表A.1），經(jīng)部門領(lǐng)導(dǎo)同意后，報(bào)（）

部門提出審核意見，審核通過的，進(jìn)行登記備案后，由（）部門辦理開通事宜。

f)超出配額的，申請(qǐng)部門應(yīng)提出撤銷原使用人員名單，否則，申請(qǐng)不予受理。被停止使用外網(wǎng)人

員的上網(wǎng)設(shè)備由（）部門負(fù)責(zé)拆除。

g)接入互聯(lián)網(wǎng)的電腦應(yīng)與內(nèi)網(wǎng)物理隔離，嚴(yán)禁在外網(wǎng)計(jì)算機(jī)上處理涉密文件和工作秘密信息。

h)在外網(wǎng)計(jì)算機(jī)上使用的移動(dòng)存儲(chǔ)介質(zhì)禁止在內(nèi)網(wǎng)和涉密網(wǎng)中使用，杜絕發(fā)生U盤交叉使用（混

用）的現(xiàn)象。

i)上網(wǎng)人員要自覺接受身份認(rèn)證和IP綁定技術(shù)對(duì)個(gè)人上網(wǎng)活動(dòng)的安全監(jiān)督檢查，嚴(yán)禁擅自改動(dòng)

單位分配的IP地址。

j)及時(shí)對(duì)外網(wǎng)計(jì)算機(jī)操作系統(tǒng)補(bǔ)丁進(jìn)行更新。

k)上網(wǎng)人員要提高惡意代碼防范意識(shí)，在接收文件或郵件之前，必須先進(jìn)行惡意代碼檢查。

l)上網(wǎng)人員應(yīng)自覺學(xué)習(xí)國(guó)家有關(guān)的法律法規(guī)，嚴(yán)禁在外網(wǎng)計(jì)算機(jī)上使用涉密存儲(chǔ)介質(zhì)（如光盤、

優(yōu)盤、移動(dòng)硬盤等）。

m)不得利用互聯(lián)網(wǎng)危害國(guó)家安全、泄露國(guó)家秘密，不得侵犯國(guó)家的、社會(huì)的、集體的利益和公民

的合法權(quán)益，不得從事違法犯罪活動(dòng)。違反國(guó)家明文禁止行為的，按國(guó)家有關(guān)法規(guī)和相關(guān)紀(jì)律

處分規(guī)定追究責(zé)任。

n)應(yīng)當(dāng)建立健全信息上網(wǎng)保密審查制度，指定機(jī)構(gòu)和專人對(duì)擬在互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)發(fā)布

的信息進(jìn)行保密審查并建立審查記錄檔案，具體參照《信息系統(tǒng)信息發(fā)布制度模板》執(zhí)行。

o)本制度由（）部門負(fù)責(zé)解釋。

p)本制度自發(fā)布之日起生效執(zhí)行。

9.2內(nèi)網(wǎng)安全管理制度模板

9.2.1總則

本項(xiàng)內(nèi)容包括：

1

GB/TXXXX-XXXX

a)為加強(qiáng)內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)（即政府部門內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)，以下簡(jiǎn)稱內(nèi)網(wǎng)，網(wǎng)內(nèi)的計(jì)算機(jī)以下統(tǒng)稱

為內(nèi)網(wǎng)計(jì)算機(jī)，使用人員以下統(tǒng)稱為內(nèi)網(wǎng)用戶）的使用和管理，保障內(nèi)網(wǎng)的安全穩(wěn)定運(yùn)行，根

據(jù)國(guó)家法律、法規(guī)和相關(guān)規(guī)定，結(jié)合本單位實(shí)際，制定本制度。

b)本制度規(guī)范的內(nèi)容包括：網(wǎng)絡(luò)管理、終端管理、用戶管理、介質(zhì)管理和安全事件報(bào)告。

c)（）部門是內(nèi)網(wǎng)管理工作的主要責(zé)任部門，負(fù)責(zé)內(nèi)網(wǎng)的網(wǎng)絡(luò)管理和維護(hù)保障工作。

d)內(nèi)網(wǎng)的使用范圍覆蓋需要在黨政內(nèi)網(wǎng)處理的所有事務(wù)和應(yīng)用系統(tǒng)。包含但不僅限于：某某系統(tǒng)、

某某系統(tǒng)等。

9.2.2網(wǎng)絡(luò)管理

本項(xiàng)內(nèi)容包括：

a)內(nèi)網(wǎng)必須與國(guó)際互聯(lián)網(wǎng)實(shí)行物理隔離并進(jìn)行分級(jí)、分層、分域管理。對(duì)內(nèi)網(wǎng)信息系統(tǒng)及相應(yīng)的

局域網(wǎng)（業(yè)務(wù)專網(wǎng)）劃分為獨(dú)立可管理和控制的安全域，不同的安全域應(yīng)采取相應(yīng)的安全策略

和保護(hù)手段。

b)利用內(nèi)網(wǎng)安全與應(yīng)用支撐平臺(tái)，實(shí)行內(nèi)網(wǎng)用戶、資源的統(tǒng)一注冊(cè)管理，并為單位信息系統(tǒng)的安

全和安全域防護(hù)提供身份鑒別、授權(quán)管理、邊界防護(hù)等公共安全技術(shù)手段。

c)指定機(jī)構(gòu)和專人對(duì)擬在內(nèi)網(wǎng)發(fā)布的信息進(jìn)行保密審查并建立審查記錄檔案，具體參照《信息系

統(tǒng)信息發(fā)布制度模板》執(zhí)行。

d)按國(guó)家相關(guān)要求定期開展信息安全等級(jí)保護(hù)和風(fēng)險(xiǎn)評(píng)估工作，排除信息系統(tǒng)安全隱患。對(duì)于集

中處理工作秘密的信息系統(tǒng)可以參照秘密級(jí)信息系統(tǒng)的分級(jí)保護(hù)相關(guān)要求實(shí)施安全防護(hù)。

e)內(nèi)網(wǎng)應(yīng)配置獨(dú)立的交換機(jī)，內(nèi)網(wǎng)綜合布線須參照《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求》

中的相關(guān)要求。

f)內(nèi)網(wǎng)信息系統(tǒng)利用公網(wǎng)（PSTN、ISDN、ADSL、DDN、X.25、幀中繼、ATM、SDH等）進(jìn)行遠(yuǎn)程傳

輸時(shí)，必須使用VPN技術(shù)和IP密碼機(jī)實(shí)行加密處理。

g)內(nèi)網(wǎng)因工作需要與其他網(wǎng)絡(luò)進(jìn)行連接，連接方式和設(shè)備必須滿足國(guó)家保密部門的密碼要求。

h)內(nèi)外網(wǎng)因工作需要進(jìn)行數(shù)據(jù)交換時(shí)，必須采用符合國(guó)家保密部門要求的方式（如刻錄光盤）或

設(shè)備（如保密部門認(rèn)可的安全移動(dòng)存儲(chǔ)介質(zhì)管理系統(tǒng)）。

i)通過部署統(tǒng)一的補(bǔ)丁升級(jí)系統(tǒng)、防病毒系統(tǒng)、漏洞掃描系統(tǒng)、網(wǎng)頁(yè)防篡改系統(tǒng)、存儲(chǔ)備份系統(tǒng)、

容災(zāi)系統(tǒng)，建立與應(yīng)用相適應(yīng)的安全策略，全面加強(qiáng)主機(jī)和應(yīng)用系統(tǒng)安全。

j)建立監(jiān)控、備份恢復(fù)、應(yīng)急處理、安全審計(jì)、安全事件報(bào)告等工作制度。技術(shù)部門通過監(jiān)控機(jī)

房、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)等運(yùn)行狀態(tài)，主動(dòng)發(fā)現(xiàn)安全隱患，及時(shí)采取相應(yīng)措施，盡快恢復(fù)

受影響或被中斷的應(yīng)用服務(wù)。

9.2.3終端管理

本項(xiàng)內(nèi)容包括：

a)內(nèi)網(wǎng)計(jì)算機(jī)必須安裝保密部門認(rèn)可的違規(guī)上互聯(lián)網(wǎng)監(jiān)控軟件。

b)內(nèi)網(wǎng)計(jì)算機(jī)應(yīng)采用“雙布線雙用戶終端”或“雙布線雙硬盤單用戶終端”的隔離卡物理隔離解

決方案。

c)嚴(yán)禁在內(nèi)網(wǎng)計(jì)算機(jī)上使用無線網(wǎng)卡、鍵盤、鼠標(biāo)、藍(lán)牙等一切無線設(shè)備。

d)嚴(yán)禁在內(nèi)網(wǎng)非涉密系統(tǒng)中發(fā)布涉密信息，內(nèi)網(wǎng)計(jì)算機(jī)不得存儲(chǔ)、處理、傳輸國(guó)家秘密信息，非

涉密移動(dòng)存儲(chǔ)介質(zhì)不得存儲(chǔ)國(guó)家秘密信息。

e)嚴(yán)禁在內(nèi)網(wǎng)計(jì)算機(jī)上連接手機(jī)、相機(jī)、USB存儲(chǔ)介質(zhì)、錄音筆等一切非授權(quán)的可存儲(chǔ)或連接其

他網(wǎng)絡(luò)的外置設(shè)備。

f)內(nèi)網(wǎng)計(jì)算機(jī)須啟用屏幕保護(hù)程序并設(shè)置恢復(fù)密碼，屏幕保護(hù)的閑置時(shí)間設(shè)置為10分鐘以內(nèi)。

2

GB/TXXXXX—XXXX

g)內(nèi)網(wǎng)計(jì)算機(jī)必須保證密碼安全。內(nèi)網(wǎng)計(jì)算機(jī)和應(yīng)用系統(tǒng)密碼需定期修改，密碼長(zhǎng)度不少于8

位，并由字母、數(shù)字和特殊字符混合組成。

h)及時(shí)對(duì)內(nèi)網(wǎng)計(jì)算機(jī)操作系統(tǒng)補(bǔ)丁和防病毒軟件病毒庫(kù)進(jìn)行更新，定期對(duì)計(jì)算機(jī)進(jìn)行全盤掃描、

殺毒。

9.2.4用戶管理

本項(xiàng)內(nèi)容包括：

a)內(nèi)網(wǎng)用戶應(yīng)定期接受保密教育和培訓(xùn)，建立完善的人員安全監(jiān)管制度。

b)對(duì)內(nèi)網(wǎng)用戶進(jìn)入網(wǎng)絡(luò)的行為實(shí)行安全準(zhǔn)入管理制度。安全準(zhǔn)入行為管理包括便攜式計(jì)算機(jī)、臺(tái)

式計(jì)算機(jī)、移動(dòng)存儲(chǔ)介質(zhì)、打印機(jī)等設(shè)備的注冊(cè)，外來軟件的安裝等。

c)內(nèi)網(wǎng)用戶不得私自安裝與工作無關(guān)的軟件，如需安裝非工作需要的軟件必須向（）部門申

請(qǐng)。

d)內(nèi)網(wǎng)用戶不得擅自更改內(nèi)網(wǎng)計(jì)算機(jī)系統(tǒng)設(shè)置，如計(jì)算機(jī)名、IP地址、用戶名等。

e)內(nèi)網(wǎng)用戶不得通過撥號(hào)、無線網(wǎng)卡等方式連接國(guó)際互聯(lián)網(wǎng)。

f)定期組織對(duì)內(nèi)網(wǎng)信息系統(tǒng)的安全保密檢測(cè)和檢查，加強(qiáng)對(duì)內(nèi)網(wǎng)安全、保密技術(shù)知識(shí)的教育和培

訓(xùn)。

9.2.5介質(zhì)管理

本項(xiàng)內(nèi)容包括：

a)內(nèi)網(wǎng)計(jì)算機(jī)必須使用安全移動(dòng)存儲(chǔ)介質(zhì)管理系統(tǒng)。

b)指定專人負(fù)責(zé)安全移動(dòng)存儲(chǔ)介質(zhì)管理系統(tǒng)的保管、發(fā)放、登記管理等，建立介質(zhì)資產(chǎn)清單，落

實(shí)安全責(zé)任制度，明確責(zé)任主體。

c)內(nèi)網(wǎng)計(jì)算機(jī)及安全移動(dòng)存儲(chǔ)介質(zhì)改變用途或報(bào)廢之前，須將硬盤或移動(dòng)存儲(chǔ)介質(zhì)徹底銷毀，以

保證信息安全。

d)內(nèi)網(wǎng)安全移動(dòng)存儲(chǔ)介質(zhì)的維修、報(bào)廢，先報(bào)主管領(lǐng)導(dǎo)審批，由專人負(fù)責(zé)登記備案后，再進(jìn)行維

修、報(bào)廢處理。

9.2.6安全事件報(bào)告

本項(xiàng)內(nèi)容包括：

a)內(nèi)網(wǎng)用戶發(fā)現(xiàn)安全事件已經(jīng)發(fā)生或可能發(fā)生時(shí)，應(yīng)立即采取補(bǔ)救措施并及時(shí)報(bào)告（）部門。

b)（）部門接到報(bào)告后，應(yīng)在第一時(shí)間進(jìn)行處理，并及時(shí)向上級(jí)領(lǐng)導(dǎo)部門報(bào)告。

c)內(nèi)網(wǎng)用戶對(duì)本人的行為負(fù)責(zé)；各部門負(fù)責(zé)人負(fù)有管理、監(jiān)督本部門人員遵守本辦法的責(zé)任。

d)違反本制度規(guī)定的，由管理部門或管理人員及時(shí)報(bào)告（）部門，（）部門根據(jù)違規(guī)情況

按有關(guān)法規(guī)追究責(zé)任。

9.2.7附則

本項(xiàng)內(nèi)容包括：

a)本制度由（）部門負(fù)責(zé)解釋。

b)本制度自發(fā)布之日起生效執(zhí)行。。

9.3信息安全組織機(jī)構(gòu)管理制度模板

9.3.1總則

本項(xiàng)內(nèi)容包括：

3

GB/TXXXX-XXXX

a)為加強(qiáng)信息安全管理，明確信息安全責(zé)任，保障信息化建設(shè)的穩(wěn)步發(fā)展，特制定本制度。

9.3.2機(jī)構(gòu)設(shè)置

本項(xiàng)內(nèi)容包括：

a)由單位主管信息化工作和保密工作的領(lǐng)導(dǎo)牽頭，組織與信息安全相關(guān)的各部門負(fù)責(zé)人，成立信

息安全領(lǐng)導(dǎo)機(jī)構(gòu)，統(tǒng)籌管理信息安全相關(guān)工作。

b)信息安全領(lǐng)導(dǎo)機(jī)構(gòu)下設(shè)信息安全檢查工作、互聯(lián)網(wǎng)信息安全檢查工作、內(nèi)網(wǎng)信息安全檢查工作、

信息安全應(yīng)急響應(yīng)工作、信息系統(tǒng)安全等級(jí)保護(hù)工作、信息安全風(fēng)險(xiǎn)評(píng)估工作、信息安全保密

工作等7個(gè)專項(xiàng)工作小組，分別負(fù)責(zé)信息安全各領(lǐng)域相關(guān)工作。

c)成立信息安全領(lǐng)導(dǎo)機(jī)構(gòu)，完成以下崗位和成員的設(shè)置。

1)信息安全領(lǐng)導(dǎo)機(jī)構(gòu)：組長(zhǎng)（）、副組長(zhǎng)（）、成員（）。

d)成立信息安全檢查工作小組，組長(zhǎng)簽訂工作責(zé)任書（參見B.1）并完成以下崗位和成員的設(shè)置。

1)信息安全檢查工作小組：組長(zhǎng)（）、副組長(zhǎng)（）、成員（）。

e)成立互聯(lián)網(wǎng)信息安全檢查工作小組，組長(zhǎng)簽訂工作責(zé)任書（參見B.2）并完成以下崗位和成員

的設(shè)置。

1)互聯(lián)網(wǎng)信息安全檢查工作小組：組長(zhǎng)（）、副組長(zhǎng)（）、成員（）。

f)成立內(nèi)網(wǎng)信息安全檢查工作小組，組長(zhǎng)簽訂工作責(zé)任書（參見B.3）并完成以下崗位和成員的

設(shè)置。

1)內(nèi)網(wǎng)信息安全檢查工作小組：組長(zhǎng)（）、副組長(zhǎng)（）、成員（）。

g)成立信息安全應(yīng)急響應(yīng)工作小組，組長(zhǎng)簽訂工作責(zé)任書（參見B.4）并完成以下崗位和成員的

設(shè)置。

1)信息安全應(yīng)急響應(yīng)工作小組：組長(zhǎng)（）、副組長(zhǎng)（）、成員（）。

h)成立信息系統(tǒng)安全等級(jí)保護(hù)工作小組，組長(zhǎng)簽訂工作責(zé)任書（參見B.5）并完成以下崗位和成

員的設(shè)置。

1)信息系統(tǒng)安全等級(jí)保護(hù)工作小組：組長(zhǎng)（）、副組長(zhǎng)（）、成員（）。

i)成立信息安全風(fēng)險(xiǎn)評(píng)估工作小組，組長(zhǎng)簽訂工作責(zé)任書（參見B.6）完成以下崗位和成員的設(shè)

置。

1)信息安全風(fēng)險(xiǎn)評(píng)估工作小組：組長(zhǎng)（）、副組長(zhǎng)（）、成員（）。

j)成立信息安全保密工作小組，組長(zhǎng)簽訂工作責(zé)任書（參見B.7）完成以下崗位和成員的設(shè)置。

1)信息安全保密工作小組：組長(zhǎng)（）、副組長(zhǎng)（）、成員（）。

9.3.3工作職責(zé)

本項(xiàng)內(nèi)容包括：

a)信息安全領(lǐng)導(dǎo)機(jī)構(gòu)工作職責(zé)。

1)信息安全領(lǐng)導(dǎo)機(jī)構(gòu)負(fù)責(zé)領(lǐng)導(dǎo)信息安全工作的規(guī)劃、建設(shè)和管理，檢查指導(dǎo)各下屬工作小組

信息安全工作，協(xié)調(diào)處理信息安全工作中產(chǎn)生的重大問題，建設(shè)和完善信息安全組織體系。

b)信息安全檢查工作小組工作職責(zé)。

1)信息安全檢查工作小組負(fù)責(zé)檢查信息安全制度落實(shí)情況、安全防范措施落實(shí)情況、應(yīng)急響

應(yīng)機(jī)制建設(shè)情況、信息技術(shù)產(chǎn)品和服務(wù)國(guó)產(chǎn)化情況、安全教育培訓(xùn)情況、責(zé)任追究情況、

安全隱患排查及整改情況、安全形勢(shì)、安全風(fēng)險(xiǎn)狀況等。

c)互聯(lián)網(wǎng)信息安全檢查工作小組工作職責(zé)。

1)互聯(lián)網(wǎng)信息安全檢查工作小組負(fù)責(zé)互聯(lián)網(wǎng)信息安全檢查工作部署、制定檢查工作計(jì)劃和檢

查方案，監(jiān)控互聯(lián)網(wǎng)信息系統(tǒng)安全狀況，定期匯總分析并提出安全分析報(bào)告。

d)內(nèi)網(wǎng)信息安全檢查工作小組工作職責(zé)。

4

GB/TXXXXX—XXXX

1)內(nèi)網(wǎng)信息安全檢查工作小組負(fù)責(zé)安排內(nèi)網(wǎng)信息安全檢查工作、制定檢查工作計(jì)劃和檢查方

案、對(duì)檢查工作進(jìn)行檢查部署，監(jiān)控內(nèi)網(wǎng)信息系統(tǒng)安全狀況，定期匯總分析并提出安全分

析報(bào)告。

e)信息系統(tǒng)安全等級(jí)保護(hù)工作小組工作職責(zé)。

1)信息系統(tǒng)安全等級(jí)保護(hù)工作小組負(fù)責(zé)制定詳細(xì)的信息系統(tǒng)安全等級(jí)保護(hù)工作計(jì)劃、采購(gòu)和

使用相應(yīng)等級(jí)的信息安全產(chǎn)品、建設(shè)安全設(shè)施、落實(shí)安全技術(shù)措施、完成系統(tǒng)整改等。

f)信息安全應(yīng)急響應(yīng)工作小組工作職責(zé)。

1)信息安全應(yīng)急響應(yīng)工作小組負(fù)責(zé)應(yīng)急預(yù)案的制定、演練、落實(shí)，技術(shù)隊(duì)伍的建設(shè)，安全事

件監(jiān)控與處理。

g)信息安全風(fēng)險(xiǎn)評(píng)估工作小組工作職責(zé)。

1)信息安全風(fēng)險(xiǎn)評(píng)估工作小組負(fù)責(zé)信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估實(shí)施過程中的組織安排及各項(xiàng)相關(guān)

工作。

h)信息安全保密工作小組工作職責(zé)。

1)信息安全保密工作小組負(fù)責(zé)指導(dǎo)各部門開展保密工作，并定期進(jìn)行檢查、督促；定期召開

保密工作會(huì)議，研究部署保密工作；對(duì)工作人員進(jìn)行保密教育，組織保密業(yè)務(wù)培訓(xùn)。

9.3.4附則

本項(xiàng)內(nèi)容包括：

a)本制度由（）部門負(fù)責(zé)解釋。

b)本制度自發(fā)布之日起生效執(zhí)行。

9.4信息安全事件管理辦法模板

本項(xiàng)內(nèi)容包括：

a)信息安全事件分類如下所示：。

1)有害程序事件：包括計(jì)算機(jī)病毒事件、蠕蟲事件、特洛伊木馬事件、僵尸網(wǎng)絡(luò)事件、混合

攻擊程序事件、網(wǎng)頁(yè)內(nèi)嵌惡意代碼事件等。

2)網(wǎng)絡(luò)攻擊事件：包括拒絕服務(wù)攻擊事件、后門攻擊事件、漏洞攻擊事件、網(wǎng)絡(luò)掃描竊聽事

件、網(wǎng)絡(luò)釣魚事件、干擾事件等。

3)信息破壞事件：包括信息篡改事件、信息假冒事件、信息泄露事件、信息竊取事件、信息

丟失事件等。

4)信息內(nèi)容安全事件：

(1)違反憲法和法律、行政法規(guī)的信息安全事件；

(2)針對(duì)社會(huì)事項(xiàng)進(jìn)行討論、評(píng)論，形成網(wǎng)上敏感的輿論熱點(diǎn)，出現(xiàn)一定規(guī)模炒作的信息

安全事件；

(3)組織串連、煽動(dòng)集會(huì)游行的信息安全事件。

5)設(shè)施和設(shè)備故障：

(1)硬件設(shè)備的自然故障、軟硬件設(shè)計(jì)缺陷或軟硬件運(yùn)行環(huán)境發(fā)生變化等而導(dǎo)致信息安全

事件；

(2)由于保障信息系統(tǒng)正常運(yùn)行所必須的外部設(shè)施出現(xiàn)故障而導(dǎo)致的信息安全事件，如電

力故障；

(3)人為破壞事故。

6)災(zāi)害性事件：包括水災(zāi)、臺(tái)風(fēng)、地震、雷擊、坍塌、火災(zāi)、恐怖襲擊等。

7)其他事件。

b)按照信息安全事件造成的后果和影響的嚴(yán)重程度，將信息安全事件分為以下等級(jí)：

5

GB/TXXXX-XXXX

1)特別重大安全事件，指能夠?qū)е绿貏e嚴(yán)重影響或破壞的信息安全事件，包括以下情況：

(1)會(huì)使特別重要信息系統(tǒng)遭受特別嚴(yán)重的系統(tǒng)損失；

(2)產(chǎn)生特別重大的社會(huì)影響。

2)重大安全事件，指能夠?qū)е聡?yán)重影響或破壞的信息安全事件，包括以下情況：

(1)會(huì)使特別重要信息系統(tǒng)遭受嚴(yán)重的系統(tǒng)損失，或使重要信息系統(tǒng)遭受特別嚴(yán)重的系統(tǒng)

損失；

(2)產(chǎn)生重大的社會(huì)影響。

3)較大安全事件，指能夠?qū)е螺^嚴(yán)重影響或破壞的信息安全事件，包括以下情況：

(1)會(huì)使特別重要信息系統(tǒng)遭受較大的系統(tǒng)損失，或使重要信息系統(tǒng)遭受嚴(yán)重的系統(tǒng)損

失、一般信息系統(tǒng)遭受特別嚴(yán)重的系統(tǒng)損失；

(2)產(chǎn)生較大的社會(huì)影響。

4)一般安全事件，指不滿足以上條件的信息安全事件，包括以下情況：

(1)會(huì)使特別重要信息系統(tǒng)遭受較小的系統(tǒng)損失，或使重要信息系統(tǒng)遭受較大的系統(tǒng)損

失、一般信息系統(tǒng)遭受嚴(yán)重或嚴(yán)重以下級(jí)別的系統(tǒng)損失；

(2)產(chǎn)生一般的社會(huì)影響。

c)安全事件處置流程：

1)事件報(bào)告；

2)事件受理；

3)事件處理；

4)事后總結(jié)。

d)安全事件處理各環(huán)節(jié)責(zé)任人及職責(zé)如下：

1)信息安全事件報(bào)告人：編寫和提交信息安全事件報(bào)告。

2)安全事件管理相關(guān)負(fù)責(zé)人：受理和記錄信息安全事件，將安全事件分配到技術(shù)人員進(jìn)行處

理并記錄歸檔。

3)安全事件處理人員：對(duì)信息安全事件進(jìn)行處理。

4)（）部門負(fù)責(zé)人：安全事件的統(tǒng)計(jì)分析，并采取糾正預(yù)防措施。

5)上級(jí)部門：協(xié)調(diào)安全事件的處理。

e)安全事件報(bào)告程序

1)發(fā)現(xiàn)一般安全事件時(shí)，由（）部門安全事件管理相關(guān)負(fù)責(zé)人受理并記錄歸檔、安全事

件處理人員進(jìn)行處理，并上報(bào)相關(guān)負(fù)責(zé)人；

2)發(fā)現(xiàn)較大安全事件時(shí)，首先報(bào)（）部門相關(guān)負(fù)責(zé)人，由安全事件處理人員進(jìn)行事件處

理，處理完畢上報(bào)相關(guān)負(fù)責(zé)人；

3)發(fā)現(xiàn)重大安全事件或特別重大安全事件時(shí)，應(yīng)報(bào)（）部門領(lǐng)導(dǎo)及相關(guān)負(fù)責(zé)人，聯(lián)系維

護(hù)支撐單位協(xié)助處理安全事件，處理完畢上報(bào)（）部門領(lǐng)導(dǎo)及相關(guān)負(fù)責(zé)人。

f)（）部門負(fù)責(zé)人組織、跟蹤信息安全事件的處理和完成情況，并針對(duì)安全事件進(jìn)行原因分

析，針對(duì)安全缺陷進(jìn)行統(tǒng)計(jì)分析，并對(duì)事件及缺陷采取糾正、預(yù)防等措施。

g)本制度由（）部門負(fù)責(zé)解釋。

h)本制度自發(fā)布之日起生效執(zhí)行。

9.5信息系統(tǒng)信息發(fā)布制度模板

本項(xiàng)內(nèi)容包括：

a)為促進(jìn)信息系統(tǒng)信息發(fā)布、審核工作的規(guī)范化、制度化，保障信息系統(tǒng)發(fā)布信息的權(quán)威性、及

時(shí)性、準(zhǔn)確性、嚴(yán)肅性和安全性，結(jié)合本單位實(shí)際，制定本制度。

6

GB/TXXXXX—XXXX

b)本制度適用于信息系統(tǒng)（如：門戶網(wǎng)站）應(yīng)當(dāng)公開或需要公開的所有信息發(fā)布，在正式發(fā)布前，

必須進(jìn)行預(yù)先審核。

c)發(fā)布的信息應(yīng)具有較強(qiáng)的時(shí)效性，保證信息內(nèi)容的真實(shí)性、準(zhǔn)確性、完整性和安全性。

d)發(fā)布信息應(yīng)遵循“審核嚴(yán)謹(jǐn)，流程規(guī)范，源頭可溯，依法公開”的原則。

e)擬發(fā)布信息內(nèi)容必須進(jìn)過內(nèi)部初審，重點(diǎn)是對(duì)擬發(fā)布信息內(nèi)容的準(zhǔn)確性、完整性、時(shí)效性、是

否涉密等進(jìn)行審核；主管領(lǐng)導(dǎo)對(duì)信息進(jìn)行復(fù)審；審核通過后方可在門戶網(wǎng)站上發(fā)布。

f)所有發(fā)布的信息都應(yīng)填寫信息發(fā)布審批表（參見表A.2）和信息發(fā)布保密審查登記表（參見表

A.3），登記的信息包含但不限于：日期、部門、信息簡(jiǎn)介、承辦人等。

g)嚴(yán)格履行保密義務(wù)，不得發(fā)布違反國(guó)家法律及地方法規(guī)的信息，不得發(fā)布與黨的各項(xiàng)方針、政

策相違背的信息，不得制作和傳播各類不健康信息，不得發(fā)布虛假信息。

h)對(duì)因?qū)徍瞬粐?yán)導(dǎo)致信息公開內(nèi)容失實(shí)、泄密、引發(fā)負(fù)面影響的，依照有關(guān)法律法規(guī)和規(guī)定追究

相關(guān)人員責(zé)任。

i)制定專人負(fù)責(zé)信息系統(tǒng)信息復(fù)查工作，發(fā)現(xiàn)問題應(yīng)及時(shí)通知有關(guān)負(fù)責(zé)人進(jìn)行更正，造成不良影

響的應(yīng)追究相關(guān)人員責(zé)任。

j)本制度由（）部門負(fù)責(zé)解釋。

k)本制度自發(fā)布之日起生效執(zhí)行。

9.6機(jī)房安全管理制度模板

本項(xiàng)內(nèi)容包括：

a)（）部門負(fù)責(zé)機(jī)房安全管理制度的落實(shí)和實(shí)施，對(duì)制度的執(zhí)行過程進(jìn)行監(jiān)督和檢查。

b)機(jī)房管理員負(fù)責(zé)機(jī)房的日常維護(hù)、日常監(jiān)控和日常管理。

c)嚴(yán)禁非機(jī)房工作人員進(jìn)入機(jī)房，如因工作需要進(jìn)入機(jī)房需經(jīng)（）部門主管領(lǐng)導(dǎo)批準(zhǔn)并由機(jī)

房管理員帶入。

d)進(jìn)入機(jī)房人員不得攜帶任何易燃、易爆、腐蝕性、強(qiáng)電磁、輻射性、流體物質(zhì)等對(duì)設(shè)備正常運(yùn)

行構(gòu)成威脅的物品。

e)進(jìn)入機(jī)房的人員必須完整填寫機(jī)房出入登記表（參見表A.5），進(jìn)入操作間以外的其它重要區(qū)

域（如：服務(wù)器區(qū)、網(wǎng)絡(luò)設(shè)備區(qū)、氣瓶間、電池間等）還需填寫進(jìn)入重要區(qū)域申請(qǐng)書（參見表

A.4）以備檢查。

f)操作人員應(yīng)隨時(shí)監(jiān)視設(shè)備運(yùn)行狀況，發(fā)現(xiàn)異常情況時(shí)應(yīng)立即按照預(yù)案規(guī)程進(jìn)行操作，并及時(shí)上

報(bào)和做好詳細(xì)記錄。

g)任何人員未經(jīng)許可不得擅自上機(jī)操作和對(duì)運(yùn)行設(shè)備的各種配置進(jìn)行更改。

h)嚴(yán)格執(zhí)行密碼管理制度，對(duì)操作密碼進(jìn)行定期修改，超級(jí)用戶密碼由系統(tǒng)管理員掌握。

i)機(jī)房工作人員應(yīng)恪守保密制度，不得擅自泄露機(jī)房中的各種信息資料和資料數(shù)據(jù)。

j)保持機(jī)房安靜，機(jī)房?jī)?nèi)嚴(yán)禁吸煙、喝水、吃食物、嬉戲和進(jìn)行劇烈運(yùn)動(dòng)。

k)不定期對(duì)機(jī)房?jī)?nèi)的消防器材、監(jiān)控設(shè)備進(jìn)行檢查，以確保其有效性。

l)嚴(yán)格按照有關(guān)操作流程對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行操作，對(duì)新上線業(yè)務(wù)及特殊情況需要變更流程的，應(yīng)事

先進(jìn)行詳細(xì)安排并書面報(bào)相關(guān)負(fù)責(zé)人批準(zhǔn)簽字后方可執(zhí)行；所有操作必須記錄存檔。

m)機(jī)房管理員必須密切監(jiān)視中心設(shè)備的運(yùn)行狀況及各網(wǎng)點(diǎn)運(yùn)行情況，確保信息系統(tǒng)安全、正常運(yùn)

行，及時(shí)填寫機(jī)房巡檢表（參見表A.6）。

n)嚴(yán)格按規(guī)章制度要求做好各種數(shù)據(jù)、文件的備份工作。核心服務(wù)器數(shù)據(jù)庫(kù)要定期進(jìn)行備份，并

嚴(yán)格實(shí)行異地存放、專人保管。所有重要文檔定期整理裝訂，專人保管，以備后查。

o)機(jī)房的設(shè)備間和控制臺(tái)隔離分設(shè)。未經(jīng)負(fù)責(zé)人批準(zhǔn)，不得在中心機(jī)房設(shè)備上編寫、修改、更換

各類軟件系統(tǒng)及更改設(shè)備參數(shù)配置。

7

GB/TXXXX-XXXX

p)各類軟件系統(tǒng)的維護(hù)、增刪、配置的更改，各類硬件設(shè)備的添加、更換必需經(jīng)負(fù)責(zé)人批準(zhǔn)后方

可進(jìn)行；必須按規(guī)定進(jìn)行詳細(xì)登記和記錄，對(duì)各類軟件、現(xiàn)場(chǎng)資料、檔案整理存檔。

q)部門負(fù)責(zé)人不定期對(duì)制度的執(zhí)行情況進(jìn)行檢查，督促各項(xiàng)制度的落實(shí)。

r)本制度由（）部門負(fù)責(zé)解釋。

s)本制度自發(fā)布之日起生效執(zhí)行。

9.7網(wǎng)絡(luò)安全管理制度模板

9.7.1范圍及職責(zé)

本項(xiàng)內(nèi)容包括：

a)本制度適用于網(wǎng)絡(luò)安全管理，包括：網(wǎng)絡(luò)系統(tǒng)安全管理、賬號(hào)管理、病毒防治管理、網(wǎng)絡(luò)事件

報(bào)告和查處。

b)（）部門主要負(fù)責(zé)網(wǎng)絡(luò)安全管理制度的制定和修訂；網(wǎng)絡(luò)管理員負(fù)責(zé)網(wǎng)絡(luò)維護(hù)。

9.7.2網(wǎng)絡(luò)管理

a)應(yīng)在信息系統(tǒng)內(nèi)外網(wǎng)網(wǎng)絡(luò)邊界部署防火墻、審計(jì)系統(tǒng)、IPS/IDS等安全設(shè)備；對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行

區(qū)域隔離、保護(hù)。重要的業(yè)務(wù)應(yīng)用服務(wù)器區(qū)部署單獨(dú)的防火墻進(jìn)行保護(hù)。

b)內(nèi)外網(wǎng)網(wǎng)絡(luò)之間要實(shí)行物理隔離。如需進(jìn)行數(shù)據(jù)交換時(shí)，應(yīng)使用符合國(guó)家政策和保密部門認(rèn)可

的安全產(chǎn)品或技術(shù)措施進(jìn)行數(shù)據(jù)傳輸。

c)所有在互聯(lián)網(wǎng)發(fā)布的應(yīng)用系統(tǒng)必須使用網(wǎng)頁(yè)防篡改技術(shù)或?qū)Ｓ冒踩O(shè)備進(jìn)行保護(hù)，確保網(wǎng)站在

受到破壞時(shí)能自動(dòng)恢復(fù)。

d)所有在互聯(lián)網(wǎng)發(fā)布的應(yīng)用系統(tǒng)必須經(jīng)過有資質(zhì)的專業(yè)信息安全公司或第三方技術(shù)機(jī)構(gòu)的安全

測(cè)評(píng)，確保網(wǎng)站的安全性。

e)采用技術(shù)手段對(duì)網(wǎng)絡(luò)接入進(jìn)行控制。內(nèi)部終端如因工作需要接入Internet或其他網(wǎng)絡(luò)，應(yīng)向

所在部門領(lǐng)導(dǎo)提出申請(qǐng)，經(jīng)批準(zhǔn)后由網(wǎng)絡(luò)管理員提供接入服務(wù)。管理員對(duì)接入端信息做詳細(xì)登

記并存檔備案。外部人員如需接入網(wǎng)絡(luò)，需由部門主管領(lǐng)導(dǎo)批準(zhǔn)，再由網(wǎng)絡(luò)管理員提供臨時(shí)接

入服務(wù)。

f)網(wǎng)絡(luò)管理員負(fù)責(zé)網(wǎng)絡(luò)拓?fù)鋱D的繪制。若網(wǎng)絡(luò)結(jié)構(gòu)發(fā)生變化要及時(shí)更新拓?fù)鋱D，確保網(wǎng)絡(luò)拓?fù)鋱D

完整、真實(shí)。

g)未經(jīng)（）部門主管領(lǐng)導(dǎo)批準(zhǔn)，任何人不得改變網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備布局、服務(wù)器和路

由器配置以及網(wǎng)絡(luò)參數(shù)。

h)在未經(jīng)許可的情況下，任何人不得進(jìn)入計(jì)算機(jī)系統(tǒng)更改系統(tǒng)信息和用戶數(shù)據(jù)。

i)任何人不得利用計(jì)算機(jī)技術(shù)侵害用戶合法利益，不得制作和傳播有害信息。

9.7.3運(yùn)維管理

a)對(duì)信息系統(tǒng)核心設(shè)備采取冗余措施（包括線路及設(shè)備冗余），確保網(wǎng)絡(luò)正常運(yùn)行。

b)對(duì)網(wǎng)絡(luò)、安全設(shè)備進(jìn)行管理時(shí)須采用安全的方式（如加密、SSH等），并嚴(yán)格控制可訪問該設(shè)

備的地址和網(wǎng)段。

c)定期對(duì)網(wǎng)絡(luò)系統(tǒng)（服務(wù)器、網(wǎng)絡(luò)設(shè)備）進(jìn)行漏洞掃描，并及時(shí)修補(bǔ)已發(fā)現(xiàn)的安全漏洞。

d)根據(jù)設(shè)備廠商提供的更新軟件對(duì)網(wǎng)絡(luò)設(shè)備和安全設(shè)備進(jìn)行升級(jí)，在升級(jí)之前要注意對(duì)重要文件

的配置進(jìn)行備份。

e)定期對(duì)重要的網(wǎng)絡(luò)、安全設(shè)備進(jìn)行巡檢，確保重要設(shè)施工作正常，并填寫相關(guān)記錄表單歸檔保

存。若在巡檢中發(fā)現(xiàn)安全問題要及時(shí)上報(bào)處理。

f)定期對(duì)重要系統(tǒng)服務(wù)器和相關(guān)業(yè)務(wù)數(shù)據(jù)進(jìn)行備份，備份數(shù)據(jù)應(yīng)一式兩份，分別進(jìn)行保存管理。

8

GB/TXXXXX—XXXX

g)部署專用的網(wǎng)絡(luò)審計(jì)設(shè)備記錄網(wǎng)絡(luò)訪問日志，日志的最小保存期限不低于60天，且應(yīng)保證無

一天以上的中斷。

9.7.4帳號(hào)管理

本項(xiàng)內(nèi)容包括：

a)對(duì)網(wǎng)絡(luò)管理員、安全審計(jì)員等不同用戶建立不同的賬號(hào)，并對(duì)資源管理權(quán)限進(jìn)行劃分，以便于

審計(jì)。

b)網(wǎng)絡(luò)賬號(hào)、密碼設(shè)計(jì)必須滿足長(zhǎng)度、復(fù)雜度要求，用戶須定期更改密碼以保障網(wǎng)絡(luò)賬戶安全。

c)指定專人對(duì)服務(wù)器和網(wǎng)絡(luò)設(shè)備的賬號(hào)、密碼進(jìn)行統(tǒng)一登記，一式兩份存檔管理。管理員須嚴(yán)守

職業(yè)道德和職業(yè)紀(jì)律，不得將任何賬號(hào)、密碼等信息泄露出去。

9.7.5惡意代碼防范

本項(xiàng)內(nèi)容包括：

a)不得制造和傳播任何計(jì)算機(jī)病毒。

b)網(wǎng)絡(luò)服務(wù)器的病毒防治由網(wǎng)絡(luò)管理員負(fù)責(zé)，網(wǎng)絡(luò)管理員負(fù)責(zé)對(duì)各部門計(jì)算機(jī)的病毒防治工作進(jìn)

行指導(dǎo)和協(xié)助。

c)及時(shí)更新網(wǎng)絡(luò)系統(tǒng)服務(wù)器病毒庫(kù)，定期對(duì)服務(wù)器進(jìn)行全盤掃描殺毒。

d)提高自身的惡意代碼防范意識(shí)，在接收文件或郵件之前，必須先進(jìn)行惡意代碼檢查。

e)已授權(quán)的外來計(jì)算機(jī)或存儲(chǔ)設(shè)備在接入網(wǎng)絡(luò)之前，必須對(duì)其進(jìn)行惡意代碼掃描。

9.7.6惡意事件處理

本項(xiàng)內(nèi)容包括：

a)發(fā)現(xiàn)制造病毒、故意傳播病毒等行為，須立即通知（）部門，并協(xié)助有關(guān)部門進(jìn)行調(diào)查。

b)發(fā)現(xiàn)惡意網(wǎng)絡(luò)攻擊行為，須立即通知（）部門，并協(xié)助有關(guān)部門進(jìn)行調(diào)查。

9.7.7附則

本項(xiàng)內(nèi)容包括：

a)本制度由（）部門負(fù)責(zé)解釋。

b)本制度自發(fā)布之日起生效執(zhí)行。

9.8信息系統(tǒng)運(yùn)行維護(hù)管理制度模板

9.8.1范圍及職責(zé)

本項(xiàng)內(nèi)容包括：

a)本制度適用于信息系統(tǒng)的運(yùn)行維護(hù)管理，包括：業(yè)務(wù)系統(tǒng)運(yùn)維管理、備份和恢復(fù)、口令和權(quán)限

管理、惡意代碼防范管理以及系統(tǒng)補(bǔ)丁管理。

b)（）部門負(fù)責(zé)信息系統(tǒng)運(yùn)行維護(hù)管理制度的制定和修訂；系統(tǒng)管理員負(fù)責(zé)信息系統(tǒng)的運(yùn)行

維護(hù)。

9.8.2業(yè)務(wù)系統(tǒng)運(yùn)維管理

本項(xiàng)內(nèi)容包括：

a)對(duì)運(yùn)行關(guān)鍵業(yè)務(wù)的系統(tǒng)進(jìn)行監(jiān)控。監(jiān)控系統(tǒng)關(guān)鍵性能參數(shù)（如啟動(dòng)參數(shù)）、工作狀態(tài)、占用資

源和容量使用情況等內(nèi)容。

b)不得隨意重啟業(yè)務(wù)系統(tǒng)服務(wù)器、相關(guān)網(wǎng)絡(luò)設(shè)備和安全設(shè)備，盡量少安裝業(yè)務(wù)無關(guān)的與其它軟件。

c)定期對(duì)系統(tǒng)日志進(jìn)行審計(jì)、備份。

9

GB/TXXXX-XXXX

d)對(duì)主機(jī)系統(tǒng)上開放的網(wǎng)絡(luò)服務(wù)和端口進(jìn)行檢查，發(fā)現(xiàn)不需要開放的網(wǎng)絡(luò)服務(wù)和端口時(shí)及時(shí)通知

相關(guān)管理員進(jìn)行關(guān)閉。

e)對(duì)系統(tǒng)運(yùn)行情況進(jìn)行記錄，每月對(duì)記錄結(jié)果進(jìn)行分析、統(tǒng)計(jì)，并形成分析報(bào)告向上級(jí)匯報(bào)。

f)開辦交互式欄目的信息系統(tǒng)必須配備關(guān)鍵字過濾措施，防止出現(xiàn)有害信息和非法言論。

g)不同的業(yè)務(wù)系統(tǒng)應(yīng)采取不同的保護(hù)措施，達(dá)到等級(jí)保護(hù)二級(jí)以上標(biāo)準(zhǔn)時(shí)應(yīng)向公安部門提交備案

申請(qǐng)并取得備案編號(hào)。

h)已在公安部門備案的信息系統(tǒng)要根據(jù)等級(jí)保護(hù)國(guó)標(biāo)和上級(jí)主管部門的工作要求開展測(cè)評(píng)和整

改工作。

i)所有在互聯(lián)網(wǎng)發(fā)布的信息系統(tǒng)都必須在公安部門進(jìn)行備案登記。已備案信息系統(tǒng)應(yīng)注意前次備

案的有效期限，應(yīng)在備案失效前再次向公安部門報(bào)送材料進(jìn)行備案，保證信息系統(tǒng)備案狀態(tài)的

持續(xù)性。

9.8.3備份與恢復(fù)管理

本項(xiàng)內(nèi)容包括：

a)制定數(shù)據(jù)備份計(jì)劃（參見表A.7），明確備份系統(tǒng)、備份頻率、位置、責(zé)任人等信息。

b)按照業(yè)務(wù)數(shù)據(jù)的重要性，采取不同介質(zhì)進(jìn)行備份，如：專業(yè)存儲(chǔ)陣列、磁帶、硬盤、光盤等；

備份介質(zhì)要標(biāo)注內(nèi)容、日期、操作員和狀態(tài)。

c)備份介質(zhì)（磁帶、硬盤和光盤）要按照時(shí)間順序保存。

d)備份介質(zhì)必須異地存放，存放環(huán)境要滿足介質(zhì)存儲(chǔ)的安全要求。

e)當(dāng)介質(zhì)超出有效使用期時(shí)，即使還能使用也要強(qiáng)制報(bào)廢。

f)按照備份策略，對(duì)不同業(yè)務(wù)數(shù)據(jù)采用不同備份方式，靈活運(yùn)用完全備份、增量備份和差異備份

等方式進(jìn)行備份，保證信息系統(tǒng)出現(xiàn)故障時(shí)，能夠滿足數(shù)據(jù)恢復(fù)的時(shí)間點(diǎn)和速度要求。

g)每次備份必須進(jìn)行備份記錄，對(duì)備份介質(zhì)類型、備份的頻率、數(shù)據(jù)量、數(shù)據(jù)屬性等有明確描述，

并及時(shí)檢查備份的狀態(tài)和日志，確保備份是成功的。

h)定期對(duì)介質(zhì)做恢復(fù)測(cè)試并填寫數(shù)據(jù)恢復(fù)測(cè)試計(jì)劃表（參見表A.8），至少一年兩次。

9.8.4口令、權(quán)限管理

本項(xiàng)內(nèi)容包括：

a)口令安全是保護(hù)信息安全的重要措施之一?？诹钜?guī)范如下：

1)保守口令的秘密性，除非有正式批準(zhǔn)授權(quán)，禁止把口令提供給其他人使用；

2)避免記錄口令（例如在紙上記錄），除非使用了安全的保管方式（如保險(xiǎn)柜）并得到了批

準(zhǔn)；

3)提高安全意識(shí)，當(dāng)信息系統(tǒng)或賬戶狀態(tài)出現(xiàn)異常情況時(shí)（如懷疑被入侵），應(yīng)考慮立即更

改口令；

4)設(shè)置高質(zhì)量的口令并定期進(jìn)行修改，禁止循環(huán)使用舊口令；

5)用戶在第一次登陸的時(shí)候，須立即修改初始口令；

6)不能在任何登錄程序中保存口令或啟用自動(dòng)登錄，如在宏或功能鍵中存儲(chǔ)口令；

7)網(wǎng)絡(luò)設(shè)備或服務(wù)器、桌面系統(tǒng)的口令安全設(shè)置，必須遵守系統(tǒng)安全策略中的相關(guān)要求。

9.8.5惡意代碼防范管理

本項(xiàng)內(nèi)容包括：

a)所有計(jì)算機(jī)必須安裝防病毒軟件并實(shí)時(shí)運(yùn)行。

b)及時(shí)更新防病毒軟件和病毒特征庫(kù)。嚴(yán)禁制造、引入或傳播惡意軟件（例如病毒、蠕蟲、木馬、

郵件炸彈等）。

10

GB/TXXXXX—XXXX

c)非本單位計(jì)算機(jī)嚴(yán)禁擅自接入規(guī)定業(yè)務(wù)以外的其他網(wǎng)絡(luò)，如因工作需要接入的，須經(jīng)（）

部門批準(zhǔn)和確認(rèn)。

d)及時(shí)對(duì)計(jì)算機(jī)操作系統(tǒng)補(bǔ)丁進(jìn)行更新。

e)新購(gòu)置的、借入的或維修返還的計(jì)算機(jī)或存儲(chǔ)介質(zhì)，在使用前必須進(jìn)行惡意代碼檢查，確保無

惡意代碼之后才能正式投入使用。

f)U盤、光盤以及其它移動(dòng)存儲(chǔ)介質(zhì)在使用前必須進(jìn)行惡意代碼檢測(cè)，嚴(yán)禁使用任何未經(jīng)惡意代

碼檢測(cè)過的存儲(chǔ)介質(zhì)。

g)計(jì)算機(jī)軟件以及從其它渠道獲得的電子文件，在安裝使用前必須進(jìn)行惡意代碼檢測(cè)，禁止安裝

或使用未經(jīng)惡意代碼檢測(cè)的計(jì)算機(jī)軟件和電子文件。

h)文件拷入計(jì)算機(jī)之前必須經(jīng)過惡意代碼掃描，文件拷貝的途徑包括但不限于網(wǎng)絡(luò)共享文件的拷

貝、通過光盤、U盤等移動(dòng)存儲(chǔ)媒介的拷貝、從Internet下載文件、下載郵件等。

i)郵件的附件在打開之前必須進(jìn)行病毒檢測(cè)。收到來歷不明的郵件時(shí)不要打開附件，應(yīng)確認(rèn)文件

安全或直接刪除。

9.8.6系統(tǒng)補(bǔ)丁管理

本項(xiàng)內(nèi)容包括：

a)定期對(duì)信息系統(tǒng)進(jìn)行漏洞掃描，對(duì)發(fā)現(xiàn)的信息系統(tǒng)漏洞和風(fēng)險(xiǎn)進(jìn)行及時(shí)的修補(bǔ)。

b)每季度對(duì)信息系統(tǒng)設(shè)備（包括：主機(jī)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)等）至少進(jìn)行一次漏洞掃描，并對(duì)掃

描報(bào)告進(jìn)行分析和歸類存檔。

c)定期檢查信息系統(tǒng)的各種補(bǔ)丁狀態(tài)，并及時(shí)更新。

d)在安裝信息系統(tǒng)各類補(bǔ)丁前須對(duì)補(bǔ)丁的兼容性和安全性進(jìn)行評(píng)估和檢測(cè)，確保新補(bǔ)丁不影響信

息系統(tǒng)的正常運(yùn)行。

e)當(dāng)出現(xiàn)應(yīng)對(duì)高危漏洞的信息系統(tǒng)補(bǔ)丁時(shí)，應(yīng)在第一時(shí)間組織補(bǔ)丁的測(cè)試工作，并對(duì)漏洞進(jìn)行修

補(bǔ)。

f)每月根據(jù)收集情況安排補(bǔ)丁分發(fā)，如遇緊急更新，第一時(shí)間進(jìn)行分發(fā)。

9.8.7附則

本項(xiàng)內(nèi)容包括：

a)本制度由（）部門負(fù)責(zé)解釋。

b)本制度自發(fā)布之日起生效執(zhí)行。

9.9信息系統(tǒng)用戶管理制度模板

9.9.1范圍及職責(zé)

本項(xiàng)內(nèi)容包括：

a)本制度適用于信息系統(tǒng)用戶的管理，包括：崗位配置原則、人員錄用及調(diào)（離）崗、授權(quán)管理、

安全培訓(xùn)教育、第三方人員管理。

b)（）部門負(fù)責(zé)信息系統(tǒng)用戶管理制度的制定和修訂。

9.9.2崗位配置原則

本項(xiàng)內(nèi)容包括：

a)根據(jù)信息系統(tǒng)職能要求，結(jié)合信息部門實(shí)際情況進(jìn)行人員配備，權(quán)限、職能不同的角色必須分

離，避免權(quán)責(zé)不清、責(zé)任不明確的現(xiàn)象發(fā)生。其中，系統(tǒng)管理員不能兼任安全審計(jì)員。

b)重要崗位實(shí)施角色備份制度，在合理設(shè)置工作崗位、完善工作職責(zé)的基礎(chǔ)上，在相近崗位之間，

實(shí)行頂崗或互為備崗制，以便能及時(shí)處理緊急任務(wù)。

11

GB/TXXXX-XXXX

c)為確保信息安全工作的順利開展，保障信息系統(tǒng)的正常運(yùn)行，須設(shè)置安全管理員（參見B.8）、

系統(tǒng)管理員（參見B.9）、網(wǎng)絡(luò)管理員（參見B.10）、機(jī)房管理員（參見B.11）、安全審計(jì)

員（參見B.12）和信息審查員（參見B.13）并明確其工作職責(zé)。

9.9.3人員錄用及調(diào)離

本項(xiàng)內(nèi)容包括：

a)相關(guān)信息安全職責(zé)在崗位說明書中予以明確，各部門負(fù)責(zé)人根據(jù)已批準(zhǔn)的崗位說明書和部門人

員配置要求，填寫相關(guān)申請(qǐng)，統(tǒng)一招調(diào)。

b)所有信息系統(tǒng)相關(guān)崗位均要簽署保密（參見B.14）協(xié)議，關(guān)鍵崗位人員必須從內(nèi)部人員中選

拔。

c)對(duì)被錄用人的身份、背景、專業(yè)資格和資質(zhì)等進(jìn)行審查，當(dāng)人員處理涉密信息或涉及高敏感性

的信息或擔(dān)負(fù)重要崗位時(shí)，應(yīng)進(jìn)行更嚴(yán)格的政審。

d)人員調(diào)離時(shí)必須更換或歸還之前發(fā)放的身份證件、鑰匙、單位提供的軟硬件設(shè)備及文檔資料等

資產(chǎn)，并辦理詳盡的交接手續(xù)。

e)人員調(diào)離時(shí)必須終止其所有的訪問權(quán)限，涉及相關(guān)信息系統(tǒng)賬號(hào)、口令時(shí)，先采取更換密碼或

凍結(jié)賬號(hào)的措施，避免直接刪除賬號(hào)。

f)人員調(diào)（離）崗時(shí)必須簽署保密承諾書（參見B.15），承諾在調(diào)（離）崗后根據(jù)保密承諾書

的內(nèi)容履行相關(guān)的保密責(zé)任和義務(wù)，涉密人員實(shí)行脫密期管理制度。

g)對(duì)未辦理正常交接手續(xù)離崗的人員，及時(shí)進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估并由專人跟進(jìn)處理，保證信息

系統(tǒng)的安全和業(yè)務(wù)連續(xù)性。

h)建立完善的獎(jiǎng)懲機(jī)制，對(duì)違反信息安全策略或規(guī)定的人員，給予正式紀(jì)律處理，對(duì)信息安全工

作表現(xiàn)突優(yōu)異的人員，給予適當(dāng)激勵(lì)。

i)與上級(jí)信息安全管理部門、信息系統(tǒng)服務(wù)商和寬帶提供商（如電信、網(wǎng)通等）保持適當(dāng)聯(lián)系，

確保在發(fā)生信息安全事故和查處危害內(nèi)部信息安全的違法犯罪行為時(shí)能夠得到及時(shí)響應(yīng)和必

要幫助。

9.9.4授權(quán)管理

本項(xiàng)內(nèi)容包括：

a)權(quán)限的分級(jí)應(yīng)遵循以下原則。

1)符合業(yè)務(wù)安全需求；

2)遵循最小權(quán)限原則；

3)系統(tǒng)管理員分配超級(jí)權(quán)限，一般用戶則分配普通權(quán)限。

b)所有賬號(hào)注冊(cè)都必須通過申請(qǐng)才能開放。申請(qǐng)人提出權(quán)限申請(qǐng)，提交用戶權(quán)限審批和修改表（參

見表A.11）給（）部門審批，審批同意后才能開通相應(yīng)的權(quán)限。每個(gè)用戶必須被分配唯一

的賬號(hào)，賬號(hào)名不能透露用戶的權(quán)限信息，不允許共享賬號(hào)。

c)所有系統(tǒng)都應(yīng)該建立應(yīng)急賬號(hào)，應(yīng)急賬號(hào)數(shù)據(jù)必須放在密封的信封內(nèi)妥善收藏，并控制好信封

的存取。在使用后必須立刻修改，然后把新的密碼裝到信封里。

d)人員調(diào)職、離職時(shí)，亦需提交用戶權(quán)限審批和修改表（參見表A.11）給（）部門審批，該

員工的所有賬號(hào)必須在最后上班日之前注銷或修改。當(dāng)注銷賬號(hào)時(shí)，必須確保已取消其相關(guān)的

系統(tǒng)權(quán)限。

e)每3個(gè)月對(duì)重要系統(tǒng)特權(quán)用戶及權(quán)限進(jìn)行審計(jì)，每6個(gè)月對(duì)各系統(tǒng)的普通用戶及權(quán)限進(jìn)行審計(jì)，

重點(diǎn)關(guān)注權(quán)限與崗位是否匹配、權(quán)限的分配、變更、注銷記錄是否完整等。

f)每3個(gè)月提交權(quán)限變更匯總記錄，（）部門負(fù)責(zé)人對(duì)提交的數(shù)據(jù)進(jìn)行審核，對(duì)審查過程發(fā)

現(xiàn)的問題責(zé)成改進(jìn)。

12

GB/TXXXXX—XXXX

9.9.5安全教育培訓(xùn)

本項(xiàng)內(nèi)容包括：

a)各崗位人員必須清楚自己的安全職責(zé)，了解各自的工作職能范圍和責(zé)任義務(wù)。

b)制定培訓(xùn)計(jì)劃（參見表A.9），記錄培訓(xùn)內(nèi)容和培訓(xùn)結(jié)果（參見表A.10）以及參加培訓(xùn)人員，

在培訓(xùn)結(jié)束后把相關(guān)記錄材料整理歸檔。

c)根據(jù)各個(gè)崗位的業(yè)務(wù)應(yīng)用、安全意識(shí)和保密意識(shí)需求制定培訓(xùn)計(jì)劃，定期組織安全教育和培訓(xùn)。

d)各崗位人員要積極參與單位組織的內(nèi)、外部信息安全交流和培訓(xùn)，提升信息安全意識(shí)和專業(yè)水

平。

e)定期對(duì)各崗位人員進(jìn)行安全理論知識(shí)和安全技能水平的考察。

9.9.6第三方人員管理

本項(xiàng)內(nèi)容包括：

a)為加強(qiáng)與信息安全公司、產(chǎn)品供應(yīng)商、業(yè)界專家、安全組織的溝通與合作或應(yīng)急響應(yīng)，應(yīng)建立

詳細(xì)的外聯(lián)單位通訊聯(lián)系表（參見表A.19）。

b)第三方人員對(duì)敏感信息資產(chǎn)進(jìn)行訪問前，必須簽訂正式的合同及保密協(xié)議；在合同和保密協(xié)議

中明確第三方人員的安全責(zé)任、必須遵守的安全要求以及違反要求的處罰等條款，對(duì)其允許訪

問的區(qū)域、系統(tǒng)、設(shè)備、信息等內(nèi)容應(yīng)有明確的規(guī)定。

c)需要訪問信息系統(tǒng)的第三方人員必須得到有關(guān)部門和領(lǐng)導(dǎo)的許可、授權(quán)，其訪問權(quán)限必須得到

嚴(yán)格的限制。第三方人員使用的工具需經(jīng)過相關(guān)部門的安全檢查。

d)與第三方人員共同協(xié)定現(xiàn)場(chǎng)工作規(guī)范并按照既定規(guī)范實(shí)施管理、落實(shí)運(yùn)維人員或終端責(zé)任人全

程陪同的策略以降低風(fēng)險(xiǎn)。

e)在第三方人員進(jìn)行遠(yuǎn)程訪問之前，要嚴(yán)格鑒定訪問者的身份，確保訪問者為已授權(quán)人員。

f)負(fù)責(zé)第三方人員接待和管理的部門在第三方人員訪問結(jié)束之后，要及時(shí)收回相關(guān)物品、資料并

且終止其訪問權(quán)限。

g)負(fù)責(zé)接待第三方人員的工作人員須有相應(yīng)信息安全教育培訓(xùn)經(jīng)驗(yàn)，并且具備良好的安全意識(shí)和

風(fēng)險(xiǎn)識(shí)別能力。

h)應(yīng)選擇具有公安部門、保密部門、密碼管理部門資質(zhì)認(rèn)證的第三方公司進(jìn)行信息安全合作，保

障系統(tǒng)安全。

9.9.7附則

本項(xiàng)內(nèi)容包括：

a)本制度由（）部門負(fù)責(zé)解釋。

b)本制度自發(fā)布之日起生效執(zhí)行。

9.10信息資產(chǎn)和設(shè)備管理制度模板

9.10.1范圍和職責(zé)

本項(xiàng)內(nèi)容包括：

a)本制度適用于信息資產(chǎn)的管理，包括：獲取、分類、使用和處置以及安全設(shè)備的管理。

b)本制度中的信息資產(chǎn)是指可以存儲(chǔ)信息數(shù)據(jù)的信息載體，包括：硬件、軟件、數(shù)據(jù)（電子數(shù)據(jù)）、

文檔（紙質(zhì)文件）、人員、服務(wù)設(shè)施、其他。

c)（）部門主要負(fù)責(zé)信息資產(chǎn)的分類、匯總、使用與處置方法，以及安全設(shè)備的選型、檢測(cè)、

安裝、登記、使用、維護(hù)和儲(chǔ)存。

13

GB/TXXXX-XXXX

d)計(jì)算機(jī)資產(chǎn)統(tǒng)計(jì)信息的范圍包含但不限于：計(jì)算機(jī)主機(jī)名、IP地址、MAC地址、使用人/責(zé)任

人、所屬部門、物理位置、服務(wù)器的內(nèi)外網(wǎng)IP對(duì)應(yīng)等（參見表A.12，A.13）。

9.10.2信息資產(chǎn)的獲取

本項(xiàng)內(nèi)容包括：

a)軟件、硬件設(shè)施、服務(wù)性設(shè)施等的獲得主要以采購(gòu)的方式獲得，采購(gòu)按照有關(guān)規(guī)定進(jìn)行采購(gòu)和

驗(yàn)收。

b)數(shù)據(jù)信息資產(chǎn)的獲得來源主要為：外包供應(yīng)商、市場(chǎng)信息、其他信息。

9.10.3信息資產(chǎn)的分類

本項(xiàng)內(nèi)容包括：

a)各部門根據(jù)業(yè)務(wù)流程列出信息資產(chǎn)清單并將每項(xiàng)資產(chǎn)的資產(chǎn)類別、信息資產(chǎn)編號(hào)、資產(chǎn)現(xiàn)有編

號(hào)、資產(chǎn)名稱、所屬部門（組別）、管理者、使用者、地點(diǎn)等相關(guān)信息記錄在資產(chǎn)清單上。

b)資產(chǎn)的分類原則和編號(hào)原則如下：

1)硬件

(1)計(jì)算機(jī)設(shè)備：(臺(tái)式終端、移動(dòng)終端)、服務(wù)器；

(2)存儲(chǔ)設(shè)備：磁帶機(jī)、磁盤整列、磁帶、光盤、軟盤、移動(dòng)硬盤等；

(3)網(wǎng)絡(luò)設(shè)備：路由器、交換機(jī)、網(wǎng)關(guān)、程控交換機(jī)等；

(4)傳輸線路：光纖、雙絞線、電話線(布線)、電源線；

(5)安全設(shè)備：硬件防火墻、入侵檢測(cè)、網(wǎng)絡(luò)隔離設(shè)備（如網(wǎng)閘）、身份驗(yàn)證等；

(6)辦公設(shè)備：打印機(jī)、復(fù)印機(jī)、掃描儀、傳真機(jī)、碎紙機(jī)、寫字白板、應(yīng)急照明設(shè)備等；

(7)保障設(shè)備：動(dòng)力保障設(shè)備（UPS、變電設(shè)備）、空調(diào)、保險(xiǎn)柜、文件柜、門禁、消防

設(shè)施等；

(8)其他設(shè)備。

2)軟件

(1)如：操作系統(tǒng)、系統(tǒng)軟件（office/AutoCAD）、應(yīng)用軟件（生產(chǎn)軟件）、網(wǎng)管軟件、

殺毒軟件、財(cái)務(wù)軟件、開發(fā)工具和資源庫(kù)等；

3)電子數(shù)據(jù)

(1)存在電子媒介的各種數(shù)據(jù)資料。如：源代碼、數(shù)據(jù)庫(kù)數(shù)據(jù)、各種數(shù)據(jù)資料、系統(tǒng)文檔、

運(yùn)行管理規(guī)程、計(jì)劃、日周月報(bào)告、財(cái)務(wù)報(bào)告（電子版本）、用戶手冊(cè)、方案、電子

設(shè)計(jì)圖紙等；

4)紙質(zhì)文件

(1)紙質(zhì)的各種文件。如：傳真、電報(bào)、合同、紙張圖紙等；

5)服務(wù)性設(shè)施

(1)如：供電、供水、保潔、門禁、消防設(shè)施等；

6)人員

(1)如：各級(jí)領(lǐng)導(dǎo)、各級(jí)正式雇員、臨時(shí)雇員等；

7)其他。

c)按照信息資產(chǎn)的敏感程度，將信息資產(chǎn)化分為不同的保護(hù)等級(jí)，并對(duì)不同等級(jí)的信息資產(chǎn)進(jìn)行

保護(hù)，確保信息安全。各部門要將所有的移動(dòng)介質(zhì)和電子文件按照敏感性和重要程度分為不同

的保護(hù)等級(jí)，保密級(jí)別與保密期限由持有人自行定義。

d)識(shí)別各個(gè)流程的各類關(guān)鍵信息資產(chǎn)，最終（）部門匯總，并每半年進(jìn)行一次更新，確保重

要信息資產(chǎn)的完備性（重要信息資產(chǎn)沒有遺漏和缺失）和準(zhǔn)確性（信息資產(chǎn)的保密級(jí)別和重要

程度能夠真實(shí)反映信息資產(chǎn)的狀態(tài)）。

14

GB/TXXXXX—XXXX

e)對(duì)信息資產(chǎn)進(jìn)行編號(hào)，同時(shí)對(duì)重要信息資產(chǎn)進(jìn)行標(biāo)識(shí)：文檔需有固定版本編號(hào)規(guī)則；硬件設(shè)備

粘貼在設(shè)備明顯位置處。

9.10.4信息資產(chǎn)的使用和處置

9.10.4.1硬件資產(chǎn)

本項(xiàng)內(nèi)容包括：

a)硬件的使用處置包括購(gòu)買/接收、使用（交接、維修、重用）、處置等有關(guān)內(nèi)容。

b)購(gòu)買新的硬件設(shè)備或者從其他部門接收轉(zhuǎn)移的設(shè)備時(shí)，要核對(duì)設(shè)備清單，對(duì)相關(guān)設(shè)備進(jìn)行測(cè)試

驗(yàn)證，然后登記。由資產(chǎn)管理員對(duì)硬件設(shè)備進(jìn)行管理，明確設(shè)備管理職責(zé)。

c)硬件資產(chǎn)的保存

1)機(jī)房選址要避免在地下室、一樓（水淹和滲水）和頂層（滲水和失火時(shí)火向上燃燒），同

時(shí)考慮相鄰樓層的活動(dòng)（避免熱源和滲水）；

2)處理敏感數(shù)據(jù)的信息處理設(shè)施放在適當(dāng)安全的位置，以減少在設(shè)備在使用期間信息被窺視

的風(fēng)險(xiǎn)，保護(hù)儲(chǔ)存設(shè)施以防止未授權(quán)訪問；

3)設(shè)備的選址應(yīng)采取控制措施以減小潛在的物理威脅的風(fēng)險(xiǎn)，例如偷竊、火災(zāi)、爆炸、煙霧、

水（或供水故障）、溫度、濕度、塵埃、振動(dòng)、化學(xué)影響、電源干擾、通信干擾、電磁輻

射和故意破壞；

4)禁止在信息處理設(shè)施附近進(jìn)食、喝飲料和抽煙；

5)對(duì)專門保護(hù)的部件要予以隔離，以滿足特殊安全要求；

d)硬件資產(chǎn)的日常使用安全

1)所有的硬件資產(chǎn)必須明確設(shè)備的使用人員/管理人員，明確職責(zé)；

2)硬件資產(chǎn)的使用人（或管理人），在使用或管理硬件資產(chǎn)時(shí)，要注意硬件資產(chǎn)的安全性、

機(jī)密性、完整性，防止信息載體的毀壞和信息的泄密，防止信息處理設(shè)施的濫用；

3)對(duì)設(shè)備定期進(jìn)行維護(hù)保養(yǎng)，發(fā)生毀壞，丟失等問題時(shí)能夠及時(shí)處置；

4)新硬件設(shè)備接入網(wǎng)絡(luò)按照相關(guān)規(guī)定處理；

5)在人員上崗時(shí)，可根據(jù)需要為上崗人員配備必要的辦公設(shè)備，包括電腦（移動(dòng)終端或臺(tái)式

終端），電話機(jī)，其它辦公用品；（）部門根據(jù)該工作人員所處部門、工作性質(zhì)為其

設(shè)置相應(yīng)的辦公網(wǎng)訪問權(quán)限；

6)需要使用移動(dòng)計(jì)算設(shè)備（包括移動(dòng)終端、無線網(wǎng)卡、移動(dòng)硬盤和U盤）的用戶，應(yīng)得到（）

部門負(fù)責(zé)人的同意后方可使用；

7)對(duì)于無人職守的設(shè)備，要明確管理人員，加強(qiáng)物理安全控制。

e)硬件資產(chǎn)的轉(zhuǎn)移安全

1)當(dāng)設(shè)備遷移時(shí)，必須先對(duì)設(shè)備中存儲(chǔ)的重要信息進(jìn)行備份；

2)設(shè)備遷移完成后，必須檢查設(shè)備是否損壞；

3)設(shè)備遷移出本單位時(shí)，設(shè)備中禁止存放重要信息，以防止機(jī)密信息泄露或泄露的風(fēng)險(xiǎn)增加。

f)辦公地點(diǎn)外使用任何信息處理設(shè)備必須通過管理者授權(quán)。場(chǎng)外設(shè)備的保護(hù)要考慮下列內(nèi)容：

1)離開本單位的設(shè)備和介質(zhì)（如現(xiàn)場(chǎng)的設(shè)備和介質(zhì)），必須有人值守或委派負(fù)責(zé)人(或者公

共場(chǎng)所放置的需要有人值守或監(jiān)視系統(tǒng))；

2)制造商保護(hù)設(shè)備用的說明書要始終加以遵守，例如，防止暴露于強(qiáng)電磁場(chǎng)內(nèi)；

3)根據(jù)風(fēng)險(xiǎn)的不同采取足夠的安全保障措施，以保護(hù)離開辦公室設(shè)備的安全。

g)硬件資產(chǎn)的處置和重用

1)存儲(chǔ)設(shè)備銷毀前，必須確保所有存儲(chǔ)的敏感數(shù)據(jù)或授權(quán)軟件已經(jīng)被移除或安全重寫；

2)服務(wù)器、主要網(wǎng)絡(luò)設(shè)備的處置由（）部門進(jìn)行安全處置；

3)臺(tái)式終端、打印機(jī)、傳真機(jī)、掃描儀等IT設(shè)備的處置由（）部門進(jìn)行并做登記；

15

GB/TXXXX-XXXX

4)如需報(bào)廢時(shí)，應(yīng)向主管部門提出報(bào)廢申請(qǐng)，經(jīng)批準(zhǔn)后報(bào)廢。

9.10.4.2軟件資產(chǎn)

本項(xiàng)內(nèi)容包括：

a)軟件資產(chǎn)的使用

1)所有的軟件資產(chǎn)必須設(shè)置專人管理，明確職責(zé)，避免軟件資產(chǎn)的丟失，泄密；

2)所有正版軟件實(shí)體由（）部門保管，在安裝軟件時(shí)要規(guī)定使用權(quán)限，防止非授權(quán)訪問；

3)按照《系統(tǒng)運(yùn)行維護(hù)管理制度》中“備份與恢復(fù)管理”章節(jié)要求，對(duì)重要系統(tǒng)進(jìn)行備份；

4)當(dāng)人員離職或崗位變動(dòng)，需要回收有關(guān)的軟件，必要時(shí)，由（）部門技術(shù)人員對(duì)離職

人員使用的軟件進(jìn)行卸載，刪除。

b)軟件資產(chǎn)的處置：對(duì)過時(shí)或確認(rèn)無效的軟件資產(chǎn)，定期進(jìn)行清除。

9.10.4.3電子數(shù)據(jù)

本項(xiàng)內(nèi)容包括：

a)對(duì)所有電子數(shù)據(jù)進(jìn)行分類/分級(jí)，標(biāo)識(shí)未授權(quán)人員的訪問限制，不同安全級(jí)別的數(shù)據(jù)應(yīng)存儲(chǔ)在

不同的區(qū)域，按類按級(jí)傳達(dá)，便于信息的安全管理；

b)不同類型的電子文件按照統(tǒng)一規(guī)律存放在個(gè)人電腦或服務(wù)器中，便于整理和查閱以及工作交接

時(shí)轉(zhuǎn)移；

c)重要的電子數(shù)據(jù)要使用可靠的加密手段進(jìn)行保護(hù)；

d)所有電子文件保存在電腦或服務(wù)器中，應(yīng)根據(jù)業(yè)務(wù)實(shí)際需要選擇不同的備份頻率（周/月/季/

年）定期進(jìn)行備份并保證備份數(shù)據(jù)的完整性和可用性；

e)備份數(shù)據(jù)與原始數(shù)據(jù)分開存放，嚴(yán)禁直接在同一主機(jī)或服務(wù)器上保存，應(yīng)存放在外部帶鎖的文

件柜或保密柜中；

f)對(duì)于存于服務(wù)器上的電子數(shù)據(jù)的訪問，根據(jù)服務(wù)器提供服務(wù)的不同與部門／職務(wù)的不同，設(shè)置

不同的訪問權(quán)限，避免非授權(quán)訪問；

g)對(duì)于內(nèi)部公開級(jí)別的電子信息，其使用要控制在內(nèi)部，禁止帶出；

h)對(duì)于密件的處理應(yīng)經(jīng)過嚴(yán)格授權(quán)；

i)對(duì)于秘密級(jí)別以上的電子文件的使用，系統(tǒng)應(yīng)進(jìn)行審計(jì)；

j)對(duì)于秘密級(jí)別以上的電子文件的傳輸，必須采取適當(dāng)?shù)陌踩胧┘右员Ｗo(hù)，如加密傳輸、分散

傳輸?shù)龋?/p>

k)在整理電腦中的電子數(shù)據(jù)時(shí)，要小心操作，確認(rèn)后再進(jìn)行處理，避免由于誤操作將有用的電子

數(shù)據(jù)刪除。

9.10.4.4紙質(zhì)文檔

本項(xiàng)內(nèi)容包括：

a)所有的秘密級(jí)以上的紙質(zhì)文件資料要（通過標(biāo)簽或其它方式）標(biāo)識(shí)出資產(chǎn)的保密級(jí)別，分類存

放，不同安全級(jí)別的紙質(zhì)文件應(yīng)按類按級(jí)傳達(dá)，便于紙質(zhì)文件的安全管理；

b)對(duì)于比較重要的紙質(zhì)文件（機(jī)密級(jí)別以上）必須保存在帶鎖的文件柜或保險(xiǎn)柜中，鑰匙由專人

保管；

c)對(duì)于紙質(zhì)文件的保存期限依據(jù)實(shí)際要求制定和實(shí)施；

d)對(duì)于比較重要的紙質(zhì)文件的使用過程，必須注意信息的保密，確保信息的完整性和可用性；

e)對(duì)于比較重要的紙質(zhì)文件的傳輸，必須采取適當(dāng)?shù)陌踩胧┘右员Ｗo(hù)，如專人遞送、分散傳輸

等；

16

GB/TXXXXX—XXXX

f)實(shí)體數(shù)據(jù)資料達(dá)到保存期限后，必須將其撕毀或者粉碎到讀不出來為止，避免實(shí)體數(shù)據(jù)資料的

泄密；

g)對(duì)于重要紙質(zhì)文件的銷毀，如財(cái)務(wù)紙質(zhì)文件，要求兩人以上在場(chǎng)，防止信息的泄密。

9.10.4.5服務(wù)性資產(chǎn)

本項(xiàng)內(nèi)容包括：

a)所有服務(wù)性資產(chǎn)要設(shè)置專人管理，定期維護(hù)，避免損壞、非授權(quán)使用或丟失。涉及服務(wù)性的合

同，相關(guān)管理部門在簽署合同時(shí)，應(yīng)審核涉及信息保密的相關(guān)條款。

b)當(dāng)服務(wù)性設(shè)施損壞，如果可以維修，由負(fù)責(zé)人聯(lián)絡(luò)相關(guān)人員進(jìn)行維修，如果涉及到第三方，依

據(jù)《用戶管理制度》對(duì)第三方進(jìn)行管理。

c)當(dāng)服務(wù)性設(shè)施損壞，不可維修，只能報(bào)廢時(shí)，應(yīng)聯(lián)絡(luò)相關(guān)管理部門提出報(bào)廢申請(qǐng)。

9.10.5設(shè)備管理

本項(xiàng)內(nèi)容包括：

a)嚴(yán)禁采購(gòu)和使用未獲得銷售許可證的設(shè)備。

b)應(yīng)優(yōu)先采用我國(guó)自主開發(fā)研制的信息安全技術(shù)和設(shè)備。

c)避免采用境外的密碼設(shè)備。

d)如需采用境外信息安全產(chǎn)品時(shí)，必須確保產(chǎn)品獲得我國(guó)權(quán)威機(jī)構(gòu)的認(rèn)證檢測(cè)和銷售許可證。

e)應(yīng)使用經(jīng)國(guó)家密碼管理部門批準(zhǔn)和認(rèn)可的國(guó)內(nèi)密碼技術(shù)及相關(guān)產(chǎn)品。

f)終端物理隔離必須使用經(jīng)國(guó)家保密部門認(rèn)可的隔離卡或其他方式。

g)購(gòu)回的設(shè)備均須在測(cè)試環(huán)境下經(jīng)過連續(xù)72小時(shí)以上的單機(jī)運(yùn)行測(cè)試和聯(lián)機(jī)48小時(shí)的應(yīng)用系統(tǒng)

兼容性運(yùn)行測(cè)試。

h)主機(jī)、服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等上架運(yùn)行前必須經(jīng)過安全測(cè)試和加固。

i)通過安全測(cè)試和加固的設(shè)備才能接入生產(chǎn)系統(tǒng)，正式運(yùn)行。

j)對(duì)所有設(shè)備均應(yīng)建立嚴(yán)格完整的購(gòu)置、移交、使用、維修和報(bào)廢等記錄，認(rèn)真做好資產(chǎn)登記和

管理工作，保證設(shè)備管理的正規(guī)化。

k)每臺(tái)設(shè)備的使用均應(yīng)指定專人負(fù)責(zé)并建立詳細(xì)的運(yùn)行日志。

l)由責(zé)任人負(fù)責(zé)進(jìn)行設(shè)備的定期保養(yǎng)維護(hù)，做好維護(hù)記錄，保證設(shè)備處于最佳狀態(tài)。

m)一旦設(shè)備出現(xiàn)故障，管理員如實(shí)填寫故障報(bào)告，通知有關(guān)人員處理。

n)設(shè)備由專人負(fù)責(zé)維修，并建立滿足正常運(yùn)行最低要求的易損件備件庫(kù)。

o)根據(jù)每臺(tái)設(shè)備的使用情況及系統(tǒng)的可靠性等級(jí)，制定預(yù)防性維修計(jì)劃。

p)對(duì)系統(tǒng)進(jìn)行維修時(shí)必須采取數(shù)據(jù)保護(hù)措施，安全設(shè)備維修時(shí)應(yīng)有安全管理員在場(chǎng)。

q)對(duì)設(shè)備進(jìn)行維修時(shí)必須記錄維修對(duì)象、故障原因、排除方法、主要維修過程及維修有關(guān)情況等。

r)對(duì)設(shè)備應(yīng)規(guī)定折舊期，設(shè)備到了規(guī)定使用年限或因嚴(yán)重故障不能恢復(fù)，由專業(yè)技術(shù)人員對(duì)設(shè)備

進(jìn)行鑒定和殘值估價(jià)，并對(duì)設(shè)備情況進(jìn)行詳細(xì)登記，提出報(bào)告書和處理意見，由主管領(lǐng)導(dǎo)或上

級(jí)主管部門批準(zhǔn)后方能進(jìn)行報(bào)廢處理。

s)設(shè)備儲(chǔ)存環(huán)境應(yīng)符合出廠標(biāo)稱要求。

t)建立詳細(xì)的設(shè)備進(jìn)出庫(kù)、領(lǐng)用和報(bào)廢臺(tái)帳。

u)安全產(chǎn)品及保密設(shè)備應(yīng)造冊(cè)登記（參見表A.14）并單獨(dú)存放，并采取相應(yīng)的保護(hù)措施。

9.10.6附則

本項(xiàng)內(nèi)容包括：

a)本制度由（）部門負(fù)責(zé)解釋。

b)本制度自發(fā)布之日起生效執(zhí)行。

17

GB/TXXXX-XXXX

9.11信息系統(tǒng)安全審計(jì)管理制度模板

9.11.1工作職責(zé)

本項(xiàng)內(nèi)容包括：

a)評(píng)審員的職責(zé)是：

1)制定信息安全審計(jì)的范圍和日程；

2)管理具體的審計(jì)過程；

3)分析審計(jì)結(jié)果并提出對(duì)信息安全管理體系的改進(jìn)意見；

4)召開審計(jì)啟動(dòng)會(huì)議和審計(jì)總結(jié)會(huì)議；

5)向主管領(lǐng)導(dǎo)匯報(bào)審計(jì)的結(jié)果及建議；

6)為相關(guān)人員提供審計(jì)培訓(xùn)。

b)評(píng)審員由審計(jì)負(fù)責(zé)人指派，協(xié)助主評(píng)審員進(jìn)行評(píng)審，其職責(zé)是：

1)準(zhǔn)備審計(jì)清單；

2)實(shí)施審計(jì)過程；

3)完成審計(jì)報(bào)告；

4)提交糾正和預(yù)防措施建議；

5)審查糾正和預(yù)防措施的執(zhí)行情況。

c)受審員來自相關(guān)部門，其職責(zé)是：

1)配合評(píng)審員的審計(jì)工作；