《等級(jí)保護(hù)管理制度匯編》

XXX公司

信息安全管理制度匯編

年月

2

一、信息安全工作方針策略

（一）信息安全方針

全員參與明確責(zé)任

預(yù)防為主快速響應(yīng)

風(fēng)險(xiǎn)管控持續(xù)改進(jìn)

具體闡述如下：

I.在浙江省XX局信息安全領(lǐng)導(dǎo)小組的領(lǐng)導(dǎo)下，全面貫徹省安局關(guān)于信息

安全工作的相關(guān)指導(dǎo)性文件精神，建立可持續(xù)改進(jìn)的信息安全管理體

系。

2.全員參與信息安全管理體系建設(shè)，落實(shí)信息安全管理責(zé)任制，建立和完

善各項(xiàng)信息安全管理制度，使得信息安全管理有章可循。

3.通過定期地信息安全宣傳、教育與培訓(xùn)，不斷提高浙江省XX局所有工

作人員的信息安全意識(shí)及能力。

4.推行預(yù)防為主的信息安全積極防御理念，同時(shí)對(duì)所發(fā)生的信息安全事件

進(jìn)行快速、有序地響應(yīng)。

5.貫徹風(fēng)險(xiǎn)管理的理念，定期對(duì)各信息系統(tǒng)進(jìn)行全面安全檢查，將信息安

全風(fēng)險(xiǎn)控制在可接受的水平。

6.在浙江省XX局信息安全領(lǐng)導(dǎo)小組的領(lǐng)導(dǎo)下，持續(xù)改進(jìn)浙江省XX局信息

安全各項(xiàng)工作，保障浙江省XX局信息系統(tǒng)安全暢通與可控，保障所開

發(fā)和維護(hù)信息系統(tǒng)的安全穩(wěn)定，為各工作人員及系統(tǒng)應(yīng)用場(chǎng)所提供安全

可靠的信息化服務(wù)。

（二）信息安全策略

I.建立浙江省XX局信息安全管理組織機(jī)構(gòu)，明確安全主管、安全管理負(fù)

責(zé)人、網(wǎng)絡(luò)管理員、系統(tǒng)管理員、安全管理員等安全管理相關(guān)崗位及職

責(zé)，建立健全信息安全管理責(zé)任制，使得信息安全各項(xiàng)職責(zé)落實(shí)到人。

3

10.在浙江省XX局內(nèi)外網(wǎng)上統(tǒng)一部署網(wǎng)絡(luò)防惡意代碼軟件，并進(jìn)行惡意

代碼庫的統(tǒng)一更新，防范惡意代碼，木馬等惡意代碼對(duì)浙江省XX局信

息系統(tǒng)的影響。通過強(qiáng)化惡意代碼防范的管理措施，如加強(qiáng)介質(zhì)管理，

嚴(yán)禁擅自安裝軟件，加強(qiáng)人員安全意識(shí)教育，定期進(jìn)行惡意代碼檢測(cè)等,

提高浙江省XX局信息系統(tǒng)對(duì)惡意代碼的防范能力。

11.對(duì)浙江省XX局各重要的信息和信息系統(tǒng)進(jìn)行備份，并對(duì)備份介質(zhì)進(jìn)

行安全地保存，以及對(duì)備份數(shù)據(jù)定期進(jìn)行備份測(cè)試驗(yàn)證，保證各種備份

信息的保密性、完整性和可用性，確保所有重要信息系統(tǒng)和重要數(shù)據(jù)在

故障、災(zāi)難后及其它特定要求下進(jìn)行可靠的恢復(fù)。

12.采用技術(shù)和管理兩方面的控制措施，加強(qiáng)對(duì)浙江省XX局內(nèi)外網(wǎng)的安

全控制，不斷提高網(wǎng)絡(luò)的安全性和穩(wěn)定性。浙江省XX局內(nèi)網(wǎng)與互聯(lián)網(wǎng)

進(jìn)行物理隔離。通過實(shí)施網(wǎng)絡(luò)訪問控制等技術(shù)防范措施，對(duì)接入內(nèi)網(wǎng)的

進(jìn)行嚴(yán)格審批，加強(qiáng)安全管理，加強(qiáng)對(duì)浙江省XX局各科室網(wǎng)絡(luò)使用的

安全培訓(xùn)和教育，確保浙江省XX局網(wǎng)絡(luò)的安全。

13.加強(qiáng)信息安全日常管理，包括系統(tǒng)口令管理、無人值守設(shè)備管理、

等，促使每位人員的日常工作符合浙江省XX局信息安全策略和制度要

求。

14.按照“僅知”原則，通過功能和技術(shù)配置，對(duì)重要信息系統(tǒng)、數(shù)據(jù)

等實(shí)施訪問控制。對(duì)系統(tǒng)特殊權(quán)限和系統(tǒng)實(shí)用工具的使用進(jìn)行嚴(yán)格的審

批和監(jiān)管。

15.進(jìn)一步重視軟件開發(fā)安全。在浙江省XX局各信息系統(tǒng)立項(xiàng)和審批過

程中，同步考慮信息安全需求和目標(biāo)。應(yīng)保證系統(tǒng)設(shè)計(jì)、開發(fā)過程的安

全，重點(diǎn)加強(qiáng)對(duì)軟件代碼安全性的管理。屬于外包軟件開發(fā)的，應(yīng)與服

務(wù)提供商簽署保密協(xié)議。系統(tǒng)開發(fā)完成后，應(yīng)要求通過第三方安全機(jī)構(gòu)

對(duì)軟件安全性的測(cè)評(píng)。

16.在符合國家密碼管理相關(guān)規(guī)定的條件下，合理使用密碼技術(shù)和密碼

設(shè)備，嚴(yán)格密鑰生成、分發(fā)、保存等方面的安全管理，保障密碼技術(shù)使

用的安全性。

5

17.重視對(duì)IT服務(wù)連續(xù)性的管理，建立對(duì)各類信息安全事件的預(yù)防、預(yù)

警、響應(yīng)、處置，恢復(fù)機(jī)制，編寫針對(duì)浙江省XX局內(nèi)外網(wǎng)重要系統(tǒng)的

應(yīng)急預(yù)案，并定期進(jìn)行測(cè)試和演練，在信息系統(tǒng)發(fā)生故障或事故時(shí)，能

迅速、有序地進(jìn)行應(yīng)急處置，最大限度地降低因信息系統(tǒng)突發(fā)事件或意

外災(zāi)害給浙江省XX局信息系統(tǒng)所帶來的影響。

（三）信息安全組織機(jī)構(gòu)

為明確浙江省XX局信息安全管理組織機(jī)構(gòu)、角色、職責(zé)等，促進(jìn)浙江省XX

局信息系統(tǒng)安全管理的組織建設(shè)，指導(dǎo)浙江省XX局信息安全工作的開展，落實(shí)

信息安全管理責(zé)任制，特成立信息安全領(lǐng)導(dǎo)小組全面負(fù)責(zé)單位信息安全工作，同

時(shí)下設(shè)信息安全領(lǐng)導(dǎo)小組具體負(fù)責(zé)信息安全工作的實(shí)施。

信息安全領(lǐng)導(dǎo)小組成員：

安全主管：分管領(lǐng)導(dǎo)

安全管理員：系統(tǒng)運(yùn)維部門負(fù)責(zé)人

成員：網(wǎng)絡(luò)管理員、系統(tǒng)管理員、機(jī)房管理員等

信息安全領(lǐng)導(dǎo)小組職責(zé)：

1.貫徹國家信息安全方面工作的方針政策，審定浙江省XX局信息系統(tǒng)安全

建設(shè)規(guī)劃。

2.對(duì)信息系統(tǒng)安全工作的重大事項(xiàng)做出決策。

3.研究審定浙江省XX局信息系統(tǒng)安全建設(shè)和管理工作中的制度、標(biāo)準(zhǔn)及相

關(guān)政策，并協(xié)調(diào)相關(guān)部門監(jiān)督制度、政策的實(shí)施情況。

4.組織、協(xié)調(diào)和指導(dǎo)信息安全的宣傳、普及教育工作。

組長（安全主管）職責(zé)：

1.負(fù)責(zé)貫徹落實(shí)信息安全領(lǐng)導(dǎo)小組關(guān)于信息系統(tǒng)安全工作的要求和規(guī)定。

2.根據(jù)信息化建設(shè)的總體目標(biāo)，負(fù)責(zé)信息系統(tǒng)的安全管理體系，包括：制

度建設(shè)、技術(shù)保障和操作規(guī)范等各方面的逐步建成。

3.組織制訂和貫徹信息系統(tǒng)運(yùn)行安全保障和維護(hù)工作制度。

4.負(fù)責(zé)落實(shí)信息安全領(lǐng)導(dǎo)小組部署的各項(xiàng)工作。

安全管理員職責(zé)：

1.負(fù)責(zé)安全制度的貫徹執(zhí)行。

6

2.負(fù)責(zé)制訂信息系統(tǒng)安全規(guī)劃，并在實(shí)施過程中逐步完善。

3.負(fù)責(zé)制定安全設(shè)備或系統(tǒng)的相關(guān)資產(chǎn)清單。內(nèi)容包括資產(chǎn)管理的責(zé)任部門,

信息分類和資產(chǎn)標(biāo)識(shí)的方法和資產(chǎn)名稱、重要程度、所處位置等。

4.負(fù)責(zé)規(guī)范安全設(shè)備或系統(tǒng)管理流程，建立管理臺(tái)帳，明確資產(chǎn)所有者、使

用者與維護(hù)者，對(duì)安全設(shè)備或系統(tǒng)進(jìn)行標(biāo)記，實(shí)現(xiàn)對(duì)機(jī)房資產(chǎn)購買、使用、

變更、報(bào)廢整個(gè)周期的安全管理。

5.負(fù)責(zé)制定安全設(shè)備或系統(tǒng)的文檔化的操作和維護(hù)規(guī)程，使得相關(guān)人員能夠

采用規(guī)范化的形式對(duì)系統(tǒng)進(jìn)行操作，降低和避免因誤操作所引發(fā)信息安全

事件的可能性。

6.負(fù)責(zé)對(duì)安全設(shè)備或系統(tǒng)運(yùn)行維護(hù)管理，對(duì)安全設(shè)備或系統(tǒng)運(yùn)轉(zhuǎn)情況進(jìn)行定

期巡檢、維護(hù)、故障處理和變更管理。負(fù)責(zé)組織實(shí)施安全設(shè)備或系統(tǒng)各類

事故（故障）的應(yīng)急處理。

7.每年進(jìn)行風(fēng)險(xiǎn)評(píng)估，根據(jù)評(píng)估結(jié)果會(huì)同其他負(fù)責(zé)人進(jìn)行風(fēng)險(xiǎn)處置。

8.負(fù)責(zé)協(xié)助領(lǐng)導(dǎo)安排安全培訓(xùn)，負(fù)責(zé)協(xié)助負(fù)責(zé)制定每年安全教育計(jì)劃，加強(qiáng)

業(yè)務(wù)信息系統(tǒng)的安全教育，通過各種方式進(jìn)行宣傳和培訓(xùn)，提高全系統(tǒng)安

全防范意識(shí)。

9.負(fù)責(zé)制定安全檢查計(jì)劃，至少每季度檢查一次。包括檢查職責(zé)、檢查周期、

檢查范圍、檢查內(nèi)容、檢查報(bào)告的編制、檢查整改、檢查通報(bào)等內(nèi)容。對(duì)

業(yè)務(wù)信息系統(tǒng)安全檢查并進(jìn)行情況通報(bào)。對(duì)記錄進(jìn)行收集、整理、歸檔。

10.當(dāng)出現(xiàn)安全事件時(shí)，負(fù)責(zé)對(duì)發(fā)生的安全事件及時(shí)上報(bào)，并配合相關(guān)的調(diào)查

和糾正工作。

11.當(dāng)業(yè)務(wù)信息系統(tǒng)運(yùn)行發(fā)生重大問題時(shí)，協(xié)助相關(guān)部門正確判斷原因，根據(jù)

指令立即采取安全措施啟動(dòng)相關(guān)處理程序。

12.負(fù)責(zé)與外部安全機(jī)構(gòu)的協(xié)調(diào)聯(lián)系，在發(fā)生重大安全事件時(shí)以協(xié)調(diào)獲取外部

安全機(jī)構(gòu)的支持。

13.負(fù)責(zé)對(duì)介質(zhì)的管理。對(duì)介質(zhì)的歸檔、查詢和借用進(jìn)行記錄，對(duì)介質(zhì)進(jìn)行定

期盤點(diǎn)并記錄，對(duì)故障介質(zhì)的進(jìn)行送修和銷毀并記錄，對(duì)于保密性高的介

質(zhì)銷毀需要巾報(bào)領(lǐng)導(dǎo)批準(zhǔn)，并進(jìn)行記錄。對(duì)介質(zhì)物理傳輸?shù)慕唤舆M(jìn)行記錄。

14.負(fù)責(zé)對(duì)各種記錄文檔、表單，半年一次進(jìn)行匯總，并對(duì)制度開展情況向浙

7

江省XX局信息安全領(lǐng)導(dǎo)小組領(lǐng)導(dǎo)進(jìn)行匯報(bào)。

15.加強(qiáng)對(duì)信息系統(tǒng)外包業(yè)務(wù)與外包方的管理，在與信息系統(tǒng)外包方簽署的服

務(wù)協(xié)議中，對(duì)信息系統(tǒng)安全加以要求。通過審批、訪問控制、監(jiān)控、簽署

保密協(xié)議等措施，加強(qiáng)外部方訪問浙江省XX局信息系統(tǒng)的管理，防止外部

方危害信息系統(tǒng)安全。

16.重視對(duì)IT服務(wù)連續(xù)性的管理，建立對(duì)各類信息安全事件的預(yù)防、預(yù)警、響

應(yīng)、處置、恢復(fù)機(jī)制，編寫針對(duì)浙江省XX局網(wǎng)站等重要業(yè)務(wù)系統(tǒng)的應(yīng)急預(yù)

案，并定期進(jìn)行測(cè)試和演練，在業(yè)務(wù)信息系統(tǒng)發(fā)生故障或事故時(shí)，能迅速、

有序地進(jìn)行應(yīng)急處置，最大限度地降低因信息系統(tǒng)突發(fā)事件或意外災(zāi)害給

浙江省XX局業(yè)務(wù)信息系統(tǒng)所帶來的影響。

17.在符合國家密碼管理相關(guān)規(guī)定的條件下，合理使用密碼技術(shù)和密碼設(shè)備，

嚴(yán)格密鑰生成、分發(fā)、保存等方面的安全管理，保障密碼技術(shù)使用的安全

性。

機(jī)房管理員

1.負(fù)責(zé)保障機(jī)房物理與環(huán)境的安全建設(shè)管理，對(duì)實(shí)施方責(zé)任、時(shí)間進(jìn)度、任

務(wù)要求、質(zhì)量控制等進(jìn)行監(jiān)督管理。

2.負(fù)責(zé)制定機(jī)房基礎(chǔ)設(shè)施的相關(guān)資產(chǎn)清單。內(nèi)容包括資產(chǎn)管理的責(zé)任部門、

信息分類和資產(chǎn)標(biāo)識(shí)的方法和資產(chǎn)名稱、重要程度、所處位置等。

3.規(guī)范機(jī)房資產(chǎn)（包括機(jī)房物理與環(huán)境等）管理流程，建立機(jī)房資產(chǎn)管理臺(tái)

帳，明確資產(chǎn)所有者、使用者與維護(hù)者，對(duì)所有機(jī)房資產(chǎn)進(jìn)行標(biāo)記，實(shí)現(xiàn)

對(duì)機(jī)房資產(chǎn)購買、使用、變更、報(bào)廢整個(gè)周期的安全管理。

4.負(fù)責(zé)制定重要基礎(chǔ)設(shè)施等的文檔化的操作和維護(hù)規(guī)程，使得相關(guān)人員能夠

采用規(guī)范化的形式對(duì)系統(tǒng)進(jìn)行操作，降低和避免因誤操作所引發(fā)信息安全

事件的可能性。

5.負(fù)責(zé)保障機(jī)房物理與環(huán)境安全。實(shí)施包括門禁、視頻監(jiān)控、報(bào)警等安全防

范措施，確保機(jī)房物理安全。部署機(jī)房專用空調(diào)、UPS等環(huán)境保障設(shè)施，對(duì)

機(jī)房設(shè)施運(yùn)轉(zhuǎn)情況進(jìn)行定期巡檢、維護(hù)、故障處理和變更管理。嚴(yán)格對(duì)機(jī)

房人員和設(shè)備的出入管理，進(jìn)出需登記，外來人員需由相關(guān)管理人員陪同

方能訪問機(jī)房。

6.在機(jī)房基礎(chǔ)設(shè)施變更、重要操作、物理訪問等的進(jìn)行逐級(jí)審批，負(fù)責(zé)日常

8

審批，重大變更上報(bào)到信息安全領(lǐng)導(dǎo)小組。

7.負(fù)責(zé)組織實(shí)施機(jī)房基礎(chǔ)設(shè)施各類事故（故障）的應(yīng)急處理。

網(wǎng)絡(luò)管理員

1.負(fù)責(zé)保障網(wǎng)絡(luò)安全建設(shè)管理，對(duì)實(shí)施方責(zé)任、時(shí)間進(jìn)度、任務(wù)要求、質(zhì)

量控制等進(jìn)行監(jiān)督管理。

2.規(guī)范網(wǎng)絡(luò)管理流程，建立網(wǎng)絡(luò)相關(guān)資產(chǎn)管理臺(tái)帳，明確資產(chǎn)所有者、使

用者與維護(hù)者，對(duì)所有信息資產(chǎn)進(jìn)行標(biāo)記，實(shí)現(xiàn)對(duì)信息資產(chǎn)購買、使用、

變更、報(bào)廢整個(gè)周期的安全管理。

3.采用技術(shù)和管理兩方面的控制措施，加強(qiáng)對(duì)浙江省XX局內(nèi)外網(wǎng)的安全控

制，不斷提高網(wǎng)絡(luò)的安全性和穩(wěn)定性。通過實(shí)施網(wǎng)絡(luò)訪問控制等技術(shù)防

范措施，對(duì)接入進(jìn)行聯(lián)格審批并登記，加強(qiáng)使用安全管理，加強(qiáng)對(duì)浙江

省XX局各部門網(wǎng)絡(luò)使用的安全培訓(xùn)和教育，確保浙江省XX局內(nèi)外網(wǎng)的

安全。

4.對(duì)重要網(wǎng)絡(luò)設(shè)備應(yīng)有文檔化的操作和維護(hù)規(guī)程，使得各個(gè)相關(guān)人員能夠

采用規(guī)范化的形式對(duì)系統(tǒng)進(jìn)行操作，降低和避免因誤操作所引發(fā)信息安

全事件的可能性。

5.負(fù)責(zé)保障網(wǎng)絡(luò)安全。協(xié)助安全管理員部署網(wǎng)絡(luò)安全產(chǎn)品，確保網(wǎng)絡(luò)安全。

對(duì)網(wǎng)絡(luò)設(shè)備設(shè)施運(yùn)轉(zhuǎn)情況進(jìn)行定期巡檢、維護(hù)、故障處理和變更管理。

6.在網(wǎng)絡(luò)系統(tǒng)變更、重要操作、訪問等的進(jìn)行逐級(jí)審批，負(fù)責(zé)日常審批，重

大變更上報(bào)到信息安全領(lǐng)導(dǎo)小組。

7.負(fù)責(zé)組織實(shí)施網(wǎng)絡(luò)各類事故（故障）的應(yīng)急處理。

系統(tǒng)管理員

1.負(fù)責(zé)保障主機(jī)（包括服務(wù)器設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、數(shù)據(jù)備份）

安全建設(shè)管理，對(duì)實(shí)施方責(zé)任、時(shí)間進(jìn)度、任務(wù)要求、質(zhì)量控制等進(jìn)行

監(jiān)督管理。

2.對(duì)重要的信息和信息系統(tǒng)進(jìn)行備份，并對(duì)備份介質(zhì)進(jìn)行安全地保存，以

及對(duì)備份數(shù)據(jù)定期進(jìn)行備份測(cè)試驗(yàn)證，保證各種備份信息的保密性、完

整性和可用性，確保所有重要信息系統(tǒng)和重要數(shù)據(jù)在故障、災(zāi)難后及其

它特定要求下進(jìn)行可靠的恢復(fù)。

9

3.在網(wǎng)絡(luò)上統(tǒng)一部署防惡意代碼軟件，并進(jìn)行惡意代碼庫的統(tǒng)一更新，防

范惡意代碼、木馬等惡意代碼對(duì)浙江省XX局信息系統(tǒng)的影響。通過強(qiáng)

化惡意代碼防范的管理措施，如加強(qiáng)主機(jī)管理，嚴(yán)禁擅自安裝軟件，定

期進(jìn)行惡意代碼檢測(cè)等，提高浙江省XX局信息系統(tǒng)對(duì)惡意代碼的防范

能力。負(fù)責(zé)全系統(tǒng)的計(jì)算機(jī)惡意代碼防治和主機(jī)安全的管理工作，制定檢

查計(jì)劃（包含在主機(jī)巡檢工作中），督促檢查工作。

4.加強(qiáng)信息安全日常管理，包括系統(tǒng)口令管理、無人值守設(shè)備管理等，促

使每位人員的日常工作符合浙江省XX局信息安全策略和制度要求。

5.規(guī)范主機(jī)（包括服務(wù)器設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、數(shù)據(jù)備份）資產(chǎn)

管理流程，建立主機(jī)相關(guān)資產(chǎn)管理臺(tái)帳，明確資產(chǎn)所有者、使用者與維

護(hù)者，對(duì)所有信息資產(chǎn)進(jìn)行標(biāo)記，實(shí)現(xiàn)對(duì)主機(jī)相關(guān)資產(chǎn)購買、使用、變

更、報(bào)廢整個(gè)周期的安全管理。

6.在主機(jī)系統(tǒng)變更、重要操作、訪問等的進(jìn)行逐級(jí)審批，負(fù)責(zé)日常審批，重

大變更上報(bào)到信息安全領(lǐng)導(dǎo)小組。

7.加強(qiáng)信息安全日常管理，包括應(yīng)用系統(tǒng)口令管理、授權(quán)審批管理等，促

使每位人員的日常工作符合溫嶺市公安局信息安全策略和制度要求。

8.在應(yīng)用系統(tǒng)變更、重要操作、訪問等的進(jìn)行逐級(jí)審批，負(fù)責(zé)日常審批，

重大變更上報(bào)到信息安全領(lǐng)導(dǎo)小組。

9.負(fù)責(zé)組織實(shí)施應(yīng)用系統(tǒng)各類事故（故障）的應(yīng)急處理。

應(yīng)用管理員

1.負(fù)責(zé)保障軟件開發(fā)管理，對(duì)實(shí)施方責(zé)任、時(shí)間進(jìn)度、任務(wù)要求、質(zhì)量控

制等進(jìn)行監(jiān)督管理。進(jìn)一步重視軟件開發(fā)安全。在信息系統(tǒng)立項(xiàng)和審批過

程中，同步考慮信息安全需求和目標(biāo)。應(yīng)保證系統(tǒng)設(shè)計(jì)、開發(fā)過程的安全,

重點(diǎn)加強(qiáng)對(duì)軟件代碼安全性的管理。屬于外包軟件開發(fā)的，應(yīng)與服務(wù)提供

商簽署保密協(xié)議。系統(tǒng)開發(fā)完成后，應(yīng)要求通過第三方安全機(jī)構(gòu)對(duì)軟件安

全性的測(cè)評(píng)。

2.規(guī)范信息資產(chǎn)管理流程，建立信息資產(chǎn)管理臺(tái)帳，明確資產(chǎn)所有者、使用

者與維護(hù)者，對(duì)所有信息資產(chǎn)進(jìn)行標(biāo)記，實(shí)現(xiàn)對(duì)信息資產(chǎn)購買、使用、變

更、報(bào)廢整個(gè)周期的安全管理。

3.負(fù)責(zé)建立重要應(yīng)用的文檔化操作和維護(hù)規(guī)程，使得各個(gè)相關(guān)人員能夠采用

10

規(guī)范化的形式對(duì)系統(tǒng)進(jìn)行操作，降低和避免因誤操作所引發(fā)信息安全事件

的可能性。

4.規(guī)范應(yīng)用系統(tǒng)資產(chǎn)管理流程，建立應(yīng)用系統(tǒng)資產(chǎn)管理臺(tái)帳，明確資產(chǎn)所

有者、使用者與維護(hù)者，對(duì)所有信息資產(chǎn)進(jìn)行標(biāo)記，實(shí)現(xiàn)對(duì)主機(jī)相關(guān)資

產(chǎn)購買、使用、變更、報(bào)廢整個(gè)周期的安全管理。

5.加強(qiáng)信息安全日常管理，包括應(yīng)用系統(tǒng)口令管理、授權(quán)審批管理等，促

使每位人員的日常工作符合信息安全策略和制度要求。

6.在應(yīng)用系統(tǒng)變更、重要操作、訪問等的進(jìn)行逐級(jí)審批，負(fù)責(zé)日常審批，重

大變更上報(bào)到信息安全領(lǐng)導(dǎo)小組。

7.負(fù)責(zé)組織實(shí)施應(yīng)用系統(tǒng)各類事故（故障）的應(yīng)急處理。

11

二、安全管理制度

（一）制度的編制

1.信息管理職能部門根據(jù)信息安全領(lǐng)導(dǎo)小組工作要求，結(jié)合部門職責(zé)及信息

安全管理活動(dòng)中的內(nèi)容細(xì)則，負(fù)責(zé)組織編制信息安全管理體系文件，形成

初稿。

2.安全管理員負(fù)責(zé)組織對(duì)信息安全管理體系文件的評(píng)審，并將審核后的文件

報(bào)信息安全領(lǐng)導(dǎo)小組，由信息安全領(lǐng)導(dǎo)小組對(duì)信息安全管理體系文件進(jìn)行

核準(zhǔn)，形成最終的報(bào)官稿。

（-）制度的批準(zhǔn)、發(fā)布

1.安全管理員負(fù)責(zé)對(duì)信息安全管理體系文件的報(bào)審稿進(jìn)行登記、核稿后，報(bào)

送單位辦公室，由辦公室負(fù)責(zé)進(jìn)行審閱、簽批。

2.組織相關(guān)人員進(jìn)行評(píng)審，辦公室相關(guān)負(fù)責(zé)人審閱、簽批后發(fā)布。

（三）制度的發(fā)放

信息安全管理體系文件由安全管理員發(fā)放到各負(fù)責(zé)人（機(jī)房管理員、網(wǎng)絡(luò)管理

員、系統(tǒng)管理員），或者通過單位內(nèi)網(wǎng)進(jìn)行發(fā)布，同時(shí)辦公室負(fù)責(zé)將各管理制度整

理成匯編打印裝訂，發(fā)送到各相關(guān)科室或工作人員手中。

（四）制度評(píng)審和修訂

由安全管理員定期或不定期得組織工作人員進(jìn)行文件適用性的檢查情況，并對(duì)

現(xiàn)有文件的有效性進(jìn)行評(píng)審。對(duì)不合適的地方進(jìn)行修訂，必要時(shí)更換新版。

12

三、安全管理機(jī)構(gòu)

（一）關(guān)鍵活動(dòng)的授權(quán)和審批

1.在系統(tǒng)運(yùn)維過程中，信息安全領(lǐng)導(dǎo)小組對(duì)信息系統(tǒng)的訪問、變更等授權(quán)給

系統(tǒng)運(yùn)維部門。具體為機(jī)房管理員負(fù)責(zé)機(jī)房相關(guān)事務(wù)的授權(quán)和審批；網(wǎng)絡(luò)

管理員負(fù)責(zé)網(wǎng)絡(luò)相關(guān)事務(wù)的授權(quán)和審批；系統(tǒng)管理員負(fù)責(zé)系統(tǒng)相關(guān)事務(wù)的

授權(quán)和審批。

2.授權(quán)審批流程：

a）由系統(tǒng)運(yùn)維部門判斷職責(zé)、然后授權(quán)給相應(yīng)的管理員；

b）系統(tǒng)若外包的，由外包服務(wù)公司申請(qǐng)，相應(yīng)的管理員進(jìn)行授權(quán)、審'批。

（二）審核和檢查

組織專門人員（或委托外包公司）定期或不定期進(jìn)行安全檢查，包括網(wǎng)絡(luò)、

安全設(shè)備、系統(tǒng)等各方面的安全檢查。記錄檢查結(jié)果。規(guī)范安全檢查的內(nèi)容并統(tǒng)

一分析檢查結(jié)果。

（三）溝通合作

1.加強(qiáng)各類管理人員之間、組織內(nèi)部機(jī)構(gòu)之間以及信息安全職能部門內(nèi)部的

合作與溝通，定期或不定期召開協(xié)調(diào)會(huì)議，共同協(xié)作處理信息安全問題；

2.加強(qiáng)與信息安全主管單位、公安機(jī)關(guān)、電信公司的合作與溝通；

3.加強(qiáng)與供應(yīng)商、業(yè)界專家、專業(yè)的安全公司、安全組織的合作與溝通；

4.建立外聯(lián)單位聯(lián)系列表，包括外聯(lián)單位名稱、合作內(nèi)容、聯(lián)系人和聯(lián)系方

式等信息；

5.對(duì)協(xié)調(diào)會(huì)議、安全評(píng)審等進(jìn)行記錄。

13

四、人員安全管理

崗位信息安全檢查

＞各科室（部門）應(yīng)提高安全意識(shí)，定期或不定期對(duì)本科室（部門）崗位進(jìn)

行信息安全檢查，確保信息安全規(guī)定得到了有效地執(zhí)行；

＞信息安全領(lǐng)導(dǎo)小組應(yīng)不定期抽查各科室（部門）的崗位信息安全職責(zé)的落

實(shí)情況，確保各單位（部門）的崗位信息安全職責(zé)的落實(shí)。

信息安全違規(guī)的紀(jì)律處理

＞對(duì)于信息安全事故和在信息安全檢查中發(fā)現(xiàn)的違規(guī)行為，由信息安全領(lǐng)導(dǎo)

小組根據(jù)有關(guān)考核規(guī)定對(duì)該人員進(jìn)行處罰；

＞對(duì)于情節(jié)特別嚴(yán)重的違規(guī)行為，還應(yīng)借助網(wǎng)絡(luò)、簡報(bào)等媒介向浙江省XX

局其它政府機(jī)構(gòu)（部門）進(jìn)行普遍宣傳，避免同類問題再次發(fā)生。

人員考核培訓(xùn)

＞定期或不定期得對(duì)各個(gè)崗位的人員進(jìn)行安全技能及安全認(rèn)知的考核；

＞對(duì)各類人員進(jìn)行安全意識(shí)教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)；

＞對(duì)安全責(zé)任和懲戒措施進(jìn)行書面規(guī)定并告知相關(guān)人員，對(duì)違反違背安全策

略和規(guī)定的人員進(jìn)行懲戒；

＞對(duì)安全教育和培訓(xùn)進(jìn)行書面規(guī)定，針對(duì)不同崗位制定不同的培訓(xùn)計(jì)劃，對(duì)

信息安全基礎(chǔ)知識(shí)、崗位操作規(guī)程等進(jìn)行培訓(xùn)；

人員離崗

＞各科室（部門）在人員任用終止時(shí)，應(yīng)按照離崗手續(xù)，由人力資源部通知相

關(guān)科室（部門）對(duì)該人員使用信息和信息系統(tǒng)的權(quán)限進(jìn)行調(diào)整；

＞各科室（部門）依照相關(guān)人員的個(gè)人權(quán)限清單和信息安全領(lǐng)導(dǎo)小組的要求，

修改、限制或刪除相關(guān)信息和信息系統(tǒng)的訪問權(quán)限，包括物理訪問、邏輯訪

問、密鑰及ID卡等，并作相應(yīng)記錄；

＞各科室（部門）應(yīng)立即撤銷或停用離崗人員所使用的賬戶，或者修改離崗人

員所掌握的系統(tǒng)帳戶口令。

離職后信息安全職責(zé)的追蹤和管理

14

＞離職人員應(yīng)明確其離職后仍需擔(dān)負(fù)的安全責(zé)任和義務(wù)，以及違反安全責(zé)任

和義務(wù)所引發(fā)的后果。

＞如發(fā)生有離職人員違反其應(yīng)負(fù)的安全責(zé)任，泄露浙江省XX局敏感秘密，由

信息安全領(lǐng)導(dǎo)小組按照有關(guān)規(guī)定和相關(guān)協(xié)議追究其法律責(zé)任。

外來人員的信息安全管理

＞各科室（部門）在與外部方簽訂合同時(shí)，應(yīng)按照崗位角色和職責(zé)要求，在

合同中對(duì)外來人員進(jìn)行約束。

＞各單位（部門）應(yīng)按照浙江省XX局信息安全領(lǐng)導(dǎo)小組有關(guān)信息安全管理

規(guī)定以及合同要求，對(duì)所有外來人員進(jìn)行監(jiān)督和檢查，并就安全違規(guī)情況

按合同條款中的要求進(jìn)行處理。

＞確保在外部人員訪問受控域前先提出書面申請(qǐng)，批準(zhǔn)后由專人全程陪同或

監(jiān)督，并登記備案。

15

五、系統(tǒng)建設(shè)管理

（一）規(guī)劃設(shè)計(jì)

1.總體安全規(guī)劃階段的工作流程

＞近期、遠(yuǎn)期的安全需求分析

＞近期、遠(yuǎn)期的總體安全設(shè)計(jì)

＞安全管理員負(fù)責(zé)制定安全建設(shè)項(xiàng)目規(guī)劃

2.安全需求分析

＞基本安全需求的確定

＞額外/特殊安全需求的確定

＞形成安全需求分析報(bào)告

3.總體安全設(shè)計(jì)

＞總體安全策略設(shè)計(jì)：根據(jù)系統(tǒng)安全等級(jí)選定安全策略、基本安全措

施，依據(jù)風(fēng)險(xiǎn)評(píng)估補(bǔ)充和調(diào)整安全措施

＞安全技術(shù)體系結(jié)構(gòu)設(shè)計(jì)

＞整體安全管理體系結(jié)構(gòu)設(shè)計(jì)

＞設(shè)計(jì)結(jié)果文檔化

4.安全建設(shè)項(xiàng)目規(guī)劃

＞安全建設(shè)目標(biāo)確定

＞安全建設(shè)內(nèi)容規(guī)劃

＞形成安全建設(shè)項(xiàng)目計(jì)劃

（二）設(shè)備選型

信息系統(tǒng)采取有關(guān)信息安全技術(shù)措施和采購裝備相應(yīng)的設(shè)備時(shí)，應(yīng)遵循下列

原則：

1.應(yīng)確保產(chǎn)品采購和使用符合國家信息安全的有關(guān)規(guī)定；

2.應(yīng)預(yù)先對(duì)產(chǎn)品進(jìn)行選型測(cè)試，確定產(chǎn)品的候選范圍，并定期審定和更新候

選產(chǎn)品名單；

3.盡量采用我國自主開發(fā)研制的信息安全技術(shù)和設(shè)備；

4.采用境外信息安全產(chǎn)品時(shí)，產(chǎn)品必須通過國家信息安全測(cè)評(píng)機(jī)構(gòu)的認(rèn)可。

16

5.嚴(yán)禁使用未經(jīng)國家密碼管理部門批準(zhǔn)和未通過國家信息安全質(zhì)量認(rèn)證的密

碼設(shè)備。

（三）采購和安裝

軟件的采購和安裝

1.信息系統(tǒng)所使用的操作系統(tǒng)、應(yīng)用軟件、數(shù)據(jù)庫、安全軟件、工具軟件必

須是正式版本，嚴(yán)禁使用測(cè)試版和盜版軟件。

2.重要的操作系統(tǒng)和主要應(yīng)用軟件必須在安全管理員的監(jiān)督之下進(jìn)行安裝。

3.設(shè)備的采購和安裝

4.設(shè)備符合系統(tǒng)選型要求并獲得批準(zhǔn)后，方可購置。

5.選型的設(shè)備進(jìn)行系統(tǒng)適用性測(cè)試，確保選型的設(shè)備符合系統(tǒng)技術(shù)性能指標(biāo)

要求。

6.凡購回的設(shè)備均應(yīng)在測(cè)試環(huán)境下經(jīng)過連續(xù)72小時(shí)以上的單機(jī)運(yùn)行測(cè)試和聯(lián)

機(jī)48小時(shí)的應(yīng)用系統(tǒng)兼容性運(yùn)行測(cè)試。

7.通過上述測(cè)試后，設(shè)備才能進(jìn)入試運(yùn)行階段。試運(yùn)行時(shí)間的長短可根據(jù)需

要自行確定。

8.通過試運(yùn)行的設(shè)備，才能投入系統(tǒng)，正式運(yùn)行。

（四）軟件開發(fā)管理

軟件自行開發(fā)管理

1.系統(tǒng)應(yīng)用軟件的開發(fā)必須根據(jù)信息密級(jí)和安全等級(jí)，同步進(jìn)行相應(yīng)的安全

設(shè)計(jì)，并制定各階段安全目標(biāo)，按目標(biāo)進(jìn)行管理和實(shí)施。

2.系統(tǒng)應(yīng)用軟件的開發(fā)，必須有安全管理專業(yè)的技術(shù)人員參加，其主要任務(wù)

是：對(duì)系統(tǒng)方案與開發(fā)進(jìn)行安全審查和監(jiān)督，負(fù)責(zé)系統(tǒng)安全設(shè)計(jì)和實(shí)施。

3.開發(fā)環(huán)境和現(xiàn)場(chǎng)必須與辦公環(huán)境和工作現(xiàn)場(chǎng)分開，軟件設(shè)計(jì)方案、數(shù)據(jù)結(jié)

構(gòu)、安全管理、操作監(jiān)控手段、數(shù)據(jù)加密形式、原代碼等，只能在有關(guān)開

發(fā)人員及有關(guān)管理機(jī)構(gòu)中流動(dòng)，嚴(yán)禁散失或外泄；開發(fā)人員和測(cè)試人員分

離，測(cè)試數(shù)據(jù)和測(cè)試結(jié)果受到控制。

4.應(yīng)用軟件開發(fā)必須符合軟件工程規(guī)范[GB8566-88],[GB1526-89]。

5.要求開發(fā)人員參照代碼編寫安全規(guī)范編寫代碼；

6.確保提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南，并由專人負(fù)責(zé)保管；

17

7.確保對(duì)程序資源庫的修改、更新、發(fā)布進(jìn)行授權(quán)和批準(zhǔn)。

外包軟件開發(fā)管理

1.應(yīng)要求開發(fā)單位提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南；

2.在委托開發(fā)過程中，應(yīng)加強(qiáng)開發(fā)過程中的安全管理和監(jiān)控，重點(diǎn)考慮資質(zhì)、

許可證、代碼所有權(quán)和知識(shí)產(chǎn)權(quán)；審核工作質(zhì)量和訪問權(quán)限，代碼質(zhì)量和

安全功能達(dá)到合同要求。特殊情況應(yīng)測(cè)試惡意代碼和特洛伊木馬。

3.應(yīng)要求軟件開發(fā)商在所開發(fā)的信息系統(tǒng)內(nèi)設(shè)計(jì)實(shí)現(xiàn)了安全控制措施，確保

信息在系統(tǒng)中得到了正確處理。

4.在開發(fā)過程中，應(yīng)采取控制措施，減少信息泄露的可能性，重點(diǎn)考慮：規(guī)

范開發(fā)過程中的通信行為，以減少第三方從這些行為中推斷信息的可能性;

在現(xiàn)有法律或法規(guī)允許的情況下，定期監(jiān)視個(gè)人和系統(tǒng)的活動(dòng)；監(jiān)視計(jì)算

機(jī)系統(tǒng)的資源使用；防止非授權(quán)的網(wǎng)絡(luò)訪問；對(duì)程序源代碼的防護(hù)管理；

5.系統(tǒng)運(yùn)維管理部門應(yīng)要求軟件開發(fā)商對(duì)程序源代碼進(jìn)行管理與控制。程序

源代碼應(yīng)集中保存在代碼庫中，對(duì)代碼庫實(shí)施安全保護(hù)。保護(hù)措施主要包

括：建立程序源代碼和源程序庫管理規(guī)范；對(duì)訪問源程序庫人員進(jìn)行授權(quán)

管制；程序列表應(yīng)保存在安全的環(huán)境中；建立對(duì)源程序庫所有訪問的審核

日志；維護(hù)和拷貝源程序庫應(yīng)受嚴(yán)格的限制；

6.測(cè)試數(shù)據(jù)的管理。系統(tǒng)運(yùn)維管理部門對(duì)于開發(fā)過程中涉及的測(cè)試數(shù)據(jù)。在

測(cè)試數(shù)據(jù)選擇過程中，應(yīng)避免使用包含個(gè)人信息或其它敏感信息的運(yùn)行數(shù)

據(jù)庫用于測(cè)試。其控制措施包括：運(yùn)行信息每次被拷貝到測(cè)試系統(tǒng)時(shí)應(yīng)有

獨(dú)立的授權(quán)；測(cè)試完成后，應(yīng)立即從測(cè)試系統(tǒng)中清除運(yùn)行信息或進(jìn)行授權(quán)

訪問控制；記錄運(yùn)行信息的拷貝和使用日志；

7.信息系統(tǒng)安全整體測(cè)試。系統(tǒng)運(yùn)維管理部門組織信息系統(tǒng)使用單位（部門）

在離線測(cè)試環(huán)境下對(duì)所開發(fā)信息系統(tǒng)進(jìn)行安全測(cè)試。經(jīng)過測(cè)試確認(rèn)后，方

可轉(zhuǎn)入正式環(huán)境，并組織評(píng)估測(cè)試結(jié)果的安全符合性。

（五）工程實(shí)施

1.指定或授權(quán)專門的部門或人員負(fù)責(zé)工程實(shí)施過程的管理，必要時(shí)可引入外

部信息工程監(jiān)理機(jī)構(gòu)進(jìn)行工程實(shí)施的監(jiān)理。

2.由實(shí)施方制定詳細(xì)的工程實(shí)施方案控制實(shí)施過程，由系統(tǒng)運(yùn)維管理部門認(rèn)

18

可并要求工程實(shí)施單位能按計(jì)劃執(zhí)行工程實(shí)施；

3.由實(shí)施方制定工程實(shí)施方面的管理規(guī)范，明確說明實(shí)施過程的控制方法和

人員行為準(zhǔn)則，及時(shí)向計(jì)算機(jī)審計(jì)中心提交相關(guān)表單文檔。

（六）測(cè)試驗(yàn)收

1.委托第三方測(cè)試單位對(duì)系統(tǒng)進(jìn)行安全性測(cè)試，并出具安全性測(cè)試報(bào)告，要

求建設(shè)單位根據(jù)測(cè)試結(jié)果及時(shí)進(jìn)行整改；

2.在測(cè)試前應(yīng)根據(jù)設(shè)計(jì)方案或合同要求等制訂測(cè)試方案，在測(cè)試過程中應(yīng)詳

細(xì)記錄測(cè)試結(jié)果，并形成測(cè)試報(bào)告，測(cè)試通過后方可進(jìn)行驗(yàn)收；

3.對(duì)系統(tǒng)測(cè)試驗(yàn)收的控制方法和人員行為準(zhǔn)則進(jìn)行書面規(guī)定；

4.指定或授權(quán)專門的部門或人員負(fù)責(zé)系統(tǒng)測(cè)試驗(yàn)收的管理，并按照管理規(guī)定

的要求完成系統(tǒng)測(cè)試驗(yàn)收工作；

5.組織相關(guān)部門和相關(guān)人員對(duì)系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告進(jìn)行審定，并簽字確認(rèn)。

（七）系統(tǒng)交付

1.對(duì)系統(tǒng)交付的控制方法和人員行為準(zhǔn)則進(jìn)行書面規(guī)定；

2.應(yīng)指定或授權(quán)專門的剖門負(fù)責(zé)系統(tǒng)交付的管理工作，并按照管理規(guī)定的要

求完成系統(tǒng)交付工作。

3.制定詳細(xì)的系統(tǒng)交付清單，并根據(jù)交付清單對(duì)所交接的設(shè)備、軟件和文檔

等進(jìn)行清點(diǎn)和確認(rèn)；

4.對(duì)負(fù)責(zé)系統(tǒng)運(yùn)行維護(hù)的技術(shù)人員進(jìn)行相應(yīng)的技能培訓(xùn)，以及對(duì)系統(tǒng)最終用

戶的操作進(jìn)行相應(yīng)的培訓(xùn)。

（八）系統(tǒng)建設(shè)服務(wù)商選擇

1.確保系統(tǒng)建設(shè)服務(wù)商的選擇符合國家信息安全的有關(guān)規(guī)定，必要時(shí)應(yīng)選擇

有安全集成的相關(guān)資質(zhì)的服務(wù)商；

2.與選定的系統(tǒng)建設(shè)服務(wù)商簽訂與安全相關(guān)的保密協(xié)議，明確約定相關(guān)責(zé)任;

3.確保選定的系統(tǒng)建設(shè)服務(wù)商提供技術(shù)培訓(xùn)和服務(wù)承諾，必要的與其簽訂服

務(wù)合同。

19

附表1運(yùn)維人員聯(lián)系方式一覽表

外包公司姓名職務(wù)

20

六、機(jī)房安全管理制度

（-）辦公環(huán)境管理辦法

1.工作人員調(diào)離辦公室應(yīng)立即交還該辦公室鑰匙；

2.工作人員不在辦公區(qū)接待來訪人員；

3.工作人員離開座位應(yīng)確保終端計(jì)算機(jī)退出登錄狀態(tài)和桌面上沒有包含敏感

信息的紙檔文件。

（二）機(jī)房出入管理

1.若非必要，不要隨便進(jìn)入機(jī)房；出入機(jī)房必須登記，填寫《機(jī)房出入登記表》,

最后離開機(jī)房的人員要關(guān)燈、鎖門。由機(jī)房負(fù)責(zé)人（管理員）對(duì)機(jī)房出入進(jìn)

行每周核查。

2.機(jī)房負(fù)責(zé)門禁卡由當(dāng)天負(fù)責(zé)人員保管，不能隨意轉(zhuǎn)借。丟失要及時(shí)聲明。

3.進(jìn)入機(jī)房換鞋套，自覺保持機(jī)房衛(wèi)生。

4.嚴(yán)禁攜帶易燃易爆物品、強(qiáng)磁物品、食品及其它與工作無關(guān)的物品進(jìn)入機(jī)房。

（三）機(jī)房環(huán)境管理

1.負(fù)責(zé)人員要打掃機(jī)房衛(wèi)生，保持地面干凈，機(jī)柜無塵土，各種設(shè)備擺放整齊。

2.機(jī)房內(nèi)禁止吸煙，注意防火。

3.工作人員進(jìn)入機(jī)房要檢查設(shè)備情況（包括空調(diào)溫、濕度；電力系統(tǒng)；網(wǎng)絡(luò)設(shè)

備；服務(wù)器），離開時(shí)察看燈、門、窗、鎖是否關(guān)閉好。

4.電力設(shè)施注意相關(guān)機(jī)房內(nèi)設(shè)備不要插入墻壁插座.

（四）機(jī)房介質(zhì)管理

1.對(duì)應(yīng)用系統(tǒng)使用、產(chǎn)生的介質(zhì)或資料要按其重要性進(jìn)行分類，對(duì)存放有關(guān)鍵

或重要數(shù)據(jù)的介質(zhì)（資料），分別存放在不同的安全地方并建立嚴(yán)格的保密

保管制度。

2.保留在機(jī)房內(nèi)的介質(zhì)（資料），應(yīng)為系統(tǒng)有效運(yùn)行所必需的最少數(shù)量，除此

之外，不應(yīng)保留在機(jī)房內(nèi)。

3.存放機(jī)房內(nèi)的介質(zhì)（資料）應(yīng)該存放于防火、防高溫、防震、防電磁場(chǎng)、防

靜電及防盜的房間或保險(xiǎn)柜中。

21

4.介質(zhì)（資料）庫，應(yīng)設(shè)專人（資產(chǎn)管理員）負(fù)責(zé)登記保管，未經(jīng)批準(zhǔn)，不得

隨意提供介質(zhì)（資料）。

5.對(duì)所有介質(zhì)（資料）應(yīng)定期檢查，要考慮介質(zhì)的安全保存期限，及時(shí)更新復(fù)

制。

（五）機(jī)房服務(wù)器管理

1.應(yīng)統(tǒng)一將服務(wù)器編號(hào)、操作系統(tǒng)、應(yīng)用系統(tǒng)、負(fù)責(zé)人、IP地址、出廠序號(hào)、

切換器編號(hào)等信息以標(biāo)簽方式張貼在服務(wù)器前面板明顯位置，未經(jīng)許可，任

何人不得撕毀、篡改。服務(wù)器按應(yīng)用級(jí)別和管理責(zé)任不同分為重要、普通、

測(cè)試、托管四類，用不同顏色標(biāo)簽分。測(cè)試服務(wù)器原則上不與其他服務(wù)器

安排在同一機(jī)柜內(nèi)。標(biāo)簽每半年復(fù)核一次。

2.服務(wù)器以及kvm切換器等設(shè)備是機(jī)房的重要設(shè)備，必須按要求放置在機(jī)房指

定機(jī)柜內(nèi)，不得擅自配置、移動(dòng)、更換，更不能挪作它用。服務(wù)器物理位置

一經(jīng)確定，不得隨意變更。如需變更，由項(xiàng)目主管填寫《服務(wù)器變更申請(qǐng)表》,

經(jīng)主機(jī)系統(tǒng)負(fù)責(zé)人（管理員）確認(rèn)后方可變更。

3.根據(jù)系統(tǒng)建設(shè)需要將服務(wù)器連入或斷開網(wǎng)絡(luò)，變更服務(wù)器用途，應(yīng)用系統(tǒng)重

大升級(jí)，變更密碼，改變目錄等，由項(xiàng)目主管填寫《服務(wù)器變更申請(qǐng)表》，

經(jīng)主機(jī)系統(tǒng)負(fù)責(zé)人（管理員）確認(rèn)后方可變更。同時(shí)，網(wǎng)絡(luò)項(xiàng)目組根據(jù)實(shí)際

情況，在兩個(gè)工作日內(nèi)調(diào)整網(wǎng)管軟件監(jiān)控信息，存儲(chǔ)備份相關(guān)配置。

4.對(duì)服務(wù)器必須建立維護(hù)檔案，項(xiàng)目主管是服務(wù)器維護(hù)檔案的第一責(zé)任人，維

護(hù)檔案由項(xiàng)目主管負(fù)責(zé)，項(xiàng)目開發(fā)人員，安全服務(wù)人員，機(jī)房管理人員，負(fù)

貢人員對(duì)服務(wù)器的任何更改操作均要報(bào)項(xiàng)日主管進(jìn)行記錄。

5.服務(wù)器及相關(guān)配套軟件的申請(qǐng)采購、驗(yàn)收由各項(xiàng)目主管負(fù)責(zé)。服務(wù)器完成驗(yàn)

收后，才能分配機(jī)柜位置及聯(lián)入網(wǎng)絡(luò)。各項(xiàng)目主管填寫《服務(wù)器接入申請(qǐng)表》,

報(bào)主機(jī)系統(tǒng)負(fù)責(zé)人（管理員）進(jìn)行確認(rèn)。

6.如果服務(wù)器運(yùn)行多個(gè)應(yīng)用系統(tǒng)，按應(yīng)用系統(tǒng)的重要程度確定第一責(zé)任人。重

要應(yīng)用系統(tǒng)的項(xiàng)目主管是第一責(zé)任人。

（六）機(jī)房布線管理

1.機(jī)房布線應(yīng)按照規(guī)范鋪設(shè)隱蔽處，如鋪設(shè)在防靜電地板下或機(jī)房的橋架的管

道內(nèi)，設(shè)備調(diào)試時(shí)使用的臨時(shí)布線應(yīng)在調(diào)試完成當(dāng)天撤換。

22

2.系統(tǒng)運(yùn)維部門機(jī)房所有網(wǎng)絡(luò)線路維護(hù)、連接、拆除由專人施工，禁止其他人

員未經(jīng)許可隨意連接、拆除網(wǎng)線。

3.各類線纜分類鋪設(shè)在各自管道中，隔開鋪設(shè)避免相互間的干擾。

（七）機(jī)房網(wǎng)絡(luò)設(shè)備管理

1.對(duì)網(wǎng)絡(luò)設(shè)備建立維護(hù)檔案，由基礎(chǔ)組負(fù)責(zé)維護(hù)，項(xiàng)目主管是網(wǎng)絡(luò)維護(hù)檔案的

第一責(zé)任人，對(duì)網(wǎng)絡(luò)設(shè)備的任何更改均要有記錄。

2.應(yīng)統(tǒng)一將網(wǎng)絡(luò)設(shè)備編號(hào)、負(fù)責(zé)人等信息以標(biāo)簽方式張貼在網(wǎng)絡(luò)設(shè)備前面板明

顯位置，未經(jīng)許可，任何人不得撕毀、篡改。

3.設(shè)備發(fā)生故障或故障隱患時(shí)非管理人員不可對(duì)路由器、交換機(jī)、服務(wù)器、光

纖、網(wǎng)線及各種設(shè)備進(jìn)行任何調(diào)試，負(fù)責(zé)人員必須對(duì)所發(fā)生的故障、處理過

程和結(jié)果等做好詳細(xì)登記。負(fù)責(zé)人員要嚴(yán)格按照《負(fù)責(zé)手冊(cè)》處理故障，及

時(shí)與管理人員溝通，并對(duì)有關(guān)故障做出書面報(bào)告。

4.網(wǎng)絡(luò)設(shè)備及相關(guān)配套軟硬件的申請(qǐng)采購、驗(yàn)收由基礎(chǔ)組負(fù)責(zé)。設(shè)備完成驗(yàn)收

后，分配機(jī)柜位置及聯(lián)入網(wǎng)絡(luò)。填寫《網(wǎng)絡(luò)設(shè)備接入申請(qǐng)表》，報(bào)網(wǎng)絡(luò)負(fù)責(zé)

人（管理員）進(jìn)行確認(rèn)。

（八）機(jī)房巡視管理

1.如沒有特殊情況，負(fù)責(zé)人員應(yīng)按照《機(jī)房負(fù)責(zé)管理辦法》巡視機(jī)房，檢查機(jī)

房各種設(shè)備的運(yùn)行情況，并做好巡視記錄。

2.遇到各種設(shè)備故障，負(fù)責(zé)人員應(yīng)按照《機(jī)房負(fù)責(zé)管理辦法》上描述的操作步

驟對(duì)設(shè)備進(jìn)行處理，遇到問題及時(shí)與管理人員溝通，并對(duì)有關(guān)故障做出書面

報(bào)告。

3.所有相關(guān)的巡視報(bào)告、故障報(bào)告等需要相關(guān)負(fù)責(zé)人員進(jìn)行確認(rèn)，并存檔管理。

（九）機(jī)房進(jìn)出設(shè)備管理

1.新購設(shè)備或臨時(shí)遷入機(jī)房的設(shè)備需經(jīng)系統(tǒng)運(yùn)維部門確認(rèn)，按《設(shè)備遷入機(jī)房

登記表》的相關(guān)項(xiàng)目詳細(xì)填寫登記。

2.機(jī)房設(shè)備需要遷出機(jī)房時(shí)需通知當(dāng)日系統(tǒng)運(yùn)維部門負(fù)責(zé)人員，填寫《設(shè)備遷

出機(jī)房登記表》，并報(bào)系統(tǒng)運(yùn)維管理部門備案。

23

七、信息資產(chǎn)管理制度

（一）職責(zé)

資產(chǎn)管理部門

1.負(fù)責(zé)檢查數(shù)據(jù)資產(chǎn)的安全管理情況。

2.負(fù)責(zé)本文件的編制和管理；

3.負(fù)責(zé)固定資產(chǎn)的管理，包括固定資產(chǎn)的采購、記錄、變更、報(bào)廢等；

4.負(fù)責(zé)備品備件的出入庫管理；

5.負(fù)責(zé)對(duì)有形資產(chǎn)進(jìn)行分類、分級(jí)和標(biāo)記；

6.負(fù)責(zé)對(duì)備品備件進(jìn)行分類；

7.在有形資產(chǎn)發(fā)生變更、報(bào)廢或銷毀時(shí)，負(fù)責(zé)檢查資產(chǎn)中信息的處理情況。

8.負(fù)責(zé)檢查臺(tái)帳、信息系統(tǒng)中信息資產(chǎn)相關(guān)記錄，并將記錄情況納入考核計(jì)

劃中。

各部門

1.按資產(chǎn)的使用規(guī)則和限制，正確使用信息資產(chǎn)；

2.在有形資產(chǎn)和備品備作發(fā)生變更、報(bào)廢或銷毀時(shí)，負(fù)責(zé)檢查并向?qū)徟惺聞?wù)

管理中心報(bào)告介質(zhì)中敏感信息。

（-）工作程序

資產(chǎn)的分類分級(jí)

1.資產(chǎn)分類分為關(guān)鍵資產(chǎn)和非關(guān)鍵資產(chǎn)：

＞關(guān)鍵資產(chǎn)：對(duì)業(yè)務(wù)連續(xù)性和系統(tǒng)可用性影響大的資產(chǎn)（價(jià)格或價(jià)值較高

的資產(chǎn)）。

＞非關(guān)鍵資產(chǎn)：對(duì)業(yè)務(wù)連續(xù)性和系統(tǒng)可用性影響小的姿產(chǎn)（價(jià)格或價(jià)值較

低的資產(chǎn)）。

2.數(shù)據(jù)資產(chǎn)可以按其對(duì)信息系統(tǒng)的重要性程度，以及信息的保密性、完整性、

可用性被破壞后對(duì)信息系帶來的影響，劃分為以下幾種安全級(jí)別：

＞敏感信息：涉及工作秘密等信息

＞一般信息：不涉及工作秘密的信息

24

資產(chǎn)的登記與標(biāo)記

1.資產(chǎn)管理部門對(duì)固定資產(chǎn)進(jìn)行分類分級(jí)、登記，確定該資產(chǎn)的類型、編號(hào)、

用途、位置、格式、規(guī)格、價(jià)值等具體信息；

2.資產(chǎn)管理部門根據(jù)發(fā)放的資產(chǎn)清單及設(shè)備標(biāo)牌，對(duì)有形資產(chǎn)進(jìn)行粘貼標(biāo)記,

各部門指定資產(chǎn)責(zé)任人，由資產(chǎn)責(zé)任人對(duì)所負(fù)責(zé)的資產(chǎn)進(jìn)行保護(hù)；

3.各部門在資產(chǎn)新增、更新、調(diào)撥、報(bào)廢時(shí)，向資產(chǎn)管理部門提出需求，由

浙江省XX局信息安全領(lǐng)導(dǎo)小組審核，報(bào)主管領(lǐng)導(dǎo)批準(zhǔn)后按照相關(guān)規(guī)定執(zhí)行,

由資產(chǎn)管理部門更新《固定資產(chǎn)清單》；

4.資產(chǎn)管理部門定期檢查有形資產(chǎn)的標(biāo)記與使用情況，對(duì)資產(chǎn)丟失，標(biāo)簽缺

損的情況進(jìn)行記錄，并納入各部門考核；

5.各部門對(duì)本部門管理的數(shù)據(jù)資產(chǎn)進(jìn)行歸類和統(tǒng)計(jì)，對(duì)電子文件采用統(tǒng)一樣

式的電子標(biāo)記進(jìn)行標(biāo)識(shí)。

資產(chǎn)的使用與維護(hù)

1.資產(chǎn)管理部門對(duì)各部門信息資產(chǎn)使用規(guī)范說明，包括使用授權(quán)、管理方式、

操作方法、移動(dòng)管理等，報(bào)浙江省XX局信息安全領(lǐng)導(dǎo)小組備案。

2.各部門工作人員，包括雇員、承包方人員和第三方人員應(yīng)明確到他們使用

信息資產(chǎn)時(shí)的限制條件，應(yīng)對(duì)信息資產(chǎn)的使用和管理負(fù)責(zé)。

3.各部門人員應(yīng)確保在采用移動(dòng)介質(zhì)進(jìn)行數(shù)據(jù)傳輸時(shí)，傳輸完畢應(yīng)及時(shí)刪除

介質(zhì)上保留的數(shù)據(jù)信息，對(duì)于只讀介質(zhì)，由本部門信息安全專員進(jìn)行保存;

4.各部門的存儲(chǔ)介質(zhì)在長期存儲(chǔ)時(shí)，信息安全專員應(yīng)確保本部門介質(zhì)貯存地

點(diǎn)應(yīng)符合防火、防水、防震、防潮、防霉、防鼠害、防蟲蛀、防靜電、防

磁等方面的安全要求，介質(zhì)的存儲(chǔ)要符合介質(zhì)生產(chǎn)商對(duì)介質(zhì)存儲(chǔ)的要求；

5.各部門定期對(duì)本部門存儲(chǔ)介質(zhì)中的數(shù)據(jù)進(jìn)行備份和恢復(fù)測(cè)試，并進(jìn)行測(cè)試

記錄，防止由于介質(zhì)老化而導(dǎo)致的重要信息丟失；

6.涉及國家秘密的信息通過移動(dòng)介質(zhì)進(jìn)行存儲(chǔ)時(shí)，各部門應(yīng)參照國家有關(guān)規(guī)

定執(zhí)行。

7.信息安全領(lǐng)導(dǎo)小組定期檢查數(shù)據(jù)資產(chǎn)的安全管理情況，發(fā)現(xiàn)問題進(jìn)行記錄,

并納入各部門考核。

25

資產(chǎn)的移動(dòng)管理

1.所有有形資產(chǎn)的移動(dòng)必須經(jīng)過資產(chǎn)責(zé)任部門的授權(quán)；

2.物理介質(zhì)在物理地點(diǎn)之外運(yùn)送時(shí)，為了防止未授權(quán)訪問、不當(dāng)使用或被毀

壞，各部門應(yīng)采取以不必要的措施：

＞物理介質(zhì)的包裝應(yīng)采取防篡改的包裝進(jìn)行密封（即封口破壞后無法

恢復(fù)原狀，可以很容易發(fā)現(xiàn)未授權(quán)訪問的企圖），防止信息在送信的

過程中泄漏或被修改。

＞含有敏感信息的物理介質(zhì)必須由內(nèi)部人員親自押運(yùn)，不得交由第三

方公司單獨(dú)運(yùn)送。

3.所有有形資產(chǎn)的移動(dòng)必須登記。

資產(chǎn)的銷毀

1.各部門檢查并清空待報(bào)廢設(shè)備內(nèi)的所有信息，交系統(tǒng)運(yùn)維部門統(tǒng)一處理；

2.資產(chǎn)管理部門對(duì)報(bào)廢設(shè)備進(jìn)行清點(diǎn)，形成《待報(bào)廢設(shè)備清單》；

3.資產(chǎn)管理部門定期對(duì)報(bào)廢設(shè)備進(jìn)行統(tǒng)一處理，處理前對(duì)設(shè)備的存儲(chǔ)信息進(jìn)

行檢查；

4.各部門介質(zhì)上存儲(chǔ)的信息的敏感程度，由資產(chǎn)管理部門采取適當(dāng)?shù)拇胧?duì)

已報(bào)廢的介質(zhì)進(jìn)行處理：

＞包含敏感信息的介質(zhì)，應(yīng)按照國家要求，去專匚地點(diǎn)刪除原有介質(zhì)

上的數(shù)據(jù)信息或進(jìn)行消磁處理；對(duì)于只讀介質(zhì)，可采用粉碎等方式

進(jìn)行處理。

＞應(yīng)對(duì)處置敏感介質(zhì)做記錄，以便保持審核蹤跡。

26

八、介質(zhì)管理規(guī)定

(一)介質(zhì)購置

介質(zhì)由資產(chǎn)管理部門消耗品管理員負(fù)責(zé)統(tǒng)一計(jì)劃采購，編號(hào)，發(fā)放和登記管

理。其余部門不得擅自購買使用。

(-)介質(zhì)使用及維護(hù)管理

介質(zhì)包括磁帶、磁盤、U盤、光盤、硬盤、存貯卡和打印出的文件等，對(duì)移

動(dòng)介質(zhì)的管理如下：

1.移動(dòng)介質(zhì)在接入信息系統(tǒng)前，必須進(jìn)行惡意代碼、木馬檢測(cè)和殺毒處理，

防止惡意代碼侵入和傳染給其它信息系統(tǒng)。

2.如果信息不再需要，需刪除可重復(fù)使用的移動(dòng)介質(zhì)中的信息。

3.如果信息需要保存，則使用人應(yīng)該保存在個(gè)人計(jì)算機(jī)中，而不應(yīng)該放在移

動(dòng)介質(zhì)中。

4.介質(zhì)在長期保管時(shí)，其保管的地點(diǎn)必須滿足防火、防水、防震、防潮、防

霉、防鼠害、防蟲蛀、防靜電、防磁等方面的安全要求，介質(zhì)的保管要符

合介質(zhì)生產(chǎn)商對(duì)介質(zhì)保管的要求。

5.并定期對(duì)介質(zhì)中的數(shù)據(jù)進(jìn)行轉(zhuǎn)存和驗(yàn)證測(cè)試，防止由于介質(zhì)老化、失效而

導(dǎo)致的重要數(shù)據(jù)丟失。

6.各部門若需使用存儲(chǔ)介質(zhì)，需經(jīng)主管領(lǐng)導(dǎo)審批同意后由各部門管理員統(tǒng)一

向資產(chǎn)管理部門消耗品管理員處領(lǐng)用，在“計(jì)算機(jī)消耗品領(lǐng)用木”登記。

各部門管理員統(tǒng)一管理。

7.各部門內(nèi)部實(shí)行存儲(chǔ)介質(zhì)借用制度，由借用人填寫“介質(zhì)借用/領(lǐng)用申請(qǐng)表”

向部門管理員借用介質(zhì)，介質(zhì)使用后應(yīng)及時(shí)歸還。各管理員應(yīng)做好相關(guān)的

登記管理工作。

8.存儲(chǔ)介質(zhì)的保管工作必須符合國家相關(guān)管理制度。各類存儲(chǔ)介質(zhì)如未經(jīng)批

準(zhǔn)嚴(yán)禁由個(gè)人私自帶離開本單位外。

9.應(yīng)對(duì)重要介質(zhì)中的數(shù)據(jù)和軟件采取加密存儲(chǔ)，并根據(jù)用承載數(shù)據(jù)和軟件的

重要程度對(duì)介質(zhì)進(jìn)行分類和標(biāo)識(shí)管理。

10.非SM存儲(chǔ)介質(zhì)不得用于存儲(chǔ)SM信息，SM存儲(chǔ)介質(zhì)也不得任意用作他途。

27

SM存儲(chǔ)介質(zhì)不得在非密計(jì)算機(jī)上使用。已定為SM存儲(chǔ)介質(zhì)的密級(jí)不可降低

密級(jí)使用.

（三）介質(zhì)定期檢查

定期對(duì)存儲(chǔ)介質(zhì)進(jìn)行清點(diǎn)，收回不使用介質(zhì)，核對(duì)使用人員登記。定期對(duì)移

動(dòng)存儲(chǔ)介質(zhì)進(jìn)行統(tǒng)一殺毒處理。

（四）介質(zhì)維修

介質(zhì)送出維修之前應(yīng)進(jìn)行申請(qǐng)審核，確保刪除敏感信息，維修地點(diǎn)要送到專

門的定點(diǎn)單位。如可能有敏感信息，維修過程應(yīng)安排人員全程監(jiān)督。

（五）介質(zhì)的報(bào)廢

對(duì)存儲(chǔ)敏感信息的存儲(chǔ)介質(zhì)應(yīng)在指定地點(diǎn)，由指定人員（并有人監(jiān)督）進(jìn)行

安全的報(bào)廢和處置，以免敏感信息外泄。

磁帶可通過消磁或物理破壞的方式進(jìn)行處置，確保消除磁帶上所存儲(chǔ)的敏感

信息。

磁盤、U盤、硬盤、存貯卡等可通過專業(yè)軟件或多次格式化進(jìn)行處置，或者

采用物理方式進(jìn)行破壞。

光盤可通過物理方式進(jìn)行粉碎處理。

附表2介質(zhì)領(lǐng)用申請(qǐng)單

編號(hào):

領(lǐng)用人部門領(lǐng)用時(shí)間

載體類型移動(dòng)磁盤口U盤口其它口（)數(shù)量

申請(qǐng)理由：

本部門領(lǐng)導(dǎo)審批意見：

簽名年月0

執(zhí)行機(jī)構(gòu)審批意見：

簽名年月日

注：1.本表由管理員負(fù)責(zé)填寫

2.本表由系統(tǒng)運(yùn)維部門磁盤管理員負(fù)責(zé)存查

28

附表3介質(zhì)借用/使用登記單

部門名稱：科室名稱:

介質(zhì)編號(hào)借用日期借用人歸還口期管理員備注

29

九、設(shè)備安全管理制度

（一）IT設(shè)備的購買

信息安全管理職能部門提交需求，經(jīng)單位領(lǐng)導(dǎo)批準(zhǔn)，由資產(chǎn)管理部門

報(bào)政府采購辦公開招投標(biāo)采購。

（-）IT設(shè)備的登記及領(lǐng)用

1.所有采購來的IT設(shè)備，應(yīng)先由資產(chǎn)管理部門進(jìn)行資產(chǎn)登記，在設(shè)備臺(tái)帳中

記錄該設(shè)備的品牌、型號(hào)、詳細(xì)配置、保修期限等，在設(shè)備上粘貼設(shè)備標(biāo)

簽后，資產(chǎn)入庫。

2.需使用IT設(shè)備的，應(yīng)力資產(chǎn)使用人提出資產(chǎn)領(lǐng)用申請(qǐng)，經(jīng)部門負(fù)責(zé)人審批

后，至資產(chǎn)管理員處辦理領(lǐng)用。資產(chǎn)管理員在資產(chǎn)臺(tái)帳中記錄該資產(chǎn)的領(lǐng)

用人，領(lǐng)用人在設(shè)備標(biāo)簽上進(jìn)行簽字后，方能辦理資產(chǎn)出庫，交由領(lǐng)用人

使用。

（三）IT設(shè)備的維護(hù)

1.各領(lǐng)用人為該IT設(shè)備的責(zé)任人，負(fù)責(zé)該IT設(shè)備的正常使用，在設(shè)備發(fā)生

問題時(shí)負(fù)責(zé)聯(lián)系相關(guān)部門進(jìn)行維修。如因領(lǐng)用人責(zé)任迨成該IT設(shè)備損壞，

則領(lǐng)領(lǐng)用人需照價(jià)賠償。

2.各領(lǐng)用人應(yīng)按照信息設(shè)備維護(hù)要求的時(shí)間間隔和規(guī)范，對(duì)設(shè)備進(jìn)行維護(hù)。

3.IT設(shè)備如需升級(jí)或維修，因由領(lǐng)用人提出申請(qǐng)，經(jīng)主管領(lǐng)導(dǎo)批準(zhǔn)后，進(jìn)行

維修或升級(jí)。

4.送外單位維修的IT設(shè)備不得存儲(chǔ)內(nèi)部敏感信息。在送修前應(yīng)由中心安全管

理員對(duì)送修設(shè)備是否存有內(nèi)部敏感信息進(jìn)行檢查。如有，應(yīng)先拆除硬盤等

存儲(chǔ)部件，或使用信息清除軟件對(duì)磁盤信息進(jìn)行徹底清除后，方能送修。

5.重要IT設(shè)備的維護(hù)人員在現(xiàn)場(chǎng)維護(hù)過程中，應(yīng)有浙江省XX局系統(tǒng)運(yùn)維管

理部門人員在場(chǎng)，外部人員的訪問應(yīng)進(jìn)行登記，必要時(shí)要求其簽署保密協(xié)

議。

6."設(shè)備進(jìn)行升級(jí)或維修后，如設(shè)備配置進(jìn)行了變更，則應(yīng)由資產(chǎn)領(lǐng)用人將

最新設(shè)備配置報(bào)系統(tǒng)運(yùn)維部門資產(chǎn)管理員處進(jìn)行備案，以保證有資產(chǎn)管理

30

員處有最新的設(shè)備配置。

（四）IT設(shè)備的報(bào)廢

1."設(shè)備確因設(shè)備老化、性能落后等原因，造成設(shè)備無法繼續(xù)使用的，由資

產(chǎn)管理員提出報(bào)廢申請(qǐng)，經(jīng)資產(chǎn)管理部門負(fù)責(zé)人批準(zhǔn)后，實(shí)施報(bào)廢處理，

并在資產(chǎn)清單中進(jìn)行記錄。

2.IT設(shè)備在報(bào)廢處理前，應(yīng)由安全管理員對(duì)其是否存有內(nèi)部敏感信息進(jìn)行檢

查。如有，應(yīng)對(duì)其存儲(chǔ)部件進(jìn)行消磁或物理毀壞，確俁不會(huì)因設(shè)備處置不

當(dāng)造成泄密。

31

十、網(wǎng)絡(luò)安全管理制度

（一）網(wǎng)絡(luò)安全規(guī)劃

系統(tǒng)運(yùn)維管理部門在網(wǎng)絡(luò)系統(tǒng)規(guī)劃、升級(jí)、改造建設(shè)過程中，應(yīng)組織相關(guān)

人員對(duì)網(wǎng)絡(luò)建設(shè)方案進(jìn)行評(píng)審，使方案滿足網(wǎng)絡(luò)安全管理要求。

（二）網(wǎng)絡(luò)接入控制

1.各科室對(duì)涉及到網(wǎng)絡(luò)變更方面的需求（如網(wǎng)絡(luò)結(jié)構(gòu)變更、終端網(wǎng)絡(luò)需求變

更（如Hub的接入））、非常規(guī)性網(wǎng)絡(luò)訪問（如外來人員臨時(shí)性訪問），

需向系統(tǒng)運(yùn)維管理部門提出書面申請(qǐng)，系統(tǒng)運(yùn)維管理部門對(duì)變更申請(qǐng)進(jìn)行

評(píng)審?fù)ㄟ^后，方可進(jìn)行操作；

2.無線網(wǎng)絡(luò)由系統(tǒng)運(yùn)維管理部門進(jìn)行統(tǒng)一部署和管理，如其他部門（單位）

需要接入無線網(wǎng)絡(luò)或部署無線網(wǎng)絡(luò)設(shè)備時(shí)，需向系統(tǒng)運(yùn)維管理部門提出申

請(qǐng)，經(jīng)審批后方可接入。

3.系統(tǒng)運(yùn)維管理部門負(fù)責(zé)網(wǎng)絡(luò)與其他外部單位網(wǎng)絡(luò)的安全防護(hù)，在網(wǎng)絡(luò)邊界

處采取安全措施進(jìn)行有效隔離防護(hù)，并對(duì)違規(guī)行為進(jìn)行檢查和阻斷；

4.系統(tǒng)運(yùn)維管理部門負(fù)責(zé)網(wǎng)絡(luò)的VLAN和安全域劃分，不同業(yè)務(wù)應(yīng)用系統(tǒng)盡量

安排在不通的安全域中，各VLAN和安全域間應(yīng)采取有效的訪問控制措施；

5.系統(tǒng)運(yùn)維管理部門對(duì)網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)設(shè)備之間的連接線纜進(jìn)行標(biāo)識(shí)，重要

網(wǎng)絡(luò)端口也須進(jìn)行詳細(xì)標(biāo)識(shí)。

（三）網(wǎng)絡(luò)安全審計(jì)

1.系統(tǒng)運(yùn)維管理部門采取開啟網(wǎng)絡(luò)設(shè)備日志，記錄與網(wǎng)絡(luò)安全相關(guān)的操作與

活動(dòng)，并定期對(duì)記錄進(jìn)行評(píng)審，將評(píng)審結(jié)果進(jìn)行記錄。

2.日志保存時(shí)間應(yīng)至少保證在一個(gè)月以上。

3.系統(tǒng)運(yùn)維管理部門在網(wǎng)絡(luò)關(guān)鍵位置采取網(wǎng)絡(luò)審計(jì)手段，對(duì)網(wǎng)絡(luò)訪問操作行

為進(jìn)行記錄，定期對(duì)記錄進(jìn)行評(píng)審，將評(píng)審結(jié)果進(jìn)行記錄。

（四）網(wǎng)絡(luò)設(shè)備管理

1.系統(tǒng)運(yùn)維管理部門制定網(wǎng)絡(luò)備份策略（如網(wǎng)絡(luò)配置備份、硬件備份），并

做好相應(yīng)備案；

32

2.系統(tǒng)運(yùn)維管理部門每月對(duì)網(wǎng)絡(luò)配置、網(wǎng)絡(luò)設(shè)備日志進(jìn)行備份，并做好備份

記錄；

3.系統(tǒng)運(yùn)維管理部門做好網(wǎng)絡(luò)配置、網(wǎng)絡(luò)設(shè)備日志及網(wǎng)絡(luò)設(shè)備備件的保存與

管理，保證備份的安全性；

4.系統(tǒng)運(yùn)維管理部門定期對(duì)配置備份及設(shè)備備件進(jìn)行測(cè)試，保證其可用性，

并對(duì)測(cè)試結(jié)果進(jìn)行記錄；

5.根據(jù)廠家提供的軟件升級(jí)版本對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行更新，并在更新前對(duì)現(xiàn)有的

重要文件進(jìn)行備份；

6.建立日志服務(wù)器，保存日志時(shí)間要求超過6個(gè)月；

7.定期對(duì)設(shè)備口令進(jìn)行更新。

（五）網(wǎng)絡(luò)安全檢查

8.系統(tǒng)運(yùn)維管理部門制定詳細(xì)的網(wǎng)絡(luò)檢查項(xiàng)目，負(fù)責(zé)進(jìn)行網(wǎng)絡(luò)系統(tǒng)運(yùn)行的日

常檢查工作，將檢查結(jié)果進(jìn)行記錄。檢查內(nèi)容參考《安全檢查表》。

9.系統(tǒng)運(yùn)維管理部門定期對(duì)網(wǎng)絡(luò)設(shè)備配置進(jìn)行檢查和評(píng)估，確保網(wǎng)絡(luò)配置與

安全策略保持一致，并對(duì)檢查結(jié)果進(jìn)行記錄。

10.定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行漏洞掃描，對(duì)發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全漏洞進(jìn)行及時(shí)的修

補(bǔ)。

（六）網(wǎng)絡(luò)訪問控制

1.系統(tǒng)運(yùn)維管理部門制定網(wǎng)絡(luò)訪問控制策略，并做好相應(yīng)備案。

2.訪問控制策略內(nèi)容應(yīng)包括：

＞根據(jù)業(yè)務(wù)、管理等情況，對(duì)不同的部門接入進(jìn)行劃分；

＞明確各部門只能訪問被允許訪問的網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)；

＞規(guī)定各部門訪問網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)使用的手段（如，撥號(hào)、VPN等）。

3.系統(tǒng)運(yùn)維管理部門制定遠(yuǎn)程設(shè)備維護(hù)的管理職責(zé)與制度，交信息安全管理

小組備案，以保證遠(yuǎn)程維護(hù)人員的操作符合信息安全管理策略，防止由于

疏忽、密碼賬戶泄漏造成未授權(quán)訪問連接網(wǎng)絡(luò)設(shè)備與服務(wù)器。

4.系統(tǒng)運(yùn)維管理部門應(yīng)確保維護(hù)廠商的遠(yuǎn)程維護(hù)連接只允許訪問指定的設(shè)備

和服務(wù)，由系統(tǒng)運(yùn)維部門負(fù)責(zé)審批、開啟和關(guān)閉，保持每次遠(yuǎn)程連接記錄

33

備查，并對(duì)遠(yuǎn)程訪問帳號(hào)定期進(jìn)行審核。

5.系統(tǒng)運(yùn)維管理部門對(duì)遠(yuǎn)程診斷和配置端口采取技術(shù)手段與管理措施進(jìn)行保

護(hù)，如無必要，禁止使用遠(yuǎn)程診斷和配置端口。

6.系統(tǒng)運(yùn)維管理部門應(yīng)對(duì)遠(yuǎn)程用戶進(jìn)行身份鑒別（如回?fù)艹绦?、證書、密鑰、

口令等），若系統(tǒng)的遠(yuǎn)程訪問無法提供用戶鑒別措施時(shí)，禁止使用遠(yuǎn)程訪

問功能。

（七）網(wǎng)絡(luò)服務(wù)安全

1.系統(tǒng)運(yùn)維管理部門在制定的所有網(wǎng)絡(luò)服務(wù)協(xié)議中，必須包括網(wǎng)絡(luò)的安全特

性、服務(wù)級(jí)別以及所有網(wǎng)絡(luò)服務(wù)的管理要求等內(nèi)容。

2.在網(wǎng)絡(luò)服務(wù)過程中，系統(tǒng)運(yùn)維管理部門應(yīng)根據(jù)網(wǎng)絡(luò)服務(wù)協(xié)議中規(guī)定的安全

條款、安全特性、服務(wù)級(jí)別管理等要求對(duì)服務(wù)提供商的服務(wù)進(jìn)行定期評(píng)審

和監(jiān)督。

34

系統(tǒng)安全管理制度

(一)系統(tǒng)維護(hù)管理

1.系統(tǒng)運(yùn)維管理部門的操作人員上崗前必須經(jīng)過上崗前的專業(yè)知識(shí)培訓(xùn)，包

括專門的信息安全培訓(xùn)，能正確地執(zhí)行本崗位操作工作。