等保信息安全管理制度

外網(wǎng)運(yùn)行安全管理制度

(v3.0)

目錄

第一部分安全管理制度..............................................................5

第一章總則...................................................5

第二章總體安全方針與安全策略...................................................5

第一節(jié)系統(tǒng)總體安全方針.......................................................5

第二節(jié)系統(tǒng)運(yùn)行使用安全策略...................................................6

第三章制度管理..................................................................9

第一節(jié)管理制度............................................9

第二節(jié)制定與發(fā)布..........................................9

第三節(jié)評(píng)審和修訂.............................................................9

第二部分安全管理機(jī)構(gòu).............................................................10

第一章信息安全管理相關(guān)部門職責(zé)................................10

第二章信息安全管理崗位職責(zé)要求.................................................11

第三章授權(quán)和審批...............................................................13

第四章溝通和合作...............................................................14

第五章審核和檢查...............................................................14

第三部分人員安全管理制度.........................................................16

第一章人員錄用.................................................................16

第二章崗位人選.................................................................16

第三章安全意識(shí)教育和培訓(xùn).......................................................16

第四章人員考核...............................................17

第五章外部人員訪問管理.........................................................17

第六章人員離崗.................................................................18

第四部分系統(tǒng)建設(shè)管理.............................................................18

第一章信息安全產(chǎn)品選型采購(gòu)...................................18

第二章項(xiàng)目工程實(shí)施管理.........................................................19

第三章項(xiàng)目工程驗(yàn)收管理.........................................................21

第四章項(xiàng)目工程交付管理.........................................................21

第五章檔案管理.................................................................22

第六章安全服務(wù)商選擇管理.......................................................22

第一章環(huán)境管理.................................................................23

第二章資產(chǎn)管理.................................................................24

第三章介質(zhì)管理.................................................................26

第四章設(shè)備管理.................................................................28

第一節(jié)設(shè)備的選型、采購(gòu)、發(fā)放和領(lǐng)用..........................................28

第二節(jié)設(shè)備的帶離............................................................29

第三節(jié)設(shè)備的維修............................................................29

第四節(jié)設(shè)備的報(bào)廢..........................................30

第五節(jié)配套設(shè)施、軟硬件維護(hù)卻檢查管理......................30

第六節(jié)設(shè)備使用管理..........................................................30

第七節(jié)設(shè)備操作規(guī)程..........................................................31

第五章監(jiān)控管理和安全管理中心...................................................32

第六章網(wǎng)絡(luò)安全管理.............................................................32

第一節(jié)接入終端應(yīng)用的安全管理................................................32

第二節(jié)設(shè)備的安全管理........................................................33

第二節(jié)應(yīng)用系統(tǒng)的接入管理....................................................35

第七章系統(tǒng)安全管理.............................................................35

第一節(jié)系統(tǒng)安全運(yùn)維管理......................................................35

第二節(jié)系統(tǒng)權(quán)限管理..........................................................36

第八章惡意代碼防范管理.........................................................38

第九章密碼管理.................................................................38

第十章變更管理.................................................................39

第H章備份與恢復(fù)管理.........................................................39

第六部分應(yīng)急預(yù)案管理...........................................................41

第七部分附則...................................................................41

附件..............................................................................42

附件1信息系統(tǒng)安全管理制度擇式模板..........................................42

附件2信息系統(tǒng)技術(shù)崗位人員配備要求..........................................44

附件3安全管理各崗位人員信息表...............................................46

附件4信息安全外單位溝通合作聯(lián)系表..........................................46

附件5聘用顧問申請(qǐng)審批表....................................................46

附件6安全顧問名單...........................................................47

附件7人員需求申請(qǐng)、面試評(píng)咕、轉(zhuǎn)正評(píng)估一體表................................48

附件8信息系統(tǒng)內(nèi)部工作人員聚密協(xié)議..........................................49

附件9信息系統(tǒng)關(guān)鍵崗位安全辦議...............................................52

附件10信息安全崗位培訓(xùn)計(jì)劃制定要求..........................................53

附件11安全培訓(xùn)簽到表.........................................................54

附件12安全責(zé)任和懲戒措施（:式行）.............................................55

附件13外部人員訪問申請(qǐng)審批單（含安全責(zé)任協(xié)議）..............................57

附件14《機(jī)關(guān)外網(wǎng)產(chǎn)品采購(gòu)申請(qǐng)審批單》........................................60

附件15安全服務(wù)商保密協(xié)議樣本.................................................61

附件16機(jī)房管理日志...........................................................64

附件17機(jī)房基礎(chǔ)設(shè)施維護(hù)記錄詳表...............................................64

附件18第二?方人員進(jìn)入機(jī)房登二己表樣表...........................................65

附件19節(jié)假日值班樣表.........................................................65

附件20資產(chǎn)清單...............................................................66

附件21資產(chǎn)類型代碼定義表.....................................................67

附件22介質(zhì)管理清單...........................................................67

附件23介質(zhì)管理記斗...........................................................67

附件24介質(zhì)維修記錄表.........................................................68

附件25介質(zhì)銷毀記錄表.........................................................69

附件26維修單位保密協(xié)議書....................................................70

附件27產(chǎn)品采購(gòu)申請(qǐng)審批單....................................................72

附件28攜帶物品出門條.........................................................72

附件29設(shè)備維修記錄表.........................................................73

附件30設(shè)備報(bào)廢記錄表.........................................................74

附件32機(jī)房直備運(yùn)行狀況報(bào)告...................................................81

附件33服務(wù)器、網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)和應(yīng)用系統(tǒng)運(yùn)行狀況報(bào)告............................82

附件34資產(chǎn)調(diào)查表.............................................................83

附件35網(wǎng)絡(luò)設(shè)備配置調(diào)查表.....................................................87

附件36主機(jī)設(shè)備配置調(diào)查表.....................................................88

附件37安全設(shè)備配置調(diào)查表....................................................92

附件38技術(shù)脆弱性調(diào)查表......................................................94

附件39管理脆弱調(diào)行表.........................................................97

附件40網(wǎng)絡(luò)外聯(lián)授權(quán)申請(qǐng)表....................................................101

附件41網(wǎng)絡(luò)設(shè)備配置更改記錄表................................................101

附件42XX系統(tǒng)用戶新增'變更'注銷申請(qǐng)表.......................................102

第一部分安全管理制度

第一章總則

第1條為規(guī)范和加強(qiáng)機(jī)關(guān)電子政務(wù)外網(wǎng)(以下簡(jiǎn)稱機(jī)關(guān)外網(wǎng))的建設(shè)、使用、

維護(hù)和管理工作，保證應(yīng)用系統(tǒng)穩(wěn)定可靠的運(yùn)行，維護(hù)社會(huì)秩序、公共

利益和國(guó)家安全，特制定本制度。

第2條本制度根據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《信息安

全技術(shù)信息系統(tǒng)安全管理要求》(GB/T20269-2006),《信息系統(tǒng)安全等

級(jí)保護(hù)基本要求》、《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)則》，等有關(guān)法律、標(biāo)

準(zhǔn)、政策，制定本制度。

第3條本制度適用于其他業(yè)務(wù)專網(wǎng)。其所有連入機(jī)關(guān)外網(wǎng)的終端、設(shè)備和計(jì)算

機(jī)房及其使用者都必級(jí)遵守本制度。

第二章總體安全方針與安全策略

第一節(jié)系統(tǒng)總體安全方針

第4條總則：受委托，負(fù)責(zé)管理機(jī)關(guān)外網(wǎng)的運(yùn)行維護(hù)，為機(jī)關(guān)提供應(yīng)用系統(tǒng)接

入和網(wǎng)絡(luò)互聯(lián)服務(wù)。

第5條根據(jù)國(guó)家信息安全等級(jí)保護(hù)堅(jiān)持自主定級(jí)、自主保護(hù)的原則，根據(jù)網(wǎng)絡(luò)

和應(yīng)用系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，以及遭到

破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的

合法權(quán)益的危害程度等因素確定將機(jī)關(guān)外網(wǎng)定級(jí)為國(guó)家信息安全等級(jí)保

護(hù)第三級(jí)。

第6條機(jī)關(guān)外網(wǎng)的安全保護(hù)管理工作總體方針是“保持適度安全；管理與技術(shù)

并重；全方位實(shí)施，全員參與；分權(quán)制衡，最小特權(quán)；盡量采用成熟的

技術(shù)”。“預(yù)防為主”是信息安全保護(hù)管理工作的基本方針。

第7條安全策略：信息安全主管部門制定清晰的信息安全方針，并通過網(wǎng)絡(luò)運(yùn)

維部門頒發(fā)和維護(hù)信息安全方針的具體措施來表明對(duì)信息安全支持和承

諾。

第8條部信息中心根據(jù)機(jī)關(guān)外網(wǎng)的保護(hù)等級(jí)、安全需求和安全目標(biāo)，結(jié)合機(jī)關(guān)

自身的實(shí)際情況，依據(jù)國(guó)家有關(guān)安全法規(guī)和國(guó)家標(biāo)準(zhǔn)，制定安全策略。

并根據(jù)環(huán)境、系統(tǒng)和威脅的變化情況，及時(shí)調(diào)整安全策略，制定新的防

護(hù)計(jì)劃，實(shí)施必要的防護(hù)措施，動(dòng)態(tài)保障系統(tǒng)的安全性。

第9條所有機(jī)關(guān)外網(wǎng)安全控制措施（包括技術(shù)控制措施和管理控制措施）的選

擇、運(yùn)營(yíng)和維護(hù)均依據(jù)安全策略進(jìn)行。

第10條對(duì)安全管理工作的各類管理內(nèi)容建立安全管理制度和操作規(guī)程，并要求

管理人員或操作人員按照管理制度和操作規(guī)程進(jìn)行日常管理操作。形成

由安全策略、管理制度、操作規(guī)程等構(gòu)成的全面的信息安全管理制度體

系。

第二節(jié)系統(tǒng)運(yùn)行使用安全策略

第11條機(jī)關(guān)外網(wǎng)總體安全保護(hù)策略是：

■安全工作總體方針：信息安全管理工作堅(jiān)持“積極防御、綜合防范”

的指導(dǎo)方針，技術(shù)與管理相結(jié)合，按照國(guó)家信息安全等級(jí)保護(hù)的規(guī)定,

合理定級(jí)，建立安全管理體系，重點(diǎn)保障基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)的

安全，全面提高網(wǎng)絡(luò)安全防護(hù)能力。

■安全工作的范圍：機(jī)關(guān)外網(wǎng)及其接入的終端、設(shè)備、計(jì)算機(jī)房和使用

者、應(yīng)用系統(tǒng)等，都必須遵守本制度。

■原則：安全工作遵循“誰主管，誰負(fù)責(zé)；誰使用，誰負(fù)責(zé)”的基本原

貝ij,建立逐級(jí)安全管理責(zé)任制。

■安全框架：安全框架包括安全技術(shù)框架、安全管理體系、組織機(jī)構(gòu)及

職責(zé)三部分。

安全技術(shù)框架包括：根據(jù)公安部《信息系統(tǒng)等級(jí)俁護(hù)技術(shù)要求》中第

三級(jí)技術(shù)要求，主要包括物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用系統(tǒng)

保護(hù)對(duì)象安全以及數(shù)據(jù)安全五個(gè)層次的內(nèi)容。

安全技術(shù)框架

1

1

物理安全網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全

T-a”T結(jié)構(gòu)身份簍別「身份冬則

T訪問技的T訪問把的安全標(biāo)記T安全標(biāo)記

T防叁,防擊，防火.T安全審計(jì)訪問拉的T訪問技制L|^??布陵X|

T皿T邊界無終物為查?-安全審計(jì)|可信鬲?徑

T電力供應(yīng)-|入侵防瑛|可佶絡(luò)?枝|T安全審計(jì)

——也以防"一式套代馬防護(hù)-剩余信息保護(hù)］則余體息保**1

q網(wǎng)華出各濟(jì)護(hù)-入/防范|-］人體尢整［

代d防.jt-佶保密物

資源上制「林林.

-

軟件客.

|資通較M

安全管理體系包括：（1）形成由安全策略、管理制度、操作規(guī)程等構(gòu)成

的全面的信息安全管理制度體系。由安全管理職能部門定期組織相關(guān)部門和

相關(guān)人員對(duì)安全管理制度體系的合理性和適用性進(jìn)行審定。（2）對(duì)安全管理

工作的各類管理內(nèi)容建立安全管理制度，規(guī)范安全管理活動(dòng)，約束人員行為

方式；對(duì)管理人員或操作人員執(zhí)行的日常管理操作建立操作規(guī)程，規(guī)范操作

行為，防止操作失誤。管理人員或操作人員要按照管理制度和操作規(guī)程進(jìn)行

日常管理操作。制度和操作規(guī)程覆蓋物理、網(wǎng)絡(luò)、主機(jī)系統(tǒng)、數(shù)據(jù)、應(yīng)用、

管理等方面。

組織機(jī)構(gòu)及職責(zé)包括：機(jī)關(guān)外網(wǎng)信息安全管理涉及的部門包括：部信息

中心和授權(quán)負(fù)責(zé)信息系統(tǒng)建設(shè)和運(yùn)維的單位。其具體職責(zé)詳見本制度第三部

分安全管理機(jī)構(gòu)。

第12條機(jī)關(guān)外網(wǎng)的安全保護(hù)策略由部信息中心負(fù)責(zé)制定與更新。

第13條部信息中心根據(jù)機(jī)關(guān)外網(wǎng)的保護(hù)等級(jí)、安全保護(hù)需求和安全目標(biāo)，結(jié)合

機(jī)關(guān)自身的實(shí)際情況，依據(jù)國(guó)家有關(guān)安全法規(guī)和國(guó)家標(biāo)準(zhǔn)，受部辦公廳

委托制定機(jī)關(guān)外網(wǎng)的安全保護(hù)實(shí)施細(xì)則和具體管理辦法，并根據(jù)環(huán)境、

系統(tǒng)和威脅變化情況，及時(shí)調(diào)整和制定新的實(shí)施細(xì)則和具體管理辦法。

第14條機(jī)關(guān)外網(wǎng)安全等級(jí)的定級(jí)決定了系統(tǒng)方案的設(shè)計(jì)、實(shí)施、安全措施、運(yùn)

行維護(hù)等系統(tǒng)建設(shè)的各個(gè)環(huán)節(jié)。定級(jí)遵循“誰建設(shè)、誰定級(jí)”的原則。

第15條根據(jù)重要性和安全策略應(yīng)在機(jī)關(guān)外網(wǎng)中劃分為不同的安全域，針對(duì)不同

的安全域確定不同的信息安全保護(hù)等級(jí)，并進(jìn)行相應(yīng)的保護(hù)。

第16條機(jī)關(guān)外網(wǎng)等級(jí)保護(hù)從物理、支撐系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用系統(tǒng)和管理制度五個(gè)

部分進(jìn)行保護(hù)，并構(gòu)成系統(tǒng)整體安全控制機(jī)制。

第17條物理部分包括：周邊環(huán)境、門禁檢查、防火、防水、方潮、防鼠和防雷,

防電磁泄露和干擾，弓源備份和管理，設(shè)備的標(biāo)示、使用、存放和管理

等。

第18條支撐系統(tǒng)包括：計(jì)算機(jī)系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)和通信系統(tǒng)。

第19條網(wǎng)絡(luò)部分包括：網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)的布線和防護(hù)、網(wǎng)絡(luò)設(shè)備的管理

和報(bào)警，網(wǎng)絡(luò)攻擊的監(jiān)察和處理。

第20條應(yīng)用系統(tǒng)包括：系統(tǒng)登錄、權(quán)限劃分與識(shí)別、數(shù)據(jù)備份與容災(zāi)處理，運(yùn)

行管理和訪問控制，密碼保護(hù)機(jī)制和信息存儲(chǔ)管理、資源控制和代碼安

全。

第21條管理制度包括：組織機(jī)構(gòu)和各級(jí)的職責(zé)、權(quán)限劃分和責(zé)任追究制度，人

員的管理和培訓(xùn)、教育制度，設(shè)備的管理和引進(jìn)、退出制度，環(huán)境管理

和監(jiān)控，安防和巡查制度，應(yīng)急響應(yīng)制度和程序，規(guī)章制度的建立、更

改和廢止的控制程序。

第三章制度管理

第一節(jié)制度管理

第22條對(duì)安全管理活動(dòng)中的各類管理內(nèi)容建立安全管理制度，以規(guī)范安全管理

活動(dòng)，約束人員的行為方式。

第23條對(duì)要求管理人員或操作人員執(zhí)行的日常管理操作，建立操作規(guī)程（見分

冊(cè)五第四章設(shè)備管理第四節(jié)設(shè)備操作規(guī)程及管理員操作手冊(cè)），以規(guī)范操

作行為，防止操作失誤。

第24條形成由安全政策、安全策略、管理制度、操作規(guī)程等構(gòu)成的全面的信息

安全管理制度體系。

第二節(jié)制定與發(fā)布

第25條在部信息中心的負(fù)責(zé)下，指定或授權(quán)運(yùn)維、信息安全部門負(fù)責(zé)安全管理

制度的制定。

第26條用統(tǒng)一的格式（格式見附件1）編寫安全管理制度，并進(jìn)行版本控制。

第27條組織相關(guān)人員對(duì)制定的安全管理制度進(jìn)行論證和審定。

第28條安全管理制度經(jīng)過部信息中心簽發(fā)后通過正式、有效的方式發(fā)布。

第29條安全管理制度在發(fā)布時(shí)注明發(fā)布范圍，并對(duì)收發(fā)文進(jìn)行登記。

第三節(jié)評(píng)審和修訂

第30條部信息中心負(fù)責(zé)定期組織運(yùn)維、信息安全部門對(duì)安全管理制度體系的合

理性和適用性進(jìn)行審定。

第31條每年對(duì)本制度進(jìn)行檢查和審定，對(duì)存在不足或需要改進(jìn)的安全管理制度

進(jìn)行修訂。

第32條當(dāng)發(fā)生重大安全事故、出現(xiàn)新的安全漏洞以及技術(shù)基礎(chǔ)結(jié)構(gòu)發(fā)生變更時(shí),

要對(duì)安全管理制度進(jìn)行檢查、審定和修訂。

第33條本制度文檔的相應(yīng)負(fù)責(zé)部門為部信息中心，負(fù)責(zé)對(duì)明確需要修訂的制度

文檔的維護(hù)。

第二部分安全管理機(jī)構(gòu)

第一章信息安全管理相關(guān)部門職責(zé)

第34條信息安全管理涉及的部門包括：部信息辦、部信息中心、授權(quán)負(fù)責(zé)應(yīng)用

系統(tǒng)建設(shè)和運(yùn)維的業(yè)務(wù)主管司局。

第35條部信息辦是部機(jī)關(guān)信息安全的歸口管理部門。

第36條部信息中心是部電子政務(wù)信息系統(tǒng)安全保護(hù)的主要技術(shù)支撐機(jī)構(gòu)。授托

負(fù)責(zé)部機(jī)關(guān)外網(wǎng)的運(yùn)維管理。人員包括中心主管領(lǐng)導(dǎo)、安全管理員、網(wǎng)

絡(luò)管理員、系統(tǒng)管理員、審計(jì)管理員、機(jī)房管理員和數(shù)據(jù)庫(kù)管理員等。

第37條應(yīng)用系統(tǒng)建設(shè)單位：是應(yīng)用系統(tǒng)建設(shè)的受托單位，指接受業(yè)務(wù)主管司局

委托，負(fù)責(zé)業(yè)務(wù)應(yīng)用系統(tǒng)實(shí)施的部門。

第38條應(yīng)用系統(tǒng)運(yùn)維單位：是應(yīng)用系統(tǒng)運(yùn)維的受托單位，負(fù)責(zé)應(yīng)用系統(tǒng)運(yùn)維，

包括：應(yīng)用軟件，數(shù)據(jù)庫(kù)和操作系統(tǒng)的運(yùn)維。

第39條部信息化工作領(lǐng)導(dǎo)小組辦公室的信息安全職責(zé)

■制訂機(jī)關(guān)外網(wǎng)信息安全保護(hù)的指導(dǎo)思想、方針和總體安全策略；

■協(xié)調(diào)信息安全保護(hù)管理工作與各業(yè)務(wù)部門工作的關(guān)系；

■提出部重大信息化項(xiàng)目的信息安全保護(hù)要求和規(guī)劃建設(shè)工作；

■授權(quán)機(jī)關(guān)外網(wǎng)運(yùn)行維護(hù)的單位；

■制訂機(jī)關(guān)外網(wǎng)信息安全工作獎(jiǎng)懲措施；

■配合國(guó)家信息安全主管部門進(jìn)行的年度信息安全檢查。

第40條部信息中心信息安全俁護(hù)的職責(zé)

■制定、發(fā)布機(jī)關(guān)外網(wǎng)信息安全保護(hù)管理制度；

■負(fù)責(zé)部機(jī)關(guān)外網(wǎng)運(yùn)行維護(hù)和信息安全保護(hù)工作；

■負(fù)責(zé)重要應(yīng)用系統(tǒng)、部網(wǎng)站等運(yùn)行維護(hù)和信息安全保護(hù)工作。

■完成部信息辦交辦的其他涉及信息安全管理工作。

第41條業(yè)務(wù)主管司局信息安全保護(hù)責(zé)任

業(yè)務(wù)主管司局主管的應(yīng)用系統(tǒng)可以委托一個(gè)獨(dú)立法人單位負(fù)責(zé)運(yùn)維，也可

以自己負(fù)責(zé)運(yùn)維。其信息安全保護(hù)的職責(zé)是：

■監(jiān)督和考核委托的運(yùn)維單位執(zhí)行信息安全保護(hù)管理制度情況；

■評(píng)審應(yīng)用系統(tǒng)運(yùn)維的安全策略制定，并監(jiān)督安全策略的執(zhí)行；

■審查運(yùn)維單位的運(yùn)維文檔；

■響應(yīng)安全事故，事故消除并發(fā)布改進(jìn)措施；

■配合部信息辦進(jìn)行的年度信息安全檢查工作。

第42條應(yīng)用系統(tǒng)使用者信息安全保護(hù)的責(zé)任

■遵守國(guó)家信息安全呆護(hù)的相關(guān)法律、法規(guī)和標(biāo)準(zhǔn)；

■按照信息安全保護(hù)管理的要求，執(zhí)行信息安全保護(hù)的有關(guān)制度和操作

流程，落實(shí)各項(xiàng)應(yīng)用系統(tǒng)（客戶端）安全使用的要求；

■接受部信息系統(tǒng)安全檢查，參加部信息安全主管部門舉行的教育和培

訓(xùn)；

■對(duì)授權(quán)使用的介質(zhì)、設(shè)備、設(shè)施負(fù)責(zé)保管和維護(hù)，并接受監(jiān)督檢查；

第43條應(yīng)用系統(tǒng)運(yùn)維部門信息安全保護(hù)責(zé)任

業(yè)務(wù)主管司局主管的應(yīng)用系統(tǒng)建設(shè)完成上線運(yùn)行以后，可以委托一個(gè)運(yùn)維

機(jī)構(gòu)，負(fù)責(zé)該應(yīng)用系統(tǒng)的日常運(yùn)行維護(hù)和安全保護(hù)工作。其責(zé)任是：

■負(fù)責(zé)應(yīng)用系統(tǒng)的安全運(yùn)行管理，實(shí)施系統(tǒng)運(yùn)行細(xì)則；

■嚴(yán)格執(zhí)行系統(tǒng)用戶權(quán)限管理，維護(hù)系統(tǒng)安全正常運(yùn)行；

■認(rèn)真記錄系統(tǒng)安全事項(xiàng)，及時(shí)向授權(quán)部門報(bào)告安全事件；

■對(duì)進(jìn)行系統(tǒng)操作的其他人員予以安仝監(jiān)督；

■按本制度有關(guān)規(guī)定，配置相應(yīng)的安全管理人員。

第二章信息安全管理崗位職責(zé)要求

第44條運(yùn)維單位必須設(shè)立信息安全管理崗位。應(yīng)用系統(tǒng)運(yùn)維單位的信息安全管

理崗位包括：系統(tǒng)管理員和數(shù)據(jù)庫(kù)管理員。部機(jī)關(guān)外網(wǎng)運(yùn)維單位的信息

安全管理崗位包括：安全管理員、網(wǎng)絡(luò)管理員、系統(tǒng)管理員、審計(jì)管理

員和機(jī)房管理員。

第45條安全管理員職責(zé)

■負(fù)責(zé)檢查安全防護(hù)設(shè)施的運(yùn)行狀況及操作系統(tǒng)軟、硬件的安裝、升級(jí)

工作；負(fù)責(zé)網(wǎng)絡(luò)系統(tǒng)安全保密設(shè)備的使用、管理；

■負(fù)責(zé)服務(wù)器的初次安全加固，以及安全措施的初始配置；

■負(fù)責(zé)安全設(shè)備和系統(tǒng)所產(chǎn)生日志的審查分析；

■負(fù)責(zé)定期進(jìn)行網(wǎng)絡(luò)漏洞掃描、病毒防治及運(yùn)行風(fēng)險(xiǎn)分析，保障網(wǎng)絡(luò)安

全運(yùn)行；

■負(fù)責(zé)系統(tǒng)的日常安全管理工作，監(jiān)視網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行情況，并及

時(shí)上報(bào)各種違紀(jì)、違規(guī)、違法事件；

■負(fù)責(zé)落實(shí)各種不安全環(huán)境因素防范措施，應(yīng)對(duì)各種突發(fā)事件，調(diào)查違

紀(jì)、違規(guī)、違法事件并提出調(diào)查報(bào)告。

第46條網(wǎng)絡(luò)管理員職責(zé)

■負(fù)責(zé)網(wǎng)絡(luò)設(shè)備、服務(wù)器硬件、管理維護(hù)和運(yùn)行管理，實(shí)施網(wǎng)絡(luò)安全策

略和安全運(yùn)行細(xì)則；

■負(fù)責(zé)網(wǎng)絡(luò)設(shè)備的安裝調(diào)試工作；

■負(fù)責(zé)網(wǎng)絡(luò)系統(tǒng)的維護(hù)及性能優(yōu)化工作；

■負(fù)責(zé)網(wǎng)絡(luò)故障檢測(cè)和排除工作；

■負(fù)責(zé)監(jiān)控網(wǎng)絡(luò)關(guān)鍵設(shè)備、網(wǎng)絡(luò)端口、網(wǎng)絡(luò)物理線路，防范黑客入侵，

及時(shí)向基礎(chǔ)設(shè)施運(yùn)維主管領(lǐng)導(dǎo)報(bào)告安全事件；

■負(fù)責(zé)對(duì)操作網(wǎng)絡(luò)管理功能的其他人員進(jìn)行安全監(jiān)督；

第47條系統(tǒng)管理員職責(zé)

■負(fù)責(zé)安裝、維護(hù)服務(wù).器上的操作系統(tǒng)；

■負(fù)責(zé)服務(wù)器上病毒防護(hù)系統(tǒng)的升級(jí)；

■負(fù)責(zé)系統(tǒng)的安全運(yùn)行管理，實(shí)施系統(tǒng)運(yùn)行細(xì)則；

■嚴(yán)格執(zhí)行系統(tǒng)用戶權(quán)限管理，維護(hù)系統(tǒng)安全正常運(yùn)行；

■認(rèn)真記錄系統(tǒng)安全事項(xiàng)，及時(shí)向上級(jí)報(bào)告安全事件；

■對(duì)進(jìn)行系統(tǒng)操作的其他人員予以安全監(jiān)督。

第48條審計(jì)管理員職責(zé)

負(fù)責(zé)對(duì)系統(tǒng)管理員、安全管理員等人員的操作行為進(jìn)行審計(jì)跟蹤分析和監(jiān)

督檢查，以及時(shí)發(fā)現(xiàn)違規(guī)行為，并定期向信息安全保護(hù)管理機(jī)構(gòu)匯報(bào)相關(guān)

情況。

第49條機(jī)房管理員職責(zé)

■負(fù)責(zé)機(jī)房的物資管理和日常維護(hù)工作；

■根據(jù)應(yīng)用系統(tǒng)運(yùn)維部門的要求，嚴(yán)格遵守工作流程，確保日常工作的

正常進(jìn)行；

■應(yīng)用系統(tǒng)運(yùn)維部門交辦的其他工作。

第50條機(jī)關(guān)外網(wǎng)配備的信息安全崗位，根據(jù)工作需要，關(guān)鍵事務(wù)崗位可配備多

人共同管理，定期輪崗；也可一人身兼二個(gè)職位。但安全管理員和審計(jì)

員不能由一人身兼。

第51條各崗位人員必須嚴(yán)格遵守國(guó)家和我部制定的各項(xiàng)保密法規(guī)和有關(guān)信息安

全保護(hù)的管理制度、技術(shù)標(biāo)準(zhǔn)和規(guī)范。

第三章授權(quán)和審批

第52條機(jī)關(guān)外網(wǎng)安全管理需要審批的事項(xiàng)有：

■機(jī)關(guān)外網(wǎng)安全策略的制定與發(fā)布；

■制度的制定與發(fā)布；

■人員配備和培訓(xùn)；

■網(wǎng)絡(luò)和系統(tǒng)資源的方問授權(quán)；

■產(chǎn)品采購(gòu)；

■外部人員訪問；

■與外單位合作；

■機(jī)關(guān)外網(wǎng)系統(tǒng)變更；

■系統(tǒng)接入機(jī)關(guān)外網(wǎng)或外聯(lián)。

第53條由部信息中心審批的事項(xiàng)有：

■制度的制訂與發(fā)布（由運(yùn)維部門制訂，部信息中心審批后發(fā)布，部信

息辦備案）；

■人員配備和培訓(xùn)（由業(yè)務(wù)部門報(bào)送，部信息中心批準(zhǔn)后實(shí)施）；

■網(wǎng)絡(luò)和系統(tǒng)資源的訪問授權(quán)（由業(yè)務(wù)部門申請(qǐng)，中心審批，主管部門

執(zhí)行授權(quán)操作）；

■產(chǎn)品采購(gòu)（由使用部門申請(qǐng)和中心審批，使用部門執(zhí)行采購(gòu)）；

■外部人員訪問（由業(yè)務(wù)部門辦理申請(qǐng)，部信息中心審批）；

■與外單位合作（業(yè)務(wù)部門負(fù)責(zé)）；

■系統(tǒng)變更（由業(yè)務(wù)部門申請(qǐng)、批準(zhǔn)和實(shí)施應(yīng)用系統(tǒng)常規(guī)系統(tǒng)變更，當(dāng)

系統(tǒng)變更對(duì)系統(tǒng)本身和業(yè)務(wù)應(yīng)用有明顯影響時(shí)，需要強(qiáng)部信息中心審批）

■系統(tǒng)接入或外聯(lián)（由部信息中心提出申請(qǐng)或組織風(fēng)險(xiǎn)評(píng)估，報(bào)部信息

辦審批，由主管部門落實(shí)安全技術(shù)措施）

第54條部信息中心定期審查審批事項(xiàng)，及時(shí)更新需授權(quán)和審批的項(xiàng)目、審批部

門和審批人等信息，審查要求記錄。

第四章溝通和合作

第55條加強(qiáng)各類信息安全管理人員之間、組織內(nèi)部機(jī)構(gòu)之間以及部信息中心內(nèi)

部的合作與溝通，定期或不定期召開協(xié)調(diào)會(huì)議，共同協(xié)作處理信息安全

問題。

第56條部信息中心定期或不定期召集相關(guān)部門和人員召開信息安全工作會(huì)議，

協(xié)調(diào)信息安全工作的實(shí)施。

第57條部信息中心定期召開例會(huì)，對(duì)信息安全工作進(jìn)行指導(dǎo)、決策。

第58條加強(qiáng)與有關(guān)部門和機(jī)構(gòu)的合作與溝通，以便在發(fā)生安全事件時(shí)能夠得到

及時(shí)的支持。建立外聯(lián)單位聯(lián)系列表，包括外聯(lián)單位名稱、合作內(nèi)容、

聯(lián)系人和聯(lián)系方式等信息（見附件4）。

第59條加強(qiáng)與供應(yīng)商、業(yè)界專家、專業(yè)的安全公司、安全組織的合作與溝通，

獲取信息安全的最新發(fā)展動(dòng)態(tài)，當(dāng)發(fā)生緊急事件的時(shí)候能夠及時(shí)得到支

持和幫助。聘請(qǐng)信息安全專家作為常年的安全顧問（聘用顧問申請(qǐng)審批

表見附件5；安全顧問名單見附件6）,指導(dǎo)信息安全建設(shè)，參與安全規(guī)

劃和安全評(píng)審等。

第五章審核和檢查

第60條機(jī)關(guān)外網(wǎng)信息安全檢查是部信息中心以信息安全法規(guī)、標(biāo)準(zhǔn)和相關(guān)管理

制定為依據(jù)，對(duì)機(jī)關(guān)外網(wǎng)進(jìn)行的信息安全檢查。

第61條信息安全檢查分以下幾種方式：自查、常規(guī)檢查和年度信息安全大檢查

和系統(tǒng)變更后的自查。

第62條信息安全自查

■部信息中心對(duì)負(fù)責(zé)運(yùn)行和維護(hù)管理的信息系統(tǒng)的安全狀況、安全保護(hù)

制度及措施的落實(shí)喟況定期（每半年）進(jìn)行監(jiān)督檜查，發(fā)現(xiàn)問題及時(shí)

糾正；

■授權(quán)對(duì)其他機(jī)構(gòu)運(yùn)行和維護(hù)管理的信息系統(tǒng)的安全狀況、安全保護(hù)制

度及措施的落實(shí)情況定期（每半年）進(jìn)行監(jiān)督檢查，發(fā)現(xiàn)問題及時(shí)糾

正。

■接受部信息辦或國(guó)家有關(guān)部門對(duì)信息系統(tǒng)安全工作的監(jiān)督和檢查。

第63條信息安全常規(guī)檢查

■安全管理員負(fù)責(zé)對(duì)系統(tǒng)進(jìn)行日常的安全檢查。包括系統(tǒng)日常運(yùn)行、用

戶帳號(hào)、系統(tǒng)漏洞、數(shù)據(jù)備份和系統(tǒng)審計(jì)等情況；

■部信息中心組織相關(guān)人員定期分析、評(píng)審異常行為的審計(jì)記錄，發(fā)現(xiàn)

可疑行為形成審計(jì)分析報(bào)告，并采取必要的應(yīng)對(duì)措施（附件32-附件

33）。

第64條年度信息安全大檢查

■部信息辦根據(jù)國(guó)家信息安全主管部門每年發(fā)布的政府信息系統(tǒng)安全檢

查指南，制定機(jī)關(guān)外網(wǎng)系統(tǒng)安全檢查方案，組織實(shí)施做好信息系統(tǒng)安

全檢查工作；部信息中心負(fù)責(zé)實(shí)施；

■部機(jī)關(guān)外網(wǎng)、應(yīng)用系統(tǒng)、部網(wǎng)站作為安全檢查工作的重點(diǎn)，接受國(guó)家

有關(guān)主管部門組織的安全抽查。

第65條年度信息安全大檢查內(nèi)容包括現(xiàn)有資產(chǎn)的具體情況，網(wǎng)絡(luò)設(shè)備、主機(jī)設(shè)

備和安全設(shè)備的當(dāng)前配置情況等。根據(jù)當(dāng)前情況分析當(dāng)前的安全狀況，

了解安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理

制度的執(zhí)行情況等。檢查情況按實(shí)際填寫，匯總安全檢查數(shù)據(jù)，形成安

全檢查報(bào)告，并對(duì)安全檢查結(jié)果進(jìn)行通報(bào)（附件32—附件39）。

第三部分人員安全管理

部機(jī)關(guān)外網(wǎng)、應(yīng)用系統(tǒng)應(yīng)設(shè)置信息安全崗位，并配備專職和兼職的人員。安

全人員包括：安全管理員、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員、網(wǎng)絡(luò)管理員、審計(jì)管理

員和機(jī)房管理員等。

第一章人員錄用

第1條部信息中心要根據(jù)本制度的要求，制定信息安全人員崗位和人員錄用規(guī)

則。

第2條部信息中心的信息安全人員崗位和人員報(bào)部信息辦備案。

第3條各崗位人員選用和配置時(shí)，要對(duì)被選用人的身份、背景、專業(yè)資格和資

質(zhì)進(jìn)行審查，對(duì)技術(shù)人員的技術(shù)技能進(jìn)行考核。審查通過后，需簽署崗

位安全協(xié)議（附件9）。

第二章崗位人選

第4條所有人員應(yīng)明確其在安全系統(tǒng)中的職責(zé)和權(quán)限。工作、活動(dòng)范圍應(yīng)當(dāng)被

限制在完成其任務(wù)的最小范圍內(nèi)。

第5條機(jī)關(guān)外網(wǎng)的信息安全崗位人選包括：安全管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管

理員、審計(jì)管理員和機(jī)房管理員，必須考核其業(yè)務(wù)能力。關(guān)鍵的崗位人

員不得兼職。

第三章安全意識(shí)教育和培訓(xùn)

第6條由部信息中心負(fù)責(zé)制定培訓(xùn)計(jì)劃，按計(jì)劃對(duì)信息系統(tǒng)各個(gè)崗位的人員進(jìn)

行安全意識(shí)教育和培訓(xùn)。培訓(xùn)形式以集中授課方式為主。

第7條通過培訓(xùn)I,使各個(gè)崗位人員明確自身的安全責(zé)任，知悉違反規(guī)定的懲戒

措施。對(duì)違反安全保密策略和規(guī)定的人員需要進(jìn)行懲戒，懲戒內(nèi)容以違

反規(guī)定的程度而定（見附件12）。

第8條定期對(duì)從事操作和維護(hù)信息系統(tǒng)的技術(shù)人員進(jìn)行技能培訓(xùn)，包括：計(jì)算

機(jī)操作維護(hù)培訓(xùn)、應(yīng)用軟件操作培訓(xùn)I、信息系統(tǒng)安全培訓(xùn)等，保證只有

經(jīng)過培訓(xùn)考核合格的人員才能上崗。對(duì)于安全管理人員要進(jìn)行高級(jí)安全

培訓(xùn)，并且取得“上崗證書”后方可任職（培訓(xùn)相關(guān)內(nèi)容見附件10、附

件11）0

第四章人員考核

第9條安全技能及安全知識(shí)考核：部信息中心負(fù)責(zé)每年對(duì)信息系統(tǒng)各個(gè)崗位人

員進(jìn)行安全技能及安全知識(shí)的考核，對(duì)業(yè)務(wù)人員著重考核業(yè)務(wù)知識(shí)，對(duì)

技術(shù)人員著重考核技術(shù)技能。對(duì)關(guān)鍵崗位人員的考核難度要高于一般崗

位人員，確保其熟練掌握崗位技能及知識(shí)。

第10條安全審查：部信息中心每年對(duì)機(jī)關(guān)外網(wǎng)所有崗位人員進(jìn)行安全審查，從

政治思想、工作表現(xiàn)、遵守安全規(guī)程等方面進(jìn)行審查。對(duì)于考核發(fā)現(xiàn)有

違反安全法規(guī)行為的人員或發(fā)現(xiàn)不適于接觸信息系統(tǒng)的人員要及時(shí)調(diào)離

崗位，不應(yīng)讓其再接觸系統(tǒng)。

第五章外部人員訪問管理

第11條向經(jīng)?；蛞欢螘r(shí)間內(nèi)需要進(jìn)入系統(tǒng)的外部人員（除本單位正式編制人員

和聘用人員之外的其他人員）知會(huì)本單位的相關(guān)安全保密規(guī)定，使其認(rèn)

識(shí)到自身的責(zé)任和安全違規(guī)會(huì)受到的懲罰。

第12條對(duì)重要安全控制區(qū)域和保密要害部門、部位采取隔離控制措施，禁止未

經(jīng)授權(quán)的外部人員接近或進(jìn)入。對(duì)于出入安全控制區(qū)域的活動(dòng)進(jìn)行監(jiān)視

和記錄。

第13條外部人員訪問重要區(qū)域（如機(jī)房、重要服務(wù)器或設(shè)備等），需要首先填寫

《外部人員訪問申請(qǐng)審批單》（附件13）,提交給安全管理員審批，獲批

準(zhǔn)后方可進(jìn)入。

第14條對(duì)所有進(jìn)入系統(tǒng)現(xiàn)場(chǎng)進(jìn)行維修、服務(wù)、參觀等的外部人員進(jìn)行全程旁站

陪同。

第15條外部人員訪問重要區(qū)域需要進(jìn)行登記，登記內(nèi)容包括進(jìn)入時(shí)間、離開時(shí)

間、訪問區(qū)域、訪問設(shè)備或信息及陪同人等（附件18）。

第16條允許外部訪問的區(qū)域、系統(tǒng)、設(shè)備、信息僅限于此次工作相關(guān)的內(nèi)容。

第六章人員離崗

第17條對(duì)即將離崗人員，要及時(shí)終止其所有訪問權(quán)限，收回各種身份證件、鑰

匙、徽章以及機(jī)構(gòu)為其提供的軟硬件設(shè)備等。

第18條對(duì)離崗人員需要向其重申調(diào)離后的保密義務(wù)，要求調(diào)離人員在保密承諾

文檔上簽字，承諾相關(guān)保密義務(wù)。

第四部分系統(tǒng)建設(shè)管理

第一章信息安全產(chǎn)品選型采購(gòu)

第1條由使用部門使用人提出采購(gòu)申請(qǐng)，經(jīng)使用部門領(lǐng)導(dǎo)審批，由部信息中心

授權(quán)某部門（以下稱“采購(gòu)部門”）進(jìn)行統(tǒng)一采購(gòu)。

第2條采購(gòu)部門須保證采購(gòu)的產(chǎn)品和程序符合國(guó)家對(duì)安全產(chǎn)品和密碼產(chǎn)品采購(gòu)

和使用的規(guī)定（如《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》、《信息安全等級(jí)

保護(hù)管理辦法（公通字【2007】43號(hào)文）》等），并在確定產(chǎn)品及型號(hào)后

向部信息中心提供產(chǎn)品資質(zhì)證明備查。

第3條部信息中心要根據(jù)國(guó)家對(duì)安全產(chǎn)品和密碼產(chǎn)品采購(gòu)和使用的規(guī)定（如《信

息系統(tǒng)安全等級(jí)保護(hù)基本要求》、《信息安全等級(jí)保護(hù)管理辦法（公通字

【2007】43號(hào)文）》等），檢查采購(gòu)部門提供的產(chǎn)品資質(zhì)，驗(yàn)證其真實(shí)性,

對(duì)采購(gòu)進(jìn)行審批，對(duì)不符合安全要求的產(chǎn)品不予批準(zhǔn)購(gòu)買，并對(duì)審批的

情況作記錄。

第4條由使用部門使用人提出采購(gòu)需求，填寫采購(gòu)申請(qǐng)審批單（附件14）,明確

用途、性能和穩(wěn)定性方面的要求。

第5條采購(gòu)部門根據(jù)用戶實(shí)際需求、產(chǎn)品性能和穩(wěn)定性指標(biāo)、廠商服務(wù)情況、

產(chǎn)品市場(chǎng)價(jià)格、性價(jià)比等方面對(duì)產(chǎn)品進(jìn)行選型，必要時(shí)組織同類產(chǎn)品的

測(cè)試，選擇適應(yīng)需求、性價(jià)比高、穩(wěn)定可靠的產(chǎn)品，并將選型結(jié)果（產(chǎn)

品品牌、型號(hào)、配置、價(jià)格）填寫采購(gòu)申請(qǐng)審批單（附件14）,對(duì)于安全

和密碼產(chǎn)品附產(chǎn)品資質(zhì)證明。

第6條部信息中心最終對(duì)采購(gòu)事宜進(jìn)行審批，完成采購(gòu)申請(qǐng)審批單（附件14）。

第7條如遇大宗產(chǎn)品采購(gòu)，采購(gòu)部門需通過招標(biāo)方式進(jìn)行。

第8條產(chǎn)品采購(gòu)財(cái)務(wù)流程須符合本單位財(cái)務(wù)部門的規(guī)定。

第9條產(chǎn)品到貨后，采購(gòu)部門負(fù)責(zé)對(duì)供貨方的貨物進(jìn)行驗(yàn)收，驗(yàn)收時(shí)對(duì)產(chǎn)品型

號(hào)、數(shù)量、配置、檢測(cè)證書等進(jìn)行嚴(yán)格核對(duì)。驗(yàn)收要有記錄，記錄內(nèi)容

包括產(chǎn)品型號(hào)、數(shù)量、配置、檢測(cè)證書等。

第10條產(chǎn)品交付使用人前，由采購(gòu)部門在資產(chǎn)清單上登記、在設(shè)備和介質(zhì)上貼

標(biāo)簽后，才能交付使用人。

第二章項(xiàng)目工程實(shí)施管理

第11條部信息中心負(fù)責(zé)部信息辦委托的網(wǎng)絡(luò)和應(yīng)用系統(tǒng)項(xiàng)目工程的實(shí)施管理工

作。

第12條部信息中心指定具體部門和建設(shè)方代表負(fù)責(zé)項(xiàng)目實(shí)施的管理。

第13條項(xiàng)目招標(biāo)結(jié)束后，建設(shè)方代表應(yīng)參與到工程建設(shè)的準(zhǔn)備工作中，與承建

單位、監(jiān)理單位取得聯(lián)系，現(xiàn)場(chǎng)踏勘，測(cè)量，熟悉合同及招投標(biāo)文件，

確保項(xiàng)目工程順利開工。

第14條查看監(jiān)理單位相關(guān)人員的證件，保證監(jiān)理單位遵守招投標(biāo)時(shí)的承諾。同

時(shí)要求同監(jiān)理人員查看承建單位項(xiàng)目部組織機(jī)構(gòu)的配置及各工種持證上

崗情況。

第15條工程開工前，建設(shè)方代表組織設(shè)計(jì)、監(jiān)理、承建方相關(guān)人員進(jìn)行圖紙會(huì)

審及設(shè)計(jì)交底。

第16條會(huì)審前應(yīng)熟悉施工圖紙，并嚴(yán)格認(rèn)真審查，認(rèn)真聽取設(shè)計(jì)工程師的交底,

并作好記錄，發(fā)現(xiàn)問題應(yīng)及時(shí)提出。

第17條會(huì)審中提出并要求設(shè)計(jì)工程師解答的主要問題及專業(yè)的設(shè)計(jì)是否符合各

專業(yè)設(shè)計(jì)規(guī)范的規(guī)定，是否符合現(xiàn)行政策、法令、法規(guī)的規(guī)定，各項(xiàng)功

能是否滿足要求，各專業(yè)圖紙之間有否矛盾之處，設(shè)計(jì)深度能否滿足施

工的需要。

第18條工程實(shí)施過程中，建設(shè)方代表代表建設(shè)單位對(duì)施工現(xiàn)場(chǎng)進(jìn)行安全、質(zhì)量、

進(jìn)度、造價(jià)的全過程管理，協(xié)調(diào)承建單位、監(jiān)理單位和有關(guān)部門之間的

關(guān)系；參與各分項(xiàng)工程的檢查，參與工序質(zhì)量驗(yàn)收；根據(jù)工程進(jìn)度計(jì)劃,

制訂階段性計(jì)劃，根據(jù)計(jì)劃進(jìn)行定期檢查，確保工期，隱蔽檢查及分項(xiàng)

分部工程驗(yàn)收應(yīng)在相應(yīng)工程完成后及時(shí)進(jìn)行并做好相應(yīng)工程記錄；經(jīng)檢

查合格的，簽署工程質(zhì)量認(rèn)可單；不合格的工序，現(xiàn)場(chǎng)下達(dá)整改通知，

未經(jīng)驗(yàn)收或驗(yàn)收不合格的工程，不能進(jìn)行下道工序施工。

第19條建設(shè)方代表現(xiàn)場(chǎng)解決不了或承建方不聽其建議，要及對(duì)向上級(jí)領(lǐng)導(dǎo)匯報(bào)。

第20條建設(shè)方代表定期召開工程現(xiàn)場(chǎng)例會(huì)，檢查上次例會(huì)議定事項(xiàng)的落實(shí)情況,

分析未完事項(xiàng)原因；檢查分析工程項(xiàng)目進(jìn)度計(jì)劃完成情況，提示下一階

段進(jìn)度目標(biāo)及其落實(shí)措施；檢查分析工程項(xiàng)目質(zhì)量情況，針對(duì)存在的質(zhì)

量問題提出改進(jìn)措施；解決需要協(xié)調(diào)的有關(guān)事項(xiàng)。

第21條各類工程材料、構(gòu)配件、設(shè)備進(jìn)場(chǎng)時(shí)必須具備正式的出廠合格證和材料

試驗(yàn)單，產(chǎn)品未經(jīng)驗(yàn)證或檢驗(yàn)不合格，一律不準(zhǔn)用于工程。

第22條針對(duì)施工中簽署聯(lián)系單，建設(shè)方代表必須嚴(yán)格把關(guān)。聯(lián)系單內(nèi)容在圖紙

以外且符合投標(biāo)文件及合同要求；簽證工程量必須要真實(shí)、準(zhǔn)確，不得

虛假，簽證內(nèi)容盡量避免協(xié)商價(jià)（含單價(jià)及總價(jià)）。

第23條建設(shè)方代表督促承建方及時(shí)做好各種資料并與工程同步進(jìn)行，督促承建

方及時(shí)做好各種材料或半成品試驗(yàn)和工程產(chǎn)品的檢驗(yàn)。

第24條工程結(jié)束之后，建設(shè)方代表組織好竣工驗(yàn)收，辦好相關(guān)手續(xù)。督促承建

方及時(shí)做好竣工資料及竣工圖，做好場(chǎng)外工程、水電等收尾管理工作。

第25條建設(shè)方代表在實(shí)施管理活動(dòng)時(shí)須堅(jiān)持公平、公正、公開的原則，不接受

可能影響公正處理公務(wù)和基建事務(wù)的宴請(qǐng)，不得收受承建方或業(yè)務(wù)單位

的禮品、禮金或有價(jià)證券等。

第26條建設(shè)方代表工程中遇到難以解決的問題，應(yīng)及時(shí)向上級(jí)領(lǐng)導(dǎo)反映。

第三章項(xiàng)目工程驗(yàn)收管理

第27條中心業(yè)務(wù)主管部門負(fù)責(zé)項(xiàng)目工程建設(shè)驗(yàn)收的具體組織工作，部信息中心

負(fù)責(zé)驗(yàn)收的審定。

第28條項(xiàng)目工程所需的設(shè)備安裝、調(diào)試達(dá)到技術(shù)方案規(guī)定的指標(biāo)并上線運(yùn)行后,

可進(jìn)行測(cè)試驗(yàn)收。

第29條由建設(shè)方代表、監(jiān)理、承建方共同組成測(cè)試驗(yàn)收小組，進(jìn)行工程測(cè)試驗(yàn)

收。

第30條建設(shè)內(nèi)容完成調(diào)試后，承建方提出驗(yàn)收申請(qǐng)，由建設(shè)方代表督促承建方

提前5個(gè)工作日提交《驗(yàn)收規(guī)范（測(cè)試方案）》（包括測(cè)試項(xiàng)目、測(cè)試指

標(biāo)、測(cè)試方式和測(cè)試儀器等）至建設(shè)方和監(jiān)理。

第31條建設(shè)方代表對(duì)承建方提交的《驗(yàn)收規(guī)范（測(cè)試方案）》進(jìn)行審定，《驗(yàn)收

規(guī)范（測(cè)試方案）》的內(nèi)容包括：

■測(cè)試策略：描述測(cè)試策略。

■測(cè)試描述：包括測(cè)試環(huán)境、測(cè)試人員安排、測(cè)試方法、測(cè)試時(shí)間安

排。

■測(cè)試規(guī)定：包括環(huán)境準(zhǔn)備、數(shù)據(jù)準(zhǔn)備、測(cè)試用例準(zhǔn)備。

■可交付件：測(cè)試完成后，提交測(cè)試日志、缺陷報(bào)告、測(cè)試報(bào)告。

第32條建設(shè)方代表根據(jù)合同及技術(shù)方案結(jié)合業(yè)務(wù)情況進(jìn)行修改或補(bǔ)充，經(jīng)確認(rèn)

后形成的《驗(yàn)收規(guī)范（測(cè)試方案）》作為驗(yàn)收依據(jù)。

笫33條測(cè)試過程中須有建設(shè)方代表、監(jiān)理、承建方人員同時(shí)參加，對(duì)測(cè)試結(jié)果

簽字確認(rèn)，并形成測(cè)試報(bào)告和測(cè)試結(jié)論。

第34條部信息中心組織相關(guān)部門和相關(guān)人員對(duì)系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告進(jìn)行審定，并

簽字確認(rèn)。經(jīng)審定的測(cè)試報(bào)告和結(jié)論為驗(yàn)收依據(jù)。

第四章項(xiàng)目工程交付管理

第35條中心業(yè)務(wù)主管部門負(fù)責(zé)項(xiàng)目工程建設(shè)的交付工作。

第36條項(xiàng)目工程驗(yàn)收完成后，建設(shè)方代表督促承建方提供項(xiàng)目工程的交付清單。

第37條建設(shè)方代表檢查交付清單是否與合同要求一致。

第38條交付時(shí)，技術(shù)部門對(duì)照交付清單對(duì)所交接的設(shè)備、文檔、軟件等進(jìn)行清

點(diǎn)。

第39條交付完成后，技術(shù)部門須將交付情況完成《交付報(bào)告（附交付清單）》提

交部信息中心審定。

第五章檔案管理

第40條中心電子檔案管理部門負(fù)責(zé)項(xiàng)目工程電子文檔的管理工作。

第41條項(xiàng)目工程電子文檔管理部門指定專人負(fù)責(zé)管理，并對(duì)系統(tǒng)定級(jí)相關(guān)材料

的使用進(jìn)行控制。

第六章安全服務(wù)商選擇管理

第42條項(xiàng)目工程建設(shè)過程中，選擇具有服務(wù)資質(zhì)的信譽(yù)較好的廠商，要求其已

獲得國(guó)家主管部門的資質(zhì)認(rèn)證并取得許可證書、能有效實(shí)施安全工程過

程、有成功的實(shí)施案例。

第43條對(duì)重要的項(xiàng)目工程建設(shè)，需在主管部門指定或特定范圍內(nèi)選擇具有服務(wù)

資質(zhì)的信譽(yù)較好的廠商，并經(jīng)實(shí)踐證明是安全可靠的廠商。

第44條在確定好安全服務(wù)商后，與安全服務(wù)商簽訂安全責(zé)任合同書或保密協(xié)議

及服務(wù)合同，保密協(xié)議樣本見附件15。

第五部分系統(tǒng)運(yùn)維管理

第一章環(huán)境管理

第一節(jié)計(jì)算機(jī)機(jī)房

第1條機(jī)房是信息安全重點(diǎn)券護(hù)部門?；A(chǔ)環(huán)境安全包括：

■配備防電磁干擾、防電磁泄漏、防靜電、防水、防盜、防鼠害等設(shè)施;

■安裝門禁系統(tǒng)、防雷系統(tǒng)、監(jiān)視系統(tǒng)、消防系統(tǒng)、報(bào)警系統(tǒng)；

■設(shè)專用的供電系統(tǒng)，配備必要的UPS和發(fā)電機(jī)。

第2條加強(qiáng)進(jìn)出機(jī)房人員管理。禁止未經(jīng)批準(zhǔn)的外部人員進(jìn)入機(jī)房。非機(jī)房工

作人員進(jìn)出機(jī)房須經(jīng)主管領(lǐng)導(dǎo)批準(zhǔn)，外來人員進(jìn)出機(jī)房還須辦理登記手

續(xù)，并由專人陪同。

第3條發(fā)生機(jī)房重大事故或案件，機(jī)房管理人員應(yīng)立即按照預(yù)案流程報(bào)告，并

保護(hù)現(xiàn)場(chǎng)。

第4條機(jī)房安全管理應(yīng)依照安全第一的原則，建立、健全嚴(yán)格的機(jī)房安全管理

制度，每半年一次巡檢并檢查制度執(zhí)行情況。

第5條機(jī)房管理員負(fù)責(zé)機(jī)房的日常安全管理工作。

第6條機(jī)房管理員必須密切監(jiān)視機(jī)房環(huán)境設(shè)備（如供配電、空調(diào)、溫濕度控制

等設(shè)施）運(yùn)行狀況，每天填寫機(jī)房管理日志（樣表見附件16）,發(fā)現(xiàn)異

常情況應(yīng)立即按照預(yù)案、規(guī)程進(jìn)行操作（應(yīng)急預(yù)案詳見分冊(cè)五第十二章）,

并及時(shí)上報(bào)，做好詳細(xì)記錄（樣標(biāo)見附件51）。

第7條機(jī)房管理員每半年對(duì)機(jī)房?jī)?nèi)設(shè)置的所有基礎(chǔ)設(shè)施進(jìn)行維護(hù)，保證其有效

性。

第8條機(jī)房基礎(chǔ)設(shè)施出現(xiàn)故障后，機(jī)房管理員應(yīng)及時(shí)維護(hù)，并填寫機(jī)房基礎(chǔ)設(shè)

施維護(hù)記錄（樣表見附件17）。

第9條機(jī)房安排節(jié)假日值班，值班人員應(yīng)對(duì)機(jī)房進(jìn)行安全巡防巡查，對(duì)關(guān)鍵部

位每天至少巡查一次（節(jié)假日值班樣表見附件19）。

第10條機(jī)房所在的建筑物主要出入口應(yīng)配備警衛(wèi)人員二十四小時(shí)值班。

第11條機(jī)房要采取門禁措施，對(duì)本單位需要進(jìn)入機(jī)房工作的人員進(jìn)行授權(quán)，防

止非授權(quán)人員訪問，對(duì)機(jī)房進(jìn)出人員情況進(jìn)行監(jiān)控，自動(dòng)記錄日志。

第12條僅在必要時(shí)，才允許經(jīng)過安全審查的第三方支持性服務(wù)人員進(jìn)入機(jī)房，

并由本單位相關(guān)工作的指定人員進(jìn)行全程旁站陪同。第三方支持性服務(wù)

人員進(jìn)入機(jī)房的管理遵照“人員安全管理”制度的要求。

第13條機(jī)房應(yīng)采用電子監(jiān)控系統(tǒng)和警報(bào)系統(tǒng)對(duì)機(jī)房進(jìn)行監(jiān)視和記錄。

第14條進(jìn)入機(jī)房人員不得攜帶任何易燃、易爆、腐蝕性、強(qiáng)電磁、強(qiáng)輻射性、

流體物質(zhì)等對(duì)設(shè)備正常運(yùn)行構(gòu)成威脅的物品。

第15條機(jī)房?jī)?nèi)嚴(yán)禁吸煙、嚴(yán)禁亂拉接電線，以防造成短路或失火。

第16條機(jī)房?jī)?nèi)的設(shè)備要分類安放和管理，機(jī)房環(huán)境要保持整潔有序。

第17條工作人員離開辦公環(huán)境時(shí)，應(yīng)將信息設(shè)備的顯示進(jìn)行鎖定。

第18條第三方人員攜帶物品進(jìn)出機(jī)房時(shí)，必須登記，登記樣表詳見附件18。

第二節(jié)辦公環(huán)境

第19條設(shè)置有網(wǎng)絡(luò)終端的辦公環(huán)境，是應(yīng)用系統(tǒng)環(huán)境的組成部分，在管理過程

中要防止利用終端竊取敏感信息或非法訪問。工作人員離開座位將桌面

上含有敏感信息的紙件文檔要求放在抽屜或文件柜內(nèi)。

第20條工作人員離開座位，計(jì)算機(jī)終端要求退出登錄狀態(tài)、采用屏幕保護(hù)口令

保護(hù)或關(guān)機(jī)。

第21條工作人員下班后，要求關(guān)閉計(jì)算機(jī)終端。

第22條存放敏感文件或信息載體的文件柜要求上鎖或設(shè)置密碼。

第23條工作人員調(diào)離部門或更換辦公室時(shí)，要求立即交還辦公室鑰匙。

第24條設(shè)立獨(dú)立的會(huì)客接待室，不在辦公環(huán)境接待來訪人員。

第二章資產(chǎn)管理

第25條依據(jù)資產(chǎn)的重要程度對(duì)資產(chǎn)進(jìn)行分類和標(biāo)識(shí)管理（見附件21）,不同類

別的資產(chǎn)采取不同的管理措施。

第26條資產(chǎn)包括以下內(nèi)容：

■信息資產(chǎn)：應(yīng)用數(shù)據(jù)、系統(tǒng)數(shù)據(jù)、安全數(shù)據(jù)等數(shù)據(jù)庫(kù)和數(shù)據(jù)文檔、系

統(tǒng)文件、用戶手冊(cè)、培訓(xùn)資料、操作和支持程序、持續(xù)性計(jì)劃、備用

系統(tǒng)安排、存檔信息；

■軟件資產(chǎn)：應(yīng)用軟外、系統(tǒng)軟件、開發(fā)工具和實(shí)用程序；

■有形資產(chǎn)：計(jì)算機(jī)終端設(shè)備（處理器、監(jiān)視器、調(diào)制解調(diào)器等），通信

設(shè)備（路由器、傳真機(jī)等），磁媒體（磁帶、軟盤等），其他技術(shù)裝備（電

源，空調(diào)設(shè)備），家具和機(jī)房；

■應(yīng)用業(yè)務(wù)相關(guān)資產(chǎn)：由應(yīng)用系統(tǒng)控制的或與應(yīng)用系統(tǒng)密切相關(guān)的各類

資產(chǎn)，由于應(yīng)用系統(tǒng)或信息的泄露或破