網(wǎng)絡(luò)信息安全管理制度匯編

網(wǎng)絡(luò)信息安全管理制度匯編

2022年n月

目錄

一、網(wǎng)絡(luò)信息安全工作方針策略

（一）網(wǎng)絡(luò)信息安全方針

（二）網(wǎng)絡(luò)信息安全策略

（三）網(wǎng)絡(luò)信息安全組織機(jī)構(gòu)

二、安全管理制度

（一）制度的編制

（二）制度的批準(zhǔn)、發(fā)布

（三）制度的發(fā)放

（四）制度評(píng)審和修訂

三、安全管理機(jī)構(gòu)

（一）關(guān)鍵活動(dòng)的授權(quán)和審批

（二）審核和檢查

（三）溝通合作

四、人員安全管理

五、系統(tǒng)建設(shè)管理

（一）規(guī)劃設(shè)計(jì)

（二）設(shè)備選型

（三）采購(gòu)和安裝

（四）軟件開(kāi)發(fā)管理

（五）工程實(shí)施

（六）測(cè)試驗(yàn)收

（七）系統(tǒng)交付

（八）系統(tǒng)建設(shè)服務(wù)商選擇

六、機(jī)房安全管理制度

（一）辦公環(huán)境管理辦法

（二）機(jī)房出入管理

（三）機(jī)房環(huán)境管理

（四）機(jī)房介質(zhì)管理

（五）機(jī)房服務(wù)器管理

（六）機(jī)房布線管理

（七）機(jī)房網(wǎng)絡(luò)設(shè)備管理

（A）機(jī)房巡視管理

（九）機(jī)房進(jìn)出設(shè)備管理

七、信息資產(chǎn)管理制度

（一）職責(zé)

（二）工作程序

八、介質(zhì)管理規(guī)定

（一）介質(zhì)購(gòu)置

（二）介質(zhì)使用及維護(hù)管理

（三）介質(zhì)定期檢查

（四）介質(zhì)維修

（五）介質(zhì)的報(bào)廢

九、設(shè)備安全管理制度

（一）IT設(shè)備的購(gòu)買

（二）IT設(shè)備的登記及領(lǐng)用

（三）IT設(shè)備的維護(hù)

（四）IT設(shè)備的報(bào)廢

十、商用密碼產(chǎn)品使用管理制度

（一）商用密碼產(chǎn)品的選擇

十四、系統(tǒng)變更管理制度

（一）變更的申請(qǐng)和審批

（-）日常變更的實(shí)施

（三）重大變更的實(shí)施

（四）重大變更的驗(yàn)證和歸檔

（五）變更的失敗的處理

十五、備份恢復(fù)管理制度

（一）程序

（二）資產(chǎn)識(shí)別

（三）制定備份方案

（四）備份計(jì)劃實(shí)施

（五）備份的介質(zhì)標(biāo)識(shí)

（六）備份介質(zhì)的安全存放

（七）備份介質(zhì)的定期測(cè)試

（A）信息恢復(fù)

（九）備份策略

十六、信息安全事件管理制度

（一）網(wǎng)絡(luò)信息安全事件分類

（二）網(wǎng)絡(luò)信息安全事件分級(jí)

（三）網(wǎng)絡(luò)信息安全事件的預(yù)防

（四）網(wǎng)絡(luò)信息安全事件的報(bào)告

（五）網(wǎng)絡(luò)信息安全事件響應(yīng)

（六）網(wǎng)絡(luò)信息安全事件的調(diào)查處理

（七）網(wǎng)絡(luò)信息安全事件的整改

（八）信息泄密的安全事件應(yīng)采用的處理程序和報(bào)告程

序

十七、應(yīng)急預(yù)案管理制度

（一）應(yīng)急處置基本原則

（二）組織體系

（三）網(wǎng)絡(luò)信息安全事件應(yīng)急處理

一、網(wǎng)絡(luò)信息安全工作方針策略

（一）網(wǎng)絡(luò)信息安全方針

全員參與明確責(zé)任

預(yù)防為主快速響應(yīng)

風(fēng)險(xiǎn)管控持續(xù)改進(jìn)

具體闡述如下：

1.在市**局網(wǎng)絡(luò)信息安全工作領(lǐng)導(dǎo)小組的領(lǐng)導(dǎo)下，全面

貫徹《浙江省信息安全等級(jí)保護(hù)管理辦法》（省政府223號(hào)

令）、《浙江省公共數(shù)據(jù)條例》等關(guān)于網(wǎng)絡(luò)信息安全的相關(guān)

指導(dǎo)性文件精神，建立可持續(xù)發(fā)展的網(wǎng)絡(luò)信息安全管理體系;

2.全員是網(wǎng)絡(luò)信息安全管理體系的活動(dòng)分子；落實(shí)網(wǎng)絡(luò)

信息安全管理責(zé)任制，建立和完善各項(xiàng)網(wǎng)絡(luò)信息安全管理制

度，使網(wǎng)絡(luò)信息安全管理有章可循;

3.定期進(jìn)行網(wǎng)絡(luò)信息安全宣傳、教育與培訓(xùn)，不斷提高

市**局全員的網(wǎng)絡(luò)信息安全意識(shí)及能力；

4.以預(yù)防為主的網(wǎng)絡(luò)信息安全積極防御理念對(duì)所發(fā)生

的網(wǎng)絡(luò)信息安全事件進(jìn)行快速、有序地響應(yīng)；

5.貫徹風(fēng)險(xiǎn)管理的理念，定期對(duì)各信息系統(tǒng)進(jìn)行全面安

全檢查，將網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)控制在可接受的水平之內(nèi)；

6.在市**局網(wǎng)絡(luò)信息安全工作領(lǐng)導(dǎo)小組的領(lǐng)導(dǎo)下，市**

局網(wǎng)絡(luò)信息安全建設(shè)的工作合乎國(guó)家建設(shè)規(guī)范，保證市**局

信息系統(tǒng)安全暢通與可控，保障信息系統(tǒng)所開(kāi)發(fā)和維護(hù)健康

的服務(wù)支持。

（二）網(wǎng)絡(luò)信息安全策略

1,建立市**局網(wǎng)絡(luò)信息安全管理組織機(jī)構(gòu)，設(shè)立安全主

管、各網(wǎng)絡(luò)信息安全管理相關(guān)部門(mén)負(fù)責(zé)人、網(wǎng)絡(luò)管理員、系

統(tǒng)管理員、安全管理員等安全管理相關(guān)崗位并定義相應(yīng)職責(zé),

建立健全網(wǎng)絡(luò)信息安全管理制度，保證網(wǎng)絡(luò)信息安全責(zé)任落

實(shí)到位；

2.網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)小組定期或不定期地對(duì)市**局網(wǎng)

絡(luò)信息安全管理體系的合理性和適用性進(jìn)行評(píng)審，對(duì)各項(xiàng)安

全控制措施實(shí)施的可用性進(jìn)行檢測(cè)，對(duì)存在不足或需要改進(jìn)

的安全管理制度進(jìn)行修訂，以保證網(wǎng)絡(luò)信息安全管理體系持

續(xù)的充分性、適宜性、有效性；

3.市**局信息系統(tǒng)按照國(guó)家等級(jí)保護(hù)有關(guān)要求，對(duì)市**

局信息系統(tǒng)及信息確定安全等級(jí)，采取分等級(jí)保護(hù)；

4.規(guī)范市**局信息資產(chǎn)（包括硬件、軟件、服務(wù)等）管

理流程，建立信息資產(chǎn)管理臺(tái)帳，明確資產(chǎn)所有者、使用者

與維護(hù)者，對(duì)所有信息資產(chǎn)進(jìn)行標(biāo)記，實(shí)現(xiàn)對(duì)信息產(chǎn)品購(gòu)買、

使用、變更、報(bào)廢整個(gè)資產(chǎn)管理周期的管理；

5.加強(qiáng)所有工作人員（包括市**局各科室內(nèi)部人員直屬

單位，以及各類外來(lái)人員）的安全管理，制定違規(guī)安全信息

管理?xiàng)l例的懲戒措施，落實(shí)人員聘用、在崗和離崗時(shí)的安全

規(guī)程，與關(guān)鍵崗位人員簽署保密協(xié)議；

6.通過(guò)正式的網(wǎng)絡(luò)信息安全培訓(xùn)，以及網(wǎng)站、簡(jiǎn)報(bào)、會(huì)

議、講座等各種形式的網(wǎng)絡(luò)信息安全教育活動(dòng)，不斷加強(qiáng)市

**局全體人員的網(wǎng)絡(luò)信息安全意識(shí)，提高整體網(wǎng)絡(luò)信息安全

意識(shí)；

7.落實(shí)包括門(mén)禁、視頻監(jiān)控、報(bào)警等安全防范措施，確

保機(jī)房物理與環(huán)境安全。部署機(jī)房專用空調(diào)、在線式UPS等

環(huán)境保障設(shè)施，對(duì)機(jī)房設(shè)施運(yùn)轉(zhuǎn)情況進(jìn)行定期巡檢和維護(hù)。

制定對(duì)機(jī)房人員和設(shè)備的出入管理制度，對(duì)機(jī)房的進(jìn)出入人

員進(jìn)行登記備案；

8.加強(qiáng)對(duì)信息系統(tǒng)外包業(yè)務(wù)與外包方的管理，簽署的服

務(wù)協(xié)議對(duì)信息系統(tǒng)安全要求加以細(xì)化、明確。通過(guò)審批、訪

問(wèn)控制、監(jiān)控、簽署俁密協(xié)議等措施，加強(qiáng)外部方訪問(wèn)信息

系統(tǒng)的控制能力，防止外部方危害信息系統(tǒng)安全;

9.對(duì)市**局各重要信息系統(tǒng)（包括基礎(chǔ)設(shè)施、網(wǎng)絡(luò)和服

務(wù)器設(shè)備、系統(tǒng)、應(yīng)用等）應(yīng)有文檔化的操作和維護(hù)規(guī)程,

使得各個(gè)相關(guān)人員按規(guī)程對(duì)系統(tǒng)進(jìn)行使用和操作，降低因誤

操作所引發(fā)網(wǎng)絡(luò)信息安全事件的概率；

10.在市**局內(nèi)外網(wǎng)上統(tǒng)一部署網(wǎng)絡(luò)、服務(wù)器、工作站

的防惡意代碼軟件，棄進(jìn)行惡意代碼庫(kù)的統(tǒng)一更新，防范惡

意代碼、木馬等惡意代碼對(duì)市**局信息系統(tǒng)的影響。通過(guò)強(qiáng)

化惡意代碼防范的管理措施，如加強(qiáng)介質(zhì)管理，嚴(yán)禁擅自安

裝軟件，加強(qiáng)人員安全意識(shí)教育，定期進(jìn)行惡意代碼檢測(cè)等,

提高市**局信息系統(tǒng)對(duì)惡意代碼的防范能力；

11.對(duì)市**局各重要的信息和信息系統(tǒng)進(jìn)行備份，并對(duì)

備份介質(zhì)進(jìn)行安全地保存，以及對(duì)備份數(shù)據(jù)定期進(jìn)行備份測(cè)

試演練，保證各種備份信息的完整性和有效性，確保所有重

要信息系統(tǒng)和重要數(shù)據(jù)在故障、災(zāi)難下的可靠恢復(fù)；

12.確定安全策略，采用技術(shù)和管理兩方面的控制措施,

加強(qiáng)對(duì)市**局內(nèi)外網(wǎng)的安全控制，不斷提高網(wǎng)絡(luò)的安全性和

穩(wěn)定性。通過(guò)實(shí)施網(wǎng)絡(luò)訪問(wèn)控制等技術(shù)和接入內(nèi)網(wǎng)嚴(yán)格審批

措施，加強(qiáng)安全管理，加強(qiáng)對(duì)市**局各科室網(wǎng)絡(luò)使用的安全

培訓(xùn)和教育，確保市**局網(wǎng)絡(luò)的安全；

13.加強(qiáng)網(wǎng)絡(luò)信息安全日常管理，包括系統(tǒng)口令管理、

無(wú)人值守設(shè)備管理等，使網(wǎng)絡(luò)信息安全日常工作符合市**局

網(wǎng)絡(luò)信息安全策略和制度要求;

14.按照“僅知”原則，通過(guò)功能和技術(shù)配置，對(duì)重要

信息系統(tǒng)、數(shù)據(jù)等實(shí)施訪問(wèn)控制。對(duì)系統(tǒng)特殊權(quán)限和系統(tǒng)實(shí)

用工具的使用進(jìn)行嚴(yán)格的審批和監(jiān)管；

15.進(jìn)一步重視軟件開(kāi)發(fā)安全。在市**局各信息系統(tǒng)立

項(xiàng)和審批過(guò)程中，同步考慮網(wǎng)絡(luò)信息安全系統(tǒng)定級(jí)等級(jí)保護(hù)

基本要求以及實(shí)際需求和目標(biāo)。保證系統(tǒng)設(shè)計(jì)、開(kāi)發(fā)過(guò)程的

安全，重點(diǎn)加強(qiáng)對(duì)軟件代碼安全性的管理。屬于外包軟件開(kāi)

發(fā)的，應(yīng)與服務(wù)提供商簽署保密協(xié)議。系統(tǒng)開(kāi)發(fā)完成后，應(yīng)

要求通過(guò)第三方安全機(jī)構(gòu)對(duì)軟件安全性的測(cè)評(píng)；

16.在符合國(guó)家密碼管理相關(guān)規(guī)定的條件下，合理使用

密碼技術(shù)和密碼設(shè)備，嚴(yán)格密鑰生成、分發(fā)、保存等方面的

安全管理；

17.重視對(duì)IT服務(wù)連續(xù)性的管理，建立對(duì)各類網(wǎng)絡(luò)信息

安全事件的預(yù)防、預(yù)警、響應(yīng)、處置、恢復(fù)機(jī)制，編寫(xiě)針對(duì)

市**局內(nèi)外網(wǎng)重要系統(tǒng)的應(yīng)急預(yù)案，并定期進(jìn)行演練；發(fā)生

網(wǎng)絡(luò)信息安全事件能迅速、有序地進(jìn)行應(yīng)急處置，最大限度

地降低因信息系統(tǒng)突發(fā)事件給市**局信息系統(tǒng)所帶來(lái)的影

響。

（三）網(wǎng)絡(luò)信息安全組織機(jī)構(gòu)

為明確市**局網(wǎng)絡(luò)信息安全管理組織機(jī)構(gòu)、角色、職責(zé)

等，促進(jìn)市**局信息系統(tǒng)安全管理的組織建設(shè)，指導(dǎo)市**局

網(wǎng)絡(luò)信息安全工作的開(kāi)展，落實(shí)網(wǎng)絡(luò)信息安全管理責(zé)任制，

特成立網(wǎng)絡(luò)信息安全工作領(lǐng)導(dǎo)小組全面負(fù)責(zé)單位網(wǎng)絡(luò)信息

安全總體工作部署，同時(shí)下設(shè)網(wǎng)絡(luò)信息安全工作領(lǐng)導(dǎo)小組職

能部門(mén)具體負(fù)責(zé)網(wǎng)絡(luò)信息安全工作的落實(shí)和管理。

網(wǎng)絡(luò)信息安全工作領(lǐng)導(dǎo)小組組長(zhǎng)：局長(zhǎng)

網(wǎng)絡(luò)信息安全工作領(lǐng)導(dǎo)小組副組長(zhǎng)：各分管局長(zhǎng)

網(wǎng)絡(luò)信息安全工作領(lǐng)導(dǎo)小組組員：局屬各科室、各單位

主要負(fù)責(zé)人

網(wǎng)絡(luò)信息安全職能部門(mén)：市農(nóng)水大數(shù)據(jù)中心

安全主管：網(wǎng)絡(luò)信息安全工作領(lǐng)導(dǎo)小組辦公室主任

安全管理員：陳恩光

機(jī)房管理員：王豪

網(wǎng)絡(luò)管理員：王靈燕

系統(tǒng)管理員：莫晨晨、葉春江

網(wǎng)絡(luò)信息安全工作領(lǐng)導(dǎo)小組職責(zé)：

1.貫徹落實(shí)國(guó)家網(wǎng)絡(luò)信息安全方面工作的方針政策，審

定市**局信息系統(tǒng)安全建設(shè)規(guī)劃；

2.對(duì)信息系統(tǒng)安全工作的重大事項(xiàng)做出決策；

3.研究審定市**局信息系統(tǒng)安全建設(shè)和管理工作中的

制度、標(biāo)準(zhǔn)及相關(guān)政策，并協(xié)調(diào)相關(guān)部門(mén)監(jiān)督制度、政策的

實(shí)施情況；

4.組織、協(xié)調(diào)和指導(dǎo)網(wǎng)絡(luò)信息安全的宣傳、普及教育工

作。組長(zhǎng)（或安全主管）職責(zé)：

1.負(fù)責(zé)貫徹落實(shí)網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)小組關(guān)于信息系統(tǒng)

安全工作的要求和規(guī)定；

2.根據(jù)信息化建設(shè)的總體目標(biāo)，負(fù)責(zé)建立信息系統(tǒng)的安

全管理體系，包括：制度建設(shè)、技術(shù)保障和操作規(guī)范等各方

面的逐步建成；

3.組織制訂和貫徹信息系統(tǒng)運(yùn)行和維護(hù)工作制度；

4.負(fù)責(zé)管理落實(shí)網(wǎng)絡(luò)信息安全工作領(lǐng)導(dǎo)小組部署的各

項(xiàng)工作。

安全管理員職責(zé)：

1.負(fù)責(zé)安全制度的貫徹執(zhí)行；

2.負(fù)責(zé)制訂信息系統(tǒng)安全規(guī)劃，并在實(shí)施過(guò)程中逐步完

善；

3.負(fù)責(zé)制定安全設(shè)備或系統(tǒng)的相關(guān)資產(chǎn)清單。內(nèi)容包括

資產(chǎn)管理的責(zé)任部門(mén)、信息分類和資產(chǎn)標(biāo)識(shí)的方法和資產(chǎn)名

稱、重要程度、所處位置等；

4.負(fù)責(zé)規(guī)范安全設(shè)備或系統(tǒng)管理流程，建立管理臺(tái)帳,

明確資產(chǎn)所有者、使用者與維護(hù)者，對(duì)安全設(shè)備或系統(tǒng)進(jìn)行

標(biāo)記，實(shí)現(xiàn)對(duì)機(jī)房資產(chǎn)購(gòu)買、使用、變更、報(bào)廢整個(gè)周期的

安全管理；

5.負(fù)責(zé)制定安全設(shè)備或系統(tǒng)的文檔化的操作和維護(hù)規(guī)

程，使相關(guān)人員按規(guī)程對(duì)系統(tǒng)進(jìn)行操作，降低因誤操作所引

發(fā)網(wǎng)絡(luò)信息安全事件的概率;

6.負(fù)責(zé)對(duì)安全設(shè)備或系統(tǒng)運(yùn)行維護(hù)管理，對(duì)安全設(shè)備或

系統(tǒng)運(yùn)轉(zhuǎn)情況進(jìn)行定期巡檢、維護(hù)、故障處理和變更管理。

負(fù)責(zé)組織分配安全設(shè)備或系統(tǒng)各類事故（故障）應(yīng)急處理的

管理；

7.負(fù)責(zé)協(xié)助領(lǐng)導(dǎo)安排安全培訓(xùn)以及制定每年安全教育

計(jì)劃，加強(qiáng)業(yè)務(wù)信息系統(tǒng)的安全教育，通過(guò)各種方式進(jìn)行宣

傳和培訓(xùn)，提高全系統(tǒng)安全防范意識(shí)；

8.負(fù)責(zé)制定至少每季度檢查一次的安全檢查計(jì)劃制度，

包括檢查職責(zé)、周期、范圍、內(nèi)容、報(bào)告的編制、整改、通

報(bào)等；

9.當(dāng)出現(xiàn)安全事件時(shí)，負(fù)責(zé)對(duì)發(fā)生的安全事件及時(shí)上報(bào),

并配合相關(guān)部門(mén)的調(diào)查和糾正工作；

10.當(dāng)業(yè)務(wù)信息系統(tǒng)運(yùn)行發(fā)生重大問(wèn)題時(shí)，協(xié)同相關(guān)部

門(mén)一起判斷原因，根據(jù)應(yīng)急響應(yīng)或網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)小組指

令及時(shí)啟動(dòng)相關(guān)處理程序；

1L負(fù)責(zé)與外部安全機(jī)構(gòu)的協(xié)調(diào)聯(lián)系，獲取外部安全機(jī)

構(gòu)的最大資源。

12.負(fù)責(zé)對(duì)介質(zhì)的管理。對(duì)介質(zhì)的歸檔、查詢和借用進(jìn)

行記錄，對(duì)介質(zhì)進(jìn)行定期盤(pán)點(diǎn)并記錄，對(duì)故障介質(zhì)的進(jìn)行送

修和銷毀并記錄，對(duì)于保密性高的介質(zhì)銷毀申報(bào)領(lǐng)導(dǎo)批準(zhǔn)，

并進(jìn)行記錄。對(duì)介質(zhì)物理傳輸?shù)慕唤舆M(jìn)行記錄。

13.負(fù)責(zé)對(duì)各種記錄文檔、表單進(jìn)行半年一次的匯總，

對(duì)制度開(kāi)展情況向網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)小組領(lǐng)導(dǎo)進(jìn)行匯報(bào)；

14.加強(qiáng)對(duì)信息系統(tǒng)外包業(yè)務(wù)與外包方的管理，簽署的

服務(wù)協(xié)議對(duì)信息系統(tǒng)安全要求加以細(xì)化、明確。通過(guò)審批、

訪問(wèn)控制、監(jiān)控、簽署保密協(xié)議等措施，加強(qiáng)外部方訪問(wèn)信

息系統(tǒng)的控制能力，防止外部方危害信息系統(tǒng)安全；

15.重視對(duì)IT服務(wù)連續(xù)性的管理，建立對(duì)各類網(wǎng)絡(luò)信息

安全事件的預(yù)防、預(yù)警、響應(yīng)、處置、恢復(fù)機(jī)制，編寫(xiě)針對(duì)

市**局內(nèi)外網(wǎng)重要系統(tǒng)的應(yīng)急預(yù)案，并定期進(jìn)行演練；發(fā)生

網(wǎng)絡(luò)信息安全事件能迅速、有序地進(jìn)行應(yīng)急處置，最大限度

地降低因信息系統(tǒng)突發(fā)事件給市**局信息系統(tǒng)所帶來(lái)的影

響；

16.在符合國(guó)家密碼管理相關(guān)規(guī)定的條件下，合理使用

密碼技術(shù)和密碼設(shè)備，嚴(yán)格密鑰生成、分發(fā)、保存等方面的

安全管理。

機(jī)房管理員職責(zé)：

1.負(fù)責(zé)保障機(jī)房物理與環(huán)境的安全建設(shè)管理，對(duì)實(shí)施方

責(zé)任、時(shí)間進(jìn)度、任務(wù)要求、質(zhì)量控制等進(jìn)行監(jiān)督管理；

2.負(fù)責(zé)制定機(jī)房基礎(chǔ)設(shè)施的相關(guān)資產(chǎn)清單，對(duì)所有機(jī)房

資產(chǎn)進(jìn)行標(biāo)記。內(nèi)容包括資產(chǎn)管理的責(zé)任部門(mén)、信息分類和

資產(chǎn)標(biāo)識(shí)的方法和資產(chǎn)名稱、重要程度、所處位置等；

3.規(guī)范機(jī)房資產(chǎn)（包括機(jī)房物理與環(huán)境等）管理流程,

建立機(jī)房資產(chǎn)管理臺(tái)帳，明確資產(chǎn)所有者、使用者與維護(hù)者,

實(shí)現(xiàn)對(duì)機(jī)房資產(chǎn)購(gòu)買、使用、變更、報(bào)廢整個(gè)周期的安全管

理；

4.負(fù)責(zé)制定重要基礎(chǔ)設(shè)施等文檔化的操作和維護(hù)規(guī)程,

使相關(guān)人員按規(guī)程對(duì)系統(tǒng)進(jìn)行使用和操作，降低因誤操作所

引發(fā)網(wǎng)絡(luò)信息安全事件概率；

5.落實(shí)包括門(mén)禁、視頻監(jiān)控、報(bào)警等安全防范措施，確

保機(jī)房物理與環(huán)境安全。部署機(jī)房專用空調(diào)、在線式UPS等

環(huán)境保障設(shè)施，對(duì)機(jī)房設(shè)施運(yùn)轉(zhuǎn)情況進(jìn)行定期巡檢和維護(hù)。

制定對(duì)機(jī)房人員和設(shè)備的出入管理制度，對(duì)機(jī)房的進(jìn)出入人

員進(jìn)行登記備案；

6.對(duì)機(jī)房基礎(chǔ)設(shè)施變更、重要操作、物理訪問(wèn)等進(jìn)行逐

級(jí)審批，負(fù)責(zé)日常審批，重大變更上報(bào)到網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)

小組；

7.負(fù)責(zé)組織實(shí)施機(jī)房基礎(chǔ)設(shè)施各類事故（故障）的應(yīng)急

處理。網(wǎng)絡(luò)管理員職責(zé)：

1.負(fù)責(zé)保障網(wǎng)絡(luò)安全建設(shè)管理，對(duì)實(shí)施方責(zé)任、時(shí)間進(jìn)

度、任務(wù)要求、質(zhì)量控制等進(jìn)行監(jiān)督管理；

2.規(guī)范網(wǎng)絡(luò)管理流程，建立網(wǎng)絡(luò)相關(guān)資產(chǎn)管理臺(tái)帳，明

確資產(chǎn)所有者、使用者與維護(hù)者，對(duì)所有信息密產(chǎn)進(jìn)行標(biāo)記,

實(shí)現(xiàn)對(duì)信息資產(chǎn)購(gòu)買、使用、變更、報(bào)廢整個(gè)周期的安全管

理；

3.確定安全策略，采用技術(shù)和管理兩方面的控制措施,

加強(qiáng)對(duì)市**局內(nèi)外網(wǎng)的安全控制，不斷提高區(qū)絡(luò)的安全性和

穩(wěn)定性。通過(guò)實(shí)施網(wǎng)絡(luò)訪問(wèn)控制等技術(shù)和接入內(nèi)網(wǎng)嚴(yán)格審批

措施，加強(qiáng)安全管理，加強(qiáng)對(duì)市**局各科室網(wǎng)絡(luò)使用的安全

培訓(xùn)和教育，確保市**局網(wǎng)絡(luò)的安全；

4.對(duì)重要網(wǎng)絡(luò)設(shè)備應(yīng)有文檔化的操作和維護(hù)規(guī)程，使各

個(gè)相關(guān)人員按規(guī)程對(duì)系統(tǒng)使用和操作，降低因誤操作所引發(fā)

網(wǎng)絡(luò)信息安全事件概率；

5.負(fù)責(zé)保障網(wǎng)絡(luò)安全。協(xié)助安全管理員部署網(wǎng)絡(luò)安全產(chǎn)

品，確保網(wǎng)絡(luò)安全。對(duì)網(wǎng)絡(luò)設(shè)備設(shè)施運(yùn)轉(zhuǎn)情況進(jìn)行定期巡檢、

維護(hù)、故障處理和變更管理；

6,對(duì)網(wǎng)絡(luò)系統(tǒng)變更、重要操作、訪問(wèn)等進(jìn)行逐級(jí)審批,

負(fù)責(zé)日常審批，重大變更上報(bào)到網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)小組；

7.負(fù)責(zé)組織實(shí)施網(wǎng)絡(luò)各類事故（故障）的應(yīng)急處理。

系統(tǒng)管理員職責(zé)：

L負(fù)責(zé)保障主機(jī)（包括服務(wù)器設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)

系統(tǒng)、數(shù)據(jù)備份）安全建設(shè)管理，對(duì)實(shí)施方責(zé)任、時(shí)間進(jìn)度、

任務(wù)要求、質(zhì)量控制等進(jìn)行監(jiān)督管理；

2.對(duì)重要的信息和信息系統(tǒng)進(jìn)行備份，并對(duì)備份介質(zhì)進(jìn)

行安全地保存，以及對(duì)備份數(shù)據(jù)定期進(jìn)行備份測(cè)試驗(yàn)證，保

證各種備份信息的保密性、完整性和可用性，確保所有重要

信息系統(tǒng)和重要數(shù)據(jù)在故障或?yàn)?zāi)難下的可靠的恢復(fù)；

3.在服務(wù)器和工作站進(jìn)行統(tǒng)一部署防惡意代碼軟件，并

進(jìn)行惡意代碼庫(kù)的統(tǒng)一更新，防范惡意代碼、木馬等惡意代

碼對(duì)市**局信息系統(tǒng)的影響。通過(guò)強(qiáng)化惡意代碼防范的管理

措施，如加強(qiáng)主機(jī)管理，嚴(yán)禁擅自安裝軟件，定期進(jìn)行惡意

代碼檢測(cè)等，提高市**局信息系統(tǒng)對(duì)惡意代碼的防范能力。

負(fù)責(zé)全系統(tǒng)的計(jì)算機(jī)惡意代碼防治和主機(jī)安全的管理工作，

制定檢查計(jì)劃（包含在主機(jī)巡檢工作中），督促檢查工作；

4.加強(qiáng)網(wǎng)絡(luò)信息安全日常管理，包括系統(tǒng)口令管理、無(wú)

人值守設(shè)備管理等，使信息化日常工作符合市**局網(wǎng)絡(luò)信息

安全策略和制度要求；

5.規(guī)范主機(jī)（包括服務(wù)器設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、

數(shù)據(jù)備份）資產(chǎn)管理流程，建立主機(jī)相關(guān)資產(chǎn)管理臺(tái)帳，明

確資產(chǎn)所有者、使用者與維護(hù)者，對(duì)所有信息資產(chǎn)進(jìn)行標(biāo)記，

實(shí)現(xiàn)對(duì)主機(jī)相關(guān)資產(chǎn)購(gòu)買、使用、變更、報(bào)廢整個(gè)周期的安

全管理；

6.在主機(jī)系統(tǒng)變更、重要操作、訪問(wèn)等的進(jìn)行逐級(jí)審批，

負(fù)責(zé)日常審批，重大變更上報(bào)到網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)小組；

7.加強(qiáng)網(wǎng)絡(luò)信息安全日常管理，包括應(yīng)住系統(tǒng)口令管理、

授權(quán)審批管理等，使系統(tǒng)的日常工作符合市**局網(wǎng)絡(luò)信息安

全策略和制度要求；

8.負(fù)責(zé)組織實(shí)施應(yīng)用系統(tǒng)各類事故（故障）的應(yīng)急處理。

應(yīng)用管理員職責(zé)：

1,負(fù)責(zé)保障軟件開(kāi)發(fā)管理，對(duì)實(shí)施方責(zé)任、時(shí)間進(jìn)度、

任務(wù)要求、質(zhì)量控制等進(jìn)行監(jiān)督管理。進(jìn)一步重視軟件開(kāi)發(fā)

安全。在信息系統(tǒng)立項(xiàng)和審批過(guò)程中，同步考慮網(wǎng)絡(luò)信息安

全系統(tǒng)定級(jí)等級(jí)保護(hù)基本要求以及實(shí)際需求和目標(biāo)。保證系

統(tǒng)設(shè)計(jì)、開(kāi)發(fā)過(guò)程的安全，重點(diǎn)加強(qiáng)對(duì)軟件代碼安全性的管

理。屬于外包軟件開(kāi)發(fā)的，應(yīng)與服務(wù)提供商簽署保密協(xié)議。

系統(tǒng)開(kāi)發(fā)完成后，應(yīng)要求通過(guò)第三方安全機(jī)構(gòu)對(duì)軟件安全性

的測(cè)評(píng)；

2.規(guī)范信息資產(chǎn)管理流程，建立信息資產(chǎn)管理臺(tái)帳，明

確資產(chǎn)所有者、使用者與維護(hù)者，對(duì)所有信息資產(chǎn)進(jìn)行標(biāo)記，

實(shí)現(xiàn)對(duì)信息資產(chǎn)購(gòu)買、使用、變更、報(bào)廢整個(gè)周期的安全管

理；

3.負(fù)責(zé)建立重要應(yīng)用的文檔化操作和維護(hù)規(guī)程，使各個(gè)

相關(guān)人員按規(guī)程對(duì)系統(tǒng)進(jìn)行使用和操作，降低因誤操作所引

發(fā)網(wǎng)絡(luò)信息安全事件概率；

4.加強(qiáng)網(wǎng)絡(luò)信息安全日常管理，包括應(yīng)住系統(tǒng)口令管理、

授權(quán)審批管理等，使信息化日常工作符合網(wǎng)絡(luò)信息安全策略

和制度要求；

5.對(duì)應(yīng)用系統(tǒng)變更、重要操作、訪問(wèn)等進(jìn)行逐級(jí)審批，

負(fù)責(zé)日常審批，重大變更上報(bào)到網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)小組；

6.負(fù)責(zé)組織實(shí)施應(yīng)用系統(tǒng)各類事故（故障）的應(yīng)急處理。

二、安全管理制度

（一）制度的編制

L信息管理職能部門(mén)根據(jù)網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)小組工作

要求，結(jié)合部門(mén)職責(zé)及網(wǎng)絡(luò)信息安全管理活動(dòng)中的內(nèi)容細(xì)貝L

負(fù)責(zé)組織編制網(wǎng)絡(luò)信息安全管理體系文件，形成初稿；

2.安全管理員負(fù)責(zé)組織對(duì)網(wǎng)絡(luò)信息安全管理體系文件

的評(píng)審，并將審核后的文件報(bào)網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)小組，由網(wǎng)

絡(luò)信息安全領(lǐng)導(dǎo)小組對(duì)網(wǎng)絡(luò)信息安全管理體系文件進(jìn)行核

審，形成最終的報(bào)審稿。

（二）制度的批準(zhǔn)、發(fā)布

1.安全管理員負(fù)責(zé)對(duì)網(wǎng)絡(luò)信息安全管理體系文件的報(bào)

審稿進(jìn)行登記、核稿后，由網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)小組對(duì)網(wǎng)絡(luò)信

息安全管理體系文件進(jìn)行核審，形成最終的報(bào)審稿。

2,組織相關(guān)人員進(jìn)行評(píng)審，網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)小組組長(zhǎng)

審閱、簽批后發(fā)布。

（三）制度的發(fā)放

網(wǎng)絡(luò)信息安全管理體系文件由安全管理員發(fā)放到各負(fù)

責(zé)人（機(jī)房管理員、網(wǎng)絡(luò)管理員、系統(tǒng)管理員），或者通過(guò)

單位內(nèi)網(wǎng)進(jìn)行發(fā)布，同時(shí)辦公室負(fù)責(zé)將各管理制度整理成匯

編打印裝訂，發(fā)送到各相關(guān)科室或工作人員手中。

（四）制度評(píng)審和修訂

由安全管理員定期或不定期組織工作人員進(jìn)行文件適

用性的檢查情況，并對(duì)現(xiàn)有文件的有效性進(jìn)行評(píng)審。對(duì)不合

適的地方進(jìn)行修訂，必要時(shí)更換新版。

三、安全管理機(jī)構(gòu)

（一）關(guān)鍵活動(dòng)的授權(quán)和審批

L在系統(tǒng)運(yùn)維過(guò)程中，安全管理員對(duì)信息系統(tǒng)的訪問(wèn)、

變更等授權(quán)給系統(tǒng)運(yùn)維部門(mén)。具體為機(jī)房管理員負(fù)責(zé)機(jī)房相

關(guān)事項(xiàng)的授權(quán)和審批、網(wǎng)絡(luò)管理員和系統(tǒng)管理員分別負(fù)責(zé)網(wǎng)

絡(luò)和系統(tǒng)相關(guān)事項(xiàng)的授權(quán)和審批；

2.授權(quán)審批流程：

a）由系統(tǒng)運(yùn)維部門(mén)判斷職責(zé)及事項(xiàng)，授權(quán)給相應(yīng)的管理

員；

b）系統(tǒng)若外包的，由外包服務(wù)公司申請(qǐng)，授權(quán)相應(yīng)的管

理員。

（二）審核和檢查

組織專門(mén)人員（或委托外包公司）定期或不定期進(jìn)行安

全檢查，包括網(wǎng)絡(luò)、安全設(shè)備、系統(tǒng)等各方面的安全檢查。

記錄檢查結(jié)果。規(guī)范安全檢查的內(nèi)容并統(tǒng)一分析檢查結(jié)果。

（三）溝通合作

L加強(qiáng)各類管理人員之間、組織內(nèi)部機(jī)構(gòu)之間以及網(wǎng)絡(luò)

信息安全職能部門(mén)內(nèi)部的合作與溝通，定期或不定期召開(kāi)協(xié)

調(diào)會(huì)議，共同協(xié)作處理網(wǎng)絡(luò)信息安全問(wèn)題；

2.加強(qiáng)與網(wǎng)絡(luò)信息安全主管單位、公安機(jī)關(guān)、電信公司

的合作與溝通;

3.加強(qiáng)與供應(yīng)商、業(yè)界專家、專業(yè)的安全公司、安全組

織的合作與溝通；

4.建立外聯(lián)單位聯(lián)系列表，包括外聯(lián)單位名稱、合作內(nèi)

容、聯(lián)系人和聯(lián)系方式等信息；

5.對(duì)協(xié)調(diào)會(huì)議、安全評(píng)審以及交流活動(dòng)等進(jìn)行記錄。

四、人員安全管理

崗位網(wǎng)絡(luò)信息安全檢查

0各科室（部門(mén)）應(yīng)提高安全意識(shí)，定期或不定期對(duì)

本科室（部門(mén)）崗位進(jìn)行網(wǎng)絡(luò)信息安全檢查，確保網(wǎng)絡(luò)信息

安全制度和操作規(guī)程得到了有效地執(zhí)行

0網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)小組應(yīng)不定期抽查各科室（部門(mén)）

的崗位網(wǎng)絡(luò)信息安全職責(zé)的落實(shí)情況，確保各科室（部門(mén)）

的崗位網(wǎng)絡(luò)信息安全職責(zé)的落實(shí)

網(wǎng)絡(luò)信息安全違規(guī)的紀(jì)律處理

0對(duì)于網(wǎng)絡(luò)信息安全事故和在網(wǎng)絡(luò)信息安全檢查中

發(fā)現(xiàn)的違規(guī)行為，由網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)小組根據(jù)有關(guān)考核規(guī)

定對(duì)該人員進(jìn)行處罰

0對(duì)于情節(jié)特別嚴(yán)重的違規(guī)行為，還應(yīng)借助網(wǎng)絡(luò)、簡(jiǎn)

報(bào)等媒介向市**局其它單位進(jìn)行通報(bào)，避免同類問(wèn)題再次發(fā)

生

人員考核培訓(xùn)

0定期或不定期得對(duì)各個(gè)崗位的人員進(jìn)行安全技能

及安全認(rèn)知的考核

0對(duì)各類人員進(jìn)行安全意識(shí)教育、崗位技能培訓(xùn)和相

關(guān)安全技術(shù)培訓(xùn)

0對(duì)安全責(zé)任和懲戒措施進(jìn)行書(shū)面規(guī)定并告知相關(guān)

人員，對(duì)違反違背安全策略和規(guī)定的人員進(jìn)行懲戒

0對(duì)安全教育和培訓(xùn)進(jìn)行書(shū)面規(guī)定，針對(duì)不同崗位制

定不同的培訓(xùn)計(jì)劃，對(duì)網(wǎng)絡(luò)信息安全基礎(chǔ)知識(shí)、崗位操作規(guī)

程等進(jìn)行培訓(xùn)

0對(duì)培訓(xùn)進(jìn)行登記，對(duì)考核進(jìn)行記錄登記

人員離崗

0各科室（部門(mén)）在人員任用終止時(shí)，應(yīng)按照離崗手

續(xù)，由人力資源部通知相關(guān)科室（部門(mén)）對(duì)該人員使用信息

和信息系統(tǒng)的權(quán)限進(jìn)行調(diào)整

0各科室（部門(mén)）依照相關(guān)人員的個(gè)人權(quán)限清單，修

改、限制或刪除相關(guān)信息和信息系統(tǒng)的訪問(wèn)權(quán)限，包括物理

訪問(wèn)、邏輯訪問(wèn)、密鑰及ID卡等，并作相應(yīng)記錄

0各科室（部門(mén)）應(yīng)立即撤銷或停用離崗人員所使用

的賬戶，或者修改離崗人員所掌握的系統(tǒng)帳戶口令

離職后網(wǎng)絡(luò)信息安全職責(zé)的追蹤和管理

0離職人員應(yīng)明確其離職后仍需擔(dān)負(fù)的安全責(zé)任和

義務(wù)，以及違反安全責(zé)任和義務(wù)所引發(fā)的后果

0如發(fā)生有離職人員違反其應(yīng)負(fù)的安全責(zé)任，泄露市

**局敏感秘密，網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)小組按照有關(guān)規(guī)定和相關(guān)

協(xié)議追究其法律責(zé)任

外來(lái)人員的網(wǎng)絡(luò)信息安全管理

0各科室（部門(mén)）在與外部方簽訂合同時(shí)，應(yīng)按照崗

位角色和職責(zé)要求，在合同中對(duì)外來(lái)人員進(jìn)行約束

0各單位（部門(mén)）應(yīng)按照市**局網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)小

組有關(guān)網(wǎng)絡(luò)信息安全管理規(guī)定以及合同要求，對(duì)所有外來(lái)人

員進(jìn)行監(jiān)督和檢查，并就安全違規(guī)情況按合同條款中的要求

進(jìn)行處理

0確保在外部人員訪問(wèn)受控域前先提出書(shū)面申請(qǐng)，批

準(zhǔn)后由專人全程陪同或監(jiān)督，并登記備案

五、系統(tǒng)建設(shè)管理

（一）規(guī)劃設(shè)計(jì)

L總體安全規(guī)劃階段的工作流程

0近期、遠(yuǎn)期的安全需求分析

0近期、遠(yuǎn)期的總體安全設(shè)計(jì)

0安全管理員負(fù)責(zé)制定安全建設(shè)項(xiàng)目規(guī)劃

2.安全需求分析

0基本安全需求的確定

0額外/特殊安全需求的確定

0形成安全需求分析報(bào)告

3.總體安全設(shè)計(jì)

0總體安全策略設(shè)計(jì)：根據(jù)系統(tǒng)安全等級(jí)選定安全策

略、基本安全措施，依據(jù)風(fēng)險(xiǎn)評(píng)估補(bǔ)充和調(diào)整安全措施

0安全技術(shù)體系結(jié)構(gòu)設(shè)計(jì)

0整體安全管理體系結(jié)構(gòu)設(shè)計(jì)

0設(shè)計(jì)結(jié)果文檔化

4.安全建設(shè)項(xiàng)目規(guī)劃

0安全建設(shè)目標(biāo)確定

0安全建設(shè)內(nèi)容規(guī)劃

0形成安全建設(shè)項(xiàng)目計(jì)劃

（二）設(shè)備選型

信息系統(tǒng)采取有關(guān)網(wǎng)絡(luò)信息安全技術(shù)措施和采購(gòu)裝備

相應(yīng)的設(shè)備時(shí)，應(yīng)遵循下列原則：

1.應(yīng)確保產(chǎn)品采購(gòu)和使用符合國(guó)家網(wǎng)絡(luò)信息安全的有

關(guān)規(guī)定；

2.應(yīng)預(yù)先對(duì)產(chǎn)品進(jìn)行選型測(cè)試，確定產(chǎn)品的候選范圍,

并定期審定和更新候選產(chǎn)品名單；

3.盡量采用我國(guó)自主開(kāi)發(fā)研制的網(wǎng)絡(luò)信息安全技術(shù)和

設(shè)備；

4.采用境外網(wǎng)絡(luò)信息安全產(chǎn)品時(shí)，產(chǎn)品必須通過(guò)國(guó)家網(wǎng)

絡(luò)信息安全測(cè)評(píng)機(jī)構(gòu)的認(rèn)可；

5,嚴(yán)禁使用未經(jīng)國(guó)家密碼管理部門(mén)批準(zhǔn)和未通過(guò)國(guó)家

網(wǎng)絡(luò)信息安全質(zhì)量認(rèn)證的密碼設(shè)備。

（三）采購(gòu)和安裝

軟件和設(shè)備的采購(gòu)和安裝

1.信息系統(tǒng)所使用的操作系統(tǒng)、應(yīng)用軟件、數(shù)據(jù)庫(kù)、安

全軟件、工具軟件必須是正式版本，嚴(yán)禁使用測(cè)試版和盜版

軟件；

2.重要的操作系統(tǒng)和主要應(yīng)用軟件必須在安全管理員

的監(jiān)督之下進(jìn)行安裝；

3.設(shè)備符合系統(tǒng)選型要求并獲得批準(zhǔn)后，方可購(gòu)置；

4.選型的設(shè)備進(jìn)行系統(tǒng)適用性測(cè)試，確保選型的設(shè)備符

合系統(tǒng)技術(shù)性能指標(biāo)要求；

5.凡購(gòu)回的設(shè)備均應(yīng)在測(cè)試環(huán)境下經(jīng)過(guò)連續(xù)72小時(shí)以

上的單機(jī)運(yùn)行測(cè)試和聯(lián)機(jī)48小時(shí)的應(yīng)用系統(tǒng)兼容性運(yùn)行測(cè)

試；

6.通過(guò)上述測(cè)試后，設(shè)備才能進(jìn)入試運(yùn)行階段。試運(yùn)行

時(shí)間的長(zhǎng)短可根據(jù)需要自行確定；

7.通過(guò)試運(yùn)行的設(shè)備，才能投入系統(tǒng)，正式運(yùn)行。

（四）軟件開(kāi)發(fā)管理

軟件自行開(kāi)發(fā)管理

1.系統(tǒng)應(yīng)用軟件的開(kāi)發(fā)必須根據(jù)信息密級(jí)和安全等級(jí),

同步進(jìn)行相應(yīng)的安全設(shè)計(jì)，并制定各階段安全目標(biāo)，按目標(biāo)

進(jìn)行管理和實(shí)施；

2.系統(tǒng)應(yīng)用軟件的開(kāi)發(fā)，必須有安全管理專業(yè)的技術(shù)人

員參加，其主要任務(wù)是：對(duì)系統(tǒng)方案與開(kāi)發(fā)進(jìn)行安全審查和

監(jiān)督，負(fù)責(zé)系統(tǒng)安全設(shè)計(jì)和實(shí)施；

3.開(kāi)發(fā)環(huán)境和現(xiàn)場(chǎng)必須與辦公環(huán)境和工作現(xiàn)場(chǎng)分開(kāi)，軟

件設(shè)計(jì)方案、數(shù)據(jù)結(jié)構(gòu)、安全管理、操作監(jiān)控手段、數(shù)據(jù)加

密形式、原代碼等，只能在有關(guān)開(kāi)發(fā)人員及有關(guān)管理機(jī)構(gòu)中

流動(dòng)，嚴(yán)禁散失或外泄；開(kāi)發(fā)人員和測(cè)試人員分離，測(cè)試數(shù)

據(jù)和測(cè)試結(jié)果受到控制；

4.應(yīng)用軟件開(kāi)發(fā)必須符合軟件工程規(guī)范［GB8566-88］、

［GB1526-89］；

5.要求開(kāi)發(fā)人員參照代碼編寫(xiě)安全規(guī)范編寫(xiě)代碼；

6.確保提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南，并由專人

負(fù)責(zé)保管；

7.確保對(duì)程序資源庫(kù)的修改、更新、發(fā)布進(jìn)行授權(quán)和批

準(zhǔn)。

外包軟件開(kāi)發(fā)管理

1.要求開(kāi)發(fā)單位提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南；

2,在委托開(kāi)發(fā)過(guò)程中，應(yīng)加強(qiáng)開(kāi)發(fā)過(guò)程中的安全管理和

監(jiān)控，重點(diǎn)考慮資質(zhì)、許可證、代碼所有權(quán)和知識(shí)產(chǎn)權(quán)；審

核工作質(zhì)量和訪問(wèn)權(quán)限，代碼質(zhì)量和安全功能達(dá)到合同要求。

特殊情況應(yīng)測(cè)試惡意代碼和特洛伊木馬；

3.應(yīng)要求軟件開(kāi)發(fā)商在所開(kāi)發(fā)的信息系統(tǒng)內(nèi)設(shè)計(jì)實(shí)現(xiàn)

了安全控制措施，確保信息在系統(tǒng)中得到了正確處理;

4.項(xiàng)目合同對(duì)軟件源代碼和審查軟件中可能存在的后

門(mén)進(jìn)行明確規(guī)定；

5.在開(kāi)發(fā)過(guò)程中，應(yīng)采取控制措施，減少信息泄露的可

能性，重點(diǎn)考慮：規(guī)范開(kāi)發(fā)過(guò)程中的通信行為，以減少第三

方從這些行為中推斷信息的可能性；在現(xiàn)有法律或法規(guī)允許

的情況下，定期監(jiān)視個(gè)人和系統(tǒng)的活動(dòng)；監(jiān)視計(jì)算機(jī)系統(tǒng)的

資源使用；防止非授權(quán)的網(wǎng)絡(luò)訪問(wèn)；對(duì)程序源代碼的防護(hù)管

理；

6.系統(tǒng)運(yùn)維管理部門(mén)應(yīng)要求軟件開(kāi)發(fā)商對(duì)程序源代碼

進(jìn)行管理與控制。程序源代碼應(yīng)集中保存在代碼庫(kù)中，對(duì)代

碼庫(kù)實(shí)施安全保護(hù)。俁護(hù)措施主要包括：建立程序源代碼和

源程序庫(kù)管理規(guī)范；對(duì)訪問(wèn)源程序庫(kù)人員進(jìn)行授權(quán)管制；程

序列表應(yīng)保存在安全的環(huán)境中；建立對(duì)源程序庫(kù)所有訪問(wèn)的

審核日志；維護(hù)和拷貝源程序庫(kù)應(yīng)受嚴(yán)格的限制；

7.測(cè)試數(shù)據(jù)的管理。系統(tǒng)運(yùn)維管理部門(mén)對(duì)于開(kāi)發(fā)過(guò)程中

涉及的測(cè)試數(shù)據(jù)。在測(cè)試數(shù)據(jù)選擇過(guò)程中，應(yīng)避免使用包含

個(gè)人信息或其它敏感信息的運(yùn)行數(shù)據(jù)庫(kù)用于測(cè)試。其控制措

施包括：運(yùn)行信息每次被拷貝到測(cè)試系統(tǒng)時(shí)應(yīng)有獨(dú)立的授權(quán);

測(cè)試完成后，應(yīng)立即從測(cè)試系統(tǒng)中清除運(yùn)行信息或進(jìn)行授權(quán)

訪問(wèn)控制；記錄運(yùn)行信息的拷貝和使用日志；

8.信息系統(tǒng)安全整體測(cè)試。系統(tǒng)運(yùn)維管理部門(mén)組織信息

系統(tǒng)使用單位（部門(mén)）在離線測(cè)試環(huán)境下對(duì)所開(kāi)發(fā)信息系統(tǒng)

進(jìn)行安全測(cè)試。經(jīng)過(guò)測(cè)試確認(rèn)后，方可轉(zhuǎn)入正式環(huán)境，并組

織評(píng)估測(cè)試結(jié)果的安全符合性。

（五）工程實(shí)施

1.指定或授權(quán)專門(mén)的部門(mén)或人員負(fù)責(zé)工程實(shí)施過(guò)程的

管理，必要時(shí)可引入外部信息工程監(jiān)理機(jī)構(gòu)進(jìn)行工程實(shí)施的

監(jiān)理；

2.由項(xiàng)目承建方制定詳細(xì)的工程實(shí)施方案控制實(shí)施過(guò)

程，由項(xiàng)目組認(rèn)可并要求工程實(shí)施單位能按計(jì)劃執(zhí)行工程實(shí)

施；

3.由項(xiàng)目承建方制定工程實(shí)施方面的管理規(guī)范，明確說(shuō)

明實(shí)施過(guò)程的控制方法和人員行為準(zhǔn)則，及時(shí)向相關(guān)部門(mén)提

交文檔。

（六）測(cè)試驗(yàn)收

1.委托第三方測(cè)試單位對(duì)系統(tǒng)進(jìn)行安全性測(cè)試，并出具

安全性測(cè)試報(bào)告，要求項(xiàng)目承建方根據(jù)測(cè)試結(jié)果及時(shí)進(jìn)行整

改；

2.在測(cè)試前應(yīng)根據(jù)設(shè)計(jì)方案或合同要求等制訂測(cè)試方

案，在測(cè)試過(guò)程中應(yīng)詳細(xì)記錄測(cè)試結(jié)果，并形成測(cè)試報(bào)告,

測(cè)試通過(guò)后方可進(jìn)行驗(yàn)收；

3,對(duì)系統(tǒng)測(cè)試驗(yàn)收的控制方法和人員行為準(zhǔn)則進(jìn)行書(shū)

面規(guī)定；

4.指定或授權(quán)專門(mén)的部門(mén)或人員負(fù)責(zé)系統(tǒng)測(cè)試驗(yàn)收的

管理，并按照管理規(guī)定的要求完成系統(tǒng)測(cè)試驗(yàn)收工作;

5.組織相關(guān)部門(mén)和相關(guān)人員對(duì)系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告進(jìn)行

審定，并簽字確認(rèn)。

（七）系統(tǒng)交付

1.對(duì)系統(tǒng)交付的建制方法和人員行為準(zhǔn)則進(jìn)行書(shū)面規(guī)

定；

2.應(yīng)指定或授權(quán)專門(mén)的部門(mén)負(fù)責(zé)系統(tǒng)交付的管理工作，

并按照管理規(guī)定的要求完成系統(tǒng)交付工作；

3.制定詳細(xì)的系統(tǒng)交付清單，并根據(jù)交付清單對(duì)所交接

的設(shè)備、軟件和文檔等進(jìn)行清點(diǎn)和確認(rèn)；

4.對(duì)負(fù)責(zé)系統(tǒng)運(yùn)行維護(hù)的技術(shù)人員進(jìn)行相應(yīng)的技能培

訓(xùn)，以及對(duì)系統(tǒng)最終用戶的操作進(jìn)行相應(yīng)的培訓(xùn)。

（A）系統(tǒng)建設(shè)服務(wù)商選擇

1.確保系統(tǒng)建設(shè)服務(wù)商的選擇符合國(guó)家網(wǎng)絡(luò)信息安全

的有關(guān)規(guī)定，必要時(shí)應(yīng)選擇有安全集成的相關(guān)資質(zhì)的服務(wù)商;

2.與選定的系統(tǒng)建設(shè)服務(wù)商簽訂與安全相關(guān)的保密協(xié)

議，明確約定相關(guān)責(zé)任；

3.確保選定的系統(tǒng)建設(shè)服務(wù)商提供技術(shù)培訓(xùn)和服務(wù)承

諾，必要的與其簽訂服務(wù)合同。

六、機(jī)房安全管理制度

（一）辦公環(huán)境管理辦法

1.工作人員調(diào)離所在部門(mén)時(shí)應(yīng)立即交還其所在辦公室

的鑰匙；

2.工作人員不在辦公區(qū)接待來(lái)訪人員，應(yīng)在指定允許的

時(shí)間和地點(diǎn)接待來(lái)訪人員；

3.工作人員應(yīng)確保其使用的終端計(jì)算機(jī)設(shè)置超時(shí)退出

登錄狀態(tài)，以及其辦公桌面上無(wú)敏感信息的紙檔文件。

（二）機(jī)房出入管理

1.若非必要，不要隨便進(jìn)入機(jī)房；出入機(jī)房必須登記，

填寫(xiě)《機(jī)房出入登記表》，最后離開(kāi)機(jī)房的人員要關(guān)燈、鎖

門(mén)。由機(jī)房負(fù)責(zé)人（管理員）對(duì)機(jī)房出入進(jìn)行每周核查；

2.機(jī)房負(fù)責(zé)門(mén)禁卡由當(dāng)天負(fù)責(zé)人員保管，不能隨意轉(zhuǎn)借。

丟失要及時(shí)聲明。

3,進(jìn)入機(jī)房換鞋套，自覺(jué)保持機(jī)房衛(wèi)生；

4?嚴(yán)禁攜帶易燃易爆物品、強(qiáng)磁物品、食品及其它與工

作無(wú)關(guān)的物品進(jìn)入機(jī)房。

（三）機(jī)房環(huán)境管理

L負(fù)責(zé)人員要打掃機(jī)房衛(wèi)生，保持地面干凈，機(jī)柜無(wú)塵

土，各種設(shè)備擺放整齊。

2.機(jī)房?jī)?nèi)禁止吸煙，注意防火；

3.工作人員進(jìn)入機(jī)房要檢查設(shè)備情況（包括空調(diào)溫、濕

度；電力系統(tǒng)；網(wǎng)絡(luò)設(shè)備；服務(wù)器），離開(kāi)時(shí)察看燈、門(mén)、

窗、鎖是否關(guān)閉好；

4.電力設(shè)施注意相關(guān)機(jī)房?jī)?nèi)設(shè)備不要插入墻壁插座。

（四）機(jī)房介質(zhì)管理

L對(duì)應(yīng)用系統(tǒng)使用、產(chǎn)生的介質(zhì)或資料要按其重要性進(jìn)

行分類，對(duì)存放有關(guān)鍵或重要數(shù)據(jù)的介質(zhì)（資料），分別存

放在不同的安全地方并建立嚴(yán)格的保密保管制度；

2.保留在機(jī)房?jī)?nèi)的介質(zhì)（資料），應(yīng)為系統(tǒng)有效運(yùn)行所

必需的最少數(shù)量，除此之外，不應(yīng)保留在機(jī)房?jī)?nèi)；

3.存放機(jī)房?jī)?nèi)的介質(zhì)（資料）應(yīng)該存放于防火、防高溫、

防震、防電磁場(chǎng)、防靜電及防盜的房間或保險(xiǎn)柜中；

4.介質(zhì)（資料）走，應(yīng)設(shè)專人（資產(chǎn)管理員）負(fù)責(zé)登記

保管，未經(jīng)批準(zhǔn)，不得隨意提供介質(zhì)（資料）；

5.對(duì)所有介質(zhì)（資料）應(yīng)定期檢查，要考慮介質(zhì)的安全

保存期限，及時(shí)更新復(fù)制。

（五）機(jī)房服務(wù)器管理

1.應(yīng)統(tǒng)一將服務(wù)器編號(hào)、操作系統(tǒng)、應(yīng)用系統(tǒng)、負(fù)責(zé)人、

IP地址、出廠序號(hào)、切換器編號(hào)等信息以標(biāo)簽方式張貼在服

務(wù)器前面板明顯位置，未經(jīng)許可，任何人不得撕毀、篡改。

服務(wù)器按應(yīng)用級(jí)別和管理責(zé)任不同分為重要、普通、測(cè)試、

托管四類，用不同顏色標(biāo)簽區(qū)分。測(cè)試服務(wù)器原則上不與其

他服務(wù)器安排在同一機(jī)柜內(nèi)。標(biāo)簽每半年復(fù)核一次；

2.服務(wù)器以及kvm切換器等設(shè)備是機(jī)房的重要設(shè)備，必

須按要求放置在機(jī)房指定機(jī)柜內(nèi)，不得擅自配置、移動(dòng)、更

換，更不能挪作它用。服務(wù)器物理位置一經(jīng)確定，不得隨意

變更。如需變更，由使用部門(mén)填寫(xiě)《服務(wù)器變更申請(qǐng)表》，

經(jīng)相關(guān)審批流程手續(xù)后，系統(tǒng)管理員確認(rèn)后方可變更；

3.根據(jù)系統(tǒng)建設(shè)需要將服務(wù)器連入或斷開(kāi)網(wǎng)絡(luò)，變更服

務(wù)器用途，應(yīng)用系統(tǒng)重大升級(jí)，變更密碼，改變目錄等，由

使用部門(mén)填寫(xiě)《服務(wù)器變更申請(qǐng)表》，經(jīng)相關(guān)審批流程手續(xù)

后，系統(tǒng)管理員確認(rèn)后方可變更。同時(shí)，網(wǎng)絡(luò)管理員根據(jù)實(shí)

際變更，在兩個(gè)工作日內(nèi)調(diào)整網(wǎng)管軟件監(jiān)控信息，備份保存

相關(guān)配置；

4.對(duì)服務(wù)器必須建立維護(hù)檔案，使用部匚是服務(wù)器維護(hù)

檔案的第一責(zé)任人，維護(hù)檔案由使用部門(mén)負(fù)責(zé)，項(xiàng)目開(kāi)發(fā)人

員，安全服務(wù)人員，機(jī)房管理人員，負(fù)責(zé)人員對(duì)服務(wù)器的任

何更改操作均要報(bào)使用部門(mén)進(jìn)行記錄；

5.服務(wù)器及相關(guān)配套軟件的申請(qǐng)采購(gòu)、驗(yàn)收由使用部門(mén)

負(fù)責(zé)。服務(wù)器完成驗(yàn)收后，才能分配機(jī)柜位置及聯(lián)入網(wǎng)絡(luò)。

使用部門(mén)填寫(xiě)《服務(wù)器接入申請(qǐng)表》，報(bào)系統(tǒng)管理員進(jìn)行確

認(rèn)；

6.如果服務(wù)器運(yùn)行多個(gè)應(yīng)用系統(tǒng)，按應(yīng)住系統(tǒng)的重要程

度確定第一責(zé)任人。重要應(yīng)用系統(tǒng)的使用部匚是第一責(zé)任人。

（六）機(jī)房布線管理

L機(jī)房布線應(yīng)按照規(guī)范鋪設(shè)隱蔽處，如鋪設(shè)在防靜電地

板下或機(jī)房的橋架的管道內(nèi)，設(shè)備調(diào)試時(shí)使月的臨時(shí)布線應(yīng)

在調(diào)試完成當(dāng)天撤換；

2.系統(tǒng)運(yùn)維部門(mén)負(fù)責(zé)機(jī)房所有網(wǎng)絡(luò)線路維護(hù)、連接、拆

除由專人施工，禁止其他人員未經(jīng)許可隨意連接、拆除網(wǎng)線;

3.各類線纜分類鋪設(shè)在各自管道中，隔開(kāi)鋪設(shè)避免相互

間的干擾。

(七)機(jī)房網(wǎng)絡(luò)設(shè)備管理

L對(duì)網(wǎng)絡(luò)設(shè)備建立維護(hù)檔案，由網(wǎng)絡(luò)管理員負(fù)責(zé)維護(hù),

使用部門(mén)是網(wǎng)絡(luò)維護(hù)檔案的第一責(zé)任人，對(duì)區(qū)絡(luò)設(shè)備的任何

更改均要有記錄；

2.應(yīng)統(tǒng)一將網(wǎng)絡(luò)設(shè)備編號(hào)、負(fù)責(zé)人等信息以標(biāo)簽方式張

貼在網(wǎng)絡(luò)設(shè)備前面板明顯位置，未經(jīng)許可，任何人不得撕毀、

篡改；

3.設(shè)備發(fā)生故障或故障隱患時(shí)非管理人員不可對(duì)路由

器、交換機(jī)、服務(wù)器、光纖、網(wǎng)線及各種設(shè)備進(jìn)行任何調(diào)試，

網(wǎng)絡(luò)管理員必須對(duì)所發(fā)生的故障、處理過(guò)程和結(jié)果等做好詳

細(xì)登記。負(fù)責(zé)人員要嚴(yán)格按照規(guī)程處理故障，及時(shí)與網(wǎng)絡(luò)管

理員溝通，并對(duì)有關(guān)故障做出書(shū)面報(bào)告；

4.網(wǎng)絡(luò)設(shè)備及相關(guān)配套軟硬件的申請(qǐng)采購(gòu)、驗(yàn)收由項(xiàng)目

組負(fù)責(zé)。設(shè)備完成驗(yàn)收后，分配機(jī)柜位置及聯(lián)入網(wǎng)絡(luò)。填寫(xiě)

《網(wǎng)絡(luò)設(shè)備接入申請(qǐng)表》，報(bào)網(wǎng)絡(luò)管理員進(jìn)行確認(rèn)。

(A)機(jī)房巡視管理

1.如沒(méi)有特殊情況，機(jī)房管理員應(yīng)按照規(guī)程巡視機(jī)房,

檢查機(jī)房各種設(shè)備的運(yùn)行情況，并做好巡視記錄;

2.遇到各種設(shè)備故障，機(jī)房管理員應(yīng)按照規(guī)程操作步驟

對(duì)設(shè)備進(jìn)行處理，遇到問(wèn)題及時(shí)與安全管理員溝通，并對(duì)有

關(guān)故障做出書(shū)面報(bào)告；

3.所有相關(guān)的巡視報(bào)告、故障報(bào)告等需要安全管理員進(jìn)

行確認(rèn)，并存檔管理。

（九）機(jī)房進(jìn)出設(shè)備管理

1.新購(gòu)設(shè)備或臨時(shí)遷入機(jī)房的設(shè)備需經(jīng)系統(tǒng)運(yùn)維部門(mén)

確認(rèn)，按《設(shè)備遷入機(jī)房登記表》的相關(guān)項(xiàng)目詳細(xì)填寫(xiě)登記；

2.機(jī)房設(shè)備需要遷出機(jī)房時(shí)需通知當(dāng)日系統(tǒng)運(yùn)維部門(mén)

負(fù)責(zé)人員，填寫(xiě)《設(shè)備遷出機(jī)房登記表》，并報(bào)系統(tǒng)運(yùn)維管

理部門(mén)備案。

七、信息資產(chǎn)管理制度

（一）職責(zé)

后勤服務(wù)部

1.負(fù)責(zé)檢查數(shù)據(jù)資產(chǎn)的安全管理情況；

2.負(fù)責(zé)本文件的編制和管理；

3.負(fù)責(zé)固定資產(chǎn)的管理，包括固定資產(chǎn)的采購(gòu)、記錄、

變更、報(bào)廢等；

4.負(fù)責(zé)備品備件的出入庫(kù)管理；

5.負(fù)責(zé)對(duì)有形資產(chǎn)進(jìn)行分類、分級(jí)和標(biāo)記；

6.負(fù)責(zé)對(duì)備品備件進(jìn)行分類；

7.在有形資產(chǎn)發(fā)生變更、報(bào)廢或銷毀時(shí)，負(fù)責(zé)檢查資產(chǎn)

中信息處理情況；

8.負(fù)責(zé)檢查臺(tái)帳、信息系統(tǒng)中信息資產(chǎn)相關(guān)記錄，并將

記錄情況納入考核計(jì)劃中。

各部門(mén)

1.按資產(chǎn)的使用規(guī)則和限制，正確使用信息資產(chǎn)；

2.在有形資產(chǎn)和備品備件發(fā)生變更、報(bào)廢或銷毀時(shí)，負(fù)

責(zé)檢查并向安全管理員報(bào)告介質(zhì)中敏感信息。

（二）工作程序

資產(chǎn)的分類分級(jí)

1.資產(chǎn)分類分為關(guān)鍵資產(chǎn)和非關(guān)鍵資產(chǎn)：

0關(guān)鍵資產(chǎn)：對(duì)業(yè)務(wù)連續(xù)性和系統(tǒng)可生性影響大的資

產(chǎn)（價(jià)格或價(jià)值較高的資產(chǎn)）

0非關(guān)鍵資產(chǎn)：對(duì)業(yè)務(wù)連續(xù)性和系統(tǒng)可用性影響小的

資產(chǎn)（價(jià)格或價(jià)值較低的資產(chǎn)）

2.數(shù)據(jù)資產(chǎn)可以按其對(duì)信息系統(tǒng)的重要性程度，以及信

息的保密性、完整性、可用性被破壞后對(duì)信息系帶來(lái)的影響,

劃分為以下幾種安全級(jí)別：

0敏感信息：涉及工作秘密等信息

0一般信息：不涉及工作秘密的信息

資產(chǎn)的登記與標(biāo)記

1.后勤服務(wù)部對(duì)固定資產(chǎn)進(jìn)行分類分級(jí)、登記，確定該

資產(chǎn)的類型、編號(hào)、用途、位置、格式、規(guī)格、價(jià)值等具體

信息;

2.后勤服務(wù)部根據(jù)發(fā)放的資產(chǎn)清單及設(shè)備標(biāo)牌，對(duì)有形

資產(chǎn)進(jìn)行粘貼標(biāo)記，使用部門(mén)指定資產(chǎn)責(zé)任人，由資產(chǎn)責(zé)任

人對(duì)所負(fù)責(zé)的資產(chǎn)進(jìn)行保護(hù)；

3.各部門(mén)在資產(chǎn)新增、更新、調(diào)撥、報(bào)廢時(shí)，向后勤服

務(wù)部提出需求，由網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)小組審核，報(bào)主管領(lǐng)導(dǎo)

批準(zhǔn)后按照相關(guān)規(guī)定執(zhí)行，由后勤服務(wù)部更新《固定資產(chǎn)清

單》；

4.后勤服務(wù)部定期檢查有形資產(chǎn)的標(biāo)記與使用情況，對(duì)

資產(chǎn)丟失，標(biāo)簽缺損的情況進(jìn)行記錄，并納入各部門(mén)考核；

5.使用部門(mén)對(duì)本部門(mén)管理的數(shù)據(jù)資產(chǎn)進(jìn)行歸類和統(tǒng)計(jì)，

對(duì)電子文件采用統(tǒng)一樣式的電子標(biāo)記進(jìn)行標(biāo)識(shí)。

資產(chǎn)的使用與維護(hù)

1.后勤服務(wù)部對(duì)各部門(mén)信息資產(chǎn)使用規(guī)范說(shuō)明，包括使

用授權(quán)、管理方式、操作方法、移動(dòng)管理等，報(bào)市**局網(wǎng)絡(luò)

信息安全領(lǐng)導(dǎo)小組備案；

2?各部門(mén)工作人員，包括雇員、承包方人員和第三方人

員應(yīng)明確到他們使用信息資產(chǎn)時(shí)的限制條件，應(yīng)對(duì)信息資產(chǎn)

的使用和管理負(fù)責(zé)；

3.各部門(mén)人員應(yīng)確保在采用移動(dòng)介質(zhì)進(jìn)行數(shù)據(jù)傳輸時(shí)，

傳輸完畢應(yīng)及時(shí)刪除介質(zhì)上保留的數(shù)據(jù)信息，對(duì)于只讀介質(zhì),

由本部門(mén)安全管理員進(jìn)行保存；

4.各部門(mén)的存儲(chǔ)介質(zhì)在長(zhǎng)期存儲(chǔ)時(shí)，安全管理員應(yīng)確保

本部門(mén)介質(zhì)貯存地點(diǎn)符合防火、防水、防震、防潮、防霉、

防鼠害、防蟲(chóng)蛀、防靜電、防磁等安全要求，介質(zhì)的存儲(chǔ)要

符合介質(zhì)生產(chǎn)商對(duì)介質(zhì)存儲(chǔ)的要求；

5.各部門(mén)定期對(duì)本部門(mén)存儲(chǔ)介質(zhì)中的數(shù)據(jù)進(jìn)行備份和

恢復(fù)測(cè)試，并進(jìn)行測(cè)試記錄，防止重要信息丟失；

6,涉及國(guó)家秘密的信息通過(guò)移動(dòng)介質(zhì)進(jìn)行存儲(chǔ)時(shí)，各部

門(mén)應(yīng)參照國(guó)家有關(guān)規(guī)定執(zhí)行；

7.網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)小組定期檢查數(shù)據(jù)資產(chǎn)的安全管

理情況，發(fā)現(xiàn)問(wèn)題進(jìn)行記錄，并納入各部門(mén)考核。

資產(chǎn)的移動(dòng)管理

1.所有有形資產(chǎn)的移動(dòng)必須經(jīng)過(guò)資產(chǎn)責(zé)任部門(mén)的授權(quán);

2.物理介質(zhì)在物理地點(diǎn)之外運(yùn)送時(shí)，為了防止未授權(quán)訪

問(wèn)、不當(dāng)使用或被毀壞，各部門(mén)應(yīng)采取以下必要的措施：

0物理介質(zhì)的包裝應(yīng)采取防篡改的包裝進(jìn)行密封（即

封口破壞后無(wú)法恢復(fù)原狀，可以很容易發(fā)現(xiàn)未授權(quán)訪問(wèn)的企

圖），防止信息在送信的過(guò)程中泄漏或被修改

0含有敏感信息的物理介質(zhì)必須由內(nèi)部人員親自押

運(yùn)，不得交由第三方公司單獨(dú)運(yùn)送

3.所有有形資產(chǎn)的移動(dòng)必須登記。

資產(chǎn)的報(bào)廢與銷毀

1.各部門(mén)檢查并清空待報(bào)廢設(shè)備內(nèi)的所有信息，交系統(tǒng)

運(yùn)維部門(mén)統(tǒng)一處理;

2,資產(chǎn)管理部門(mén)對(duì)報(bào)廢設(shè)備進(jìn)行清點(diǎn)，形成《待報(bào)廢設(shè)

備清單》；

3.資產(chǎn)管理部門(mén)定期對(duì)報(bào)廢設(shè)備進(jìn)行統(tǒng)一處理，處理前

對(duì)設(shè)備的存儲(chǔ)信息進(jìn)行檢查；

4.各部門(mén)介質(zhì)上存儲(chǔ)的信息的敏感程度，由資產(chǎn)管理部

門(mén)采取適當(dāng)?shù)拇胧?duì)已報(bào)廢的介質(zhì)進(jìn)行處理：

0包含敏感信息的介質(zhì)，應(yīng)按照國(guó)家要求，去專門(mén)地

點(diǎn)刪除原有介質(zhì)上的數(shù)據(jù)信息或進(jìn)行消磁處理；對(duì)于只讀介

質(zhì)，可采用粉碎等方式進(jìn)行處理

0應(yīng)對(duì)處置敏感介質(zhì)做記錄，以便保持審核蹤跡

八、介質(zhì)管理規(guī)定

（一）介質(zhì)購(gòu)置

介質(zhì)由后勤服務(wù)部消耗品管理員負(fù)責(zé)統(tǒng)一計(jì)劃采購(gòu)，編

號(hào)，發(fā)放和登記管理。其余部門(mén)不得擅自購(gòu)買使用。

（二）介質(zhì)使用及維護(hù)管理

介質(zhì)包括磁帶、磁盤(pán)、u盤(pán)、光盤(pán)、硬盤(pán)、存貯卡和打

印出的文件等，對(duì)移動(dòng)介質(zhì)的管理如下：

1.移動(dòng)介質(zhì)在接入信息系統(tǒng)前，必須進(jìn)行惡意代碼、木

馬檢測(cè)和殺毒處理，防止惡意代碼侵入和傳染給其它信息系

統(tǒng)；

2.如果信息不再需要，需刪除可重復(fù)使斑的移動(dòng)介質(zhì)中

的信息;

3.如果信息需要俁存，則使用人應(yīng)該保存在個(gè)人計(jì)算機(jī)

中，而不應(yīng)該放在移動(dòng)介質(zhì)中；

4.介質(zhì)在長(zhǎng)期保管時(shí)，其保管的地點(diǎn)必須滿足防火、防

水、防震、防潮、防霉、防鼠害、防蟲(chóng)蛀、防靜電、防磁等

方面的安全要求，介質(zhì)的保管要符合介質(zhì)生產(chǎn)商對(duì)介質(zhì)保管

的要求；

5.并定期對(duì)介質(zhì)中的數(shù)據(jù)進(jìn)行轉(zhuǎn)存和驗(yàn)證測(cè)試，防止由

于介質(zhì)老化、失效而導(dǎo)致的重要數(shù)據(jù)丟失；

6?各部門(mén)若需使用存儲(chǔ)介質(zhì)，需經(jīng)使用部門(mén)負(fù)責(zé)人審批

同意后由各部門(mén)管理員統(tǒng)一向后勤服務(wù)部消耗品管理員處

領(lǐng)用，在“計(jì)算機(jī)消耗品領(lǐng)用本”登記。各部門(mén)管理員統(tǒng)一

管理；

7.各部門(mén)內(nèi)部實(shí)行存儲(chǔ)介質(zhì)借用制度，由借用人填寫(xiě)

“介質(zhì)借用/領(lǐng)用申請(qǐng)表”向部門(mén)管理員借用介質(zhì)，介質(zhì)使

用后應(yīng)及時(shí)歸還。各管理員應(yīng)做好相關(guān)的登記管理工作；

8.存儲(chǔ)介質(zhì)的保管工作必須符合國(guó)家相關(guān)管理制度。各

類存儲(chǔ)介質(zhì)如未經(jīng)批準(zhǔn)嚴(yán)禁由個(gè)人私自帶離開(kāi)本單位外；

9.應(yīng)對(duì)重要介質(zhì)中的數(shù)據(jù)和軟件采取加密存儲(chǔ)，并根據(jù)

所承載數(shù)據(jù)和軟件的重要程度對(duì)介質(zhì)進(jìn)行分類和標(biāo)識(shí)管理；

10.非SM存儲(chǔ)介質(zhì)不得用于存儲(chǔ)SM信息，SM存儲(chǔ)介質(zhì)

也不得任意用作他途。SM存儲(chǔ)介質(zhì)不得在非密計(jì)算機(jī)上使用。

已定為SM存儲(chǔ)介質(zhì)的密級(jí)不可降低密級(jí)使用。

（三）介質(zhì)定期檢查

定期對(duì)存儲(chǔ)介質(zhì)進(jìn)行清點(diǎn)，收回不使用介質(zhì)，核對(duì)使用

人員登記。定期對(duì)移動(dòng)存儲(chǔ)介質(zhì)進(jìn)行統(tǒng)一殺毒處理。

（四）介質(zhì)維修

介質(zhì)送出維修之前應(yīng)進(jìn)行申請(qǐng)審核，確保刪除敏感信息,

維修地點(diǎn)要送到專門(mén)的定點(diǎn)單位。如可能有敏感信息，維修

過(guò)程應(yīng)安排人員全程監(jiān)督。

（五）介質(zhì)的報(bào)廢

對(duì)存儲(chǔ)敏感信息的存儲(chǔ)介質(zhì)應(yīng)在指定地點(diǎn)，由指定人員

（并有人監(jiān)督）進(jìn)行安全的報(bào)廢和處置，以免敏感信息外泄。

磁帶可通過(guò)消磁或物理破壞的方式進(jìn)行處置，確保消除

磁帶上所存儲(chǔ)的敏感信息。

磁盤(pán)、U盤(pán)、硬盤(pán)、存貯卡等可通過(guò)專業(yè)軟件或多次格

式化進(jìn)行處置，或者采用物理方式進(jìn)行破壞。

光盤(pán)可通過(guò)物理方式進(jìn)行粉碎處理。

九、設(shè)備安全管理制度

（一）IT設(shè)備的購(gòu)買

部門(mén)提交需求，經(jīng)單位領(lǐng)導(dǎo)批準(zhǔn)，根據(jù)年初預(yù)算指標(biāo)納

入財(cái)政預(yù)算計(jì)劃，經(jīng)信息中心審核、由后勤服務(wù)部報(bào)政府采

購(gòu)辦公開(kāi)招投標(biāo)采購(gòu)。

（二）IT設(shè)備的登記及領(lǐng)用

1.所有采購(gòu)來(lái)的IT設(shè)備，必須導(dǎo)入資產(chǎn)管理系統(tǒng)進(jìn)行

資產(chǎn)登記，記錄該設(shè)備的品牌、型號(hào)、詳細(xì)配置、保修期限

等，產(chǎn)生唯一資產(chǎn)編號(hào)，在設(shè)備上粘貼設(shè)備標(biāo)簽后，資產(chǎn)入

庫(kù)；

2.需使用IT設(shè)備的，應(yīng)由資產(chǎn)使用人提出資產(chǎn)領(lǐng)用申

請(qǐng)，經(jīng)部門(mén)負(fù)責(zé)人審批后，至資產(chǎn)管理員處辦理領(lǐng)用。資產(chǎn)

管理員在資產(chǎn)臺(tái)帳中記錄該資產(chǎn)的領(lǐng)用人，領(lǐng)用人在設(shè)備標(biāo)

簽上進(jìn)行簽字后，方能辦理資產(chǎn)出庫(kù)，交由領(lǐng)用人使用。

（三）IT設(shè)備的維護(hù)

1.各領(lǐng)用人為該IT設(shè)備的責(zé)任人，負(fù)責(zé)該IT設(shè)備的正

常使用，在設(shè)備發(fā)生問(wèn)題時(shí)負(fù)責(zé)聯(lián)系相關(guān)部門(mén)進(jìn)行維修。如

因領(lǐng)用人責(zé)任造成該IT設(shè)備損壞，則領(lǐng)用人需照價(jià)賠償；

2.各領(lǐng)用人應(yīng)按照信息設(shè)備維護(hù)要求，對(duì)設(shè)備進(jìn)行維護(hù);

3.IT設(shè)備如需升級(jí)或維修，由領(lǐng)用人提出申請(qǐng)，經(jīng)主管

領(lǐng)導(dǎo)批準(zhǔn)后，進(jìn)行維修或升級(jí)；

4.送外單位維修的IT設(shè)備不得存儲(chǔ)內(nèi)部敏感信息。在

送修前應(yīng)由安全管理員對(duì)送修設(shè)備是否存有內(nèi)部敏感信息

進(jìn)行檢查。如有，應(yīng)先拆除硬盤(pán)等存儲(chǔ)部件，或使用信息清

除軟件對(duì)磁盤(pán)信息進(jìn)行徹底清除后，方能送修；

5.重要IT設(shè)備的維護(hù)人員在現(xiàn)場(chǎng)維護(hù)過(guò)程中，應(yīng)有市

**局系統(tǒng)運(yùn)維管理部門(mén)人員在場(chǎng)，外部人員的訪問(wèn)應(yīng)進(jìn)行登

記，必要時(shí)要求其簽署保密協(xié)議；

6.IT設(shè)備進(jìn)行升級(jí)或維修后，如設(shè)備配置進(jìn)行了變更,

則應(yīng)由資產(chǎn)領(lǐng)用人將最新設(shè)備配置報(bào)系統(tǒng)運(yùn)維部門(mén)資產(chǎn)管

理員處進(jìn)行備案，以保證資產(chǎn)管理員處有最新的設(shè)備配置。

（四）IT設(shè)備的報(bào)廢

LIT設(shè)備確因設(shè)備老化、性能落后等原因，造成設(shè)備無(wú)

法繼續(xù)使用的，由資產(chǎn)管理員提出報(bào)廢申請(qǐng)，經(jīng)資產(chǎn)管理部

門(mén)負(fù)責(zé)人批準(zhǔn)后，實(shí)施報(bào)廢處理，并在資產(chǎn)清單中進(jìn)行記錄;

2.IT設(shè)備在報(bào)廢處理前，應(yīng)由安全管理員對(duì)其是否存有

內(nèi)部敏感信息進(jìn)行檢查。如有，應(yīng)對(duì)其存儲(chǔ)部件進(jìn)行消磁或

物理毀壞，確保不會(huì)因設(shè)備處置不當(dāng)造成泄密。

十、商用密碼產(chǎn)品使用管理制度

（一）商用密碼產(chǎn)品的選擇

1.選擇的商用密碼產(chǎn)品應(yīng)符合國(guó)家最新版本的商用密

碼通用產(chǎn)品名單。

2.選擇的經(jīng)銷商用密碼公司必須持有國(guó)家密碼管理委

員會(huì)及其辦公室發(fā)放的《商用密碼產(chǎn)品銷售許可證》，符合

《商用密碼管理?xiàng)l例》（國(guó)務(wù)院令273號(hào)）步列條例。

（二）商用密碼產(chǎn)品的使用

1.僅使用經(jīng)國(guó)家密碼管理委員會(huì)及其辦公室認(rèn)可的商

用密碼產(chǎn)品，嚴(yán)禁使用自行研制的或境外生產(chǎn)的密碼產(chǎn)品。

2.使用商用密碼產(chǎn)品的人員須對(duì)所接觸和掌握的商用

密碼技術(shù)承擔(dān)保密義務(wù)。

3.擅自使用密碼產(chǎn)品、泄漏商用密碼技術(shù)秘密、非法攻

擊商用密碼或者利用商用密碼從事危害國(guó)家安全和利益的

活動(dòng)：a）情節(jié)嚴(yán)重的，構(gòu)成犯罪的，依法追究刑事責(zé)任；b）

尚不構(gòu)成犯罪的，由國(guó)家密碼管理委員會(huì)及其辦公室根據(jù)不

同情況分別會(huì)同國(guó)家安全機(jī)關(guān)或者保密部門(mén)沒(méi)收其使用的

商用密碼產(chǎn)品；c）有危害國(guó)家安全的行為，由國(guó)家安全機(jī)關(guān)

依法處以行政拘留，屬于國(guó)家工作人員的，并依法給予行政

處分。

4.上崗操作須經(jīng)培訓(xùn)考試合格后，方可實(shí)施操作活動(dòng),

嚴(yán)禁有違產(chǎn)品操作手將使用方法。

（三）商用密碼產(chǎn)品的報(bào)廢、銷毀

1.不得轉(zhuǎn)讓使用的商用密碼產(chǎn)品。

2.商用密碼產(chǎn)品發(fā)生故障，向國(guó)家密碼管理委員會(huì)及其

辦公室指定的單位維修；報(bào)廢、銷毀商用密碼產(chǎn)品須向國(guó)家

密碼管理委員會(huì)及其辦公室備案。

十一、網(wǎng)絡(luò)安全管理制度

（一）網(wǎng)絡(luò)安全規(guī)劃

系統(tǒng)運(yùn)維管理部門(mén)在網(wǎng)絡(luò)系統(tǒng)規(guī)劃、升級(jí)、改造建設(shè)過(guò)

程中，應(yīng)組織相關(guān)人員對(duì)網(wǎng)絡(luò)建設(shè)方案進(jìn)行評(píng)審，使方案滿

足網(wǎng)絡(luò)安全管理要求。

（二）網(wǎng)絡(luò)接入控制

1.各科室對(duì)涉及到網(wǎng)絡(luò)變更方面的需求（如網(wǎng)絡(luò)結(jié)構(gòu)變

更、終端網(wǎng)絡(luò)需求變更（如Hub的接入））、非常規(guī)性網(wǎng)絡(luò)

訪問(wèn)（如外來(lái)人員臨時(shí)性訪問(wèn)），需向系統(tǒng)運(yùn)維管理部門(mén)提

出書(shū)面申請(qǐng)，系統(tǒng)運(yùn)維管理部門(mén)對(duì)變更申請(qǐng)進(jìn)行評(píng)審?fù)ㄟ^(guò)后,

方可進(jìn)行操作；

2.無(wú)線網(wǎng)絡(luò)由系統(tǒng)運(yùn)維管理部門(mén)進(jìn)行統(tǒng)一部署和管理，

如其他部門(mén)（單位）需要接入無(wú)線網(wǎng)絡(luò)或部署無(wú)線網(wǎng)絡(luò)設(shè)備

時(shí)，需向系統(tǒng)運(yùn)維管理部門(mén)提出申請(qǐng)，經(jīng)審批后方可接入；

3.系統(tǒng)運(yùn)維管理部門(mén)負(fù)責(zé)網(wǎng)絡(luò)與其他外部單位網(wǎng)絡(luò)的

安全防護(hù)，在網(wǎng)絡(luò)邊界處采取安全措施進(jìn)行有效隔離防護(hù)，

并對(duì)違規(guī)行為進(jìn)行檢查和阻斷；

4,系統(tǒng)運(yùn)維管理部門(mén)負(fù)責(zé)網(wǎng)絡(luò)的VLAN和安全域劃分，

不同業(yè)務(wù)應(yīng)用系統(tǒng)盡量安排在不通的安全域中，各VLAN和

安全域間應(yīng)采取有效的訪問(wèn)控制措施；

5.系統(tǒng)運(yùn)維管理部門(mén)對(duì)網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)設(shè)備之間的連接

線纜進(jìn)行標(biāo)識(shí)，重要網(wǎng)絡(luò)端口也須進(jìn)行詳細(xì)標(biāo)識(shí)。

（三）網(wǎng)絡(luò)安全審計(jì)

1.系統(tǒng)運(yùn)維管理部門(mén)采取開(kāi)啟網(wǎng)絡(luò)設(shè)備E志，記錄與網(wǎng)

絡(luò)安全相關(guān)的操作與活動(dòng)，并定期對(duì)記錄進(jìn)行評(píng)審，將評(píng)審

結(jié)果進(jìn)行記錄；

2.日志保存時(shí)間應(yīng)至少保證在一個(gè)月以上；

3.系統(tǒng)運(yùn)維管理部門(mén)在網(wǎng)絡(luò)關(guān)鍵位置采取網(wǎng)絡(luò)審計(jì)手

段，對(duì)網(wǎng)絡(luò)訪問(wèn)操作行為進(jìn)行記錄，定期對(duì)記錄進(jìn)行評(píng)審,

將評(píng)審結(jié)果進(jìn)行記錄。

（四）網(wǎng)絡(luò)設(shè)備管理

1.系統(tǒng)運(yùn)維管理部門(mén)制定網(wǎng)絡(luò)備份策略（如網(wǎng)絡(luò)配置備

份、硬件備份），并做好相應(yīng)備案；

2.系統(tǒng)運(yùn)維管理部門(mén)每月對(duì)網(wǎng)絡(luò)配置、網(wǎng)絡(luò)設(shè)備日志進(jìn)

行備份，并做好備份記錄；

3.系統(tǒng)運(yùn)維管理部門(mén)做好網(wǎng)絡(luò)配置、網(wǎng)絡(luò)設(shè)備日志及網(wǎng)

絡(luò)設(shè)備備件的保存與管理，保證備份的安全性；

4.系統(tǒng)運(yùn)維管理部門(mén)定期對(duì)配置備份及設(shè)備備件進(jìn)行

測(cè)試，保證其可用性，并對(duì)測(cè)試結(jié)果進(jìn)行記錄；

5.根據(jù)廠家提供的軟件升級(jí)版本對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行更新,

并在更新前對(duì)現(xiàn)有的重要文件進(jìn)行備份；

6.建立日志服務(wù)器，保存日志時(shí)間要求超過(guò)6個(gè)月；

7.定期對(duì)設(shè)備口令進(jìn)行更新。

（五）網(wǎng)絡(luò)安全檢查

1.系統(tǒng)運(yùn)維管理部門(mén)制定詳細(xì)的網(wǎng)絡(luò)檢查項(xiàng)目，負(fù)責(zé)進(jìn)

行網(wǎng)絡(luò)系統(tǒng)運(yùn)行的日常檢查工作，將檢查結(jié)果進(jìn)行記錄。檢

查內(nèi)容參考《安全檢查表》；

2.系統(tǒng)運(yùn)維管理部門(mén)定期對(duì)網(wǎng)絡(luò)設(shè)備配置進(jìn)行檢查和

評(píng)估，確保網(wǎng)絡(luò)配置與安全策略保持一致，并對(duì)檢查結(jié)果進(jìn)

行記錄；

3.定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行漏洞掃描，對(duì)發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安

全漏洞進(jìn)行及時(shí)的修補(bǔ)。

（六）網(wǎng)絡(luò)訪問(wèn)控制

1.系統(tǒng)運(yùn)維管理部門(mén)制定網(wǎng)絡(luò)訪問(wèn)控制策略，并做好相

應(yīng)備案；

2.訪問(wèn)控制策略內(nèi)容應(yīng)包括：

0根據(jù)業(yè)務(wù)、管理等情況，對(duì)不同的部門(mén)接入進(jìn)行劃

分

0明確各部門(mén)只能訪問(wèn)被允許訪問(wèn)的網(wǎng)絡(luò)和網(wǎng)絡(luò)服

務(wù)

0規(guī)定各部門(mén)訪問(wèn)網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)使用的手段（如，

撥號(hào)、VPN等）

3.系統(tǒng)運(yùn)維管理部門(mén)制定遠(yuǎn)程設(shè)備維護(hù)的管理職責(zé)與

制度，交網(wǎng)絡(luò)信息安全管理員備案，以保證遠(yuǎn)程維護(hù)人員的

操作符合網(wǎng)絡(luò)信息安全管理策略，防止由于疏忽、密碼賬戶

泄漏造成未授權(quán)訪問(wèn)連接網(wǎng)絡(luò)設(shè)備與服務(wù)器；

4.系統(tǒng)運(yùn)維管理部門(mén)應(yīng)確保維護(hù)廠商的遠(yuǎn)程維護(hù)連接

只允許訪問(wèn)指定的設(shè)備和服務(wù)，由系統(tǒng)運(yùn)維部門(mén)負(fù)責(zé)審批、

開(kāi)啟和關(guān)閉，保持每次遠(yuǎn)程連接記錄備查，并對(duì)遠(yuǎn)程訪問(wèn)帳

號(hào)定期進(jìn)行審核；

5.系統(tǒng)運(yùn)維管理部門(mén)對(duì)遠(yuǎn)程診斷和配置端口采取技術(shù)

手段與管理措施進(jìn)行俁護(hù)，如無(wú)必要，禁止使用遠(yuǎn)程診斷和

配置端口;

6.系統(tǒng)運(yùn)維管理部門(mén)應(yīng)對(duì)遠(yuǎn)程用戶進(jìn)行身份鑒別（如回

撥程序、證書(shū)、密鑰、口令等），若系統(tǒng)的遠(yuǎn)程訪問(wèn)無(wú)法提

供用戶鑒別措施時(shí)，禁止使用遠(yuǎn)程訪問(wèn)功能。

（七）網(wǎng)絡(luò)服務(wù)安全

1.系統(tǒng)運(yùn)維管理部門(mén)在制定的所有網(wǎng)絡(luò)服務(wù)協(xié)議中，必

須包括網(wǎng)絡(luò)的安全特性、服務(wù)級(jí)別以及所有網(wǎng)絡(luò)服務(wù)的管理

要求等內(nèi)容；

2.在網(wǎng)絡(luò)服務(wù)過(guò)程中，系統(tǒng)運(yùn)維管理部匚應(yīng)根據(jù)網(wǎng)絡(luò)服

務(wù)協(xié)議中規(guī)定的安全條款、安全特性、服務(wù)級(jí)別管理等要求

對(duì)服務(wù)提供商的服務(wù)進(jìn)行定期評(píng)審和監(jiān)督。

十二、系統(tǒng)安全管理制度

（一）系統(tǒng)維護(hù)管理

1.系統(tǒng)運(yùn)維管理部門(mén)的操作人員上崗前必須經(jīng)過(guò)上崗

前的專業(yè)知識(shí)培訓(xùn)，包括專門(mén)的網(wǎng)絡(luò)信息安全培訓(xùn)，能正確

地執(zhí)行本崗位操作工作；

2.重要信息系統(tǒng)的操作和系統(tǒng)運(yùn)行維護(hù)保養(yǎng)手冊(cè)應(yīng)作

為工作秘密由各部門(mén)加以保護(hù)，由系統(tǒng)運(yùn)維管理部門(mén)存檔,

根據(jù)“責(zé)任分割”的原則，各崗位操作人員只能得到操作手

冊(cè)的相關(guān)部分，并要求其妥善保管。操作手冊(cè)更新后，由系

統(tǒng)運(yùn)維管理部門(mén)發(fā)到相關(guān)部門(mén)，同時(shí)回收舊版本，確保崗位

操作人員得到最新和正確的操作手冊(cè)；

3,定期對(duì)系統(tǒng)使用中的網(wǎng)絡(luò)信息安全管理情況進(jìn)行檢

查，檢查內(nèi)容參加《網(wǎng)絡(luò)信息安全檢查細(xì)則》；

4.在制定的所有系統(tǒng)外包服務(wù)協(xié)議中，必須包括網(wǎng)絡(luò)的

安全特性、服務(wù)級(jí)別以及所有系統(tǒng)服務(wù)的管理要求等內(nèi)容;

5.在系統(tǒng)服務(wù)過(guò)程中，應(yīng)根據(jù)系統(tǒng)服務(wù)協(xié)議中規(guī)定的安

全條款、安全特性、服務(wù)級(jí)別管理等要求對(duì)服務(wù)提供商的服

務(wù)進(jìn)行定期評(píng)審和監(jiān)督；

6.系統(tǒng)運(yùn)維管理部門(mén)應(yīng)對(duì)系統(tǒng)中運(yùn)行的軟件版本進(jìn)行

嚴(yán)格控制，對(duì)系統(tǒng)軟件版本升級(jí)、補(bǔ)丁更新、安全加固等活

動(dòng)組織評(píng)審和測(cè)試，防止因上述變更影響到應(yīng)用系統(tǒng)的正常

運(yùn)行；

7.定期對(duì)系統(tǒng)進(jìn)行漏洞掃描，對(duì)發(fā)現(xiàn)的系統(tǒng)安全漏洞及

時(shí)進(jìn)行修補(bǔ)。

（二）系統(tǒng)訪問(wèn)控制

由系統(tǒng)運(yùn)維管理部門(mén)基于業(yè)務(wù)和訪問(wèn)的安全要求，建立

各應(yīng)用系統(tǒng)的訪問(wèn)控制策略，作為系統(tǒng)維護(hù)保養(yǎng)手冊(cè)的一部

分。

1.訪問(wèn)控制策略應(yīng)考慮到下列內(nèi)容：

0各個(gè)業(yè)務(wù)應(yīng)用的安全要求

0業(yè)務(wù)應(yīng)用中工作角色和用戶訪問(wèn)需求

0網(wǎng)絡(luò)環(huán)境中的訪問(wèn)權(quán)限的管理要求

0訪問(wèn)控制角色的分離，例如訪問(wèn)請(qǐng)求、訪問(wèn)授權(quán)、

訪問(wèn)管理

0用戶訪問(wèn)請(qǐng)求的正式授權(quán)管理要求

0用戶訪問(wèn)控制的定期檢查與評(píng)審要求

0用戶訪問(wèn)權(quán)的取消

2.系統(tǒng)運(yùn)維管理部門(mén)基于訪問(wèn)控制策略，對(duì)操作系統(tǒng)的

登錄程序加以控制：

0不顯示系統(tǒng)或應(yīng)用標(biāo)識(shí)符，直到登錄過(guò)程已成功完

成為止

0顯示只有已授權(quán)的用戶才能訪問(wèn)計(jì)算機(jī)的告警通

知

0在登錄過(guò)程中，不提供對(duì)未授權(quán)用戶的幫助消息

0限制所允許的不成功登錄嘗試的次數(shù)

0記錄不成功的嘗試和成功的嘗試

0如果達(dá)到登錄的最大嘗試次數(shù)，向系統(tǒng)控制臺(tái)發(fā)送

警報(bào)消息

3.系統(tǒng)管理員應(yīng)限制用戶對(duì)應(yīng)用系統(tǒng)遠(yuǎn)程訪問(wèn)的范圍

和內(nèi)容，在遠(yuǎn)程訪問(wèn)過(guò)程結(jié)束后應(yīng)確保斷開(kāi)連接；

4.系統(tǒng)管理員負(fù)責(zé)記錄用戶遠(yuǎn)程訪問(wèn)操作過(guò)程，包括訪

問(wèn)時(shí)間、連接方式、訪問(wèn)用戶、操作過(guò)程等。

（三）系統(tǒng)用戶安全管理

L系統(tǒng)用戶注冊(cè)與注銷程序：

0在服務(wù)器和系統(tǒng)進(jìn)行安裝時(shí)，要改變默認(rèn)的操作系

統(tǒng)管理員賬號(hào)名稱和數(shù)據(jù)庫(kù)賬號(hào)名稱

0新用戶注冊(cè)時(shí)，由用戶所在部門(mén)填寫(xiě)《系統(tǒng)接入申

請(qǐng)表》，并報(bào)相關(guān)系統(tǒng)管理員審核

0系統(tǒng)管理員應(yīng)檢查所授予的訪問(wèn)級(jí)別是否與業(yè)務(wù)

目的相適合，是否與組織的安全方針保持一致，例如，它沒(méi)

有違背責(zé)任分割原則

0如申請(qǐng)不符合業(yè)務(wù)要求，則不予批準(zhǔn)，如符合要求,

由系統(tǒng)管理員根據(jù)《系統(tǒng)接入申請(qǐng)表》，在系統(tǒng)中建立唯一

用戶ID

0當(dāng)用戶的工作角色或崗位發(fā)生變更，或離職時(shí)，員

工所在單位（部門(mén)）應(yīng)立刻填寫(xiě)《系統(tǒng)接入申請(qǐng)表》，并報(bào)

相關(guān)系統(tǒng)管理員批準(zhǔn)；系統(tǒng)管理員根據(jù)新的《辦公系統(tǒng)接入

申請(qǐng)表》取消或封鎖該用戶的訪問(wèn)權(quán)

0各信息系統(tǒng)管理人員負(fù)責(zé)定期（每月）檢查并取消

或封鎖多余的用戶ID和帳號(hào)，確保多余的用戶ID不會(huì)發(fā)給

其他用戶

2,系統(tǒng)用戶標(biāo)識(shí)和鑒別：

0所有用戶擁有唯一指定標(biāo)識(shí)，如員工工號(hào)

0用戶ID是應(yīng)用系統(tǒng)中用戶唯一的、專供其使用的

標(biāo)識(shí)符，系統(tǒng)管理員應(yīng)配置系統(tǒng)，使用戶的各個(gè)活動(dòng)能追蹤

到責(zé)任者

0當(dāng)需要采用一組用戶或一項(xiàng)特定作業(yè)使用一個(gè)共

享用戶ID時(shí)，應(yīng)遵照組ID管理進(jìn)行控制，具體參見(jiàn)“用戶

注冊(cè)及注銷程序”的組ID條款

3,系統(tǒng)用戶口令管理：

0在用戶初次使用應(yīng)用系統(tǒng)時(shí)，系統(tǒng)管理員應(yīng)提供給

一個(gè)安全的臨時(shí)口令，并強(qiáng)制其立即修改；臨時(shí)口令應(yīng)以安

全的方式給予用戶，不得使用第三方或未保護(hù)的（明文）電

子郵件消息

0系統(tǒng)管理員應(yīng)對(duì)用戶口令設(shè)置進(jìn)行指導(dǎo)和要求，如

口令長(zhǎng)度和復(fù)雜性、定期更換等

0系統(tǒng)管理員應(yīng)確?？诹畈灰晕幢Ｗo(hù)的形式存儲(chǔ)在

計(jì)算機(jī)系統(tǒng)內(nèi)

0各系統(tǒng)管理員應(yīng)在系統(tǒng)或軟件安裝后改變提供商

的默認(rèn)口令

4.各信息系統(tǒng)管理人員根據(jù)已審核批準(zhǔn)的《系統(tǒng)接入申

請(qǐng)表》為用戶進(jìn)行正確的授權(quán)，使得用戶與其行為相連接

5.特殊權(quán)限管理應(yīng)遵守用戶注冊(cè)和注銷管理程序的規(guī)

定，特殊權(quán)限包括操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)和每個(gè)應(yīng)用程

序，特殊權(quán)限應(yīng)被分配一個(gè)不同于正常業(yè)務(wù)住途所用的用戶

ID

（四）系統(tǒng)審計(jì)

1.系統(tǒng)日志包含的內(nèi)容:

0用戶ID

0日期、時(shí)間和關(guān)鍵事件的細(xì)節(jié)，例如登錄和退出

0終端身份或位置

0成功的和被拒絕的對(duì)系統(tǒng)嘗試訪問(wèn)的記錄

0成功的和被7巨絕的對(duì)數(shù)據(jù)以及其他資源嘗試訪問(wèn)

的記錄

0系統(tǒng)配置的變化

0特殊權(quán)限的使用

0系統(tǒng)實(shí)用工具和應(yīng)用程序的使用

0訪問(wèn)的文件和訪問(wèn)類型

0網(wǎng)絡(luò)地址和協(xié)議

0訪問(wèn)控制系統(tǒng)引發(fā)的警報(bào)

0防惡意代碼系統(tǒng)等防護(hù)設(shè)施的激活和停用

2?各系統(tǒng)管理員必須將系統(tǒng)所有服務(wù)器、應(yīng)用軟件等等

系統(tǒng)審核、帳號(hào)審核和應(yīng)用審核的日志系統(tǒng)的功能打開(kāi)，如

有警報(bào)其功能也必須打開(kāi)；

3.日志必須保存一定的期限，任何個(gè)人和部門(mén)不得以任

何理由刪除保存期之內(nèi)的日志；

4.日志必須由系統(tǒng)管理員定期檢查，特權(quán)使用、非授權(quán)

訪問(wèn)、系統(tǒng)故障和異常等條目必須進(jìn)行評(píng)審，以查找影響網(wǎng)

絡(luò)信息安全的風(fēng)險(xiǎn)來(lái)源和事實(shí)；

5.各系統(tǒng)維護(hù)部門(mén)負(fù)責(zé)人應(yīng)定期評(píng)審系統(tǒng)管理員和系

統(tǒng)操作員的活動(dòng)日志;

6.各系統(tǒng)維護(hù)部門(mén)確保入侵檢測(cè)系統(tǒng)和安全審計(jì)系統(tǒng)

處于啟動(dòng)狀態(tài)，日志需保存一定期限，定期評(píng)審異常事件,

對(duì)所有可疑或經(jīng)確認(rèn)的入侵行為或入侵企圖需及時(shí)匯報(bào)并

采取相應(yīng)的響應(yīng)措施；

7.系統(tǒng)運(yùn)維部門(mén)負(fù)責(zé)記錄、分析故障日志，并對(duì)其采取

適當(dāng)?shù)拇胧?/p>

8,系統(tǒng)運(yùn)維部門(mén)負(fù)責(zé)評(píng)審故障日志，以確保已滿意地解

決故障；

9.系統(tǒng)運(yùn)維管理部門(mén)負(fù)責(zé)評(píng)審糾正措施，以確保沒(méi)有危

及控制措施的安全，以及所采取的措施給予了充分授權(quán)。

（五）監(jiān)視系統(tǒng)的使用

各系統(tǒng)維護(hù)部門(mén)建立信息處理設(shè)施的監(jiān)視使用程序，并

定期評(píng)審監(jiān)視活動(dòng)的結(jié)果。各個(gè)設(shè)施的監(jiān)視級(jí)別由風(fēng)險(xiǎn)評(píng)估

決定。要考慮的監(jiān)視范圍包括：

1.授權(quán)訪問(wèn)的細(xì)節(jié)：

0用戶ID

0關(guān)鍵事件的日期和時(shí)間

0事件類型

0訪問(wèn)的文件

0使用的程序/工具

2.所有特殊權(quán)限操作：

0特殊權(quán)限帳戶的使用，例如監(jiān)督員、根用戶、管理

員

0系統(tǒng)的啟動(dòng)和終止

0I/O設(shè)備的裝配/拆卸

3.未授權(quán)的訪問(wèn)嘗試：

0失敗的或被拒絕的用戶活動(dòng)

0失敗的或被拒絕的涉及數(shù)據(jù)和其他資源的活動(dòng)

0違反訪問(wèn)策略或網(wǎng)關(guān)和防火墻的通知

0私有入侵檢測(cè)系統(tǒng)的警報(bào)

4.系統(tǒng)警報(bào)或故障：

0控制臺(tái)警報(bào)或消息

0系統(tǒng)日志異常

0網(wǎng)絡(luò)管理警報(bào)

0訪問(wèn)控制系統(tǒng)引發(fā)的警報(bào)

5.改變或企圖改變系統(tǒng)的安全設(shè)置和控制措施的活動(dòng)

（六）系統(tǒng)備份

L系統(tǒng)運(yùn)維部門(mén)制定系統(tǒng)備份策略，包括系統(tǒng)配置備份

和設(shè)備備份，并做好相應(yīng)備案；

2.系統(tǒng)運(yùn)維部門(mén)艱據(jù)系統(tǒng)備份策略定期做好系統(tǒng)配置

備份和系統(tǒng)設(shè)備備份，并做好備份記錄；

3.系統(tǒng)運(yùn)維部門(mén)做好系統(tǒng)配置及設(shè)備備份的保存與管

理，保證備份的安全性；

4.系統(tǒng)運(yùn)維部門(mén)定期對(duì)配置備份及設(shè)備備份進(jìn)行測(cè)試,

保證系統(tǒng)備份的可用性，并對(duì)測(cè)試結(jié)果進(jìn)行記錄。

十三、惡意代碼防范管理制度

（一）職責(zé)

建立防殺計(jì)算機(jī)惡意代碼的責(zé)任制。

網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)小組辦公室

1.負(fù)責(zé)建立網(wǎng)絡(luò)計(jì)算機(jī)防惡意代碼體系；

2.負(fù)責(zé)防惡意代碼系統(tǒng)等安全措施的統(tǒng)一規(guī)劃、部署與

升級(jí)。

網(wǎng)絡(luò)信息安全管理職能部門(mén)

1.負(fù)責(zé)開(kāi)展技術(shù)培訓(xùn)；

2.負(fù)責(zé)防惡意代碼系統(tǒng)的統(tǒng)一升級(jí)；

3.負(fù)責(zé)各、系統(tǒng)的補(bǔ)丁升級(jí)、軟件升級(jí)和分發(fā)；

4.負(fù)責(zé)配置防惡意代碼系統(tǒng)策略，定期對(duì)系統(tǒng)惡意代碼

進(jìn)行掃描，并組織相關(guān)部門(mén)進(jìn)行惡意代碼查殺；

5.負(fù)責(zé)組織相關(guān)部門(mén)分析惡意代碼事件的來(lái)源等詳細(xì)

情況，編寫(xiě)《網(wǎng)絡(luò)信息安全事件分析報(bào)告》，并備案。

（二）防惡意代碼系統(tǒng)的規(guī)劃與部署

1.每臺(tái)接入業(yè)務(wù)內(nèi)網(wǎng)或外網(wǎng)（互聯(lián)網(wǎng)）的計(jì)