《單位內(nèi)部網(wǎng)絡(luò)信息安全制度匯編（試行）》

《單位內(nèi)部網(wǎng)絡(luò)信息安全制度匯編（試行）》

目錄

一、相關(guān)術(shù)語(yǔ)......................................................12

1、縮寫...........................................................12

2、制度適用范圍：.................................................12

3、術(shù)語(yǔ)定義.......................................................12

一、網(wǎng)絡(luò)信息安全總體策略.........................................15

第一章總則.......................................................15

第二章術(shù)語(yǔ)定義...................................................15

第三章組織職責(zé)...................................................15

第四章管理原則...................................................16

第五章總體目標(biāo)...................................................16

第六章安全框架...................................................16

第七章策略制定與維護(hù)............................................18

二、信息等級(jí)保護(hù)體系制定和發(fā)布管理規(guī)定..........................20

第一章總則.......................................................20

第二章職責(zé).......................................................20

第五章文件起草...................................................21

第六章文件評(píng)審...................................................23

第七章文件發(fā)布...................................................24

附錄一、（XX市民政局）管理制度發(fā)布記錄表........................25

三、等級(jí)保護(hù)體系評(píng)審和修訂管理規(guī)定..............................26

第一章總則...................................................26

第二章評(píng)審程序...............................................26

第三章修訂程序...............................................27

四、信息安全管理組織架構(gòu)......................................29

第一章總則...................................................29

第二章組織目標(biāo)...............................................29

第三章信息安全組織架構(gòu).......................................29

第四章組織的信息安全職責(zé)描述.................................30

五、信息系統(tǒng)安全檢查管理規(guī)定..................................33

第一章總則...................................................33

第二章適用范圍...............................................33

第三章術(shù)語(yǔ)定義...............................................33

第四章組織職責(zé)...............................................33

第五章通用要求...............................................34

第六章安全檢查準(zhǔn)備...........................................34

第七章安全檢查報(bào)告...........................................35

第八章安全檢查整改...........................................35

第九章檢查工具的使用.........................................35

附錄一：安全檢查情況匯總表...................................37

附錄二：信息系統(tǒng)安全檢查表...................................38

六、信息安全組織架構(gòu)與崗位職責(zé)................................42

第一章總則...................................................42

第二章信息化領(lǐng)導(dǎo)小組.........................................42

七、人員管理制度..............................................46

第一章總則...................................................46

第二章術(shù)語(yǔ)定義...............................................46

第三章組織職責(zé)...............................................46

第四章入職管理...............................................46

第五章在崗管理...............................................47

第六章紀(jì)律處理過(guò)程..........................................48

第七章調(diào)動(dòng)管理...............................................48

第八章離崗管理...............................................49

八、網(wǎng)絡(luò)安全培訓(xùn)和考核管理規(guī)定................................50

第一章總則...................................................50

第二章組織職責(zé)...............................................50

第三章安全培訓(xùn)管理程序.......................................51

第五章安全考核管理程序......................................52

九、第三方機(jī)構(gòu)安全管理規(guī)定....................................53

第一章總則...................................................53

第二章術(shù)語(yǔ)定義...............................................53

第三章組織職責(zé)...............................................53

第五章駐場(chǎng)外包人員安全管理要求...............................53

第六章臨時(shí)來(lái)訪人員安全管理要求...............................55

第七章外包服務(wù)質(zhì)量考核與評(píng)價(jià)................................55

第八章外包人員離場(chǎng)安全要求...................................55

十、計(jì)算機(jī)及網(wǎng)絡(luò)保密規(guī)定......................................57

十一、信息系統(tǒng)測(cè)試管理辦法....................................59

第一章總則...................................................59

第二章測(cè)試組工作職責(zé).........................................59

第三章新業(yè)務(wù)系統(tǒng)上線測(cè)試管理辦法.............................61

第四章常規(guī)版本升級(jí)測(cè)試管理辦法...............................63

十二、信息安全建設(shè)管理規(guī)定....................................65

第一章總則...................................................65

第二章適用范圍...............................................65

第三章組織職責(zé)...............................................65

第四章系統(tǒng)定級(jí)...............................................66

第五章安全檢查報(bào)告...........................................67

第六章系統(tǒng)建設(shè)...............................................67

第七章系統(tǒng)備案...............................................68

第八章系統(tǒng)測(cè)評(píng)...............................................69

第九章系統(tǒng)終止...............................................70

附錄一、系統(tǒng)安全設(shè)計(jì)方案評(píng)審表................................71

附錄二、系統(tǒng)測(cè)試驗(yàn)收評(píng)審表....................................72

附錄三、系統(tǒng)轉(zhuǎn)移、終止或廢棄申請(qǐng)表............................74

十三、項(xiàng)目管理規(guī)定............................................76

第一章總則...................................................76

第二章適用范圍...................................................76

第三章職責(zé)與權(quán)限................................................76

第四章項(xiàng)目立項(xiàng)...................................................77

第五章項(xiàng)目計(jì)劃...................................................78

第六章項(xiàng)目實(shí)施...................................................78

第七章項(xiàng)目監(jiān)控...................................................78

第八章項(xiàng)目收尾...................................................79

十四、工作環(huán)境管理規(guī)定...........................................80

第一章總則.......................................................80

第二章適用范圍...................................................80

第三章術(shù)語(yǔ)定義...................................................80

第四章辦公區(qū)域訪問(wèn)控制..........................................80

第五章辦公環(huán)境安全..............................................81

第七章辦公用計(jì)算機(jī)安全..........................................82

第八章監(jiān)督和檢查................................................85

十五、信息系統(tǒng)資產(chǎn)管理規(guī)定.......................................87

第一章總則.......................................................87

第二章適用范圍...................................................87

第三章術(shù)語(yǔ)定義...................................................87

第四章職責(zé).......................................................87

第五章資產(chǎn)分類...................................................87

第六章資產(chǎn)分級(jí)...................................................88

第七章信息資產(chǎn)標(biāo)識(shí)..............................................89

第八章信息資產(chǎn)維護(hù)..............................................90

第九章閑置報(bào)廢資產(chǎn)管理..........................................90

附錄一、（XX市民政局）KXXX系統(tǒng)信息資產(chǎn)清單.....................93

十六、存儲(chǔ)介質(zhì)管理規(guī)定...........................................94

第一章總則.......................................................94

第二章適用范圍...................................................94

第三章術(shù)語(yǔ)定義...................................................94

第四章組織職責(zé)...................................................94

第五章存儲(chǔ)介質(zhì)標(biāo)識(shí)..............................................94

第六章存儲(chǔ)介質(zhì)訪問(wèn)..............................................95

第七章存儲(chǔ)介質(zhì)保管..............................................95

第八章介質(zhì)維修...................................................96

第九章存儲(chǔ)介質(zhì)銷毀..............................................96

附錄一、存儲(chǔ)介質(zhì)清單.............................................97

附錄二、存儲(chǔ)介質(zhì)銷毀申請(qǐng)表.......................................98

十七、信息系統(tǒng)運(yùn)維監(jiān)控管理規(guī)定..................................99

第一章總則.......................................................99

第二章適用范圍...................................................99

第三章術(shù)語(yǔ)定義...................................................99

第四章組織職責(zé)...................................................99

第五章監(jiān)控管理要求.............................................100

第六章運(yùn)維監(jiān)控工作流程.........................................101

十八、網(wǎng)絡(luò)系統(tǒng)運(yùn)行管理規(guī)定......................................103

第一章總則......................................................103

第二章組織職責(zé)..................................................103

第三章網(wǎng)絡(luò)資源的數(shù)據(jù)管理.......................................103

第四章網(wǎng)絡(luò)資源的申請(qǐng)...........................................104

第五章網(wǎng)絡(luò)資源的使用...........................................104

第六章網(wǎng)絡(luò)資源的建設(shè)...........................................105

第七章網(wǎng)絡(luò)資源的變更..........................................106

第八章網(wǎng)絡(luò)故障處理............................................106

十九、系統(tǒng)帳號(hào)權(quán)限管理規(guī)定......................................107

第一章總則......................................................107

第二章適用范圍..................................................107

第三章術(shù)語(yǔ)定義..................................................107

第四章組織職責(zé)..................................................108

第五章通用原則..................................................108

第六章特權(quán)帳號(hào)管理.............................................109

第七章普通帳號(hào)管理.............................................110

第八章口令管理..................................................110

第九章檢查監(jiān)督..................................................111

附錄一、（XX市民政局）業(yè)務(wù)系統(tǒng)臨時(shí)帳戶申請(qǐng)表..................112

附錄二、（XX市民政局）業(yè)務(wù)系統(tǒng)帳戶清單.........................113

二十、補(bǔ)丁管理規(guī)定..............................................114

第一章總則......................................................114

第二章適用范圍..................................................114

第三章術(shù)語(yǔ)定義..................................................114

第四章組織職責(zé)..................................................114

第五章補(bǔ)丁獲取..................................................115

第六章補(bǔ)丁測(cè)試..................................................115

第七章補(bǔ)丁驗(yàn)證和歸檔...........................................116

附錄一業(yè)務(wù)系統(tǒng)補(bǔ)丁安裝登記表...................................118

二十一、信息系統(tǒng)日志管理規(guī)定....................................119

第一章總則......................................................119

第二章適用范圍..................................................119

第三章術(shù)語(yǔ)定義..................................................119

第四章組織職責(zé)..................................................119

第五章通用要求..................................................119

第六章主機(jī)系統(tǒng)日志管理.........................................120

第七章業(yè)務(wù)系統(tǒng)日志管理.........................................121

第八章設(shè)備日志管理.............................................121

二十二、防病毒管理規(guī)定..........................................123

第一章總則......................................................123

第二章適用范圍..................................................123

第三章術(shù)語(yǔ)定義..................................................123

第四章組織職責(zé)..................................................123

第五章防計(jì)算機(jī)病毒目的.........................................124

第六章防病毒管理內(nèi)容...........................................125

第七章防病毒應(yīng)用規(guī)定...........................................126

第八章懲罰制度..................................................126

附件:病毒事件報(bào)告表............................................127

二十三、信息安全密碼使用管理規(guī)定...............................129

第一章總則......................................................129

第二章帳號(hào)設(shè)立要求.............................................129

第四章口令設(shè)立要求.............................................130

第五章變更與取消要求...........................................131

第六章維護(hù)要求..................................................133

第七章流程管理要求.............................................135

二十四、變更管理規(guī)定............................................138

第一章總則......................................................138

第二章適用范圍..................................................138

第三章術(shù)語(yǔ)定義..................................................138

第四章組織職責(zé)..................................................139

第五章變更申請(qǐng)..................................................139

第六章變更受理..................................................140

第七章變更方案制訂.............................................140

第八章變更審批..................................................141

第九章變更實(shí)施..................................................141

第十章變更匯總..................................................143

第十一章緊急變更................................................144

附錄一變更申請(qǐng)單..............................................145

二十五、備份與恢復(fù)管理規(guī)定......................................148

第一章總則......................................................148

第二章術(shù)語(yǔ)定義..................................................148

第三章職責(zé)......................................................148

第四章備份管理..................................................148

第五章備份介質(zhì)管理.............................................151

第六章備份恢復(fù)管理.............................................152

附錄一:業(yè)務(wù)系統(tǒng)備份數(shù)據(jù)清單....................................154

二十六、安全事件管理規(guī)定........................................161

第一章總則......................................................161

第二章適用范圍..................................................161

第三章術(shù)語(yǔ)定義..................................................161

第四章組織職責(zé)..................................................161

第五章事件分類..................................................162

第六章事件分級(jí)..................................................164

第七章事件監(jiān)控..................................................165

第八章事件受理..................................................165

第九章事件處置..................................................165

附錄一、信息安全異?，F(xiàn)象報(bào)告....................................169

附錄二、信息安全事件報(bào)告........................................170

二十七、應(yīng)急預(yù)案管理規(guī)定........................................173

二十八、軟件管理辦法............................................176

第一章總則......................................................176

第二章適用范圍..................................................176

第三章職責(zé)與權(quán)限................................................176

第四章軟件管理..................................................176

第五章軟件外包開(kāi)發(fā).............................................177

第六章軟件使用..................................................177

二十九、信息交付管理規(guī)定........................................178

第一章總則......................................................178

第二章安全交付規(guī)范.............................................179

第三章人員安全管理.............................................182

附件安全系統(tǒng)交付清單.........................................182

相關(guān)術(shù)語(yǔ)

1、縮寫

原名稱縮寫名稱備注

2、制度適用范圍:

適用于（XX市民政局）各部門，包括系統(tǒng)維護(hù)管理人員、網(wǎng)絡(luò)、

服務(wù)器、終端、設(shè)備、信息系統(tǒng)的專用設(shè)備以及物理環(huán)境等

3、術(shù)語(yǔ)定義

（一）安全策略：是綱領(lǐng)性的安全策略主文檔，描述（XX市民政

局）業(yè)務(wù)安全目標(biāo)和管理層意圖、支持目標(biāo)加指導(dǎo)原則，是

信息安全實(shí)踐的根本性和指導(dǎo)性的文件。

（二）信息安全等級(jí)保護(hù)管理體系是指依據(jù)國(guó)家信息安全等級(jí)保

護(hù)的要求建立的系統(tǒng)內(nèi)進(jìn)行信息安全管理的制度、方針、策

略、流程、指南、記錄等管理方面的規(guī)章制度集合。

（三）信息安全等級(jí)保護(hù)管理體系是指依據(jù)國(guó)家信息安全等級(jí)保

護(hù)的要求建立的系統(tǒng)內(nèi)進(jìn)行信息安全管理的制度、方針、策

略、流程、指南、記錄等管理方面的規(guī)章制度集合。

（四）安全檢查：指單位內(nèi)部或外部機(jī)構(gòu)對(duì)信息安全整體執(zhí)行情

況進(jìn)行的評(píng)價(jià)活動(dòng)。安全檢查的依據(jù)是單位現(xiàn)行的管理制度、

信息系統(tǒng)安全體系規(guī)范和技術(shù)標(biāo)準(zhǔn)、有關(guān)法律、法規(guī)和標(biāo)準(zhǔn)

要求等安全檢查包括安全例行檢查、安全專項(xiàng)檢查等。

（五）安全例行檢查：指按照已制定的檢查周期所作的檢查。

（六）安全專項(xiàng)抽查：指根據(jù)單位、監(jiān)管機(jī)構(gòu)或相關(guān)部門要求的

安全運(yùn)行狀況所作的不定期的抽查。

（七）本單位員工是指單位正式員工，包括試用期員工和借調(diào)人

員等。

（A）第三方機(jī)構(gòu)是指所有進(jìn)入（XX市民政局）內(nèi)部提供相關(guān)技

術(shù)服務(wù)的非（XX市民政局）單位（包括但不限于供應(yīng)商、合

作廠商、服務(wù)商）。第三方人員分為臨時(shí)來(lái)訪人員和駐場(chǎng)外包

人員。臨時(shí)來(lái)訪的第三方人員是指來(lái)（XX市民政局）時(shí)間周

期較短的人員，包括進(jìn)行業(yè)務(wù)交流的人員，臨時(shí)來(lái)訪參觀的

人員等；駐場(chǎng)外包的第三方人員是指來(lái)訪時(shí)間較長(zhǎng)的第三方

技術(shù)服務(wù)人員，包括項(xiàng)目建設(shè)人員，外來(lái)信息系統(tǒng)職守人員，

外來(lái)信息系統(tǒng)維護(hù)人員等。

（九）存儲(chǔ)介質(zhì)：指用于單位計(jì)算機(jī)系統(tǒng)相關(guān)業(yè)務(wù)的電子信息輸

出、存放的物理介質(zhì)、可移動(dòng)和不可移動(dòng)的磁盤、光盤、硬

盤、磁盤陣列等。

（十）帳號(hào)是指每個(gè)可訪問(wèn)系統(tǒng)資源的用戶在系統(tǒng)中的標(biāo)識(shí)，可

分為應(yīng)用系統(tǒng)帳號(hào)、操作系統(tǒng)帳號(hào)和數(shù)據(jù)庫(kù)帳號(hào)等。

（十一）訪問(wèn)權(quán)限是指帳號(hào)被賦予的可以訪問(wèn)系統(tǒng)資源和使用

系統(tǒng)功能的權(quán)利。

（十二）超級(jí)管理員帳號(hào)/特權(quán)帳號(hào)：指對(duì)系統(tǒng)具有超級(jí)權(quán)限的

帳號(hào)，包含但不限于UNIX/Linux的root,WINNT的

administrators紐成員，數(shù)據(jù)庫(kù)的DBA等用戶<>

（十三）普通帳號(hào)：用戶用于維護(hù)或訪問(wèn)系統(tǒng)，實(shí)現(xiàn)日常操作的

帳號(hào)，是最為常見(jiàn)的用戶類型。

（十四）補(bǔ)丁是針對(duì)某一個(gè)具體的系統(tǒng)漏洞或安全問(wèn)題而發(fā)布

的專門解決該漏洞或安全問(wèn)題的小程序，通常稱為修補(bǔ)程序。

（十五）日志包括各業(yè)務(wù)系統(tǒng)中存儲(chǔ)的主機(jī)系統(tǒng)日志、設(shè)備日志

和業(yè)務(wù)系統(tǒng)日志等基礎(chǔ)環(huán)境日志

（十六）計(jì)算機(jī)病毒：計(jì)算機(jī)病毒是人為蓄意編制的一種寄生性

的計(jì)算機(jī)程序。它能在計(jì)算機(jī)系統(tǒng)中生存，通過(guò)自我復(fù)制來(lái)

傳播，在一定條件下即被激活，從而給計(jì)算機(jī)系統(tǒng)造成一定

損害甚至嚴(yán)重破壞，有些病毒還能竊取計(jì)算機(jī)設(shè)備中的重要

信息

（十七）信息安全事件是指由于自然或者人為以及軟硬件本身

缺陷或故障的原因，對(duì)信息系統(tǒng)造成危害，或?qū)ι鐣?huì)造成負(fù)

面影響的事件

一、網(wǎng)絡(luò)信息安全總體策略

第一章總則

第一條為了加強(qiáng)（XX市民政局）信息系統(tǒng)的網(wǎng)絡(luò)安全管理，明確（XX

市民政局）網(wǎng)絡(luò)安全管理的總目標(biāo)和總方向，保護(hù)（XX市民政局）系統(tǒng)自

有的信息系統(tǒng)資產(chǎn)，積極預(yù)防安全事件的發(fā)生，使安全事件的影響最小化，

特制定本策略文件。

第二章術(shù)語(yǔ)定義

第二條安全策略：是綱領(lǐng)性的安全策略主文檔，描達(dá)（XX市民政局）信

息系統(tǒng)業(yè)務(wù)安全目標(biāo)和管理層意圖、支持目標(biāo)和指導(dǎo)原則，是網(wǎng)絡(luò)安全實(shí)

踐的根本性和指導(dǎo)性的文件。

第三章組織職責(zé)

第三條單位組建網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組，負(fù)責(zé)批準(zhǔn)網(wǎng)絡(luò)安全策略文

件并且保證本文件被執(zhí)行，同時(shí)負(fù)責(zé)對(duì)（XX市民政局）系統(tǒng)網(wǎng)絡(luò)安全方面

的指導(dǎo)方向、安全建設(shè)等重大問(wèn)題做出決策，協(xié)調(diào)各部門安全協(xié)同工作，

支持和推動(dòng)網(wǎng)絡(luò)安全工作在整個(gè)單位實(shí)施。

第四條單位組建網(wǎng)絡(luò)安全等級(jí)保護(hù)工作小組，負(fù)責(zé)具體執(zhí)行安全管理策

略文件的建立、實(shí)施、運(yùn)作、監(jiān)控、評(píng)審、維護(hù)和改進(jìn)工作。

第五條單位所有員工有責(zé)任了解自身在單位信息安全、網(wǎng)絡(luò)安全方面的

職責(zé)，并按照網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組的指示，認(rèn)真執(zhí)行相關(guān)要求。

KLSDJFDJSFKDJFLFJUFKLFJDKSLFJDSKFJSDKFJDSL

第四章管理原則

第六條網(wǎng)絡(luò)安全管理工作實(shí)行“積極防范、突出重點(diǎn)、職責(zé)到位、保障

業(yè)務(wù)”和“誰(shuí)主管、誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)營(yíng)、誰(shuí)負(fù)責(zé)”的管理原則。

第五章總體目標(biāo)

第七條遵守國(guó)家相關(guān)法律法規(guī)，結(jié)合（XX市民政局）實(shí)際情況，依據(jù)現(xiàn)

有管理和文化體系，逐步建設(shè)一套適用的、先進(jìn)的網(wǎng)絡(luò)安全管理體系，更

好地保障（XX市民政局）網(wǎng)站、社管平臺(tái)等重要信息系統(tǒng)安全、穩(wěn)定的向

社會(huì)公眾提供服務(wù)，并滿足單位不斷發(fā)展的業(yè)務(wù)需求。

第六章安全框架

第八條安全管理制度

（一）逐步完善由安全策略、管理制度、操作規(guī)程組成的網(wǎng)絡(luò)安全管理體

系。

（二）網(wǎng)絡(luò)安全策略文件應(yīng)由管理層審核批準(zhǔn)，并公布與傳達(dá)給單位所有

人員以及同本單位有業(yè)務(wù)往來(lái)的第三方機(jī)構(gòu)。網(wǎng)絡(luò)安全策略文件在規(guī)劃

期間內(nèi)或有重大變更發(fā)生時(shí)需通過(guò)管理層的審查及修訂。

第九條安全管理機(jī)構(gòu)

（一）必須建立網(wǎng)絡(luò)安全管理組織，以滿足網(wǎng)絡(luò)安全管理體系持續(xù)運(yùn)行的

目標(biāo)。

（二）加強(qiáng)與第三方機(jī)構(gòu)的溝通和合作，及時(shí)獲取相關(guān)信息。

KLSDJFDJSFKDJFLFJUFKLFJDKSLFJDSKFJSDKFJDSL

（三）必須建立安全檢查機(jī)制，定期對(duì)信息系統(tǒng)進(jìn)行安全檢查。

（四）加強(qiáng)人員錄用和離崗過(guò)程的安全管理，并定期對(duì)所有人員進(jìn)行安全

培訓(xùn)和考核，加強(qiáng)安全意識(shí)。

（五）對(duì)所有操作或訪問(wèn)信息資產(chǎn)的第三方機(jī)構(gòu)，必須向其闡明相關(guān)的責(zé)

任要求，并明確告知其有責(zé)任恰當(dāng)?shù)厥褂煤捅Ｗo(hù)這些信息資產(chǎn)。

第十條系統(tǒng)建設(shè)

（一）系統(tǒng)建設(shè)初期必須根據(jù)系統(tǒng)定級(jí)情況進(jìn)行安全方案設(shè)計(jì)，對(duì)可行性

進(jìn)行論證。

（二）確保安全和密碼產(chǎn)品采購(gòu)和使用符合國(guó)家的有關(guān)規(guī)定；并只能選擇

滿足條件的安全服務(wù)商。

（三）確保在系統(tǒng)的開(kāi)發(fā)與維護(hù)過(guò)程中，相關(guān)的安全功能和需求已被嵌入

到系統(tǒng)內(nèi)。在開(kāi)發(fā)新系統(tǒng)時(shí)，安全功能應(yīng)包含在初妗的系統(tǒng)分析與需求

描述中。這些描述必須包括自動(dòng)的和手動(dòng)的安全控制。這些控制必須通

過(guò)測(cè)試，而且能夠整合到正在運(yùn)行的環(huán)境中。

第十一條系統(tǒng)運(yùn)維

（一）信息系統(tǒng)及其相關(guān)的設(shè)備在物理上需要受到保護(hù)，防止偷竊、濫用、

損壞或未經(jīng)授權(quán)的訪問(wèn)。

（二）確保信息系統(tǒng)相關(guān)的信息資產(chǎn)受到適當(dāng)保護(hù)，所有信息資產(chǎn)必須有

確定的屬主并且根據(jù)其敏感度進(jìn)行分類和控制。

（三）所有信息系統(tǒng)必須制定相應(yīng)的操作規(guī)范，通過(guò)對(duì)日常操作的管理、

介質(zhì)的管理、惡意代碼防范控制確保信息系統(tǒng)范圍內(nèi)信息處理設(shè)施的正

確和安全操作。

KLSDJFDJSFKDJFLFJUFKLFJDKSLFJDSKFJSDKFJDSL

（四）對(duì)三級(jí)系統(tǒng)應(yīng)建立安全管理中心，對(duì)信息資產(chǎn)安全事件實(shí)現(xiàn)監(jiān)控和

響應(yīng)。

（五）所有信息系統(tǒng)變更應(yīng)有審批流程，并有完善的恢復(fù)流程。

（六）應(yīng)建立有效的安全事件響應(yīng)和處理機(jī)制，安全事件必須及時(shí)的發(fā)現(xiàn)、

報(bào)告、處理、調(diào)查、上報(bào)并修正，并且有事后的回顧，以吸取經(jīng)驗(yàn)教訓(xùn)，

避免以后再發(fā)生同類型的事件，把損失降到最小。

（七）建立完善應(yīng)急預(yù)案，以確保事故發(fā)生時(shí)，對(duì)業(yè)務(wù)活動(dòng)的影響降至最

小。

第七章策略制定與維護(hù)

第十二條網(wǎng)絡(luò)信息安全策略文件由安全管理員編寫，由網(wǎng)絡(luò)安全與信息化

領(lǐng)導(dǎo)小組批準(zhǔn)，向所有相關(guān)部門、第三方機(jī)構(gòu)和相關(guān)人員發(fā)布。

第十三條網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組監(jiān)督網(wǎng)絡(luò)安全活動(dòng)，是否與策略的目

標(biāo)一致，達(dá)到策略的要求。

第十四條網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組審查和處理違反安全策略的行為。

第十五條網(wǎng)絡(luò)安全等級(jí)保護(hù)工作小組定期對(duì)網(wǎng)絡(luò)安全策略進(jìn)行回顧和評(píng)

審（附件一、評(píng)審記錄表），確保策略的有效性和可操作性。

KLSDJFDJSFKDJFLFJUFKLFJDKSLFJDSKFJSDKFJDSL

附件一、安全策略評(píng)審記錄表

安全策略評(píng)審記錄表

日期：年月日

會(huì)議名稱

參與人員

評(píng)審對(duì)象

評(píng)審結(jié)果

評(píng)審意見(jiàn)：審批結(jié)果：

網(wǎng)絡(luò)安全等級(jí)保護(hù)工作小組網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組

KLSDJFDJSFKDJFLFJUFKLFJDKSLFJDSKFJSDKFJDSL

二、信息等級(jí)保護(hù)體系制定和發(fā)布管理規(guī)定

第一章總則

第一條為了保證（XX市民政局）信息安全等級(jí)保護(hù)管理體系的持續(xù)性、

時(shí)效性以及適應(yīng)性，滿足業(yè)務(wù)不斷變化的安全管理的需要，明確信息安全

等級(jí)保護(hù)體系的制定、發(fā)布、評(píng)審和修訂等過(guò)程中的管理職責(zé)，特制定本

規(guī)定。

第二章職責(zé)

第二條網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組，職責(zé)：

（一）負(fù)責(zé)規(guī)劃、監(jiān)督、指導(dǎo)網(wǎng)絡(luò)安全等級(jí)保護(hù)管理體系文件的起草、審

查、發(fā)布、清理等工作。

（二）負(fù)責(zé)信息安全等級(jí)保護(hù)管理體系的評(píng)審及修訂后復(fù)審工作。

（三）確保信息安全等級(jí)保護(hù)管理體系能持續(xù)恰當(dāng)和有效地運(yùn)作。

（四）提供充足的資源和支持，以持續(xù)改善信息安全等級(jí)保護(hù)管理體系。

第三條網(wǎng)絡(luò)安全等級(jí)保護(hù)工作小組，職責(zé)：

（一）負(fù)責(zé)組織管理體系文件的起草、編制、修訂、補(bǔ)充等工作的開(kāi)展，

并將實(shí)施成果向領(lǐng)導(dǎo)小組匯報(bào)。

（二）負(fù)責(zé)啟動(dòng)和主持等級(jí)保護(hù)管理體系的管理評(píng)審工作。

（三）負(fù)責(zé)協(xié)調(diào)相關(guān)人員，考導(dǎo)收集評(píng)審資料。

（四）確保評(píng)審會(huì)議所提出的行動(dòng)項(xiàng)目能在規(guī)定的時(shí)間內(nèi)完成，并負(fù)責(zé)其

相關(guān)的監(jiān)督工作。

（五）負(fù)責(zé)對(duì)評(píng)審結(jié)果如需進(jìn)行修訂項(xiàng)協(xié)調(diào)相關(guān)人員進(jìn)行修訂C

KLSDJFDJSFKDJFLFJUFKLFJDKSLFJDSKFJSDKFJDSL

（六）指派人員負(fù)責(zé)對(duì)修訂措施的執(zhí)行結(jié)果進(jìn)行驗(yàn)證。

第四條相關(guān)人員，是指（XX市民政局）信息安全等級(jí)保護(hù)管理體系涉及

的人員。比如：系統(tǒng)管理員、應(yīng)用管理員、開(kāi)發(fā)管理人員、網(wǎng)絡(luò)管理員、

數(shù)據(jù)管理員、資產(chǎn)管理員和安全管理員等，其職責(zé)是：

（一）負(fù)責(zé)依據(jù)管理體系文件的內(nèi)容進(jìn)行宣貫、培訓(xùn)、執(zhí)行、檢查等工作，

并依據(jù)部門情況落實(shí)管理體系的要求。

（二）負(fù)責(zé)協(xié)助進(jìn)行評(píng)審。

（三）負(fù)責(zé)實(shí)施修訂措施。

第五章文件起草

第五條（XX市民政局）網(wǎng)絡(luò)安全管理體系規(guī)范文件由網(wǎng)絡(luò)安全等級(jí)保護(hù)

工作小組負(fù)責(zé)起草或組織起草。

第六條負(fù)責(zé)起草的科室應(yīng)當(dāng)確定一名熟悉相關(guān)內(nèi)容員工為項(xiàng)目負(fù)責(zé)人,

如涉及多個(gè)部門時(shí)，可由有關(guān)部門共同派人組成聯(lián)合起草小組，由主要起

草部門負(fù)責(zé)牽頭組織。

第七條起草的規(guī)范性文件應(yīng)當(dāng)結(jié)構(gòu)嚴(yán)謹(jǐn)、內(nèi)容完備、形式規(guī)范、條理清

楚、用詞準(zhǔn)確、文字簡(jiǎn)潔。

第八條應(yīng)當(dāng)明確規(guī)定如下內(nèi)容：

（一）制定的目的和依據(jù)；

（二）適用范圍；

（三）術(shù)語(yǔ)定義；

（四）組織職責(zé)；

KLSDJFDJSFKDJFLFJUFKLFJDKSLFJDSKFJSDKFJDSL

（五）具體管理要求或規(guī)定；

（六）必要的附則；

（七）與規(guī)范內(nèi)容相關(guān)的資料性附錄和參考性附錄。

第九條報(bào)送審查的管理制度送審稿應(yīng)當(dāng)由起草部門負(fù)責(zé)人簽署后報(bào)網(wǎng)

絡(luò)安全與信息化領(lǐng)導(dǎo)小組審查。幾個(gè)部門共同起草的規(guī)范送審稿，應(yīng)當(dāng)由

起草部門負(fù)責(zé)人共同簽署后報(bào)網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組審查。

第十條下列材料應(yīng)當(dāng)與規(guī)范送審稿一并報(bào)送網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小

組審查：

（一）起草說(shuō)明；

（二）與此規(guī)范內(nèi)容有關(guān)的規(guī)范性文件；

（三）匯總的各方意見(jiàn)；

（四）如需制定實(shí)施細(xì)則，應(yīng)當(dāng)提交實(shí)施細(xì)則的主要內(nèi)容和細(xì)則擬出臺(tái)的

時(shí)間；

（五）其他需要報(bào)送的材料。

第十一條網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組主要從以下方面對(duì)送審稿進(jìn)行審查：

（一）是否符合權(quán)限和程序；

（二）是否符合原則；

（三）是否與其他規(guī)范、標(biāo)準(zhǔn)相協(xié)調(diào)、銜接；

（四）是否已對(duì)有關(guān)不同意見(jiàn)進(jìn)行協(xié)調(diào)；

KLSDJFDJSFKDJFLFJUFKLFJDKSLFJDSKFJSDKFJDSL

（五）是否具有可行性；

（六）是否符合相關(guān)技術(shù)要求；

（七）需要審查的其他內(nèi)容。

第十二條由網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組對(duì)送審稿提出審查結(jié)論，對(duì)草案涉

及的有關(guān)爭(zhēng)議問(wèn)題以及修改情況作重點(diǎn)說(shuō)明。由網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小

組負(fù)責(zé)人簽署的書面審查報(bào)告應(yīng)當(dāng)反饋起草部門。

第六章文件評(píng)審

第十三條（XX市民政局）網(wǎng)絡(luò)安全等級(jí)保護(hù)工作小組定期（至少每年一次）

開(kāi)展等級(jí)保護(hù)管理體系的評(píng)審工作，以確保整個(gè)等級(jí)保護(hù)管理體系的充分

性、適當(dāng)性和有效性。

第十四條等級(jí)保護(hù)管理體系評(píng)審內(nèi)容：

（一）根據(jù)業(yè)務(wù)系統(tǒng)的性質(zhì)和安全要求，確定（或復(fù)審）等級(jí)保護(hù)管理體

系的范圍，建立（復(fù)審）等級(jí)保護(hù)管理體系，包括網(wǎng)絡(luò)安全策略、標(biāo)準(zhǔn)

和程序。

（二）對(duì)等級(jí)保護(hù)管理體系審核結(jié)果進(jìn)行評(píng)審，分析導(dǎo)致不符合項(xiàng)的原因。

（三）審查審核對(duì)象的反饋信息。

（四）總結(jié)已發(fā)現(xiàn)的安全事件和漏洞。

（五）審查現(xiàn)行的安全控制措施和相關(guān)技術(shù)是否有效。

（六）復(fù)查修訂措施的實(shí)施狀況。

（七）檢查先前管理評(píng)審中所定義的措施的實(shí)施狀況。

（A）審查改善措施的建議。

KLSDJFDJSFKDJFLFJUFKLFJDKSLFJDSKFJSDKFJDSL

（九）復(fù)查業(yè)務(wù)和法律法規(guī)方面的變更。

（十）審查可能影響信息安全等級(jí)保護(hù)管理體系的任何變更。

（十一）為協(xié)調(diào)相關(guān)網(wǎng)絡(luò)安全的實(shí)施，評(píng)審相關(guān)資源的充足性。

第十五條評(píng)審工作必須至少每年舉行一次，發(fā)生以下情況時(shí)，也需要啟動(dòng)

管理評(píng)審工作：

（一）系統(tǒng)業(yè)務(wù)發(fā)生重大變更。

（二）系統(tǒng)網(wǎng)絡(luò)安全策略的重大變更。

（三）目前等級(jí)保護(hù)管理體系的執(zhí)行不力。

（四）系統(tǒng)等級(jí)保護(hù)管理體系的范圍發(fā)生變更。

（五）相關(guān)標(biāo)準(zhǔn)法規(guī)發(fā)布修訂版本或有變更。

第七章文件發(fā)布

第十六條規(guī)范草案經(jīng)網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組審議并原則通過(guò)后，起草

部門根據(jù)審議中提出的修改意見(jiàn)對(duì)草案進(jìn)行修改，經(jīng)網(wǎng)絡(luò)安全與信息化領(lǐng)

導(dǎo)小組負(fù)責(zé)人簽發(fā)，以文件形式公布。

第十七條文件的發(fā)布應(yīng)遵照統(tǒng)一的格式，進(jìn)行版本控制；并應(yīng)注明發(fā)布范

圍，對(duì)收發(fā)文進(jìn)行登記。對(duì)發(fā)布的制度應(yīng)在《附錄一、（XX市民政局）管理

制度發(fā)布記錄表》中進(jìn)行記錄。

KLSDJFDJSFKDJFLFJUFKLFJDKSLFJDSKFJSDKFJDSL

附錄一、（XX市民政局）管理制度發(fā)布記錄表

（XX市民政局）管理制度發(fā)布記錄

管理制度名稱制訂者發(fā)布者生效時(shí)間版本分發(fā)范圍失效時(shí)間備注

日期：文檔管理人員：審核人：

KLSDJFDJSFKDJFLFJUFKLFJDKSLFJDSKFJSDKFJDSL

三、等級(jí)保護(hù)體系評(píng)審和修訂管理規(guī)定

第一章總則

第一條為了保證（XX市民政局）等級(jí)保護(hù)管理體系的持續(xù)性、時(shí)效性以

及適應(yīng)性，滿足單位不斷變化的安全管理的需要，明確等級(jí)保護(hù)管理體

系的評(píng)審和修訂過(guò)程中管理職責(zé)，特制定本規(guī)定。

第二章評(píng)審程序

第二條（XX市民政局）網(wǎng)絡(luò)安全等級(jí)保護(hù)工作小組定期（至少每年一次）

開(kāi)展等級(jí)保護(hù)管理體系的評(píng)審工作，以確保整個(gè)等級(jí)保護(hù)管理體系的充分

性、適當(dāng)性和有效性。

第三條等級(jí)保護(hù)管理體系評(píng)審內(nèi)容：

（一）根據(jù)具體工作的性質(zhì)和安全要求，確定（或復(fù)審）等級(jí)保護(hù)管理體

系的范圍，建立（復(fù)審）等級(jí)保護(hù)管理體系，包括網(wǎng)絡(luò)安全策略、標(biāo)準(zhǔn)

和程序。

（二）對(duì)等級(jí)保護(hù)管理體系審核結(jié)果進(jìn)行評(píng)審，分析導(dǎo)致不符合項(xiàng)的原因。

（三）審查審核對(duì)象的反饋信息。

（四）總結(jié)已發(fā)現(xiàn)的安全事件和漏洞。

（五）審查現(xiàn)行的安全控制措施和相關(guān)技術(shù)是否有效。

（六）復(fù)查修訂措施的實(shí)施狀況。

（七）檢查先前管理評(píng)審中所定義的措施的實(shí)施狀況。

（A）審查改善措施的建議。

（九）復(fù)杳業(yè)務(wù)和法律法規(guī)方面的變更c(diǎn)

KLSDJFDJSFKDJFLFJUFKLFJDKSLFJDSKFJSDKFJDSL

（十）審查可能影響等級(jí)保獷管理體系的任何變更。

（十一）為協(xié)調(diào)相關(guān)網(wǎng)絡(luò)安全的實(shí)施，評(píng)審相關(guān)資源的充足性。

第四條評(píng)審工作必須至少每年舉行一次，發(fā)生以下情況時(shí)，也需要啟動(dòng)

管理評(píng)審工作：

（一）系統(tǒng)業(yè)務(wù)發(fā)生重大變更。

（二）系統(tǒng)網(wǎng)絡(luò)安全策略的重大變更。

（三）目前等級(jí)保護(hù)管理體系的執(zhí)行不力。

（四）系統(tǒng)等級(jí)保護(hù)管理體系的范圍發(fā)生變更。

（五）相關(guān)標(biāo)準(zhǔn)法規(guī)發(fā)布修訂版本或有變更。

（六）評(píng)審工作的會(huì)議記錄均需歸檔，以保存正式的記錄。

第三章修訂程序

第五條問(wèn)題的識(shí)別及確認(rèn)，采取修訂措施可能由以r原因，包括但不限

于：

（一）來(lái)自系統(tǒng)等級(jí)保護(hù)管理體系的相關(guān)工作人員的反饋信息或調(diào)查申請(qǐng)。

（二）網(wǎng)絡(luò)安全管理評(píng)審的會(huì)議討論中發(fā)現(xiàn)的問(wèn)題。

（三）等級(jí)保護(hù)管理體系的審核發(fā)現(xiàn)的不符合項(xiàng)。

第六條調(diào)查問(wèn)題的起因：

（一）由網(wǎng)絡(luò)安全等級(jí)保護(hù)工作小組指派專門的人員負(fù)責(zé)對(duì)問(wèn)題進(jìn)行分析

調(diào)查并確認(rèn)問(wèn)題的起因。

（二）調(diào)查人員需提供盡可能多的關(guān)于整個(gè)問(wèn)題調(diào)查的詳細(xì)結(jié)果。作為修

訂措施報(bào)告的一部分，也可以提供一些額外的補(bǔ)充信息。

第七條執(zhí)行修訂措施：

KLSDJFDJSFKDJFLFJUFKLFJDKSLFJDSKFJSDKFJDSL

（一）基于所調(diào)查出的問(wèn)題起因，需確認(rèn)并實(shí)施相應(yīng)措施或?qū)κ鹿蔬M(jìn)行調(diào)

查研究，負(fù)責(zé)上述行動(dòng)的執(zhí)行者需確保更新任何相關(guān)的文件或管理流程。

比如：

＞準(zhǔn)備制定或更新相關(guān)管理程序。

＞培訓(xùn)/通知相關(guān)人員知曉。

（二）執(zhí)行人員負(fù)責(zé)跟蹤所執(zhí)行修訂措施的效果。一旦發(fā)現(xiàn)效果不如預(yù)期，

其相關(guān)負(fù)責(zé)人需進(jìn)行評(píng)估分析并就進(jìn)一步的應(yīng)對(duì)措施進(jìn)行確認(rèn)。執(zhí)行人

員必須確保所實(shí)施的修訂措施是可證實(shí)和可驗(yàn)證的，并保證修訂措施的

報(bào)告中都有詳細(xì)說(shuō)明。

第八條措施的驗(yàn)證：

（一）如果驗(yàn)證出所采取的措施是達(dá)到預(yù)期效果的，貝］修訂措施才算是成

功，可以結(jié)束跟蹤，驗(yàn)證階段包括以下兩個(gè)部分：

＞對(duì)所規(guī)定修訂措施的執(zhí)行程度進(jìn)行驗(yàn)證。

＞對(duì)修訂措施的執(zhí)行效果進(jìn)行驗(yàn)證。

（二）措施驗(yàn)證的結(jié)果必須中有詳細(xì)的說(shuō)明，且對(duì)相關(guān)記錄進(jìn)行保存。

KLSDJFDJSFKDJFLFJUFKLFJDKSLFJDSKFJSDKFJDSL

四、信息安全管理組織架構(gòu)

第一章總則

第一條為加強(qiáng)（XX市民政局）信息安全管理工作的組織協(xié)調(diào)，建立健全

等級(jí)保護(hù)管理制度和運(yùn)行機(jī)制，切實(shí)提高（XX市民政局）信息安全管理

工作水平，根據(jù)《信息安全等級(jí)保護(hù)管理辦法（公通字[2007]43號(hào)）》

要求，制定本規(guī)范

第二章組織目標(biāo)

第二條本實(shí)施規(guī)則旨在實(shí)現(xiàn)信息安全管理的以下目標(biāo)：

（一）管理組織內(nèi)的信息安全工作；

（二）管理外部組織訪問(wèn)組織內(nèi)信息處理設(shè)施和信息資產(chǎn)的安全。

第三章信息安全組織架構(gòu)

第三條為加強(qiáng)對(duì)（XX市民政局）信息安全管理工作的領(lǐng)導(dǎo)，貫徹落實(shí)信

息安全的要求及安徽省公安廳《關(guān)于開(kāi)展信息安全管理專項(xiàng)檢查工作的

通知》的有關(guān)要求，經(jīng)研究，決定成立（XX市民政局）網(wǎng)絡(luò)安全與信息

化領(lǐng)導(dǎo)小組（以下簡(jiǎn)稱領(lǐng)導(dǎo)小組）

第四條成立領(lǐng)導(dǎo)小組，作為信息安全管理工作的最高管理機(jī)構(gòu)，領(lǐng)導(dǎo)小

組下設(shè)（XX市民政局）系統(tǒng)信息安全管理工作小組，

第五條領(lǐng)導(dǎo)小組由（XX市民政局）書記擔(dān)任組長(zhǎng)，副書記擔(dān)任副組長(zhǎng),

領(lǐng)導(dǎo)小組主要成員為隊(duì)伍建設(shè)指導(dǎo)科科長(zhǎng)及各相關(guān)部門安全主管領(lǐng)導(dǎo)。

第六條信息安全管理工作小組負(fù)責(zé)（XX市民政局）信息安全管理的具體

KLSDJFDJSFKDJFLFJUFKLFJDKSLFJDSKFJSDKFJDSL

執(zhí)行工作。工作小組組長(zhǎng)由領(lǐng)導(dǎo)小組指定的隊(duì)伍建設(shè)指導(dǎo)科科長(zhǎng)兼任。

設(shè)置一名副組長(zhǎng)負(fù)責(zé)具體工作，對(duì)各部門信息安全技術(shù)的實(shí)施進(jìn)行指導(dǎo)

與審查。信息安全工作小組成員還包括各部門信息化負(fù)責(zé)人。

第七條隊(duì)伍建設(shè)指導(dǎo)科作為信息安全工作的具體執(zhí)行部門，各科室主

要負(fù)責(zé)人為本科室信息安全管理工作的第一責(zé)任人，并應(yīng)指定一名信息

安全管理員作為信息安全工作聯(lián)絡(luò)員，負(fù)責(zé)本科室內(nèi)的有關(guān)信息安全管

理工作。

第四章組織的信息安全職責(zé)描述

第八條網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組的職責(zé)包括：

（一）根據(jù)國(guó)家、省、市級(jí)網(wǎng)絡(luò)安全的總體要求，結(jié)合（XX市民政局）的實(shí)際

情況，統(tǒng)一領(lǐng)導(dǎo)（XX市民政局）信息安全管理的相關(guān)工作；

（二）負(fù)責(zé)協(xié)調(diào)（XX市民政局）內(nèi)部管理工作，分配信息安全管理目標(biāo)、職責(zé)，

并支持和推動(dòng)信息安全工作在單位內(nèi)的實(shí)施；

（三）負(fù)責(zé)對(duì)與信息安全管理有關(guān)的重大事項(xiàng)進(jìn)行決策，包括安全組織機(jī)構(gòu)調(diào)整、

以及信息安全管理重大策略變更；

（四）組織審定和發(fā)布單位信息安全的發(fā)展戰(zhàn)略、總體規(guī)劃、重大政策、管理規(guī)

范和技術(shù)標(biāo)準(zhǔn)；

（五）評(píng)審與監(jiān)督重大信息安全事故