信息安全管理体系制度汇编V10

1、信息安全管理体系制度汇编V1.0信息安全管理体系汇编（第一版）网络运营中心监制乂乂年3月目录目录 信息安全工作指导方针I信息安全工 作流程图II信息安全工作示意图III信息安全管理体系框架IV 信息安全工作总体方针1第一章总则1第二章总体安全方针1第三章总体安全目标1第四章安全工作原则1第五章安全工作要求2第六章安全组织保障3第七章附则4架构与安全委员会章程5第一章总则5第二章组织结构5第三章架构与安全委员会6第四章信息安全实施小组7第五章例会制度9第六章附则10附件11附件1：架构与安全委员会名单11 附件2：架构与安全委员会例会纪要12信息系统安全管理制度13第一章总则13第二章信息系统安

2、全管理13第三章数据中心机房安全管理14第四章网络安全管理14第五章系统安全管理15第六章应用安全管理15第七章数据安全管理15第八章信息系统建设安全管理16第九章信息系统变更安全管理16第章信息系统运维安全管理16第一章信息系统安全事件管理17第二章信息安全检查与审计管理17第三章信息系统风险评估管理17第四章信息系统安全应急预案17第五章业务连续性与灾难恢复管理18第六章信息系统安全值守巡检规范18第七章附则18信息系统日常安全管理规范19第一章总则19第二章信息系统日常管理19第三章人员安全管理20第四章第三方人员安全管理制度20第五章信息资产安全管理制度20第六章办公设备安全管理制度2

3、0第七章桌面终端安全管理21第八章介质安全管理21第九章附则21数据中心机房管理制度22第一章总则22第二章机房出入管理22第三章机房操作管理24第四章机房设备管理24第五章附则25附件26附件1：机房人员、设备进出申请表 26附件2：数据中心维护工作登记表27网络安全管理制度29第一章总则29第二章管理职责29第三章网络架构安全29第四章网络配置安全30第五章网络运维安全32第六章附则34系统安全管理制度35第一章总则35第二章管理职责35第三章系统配置安全35第四章系统运维安全36第五章附则37应用安全管理制度38第一章总则38第二章身份鉴别38第三章WEB页面安全39第四章访问控制39第

4、五章安全审计40第六章过期信息、文档处理40第七章资源控制40第八章应用容错40第九章报文完整性41第章报文保密性41第一章抗抵赖41第二章编码安全41第三章电子认证应用41第四章附则42数据安全管理制度43第一章总则43第二章数据分级43第三章数据传输安全44第四章数据存储安全44第五章数据变更安全45第六章数据访问安全46第七章数据备份安全46第八章数据恢复安全47第九章数据销毁安全48第章密码和密钥安全48第一章附则50附件51附件1：备份记录51附件2：备份计 划表52附件3：备份数据可用性测试申请表53附件4：备份数 据可用性测试记录54附件5：数据恢复申请表55业务系统建设 安全管

5、理制度56第一章总则56第二章总体安全要求56第三章业务系统研发、测试56第四章业务系统上线57第五章附则59附件60附件1：新业务上线申请表60信息 系统变更安全管理制度61第一章总则61第二章变更分类61第三章变更管理流程61第四章附则64附件65附件1：变更申请表65附件2：变 更记录表66信息系统运维安全管理制度67第一章总则67第二章日常巡检67第三章信息系统运维账号管理68第四章安全监控与入侵防范管理70第五章恶意代码防范70第六章附则71附件72附件1：信息系统运维账号申请表72信息系统安全事件管理制度73第一章总则73第二章安全事件定义73第三章安全事件分级77第四章安全事件处

6、理79第五章附则80附件81附件1：故障记录登记表81附件 2：故障记录汇总审批表82信息安全检查与审计管理制度83第一章总则83第二章安全检查与审计内容83第三章全面安全检查与审计流程85第四章附则87突发业务高可用性管理制度89第一章总则89第二章管理职责89第三章技术保障89第四章突发业务高可用性管理90第五章附则93附件94附件1：突发业务高可用性影响分析 报告94附件2：突发业务高可用性实施计划95附件3：突发业 务高可用性实施计划测试报告96附件4：突发业务高可用性实施 计划评审报告97信息系统安全应急预案98第一章总则98第二章组织和职责98第三章事件分类98第四章机房故障应急预

7、案99第五章业务系统故障应急预案100第六章应急处理保障101第七章应急处理培训及演练101第八章附则102信息系统风险评估管理规范103第一章总则103第二章风险的概念103第三章风险评估职责104第四章风险评估过程104第五章附则107信息系统安全值守巡检规范108第一章总则108第二章组织和职责108第三章机房安全值守108第四章办公室安全值守109第五章附则110人员安全管理制度111第一章总则111第二章人员录用111第三章人员调/离岗112第四章信息安全意识教育112第五章人员考核112第六章附则113附件114附件1：保密协议书114附件2： 培训记录单119第三方人员安全管理制

8、度120第一章总则120第二章第三方人员安全管理120第三章第三方人员安全操作120第四章附则121附件122附件1：第三方人员访问申请流程 122附件2：第三方人员入网申请表123信息资产安全管理制度 124第一章总则124第二章信息资产分类124第三章信息资产分级124第四章信息资产管理125第五章信息资产盘点126第六章附则126附件128附件1：信息资产保密性赋值定义 128附件2：信息资产完整性赋值定义129附件3：信息资产可用 性赋值定义130附件4：信息资产清单131办公设备安全管理制 度132第一章总则132第二章管理职责132第三章设备申请采购管理132第四章设备使用维护管理

9、133第五章设备维修报废管理136第六章附则136附件137附件1：办公设备申请采购工作流 程137附件2：办公设备领用工作流程138附件3：办公设备调 拨工作流程139附件4：办公设备维修报废流程140附件5：办 公设备领用单141附件6：办公设备调拨申请表142附件7：办 公设备送外维修申请表143桌面终端安全管理制度144第一章总则144第二章员工桌面终端安全要求144第三章桌面终端初始配置145第四章桌面终端接入网络145第五章桌面终端日常使用146第六章桌面终端连接互连网148第七章桌面终端维修报废149第八章附则149介质安全管理制度150第一章总则150第二章介质保管150第三章

10、介质使用与维护150第四章介质维修与销毁151第五章附则152附件153附件1：介质目录清单153附件 2：介质申请表154附件3：介质送外维修申请表155附件4：介 质移交单156附件5：介质销毁清单157附件6：保密介质销毁 申请表158网络运营中心监制信息安全工作指导方针信息安全 工作指导方针网络运营中心监制IV信息安全工作流程图信息 安全工作流程图信息安全工作示意图信息安全工作示意图信息 安全管理体系框架信息安全管理体系框架信息安全工作总体方 针信息安全工作总体方针第一章总则第一条为给集团信息安全工作提供清晰的指导方向，加强信 息安全管理，保证业务系统的安全运行，提高服务质量，特制定

11、本方针。第二条信息安全工作是集团运营发展的基础，是保障网络质 量，保护客户利益的基础，因此必须重视信息安全工作。第三条信息安全是集团各部门所有员工共同分担的责任，与 每一位员工的日常工作息息相关，所有员工必须提高认识，高度 重视，从自己开始，坚持不懈地做好信息安全工作。第四条本方针适用于集团全体员工。第二章 总体安全方针第五条集团信息安全应坚持“信息安全与业务并重，安全管 理与技术并重”的总体方针，实现信息系统安全可查、可视、可 控。依照“分区、分级、分域”的总体安全防护策略，执行信息 系统安全防护。第三章总体安全目标第六条集团的信息安全目标是：一、保障信息系统安全稳定运行，保证业务连续性；二

12、、保护客户隐私，保障客户资料的机密性，维护客户的利三、保护集团的商业机密和技术机密，维护集团的利益；四、建立集团的信息安全体系，确保信息资产的安全可靠。第四章安全工作原则第七条安全工作应遵循以下基本原则：一、“分级保护”原则：应根据各业务系统的重要程度以及 面临的风险大小等因素决定各类信息的安全保护级别，分级保护，合理投资。二、“同步规划、同步建设、同步运行”原则：安全建设应 与业务系统同步规划、同步建设、同步运行，在任何一个环节的 疏忽都可能给业务系统带来危害。三、“三分技术、七分管理”原则：信息安全不是单纯的技 术问题，需要在采用安全技术和产品的同时，重视安全管理，不 断完善各类安全管理规

13、章制度和操作规程，全面提高安全管理水 平。四、“内外并重”原则：安全工作需要做到内外并重，在防 范外部威胁的同时，加强规范内部人员行为和审计机制。五、“整体规划，分步实施”原则：需要对集团信息安全建 设进行整体规划，分步实施，逐步建立完善的信息安全体系。六、“风险管理”原则：进行安全风险管理，确认可能影响 信息系统的安全风险，并以较低的成本将其降低到可接受的水 平。七、“适度安全”原则：没有绝对的安全，安全和易用性是 矛盾的，需要做到适度安全，找到安全和易用性的平衡点。第五章安全工作要求第八条集团必须建立和完善信息安全管理规章制度和操作程 序，规范和加强信息安全管理工作，所有员工都必须遵守与其

14、相 关的信息安全规章制度。第九条加强内部人员安全管理，依据最小特权原则清晰划分 岗位，在所有岗位职责中明确信息安全责任，要害工作岗位实现 职责分离，关键事务双人临岗，重要岗位要有人员备份。第条各部门必须加强信息资产管理，建立和维护信息资产清 单，建立信息资产责任制，对信息资产进行分类管理和贴标签。第一条加强系统建设的安全管理，配套安全系统必须与业务 系统“同步规划、同步建设、同步运行”，加强安全规划、安全 审批、安全验收管理。第二条 建立维护作业计划，严格执行维护作业计划，加强对 网络设备、操作系统、数据库、应用系统的运行监控，编写日常 运行维护报告。第三条部署网络层面和系统层面的访问控制、安

15、全审计以及 安全监控技术措施，保障业务系统的安全运行。第四条 建立日常维护操作手册和变更控制流程，规范日常运 行维护操作，严格控制和审批任何变更行为，加强机房和办公区 域的安全管理，为业务系统的正常运行提供物理和环境安全保 障。第五条增强主机系统的安全配置，定期进行安全评估和安全 加固，加强防范恶意软件，定期更新病毒特征代码，及时报告发 现的病毒。所有Windows操作系统的电脑必须及时进行补丁升 级。第六条制定各业务系统的应急方案，定期更新、维护和测 试，做好数据备份工作，确保出现故障时数据能够及时恢复，保 证数据的安全。第七条 加强用户账号和权限管理，按照最小特权原则为用户 分配权限，避免

16、出现共用账号的情况。第八条加强用户口令的管理，口令长度至少8位，并采用数 字、字母和特殊字符的组合，定期修改用户口令。第九条加强应用系统的安全管理，包括软件开发安全管理、 投产测试和上线安全管理、应用软件版本和配置管理，加强外包 开发的业务系统软件的安全管理。第二条加强第三方访问和外包服务的安全控制，在风险评估 的基础上制定安全控制措施，并与第三方集团和外包服务集团签 署安全责任协议，明确其安全责任。第二一条所有员工都应签署保密协议，并接受信息安全教育 培训，提高安全意识，及时报告信息安全事件。第六章安全组织保障第二二条架构与安全委员会是集团管理委员会领导下的IT 服务管理的安全监督机构，下设

17、信息安全实施小组，全面负责集 团信息安全的各项工作。第二三条架构与安全委员会负责集团信息安全相关的技术指 导和管理工作，定期向管理委员会汇报集团网络与信息安全现状；负责根据集团的智慧大北农平台 战略建立网络与信息安全管理体系工作规划。第二四条信息安全实施小组由信息安全部、网络运维部、技 术中心安全相关人员以及外部组织技术人员组成，是集团信息安 全的具体实施组织，信息安全部负责根据架构与安全委员会的各 项决策提出具体解决方案并组织实行，制定并落实集团的信息安 全管理体系规范，并为委员会决策提供真实、有效的信息安全数 据。小组其他部门负责配合信息安全部完成委员会各项信息安全 决策的具体落实。第七章

18、附则第二五条本方针的制定和修改需要经架构与安全委员会成员 讨论通过后，管理委员会批准之日起生效。第二六条本方针解释权属架构与安全委员会。网络运营中心监制26架构与安全委员会章程架构与安全委 员会章程第一章总则第一条为了加强集团信息安全保障能力，建立健全集团的安 全管理体系，提高整体的网络与信息安全水平，保证网络通信畅 通和业务系统的正常运营，提高网络服务质量，经集团批准设立 架构与安全委员会。第二条架构与安全委员会（以下简称“委员会”）是集团管 理委员会领导下的IT服务管理的安全监督机构，负责集团信息安 全相关的技术指导和管理工作，定期向管理委员会汇报集团网络与信息安全现状；负责根据集团的智慧

19、大北农平台 战略建立网络与信息安全管理体系工作规划。第三条委员会的宗旨是集中团队力量，落实集团信息化发展 战略，建立统一的IT管理体系，规范IT管理制度，合理配置IT 资源，优化IT体系结构，更好地为集团业务发展服务。第二章组织结构第四条委员会下设信息安全实施小组，由网络运营中心、技 术中心、外部组织等安全相关人员组成，是集团信息安全的具体 实施组织，负责信息系统日常的运维安全和安全管理体系的具体 落实。第五条委员会成员由集团管理委员会指派，每届任期为1 年。详细人员名单见附件一。第六条信息安全实施小组组织架构如下图所示：第三章 架构与安全委员会第七条架构与安全委员会职责如下：一、负责集团信息

20、安全相关的技术指导和管理工作,定期向 集团管理委员会汇报集团网络与信息安全现状；二、负责根据集团的智慧大北农平台战略，制定网络与信息 安全体系的发展规划，并根据规划的内容向集团管理委员会提交 安全建议和方案；三、根据国家信息安全管理的相关法律法规和制度，建立和 健全集团的信息安全管理体系；四、根据集团信息安全管理体系要求，组织落实信息安全管 理制度规范，并定期评审制度规范的落实情况；五、根据集团信息安全管理体系要求，定期组织开展信息系 统安全检查，及时预见潜在的重大信息安全风险并向集团管理委 员会提交防范建议；六、负责集团重点网络与信息安全项目的 审议与决策；七、负责集团信息安全相关问题的对内

21、及对外的 协调工作。协调内部实施小组各部门成员处理集团信息安全工作 中的各项安全事件和安全问题，在遭遇重大安全事件内部无法解 决时协调外部技术人员协助处理问题；八、负责定期组织技术 人员进行信息安全方面的培训和学习。第四章信息安全实施小组第八条信息安全实施小组是集团信息安全的具体实施组织， 下设的信息安全部是集团信息安全实际管理执行部门，小组其他 部门人员负责配合信息安全部完成委员会各项信息安全决策的具 体落实。第九条信息安全实施小组职责如下：一、负责集团信息安全工作的具体实施落实；二、负责制定并不断改进集团的信息安全管理体系制度规 范，提交给委员会进行审核；三、负责落实集团的信息安全管理体系

22、制度规范，并针对落 实过程中出现的不合理之处及时修订安全管理体系制度规范；四、负责落实集团的信息安全检查工作，实施内部安全检查 审计或协助第三方人员实施安全评估工作；五、负责协助第三方人员实施重大网络与安全项目，保障项 目顺利实施；六、负责制定集团信息系统日常安全运行维护的 工作流程和操作手册，监控信息系统日常的安全运行，保障信息 系统安全稳定运行；七、负责集团信息安全事件的应急响应处 理；八、负责定期参与集团组织的技术培训和信息安全培训。第条 实施小组各成员工作职责如下：一、网络安全工程师工作职责：n负责集团信息安全技术 及管理体系的规划设计、实施；n负责集团信息安全管理体系具 体安全管理制

23、度流程的制定、维护、更新；n负责定期开展内部 的信息安全检查及审计工作，配合第三方人员实施外部安全评 估；n负责集团新上线业务的安全检测；n负责业务相关安全 设备的配置维护、更新，梳理业务系统访问关系，制定访问控制 规则；n负责日常的网络设备、服务器、数据库、应用中间件、 应用系统等的安全检查与安全日志审计，及时发现安全问题及攻 击事件，排除安全隐患；n负责监控业务网站的安全状态，处理 集团信息安全事件；n负责定期开展信息安全教育培训，提高内 部人员的安全意识；n负责定期提交集团信息安全工作报告。二、网络工程师工作职责：n负责网络基础架构的方案设 计、实施；n负责各业务平台省级运营商骨干网的架

24、构设计、实 施；n负责各业务平台、各数据中心相关网络的实施、优化；n 负责业务相关网络设备的配置维护、变更；n负责制定集团网络 设备的安全操作手册；n负责堡垒主机的账号权限管理；n负 责业务相关网络的监控、维护和故障处理，并定期提交工作报 告；n负责定期检查网络设备日志，排除安全隐患；n协助网 络安全工程师处理集团信息安全事件，配合集团各项信息安全工 作实施。三、网络管理员工作职责：n负责集团办公网络的监控、 维护和故障处理，并定期提交工作报告；n负责集团网络会议、 视频会议的网络部署、监控和故障处理；n负责集团总部办公区 网络、员工终端PC、固定电话等的部署、维护和故障处理；n协 助网络工程

25、师进行业务相关网络的监控、维护和故障处理；n协 助网络安全工程师处理集团信息安全事件，配合集团各项信息安 全工作实施。四、系统工程师安全工作职责：n负责业务相关服务器操 作系统的安装和账号管理；n负责业务相关服务器操作系统的配 置维护、软件安装和补丁升级；n负责制定集团服务器操作系统 的安全操作手册；n负责业务相关服务器操作系统的运行监控、 维护和故障处理；n负责定期检查服务器日志，排除安全隐患；n协助网络安全工程师处理集团信息安全事件，配合集团各项信 息安全工作实施。五、数据库工程师安全工作职责：n负责业务相关数据库 的安装、配置和补丁升级；n负责制定集团数据库的安全操作手 册； n 负责业

26、务相关数据库的运行监控、维护和故障处理； n 负责定期检查数据库日志，排除安全隐患；n协助网络安全工程 师处理集团信息安全事件，配合集团各项信息安全工作实施。六、研发工程师安全工作职责：n负责按照应用安全编码 规范编写各业务系统的代码；n协助网络安全工程师处理集团信 息安全事件，配合集团各项信息安全工作实施。第五章例会制度第一条委员会要定期组织例会，听取和讨论集团的信息安全 发展状况，当出现如下情况时需及时组织发起会议：一、集团网络与信息安全的发展规划的制定；二、集团信息安全管理规范及制度的颁布；三、集团重点网络与信息安全项目方案的部署；四、集团网络与信息安全项目涉及的重大更新；五、集团网络与

27、信息安全评估的总结汇报;六、其他重要的网络与信息安全技术投入。第二条委员会成员必须全体参加例会，会议要形成会议记录 并留档。第三条会议议题要清晰，需提前发布会议目的，各成员须提 前就议题内容进行资料的准备及方案的整理，以便提升会议效 率。第六章附则第四条本章程的制定和修改需要经架构与安全委员会成员讨 论通过后，管理委员会批准之日起生效。第五条本章程解释权属架构与安全委员会。附件附件1：架构与安全委员会名单委员会成员：孙安、 李玉福、薛素金、赵万冬、张传民、刘东栋、陈健源 附件2：架 构与安全委员会例会纪要农信集团架构与安全委员会例会纪要 会议时间会议地点参会人员会议议题会议纪要会议结果信 息系

28、统安全管理制度信息系统安全管理制度第一章总则第一条为加强信息系统安全管理，保证信息系统的安全、可 靠运行，提高服务质量，特制定本制度。第二条信息系统安全管理是保障网络质量，保护客户利益的 基础，因此必须重视信息系统安全工作。第三条信息系统安全管理是集团各部门所有员工共同分担的 责任，与每一位员工的日常工作息息相关，所有员工必须提高认 识，高度重视，从自己开始，坚持不懈地做好信息系统安全工 作。第二章信息系统安全管理第四条信息系统安全管理分为数据中心机房管理制度，网络 安全管理制度，系统安全管理制度，应用安全管理制度，数据安 全管理制度，信息系统变更安全管理制度，信息系统运维安全管 理制度，信息

29、系统安全事件管理制度，信息安全检查与审计管理 制度，信息系统风险评估管理制度，信息系统建设安全管理制 度，信息系统安全应急预案，业务连续性和灾难恢复管理制度， 信息系统安全值守巡检规范共计14项制度，其结构与关系如下：第三章 数据中心机房安全管理第五条数据中心机房是集团业务系统的信息化支撑平台，机 房内信息处理设备的安全、稳定运行直接影响着集团各业务系统 的正常运行，为防范机房可能发生的安全事故，保证机房内设备 处于最佳运行状态，使其运行服务质量能够满足集团业务使用的 需求，需对机房实施安全管理。第六条数据中心机房安全管理的设备包括所有支持集团信息 化业务的机房信息处理设备，包括服务器、网络设

30、备、安全设备 以及提供这些设备良好稳定运行的物理环境支撑设备，如空调、 UPS 等。第七条数据中心机房安全管理的内容包括机房出入管理，机 房操作管理和机房设备管理。第四章网络安全管理第八条为了加强集团网络安全管理工作，保障集团信息系统 网络在安全、可控状态下运行，建立健全信息系统相关网络操作 手册，提高网络通信质量，优化网络结构，需实施网络安全管 理。第九条网络安全管理的内容是对集团业务相关网络架构安全 设计、网络安全策略的制定、网络设备的安全配置、网络运维安 全进行统一规范和管理。第五章系统安全管理第条为了加强集团的系统安全管理，保障集团业务相关服务 器操作系统在安全、可控状态下运行，建立健

31、全业务相关服务器 操作系统的操作手册，需实施系统安全管理。第一条系统安全管理的内容是对集团业务相关服务器操作系 统安全配置、系统运维安全进行统一规范和管理。第六章应用安全管理第二条为规范集团业务系统、管理系统的应用安全，保障集 团应用系统安全稳定运行，需实施应用安全管理。第三条 应用安全管理的内容应包括从身份鉴别，WEB页面安 全，访问控制，安全审计，剩余信息保护，资源控制，应用容错，报文完整性，报文保密性，抗抵赖，编码安全和电子认证应 用等。第七章数据安全管理第四条数据的安全管理是集团业务系统数据正常提供服务的 重要保证。为加强数据的安全管理，提信息系统数据的可用性、 完整性及保密性，需实施

32、数据安全管理。第五条数据安全管理涉及的内容有数据分级、数据传输安 全、数据存储安全、数据变更安全、数据访问安全、数据备份安 全、数据恢复安全、数据销毁安全以及密码密钥安全。第八章信息系统建设安全管理第六条为加快集团信息系统安全建设步伐，规范信息系统建 设的安全管理，实现安全建设应与业务系统“同步规划、同步建 设、同步运行”的安全工作原则，需实施信息系统建设安全管 理。第七条信息系统建设安全管理适用于对集团信息系统建设过 程中的各阶段进行安全规范和管理，保证集团信息系统建设安 全、可控。第八条信息系统建设安全管理的内容是对信息系统的研发、 测试以及上线安全进行统一规范和管理。第九章信息系统变更安

33、全管理第九条为保证集团信息系统安全稳定运行，规范集团信息系 统变更管理，提高变更的效率和质量，减少或避免变更对业务系 统的影响，需实施信息系统变更安全管理。第二条变更管理是指对信息系统的增补或修改的管理。变更 行为包括但不限于硬件设备、系统软件、应用软件、网络架构、 账号权限以及配置变更。第二一条变更管理的内容是对变更分类、变更管理流程安全 进行统一规范和管理。第章信息系统运维安全管理第二二条为了加强集团信息系统的运行维护安全管理，建立 和健全信息系统相关操作手册，提高系统运行维护质量，减少人 为造成的操作不当，保障信息系统稳定可靠的运行，需实施信息 系统运维安全管理。第二三条网络运营中心负责

34、集团信息系统的日常安全运行维 护工作，并负责制定详细的信息系统运行维护的操作手册。第二四条信息系统运维安全管理包括日常巡检管理，信息系 统账号管理，安全监控与入侵防范管理及恶意代码防范等。第一章信息系统安全事件管理第二五条为加强集团信息系统安全事件的快速应对能力，保 障集团信息系统的业务连续性，需实施信息系统安全事件管理。第二六条信息系统安全事件管理的内容包括安全事件的定 义，安全事件的分级和安全事件的处理。第二章信息安全检查与审计管理第二七条为了能够及时发现和掌握集团信息系统目前存在的 安全问题及安全风险，制定安全解决方案，保障信息系统安全稳 定运行，需实施信息安全检查与审计管理。第二八条信

35、息安全检查与审计工作是由网络运营中心信息安 全部具体实施，其他业务相关部门协助实施的一项安全工作，信 息安全检查与审计工作必须严格遵循本制度。第三章信息系统风险评估管理第二九条风险评估的目的在于分析集团信息系统及其所依托 的网络环境的安全状况，全面了解和掌握信息系统面临的信息安 全威胁和风险，为制定信息系统的安全规划，开展安全建设提供 依据和决策建议。第三条风险评估的范围包括集团拥有的所有信息资产。风险 评估的具体对象包括机房、服务器、网络、应用系统和管理制 度。第四章信息系统安全应急预案第三一条为提高集团信息系统突发事件的应急处理能力，形 成科学、有效、反应迅速的应急工作机制，保障信息系统的

36、正常 运转，最大限度的减少非计划停机时间，减小突发事件对工作的 影响，需建立信息系统安全应急预案。第三二条信息系统安全应急预案的目的是对集团信息系统突 发事件应急处理进行统一规范和管理。第五章突发业务高可用性管理第三三条为保障集团业务系统在各种突发情况下能够向客户 提供连续不间断服务，防止业务中断对客户造成严重影响，保护 关键业务过程免受重大失效或灾难的影响，确保灾难发生时能够 及时进行数据恢复，需实施突发业务高可用性管理。第六章信息系统安全值守巡检规范第三四条为规范集团信息化支撑设备或软件的安全巡检维护 工作，保证信息系统安全稳定运行，最大限度的减少因硬件设备 或软件系统故障对工作造成的影响

37、，需对信息系统安全值守巡检 进行规范。第三五条信息系统安全值守巡检规范内容包括安全值守巡检 组织和职责、机房安全值守以及办公室安全值守。第七章附则第三六条本制度的制定和修改需要经架构与安全委员会成员 讨论通过后，管理委员会批准之日起生效。第三七条本制度解释权属架构与安全委员会。信息系统日常安全管理规范信息系统日常安全管理规范第一章总则第一条为加强信息系统日常管理，保证信息系统的安全，可 靠的运行，提高服务质量，特制定本规范。第二条信息系统日常管理是指信息系统相关人员及设备的管 理，是保护集团利益的基础，因此必须重视信息系统日常管理工 作。第二章信息系统日常管理第三条信息系统日常管理分为人员安全

38、管理制度，第三方人 员安全管理制度，信息资产安全管理制度，办公设备安全管理制 度，桌面终端安全管理制度，介质安全管理制度共计6项制度， 其结构与关系如下：第三章人员安全管理第四条为了加强集团人员信息安全管理，提高集团人员的信 息安全意识，需实施人员安全管理。第五条 人员安全管理主要是对人员录用、人员离岗、人员信 息安全意识教育、人员考核等方面进行规范和管理。第四章第三方人员安全管理制度第六条为有效防范第三方人员进入集团带来的安全风险，加 强和规范各部门对第三方人员的安全管理，提供第三方人员在集 团活动所要遵守的行为准则，需实施第三发人员安全管理制度。第七条第三方人员包括软件开发商、产品供应商、系统集成商、设 备维护商和服务