2022年信息安全管理制度汇编

1、完整编辑版完整编辑版.完整编辑版.内部资料注意保存XXXXXXXXXX信息平安制度汇编XXXXXXXXXX二一六年一月完整编辑版完整编辑版.完整编辑版.目录 TOC o 1-3 h z u HYPERLINK l _Toc441151997 一、总那么 PAGEREF _Toc441151997 h 6 HYPERLINK l _Toc441151998 二、平安管理制度 PAGEREF _Toc441151998 h 7 HYPERLINK l _Toc441151999 第一章 管理制度 PAGEREF _Toc441151999 h 7 HYPERLINK l _Toc441152000

2、 1.平安组织结构 PAGEREF _Toc441152000 h 7 HYPERLINK l _Toc441152001 1.1信息平安领导小组职责 PAGEREF _Toc441152001 h 7 HYPERLINK l _Toc441152002 1.2 信息平安工作组职责 PAGEREF _Toc441152002 h 8 HYPERLINK l _Toc441152003 1.3信息平安岗位 PAGEREF _Toc441152003 h 9 HYPERLINK l _Toc441152004 2.平安管理制度 PAGEREF _Toc441152004 h 11 HYPERLIN

3、K l _Toc441152005 2.1平安管理制度体系 PAGEREF _Toc441152005 h 11 HYPERLINK l _Toc441152006 2.2平安方针和主策略 PAGEREF _Toc441152006 h 12 HYPERLINK l _Toc441152007 2.3平安管理制度和标准 PAGEREF _Toc441152007 h 12 HYPERLINK l _Toc441152021 2.4平安流程和操作规程 PAGEREF _Toc441152021 h 14 HYPERLINK l _Toc441152021 2.5平安记录单 PAGEREF _To

4、c441152021 h 14 HYPERLINK l _Toc441152021 第二章 制定和发布 PAGEREF _Toc441152021 h 15 HYPERLINK l _Toc441152021 第三章 评审和修订 PAGEREF _Toc441152021 h 16 HYPERLINK l _Toc441152021 三、平安管理机构 PAGEREF _Toc441152021 h 17 HYPERLINK l _Toc441152021 第一章 岗位设置 PAGEREF _Toc441152021 h 17 HYPERLINK l _Toc441152021 1.组织机构 P

5、AGEREF _Toc441152021 h 17 HYPERLINK l _Toc441152021 2.关键岗位 PAGEREF _Toc441152021 h 19 HYPERLINK l _Toc441152021 第二章 人员配备 PAGEREF _Toc441152021 h 21 HYPERLINK l _Toc441152021 第三章 授权和审批 PAGEREF _Toc441152021 h 22 HYPERLINK l _Toc441152021 第四章 沟通和合作 PAGEREF _Toc441152021 h 24 HYPERLINK l _Toc441152021

6、第五章 审核和检查 PAGEREF _Toc441152021 h 26 HYPERLINK l _Toc441152021 四、人员平安管理 PAGEREF _Toc441152021 h 28 HYPERLINK l _Toc441152021 第一章 人员录用 PAGEREF _Toc441152021 h 28 HYPERLINK l _Toc441152022 1.组织编制 PAGEREF _Toc441152022 h 28 HYPERLINK l _Toc441152023 2.招聘原那么 PAGEREF _Toc441152023 h 28 HYPERLINK l _Toc44

7、1152024 3.招聘时机 PAGEREF _Toc441152024 h 28 HYPERLINK l _Toc441152025 4.录用人员根本要求 PAGEREF _Toc441152025 h 29 HYPERLINK l _Toc441152026 5.招聘人员岗位要求 PAGEREF _Toc441152026 h 29 HYPERLINK l _Toc441152027 6.招聘种类 PAGEREF _Toc441152027 h 29 HYPERLINK l _Toc441152028 6.1 外招 PAGEREF _Toc441152028 h 29 HYPERLINK

8、l _Toc441152029 6.2 内招 PAGEREF _Toc441152029 h 30 HYPERLINK l _Toc441152030 7.招聘程序 PAGEREF _Toc441152030 h 30 HYPERLINK l _Toc441152031 7.1 人事需求申请 PAGEREF _Toc441152031 h 30 HYPERLINK l _Toc441152032 7.2 甄选 PAGEREF _Toc441152032 h 30 HYPERLINK l _Toc441152033 7.3 录用 PAGEREF _Toc441152033 h 32完整编辑版完整

9、编辑版.完整编辑版. HYPERLINK l _Toc441152034 第二章 保密协议 PAGEREF _Toc441152034 h 33 HYPERLINK l _Toc441152035 第三章 人员离岗 PAGEREF _Toc441152035 h 35 HYPERLINK l _Toc441152036 第三章 人员考核 PAGEREF _Toc441152036 h 37 HYPERLINK l _Toc441152037 1制定平安管理目标 PAGEREF _Toc441152037 h 37 HYPERLINK l _Toc441152038 2.目标考核 PAGEREF

10、 _Toc441152038 h 38 HYPERLINK l _Toc441152039 3.奖惩措施 PAGEREF _Toc441152039 h 38 HYPERLINK l _Toc441152040 第四章 平安意识教育和培训 PAGEREF _Toc441152040 h 39 HYPERLINK l _Toc441152041 1.平安教育培训制度 PAGEREF _Toc441152041 h 39 HYPERLINK l _Toc441152042 第一章 总 那么 PAGEREF _Toc441152042 h 39 HYPERLINK l _Toc441152043 第

11、二章 平安教育的含义和方式 PAGEREF _Toc441152043 h 39 HYPERLINK l _Toc441152044 第三章 平安教育制度实施 PAGEREF _Toc441152044 h 39 HYPERLINK l _Toc441152045 第四章 三级平安教育及其他教育内容 PAGEREF _Toc441152045 h 41 HYPERLINK l _Toc441152046 第五章 附那么 PAGEREF _Toc441152046 h 43 HYPERLINK l _Toc441152047 第五章 外部人员访问管理制度 PAGEREF _Toc44115204

12、7 h 44 HYPERLINK l _Toc441152048 1.总 那么 PAGEREF _Toc441152048 h 44 HYPERLINK l _Toc441152049 2.来访登记控制 PAGEREF _Toc441152049 h 44 HYPERLINK l _Toc441152050 3.进出门禁系统控制 PAGEREF _Toc441152050 h 45 HYPERLINK l _Toc441152051 4.携带物品控制 PAGEREF _Toc441152051 h 46 HYPERLINK l _Toc441152052 五、系统建设管理 PAGEREF _T

13、oc441152052 h 47 HYPERLINK l _Toc441152053 第一章 平安方案设计 PAGEREF _Toc441152053 h 47 HYPERLINK l _Toc441152054 1.概述 PAGEREF _Toc441152054 h 47 HYPERLINK l _Toc441152055 2设计要求和分析 PAGEREF _Toc441152055 h 48 HYPERLINK l _Toc441152056 2.1平安计算环境设计 PAGEREF _Toc441152056 h 48 HYPERLINK l _Toc441152057 2.2平安区域边

14、界设计 PAGEREF _Toc441152057 h 49 HYPERLINK l _Toc441152058 2.3平安通信网络设计 PAGEREF _Toc441152058 h 50 HYPERLINK l _Toc441152059 2.4平安管理中心设计 PAGEREF _Toc441152059 h 50 HYPERLINK l _Toc441152060 3针对本单位的具体实践 PAGEREF _Toc441152060 h 51 HYPERLINK l _Toc441152061 3.1平安计算环境建设 PAGEREF _Toc441152061 h 51 HYPERLINK

15、 l _Toc441152062 3.2平安区域边界建设 PAGEREF _Toc441152062 h 52 HYPERLINK l _Toc441152063 3.3平安通信网络建设 PAGEREF _Toc441152063 h 52 HYPERLINK l _Toc441152064 3.4平安管理中心建设 PAGEREF _Toc441152064 h 53 HYPERLINK l _Toc441152065 3.5平安管理标准制定 PAGEREF _Toc441152065 h 54 HYPERLINK l _Toc441152066 3.6系统整体分析 PAGEREF _Toc4

16、41152066 h 54 HYPERLINK l _Toc441152067 第二章 产品采购和使用 PAGEREF _Toc441152067 h 55 HYPERLINK l _Toc441152068 第三章 自行软件开发 PAGEREF _Toc441152068 h 58 HYPERLINK l _Toc441152069 1.申报 PAGEREF _Toc441152069 h 58 HYPERLINK l _Toc441152070 2.平安性论证和审批 PAGEREF _Toc441152070 h 58 HYPERLINK l _Toc441152071 3.复议 PAGE

17、REF _Toc441152071 h 58完整编辑版完整编辑版.完整编辑版. HYPERLINK l _Toc441152072 4.工程平安立项 PAGEREF _Toc441152072 h 58 HYPERLINK l _Toc441152073 5.工程管理 PAGEREF _Toc441152073 h 59 HYPERLINK l _Toc441152074 5.1 概要 PAGEREF _Toc441152074 h 59 HYPERLINK l _Toc441152075 5.2正文 PAGEREF _Toc441152075 h 60 HYPERLINK l _Toc441

18、152076 第四章 工程实施 PAGEREF _Toc441152076 h 62 HYPERLINK l _Toc441152077 1.信息化工程实施阶段 PAGEREF _Toc441152077 h 62 HYPERLINK l _Toc441152078 2.概要设计子阶段的平安要求 PAGEREF _Toc441152078 h 62 HYPERLINK l _Toc441152079 3.详细设计子阶段的平安要求 PAGEREF _Toc441152079 h 63 HYPERLINK l _Toc441152080 4.工程实施子阶段的平安要求 PAGEREF _Toc441

19、152080 h 63 HYPERLINK l _Toc441152081 第五章 测试验收 PAGEREF _Toc441152081 h 65 HYPERLINK l _Toc441152082 1.文档准备 PAGEREF _Toc441152082 h 65 HYPERLINK l _Toc441152083 2.确认签字 PAGEREF _Toc441152083 h 65 HYPERLINK l _Toc441152084 3.专人负责 PAGEREF _Toc441152084 h 65 HYPERLINK l _Toc441152085 4.测试方案 PAGEREF _Toc4

20、41152085 h 65 HYPERLINK l _Toc441152086 第六章 系统交付 PAGEREF _Toc441152086 h 68 HYPERLINK l _Toc441152087 1.试运行 PAGEREF _Toc441152087 h 68 HYPERLINK l _Toc441152088 2.组织验收 PAGEREF _Toc441152088 h 68 HYPERLINK l _Toc441152089 第七章 系统备案 PAGEREF _Toc441152089 h 70 HYPERLINK l _Toc441152090 1.系统备案 PAGEREF _T

21、oc441152090 h 70 HYPERLINK l _Toc441152091 2.设备管理 PAGEREF _Toc441152091 h 70 HYPERLINK l _Toc441152092 3.投产后的监控与跟踪 PAGEREF _Toc441152092 h 72 HYPERLINK l _Toc441152093 第八章 平安效劳商选择 PAGEREF _Toc441152093 h 74 HYPERLINK l _Toc441152094 六、系统运维管理 PAGEREF _Toc441152094 h 75 HYPERLINK l _Toc441152095 第一章 环

22、境管理 PAGEREF _Toc441152095 h 75 HYPERLINK l _Toc441152096 1.机房环境、设备 PAGEREF _Toc441152096 h 75 HYPERLINK l _Toc441152097 2.办公环境管理 PAGEREF _Toc441152097 h 76 HYPERLINK l _Toc441152098 第二章 资产管理 PAGEREF _Toc441152098 h 81 HYPERLINK l _Toc441152099 1.总那么 PAGEREF _Toc441152099 h 81 HYPERLINK l _Toc4411521

23、00 2.?资产管理制度? PAGEREF _Toc441152100 h 81 HYPERLINK l _Toc441152101 第三章 介质管理 PAGEREF _Toc441152101 h 85 HYPERLINK l _Toc441152102 1.介质平安管理制度 PAGEREF _Toc441152102 h 85 HYPERLINK l _Toc441152103 1.1计算机及软件备案管理制度 PAGEREF _Toc441152103 h 85 HYPERLINK l _Toc441152104 1.2计算机平安使用与保密管理制度 PAGEREF _Toc44115210

24、4 h 85 HYPERLINK l _Toc441152105 1.3用户密码平安保密管理制度 PAGEREF _Toc441152105 h 86 HYPERLINK l _Toc441152106 1.4涉密移动存储设备的使用管理制度 PAGEREF _Toc441152106 h 86 HYPERLINK l _Toc441152107 1.5数据复制操作管理制度 PAGEREF _Toc441152107 h 87 HYPERLINK l _Toc441152108 1.6计算机、存储介质、及相关设备维修、维护、报废、销毁管理制度 PAGEREF _Toc441152108 h 87

25、 HYPERLINK l _Toc441152109 第四章 设备管理 PAGEREF _Toc441152109 h 89完整编辑版完整编辑版.完整编辑版. HYPERLINK l _Toc441152110 1.主机、存储系统运维管理 PAGEREF _Toc441152110 h 89 HYPERLINK l _Toc441152111 2.应用效劳系统运维管理 PAGEREF _Toc441152111 h 89 HYPERLINK l _Toc441152112 3.数据系统运维管理 PAGEREF _Toc441152112 h 90 HYPERLINK l _Toc4411521

26、13 4.信息保密管理 PAGEREF _Toc441152113 h 91 HYPERLINK l _Toc441152114 5.日常维护 PAGEREF _Toc441152114 h 91 HYPERLINK l _Toc441152115 6.附件：平安检查表 PAGEREF _Toc441152115 h 92 HYPERLINK l _Toc441152116 第五章 监控管理和平安管理中心 PAGEREF _Toc441152116 h 94 HYPERLINK l _Toc441152117 1.监控管理 PAGEREF _Toc441152117 h 94 HYPERLIN

27、K l _Toc441152118 2.平安管理中心 PAGEREF _Toc441152118 h 95 HYPERLINK l _Toc441152119 第六章 网络平安管理 PAGEREF _Toc441152119 h 96 HYPERLINK l _Toc441152120 第七章 系统平安管理 PAGEREF _Toc441152120 h 98 HYPERLINK l _Toc441152121 1.总那么 PAGEREF _Toc441152121 h 98 HYPERLINK l _Toc441152122 2.系统平安策略 PAGEREF _Toc441152122 h

28、98 HYPERLINK l _Toc441152123 3.系统日志管理 PAGEREF _Toc441152123 h 99 HYPERLINK l _Toc441152124 4.个人操作管理 PAGEREF _Toc441152124 h 100 HYPERLINK l _Toc441152125 5.惩罚 PAGEREF _Toc441152125 h 100 HYPERLINK l _Toc441152126 第八章 恶意代码防范管理 PAGEREF _Toc441152126 h 101 HYPERLINK l _Toc441152127 1.恶意代码三级防范机制 PAGEREF

29、 _Toc441152127 h 101 HYPERLINK l _Toc441152128 1.1恶意代码初级平安设置与防范 PAGEREF _Toc441152128 h 101 HYPERLINK l _Toc441152129 1.2.恶意代码中级平安设置与防范 PAGEREF _Toc441152129 h 101 HYPERLINK l _Toc441152130 1.3恶意代码高级平安设置与防范 PAGEREF _Toc441152130 h 102 HYPERLINK l _Toc441152131 2.防御恶意代码技术管理人员职责 PAGEREF _Toc441152131

30、h 102 HYPERLINK l _Toc441152132 3.防御恶意代码员工日常行为标准 PAGEREF _Toc441152132 h 103 HYPERLINK l _Toc441152133 第九章 密码管理 PAGEREF _Toc441152133 h 104 HYPERLINK l _Toc441152134 第十章 变更管理 PAGEREF _Toc441152134 h 106 HYPERLINK l _Toc441152135 1.变更 PAGEREF _Toc441152135 h 106 HYPERLINK l _Toc441152136 2.变更程序 PAGER

31、EF _Toc441152136 h 106 HYPERLINK l _Toc441152137 2.1变更申请 PAGEREF _Toc441152137 h 106 HYPERLINK l _Toc441152138 2.2变更审批 PAGEREF _Toc441152138 h 106 HYPERLINK l _Toc441152139 2.3 变更实施 PAGEREF _Toc441152139 h 106 HYPERLINK l _Toc441152140 2.4变更验收 PAGEREF _Toc441152140 h 106 HYPERLINK l _Toc441152141 附件

32、一变更申请表 PAGEREF _Toc441152141 h 107 HYPERLINK l _Toc441152142 附件二变更验收表 PAGEREF _Toc441152142 h 108 HYPERLINK l _Toc441152143 第十一章 备份与恢复管理 PAGEREF _Toc441152143 h 109 HYPERLINK l _Toc441152144 1.总那么 PAGEREF _Toc441152144 h 109 HYPERLINK l _Toc441152145 2.设备备份 PAGEREF _Toc441152145 h 110 HYPERLINK l _T

33、oc441152146 3.应用系统、程序和数据备份 PAGEREF _Toc441152146 h 111 HYPERLINK l _Toc441152147 4.备份介质和介质库管理 PAGEREF _Toc441152147 h 114完整编辑版完整编辑版.完整编辑版. HYPERLINK l _Toc441152148 5.系统恢复 PAGEREF _Toc441152148 h 115 HYPERLINK l _Toc441152149 6.人员备份 PAGEREF _Toc441152149 h 116 HYPERLINK l _Toc441152150 第十二章 平安事件处置 P

34、AGEREF _Toc441152150 h 117 HYPERLINK l _Toc441152151 1.工作原那么 PAGEREF _Toc441152151 h 117 HYPERLINK l _Toc441152152 2.组织指挥机构与职责 PAGEREF _Toc441152152 h 117 HYPERLINK l _Toc441152153 3.先期处置 PAGEREF _Toc441152153 h 118 HYPERLINK l _Toc441152154 4.应急处置 PAGEREF _Toc441152154 h 119 HYPERLINK l _Toc4411521

35、55 4.1应急指挥 PAGEREF _Toc441152155 h 119 HYPERLINK l _Toc441152156 4.2应急支援 PAGEREF _Toc441152156 h 119 HYPERLINK l _Toc441152157 4.3信息处理 PAGEREF _Toc441152157 h 119 HYPERLINK l _Toc441152158 4.4应急结束 PAGEREF _Toc441152158 h 120 HYPERLINK l _Toc441152159 5后期处置 PAGEREF _Toc441152159 h 120 HYPERLINK l _To

36、c441152160 5.1善后处置 PAGEREF _Toc441152160 h 120 HYPERLINK l _Toc441152161 5.2调查和评估 PAGEREF _Toc441152161 h 121 HYPERLINK l _Toc441152162 第十三章 应急预案管理 PAGEREF _Toc441152162 h 122 HYPERLINK l _Toc441152163 1.应急处理和灾难恢复 PAGEREF _Toc441152163 h 122 HYPERLINK l _Toc441152164 2.应急方案 PAGEREF _Toc441152164 h 1

37、23 HYPERLINK l _Toc441152165 3.应急方案的实施保障 PAGEREF _Toc441152165 h 124 HYPERLINK l _Toc441152166 4.应急演练 PAGEREF _Toc441152166 h 125完整编辑版完整编辑版.完整编辑版.一、总那么为标准XXXXXXXXXX信息平安工作，确保全体员工理解信息平安工作与职责，并落实到日常工作中，推动信息平安保障工作的顺利进行，结合XXXXXXXXXX的实际情况，特制定本制度。本管理制度所称信息系统平安，包括计算机网络和应用系统以下简称信息系统的硬件、软件、数据及环境受到有效保护，信息系统的连续

38、、稳定、平安运行得到可靠保障。信息系统平安管理坚持“谁主管谁负责的原那么，公司的所有部门和员工都应各自履行相关的信息系统平安建设和管理的义务与责任。信息系统平安工作的总体目标是：实施信息系统平安等级保护，建立健全先进实用、完整可靠的信息系统平安体系，保证系统和信息的完整性、真实性、可用性、保密性和可控性，保障信息化建设和应用，支撑公司业务持续、稳定、健康开展。信息系统平安体系建设必须坚持“统一标准、保障应用、符合法规、综合防范、集成共享的原那么。本制度适用于公司所有部门和个人。完整编辑版完整编辑版.完整编辑版.二、平安管理制度第一章 管理制度1.平安组织结构XXXXXXXXXX平安管理组织应形

39、成由主管领导牵头的信息平安领导小组、具体信息平安职能部门负责日常工作的组织模式，组织结构图如下所示：组织机构图1.1信息平安领导小组职责信息平安领导小组是由XXXXXXXXXX主管领导牵头，各部门的负责人为组成成员的组织机构，主要负责批准XXXXXXXXXX平安策略、分配平安责任并协调平安策略能够实施，确保平安管理工作有一个明确的方向，从管理和决策层角度对信息平安管理提供支持。信息平安领导小组的主要责任如下：完整编辑版完整编辑版.完整编辑版.(一) 确定网络与信息平安工作的总体方向、目标、总体原那么和平安工作方法； (二) 审查并批准政府的信息平安策略和平安责任； (三) 分配和指导平安管理总

40、体职责与工作； (四) 在网络与信息面临重大平安风险时，监督控制可能发生的重大变化； (五) 对平安管理的重大更改事项例如：组织机构调整、关键人事变动、信 息系统更改等进行决策； (六) 指挥、协调、催促并审查重大平安事件的处理，并协调改进措施； (七) 审核网络平安建设和管理的重要活动，如重要平安工程建设、重要的安 全管理措施出台等； (八) 定期组织相关部门和相关人员对平安管理制度体系的合理性和适用性进 行审定。1.2 信息平安工作组职责信息平安工作组是信息平安工作的日常执行机构，内设专职的平安管理组织和岗位，负责日常具体平安工作的落实、组织和协调。信息平安工作组的主要职责如下：完整编辑版

41、完整编辑版.完整编辑版.一 贯彻执行和解释信息平安领导小组的决议；二 贯彻执行和解释国家主管机构下发的信息平安策略；三 负责组织和协调各类信息平安规划、方案、实施、测试和验收评审会议；四 负责落实和执行各类信息平安具体工作，并对具体落实情况进行总 结和汇报；五 负责内外部组织和机构的沟通、协调和合作工作； 六 负责制定所有信息平安相关的管理制度和标准； 七 负责针对信息平安相关的管理制度和标准具体落实工作进行监督、 检查、考核、指导及审批，例如现有平安技术措施的有效性、平安配置与平安策略的一致性、平安管理制度的执行情况等。 以上组织结构和职责通过?信息平安组织职责体系?加以说明。1.3信息平安

42、岗位为了有效落实信息平安各项工作，XXXXXXXXXX应设立以下专职的平安岗位，负责平安工作的落实和执行： 1.3.1信息平安工作组主管1) 负责网络与信息平安的日常整体协调、管理工作； 2) 负责组织人员制定信息平安管理制度，并对管理制度进行推广、培训和 指导；3) 负责重大平安事件的具体协调和沟通工作。 完整编辑版完整编辑版.完整编辑版.1.3.2平安管理员岗位1) 负责执行网络与信息平安工作的日常协调、管理工作；2) 负责日常的平安监控管理，并对上报和发现的各类平安事件进行响应； 3) 负责系统、网络和应用平安管理的协调和技术指导； 4) 负责平安管理平台平安策略制定，访问控制策略审核；

43、 5) 负责组织平安管理制度的推广和培训工作； 6) 负责定期进行平安检查，检查内容包括系统日常运行、系统漏洞和数据 备份等情况。1.3.3平安审计员岗位1) 负责平安管理制度落实情况的检查、监督和指导； 2) 负责平安策略执行情况的审核。 1.3.4系统管理员1) 负责系统平安稳定运行的日常管理工作； 2) 负责保持系统的防病毒系统、补丁等保持最新，定期对系统进行平安加 固，保持系统漏洞最小化。 1.3.5网络管理员1) 负责网络设备平安稳定运行的日常管理工作；2) 负责保持网络设备的漏洞最小化，定期对系统进行平安加固； 完整编辑版完整编辑版.完整编辑版.3) 负责保持网络路由和交换策略与业

44、务需求保护一致。4XXXXXXXXXX应根据日常的运行维护和管理工作，设置物理环境管理 、数据库管理、应用管理以及资产管理等岗位，这些岗位也应当包括平安职责，这些平安职责的具体内容通过?信息平安管理岗位说明书?落实。2.平安管理制度2.1平安管理制度体系XXXXXXXXXX平安管理制度应建立信息平安方针、平安策略、平安管理制度、平安技术标准以及流程的一套信息平安管理制度体系。完整编辑版完整编辑版.完整编辑版.2.2平安方针和主策略最高方针，纲领性的平安策略主文档，陈述本策略的目的、适用范围、信息平安的管理意图、支持目标以及指导原那么，信息平安各个方面所应遵守的原那么方法和指导性策略。 2.3平

45、安管理制度和标准各类管理规定、管理方法和暂行规定。从平安策略主文档中规定的平安各个方面所应遵守的原那么方法和指导性策略引出的具体管理规定、管理方法和实施方法，是必须具有可操作性，而且必须得到有效推行和实施的。 技术标准和标准，包括各个平安等级区域网络设备、主机操作系统和主要应用程序的应遵守的平安配置和管理的技术标准和标准。技术标准和标准将作为各个网络设备、主机操作系统和应用程序的安装、配置、采购、工程评审、日常平安管理和维护时必须遵照的标准，不允许发生违背和冲突。本工程将为XXXXXXXXXX编制如下平安管理制度和标准：平安方针平安策略平安管理组织体系职责内部人员平安管理规定外部人员平安管理规

46、定等级保护平安管理标准完整编辑版完整编辑版.完整编辑版.风险评估管理标准软件开发管理规定IT外包管理规定工程平安管理规定产品采购平安管理规定效劳商平安管理规定机房管理制度办公环境平安管理规定 资产平安管理制度设备平安管理规定介质平安管理规定运行维护平安管理标准网络平安管理规定系统平安管理规定防病毒平安管理规定密码使用管理制度变更管理制度备份与恢复管理规定平安事件管理制度应急预案平安流程和操作规程，详细规定主要业务应用和事件处理的流程、步骤和相关本卷须知。作为具体工作时的具体依照，此局部必须具有可操作性，而且必须得到有效推行和实施的。完整编辑版完整编辑版.完整编辑版.2.4平安流程和操作规程平安

47、流程和操作规程，详细规定主要业务应用和事件处理的流程和步骤，和相关本卷须知。作为具体工作时的具体依照，此局部必须具有可操作性，而且必须得到有效推行和实施的。2.5平安记录单平安记录单，落实平安流程和操作规程的具体表单，根据不同等级信息系统的要求可以通过不同方式的平安记录单落实并在日常工作中具体执行。主要包括日常操作的记录、工作记录、流转记录以及审批记录等。完整编辑版完整编辑版.完整编辑版.第二章 制定和发布平安策略系列文档制定后，必须有效发布和执行。发布和执行过程中除了要得到管理层的大力支持和推动外，还必须要有适宜的、可行的发布和推动手段，同时在发布和执行前对每个人员都要做与其相关局部的充分培

48、训，保证每个人员都知道和了解与其相关局部的内容。平安策略在制定和发布过程中，应当实施以下平安管理：(一) 平安管理制度应具有统一的格式，并进行版本控制；(二) 由信息平安工作小组负责平安管理制度的制定(三) 平安管理职能部门应组织相关人员对制定的平安管理制度进行论证和审定；(四) 平安管理制度应通过文件形式下发通知；(五) 平安管理制度应注明发布范围，并对收发文进行登记。必须要注意到这是一个长期、艰苦的工作，需要付出艰苦的努力，而且由于牵扯到许多部门和绝大多数员工，可能需要改变工作方式和流程，所以推行起来的阻力会相当大；同时平安策略本身存在的缺陷，包括不切实可行，太过复杂和繁琐，局部规定有缺欠

49、等，都会导致整体策略难以落实。完整编辑版完整编辑版.完整编辑版.第三章 评审和修订信息平安领导小组应组织相关人员对于信息平安策略体系文件进行评审，并确定其有效执行期限。同时应指定信息平安职能部门每年审视平安策略系列文档，具体检查内容包括： (一) 信息平安策略中的主要更新； (二) 信息平安标准中的主要更新。信息平安标准不需要全部更新，可以仅对 因变更而受影响的局部进行更新；如果必要，可以使用年度审视更新流程对信息平安标准做一次全面更新。 (三) 平安管理组织机构和人员的平安职责的主要更新； (四) 操作流程的主要更新； (五) 各类管理规定、管理方法和暂行规定的主要更新； (六) 用户协议的

50、主要更新；等等。 通过?信息平安策略管理规定?落实以上相关内容。完整编辑版完整编辑版.完整编辑版.三、平安管理机构第一章 岗位设置健全的岗位设置、职责分配及技能要求等是平安组织建设的重点内容，对于以后平安管理工作的顺利开展具有巨大的意义。缺乏健全的岗位设置、职责分配及技能要求将导致无人负责、难以落实责权利，难以胜任平安管理工作等严重问题。1.组织机构XXXXXXXXXX成立信息平安领导小组，是信息平安的最高决策机构，下设办公室，负责信息平安领导小组的日常事务。信息平安工作领导小组，其最高领导由单位主管领导委任或授权。信息平安领导小组负责研究重大事件，落实方针政策和制定总体策略等。职责主要包括：

51、根据国家和行业有关信息平安的政策、法律和法规，批准公司信息平安总体策略规划、管理标准和技术标准；确定公司信息平安各有关部门工作职责，指导、监督信息平安工作。信息平安领导小组下设两个工作组：信息平安工作组、应急处理工作组。组长均由公司负责人担任。完整编辑版完整编辑版.完整编辑版.信息平安工作组的主要职责包括：贯彻执行公司信息平安领导小组的决议，协调和标准公司信息平安工作；根据信息平安领导小组的工作部署，对信息平安工作进行具体安排、落实；组织对重大的信息平安工作制度和技术操作策略进行审查，拟订信息平安总体策略规划，并监督执行；负责协调、催促各职能部门和有关单位的信息平安工作，参与信息系统工程建设中

52、的平安规划，监督平安措施的执行；组织信息平安工作检查，分析信息平安总体状况，提出分析报告和平安风险的防范对策；负责接受各单位的紧急信息平安事件报告，组织进行事件调查，分析原因、涉及范围，并评估平安事件的严重程度，提出信息平安事件防范措施；及时向信息平安工作领导小组和上级有关部门、单位报告信息平安事件。跟踪先进的信息平安技术，组织信息平安知识的培训和宣传工作。应急处理工作组的主要职责包括：审定公司网络与信息系统的平安应急策略及应急预案；决定相应应急预案的启动，负责现场指挥，并组织相关人员排除故障，恢复系统；完整编辑版完整编辑版.完整编辑版.每年组织对信息平安应急策略和应急预案进行测试和演练。公司

53、应指定分管信息的领导负责本单位信息平安管理，并配备信息平安技术人员，有条件的 应设置信息平安工作小组或办公室，对公司信息平安领导小组和工作小组负责，落实本单位信息平安工作和应急处理工作。2.关键岗位设置信息系统的关键岗位并加强管理，配备系统管理员、网络管理员、应用开发管理员、平安审计员、平安保密管理员，要求五人各自独立。要害岗位人员必须严格遵守保密法规和有关信息平安管理规定。系统管理员主要职责有：负责系统的运行管理，实施系统平安运行细那么；严格用户权限管理，维护系统平安正常运行；认真记录系统平安事项，及时向信息平安人员报告平安事件；对进行系统操作的其他人员予以平安监督。网络管理员主要职责有：负

54、责网络的运行管理，实施网络平安策略和平安运行细那么；平安配置网络参数，严格控制网络用户访问权限，维护网络平安正常运行；监控网络关键设备、网络端口、网络物理线路，防范黑客入侵，及时向信息平安人员报告平安事件；完整编辑版完整编辑版.完整编辑版.对操作网络管理功能的其他人员进行平安监督。应用开发管理员主要职责有：负责在系统开发建设中，严格执行系统平安策略，保证系统平安功能的准确实现；系统投产运行前，完整移交系统相关的平安策略等资料；不得对系统设置“后门；对系统核心技术保密等。平安审计员负责对涉及系统平安的事件和各类操作人员的行为进行审计和监督，主要职能包括：按操作员证书号进行审计；按操作时间审计；按

55、操作类型审计；事件类型进行审计；日志管理等。平安保密管理员负责日常平安保密管理活动，主要职责有：监视全网运行和平安告警信息网络审计信息的常规分析平安设备的常规设置和维护执行应急中心制定的具体平安策略向应急管理机构和领导机构报告重大的网络平安事件等。完整编辑版完整编辑版.完整编辑版.第二章 人员配备配备足够数量的系统管理员、网络管理员、平安管理员对顺利完成平安管理工作是非常重要的，可以有效防止人力缺乏带来的问题。配备专职的平安管理员可以让管理工作落实到专人上，可以更高效的开展平安管理工作。关键事务岗位配备多人进行共同管理可以防止出现疏忽，并且有利于互相约束和监督机制的建立。如果没有配备足够数量的

56、系统管理员、网络管理员、平安管理员，那么可能由于工作过度繁忙而出现平安事件。如果平安管理人员都是兼职，那么很可能出现只顾其他业务而无视平安的情况。关键事务岗位人员缺乏会导致疏忽大意。1.按照实际工作需要配备足够数量的系统管理员、网络管理员、平安管理员；2.在平安管理部配备专职的平安管理员；3.识别出关键事务岗位，对这些关键岗位配备多人进行共同管理，以防止疏忽，并且建立起约束和监督机制。岗位名称人员数量人员名称系统管理员网络管理员应用开发管理员平安审计员完整编辑版完整编辑版.完整编辑版.平安保密管理员完整编辑版完整编辑版.完整编辑版.第三章 授权和审批授权和审批可以保证平安有关工作得到认可和控制

57、，排除盲目性和不一致性，使平安工作更加权威和科学，有利于增强责任感。如果授权和审批工作做得不够完善，可能会带来执行难等问题，平安工作得不到控制，因平安带来的问题长期得不到解决，平安问题日积月累，最终导致严重平安事件的发生。应按照以下标准进行授权和审批流程建设：1.明确审批授权事项、审批授权部门；建立系统变更、重要操作、物理访问和系统接入等事项的审批程序， 对重要活动实施逐级审批；3.按照审批程序执行审批过程，记入文档并进行审计；定期审查审批事项，及时更新需授权和审批的工程、审批部门和审批人等信息；完整编辑版完整编辑版.完整编辑版.制度名称信息系统管理授权审批制度受控状态文件编号执行部门监督部门

58、考证部门第1条 为了提高企业信息系统的可靠性、稳定性、平安性，特制定本制度。第2条 本制度适用于信息部与各用户部门使用企业信息系统的相关人员。第3条 企业中涉及到信息系统方面的工作统一由信息部负责。第4条 信息系统管理授权的方式。企业信息系统的授权以职位说明书和授权书为基准，逐级授权，其他授权方式或越级授权视为无效。第5条 企业信息系统管理授权程序。1总裁授权运营总监全面负责企业信息系统的开发、管理、修改等工作。2运营总裁授权信息部经理负责信息系统的开发、管理、修改等具体工作。3信息部经理授权给下属员工，完成相应工作。第6条 企业信息系统管理中的文件审批程序，如以下列图所示。信息部员工最高领导

59、信息部经理运营总监信息系统管理的文件审批程序示意图第7条 企业中的各用户部门对信息系统只有根据其职级的使用权与建议权，而无修改权，否那么造成的全部后果由当事人承担。第8条 本制度由信息部制定，解释权、修改权归属信息部。第9条 本制度自总裁审批之日起实施，修订时亦同。编制日期审核日期批准日期修改标记修改处数修改日期完整编辑版完整编辑版.完整编辑版.第四章 沟通和合作平安管理问题涉及到各个层次的人员及技术，需要大家密切配合才能做好，任何一方出现问题都会影响整个平安管理工作的顺利开展，因此对各种平安问题进行定期沟通和合作是非常必要的。如果与平安管理有关的沟通和合作推进不顺利，出现的平安问题得不到反响

60、和支持，那么平安问题会变得越来越严重，直到出现严重平安事件。应按照以下标准进行沟通与合作：由平安管理部提出，每半年召开一次平安协调专题会议，为期一天，各有关部门包括外部参谋机构及人员都要参加，及时提出问题和解决问题；完整编辑版完整编辑版.完整编辑版.会议记录时间地点主持人记录员时间调度参加人员：会议议题发言人会议内容执行人监督人完成时间每年与与兄弟单位、公安机关、电信公司等召开一次平安总结会，平时那么通过邮件等及时合作与沟通；通过邮件、 等与供应商、业界专家、专业的平安公司、平安组织进行及时合作与沟通；建立外联单位联系列表，包括外联单位名称、合作内容、联系人和联系方式等信息；聘请信息平安专家作