(参考)安全管理制度体系S3A3G3

1、AAAAA公司安全管理制制度（v1.00）文档编制单单位：AAAAAAA文档编制时时间：文档总页数数：页文档编制： 文档审核人人： 审核时间：注：替换：AAAAAA为为公司名名称，DDDDDDD为公公司简称称，BBBBBBB为系统统名称，XXXXXXX为信信息安全全管理的的部门（如如“XXXXXXX”）。信息安全管管理机构构制度版版本记录录版本记录版本修改日期修改摘要修改人审批人审批日期1.0目录TOC o 1-3 h u HYPERLINK l _Toc428792502 第一章 信信息安全全管理制制度总则则 PAGEREF _Toc428792502 h 8 HYPERLINK l _To

2、c428792503 1.1 概概述 PAGEREF _Toc428792503 h 8 HYPERLINK l _Toc428792504 1.2 总总体原则则 PAGEREF _Toc428792504 h 8 HYPERLINK l _Toc428792505 1.3 总总体目标标 PAGEREF _Toc428792505 h 8 HYPERLINK l _Toc428792506 1.4 总总体框架架 PAGEREF _Toc428792506 h 9 HYPERLINK l _Toc428792507 1.4.11 系统信信息运维维安全策策略 PAGEREF _Toc4287925

3、07 h 9 HYPERLINK l _Toc428792508 1.4.22 信息系系统安全全管理安安全策略略 PAGEREF _Toc428792508 h 10 HYPERLINK l _Toc428792509 1.5 适适用范围围 PAGEREF _Toc428792509 h 11 HYPERLINK l _Toc428792510 第二章 AAAAAAA公司司XXXXXX信信息安全全管理体体系文件件 PAGEREF _Toc428792510 h 12 HYPERLINK l _Toc428792511 2.1 目目的 PAGEREF _Toc428792511 h 12 HYP

4、ERLINK l _Toc428792512 2.2 范范围 PAGEREF _Toc428792512 h 12 HYPERLINK l _Toc428792513 2.3 职职责 PAGEREF _Toc428792513 h 12 HYPERLINK l _Toc428792514 2.4 管管理细则则 PAGEREF _Toc428792514 h 13 HYPERLINK l _Toc428792515 2.4.11 体系系文件生生命周期期流程 PAGEREF _Toc428792515 h 13 HYPERLINK l _Toc428792516 2.4.22 体系系文件策策划 P

5、AGEREF _Toc428792516 h 13 HYPERLINK l _Toc428792517 2.4.33 体系系文件的的评审 PAGEREF _Toc428792517 h 14 HYPERLINK l _Toc428792518 2.4.44 体系系文件的的作废 PAGEREF _Toc428792518 h 14 HYPERLINK l _Toc428792519 第三章 信信息安全全管理体体系 PAGEREF _Toc428792519 h 15 HYPERLINK l _Toc428792520 3.1 信信息安全全管理体体系 PAGEREF _Toc428792520 h

6、 15 HYPERLINK l _Toc428792521 3.1.11 信息安安全管理理体系建建立 PAGEREF _Toc428792521 h 15 HYPERLINK l _Toc428792522 3.1.22 信息安安全管理理体系实实施 PAGEREF _Toc428792522 h 16 HYPERLINK l _Toc428792523 3.1.33 信息安安全管理理体系监监察 PAGEREF _Toc428792523 h 16 HYPERLINK l _Toc428792524 第四章 信信息安全全组织机机构制度度 PAGEREF _Toc428792524 h 17 HY

7、PERLINK l _Toc428792525 4.1 信信息安全全组织机机构 PAGEREF _Toc428792525 h 17 HYPERLINK l _Toc428792526 4.1.11 信息安安全职能能部门职职责 PAGEREF _Toc428792526 h 17 HYPERLINK l _Toc428792527 4.1.22 信息安安全领导导小组职职责 PAGEREF _Toc428792527 h 18 HYPERLINK l _Toc428792528 4.1.33 信息系系统安全全小组职职责及要要求 PAGEREF _Toc428792528 h 18 HYPERLI

8、NK l _Toc428792529 4.1.44 信息安安全小组组权限 PAGEREF _Toc428792529 h 25 HYPERLINK l _Toc428792530 4.1.55 信息安安全管理理人员 PAGEREF _Toc428792530 h 26 HYPERLINK l _Toc428792531 4.1.66 关键岗岗位协议议 PAGEREF _Toc428792531 h 27 HYPERLINK l _Toc428792532 第五章 信信息安全全授权及及审批管管理制度度 PAGEREF _Toc428792532 h 32 HYPERLINK l _Toc4287

9、92533 5.1 信信息安全全授权及及审批管管理制度度 PAGEREF _Toc428792533 h 32 HYPERLINK l _Toc428792534 第六章 审审核与检检查管理理制度 PAGEREF _Toc428792534 h 33 HYPERLINK l _Toc428792535 6.1 审审核与检检查管理理制度 PAGEREF _Toc428792535 h 33 HYPERLINK l _Toc428792536 6.1.11 定期安安全检查查 PAGEREF _Toc428792536 h 33 HYPERLINK l _Toc428792537 6.1.22 文件

10、审审批与发发布管理理制度 PAGEREF _Toc428792537 h 33 HYPERLINK l _Toc428792538 第七章 办办公环境境管理制制度 PAGEREF _Toc428792538 h 34 HYPERLINK l _Toc428792539 7.1 办办公环境境管理制制度 PAGEREF _Toc428792539 h 34 HYPERLINK l _Toc428792540 第八章 沟沟通与合合作管理理制度 PAGEREF _Toc428792540 h 36 HYPERLINK l _Toc428792541 8.1 沟沟通与合合作管理理制度 PAGEREF _

11、Toc428792541 h 36 HYPERLINK l _Toc428792542 8.1.11 信息安安全例会会管理 PAGEREF _Toc428792542 h 36 HYPERLINK l _Toc428792543 8.1.22 外部协协作管理理 PAGEREF _Toc428792543 h 37 HYPERLINK l _Toc428792544 第九章 人人员入岗岗管理制制度 PAGEREF _Toc428792544 h 38 HYPERLINK l _Toc428792545 9.1 信信息安全全条款 PAGEREF _Toc428792545 h 38 HYPERLI

12、NK l _Toc428792546 9.2 保保密协议议 PAGEREF _Toc428792546 h 38 HYPERLINK l _Toc428792547 9.3 人人员录用用和上岗岗安全管管理 PAGEREF _Toc428792547 h 39 HYPERLINK l _Toc428792548 第十章 人人员在岗岗管理制制度 PAGEREF _Toc428792548 h 39 HYPERLINK l _Toc428792549 10.1 人员在在岗信息息安全管管理 PAGEREF _Toc428792549 h 39 HYPERLINK l _Toc428792550 10.

13、1.1 岗位信信息安全全检查 PAGEREF _Toc428792550 h 39 HYPERLINK l _Toc428792551 10.1.2 信息安安全违规规纪律处处理 PAGEREF _Toc428792551 h 39 HYPERLINK l _Toc428792552 10.2 人员考考核 PAGEREF _Toc428792552 h 40 HYPERLINK l _Toc428792553 10.3 关键岗岗位考核核制度 PAGEREF _Toc428792553 h 40 HYPERLINK l _Toc428792554 第十一章 信息安安全培训训制度 PAGEREF _

14、Toc428792554 h 40 HYPERLINK l _Toc428792555 11.1 信息安安全培训训制度 PAGEREF _Toc428792555 h 40 HYPERLINK l _Toc428792556 第十二章 人员离离岗管理理制度 PAGEREF _Toc428792556 h 41 HYPERLINK l _Toc428792557 12.1 人员离离岗离职职安全管管理 PAGEREF _Toc428792557 h 41 HYPERLINK l _Toc428792558 12.1.1 资产归归还 PAGEREF _Toc428792558 h 41 HYPERL

15、INK l _Toc428792559 12.1.2 访问权权限回收收 PAGEREF _Toc428792559 h 42 HYPERLINK l _Toc428792560 12.1.3 离职后后信息安安全职责责的追踪踪和管理理 PAGEREF _Toc428792560 h 42 HYPERLINK l _Toc428792561 第十三章 外来人人员管理理制度 PAGEREF _Toc428792561 h 43 HYPERLINK l _Toc428792562 13.1 第三方方人员安安全管理理 PAGEREF _Toc428792562 h 43 HYPERLINK l _Toc

16、428792563 13.2 外来人人员信息息安全管管理 PAGEREF _Toc428792563 h 44 HYPERLINK l _Toc428792564 第十四章 工作人人员安全全守则 PAGEREF _Toc428792564 h 44 HYPERLINK l _Toc428792565 14.1 工作人人员安全全守则 PAGEREF _Toc428792565 h 44 HYPERLINK l _Toc428792566 第十五章 信息系系统建设设安全管管理制度度 PAGEREF _Toc428792566 h 46 HYPERLINK l _Toc428792567 15.1

17、系统总总体规划划设计 PAGEREF _Toc428792567 h 46 HYPERLINK l _Toc428792568 15.1.1 安全设设计需求求分析及及评估 PAGEREF _Toc428792568 h 48 HYPERLINK l _Toc428792569 15.1.2 总体安安全设计计 PAGEREF _Toc428792569 h 57 HYPERLINK l _Toc428792570 15.1.3 安全建建设规划划 PAGEREF _Toc428792570 h 63 HYPERLINK l _Toc428792571 15.2 系统工工程实施施 PAGEREF _

18、Toc428792571 h 65 HYPERLINK l _Toc428792572 15.2.1 产品采采购管理理制度 PAGEREF _Toc428792572 h 65 HYPERLINK l _Toc428792573 15.2.2 安全服服务商选选择 PAGEREF _Toc428792573 h 66 HYPERLINK l _Toc428792574 15.2.3 硬件采采购和安安装 PAGEREF _Toc428792574 h 66 HYPERLINK l _Toc428792575 15.2.4 软件采采购和安安装 PAGEREF _Toc428792575 h 67 H

19、YPERLINK l _Toc428792576 15.2.5 系统软软件开发发管理 PAGEREF _Toc428792576 h 67 HYPERLINK l _Toc428792577 15.3 系统测测试验收收 PAGEREF _Toc428792577 h 69 HYPERLINK l _Toc428792578 15.4 系统交交付 PAGEREF _Toc428792578 h 69 HYPERLINK l _Toc428792579 15.5 系统备备案 PAGEREF _Toc428792579 h 69 HYPERLINK l _Toc428792580 第十六章 硬件设设

20、备运维维管理制制度 PAGEREF _Toc428792580 h 70 HYPERLINK l _Toc428792581 16.1 硬件设设备运维维管理制制度 PAGEREF _Toc428792581 h 70 HYPERLINK l _Toc428792582 16.1.1 机房安安全管理理制度 PAGEREF _Toc428792582 h 70 HYPERLINK l _Toc428792583 16.1.2 办公环环境安全全管理制制度 PAGEREF _Toc428792583 h 72 HYPERLINK l _Toc428792584 16.1.3 资产安安全管理理制度 PA

21、GEREF _Toc428792584 h 73 HYPERLINK l _Toc428792585 16.1.4 介质安安全管理理制度 PAGEREF _Toc428792585 h 78 HYPERLINK l _Toc428792586 16.1.5 设备管管理制度度 PAGEREF _Toc428792586 h 83 HYPERLINK l _Toc428792587 16.1.6 网络安安全管理理制度 PAGEREF _Toc428792587 h 85 HYPERLINK l _Toc428792588 第十七章 系统软软件运维维管理制制度 PAGEREF _Toc4287925

22、88 h 88 HYPERLINK l _Toc428792589 17.1 系统软软件运维维管理制制度 PAGEREF _Toc428792589 h 88 HYPERLINK l _Toc428792590 17.1.1 系统安安全管理理制度 PAGEREF _Toc428792590 h 88 HYPERLINK l _Toc428792591 17.1.2 恶意代代码防范范管理制制度 PAGEREF _Toc428792591 h 95 HYPERLINK l _Toc428792592 17.1.3 密码使使用管理理制度 PAGEREF _Toc428792592 h 96 HYPE

23、RLINK l _Toc428792593 17.1.4 信息系系统变更更管理制制度 PAGEREF _Toc428792593 h 96 HYPERLINK l _Toc428792594 第十八章 备份与与恢复管管理制度度 PAGEREF _Toc428792594 h 1000 HYPERLINK l _Toc428792595 18.1 备份与与恢复管管理制度度 PAGEREF _Toc428792595 h 1000 HYPERLINK l _Toc428792596 18.1.1 备份制制度流程程图 PAGEREF _Toc428792596 h 1000 HYPERLINK l

24、_Toc428792597 18.1.2 资产识识别 PAGEREF _Toc428792597 h 1011 HYPERLINK l _Toc428792598 18.1.3 备份方方案 PAGEREF _Toc428792598 h 1022 HYPERLINK l _Toc428792599 18.1.4 备份计计划实施施 PAGEREF _Toc428792599 h 1022 HYPERLINK l _Toc428792600 18.1.5 备份的的介质标标识 PAGEREF _Toc428792600 h 1022 HYPERLINK l _Toc428792601 18.1.6

25、备份介介质的安安全存放放 PAGEREF _Toc428792601 h 1033 HYPERLINK l _Toc428792602 18.1.7 信息恢恢复 PAGEREF _Toc428792602 h 1033 HYPERLINK l _Toc428792603 第十九章 信息系系统安全全事件管管理制度度 PAGEREF _Toc428792603 h 1044 HYPERLINK l _Toc428792604 19.1 信息系系统安全全事件管管理制度度 PAGEREF _Toc428792604 h 1044 HYPERLINK l _Toc428792605 19.1.1 安全事

26、事件定义义 PAGEREF _Toc428792605 h 1044 HYPERLINK l _Toc428792606 19.1.2 安全事事件等级级划分 PAGEREF _Toc428792606 h 1055 HYPERLINK l _Toc428792607 19.1.3 安全事事件处理理流程 PAGEREF _Toc428792607 h 1066 HYPERLINK l _Toc428792608 19.1.4 安全事事件报告告流程 PAGEREF _Toc428792608 h 1200 HYPERLINK l _Toc428792609 第二十章 硬件维维护日常常操作管管理规程

27、程 PAGEREF _Toc428792609 h 1211 HYPERLINK l _Toc428792610 20.1 硬件维维护日常常操作管管理规程程 PAGEREF _Toc428792610 h 1211 HYPERLINK l _Toc428792611 20.1.1 交换机机 PAGEREF _Toc428792611 h 1211 HYPERLINK l _Toc428792612 20.1.2 路由器器 PAGEREF _Toc428792612 h 1222 HYPERLINK l _Toc428792613 20.1.3 防火墙墙 PAGEREF _Toc42879261

28、3 h 1222 HYPERLINK l _Toc428792614 20.1.4 小型机机 PAGEREF _Toc428792614 h 1222 HYPERLINK l _Toc428792615 20.1.5 PPC服务务器 PAGEREF _Toc428792615 h 1233 HYPERLINK l _Toc428792616 20.1.6 审计系系统 PAGEREF _Toc428792616 h 1233 HYPERLINK l _Toc428792617 第二十一章章 信息系系统操作作规程 PAGEREF _Toc428792617 h 1233 HYPERLINK l _

29、Toc428792618 21.1 信息系系统操作作规程 PAGEREF _Toc428792618 h 1233 HYPERLINK l _Toc428792619 21.1.1 服务器器设备操操作规程程 PAGEREF _Toc428792619 h 1233 HYPERLINK l _Toc428792620 21.1.2 网络设设备操作作规程 PAGEREF _Toc428792620 h 1244 HYPERLINK l _Toc428792621 第二十二章章 应急机机构 PAGEREF _Toc428792621 h 1255 HYPERLINK l _Toc428792622

30、22.1 应急机机构及角角色设置置 PAGEREF _Toc428792622 h 1255 HYPERLINK l _Toc428792623 22.1.1 应急领领导小组组 PAGEREF _Toc428792623 h 1255 HYPERLINK l _Toc428792624 22.1.2 应急协协调小组组 PAGEREF _Toc428792624 h 1266 HYPERLINK l _Toc428792625 22.1.3 应急实实施小组组 PAGEREF _Toc428792625 h 1266 HYPERLINK l _Toc428792626 22.1.4 外部应应急协助

31、助组 PAGEREF _Toc428792626 h 1277 HYPERLINK l _Toc428792627 第二十三章章 应急预预案 PAGEREF _Toc428792627 h 1288 HYPERLINK l _Toc428792628 23.1 信息系系统应急急预案 PAGEREF _Toc428792628 h 1288 HYPERLINK l _Toc428792629 23.1.1 应急预预案分类类 PAGEREF _Toc428792629 h 1288 HYPERLINK l _Toc428792630 23.1.2 应急预预案启动动 PAGEREF _Toc4287

32、92630 h 1288 HYPERLINK l _Toc428792631 23.1.3 应急处处理流程程 PAGEREF _Toc428792631 h 1311 HYPERLINK l _Toc428792632 23.1.4 系统恢恢复 PAGEREF _Toc428792632 h 1333 HYPERLINK l _Toc428792633 23.1.5 故障总总结及报报告 PAGEREF _Toc428792633 h 1344 HYPERLINK l _Toc428792634 23.1.6 应急演演练 PAGEREF _Toc428792634 h 1344 HYPERLIN

33、K l _Toc428792635 23.2 附录 PAGEREF _Toc428792635 h 1366 HYPERLINK l _Toc428792636 23.2.1 附1：体系系文件建建立申请请表 PAGEREF _Toc428792636 h 1366 HYPERLINK l _Toc428792637 23.2.2 附2：体系系文件更更改申请请表 PAGEREF _Toc428792637 h 1377 HYPERLINK l _Toc428792638 23.2.3 附3：体系系文件评评审记录录表 PAGEREF _Toc428792638 h 1388 HYPERLINK l

34、 _Toc428792639 23.2.4 附4：体系系文件作作废申请请表 PAGEREF _Toc428792639 h 1399 HYPERLINK l _Toc428792640 23.2.5 附5：专家家论证表表 PAGEREF _Toc428792640 h 1400 HYPERLINK l _Toc428792641 23.2.6 附6：专家家意见书书 PAGEREF _Toc428792641 h 1411 HYPERLINK l _Toc428792642 23.2.7 附7：专家家论证会会会议纪纪要 PAGEREF _Toc428792642 h 1422 HYPERLINK

35、 l _Toc428792643 23.2.8 附录8 :安全全评估报报告 PAGEREF _Toc428792643 h 1433 HYPERLINK l _Toc428792644 23.2.9 附录9 资产清清单 PAGEREF _Toc428792644 h 1444 HYPERLINK l _Toc428792645 23.2.10 附录100 :系系统的操操作手册册 PAGEREF _Toc428792645 h 1466 HYPERLINK l _Toc428792646 23.2.11 附录111：信息息系统安安全检查查表单 PAGEREF _Toc428792646 h 14

36、66 HYPERLINK l _Toc428792647 23.2.12 附录122：备份份管理员员操作变变更申请请单 PAGEREF _Toc428792647 h 1477 HYPERLINK l _Toc428792648 23.2.13 附录133：密码码变更记记录表（zj） PAGEREF _Toc428792648 h 149 HYPERLINK l _Toc428792649 23.2.14 附录144：审计计记录 PAGEREF _Toc428792649 h 1533 HYPERLINK l _Toc428792650 23.2.15 附录155：授权与与审批流流程 PAGE

37、REF _Toc428792650 h 1555 HYPERLINK l _Toc428792651 23.2.16 附录166：系统统配置变变更审批批单 PAGEREF _Toc428792651 h 1566 HYPERLINK l _Toc428792652 23.2.17 附录177: 安全检检查表 PAGEREF _Toc428792652 h 1588 HYPERLINK l _Toc428792653 23.2.18 附录118: 安全检检查报告告与通报报 PAGEREF _Toc428792653 h 1600 HYPERLINK l _Toc428792654 23.2.19

38、 附19:外联单单位联系系表 PAGEREF _Toc428792654 h 1611 HYPERLINK l _Toc428792655 23.2.20 附20:会议记记要 PAGEREF _Toc428792655 h 1633 HYPERLINK l _Toc428792656 23.2.21 附21:信息安安全专家家聘任书书 PAGEREF _Toc428792656 h 1644 HYPERLINK l _Toc428792657 23.2.22 附录222 :保保密协议议 PAGEREF _Toc428792657 h 1644 HYPERLINK l _Toc428792658

39、23.2.23 附录233: 上岗人人员情况况登记表表 PAGEREF _Toc428792658 h 1688 HYPERLINK l _Toc428792659 23.2.24 附录244: 人员入入岗审核核表 PAGEREF _Toc428792659 h 1700 HYPERLINK l _Toc428792660 23.2.25 附录255: 岗位协协议书 （需打打印） PAGEREF _Toc428792660 h 1711 HYPERLINK l _Toc428792661 23.2.26 附录266：信息息安全岗岗位人员员考核记记录 PAGEREF _Toc428792661

40、h 1744 HYPERLINK l _Toc428792662 23.2.27 附录277：安全全技能考考核纪录录 PAGEREF _Toc428792662 h 1755 HYPERLINK l _Toc428792663 23.2.28 附录288：关键键岗位审审查情况况表 PAGEREF _Toc428792663 h 1766 HYPERLINK l _Toc428792664 23.2.29 附录299：信息息安全培培训计划划 PAGEREF _Toc428792664 h 1822 HYPERLINK l _Toc428792665 23.2.30 附录300：安全全教育培培训签

41、到到表 PAGEREF _Toc428792665 h 1855 HYPERLINK l _Toc428792666 23.2.31 附录311: 安安全教育育培训评评价表 PAGEREF _Toc428792666 h 1866 HYPERLINK l _Toc428792667 23.2.32 附录322：年度度信息安安全培训训计划 PAGEREF _Toc428792667 h 1877 HYPERLINK l _Toc428792668 23.2.33 附录333：培训训考题 PAGEREF _Toc428792668 h 1888 HYPERLINK l _Toc428792669

42、23.2.34 附录344：培训训考核记记录表 PAGEREF _Toc428792669 h 1922 HYPERLINK l _Toc428792670 23.2.35 附录355: 人人员离岗岗/职审批批表 PAGEREF _Toc428792670 h 1944 HYPERLINK l _Toc428792671 23.2.36 附录366: 人人员离岗岗工作交交接表 PAGEREF _Toc428792671 h 1966 HYPERLINK l _Toc428792672 23.2.37 附录377: 离职保保密承诺诺书 PAGEREF _Toc428792672 h 1988 H

43、YPERLINK l _Toc428792673 23.2.38 附录388: 机房进进出申请请单 PAGEREF _Toc428792673 h 1999 HYPERLINK l _Toc428792674 23.2.39 附录399: 机房进进出记录录表 PAGEREF _Toc428792674 h 2011 HYPERLINK l _Toc428792675 23.2.40 附录400：机房房出入登登记表 PAGEREF _Toc428792675 h 2033 HYPERLINK l _Toc428792676 23.2.41 附录411：XXXXXX机机房设备备出门单单 PAGER

44、EF _Toc428792676 h 2044 HYPERLINK l _Toc428792677 23.2.42 附录422：设备备维护档档案 PAGEREF _Toc428792677 h 2055 HYPERLINK l _Toc428792678 23.2.43 附录433：信息息安全存存储介质质领用/借用申申请单 PAGEREF _Toc428792678 h 2066 HYPERLINK l _Toc428792679 23.2.44 附录444：介质质销毁审审批表 PAGEREF _Toc428792679 h 2077 HYPERLINK l _Toc428792680 23.

45、2.45 附录455：信息息安全存存储介质质维修记记录 PAGEREF _Toc428792680 h 2088 HYPERLINK l _Toc428792681 23.2.46 附录466：设备备领用表表 PAGEREF _Toc428792681 h 2099 HYPERLINK l _Toc428792682 23.2.47 附录477：计算算机设备备责任人人变更审审批表 PAGEREF _Toc428792682 h 2100 HYPERLINK l _Toc428792683 23.2.48 附录488：特权权用户申申请表 PAGEREF _Toc428792683 h 2100

46、HYPERLINK l _Toc428792684 23.2.49 附录499：服务务器补丁丁升级记记录 PAGEREF _Toc428792684 h 2111 HYPERLINK l _Toc428792685 23.2.50 附录500：变更更申请单单 PAGEREF _Toc428792685 h 2122 HYPERLINK l _Toc428792686 23.2.51 附录511：备份份记录 PAGEREF _Toc428792686 h 2155 HYPERLINK l _Toc428792687 23.2.52 附录522：恢复复记录 PAGEREF _Toc42879268

47、7 h 2155 HYPERLINK l _Toc428792688 23.2.53 附录533：备份份与恢复复演练记记录单 PAGEREF _Toc428792688 h 2166 HYPERLINK l _Toc428792689 23.2.54 附录544：安全全事件记记录报告告 PAGEREF _Toc428792689 h 2166 HYPERLINK l _Toc428792690 23.2.55 附录555：信息息安全事事件调查查报告 PAGEREF _Toc428792690 h 2177 HYPERLINK l _Toc428792691 23.2.56 附录566：硬件件维

48、护 PAGEREF _Toc428792691 h 2188 HYPERLINK l _Toc428792692 23.2.57 附录577：工作作日志 PAGEREF _Toc428792692 h 2199 HYPERLINK l _Toc428792693 23.2.58 附录588：信息息系统巡巡检 PAGEREF _Toc428792693 h 2200信息安全管管理制度度总则概述信息系统安安全等级级保护管管理制度度体系是是对实现现信息系系统安全全等级保保护所采采用的安安全管理理措施的的描述。本本制度体体系从信信息安全全管理机机构制度度、信息息安全人人力资源源管理制制度、信信息系统统

49、建设安安全管理理制度、信信息安全全系统运运维管理理制度和和信息系系统操作作规程及及应急预预案等方方面，针针对AAAAAAA公司的的BBBBBB系系统，从从信息安安全管理理和信息息系统运运维两个个方面做做出规定定。总体原则本制度的信信息安全全总体原原则如下下：全面贯彻国国家和上上海市关关于信息息安全工工作的要要求文件件和相关关指导性性文件精精神，在在部门内内建立符符合国家家要求完完善的信信息安全全管理体体系；建立由安全全策略、管管理制度度、操作作规程等等构成的的全面信信息安全全管理制制度体系系，并落落实信息息安全管管理责任任到个人人，使信信息安全全管理有有章可循循；定期进行信信息安全全培训，提提

50、高相关关人员信信息安全全意识及及能力；实行预防为为主，应应急为辅辅的信息息安全理理念，对对可能存存在的信信息安全全隐患进进行提前前预防性性排查和和处理；对于突突发性信信息安全全事件，可可以按照照应急预预案进行行快速响响应，将将事件影影响降到到最低；定期对信息息系统进进行风险险评估和和控制，将将信息安安全风险险控制在在可接受受的水平平，以降降低突发发性事件件出现的的概率；持续改进信信息安全全管理所所要求包包含的各各项工作作，为系系统提供供可靠的的安全信信息服务务。总体目标明确AAAAAA公公司信息息安全管管理机构构和人力力资源管管理制度度；按照等级保保护三级要求规规范AAAAAAA公司的的BBB

51、BBB系系统建设设和运维维；制定AAAAAA公公司的BBBBBBB系统统应急预预案，并并定期进进行应急急演练；定期开展全全系统范范围的信信息系统统安全检检查和信信息安全全管理制制度宣传传，并按按需开展展第三方方信息安安全风险险评估。总体框架本制度的安安全策略略包括信信息安全全管理安安全策略略和信息息系统运运维安全全策略，如如下图所所示：系统信息运运维安全全策略系统信息运运维安全全策略包包括信息息安全管管理机构构制度和和信息安安全人力力资源管管理制度度。信息安全管管理机构构制度建立AAAAAA公公司的BBBBBBB系统统信息安全全管理组组织机构构明确网络管管理员、主主机管理理员、系系统管理理员、

52、安安全管理理员、安安全审计计员等安安全管理理相关岗岗位及职职责。加强信息安安全的授授权和审审批对于系统变变更（包包含软件件和硬件件）实施施审批，并并记录在在案。定期审查信信息安全全管理体体系监督各项安安全控制制措施的的落实情情况，并并针对有有偏差的的地方进进行纠正正，以保保证信息息安全管管理体系系持续有有效。规范产品采采购和使使用管理理制度流流程明确产品所所有者、使使用者与与维护者者；对所所有产品品进行标标记，实实现信息息资产从从采购、安安装、调调试、使使用、变变更到报报废整个个周期的的安全管管理，并并且密码码相关产产品符合合国家密密码主管管部门的的要求。定期评估安安全风险险根据评估结结果选择

53、择适当的的安全策策略和控控制措施施，保证证安全风风险可控控。信息安全人人力资源源管理制制度加强人员安安全管理理包含人员录录用前考考察、人人员在岗岗和离岗岗的安全全控制、人人员考核核、奖惩惩措施等等内容；对于关关键岗位位的工作作人员，需需签订保保密协议议。保密协议签签署对于外包的的软件开开发，需需与服务务提供商商签署保保密协议议；在信信息系统统立项和和审批过过程中，同同步考虑虑信息安安全需求求和目标标。系统统开发完完成后，要要求通过过第三方方安全机机构对软软件安全全性的测测评。信息系统安安全管理理安全策策略信息系统安安全管理理安全策策略包括括信息建建设安全全管理制制度、信信息安全全系统运运维管理

54、理和信息息系统操操作规程程及应急急预案。信息建设安安全管理理制度文档发布制制度化制定文档发发布规范范制度，统统一文档档版本、格格式等，并并定期按按照制度度对文档档进行更更新，以以保证所所有文档档的时效效性。信息安全系系统运维维管理保障机房物物理与环环境安全全实施多种手手段对机机房安全全进行监监控，包包括门禁禁、视频频监控、红红外线报报警等安安全防范范措施，确确保机房房物理安安全。部部署机房房专用空空调、UUPS，灭灭火设备备等环境境保障设设施；每每天对机机房设施施运转情情况进行行定期巡巡检、和维护护。控制制机房人人员和设设备的出出入管理理，非管管理人员员无法进进入主机机房，外外部人员员进入机机

55、房需填填写出入入记录并并且由管管理人员员全程陪陪同。维护和操作作规程文文档化对系统维护护和操作作规程实实施文档档化操作作，降低低和避免免因误操操作所引引发信息息安全事事件的可可能性。部署防病毒毒软件统一部署防防病毒软软件，并并进行病病毒库的的统一更更新，任任何人不不得私自自卸载防防病毒软软件。定期备份重重要系统统和数据据对重要的数数据和信信息系统统进行每每日增量量备份每每周全量量备份，并并对备份份介质进进行安全全地保存存，以及及对备份份数据每每季度进进行备份份还原测测试，保保证各种种备份信信息的保保密性、完完整性和和可用性性，确保保所有重重要信息息系统和和重要数数据在故故障、灾灾难后及及其它特

56、特定要求求下进行行可靠的的恢复。信息系统操操作规程程及应急急预案信息安全事事件应对对机制建立对各类类信息安安全事件件的预防防、预警警、响应应、处置置、恢复复机制，编编写针对对网络、数数据库、系系统和恶恶意代码码等的应应急预案案，并每每年两次次进行测测试和演演练。适用范围本手册按照照ISOO/IEEC 2270001：20005 信信息安全全管理体体系要求求，结结合AAAAAAA公司的的BBBBBB系系统的实实际编制制而成，符符合ISSO/IIEC 270001：20005 标标准的全全部要求求。本管管理制度度适用于于AAAAAA公公司的BBBBBBB系统统建设和和运维过过程。AAAAAA公司X

57、XXXXXX信息安全管理体系系文件目的为规范AAAAAAA公司XXXXXXX（以以下简称称“DDDDDDD”）的的信息安安全管理理体系文文件的制制订、修修订及评评审，特特制定本本制度。范围本管理规范范适用于于信息安安全领导导小组和和工作小小组对信信息安全全管理体体系文件件的维护护管理。职责由信息安全全工作小小组的主主体部门门DDDDDD负负责信息息安全管管理体系系文件的的维护，包包括制订订、修订订和评审审，由信信息安全全领导小小组负责责体系文文件的批批准、发发布和作作废。管理细则体系文件生生命周期期流程体系文件流流程图体系文件策策划信息安全工工作小组组组织相相关人员员，根据据信息息安全技技术

58、信信息系统统安全等等级保护护基本要要求（GGBT 222239-20008）、 信息息安全技技术 信信息系统统安全管管理要求求（GBBT 2202669-220066）、IISO/IECC 2770011：20005 信息安安全管理理体系的的要求， 结合实实际的职职责和工工作流程程，策划划制定信信息安全全管理体体系文件件，并形形成AAAAAAA公司司XXXXXX信信息安全全管理体体系文件件汇编。 信息安全工工作小组组将制定定的AAAAAAA公司司XXXXXX信信息安全全管理体体系文件件汇编汇报给信息安全领导小组，信息安全领导小组进行审批确认。 体系文件的的评审信息安全工工作小组组应定期期发起对

59、对体系文文件的评评审, 应填写写体系系文件建建立申请请表(详见附附1)。对对体系文文件的评评审应至至少每年年进行一一次。评评审流程程如下： (1) 信信息安全全工作小小组发起起对体系系文件的的评审申申请，信信息安全全领导小小组确认认后批准准评审要要求。(2) 信信息安全全工作小小组制定定评审计计划。计计划中应应确定各各文档对对应的评评审责任任人以及及实施评评审的时时间计划划。(3) 各各评审责责任人根根据时间间计划，结结合内部部审核、管管理评审审、风险险评估及及日常记记录的结结果，评评估现有有文件的的有效性性和充分分性。如如果确定定文档有有必要进进行修改改，应填填写体体系文件件更改申申请表(详

60、见附附2)。(4) 如如果修改改的内容容只涉及及XXXXXX，则则由信息息安全工工作小组组组长进进行审批批，在审审批同意意后，由由文档评评审责任任人进行行修改。(5) 如如果修改改的内容容涉及到到XXXXXX以以外的部部门，需需要所有有涉及部部门的会会签。会会签后，由由文档评评审责任任人进行行文档修修改。如如需要，可可邀请专专家对体体系文件件进行专专家评审审（详见见附5、附附6、附附7）。(6) 修修改完毕毕之后，各各责任人人将体体系文件件评审记记录表(详见附附3)和和完善后后的体系系文件版版本一并并报送信信息安全全工作小小组，由由信息安安全工作作小组进进行标识识和保存存。(7) 信信息安全全