2022年单位内部网络信息安全制度汇编（试行）

《单位内部网络信息安全制度汇编（试行）》目录TOC\o"1-5"\h\z一、相关术语 151、缩写 152、制度适用范围： 153、术语定义 15一、网络信息安全总体策略 18第一章总则 18第二章术语定义 18第三章组织职责 18第四章管理原则 19第五章总体目标 19第六章安全框架 19第七章策略制定与维护 21二、信息等级保护体系制定和发布管理规定 23第五章文件起草 24第六章文件评审 26第七章文件发布 28附录一、（xx市民政局）管理制度发布记录表 28三、等级保护体系评审和修订管理规定 29第一章总则 29第二章评审程序 29第三章修订程序 31四、信息安全管理组织架构 32第一章总则 32第二章组织目标 33第三章信息安全组织架构 33第四章组织的信息安全职责描述 34五、信息系统安全检查管理规定 37第一章总则 37第四章组织职责 37第五章通用要求 38第六章安全检查准备 38第七章安全检查报告 39第八章安全检查整改 39第九章检查工具的使用 40附录一：安全检查情况汇总表 40附录二：信息系统安全检查表 41六、信息安全组织架构与岗位职责 45第一章总则 45第二章信息化领导小组 46七、人员管理制度 50第一章总则 50第二章术语定义 50第三章组织职责 50第五章在岗管理 51第六章纪律处理过程 52第七章调动管理 52第八章离岗管理 53八、网络安全培训和考核管理规定 54第一章总贝!j 54第二章组织职责 55第三章安全培训管理程序 55第五章安全考核管理程序 57九、第三方机构安全管理规定 57第一章总则 57第二章术语定义 57第三章组织职责 58第五章驻场外包人员安全管理要求 58第六章临时来访人员安全管理要求 59第七章外包服务质量考核与评价 60第八章外包人员离场安全要求 60十、计算机及网络保密规定 61十一、信息系统测试管理办法 63第一章总则 63第二章测试组工作职责 63第三章新业务系统上线测试管理办法 66第四章常规版本升级测试管理办法 67十二、信息安全建设管理规定 68第一章总则 68第二章适用范围 69第三章组织职责 69第四章系统定级 69第五章安全检查报告 71第六章系统建设 71第七章系统备案 72第八章系统测评 73第九章系统终止 74附录一、系统安全设计方案评审表 75附录二、系统测试验收评审表 75附录三、系统转移、终止或废弃申请表 76十三、项目管理规定 78第一章总则 78第二章适用范围 78第三章职责与权限 78第四章项目立项 79第五章项目计划 80第六章项目实施 80第七章项目监控 81第八章项目收尾 81十四、工作环境管理规定 82第一章总贝IJ 82第二章适用范围 82第三章术语定义 82第四章办公区域访问控制 82第五章办公环境安全 83第七章办公用计算机安全 84第八章监督和检查 88十五、信息系统资产管理规定 89第一章总则 89第二章适用范围 89第三章术语定义 89第四章职责 89第五章资产分类 89第六章资产分级 90第七章信息资产标识 91第八章信息资产维护 92第九章闲置报废资产管理 93附录一、(xx市民政局)XXXX系统信息资产清单 94十六、存储介质管理规定 95第一章总贝() 95第二章适用范围 96第五章存储介质标识 96第六章存储介质访问 97第七章存储介质保管 97第八章介质维修 98第九章存储介质销毁 98附录一、存储介质清单 99附录二、存储介质销毁申请表 100十七、信息系统运维监控管理规定 100第一章总贝IJ 100第二章适用范围 101第三章术语定义 101第四章组织职责 101第五章监控管理要求 102第六章运维监控工作流程 103十八、网络系统运行管理规定 104第三章网络资源的数据管理 105第四章网络资源的申请 105第五章网络资源的使用 106第六章网络资源的建设 106第七章网络资源的变更 107第八章 网络故障处理 107十九、系统帐号权限管理规定 108第一章总则 108第二章适用范围 108第三章术语定义 108第四章组织职责 109第五章通用原则 109第六章特权帐号管理 111第七章 普通帐号管理 111第八章口令管理 112附录一、（xx市民政局）业务系统临时帐户申请表 113附录二、（xx市民政局）业务系统帐户清单 114二十、补丁管理规定 115第一章总则 115第二章适用范围 115第三章术语定义 115第四章组织职责 115第五章补丁获取 116第六章补丁测试 116第七章补丁验证和归档 118附录一业务系统补丁安装登记表 118二十一、信息系统日志管理规定 119第一章总贝IJ 119第二章适用范围 120第三章术语定义 120第四章组织职责 120第七章业务系统日志管理 122第八章设备日志管理 122二十二、防病毒管理规定 123第一章总则 123第二章适用范围 123第三章术语定义 123第四章组织职责 124第五章防计算机病毒目的 125第六章防病毒管理内容 126第七章防病毒应用规定 127第八章惩罚制度 127附件：病毒事件报告表 128二十三、信息安全密码使用管理规定 130第一章总则 130第二章帐号设立要求 130第六章维护要求 135第七章流程管理要求 137二十四、变更管理规定 139第一章总则 139第二章适用范围 139第三章术语定义 140第四章组织职责 141第五章变更申请 141第六章变更受理 142第七章变更方案制订 142第八章变更审批 143第九章变更实施 144第十章变更汇总 146第十一章紧急变更 146附录一变更申请单 147二十五、备份与恢复管理规定 150第一章总则 150第二章 术语定义 150第三章职责 150第四章备份管理 151第五章备份介质管理 153第六章备份恢复管理 155附录一：业务系统备份数据清单 156二十六、安全事件管理规定 162第一章总则 162第二章适用范围 162第三章术语定义 162第四章组织职责 163第五章事件分类 163第六章事件分级 165第七章事件监控 166第八章事件受理 166第九章事件处置 167附录一、信息安全异常现象报告 169附录二、信息安全事件报告 171二十七、应急预案管理规定 173二十八、软件管理办法 176第一章总则 176第二章适用范围 177第三章职责与权限 177第四章软件管理 177第五章软件外包开发 177第六章软件使用 178二十九、信息交付管理规定 179第一章总则 179第二章安全交付规范 180第三章人员安全管理 183附件安全系统交付清单 183相关术语1、缩写原名称缩写名称备注2、制度适用范围:适用于（xx市民政局）各部门，包括系统维护管理人员、网络、服务器、终端、设备、信息系统的专用设备以及物理环境等3、术语定义（-）安全策略：是纲领性的安全策略主文档，描述（xx市民政局）业务安全目标和管理层意图、支持目标和指导原则，是信息安全实践的根本性和指导性的文件。（-）信息安全等级保护管理体系是指依据国家信息安全等级保护的要求建立的系统内进行信息安全管理的制度、方针、策略、流程、指南、记录等管理方面的规章制度集合。（三）信息安全等级保护管理体系是指依据国家信息安全等级保护的要求建立的系统内进行信息安全管理的制度、方针、策略、流程、指南、记录等管理方面的规章制度集合。（四）安全检查：指单位内部或外部机构对信息安全整体执行情况进行的评价活动。安全检查的依据是单位现行的管理制度、信息系统安全体系规范和技术标准、有关法律、法规和标准要求等安全检查包括安全例行检查、安全专项检查等。（五）安全例行检查：指按照已制定的检查周期所作的检查。（六）安全专项抽查：指根据单位、监管机构或相关部门要求的安全运行状况所作的不定期的抽查。（七）本单位员工是指单位正式员工，包括试用期员工和借调人员等。（A）第三方机构是指所有进入（xx市民政局）内部提供相关技术服务的非（xx市民政局）单位（包括但不限于供应商、合作厂商、服务商）。第三方人员分为临时来访人员和驻场外包人员。临时来访的第三方人员是指来（xx市民政局）时间周期较短的人员，包括进行业务交流的人员，临时来访参观的人员等；驻场外包的第三方人员是指来访时间较长的第三方技术服务人员，包括项目建设人员，外来信息系统职守人员，外来信息系统维护人员等。（九）存储介质：指用于单位计算机系统相关业务的电子信息输出、存放的物理介质、可移动和不可移动的磁盘、光盘、硬盘、磁盘阵列等。（十）帐号是指每个可访问系统资源的用户在系统中的标识，可分为应用系统帐号、操作系统帐号和数据库帐号等。（十一）访问权限是指帐号被赋予的可以访问系统资源和使用系统功能的权利。（十二）超级管理员帐号/特权帐号:指对系统具有超级权限的帐号,包含但不限于UNIX/Linux的root,WINNT的administrators组成员，数据库的DBA等用户。（十三）普通帐号：用户用于维护或访问系统，实现日常操作的帐号，是最为常见的用户类型。（十四）补丁是针对某一个具体的系统漏洞或安全问题而发布的专门解决该漏洞或安全问题的小程序，通常称为修补程序。（十五）日志包括各业务系统中存储的主机系统日志、设备日志和业务系统日志等基础环境日志（十六）计算机病毒：计算机病毒是人为蓄意编制的一种寄生性的计算机程序。它能在计算机系统中生存，通过自我复制来传播，在一定条件下即被激活，从而给计算机系统造成一定损害甚至严重破坏，有些病毒还能窃取计算机设备中的重要信息（十七）信息安全事件是指由于自然或者人为以及软硬件本身缺陷或故障的原因，对信息系统造成危害，或对社会造成负面影响的事件一、网络信息安全总体策略第一章总则第一条为了加强（XX市民政局）信息系统的网络安全管理，明确（XX市民政局）网络安全管理的总目标和总方向，保护（XX市民政局）系统自有的信息系统资产，积极预防安全事件的发生，使安全事件的影响最小化，特制定本策略文件。第二章术语定义第二条安全策略：是纲领性的安全策略主文档，描述（XX市民政局）信息系统业务安全目标和管理层意图、支持目标和指导原则，是网络安全实践的根本性和指导性的文件。第三章组织职责第三条单位组建网络安全与信息化领导小组，负责批准网络安全策略文件并且保证本文件被执行，同时负责对（XX市民政局）系统网络安全方面的指导方向、安全建设等重大问题做出决策，协调各部门安全协同工作，支持和推动网络安全工作在整个单位实施。第四条单位组建网络安全等级保护工作小组，负责具体执行安全管理策略文件的建立、实施、运作、监控、评审、维护和改进工作。第五条单位所有员工有责任了解自身在单位信息安全、网络安全方面的职责，并按照网络安全与信息化领导小组的指示，认真执行相关要求。第四章管理原则第六条网络安全管理工作实行“积极防范、突出重点、职责到位、保障业务”和“谁主管、谁负责、谁运营、谁负责”的管理原则。第五章总体目标第七条遵守国家相关法律法规，结合（XX市民政局）实际情况，依据现有管理和文化体系，逐步建设一套适用的、先进的网络安全管理体系，更好地保障（XX市民政局）网站、社管平台等重要信息系统安全、稳定的向社会公众提供服务，并满足单位不断发展的业务需求。第六章安全框架第八条安全管理制度（一）逐步完善由安全策略、管理制度、操作规程组成的网络安全管理体系。（-）网络安全策略文件应由管理层审核批准,并公布与传达给单位所有人员以及同本单位有业务往来的第三方机构。网络安全策略文件在规划期间内或有重大变更发生时需通过管理层的审查及修订。第九条安全管理机构（-）必须建立网络安全管理组织，以满足网络安全管理体系持续运行的目标。（二）加强与第三方机构的沟通和合作，及时获取相关信息。（三）必须建立安全检查机制，定期对信息系统进行安全检查。（四）加强人员录用和离岗过程的安全管理，并定期对所有人员进行安全培训和考核，加强安全意识。（五）对所有操作或访问信息资产的第三方机构，必须向其阐明相关的责任要求，并明确告知其有责任恰当地使用和保护这些信息资产。第十条系统建设（一） 系统建设初期必须根据系统定级情况进行安全方案设计，对可行性进行论证。（二）确保安全和密码产品采购和使用符合国家的有关规定;并只能选择满足条件的安全服务商。（三）确保在系统的开发与维护过程中，相关的安全功能和需求已被嵌入到系统内。在开发新系统时，安全功能应包含在初始的系统分析与需求描述中。这些描述必须包括自动的和手动的安全控制。这些控制必须通过测试，而且能够整合到正在运行的环境中。第十一条系统运维（一） 信息系统及其相关的设备在物理上需要受到保护，防止偷窃、滥用、损坏或未经授权的访问。（二）确保信息系统相关的信息资产受到适当保护，所有信息资产必须有确定的属主并且根据其敏感度进行分类和控制。所有信息系统必须制定相应的操作规范,通过对日常操作的管理、介质的管理、恶意代码防范控制确保信息系统范围内信息处理设施的正确和安全操作。（四）对三级系统应建立安全管理中心,对信息资产安全事件实现监控和响应。（五）所有信息系统变更应有审批流程，并有完善的恢复流程。（六）应建立有效的安全事件响应和处理机制，安全事件必须及时的发现、报告、处理、调查、上报并修正，并且有事后的回顾，以吸取经验教训，避免以后再发生同类型的事件，把损失降到最小。（七）建立完善应急预案，以确保事故发生时，对业务活动的影响降至最小。第七章策略制定与维护第十二条网络信息安全策略文件由安全管理员编写，由网络安全与信息化领导小组批准，向所有相关部门、第三方机构和相关人员发布。第十三条网络安全与信息化领导小组监督网络安全活动,是否与策略的目标一致，达到策略的要求。第十四条网络安全与信息化领导小组审查和处理违反安全策略的行为。第十五条网络安全等级保护工作小组定期对网络安全策略进行回顾和评审（附件一、评审记录表），确保策略的有效性和可操作性。附件一、安全策略评审记录表安全策略评审记录表日期：年月日会议名称参与人员评审对象评审结果评审意见：网络安全等级保护工作小组审批结果：网络安全与信息化领导小组二、信息等级保护体系制定和发布管理规定第一章总则第一条为了保证（XX市民政局）信息安全等级保护管理体系的持续性、时效性以及适应性，满足业务不断变化的安全管理的需要，明确信息安全等级保护体系的制定、发布、评审和修订等过程中的管理职责，特制定本规定。第二章职责第二条网络安全与信息化领导小组，职责：（-）负责规划、监督、指导网络安全等级保护管理体系文件的起草、审查、发布、清理等工作。（二）负责信息安全等级保护管理体系的评审及修订后复审工作。（三）确保信息安全等级保护管理体系能持续恰当和有效地运作。（四）提供充足的资源和支持，以持续改善信息安全等级保护管理体系。第三条网络安全等级保护工作小组，职责：（-）负责组织管理体系文件的起草、编制、修订、补充等工作的开展，并将实施成果向领导小组汇报。（二）负责启动和主持等级保护管理体系的管理评审工作。（三）负责协调相关人员，指导收集评审资料。（四）确保评审会议所提出的行动项目能在规定的时间内完成，并负责其相关的监督工作。（五）负责对评审结果如需进行修订项协调相关人员进行修订。（六）指派人员负责对修订措施的执行结果进行验证。第四条相关人员，是指（XX市民政局）信息安全等级保护管理体系涉及的人员。比如：系统管理员、应用管理员、开发管理人员、网络管理员、数据管理员、资产管理员和安全管理员等，其职责是：（-）负责依据管理体系文件的内容进行宣贯、培训、执行、检查等工作，并依据部门情况落实管理体系的要求。（二）负责协助进行评审。（三）负责实施修订措施。第五章文件起草第五条（XX市民政局）网络安全管理体系规范文件由网络安全等级保护工作小组负责起草或组织起草。第六条负责起草的科室应当确定一名熟悉相关内容员工为项目负责人，如涉及多个部门时，可由有关部门共同派人组成联合起草小组，由主要起草部门负责牵头组织。第七条起草的规范性文件应当结构严谨、内容完备、形式规范、条理清楚、用词准确、文字简洁。第八条应当明确规定如下内容：（一）制定的目的和依据；（二）适用范围；（三）术语定义；（四）组织职责；（五）具体管理要求或规定；（六）必要的附则；（七）与规范内容相关的资料性附录和参考性附录。第九条报送审查的管理制度送审稿应当由起草部门负责人签署后报网络安全与信息化领导小组审查。几个部门共同起草的规范送审稿，应当由起草部门负责人共同签署后报网络安全与信息化领导小组审查。第十条下列材料应当与规范送审稿一并报送网络安全与信息化领导小组审查：（一）起草说明；（二）与此规范内容有关的规范性文件；（三）汇总的各方意见；（四）如需制定实施细则，应当提交实施细则的主要内容和细则拟出台的时间;（五）其他需要报送的材料。第十一条网络安全与信息化领导小组主要从以下方面对送审稿进行审查：（一）是否符合权限和程序；（二）是否符合原则；（三）是否与其他规范、标准相协调、衔接；（四）是否已对有关不同意见进行协调；（五）是否具有可行性；（六）是否符合相关技术要求；（七）需要审查的其他内容。第十二条由网络安全与信息化领导小组对送审稿提出审查结论,对草案涉及的有关争议问题以及修改情况作重点说明。由网络安全与信息化领导小组负责人签署的书面审查报告应当反馈起草部门。第六章文件评审第十三条（XX市民政局）网络安全等级保护工作小组定期（至少每年一次）开展等级保护管理体系的评审工作，以确保整个等级保护管理体系的充分性、适当性和有效性。第十四条等级保护管理体系评审内容:（一）根据业务系统的性质和安全要求，确定（或复审）等级保护管理体系的范围，建立（复审）等级保护管理体系，包括网络安全策略、标准和程序。（二）对等级保护管理体系审核结果进行评审，分析导致不符合项的原因。（三）审查审核对象的反馈信息。总结已发现的安全事件和漏洞。（五）审查现行的安全控制措施和相关技术是否有效。复查修订措施的实施状况。（七）检查先前管理评审中所定义的措施的实施状况。（A）审查改善措施的建议。（九）复查业务和法律法规方面的变更。（十）审查可能影响信息安全等级保护管理体系的任何变更。（十一）为协调相关网络安全的实施，评审相关资源的充足性。第十五条评审工作必须至少每年举行一次，发生以下情况时，也需要启动管理评审工作：系统业务发生重大变更。系统网络安全策略的重大变更。（三）目前等级保护管理体系的执行不力。（四）系统等级保护管理体系的范围发生变更。（五）相关标准法规发布修订版本或有变更。第七章文件发布第十六条规范草案经网络安全与信息化领导小组审议并原则通过后，起草部门根据审议中提出的修改意见对草案进行修改，经网络安全与信息化领导小组负责人签发，以文件形式公布。第十七条文件的发布应遵照统一的格式，进行版本控制；并应注明发布范围，对收发文进行登记。对发布的制度应在《附录一、（XX市民政局）管理制度发布记录表》中进行记录。附录一、（XX市民政局）管理制度发布记录表（XX市民政局）管理制度发布记录管理制度］制订者发布咕生效时恒版本分发歹失效时恒备注日期：文档管理人员：审核人：三、等级保护体系评审和修订管理规定第一章总则第一条为了保证（XX市民政局）等级保护管理体系的持续性、时效性以及适应性，满足单位不断变化的安全管理的需要，明确等级保护管理体系的评审和修订过程中管理职责，特制定本规定。第二章评审程序第二条（XX市民政局）网络安全等级保护工作小组定期（至少每年一次）开展等级保护管理体系的评审工作，以确保整个等级保护管理体系的充分性、适当性和有效性。第三条等级保护管理体系评审内容：（-）根据具体工作的性质和安全要求，确定（或复审）等级保护管理体系的范围，建立（复审）等级保护管理体系，包括网络安全策略、标准和程序。（二）对等级保护管理体系审核结果进行评审，分析导致不符合项的原因。（三）审查审核对象的反馈信息。总结已发现的安全事件和漏洞。审查现行的安全控制措施和相关技术是否有效。（六）复查修订措施的实施状况。（七）检查先前管理评审中所定义的措施的实施状况。（八）审查改善措施的建议。（九）复查业务和法律法规方面的变更。（十）审查可能影响等级保护管理体系的任何变更。（十一）为协调相关网络安全的实施，评审相关资源的充足性。第四条评审工作必须至少每年举行一次，发生以下情况时，也需要启动管理评审工作：系统业务发生重大变更。（二）系统网络安全策略的重大变更。（三）目前等级保护管理体系的执行不力。（四）系统等级保护管理体系的范围发生变更。（五）相关标准法规发布修订版本或有变更。（六）评审工作的会议记录均需归档，以保存正式的记录。第三章修订程序第五条问题的识别及确认，采取修订措施可能由以下原因，包括但不限于：（-）来自系统等级保护管理体系的相关工作人员的反馈信息或调查申请。网络安全管理评审的会议讨论中发现的问题。（三）等级保护管理体系的审核发现的不符合项。第六条调查问题的起因：（-）由网络安全等级保护工作小组指派专门的人员负责对问题进行分析调查并确认问题的起因。（二）调查人员需提供尽可能多的关于整个问题调查的详细结果。作为修订措施报告的一部分，也可以提供一些额外的补充信息。第七条执行修订措施：（-）基于所调查出的问题起因，需确认并实施相应措施或对事故进行调查研究，负责上述行动的执行者需确保更新任何相关的文件或管理流程。比如:>准备制定或更新相关管理程序。》培训1/通知相关人员知晓。（二）执行人员负责跟踪所执行修订措施的效果。一旦发现效果不如预期，其相关负责人需进行评估分析并就进一步的应对措施进行确认。执行人员必须确保所实施的修订措施是可证实和可验证的，并保证修订措施的报告中都有详细说明。第八条措施的验证：如果验证出所采取的措施是达到预期效果的，则修订措施才算是成功，可以结束跟踪，验证阶段包括以下两个部分：对所规定修订措施的执行程度进行验证。对修订措施的执行效果进行验证。（二）措施验证的结果必须中有详细的说明，且对相关记录进行保存。四、信息安全管理组织架构第一章总则第一条为加强（XX市民政局）信息安全管理工作的组织协调，建立健全等级保护管理制度和运行机制，切实提高（XX市民政局）信息安全管理工作水平，根据《信息安全等级保护管理办法（xx[2007]43号）》要求,制定本规范第二章组织目标第二条本实施规则旨在实现信息安全管理的以下目标：（-） 管理组织内的信息安全工作；管理外部组织访问组织内信息处理设施和信息资产的安全。第三章信息安全组织架构第三条为加强对（XX市民政局）信息安全管理工作的领导，贯彻落实信息安全的要求及安徽省公安厅《关于开展信息安全管理专项检查工作的通知》的有关要求，经研究，决定成立（XX市民政局）网络安全与信息化领导小组（以下简称领导小组）第四条成立领导小组，作为信息安全管理工作的最高管理机构，领导小组下设（XX市民政局）系统信息安全管理工作小组。第五条领导小组由（XX市民政局）书记担任组长，副书记担任副组长，领导小组主要成员为队伍建设指导科科长及各相关部门安全主管领导。第六条信息安全管理工作小组负责（XX市民政局）信息安全管理的具体执行工作。工作小组组长由领导小组指定的队伍建设指导科科长兼任。设置一名副组长负责具体工作，对各部门信息安全技术的实施进行指导与审查。信息安全工作小组成员还包括各部门信息化负责人。第七条队伍建设指导科作为信息安全工作的具体执行部门，各科室主要负责人为本科室信息安全管理工作的第一责任人,并应指定一名信息安全管理员作为信息安全工作联络员，负责本科室内的有关信息安全管理工作。第四章组织的信息安全职责描述第八条网络安全与信息化领导小组的职责包括：（一）根据国家、省、市级网络安全的总体要求，结合（XX市民政局）的实际情况，统一领导（XX市民政局）信息安全管理的相关工作；负责协调（XX市民政局）内部管理工作，分配信息安全管理目标、职责，并支持和推动信息安全工作在单位内的实施；负责对与信息安全管理有关的重大事项进行决策，包括安全组织机构调整、以及信息安全管理重大策略变更；组织审定和发布单位信息安全的发展战略、总体规划、重大政策、管理规范和技术标准；评审与监督重大信息安全事故的处理；第九条信息安全管理工作小组的职责包括：（一）直接对领导小组负责，承担信息的具体工作，协助领导小组在信息安全事务上的决策；（二）负责信息安全政策的贯彻与落实，并协调各信息安全执行科室以及与第三方机构间有关的信息安全工作;（三）负责信息安全管理体系的建立、实施和日常运行，起草信息安全政策，确定信息安全管理标准，督促各信息安全执行部门对于信息安全政策、措施的实施；（四）负责对员工的信息安全工作意识教育和安全技能培训；（五）负责维护安全事件的记录报告，对发生的每一起安全事件调查和解决方法都记录在案；（六）负责定期召开信息安全管理工作会议，定期总结安全事件记录报告，并向信息安全领导小组汇报；（七）负责建立各信息安全执行科室、关联上级主管单位与外部安全管理主管机构之间的定期联系和沟通机制；（八）落实纠正措施（包括审计整改意见）和预防措施。第十条信息安全工作联络员的职责包括：（-）负责单位日常的具体信息安全工作，并参加信息安全工作小组所要求的各项活动；（二）负责向信息安全工作小组负责人报告信息安全事件和违反信息安全政策的行为，协助对违反安全政策的行为进行调查；（三）协助信息安全工作小组负责人和单位信息安全主管领导落实针对单位的纠正措施（包括审计整改意见）和预防措施。第十一条内部员工的职责包括:（一）严格遵守所有与信息安全相关的国家法律、法规和政策，遵守（XX市民政局）所有的信息安全政策；（二）积极参加信息安全教育与培训，提高信息安全意识；（三）有责任将违反信息安全政策的事件与行为及时报告给单位信息安全联络员及其他相关人员。第十二条人力资源部的职责包括：（一）人力资源工作由办公室兼任（二）对员工的聘前、聘中及解聘过程中涉及的人员信息安全进行有效管理；（三）负责制定和实施与信息安全相关的奖惩措施和安全绩效考核体系；（四）组织实施信息安全教育与培训；（五）协助调查安全事件。第十三条信息中心的职责包括：（一）信息中心的工作由队伍建设指导科兼任（二）负责对（XX市民政局）各科室和下属单位的信息安全或某个主题进行定期审计或信息安全专项审计；（三）主要以信息安全管理政策及各种标准规范作为审核依据；在具体的审核过程中，必要时可获得信息安全领导小组的协助与支持；（四）负责汇报审计结果，并督促审计整改工作的进行。五、信息系统安全检查管理规定第一章总则第一条为了规范（XX市民政局）信息系统网络安全检查工作流程，明确职责，定期、有效地对本单位信息系统进行安全检查，特制定本规定。第二章适用范围第二条本规定适用于本单位信息系统网络安全检查准备、实施、报告和整改过程，管理对象为安全管理员和信息系统管理人员。第三章术语定义第三条安全检查:指单位内部或外部机构对网络安全整体执行情况进行的评价活动。安全检查的依据是单位现行的管理制度、信息系统安全体系规范和技术标准、有关法律、法规和标准要求等安全检查包括安全例行检查、安全专项检查等。第四条安全例行检查：指按照已制定的检查周期所作的检查。第五条安全专项抽查：指根据单位、监管机构或相关部门要求的安全运行状况所作的不定期的抽查。第四章组织职责第六条安全管理员负责牵头协调组织各信息系统网络安全检查的管理工作，主要包括系统日常运行、系统漏洞和数据备份等情况。第七条相关管理员应配合安全检查，如实提供所需要的检查信息，对安全检查所发现的问题制定整改措施、整改计划并实施整改。第五章通用要求第八条安全检查应当遵循全面、审慎、独立的原则。第九条安全管理员应牵头建立检查机制，各信息系统负责人配合制定检查计划，定期开展检查活动。检查计划要根据实际情况及时进行补充和调整。第十条应当以半年为周期对信息系统进行安全检查，检查内容应包括安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况。第十一条可根据实际需要组织专项检查，对于信息系统发生的重大事故和问题，要进行专项检查，对重大事件实施全面的监控和评价。第十二条对于新信息系统，包括设备、主机、应用信息系统上线或安装前必须经过安全检查，检查方式应包括信息系统安全配置，漏洞评估,恶意代码检测，根据检查结果进行整改后方可上线。第十三条必须对检查工具、检查过程信息和检查结果信息的使用和访问采取控制措施加以保护，以防止任何可能的风险。第六章安全检查准备第十四条安全管理员应组织相关部门或人员按照半年为周期进行安全例行检查，根据需要组织安全专项检查。第十五条安全检查应按照所规定的检查要点、检查方式、使用规定的检查工具进行检查。第十六条应选择对单位信息系统运行影响最小的方式和时间进行检查。第十七条对生产环境实施安全检查应按照《（XX市民政局）信息系统变更管理规定》所规定的变更流程执行。第十八条实施对生产环境可能造成影响的安全检查后，应协调相关科室或人员对检查结果进行验证。第十九条安全检查可采用抽查的方式进行，抽查的采样量应能确保安全检查结果的准确性、代表性并符合信息系统实际生产情况。第二十条检查过程中应做好检查结果的记录工作。第七章安全检查报告第二十一条检查完成后由安全管理负责组织编写检查报告并提出整改建议（附录一安全检查情况汇总表），提供给相关科室。第八章安全检查整改第二十二条相关科室应按照检查报告中整改的时间要求，针对检查报告中所提出的问题制定整改实施计划并组织整改。第二十三条安全管理员应对整改措施的落实情况进行跟踪，验证整改措施的实施结果是否有效，必要时可进行复查确认。第二十四条安全管理员根据检查结果和整改情况进行汇总，形成安全状况通报并提供给相关部门。第九章检查工具的使用第二十五条在安全检查过程中如果需要使用安全工具，只能使用经过审核过安全检查工具。第二十六条安全检查工具只能在检查设备或者被检查科室的设备上运行，并由检查人员负责操作。第二十七条在生产信息系统中使用检查工具前，安全管理员要组织进行测试工作，对其可能产生的影响进行评估和论证，必要时安排双人进行操作。附录一：安全检查情况汇总表序号不符合项不符合描述整改建议负责人/科室123

45678910附录二；信息系统安全检查表检查日期： 检查人:日常运行维护管］内容及要求检查结果备忘1.信息系统E信息系统操作流程及时更新口是口否维用户密码管理是否规范口是口否用户密码是否定期更改口是口否操作日志记录口是口否

异常情况记录异常情况处理记录数据完整、连续补丁是否更新是否安装防病毒软件口是口否口是口否口是口否口是口否口是口否服务器运行情况内容及要求检查结果铤服务器资源情况以及系统访问情况CPU占用率内存占用率存储占用率系统响应时长（单位：秒）文档管理内容及要求检查结果备忘1.应急计划应急计划为最新，并及时完年订，并包含：外联联系单、应急联系岗位负责人各类问题的具体应对（故障判别、关键设备位置、应余口是口否口是口否

步骤等）2. 数据备份备份数据完整、有效网络设备、安全设备配置文华定期备份口是口否口是口否3. 测试报告每次测试都进行记录，填写』定期整理口是口否4. 应急演练证每次演练都进行记录，填写』定期整理口是口否5. 信息系统」程审批信息系统上线、软件升级、芯更等填写审批单口是口否6.技术文档管各应用信息系统的技术文档、手册是否齐全口是口否7.IP地址记8IP地址记录是否及时更新（抽查IP地址，每台设备的址表）口是口否8. 防病毒措施病毒库即时更新口是口否9.网络拓扑将网络拓扑图及时更新口是口否安全管理及卫生，内容及要求检查结果备忘

1.人员备岗关键岗位有备岗□是□否外部运维人员保密协议口是口否2.机房备品强机房关键设备、各应用信息用口有口无是否有备份3. 是否有超今中心机房□有口无机器4. 机房管理应急照明□有口无是否堆放有杂物(纸箱、废弃口是口否机房的监控信息系统清晰、:1□有□无机房网络线路是否清晰，网图□是口否是否标准5.视频监控视频监控设备清晰、有效□是口否6. 门禁信息劳门禁信息系统功能是否正常口正常口不一7.防盗报警守红外防盗报警器功能是否正'□正常口不一8.机房出入人外来人员进出机房登记口是口否记表9.机房电力件电力切换演习记录□有口无(

UPS容量、负载情况电池供电时间配电房定期检修空调运行情况（空调供水、升况））（）□有口无口正常口不.10.消防烟感、温感消防报警信息系统定期演练□正常口不一□正常口不一口是口否11.防雷信息手防雷信息系统安装等级措施完整、有效（防雷接地、保安器）()□是□否六、信息安全组织架构与岗位职责第一章总则第一条为有效实施信息安全管理，保障和实施本单位的信息安全，在单位内部建立信息安全管理组织架构，明确相关责任和岗位职责，特制定本规定。

第二章信息化领导小组第二条为落实国家信息化安全建设方针政策，根据安徽省、XX市相关文件要求，(XX市民政局)成立网络安全和信息化领导小组，并设置相应职能部门或人员负责各级信息系统安全管理工作。具体的信息安全组织架构和岗位设置如下：组织人员组成网络安全和信息化领导小组组长：书记副组长：副书记网络安全和信息化领导小组办公室主任：网络安全和信息化小组成员安全管理员：系统管理员：审计管理员：(-) 网络安全和信息化领导小组网络安全和信息化领导小组是（XX市民政局）信息安全工作的最高领导决策机构，负责对本单位的网络和信息安全工作的工作进行整体协调。（XX市民政局）网络安全和信息化领导小组（以下简称：领导小组）负责组织落实上层决策，领导本单位人员落实具体的网络安全和信息化相关工作。主要工作职责如下：1）、领导小组负责领导落实国家、安徽省、XX市三个层面提出的安全建设的总体规划，制定本单位的总体规划；2）、在国家、安徽省、xx市三个层面信息安全总体方针的指导下，组织制定本单位信息系统安全策略并审批上报的信息系统安全策略；3）、负责组织细化上级规章制度，制定相应程序指南，并监督落实规章制度；4）、负责本单位信息系统安全管理层以上的人员权限授予工作；5）、负责审阅信息安全工作报告；负责本单位重大安全事故查处与汇报工作。（二）网络安全和信息化领导小组办公室领导小组下设领导小组办公室（以下简称：办公室），办公室成员由本单位各科室负责信息的人员组成，（xx市民政局）队伍建设科科长担任办公室主任，具体负责网络安全和信息化的任务制定和落实工作。具体工作职责如下：1）、承办领导小组的日常事务，负责组织制定和实施信息安全策略和管理制度。2）、负责组织制定和实施信息安全技术方案。3）、负责组织实施信息安全运行监控与审计。4）、负责组织进行信息安全教育培训。5）、负责组织制度落实情况检查及责任追究和奖励工作。6）、负责组织信息安全档案的建立与管理。（三）网络安全和信息化小组成员信息安全管理执行组负责信息系统建设和运行维护过程中信息安全管理的具体执行工作，具体包含的岗位和职责的描述如下。■安全管理员1）、负责组织建立、实施和维护信息安全策略、标准、规章制度和各项操作流程。2）、负责对安全产品购置提供建议，负责组织制定各种安全产品策略与配置规则，负责跟踪安全产品投产后的使用情况；3）、负责指导并监督系统管理员及普通用户与安全相关的工作；4）、负责组织信息系统的安全风险评估工作，并定期进行系统漏洞扫描,形成安全评估报告；5）、根据本机构的信息安全需求，定期提出本机构的信息安全改进意见,并上报信息安全管理部门主管；6）、定期查看信息安全站点的安全公告，跟踪和研究各种信息安全漏洞和攻击手段，在发现可能影响信息安全的安全漏洞和攻击手段时，及时做出相应的对策，通知并指导系统管理员进行安全防范；7）、负责组织审议各种安全方案、安全审计报告、应急计划以及整体安全管理制度；8）、负责参与安全事故调查。■系统管理员1）、负责主机操作系统的安全配置（包括及时修补系统漏洞）和日常审计，系统应用软件的安装，从系统层面实现对用户与资源的访问控制；2）、负责应用系统的日常安全检查和日常维护，联系应用软件开发厂家;3）、协助安全管理员制定主机操作系统的安全配置规则，并落实执行；4）、负责主机设备的日常管理与维护，保持系统处于良好的运行状态；5）、为安全审计员提供完整、准确的主机系统运行活动的日志记录；6）、在主机系统异常或故障发生时，详细记载发生异常时的现象、时间和处理方式，并及时上报；7）、编制主机设备的维修、报损、报废计划，报主管领导审核；■安全审计员1）、负责定期对主机系统、网络产品、应用系统的日志文件进行分析审计，发现问题及时上报；2）、负责对信息安全保障管理活动进行独立的监督，提供内部独立的审计和评估工作，并根据需要可以协同外部审计评估机构进行评估和认证，为决策领导提供信息系统和信息安全保障执行状况的客观评价。七、人员管理制度第一章总则第一条本规范目标在于建立人员管理制度，用于规范对人员管理过程的安全控制。第二章术语定义第二条本单位人员是指单位正式人员，包括试用期人员和借调人员等。第三章组织职责第三条办公室兼任本单位的人力资源部门（以下均称人力资源部门）,负责本单位工作人员入职，在岗，离岗等过程涉及的信息安全管理。第四章入职管理第四条人力资源部门确保人员在任用前，在适当的岗位描述、任用条款和条件中明确说明其应履行的信息安全职责,确保其人员理解其信息安全职责，确保人员承担的角色符合单位的信息安全要求。第五条人力资源部门要对任用的工作人员、候选人员进行充分的审查,特别是对于关键岗位、关键职务人员，以及其他会大量接触敏感信息的人员。第六条人员筛选（一）人力资源部门负责组织对单位各个职位的候选人员进行筛选、对候选人员涉及信息安全方面的资料核实和背景调查。（二）对工作人员的背景调查应在申请职位时进行。调查包括以下内容：1、是否有适当的推荐人，申请人的工作能力和个人职业道德情况;2、监管部门要求；3、其它需要调查的内容。（三）各科室负责人可根据本科室对上岗工作人员的特殊要求，提出必要的附加调查内容，并反馈给人力资源部，以便选出合适的人员。第七条出于背景调查目的收集、处理被调查人员信息时，应在不违反相关的法律法规的前提下进行。第五章在岗管理第八条工作人员需申请使用单位网络访问权限或应用系统帐号，必须通过相关科室审批通过后，才能授予工作所需的最小权限。第九条工作人员工作岗位发生变化时，必须通过相关科室审批，对其访问权限进行相应的调整第十条人力资源部门应当对单位的所有工作人员进行与其工作职能相关的信息安全意识培训和教育。第六章纪律处理过程第十一条对违反纪律的人员做如下处理：（一）对于信息安全违规的人员，在正式纪律处理之前应有一个信息安全违规的确认；（二）正式的纪律处理过程应确保正确、公平、公正地对待被怀疑信息安全违规的工作人员；（三）对内部工作人员的具体纪律处理执行部门行政处罚管理规定O第七章调动管理第十二条人员调动由调入科室提出调动申请，经调出科室负责人、相关领导和人力资源部批准后，发起人员转岗流程。第十三条转岗人员在科室负责人的监督下完成工作交接和工作资料交接，包括个人办公电脑中业务资料的交接工作。第十四条调岗人员岗位变动后的系统使用权限依照相关规定进行申请。第十五条由人力资源部门负责流程抄送相关业务科室，由其协调所在科室完成对新入人员使用业务系统的调整审批工作，由人力资源部门完成具体的权限调整操作。第十六条转岗人员在完成工作交接后，如果新工作不需要使用到原工作中的业务资料，其个人办公电脑硬盘由人力资源部门负责进行数据清除,清除方式包括格式化或使用专用工具进行安全擦除。如果新工作需要使用到原工作中的业务资料，其个人办公电脑硬盘可以不进行数据清除工作。第十七条如果人员转岗限在单位范围内，人力资源部门负责为转岗人员办理办公电脑和其他办公用品的变动手续；如果是人员在机构间调动，由人力资源部门为其办理办公电脑和其他办公用品的回收手续。第十八条如果是人员在机构间调动，财务部负责转岗人员的财务欠款追缴或未报销帐目报销工作。第八章离岗管理第十九条任用变更与终止职责（-）应清晰的定义和分配工作人员任用变更或任用终止的职责。（二）变更或终止的传达应包括安全要求和法律职责，必要时还应包括任何保密协议规定的职责，并且在工作人员任用结束后持续一段时间仍然有效的任用条款和任用合同等。（三）必要时，在工作人员的合同中应包含相关职责和义务在任用终止后仍然有效的内容，如保密方面的要求。（四）内部工作人员的任用变更或终止由所在科室、人力资源部等负责处理。第二十条资产归还（一）所有的工作人员在终止任用合同或协议时，应归还其使用的所有单位资产。需要交接的信息资产包括计算机设备、工作证、纸质文件资料和存储于电子介质中的文档、数据等。转岗或离岗人员办公电脑中的数据由其所在科室决定如何处置，归还后的办公电脑操作系统盘由人力资源部门或相关科室安全管理员进行格式化。（二）当工作人员在单位工作期间，利用单位信息资产产生信息及其知识产权，除另有约定外，属于单位所有。第二十一条变更、撤销访问权限（一）所有工作人员对信息和信息处理设施的访问权限应在岗位发生变更时进行调整或在任用终止时注销或删除。（二）应注销或删除或改变访问权的内容包括物理访问授权、逻辑访问授权。必要时，在对信息和信息处理设施的访问权限进行变更或终止前需要进行风险评估。八、网络安全培训和考核管理规定第一章总则第一条为了提高单位员工网络安全意识和相关人员的安全技能，向单位工作人员宣讲网络安全管理的各项法规制度，将可能的风险降到最低，明确网络安全培训与考核管理过程与职责，特制定本规定。第二章组织职责第二条网络安全培训与考核工作由队伍建设科负责组织、筹备，须遵循相关的培训制度。第三条安全管理员负责具体落实具体的培训与考核内容、培训与考核形式、登记汇总以及相关事宜。第三章安全培训管理程序第四条安全培训主要包括安全意识培训和安全技能培训。（一）、安全意识培训会因不同的对象有所调整，建议积极参与，在某些情况下可以要求有关的第三方机构组织参加。培训的内容可以包括：»对部门工作人员进行必要的网络安全教育培训I,让其了解和掌握网络安全法律法规，加强安全意识。＞在单位组织举办一年一次的业务学习班。由专业人员进行业务培训。＞根据单位业务发展需要，对相关业务骨干人员组织精准送培,到相关业务单位进修。＞为强化在岗培训效果，单位定期组织多种形式的培训考核。（二）、安全技术培训主要是针对信息处理设备使用者或管理人员进行的，如系统安全配置，开发安全配置等IT安全技术相关内容。第五条培训类型可采用内部培训或外部培训（聘请外部专家），由专家顾问以及其他专业人员对员工进行培训I,网络安全培训应由安全管理员进行汇总登记。第六条安全培训的工作安排：（一）、安全意识培训»安全意识培训工作应当由队伍建设科负责组织和准备,在其他部门的配合下开展。＞单位工作人员应该积极参加关于网络安全方面的培训。＞新进工作人员应当在入职后3个月内参加网络安全培训。＞关键/敏感岗位的人员的变动应当开展相关的岗位培训。»对网络安全政策、制度、标准的重大调整、更新必须组织相关培训，保证所有人员及时了解、掌握变更内容。»用户在使用任何信息技术设施前（包括软件和硬件），必须接受完整的培训，特别是应当包括单位各项使用规定。（二）、安全技术培训＞队伍建设科负责组织培训工作，安全技能培训的教材、课程应当由安全管理员负责，保证所有需要参加培训的人员都能及时的参加必要的安全技能培训。＞当系统的新建、升级对用户使用产生影响时，必须事先开展必要的针对用户的培训，及时掌握最新的安全技术。第五章安全考核管理程序第七条网络安全考核至少一年进行一次全面的网络安全考核，由队伍建设科负责组织相关人员成立考核小组进行网络安全考核工作。第八条由安全管理员制定关键网络安全关键岗位考核内容，考核内容应包括安全管理制度落实情况、安全培训情况以及安全技能相关内容。第九条网络安全关键岗位考核内容应根据不同岗位进行区分。九、第三方机构安全管理规定第一章总则第一条为了加强对第三方机构的安全管理，明确定义第三方机构必须遵守的安全管理规定以及服务交付的安全要求等，特制定本文件。第二章术语定义第二条第三方机构是指所有进入本单位内部提供相关技术服务的非本单位人员（包括但不限于供应商、合作厂商、服务商）。第三条第三方机构人员分为临时来访人员和驻场外包人员。临时来访的第三方机构人员是指来本单位时间周期较短的人员，包括进行业务交流的人员，临时来访参观的人员等；驻场外包的第三方机构人员是指来访时间较长的第三方机构技术服务人员，包括项目建设人员，外来信息系统值守人员，外来信息系统维护人员等。第三章组织职责第四条办公室及相关业务科室负具有对第三方机构及人员的管理职责，采用“谁接洽、谁负责，谁主管、谁负责”的原则。第五章驻场外包人员安全管理要求第五条驻场工作的外包人员应遵守单位各项管理制度和外包合同中约定的各种条款。第六条驻场工作的外包人员应与单位签署保密协议。第七条对于单位驻场外包工作人员的各种资质，应由相应项目的单位方项目经理进行审核，并留存复印件进行统一保管。第八条聘请外包人员的单位或部门应对驻场工作的外包人员进行单位相关安全制度等方面的培训，以提高外包人员的安全意识。第九条对于长期驻场工作的外包人员，聘请外包人员的单位或部门应定期进行安全意识和单位安全制度执行情况方面的考核。对于考核不合格者,应要求委托外包单位调换工作人员。第十条驻场外包工作人员由相应项目的单位项目经理负责安排工位、资产领用、申请相应账号及权限、申请网络访问配置信息。第条驻场为外包人员申请账号和权限时，应符合最小权限及实名制原则。第十二条驻场外包人员在驻场办公时，必须佩戴能够标识外包人员身份的正式或临时工牌，以便安全巡查时能够对各种人员快速识别。第十三条驻场外包人员在访问机房等受限访问的区域时，应遵守单位《XX市数据资源管理局中心机房管理办法》、《（XX市民政局）机房管理办法》和《（XX市民政局）工作环境管理规定》的有关规定，向机房管理人员提出申请并经批准后，由单位员工全程陪同方可进入受限访问区域，驻场外包人员进入办公区域应进行登记。第十四条驻场外包人员不得利用单位的网络、服务器等资源从事未经允许的活动。不得在单位内部未授权使用网络扫描、刺探等软件。不得在未经批准的情况下利用单位办公、生产环境测试新技术、新业务。第十五条违反以上条款规定的，单位会做出调换驻场外包人员、追究民事及刑事责任等处罚措施。第六章临时来访人员安全管理要求第十六条单位临时来访人员应在前台或保安室进行来访事由、来访人、访问对象等内容的登记，并等待访问对象接待。登记时，来访人应出示身份证明材料。第十七条临时来访人员在访问单位机房等受限访问区域时，应遵守单位《XX市数据资源管理局中心机房管理办法》、《（XX市民政局）机房管理办法》的有关规定，向机房管理人员提出申请并经批准后，由单位员工全程陪同方可进入。第十八条临时来访人员自带电子设备未经授权禁止接入单位网络和信息系统。第十九条临时来访人员与驻场外包人员为同一个单位的，未经单位许可，禁止在外包人员的引领下进入单位任何区域。第七章外包服务质量考核与评价第二十条单位外包项目经理应采取日常考核和定期考核相结合的方式，对外部人员的日常考勤、工作成果、服务质量等方面进行评价。第二十一条当单位外包项目经理通过外包质量考核发现提供的外包服务有偏差时，应书面通知提供外包服务方的项目经理及时进行调整和改进。第八章外包人员离场安全要求第二十二条外包人员在外包合同到期、被单位提出调离或替换和个人原因离职等情况下应当离场。第二十三条外包人员离场时要有完整的工作交接清单及接收人签字证明材料。第二十四条外包人员离场前，要归还领用的单位资产。第二十五条外包人员离场后，聘请外包人员的单位或部门应按照单位有关流程，及时删除外包人员的账户和权限等。第二十六条外包人员需对保密协议承诺中持续生效的条款，继续履行保密义务。十、计算机及网络保密规定第一条为加强本单位计算机及网络保密工作，根据中央、省委、市委保密委员会有关规定和要求，制定本规定。第二条单位成立保密工作领导小组，负责指导、检查和督促本单位计算机及网络保密工作，单位网络安全与信息化工作领导小组协助工作。第三条要加大宣传、加强培训，不断增强单位工作人员计算机及网络安全保密意识。第四条确定单位档案室计算机为涉密计算机，由办公室具体管理，处理有关涉密信息。其他计算机（含笔记本电脑）均不得处理涉密信息。第五条单位涉密计算机只连接党政内网，严禁与公共信息网连接，实行登录身份认证，建立使用台帐。第六条单位用于政务网上公文交换计算机由办公室专人管理,有关用户名、口令及联网方式、技术要严格保密，不得对外提供。第七条涉密信息应在涉密计算机中存储和处理,禁止通过公共信息网传递。必要时，可在涉密移动存储介质中暂时存储，但处理完毕必须清除信息。除需存档和必须保留的副本外，在处理过程中产生的样品、纸张等必须销毁。第八条涉密信息存储介质由专人严格保管,不得在涉密计算机与连接公共信息网计算机之间交叉使用。使用存储介质应登记，确需外出携带需经单位保密工作领导小组批准。第九条单位人员因工作需要查阅有关涉密信息,经单位保密工作领导小组批准后，由单位专职保密员在涉密计算机上操作进行。第十条不得利用计算机在公共信息网上发布内部消息、泄露国家机密,不得制作、查阅、复制和传播有碍社会治安和不健康的信息。第十一条对单位涉密计算机及公文交换计算机系统要经常检查，发现隐患及时报告和处理。第十二条单位涉密计算机的维修、更换、报废，经单位保密工作领导小组批准后，在单位专职保密员监督下进行。第十三条计算机设备应安装防病毒工具，具有漏洞扫描和入侵防护措施，并进行实时监控，定期检测和杀毒，确保计算机安全、正常运行。第十四条单位涉密打印机专供单位接收文电和复印、打印有关涉密资料使用，由办公室专人管理和操作。第十五条单位各科室每季度自查一次计算机及网络保密情况，单位保密工作领导小组每半年对单位计算机及网络保密情况进行一次检查，并通报检查结果。十一、信息系统测试管理办法第一章总则第一条为规范单位业务支撑系统及管理支撑系统（以下统称“业务系统”）上线前的测试流程及上线后的版本升级测试流程，保障业务系统的安全、稳定运行，特制定本办法。第二条业务系统上线运行及后续补丁版本升级，都必须经过严格的系统测试，严禁未经测试的系统或补丁版本直接上线运行,系统测试通过后方可进入系统验收环节。第三条本办法用于规范新业务系统上线、常规版本升级前的测试工作,涉及的范围涵盖功能测试、性能测试、可靠性测试、可维护性测试和安全测TAo第四条业务科室组织项目相关方（项目需求部门、项目开发单位、系统使用人员、第三方测试人员）组成系统测试组，负责系统测试的各项工作（以下统称“测试组”）。第二章测试组工作职责第五条严格按软件系统测试流程完成需求申请、测试执行、总结评估等各项测试活动。第六条负责检查以下测试准入条件，满足条件后才允许启动测试:（一）项目开发单位提交测试的版本必须基线化,测试过程中不得随意更改；（二）项目开发单位提交的文档应归档管理，包括开发单位的系统测试报告、系统需求设计文档、版本描述文档、用户手册、系统安装升级手册、联机帮助、缺陷列表等；（三）项目开发单位提交的系统功能列表须与业务需求部门的原始需求一致；（四）项目开发单位提交的遗留缺陷列表中，无导致系统宕机等致命缺陷，基本业务和新增功能无严重缺陷。第七条如遇以下测试终止条件，测试组应暂停或终止测试活动：（-）版本初验测试（含基本功能验证测试和缺陷回归测试）未通过;（二）发现严重缺陷，阻塞后续大量用例无法测试；（三）项目需求出现重大变更；（四）测试人力出现较大变更。第八条负责检查以下测试出口条件，符合条件后才能结束测试：（一）用例执行覆盖率达到100%；多轮测试后缺陷数明显收敛，系统功能符合需求说明书中规定的需求;（二）系统无致命问题，经评审发现的问题总数、严重问题个数符合可接受范围；（三）上一版本承诺解决的致命、严重、紧急问题均通过回归测试;（四）系统测试报告（或验收测试报告）已通过业务系统项目组审核。第九条测试过程中如遇以下争议情况，测试组应申请召开争议评定会议，邀请相关人员（测试人员、业务需求部门、项目开发单位、系统使用人员）参加：（一）测试发现的缺陷是否符合可接受范围，是否允许测试通过；（二）回归测试未通过的缺陷是否允许暂不解决；（三）测试版本被打回时，需召开会议审议；（四）紧急情况下未符合测试准入条件的版本，是否允许测试；（五）紧急版本为缩短上线测试时间，是否允许裁剪测试流程，是否允许适当降低测试出口标准（紧急版本上线后仍需按标准流程进行补充测试，补齐测试交付件）；（六）对缺陷的认定有争议（含缺陷严重级别、缺陷承诺解决时间）；（七）对系统的功能实现及原始需求有争议；（八）变更已归档或发布的文件。第十条测试组在整个测试周期应进行严格的配置管理（一）创建独立的测试管理配置库，有配置管理员负责测试过程文档、阶段性文档的更新和发布；（二）转测试的版本、补丁和文档应在配置库上基线化，配置管理员按标准制定项目版本号；（三）各阶段的过程文件应在配置库上留痕和发布；（四）已归档或发布的文件，需通过评估会议仲裁后，才能变更。第三章新业务系统上线测试管理办法第十一条前期工作（一）测试人员应在需求分析阶段，了解原始业务需求，提出系统可维护性、可测性需求；在需求功能明确后，启动测试设计活动；（二）业务系统项目组应在启动测试设计活动前二周提交测试申请,测试组按《信息系统测试流程》要求，准备测试环境、编写测试计划,审批通过后启动测试活动；（三）若有自动化测试需求,业务系统项目组应在启动测试设计前三周提交自动化测试申请，测试组先对系统进行自动化可行性分析，再按《信息系统测试流程》要求，启动自动化用例设计工作；（四）测试组预估测试工作量，提前安排测试执行时间，应至少规划1个月时间，安排两轮系统测试、一轮回归测试。第十二条测试范围（一）新系统应重点考虑功能、性能、可靠性测试;（二）运行在不同操作系统、硬件设备上的系统，需考虑兼容性测试;（三）有大量终端客户使用的系统，需考虑系统易用性和可维护性测试。第十三条测试方法（一）新业务系统测试以黑盒测试为主;有前台界面的系统以自动化测试为主，采取手工与自动化相结合的方式；（二）新业务系统通过系统测试后，必须组织系统使用部门、业务需求部门共同完成正式的验收测试；（三）有大量终端客户使用的新系统，全面上线前还应安排B测试。在实际使用场所部署新系统，选取一批典型客户试用一段时间，试用期间客户发现的缺陷、提出的意见妥善处理和解决后方可上线。第四章常规版本升级测试管理办法第十四条前期工作（一）仅修复缺陷的补丁版本，应在启动测试活动前一周提交测试申请，安排1至2轮回归测试；（二）重大功能升级测试,业务系统项目组应在启动测试前活动前二周提交测试申请，测试组按《信息系统测试流程》要求，准备测试环境、编写测试计划;（三）重大功能升级版本及原有测试用例覆盖不全的系统，应至少规划一个月的测试设计时间，安排两轮系统测试、一轮回归测试。第十五条测试范围（一）重大功能升级测试以功能测试为主,若新增性能指标或系统架构较大变更，还需重点考虑性能、稳定性测试；（二）补丁版本升级测试以版本初验测试和回归测试为主，版本初验测试重点针对系统的基本业务进行功能测试；回归测试重点验证修复的缺陷，并对缺陷相关联的业务进行功能测试。第十六条测试方法（一）常规版本升级测试以黑盒测试为主;功能测试优先考虑自动化方式，问题回归及不适合自动化测试的系统采取手工方式；（二）拥有大量终端客户的系统，若业务功能或终端界面有较大变化,在系统测试通过后还需安排B测试。B测试期间客户发现的缺陷、提出的意见妥善处理和解决后方可上线。十二、信息安全建设管理规定第一章总则第一条为了规范信息安全管理，提高信息安全保障能力和水平，维护信息系统安全运行，保障和促进信息化建设，根据《信息安全等级保护管理办法（xx[2007]43号）》,特制定本规定。第二章适用范围第二条本规定适用于单位信息安全保护建设全生命周期，管理对象为信息安全建设过程中所有管理人员、维护人员、使用人员以及第三方服务机构。第三章组织职责第三条单位在网络安全与信息化领导小组下设立信息安全领导小组,负责信息安全管理工作的监督、检查、指导并协调各个科室之间的协同工作,支持和推动信息安全管理工作在整个单位范围内的实施。第四条信息安全管理工作小组在信息安全领导小组的指导下负责落实信息安全管理工作的监督、检查、指导信息安全管理工作。第五条安全管理员负责协调组织单位信息安全管理建设工作,包括系统定级、方案设计、等级备案、等级测评等工作。第六条单位相关科室或人员协助配合安全管理员进行信息安全建设工作。第四章系统定级第七条信息系统定级坚持自主定级、自主保护的原则。信息系统的安全管理应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。第八条信息系统的安全保护等级分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。第九条由安全管理员根据《GB/T22240-2019信息安全等级保护定级指南》中信息安全保护定级因素对系统进行定级。第十条安全管理员制订信息系统定级报告，并组织相关科室和有关安全技术专家对信息系统定级结果的合理性和正确性进行评审，形成评审意见。第十一条评审通过的定级报告报送上级主管部门进行审批，同时将相关材料报送公安机关网安部门进行备案，换取备案证明。第五章安全检查报告第十二条安全方案设计阶段的目标是根据信息系统的划分情况、信息系统的定级情况、信息系统承载业务情况，通过分析明确信息系统安全需求，设计合理的、满足信息安全要求的总体方案，并制定出安全实施计划,以指导后续的信息系统安全建设工程实施。对于已运行的信息系统，需求分析应当首先分析判断信息系统的安全保护现状与信息安全要求之间的差距。第十三条安全管理员协调相关部门或人员对信息系统的安全建设进行总体规划，制定近期和远期的安全建设工作计划。第十四条安全管理员协调相关部门或人员根据信息系统的等级划分情况，统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案。第十五条网络安全与信息化领导小组负责组织相关部门和有关安全技术专家对系统安全设计方案进行评审和论证（附录一、系统安全设计方案评审表）。第十六条根据等级测评、安全评估的结果由安全管理员协调相关人员定期调整和修订总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件。第六章系统建设第十七条产品采购和使用应按照国家相关部门要求和单位相关管理制度进行产品采购第十八条对于自行、外包软件开发以及项目工程实施过程应按照《XX市数据资源管理局软件开发管理规范》相关要求进行管理。第十九条系统建设完成后可委托公正的第三方测试单位对系统进行安全性测试，并出具安全性测试报告；根据设计方案或合同要求等制订测试验收方案，在测试验收过程中应详细记录测试验收结果，对不符合信息安全要求的及时进行整改，并形成测试验收报告。第二十条安全管理员负责对第三方测试单位进行管理，并按照《(XX市民政局)第三方机构安全管理规定》对第三方人员行为准则进行严格管理。第二十一条安全管理员组织相关部门和相关人员对系统测试验收报告进行审定，并签字确认《附录二、系统测试验收报告评审表》。第七章系统备案第二十二条根据XX2007(43)号文要求，已运行的第二级以上信息系统，应当在信息安全保护等级确定后30日内，由安全管理员到所在地区的市级以上公安机关办理备案手续。第二十三条新建第二级以上信息系统，应当在投入运行后30日内，由安全管理员到所在地区的市级以上公安机关办理备案手续。第二十四条办理信息系统安全保护等级备案手续时，应当填写《信息系统安全等级保护备案表》，第三级以上信息系统应当同时提供以下材料:系统拓扑结构及说明系统安全组织机构和管理制度；系统安全保护设施设计实施方案或者改建实施方案；系统使用的信息安全产品清单及其认证、销售许可证明；测评后符合系统安全保护等级的技术检测评估报告；信息系统安全保护等级专家评审意见；主管部门审核批准信息系统安全保护等级的意见。安全检查工具只能在检查设备或者被检查部门的设备上运行，并由检查人员负责操作。第八章系统测评第二十五条邀请具有等级保护测评资质证书的第三方机构对本单位系统进行等级保护测评，等级保护测评机构应具备如下条件：在中华人民共和国境内注册成立（港澳台地区除外）；由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）；在《中国网络安全等级保护网》推荐目录中能查询到，且从事相关等保测评工作两年以上，无违法记录；工作人员仅限于中国公民;法人及主要业务、技术人员无犯罪记录；使用的技术装备、设施应当符合本办法对信息安全产品的要求;对国家安全、社会秩序、公共利益不构成威胁。第二十六条安全管理员负责对测评机构等级测评过程按照单位相关规定进行管理，负责对测评人员安全保密进行要求，必要时与其签订安全保密责任书，规定应当履行的安全保密义务和承担的法律责任,并负责检查落实。第二十七条在系统运行过程中，定期进行等级测评，三级及以上系统至少每年对系统进行一次等级测评，发现不符合相应等级保护标准要求的及时整改。第二十八条在系统发生变更时及时对系统进行等级测评，发现级别发生变化的及时调整级别并进行安全改造,发现不符合相应等级保护标准要求的及时整改。第九章系统终止第二十九条信息系统被转移、终止或废弃时，由安全管理员组织系统相关管理人员提出系统终止申请（附录三、系统转移、终止或废弃申请表），由单位信息安全领导小组（“保密委”）进行审批，方可执行系统转移、终止或废弃。第三十条审批通过后由安全管理对系统所属软、硬件和介质等敏感信息按照相关规定进行处理。

附录一、系统安全设计方案评审表日期：年月日方案名称参与人员方案描述专家意见附录二、系统测试验收评审表日期： 年月日测试报告名称

评审人员交付物报告内容（须提交测试报告做为附件）:评审意见：评审人员：日期：附录三、系统转移、终止或废弃申请表日期：年月日系统名称:系统申请调整状态（转移、终止或废弃）：提出部门：提出人：转移、终止或废弃原因说明:系统所属科室意见：（签章）年月日信息安全小组领导意见：组长签字：十三、项目管理规定第一章总则第一条为提项目管理能力，保障信息系统项目建设，推动业务发展,促进信息系统项目管理工作规范化，特制定本规定。第二章适用范围第二条本规定适用范围包括项目的立项、启动、计划、实施、监控、收尾等管理过程。第三章职责与权限第三条办公室是信息系统项目的主管部门，负责信息系统项目管理工作，并参与各科室的项目建设管理。第四条各业务科室对接具体的项目，负责具体的项目各阶段工作。其主要职责包括：（一） 负责信息系统需求实施可行性分析与评估，组织项目实施方案并要求工程实施单位能正式地执行安全工程过程。（-） 负责牵头项目立项工作，负责进行项目报批或报备工作。（三）负责项目实施任务的技术组织、落实与管理工作。制定项目所建信息系统上线工作方案，部署上线投产和推广工作。负责项目监控，定期编制项目报告。（六）负责技术验收和项目相关文档的管理，报办公室存档第四章项目立项第五条项目立项阶段相关工作一般包括但不限于；（-） 需求科室经前期准备，确定需求目标和范围，编写需求说明书,明确需求的必要性、