等级保护三级信息系统制度清单

信息系统信息安全等级保护-管理部分12月14日注：以下所提供材料包含制度、文档和统计清单。目录1 安全管理制度 31.1 安全管理 31.2 制订和公布 31.3 评审和修订 32 安全管理机构 42.1 岗位职责文件 42.2 人员配置 42.3 授权和审批 42.4 沟通和合作 52.5 安全检验 53 人员安全管理 53.1 人员录用 53.2 人员离岗 63.3 人员考评 63.4 安全意识教育和培训 73.5 外部人员访问管理 74 系统建设管理 74.1 系统定级 74.2 安全方案设计 84.3 产品采购和使用 84.4 自行软件开发 84.5 外包软件开发 94.6 工程实施 94.7 测试验收 94.8 系统交付 104.9 安全服务商选择 105 系统运维管理 115.1 环境管理 115.2 资产管理 115.3 介质管理 125.4 设备管理 125.5 网络安全管理 135.6 系统安全管理 135.7 恶意代码防范管理 145.8 变更管理 145.9 备份与恢复管理 145.10 安全事件处置 155.11 应急预案管理 15安全管理制度安全管理制度《安全工作总体方针、政策性文件和安全策略文件》内容包含机构安全工作总体目标、范围、方针、标准和安全框架等。《安全管理制度》内容包含物理、网络、主机系统、数据、应用、建设和管理等层面各类管理内容。制度体系包含由总体方针、安全策略、管理制度、操作规程等组成。文档《日常管理操作操作规程》内容包含如系统维护手册和用户操作规程等制订和公布制度《制度制订和公布要求管理文档》内容包含安全管理制度制订和公布程序、格式要求及版本编号等《安全管理制度文档》内容包含文档正式公布时间，适用和公布范围，版本标识，管理层签字或单位盖章；各项制度文档格式等等；统计《管理制度评审统计》内容包含相关人员评审意见。安全管理制度收发登记统计内容包含收发经过正式、有效方式（如正式发文、领导签署和单位盖章等），公布范围要求。评审和修订制度修订过安全管理制度统计《安全管理制度评审统计（修订时）》内容包含相关人员评审意见，评审周期。《安全管理制度检验/评审统计》安全管理制度修订版本全管理制度体系评审统计内容包含相关人员评审意见，评审周期安全管理机构岗位职责文件制度《部门、岗位职责文件》内容包含安全管理机构职责，机构内各部门职责和分工，部门职责涵盖物理、网络和系统安全等各个方面；安全主管、安全管理各个方面责任人、机房管理员、系统管理员、网络管理员、安全管理员等各个岗位各个岗位职责范围清楚、明确；各个岗位人员应具备技能要求；《信息安全管理委员会职责文件》内容包含委员会职责和其最高领导岗位职责；统计《安全管理委员会或领导小组最高领导委任授权书》内容包含本单位主管领导授权签字《日常管理工作执行情况工作统计》内容包含安全管理各部门和信息安全管理委员会或领导小组日常工作执行情况统计人员配置制度《人员配置要求管理文档》内容包含应配置一些安全管理人员，包含机房管理员、系统管理员、数据库管理员、网络管理员、安全管理员等主要岗位配置专职安全管理员；对一些关键事务管理人员应配置2人或2人以上共同管理，配置人员详细要求；统计《安全管理各岗位人员信息表》内容包含机房管理员、系统管理员、数据库管理员、网络管理员、安全管理员等主要岗位人员信息；安全员要专职（不能网络管理员、系统管理员、数据库管理员等岗位）；数据库管理员和系统管理员要由不一样人担任。授权和审批制度《审批管理制度文档》内容包含审批事项、需逐层审批事项、审批部门、同意人及审批程序等，系统变更、主要操作、物理访问和系统接入等事项审批流程；定时审查、更新审批项目、审批部门、同意人和审查周期等；文档《逐层审批文档》系统变更、主要操作、物理访问和系统接入等关键活动审批统计需要有同意人签字和审批部门盖章。关键活动审批过程统计沟通和合作统计《外联单位联络列表》内容包含包含公安机关、电信企业、弟兄企业、供给商，业界教授、专业安全企业和安全组织等外联单位；说明外联单位名称、联络人、合作内容和联络方式等内容。《组织机构内部人员联络表》《组织内部机构间/信息安全职能部门内部安全工作会议文件/统计》内容包含会议内容、会议时间、参加人员和会议结果等《信息安全领导小组/安全管理委员会定时例会会议文件/统计》内容包含会议内容、会议时间、参加人员、会议结果等《安全顾问名单及安全顾问证实文件》内容包含安全顾问指导信息安全建设、参加安全规划和安全评审等统计安全检验制度《安全检验管理制度文档》内容包含定时进行全方面安全检验，检验内容、检验程序和检验周期等检验内容包含现有安全技术方法有效性、安全配置与安全策略一致性、安全管理制度执行情况等；统计《安全管理员定时实施安全检验文档或统计》内容包含包含系统日常运行、系统漏洞和数据备份等情况检验统计；系统日常运行、系统漏洞和数据备份等情况检验周期。《全方面安全检验汇报》内容包含汇报日期间隔，检验周期，检验内容、检验人员、检验数据汇总表、检验结果等描述检验内容包含现有安全技术方法有效性、安全配置与安全策略一致性、安全管理制度执行情况等；《安全检验时安全检验表》内容包含安全检验统计和结果通告统计，查看安全检验统计中统计检验程序人员安全管理人员录用制度《人员录用要求管理文档》内容包含录用人员应具备条件，如学历、学位要求，技术人员应具备专业技术水平，管理人员应具备安全管理知识等。统计《有些人员录用时对录用人身份、背景和专业资格和资质等进行审查相关文档或统计》文档或统计中有审查内容和审查结果。《人员录用时技能考评文档或统计》内容包含笔试和面试统计；统计考评内容和考评结果等。《保密协议》内容包含与技术人员签署保密协议；协议具备保密范围、保密责任、违约责任、协议使用期限和责任人签字等内容。《岗位安全协议》内容包含岗位安全责任、违约责任、协议使用期限和责任人签字等。人员离岗制度《人员离岗管理文档》内容包含人员调离手续和离岗要求等统计《对离岗人员安全处理统计》离岗人员交还身份证件、设备等登记统计；交还内容包含各种身份证件、钥匙、徽章等以及机构提供软硬件设备等。《按照离职程序办理调离手续统计》内容包含调离手续、调离流程；按照离职程序办理调离手续统计。《保密承诺文档》内容包含保密内容，期限，调离人员签字等。人员考评文档《考评文档》内容包含考评对象、考评周期；考评内容要求包含安全知识、安全技能等。关键岗位人员特殊考评内容统计《人员安全审查统计》内容包含审查人员包含各个岗位人员，对关键岗位人员特殊安全审查内容安全意识教育和培训文档《安全教育和培训计划文档》不一样岗位培训计划内容包含培训方式、培训对象、培训内容、培训时间和地点等；培训内容是否包含信息安全基础知识、岗位操作规程等。安全责任和惩戒方法管理文档文档包含详细安全责任和惩戒方法。信息安全教育及技能培训和考评管理文档包含培训周期、培训方式、培训内容和考评方式等相关内容统计《具备安全教育和培训统计》内容包含培训人员、培训内容、培训结果等描述。外部人员访问管理制度《外部人员访问管理文档》内容包含允许外部人员访问范围（区域、系统、设备、信息等内容）外部人员进入条件（对哪些主要区域访问须提出书面申请同意后方可进入）外部人员进入访问控制方法（由专员全程陪同或监督等）和外部人员离开条件等；统计《外部人员访问主要区域登记统计》统计了外部人员访问主要区域进入时间、离开时间、访问区域、访问设备或信息及陪同人等信息。《外部人员访问主要区域同意文档》内容包含外部人员访问主要区域书面申请，同意人允许访问同意签字等；系统建设管理系统定级文档《系统定级文档》信息系统定级汇报、立案表；包含明确信息系统边界和信息系统安全保护等级，确定为某个安全等级方法和理由；有相关部门同意盖章。《教授论证文档》教授对定级结果论证意见。安全方案设计文档《系统安全建设工作计划》包含系统近期安全建设计划和远期安全建设计划。《系统总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案》等配套文件内容包含主管领导同意。《系统详细设计方案》依照安全方案细化形成方案：如指导安全系统建设、安全产品采购和使用详细设计方案。《教授论证文档》内容包含相关部门和关于安全技术教授对总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件论证意见。《系统总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案》等配套文件包含配套文件修订版本或统计。产品采购和使用文档《系统使用关于信息安全产品符合国家关于要求》采购流程；安全产品；安全产品具备相关凭证。《密码产品使用情况》采购流程；安全产品；密码产品具备相关凭证。《产品采购管理文档》包含需要产品性能指标，确定产品候选范围，经过招投标等方式确定采购产品及人员行为准则等方面；统计《产品选型测试结果统计、候选产品名单审定统计或更新候选产品名单》。自行软件开发制度《软件开发管理制度》内容包含软件设计、开发、测试、验收过程控制方法和人员行为准则，明确哪些开发活动应经过授权、审批，明确软件开发相关文档管理等。《代码编写规范》包含代码编写规则等。文档《软件设计相关文档（应用软件设计程序文件、源代码文档等）、软件使用指南或操作手册和维护手册》软件设计相关文档；软件使用指南或操作手册等；专员负责文档保管。统计《对程序资源库修改、更新、公布进行授权和审批文档或统计》包含同意人签字。外包软件开发文档《需求分析说明书、软件设计说明书、软件操作手册、软件源代码文档等软件开发文档和使用指南》统计《软件源代码审查统计》包含对可能存在后门审查结果。《软件安装之前检测软件中恶意代码统计》检测工具是第三方商业产品。工程实施制度《工程实施管理制度》是否包含工程实施过程控制方法、实施参加人员行为准则等方面内容。文档《工程实施方案》包含工程时间限制、进度控制和质量控制等方面内容。统计《按照实施方案形成阶段性工程汇报》。测试验收制度《测试验收管理文档》包含系统测试验收过程控制方法、参加人员行为规范等内容。文档测试汇报系统安全性测试汇报；系统测试验收汇报。《工程测试验收方案》内容包含参加测试部门、人员、测试验收内容、现场操作过程等《测试验收统计》《系统测试验收汇报》内容包含系统测试验收过程控制方法、参加人员行为规范等。《系统安全性测试汇报》内容包含测试经过结论（假如汇报中提出了存在问题，则检验是否有针对这些问题改进汇报），是否有第三方测试机构签字或盖章。对测试验收汇报审定文档内容包含相关人员审定意见。系统交付文档《系统交付管理文档》内容包含交付过程控制方法和对交付参加人员行为限制等。统计《系统交付清单》内容包含包含所交接设备、文档、软件等；《培训统计》系统交付技术培训统计，包含培训内容、培训时间和参加人员等。系统立案文档立案统计或立案文档内容包含将系统等级相关材料报主管部门立案统计或立案文档；公安机关立案统计或证实内容包含将系统等级相关立案材料报对应公安机关立案统计或证实；系统定级相关材料适用控制统计安全服务商选择文档《与安全服务商订立安全责任协议书或保密协议等文档》对信息系统进行安全规划、设计、实施、维护、测评等服务安全服务单位；安全服务商安全资质文件；内容包含与全部安全服务商订立安全责任协议书或保密协议文档，文档中有保密范围、安全责任、违约责任、协议使用期限和责任人签字等。《与安全服务商订立服务协议》系统运维管理环境管理制度《机房安全管理制度》内容覆盖机房物理访问、物品带进、带出机房和机房环境安全等方面。文档《机房消防管理制度和消防预案》《办公环境管理方法》规范办公环境内人员行为；工作人员离开座位确保终端计算机退出登录状态；桌面上没有包含敏感信息纸档文件；工作人员调离办公立刻交还该办公室钥匙和不在办公区接待来访人员等。统计《机房基础设施维护统计》内容包含统计维护日期、维护人、维护设备、故障原因、维护结果等。《消防设施巡检统计表》资产管理制度《资产安全管理制度》内容包含明确信息资产管理责任部门、责任人等；其覆盖资产使用、借用、维护等方面。内容包含依据资产主要程度对资产进行分类和标识管理，不一样类别资产是否采取不一样管理方法。《信息分类文档》内容是否明确了信息分类标识标准和方法。统计《资产清单》介质管理制度介质管理制度介质维修或销毁流程、维修或销毁制度；内容包含在介质物理传输过程中对人员选择、打包、交付等情况进行控制；内容包含对存放介质使用过程、送出维修以及销毁等进行严格管理方法和对带出工作环境存放介质进行内容加密和监控管理方法。介质分类、标识。统计《介质管理统计》具备介质存放在安全环境（防潮、防盗、防火、防磁，专用存放空间）；内容包含对一些主要介质实施异地存放，异地存放环境是否与当地环境相同；内容包含定时对其完整性（数据是否损坏或丢失）和可用性（介质是否受到物理破坏）进行检验；介质存档、查询、借用等统计；依照介质目录清单对介质使用现实状况进行定时检验统计。设备管理制度《设备安全管理制度》对各种软硬件设备选型、采购、发放和领用以及带离机构等步骤进行申报和审批。《配套设施、软硬件维护方面管理制度》内容包含对配套设施、软硬件维护进行有效管理，包含明确维护人员责任、涉外维修和服务审批、维修过程监督控制管理等。文档《设备使用管理文档》对终端计算机、工作站、便携机、系统和网络等设备操作和使用进行管理。《关键设备（包含备份和冗余设备）操作规程》主要设备（包含备份和冗余设备）开启、停顿、加电/断电等操作手册或规程；定时对日志管理情况检验。对日志管理情况进行检验统计内容具备设备维护统计和主要设备操作日志。《申报材料和审批汇报》内容具备设备选型、采购、发放和领用以及带离机构等申请汇报。监控管理和安全管理中心制度《安全管理中心》对通信线路、主机、网络设备和应用软件运行情况，对设备状态、恶意代码、网络流量、补丁升级、安全审计等安全相关事项进行集中管理。文档《监测统计》内容包含统计监控对象、监控内容、监控异常现象处理等方面。《监测分析汇报》内容包含监测异常现象、处理方法等。网络安全管理制度《网络安全管理制度》对网络安全配置、日志保留时间、安全策略、升级与打补丁、口令更新周期、文件备份等方面作出要求，查看安全策略是否包含允许或者拒绝便携式和移动式设备网络接入。内容具备网络设备配置文件离线备份文件。文档《网络漏洞扫描汇报》漏洞扫描制度、漏洞扫描汇报。《内部网络外联授权同意书》外联对象和授权同意书。《网络设备配置文件备份文件》网络设备升级更新工作统计《网络审计日志》系统安全管理制度《系统安全管理制度》对系统安全策略、安全配置、日志管理和日常操作流程等方面作出要求。《系统安全访问控制策略说明文档》内容包含依照业务需求和系统安全分析制订系统访问控制策略，控制分配文件及服务访问权限。文档补丁测试统计和系统补丁安装操作统计《详细操作日志（包含主要日常操作、运行维护统计、参数设置和修改等内容）；内容包含主要日常操作、运行维护统计、参数设置和修改等。《定时对运行日志和审计结果进行分析统计》查看汇报是否能够统计帐户连续数次登录失败、非工作时间登录、访问受限系统或文件失败尝试、系统错误等非正常事件。《系统漏洞扫描汇报》漏洞扫描制度和漏洞扫描汇报。恶意代码防范管理制度《恶意代码防范管理文档》包含防恶意代码软件授权使用、恶意代码库升级、定时汇报等方面。《对员工恶意代码防范教育相关培训文档》统计《恶意代码检测统计》指定专员对网络和主机进行恶意代码检测统计。《恶意代码库升级统计》内容包含查看升级统计是否统计升级时间、升级版本等。《分析汇报》内容包含分析汇报是否描述恶意代码特征、修补方法等。密码管理制度《密码使用管理制度》具备密码使用管理制度变更管理制度《变更管理制度》内容覆盖变更前审批、变更过程统计、变更后通报等方面。内容包含变更控制申报、审批程序，