信息安全管理体系制度汇编(技术标)

信息安全管理体系汇编

（第一版）

网络运营中心监制

2015年3月

目录

目录

信息安全工作指导方针...................................................................................................................I

信息安全工作流程图......................................................................................................................II

信息安全工作示意图.....................................................................................................................III

信息安全管理体系框架.................................................................................................................IV

信息安全工作总体方针..................................................................................................................1

第一章总则..................................................................................................................1

第二章总体安全方针...................................................................................................1

第三章总体安全目标...................................................................................................1

第四章安全工作原则...................................................................................................1

第五章安全工作要求...................................................................................................2

第六章安全组织保障...................................................................................................3

第七章附则..................................................................................................................4

架构与安全委员会章程..................................................................................................................5

第一章总则..................................................................................................................5

第二章组织结构..........................................................................................................5

第三章架构与安全委员会...........................................................................................6

第四章信息安全实施小组...........................................................................................7

第五章例会制度..........................................................................................................9

第六章附则................................................................................................................10

附件........................................................................................................................................11

附件1：架构与安全委员会名单..................................................................................11

附件2：架构与安全委员会例会纪要..........................................................................12

信息系统安全管理制度................................................................................................................13

第一章总则................................................................................................................13

第二章信息系统安全管理.........................................................................................13

第三章数据中心机房安全管理.................................................................................14

第四章网络安全管理.................................................................................................14

第五章系统安全管理.................................................................................................15

第六章应用安全管理.................................................................................................15

第七章数据安全管理.................................................................................................15

第八章信息系统建设安全管理.................................................................................15

第九章信息系统变更安全管理.................................................................................16

第十章信息系统运维安全管理.................................................................................16

第十一章信息系统安全事件管理.................................................................................16

第十二章信息安全检查与审计管理.............................................................................17

第十三章信息系统风险评估管理.................................................................................17

第十四章信息系统安全应急预案.................................................................................17

第十五章业务连续性与灾难恢复管理.........................................................................17

第十六章信息系统安全值守巡检规范.........................................................................18

第十七章附则................................................................................................................18

信息系统日常安全管理规范........................................................................................................19

第一章总则................................................................................................................19

网络运营中心监制

目录

第二章信息系统日常管理.........................................................................................19

第三章人员安全管理.................................................................................................20

第四章第三方人员安全管理制度.............................................................................20

第五章信息资产安全管理制度.................................................................................20

第六章办公设备安全管理制度.................................................................................20

第七章桌面终端安全管理.........................................................................................21

第八章介质安全管理.................................................................................................21

第九章附则................................................................................................................21

数据中心机房管理制度................................................................................................................22

第一章总则................................................................................................................22

第二章机房出入管理.................................................................................................22

第三章机房操作管理.................................................................................................24

第四章机房设备管理.................................................................................................24

第五章附则................................................................................................................25

附件........................................................................................................................................26

附件1：机房人员、设备进出申请表..........................................................................26

附件2：数据中心维护工作登记表..............................................................................27

网络安全管理制度........................................................................................................................29

第一章总则............................................................................................................29

第二章管理职责........................................................................................................29

第三章网络架构安全.................................................................................................29

第四章网络配置安全.................................................................................................30

第五章网络运维安全.................................................................................................31

第六章附则............................................................................................................34

系统安全管理制度........................................................................................................................35

第一章总则............................................................................................................35

第二章管理职责........................................................................................................35

第三章系统配置安全.................................................................................................35

第四章系统运维安全.................................................................................................36

第五章附则............................................................................................................37

应用安全管理制度........................................................................................................................38

第一章总则............................................................................................................38

第二章身份鉴别........................................................................................................38

第三章WEB页面安全.................................................................................................39

第四章访问控制........................................................................................................39

第五章安全审计........................................................................................................39

第六章过期信息、文档处理.....................................................................................40

第七章资源控制........................................................................................................40

第八章应用容错........................................................................................................40

第九章报文完整性....................................................................................................41

第十章报文保密性....................................................................................................41

第十一章抗抵赖............................................................................................................41

第十二章编码安全........................................................................................................41

第十三章电子认证应用.................................................................................................41

网络运营中心监制

目录

第十四章附则............................................................................................................42

数据安全管理制度........................................................................................................................43

第一章总则................................................................................................................43

第二章数据分级........................................................................................................43

第三章数据传输安全.................................................................................................44

第四章数据存储安全.................................................................................................44

第五章数据变更安全.................................................................................................45

第六章数据访问安全.................................................................................................46

第七章数据备份安全.................................................................................................46

第八章数据恢复安全.................................................................................................47

第九章数据销毁安全.................................................................................................48

第十章密码和密钥安全.............................................................................................48

第十一章附则................................................................................................................50

附件........................................................................................................................................51

附件1：备份记录.........................................................................................................51

附件2：备份计划表.....................................................................................................52

附件3：备份数据可用性测试申请表..........................................................................53

附件4：备份数据可用性测试记录..............................................................................54

附件5：数据恢复申请表..............................................................................................55

业务系统建设安全管理制度........................................................................................................56

第一章总则............................................................................................................56

第二章总体安全要求.................................................................................................56

第三章业务系统研发、测试.....................................................................................56

第四章业务系统上线.................................................................................................57

第五章附则............................................................................................................58

附件........................................................................................................................................59

附件1：新业务上线申请表..........................................................................................59

信息系统变更安全管理制度........................................................................................................60

第一章总则............................................................................................................60

第二章变更分类........................................................................................................60

第三章变更管理流程.................................................................................................60

第四章附则............................................................................................................63

附件........................................................................................................................................64

附件1：变更申请表.....................................................................................................64

附件2：变更记录表.....................................................................................................65

信息系统运维安全管理制度........................................................................................................66

第一章总则............................................................................................................66

第二章日常巡检........................................................................................................66

第三章信息系统运维账号管理.................................................................................67

第四章安全监控与入侵防范管理.............................................................................69

第五章恶意代码防范.................................................................................................69

第六章附则............................................................................................................70

附件........................................................................................................................................71

附件1：信息系统运维账号申请表..............................................................................71

网络运营中心监制

目录

信息系统安全事件管理制度........................................................................................................72

第一章总则............................................................................................................72

第二章安全事件定义.................................................................................................72

第三章安全事件分级.................................................................................................76

第四章安全事件处理.................................................................................................78

第五章附则............................................................................................................79

附件........................................................................................................................................80

附件1：故障记录登记表..............................................................................................80

附件2：故障记录汇总审批表......................................................................................81

信息安全检查与审计管理制度....................................................................................................82

第一章总则............................................................................................................82

第二章安全检查与审计内容.....................................................................................82

第三章全面安全检查与审计流程.............................................................................84

第四章附则............................................................................................................86

突发业务高可用性管理制度........................................................................................................87

第一章总则................................................................................................................87

第二章管理职责........................................................................................................87

第三章技术保障........................................................................................................87

第四章突发业务高可用性管理.................................................................................88

第五章附则................................................................................................................90

附件........................................................................................................................................92

附件1：突发业务高可用性影响分析报告..................................................................92

附件2：突发业务高可用性实施计划..........................................................................93

附件3：突发业务高可用性实施计划测试报告..........................................................94

附件4：突发业务高可用性实施计划评审报告.............Error!Bookmarknotdefined.

信息系统安全应急预案................................................................................................................95

第一章总则............................................................................................................95

第二章组织和职责....................................................................................................95

第三章事件分类........................................................................................................95

第四章机房故障应急预案.........................................................................................96

第五章业务系统故障应急预案.................................................................................97

第六章应急处理保障.................................................................................................98

第七章应急处理培训及演练.....................................................................................98

第八章附则............................................................................................................98

信息系统风险评估管理规范........................................................................................................99

第一章总则................................................................................................................99

第二章风险的概念....................................................................................................99

第三章风险评估职责..............................................................................................100

第四章风险评估过程..............................................................................................100

第五章附则..............................................................................................................103

信息系统安全值守巡检规范......................................................................................................104

第一章总则..........................................................................................................104

第二章组织和职责..................................................................................................104

第三章机房安全值守..............................................................................................104

网络运营中心监制

目录

第四章办公室安全值守...........................................................................................105

第五章附则..........................................................................................................106

人员安全管理制度......................................................................................................................107

第一章总则..........................................................................................................107

第二章人员录用......................................................................................................107

第三章人员调/离岗................................................................................................108

第四章信息安全意识教育.......................................................................................108

第五章人员考核......................................................................................................108

第六章附则..........................................................................................................109

附件......................................................................................................................................110

附件1：保密协议书...................................................................................................110

附件2：培训记录单...................................................................................................115

第三方人员安全管理制度..........................................................................................................116

第一章总则..............................................................................................................116

第二章第三方人员安全管理...................................................................................116

第三章第三方人员安全操作...................................................................................116

第四章附则..............................................................................................................117

附件......................................................................................................................................118

附件1：第三方人员访问申请流程............................................................................118

附件2：第三方人员入网申请表................................................................................119

信息资产安全管理制度..............................................................................................................120

第一章总则..........................................................................................................120

第二章信息资产分类..............................................................................................120

第三章信息资产分级..............................................................................................120

第四章信息资产管理..............................................................................................121

第五章信息资产盘点..............................................................................................122

第六章附则..........................................................................................................122

附件......................................................................................................................................123

附件1：信息资产保密性赋值定义............................................................................123

附件2：信息资产完整性赋值定义............................................................................124

附件3：信息资产可用性赋值定义............................................................................125

附件4：信息资产清单...............................................................................................126

办公设备安全管理制度..............................................................................................................127

第一章总则..............................................................................................................127

第二章管理职责......................................................................................................127

第三章设备申请采购管理.......................................................................................127

第四章设备使用维护管理.......................................................................................128

第五章设备维修报废管理.......................................................................................131

第六章附则...........