等保信息安全管理制度

外网运行安全管理制度

(v3.0)

目录

第一部分安全管理制度..............................................................5

第一章总则...................................................5

第二章总体安全方针与安全策略...................................................5

第一节系统总体安全方针.......................................................5

第二节系统运行使用安全策略...................................................6

第三章制度管理..................................................................9

第一节管理制度............................................9

第二节制定与发布..........................................9

第三节评审和修订.............................................................9

第二部分安全管理机构.............................................................10

第一章信息安全管理相关部门职责................................10

第二章信息安全管理岗位职责要求.................................................11

第三章授权和审批...............................................................13

第四章沟通和合作...............................................................14

第五章审核和检查...............................................................14

第三部分人员安全管理制度.........................................................16

第一章人员录用.................................................................16

第二章岗位人选.................................................................16

第三章安全意识教育和培训.......................................................16

第四章人员考核...............................................17

第五章外部人员访问管理.........................................................17

第六章人员离岗.................................................................18

第四部分系统建设管理.............................................................18

第一章信息安全产品选型采购...................................18

第二章项目工程实施管理.........................................................19

第三章项目工程验收管理.........................................................21

第四章项目工程交付管理.........................................................21

第五章档案管理.................................................................22

第六章安全服务商选择管理.......................................................22

第一章环境管理.................................................................23

第二章资产管理.................................................................24

第三章介质管理.................................................................26

第四章设备管理.................................................................28

第一节设备的选型、采购、发放和领用..........................................28

第二节设备的带离............................................................29

第三节设备的维修............................................................29

第四节设备的报废..........................................30

第五节配套设施、软硬件维护却检查管理......................30

第六节设备使用管理..........................................................30

第七节设备操作规程..........................................................31

第五章监控管理和安全管理中心...................................................32

第六章网络安全管理.............................................................32

第一节接入终端应用的安全管理................................................32

第二节设备的安全管理........................................................33

第二节应用系统的接入管理....................................................35

第七章系统安全管理.............................................................35

第一节系统安全运维管理......................................................35

第二节系统权限管理..........................................................36

第八章恶意代码防范管理.........................................................38

第九章密码管理.................................................................38

第十章变更管理.................................................................39

第H章备份与恢复管理.........................................................39

第六部分应急预案管理...........................................................41

第七部分附则...................................................................41

附件..............................................................................42

附件1信息系统安全管理制度择式模板..........................................42

附件2信息系统技术岗位人员配备要求..........................................44

附件3安全管理各岗位人员信息表...............................................46

附件4信息安全外单位沟通合作联系表..........................................46

附件5聘用顾问申请审批表....................................................46

附件6安全顾问名单...........................................................47

附件7人员需求申请、面试评咕、转正评估一体表................................48

附件8信息系统内部工作人员聚密协议..........................................49

附件9信息系统关键岗位安全办议...............................................52

附件10信息安全岗位培训计划制定要求..........................................53

附件11安全培训签到表.........................................................54

附件12安全责任和惩戒措施（:式行）.............................................55

附件13外部人员访问申请审批单（含安全责任协议）..............................57

附件14《机关外网产品采购申请审批单》........................................60

附件15安全服务商保密协议样本.................................................61

附件16机房管理日志...........................................................64

附件17机房基础设施维护记录详表...............................................64

附件18第二•方人员进入机房登二己表样表...........................................65

附件19节假日值班样表.........................................................65

附件20资产清单...............................................................66

附件21资产类型代码定义表.....................................................67

附件22介质管理清单...........................................................67

附件23介质管理记斗...........................................................67

附件24介质维修记录表.........................................................68

附件25介质销毁记录表.........................................................69

附件26维修单位保密协议书....................................................70

附件27产品采购申请审批单....................................................72

附件28携带物品出门条.........................................................72

附件29设备维修记录表.........................................................73

附件30设备报废记录表.........................................................74

附件32机房直备运行状况报告...................................................81

附件33服务器、网络、数据库和应用系统运行状况报告............................82

附件34资产调查表.............................................................83

附件35网络设备配置调查表.....................................................87

附件36主机设备配置调查表.....................................................88

附件37安全设备配置调查表....................................................92

附件38技术脆弱性调查表......................................................94

附件39管理脆弱调行表.........................................................97

附件40网络外联授权申请表....................................................101

附件41网络设备配置更改记录表................................................101

附件42XX系统用户新增'变更'注销申请表.......................................102

第一部分安全管理制度

第一章总则

第1条为规范和加强机关电子政务外网(以下简称机关外网)的建设、使用、

维护和管理工作，保证应用系统稳定可靠的运行，维护社会秩序、公共

利益和国家安全，特制定本制度。

第2条本制度根据《中华人民共和国计算机信息系统安全保护条例》、《信息安

全技术信息系统安全管理要求》(GB/T20269-2006),《信息系统安全等

级保护基本要求》、《信息系统安全等级保护测评准则》，等有关法律、标

准、政策，制定本制度。

第3条本制度适用于其他业务专网。其所有连入机关外网的终端、设备和计算

机房及其使用者都必级遵守本制度。

第二章总体安全方针与安全策略

第一节系统总体安全方针

第4条总则：受委托，负责管理机关外网的运行维护，为机关提供应用系统接

入和网络互联服务。

第5条根据国家信息安全等级保护坚持自主定级、自主保护的原则，根据网络

和应用系统在国家安全、经济建设、社会生活中的重要程度，以及遭到

破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的

合法权益的危害程度等因素确定将机关外网定级为国家信息安全等级保

护第三级。

第6条机关外网的安全保护管理工作总体方针是“保持适度安全；管理与技术

并重；全方位实施，全员参与；分权制衡，最小特权；尽量采用成熟的

技术”。“预防为主”是信息安全保护管理工作的基本方针。

第7条安全策略：信息安全主管部门制定清晰的信息安全方针，并通过网络运

维部门颁发和维护信息安全方针的具体措施来表明对信息安全支持和承

诺。

第8条部信息中心根据机关外网的保护等级、安全需求和安全目标，结合机关

自身的实际情况，依据国家有关安全法规和国家标准，制定安全策略。

并根据环境、系统和威胁的变化情况，及时调整安全策略，制定新的防

护计划，实施必要的防护措施，动态保障系统的安全性。

第9条所有机关外网安全控制措施（包括技术控制措施和管理控制措施）的选

择、运营和维护均依据安全策略进行。

第10条对安全管理工作的各类管理内容建立安全管理制度和操作规程，并要求

管理人员或操作人员按照管理制度和操作规程进行日常管理操作。形成

由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体

系。

第二节系统运行使用安全策略

第11条机关外网总体安全保护策略是：

■安全工作总体方针：信息安全管理工作坚持“积极防御、综合防范”

的指导方针，技术与管理相结合，按照国家信息安全等级保护的规定,

合理定级，建立安全管理体系，重点保障基础网络和重要信息系统的

安全，全面提高网络安全防护能力。

■安全工作的范围：机关外网及其接入的终端、设备、计算机房和使用

者、应用系统等，都必须遵守本制度。

■原则：安全工作遵循“谁主管，谁负责；谁使用，谁负责”的基本原

贝ij,建立逐级安全管理责任制。

■安全框架：安全框架包括安全技术框架、安全管理体系、组织机构及

职责三部分。

安全技术框架包括：根据公安部《信息系统等级俣护技术要求》中第

三级技术要求，主要包括物理安全、网络安全、主机系统安全、应用系统

保护对象安全以及数据安全五个层次的内容。

安全技术框架

1

1

物理安全网络安全主机安全应用安全

T-a”T结构身份篓别「身份冬则

T访问技的T访问把的安全标记T安全标记

T防叁,防击，防火.T安全审计访问拉的T访问技制L|^»•布陵X|

T皿T边界无终物为查।-安全审计|可信鬲•径

T电力供应­|入侵防瑛|可佶络•枝|T安全审计

——也以防"一式套代马防护-剩余信息保护］则余体息保**1

q网华出各济护-入/防范|-］人体尢整［

代d防.jt-佶保密物

资源上制「林林.

-

软件客.

|资通较M

安全管理体系包括：（1）形成由安全策略、管理制度、操作规程等构成

的全面的信息安全管理制度体系。由安全管理职能部门定期组织相关部门和

相关人员对安全管理制度体系的合理性和适用性进行审定。（2）对安全管理

工作的各类管理内容建立安全管理制度，规范安全管理活动，约束人员行为

方式；对管理人员或操作人员执行的日常管理操作建立操作规程，规范操作

行为，防止操作失误。管理人员或操作人员要按照管理制度和操作规程进行

日常管理操作。制度和操作规程覆盖物理、网络、主机系统、数据、应用、

管理等方面。

组织机构及职责包括：机关外网信息安全管理涉及的部门包括：部信息

中心和授权负责信息系统建设和运维的单位。其具体职责详见本制度第三部

分安全管理机构。

第12条机关外网的安全保护策略由部信息中心负责制定与更新。

第13条部信息中心根据机关外网的保护等级、安全保护需求和安全目标，结合

机关自身的实际情况，依据国家有关安全法规和国家标准，受部办公厅

委托制定机关外网的安全保护实施细则和具体管理办法，并根据环境、

系统和威胁变化情况，及时调整和制定新的实施细则和具体管理办法。

第14条机关外网安全等级的定级决定了系统方案的设计、实施、安全措施、运

行维护等系统建设的各个环节。定级遵循“谁建设、谁定级”的原则。

第15条根据重要性和安全策略应在机关外网中划分为不同的安全域，针对不同

的安全域确定不同的信息安全保护等级，并进行相应的保护。

第16条机关外网等级保护从物理、支撑系统、网络、应用系统和管理制度五个

部分进行保护，并构成系统整体安全控制机制。

第17条物理部分包括：周边环境、门禁检查、防火、防水、方潮、防鼠和防雷,

防电磁泄露和干扰，弓源备份和管理，设备的标示、使用、存放和管理

等。

第18条支撑系统包括：计算机系统、操作系统、数据库系统和通信系统。

第19条网络部分包括：网络的拓扑结构、网络的布线和防护、网络设备的管理

和报警，网络攻击的监察和处理。

第20条应用系统包括：系统登录、权限划分与识别、数据备份与容灾处理，运

行管理和访问控制，密码保护机制和信息存储管理、资源控制和代码安

全。

第21条管理制度包括：组织机构和各级的职责、权限划分和责任追究制度，人

员的管理和培训、教育制度，设备的管理和引进、退出制度，环境管理

和监控，安防和巡查制度，应急响应制度和程序，规章制度的建立、更

改和废止的控制程序。

第三章制度管理

第一节制度管理

第22条对安全管理活动中的各类管理内容建立安全管理制度，以规范安全管理

活动，约束人员的行为方式。

第23条对要求管理人员或操作人员执行的日常管理操作，建立操作规程（见分

册五第四章设备管理第四节设备操作规程及管理员操作手册），以规范操

作行为，防止操作失误。

第24条形成由安全政策、安全策略、管理制度、操作规程等构成的全面的信息

安全管理制度体系。

第二节制定与发布

第25条在部信息中心的负责下，指定或授权运维、信息安全部门负责安全管理

制度的制定。

第26条用统一的格式（格式见附件1）编写安全管理制度，并进行版本控制。

第27条组织相关人员对制定的安全管理制度进行论证和审定。

第28条安全管理制度经过部信息中心签发后通过正式、有效的方式发布。

第29条安全管理制度在发布时注明发布范围，并对收发文进行登记。

第三节评审和修订

第30条部信息中心负责定期组织运维、信息安全部门对安全管理制度体系的合

理性和适用性进行审定。

第31条每年对本制度进行检查和审定，对存在不足或需要改进的安全管理制度

进行修订。

第32条当发生重大安全事故、出现新的安全漏洞以及技术基础结构发生变更时,

要对安全管理制度进行检查、审定和修订。

第33条本制度文档的相应负责部门为部信息中心，负责对明确需要修订的制度

文档的维护。

第二部分安全管理机构

第一章信息安全管理相关部门职责

第34条信息安全管理涉及的部门包括：部信息办、部信息中心、授权负责应用

系统建设和运维的业务主管司局。

第35条部信息办是部机关信息安全的归口管理部门。

第36条部信息中心是部电子政务信息系统安全保护的主要技术支撑机构。授托

负责部机关外网的运维管理。人员包括中心主管领导、安全管理员、网

络管理员、系统管理员、审计管理员、机房管理员和数据库管理员等。

第37条应用系统建设单位：是应用系统建设的受托单位，指接受业务主管司局

委托，负责业务应用系统实施的部门。

第38条应用系统运维单位：是应用系统运维的受托单位，负责应用系统运维，

包括：应用软件，数据库和操作系统的运维。

第39条部信息化工作领导小组办公室的信息安全职责

■制订机关外网信息安全保护的指导思想、方针和总体安全策略；

■协调信息安全保护管理工作与各业务部门工作的关系；

■提出部重大信息化项目的信息安全保护要求和规划建设工作；

■授权机关外网运行维护的单位；

■制订机关外网信息安全工作奖惩措施；

■配合国家信息安全主管部门进行的年度信息安全检查。

第40条部信息中心信息安全俣护的职责

■制定、发布机关外网信息安全保护管理制度；

■负责部机关外网运行维护和信息安全保护工作；

■负责重要应用系统、部网站等运行维护和信息安全保护工作。

■完成部信息办交办的其他涉及信息安全管理工作。

第41条业务主管司局信息安全保护责任

业务主管司局主管的应用系统可以委托一个独立法人单位负责运维，也可

以自己负责运维。其信息安全保护的职责是：

■监督和考核委托的运维单位执行信息安全保护管理制度情况；

■评审应用系统运维的安全策略制定，并监督安全策略的执行；

■审查运维单位的运维文档；

■响应安全事故，事故消除并发布改进措施；

■配合部信息办进行的年度信息安全检查工作。

第42条应用系统使用者信息安全保护的责任

■遵守国家信息安全呆护的相关法律、法规和标准；

■按照信息安全保护管理的要求，执行信息安全保护的有关制度和操作

流程，落实各项应用系统（客户端）安全使用的要求；

■接受部信息系统安全检查，参加部信息安全主管部门举行的教育和培

训；

■对授权使用的介质、设备、设施负责保管和维护，并接受监督检查；

第43条应用系统运维部门信息安全保护责任

业务主管司局主管的应用系统建设完成上线运行以后，可以委托一个运维

机构，负责该应用系统的日常运行维护和安全保护工作。其责任是：

■负责应用系统的安全运行管理，实施系统运行细则；

■严格执行系统用户权限管理，维护系统安全正常运行；

■认真记录系统安全事项，及时向授权部门报告安全事件；

■对进行系统操作的其他人员予以安仝监督；

■按本制度有关规定，配置相应的安全管理人员。

第二章信息安全管理岗位职责要求

第44条运维单位必须设立信息安全管理岗位。应用系统运维单位的信息安全管

理岗位包括：系统管理员和数据库管理员。部机关外网运维单位的信息

安全管理岗位包括：安全管理员、网络管理员、系统管理员、审计管理

员和机房管理员。

第45条安全管理员职责

■负责检查安全防护设施的运行状况及操作系统软、硬件的安装、升级

工作；负责网络系统安全保密设备的使用、管理；

■负责服务器的初次安全加固，以及安全措施的初始配置；

■负责安全设备和系统所产生日志的审查分析；

■负责定期进行网络漏洞扫描、病毒防治及运行风险分析，保障网络安

全运行；

■负责系统的日常安全管理工作，监视网络系统的安全运行情况，并及

时上报各种违纪、违规、违法事件；

■负责落实各种不安全环境因素防范措施，应对各种突发事件，调查违

纪、违规、违法事件并提出调查报告。

第46条网络管理员职责

■负责网络设备、服务器硬件、管理维护和运行管理，实施网络安全策

略和安全运行细则；

■负责网络设备的安装调试工作；

■负责网络系统的维护及性能优化工作；

■负责网络故障检测和排除工作；

■负责监控网络关键设备、网络端口、网络物理线路，防范黑客入侵，

及时向基础设施运维主管领导报告安全事件；

■负责对操作网络管理功能的其他人员进行安全监督；

第47条系统管理员职责

■负责安装、维护服务.器上的操作系统；

■负责服务器上病毒防护系统的升级；

■负责系统的安全运行管理，实施系统运行细则；

■严格执行系统用户权限管理，维护系统安全正常运行；

■认真记录系统安全事项，及时向上级报告安全事件；

■对进行系统操作的其他人员予以安全监督。

第48条审计管理员职责

负责对系统管理员、安全管理员等人员的操作行为进行审计跟踪分析和监

督检查，以及时发现违规行为，并定期向信息安全保护管理机构汇报相关

情况。

第49条机房管理员职责

■负责机房的物资管理和日常维护工作；

■根据应用系统运维部门的要求，严格遵守工作流程，确保日常工作的

正常进行；

■应用系统运维部门交办的其他工作。

第50条机关外网配备的信息安全岗位，根据工作需要，关键事务岗位可配备多

人共同管理，定期轮岗；也可一人身兼二个职位。但安全管理员和审计

员不能由一人身兼。

第51条各岗位人员必须严格遵守国家和我部制定的各项保密法规和有关信息安

全保护的管理制度、技术标准和规范。

第三章授权和审批

第52条机关外网安全管理需要审批的事项有：

■机关外网安全策略的制定与发布；

■制度的制定与发布；

■人员配备和培训；

■网络和系统资源的方问授权；

■产品采购；

■外部人员访问；

■与外单位合作；

■机关外网系统变更；

■系统接入机关外网或外联。

第53条由部信息中心审批的事项有：

■制度的制订与发布（由运维部门制订，部信息中心审批后发布，部信

息办备案）；

■人员配备和培训（由业务部门报送，部信息中心批准后实施）；

■网络和系统资源的访问授权（由业务部门申请，中心审批，主管部门

执行授权操作）；

■产品采购（由使用部门申请和中心审批，使用部门执行采购）；

■外部人员访问（由业务部门办理申请，部信息中心审批）；

■与外单位合作（业务部门负责）；

■系统变更（由业务部门申请、批准和实施应用系统常规系统变更，当

系统变更对系统本身和业务应用有明显影响时，需要强部信息中心审批）

■系统接入或外联（由部信息中心提出申请或组织风险评估，报部信息

办审批，由主管部门落实安全技术措施）

第54条部信息中心定期审查审批事项，及时更新需授权和审批的项目、审批部

门和审批人等信息，审查要求记录。

第四章沟通和合作

第55条加强各类信息安全管理人员之间、组织内部机构之间以及部信息中心内

部的合作与沟通，定期或不定期召开协调会议，共同协作处理信息安全

问题。

第56条部信息中心定期或不定期召集相关部门和人员召开信息安全工作会议，

协调信息安全工作的实施。

第57条部信息中心定期召开例会，对信息安全工作进行指导、决策。

第58条加强与有关部门和机构的合作与沟通，以便在发生安全事件时能够得到

及时的支持。建立外联单位联系列表，包括外联单位名称、合作内容、

联系人和联系方式等信息（见附件4）。

第59条加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通，

获取信息安全的最新发展动态，当发生紧急事件的时候能够及时得到支

持和帮助。聘请信息安全专家作为常年的安全顾问（聘用顾问申请审批

表见附件5；安全顾问名单见附件6）,指导信息安全建设，参与安全规

划和安全评审等。

第五章审核和检查

第60条机关外网信息安全检查是部信息中心以信息安全法规、标准和相关管理

制定为依据，对机关外网进行的信息安全检查。

第61条信息安全检查分以下几种方式：自查、常规检查和年度信息安全大检查

和系统变更后的自查。

第62条信息安全自查

■部信息中心对负责运行和维护管理的信息系统的安全状况、安全保护

制度及措施的落实喟况定期（每半年）进行监督桧查，发现问题及时

纠正；

■授权对其他机构运行和维护管理的信息系统的安全状况、安全保护制

度及措施的落实情况定期（每半年）进行监督检查，发现问题及时纠

正。

■接受部信息办或国家有关部门对信息系统安全工作的监督和检查。

第63条信息安全常规检查

■安全管理员负责对系统进行日常的安全检查。包括系统日常运行、用

户帐号、系统漏洞、数据备份和系统审计等情况；

■部信息中心组织相关人员定期分析、评审异常行为的审计记录，发现

可疑行为形成审计分析报告，并采取必要的应对措施（附件32-附件

33）。

第64条年度信息安全大检查

■部信息办根据国家信息安全主管部门每年发布的政府信息系统安全检

查指南，制定机关外网系统安全检查方案，组织实施做好信息系统安

全检查工作；部信息中心负责实施；

■部机关外网、应用系统、部网站作为安全检查工作的重点，接受国家

有关主管部门组织的安全抽查。

第65条年度信息安全大检查内容包括现有资产的具体情况，网络设备、主机设

备和安全设备的当前配置情况等。根据当前情况分析当前的安全状况，

了解安全技术措施的有效性、安全配置与安全策略的一致性、安全管理

制度的执行情况等。检查情况按实际填写，汇总安全检查数据，形成安

全检查报告，并对安全检查结果进行通报（附件32—附件39）。

第三部分人员安全管理

部机关外网、应用系统应设置信息安全岗位，并配备专职和兼职的人员。安

全人员包括：安全管理员、系统管理员、数据库管理员、网络管理员、审计管理

员和机房管理员等。

第一章人员录用

第1条部信息中心要根据本制度的要求，制定信息安全人员岗位和人员录用规

则。

第2条部信息中心的信息安全人员岗位和人员报部信息办备案。

第3条各岗位人员选用和配置时，要对被选用人的身份、背景、专业资格和资

质进行审查，对技术人员的技术技能进行考核。审查通过后，需签署岗

位安全协议（附件9）。

第二章岗位人选

第4条所有人员应明确其在安全系统中的职责和权限。工作、活动范围应当被

限制在完成其任务的最小范围内。

第5条机关外网的信息安全岗位人选包括：安全管理员、系统管理员、网络管

理员、审计管理员和机房管理员，必须考核其业务能力。关键的岗位人

员不得兼职。

第三章安全意识教育和培训

第6条由部信息中心负责制定培训计划，按计划对信息系统各个岗位的人员进

行安全意识教育和培训。培训形式以集中授课方式为主。

第7条通过培训I,使各个岗位人员明确自身的安全责任，知悉违反规定的惩戒

措施。对违反安全保密策略和规定的人员需要进行惩戒，惩戒内容以违

反规定的程度而定（见附件12）。

第8条定期对从事操作和维护信息系统的技术人员进行技能培训，包括：计算

机操作维护培训、应用软件操作培训I、信息系统安全培训等，保证只有

经过培训考核合格的人员才能上岗。对于安全管理人员要进行高级安全

培训，并且取得“上岗证书”后方可任职（培训相关内容见附件10、附

件11）0

第四章人员考核

第9条安全技能及安全知识考核：部信息中心负责每年对信息系统各个岗位人

员进行安全技能及安全知识的考核，对业务人员着重考核业务知识，对

技术人员着重考核技术技能。对关键岗位人员的考核难度要高于一般岗

位人员，确保其熟练掌握岗位技能及知识。

第10条安全审查：部信息中心每年对机关外网所有岗位人员进行安全审查，从

政治思想、工作表现、遵守安全规程等方面进行审查。对于考核发现有

违反安全法规行为的人员或发现不适于接触信息系统的人员要及时调离

岗位，不应让其再接触系统。

第五章外部人员访问管理

第11条向经常或一段时间内需要进入系统的外部人员（除本单位正式编制人员

和聘用人员之外的其他人员）知会本单位的相关安全保密规定，使其认

识到自身的责任和安全违规会受到的惩罚。

第12条对重要安全控制区域和保密要害部门、部位采取隔离控制措施，禁止未

经授权的外部人员接近或进入。对于出入安全控制区域的活动进行监视

和记录。

第13条外部人员访问重要区域（如机房、重要服务器或设备等），需要首先填写

《外部人员访问申请审批单》（附件13）,提交给安全管理员审批，获批

准后方可进入。

第14条对所有进入系统现场进行维修、服务、参观等的外部人员进行全程旁站

陪同。

第15条外部人员访问重要区域需要进行登记，登记内容包括进入时间、离开时

间、访问区域、访问设备或信息及陪同人等（附件18）。

第16条允许外部访问的区域、系统、设备、信息仅限于此次工作相关的内容。

第六章人员离岗

第17条对即将离岗人员，要及时终止其所有访问权限，收回各种身份证件、钥

匙、徽章以及机构为其提供的软硬件设备等。

第18条对离岗人员需要向其重申调离后的保密义务，要求调离人员在保密承诺

文档上签字，承诺相关保密义务。

第四部分系统建设管理

第一章信息安全产品选型采购

第1条由使用部门使用人提出采购申请，经使用部门领导审批，由部信息中心

授权某部门（以下称“采购部门”）进行统一采购。

第2条采购部门须保证采购的产品和程序符合国家对安全产品和密码产品采购

和使用的规定（如《信息系统安全等级保护基本要求》、《信息安全等级

保护管理办法（公通字【2007】43号文）》等），并在确定产品及型号后

向部信息中心提供产品资质证明备查。

第3条部信息中心要根据国家对安全产品和密码产品采购和使用的规定（如《信

息系统安全等级保护基本要求》、《信息安全等级保护管理办法（公通字

【2007】43号文）》等），检查采购部门提供的产品资质，验证其真实性,

对采购进行审批，对不符合安全要求的产品不予批准购买，并对审批的

情况作记录。

第4条由使用部门使用人提出采购需求，填写采购申请审批单（附件14）,明确

用途、性能和稳定性方面的要求。

第5条采购部门根据用户实际需求、产品性能和稳定性指标、厂商服务情况、

产品市场价格、性价比等方面对产品进行选型，必要时组织同类产品的

测试，选择适应需求、性价比高、稳定可靠的产品，并将选型结果（产

品品牌、型号、配置、价格）填写采购申请审批单（附件14）,对于安全

和密码产品附产品资质证明。

第6条部信息中心最终对采购事宜进行审批，完成采购申请审批单（附件14）。

第7条如遇大宗产品采购，采购部门需通过招标方式进行。

第8条产品采购财务流程须符合本单位财务部门的规定。

第9条产品到货后，采购部门负责对供货方的货物进行验收，验收时对产品型

号、数量、配置、检测证书等进行严格核对。验收要有记录，记录内容

包括产品型号、数量、配置、检测证书等。

第10条产品交付使用人前，由采购部门在资产清单上登记、在设备和介质上贴

标签后，才能交付使用人。

第二章项目工程实施管理

第11条部信息中心负责部信息办委托的网络和应用系统项目工程的实施管理工

作。

第12条部信息中心指定具体部门和建设方代表负责项目实施的管理。

第13条项目招标结束后，建设方代表应参与到工程建设的准备工作中，与承建

单位、监理单位取得联系，现场踏勘，测量，熟悉合同及招投标文件，

确保项目工程顺利开工。

第14条查看监理单位相关人员的证件，保证监理单位遵守招投标时的承诺。同

时要求同监理人员查看承建单位项目部组织机构的配置及各工种持证上

岗情况。

第15条工程开工前，建设方代表组织设计、监理、承建方相关人员进行图纸会

审及设计交底。

第16条会审前应熟悉施工图纸，并严格认真审查，认真听取设计工程师的交底,

并作好记录，发现问题应及时提出。

第17条会审中提出并要求设计工程师解答的主要问题及专业的设计是否符合各

专业设计规范的规定，是否符合现行政策、法令、法规的规定，各项功

能是否满足要求，各专业图纸之间有否矛盾之处，设计深度能否满足施

工的需要。

第18条工程实施过程中，建设方代表代表建设单位对施工现场进行安全、质量、

进度、造价的全过程管理，协调承建单位、监理单位和有关部门之间的

关系；参与各分项工程的检查，参与工序质量验收；根据工程进度计划,

制订阶段性计划，根据计划进行定期检查，确保工期，隐蔽检查及分项

分部工程验收应在相应工程完成后及时进行并做好相应工程记录；经检

查合格的，签署工程质量认可单；不合格的工序，现场下达整改通知，

未经验收或验收不合格的工程，不能进行下道工序施工。

第19条建设方代表现场解决不了或承建方不听其建议，要及对向上级领导汇报。

第20条建设方代表定期召开工程现场例会，检查上次例会议定事项的落实情况,

分析未完事项原因；检查分析工程项目进度计划完成情况，提示下一阶

段进度目标及其落实措施；检查分析工程项目质量情况，针对存在的质

量问题提出改进措施；解决需要协调的有关事项。

第21条各类工程材料、构配件、设备进场时必须具备正式的出厂合格证和材料

试验单，产品未经验证或检验不合格，一律不准用于工程。

第22条针对施工中签署联系单，建设方代表必须严格把关。联系单内容在图纸

以外且符合投标文件及合同要求；签证工程量必须要真实、准确，不得

虚假，签证内容尽量避免协商价（含单价及总价）。

第23条建设方代表督促承建方及时做好各种资料并与工程同步进行，督促承建

方及时做好各种材料或半成品试验和工程产品的检验。

第24条工程结束之后，建设方代表组织好竣工验收，办好相关手续。督促承建

方及时做好竣工资料及竣工图，做好场外工程、水电等收尾管理工作。

第25条建设方代表在实施管理活动时须坚持公平、公正、公开的原则，不接受

可能影响公正处理公务和基建事务的宴请，不得收受承建方或业务单位

的礼品、礼金或有价证券等。

第26条建设方代表工程中遇到难以解决的问题，应及时向上级领导反映。

第三章项目工程验收管理

第27条中心业务主管部门负责项目工程建设验收的具体组织工作，部信息中心

负责验收的审定。

第28条项目工程所需的设备安装、调试达到技术方案规定的指标并上线运行后,

可进行测试验收。

第29条由建设方代表、监理、承建方共同组成测试验收小组，进行工程测试验

收。

第30条建设内容完成调试后，承建方提出验收申请，由建设方代表督促承建方

提前5个工作日提交《验收规范（测试方案）》（包括测试项目、测试指

标、测试方式和测试仪器等）至建设方和监理。

第31条建设方代表对承建方提交的《验收规范（测试方案）》进行审定，《验收

规范（测试方案）》的内容包括：

■测试策略：描述测试策略。

■测试描述：包括测试环境、测试人员安排、测试方法、测试时间安

排。

■测试规定：包括环境准备、数据准备、测试用例准备。

■可交付件：测试完成后，提交测试日志、缺陷报告、测试报告。

第32条建设方代表根据合同及技术方案结合业务情况进行修改或补充，经确认

后形成的《验收规范（测试方案）》作为验收依据。

笫33条测试过程中须有建设方代表、监理、承建方人员同时参加，对测试结果

签字确认，并形成测试报告和测试结论。

第34条部信息中心组织相关部门和相关人员对系统测试验收报告进行审定，并

签字确认。经审定的测试报告和结论为验收依据。

第四章项目工程交付管理

第35条中心业务主管部门负责项目工程建设的交付工作。

第36条项目工程验收完成后，建设方代表督促承建方提供项目工程的交付清单。

第37条建设方代表检查交付清单是否与合同要求一致。

第38条交付时，技术部门对照交付清单对所交接的设备、文档、软件等进行清

点。

第39条交付完成后，技术部门须将交付情况完成《交付报告（附交付清单）》提

交部信息中心审定。

第五章档案管理

第40条中心电子档案管理部门负责项目工程电子文档的管理工作。

第41条项目工程电子文档管理部门指定专人负责管理，并对系统定级相关材料

的使用进行控制。

第六章安全服务商选择管理

第42条项目工程建设过程中，选择具有服务资质的信誉较好的厂商，要求其已

获得国家主管部门的资质认证并取得许可证书、能有效实施安全工程过

程、有成功的实施案例。

第43条对重要的项目工程建设，需在主管部门指定或特定范围内选择具有服务

资质的信誉较好的厂商，并经实践证明是安全可靠的厂商。

第44条在确定好安全服务商后，与安全服务商签订安全责任合同书或保密协议

及服务合同，保密协议样本见附件15。

第五部分系统运维管理

第一章环境管理

第一节计算机机房

第1条机房是信息安全重点券护部门。基础环境安全包括：

■配备防电磁干扰、防电磁泄漏、防静电、防水、防盗、防鼠害等设施;

■安装门禁系统、防雷系统、监视系统、消防系统、报警系统；

■设专用的供电系统，配备必要的UPS和发电机。

第2条加强进出机房人员管理。禁止未经批准的外部人员进入机房。非机房工

作人员进出机房须经主管领导批准，外来人员进出机房还须办理登记手

续，并由专人陪同。

第3条发生机房重大事故或案件，机房管理人员应立即按照预案流程报告，并

保护现场。

第4条机房安全管理应依照安全第一的原则，建立、健全严格的机房安全管理

制度，每半年一次巡检并检查制度执行情况。

第5条机房管理员负责机房的日常安全管理工作。

第6条机房管理员必须密切监视机房环境设备（如供配电、空调、温湿度控制

等设施）运行状况，每天填写机房管理日志（样表见附件16）,发现异

常情况应立即按照预案、规程进行操作（应急预案详见分册五第十二章）,

并及时上报，做好详细记录（样标见附件51）。

第7条机房管理员每半年对机房内设置的所有基础设施进行维护，保证其有效

性。

第8条机房基础设施出现故障后，机房管理员应及时维护，并填写机房基础设

施维护记录（样表见附件17）。

第9条机房安排节假日值班，值班人员应对机房进行安全巡防巡查，对关键部

位每天至少巡查一次（节假日值班样表见附件19）。

第10条机房所在的建筑物主要出入口应配备警卫人员二十四小时值班。

第11条机房要采取门禁措施，对本单位需要进入机房工作的人员进行授权，防

止非授权人员访问，对机房进出人员情况进行监控，自动记录日志。

第12条仅在必要时，才允许经过安全审查的第三方支持性服务人员进入机房，

并由本单位相关工作的指定人员进行全程旁站陪同。第三方支持性服务

人员进入机房的管理遵照“人员安全管理”制度的要求。

第13条机房应采用电子监控系统和警报系统对机房进行监视和记录。

第14条进入机房人员不得携带任何易燃、易爆、腐蚀性、强电磁、强辐射性、

流体物质等对设备正常运行构成威胁的物品。

第15条机房内严禁吸烟、严禁乱拉接电线，以防造成短路或失火。

第16条机房内的设备要分类安放和管理，机房环境要保持整洁有序。

第17条工作人员离开办公环境时，应将信息设备的显示进行锁定。

第18条第三方人员携带物品进出机房时，必须登记，登记样表详见附件18。

第二节办公环境

第19条设置有网络终端的办公环境，是应用系统环境的组成部分，在管理过程

中要防止利用终端窃取敏感信息或非法访问。工作人员离开座位将桌面

上含有敏感信息的纸件文档要求放在抽屉或文件柜内。

第20条工作人员离开座位，计算机终端要求退出登录状态、采用屏幕保护口令

保护或关机。

第21条工作人员下班后，要求关闭计算机终端。

第22条存放敏感文件或信息载体的文件柜要求上锁或设置密码。

第23条工作人员调离部门或更换办公室时，要求立即交还办公室钥匙。

第24条设立独立的会客接待室，不在办公环境接待来访人员。

第二章资产管理

第25条依据资产的重要程度对资产进行分类和标识管理（见附件21）,不同类

别的资产采取不同的管理措施。

第26条资产包括以下内容：

■信息资产：应用数据、系统数据、安全数据等数据库和数据文档、系

统文件、用户手册、培训资料、操作和支持程序、持续性计划、备用

系统安排、存档信息；

■软件资产：应用软外、系统软件、开发工具和实用程序；

■有形资产：计算机终端设备（处理器、监视器、调制解调器等），通信

设备（路由器、传真机等），磁媒体（磁带、软盘等），其他技术装备（电

源，空调设备），家具和机房；

■应用业务相关资产：由应用系统控制的或与应用系统密切相关的各类

资产，由于应用系统或信息的泄露或破