信息安全管理制度汇编

信息安全管理制度汇编（试行）

XXX

2014年1月

目录

一.信息安全管理制度总纲...............................................................1

1.1总则...............................................................................1

1.2信息安全管理目标..................................................................1

13安全防范管理机制................................2

1.4信息安全管理制度.......................2

XXX信息安全领导小组工作职责及岗位设置............................................3

2.1总则...............................................................................3

2.2信息安全领导小组岗位设置..........................................................4

2.3附则...............................................................................7

附件一：岗位人员联系表.................................................................7

三.内部人员安全管理办法...............................................................8

3.1总则...............................................................................8

3.2员工入职...............................8

3.3员工高职离岗.......................................................................8

3.4员工培训...........................................................................9

3.5员工考核...........................................................................9

3.6附则..............................................................................10

附件一：XXX工作人员保密责任书.........................................................11

附件二：XXX人员离岗交接记录表.........................................................13

EP.外部人员安全管理办法..............................................................14

4.1总则....................................14

4.2外班人员出入管理..............................14

43外野人员行为规范................................15

4.4违规处罚..........................................................................16

4.5附则..............................................................................16

五办公环境安全管理办法.................................17

5.1总则..............................................................................17

5.2办公环境安全管理..............................17

5.3附则..............................................................................18

六,信息资产管理办法.............................................................18

6.1总则.............................................................................18

6.2信息资产分类....................................................................19

63信息资产分级标准.................................................20

6.4信息资产识别................................22

65附则..................................23

七存储介质管理办法...................................................................23

7.1总则.............................................................................23

7.2管理部门职责....................................................................24

73存储介质管理....................................................................24

7.4附则.............................................................................25

A.XXX政府网站管理办法..............................................................25

九信息系统定设安全管理办法..........................................................26

9.1总则.............................................................................26

9.2管理部门职责.....................................................................26

9.3信息系统建设安全................................................................26

9.3.1信息系统规划与立项................................................26

9.3.2信息系统开发与集成................................................27

9.3.3信息系统测试...............................................................28

9.3.4信息系统脸收交付及试运行...................................................28

9.4附则.............................................................................29

十.信息系统运维管理办法.............................................................29

10.1总则.............................................................................29

10.2管理部门职责..........................30

10.3信息系统维护管理.................................................30

10.4信息系统监控管理.................................................30

10.5附则.................................................31

十一.信息系统变更管理办法............................................................31

11.1总则.............................................................................31

11.2管理部门职责.................................31

11.3变更的申请............................32

11.4变更的测试、验收................................................................33

11.5变更档案的管理..................................................................33

11.6附则.............................................................................33

附件一：系统变更申请表................................................................35

附件二：用户测试报告..................................................................35

附件三：系统变更验收报告..............................................................36

十二,信息系统业务连续性管理办法......................................................37

12.1总则.............................................................................37

12.2管理都门职责...............................................37

12.3灾难备份与恢复管理..............................................................37

12.4应急预案管理...............................................38

12.5附则.............................................................................39

十三.信息安全事件管理办法............................................................39

13.1总则...............................................................................39

信息安全管理制度总纲

1.1总则

第一条为加强XXX市电子政务信息安全管理，防范信息安

全风险，保障计算机网络与信息系统安全和稳定运行，根据《中

华人民共和国计算机信息系统安全保护条例》，特制定本制度。

第二条本制度所指的信息安全管理，是指信息系统各要素

（包括：制度、人员、软件、服务器、网络、数据、终端等）在

运行、维护、开发、建设等过程中的安全管理活动。

第三条信息安全管理按照“谁主管谁负责，谁运行谁负责,

谁使用谁负责”的原则，逐级落实单位与个人信息安全责任制。

第四条本制度适用于XXX各科室，以及所有使用XXX市电

子政务网络信息资源的其他机构和个人。

1.2信息安全管理目标

第五条信息资产的可用性、完整性、保密性是信息安全管

理的总体目标。具体信息安全管理习标是：

（一）维护范围内的网络大规噗病毒爆发（病毒影响到三分

之一的网络中断）每年不超过1次；

（二）信息系统运行无故障率大于等于99%；

（三）机房设备重大故障每年不超过3次；

（四）全年不发生重大信息安全泄漏事故；

（五）全年不发生单位级存储数据丢失事故。

1.3安全防范管理机制

第六条完善安全防范管理机制是信息系统安全防范的组

织保证。XXX成立信息安全领导小组，负责开展电子政务信息系

统建设、应用和信息安全保障工作。系统安全管理科具体负责电

子政务信息系统安全日常工作的组织实施。

1.4信息安全管理制度

第十条信息安全管理制度包含如下管理办法：

（一）信息安全领导小组工作职责及岗位设置

（二）内部员工安全管理办法

（三）外部人员安全管理办法

（四）办公环境安全管理办法

（五）信息资产管理办法

（六）存储介质管理办法

（七）XXX市政府网站安全管理办法（见德政办发[2013]

8号）

（A）信息系统建设安全管理办法

（九）信息系统运维管理办法

2

（十）信息系统变更管理办法

（十一）信息系统业务连续性管理办法

（十二）信息安全事件管理办法

（十三）信息系统用户密码管理办法

（十四）计算机病毒防治管理办法

（十五）信息安全检查管理办法

（十六）信息安全责任奖惩管理办法

二.XXX信息安全领导小组工作职责及岗位

设置

2.1总则

第一条为规范XXX信息安全领导小组的日常工作秩序，明

确相应岗位职责，使工作更加有序、高效，特制定XXX信息安全

领导小组工作职责及岗位设置。

第二条XXX各个科室要熟悉信息安全领导小组的岗位设置

和职责，明确业务对口联系岗位，共同推动各项信息安全管理工

作顺利开展。

3

2.2信息安全领导小组岗位设置

第三条为了保证能够及时、高效、优质地完成信息安全领

导小组职能范围内的各项工作任务，必须设置必要的工作岗位，

并合理配备各岗位人员。

第四条根据工作职能，信息安全领导小组设置组长、安全

管理员、网络管理员、系统管理员、应用管理员、机房管理员、

设备管理员岗位。

笫五条组长职贡

组长主要全面负责单位信息安全管理工作，其工作职责包括:

（一）组织贯彻执行国家有关信息安全方针、政策和法律法

规，贯彻执行单位信息安全有关工祚部署；

（二）负责本单位信息安全工蚱的组织、实施、协调；

（三）组织拟定单位信息安全发展总体规划和年度工作计

划；

（四）协调和指导信息安全培训教育工作；

（五）监督、指导信息系统安全管理工作；建立信息反馈和

故障响应处理机制；

（六）负责本单位与监管单位在信息安全方面的沟通和协调,

建立完善信息安全管理体系。

第六条安全管理员岗位职责

安全管理员主要负责单位信息系统安全管理工作，其工作职

责包括：

（一）负责监督执行国家有关方针、政策和法律法规，及单

位信息安全制度：

（二）负责对单位信息安全的组织管理情况、岗位设置情况、

信息安全规章制度的制定和执行情况、应急计划及应急演练情况

进行内部审查，提出合理化意见和建议；

4

（三）负责组织信息安全自查'及对单位各科室的信息安全

检查工作；

（四）负责进行安全日志审计，对机房环境、网络安全、系

统研发与运行等查找薄弱环节，提出风险评估意见，制定整改措

施及方案；

（五）负责计算机病毒、黑客及恶意程序的情报调研工作，

及时发布疫情预警通报，加强互联网安全维护及管理工作；

（六）审查现有各类信息系统，在信息风险、流程优化等方

面提出改进建议；

（七）负责配合外部安全检查、测评等工作。

第七条系统管理员岗位职责

系统管理员主要负责单位系统管理工作.不得与应用管理岗

兼岗。其中系统管理工作职责包括：

（一）负责服务器的用户及系统管理，定期更换用户口令和

系统口令；

（二）负责服务器的系统安装、核心参数配置和性能调优，

数据备份管理；

（三）负责服务器的补丁分发与安装工作；

（四）负责服务器的系统安全，确定安全策略，设置安全参

数，制定应急预案。

第八条网络管理员岗位职责

网络管理员主要负责网络系统管理工作，不得与应用管理岗

兼岗。其中网络管理员工作职责包括：

（一）根据有关制度、规范、标准，负责组织单位系统网络

平台的维护、管理。

（二）负责管理网络设备用户和权限，定期更换网络设备口

令；

（三）负责网络安全，制定网络设备的安全策略，制定网络

应急预案；

5

（四）负责管理数据线路，维护网络设备，及时修复网络运

行故障；

第九条应用管理员岗位职责

应用管理员主要负责应用系统的日常维护工作，不得与网络

管理员和系统管理员兼岗。其工作职责包括：

（一）负责应用系统运行过程中突发故障的受理、诊断与维

护；

（二）负责定期检查应用系统服务器运行性能、硬盘空间、

数据备份及相关日志，定期维护应用系统的历史数据、交易日志

及文件系统；

（三）负责应用系统的技术培训、测试、上线运行及软件下

发与系统升级等工作；

（四）负责收集、分析、反馈应用系统故障；

（五）负责系统运行相关数据的提取、分析工作；

（六）负责制定应用系统安全策略和应急预案，提出信息安

全方面的技术需求；

（七）负责对突发性安全事件进行事后调查、分析，并提交

分析报告和处理意见；

（A）负责对应用系统研发公司相关人员进行现场管理、远

程技术协调与沟通工作。

第十条设备管理员岗位职责

设备管理员主要负责设备管理、维护等工作，其中设备管理

员工作职责包括：

（三）负责设备的入库、保管,发放、调剂、报废等工作；

（四）负责设备档案的建立与管理和设备的盘点工作；

（七）负责管理协调设备的安装、维护、保养及故障维修，

确保各类设备可用性；

第十一条机房管理员岗位职责

6

机房管理员负责运行监控、值班和场地监控工作。不得与应

用管理员、网络管理员、系统管理员等岗位兼岗。其工作职责包

括：

（一）负责机房各应用系统设备的日常运行情况汇总与通报

工作；

（三）负责机房环境设备的日常运行监管、定期巡检等维护

工作，记录故障并妥善处理，及时反馈处理结果；

（四）负责机房场地管理；

（五）负责对值班人员的工作进行监督指导。

2.3附则

第十五条本办法由XXX信息安全领导小组负责解释并修

订。

第十六条本办法自发布之日起施行。

附件一：岗位人员联系表

岗位人员配备

网位

姓名职务联系方式

组长张兵

安全管理员李俊升

系统管理员李广云'李吉德

网络管理员孙广华

应用管理员李夏辉

李广云、李吉德、李

设备管理员

夏辉

机房管理员路合江

7

三.内部人员安全管理办法

3.1总则

第一条为进一步规范XXX内部员工安全管理，有效防范

操作风险，确保本单位信息系统的安全运行，特制定本办法。

第二条本办法适用于XXX内部人员。

3.2员工入职

第五条人员被录用后，应立即与本单位签署安全保密协议,

即《XXX员工保密责任书》（附件一）。

第六条人员被录用后，所在部门要对其进行必要的安全培

训，使其意识到信息与网络安全所面临的威胁及利害关系，确保

其支持和遵守单位的信息安全策略。

3.3员工离职离岗

第七条员工离职离岗时，应当做好以下事项的交接：

（一）管理的所有服务器、交换机、路由器等设备的用户名

和密码口令；

（二）信息系统相关资料，包括：服务器、交换机、路由器

等设备的参数、网络拓扑图、网络布线图、网络划分、IP地址

分配等资料；

8

（三）各类设备附带的说明书,各种文字资料；

（四）与本单位有关的各种合同、上级部门的各种批文、网

络管理的各种规则条例等文字材料；

（五）离职离岗员工所持有或保管的一切记录着本单位信息

的文件、资料、图表、笔记、报告、信件、传真、磁带、磁盘、

仪器以及其他任何形式的载体。

第八条员工离职离岗时，应将工作时使用过的电脑、U盘

以及其他一切存储设备中与工作相关或与单位有利益关系的信

息、文件等内容交接给部门主管，不得在离岗离职后以任何形式

带走相关信息。

第九条员工离职离岗后，仍对其在任职期间接触、知悉的

属于XXX或者虽属于第三方但由本单位承诺或负有保密义务的信

息，承担如同任职期间一样的保密义务和不擅自使用的义务。

第十条员工离职离岗时必须做好离岗交接记录并长期保

存，具体参照《XXX工作人员离岗交接记录表》（附件二）。

3.4员工培训

第十一条应制定年度信息安全培训计划，对员工定期进行

信息安全培训，培训内容应包括：信息安全意识、网络安全技能、

信息安全职责、信息安全管理规章制度和法律法规。

第十三条对从事安全维护和管理工作的员工提供专门的安

全技术培训和认证培训。

3.5员工考核

第十四条定期对各个岗位的工作人员进行安全技能及安全

认知的考核；尤其应对关键岗位的人员进行全面、严格的安全审

9

查和技能考核。信息安全方面的考核应作为员工日常的考核项，

考核内容包括单位办法的各项信息安全管理制度、规定、规程、

岗位职责及必备的信息安全管理知识和基本要求等。

3.6附则

第十五条本办法由XXX信息安全领导小组负责解释并修

订。

第十六条本办法自发布之日起施行。

10

附件一：XXX工作人员保密责任书

本保密责任书依据国家有关保密规定签署。

（一）保密内容

保密内容主要指知悉的国家秘密、单位秘密、敏感信息和个

人隙私等。包括但不限于下列秘密事项：

1、单位的行政办公等各类工年信息；

2、单位的合同、协议、意见书、招投标文件及可行性报告、

主要会议记录；

3、单位内部软件开发设计的源代码、设计文档等情况与资

料；

4、单位信息系统的架构、拓扑、设备及配置信息；

5、涉及单位秘密的领导讲话、文件资料、函件、传真电报、

会议记录、纪要、档案、简报、规章制度、统计图表等应当保密

的事项。

（二）保密守则

1、不该说的单位秘密，绝对不说；

2、不该问的单位秘密，绝对不问；

3、不该看的单位秘密，绝对不看；

4、不该记录的单位秘密，绝对不记录；

5、不准利用工作便利条件泄漏单位秘密；

6、不准在私人交往和通信中泄漏单位秘密；

7、不准在公共场所议论单位秘密；

8、不准在非保密本上记录单，立秘密；

9、携带秘密载体（如记录单，‘立秘密的文件、资料和其它物

品）外出时，不得违反保密规定；

10、不参与不可靠、不真实,言息的传播。

（三）违约责任

11

1、泄漏单位秘密，尚未造成较大后果或经济损失，或已泄

漏单位秘密但采取补救措施，未给单位带来不良影响的，给予行

政处分和经济处罚；

2、故意或过失泄漏单位秘密，造成严重后果或重大经济损

失的；违反本保密制度规定，为他人窃取、剌探、收买或违章提

供单位秘密的；利用职权强制他人违反保密规定的；情节严重者,

按国家相关法律提起诉讼。

甲方（盖章）:乙方（盖章）:

签名：筌名：

日期：日期：

12

附件二：XXX人员离岗交接记录表

离岗人员部门岗位

离岗事由：

工作交接给：交凄内容：

资料接受人签字：

日期：

是否收回所有权限是否

领导意见：

签字：

日期：

13

四.外部人员安全管理办法

4.1总则

第一条为明确外部人员在XXX实施服务时必须遵守的信

息安全要求，规范外部人员及其陪同人员的行为与责任，特制定

本办法。

惜格式的：项目符号和福号

42第二条本办法适用在XXX实施服务的外部人员。

第三条外部人员管理由项目接口人及其科室负责。

4.2外部人员出入管理

第四条外部人员进入办公环境及中心机房时，应联系相应

的项目接口人进行协调。

第五条项目接口人负责带领外部人员进入办公环境或机

房。

第六条如外部人员需要在现场工作（以下简称驻场）超过

两周，由综合科负责与外部人员签订《外部人员驻场行为规范协

议》，并归档保存。

第七条外部人员原则上不得开通任何本单位的信息系统、

网络账号权限。如外部人员因特殊原因确需开通账号权限，需由

项目接口人代其向相应的账号权限管理部门申请。

第八条项目接口人应作为外部人员账号权限的责任人，负

责检查监督其对该账号权限的使用情况。

第九条外部人员在使用完账号权限后，项目接口人应及时

通知账号权限管理人员收回账号权限。

第十条外部人员离场时，应及时通知项目接口人，做好工

14

作的交接、说明等。

第十一条外部人员驻场后，需接受信息安全意识教育、相

关制度及外部人员行为规范等培训。对外部人员所做的培训，要

保留培训记录。

4.3外部人员行为规范

第十二条外部人员驻场期间，必须遵守XXX的各项规章制

度。

第十三条外部人员进入机房等重要场所时必须由XXX内部

员工陪同，必须填写来访登记表。

第十四条外部人员未经授权不得使用任何办公设施；外部

人员所接触到的文档资料未经许可不得复制或带离。

第十五条XXX保留对外部人员随时进行信息安全状况检查

的权利，外部人员必须给予配合和协助。

第十六条外部人员的计算机终端设备必须按照XXX要求的

方式接入单位网络。

第十七条外部人员的计算机终端设备在接入单位网络前，

必须安装本单位认可的软件、系统安全补丁和防病毒软件，及时

升级病毒库。

第十八条如外部人员发现计算机终端出现病毒，应及时断

开网络连接，并通知XXX项目接口人进行处理。

第十九条在访问互联网时，必须遵守《中华人民共和国计

算机信息系统安全保护条例》、《中华人民共和国计算机信息网络

国际联网管理暂行规定实施办法》等法律法规，严格执行安全保

密制度，并对所提供的信息负责。

第二十条未经许可，严禁在XXX市电子政务网络内使用网

络嗅探、扫描等黑客工具。

第二十一条严禁绕开任何主矶、网络设备的认证方式，严

15

禁访问未经授权的网段或网络资源。

第二十二条严禁在XXX市电子政务网络内传播病毒、蠕虫、

木马、间谍软件等恶意软件。

4.4违规处罚

第二十三条外部人员如违反本单位信息安全的相关规定，

其违规行为按照相关规定处理。

第二十四条对于违规情节特别严重的外部人员，XXX有权

要求对方根据具体情况赔偿损失。

第二十五条对于违反国家法律法规的外部人员，XXX将会

同违规人员所属单位将违规人员移交司法机关，对违规人员给本

单位造成的损失，由违规人员所属单位负责赔偿。

4.5附则

第二十六条本办法由XXX信息安全领导小组负责解释并

修讥

第二十七条本办法自发布之3起施行。

附件：《外部人员驻场行为规范协议》

16

五.办公环境安全管理办法

5.1总则

第一条为进一步规范XXX办公环境安全管理，加强计算

机及网络信息安全保密工作，特制定本规定。

第二条本规定适用于XXX办公环境的管理。

第三条工作人员要做好自身办公环境的管理工作；XXX信

息安全领导小组负责监督检查。

5.2办公环境安全管理

第四条个人工作场所及办公桌应保持整洁，重要资料注意

保密，不得随意存放；长时间离席，应将资料放入办公抽屉，不

应随意洒落在桌面上。

第五条人员离开座位应确保终端计算机退出登录状态。

第六条所有人员未经允许不得访问其他同事的电脑及资料

等。

第七条所有人员应妥善保管好自己负责的抽屉、文件柜钥

匙，文件柜应保持上锁状态，且确保钥匙已经拨出。

第八条所有会议室在使用完毕后，应将使用过的写字板上

的文字内容清除干净。

第九条在办公场所工作时，应保持适当的说话音量，不要

在办公室及公共场所大声谈论工作，以免泄露工作敏感信息。

第十条所有工作人员在下班离开办公场所前，应关闭个人

电脑等设备及电源开关，并应关闭相应的办公室窗户。

第十一条所有打印或复印的资料应及时取走以防资料被他

17

人错误取走；作废的资料不得随意乱放，应自己收回或者及时进

行粉碎、销毁处理。

5.3附则

第十二条本办法由XXX信息安全领导小组负责解释并修

订。

第十三条本办法自发布之日起施行。

六.信息资产管理办法

6,1总则

第一条本规定所称的信息资产，是指任何对XXX具有价

值的信息的存在形式或者载体，包括计算机硬件、通信设施、I

T环境、数据库、软件、文档资料、信息服务和人员等。信息资

产管理是指对信息资产进行识别、分类赋值和安全保护等工作。

第二条为加强对XXX信息资产的管理和保护，建立以信息

资产管理为基础的安全管理体系，持制定本规定。

第三条本规定适用于XXX信息资产管理。

第四条XXX各科室负责人是本科室信息资产管理的第一责

任人，负责组织本规定的贯彻落实。

18

6.2信息资产分类

第五条信息资产主要分为以下五类：

（一）数据资产，以物理或电子的方式记录的数据，如文件

资料、电子数据等。文件资料类包括公文、合同、操作单、项目

文档、记录、传真、财务报告、发展计划、应急预案、本科室产

生的日常数据，以及各类外来流入文件等；电子数据类如制度文

件、管理办法、体系文件、技术方案及报告、工作记录、表单、

配置文件、拓扑图、系统信息表、用户手册、数据库数据、操作

和统计数据、开发过程中的源代码等。

（二）软件资产，各种系统软件、应用软件（0A、业务软

件等）和工具软件（开发系统、网管软件、安全软件等），包

括操作系统、数据库应用程序、网络软件、办公应用系统、业

务系统程序、软件开发工具等。

（三）实物资产，与业务相关的设备，包括计算机（工作站

和服务器等）和网络通信设备、磁介质（磁带和磁盘等）、装

置、环境等。

（四）人员资产，承担某项与业务活动相关责任的角色和职

位：例如普通用户、系统管理员、网络管理员、第三方服务人

员等，这些人员与各类数据、软件和实物资产的操作直接相关。

19

（五）服务资产，安保（例如监控、门禁、保安等），环境

服务（例如清洁），基础保障（供水、供热、供电），设备维

护，通信服务（例如互联网接入）。

6.3信息资产分级标准

第六条信息资产的安全等级并不是取决于其经济价值的大

小，而是由信息资产的机密性、完整性和可用性三部分价值属性

决定的。

（一）保密性赋值：根据信息资产在保密性上的不同要求，

将其分为五个不同的等级，分别对应信息资产在保密性上应达成

的不同程度或者保密性缺失时对整个组织的影响。下表提供了一

种保密性赋值的参考。

赋值定义

包含组织最重要的秘密，关系未来发展的前途命运，对组织根本利益有着

5很高

决定性的影响，如果泄露会造成灾难性的损害

4高包含组织的重要秘密，其泄露会使组织的安全和利益遭受严重损害

3中等组织的一般性秘密，其泄露会使组织的安全和利益受到损害

仅能在组织内部或在组织某一部门内部公开的信息，向外扩散有可能对组

2低

织的利益造成轻微攒害

1很低可对社会公开的信息，公用的信息处理设备和系统资源等

（二）完整性赋值：根据信息资产在完整性上的不同要求，

将其分为五个不同的等级，分别对应信息资产在完整性上缺失时

对整个组织的影响。下表提供了一种完整性赋值的参考。

20

赋值定义

完整性价值非常关犍，未经?§权的修改或破坏会对组织造成重大的或无法

5很高

接受的影响，对业务冲击重大，并可能造成严重的业务中断，难以弥补

完整性价值较高，未经授权的修改或破坏会对组织造成重大影响，对业务

4高

冲击严重，较难弥补

完整性价值中等，未经授权的修改或破坏会对组织造成膨响，对业务冲击

3中等

明显，但可以弥补

完整性价值较低，未经授权的修改或破坏会对组织造成轻微影响，对业务

2低

冲击轻微，容易弥补

完整性价值非常低，未经授权的修改或破坏对组织造成的影响可以忽略，

1很低

对业务冲击可以忽略

（三）可用性赋值：根据信息资产在可用性上的不同要求，

将其分为五个不同的等级，分别对应信息资产在可用性上应达成

的不同程度。下表提供了一种可用性赋值的参考。

赋值定义

可用性价值非常高，合法使用者对信息及信息系统的可用度达到年度9

5很高

9.9%以上，或系统不允许中断

可用性价值较高，合法使用者对信息及信息系统的可用度达到每天90%

4高

以上，或系统允许中断时间小于1Omin

可用性价值中等，合法使用者对信息及信息系统的可用度在正常工作时间

3中等

达到7。%以上，或系统允许中断时间小于30min

可用性价值较低,合法使用者对信息及信息系统的可用度在正常工作时间

2低

达到25%以上，或系统允许中断时间小于60min

可用性价值可以忽略，合法赁用者对信息及信息系统的可用度在正常工作

1很低

时间低于25%

21

（四）信息资产重要性等级：资产重要性等级应依据资产在

保密性、完整性和可用性上的赋值等级综合计算得出。通常，根

据最终赋值将信息资产重要性划分为五级，级别越高表示资产越

重要，也可以根据单位的实际情况确定信息资产识别中的赋值依

据和等级。下表中的信息资产等级划分表明了不同等级的重要性

的综合描述。

等级描述

5很高非常重要，其安全属性破坏后可能对组织造成非常严重的损失

4高重要，其安全属性破坏后可能对组织造成比较严重的损失

3中等比较重要，其安全属性破坏后可能对组织造成中等程度的损失

2低不太重要，其安全属性破坏后可能对组织造成较低的损失

1很低不重要，其安全属性破坏后对组织造成导很小的损失，甚至忽略不计

6.4信息资产识别

第七条信息资产识别是指按照规定属性对各类信息资产的

辨认和区分，包括信息资产识别、分类和登记等项工作。信息资

产责任人应按规定属性对信息资产逐项分类识别。

第八条计算机系统设计、开发、测试和运行的技术文档等,

也属于计算机系统信息资产，但不按本办法进行管理，可参照已

有的相关规定、办法进行管理。

第九条在信息资产识别中，信息资产责任人应按规定要求

对所管辖的信息资产进行调查，并形成信息资产管理库（或系统）。

第十条在计算机设备采购和新系统上线后，信息资产责任

人应对新增信息资产进行识别和登记，更新信息资产管理库，并

为其指定责任人。

22

第十一条在系统变更、设备升级或废弃后，信息资产责任

人应立即更新信息资产管理库。

第十二条信息资产责任人应至少每年进行一次信息资产审

计工作，对信息资产管理库与实际情况的一致性进行审计。

第十三条各科室应根据业务流程列出信息资产清单并将每

项资产的名称，资产编号，所处位置，资产价值，资产负责人等

相关信息记录在《信息资产登记表》。

6.5附则

第十四条本办法由XXX信息安全领导小组负责解释并修

订。

第十五条本办法自发布之日起施行。

附件：《信息资产登记表》

七.存储介质管理办法

7.1总则

第一条本办法所称的存储介质，是指硬盘、软盘、U盘、

光盘、磁带、存储卡等。

第二条为进一步加强存储介质的管理，确保XXX信息的

安全，特制定本办法。

第三条本办法适用于XXX各类存储介质的管理。

23

7.2管理部门职责

第四条存储介质以科室为单位申领，由综合科统一购置、

统一发放，安全科负责使用过程的监督、管理和回收。

7.3存储介质管理

第五条存储介质的管理应遵循“统一购置、统一标识、统

一备案、跟踪管理”的原则，严格控制发放范围。

第六条存储介质的配发和使用要经科室负责人审核批准，

重要存储介质要进行编号，不得借于他人使用。

第八条新购计算机、移动存储等设备，要先进行保密标识

登记，再发放使用。

第九条在存储介质使用过程中，应当注意检查病毒、木马

等恶意代码，注意远离水源、火源，避免接触强磁物体、避免阳

光直接照射。

第十条存储介质应当用于存储工作信息，不得用于其他用

途。内、外网存储介质不得混用。存储涉密信息的介质要严格按

照保密要求管理。

第H■■一条存储介质存储涉及单位内部不宜公开信息的，应

对文件实施口令保护设置。

第十二条使用人应当定期对存储介质存储信息进行整理。

第十三条使用光盘备份的数据要登记编号，分类存放。

第十四条涉密移动存储介质的保存必须选择安全保密的场

所和部位，存放在保密设备里。

第十五条存储介质需作数据恢复的，应由本单位专业人员

进行操作；必须送外部作数据恢复的，应由科室负责人审核同意

后，到具有保密资质的单位进行数据恢复，并将废旧的存储介质

24

（硬盘、软盘、U盘、光盘、磁带,存储卡）收回，统一销毁。

第十六条存储介质在报废前，应按保密规定要求进行信息

清除处理。信息清除处理时所采取的信息清除技术、设备和措施

应符合国家保密工作部门的有关规定。存储介质报废应由各科室

负责人履行批准、清点、登记回收。

第十七条如存储介质不慎遗失，当事人应立即报本科室负

责人，及时采取有效措施，防止信息泄密。如有泄密由保密部门

按规定处理，同时进行登记备案。

第十八条工作人员离职离岗时，应将统一配发的存储介质

退还本科室负责人并做好变更记录。

7.4附则

第十九条本办法由XXX信息安全领导小组负责解释并修

订。

第二十条本办法自发布之日起施行。

八.XXX政府网站管理办法

（详见德政办发[2013]8号）

25

九.信息系统建设安全管理办法

9.1总则

第二条为进一步规范XXX信息系统安全建设管理，保障计

算机信息系统建设安全进行，特制定本办法。

第三条本办法适用于XXX信息系统的安全建设管理。

9.2管理部门职责

第四条XXX信息安全领导小组负责监督指导信息系统建

设的安全管理，各科室配合。

9.3信息系统建设安全

第五条信息安全管理应贯穿，言息系统建设过程的始终，信

息系统建设过程简要如下：

4

规划立项A4开发集成伊环境测试验收交付

9.3.1信息系统规划与立项

第六条信息系统建设项目应在规划与立项阶段同步考虑安

全问题，建设方案除满足国家相应法律法规外，还应满足XXX信

息安全管理制度的相关要求。项目技术方案应包括以下基本安全

26

内容:

（一）需求部门提出的信息安全需求；

（二）信息安全需求分析和实现；

（三）运行平台的信息安全策咯与设计。

第七条XXX信息安全领导人、组负责组织相关部门和人员

制定针对该项目的详细信息安全审查方案，并按照该审查方案对

项目技术方案进行审查并提出审查意见，未通过安全审核的项目

不得予以立项。信息安全审查方案的内容设计要基于信息系统的

安全等级。

9.3.2信息系统开发与集成

第八条系统的开发应符合软件工程规范，并依据安全需求

进行安全设计，保证安全功能的完整实现；开发的系统应具有完

整的安全扩展方案（包括本系统扩容、功能增强和与第三方系统

对接三个方面），以及应急预案。

第九条系统开发商在完成开发任务后应将开发成果及其相

关技术文档全部移交XXXo外部开发商还应与XXX签署相关知识

产权保护协议和保密协议，不得将系统采用的关键安全技术措施

和核心安全功能设计对外公开。

第十条系统的开发人员不能兼任系统管理人员或系统操作

人员，不得在程序代码中植入后门和恶意代码程序；由于系统软

件后门及木马程序等引发的安全事件，XXX将追溯相关单位及人

员的法律责任。

第十一条系统的开发、测试与修改工作不得在XXX已上线

运行的环境中进行。

第十二条对于涉密信息系统的集成建设，采购部门应考虑

选择具有国家相关部门颁发的涉密系统集成资质证书的单位或企

业，并签订严格的保密协议。

27

933信息系统测试

第十三条系统上线前，XXX信息安全领导小组负责组织相

关部门和人员对系统进行严格的安全性能测试，并形成相应的测

试报告，测试报告应包括以下内容：

（一）应对测试系统技术资料的完整程度进行检查，完整的

信息系统技术资料包括：配置数据,维护操作手册、快速故障处

理手册、系统应急预案等；

（二）应对测试系统的配置参数进行安全检查，测试系统的

配置参数必须满足安全要求；

（三）应对测试系统进行漏洞与描，存在漏洞的测试系统严

禁上线运行；

（四）应对测试系统进行进程检查、内部测试及压力评测，

检测结果要达到预期目标；应对测试系统进行安全风险评估，并

要求供应商对账号进行清理，由系统管理员对密码进行重置；

（五）测试系统应具备日志系统，其记录的系统日志将成为

事后诊断和追查的重要线索和证据；

（六）测试开发环境与实际运行环境应分离，开发人员和测

试人员应做分离，测试数据和测试结果应受到控制；处于测试阶

段的开发系统、实验系统原则上不允许上线投入运行。

9.3.4信息系统验收交付及试运行

第十四条系统验收交付时，项目接口人应根据制定的系统

交付清单对所交接的硬件、软件和文档等进行清点。

第十五条系统验收交付时，项目接口人应收回施工过程中

使用的临时账号，并及时进行处理。

第十六条系统验收交付时，由项目负责人提出验收申请，

项目接口人应根据制定的系统验收方案的要求，组织相关部门和

28

人员对系统安全性进行审定，详细记录验收结果，形成系统验收

报告，并上报XXX信息安全领导小组。

第十七条系统验收交付时，系统开发商应对本单位系统管

理人员和使用人员进行相应的技能培训。

第十八条系统上线试运行期间，项目接口人要加强对试运

行系统的安全监控，并对试运行情况进行详细记录，避免试运行

系统对其他系统造成影响；要加强对试运行系统的跟踪支持和优

化，不得降低试运行系统的安全级别。

9.4附则

第十九条本办法由XXX信息安全领导小组负责解释并修

订。

第二十条本办法自发布之日起施行。

十,信息系统运维管理办法

10.1总则

第一条为规范信息系统的运维管理工作，确保信息系统安

全、可靠运行，有效防范信息安全风险，特制定本办法。

第二条本办法适用于XXX信息系统运维管理。

29

10.2管理部门职责

第三条各科室负责本科室管理的信息系统维护和安全控制

工作。

10.3信息系统维护管理

第四条各科室必须合理配备人员，明确职责，责任到人。

第五条各科室对信息系统运行过程中的突发故障进行初步

诊断，并调度、联络相关人员执行相应的维护任务。

第六