《信息安全管理制度参考模板.doc》由会员分享,可在线阅读,更多相关《信息安全管理制度参考模板.doc(66页珍藏版)》请在三一办公上搜索。
1、信息安全管理制度参考模板福建省网络信息安全协调小组办公室二O一二年十一月一、XXX厅(局)国际互联网使用管理办法2矚慫润厲钐瘗睞枥庑赖。二、XXX厅(局)内网安全管理制度4聞創沟燴鐺險爱氇谴净。三、XXX厅(局)信息安全组织机构管理制度8残骛楼諍锩瀨濟溆塹籟。四、XXX厅(局)信息安全事件管理办法21酽锕极額閉镇桧猪訣锥。五、XXX厅(局)信息系统信息发布制度24彈贸摄尔霁毙攬砖卤庑。六、XXX厅(局)机房安全管理制度26謀荞抟箧飆鐸怼类蒋薔。七、XXX厅(局)网络安全管理制度31厦礴恳蹒骈時盡继價骚。八、XXX厅(局)信息系统运行维护管理制度33茕桢广鳓鯡选块网羈泪。九、XXX厅(局)信息系
2、统用户管理制度38鹅娅尽損鹌惨歷茏鴛賴。十、XXX厅(局)信息资产和设备管理制度45籟丛妈羥为贍偾蛏练淨。十一、XXX厅(局)信息系统安全审计管理制度52預頌圣鉉儐歲龈讶骅籴。十二、XXX厅(局)数据存储介质管理制度57渗釤呛俨匀谔鱉调硯錦。十三、XXX厅(局)软件开发项目管理制度58铙誅卧泻噦圣骋贶頂廡。十四、XXX厅(局)信息系统建设管理制度61擁締凤袜备訊顎轮烂蔷。十五、XXX厅(局)信息系统应急预案68贓熱俣阃歲匱阊邺镓騷。十七、XXX厅(局)信息系统变更管理制度71坛摶乡囂忏蒌鍥铃氈淚。十八、XXX厅(局)技术测评制度72蜡變黲癟報伥铉锚鈰赘。信息安全管理制度参考模板编制说明73買鲷
3、鴯譖昙膚遙闫撷凄。一、XXX厅(局)国际互联网使用管理办法XXX厅(局)国际互联网使用管理办法第一条 为规范党政机关国际互联网(以下简称:外网)的使用和管理,根据国家有关法律法规的规定,结合本单位实际,制定本制度。綾镝鯛駕櫬鹕踪韦辚糴。第二条 外网的开通和使用,实际方便工作和保障安全相结合的原则。第三条 XX部门是外网管理工作的主要责任部门,负责外网的网络管理和维护保障工作,以及网站日常工作的管理。XXX部门负责外网网站发布信息的审核、舆论导向的指引。XXX部门负责外网上网指引、登记备案和有关法律法规的宣传教育。驅踬髏彦浃绥譎饴憂锦。第四条 特殊工作岗位实行定岗管理,特殊工作岗位可开通外网。其
4、他工作岗位需要开通外网的,实行配额管理。猫虿驢绘燈鮒诛髅貺庑。第五条 申请开通外网的程序是:填写“开通外网申请表”,经部门领导同意后,报XX部门提出审核意见,审核通过的,进行登记备案后,由XX部门办理开通事宜。锹籁饗迳琐筆襖鸥娅薔。第六条 超出配额的,申请部门应提出撤销原使用人员名单,否则,申请不予受理。被停止使用外网人员的上网设备由XX部门负责拆除。構氽頑黉碩饨荠龈话骛。第七条 接入互联网的电脑应与内网物理隔离,严禁在外网计算机上处理涉密文件和敏感的工作信息。第八条 在外网计算机上使用的移动存储介质禁止在内网和涉密网中使用,杜绝发生U盘交叉使用(混用)的现象。輒峄陽檉簖疖網儂號泶。第九条 上
5、网人员要自觉接受身份认证和IP绑定技术对个人上网活动的安全监督检查,严禁擅自改动单位分配的IP 地址。尧侧閆繭絳闕绚勵蜆贅。第十条 及时对外网计算机操作系统补丁进行更新。第十一条 上网人员要提高自身的恶意代码防范意识,在接收文件或邮件之前,必须先进行恶意代码检查,或利用杀毒软件进行检查。识饒鎂錕缢灩筧嚌俨淒。第十二条 上网人员应自觉学习国家有关的法律法规,严禁在外网计算机上使用存有涉密信息的优盘、移动硬盘等移动存储介质。凍鈹鋨劳臘锴痫婦胫籴。第十三条 严禁在互联网上浏览反动、淫秽等国家明文禁止的信息。违反规定者,按国家有关法规和相关纪律处分规定追究责任。恥諤銪灭萦欢煬鞏鹜錦。第十四条 本制度由
6、XXXX负责解释。第十五条 本制度自发布之日起生效执行。附件:开通外网申请表开通外网申请表申请人姓名所在部门申请原因:部门领导意见:负责人(签章):XX部门审核意见: 负责人(签章):外网接入安全管理承诺1、自觉遵守国家计算机信息网络安全管理的有关法律和行政法规。2、自觉遵守我单位国际互联网使用管理制度3、所申请的外网仅供本人使用4、申请人确认上述承诺,如有违反愿接受相应处罚。 申请人签字: 年 月 日二、XXX厅(局)内网安全管理制度XXX厅(局)内网安全管理制度第一章 总 则第一条 为加强内部计算机网络(即党政机关内部计算机网络,以下简称内网,网内的计算机以下统称为内网计算机,使用人员以下
7、统称为内网用户)的使用和管理,保障内网的安全稳定运行,根据国家法律、法规和相关规定,结合本单位实际,制定本制度。鯊腎鑰诎褳鉀沩懼統庫。 第二条 本制度规范的内容包括:网络管理、终端管理、用户管理、介质管理和安全事件报告。第三条 XX部门是内网管理工作的主要责任部门,负责内网的网络管理和维护保障工作。第二章 网络管理 第四条 内网必须与国际互联网实行物理隔离。 第五条 内网进行分级、分层、分域管理,对内网信息系统及相应的局域网(业务专网)划分为独立可管理和控制的安全域。不同的安全域应采取相应的安全策略和保护手段。硕癘鄴颃诌攆檸攜驤蔹。第六条 建设内网安全与应用支撑平台,实行内网用户、资源的统一注
8、册管理,并为单位信息系统的安全和安全域防护提供身份鉴别、授权管理、边界防护等公共安全技术手段。阌擻輳嬪諫迁择楨秘騖。第七条 加强对内网信息上网前的保密审查和对已上网信息的保密检查,防止涉及国家秘密的信息上网。第八条 按国家相关要求定期开展信息安全等级保护和风险评估工作,排除信息系统安全隐患。对于集中处理工作秘密的信息系统可以参照秘密级信息系统的分级保护相关要求实施安全防护。氬嚕躑竄贸恳彈瀘颔澩。第九条 内网应配置独立的交换机,内网综合布线须满足涉及国家秘密的信息系统分级保护技术要求中的相关要求。釷鹆資贏車贖孙滅獅赘。第十条 内网信息系统利用公网(PSTN、ISDN、ADSL、DDN、X.25、
9、帧中继、ATM、SDH等)进行远程传输时,必须使用VPN技术和IP密码机实行加密处理。怂阐譜鯪迳導嘯畫長凉。第十一条 内网因工作需要与其他网络进行连接,连接方式和设备必须满足国家保密部门的要求。第十二条 内外网因工作需要进行数据交换时,必须采用符合国家保密部门要求的方式(如:刻录光盘)或设备(如:保密部门认可的安全移动存储介质管理系统)。谚辞調担鈧谄动禪泻類。第十三条 通过部署统一的补丁升级系统、防病毒系统、漏洞扫描系统、网页防篡改系统、存储备份系统、容灾系统,建立与应用相适应的安全策略,全面加强主机和应用系统安全。嘰觐詿缧铴嗫偽純铪锩。第十四条 建立监控、备份恢复、应急处理、安全审计、安全事
10、件报告等工作制度。技术部门通过监控机房、网络、主机、应用、数据等运行状态,主动发现安全隐患,及时采取相应措施,尽快恢复受影响或被中断的应用服务。熒绐譏钲鏌觶鷹緇機库。第三章 终端管理第十五条 内网计算机必须安装违规上互联网监控软件。第十六条 内网计算机应采用“双布线双用户终端”或“双布线单用户终端”的隔离卡物理隔离解决方案。第十七条 严禁在内网计算机上使用无线网卡、无线键盘、无线鼠标、蓝牙等一切无线设备。第十八条 严禁在内网发布涉密信息,内网计算机不得存储、处理、传输国家秘密信息,非涉密移动存储介质不得存储国家秘密信息。鶼渍螻偉阅劍鲰腎邏蘞。第十九条 严禁在内网计算机上连接手机、相机、USB存
11、储介质等一切非授权的可存储或连接其他网络的外置设备。纣忧蔣氳頑莶驅藥悯骛。第二十条 内网计算机启用屏幕保护程序并设置恢复密码,屏幕保护的闲置时间设置为10分钟以内。 第二十一条 内网计算机必须保证密码安全。内网计算机和应用系统密码需定期修改,密码长度不少于8位,并由字母、数字和特殊字符混合组成。颖刍莖蛺饽亿顿裊赔泷。第二十二条 及时对内网计算机操作系统补丁和防病毒软件病毒库进行更新,定期对计算机进行全盘扫描、杀毒。濫驂膽閉驟羥闈詔寢賻。第四章 用户管理第二十三条 内网用户应定期接受保密教育和培训,建立完善的人员安全监管制度。 第二十四条 对内网用户进入网络的行为实行安全准入管理制度。安全准入行
12、为管理包括便携式计算机、台式计算机、移动存储介质、打印机等设备的注册,外来软件的安装等。銚銻縵哜鳗鸿锓謎諏涼。 第二十五条 内网用户不得私自安装与工作无关的软件,如需安装非工作需要的软件必须向xx部门申请。 第二十六条 内网用户不得擅自更改内网计算机系统设置,如计算机名、IP地址、用户名等。第二十七条 内网用户不得通过拨号、无线网卡等方式连接国际互联网。第二十八条 定期组织对内网信息系统的安全保密检测和检查,加强对内网、保密技术知识的教育和培训。第五章 介质管理第二十九条 内网计算机必须使用部门认可的内网专用移动存储介质。第三十条 指定专人负责安全移动存储介质管理系统的保管、发放、登记管理等,
13、建立介质资产清单,落实安全责任制度,明确责任主体。挤貼綬电麥结鈺贖哓类。第三十一条 内网计算机及安全移动存储介质改变用途或报废之前,须由技术人员使用专用数据销毁工具将硬盘或移动存储介质中的数据进行彻底清除, 以保护信息安全。赔荊紳谘侖驟辽輩袜錈。第三十二条 内网安全移动存储介质的维修、报废,先报主管领导审批, 由专人负责登记备案后,再进行维修、报废处理。塤礙籟馐决穩賽釙冊庫。第六章 安全事件报告第三十三条 内网用户发现安全事件已经发生或可能发生时,应立即采取补救措施并及时报告XX部门。第三十四条 XX部门接到报告后,应当立即做出处理,并及时向上级领导部门报告。第三十五条 内网用户对本人的行为负
14、责;各部门负责人负有管理、监督本部门人员遵守本办法的责任。第三十六条 违反本制度规定的,由管理部门或管理人员及时报告XX,XX根据违规情况按有关法规追究责任。裊樣祕廬廂颤谚鍘羋蔺。第七章 附 则第三十七条 本制度由XXXX负责解释。第三十八条 本制度自发布之日起生效执行。三、XXX厅(局)信息安全组织机构管理制度XXX厅(局)信息安全组织机构管理制度第一章 总 则第一条 为加强信息安全管理,明确信息安全责任,保障信息化建设的稳步发展,特制定本制度。第二章 机构设置第二条 由单位主管信息化工作的领导牵头,组织与信息安全相关的各部门负责人,成立信息安全领导机构,统筹管理信息安全相关工作。仓嫗盤紲嘱
15、珑詁鍬齊驁。第三条 信息安全领导机构下设政府信息安全检查工作、互联网信息安全检查工作、内网信息安全检查工作、信息安全风险评估工作等专项工作小组,分别负责信息安全各领域相关工作。绽萬璉轆娛閬蛏鬮绾瀧。第四条 成立信息安全领导机构,完成以下岗位和成员的设置。信息安全领导机构:组长、副组长、成员。第五条 成立政府信息安全检查工作小组,完成以下岗位和成员的设置。政府信息安全检查工作小组:组长、副组长、成员。骁顾燁鶚巯瀆蕪領鲡赙。第六条 成立互联网信息安全检查工作小组,完成以下岗位和成员的设置。 互联网信息安全检查工作小组:组长、副组长、成员。瑣钋濺暧惲锟缟馭篩凉。第七条 成立内网信息安全检查工作小组,
16、完成以下岗位和成员的设置 内网信息安全检查工作小组:组长、副组长、成员。鎦诗涇艳损楼紲鯗餳類。第八条 成立信息安全应急响应工作小组,完成以下岗位和成员的设置。 信息安全应急响应工作小组:组长、副组长、成员。栉缏歐锄棗鈕种鵑瑶锬。第九条 成立信息系统安全等级(分级)保护工作小组,并完成以下岗位和成员的设置。信息系统安全等级(分级)保护工作小组:组长、副组长、成员。辔烨棟剛殓攬瑤丽阄应。第十条 成立信息安全风险评估工作小组,完成以下岗位和成员的设置。 信息安全风险评估工作小组:组长、副组长、成员。峴扬斕滾澗辐滠兴渙藺。第三章 工作职责第十一条 信息安全领导机构工作职责。信息安全领导机构负责领导安全
17、工作的规划、建设和管理,检查指导各下属工作小组信息安全工作,协调处理信息安全工作中产生的重大问题,建设和完善信息安全组织体系。詩叁撻訥烬忧毀厉鋨骜。第十二条 政府信息安全检查工作小组工作职责。政府信息安全检查工作小组人负责检查信息安全制度落实情况、安全防范措施落实情况、安全防范措施落实情况、应急响应机制建设情况、责任追究情况、安全隐患排查及整改情况、安全形势、安全风险状况等。则鯤愜韋瘓賈晖园栋泷。第十三条 互联网信息安全检查工作小组工作职责。互联网信息安全检查工作小组负责互联网信息安全检查工作部署、制定检查工作计划和检查方案,监控互联网信息系统安全状况,定期汇总分析并提出安全分析报告。胀鏝彈奥
18、秘孫戶孪钇賻。第十四条 内网信息安全检查工作小组工作职责。内网信息安全检查工作小组负责安排内网信息安全检查工作、制定检查工作计划和检查方案、对检查工作进行检查部署,监控内网信息系统安全状况,定期汇总分析并提出安全分析报告。鳃躋峽祷紉诵帮废掃減。第十五条 信息系统安全等级(分级)保护工作小组工作职责。信息系统安全等级(分级)保护工作小组负责制定详细的信息系统安全等级(分级)保护工作计划、采购和使用相应等级的信息安全产品、建设安全设施、落实安全技术措施、完成系统整改等。稟虛嬪赈维哜妝扩踴粜。第十六条 信息安全应急响应工作小组工作职责。信息安全应急响应工作小组负责应急预案的制定、演练、落实,技术队伍
19、的建设,安全事件监控与处理。第十七条 信息安全风险评估工作小组工作职责。信息安全风险评估工作小组负责信息系统的风险评估实施过程中的组织安排及各项相关工作。第五章 附 则第十八条 本制度由XXXX负责解释第十九条 本制度自发布之日起生效执行附件:1.信息安全检查工作责任书 2.互联网信息安全检查工作责任书 3.内网信息安全检查工作责任书 4.信息系统安全等级(分级)保护工作责任书5.信息安全风险评估工作责任书6.信息安全应急响应工作责任书7.安全管理员职责说明书8.系统管理员职责说明书9.网络管理员职责说明书10.机房管理职责说明书11.安全审计员职责说明书12信息审查员职责说明书附件1信息安全
20、检查工作责任书为了进一步落实我单位的网络安全与信息安全管理责任,确保网络安全与信息安全,做好信息系统的安全检查工作,特制定本责任书。陽簍埡鲑罷規呜旧岿錟。一、总体目标按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,切实落实信息安全检查工作责任制,及时发现信息系统存在的各种安全隐患,并尽快修补,确保信息系统安全可靠运行,确保不发生重大信息安全责任事故。沩氣嘮戇苌鑿鑿槠谔應。二、责任要求1、统筹安排信息安全检查工作,组织制定检查工作计划和检查方案,对检查工作进行检查部署,保证检查工作顺利进行,做到突出重点,明确责任,注重实效,保证质量。对检查工作组织领导不力,有关要求不落实的,要予以通报批
21、评。钡嵐縣緱虜荣产涛團蔺。2、信息安全检查过程中,要及时通报发现的问题并提出整改建议。3、信息安全检查过程中应严格遵守检查工作纪律,周密制定应急预案,控制安全风险,加强保密措施,保证信息系统的安全正常运行。懨俠劑鈍触乐鹇烬觶騮。4.信息安全检查过程中,检查责任人必须对检查结果负责,未能及时发现问题或漏洞导致安全事故的,要承担相应的责任。謾饱兗争詣繚鮐癞别瀘。三、责任追究如信息安全检查工作责任人未按照本责任书履行职责、开展工作的,由单位予以通报批评;工作中存在重大突出问题的,或因为工作失职导致后果的,按照相关规定对责任人予以处分。呙铉們欤谦鸪饺竞荡赚。本责任人自签约之日起生效。 责任人(签章:)
22、 年 月 日附件2互联网信息安全检查工作责任书为了进一步落实我单位的互联网安全管理责任,确保网络安全与信息安全,做好互联网信息安全检查工作,特制定本责任书。莹谐龌蕲賞组靄绉嚴减。一、总体目标按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,切实落实信息安全检查工作责任制,及时发现信息系统存在的各种安全隐患,并尽快修补,确保信息系统安全可靠运行,确保不发生重大信息安全责任事故。麸肃鹏镟轿騍镣缚縟糶。二、责任要求1、统筹安排信息安全检查工作,组织制定检查工作计划和检查方案,对检查工作进行检查部署,保证检查工作顺利进行,做到突出重点,明确责任,注重实效,保证质量。对检查工作组织领导不力,有关要
23、求不落实的,要予以通报批评。納畴鳗吶鄖禎銣腻鰲锬。2、信息安全检查过程中,要及时通报发现的问题并提出整改建议。3、信息安全检查过程中应严格遵守检查工作纪律,周密制定应急预案,控制安全风险,加强保密措施,保证信息系统的安全正常运行。風撵鲔貓铁频钙蓟纠庙。4、信息安全检查过程中,检查责任人必须对检查结果负责,未能及时发现问题或漏洞导致安全事故的,要承担相应的责任。灭嗳骇諗鋅猎輛觏馊藹。三、责任追究如信息安全检查工作责任人未按照本责任书履行职责、开展工作的由单位予以通报批评;工作中存在重大突出问题的,或因工作失职导致后果的,按照相关规定对责任人予以处分。本责任书自签约之日起生效。铹鸝饷飾镡閌赀诨癱骝
24、。 责任人(签章:) 年 月 日附件3内网信息安全检查工作责任书为了进一步落实我单位的内网安全与信息安全管理责任,确保网络安全与信息安全,做好内网的安全检查工作,特制定本责任书。攙閿频嵘陣澇諗谴隴泸。一、总体目标按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,切实落实信息安全检查工作责任制,及时发现信息系统存在的各种安全隐患。并尽快修补。确保信息系统安全可靠运行,确保不发生重大信息安全责任事故。趕輾雏纨颗锊讨跃满賺。二、责任要求1、统筹安排内网信息安全检查工作,组织制定检查工作计划和检查方案,对检查工作进行检查部署,保证检查工作顺利进行,做到突出重点,明确责任,注重实效,保证质量。对检
25、查工作组织领导不力,有关要求不落实的,要予以通报批评。夹覡闾辁駁档驀迁锬減。2、内网信息安全检查过程中,要及时通报发现的问题并提出整改建议。3、内网信息安全检查过程中应严格遵守检查工作纪律,周密制定应预案,控制安全风险,加强保密措施,保证信息系统的安全正常运行。视絀镘鸸鲚鐘脑钧欖粝。4、内网信息安全检查过程中,检查责任人必须对检查结果负责,未能及时发现问题或漏洞导致安全事故的,要承担相应的责任。偽澀锟攢鴛擋緬铹鈞錠。三、责任追究如内网信息安全检查工作责任人未按照本责任书履行职责、开展工作的,由本单位予以通报批评;工作中存在重大突出问题的,或因工作失职导致后果的,按照相关规定对责任人予以处分。緦
26、徑铫膾龋轿级镗挢廟。本责任书自签约之日起生效。责任人(签章:) 年 月 日附件4信息系统安全等级(分级)保护工作责任书为了进一步落实我单位的网络信息安全与信息安全管理责任确保网络安全与信息安全,做好机关信息系统等级(分级)保护工作,特制定本责任书。騅憑钶銘侥张礫阵轸蔼。一、总体目标我单位信息系统按等级(分级)保护标准,分级别进行保护,突出重点、兼顾一般,科学规划、效费合理,信息系统内在确保重点部位、重要信息资源安全,实现多级防护,保障互联互通和信息共享。疠骐錾农剎貯狱颢幗騮。二、责任要求1、组织制定详细的信息系统安全等级(分级)保护工作计划,确保等级(分级)保护工作顺利进行。2、制定系统完整的
27、信息安全等级(分级)保护管理规范和技术标准,并根据工作开展的实际情况不断补充完善。3、按照等级(分级)保护的管理规范和技术标准,确定其信息和信息系统的安全保护等级,并报其主管部门审批同意。镞锊过润启婭澗骆讕瀘。4、根据已经确定的信息安全保护等级,按照等级(分级)保护的管理规范和技术标准,采购和使用相应等级的信息安全产品,建设安全设施,落实安全技术措施,完成系统整改。榿贰轲誊壟该槛鲻垲赛。5、按照等级(分级)保护的管理规范和技术标准,对已经完成安全等级(分级)保护建设的信息系统进行检查评估,发现问题及时上报,并制定响应整改计划,经主管部门审批同意后对其进行整改。邁茑赚陉宾呗擷鹪讼凑。三、责任追究
28、如信息系统安全等级(分级)保护工作责任人未按照本责任书履行职责、开展工作的,由单位予以通报批评;工作中存在重大突出问题的,或因工作失职导致后果的,按照相关规定对责任人予以处分。嵝硖贪塒廩袞悯倉華糲。本责任书自签约之日起生效。责任人(签章:) 年 月 日附件5信息安全风险评估工作责任书为了进一步落实我单位的网络安全与信息安全管理责任,确保网络安全与信息安全,做好机关信息安全风险评估工作,特制定本责任书。该栎谖碼戆沖巋鳧薩锭。一、总体目标通过深入、详细、全面地检查单位信息系统的安全风险状况了解单位资产的安全状态,并进行相应整改。二、责任要求1、制定详细的风险评估计划,确保风险评估工作顺利有序进行。
29、计划包括确定风险评估范围,确定风险评估目标,建立适当的组织机构,建立系统性风险评估实施方案。劇妆诨貰攖苹埘呂仑庙。2、风险评估工作小组的风险评估计划须获得主管领导的批准方能执行。3、风险评估工作小组的风险评估结果须获得主管领导的认可方能生效。4、相关组织或单位应制定详细的风险评估工作人员职责安排以及职责说明。5、风险评估工作小组应无遗漏的识别单位所有重要资产。6、风险评估工作小组应对资产进行威胁分析以及脆弱性分析,并结合现状进行整改。7、风险评估工作人员应对单位信息系统进行全面的风险评估,做到无遗漏。8、风险评估过程中的每项工作都应给出相应的报告及材料。三、责任追究如信息安全风险评估工作责任人
30、未按照本责任书履行职责、开展工作的,由单位予以通报批评;工作中存在重大突出问题的,或因工作失职导致后果的,按照相关规定对责任人予以处分。臠龍讹驄桠业變墊罗蘄。本责任书自签约之日起生效。责任人(签章:) 年 月 日附件6信息安全应急响应工作责任书为了进一步落实我单位网络安全与信息安全管理责任,确保网络安全与信息安全,做好信息系统的应急响应工作,特制定本责任书。鰻順褛悦漚縫冁屜鸭骞。一、总体目标应急响应计划的执行应有足够的资源保证,包括人力、技术、设备和财务等方面,在安全事件发生后应能尽快恢复系统和网络的正常运转,应使系统和网络所遭受的破坏最小化。穑釓虚绺滟鳗絲懷紓泺。二、责任要求组织和领导相关人
31、员制定详细的应急响应计划,其中应根据不同的安全事件类型制定不同的应急响应计划。应从人力、技术、设备和财务等方面确保应急响应计划的执行有足够的资源保证。定期组织应急预案的演练和培训,特别是安全事件发生后应组织相关人员进行事后教育和培训。定期组织相关人员对应急响应计划进行审查并根据实际情况进行更新。三、责任追究如信息安全应急响应工作责任人未按照本责任书履行职责、开展工作的,由单位予以通报批评;工作中存在重大突出问题的,或因工作失职导致后果的,按照相关规定对责任人予以处分。本责任书自签约之日起生效。责任人(签章:) 年 月 日附件7安全管理员职责说明书为了进一步落实网络安全和信息安全管理责任、明确安
32、全管理员职责,确保网络安全和信息安全,安全管理员应落实如下责任:隶誆荧鉴獫纲鴣攣駘賽。1、负责对安全产品购置提供建议,负责组织制定各种安全策略与配置规则,负责跟踪安全产品投产后的使用情况。浹繢腻叢着駕骠構砀湊。2、负责指导并监督各安全岗位工作人员及普通用户的安全相关工作。3、负责组织信息系统的安全风险评估工作,并定期进行系统漏洞扫描,形成安全评估报告。4、根据信息安全需求,定期提出信息安全改进意见,并上报主管领导。5、定期查看信息安全站点的安全公告,跟踪和研究各种信息安全漏洞和攻击手段,在发现可能影响信息安全的安全漏洞和攻击手段时,及时做出相应的对策,通知并指导系统管理员进行安全防范。鈀燭罚櫝
33、箋礱颼畢韫粝。6、负责整合各种安全方案、安全审计报告、应急计划以及整体安全管理制度并报主管领导。7、若由于安全管理员工作疏忽或失误而导致安全事故发生,安全管理员应承担相应责任。附件8系统管理员职责说明书为进一步落实主机安全和系统安全管理责任,明确系统管理员职责,确保主机安全和系统安全,系统管理员应落实如下责任:惬執缉蘿绅颀阳灣熗鍵。1、负责主机操作系统的安全配置和日常审计,系统应用软件的安装,从系统层面实现对用户与资源的访问控制。2、协助安全管理员制定主机操作系统的安全配置规则,并落实执行。3、负责主机设备的日常管理与维护,保持系统处于良好的运行状态。4、为安全审计员提供完整、准确的主机系统运
34、行活动日志记录。5、在主机系统异常或故障发生时,详细记载发生异常时的现象、事件和处理方式,并及时上报。6、编制主机设备的维修、报损、报废计划,报主管领导审核。7、若由于系统管理员工作疏忽或失误而导致安全事故发生,系统管理员应承担相应责任。附件9网络管理员职责说明书为了进一步落实网络安全和信息安全管理责任,明确网络管理员职责,确保网络安全和信息安全,网络管理员应落实如下责任:贞廈给鏌綞牵鎮獵鎦龐。1、负责网络的部署以及网络产品、相关安全产品的配置、管理与监控,并对关键网络配置文件进行备份,及时修补网络设备的漏洞。嚌鲭级厨胀鑲铟礦毁蕲。2、协助安全管理员制定网络设备安全配置规则,并落实执行。3、为
35、安全审计员提供完整、准确的重要网络设备和网站进行活动日志。4、在网络及设备异常或故障发生时,详细记载发生异常时的现象、时间和处理方式,并及时上报。5、编制网络设备的维修、报损、报废等计划,报主管领导审核。6、若由于网络管理员工作疏忽或失误而导致安全事故发生,网络管理员应承担相应责任。附件10机房管理员职责说明书为了进一步落实网络安全和信息安全管理责任,明确机房管理员职责,确保机房安全,机房管理员应落实如下责任:薊镔竖牍熒浹醬籬铃騫。1、负责机房所有设备的台帐和事物管理,固定资产帐、物相符应达到百分之百,设备完好率不低于百分之九十。2、要定期或不定期检查机房内的空调、电源等电器设备,发现安全隐患
36、要及时整改和上报,重要设备故障应做好维修记录。齡践砚语蜗铸转絹攤濼。3、每周向主管领导报告一次机房设备完好情况和维修情况。4、严格核实出入机房人员审批手续的真实性和有效性,确保进入机房人员的作业内容与审批手续完全一致。5、不得擅自将机房仪器设备外借给其他人使用。6、电器设备和线路应经常检查,发现可能引起火花线路、发热和即将破损、老化等情况必须立即停止设备使用,报告修理,不得冒险使用。绅薮疮颧訝标販繯轅赛。7、保持机房环境整洁卫生,走道畅通,设备器材摆放整齐、排列有序机房外鞋柜内拖鞋摆放整齐、排列有序,机房外鞋柜内拖鞋摆放整齐。饪箩狞屬诺釙诬苧径凛。8、若由于机房管理员工作疏忽或者失误而导致安全
37、事故发生,机房管理员应承担相应责任。附件11安全审计员职责说明书为了进一步落实网络安全和信息安全管理责任,明确安全审计员职责,确保信息系统安全,安全审计员应落实如下责任:烴毙潜籬賢擔視蠶贲粵。1、负责根据系统管理员提供的主机运行日志记录以及网络管理员提供的网络设备和网站运行日志进行安全审计工作,判断信息系统及资产是否安全,并按时上交安全审计报告。鋝岂涛軌跃轮莳講嫗键。2、对审计过程中发现的安全问题做出及时处理,上报备案,并通知相关负责人。3、对于审计记录、内容以及存储设备必须给予保护(如一些文档的记录或者存储设备),以防止非授权的访问。4、要建立与审计相关的监控程序,以确保只能进行已经明确规定
38、的授权活动。要定期回顾监控活动记录。5、确保对储存和处理的审计日志进行了保质期识别并登记;如果确定已过期记录无保存价值,则必须采取适当的措施销毁记录。撷伪氢鱧轍幂聹諛詼庞。6、若由于安全审计员工作疏忽或失误导致安全事故发生,安全审计员应承担相应责任。附件12信息审查员职责说明书为了进一步落实网络安全和信息安全管理责任,明确信息审查员职责,确保无不良信息传播以及公文的规范性,信息审查员应落实如下责任:踪飯梦掺钓貞绫賁发蘄。1、负责审查网站信息以及内部公文。对网站信息中出现的不良信息(包括言论、图片、网站链接等)进行及时过滤婭鑠机职銦夾簣軒蚀骞。2、审查内部信息公文的格式及内容的规范性,判断有无涉
39、及非授权信息。3、负责审查发布信息中是否存在工作敏感信息和国家秘密信息。4、制定网站规范有关规定,对不良信息进行明确划分。5、若由于信息审查工作疏忽或失误而导致安全事故发生,信息审查员应承担相应责任。四、XXX厅(局)信息安全事件管理办法XXX厅(局)信息安全事件管理办法第一条 信息安全事件分类如下所示:1、 有害程序事件: 包括计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件等。譽諶掺铒锭试监鄺儕泻。2、 网络攻击事件: 包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件等。3、 信息破坏事件: 包括信息篡
40、改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件等。4、 信息内容安全事件:1)违反宪法和法律、行政法规的信息安全事件;2)针对社会事项进行讨论、评论,形成网上敏感的舆论热点,出现一定规模炒作的信息安全事件;3)组织串联、煽动集会游行的信息安全事件。5、 设施和设备故障:1)硬件设备的自然故障、软硬件设计缺陷或软硬件运行环境发生变化等而导致信息安全事件;2)由于保障信息系统正常运行所必须的外部设施出现故障而导致的信息安全事件,如电力故障;3)人为破坏事故。6、 灾害性事件: 包括水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击等。7、 其他事件。第二条 按照信息安全事件造成的后果和影
41、响的严重程度,将信息安全事件分为以下等级:1、 特别重大安全事件,指能够导致特别严重影响或破坏的信息安全事件,包括以下情况:a)会使特别重要信息系统遭受特别严重的系统损失;b)产生特别重大的社会影响。2、 重大安全事件,指能够导致严重影响或破坏的信息安全事件,包括以下情况:a)会使特别重要信息系统遭受严重的系统损失,或重要信息系统遭受特别严重的系统融损失;b)产生重大的社会影响。3、较大安全事件,指能够导致较严重影响或破坏的信息安全事件,包括以下情况:a) 会使特别重要信息系统遭受较大的系统损失,或使重要信息系统遭受严重的系统损失、一般信息系统遭受特别严重的系统损失;俦聹执償閏号燴鈿膽賾。b)
42、产生较大的社会影响。4、一般安全事件,指不满足以上条件的信息安全事件,包括以下情况: a) 会使特别重要信息系统遭受较小的系统损失,或使重要信息系统遭受较大的系统损失、一般信息系统遭受严重以下级别的系统损失;缜電怅淺靓蠐浅錒鵬凜。b)产生一般的社会影响。第三条 安全事件处置流程是事件报告事件受理事件处理事后总结第四条 安全事件处理各环节责任人及职责说明如下表所示:责任人职责说明信息安全事件报告人 信息安全事件报告安全事件管理相关负责人 受理和记录信息安全事件 将安全事件分配到技术 记录归档安全事件处理人员对信息安全事件进行处理XX部门负责人安全事件的统计分析采取纠正预防措施上级部门协调安全事件
43、的处理第五条 安全事件报告程序:1、发现一般安全事件时,由XX部门安全事件管理相关负责人受理并记录归档、安全事件处理人员进行处理,并上报相关负责人;骥擯帜褸饜兗椏長绛粤。2、发现较大安全事件时,首先报XX部门相关负责人,由安全事件处理人员进行事件处理,处理完毕上报相关负责人;癱噴导閽骋艳捣靨骢鍵。3、发现重大安全事件或特别重大安全事件时,应报XX部门领导及相关负责人,联系维护支撑单位协助处理安全事件,处理完毕上报XX部门领导及相关负责人。鑣鸽夺圆鯢齙慫餞離龐。第六条 XX部门负责人组织、跟踪信息安全事件的处理和完成情况,并针对安全事件进行原因分析,针对安全缺陷进行统计分析,并对事件及缺陷采取纠
44、正、预防等措施。榄阈团皱鹏緦寿驏頦蕴。第七条 本制度由XXXX负责解释。第八条 本制度自发布之日起生效执行。五、XXX厅(局)信息系统信息发布制度XXX厅(局)信息系统信息发布制度第一条为促进信息系统信息发布、审核工作的规范化、制度化,保障信息系统把发布信息的权威性、及时性、准确性、严肃性和安全性,结合本单位实际,制定本制度。逊输吴贝义鲽國鳩犹騸。第二条 本制度适用于信息系统(如:门户网站)应当公开或需要公开的所有信息发布,在正式发布前,必须进行预先审核。幘觇匮骇儺红卤齡镰瀉。第三条 发布的信息应具有较强的时效性,保证信息内容的真实性、准确性、完整性和安全性。第四条 发布信息应遵循“审核严谨,
45、流程规范,源头可溯,依法公开”的原则。第五条 拟发布信息内容必须进过内部出审,重点是对拟发布信息内容得准确性、完整性、时效性、是否涉密等进行审核;主管领导对信息进行复审;审核通过后方可在门户网站上发布。誦终决懷区馱倆侧澩赜。第六条 建立完善的信息发布登记制度,对发布的信息都应进行登记,登记的信息包含但不限于:日期、部门、信息简介、承办人等。 医涤侣綃噲睞齒办銩凛。第七条 严格履行保密义务,不得发布违反国家法律及地方法规信息,不得发布与党的各项方针、政策相违背的信息,不得制作和传播各类不健康信息,不得发布虚假信息。舻当为遙头韪鳍哕晕糞。第八条 对因审核不严导致信息公开内容失实、泄密、引发负面影响的,依照有关法律法规和规定追究相关人员责任。鸪凑鸛齏嶇烛罵
