三级等保评审需要的网络安全管理制度大全汇编.doc

上传人:小飞机 文档编号:4224371 上传时间:2023-04-10 格式:DOC 页数:281 大小:1.20MB
返回 下载 相关 举报
三级等保评审需要的网络安全管理制度大全汇编.doc_第1页
第1页 / 共281页
三级等保评审需要的网络安全管理制度大全汇编.doc_第2页
第2页 / 共281页
三级等保评审需要的网络安全管理制度大全汇编.doc_第3页
第3页 / 共281页
三级等保评审需要的网络安全管理制度大全汇编.doc_第4页
第4页 / 共281页
三级等保评审需要的网络安全管理制度大全汇编.doc_第5页
第5页 / 共281页
点击查看更多>>
资源描述

《三级等保评审需要的网络安全管理制度大全汇编.doc》由会员分享,可在线阅读,更多相关《三级等保评审需要的网络安全管理制度大全汇编.doc(281页珍藏版)》请在三一办公上搜索。

1、某某单位信息安全管理制度汇编2019年1月信息化管理处关于本文件文件名称省某某单位信息安全管理制度汇编文件编号控制级别部资料文件类别管理制度文件页数编制日期年 月 日审核日期年 月 日签发日期年 月 日分发控制受控文件填写编号份数用途审批人日期经手人日期目 录第一章安全策略总纲11.1、信息安全策略总纲11.1.1、总则11.1.2、信息安全工作总体方针11.1.3、信息安全总体策略11.1.4、安全管理11.1.5、制度的制定与发布11.1.6、制度的评审和修订1附件1-1-1 网络安全管理制度论证审定记录(模板)1附件1-1-2 网络安全管理制度收发文记录(模板)1第二章安全管理机构12.

2、1、信息安全组织及岗位职责管理规定12.1.1、总则12.1.2、信息安全组织机构12.1.3、信息安全组织职责12.1.4、信息安全岗位职责12.1.5、信息安全岗位要求12.1.6、附则1附件2-1-1 网络安全工作授权审批单(模板)1附件2-1-2 网络安全工作会议记录表(模板)1附件2-1-3 外联单位工作联系表(模板)12.2、信息安全检查与审计管理制度12.2.1、总则12.2.2、安全检查12.2.3、安全审计12.2.4、附则1附件2-2-1 年度网络安全检查记录(模板)1第三章人员安全管理13.1、部人员信息安全管理规定13.1.1、总则13.1.2、人员录用13.1.3、岗

3、位人选13.1.4、人员转岗和离岗13.1.5、人员考核13.1.6、人员惩戒13.1.7、人员教育和培训13.1.8、附则1附件3-1-1 人员录用审查考核结果记录(模板)1附件3-1-2 信息系统关键岗位安全协议(模板)1附件3-1-3 信息安全岗位培训计划制定要求(模板)1附件3-1-4 人员离岗安全处理记录(模板)1附件3-1-5 人员培训考核记录(模板)1附件3-1-6 人员奖惩及违纪记录(模板)13.2、外部人员访问信息安全管理规定13.2.1、总则13.2.2、定义13.2.3、外部人员访问信息安全管理13.2.4、第三方安全要求13.2.5、附则1第四章系统建设管理14.1、定

4、级备案管理规定14.1.1、总则14.1.2、定义14.1.3、岗位及职责14.1.4、系统定级方法14.1.5、系统定级备案管理1附件4-1-1 系统定级结果评审及审批意见(模板)14.2、信息安全方案设计管理规定14.2.1、总则14.2.2、安全建设总体规划责任部门14.2.3、安全方案的设计和评审14.2.4、安全方案的调整和修订14.2.5、附则1附件4-2-1 安全方案评审及审批意见(模板)14.3、产品采购和使用信息安全管理规定14.3.1、总则14.3.2、产品采购和使用14.3.3、产品采购清单的维护14.3.4、附则1附件4-3-1 安全产品采购记录(模板)1附件4-3-2

5、 候选产品清单(模板)14.4、信息系统自行软件开发管理规定14.4.1、总则14.4.2、自行软件开发管理14.4.3、附则14.5、信息系统外包软件开发管理规定14.5.1、总则14.5.2、外包软件开发管理14.5.3、附则14.6、信息系统工程实施安全管理制度14.6.1、总则14.6.2、工程实施管理14.6.3、实施过程控制方法14.6.4、实施人员行为准则14.6.5、附则1附件4-6-1 工程测试验收评审及审批意见(模板)14.7、信息系统测试验收安全管理规定14.7.1、总则14.7.2、测试验收管理14.7.3、测试验收控制方法14.7.4、测试人员行为准则14.7.5、附

6、则14.8、信息系统交付安全管理规定14.8.1、总则14.8.2、交付管理14.8.3、系统交付的控制方法14.8.4、参与人员行为准则14.8.5、附则14.9、信息系统等级测评管理规定14.9.1、总则14.9.2、等级测评管理14.9.3、附则14.10、信息系统安全服务商选择管理办法14.10.1、总则14.10.2、安全服务商选择14.10.3、附则1附件4-10-1 个人工作承诺书(模板)1附件4-10-2 服务项目协议书(模板)1第五章系统运维管理15.1、环境安全管理规定15.1.1、总则15.1.2、机房安全管理15.1.3、办公区信息安全管理15.1.4、附则1附件5-1

7、-1 机房来访人员登记表(模板)15.2、资产安全管理制度15.2.1、总则15.2.2、信息系统资产使用15.2.3、信息系统资产传输15.2.4、信息系统资产存储15.2.5、信息系统资产维护15.2.6、信息系统资产报废15.2.7、附则1附件5-2-1 资产清单(模板)1附件5-2-2 信息系统资产报废申请表(模板)15.3、介质安全管理制度15.3.1、总则15.3.2、介质管理标准15.3.3、附则1附件5-3-1 存储介质操作记录表(模板)15.4、设备安全管理制度15.4.1、总则15.4.2、设备安全管理15.4.3、配套设施、软硬件维护管理15.4.4、设备使用管理15.4

8、.5、附则1附件5-4-1 设备出门条(模板)1附件5-4-2 设备维修记录表(模板)1附件5-4-3 网络运维巡检表(模板)1附件5-4-4 主机运维巡检表(模板)1附件5-4-5 数据库运维巡检表(模板)1附件5-4-6 应用服务运维巡检表(模板)1附件5-4-7 机房相关设备运维巡检表(模板)15.5、运行维护和监控管理规定15.5.1、总则15.5.2、运行维护和监控工作15.5.3、安全运行维护和监控作业计划15.5.4、附则1附件5-5-1 监控记录分析评审表15.6、网络安全管理制度15.6.1、总则15.6.2、网络设备管理15.6.3、用户和口令管理15.6.4、配置文件管理

9、15.6.5、日志管理15.6.6、设备软件管理15.6.7、设备登录管理15.6.8、附则1附件5-6-1 网络运维记录表(模板)1附件5-6-2 违规外联及接入行为检查记录表(模板)15.7、系统安全管理制度15.7.1、总则15.7.2、系统安全策略15.7.3、安全配置15.7.4、日志管理15.7.5、日常操作流程15.7.6、附则1附件5-7-1 补丁测试记录(模板)1附件5-7-2 日志审计分析记录(模板)15.8、恶意代码防管理规定15.8.1、总则15.8.2、恶意代码防工作原则15.8.3、职责15.8.4、工作要求15.8.5、附则1附件5-8-1 恶意代码检查结果分析记

10、录(模板)15.9、密码使用管理制度15.9.1、总则15.9.2、密码使用管理15.9.3、密码使用要求15.9.4、附则15.10、变更管理制度15.10.1、总则15.10.2、变更定义15.10.3、变更过程15.10.4、变更过程职责15.10.5、附则15.11、备份与恢复管理制度15.11.1、总则15.11.2、备份恢复管理15.11.3、附则1附件5-11-1 数据备份和恢复策略文档(模板)1附件5-11-2 备份介质清除或销毁申请单(模板)1附件5-11-3 数据备份和恢复记录(模板)15.12、安全事件报告和处置管理制度15.12.1、总则15.12.2、安全事件定级15

11、.12.3、安全事件报告和处置管理15.12.4、安全事件报告和处理程序15.12.5、附则1附件5-12-1 网络安全行为告知书(模板)1附件5-12-2 信息安全事件报告表(模板)1附件5-12-3 系统异常事件处理记录(模板)15.13、应急预案管理制度15.13.1、总则15.13.2、组织机构与职责15.13.3、安全事件应急预案框架15.13.4、应急响应程序15.13.5、应急预案审查管理15.13.6、应急预案培训15.13.7、应急预案演练15.13.8、附则1附件5-13-1 应急处置审批表(模板)1附件5-13-2 应急预案评审及审批意见(模板)1第六章其他管理制度16.

12、1、安全设备运行维护规16.1.1、总则16.1.2、适用产品围16.1.3、安全策略配置规16.1.4、安全运维规16.1.5、附则1附件6-1-1 安全设备配置变更申请表(模板)1附件6-1-2 安全设备配置变更记录表(模板)1第一章 安全策略总纲1.1、 信息安全策略总纲1.1.1、 总则第一条 为贯彻国家对信息安全的规定和要求,指导和规省某某单位信息系统建设、使用、维护和管理过程中,实现信息系统安全防护的基本目的,提高信息系统的安全性,防和控制系统故障和风险,确保信息系统安全、可靠、稳定运行,维护社会秩序、公共利益和国家安全,特制定省某某单位信息安全策略总纲(以下简称总纲)。第二条 总

13、纲根据国家信息安全相关政策法规而制定。第三条 本制度适用于省某某单位信息系统,适用于省某某单位拟建、在建以及运行的非涉密信息系统。1.1.2、 信息安全工作总体方针第四条 省某某单位信息系统的安全保护管理工作总体方针是“保持适度安全;管理与技术并重;全方位实施,全员参与;分权制衡,最小特权;尽量采用成熟的技术”。“预防为主”是省某某单位信息安全保护管理工作的基本方针。第五条 总纲规定了省某某单位信息系统安全管理的体系、策略和具体制度,为信息化安全管理工作提供监督依据。第六条 省某某单位信息系统安全管理体系是由信息安全策略总纲、安全管理制度、安全技术标准以及安全工作流程和操作规程组成的。(一)

14、总纲是信息安全各个方面所应遵守的原则方法和指导性策略文件。(二) 总纲是制定省某某单位信息安全管理制度和规定的依据。(三) 省某某单位信息安全管理制度和规定了信息安全管理活动中各项管理容。(四) 省某某单位信息安全技术标准和规是根据总纲中对信息安全方面相关的规定所引出的,其规定了信息安全中的各项技术要求。第七条 省某某单位信息安全工作流程和操作规程详细规定了主要应用和事件处理的流程、步骤以及相关注意事项,并且作为具体工作时的具体依照。1.1.3、 信息安全总体策略第八条 省某某单位信息系统总体安全保护策略是:系统资源的价值大小、用户访问权限的大小和系统重要程度的区别就是安全级别的客观体现。信息

15、安全保护必须符合客观存在和发展规律,其分级、分区域、分类和分阶段是做好信息安全保护工作的前提。第九条 省某某单位信息系统的安全保护策略由省某某单位网络安全与信息化工作领导小组负责制定与更新。第十条 省某某单位网络安全与信息化工作领导小组根据信息系统的安全保护等级、安全保护需求和安全目标,结合省某某单位自身的实际情况,依据国家信息安全法规和标准,制定信息系统的安全保护实施细则和具体管理办法,并根据实际情况,及时调整和制定新的实施细则和具体管理办法。第十一条 省某某单位信息系统的安全保护工作应从技术体系和管理体系两个方面进行,技术体系包括物理环境安全、网络安全、主机安全、应用安全和数据安全等五个部

16、分,管理体系包括安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等五个部分,由技术体系和管理体系共十个部分构成信息系统安全等级保护体系。(一)物理环境安全包括:周边环境安全,门禁检查,防盗窃、防破坏、防火、防水、防潮、防雷击、防电磁泄露和干扰,电源备份和管理,设备的标识、使用、存放和管理等;(二)网络安全包括:网络的拓扑结构,网络的布线和防护,网络设备的管理和报警,网络攻击的监察和处理,网络安全审计和检查及边界完整性检查;(三)主机安全包括:主机的身份鉴别、访问控制、安全审计、入侵防、恶意代码防、监控和终端接入控制等;(四)应用安全包括:应用系统的身份鉴别、访问控制、安全审

17、计、剩余信息保护、通信完整性和性、抗抵赖、软件容错和资源控制等;(五)数据安全包括:数据传输的完整性和性、数据存储的完整性和性、数据的备份和恢复等;(六)安全管理制度是信息系统安全策略、方针性文件,规定信息安全工作的总体目标、围、原则和安全框架,是管理制度体系的灵魂和核心文件;(七)通过构建和完善信息安全组织架构的措施,明确不同安全组织和不同安全角色的定位、职责以及相互关系,强化信息安全的专业化管理,实现对安全风险的有效控制;(八)人员安全管理包括人员录用、人员管理、人员考核、协议、培训、离岗离职等多个方面;(九)系统建设管理根据信息密级、系统重要性和安全策略将信息系统划分为不同的安全域,针对

18、不同的安全域确定不同的信息安全保护等级,采取相应的保护。信息系统安全等级的定级决定了系统方案的设计、实施、安全措施、运行维护等信息系统建设的各个环节。信息系统定级遵循“谁建设、谁定级”的原则;(十)系统运维管理对信息系统进行综合监控管理,对支撑重要信息系统的资源进行监控保护,确码防护、病毒防护、系统变更等事件按照规定的信息安全管理策略实行,建立安全管理监控中心,实现对人、事件、流程、资产等方面的综合管理。1.1.4、 安全管理第十二条 省某某单位信息系统定级备案管理完全按照国家相关信息安全标准的相关政策要求进行。要求所有接入省某某单位的信息系统均按照等级保护定级备案要求进行定级,参考信息系统安

19、全保护等级定级指南GB/T22240-2008,由各应用系统接入单位自主定级并填写定级报告,省某某单位网络安全与信息化工作领导小组办公室填写定级备案表,经省某某单位网络安全与信息化工作领导小组批准,由省某某单位网络安全与信息化工作领导小组办公室统一负责向公安机关进行备案。所有省某某单位信息系统必须确定其信息安全保护等级,并在省某某单位网络安全与信息化工作领导小组办公室进行登记和备案。第十三条 业务应用需求和设计单位,要充分考虑信息系统的安全需求分析,统一按照业务系统归属进行安全域划分,确定定级备案情况;具体参考信息安全等级保护管理办法、信息系统安全等级保护基本要求,参照信息系统安全等级保护实施

20、指南、信息系统通用安全技术要求、信息系统安全工程管理要求、信息系统等级保护安全设计技术要求等标准规要求,结合行业特点进行安全需求分析。(一)信息安全需求分析,至少包括以下信息安全方面的容:1. 安全威胁分析;2. 系统脆弱性分析;3. 影响性分析;4. 风险分析;5. 系统安全需求。(二)可行性分析中须包括以下信息安全方面的容:1. 明确项目的总体信息安全目标,并依据信息安全需求分析的结论提出相应的安全对策,每个信息安全需求都至少对应一个信息安全对策,信息安全对策的强度根据相应资产/系统的重要性来选择;2. 描述如何从技术和管理两个方面来实现所有的信息安全对策,并形成信息安全方案;3. 增加项

21、目建设中的信息安全管理模式、信息安全组织结构、人员的安全职责、建设实施中的安全操作程序和相应安全管理要求;4. 对安全方案进行成本-效益分析;5. 需求分析阶段必须明确地定义和商定新系统的需求和准则,并形成文件,便于后期验收。相关信息安全需求的要求和准则应包括:用户管理、权限管理、日志管理和数据管理等。第十四条 业务应用的安全设计应按照国家信息安全标准进行,并依照信息安全需求分析评估得出的结论,通过相关专家评审会后,综合多方意见,进行安全设计。具体要求如下:(一) 物理安全-设计中要充分考虑到物理访问控制、防盗窃和防破坏、防雷击、防火、防水、防潮、电力、物理位置、防静电和电磁防护,做到增强控制

22、,对人员和设备的出入进行监控;(二) 网络安全-设计中要充分考虑到结构安全、访问控制、设备防护、安全审计、边界完整性检查、入侵防、恶意代码防,确保重要主机的优先级,做到应用层过滤,对入网设备的接入进行非法外联的定位和阻断,对形成的记录进行分析、形成报表,对审计系统进行两种以上鉴别技术,保证特权用户分离;(三) 主机安全-设计中充分考虑主机系统(操作系统)的身份鉴别、访问控制、入侵防、恶意代码防、安全审计、资源控制、剩余信息保护,要求必须监控服务器相关服务,保证最小授权原则,对形成的记录进行分析并形成报表;(四) 数据安全-设计中充分考虑数据完整性、数据备份和恢复、数据性;(五) 应用安全-设计

23、中充分考虑应用系统的身份鉴别、访问控制、通信完整性和性、软件容错、安全审计、资源控制、剩余信息保护、抵赖性。在信息系统安全规划设计时,应该考虑系统的容量和资源的可用性,以减少系统过载的风险,并采取相应的措施,控制涉及核心数据软件设计的相关资料的使用,并应遵循以下原则:(一) 充分考虑应用安全实现的可控性,以便尽可能地降低安全系统与应用系统结合过程中的风险;(二) 保持安全系统与应用系统的相互独立性,避免功能实现上的交叉或跨越;(三) 建立完善的信息安全控制机制,包括:用户标识与认证、逻辑访问控制、公共访问控制、审计与跟踪等。第十五条 信息系统安全建设管理需要按照国家信息安全标准的相关要求,并在

24、安全管理组织的领导下,结合应用的实际情况,进行信息安全建设。在建设中应充分考虑系统定级管理、安全方案设计管理、产品采购和使用管理、自行以及外包软件开发管理、工程实施管理、测试验收管理、系统交付管理、安全服务商选择管理、系统备案管理、等级测评管理等因素对信息系统安全的影响程度。信息系统安全建设管理要求将系统建设过程有效程序化,明确指定项目实施监理负责人,确保系统设计文档和相关代码的安全,对销毁过程要进行安全控制,自行开发时应当严格控制对程序资源库的访问。第十六条 信息系统安全验收管理按照国家相关信息安全标准的要求,结合省某某单位信息系统的实际情况进行安全验收管理规化。项目验收需得到各业务单位、省

25、某某单位网络安全与信息化工作领导小组办公室共同确认签字验收。项目应达到项目任务书中制定的总体安全目标和安全指标,实现全部安全功能。验收报告中应包括项目总体安全目标及主要容。验收报告中应包括项目采用的关键安全技术容。系统验收并移交后,必须立即修改系统中的默认口令。应用系统项目验收应审查如下容:(一) 功能检查包括对软件功能完整性、正确性进行审查和评价;(二) 项目管理审查包括对项目计划、采用标准、需求方案及其执行情况进行审查和评价;(三) 测试结果审查包括对项目测试报告、监理单位出具的监理报告等进行审查;(四) 技术文档检查包括对项目开发单位交付的文档资料(纸质文档和电子文档)进行审查。(五)

26、系统交付时,应根据合同要求制定系统交付的清单;(六) 系统运行所需要的全部设备;(七) 系统运行所需要的全部软件;(八) 系统文档,包括系统建设过程中的文档,详细的系统使用和维护文档;(九) 系统应急方案;(十) 系统使用培训教材。系统建设项目有下列情况之一,不能通过安全验收:(一) 验收文件、资料、数据不真实;(二) 未达到安全设计要求;(三) 设计不符合国家信息安全建设相关标准要求;(四) 擅自修改设计目标和建设容;(五) 系统建设过程中出现重大问题,未能解决和做出说明,或存在纠纷。项目验收完毕后,系统建设部门应对负责系统使用和维护的人员进行相应培训,并履行服务承诺。第十七条 安全测评管理

27、是按照国家信息安全标准测评的相关要求,结合省某某单位的实际情况进行安全测评。项目验收时应按照信息安全法律法规和标准情况,进行自评估或委托具有国家相关技术资质和安全资质的第三方测评机构进行测评,并出具测评报告,测评报告将作为项目验收的参考依据。信息系统的安全性测试验收应独立进行,测试程序应包括以下容:(一) 测试验收前根据设计方案或合同要求等制订测试验收方案,测试验收方案应对参与测试部门、人员、现场操作过程等进行要求,并确保测试和接收标准被清晰定义并文档化;(二) 测试方案应通过省某某单位网络安全与信息化工作领导小组办公室的论证和审定;(三) 严格依据测试方案进行测试,测试验收过程中详细记录测试

28、结果;(四) 至少应审查主机端口开放情况是否符合系统说明、使用网络侦听工具查通讯数据包是否符合系统说明和使用恶意代码软件检测软件包中可能存在的恶意代码等。(五) 拟定测试验收报告,并由相关负责人签字确认。第十八条 安全运维管理按照国家信息安全标准的要求,项目验收完毕后,结合省某某单位的实际情况进行运行维护管理工作。信息安全管理部门接管后,负责物理安全、网络安全、主机安全、数据安全等管理工作,并定期和不定期的进行信息安全检查,确保信息系统安全运行。各业务系统的维护人员负责维护和监控责任围的应用系统,不得越权进行访问。信息安全运行维护项目应包括但不限于以下容:(一) 对物理安全的机房环境、温湿度等

29、检查;(二) 对网络的连通性、时延、丢包率,检查网络的状况、故障及攻击事件等;(三) 对设备运行状态检查;(四) 对出口链路或关键链路流量进行检查,设备配置进行备份工作等。(五) 对新购置的设备和软件在上线之前进行安全性检查、策略合理性测试。(六) 对设备和软件的日志进行定期和不定期的审计。(七) 对设备和软件进行版本升级和相关库升级。(八) 建立监控平台,对设备安全漏洞、安全事件、系统日志等信息进行监控,制定各项计划性的安全维护工作。(九) 建立单位作业计划应包括以下容安全设备维护、安全监控、操作日志、日志审核、故障管理、测试等工作,明确执行期限,落实到人。安全维护作业计划在编制和确定后,各

30、业务单位应根据其容严格执行。定期对维护计划执行情况进行总结分析。(十) 定期出具安全运行维护报告,报告涉及方面包括但不限于以下容:安全设备维护容、安全监控容、操作日志、系统日志、故障处理容等。1.1.5、 制度的制定与发布第十九条 省某某单位信息化管理处负责制订信息系统安全管理制度,并以文档形式表述,经省某某单位网络安全与信息化工作领导小组办公室讨论通过,由省某某单位网络安全与信息化工作领导小组办公室负责人审批发布。第二十条 省某某单位信息化管理处负责组织制度编制、论证、监督检查和修订等工作。第二十一条 省某某单位信息化管理处负责根据信息系统安全管理制度,结合系统的特点进行细化和制定实施细则,

31、报省某某单位网络安全与信息化工作领导小组办公室审批,以正式形式发布。第二十二条 省某某单位信息系统安全管理制度编写格式统一,并进行版本控制。第二十三条 信息安全管理制度由省某某单位网络安全与信息化工作领导小组办公室负责审核,以正式文件形式发布,同时注明发布围并有收发文登记。1.1.6、 制度的评审和修订第二十四条 由省某某单位网络安全与信息化工作领导小组办公室负责文档的评审,对安全策略和制度的有效性进行程序化、周期性评审,并保留必要的评审记录和依据。第二十五条 省某某单位信息化管理处负责定期组织对安全管理制度的执行情况进行检查,并结合国家信息安全主管部门每年定期对信息安全进行检查中发现的问题,

32、对安全管理制度进行有针对性的修订与完善。第二十六条 当发生重大安全事故、出现新的安全漏洞以及技术基础结构发生变更时,省某某单位信息化管理处要对安全管理制度的细则进行修订,修订后报省某某单位网络安全与信息化工作领导小组办公室进行审批。第二十七条 每个策略和制度文档有相应的负责人或负责部门,负责对明确需要修订的文档进行维护,并制定信息安全管理制度对应负责人或负责部门的清单。附件1-1-1 网络安全管理制度论证审定记录(模板)网络安全管理制度论证审定记录表组织部门评审容评审原因评审时间参与人员部门岗位职责联系方式签到评审意见评审结论签字组织人负责人记录人附件1-1-2 网络安全管理制度收发文记录(模

33、板)网络安全管理制度收发文记录表发文信息文件名称发文部门文件编号发文号发文日期发文方式签收信息签收部门签收人签收时间备注第二章 安全管理机构2.1、 信息安全组织及岗位职责管理规定2.1.1、 总则第一条 为了加强省某某单位对信息安全工作的管理,全面提高信息安全管理能力,规信息安全管理组织体系,建立健全信息安全机构职责,特制定本规定。第二条 本规定依据国家信息化领导小组关于加强信息安全保障工作的意见、GB/T20269-2006 信息安全技术 信息系统安全管理要求等政策标准制定。第三条 本规定依照“信息安全管理的主要领导负责、全员参与、依法管理、分权和授权和体系化管理”原则编制,具体原则如下:

34、(一)主要领导负责原则:省某某单位应确保主要领导参与并确立组织统一的信息安全保障宗旨和政策,组织有效的安全保障队伍,调动并优化配置必要的资源,协调安全管理工作与各部门工作的关系,并确保其落实、有效;(二)全员参与原则:信息系统所有相关人员普遍参与信息系统的安全管理,并与相关方面协同、协调,共同保障信息系统安全;(三)依法管理原则:信息安全管理工作应保证管理主体合法、管理行为合法、管理容合法、管理程序合法;(四)分权和授权原则:对特定职能或责任领域的管理功能实施分离、独立审计等实行分权,避免权力过分集中所带来的隐患,以减小未授权的修改或滥用系统资源的机会。任何实体(如用户、管理员、进程、应用或系

35、统)仅享有该实体需要完成其任务所必须的权限,不应享有任何多余权限。(五)体系化管理原则: 省某某单位整体应符合信息系统等级保护三级的体系化管理目标和要求。第四条 本规定适用于省某某单位。2.1.2、 信息安全组织机构第五条 省某某单位应建立由省某某单位网络安全与信息化工作领导小组和省某某单位网络安全与信息化工作领导小组办公室共同构建的安全管理机构。第六条 由省某某单位主管领导或主管领导授权的主管机构领导担任省某某单位网络安全与信息化工作领导小组组长,小组成员包括:(一)省某某单位信息化主管领导;(二)省某某单位各业务单位的主管领导;(三)省某某单位信息化管理处主管领导。第七条 省某某单位网络安

36、全与信息化工作领导小组办公室是省某某单位的信息化管理处,是信息安全工作的执行机构,负责执行省某某单位网络安全与信息化工作领导小组交办的各项工作,由省某某单位信息化主管领导主管领导担任负责人,成员为各业务单位的主管领导,信息安全执行层包括:(一)省某某单位的网络管理员、系统管理员、安全管理员、安全审计员、安全策略/规划员、数据库管理员、应用管理员和机房管理员;(二)省某某单位各业务单位的安全员。第八条 信息化管理处应设立信息安全管理岗位,分别为安全管理员、安全审计员、网络管理员、系统管理员、数据库管理员、应用管理员和机房管理员,负责执行网络、系统、数据库、应用和机房的安全管理和运维工作。第九条

37、其他信息化相关部门应指派安全员,负责协调本部门信息安全工作的落实和具体执行情况。2.1.3、 信息安全组织职责第十条 省某某单位网络安全与信息化工作领导小组办公室负责领导省某某单位的信息系统安全工作,组织职责如下:(一)根据国家和行业有关信息安全的政策、法律和法规,确定信息安全工作的总体方向、总体原则和安全工作方法;(二)根据国家和行业有关信息安全的政策、法律和法规,批准省某某单位信息系统的安全策略和发展规划;(三)确定各有关部门在信息系统安全工作中的职责,领导安全工作的实施;(四)监督安全措施的执行,并对重要安全事件的处理进行决策;(五)指导和检查信息化管理处的各项工作;(六)建设和完善信息

38、系统安全组织体系和管理机制。第十一条 省某某单位网络安全与信息化工作领导小组办公室负责贯彻、落实和执行省某某单位网络安全与信息化工作领导小组下达的各项工作,组织职责如下:(一)贯彻、落实和解释国家和行业有关信息安全的政策、法律、法规和信息安全工作要求,起草省某某单位信息系统的安全策略和发展规划;(二)落实和执行省某某单位信息安全工作的日常事务,对具体落实情况进行总结和汇报;(三)负责安全措施的实施或组织实施,组织并参加信息安全重要事件的处理;(四)负责、外部组织和机构的信息安全沟通、协调和合作工作;(五)组织编制和落实信息安全规划、方案、实施、测试和验收等工作;(六)指导和检查相关单位信息系统

39、安全工作落实情况;(七)监控信息系统安全总体状况,提出安全分析报告;(八)指导和检查相关单位和下级单位信息系统安全人员及要害岗位人员的信息安全工作;(九)协同有关部门共同组成应急处理小组,组织处理信息安全应急响应工作;(十)负责组织信息系统安全知识的培训和宣传工作。2.1.4、 信息安全岗位职责第十二条 省某某单位信息安全组织中应建立信息安全岗位,明确信息安全岗位职责。第十三条 信息安全工作主管(信息化管理处主任)的岗位职责如下:(一)组织、协调落实各项信息安全工作;(二)组织评审信息安全总体策略、规划方案、管理制度和技术规;(三)组织评审信息安全产品技术规格和相关产品安全规格;(四)组织监督

40、、检查信息安全工作的落实情况。第十四条 安全管理员(专职)的岗位职责如下:(一)起草和编制省某某单位信息安全方针、信息安全保障体系框架和信息安全策略、制度和技术规;(二)起草和编制省某某单位信息安全总体规划,收集信息系统安全需求;(三)推动省某某单位信息安全方针、信息安全策略、信息安全管理制度及信息安全技术规的实施落实。(四)定期组织信息系统漏洞扫描和信息安全风险评估工作,形成信息系统和整体安全现状报告,并向省某某单位网络安全与信息化工作领导小组办公室进行汇报;(五)负责制定总体网络访问控制策略和规则,并对其进行监控和审计工作,定期发布策略执行情况;(六)负责制定全员的安全培训计划,组织开展安

41、全培训工作;(七)对网络、系统、应用、数据库管理员进行安全指导;(八)定期收集信息安全漏洞和公告信息,并告知相关部门的信息安全运维管理人员及安全员;(九)协调信息安全应急响应组织和技术支撑单位。第十五条 安全审计员的岗位职责如下:(一)定期审计信息安全策略执行情况,收集信息系统日志和审计记录,并提供审计报告;(二)对安全、网络、系统、应用、数据库、机房管理员的操作行为进行监督,安全职责落实情况进行检查;(三)组织检查相关单位和下级单位信息系统安全人员及要害岗位人员的信息安全工作。第十六条 系统管理员的安全职责如下:(一)根据省某某单位安全策略定期对系统进行自评估;(二)依照安全策略对系统进行安

42、全配置和漏洞修补;(三)对系统进行日常安全运维管理,定期更改系统账号,并定期提交安全运行维护记录或报告;(四)在发生系统异常和安全事件时对系统进行应急处置。第十七条 网络管理员的安全职责如下:(一)根据省某某单位安全策略定期对网络设备、网络架构进行自评估;(二)依照安全策略对网络设备进行安全配置;(三)对网络设备、安全设备进行日常安全运维管理,并定期提交安全运行维护记录或报告;(四)在发生系统异常和安全事件时,对网络设备、安全设备进行应急处置。第十八条 数据库管理员的安全职责如下:(一)根据省某某单位安全策略定期对数据库安全进行自评估;(二)依照安全策略对数据库进行安全配置和漏洞修补;(三)对

43、数据库进行日常安全运维管理,定期检查数据库用户,并提交安全运行维护记录或报告;(四)在发生数据库异常和安全事件时,对数据库以及备份数据进行应急处置和恢复。第十九条 应用管理员的安全职责如下:(一)根据省某某单位安全策略定期对应用进行自评估;(二)依照安全策略对应用进行安全配置和漏洞修补;(三)对应用进行日常安全运维管理,并提交安全运行维护记录或报告;(四)在发生应用异常和安全事件时,对应用进行应急处置和恢复。第二十条 机房管理员的安全职责如下:(一)负责机房的物资管理和日常维护工作;(二)根据信息化管理处的要求,严格遵守工作流程,确保日常工作的正常进行;(三)完成信息化管理处交办的其他工作。第二十一条 重要业务系统操作人员的安全职责如下:(一)根据省某某单位安全策略对业务系统进行安全操作;(二)负责定期对业务系统操作进行自评估,如发现非法或违反安全策略的操作应及时报告安全审计员。第二十二条 相关部门安全员的岗位职责如下:(一)负责本部门信息安全工作的开展,并配合信息化管理处的信息安全工作;(二)遵照省某某单位的信息安全策略协调本部门的信息安全技术落实;(三)指导并参与信息安全相关项目的建设;(四)协调本部门的信息安全工作,并接受数据信息化管理处定期和不定期的检查。2.1.5、

展开阅读全文
相关资源
猜你喜欢
相关搜索
资源标签

当前位置:首页 > 生活休闲 > 在线阅读


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号