一.安全管理制度
(一)信息安全工作总体方针和安全策略
一、总体目标
为满足业务运行要求,遵守行业规程,实施等级保护及风险管理,确保信息安全以及实现持续改进的目的等内容作为本单位信息安全工作的总体方针。以信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断为总体目标。
二、范围
本文件适用于XXXX单位XXXX部门信息安全整体工作。在全单位范围内给予执行,由XXXX单位对该项工作的落实和执行进行监督,全单位配合XXXX单位对本文件的有效性进行持续改进。
三、原则
以谁主管谁负责为原则(或者采用其他原则例如:“整体保护原则”、“适度保护的等级化原则”、“分域保护原则”、“动态保护原则”、“多级保护原则”、“深度保护原则”和“信息流向原则”等)。
四、安全框架
建立一套关于物理、主机、网络、应用、数据、安全管理中心、建设和管理等六个方面的安全需求、控制措施及执行程序,并在关联制度文档中定义出相关的安全角色,并对其赋予管理职责。“以人为本”,通过对信息安全工作人员的安全意识培训等方法不断加强系统分布的合理性和有效性。
1.物理方面
依据实际情况建立机房管理制度,明确机房的出入管理办法,机房介质存放方式,机房设备维护周期及维护方式,机房设备信息保密要求,机房温湿度控制方式等等环境要求。通过明确机房责任人、建立机房管理相关办法、对维护和出入等过程建立记录等方式对机房安全进行保护。
2.网络方面
从技术角度实现网络的合理分布、网络设备的实施监控、网络访问策略的统一规划、网络安全扫描以及对网络配置文件等必要信息进行定期(如每周)备份。从管理角度明确网络各个区域的安全责任人,建立网络维护方面相关操作办法并由XXXX单位监督执行,确保各信息系统网络运行情况稳定、可靠、正常的运行。
3.主机方面
要求各类主机操作系统和数据库系统在满足各类业务系统的正常运行条件下,建立系统访问控制办法、划分系统使用权限、安装恶意代码防范软件并对恶意代码的检查过程进行记录。明确各类主机的责任人,对主机关键信息进行定期备份。
4.应用方面
从技术角度实现应用系统的操作可控、访问可控、通信可控。从管理角度实现各类控制办法的有效执行,建立完善的维护操作规程以及明确定期备份内容。
5.数据方面
对本部门的各类业务数据、设备配置信息、总体规划信息等等关键数据建立维护办法,并由XXXX单位监督、执行。通过汇报或存储方式实现关键数据的安全传输、存储和使用。
6.建设和管理方面
6.1信息安全管理机制
成立信息安全管理主要机构或部门,设立安全主管等主要安全角色,依据信息安全等级保护XX级标准(要求),建立信息系统的整体管理办法。
6.2信息安全管理组织
分别建立安全管理岗位和机构的职责文件,对机构和人员的职责进行明确。建立信息发布、变更、审批等流程和制度类文件,增强制度的有效性。建立安全审核和检查的相关制度及报告方式。
6.3人员安全管理要求
对人员的录用、离岗、考核、培训、安全意识教育等方面应通过制度和操作程序进行明确,并形成记录文件。
6.4信息安全等级保护工作及风险评估要求
定期对已备案的信息系统进行等级保护测评,以保证信息系统运行风险维持在较低水平,不断增强系统的稳定性和安全性。
6.5报告安全事件要求
对突发安全事件建立应急预案管理制度和相关操作办法,并定期组织人员进行演练,以保证信息系统在面临突发事件时能够在较短时间内恢复正常的使用。
6.6业务持续性要求
根据对系统的等级测评、风险评估等间接问题挖掘,及时改进信息系统的各类弊端,包括业务弊端,应建立相关改进措施或改进办法,以保证对信息系统的业务持续性要求。
6.7违反信息安全要求的惩罚
建立惩处办法,对违反信息安全总体方针、安全策略的、程序流程和管理措施的人员,依照问题的严重性进行惩罚。
7.安全管理中心
安全管理中心是对网络安全等级保护对象的安全策略和安全计算环境、安全区域边界和安全通信网络上的安全机制实施统一管理的平台或区域,是网络安全等级保护对象安全防御体系的重要组成部分。建立管理办法从系统管理、安全管理、审计管理等方面进行要求。
五、制度与发布
XX岗位应根据信息安全人员与各部门负责人,了解各部门的安全管理制度现状,结合单位管理需求,提出相应的管理制度起草需求或计划,确定后,由XX岗位审批。
批准后组织XXXX单位部门进行制度的编制,所有相关文档需遵循单位规定的统一格式,编制完成后提交XX岗位论证和审定。
XX岗位负责对开发流程进行监督指导,以保证开发质量和进度,文档编制完成后,由XX岗位内部审批,评审须有书面记录。评审要点包括:
1.文档可行性、可操作性;
2.文档内部逻辑性,与相关文件匹配性;
3.文档现行状态(版本、编号);
4.文字校对;
根据评审结果,对文档进行修订,如初审时问题较大,修订后再次组织评审。全局性基础性制度由XXXX单位部门工作起草,XX岗位审核,单位领导批准后由管理服务中心负责发布,确保相关部门得到最新的有效版本,并有签收记录。
六、评审和修订
XX岗位应定期(如每年一次)组织相关部门和人员对安全管理制度进行评审,并留存评审记录,对存在不足或需要改进的安全管理制度进行修订并保留修订记录,在安全时间发生或执行过程中问题积累到一定程度时,XXXX单位部门应该组织相关部门和人员对安全管理制度进行升级。
七、相关文件
《机房安全管理制度》
《操作人员日常操作规程》
七、附则
本文件由XXXX单位负责解释并督促执行
本办法自印发之日起执行
(二)机房操作人员日常操作规程
一、目的
本制度用于机房内部,作为机房工作人员的日常行为规范
二、内容
机房工作人员应严格遵守各项规章制度,工作人员进入机房须严格按要求履行门禁审批、登记手续。
机房内物品须放在指定位置,通道、路口、设备前后和窗口附近,均不得堆放物品和杂物、严禁带入和存放易燃、易爆、易碎、易污染和强磁物品。
机房内严禁吸烟、喝水和吃零食,不准大声喧哗。
值班人员应熟悉各项业务和掌握各类故障的应急操作步骤,未经培训考核及格的人员,不得单独承担值班工作。
值班人员严禁从事与工作无关的事情,严禁在终端和PC机上运行游戏程序及其它与工作无关的程序。不得擅离工作岗位。
值班人员在值班期间要坚守岗位,不能擅离职守。应按时完成维护作业计划,填写值班日志,并协助设备维护人员完成现场维护工作。
值班人员应按规定项目定时巡视设备运行情况、各种告警显示。保持设备和电路运行良好,保持室内环境干净整齐,保持机房电源、温湿度等符合要求,保证机房安全,发现异常及时作相应处理并填写《运维检查记录表》(见附件一)。无法独立解决的应及时通知相关人员,跟踪处理的各个环节并协助处理。对于严重的故障应按照故障上报流程立即上报。
值班人员负责机房安全、保密工作;作好机房出入人员的登记工作,及时认真填写好值班日志及各种规定的记录,对系统工作及机房环境等进行详细、正确的记录,做到字迹清晰、内容完整、描述清楚。
机房值班人员负责定时进行巡检,并填写《运维检查记录表》,见附件一。
保持机房内各种资料和记录的完好,各种图纸、资料、文件、工具、仪表未经允许不准擅自带出机房,使用后归还原处。
交接班必须准时、认真,接班人员应提前10分钟进入机房等待接班,查阅相关记录,做好交接准备。
交接班内容:设备运行状况;维护作业执行情况;故障处理情况;外来人员进入机房情况;上级指示以及需要由接班人继续处理的问题。
交接方法:交接班人员将交接内容检查核实确认无误,双方在值班日志签字后正式交接班。
交接班过程中发生故障或事故,应暂停交接,以交班人员为主负责处理,接班人协助共同处理,直至障碍或事故消除或处理告一段落后再继续交接。
交接班中因漏交或错交产生的差错,由交班人员承担责任,接班后发现的差错事故由接班人负责。
三、附则
本办法由XXXX单位负责解释和修订
本文件自印发之日起施行
四、附件
附件一:《运维检查记录表》
附件一:
运维检查记录表
检查分类 | 检查对像 | 检查内容 | 检查结果 | 备注 | |
硬件部分 | 服务器部分 | 数据库服务器 | 检查通道检测卡上各部件工作状态 | ||
检查服务器前面板上各硬盘的工作状态 | |||||
检查服务器是否有异常声音 | |||||
应用服务器 | 检查通道检测卡上各部件工作状态 | ||||
检查服务器前面板上各硬盘的工作状态 | |||||
检查服务器是否有异常声音 | |||||
网络交换机部分 | 网络交换机 | 检查核心交换机连接指示灯是否正常 | |||
检查核心交换机电源是否正常 | |||||
检查核心交换机工作是否正常 | |||||
网络安全部分 | 网络防火墙 | 检查网络防火墙各连接端口是否正常 | |||
检查网络防火墙电源是否正常 | |||||
路由器 | 检查路由器各连接端口是否正常 | ||||
检查路由器电源是否正常 | |||||
入侵检测设备 | 检查入侵检测设备连接端口是否正常 | ||||
检查入侵检测设备电源是否正常 | |||||
PC部分 | 检查PC启动、关闭是否正常 | ||||
检查管理PC网络是否正常 | |||||
检查管理PC是否有异常声音 | |||||
软件部分 | 操作系统部分 | 查看系统日志,检查系统是否有异常 | |||
打开任务管理器,检查CPU、内存、网络是否有异常 | |||||
打开设备管理器,检查是否有异常设备 | |||||
打开磁盘管理器,检查磁盘联接是否正常,磁盘使用空间是否正常 | |||||
使用Ping命令,检查网络是否正常 | |||||
清理垃圾文件 | |||||
数据库部分 | 使用SQL Server Management Studio进入资源管理器,查看SQL Server日志和错误日志 | ||||
检查是否有异常登录名 | |||||
使用Windows资料管理器,查看SQL Server进程的资源使用情况 | |||||
备份部分 | 使用SQL Server Management Studio进入资源管理器,对现运行的数据库进行备份保存 | ||||
使用SQL Server Management Studio进入资源管理器,对现运行的数据库进行备份计划,暂定每周2凌晨自动执行数据备份保存 | |||||
安全防御部分 | 进入防火墙配置管理界面,查看防火墙状态,检查防火墙策略,是否有异常变动 | ||||
登录防火墙入侵检测设备(IDS)控制台,查看日志信息,判断是否有异常攻击 | |||||
依次对每台服务器和PC机安装最新的系统补丁文件 | |||||
依次检查每台服务器和PC机病毒软件的病毒库更新情况、运行情况;并进行全盘杀毒 | |||||
机电部分 | 线路部分 | 检查所有设备供电是否正常 | |||
检查插排供电是否正常;有无破损 | |||||
检查网线接头有无松动;有无破损;通信是否正常 | |||||
检查光纤通信有无松动;有无破损;是否正常 | |||||
电压部分 | 检查所有设备的电压是否正常 | ||||
环境部分 | 对机房所有设备的除尘、清洁 | ||||
物理部分 | 检查消防设施功能是否正常 | ||||
检查防盗设施功能是否正常 | |||||
检查防水设施功能是否正常 | |||||
检查防雷设施功能是否正常 | |||||
检查带电设备接地保护是否正常 | |||||
(三)管理制度变更及审批记录表
管理制度变更及审批记录表
制度名称 | 负责部门 | |||||
变更后名称 | 变更日期 | |||||
变更原因: | ||||||
变更内容: | ||||||
处室领导意见: 签字: | ||||||
主管领导意见: 签字: | ||||||
相关部门沟通确认 | ||||||
单位或部门 | 签字 | 单位或部门 | 签字 | |||
(一)信息安全管理组织机构和人员职责管理办法
一、总则
为加强XXXX单位信息安全管理工作,保障网络与信息系统的正常运行,依据有关法律、法规及信息安全标准,特制定本办法。
本办法适用于XXXX单位的信息安全组织机构和人员职责的管理。
二、信息安全领导小组
成立网络安全管理工作的职能部门为XXXX部门�,成立信息安全领导小组,其最高领导为单位主要领导兼任。领导小组是信息安全的最高决策机构,负责信息安全领导小组的日常事务。
信息安全领导小组下设两个工作组:
信息安全工作组
应急处理工作组
信息安全领导小组的职责主要包括:
根据国家和行业有关信息安全的政策、法律和法规,批准单位信息安全总体策略规划、安全管理制度体系建设、管理规范和技术标准;
确定单位信息安全各有关部门工作职责,指导、监督信息安全工作。
1.信息安全工作组
信息安全工作组组长由XXXX单位的负责人担任。
信息安全工作组的主要职责包括:
贯彻执行单位信息安全领导小组的决议,协调和规范单位信息安全工作;
根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落实;
定期组织对信息安全工作制度和技术操作策略进行审查,根据审查结果对信息安全工作制度进行修订,并拟订信息安全总体策略规划,并监督执行;
负责协调、督促各职能部门的信息安全工作,参与信息系统工程建设中的安全规划,监督安全措施的执行;
组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全风险的防范对策;
负责接受各部门的紧急信息安全事件报告,组织进行事件调查,分析原因、涉及范围,并评估安全事件的严重程度,提出信息安全事件防范措施;
及时向信息安全工作领导小组和上级有关部门报告信息安全事件;
跟踪先进的信息安全技术,组织信息安全知识的培训和宣传工作。
2.应急处理工作组
应急处理工作组组长由XXXX单位的主要负责人担任。
应急处理工作组的主要职责包括:
审定单位网络与信息系统的安全应急策略及应急预案;
决定相应应急预案的启动,负责现场指挥,并组织相关人员排除故障,恢复系统;
每年组织对信息安全应急策略和应急预案进行培训和演练。
三、信息安全管理员管理
信息安全管理员应当政治可靠、业务素质高、遵纪守法、恪尽职守。
信息安全管理员应有计算机专业工作三年以上经历,具备专科以上学历。
信息安全管理员的配备和变更情况,应向上一级单位报告、备案。
违反国家法律、法规和行业规章受到处罚的人员,不得从事信息安全管理与技术工作。
信息安全管理员的配备和变更情况,应向上一级单位报告、备案。
信息安全人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务。
四、信息安全管理员工作职责
负责信息安全管理的日常工作,实行多人共同管理制;
开展信息安全检查工作,对关键岗位人员安全工作进行指导和监督;
负责维护和审查有关安全审计记录,及时发现存在问题,提出安全风险防范对策;
开展信息安全知识的培训和宣传工作;
监控信息安全总体状况,提出信息安全分析报告;
及时向信息安全工作领导小组和单位报告信息安全事件。
信息安全管理员发现本单位重大信息安全隐患,有权向上级机构信息安全主管部门报告。
信息安全管理员发现信息系统关键岗位人员使用不当,应及时建议部门进行调整。
信息安全管理员必须严格遵守国家有关法律、法规和单位有关规章制度,严守单位商业秘密。
五、关键岗位人员管理
信息系统关键岗位人员,是指与重要信息系统直接相关的安全管理人员、网络管理人员、系统管理人员、审计管理员等岗位人员;
重要信息系统,是指涉及生产、建设与经营、管理等核心业务且有保密要求的信息系统;
关键岗位人员上岗前必须经单位人事部门进行政治素质审查,技术部门进行业务技能考核,工作经历和工作经验考查等,合格者方可上岗。
关键岗位人员有责任保护信息系统的秘密,并以签署保密协议的方式作出安全承诺;
关键岗位人员上岗必须实行“权限分散、不得交叉覆盖”的原则。系统管理人员、网络管理人员、系统开发人员、系统维护人员不得兼任业务操作员;系统开发人员原则上不应兼任系统管理员;
对关键岗位人员应实行定期考查制度,关键岗位人员应定接受安全培训,加强自身安全意识和风险防范意识;
关键岗位人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务;涉及单位业务保密信息的关键岗位人员调离单位,必须进行离岗审计,在规定的脱密期后,方可调离;
关键岗位人员离岗后,必须即刻更换操作密码或注销用户。
1.安全管理员责任
负责系统的运行管理,实施系统安全运行细则;
严格用户权限管理,维护系统安全正常运行;
认真记录系统安全事项,及时向信息安全管理员报告安全事件;
对进行系统操作的其他人员予以安全监督;
安全管理员不可兼任系统内其他关键岗位;
2.网络管理员责任
负责网络的运行管理,实施网络安全策略和安全运行细则;
安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运行;
监控网络关键设备、网络端口、网络物理线路,防范黑客入侵,及时向信息安全人员报告安全事件;
对操作网络管理功能的其他人员进行安全监督;
3.系统管理员安全责任
负责系统维护,及时解除系统故障,确保系统正常运行;
不得擅自改变系统功能;
不得安装与系统无关的其他计算机程序;
维护过程中,发现安全漏洞应及时报告信息安全管理员;
4、审计管理员安全责任
监督信息部门对各项信息安全规章制度的执行,并对关键信息文件进行备份,及时查处安全隐患;
负责对整个信息系统进行安全审计,对安全管理员做的安全评估报告进行审计;
协助安全管理员制定网络设备安全配置规则,并监督落实执行;
负责做好有关审计资料的原始调查的收集、整理、建档工作,按规定保守秘密和保护当事人合法权益;
在安全审计过程中,详细记载系统发生异常时的现象、时间和处理方式,并及时上报;
负责对所有涉及额审计事项,编写内部审计报告,及时报主管领导审核,并提出处理意见和建议;
负责参与网络安全事故的调查,对于由于安全审计员工作疏忽或事物而产生的安全事故,应追究其相应责任。
六、附则
本文件由XXXX单位负责解释并督促执行
本办法自印发之日起执行
(二)安全审核和安全检查管理办法
一、总则
为加强XXXX单位的安全审核和安全检查管理,规范审核和检查工作,特制订本办法。
本办法适用于XXXX单位。
二、管理要求
内部或外部相关的安全审核和安全检查工作应根据相关办法,并结合业务实际需求进行。
信息安全领导小组应监督、指导安全审核和安全检查工作,督促执行。
相关部门和人员应积极主动配合安全审核和检查工作,对发现的问题应及时改进。
三、工作内容
各部门信息安全员应定期(每月)针对本部门信息安全相关工作进行安全检查,并报信息安全工作组审核检查结果,并根据信息安全工作组提出的安全建议进行改进。
安全管理员应定期(每季度)组织进行安全检查,检查内容应包括但不限于系统日常运行、系统漏洞和数据备份等情况;各部门信息安全员应配合完成。
安全审计员应定期(每季度)进行安全审查,各部门信息安全员和中心安全管理员应配合完成。
信息安全工作组应制定安全检查表格,配合信息安全领导小组实施安全检查,记录汇总安全检查数据,形成安全检查报告,并对安全检查结果进行通报。
信息安全领导小组定期(每年)进行全面的信息安全检查,其内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。
所有信息安全审核和安全检查工作都应记录并存档。
四、附则
本办法由XXXX单位制定,并负责解释和修订。
本办法自发布之日起执行。
附件1:
应用系统安全检查记录表(部门信息安全员)
检查项目 | 标准 | 日期 | |||||||||||||||||||||
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | … | … | … | … | … | … | |||||
系统版本 | 软件更新 | 系统的软件更新和补丁安装是否正常 | |||||||||||||||||||||
安全漏洞 | 安全漏洞是否都已修复 | ||||||||||||||||||||||
账号安全 | 账号变更 | 账号增加删除等变更是否正常 | |||||||||||||||||||||
账号权限 | 账号的权限分配是否正常 | ||||||||||||||||||||||
密码强度 | 账号密码是否符合复杂度要求 | ||||||||||||||||||||||
运行安全 | 运行状态 | 软件运行状态是否正常 | |||||||||||||||||||||
安全日志 | 报警日志 | 是否所有报警日志均已分析处理 | |||||||||||||||||||||
日志审计 | 所有记录的日志是否正常 | ||||||||||||||||||||||
系统备份 | 软件备份 | 系统软件备份是否正常 | |||||||||||||||||||||
数据备份 | 系统数据备份是否正常 | ||||||||||||||||||||||
检查人员确认 | |||||||||||||||||||||||
异常处理记录 | |||||||||||||||||||||||
序号 | 故障现象 | 处理方法 | 处理效果 | 处理人签名 | 日期 | ||||||||||||||||||
1 | |||||||||||||||||||||||
2 | |||||||||||||||||||||||
注:检查结果为否的内容,需要填写异常处理记录
附件2:
基础设施安全检查记录表(部门信息安全员)
检查项目 | 标准 | 日期 | ||||||||||||||||||||||
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | … | … | … | … | … | … | ||||||
防病毒软件检查 | 版本检查 | 是否是最新版本 | ||||||||||||||||||||||
病毒检查 | 是否有病毒在活动 | |||||||||||||||||||||||
部室无线路由器检查 | 接入检查 | 无线路由接入是否经授权 | ||||||||||||||||||||||
密码设置检查 | 无线路由是否设置密码 | |||||||||||||||||||||||
密码复杂程度是否合规 | ||||||||||||||||||||||||
网络环境检查 | 网络连接 | 网络线路是否连接正常 | ||||||||||||||||||||||
网络带宽 | 网络带宽是否正常 | |||||||||||||||||||||||
备份链路 | 备份链路是否正常 | |||||||||||||||||||||||
防火墙 | 防火墙工作是否正常 | |||||||||||||||||||||||
路由器 | 路由器是否正常 | |||||||||||||||||||||||
三层交换机 | 三层交换机是否正常 | |||||||||||||||||||||||
网络设备日志 | 网络设备日志是否正常 | |||||||||||||||||||||||
服务器环境检查 | 服务器运行状态是否正常 | |||||||||||||||||||||||
操作系统用户管理是否正常 | ||||||||||||||||||||||||
操作系统日志是否正常 | ||||||||||||||||||||||||
操作系统补丁更新是否正常 | ||||||||||||||||||||||||
备份系统检查 | 备份系统状态是否正常 | |||||||||||||||||||||||
备份介质状态是否正常 | ||||||||||||||||||||||||
备份和恢复程序是否正常 | ||||||||||||||||||||||||
检查人员确认 | ||||||||||||||||||||||||
异常处理记录 | ||||||||||||||||||||||||
序号 | 故障现象 | 处理方法 | 处理效果 | 处理人签名 | 日期 | |||||||||||||||||||
1 | ||||||||||||||||||||||||
2 | ||||||||||||||||||||||||
3 | ||||||||||||||||||||||||
4 | ||||||||||||||||||||||||
5 | ||||||||||||||||||||||||
注:检查结果为否的内容,需要填写异常处理记录
附件3:
应用系统季度安全检查(安全管理员)
检查项目 | 检查内容 | 检查方式 | 检查结果 | 备注 | |||
不适用 | 是 | 否 | 未检查 | ||||
账号管理 | 应用系统是否有多余、无用、异常账号等情况 | 查询记录 | |||||
应用系统是否有账号权限不合理现象 | |||||||
应用系统是否有密码设置不合理现象 | |||||||
登录控制 | 应用系统是否未限制失败登录次数 | ||||||
应用系统是否未对多次登录失败采取措施处理 | |||||||
通信安全 | 应用系统是否未对关键通信采取加密等手段 | ||||||
审计安全 | 应用系统是否未启用安全审计功能 | ||||||
应用系统是否未对审计日志妥善保存 | |||||||
资源控制 | 应用系统是否未进行资源控制配置 | ||||||
检查人 | 检查日期 | ||||||
异常处理记录 | |||||||
序号 | 问题描述 | 处理方法 | 处理结果 | ||||
1 | |||||||
2 | |||||||
注:检查结果为是的内容,需要填写异常处理记录
附件4:
基础设施季度安全检查表(安全管理员)
检查项目 | 检查内容 | 检查方式 | 检查结果 | 备注 | |||
不适用 | 是 | 否 | 未检查 | ||||
安全设备运行情况 | 安全设备CPU、内存、硬盘等是否出现过异常 | 查询日志 | |||||
安全设备网络连接 | 安全设备的网络接口是否出现过异常 | 查询日志 | |||||
安全设备的网络连接是否出现过中断 | 查询日志 | ||||||
安全设备策略配置 | 安全设备的策略、配置是否有不合理内容 | 检查策略 | |||||
安全设备的策略变更是否有不规范操作 | 查询记录 | ||||||
安全设备的软件配置变更是否有不规范操作 | 查询记录 | ||||||
安全日志分析 | 安全设备的告警日志是否有未处理内容 | 查询日志 | |||||
安全设备的用户操作是否有违规行为 | 查询日志 | ||||||
检查人 | 检查日期 | ||||||
异常处理记录 | |||||||
序号 | 问题描述 | 处理方法 | 处理结果 | ||||
1 | |||||||
2 | |||||||
3 | |||||||
4 | |||||||
注:检查结果为是的内容,需要填写异常处理记录
附件5:
应用系统季度安全检查(安全审计员)
检查项目 | 检查内容 | 检查方式 | 检查结果 | 备注 | |||
不适用 | 是 | 否 | 未检查 | ||||
安全策略落实情况 | 身份认证安全策略是否有未落实内容 | 查询记录 | |||||
访问控制安全策略是否有未落实内容 | |||||||
通信安全策略是否有未落实内容 | |||||||
审计安全策略是否有未落实内容 | |||||||
用户安全审计 | 应用系统中是否有未授权用户出现 | 查询日志 | |||||
应用系统中是否有用户权限不合理现象 | |||||||
应用系统中是否有用户违规操作行为 | |||||||
应用系统中用户认证设置是否有不合理内容 | 现场检查 | ||||||
应用系统中用户权限设置是否有不合理内容 | |||||||
检查人 | 检查日期 | ||||||
异常处理记录 | |||||||
序号 | 问题描述 | 处理方法 | 处理结果 | ||||
1 | |||||||
2 | |||||||
3 | |||||||
4 | |||||||
注:检查结果为是的内容,需要填写异常处理记录
附件6:
基础设施季度安全检查(安全审计员)
检查项目 | 检查内容 | 检查方式 | 检查结果 | 备注 | |||
不适用 | 是 | 否 | 未检查 | ||||
安全策略落实情况 | 身份认证安全策略是否有未落实内容 | 查询记录 | |||||
访问控制安全策略是否有未落实内容 | |||||||
通信安全策略是否有未落实内容 | |||||||
审计安全策略是否有未落实内容 | |||||||
用户安全审计 | 应用系统中是否有未授权用户出现 | 查询日志 | |||||
应用系统中是否有用户权限不合理现象 | |||||||
应用系统中是否有用户违规操作行为 | |||||||
应用系统中用户认证设置是否有不合理内容 | 现场检查 | ||||||
应用系统中用户权限设置是否有不合理内容 | |||||||
检查人 | 检查日期 | ||||||
异常处理记录 | |||||||
序号 | 问题描述 | 处理方法 | 处理结果 | ||||
1 | |||||||
2 | |||||||
注:检查结果为是的内容,需要填写异常处理记录
(三)信息系统授权管理制度
一、目的
为了清晰界定信息系统管理岗位职责、明确相关部门和岗位的职责权限,切实做到不相容岗位相互分离和监督,特制定本细则
二、适用范围
本细则适用于信息管理部门及其他相关部门执行信息系统相关业务
三、内容、要求与程序
1.1信息系统管理相关的部门职责如表1-1
表1-1
控制部门 | 主要职责 |
信息领导小组 | 审批单位信息化建设发展规划 审批年度信息化建设计划 审批单个项目立项 |
XXXX单位/XXXX单位部门 | 编制信息化建设发展规划 汇总编制年度信息化项目建设计划 负责信息系统日常运行维护和信息管理 |
项目责任部门(单位内部) | 编制本部门项目需求建议 组织进行项目可行性研究分析 寻找供应商 签订合同 组织项目实施并进行跟踪评价 组织项目验收 |
财务部门 | 参与验收、安排付款、财务处理 |
使用部门 | 参与验收 |
1.2信息系统管理相关的岗位职责如表1-2
表1-2
控制岗位 | 主要职责 |
信息管理部门主管 | 制定信息化建设发展规划 制定信息管理部门规章 汇总编制年度项目建设计划 组织、协调部门开展工作 知道下属员工设计各岗位所需方案 培训信息系统使用者 |
信息系统管理员 | 负责单位网络设备和软硬件的维护保养 负责单位信息系统的保密管理 负责单位内外部信息的交流、沟通 防范单位信息系统来自外部网络的威胁 负责保障并监控程序的正常运行 协助主管培训信息系统的使用者 解决终端用户使用中性能的问题 |
1.3信息系统管理相关的岗位权限如表1-3
表1-3
项目 | 发起部门 | 审核部门 | 审批部门 |
年度信息化建设计划 | XXXX部门 | XXXX部门 | 信息化领导小组 |
信息化项目审批 | XXXX部门 | XXXX部门 | 信息化领导小组 |
确定供应商 | XXXX部门 | XXXX部门 | 信息化领导小组 |
四、授权范围
信息安全工作小组负责信息系统的所有安全管理活动相关事宜,第一审批人为网络与信息安全领导小组组长,第二审批人为网络与信息安全领导小组副组长,关键安全管理活动一律由第一审批人审批。
审批和授权范围包括(但不限于)以下重要管理活动:
1. 系统升级和变更
2. 外部网络的接入
3. 核心设备配置的修改
4. 设备的采购和使用
5. 外来人员访问
6. 重要设备外修与销毁
7、远程运维
一般审批和授权流程:
1. 后由安全管理活动当事人或负责人填写并向授权审批部门的审批人提交审批申请表,写明审批原因、审批内容等事项;
2. 填写人或负责人向授权审批部门的第一审批人提交审批申请表;
3. 第一审批人审阅授权和审批申请单,在其授权审批职责范围内进行审批,签字并加盖公章;
4. 当第一审批人不在办公现场时,应提交第二审批人进行相应的授权和审批;
5. 安全活动发起人在授权审批范围内执行相应的安全管理操作,并将实施进展报告给上级;
6. 安全管理活动完成后,应及时告知上级,并按要求汇报实施结果。
对于某项具体的重要安全管理活动,若在相应的管理制度文档中明确规定了授权过程,则按照其要求进行。
对于信息系统中发生的重大及关键安全管理活动的授权和审批过程,必须通过部门审批负责人和单位审批负责人的双重审批。
应根据实际情况的变化,及时和定期对各审批事项进行安全评审活动,以便对审批部门、审批人或审批流程等进行相应的改动。
五、审批事项审查
应定期(每季度)对审批、授权记录进行审查,及时更新授权记录信息,若有不合规操作及时通报;及时更新授权部门人员的信息。
六、附则
本办法由XXXX单位XXXX部门负责解释和修订
本文件自印发之日起施行
(一)人员管理规定
一、总则
为加强单位对信息安全人员的规范化管理,完善信息安全人员的管理制度,促进单位信息安全事业的发展,特制定本标准。
二、适用范围
本制度适用单位全体工作人员。
三、人员录用
由人社局负责人员的录用工作。录用人员时,对人员进行笔试、资格审查、面试、体检和考核等选拔程序,所录人员均首先要求具有良好的品德和个人修养,在此基础上选择具有优秀管理能力和专业技术才能的人员。应与被录用人员签订保密协议,与重要岗位人员签署岗位安全协议。
四、人员离岗
对调离人员,特别是因不适合安全管理要求被调离的人员,必须严格办理调离手续,进行调离谈话、承诺其调离后的保密义务,交回所有钥匙及证件,退还全部技术手册、软件及有关资料,更换系统口令和机要锁。涉及业务核心技术的信息安全人员调离单位,必须进行离岗审计,必要时签订离岗保密协议,并在规定的脱密期后,方可调离。
(二)信息安全教育和培训制度
一、目的
为了规范本单位的信息安全教育和培训工作,促进员工培训工作的日常化、全员化、制度化,增强员工培训工作的效果,使员工培训工作发挥应有的作用,特制定本制度
二、适用范围
本单位工作人员
三、要求
1.培训目的
帮助员工学习信息安全知识,满足本单位信息安全的要求,适应信息化安全不断发展的需求。
2.培训分类
结合本单位目前的实际情况,培训分为新员工培训和在职员工培训两大类;
新员工培训是专门针对新进员工举办的,旨在帮助新进员工了解本单位信息安全情况、尽快适应工作要求的培训;
在职员工培训指不脱离工作岗位,在工作中接受的培训。旨在提高员工信息安全技能和综合素质,满足本单位信息安全不断发展的需求;
在职培训中,属于部门内部特定的具体工作技能的培训,如邀请安全公司专家讲座、讨论会等形式,由技术处安排实施。
3.培训计划的制订
XXXX单位根据各职位具体情况,汇总、平衡、协调各部门的需求,制订单位及各部门的年度信息安全培训计划及各阶段的具体实施方案;
培训计划可以根据实际情况的变化而加以适当的修正与调整。培训计划的修正与调整须经领导批准,XXXX单位执行。
4.培训实施与考核
各部门领导每季度至少参加一次信息安全培训;
各部门领导对下属的培训负有责任并保证其下属每季度至少能参加一次专业培训;
XXXX单位根据实际情况可组织实施安全培训,所涉及部门必须予以配合并执行;
XXXX单位公布培训课程,培训地点、培训讲师及参训人员。有关参训人员必须及时到达培训地点参加培训,不得无故缺席;
XXXX单位根据培训内容,定期对不同岗位的人员进行考核,并填写员工培训考核记录表。
5.培训记录的保存
每次安全教育和培训结束后,培训的组织者应填写《安全培训记录报告表》,内容包括培训的时间、地点、内容、培训对象、培训效果等。
四、附件
附件一:《安全培训记录报告表》
附件一:
安全培训记录报告表
培训时间 | 年 月 日 至 年 月 日 | 地点 | ||
培训名称 | 培训方式 | |||
参加培训人员名单(共 人): 具体参加培训人员名单请将培训签到表附后。 | ||||
培训内容: | ||||
培训效果评价: | ||||
培训管理部门: | ||||
培训组织单位: 负责人签字 : 日期: 年 月 日 | ||||
(三)第三方人员安全管理
一、目的
为有效防范“第三方”人员带来的安全风险,加强和规范“第三方”人员的安全管理,保证计算机系统及网络的安全,特制定本规定
二、适用范围
本单位工作人员及指定的信息系统运维单位
三、要求
1. 第三方访问
(1)本办法所述的“第三方”人员包括软件开发商、产品供应商、系统集成商、设备维护商和服务提供商等外来人员。
(2)“第三方”人员的访问方式包括现场访问和远程网络访问。
(3)“第三方”人员访问重要区域(如机房、重要服务器或设备等),需出具介绍信,并在专人的陪同下方可进入。
(4) 接待人必须全程陪同“第三方”人员,告知有关安全管理规定,不应透露与“第三方”工作无关的信息,不得任其自行走动和未经允许使用网站系统的服务器设备。
(5) 原则上禁止“第三方”人员携带的电脑接入信息系统网络。
(6) 不允许“第三方”人员进行远程网络访问。如确因维护需要远程访问,必须先提交书面申请,签署保密协议,由运维单位签字批准后,由专人开设账户、分配权限,并登记备案。外部人员离场后应及时清除其所有的访问权限。
(7)“第三方”人员维护网络、主机等设备的安全配置时必须符合相应的安全配置标准中相应规定。
(8)必须防范“第三方”人员带来的以下安全风险:
1、“第三方”人员的物理访问带来的设备、资料盗窃;
2、“第三方”人员的误操作导致各种软硬件故障;
3、“第三方”人员的资料、信息外传导致泄密;
4、“第三方”人员对计算机系统的滥用和越权访问;
5、“第三方”人员给计算机系统、软件留下后门;
6、“第三方”人员对计算机系统的恶意攻击。
2.第三方安全要求
(9) 未经批准,禁止“第三方”人员私自将移动存储介质接入网站系统,移动存储介质必须在接待人的监控下使用。
(10)未经相关负责人特别许可,“第三方”人员不得在办公区域和机房内摄影、拍照。
四、附则
本规定的解释权归XXXX单位。
本规定自发布之日起生效。
(四)外来人员进出管理
一、目的
为加强外来人员进入部门生产区及办公区的管理,保证单位正常的工作秩序,确保单位技术机密不被窃取,保证单位人员安全,特制定本制度。
二、适用范围
本制度适用于进入单位信息机房的所有外来人员(包括软件开发商,硬件供应商,系统集成商,设备维护商和服务提供商,以及实习学生和临时工作人员)。
三、规定
外来人员进入机房,必须办理审批手续,填写《机房临时出入申请表》(见附件一),得到机房主管部门同意,并进行登记。
非经机房主管部门领导批准,外来人员不得触碰机房内设备;外来人员进入机房后的所有操作,必须在相关人员陪同下进行。
外来人员进行设备操作时,原则上应使用机房主管部门指定的终端设备。确因工程调测、设备维护等需要接入外来终端的,必须向机房主管部门提交书面申请,在得到批准后方可在指定接入端进行设备接入,并进行登记,机房值班人员审阅记录并签字确认,全程由机房相关人员陪同并监督。
检修设备由专业检修人员进行,他人不得随意操作。需停设备检修时,必须经机房主管部门领导批准方能进行,检修完成后,并填写《设备检查记录单》(见附件二),并由主管部门审阅后签字确认。
外来人员离开现场时必须通知机房相关人员或者现场监理人员。
四、附件
附件一:《机房临时出入申请表》
附件二:《设备检查记录单》
附件一:
机房临时出入申请表
记录表式号:记录顺序号:
NO | 进入日期 | 进入时间 | 姓名 | 事由 | 离开时间 | 陪同人员 | 备注 |
附件二:
设备检查记录单
记录表式号:记录顺序号:
检查日期 | 设备编号 | ||
检查人 | 所属部门 | ||
类别 | 检查项 | 情况描述 | |
服务器的登录及权限设置 | 服务器登录密码设置及更新情况 | ||
可登录服务器人员情况(项目中可登录服务器的人员一览) | |||
服务器的权限设置情况 | |||
服务器中共享目录的设置情况(文件夹的共享设置) | |||
服务器配置、外设及接口 | 服务器的网卡设置及IP情况 | ||
服务器的外接设备情况(光驱或软驱的共享设置情况) | |||
服务器的外接接口设备情况(USB接口的封闭状况) | |||
服务器防病毒设置 | 服务器所安装防病毒软件情况 | ||
防病毒软件更新情况 | |||
服务器所安装防病毒过滤软件情况 | |||
病毒过滤软件更新情况 | |||
设备日志情况 | 应用程序日志情况 | ||
系统日志情况 | |||
服务器安全日志情况 | |||
服务器运行情况 | CPU性能 | ||
内存性能 | |||
硬盘剩余存储空间 | |||
服务器操作设置 | 服务器的时间设置 | ||
服务器屏保设置情况 | |||
服务器软件安装情况 | 服务器安装的软件信息,包括名称、来源、版本、lisence信息等 | ||
(五)信息安全奖惩制度
一、目的
明确信息安全奖励与违规行为处罚的操作原则,强化执行,促进职工信息安全意识提升。
二、适用范围
本规范适用于XXXX单位各部门。
三、定义
序号 | 角色 | 职责 |
001 | 信息安全事件 | 指识别出的发生的系统、服务或网络事件表明可能违反信息安全策略或防护措施失效;或以前未知的与安全相关的情况;其中一、二级信息安全事件称为重大信息安全事件。 |
002 | 信息安全活动 | 为培养职工信息安全意识,提高单位整体安全水平而举办的活动,形式包括但不限于:考试、培训、宣传和自查。 |
四、职责
序号 | 角色 | 职责 |
001 | 职工 | 遵守信息安全管理制度,积极配合、参与信息安全活动。 |
002 | 各机构信息安全接口人 | 协助信息安全管理制度、产品的宣传与培训工作;负责对本机构信息安全问题进行汇总与反馈。 |
003 | 机构信息化负责人 | 是各机构信息安全的直接责任人,负责监督和管理本机构职工的信息安全行为,并对潜在的信息安全风险进行预警,预防信息安全事件。 |
004 | 机构主要负责人 | 对所负责机构的信息安全事件负相应的管理责任。 |
005 | 事件责任人 | 对信息安全事件进行跟踪处理,并确定事件责任人。 |
006 | 主要负责人 | 最终审批信息安全事件处罚申请。 |
007 | 依据制度对已审批的信息安全奖励/处罚报告执行处罚措施。 |
五、内容
1.奖励、违规行为处罚原则
1.1及时激励原则
对长期妥善保护信息资产,有效避免信息资产的遗失、滥用、盗用等,或对于促进信息安全合理共享表现突出的个人或者集体,将及时奖励。
1.2举报保密原则
对于举报信息安全违规行为的人员,将对其进行奖励并严格保护其个人资料不公开。
2.违规行为处罚原则
2.1法律追究原则
所有保密信息均为合法资产,受国家法律法规保护。任何损害保密信息的行为,均有权追究行为人法律责任。
2.2 违规分级原则
根据违规行为的性质、造成的损失和影响的严重程度、违规人员是否有意对违规行为分级。涉及关键信息资产的,违规等级要升级;一次违反多条信息安全规定的人员按最高违规等级从重处罚;对多次违反信息安全规定的人员再次违规时要从重处罚。
2.3 主动从宽原则
产生违规行为后主动报告,积极采取补救措施以减少影响和损失的人员,可减轻处罚;对问题隐瞒不报或者不及时上报而导致违规影响扩大的人员,加重处罚。
2.4 过度防卫处罚原则
对阻碍信息合理流动与共享的人员要给予处罚。
2.5 及时处理原则
对重大信息安全违规事件,要及时处理。任何拖延、推诿不处理的责任人,要给予问责。
3违规等级与责任部门
3.1 违规等级与措施
违规事件 | 违规等级 | 处罚措施 |
盗窃、故意泄露保密信息的,或故意违反信息安全管理规定,性质严重造成重大影响或者风险 | 一级 | 1.直接开除,永不录用; 2.如违反法律法规由移送公安机关处理;如给造成相关损失,须赔偿损失。 3.全系统范围内通报处罚决定。 |
故意违反信息安全规定,性质严重;或者造成较大影响或较大风险 | 二级 | 1.如给行业造成相关损失,须赔偿损失; 2.担任管理岗位的人员,进行降职或者降薪处理;非管理岗位的人员,进行降薪处理; 3.全行业范围内通报处罚决定。 |
过失违反信息安全管理规定,造成一定影响或者风险的;或者故意违反信息安全管理规定,但性质不严重且没有造成严重影响或风险 | 三级 | 1. 记入年终考评结果减10分或罚款500元; 2. 12个月内2次三级违规升级为1次二级违规。 3.机构内部通报处罚决定。 |
过失违反信息安全管理规定,性质较轻,且造成轻微影响或者风险 | 四级 | 1.记入关键事件考评结果减5分或罚款300元; 2.12个月内2次四级违规升级为1次三级违规; 3.机构内部通报处罚决定。 |
说明:
1)信息安全管理规定包括各机构正式发布的信息安全管理制度;
3.2 责任判定
1)发生一、二级重大信息安全事件违规时,违规者直接上级和机构负责人承担直接和间接责任,机构信息化负责人须承担连带管理责任。
2)对于三、四级信息安全违规,根据以下条件判断责任人直接上级是否连带处罚:
Ø员工无意违规,且责任人领导未进行审批授权的,不进行连带处罚;
Ø员工无意违规,但责任人领导进行包庇的,在事实确认的基础上,进行连带处罚;
Ø若所管理部门一个月内发生2次(含)以上故意违规或者4次(含)以上无意违规事件,对直接上级进行连带处罚。
3.3 处罚责任部门
处罚等级 | 处罚责任人 | 批准 | 申诉 |
一级 | 单位负责人 | / | XXXX单位部门 |
二级 | 单位负责人 | / | XXXX单位部门 |
三级 | 单位信息化负责人 | XXXX单位部门 | |
四级 | 单位信息化负责人 | XXXX单位部门 |
说明:
1)对于各类违规行为处罚应当慎重,应建立在客观事实的基础上给出处罚意见。根据违规行为性质、造成的损失和影响的大小,I有权要求对当事人加重或者减轻处罚;
2)发现可疑事件的组织作为事件调查和处理的责任部门。为了加快一级违规行为的处理进度,沟通时限和批准期限都是2天;
3)在违规事件处理过程中,协助与监督处罚责任人完成处罚执行工作。处罚责任人或其授权人员要做好与违规员工的沟通工作。对违规处罚过程中出现的拖延、推诿行为,可以行使否决权。
4、维护与解释
本规定发布之日起生效;
本规定由至少每两年审视一次,根据审核结果修订标准并颁布执行;
本规定解释权归XXXX单位。
(六)员工培训考核记录表
员工培训考核记录表 | ||||||||
培训日期 | 培训时间 | 培训课时 | ||||||
培训地点 | 培训方式 | 培训人数 | ||||||
组织单位 | 授课人: | 评估人 | ||||||
培训内容: | ||||||||
培训教材: | ||||||||
培训、考核方式 | 培训方式:( )课堂讲解( )实践,在合格人员指导下操作( )在岗培训( )自学 | |||||||
单位 | 受训人 | 考核成绩 | 单位 | 受训人 | 考核成绩 | 单位 | 受训人 | 考核成绩 |
考核确认人: | 审核人: | |||||||
注: | 1、受训人确信已掌握培训内容后,方可签名. | |||||||
2、对没有掌握培训内容的受训者需接受再培训. | ||||||||
3、培训效果必需经确认人认定、审核人审批,确认人和审核人由培训组织单位指定。 | ||||||||
4、培训结果应记入个人培训档案,并更新个人安全培训计划及记录。 | ||||||||
5、考核结果只填写合格或不合格。 | ||||||||
(一)工程实施过程管理制度
一、目的
为加强企业对工程项目实施过程中的管控,保证工程实施过程的合理、高效,特制订本管理制度。
二、适用范围
本制度适用于XXXX单位的工程实施过程管理工作。
三、细则
实施过程管理
1. 指定或授权专门的部门或人员负责工程实施过程的管理;
2. 应确保选择的承建商具有国家或者市信息化主管部门的资质认证;
3. 应由专门的项目经理或项目管理部门负责或聘请第三方监理公司协助;
4. 自施工准备到竣工验收的各个环节,均需进行技术监督、过程控制和质量检验;
5. 应制定详细的工程实施方案控制实施过程,并要求工程实施单位能正式地执行安全工程过程;
6. 实行监理制度的工程项目,应充分发挥监理单位在施工活动中的监督管理作用,对工程质量、进度、投资进行有效控制;
7. 质量检查工作,应以自检为主,自检、互检与专职检查相结合的原则,按照现行的施工质量验收规范执行;
8. 施工过程中工程管理人员应完成以下职责:
1) 认真贯彻与执行国家基本建设方面的政策、法令、法规和要求,严格执行基本建设程序;
2) 认真搜集有关资料,参与调研与技术论证,为编审工作提供证据;
3) 组织设计、施工及有关单位进行施工图纸会审和技术交底;
4) 做好施工前的准备工作,为工程及时开工和顺利施工创造必要条件;
5) 做好施工现场管理,主要是施工技术管理、工程质量的检查与监督工作;
6) 审查施工组织设计和整体施工方案;
7) 严格执行与施工单位签订的施工合同,并及时检查监督合同的执行;
测试验收管理
1. 系统测试验收过程中,测试验收的标准至少需要保证功能和安全两方面满足要求,测试工作要由专门人员或部门负责;
1) 项目承担单位应按照本办法规定的检查内容要求建立自我检查制度,在对信息系统软件开发和数据库建设的每个阶段和重要技术环节之后都必须进行认真检查,达到规定的系统应用和数据质量控制要求,满足信息业务的需要,并将自检的有关材料报项目组织实施单位备案;
2) 系统软件开发完成后,由项目承担单位向项目组织实施单位提出书面预检申请,经过审查同意后,由项目组织实施单位组织专家进行预检,并提交预检报告;
3) 系统软件预检合格后,由项目组织实施单位向项目批准单位提出书面验收申请,经审查批准后,由项目批准单位组织专家进行验收,并提交验收报告。
2. 对于自身缺少测试能力的项目需要委托第三方公司帮助完成测试工作;
1) 委托公正的第三方测试单位对系统进行安全性测试,并出具安全性测试报告;
2) 在测试验收前,根据设计方案或合同要求等制订测试验收方案,在测试验收过程中详细记录测试验收结果,并形成测试验收报告;
3) 对系统测试验收的控制方法和人员行为准则进行书面规定;
4) 指定或授权专门的部门负责系统测试验收的管理,并按照管理规定的要求完成系统测试验收工作;
5) 组织相关部门和相关人员对系统测试验收报告进行审定,并签字确认。
3. 为确保系统的正常测试验收,需满足以下规定:
1) 测试验收单位及其主要负责人应当对系统测试验收报告结论负责;
2) 建立严格的质量审核制度和质量保证体系,严格按照国家有关法律法规规章、技术规范和技术要求,开展测试验收工作和编制测试验收报告,并接受相关人员的日常监督检查;
3) 验收测试报告应当如实反映系统安全状况;
4) 禁止泄露信息系统相关机密信息;
5) 在验收监测或调查过程中不得隐瞒真实情况、提供虚假材料、编造数据或者实施其他弄虚作假行为;
6) 测试验收行为应当严格遵守国家和地方有关规定。
系统交付管理
系统交付过程中需明确系统交付的清单,提供详细的系统使用和维护文档,并在可能的情况下对技术人员进行适当的培训,具体内容如下:
1. 制定详细的系统交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点;
2. 对负责系统运行维护的技术人员进行相应的技能培训;
3. 应提供系统建设过程中的文档和指导用户进行系统运行维护的文档;
4. 指定或授权专门的部门负责系统交付的管理工作,并按照管理规定的要求完成系统交付工作;
5. 系统交付过程中控制方法及人员行为应满足以下规定:
1) 系统交付过程中应保证系统交付清单的真实性;
2) 禁止向外泄露系统相关信息;
3) 在系统交付过程中不得隐瞒真实情况、提供虚假材料、编造数据或者实施其他弄虚作假行为;
4) 系统交付行为应当严格遵守国家和地方有关规定;
5) 不得在系统交付工作中为个人谋取私利;
6) 不得进行其他妨碍系统交付工作的行为,保证廉洁、独立、客观的态度开展工作。
四、附则
本文件由XXXX单位负责解释并督促执行
本办法自印发之日起执行
(二)信息化项目管理办法
一、总则
为进一步规范XXXX单位信息化建设的管理,实现信息发展规划(计划)与项目建设的有效衔接,特制定本办法。信息化建设必须贯彻落实统一领导、统一规划、统一标准和统一组织实施的“四统一”原则。信息化系统建设项目依据“先定级备案、后建设实施,并在整个生命周期持续有效安全维护”的原则进行有效管理。
二、适用范围
本办法适用于XXXX单位信息化项目。
XXXX单位信息化项目是指一体化企业级信息集成平台、各信息系统、单位信息化网络、应用系统、信息化保障体系等的新建、改建、扩建与完善。
三、管理细则
(一)总体负责单位信息化网络和各信息系统的信息安全建设监督、各信息系统运维管理部门负责所属信息系统信息安全建设实施。
(二)系统定级要求
1.信息系统建设前应明确信息系统的边界,系统建设部门负责确定系统安全保护等级,以书面形式说明确定信息系统为某个安全保护等级的方法和理由;
2.应组织相关部门和有关安全技术专家对信息系统定级结果的合理性和正确性进行论证和审定,并保留论证与审定记录;
3.经论证和审定的系统定级报告应经单位信息安全领导小组批准。
(三)安全方案设计要求
1.系统建设方案设计时,应根据系统安全保护等级选择基本安全措施,并依据风险分析结果补充和调整安全措施;
2.信息系统建设部门应对该信息系统的安全建设进行总体规划,制定近期和远期的信息安全建设工作计划,上报审批后留存;
3.信息系统建设部门应根据信息系统的等级划分情况,统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案,并形成配套文件,上报审批后留存;
4.信息系统建设部门牵头组织及相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的合理性和正确性进行论证和审定,并经信息安全领导小组批准后,才能正式实施,论证和审批记录由留存。
(四)产品采购和使用要求
1.信息系统建设部门确保安全产品采购和使用符合国家有关规定,原则上采购国产的信息安全产品;
2.信息系统建设部门应确保密码产品采购和使用符合国家密码主管部门的要求;
3.信息系统建设部门应预先对产品进行选型测试,确定产品候选范围,并每年审定和更新候选产品名单。
(五)自行软件开发要求
1.信息系统建设部门在自行软件开发过程中,应确保开发环境与实际运行环境物理分开,开发人员和测试人员分离,测试数据和测试结果由部门安全管理员控制,不得随意扩散;
2.信息系统建设部门应根据信息系统具体情况,制定软件开发管理细则,明确说明开发过程的控制方法和人员行为准则,报备存;
3.信息系统建设部门应根据信息系统具体情况,应制定代码编写安全规范,要求开发人员参照规范编写代码;
4.信息系统建设部门应确保开发人员提供软件设计的相关文档和使用指南,并由部门安全管理员上报保管;
5.自行软件开发时,程序资源库的修改、更新和发布应得到部门负责人授权和批准。
(六)外包软件开发要求
1.软件使用部门需外包软件开发时应告知部门安全管理员备案,并上报;
2.软件使用部门应根据开发要求检测软件质量,软件质量检测报告应在软件生命周期内由部门系统管理员/网络管理员(根据软件性质和使用设备而定)存档;
3.软件使用部门应确保外包软件开发商提供全面的软件设计相关文档和详细的软件使用指南,并在软件生命周期内由部门系统管理员/网络管理员(根据软件性质和使用设备而定)存档;
4.软件使用部门应在软件安装前检测软件包中可能存在的恶意代码,并将检测报告报部门安全管理员存档;
5.软件使用部门应要求外包软件开发商提供软件源代码,并审查软件中可能存在的后门,或要求第三方专业软件测试机构对软件安全性进行测试,软件安全性测试报告应报部门安全管理员存档,并上报留存;
6.软件采购具体流程依据单位相关制度执行。
(七)工程实施要求
1.信息系统建设工程实施时,由系统建设部门负责工程实施过程中信息安全建设方案的具体实施管理,负责信息安全建设方案的实施监督;
2.系统建设部门应制定详细的工程实施方案控制实施过程,并要求工程实施单位全面执行工程实施方案;
3.系统建设部门应制定工程实施方面的管理制度细则,明确说明实施过程的控制方法和人员行为准则。
(八)测试验收要求
1.信息系统建设初验时,委托公司招标入围的第三方测试单位对系统进行安全性测试、等级测评和安全基线检测,并出具安全性测试报告、等级测评报告和安全基线检测报告,若结论不合格则不得进入终验程序,安全性测试报告、等级测评报告和安全基线检测报告应由留存,等级测评报告应由及时报相应公安机关备案;
2.系统建设部门在功能性测试验收前应根据设计方案或合同要求等制订测试验收方案,在测试验收过程中应详细记录测试验收结果,并形成测试验收报告;
3.系统建设部门应根据信息系统特点,对系统测试验收的控制方法和人员行为规范细则制定书面规定,并严格执行;
4.系统建设部门负责系统测试验收管理,并按管理规定的要求完成系统测试验收工作;
5.系统建设部门应组织相关部门和对系统测试验收报告进行审定,并保存审定记录。
(九)系统交付要求
1.系统使用部门应制定详细的系统交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点;
2.系统使用部门要求系统供应商对负责系统运行维护的技术人员进行相应的技能培训;
3.系统使用部门应确保系统供应商提供系统建设过程中的文档和指导用户进行系统运行维护的文档;
4.系统使用部门应将系统等级及其他要求的备案材料及时上报,应及时报相应公安机关备案。
(十)等级测评要求
1.在系统运行过程中,系统运维管理部门应定期对信息系统进行等级测评(三级和重要信息系统应每年进行一次测评,二级信息系统应至少两年进行一次等级测评),发现不符合相应等级保护标准要求的及时整改,等级测评报告由及时报相应公安机关备案;
2.应选择具有国家相关技术资质和安全资质的测评单位进行等级测评。
(十一)安全服务商选择要求
1.新建信息系统必须选择具有国家相关技术资质和安全资质的信息安全服务商为信息系统提供整体的持续的信息安全服务(服务内容应至少包括等级保护测评、信息安全培训、信息安全通报、漏洞扫描及安全评估、安全基线检测、应急响应支持等服务);
2.系统牵头运维管理部门配合,与选定的安全服务商签订与安全相关的协议,明确整个服务供应链各方需履行的网络安全相关义务,确保选定的安全服务商提供技术培训和服务承诺,并签订服务合同。
3.系统牵头运维管理部门应定期监督、评审和审核服务供应商提供的服务,并对其变更服务内容加以控制;应要求安全服务商定期提供安全服务报告,并定期(如每年)对安全服务商开展质量评价工作。
四、附则
本办法由XXXX单位负责解释,并根据实际情况适时修订
本办法从颁布之日起执行
(三)软件开发管理制度
一、总则
为提高XXXX单位的创新能力,加强项目及产品研发过程管理,缩短产品研发周期,以减少风险,提高工作效率和质量,降低成本。为规范应用系统开发项目管理流程,及时提供满足管理和业务需求的应用系统,特制定本制度。
二、用范围
本文件适用于XXXX单位应用系统开发管理、二次开发管理等工作;信息系统开发工作包括外包开发和自行开发。
二、职责
2.1需求提交部门职责:
业务部门负责需求的提出、参与需求规格说明书业务部分的制定、参与需求审核及演示版审核、负责用户测试的业务部分、配合安装部署试运行和产品验收。
2.2技术部职责:
负责受理业务部门提出的需求,进行需求分析,同时需要进行安全分析,主持需求规格说明书、概要设计、演示版的审核;负责质量控制,组织产品验收和正式投产使用;负责软件开发过程中的整体协调工作。
2.3合作方职责
负责进行需求分析、概要设计、详细设计、代码编制、测试、安装部署和验收。
三、工作程序
3.1提出需求:
业务部门根据业务实际情况,提出对应用软件的需求,具体包括:时间要求、功能要求、权限控制、安全要求和业务流程。
3.2受理:
技术部在接到业务部门的要求后,立即着手安排各项准备工作,制定任务计划,包括人力资源的考虑和时间要求的考虑,向合作方提出开发要求。
3.3需求分析:
合作方在接到开发要求后,与技术部共同进行需求分析。
3.4需求审核:
技术部组织业务部门和合作方共同进行需求规格说明书的审核,合作方提供审核所需的材料和需求规格说明书,负责技术问题的解释。业务部门应认真审核需求规格说书所描述的内容是否符合业务和管理要求,如果不符合要求技术部和合作方重新进行需求分析,直到审核通过为止,业务部门签字认可。
3.5概要设计:
合作方对审核通过后的需求按软件开发标准开始进行概要设计。
3.6概要设计审核:
技术部组织需求部门对合作方的概要设计进行审核,包括:是否符合业务部门提出的业务和管理要求,是否符合软件开发标准的要求,结构是否合理。审核未通过,合作方重新进行概要设计。
3.7演示版开发:
合作方对概要设计通过后的需求进行演示版的开发,完成所有界面设计、业务流程和功能规划。
3.8演示版的审核:
技术部组织业务部门和合作方共同进行演示版的审核,业务部门要对界面、业务流程和功能划分进行确认,如未达到业务部门的要求,重新进行演示版的开发,直到审核通过为止,业务部门签字认可。
3.9详细设计和代码编制:
合作方对演示版审核通过后的应用开始进行详细设计和代码编写,并按软件开发标准文档模版补充和完善详细设计说明书。
合作方对代码编写完的应用产品编写安装维护手册、升级安装手册、用户操作手册、测试用例报告,并进行多种方式的测试,包括:开发人员自身的测试、测试人员的测试,测试环境的测试。测试的内容不仅需要包含功能需求,也需要包含业务系统的安全需求,测试人员在测试完成后应编制测试报告,如果出现BUG或者不满足安全需求,要求填写BUG记录表,开发人员修订程序代码,直到测试完全通过。
3.10安装部署试运行:
技术部根据安排通知合作方开始安装部署试运行时间。由技术部组织业务部门进行安装部署试运行工作,并由业务部门负责用户测试工作。
3.11试运行审核:
技术部组织业务部门对试运行进行审核,审查测试用例、报告测试报告以及相关的技术文档,对程序中的关键点和安全需求按照测试用例报告进行严格测试,业务部门应配合技术部对应用产品进行试用,验证产品功能是否满足业务和管理要求,如果试用过程中发现不符合业务和管理要求,应认真填写问题反馈意见。如果业务部门反馈意见表明试运行不合格,技术部将要求合作方重新进行代码编写和测试,直到试运行通过。
3.12 产品验收:
技术部组织业务部门对合作方提交的应用产品进行验收,主要根据试运行用户测试结果和合同中规定的验收文档和其他要求进行验收工作,技术部负责严格检查技术文档,业务部门负责严格检查业务操作文档,并各自出具验收报告,由技术部汇总项目验收报告后报项目领导小组。若验收不合格,由技术部与合作方重新商定验收时间,择日进行,直到验收通过。
3.13投产上线:
在产品正式投产使用前,技术部负责对系统的基础架构平台进行安全检测与评估,安全检测的范围包含但不仅限于:操作系统、数据库、网络、信息系统功能隐患、结构合理性、源代码缺陷、服务能力(压力测试)。技术部确认该系统满足信息安全基线要求后,产品才可以正式的投产使用。
3.14记录归档:
技术部在项目结束后将所有记录根据档案管理的要求进行归档工作。
四、附则
本制度由XXXX单位负责解释。
本制度自发布之日起生效执行。
(一)机房管理制度
一、总则
机房作为计算机数据信息和网络通讯系统的关键中枢,为了保护计算机网络、通信信息系统和信息数据安全,保障单位内部数据通信及网络的正常运作,特制定本制度。
二、适用范围
本制度适用于XXXX单位所有出入机房的相关人员与机房内所有软、硬件设备。相关设备包括机房内所有业务设备(如:计算机服务器、监控设备等),以及相关的环境控制设备(如:精密空调、UPS等)。
三、职责
机房日常管理操作规程为内部文件,由部门指定人员负责拟定、完善,再由部门负责人签字确认,并进行登记。所有相关人员必须按制度执行;
机房的日常运行及相关设备的日常管理由机房网络管理员负责操作实施;
四、机房权限管理
机房管理员均须配发机房门禁卡,并妥善保管,不得借与他人使用;
门禁卡如遇丢失,应立即上报并及时补办;
机房管理员因故离开本岗位,应立即收回门禁卡;
外来人员需要进入机房,须由机房网络管理员同意后方可进入,并由机房网络管理员全程陪同;
外来人员进出机房,必须严格执行人员出入登记,填写《机房出入登记表》(见附件一);
五、环境控制管理
严禁在机房内吸烟、大声喧哗、聚众聊天或玩游戏;
机房内物品必须摆放整齐,不随意放置含有敏感信息的纸档文件和移动介质,严禁在机房内堆放杂物;
设备安装过程中产生的各类包装物应在当日及时清理干净;
必须建有机房清洁卫生保洁机制,定期做好机房及设备的清洁保养;
机房内实际温度应保持在20℃—25℃之间,相对湿度保持为45%—65%;
机房环境监控系统和远程报警系统,必须每天检查系统的运行状况,确保报警系统正常运行;
六、设备与系统运行管理
机房网络管理员必须做好机房设备的登记工作,建立详细的设备台账(包括编号、设备名称、型号与主要配置、主要用途、帐号口令、维修情况等,服务器主机还需记录所安装的操作系统、数据库等系统软件和应用软件等),以便于管理和维护;
设备进出机房须进行登记,新设备进入机房须填写《设备进出机房登记表》(见附件二),并由机房网络管理员统一分配IP地址、网络与信息安全管理区域后,方能安装使用。
设备带出机房,由机房管理员登记确认,填写《设备进出机房登记表》;
机房内的设备须由负责管理和维护该设备的人员进行安装、拆卸和配置等操作,操作时应严格按照该设备的操作规程进行;
机房设备的开关操作严格按照设备说明书规定的使用说明进行;
建立机房内设备的检修记录档案,填写系统运行日志,机房内的网络设备、计算机设备采用实时监控,遇有机房设备报警,故障等,处理完毕后,必须填写《机房设备故障报修跟踪表》(见附件三),每年定期对机房内设备进行检修维护,确保其始终处于良好的运行状态;
为保证系统安全,除网络管理员外,任何人未经批准,不得对机房内网络或计算机设备进行操作;
严格按照数据备份的操作流程,完成业务系统的操作系统和数据的备份工作,严禁完成备份工作前擅自实施新项目或关机;
机房内严禁使用来历不明的软盘、光盘、U盘等移动存贮介质。严禁携带病毒盘和游戏进入机房,严禁在互联网上下载与工作无关的内容,以防系统被破坏;
严禁各岗位工作人员越权操作,对重要的计算机信息处理系统应分级加设系统口令,以防机密信息的泄露;
机房内计算机、服务器、数据库及各应用系统的管理员口令必须密码复杂化工作,并且包含有字母、数字和特殊字符,口令定期进行更换;
机房网络管理员必须按规定做好机房内主机及网络安全等设备的日志日常备份与管理工作,尤其是主机数据库的审计日志、网络安全设备的参数配置有变动时,要及时记录并备份加密。
七、附则
对违反本制度造成机房安全管理事故的,根据事故的严重程度,参照有关规定,追究直接责任人和部门负责人的责任;
本制度由XXXX单位负责解释;
本制度自印发之日起开始执行;
八、附件
《机房出入登记表》
《设备进出机房登记表》
《机房设备故障报修跟踪表》
附件一:
机房出入登记表
记录表式号:记录顺序号:
No. | 进入日期 | 进入时间 | 姓名 | 事由 | 离开时间 | 陪同人员 | 备注 |
1 | |||||||
2 | |||||||
3 | |||||||
4 | |||||||
5 | |||||||
6 | |||||||
7 | |||||||
8 |
附件二:
设备进出登记表
记录表式号:记录顺序号:
No. | 设备编号 | 类型 | 型号 | 用途 | 所属部门 | 批准人 |
1 | ||||||
2 | ||||||
3 | ||||||
4 | ||||||
5 | ||||||
6 | ||||||
7 | ||||||
8 |
附件三:
机房设备故障报修跟踪表
记录表式号:记录顺序号:
故障设备: | 记录人员: | ||||
故障现象: | |||||
故障原因: |
| ||||
具体原因说明: | |||||
自主维修: |
| ||||
|
| ||||
送外维修 | 送修设备 | ||||
送修时间 | 接收人员: | ||||
| 是否保修期内维修: |
| |||
具体原因说明: | |||||
|
| ||||
返回时间 | 接收人员 | ||||
处理意见: | |||||
注意:在相应的选项的“□”内打“√”,且此单务必详细填写
(二)办公环境管理规定
一、目的
本规定了办公环境人员的职责权限、内容和方法要求。
二、适用范围
本规定适用于某部的如下领域:
1)电子邮件应用程序;
2)业务应用系统;
3)互联网接入;
4)任何桌面电脑和笔记本电脑;
5)计算机存储介质;
三、管理策略及内容
1.网络接入策略
全体员工必须正确地管理信息系统的接入信息,如分配的IP地址、用户ID和口令,对它们进行保密等,禁止与他人共用这些接入信息;
某部的网络接入采取固定IP的方式,须向部门负责人申请IP地址。需要访问外部网络时,须填写《网络使用申请单》(见附件一)经部门负责人批准后方可访问。负责人定期对网络接入权限进行审查。
2.网络连接的安全管理措施
禁止进行非法的路由设定、非法的拨号连接设定、提供非法的http/ftp访问服务、E-mail服务等的设定;
在感染病毒的场合,必须切断与内网的连接,直至清除病毒后才可以恢复与内网的连接;
对于不满足网络安全要求的计算机(如外借后归还XXXX部门的计算机,新购入的计算机等),必须进行相应安全设置,直至符合安全要求才能与内网连接。
3.微软操作系统的计算机安全管理措施
本条款的规定适用于服务器、测试机、个人计算机、笔记本电脑等安装微软的Windows操作系统的计算机。
a)对所有的安装微软操作系统的计算机,安装防毒软件。如有特殊原因或需要,不能安装防毒软件,需要取得部门的许可,并确保安全。
1)原则上必须安装杀毒软件,为保证病毒定义文件为最新,实时更新病毒定义文件;
2)防护功能缺省为有效状态;
3)定期(每周1次)扫描所有文件;
4)开启Windows update功能确保定期从微软官方网站下载安全补丁。
用户管理、口令管理、文件系统的权限设定须符合《信息系统安全操作规定》。
UNIX类操作系统的计算机安全管理措施
本条款之规定适用于服务器、测试机等安装UNIX(包括Solaris、HPux、Aix、Linux等)的计算机。
必须关闭不必要的服务。如因工作需要,必须开启服务的计算机,必须安装服务相关的全部的安全补丁;
用户管理、口令管理、文件系统的权限设定须符合《信息系统安全操作规定》。
四、桌清和屏清策略
全体员工必须遵守针对文件和可移动计算机介质的桌清策略,以及针对个人计算机的屏清策略,以减少非授权访问、丢失和损坏资产的风险;
桌清和屏清策略适用于任何时间任何地点;
作为桌清和屏清方针的最低要求,全体员工必须遵守执行以下的控制方法。
1.桌清说明
应在专门的会客区域接待来访人员,不在办公区域和其他重要区域接待来访人员。
含有受限信息的文件或计算机介质在不用时必须存放在合适的带锁文件柜或其他形式的防护装置中,特别是在下班后和当XXXX单位无人时。
确保传真机上的信息及时被取走。
受限信息一旦打印出来,必须从打印机处迅速取走。
信息安全部门负责人应该督促部门员工切实遵守上述规定。
2.屏清说明
计算机在无人照管或者不再使用时应锁定、注销或关机;
计算机应设定带口令保护的自动定时屏保功能,建议定时利用系统缺省值(Windows 系统自动定时屏保缺省值不能超过5min)。
五、会话超时
对于不活动的网络连接或会话,应设定在连接或会话不活动超过一定期间后自动中断连接的功能。重要服务器必须设定连接或会话不活动的超时设定。
六、无人值守的设备
服务器等无人值守计算机和设备应采取如下保护措施:
远程计算机登录窗口如临时终止使用,需要对远程计算机采取屏清操作,如长期不使用时应终止会话(Logoff);
如果本地计算机登录了远程计算机,本地窗口临时终止时,应先对远程计算机采取屏清操作,再对本地计算机进行屏清操作;
无人值守的重要服务器应放置到机房,并遵守《机房管理制度》;
对于无人值守且长期不使用的计算机等设备,应采取关机的方式。
七、补充说明
除本规定的规定外,在必要时可建立专门的机构,制定和维护信息系统在部门内的正常使用的规则和程序,并通过向部门内员工提供必要的培训教育,使其得到落实。
八、附则
本文件由XXXX单位负责解释并督促执行
本办法自印发之日起执行
九、附件
附件一:《网络连接申请表》
附件一:
网络连接申请表
记录表式号: 记录顺序号:
申请人 | 申请日期 | ||
使用人 | 所属部门 | ||
用户类型 | □正式员工 □实习生 □第三方人员 □其他﹍﹍﹍﹍ | ||
使用期间 | 自﹍﹍﹍﹍﹍﹍﹍﹍﹍开始至﹍﹍﹍﹍﹍﹍﹍﹍﹍结束 | ||
网络类型 | ○内网 ○外网 ○无线网络 ○其他﹍﹍﹍﹍﹍ | ||
IP地址 | |||
机器类型及编号 | 类型:○台式电脑 ○笔记本电脑 ○U盘 ○服务器 ○其他﹍﹍﹍﹍﹍ 编号﹍﹍﹍﹍﹍﹍﹍﹍﹍﹍ | ||
连接目的 | |||
备注 | |||
审核人意见 | 签名: 日期: 年 月 日 | ||
批准人意见 | 签名: 日期: 年 月 日 | ||
(三)信息系统安全操作规定
一、总则
为保障单位信息系统的操作系统和数据库管理系统的安全、稳定运行,规范操作系统和数据库管理系统的安全配置和日常操作管理,特制订本制度。
二、适用范围
本办法适用于单位信息系统的操作系统和数据库系统的管理和运行。
三、操作系统运行管理
1.操作系统管理员、网络管理员任命
操作系统管理员、网络管理员的任命应遵循“任期有限、权限分散”的原则;
对每个操作系统要分别设立操作系统管理员、网络管理员,并分别由不同的人员担任。在多个应用系统的环境下,操作系统管理员和操作系统网络管理员员岗位可交叉担任;
操作系统管理员、网络管理员的任期可根据系统的安全性要求而定,最长为三年,期满通过考核后可以续任;
操作系统管理员、网络管理员必须签订保密协议书。
2.操作系统管理员、网络管理员帐户的授权、审批
操作系统管理员、网络管理员账户的授权由系统运行维护单位填写《操作系统账户/数据库系统账户授权审批表》(见附件一),经信息系统运行管理部门负责人批准后设置;
操作系统管理员和操作系统网络管理员人员变更后,必须及时更改帐户设置。
3.其他帐户的授权、审批
本单位其他账户的授权由使用部门填写《操作系统账户/数据库系统账户授权审批表》,经信息系统运行管理部门负责人批准后,由操作系统管理员进行设置;
外单位人员需要使用本单位系统时, 须经相关业务管理部门主管同意, 填写《外单位人员操作系统账户/数据库系统授权审批表》(见附件二),报信息系统运行管理部门负责人批准后, 由操作系统管理员按规定的权限、时限设置专门的用户帐号;
严禁本单位任何人将自己的用户帐号提供给外单位人员使用。
4.口令的复杂性、安全性要求和检查
系统账户的口令长度设置至少为8位,口令必须从字符(a-z,A-Z)、数字(0-9)、符号([email protected]#$%^&*()_<>)中至少选择两种进行组合设置;
系统账户的口令必须经常更改,至少每月更改一次,每次更新的口令不得与旧的口令相同,操作系统应设置相应的口令规则;
系统用户的帐号、口令、权限等禁止告知其他人员;
须根据系统的安全要求对操作系统密码策略进行设置和调整,以确保口令符合要求。
5.系统维护和应急处理记录
应设置《操作系统/数据库系统维护和应急处理记录》(见附件三),系统管理员记录系统的运行情况;
应对系统安装、设置更改、帐号变更、组变更、备份等系统维护工作进行记录,以备查阅;
应对系统异常和系统故障的时间、现象、应急处理方法及结果作详细的记录。
6.操作系统软件、资料以及许可证的管理
必须对操作系统软件的介质、资料和许可证进行登记,并设专人负责保管;
登记的内容应包括软件的名称和版本、软件出版商、许可证类型和数量、介质的编号和数量、软件安装序列号、手册名称和数量、购买日期等;
应有软件和资料的借用审批和借还登记手续;
对重要的系统软件介质和资料要进行复制,借用时宜提供复制品,以保护好原件及避免丢失。
7.操作系统的系统管理员帐户名称、口令的管理
操作系统的系统管理员账户名称不得使用系统安装时默认的系统管理员账户名,应按照《操作系统账户/数据库系统账户授权审批表》批准的账户名称、权限和有效期予以设置;必须更改系统安装时默认系统管理员账户和具有特殊权限的账户的口令,关闭过期及不使用的账号;
操作系统管理员帐户的口令除了要满足本规范第六条中的口令要求外,还必须定期(至少每两周)更改一次,发现有异常情况时应立即更改,每次更新的口令不得与旧的口令相同;
严禁把操作系统管理员的帐户名称和口令告知其他人员。
8.操作系统配置的备份管理
操作系统管理员应对操作系统的配置参数及相关文件进行离线备份,当配置发生变更时必须重新备份,以便系统发生故障时能尽快恢复系统配置。
9.操作系统的安全检查
操作系统管理员应经常检查操作系统的安全配置,并确保符合安全配置要求。
操作系统管理员和操作系统网络管理员应定期查看操作系统的运行日志和审计日志,以及时发现出现的安全问题。
操作系统管理员应定期使用最新的安全检查或安全分析工具对系统进行检查,并及时消除存在的漏洞。特别是在新软件安装或软件更新之后。
查看客户端机器的补丁安装情况,并可进行相应补丁的安装与忽略安装操作。
补丁自动分发设置:设置终端用户是否自动进行补丁分发设置。
已安装补丁信息:详细查看终端用户已安装补丁信息。
漏洞修复日志:详细记录终端用户漏洞修复日志情况。
已忽略补丁信息:详细记录终端用户已忽略补丁安装信息。
更新补丁库:更新服务器中的补丁库信息。
4.数据库系统运行管理
4.1数据库管理员、网络管理员的任命
数据库管理员(DBA)的任命应遵循“任期有限、权限分散”的原则;
对每个数据库系统要分别设立数据库管理员和数据库网络管理员,并分别由不同的人员担任。在多套系统的环境下,数据库管理员和数据库网络管理员岗位应交叉担任;
数据库管理员、网络管理员的任期可根据系统的安全性要求而定,最长为三年,期满通过考核后可以续任;
数据库管理员、网络管理员必须签订保密协议书。
数据库管理员、网络管理员帐户的授权,审批
数据库管理员、网络管理员账户的授权由系统运行维护单位填写《操作系统账户/数据库系统账户授权审批表》,经信息系统运行管理部门负责人批准后设置;
数据库管理员、网络管理员人员变更后,必须及时更改帐户设置。
4.2其他帐户的授权,审批
本单位其他数据库账户的授权由使用部门填写《操作系统账户/数据库系统账户授权审批表》,经信息系统运行管理部门负责人批准后,由数据库管理员进行设置;
外单位人员需要使用本单位数据库系统时,须经相关业务管理部门主管同意,填写《外单位人员操作系统账户/数据库系统账户授权审批表》,报信息系统运行管理部门负责人批准后,由数据库管理员按规定的权限、时限设置专门的用户帐号;
《外单位人员操作系统账户/数据库系统账户授权审批表》应包括使用者姓名、身份证号、工作单位、接待部门、数据库系统名称和版本、主机型号、主机号、账户名称、账户类别、授予权限、账号和权限授予期限等;
严禁本单位任何人将自己的用户帐号提供给外单位人员使用。
4.3口令的复杂性、安全性要求和检查
数据库账户的口令长度设置至少为6位,口令必须从字符、数字、符号中至少选择两种进行组合设置;不宜使用与账户名称中相同的字符或使用姓名、生日和电话号码等其他容易猜测的字符组合;
数据库账户的口令必须经常更改,至少每季度更改一次,每次更新的口令不得与旧的口令相同,应设置相应的口令规则;
数据库用户的帐号、口令、权限等禁止告知其他人员;
必须根据安全要求对数据库管理系统的密码策略进行设置和调整,以确保口令符合要求。
4.4系统维护和应急处理记录
应设置《操作系统/数据库系统维护和应急处理记录》,系统管理员记录系统的运行情况;
应对系统安装、设置更改、帐号变更、表空间变更、数据对象变更、数据库备份等系统维护工作进行记录,以备查阅;
应对系统异常和系统故障的时间、现象、应急处理方法及结果作详细的记录。
4.5数据库系统软件、资料以及许可证的管理
必须对数据系统软件的介质、资料和许可证进行登记,并设专人负责保管;
登记的内容应包括软件的名称和版本、软件出版商、许可证类型和数量、介质的编号和数量、软件安装序列号、资料名称和数量、购买日期等;
应有软件和资料的借用审批和借还登记手续;
对数据库系统软件介质和资料要进行复制,借用时宜提供复制品,以保护原件及避免丢失。
4.6数据库管理员帐户名称、口令的管理
数据库管理员账户名称不宜使用系统安装时默认的管理员账户名,应按照《数据库系统账户授权审批表》批准的账户名称、权限和有效期予以设置。必须更改系统安装时默认的管理员账户和具有特殊权限的账户的口令,关闭不必使用的账号;
数据库管理员的口令长度必须设置至少为8位,满足口令的复杂性要求,还必须每两周更改一次,发现有异常情况时应立即更改,每次更新的口令不得与旧的口令相同;
严禁把数据库管理员的帐户名称和口令告知其他人员。
4.7数据库系统配置的备份的管理
数据库系统管理员应对数据库系统的配置参数及相关文件进行备份,当配置发生变更时必须重新备份,以便系统故障时能尽快恢复系统配置。
4.8数据库系统数据的备份管理
应制定数据库系统的备份策略,定期对数据库系统进行备份;
数据库备份策略的制定要以尽可能高效地进行备份与恢复为目标,并且与操作系统的备份最好地结合,宜采用物理备份与逻辑备份相结合;
必须对备份权限的设置加以严格控制;
必须妥善存放和保管备份介质(包括磁带、从数据库导出的文件等),防止非法访问。对备份的介质应做好标识,存放环境符合要求。
4.9数据库系统的安全检查
数据库管理员应经常检查数据库系统的安全配置,并确保符合安全配置要求;
审计管理员应定期查看数据库系统的运行日志和审计日志,以及时发现出现的安全问题;
数据库管理员应定期使用最新的安全检查或安全分析工具对系统进行检查,并及时消除存在的漏洞;特别是在新软件安装或软件更新之后。
四、附则
本制度由XXXX单位负责解释
本规定至印发之日起实行
五、附件
附件一:《操作系统账户/数据库系统账户授权审批表》
附件二:《外单位人员操作系统账户/数据库系统授权审批表》
附近三:《操作系统/数据库系统维护和应急处理记录》
附件一:
操作系统账户/数据库系统账户授权审批表
申请部门:编号:
姓名 | 工号 | 申请日期 | |||
部门 | 联系电话 | ||||
授权性质 | o新开账户 o权限变更 | 授权期限 | 起始日期: 结束日期: | ||
申请权限要求(系统名称、使用资源、使用功能、权限等): | |||||
申请理由: | |||||
业务管理部门意见: 签名:日期: | 信息系统运行管理部门意见: 签名:日期: | ||||
执行记录 | |||||
账户名 | 系统名 | 主机型号 | |||
资源名称 | 权限设置 | ||||
其他设置 | |||||
执行人 | 执行日期 | ||||
附件二:
外单位人员操作系统账户/数据库系统授权审批表
姓名 | 工号 | 申请日期 | |||
工作单位 | 身份证号 | ||||
授权性质 | o新开账户 o权限变更 | 授权期限 | 起始日期: 结束日期: | ||
申请理由 | |||||
申请理由: | |||||
业务管理部门意见: 签名:日期: | 信息系统运行管理部门意见: 签名:日期: | ||||
执行记录 | |||||
账户名 | 系统名 | 主机型号 | |||
资源名称 | 权限设置 | ||||
其他设置 | |||||
执行人 | 执行日期 | ||||
附件三:
操作系统/数据库系统维护和应急处理记录
系统名: | 主机名 |
维护和应急记录: 维护人: 维护时间: | |
(四)操作系统安全配置指南
一、目的
为提高XXXX单位信息系统中业务主机的安全性,优化安全配置,制定本指南。
二、适用范围
适用于XXXX单位信息系统中业务主机操作系统的基本安全加固。
三、加固指南
1、Windows系统安全配置管理策略
在应用以下安全策略之前应根据业务系统的实际情况进行操作,注意实施操作后对业务的风险。
(1)物理安全策略
①应设置 BIOS 口令以增加物理安全。
②应禁止远程用户使用光驱和软驱。
(2)补丁管理策略
①应启动 Windows 自动更新功能,及时安装 Windows 补丁(SP、hotfix)。
②对于不能访问 Internet 的 Windows 系统,应采用手工打补丁的方式。
(3)帐户与口令策略
①所有帐户均应设置口令。
②应将系统管理员账号 administrator 重命名。
③应禁止 Guest 账号。
④应启用“密码必须符合复杂性要求”,设置“密码长度最小值”、“密码最长存留期”、“密码最短存留期”、“密码强制历史”,停用“为域中用户使用可还原的加密来存储”。
⑤应设置“账户锁定时间”,“账户锁定阈值”,“复位账户锁定计数器”来防止远程密码猜测攻击。
⑥在信息安全组批准下,应定期利用口令破解软件进行口令模拟破解测试,在发现脆弱性口令后及时通告并采取强制性的补救修改措施。
(4)网络服务策略
①应尽可能减少网络服务,关闭不必要的服务。
②应通过修改注册表项,调整优化 TCP/IP 参数,来提高系统抵抗 DOS 攻击的能力。
③应限制使用 SNMP 服务。如果的确需要,应使用 V3 版本替代 V1、V2 版本,并启用 MD5 校验等功能。
(5)文件系统策略
①所有分区均应使用 NTFS。
②尽量使用磁盘配额管理、文件加密(EFS)等功能。
③应卸载 OS/2 和 POSIX 操作环境子系统。
④应将所有常用的管理工具放在 %systemroot% 外的特殊目录下,并对其进行严格的访问控制,保证只有管理员才具有执行这些工具的权限。
⑤应关闭 NTFS 生成 8.3 文件名格式。
⑥应设置访问控制列表(ACL),对重要的目录、文件进行访问权限的限制。
(6)日志策略
①应启用系统和文件审核功能,包括应用程序日志、安全日志、系统日志、以及各种服务的日志。
②应更改日志存放的目录,并及时监控,特别是安全日志、系统日志。对于重要主机设备,应建立集中的日志管理服务器,实现对重要主机设备日志的统一管理,以利于对主机设备日志的审查分析。
(7)安全性增强策略
①对于独立服务器应直接检查本地的策略和配置。对于属于域的服务器,应检查域控制器上对计算机的域管理策略。检查内容主要为用户、用户组及其权限管理策略。
②应限制对注册表的访问,严禁对注册表的匿名访问,严禁远程访问注册表,并对关键注册表项进行访问控制,以防止它们被攻击者用于启动特洛伊木马等恶意程序。
③应定期检查注册表启动项目,避免系统被安装非法的自启动程序。
④应隐含最后登陆用户名,避免攻击者猜测系统内的用户信息。
⑤在登录系统时应显示告警信息,防止用户对远程终端服务口令进行自动化的脚本猜测,并删除关机按钮。
⑥应删除 Windows 主机上所有默认的网络共享。
⑦应关闭对 Windows 主机的匿名连接。
⑧对于不需要共享服务的主机,应彻底关闭文件和打印机共享服务。
⑨应限制 Pcanywhere 等远程管理工具的使用,如确实需要,应使用最新版本,完整安装补丁程序并经过评测,获得信息安全工作组的许可;并使用 Pcanywhere 加密方式进行管理。
⑩应安装防病毒软件,并及时更新软件版本和病毒库。
2、Linux系统安全管理策略
(1)补丁管理策略
①应及时安装系统最新补丁。
②应及时升级服务至最新版本。
(2)帐户与口令策略
①所有帐户均应设置口令。
②去除不需要的帐户、修改默认帐号的 shell 变量。
③除 root 外,不应存在其他 uid=0 的帐户。
④应设置超时自动注销登陆,减少安全隐患。
⑤应限制可以 su 为 root 的组。
⑥应禁止 root 远程登陆。
⑦在信息安全组批准下,应定期利用口令破解软件进行口令模拟破解测试,在发现脆弱性口令后及时通告并采取强制性的补救修改措施。
(3)网络服务策略
①应尽可能减少网络服务,关闭不必要的服务。
②应启用 inetd 进站连接日志记录,增强审计功能。
③应调整优化 TCP/IP 参数,来提高系统抵抗 DOS 攻击的能力。
④应调整TCP/IP 参数,禁止 IP 源路由。
⑤应限制使用 SNMP 服务。如果的确需要,应使用 V3 版本替代 V1、V2 版本,并启用 MD5 校验等功能。
⑥应调整内核参数打开“TCP随机序列号”功能。
(4)文件系统策略
①尽量使系统 root 用户初始创建权限(umask)为077。
②尽量使用磁盘配额管理功能。
③去除适当文件的 set-uid 和 set-gid 位。
④应限制 /etc 目录的可写权限。
⑤增强对关键文件的执行权限控制。
⑥为不同的挂载点指派不同的属性。
(5)日志策略
①应对 ssh、su 登陆日志进行记录。
②除日志服务器外,应禁止 syslogd 网络监听514端口。
③对于重要主机设备,应建立集中的日志管理服务器,实现对重要主机设备日志的统一管理,以利于对主机设备日志的审查分析。
(6)安全性增强策略
①只允许 root 执行 crontab 命令。
②应保证 bash shell 保存少量的(或不保存)命令。
③应禁止 GUI 登陆。
④应隐藏系统提示信息。
⑤尽量安装第三方安全增强软件。
四、附则
本文件由XXXX单位负责解释并督促执行
本办法自印发之日起执行
(五)信息系统介质安全管理制度
一、目的
为规范部门内各类介质的申请、借用、使用、管理以及将介质带出部门时的要求,以防止因操作不当引发的信息泄露,特制定本制度。
二、适用范围
本制度适用于部门各类介质的使用、存放、销毁及运输过程。
三、管理部门
XXXX单位部门是本规定的介质管理部门;
负责本制度的修订、解释和说明及协调实施工作;
负责保管不在使用中的介质,管理介质的借用、归还及使用记录;
负责光盘的记录、回收及销毁;
负责对介质的维护、维修;
负责对介质进行定期(至少每年)盘点,并保存盘点记录。
负责批准其他部门因工作需要而要长期使用介质(如U盘等)。
负责执行本制度的相关内容。
四、介质的使用
1.可移动存储设备的使用
该类介质(包括移动硬盘、U盘等同类介质)在连接计算机的接口或外接接口时,必须填写《设备带出登记表》(见附件一)。使用该类介质需注意以下事项:
因工作需要用户在使用可移动存储设备时,须填写《设备借用/领用申请表》(见附件二)向门提出借用申请;
责任人将借用的可移动存储设备交给申请人员,并填写《设备带出登记表》;
借用的可移动存储设备只能由借用者本人使用;
使用可移动存储设备存储受限信息前须得到部门管理者的批准;
使用完毕后,须将不使用的可移动存储设备归还门,部门责任人须填写《设备借用登记表》中的相应内容;
部门责任人在回收借用完毕的可移动存储设备后须将其进行格式化以便下次使用,并将填写的使用记录进行整理归档管理;
如因工作需要须长期使用可移动存储设备的人员,需经负责人的批准后,再向申请。因工作需要的特殊人员(如财务人员等,需经常拷贝安全等级为商密【高】信息的人员)应配给加密的可移动存储设备。部门责任人须填写《设备借用登记表》;
可移动存储设备的借用者不得私自将设备再转借他人。
2.软盘、记录光盘、磁带等同类介质的使用
该类介质在使用时须借助其他设备来进行刻录、录制。如使用软驱、刻录光驱、磁带机等。使用该类介质需注意以下事项:
在使用刻录光盘、磁带等同类介质进行存储、刻录的,录制前须得到门负责人的批准;
在刻录、录制前,责任人须对要刻录、录制的内容进行检查;
在刻录、录制工作完成后,须进行登记,登记的内容包括:部门、项目组、申请人、日期、内容、操作人。
3.纸质介质的使用
该类介质为打印、复印及传真的书面资料。使用纸质介质需注意以下事项:
所有员工在打印结束后应及时将打印的资料从打印区拿走;
对有受限信息的纸张不允许重复打印使用;
在复印受限信息的资料前须经过部门管理者的批准;
复印结束后应及时将与复印相关的资料拿走;
传真受限信息的资料须得到部门管理者的批准;
传真受限信息的资料时,必须仔细检查收件人的传真号码的正确性;
打印、复印和传真的纸张应注意平整、无污渍,以保证资料的清晰有效及防止操作设备被损坏;
任何人员不得私自将存有受限信息的纸质资料带出工作场所。具体参见《信息资产的分类和标识管理办法》。
五、介质的存放
根据介质所存信息的安全等级,对介质进行合理的存放,存放时应对介质进行登记、标识,以便管理。
1.可移动存储设备的存放
申请借用的可移动存储设备由借用者负责保管;
不在使用中的移动存储设备由责任人指定专人负责统一保管;
存有受限信息的可移动存储设备,持有人应妥善保管,未经许可不得带出组织;
存有受限信息的可移动存储设备须由门负责人进行标识和保管,应将设备保管在带锁的物理设施中,并填写《介质存放登记表》(见附件三),登记的内容包括:保管人、存储内容、保管期限;
存有非受限信息的可移动存储设备应由负责人指定专人进行保管,不得随意放置;
存放时应注意周围环境的可靠性及安全性,注意设备接口的保护。
2.软盘、刻录光盘、磁带等同类介质的存放
存有受限信息的刻录光盘、磁带等同类介质应由门负责人进行标识和保管,应将刻录光盘、磁带保管在带锁的物理设施中,并填写《介质存放登记表》;
存有非受限信息的刻录光盘、磁带等同类介质应由门负责人指定专人进行保管,不得随意放置;
存放时应注意周围环境的可靠性及安全性,同时须注意对光盘盘面、磁带的保护。
3.纸质介质的存放
存有受限信息的纸质介质应由XXXX单位部门负责人进行标识,装订保管在带锁的物理设施中,并填写《介质存放登记表》;
存有非受限信息的纸质介质不得随意放置,应由XXXX单位部门负责人指定专人进行装订、保管;
存放时应注意周围环境的可靠性和安全性,注意纸张的防潮、防火及缺损。
六、介质的销毁
介质所存储信息不再使用时,不得将介质随意丢弃,必须统一回收并由进行专门的作废处理,纸质介质可按照规定自选处理。
1.可移动存储设备的销毁
可移动存储设备不再使用时应彻底删除其存储的信息(如进行物理格式化);
彻底删除信息后的存储设备若是向第三方租用的,则应在使用完毕后及时归还;若是申请长期租用的,则在格式化后由借用者负责保管;
可移动存储设备作废时,必须利用焚化或切碎等不能使信息复原的方法处置介质。
2.软盘、刻录光盘、磁带等同类介质的销毁
当光盘、磁带上的信息作废时,不得将光盘、磁带随意丢弃,应将其统一交给进行处理;
应根据项目的要求对作废光盘、磁带等同类介质保存一定的时期,并填写废弃光盘、磁带等同类介质的《介质作废登记表》(见附件四)中的相关内容;
在保管期限之后应采用专业的方法对废弃的光盘、磁带进行处理处理时须保证上面的信息不被泄露;
光盘、磁带在销毁后应及时通知相关人员,并将《介质作废登记表》上的相关内容进行标记。
3.纸质介质的销毁
对于已作废的打印、复印或传真的纸质资料不得随意丢弃,需进行切碎处理,具体信息参见《信息资产标识与管理办法》。
七、介质的运输
1.可移动存储设备的运输
对存有安全等级为商密【高】信息的可移动存储设备在带出时,须得到门负责人的批准;对存有安全等级为商密【中】信息的可移动存储设备在带出时,须得到部门管理者批准。存有此类安全等级信息的介质带出时应由部门责任人填写《设备带出登记表》的相关内容。
可移动存储设备的维修应由XXXX单位部门负责,在设备被带出维修时,门须保证可移动存储设备所存储的内容在维修期间的保密性及完整性。
可移动存储设备在带出时,携带人员须注意设备的安全,防止被他人使用而发生存储信息的泄露,必要时应带具有加密功能的移动存储设备,并对设备进行加密处理。
注意可移动存储设备的安全,防止设备本身遭到损坏,从而导致所存储的信息无法使用。
2.软盘、刻录光盘、磁带等同类介质的运输
对存有安全等级为商密【高】信息的介质在带出时,须得到门负责人批准;对存有安全等级为商密【中】信息的介质在带出时,须得到部门管理者批准。存有此类安全等级信息的介质带出时应由部门责任人填写《设备带出登记表》的相关内容。
在光盘、磁带等同类介质带出时应防止被他人使用而发生存储信息的泄露。
应注意介质安全,防止介质本身遭到损坏,从而导致上面的信息无法读取。
3.纸质介质的运输
对存有安全等级为商密【高】信息的纸质资料在带出时,须得到门负责人批准;对存有安全等级为商密【中】信息的纸质资料在带出时,须得到部门管理者批准。存有此类安全等级信息的介质带出时应由部门责任人填写《设备带出登记表》的相关内容。
在纸质资料带出时,携带人员须确保资料不被无关人员阅读,应使用文件夹携带。
纸质资料带出时须进行装订,防止纸张丢失、破损。
八、附则
本文件由XXXX单位负责解释并督促执行
本办法自印发之日起执行
九、附件
附件一:《设备带出登记表》
附件二:《设备借用∕领用申请表》
附件三:《介质存放登记表》
附件四:《介质作废登记表》
附件一:
设备带出登记表
记录表式号: 记录顺序号:
No. | 设备类型 | 编号 | 名称 | 借用日期 | 归还日期 | 借用人 | 所属部门 | 借用目的 | 储存信息 | 备注 |
1 | ||||||||||
2 | ||||||||||
3 | ||||||||||
4 | ||||||||||
5 | ||||||||||
6 | ||||||||||
7 | ||||||||||
8 | ||||||||||
9 | ||||||||||
10 |
附件二:
设备借用∕领用申请表
记录表式号: 记录顺序号:
申请人 | 申请日期 | |||
使用人 | 所属部门 | |||
申请类型 | ○借用○领用○作废○丢失 | |||
设备信息 | 编号 | |||
类型 | ○台式电脑○笔记本电脑○U盘○服务器○其他﹍﹍﹍﹍﹍ | |||
名称(型号) | ||||
借用期间或丢失、作废时间 | 自﹍﹍﹍﹍﹍﹍﹍﹍﹍﹍开始至﹍﹍﹍﹍﹍﹍﹍﹍﹍﹍结束(借用时填写)﹍﹍﹍﹍﹍﹍﹍﹍﹍﹍(丢失、作废时填写) | |||
使用或丢失场所 | ○公司○家庭○其他﹍﹍﹍﹍﹍﹍ | |||
借用目的或丢失、作废原因 | ||||
审核人意见 | 签名: 日期:年月日 | |||
批准人意见 | 签名: 日期:年月日 | |||
备注 | ||||
附件三:
介质存放登记表
记录表式号: 记录顺序号:
NO. | 介质编号 | 类型 | 存储内容 | 存放位置 | 保管人 | 所属部门 | 保管时间 | 验证人 | 备注 |
1 | |||||||||
2 | |||||||||
3 | |||||||||
4 | |||||||||
5 | |||||||||
6 | |||||||||
7 | |||||||||
8 |
附件四:
介质作废登记表
记录表式号: 记录顺序号:
NO | 设备类型 | 编号 | 名称 | 作废原因 | 存储信息 | 申请人 | 所属部门 | 批准人 | 作废日期 |
(六)信息系统账户安全管理办法
第一条为加强XXXX单位信息系统(以下简称:系统)安全管理,规范系统用户(使用系统账户的人员)应用流程,规避系统风险。根据国家及行业有关政策及规定,结合XXXX单位实际情况,特制定本办法。
第二条 本办法适用于XXXX单位的所有信息系统用户所使用的账户注册、权限设置、变更、审计、注销等管理工作。
第三条 系统账户类型。信息系统的账户一般分为管理员账户和普通账户。管理员账户由信息系统管理员管理,要求由两人管理,实行AB角。普通账户的注册、权限设置、变更、注销等由使用信息系统的人员进行申请,业务部门审核,领导审批,信息系统管理部门执行。账户的管理应建立对应的管理台账。
第四条 账户管理职责。使用系统的用户严格与系统的账户一一对应。业务主管部门负责保障用户被授权程度与所承担的业务相适应。信息系统管理部门负责保证系统中实际账户信息与用户申请表内容一致,并符合系统相应的安全策略。
第五条 账户注册管理。用户申请系统的账户需要填写《信息系统业务办理单》(见附表),描述用户个人基本信息、系统业务应用权限等,经业务部门审核,领导审批,信息系统管理部门通知系统管理员在信息系统中按照规定的要求进行处理,并建立对应的管理台账。
第六条 账户注销管理。账户销户管理程序同账户注册管理。如有系统用户离职,应由用户所在部门负责查核该账户完成所需处理工作可以销户后,填写并办理《信息系统业务办理单》,通知信息系统管理部门立即进行销户,对相应账户和权限进行妥善处理,并做好备案。
第七条 账户授权变更管理。权限变更管理程序同账户注册、注销管理。由用户所在部门负责提出权限变更需求,列明权限变更内容,完成《信息系统业务办理单》审批后,信息管理部门系统管理员进行系统设置变更,并做好备案管理。
第八条 账户安全管理。信息系统使用密码进行安全管理时,用户要及时更改系统账户的初始密码,并妥善保管。避免将个人密码记录于书面上或张贴于不易保密的场所。用户应承担因系统账户密码泄漏的相关法律责任。信息系统账户密码管理原则如下:
(一)密码长度至少六个字符;
(二)密码应采英文字母(大写或小写)、数字与特殊符号混合;
(三)密码定期更换(每月);
(四)密码应注意避免具有明显个人信息特征的内容,如姓名、出生日期、身份证编号、电话号码等,不允许密码与账号相同;
(五)如发现迹象显示用户账户被盗用或密码可能遭破解时,应立即更改密码,并通知单位系统管理部门进行检查。
第九条 账户权限定期审核管理
(一)账户权限由系统业务主管部门根椐用户工作职责确定,保障用户被授权程度与所承担的业务相适应。
(二)对系统中账户权限应定期审查和评估,严格控制系统操作权限,确保符合最低权限原则。
(三)信息系统中账户权限,每半年进行一次全面审核。系统管理员负责系统中提取所有用户权限表,书面提交相关专业部门进行审核,由相关专业部门提出审核意见,并经部门负责人签字认可,并书面反馈系统管理部门,由系统管理员负责落实审核结果,保证审核结果和系统实际设置完全一致。
第十条 本办法由XXXX单位负责解释。
第十一条 本办法自发布之日起执行。
附件:
信息系统业务办理单
姓 名 | 性 别 | ||
职务/岗位 | 身份证号 | ||
部 门 | 联系电话 | ||
账户类型 | □管理员账户 □普通账户 | ||
账户需求 | □账户注册 □账户变更 □账户注销 | ||
申请使用 信息系统 | 信息系统名称 | 申请使用(变更)权限 | |
业务管理 部门意见 | 签字: 年 月 日 | ||
系统管理 部门意见 | 签字: 年 月 日 | ||
领导签字 | 签字: 年 月 日 | ||
系统管理员处理情况 | 账 户名:初始密码: 其它说明: 签字: 年 月 日 | ||
备 注 | |||
(七)信息系统软硬件设备管理制度
一、总则
为加强信息系统软硬件设备管理,规范设备购置、管理、应用、维护、维修及报废等方面的工作,保护信息系统安全,制定本制度。
二、适用范围
本办法适用于单位的信息系统软硬件设备管理工作。
三、定义
本制度所指的硬件设备只包含一般硬件设备和关键硬件设备。计算机设备所使用的消耗品按照办公用品的有关规定管理;
一般硬件设备:指笔记本电脑、客户端微机主机、显示器、打印机、小型不间断电源装置、稳压电源以及各种接口卡、电缆头、简单网络设备等与微机有关的设备;
关键硬件设备:指各单位主要业务应用系统所使用的各种服务器、网络设备、网络安全设备、大中型不间断电源装置及其外围设备;
消耗品:指各计算机设备日常所使用的各种移动存储介质、打印耗材等低值易耗品;
软件是指各种通用的商业软件及电力系统内部使用的专业软件。
四、设备购置
设备的购置计划由xx部门编制,并由主管领导负责审批。
根据自身的业务需求,在编制本部门年度预算时提前一个月向主管领导报送下一年度的计算机软硬件设备购置需求清单。由管理部门审批。审批同意后,由信息管理部门严格按照本单位物资采购的有关规定负责组织实施,原则上其他部门不得自行购置计算机有关的软硬件设备。
购置软硬件设备时应要求厂家或提供商提交有关设备的运行维护资料,包括技术手册、操作手册等,必要时还需负责运行相关岗位人员的技术培训。
对于信息设备的选型、采购和验收应制定具体的软、硬件设备购置管理规定,并且对每次设备的选型、采购和验收应留存相应的文档。
网络安全设备选型应根据有关规定选择经过国家有关权威部门的测评或认证的产品。
购置的设备到货时,应进行检查是否带有危险品,交付及安装的场地应受到控制,必须与在线运行的应用系统隔离或远离应用系统,以避免重大问题的发生。
五、设备管理
信息系统运行管理部门应设置专门的软硬件设备台帐,并由专人保管,做到登记明晰,设备的进出库、安装有帐可查。信息系统运行管理部门应对部门的计算机设备资产进行核查,要求做到与财务部门的有关固定资产资料相对应。
设备进入使用部门后,使用部门应保证运行设备的安全及完整性,防止出现设备的人为损坏或丢失。设备需要带离机房或办公地点时,应由主管部门审批后方可带离,含有存储介质的设备带出工作环境时其中重要数据应加密。
信息管理部门因工程项目需要而自行购置的软硬件设备,应在向财务部门报送固定资产资料。
六、设备应用
信息系统运行管理部门应根据各种软硬件设备的具体情况,组织安排相应的厂家或设备运行维护单位的技术人员入场安装调试。对于关键的软硬件设备,应安排专人负责跟踪、记录整个安装调试过程;在完成设备的安装调试后,应注意做好有关文档的验收及归档保存工作。
信息系统运行管理部门应查验设备厂商或提供商提交有关设备的运行维护资料,包括技术手册、操作手册等,并负责监督设备厂商或提供商提供的运行相关岗位人员的技术培训。
设备投运前,信息系统运行管理部门要掌握有关设备所提供的各种系统监控、维护工具,并检查其安全性和完整性。
设备投运前,信息系统运行管理部门应与设备的供应商共同制定设备投运实施方案以及应急处理方案,并尽可能在测试环境中测试通过后,再在实际运行环境中实施。
信息系统运行管理部门负责软硬件设备的应用管理及用户培训工作。对于各专业应用系统的客户端软件,应根据“谁建设,谁维护”的原则,由各专业应用系统的建设单位负责用户的应用管理工作。
设备完成安装调试后,未经本单位信息系统运行管理部门同意,任何个人或部门不得擅自移动或拆除。如因工作需要,确实要对有关设备进行移动或拆除,需报信息系统运行管理部门审批同意后,由信息系统运行管理部门组织有关厂家或运行维护单位的技术人员实施,并要求做好相应的登记变更工作。关键硬件设备完成安装后,运行地点要相对固定,移动或拆除要在完成审批程序后,方可实施。
1. 终端设备配置
终端一般指网络中的一台可能由任何人操作的一台计算机,要求终端配置的一致性,不同的终端要尽量使用管理部门认可的、统一的操作系统,为保证终端安全必须安装我局统一规定,国家许可的正版防病毒软件,并及时更新升级软件版本。
2. 终端设备接入前审查
对于需要接入网络的终端必须由使用人提交书面申请并经领导批准后方能由管理员接入网络;
对于要接入网络的计算机必须经过网络管理人员的检查,确认其安装了必须的网络安全软件后方可接入网络,并且不允许安装和使用与办公无关的软件,否则视为非法接入终端,管理员有权阻断其与网络的连接。
3. 终端设备的接入
对于接入网络的终端设备使用者要定期进行病毒检测,发现病毒立即处理并报告网络管理部门。
网络使用者不得利用计算机网络从事危害国家安全、泄露国家机密等犯罪活动,不得在网上使用“黑客技术”干扰网络用户、破坏网络系统和设备,否则将不允许接入网络。
七、设备维护和维修
硬件设备的维护由信息系统运行管理部门统筹安排,可根据内部人员的配置情况及硬件设备的数量采取自行维护或集中外包的方式。
对需要送出单位维修的硬件设备,以及拆除或者改为他用的硬件设备,对该设备有敏感(内部以上)信息的存储部件应该物理销毁或安全地覆盖,并填写维修记录(机房管理制度已附)。
应注意保护信息传输线缆,防止线缆上传输的信息被侦听或线缆被破坏。
应建立设备故障报告制度,软硬件设备出现故障要及时向信息系统运行管理部门报告,并填写《系统运行故障记录》(见附件一)。
应根据“谁建设,谁维护”的原则,由应用软件的建设单位负责应用软件的专业性维护工作,由信息系统运行管理部门负责系统软、硬件设备的专业性维护和日常应急维护工作。
八、设备报废
硬件设备的报废应由使用部门提出书面申请,信息系统运行管理部门根据设备的使用情况进行审核,提出设备报废清单,填写《设备作废登记表》(见附件二),按固定资产报废程序办理。
九、附则
本制度由XXXX单位负责解释。
本规定自印发之日起实行。
十、附件
附件一:《系统运行故障记录》
附件二:《设备报废登记表》
附件一:
系统运行故障记录
发现日期 | 故障地点或部门 | 发现人 | 故障描述 | 故障原因解决办法 | 需跟进及其注意事项 | 处理日期 | 处理人 |
附件二:
设备报废登记表
设备名称 | 设备编号 | 进场时间 | 报废时间 | 使用部门 | 报废原因 | 报废人 |
(八)信息资产的分类和标识管理办法
一、总则
为有利于单位信息资产的识别、保护和利用,加强单位信息资产的安全管理,特制订本办法。
二、适用范围
本办法适用于XXXX单位的信息资产的管理。
三、信息资产分类的定义
1.单位信息资产分类和标识的目的:
信息资产指单位在生产、经营和管理过程中,所需要的以及所产生的,用以支持(或指导、或影响)单位生产、经营和管理的一切有用的数据和资料等非财务的无形资产,其范围包括如下现在的和历史的信息资产:
单位的域名、网络拓扑结构、网络IP地址及分配规则等;
单位投资开发的(或具有独立知识产权的)程序软件的源代码、支持程序软件、外购软件的使用许可证记录、系统平台基础数据等;
系统配置数据、系统授权信息、口令文件、密钥及算法文件、系统说明文档、用户手册等系统基础数据;
各类专业系统的应用数据库及数据文件、业务报表等系统业务数据;
各类专业系统的运行方案、运行记录、变更记录等系统运行数据以及应急计划;
各类专业的规划、方案与策略、业务流程、业务规范、操作规程等管理数据;
技术图纸、技术文档、工程资料等项目数据;
其他纸介质的重要办公文件(信件)、图像、影像、录音和照片等非结构化办公资料;
单个员工拥有的专家技能和经验等隐性数据。通过对单位信息按无形资产性质(非财务)进行分类和标识,促进信息的增值利用,提高信息资产的利用率;
促进信息分布的合理化、促进非结构化信息向结构化数字信息的转换,降低信息管理成本;
掌握单位信息资产状态,明确信息资产的使用方法、保存方式、放置位置、安全分类和责任人等,加强信息资产的管理,为信息系统的日常与应急工作提供基本资料;
根据各种信息资产的敏感度和重要性的不同,制定对信息资产各种相应的分类保护措施,对各类信息资产实施适当程度的保护;
单位信息资产的安全分类:信息资产按信息的敏感度分类为机密信息、秘密信息、对内公开信息、对外公开信息;
信息资产的存放介质分别为电子介质、纸介质以及其他介质,对于存储介质同时有电子介质或纸介质两种情况的信息资产,其最终目标应该是信息资产存储在电子介质。
四、信息资产访问控制权限
信息资产的访问控制权限如表《信息资产安全分类以及存放形式例表》(见附件一)所示。
五、信息资产的管理与使用
信息资产的存放应立足于管理和安全的考虑,为了便于保管、提取、查询,信息资产应尽量以电子介质的形式存储,因此,对于存储在纸介质等其他非结构化的信息资产,如果技术上允许并且有必要的话,应及时进行适当的处理,转换为结构化的电子信息,并以电子介质的形式存储。
1.信息资产的存储介质存放的地点要求
对于对外公开信息,存放地点没有要求;
对于对内公开信息,如果是结构化的电子信息,应存放在内部服务网络中的文件服务器等;如果是非结构化的其他信息,应存放在室内文件柜中,并有明显的分类标识;
对于秘密信息,如果是结构化的电子信息,应存放在有严格管理制度、具有足够的安全防护措施的机房环境中的相关服务器和存储设备上;如果是非结构化的其他信息,应存放在室内具有较强防盗窃能力的文件柜中,并造册登记,分项存放;
对于机密信息,如果是联机存储的结构化电子信息,应存放在有严格管理制度、具有高强度的安全防护措施的机房环境中的相关服务器和存储设备上;如果是脱机存储的结构化电子信息,以及非结构化的其他信息,应存放在具有严格保安措施的、专门的保管环境中(如机要室等),并造册登记,分项存放。
2.信息资产的存储介质使用控制
对于对外公开信息,介质使用没有限制要求,任何人在任何场合均可以使用;
对于对内公开信息,对于存储在电子介质上的信息,必须通过内部网络,以注册的合法身份,登录访问和下载使用;对于非结构化的其他信息,经介质保存部门同意,可以提取存储信息的介质使用,使用完毕放回原处;
对于秘密信息,对于存储在电子介质上的信息,原则上要求联机使用,信息只能通过应用系统专用界面使用,使用者必须具有足够的使用权限;秘密信息的脱机提取或抄录,必须有相关领导的书面批准意见,其提取或抄录的相关细节必须记录在案,使用者必须对其提取或抄录秘密信息的安全保密负责;
对于机密信息,对于存储在电子介质上的信息,必须联机使用,信息只能通过应用系统专用界面使用,使用者必须具有足够的使用权限;机密信息绝对禁止的脱机提取,特殊信息的抄录,必须有相关领导及保密人员的书面批准意见,抄录的过程及内容必须有保密人员现场监督检查,抄录的相关细节必须记录在案,使用者必须对其抄录的机密信息的安全保密负责。
六、附则
本办法由XXXX单位XXXX部门负责解释
本办法自发布之日起施行
七、附件
附件一:《信息资产安全分类以及存放形式记录表》
附件一:
信息资产安全分类以及存放形式例表
信息资产名称 | 存储方式 | 存储介质 | 信息资产分类 |
单位域名 | 无 | 无 | 对外公开信息 |
网络拓扑结构 | 脱机 | 电子介质 | 秘密信息 |
网络IP地址及分配规则 | 脱机 | 电子介质 | 秘密信息 |
程序软件的源代码 | 脱机 | 电子介质 | 秘密信息 |
系统配置数据 | 脱机 | 电子介质或纸介质 | 秘密信息 |
各类系统的应用数据库及数据文件、业务报表 | 联机 | 电子介质 | 秘密信息 |
系统运行日志 | 联机 | 电子介质或纸介质 | 秘密信息 |
技术图纸、技术文档、工程资料 | 脱机 | 电子介质或纸介质 | 对内公开信息 |
口令文件 | 脱机 | 电子介质 | 秘密信息 |
(九)信息系统网络安全管理制度
一、总则
第一条为保障XXXX单位信息系统网络的安全性,降低网络系统存在的安全风险,确保网络系统安全可靠地运行,特制订此制度。
第二条本制度适用于XXXX单位所管理的信息系统。
二、网络设备管理
第三条运维部门网络管理员对网络设备进行维护监控等工作。
第四条网络设备的登录口令必须足够强壮,保障口令难以被破译。
第五条网络设备当前的配置文件必须进行备份,并在计算机上保存备份文件。
第六条网络设备的拓扑结构、IP地址等信息文档属于机密信息,应该在一定范围内予以保密。
第七条网络整体的拓扑结构需进行严格的规划、设计和管理,一经确定,不能轻易更改。
第八条定期每月检查网络设备的日志,及时发现攻击行为。
第九条网络设备的软件版本应统一升级到较新版本。
第十条网络设备的安装、配置、变更、撤销等操作必须严格按照流程执行,进行远程运维是应严格控制运维工具、运维接口、通道的使用,经过审批后才可接入进行操作,操作过程中应保留不可更改的审计日志,操作结束后应删除工具中的敏感数据;
第十一条对重要网段要进行重点保护,要使用防火墙等安全设备以及VLAN或其他访问控制方式与技术将重要网段与其它网段隔离开。
第十二条网络结构要按照分层网络设计的原则来进行规划,合理清晰的层次划分和设计,可以保证网络系统骨干稳定可靠、接入安全、便于扩充和管理、易于故障隔离和排除。应保证所有与外部的连接均得到授权和批准,网络管理员应定期检查违反规定无线上网及其他违反网络安全策略的行为。
第十三条网络管理员定期每月对网络的性能进行一次分析,以充分了解系统资源的运行情况及通信效率情况,提出网络优化方案。
第十四条按照最小服务原则为每台基础网络设备进行安全配置。
三、用户和口令管理
第十五条需对网络设备登录账号设置权限级别,授权要遵循最小授权原则。
第十六条保证用户身份标志的唯一性,即不同的个人用户必须采用不同的用户名和口令登录,并且拥有不同的权限级别,不同用户的登录操作在设备日志文件上均有记录,便于追查问题。
第十七条网络管理员拥有网络设备的超级用户权限,网络管理员不得私开用户权限给其它人员。
第十八条用户的口令尤其是超级用户的口令必须足够强壮,保障口令难以被破译,口令的设置必须遵守《密码使用管理制度》的相关规定;口令最长使用时间不得超过3个月,更换口令不能与历史口令重复。
四、配置文件管理
第十九条所有的网络配置文件需有文档记录,网络设备的配置文件需要定期每90天进行一次备份。
第二十条网络配置信息的修改要获得部门领导的批准方可进行。
五、 日志管理
第二十一条审计管理员应详细记录运维操作日志,包括日常巡检工作、运行维护记录、参数的设置和修改等内容;并定期每月对日志进行分析汇总,发现可疑行为立即上报。
第二十二条审计管理员要对日志文件进行备份,日志文件保存时间应在6个月以上,必须定期每月查看一次所管设备的日志文件,发现异常情况要及时处理和报告,尽早消除网络安全隐患。
六、设备软件管理
第二十三条网络设备的软件版本(IOS或VRP等)较低可能会带来安全性和稳定性方面的隐患,在设备的FLASH容量许可的情况下需统一升级到较新的版本,必要情况下可升级设备的FLASH容量。
七、设备登录管理
第二十四条网络设备开启远程登陆时需限定可远程登录的主机地址范围,拒绝部分潜在的攻击者,保证网络安全。
八、 附则
第二十五条本制度由XXXX单位负责解释。
第二十六条本制度自发布之日起实施。
(十)密码使用管理制度
一、目的
用户凭密码获得对系统访问权,可对系统进行不同的操作,因此密码风险直接关系到系统及数据安全。单位在建立了一系列完整的网络平台之后,有必要建立一套完善的密码管理制度来规范管理,保证网络系统安全,保证软件设计和计算的安全,保障系统,数据库安全运行。
为了加强风险管理,强化保密工作,提高财政信息系统的安全性,保障信息系统的正常运营以及业务数据安全,防止黑客攻击和用户越权访问,防止保密信息的丢失、泄漏或破坏,建立科学、规范的信息系统密码管理规范,特制定本规定。
二、适用范围
硬件系统密码管理;
操作系统管理员及用户密码管理;
核心业务系统管理员及用户密码管理;
核心业务系统后台数据库密码管理。
三、术语定义
密码:密码又称为口令(PASSWORD),被用来验证用户身份,保护对计算资源的访问。口令一般分为两种,一种是一经设置固定不变的静态口令,一种是不确定随机变化的动态口令。大部分系统使用的是静态口令。
四、内容
4.1 基本要求
1. 所有用户必须设置登录密码;
2. 核心业务系统帐户、数据库及操作系统账户登录密码长度不低于12位,并采用数字(0-9)、字母(a-z)、符号([email protected]#$%^&*)混排方式;
3. 系统登录密码修改频率不低于每月一次;新密码不允许与历史密码相同,历史记忆次数不少于3次;输入错误密码锁定帐户,输入次数限制不多于5次;
4. 修改操作系统、数据库及应用系统管理员密码,必须记录存档,销毁旧记录,部门负责人在场时由系统管理员将新密码记录封存。
5. 任何部门与个人不得向他人泄露所使用的系统登录密码;
6. 当用户由于责任人更换或忘记密码、口令时要求查询密码、口令或要求更换密码及口令的情况下,需向上级部门提交申请单,由部门负责人与系统管理员核实后实施密码重置,并记录归档保存。
4.2岗位职责
系统管理员在计算机密码管理工作中应当履行下列职责:
1. 协助建立单位的密码管理制度;
2. 认真执行密码管理制度,按制度规定对操作系统、数据库及应用系统管理员密码进行设置与定期更新,并记录归档;
3. 不得向他人泄露所使用的系统登录密码;
4.3方法与流程
1. 系统管理员对操作系统、数据库及应用系统管理员密码进行设置和定期更换;
2. 对于提供密码规则设置的应用系统,管理员按制度要求设置密码规则;
3. 定期巡查系统密码设置是否符合密码管理制度规定,并填写密码状况表;
4. 当责任人需要更换或忘记密码、口令时要求查询密码、口令或要求更换密码及口令的情况下,需向上级部门提交申请单,由部门负责人与系统管理员核实后实施密码重置,并记录归档保存。
4.4维护
本文档由系统管理员维护,系统管理员需要在密码管理规则发生变更时对其进行修改,修改后的文档应经信息系统部讨论通过。
4.5帮助
关于密码管理方面的其他问题,可咨询系统管理员。
4.6记录
密码设置情况检查表
密码设置情况检查表月查 | ||||
检查日期 | 系统名称 | 用户名称 | 是否符合规定 | 检查人 |
备注: | ||||
应用系统用户密码重置申请表
申请人 | 申请时间 | ||
系统名称 | 用户名 用户号 | ||
密码重置 原因 | |||
部门总监 | |||
监查稽核部 | |||
完成情况 | 技术部人员: | ||
备注: | |||
(十一)防病毒管理办法
一、目的
为了加强营业部计算机网络的安全,防止各类病毒、黑客软件对联网主机构成的威胁,最大限度减少此类损失。根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》和其他法律、行政法规的规定,特制定本制度
二、适用范围
本制度适用于XXXX单位所有部门的计算机网络和设备。包括:内网、办公网和互连网,服务器、工作站和网络设备等
三、管理要求
本办法所称的计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码;
所有联网计算机必须统一安装防病毒软件,定期每月观察防病毒软件运行状况,安装后不得自行关闭和卸载,对擅自卸载或不按规定使用防病毒软件的人员,如造成损失,应承担相应的责任;
外来的软盘、光盘和移动存储设备等应先检查计算机病毒后使用。如发现病毒,相关使用人应立即上报,及时联系信息XXXX单位人员对感染机器进行有效的隔离,清除病毒的后检查其最近使用过的软盘、光盘和移动存储设备,以免漏杀,未清除病毒的计算机不得入网;
任何单位和个人不得制作计算机病毒;
任何单位和个人不得故意输入计算机病毒,危害计算机信息系统安全;
任何单位和个人不得向他人提供含有计算机病毒的文件、软件、媒体等介质。
对购置、维修、借入的计算机,应当及时进行计算机病毒检测;
应定期对防病毒系统进行维护、升级版本和更新病毒代码库;定期在所辖范围内向用户提供计算机病毒检测、告警及最新预防措施;
更新(或监督有关人员更新)本单位服务器端、工作站端的病毒码、扫描引擎与程序文件,保证每台计算机上的防病毒产品版本最新;
应定期进行安全漏洞检查,及时组织、安排人员安装微软的操作系统及其它应用工具的最新补丁;
在网关、服务器和终端计算机都要安装使用防病毒软件,建立完整的病毒防护体系,网关、服务器和终端计算机的责任人应定期对防病毒软件进行版本升级和病毒代码库更新;
禁止在信息网络上随意上传或下载程序、数据,如确实需要,应当先进行计算机病毒检测后使用;
禁止在计算机上装载与办公无关的软件,特别是游戏软件、盗版软件等。对确需安装的软件应先进行计算机病毒检测,发现异常及时删除;
除打印机可以共享外,服务器与工作站的硬盘尽量不设置为共享,文件目录一般不进行网络共享。特殊情况需进行目录共享的必须设定密码,一旦使用完毕后必须立即关闭共享,或加强对该机器的病毒检查;
对因计算机病毒引起的计算机信息系统瘫痪,程序和数据严重破坏等重大事故应及时采取隔离措施,并向有关部门报告;
对购置、维修、借入的计算机及其他网络存储设备,应当及时进行病毒检测。
四、附则
本办法由XXXX单位负责解释
本办法自印发之日起执行
(十二)内网邮件安全
一、目的
为保证信息内网电子邮件系统能更好地为员工的日常办公及信息交流服务,进一步规范信息内网电子邮件系统的使用和管理,特制定本管理办法。
二、适用范围
本管理办法适用于XXXX单位信息内网电子邮件系统的所有用户。
三、管理策略
(一)XXXX单位信息内网电子邮件系统的所有用户使用电子邮件的通信秘密受国家法律保护。除因国家安全或者追查刑事犯罪的需要,由公安机关或者检察机关依照法律规定的程序对通信内容进行检查外,任何组织或者个人不得以任何理由侵犯员工的通信秘密。
(二)信息内网电子邮件系统按照系统集中服务、用户分散管理原则,由进行集中管理,各业务部门安全管理员担任邮件系统二级管理员。
(三)邮件系统管理员主要职责
1.对本单位员工的个人注册信息负有保密义务,不得非法使用和泄露员工个人注册信息资料和电子邮件地址(法律、行政法规另有规定的除外);
2.负责本地用户的注册和管理;
3.负责维护本地邮件用户的地址簿;
4.负责指导本单位用户正确使用电子邮件系统;
5.及时帮助和解决本地用户在使用过程中遇到的问题;
6.负责向汇报用户使用过程中的出现的异常情况;
7.负责向报送相关报表资料;
8.配合对邮件系统使用状况进行安全评估。
(四)邮件系统用户职责
1.不得利用邮件系统危害国家安全或泄露国家秘密;
2.不得利用邮件系统泄露企业秘密;
3.不得利用邮件系统侵犯国家、社会、集体的利益或公民的合法权益;
4.不得利用邮件系统从事违法犯罪活动;
5.不得利用邮件系统传播或转发病毒和垃圾邮件;
6.不得从事任何形式的邮件攻击;
7.不得利用电子邮箱对他人进行骚扰;
8.不得以任何形式探测他人邮箱密码等信息;
9.未经授权不得利用他人计算机系统发送电子邮件;
10.未经授权不得冒名发送邮件;
11.不得侵占、盗用和破坏他人邮箱或邮件;
12.不得挪作它用或转借他人使用;
13. 不得利用其收发私人信件和注册论坛、不良网站。
(五)邮箱系统账户管理
信息内网邮件系统仅提供给本单位职工使用,每个职工仅能申请一个邮箱。
1、账户申请
1.1邮箱开通,需按照《个人邮箱账户使用申请表》(见附录1)要求进行申请;
1.2邮箱系统管理员分配邮箱地址,且邮箱账号名具有唯一性,不可随意变动;
13.邮箱地址可长期使用,邮箱地址不会因用户在单位范围内的工作调动而改变。
2、账户注销
(1)正式员工离职
根据员工离职会签单进行个人邮箱账户的删除。
(2)非正式员工离职(包括外聘、返聘、借调、实习生)
邮件系统管理员应每季度进行一次人员核对,及时删除已离职人员邮箱账户,处理流程与正式员工一致。
(3)对严重违反邮件使用规定的邮箱账户
对存在账户密码泄露、发送大量的垃圾邮件的、恶意传播不良信息和病毒等行为的邮箱进行注销,并重新提交《个人邮箱账户使用申请表》(见附件一)。
3、密码管理
1.为提高邮箱安全性,用户必须第一时间修改初始密码,修改后用户密码采用强密码(8位以上,由字母、数字和其他字符组成),妥善保管自己的账号和密码,禁止使用邮箱发送与工作无关的信息,由于个人原因造成邮箱被盗而造成单位损失,单位有权追究被盗人员责任;
2、用户密码丢失,邮箱使用人应立即通知邮箱系统管理员进行密码重置处理。
(六)邮箱使用
1、发送带有单位涉密信息的邮件,发件人必须先经过部门领导人(若是绝密文件,须经过领导同意),并将涉密信息加密处理方可发送;否则将视情节予以严肃处理,直至追究法律责任。
2.邮件用户应及时删除邮箱中的垃圾邮件。当频繁收到大量垃圾邮件时,应立即通知部门安全管理员,部门安全管理员进行初步评估后,对可疑行为应立即按照《信息安全事件管理制度》要求上报;
3.邮件用户在使用过程中发现其他可疑问题,应及时通知部门安全管理员,部门安全管理员进行初步评估后,对可疑行为应立即按照《信息安全事件管理制度》要求上报。
四、 附则
本办法由XXXX单位负责解释
本办法自发布之日起施行
五、 附件
附件一:《个人邮箱账户使用申请表》
《个人邮箱账户使用申请表》
(十三)信息系统变更管理制度
一、目的
为规范信息系统变更、发布、配置与维护管理,提高软件管理水平,优化软件变更与维护管理流程,特制定本制度
二、适用范围
本制度适用于应用系统已开发或采购完毕并正式上线、且由软件开发组织移交给应用管理部门后,所发生的生产应用系统运行支持及系统变更工作
三、变更管理细则
(一)信息系统变更工作可分为一般变更工作和重大变更工作,一般变更工作(如设备配置信息变更)需提交变更申请,对变更内容进行记录,并及时更新基本配置信息库;重大变更工作特指发生以下条件任意一条的变更工作
1.系统拓扑结构改变;
2.系统网络或安全设备变更;
3.系统关键主机变更;
4.系统数据库变更;
5.系统应用软件变更;
6.系统网络、主机、数据库、应用系统等安全策略或安全配置发生重大变更;
7.系统数据备份设备变更。
(二)信息系统重大变更实施工作由需求方(一般为业务部门)和维护方(信息系统运行管理部门)协作完成。
(三)需进行系统重大变更的部门根据实际应用情况提出变更需求和变更方案(变更方案中必须包含变更前数据备份方案,以及变更成功和失败时系统恢复的方案),填写《系统变更申请表》(见附件一),并向提交变更申请,若未申请通过,而擅自进行重大变更,将根据规定进行处罚。
(四)参照国家信息系统等级保护的相关标准,由组织相关单位和信息安全专家讨论方案的安全性,根据讨论结果修改和审批方案。
(五)系统取得变更申请审批后,信息系统运维管理部门根据《系统变更申请表》中描述和变更方案,进行系统变更。
(六)系统重大变更前必须按照变更前数据备份方案进行关键数据的全面备份,系统变更成功或失败时,应立即根据系统恢复方案进行系统恢复。
(七)系统重大变更后必须进行信息系统基线检测并合格后方可上线运行。
(八)系统重大变更后应重新对系统等级进行评估,并根据评估结果依据《备案管理制度》进行重新定级备案和等保测评。
(九)系统重大变更成功后,系统运维管理部门应根据系统变更情况对系统各项信息安全管理实施细则进行修订,并报审核。
(十)重大变更完成后系统运维管理部门应填写《系统变更验收报告》(见附件二)并保存。
(十一)紧急重大变更细则
1.若因工作需要,对信息系统进行紧急重大变更,需求和运维管理部门可通过电子邮件或传真等书面形式向提出简易快速申请。
2.根据重要性和紧迫性做判断,确定其优先级和影响程度,并进行相应快速审批处置。
3.紧急变更过程由系统运维管理部门进行变更操作和过程记录,并在事后一周内报进行评估和备存。
4.在紧急事件处理完成后,必须在一周内补办正式、完整的文档,并根据重大变更的一般规则进行相应变更后的安全管理。
四、附则
本文件由XXXX单位负责解释并督促执行
本办法自印发之日起执行
五、附件
附件一:《系统变更申请表》
附件二:《系统变更验收报告》
附件一:
系统变更申请表
记录表式号:记录顺序号:
变更请求类型 | |||
变更申请人 | 申请日期 | ||
实施人员 | 验证人 | ||
原需求内容描述 | |||
变更内容描述 | |||
变更的影响 | |||
业务部门负责人意见: | 签字: | ||
系统管理员意见: | 签字 | ||
附件二:
系统变更验收报告
记录表式号:记录顺序号:
验收报告书 | 需求部门 | ||||||
系统名称 | |||||||
系统名称英文缩写 | 系统版本 | ||||||
任务完全情况栏*由XXXX单位根据任务完成实际情况填写* | |||||||
任务名称 | |||||||
实际开始时间 | |||||||
实际工作量 | |||||||
任务完成情况: 提交文档清单: 业务部门接受人签字:XXXX单位提交人签字: 日期:日期: | |||||||
验收开始时间 | 验收完成时间 | ||||||
验收人员 | 角色/职责 | 协助人员 | 角色/职责 | ||||
备注 | |||||||
如有侵权请联系:admin#unsafe.sh