信息安全管理制度参考模板.docx

信息安全管理制度参考模板-正文内容开始- 信息安全管理制度参考模板 第一册 （征求意见稿） 深圳市XXXXXXXX 20XX年XX月 目录 一、关于编制背景。 5 二、关于体系结构。 5 三、XXX局国际互联网使用管理办法 9 附件1、开通外网申请表 12 附件2、信息发布涉密审查登记表 13 四、XXX局内网安全管理制度 14 五、XXX局涉密网络安全管理制度 20 六、XXX局信息安全组织机构管理制度 26 附件1、信息安全检查工作责任书 31 附件2、互联网信息安全检查工作责任书 33 附件3、内网信息安全检查工作责任书 35 附件4、信息系统安全等级（分级）保护工作责任书 37 附件5、信息安全保密工作责任书 39 附件6、信息安全风险评估工作责任书 42 附件7、信息安全应急响应工作责任书 44 附件8、安全管理员职责说明书 46 附件9、系统管理员职责说明书 47 附件10、网络管理员职责说明书 48 附件11、机房管理员职责说明书 49 附件12、安全审计员职责说明书 50 附件13、信息审查员职责说明书 51 七、XXX局信息安全事件管理办法 52 八、XXX局信息系统信息发布制度 56 附件1、信息发布审批登记表 58 九、XXX局机房安全管理制度 59 附件1、进入XXX申请处 62 附件2、机房出入登记表 63 附件3、机房巡检表 64 十、XXX局网络安全管理制度 66 十一、XXX局信息系统运行维护管理制度 71 附件1、备份计划表 77 附件2、数据恢复测试计划表 78 十二、XXX局信息系统用户管理制度 79 附件1、安全保密责任书（在岗人员） 86 附件2、保密承诺书（离岗人员） 90 附件3、信息安全培训计划表 91 附件4、信息安全培训记录表 92 附件5、用户权限审批和修改表 93 十三、XXX局信息资产和设备管理制度 94 附件1、内（外）网PC资产信息表 43 附件2、服务器内外网IP对应表 44 附件3、安全产品清单 45 十四、XXX局信息系统安全审计管理制度 45 十五、XXX局数据存储介质管理制度 48 十六、XXX局软件开发项目管理制度 48 十七、制度材料与抽查表对应关系 50 前言 信息安全管理制度是实现信息安全管理的重要方面，是信息安全联合检查的重要内容。2022年度我市党政机关信息安全联合检查结果表明，一些单位或部门对如何建立信息安全制度体系缺乏了解，对体系构成、制度要素、内容覆盖等方面缺乏完整性和规范性。 为了更好地指导各单位编制信息安全制度，根据深圳市信息安全联合检查的有关要求，结合工作重点，市科技工贸和信息化委员会编制了“信息安全管理制度参考模板”，供各单位完善信息安全制度体系建设参考。各单位可根据自身业务特点和信息系统建设情况，对本制度模板进行增加、减少、修改等选择性采用。 为帮助各单位清晰了解制度模板与本年度信息安全绩效评估内容的对应关系，我们制定了信息安全管理制度参考模板与联合检查现场抽查表对应一览表供各单位参考，详见信息安全管理制度参考模板编制说明附件。 XXX局信息安全组织机构管理制度 XXX局 信息安全组织机构管理制度 第一章总则 第一条为加强信息安全管理，明确信息安全责任，保障信息化建设的稳步发展，特制定本制度。 第二章机构设置 第二条由单位主管信息化工作和保密工作的领导牵头，组织与信息安全相关的各部门负责人，成立信息安全领导机构，统筹管理信息安全相关工作。 第三条信息安全领导机构下设政府信息安全检查工作、互联网信息安全检查工作、内网信息安全检查工作、信息安全应急响应工作、信息系统安全等级(分级)保护工作、信息安全风险评估工作、信息安全保密工作等7个专项工作小组，分别负责信息安全各领域相关工作。 第四条成立信息安全领导机构，完成以下岗位和成员的设置。 信息安全领导机构：组长、副组长、成员。 第五条成立政府信息安全检查工作小组，完成以下岗位和成员的设置。 政府信息安全检查工作小组：组长、副组长、成员。 第六条成立互联网信息安全检查工作小组，完成以下岗位和成员的设置。 互联网信息安全检查工作小组：组长、副组长、成员。 第七条成立内网信息安全检查工作小组，完成以下岗位和成员的设置。 内网信息安全检查工作小组：组长、副组长、成员。 第八条成立信息安全应急响应工作小组，完成以下岗位和成员的设置。 信息安全应急响应工作小组：组长、副组长、成员。 第九条成立信息系统安全等级(分级)保护工作小组，并完成以下岗位和成员的设置。 信息系统安全等级(分级)保护工作小组：组长、副组长、成员。 第十条成立信息安全风险评估工作小组，完成以下岗位和成员的设置。 信息安全风险评估工作小组：组长、副组长、成员。 第十一条成立信息安全保密工作小组，完成以下岗位和成员的设置。 信息安全保密工作小组：组长、副组长、成员。 第四章工作职责 第十二条信息安全领导机构工作职责。 信息安全领导机构负责领导信息安全工作的规划、建设和管理，检查指导各下属工作小组信息安全工作，协调处理信息安全工作中产生的重大问题，建设和完善信息安全组织体系。 第十三条信息安全检查工作小组工作职责。 信息安全检查工作小组负责检查信息安全制度落实情况、安全防范措施落实情况、应急响应机制建设情况、信息技术产品和服务国产化情况、安全教育培训情况、责任追究情况、安全隐患排查及整改情况、安全形势、安全风险状况等。 第十四条互联网信息安全检查工作小组工作职责。 互联网信息安全检查工作小组负责互联网信息安全检查工作部署、制定检查工作计划和检查方案，监控互联网信息系统安全状况，定期汇总分析并提出安全分析报告。 第十五条内网信息安全检查工作小组工作职责。 内网信息安全检查工作小组负责安排内网信息安全检查工作、制定检查工作计划和检查方案、对检查工作进行检查部署，监控内网信息系统安全状况，定期汇总分析并提出安全分析报告。 第十六条信息系统安全等级(分级)保护工作小组工作职责。 信息系统安全等级(分级)保护工作小组负责制定详细的信息系统安全等级(分级)保护工作计划、采购和使用相应等级的信息安全产品、建设安全设施、落实安全技术措施、完成系统整改等。 第十七条信息安全应急响应工作小组工作职责。 信息安全应急响应工作小组负责应急预案的制定、演练、落实，技术队伍的建设，安全事件监控与处理。 第十八条信息安全风险评估工作小组工作职责。 信息安全风险评估工作小组负责信息系统的风险评估实施过程中的组织安排及各项相关工作。 第十九条信息安全保密工作小组工作职责。 信息安全保密工作小组负责指导各部门开展保密工作，并定期进行检查、督促；定期召开保密工作会议，研究部署保密工作；对工作人员进行保密教育，组织保密业务培训。 第五章附则 第二十条本制度由XXXX负责解释。 第二十一条本制度自发布之日起生效执行。 附件:1.信息安全检查工作责任书 2.互联网信息安全检查工作责任书 3.内网信息安全检查工作责任书 4.信息系统安全等级(分级)保护工作责任书 5.信息安全保密工作责任书 6.信息安全风险评估工作责任书 7.信息安全应急响应工作责任书 8.安全管理员职责说明书 9.系统管理员职责说明书 10.网络管理员职责说明书 11.机房管理员职责说明书 12.安全审计员职责说明书 13.信息审查员职责说明书 附件1、信息安全检查工作责任书 附件1 信息安全检查工作责任书 为了进一步落实我单位的网络安全与信息安全管理责任，确保网络安全与信息安全，做好信息系统的安全检查工作，特制定本责任书。 一、总体目标 按照“谁主管谁负责，谁运行谁负责，谁使用谁负责”的原则，切实落实信息安全检查工作责任制，及时发现信息系统存在的各种安全隐患，并尽快修补，确保信息系统安全可靠运行，确保不发生重大信息安全责任事故。 二、责任要求 1、统筹安排信息安全检查工作，组织制定检查工作计划和检查方案，对检查工作进行检查部署，保证检查工作顺利进行，做到突出重点，明确责任，注重实效，保证质量。对检查工作组织领导不力，有关要求不落实的，要予以通报批评。 2、信息安全检查过程中，要及时通报发现的问题并提出整改建议。 3、信息安全检查过程中应严格遵守检查工作纪律，周密制定应急预案，控制安全风险，加强保密措施，保证信息系统的安全正常运行。 4、信息安全检查过程中，检查责任人必须对检查结果负责，未能及时发现问题或漏洞导致安全事故的，要承担相应的责任。 三、责任追究 如信息安全检查工作责任人未按照本责任书履行职责、开展工作的，由单位予以通报批评；工作中存在重大突出问题的，或因工作失职导致后果的，按照相关规定对责任人予以处分。 本责任书自签约之日起生效。 责任人（签章）： 年 月 日 附件2、互联网信息安全检查工作责任书 附件2 互联网信息安全检查工作责任书 为了进一步落实我单位的互联网安全管理责任，确保网络安全与信息安全，做好互联网信息安全检查工作，特制定本责任书。 一、总体目标 按照“谁主管谁负责，谁运行谁负责，谁使用谁负责”的原则，切实落实信息安全检查工作责任制，及时发现信息系统存在的各种安全隐患，并尽快修补，确保信息系统安全可靠运行，确保不发生重大信息安全责任事故。 二、责任要求 1、统筹安排互联网信息安全检查工作，组织制定检查工作计划和检查方案，对检查工作进行检查部署，保证检查工作顺利进行，做到突出重点，明确责任，注重实效，保证质量。对检查工作组织领导不力，有关要求不落实的，要予以通报批评。 2、互联网信息安全检查过程中，要及时通报发现的问题并提出整改建议。 3、互联网信息安全检查过程中应严格遵守检查工作纪律，周密制定应急预案，控制安全风险，加强保密措施，保证信息系统的安全正常运行。 4、互联网信息安全检查过程中，检查责任人必须对检查结果负责，未能及时发现问题或漏洞导致安全事故的，要承担相应的责任。 三、责任追究 如互联网信息安全检查工作责任人未按照本责任书履行职责、开展工作的，由单位予以通报批评；工作中存在重大突出问题的，或因工作失职导致后果的，按照相关规定对责任人予以处分。 本责任书自签约之日起生效。 责任人（签章）： 年 月 日 附件3、内网信息安全检查工作责任书 附件3 内网信息安全检查工作责任书 为了进一步落实我单位的内网安全与信息安全管理责任，确保网络安全与信息安全，做好内网的安全检查工作，特制定本责任书。 一、总体目标 按照“谁主管谁负责，谁运行谁负责，谁使用谁负责”的原则，切实落实信息安全检查工作责任制，及时发现信息系统存在的各种安全隐患，并尽快修补，确保信息系统安全可靠运行，确保不发生重大信息安全责任事故。 二、责任要求 1、统筹安排内网信息安全检查工作，组织制定检查工作计划和检查方案，对检查工作进行检查部署，保证检查工作顺利进行，做到突出重点，明确责任，注重实效，保证质量。对检查工作组织领导不力，有关要求不落实的，要予以通报批评。 2、内网信息安全检查过程中，要及时通报发现的问题并提出整改建议。 3、内网信息安全检查过程中应严格遵守检查工作纪律，周密制定应急预案，控制安全风险，加强保密措施，保证信息系统的安全正常运行。 4、内网信息安全检查过程中，检查责任人必须对检查结果负责，未能及时发现问题或漏洞导致安全事故的，要承担相应的责任。 三、责任追究 如内网信息安全检查工作责任人未按照本责任书履行职责、开展工作的，由单位予以通报批评；工作中存在重大突出问题的，或因工作失职导致后果的，按照相关规定对责任人予以处分。 本责任书自签约之日起生效。 责任人（签章）： 年 月 日 附件4、信息系统安全等级（分级）保护工作责任书 附件4 信息系统安全等级(分级)保护 工作责任书 为了进一步落实我单位的网络安全与信息安全管理责任，确保网络安全与信息安全，做好机关信息系统等级(分级)保护工作，特制定本责任书。 一、总体目标 我单位信息系统按等级(分级)保护标准，分级别进行保护，突出重点、兼顾一般，科学规划、效费合理，信息系统内在确保重点部位、重要信息资源安全，实现多级防护，保障互连互通和信息共享。 二、责任要求 1、组织制定详细的信息系统安全等级(分级)保护工作计划，确保等级(分级)保护工作顺利进行。 2、制定系统完整的信息安全等级(分级)保护管理规范和技术标准，并根据工作开展的实际情况不断补充完善。 3、按照等级(分级)保护的管理规范和技术标准，确定其信息和信息系统的安全保护等级，并报其主管部门审批同意。 4、根据已经确定的信息安全保护等级，按照等级(分级)保护的管理规范和技术标准，采购和使用相应等级的信息安全产品，建设安全设施，落实安全技术措施，完成系统整改。 5、按照等级(分级)保护的管理规范和技术标准，对已经完成安全等级(分级)保护建设的信息系统进行检查评估，发现问题及时上报，并制定响应整改计划，经主管部门审批同意后对其进行整改。 三、责任追究 如信息系统安全等级(分级)保护工作责任人未按照本责任书履行职责、开展工作的，由单位予以通报批评；工作中存在重大突出问题的，或因工作失职导致后果的，按照相关规定对责任人予以处分。 本责任书自签约之日起生效。 责任人（签章）： 年 月 日 附件5、信息安全保密工作责任书 附件5 信息安全保密工作责任书 为了进一步落实我单位的网络安全与信息安全管理责任，确保网络安全与信息安全，做好机关保密工作，特制定本责任书。 一、总体目标 按照“主管领导负责、预防为主、制度防范与技术相结合”的原则，切实落实信息安全保密工作责任制，确保单位的涉密资产的安全。 二、责任要求 1、保密工作基本原则： ?不该说的国家秘密，绝对不说； ?不该问的国家秘密，绝对不问； ? ?不该看的国家秘密，绝对不看； ?不该记录的国家秘密，绝对不记； ?不在非保密本上记录国家秘密； ?不在私人通讯中涉及国家秘密； ?不在公共场所和家属、子女、亲友面前谈论国家秘密； ?不在不利于保密的地方存放国家秘密文件、资料； ?不在普通电话、明码电报、普通邮局传达国家秘密事项； ?不携带国家秘密材料游览、参观、探亲、访友和出入公共场所。 2、组织建立信息安全保密规章制度，具体落实单位对信息安全保密工作的要求和部署。 3、及时组织传达学习上级的信息安全保密工作文件和指示，有计划地开展信息安全保密宣传教育工作。 4、定期向上级领导汇报保密工作情况或听取信息安全保密工作情况汇报，及时解决保密工作中存在的重大问题。 5、贯彻执行保密法规，制定实施保密工作计划。组织依法定密工作，健全各项保密规章制度，加强保密管理，进行督促检查。 6、对涉密的通信和办公自动化设备，负责采取保密技术防范措施。 三、责任追究 如信息安全保密工作责任人未按照本责任书履行职责、开展工作的，由单位予以通报批评；工作中存在重大突出问题的，或因工作失职导致后果的，按照相关规定对责任人予以处分。 本责任书自签约之日起生效。 责任人（签章）： 年 月 日 附件6、信息安全风险评估工作责任书 附件6 信息安全风险评估工作责任书 为了进一步落实我单位的网络安全与信息安全管理责任，确保网络安全与信息安全，做好机关信息安全风险评估工作，特制定本责任书。 一、总体目标 通过深入、详细、全面地检查单位信息系统的安全风险状况了解单位资产的安全现状，并进行相应整改。 二、责任要求 1、制定详细的风险评估计划，确保风险评估工作顺利有序进行。计划包括确定风险评估范围，确定风险评估目标，建立适当的组织机构，建立系统性风险评估实施方案。 2、风险评估工作小组的风险评估计划须获得主管检察长的批准方能执行。 3、风险评估工作小组的风险评估结果须获得主管检察长的认可方能生效。 4、相关组织或单位应制定详细的风险评估工作人员职责安排以及职责说明。 5、风险评估工作小组应无遗漏的识别单位所有重要资产。 6、风险评估工作小组应对资产进行威胁分析以及脆弱性分析，并结合现状进行整改。 7、风险评估工作人员应对单位信息系统进行全面的风险评估，做到无遗漏。 8、风险评估过程中的每项工作都应给出相应的报告及材料。 三、责任追究 如信息安全风险评估工作责任人未按照本责任书履行职责、开展工作的，由单位予以通报批评；工作中存在重大突出问题的，或因工作失职导致后果的，按照相关规定对责任人予以处分。 本责任书自签约之日起生效。 责任人（签章）： 年 月 日 附件7、信息安全应急响应工作责任书 附件7 信息安全应急响应工作责任书 为了进一步落实我单位的网络安全与信息安全管理责任，确保网络安全与信息安全，做好信息系统的应急响应工作，特制定本责任书。 一、总体目标 应急响应计划的执行应有足够的资源保证，包括人力、技术、设备和财务等方面，在安全事件发生后应能尽快恢复系统和网络的正常运转，应使系统和网络所遭受的破坏最小化。 二、责任要求 组织和领导相关人员制定详细的应急响应计划，其中应根据不同的安全事件类型制定不同的应急响应计划。 应从人力、技术、设备和财务等方面确保应急响应计划的执行有足够的资源保证。 定期组织应急预案的演练和培训，特别是安全事件发生后应组织相关人员进行事后教育和培训。 定期组织相关人员对应急响应计划进行审查并根据实际情况进行更新。 三、责任追究 如信息安全应急响应工作责任人未按照本责任书履行职责、开展工作的，由单位予以通报批评；工作中存在重大突出问题的，或因工作失职导致后果的，按照相关规定对责任人予以处分。 本责任书自签约之日起生效。 责任人（签章）： 年 月 日 附件8、安全管理员职责说明书 附件8 安全管理员职责说明书 为了进一步落实网络安全和信息安全管理责任，明确安全管理员职责，确保网络安全和信息安全，安全管理员应落实如下责任： 1、负责对安全产品购置提供建议，负责组织制定各种安全策略与配置规则，负责跟踪安全产品投产后的使用情况。 2、负责指导并监督各安全岗位工作人员及普通用户的安全相关工作。 3、负责组织信息系统的安全风险评估工作，并定期进行系统漏洞扫描，形成安全评估报告。 4、根据信息安全需求，定期提出信息安全改进意见，并上报主管领导。 5、定期查看信息安全站点的安全公告，跟踪和研究各种信息安全漏洞和攻击手段，在发现可能影响信息安全的安全漏洞和攻击手段时，及时做出相应的对策，通知并指导系统管理员进行安全防范。 6、负责整合各种安全方案、安全审计报告、应急计划以及整体安全管理制度并报主管领导。 7、若由于安全管理员工作疏忽或失误而导致安全事故发生，安全管理员应承担相应责任。 附件9、系统管理员职责说明书 附件9 系统管理员职责说明书 为进一步落实主机安全和系统安全管理责任，明确系统管理员职责，确保主机安全和系统安全，系统管理员应落实如下责任： 1、负责主机操作系统的安全配置和日常审计，系统应用软件的安装，从系统层面实现对用户与资源的访问控制。 2、协助安全管理员制定主机操作系统的安全配置规则，并落实执行。 3、负责主机设备的日常管理与维护，保持系统处于良好的运行状态。 4、为安全审计员提供完整、准确的主机系统运行活动日志记录。 5、在主机系统异常或故障发生时，详细记载发生异常时的现象、时间和处理方式，并及时上报。 6、编制主机设备的维修、报损、报废计划，报主管领导审核。 7、若由于系统管理员工作疏忽或失误而导致安全事故发生，系统管理员应承担相应责任。 附件10、网络管理员职责说明书 附件10 网络管理员职责说明书 为了进一步落实网络安全和信息安全管理责任，明确网络管理员职责，确保网络安全和信息安全，网络管理员应落实如下责任： 1、负责网络的部署以及网络产品、相关安全产品的配置、管理与监控，并对关键网络配置文件进行备份，及时修补网络设备的漏洞。 2、协助安全管理员制定网络设备安全配置规则，并落实执行。 3、为安全审计员提供完整、准确的重要网络设备和网站运行活动日志。 4、在网络及设备异常或故障发生时，详细记载发生异常时的现象、时间和处理方式，并及时上报。 5、编制网络设备的维修、报损、报废等计划，报主管领导审核。 6、若由于网络管理员工作疏忽或失误而导致安全事故发生，网络管理员应承担相应责任。 附件11、机房管理员职责说明书 附件11 机房管理员职责说明书 为了进一步落实网络安全和信息安全管理责任，明确机房管理员职责，确保机房安全，机房管理员应落实如下责任： 1、负责机房所有设备的台帐和实物管理，固定资产帐、物相符应达到百分之百，设备完好率不低于百分之九十。 2、要定期或不定期检查机房内的空调、电源等电器设备，发现安全隐患要及时整改和上报，重要设备故障应做好维修记录。 3、每周向主管领导报告一次机房设备完好情况和维修情况。 4、严格核实出入机房人员审批手续的真实性和有效性，确保进入机房人员的作业内容与审批手续完全一致。 5、不得擅自将机房仪器设备外借给其他人使用。 6、电器设备和线路应经常检查，发现可能引起火花线路、发热和即将破损、老化等情况必须立即停止设备使用，报告修理，不得冒险使用。 7、保持机房环境整洁卫生，走道畅通，设备器材摆放整齐、排列有序，机房外鞋柜内拖鞋摆放整齐。 8、若由于机房管理员工作疏忽或失误而导致安全事故发生，机房管理员应承担相应责任。 附件12、安全审计员职责说明书 附件12 安全审计员职责说明书 为了进一步落实网络安全和信息安全管理责任，明确安全审计员职责，确保信息系统安全，安全审计员应落实如下责任： 1、负责根据系统管理员提供的主机运行日志记录以及网络管理员提供的网络设备和网站运行日志进行安全审计工作，判断信息系统及资产是否安全，并按时上交安全审计报告。 2、对审计过程中发现的安全问题做出及时处理，上报备案，并通知相关负责人。 3、对于审计记录、内容以及存储设施必须给予保护(如一些文档的记录或者存储设备)，以防止非授权的访问。 4、要建立与审计相关的监控程序，以确保只能进行已经明确规定的授权活动。要定期回顾监控活动记录。 5、确保对储存和处理的审计日志进行了保质期识别并登记；如果确定已过期记录无保存价值，则必须采取适当的措施销毁记录。 6、若由于安全审计员工作疏忽或失误而导致安全事故发生，安全审计员应承担相应责任。 附件13、信息审查员职责说明书 附件13 信息审查员职责说明书 为了进一步落实网络安全和信息安全管理责任，明确信息审查员职责，确保无不良信息传播以及公文的规范性，信息审查员应落实如下责任： 1、负责审查网站信息以及内部公文。对网站信息中出现的不良信息（包括言论、图片、网站链接等）进行及时过滤。 2、审查内部信息公文的格式及内容的规范性，判断有无涉及非授权信息。 3、负责审查发布信息中是否存在工作敏感信息和国家秘密信息。 4、 制定网站规范有关规定，对不良信息进行明确划分。 5、若由于信息审查工作疏忽或失误而导致安全事故发生，信息审查员应承担相应责任。 XXX局信息系统用户管理制度 XXX局信息系统用户管理制度 第一章 范围及职责 第一条本制度适用于信息系统用户的管理，包括：岗位配置原则、人员录用及调（离）岗、授权管理、安全培训教育、第三方人员管理。 第二条XX部门负责信息系统用户管理制度的制定和修订。 第二章岗位配置原则 第三条根据信息系统职能要求，结合信息部门实际情况进行人员配备，权限、职能不同的角色必须分离，避免权责不清、责任不明确的现象发生。其中，系统管理员不能兼任安全审计员。 第四条重要岗位实施角色备份制度，在合理设置工作岗位、完善工作职责的基础上，在相近岗位之间，实行顶岗或互为备岗制，以便能及时处理紧急任务。 第五条各岗位工作人员安排 为确保信息安全工作的顺利开展，保障信息系统的正常运行，须设置安全管理员、系统管理员、网络管理员、机房管理员、安全审计员和信息审查员并明确其工作职责。 第三章人员录用及调离 第六条相关信息安全职责在岗位说明书中予以明确，各部门负责人根据已批准的岗位说明书和部门人员配置要求，填写相关申请，统一招调。 第七条所有信息系统相关岗位均要签署保密协议，关键岗位人员必须从内部人员中选拔。 第八条对被录用人的身份、背景、专业资格和资质等进行审查，当人员处理涉密信息或涉及高敏感性的信息或担负重要岗位时，应进行更严格的政审。 第九条人员调离时必须更换或归还之前发放的身份证件、钥匙、单位提供的软硬件设备及文档资料等资产，并办理详尽的交接手续。 第十条人员调离时必须终止其所有的访问权限，涉及相关信息系统账号、口令时，先采取更换密码或冻结账号的措施，避免直接删除账号。 第十一条人员调（离）岗时必须签署保密承诺书，承诺在调（离）岗后根据保密承诺书的内容履行相关的保密责任和义务，涉密人员实行脱密期管理制度。 第十二条对未办理正常交接手续离岗的人员，及时进行信息安全风险评估并由专人跟进处理，保证信息系统的安全和业务连续性。 第十三条建立完善的奖惩机制，对违反信息安全策略或规定的人员，给予正式纪律处理，对信息安全工作表现突优异的人员，给予适当激励。 第十四条与上级信息安全管理部门、信息系统服务商和宽带提供商（如电信、网通等）保持适当联系，确保在发生信息安全事故和查处危害内部信息安全的违法犯罪行为时能够得到及时响应和必要帮助。 第四章授权管理 第十五条权限的分级应遵循以下原则。 1符合业务安全需求； 2.遵循最小权限原则； 3.系统管理员分配超级权限，一般用户则分配普通权限； 第十六条所有账号注册都必须通过申请才能开放。申请人提出权限申请，提交用户权限审批和修改表给XX部门审批，审批同意后才能开通相应的权限。每个用户必须被分配唯一的账号，账号名不能透露用户的权限信息，不允许共享账号。 第十七条所有系统都应该建立应急账号，应急账号数据必须放在密封的信封内妥善收藏，并控制好信封的存取。在使用后必须立刻修改，然后把新的密码装到信封里。 第十八条人员调职、离职时，亦需提交用户权限审批和修改表XX部门审批，该员工的所有账号必须在最后上班日之前注销或修改。当注销账号时，必须确保已取消其相关的系统权限。 第十九条每3个月对重要系统特权用户及权限进行审计，每6个月对各系统的普通用户及权限进行审计（权限审计将重点关注权限与岗位是否匹配、权限的分配、变更、注销记录是否完整）。在权限审计完成后，填写权限审查表。对审查过程发现的问题责成改进。 第二十条每3个月提交权限变更汇总记录，XX部门负责人对提交的报表数据进行审核，对审查过程发现的问题责成改进。 第五章 安全培训教育 第二十一条各岗位人员必须清楚自己的安全职责，了解各自的工作职能范围和责任义务。 第二十二条制定安全教育和培训计划、记录培训具体内容和培训结果以及参加培训人员，在培训结束后把培训相关记录材料整理归档。 第二十三条根据各个岗位的业务应用、安全意识和保密意识需求制定培训计划，定期组织安全教育和培训。 第二十四条各岗位人员要积极参与单位组织的内、外部信息安全交流和培训，提升信息安全意识和专业水平。 第二十五条定期对各岗位人员进行安全理论知识和安全技能水平的考察。 第六章第三方人员管理 第二十六条为加强与信息安全公司、产品供应商、业界专家、安全组织的沟通与合作或应急响应，应建立详细的外联单位联系表（内容至少包括外联单位的名称、联系人、地址、联系方式等）。 第二十七条第三方人员对敏感信息资产进行访问前，必须签订正式的合同及保密协议；在合同和保密协议中明确第三方人员的安全责任、必须遵守的安全要求以及违反要求的处罚等条款，对其允许访问的区域、系统、设备、信息等内容应有明确的规定。 第二十八条需要访问信息系统的第三方人员必须得到有关部门和领导的许可、授权，其访问权限必须得到严格的限制。第三方人员使用的工具需经过相关部门的安全检查。 第二十九条与第三方人员共同协定现场工作规范并按照既定规范实施管理、落实运维人员或终端责任人全程陪同的策略以降低风险。 第三十条在第三方人员进行远程访问之前，要严格鉴定访问者的身份，确保访问者为已授权人员。 第三十一条负责第三方人员接待和管理的部门在第三方人员访问结束之后，要及时收回相关物品、资料并且终止其访问权限。 第三十二条负责接待第三方人员的工作人员须有相应信息安全教育培训经验，并且具备良好的安全意识和风险识别能力。 第三十三条应选择具有公安部门、保密部门、密码管理部门资质认证的第三方公司进行信息安全合作，保障系统安全。 第七章附则 第三十四条本制度由XXXX负责解释。 第三十五条本制度自发布之日起生效执行。 附件:1.安全保密责任书（在岗人员） 2.保密承诺书（离岗人员） 3.信息安全培训计划表 4.信息安全培训记录表 5.用户权限审批和修改表 附件1、安全保密责任书（在岗人员） 附件1 安全保密责任书 （在岗人员） 为做好本单位的保密工作，确保单位敏感信息和国家秘密的安全，特制定本保密责任书。 一、个人信息提供 本人保证，涉密资格审查时提供的所有个人信息都是真实的，没有任何虚假、伪造或隐瞒。 二、岗位职责 （一）积极参加保密教育和培训，完成规定的学时要求（每年累计不得少于16小时），认真学习、掌握并严格执行保密法律、法规、规章和本单位、本部门的保密规定； （二）依法确定、使用和管理单位敏感信息、国家秘密及其载体，确保单位敏感信息和国家秘密的绝对安全； （三）负责所在涉密场所保密安全防范措施的执行并确保落实； （四）严格护照保密工作部门有关手机使用保密管理规定的要求使用和管理手机。 三、行为规范 本人保证，不得做出下列行为： （一）以任何方式非法向知悉范围以外的人员泄露单位敏感信息和国家秘密； （二）违规记录、存储、复制、携带单位敏感信息或国家秘密，违规持有单位敏感信息或国家秘密载体； （三）未经单位审查批准，擅自发表涉及未公开工作内容文章、