安全管理制度体系.docx

《安全管理制度体系.docx》由会员分享，可在线阅读，更多相关《安全管理制度体系.docx（258页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、AAAAA公司信息安全管理制度体系AAAAAA公司司安全管理理制度（v1.0）文档编制制单位：AAAAAA文档编制制时间：文档总页页数：页页文档编制制：文档审核核人：审核时间间：注：替换换：AAAAAAA为公司司名称，DDDDDD为为公司简简称，BBBBBBB为系系统名称称，XXXXXXX为信息息安全管管理的部部门（如如“XXXXXX”）。信息安全全管理机机构制度度版本记记录版本记录录版本修改日期期修改摘要要修改人审批人审批日期期1.0目录第一章 信息安安全管理理制度总总则81.1 概述881.2 总体原原则81.3 总体目目标81.4 总体框框架91.4.1 系系统信息息运维安安全策略略91

2、.4.2 信信息系统统安全管管理安全全策略1101.5 适用范范围111第二章 AAAAAA公公司XXXXXXX信息安安全管理理体系文文件1222.1 目的1122.2 范围1122.3 职责1122.4 管理细细则1332.4.1 体体系文件件生命周周期流程程132.4.2 体体系文件件策划1132.4.3 体体系文件件的评审审142.4.4 体体系文件件的作废废14第三章 信息安安全管理理体系1153.1 信息安安全管理理体系1153.1.1 信信息安全全管理体体系建立立153.1.2 信信息安全全管理体体系实施施163.1.3 信信息安全全管理体体系监察察16第四章 信息安安全组织织机构

3、制制度1774.1 信息安安全组织织机构1174.1.1 信信息安全全职能部部门职责责174.1.2 信信息安全全领导小小组职责责184.1.3 信信息系统统安全小小组职责责及要求求184.1.4 信信息安全全小组权权限2554.1.5 信信息安全全管理人人员2664.1.6 关关键岗位位协议227第五章 信息安安全授权权及审批批管理制制度3225.1 信息安安全授权权及审批批管理制制度322第六章 审核与与检查管管理制度度336.1 审核与与检查管管理制度度336.1.1 定定期安全全检查3336.1.2 文文件审批批与发布布管理制制度333第七章 办公环环境管理理制度3347.1 办公环环

4、境管理理制度334第八章 沟通与与合作管管理制度度368.1 沟通与与合作管管理制度度368.1.1 信信息安全全例会管管理3668.1.2 外外部协作作管理337第九章 人员入入岗管理理制度3389.1 信息安安全条款款389.2 保密协协议3889.3 人员录录用和上上岗安全全管理339第十章 人员在在岗管理理制度33910.11 人员员在岗信信息安全全管理33910.11.1 岗位信信息安全全检查33910.11.2 信息安安全违规规纪律处处理39910.22 人员员考核44010.33 关键键岗位考考核制度度40第十一章章 信息息安全培培训制度度4011.11 信息息安全培培训制度度4

5、0第十二章章 人员员离岗管管理制度度4112.11 人员员离岗离离职安全全管理44112.11.1 资产归归还41112.11.2 访问权权限回收收4212.11.3 离职后后信息安安全职责责的追踪踪和管理理42第十三章章 外来来人员管管理制度度4313.11 第三三方人员员安全管管理43313.22 外来来人员信信息安全全管理444第十四章章 工作作人员安安全守则则4414.11 工作作人员安安全守则则44第十五章章 信息息系统建建设安全全管理制制度46615.11 系统统总体规规划设计计4615.11.1 安全设设计需求求分析及及评估44815.11.2 总体安安全设计计5715.11.3

6、 安全建建设规划划6315.22 系统统工程实实施65515.22.1 产品采采购管理理制度66515.22.2 安全服服务商选选择66615.22.3 硬件采采购和安安装66615.22.4 软件采采购和安安装67715.22.5 系统软软件开发发管理66715.33 系统统测试验验收69915.44 系统统交付66915.55 系统统备案669第十六章章 硬件件设备运运维管理理制度77016.11 硬件件设备运运维管理理制度77016.11.1 机房安安全管理理制度77016.11.2 办公环环境安全全管理制制度72216.11.3 资产安安全管理理制度77316.11.4 介质安安全管理

7、理制度77816.11.5 设备管管理制度度8316.11.6 网络安安全管理理制度885第十七章章 系统统软件运运维管理理制度88817.11 系统统软件运运维管理理制度88817.11.1 系统安安全管理理制度88817.11.2 恶意代代码防范范管理制制度95517.11.3 密码使使用管理理制度99617.11.4 信息系系统变更更管理制制度966第十八章章 备份份与恢复复管理制制度100018.11 备份份与恢复复管理制制度100018.11.1 备份制制度流程程图100018.11.2 资产识识别100118.11.3 备份方方案100218.11.4 备份计计划实施施102218

8、.11.5 备份的的介质标标识100218.11.6 备份介介质的安安全存放放103318.11.7 信息恢恢复1003第十九章章 信息息系统安安全事件件管理制制度100419.11 信息息系统安安全事件件管理制制度100419.11.1 安全事事件定义义104419.11.2 安全事事件等级级划分110519.11.3 安全事事件处理理流程110619.11.4 安全事事件报告告流程1120第二十章章 硬件件维护日日常操作作管理规规程122120.11 硬件件维护日日常操作作管理规规程122120.11.1 交换机机121120.11.2 路由器器122220.11.3 防火墙墙122220

9、.11.4 小型机机122220.11.5 PC服服务器112320.11.6 审计系系统1223第二十一一章 信信息系统统操作规规程122321.11 信息息系统操操作规程程123321.11.1 服务器器设备操操作规程程123321.11.2 网络设设备操作作规程1124第二十二二章 应应急机构构125522.11 应急急机构及及角色设设置122522.11.1 应急领领导小组组125522.11.2 应急协协调小组组126622.11.3 应急实实施小组组126622.11.4 外部应应急协助助组1227第二十三三章 应应急预案案128823.11 信息息系统应应急预案案128823.1

10、1.1 应急预预案分类类128823.11.2 应急预预案启动动128823.11.3 应急处处理流程程131123.11.4 系统恢恢复133323.11.5 故障总总结及报报告133423.11.6 应急演演练133423.22 附录录136623.22.1 附1：体系系文件建建立申请请表133623.22.2 附2：体系系文件更更改申请请表133723.22.3 附3：体系系文件评评审记录录表133823.22.4 附4：体系系文件作作废申请请表133923.22.5 附5：专家家论证表表140023.22.6 附6：专家家意见书书141123.22.7 附7：专家家论证会会会议纪纪要1

11、44223.22.8 附录88 :安安全评估估报告114323.22.9 附录99 资产产清单114423.22.100 附录录10 :系统统的操作作手册114623.22.111 附录录11：信信息系统统安全检检查表单单146623.22.122 附录录12：备备份管理理员操作作变更申申请单114723.22.133 附录录13：密密码变更更记录表表（zjj）149923.22.144 附录录14：审审计记录录153323.22.155 附录录15：授权与与审批流流程155523.22.166 附录录16：系系统配置置变更审审批单115623.22.177 附录录17:安全检检查表11582

12、3.22.188 附录录18: 安全全检查报报告与通通报166023.22.199 附199:外联联单位联联系表116123.22.200 附200:会议议记要116323.22.211 附211:信息息安全专专家聘任任书166423.22.222 附录录22 :保密密协议116423.22.233 附录录23:上岗人人员情况况登记表表168823.22.244 附录录24:人员入入岗审核核表177023.22.255 附录录25:岗位协协议书（需打印印）177123.22.266 附录录26：信信息安全全岗位人人员考核核记录117423.22.277 附录录27：安安全技能能考核纪纪录177

13、523.22.288 附录录28：关关键岗位位审查情情况表117623.22.299 附录录29：信信息安全全培训计计划188223.22.300 附录录30：安安全教育育培训签签到表118523.22.311 附录录31: 安全全教育培培训评价价表188623.22.322 附录录32：年年度信息息安全培培训计划划187723.22.333 附录录33：培培训考题题188823.22.344 附录录34：培培训考核核记录表表192223.22.355 附录录35: 人员员离岗/职审批批表199423.22.366 附录录36: 人员员离岗工工作交接接表199623.22.377 附录录37:

14、离职保保密承诺诺书199823.22.388 附录录38:机房进进出申请请单199923.22.399 附录录39:机房进进出记录录表200123.22.400 附录录40：机机房出入入登记表表203323.22.411 附录录41：XXXXXX机机房设备备出门单单204423.22.422 附录录42：设设备维护护档案220523.22.433 附录录43：信信息安全全存储介介质领用用/借用申申请单220623.22.444 附录录44：介介质销毁毁审批表表207723.22.455 附录录45：信信息安全全存储介介质维修修记录220823.22.466 附录录46：设设备领用用表20092

15、3.22.477 附录录47：计计算机设设备责任任人变更更审批表表210023.22.488 附录录48：特特权用户户申请表表210023.22.499 附录录49：服服务器补补丁升级级记录221123.22.500 附录录50：变变更申请请单211223.22.511 附录录51：备备份记录录215523.22.522 附录录52：恢恢复记录录215523.22.533 附录录53：备备份与恢恢复演练练记录单单216623.22.544 附录录54：安安全事件件记录报报告211623.22.555 附录录55：信信息安全全事件调调查报告告217723.22.566 附录录56：硬硬件维护护2

16、18823.22.577 附录录57：工工作日志志219923.22.588 附录录58：信信息系统统巡检2220258AAAAA公司版权所有第一章 信息安全全管理制制度总则则1.1 概述信息系统统安全等等级保护护管理制制度体系系是对实实现信息息系统安安全等级级保护所所采用的的安全管管理措施施的描述述。本制制度体系系从信息息安全管管理机构构制度、信息安安全人力力资源管管理制度度、信息息系统建建设安全全管理制制度、信信息安全全系统运运维管理理制度和和信息系系统操作作规程及及应急预预案等方方面，针针对AAAAAAA公司的的BBBBBB系系统，从从信息安安全管理理和信息息系统运运维两个个方面做做出规

17、定定。1.2 总体原则则本制度的的信息安安全总体体原则如如下：l 全面贯彻彻国家和和上海市市关于信信息安全全工作的的要求文文件和相相关指导导性文件件精神，在部门门内建立立符合国国家要求求完善的的信息安安全管理理体系；l 建立由安安全策略略、管理理制度、操作规规程等构构成的全全面信息息安全管管理制度度体系，并落实实信息安安全管理理责任到到个人，使信息息安全管管理有章章可循；l 定期进行行信息安安全培训训，提高高相关人人员信息息安全意意识及能能力；l 实行预防防为主，应急为为辅的信信息安全全理念，对可能能存在的的信息安安全隐患患进行提提前预防防性排查查和处理理；对于于突发性性信息安安全事件件，可以

18、以按照应应急预案案进行快快速响应应，将事事件影响响降到最最低；l 定期对信信息系统统进行风风险评估估和控制制，将信信息安全全风险控控制在可可接受的的水平，以降低低突发性性事件出出现的概概率；l 持续改进进信息安安全管理理所要求求包含的的各项工工作，为为系统提提供可靠靠的安全全信息服服务。1.3 总体目标标l 明确AAAAAAA公司信信息安全全管理机机构和人人力资源源管理制制度；l 按照等级级保护三三级要求规规范AAAAAAA公司的的BBBBBB系系统建设设和运维维；l 制定AAAAAAA公司的的BBBBBB系系统应急急预案，并定期期进行应应急演练练；l 定期开展展全系统统范围的的信息系系统安全

19、全检查和和信息安安全管理理制度宣宣传，并并按需开开展第三三方信息息安全风风险评估估。1.4 总体框架架本制度的的安全策策略包括括信息安安全管理理安全策策略和信信息系统统运维安安全策略略，如下下图所示示：1.4.1 系统信息息运维安全全策略系统信息息运维安全全策略包包括信息息安全管管理机构构制度和和信息安安全人力力资源管管理制度度。1.4.1.1 信息安全全管理机机构制度度l 建立AAAAAAA公司的的BBBBBB系系统信息息安全管管理组织织机构明确网络络管理员员、主机机管理员员、系统统管理员员、安全全管理员员、安全全审计员员等安全全管理相相关岗位位及职责责。l 加强信息息安全的的授权和和审批对

20、于系统统变更（包含软软件和硬硬件）实实施审批批，并记记录在案案。l 定期审查查信息安安全管理理体系监督各项项安全控控制措施施的落实实情况，并针对对有偏差差的地方方进行纠纠正，以以保证信信息安全全管理体体系持续续有效。l 规范产品品采购和和使用管管理制度度流程明确产品品所有者者、使用用者与维维护者；对所有有产品进进行标记记，实现现信息资资产从采采购、安安装、调调试、使使用、变变更到报报废整个个周期的的安全管管理，并并且密码码相关产产品符合合国家密密码主管管部门的的要求。l 定期评估估安全风风险根据评估估结果选选择适当当的安全全策略和和控制措措施，保保证安全全风险可可控。1.4.1.2 信息安全全

21、人力资资源管理理制度l 加强人员员安全管管理包含人员员录用前前考察、人员在在岗和离离岗的安安全控制制、人员员考核、奖惩措措施等内内容；对对于关键键岗位的的工作人人员，需需签订保保密协议议。l 保密协议议签署对于外包包的软件件开发，需与服服务提供供商签署署保密协协议；在在信息系系统立项项和审批批过程中中，同步步考虑信信息安全全需求和和目标。系统开开发完成成后，要要求通过过第三方方安全机机构对软软件安全全性的测测评。1.4.2 信息系统统安全管管理安全全策略信息系统统安全管管理安全全策略包包括信息息建设安安全管理理制度、信息安安全系统统运维管管理和信信息系统统操作规规程及应应急预案案。1.4.2.

22、1 信息建设设安全管管理制度度l 文档发布布制度化化制定文档档发布规规范制度度，统一一文档版版本、格格式等，并定期期按照制制度对文文档进行行更新，以保证证所有文文档的时时效性。1.4.2.2 信息安全全系统运运维管理理l 保障机房房物理与与环境安安全实施多种种手段对对机房安安全进行行监控，包括门门禁、视视频监控控、红外外线报警警等安全全防范措措施，确确保机房房物理安安全。部部署机房房专用空空调、UUPS，灭火设设备等环环境保障障设施；每天对对机房设设施运转转情况进进行定期期巡检、和维护护。控制制机房人人员和设设备的出出入管理理，非管管理人员员无法进进入主机机房，外外部人员员进入机机房需填填写出

23、入入记录并并且由管管理人员员全程陪陪同。l 维护和操操作规程程文档化化对系统维维护和操操作规程程实施文文档化操操作，降降低和避避免因误误操作所所引发信信息安全全事件的的可能性性。l 部署防病病毒软件件统一部署署防病毒毒软件，并进行行病毒库库的统一一更新，任何人人不得私私自卸载载防病毒毒软件。l 定期备份份重要系系统和数数据对重要的的数据和和信息系系统进行行每日增增量备份份每周全全量备份份，并对对备份介介质进行行安全地地保存，以及对对备份数数据每季季度进行行备份还还原测试试，保证证各种备备份信息息的保密密性、完完整性和和可用性性，确保保所有重重要信息息系统和和重要数数据在故故障、灾灾难后及及其它

24、特特定要求求下进行行可靠的的恢复。1.4.2.3 信息系统统操作规规程及应应急预案案l 信息安全全事件应应对机制制建立对各各类信息息安全事事件的预预防、预预警、响响应、处处置、恢恢复机制制，编写写针对网网络、数数据库、系统和和恶意代代码等的的应急预预案，并并每年两两次进行行测试和和演练。1.5 适用范围围本手册按按照ISSO/IIEC 270001：20005 信息安安全管理理体系要要求，结合AAAAAAA公司司的BBBBBBB系统的的实际编编制而成成，符合合ISOO/IEEC 2270001：20005 标标准的全全部要求求。本管管理制度度适用于于AAAAAA公公司的BBBBBBB系统统建设

25、和和运维过过程。第二章 AAAAAA公司司XXXXXX信信息安全管理体系系文件2.1 目的为规范AAAAAAA公司司XXXXXX（以下简简称“DDDDDD”）的信信息安全全管理体体系文件件的制订订、修订订及评审审，特制制定本制制度。2.2 范围本管理规规范适用用于信息息安全领领导小组组和工作作小组对对信息安安全管理理体系文文件的维维护管理理。2.3 职责由信息安安全工作作小组的的主体部部门DDDDDDD负责信信息安全全管理体体系文件件的维护护，包括括制订、修订和和评审，由信息息安全领领导小组组负责体体系文件件的批准准、发布布和作废废。2.4 管理细则则2.4.1 体系文件件生命周周期流程程体系

26、文件件流程图图2.4.2 体系文件件策划信息安全全工作小小组组织织相关人人员，根根据信信息安全全技术 信息系系统安全全等级保保护基本本要求（GBTT 2222399-20008）、 信息息安全技技术 信信息系统统安全管管理要求求（GBBT 2202669-220066）、ISSO/IIEC 270001：20005 信信息安全全管理体体系的的要求， 结合合实际的的职责和和工作流流程，策策划制定定信息安安全管理理体系文文件，并并形成AAAAAA公公司XXXXXXX信息安全全管理体体系文件件汇编。 信息安全全工作小小组将制制定的AAAAAA公公司XXXXXXX信息安全全管理体体系文件件汇编汇报给给

27、信息安安全领导导小组，信息安安全领导导小组进进行审批批确认。 2.4.3 体系文件件的评审审信息安全全工作小小组应定定期发起起对体系系文件的的评审, 应填填写体体系文件件建立申申请表(详见见附1)。对体体系文件件的评审审应至少少每年进进行一次次。评审审流程如如下： (1) 信息安安全工作作小组发发起对体体系文件件的评审审申请，信息安安全领导导小组确确认后批批准评审审要求。(2) 信息安安全工作作小组制制定评审审计划。计划中中应确定定各文档档对应的的评审责责任人以以及实施施评审的的时间计计划。(3) 各评审审责任人人根据时时间计划划，结合合内部审审核、管管理评审审、风险险评估及及日常记记录的结结

28、果，评评估现有有文件的的有效性性和充分分性。如如果确定定文档有有必要进进行修改改，应填填写体体系文件件更改申申请表(详见见附2)。(4) 如果修修改的内内容只涉涉及XXXXXXX，则由由信息安安全工作作小组组组长进行行审批，在审批批同意后后，由文文档评审审责任人人进行修修改。(5) 如果修修改的内内容涉及及到XXXXXXX以外的的部门，需要所所有涉及及部门的的会签。会签后后，由文文档评审审责任人人进行文文档修改改。如需需要，可可邀请专专家对体体系文件件进行专专家评审审（详见见附5、附6、附7）。(6) 修改完完毕之后后，各责责任人将将体系系文件评评审记录录表(详见附附3)和和完善后后的体系系文

29、件版版本一并并报送信信息安全全工作小小组，由由信息安安全工作作小组进进行标识识和保存存。(7) 信息安安全工作作小组最最终对评评审结果果向信息息安全领领导小组组进行汇汇报。2.4.4 体系文件件的作废废(1) 在体系系文件的的评审过过程中，如果评评审责任任人认为为文件应应当作废废，则填填写体体系文件件作废申申请表(详见见附4)，由信信息安全全工作小小组审批批后，报报信息安安全领导导小组进进行审批批。(2) 信息安安全领导导小组审审批完成成后，信信息安全全工作小小组负责责通知所所有相关关人员，并对AAAAAA公公司XXXXXXX信息安全全管理体体系文件件进行行废除。第三章 信息安全全管理体体系3

30、.1 信息安全全管理体体系以ISOO/IEEC 2270001：20005 信息安安全管理理体系要要求为为依据，建立信信息安全全管理体体系，并并形成相相关的信信息安全全管理体体系文件件。由AAAAAAA公司司主管领领导批准准发布，在AAAAAAA公司范范围内实实施并保保持，利利用内部部审核、管理评评审、定定期检查查、定期期更新和和预防措措施以及及持续改改进的手手段，确确保信息息安全管管理体系系的有效效性。3.1.1 信息安全全管理体体系建立立3.1.1.1 管理体系系范围根据AAAAAAA公司系系统业务务特点、组织机机构、物物理位置置确定AAAAAAA公司司的BBBBBBB系统 信息安安全管理

31、理体系的的范围为为：l 所有部门门和正式式工作人人员，包包括AAAAAAA公司所所有成员员；l AAAAAA公司司XXXXXX主主要负责责AAAAAA公公司的BBBBBBB系统统 建设设和运行行工作及及系统维维护和管管理；l 与系统业业务活动动相关的的应用系系统及其其包含的的全部信信息资产产，其中中应用系系统包括括：AAAAAAA公司的的BBBBBB系系统；信信息资产产包括：与上述述业务应应用系统统相关的的数据、硬件、软件、服务及及文档等等；l AAAAAA公司司的BBBBBBB系统 涉及的的办公场场所和上上述业务务应用系系统所处处机房，其中机机房为AAAAAAA公司司的BBBBBBB系统所所

32、在机房房。3.1.1.2 风险评估估在体系建建立过程程中，AAAAAAA公司司确定信信息安全全风险评评估方法法，对AAAAAAA公司司的BBBBBBB系统 实施风风险评估估(详见见附8)，识别别AAAAAA公公司的BBBBBBB系统统 所面面临的风风险，并并根据风风险进行行相应的的处理。3.1.1.3 风险处置置在风险评评估后，根据风风险评估估的结果果，确定定风险处处置的策策略，包包括：l 采用风险险控制措措施，以以降低面面临的信信息安全全风险；l 在满足信信息安全全方针和和风险接接受准则则的前提提下，有有意识地地、客观观地接受受风险；l 转移相关关业务风风险到其其他方面面，如：购买产产品维保

33、保，运维维服务外外包等；l 根据风险险处置策策略，制制定风险险控制措措施，对对已识别别出的风风险进行行分类处处理，并并对残余余风险进进行了批批准。3.1.2 信息安全全管理体体系实施施在实施和和运行信信息安全全管理体体系中所所开展的的工作包包括：l 通过风险险管理方方法来控控制信息息系统中中存在的的信息安安全风险险，配置置资源、明确职职责和优优先级别别，实施施适当的的管理措措施；l 实施各信信息安全全管理体体系文件件中包括括的控制制措施，以达到到各控制制目标；l 实施培训训和意识识教育计计划，具具体内容容参见培训制制度；l 实施能迅迅速检测测安全事事件和响响应安全全事故的的程序。3.1.3 信

34、息安全全管理体体系监察察严格执行行监视和和评审程程序以及及其它相相关措施施，以达达到：l 迅速检测测信息安安全管理理体系运运行过程程中的缺缺陷和弱弱点；l 迅速识别别潜在的的和已发发生的信信息安全全违规和和事故；l 确保管理理者分配配给各人人员的信信息安全全活动或或通过信信息技术术实施的的信息安安全活动动能如期期执行；l 确定信息息安全措措施的有有效性；l 定期进行行信息安安全管理理评审，以判断断信息安安全管理理体系的的有效性性；l 定期进行行信息安安全风险险评估的的评审；l 定期对信信息安全全管理体体系进行行管理评评审；l 依据监视视和评审审活动的的结果，对信息息安全管管理体系系进行修修改和

35、完完善；l 记录可能能影响信信息安全全管理体体系有效效性或执执行情况况的措施施和事件件。第四章 信息安全全组织机机构制度度4.1 信息安全全组织机机构AAAAAA公司司针对AAAAAAA公司的的BBBBBB系系统的信信息安全全组织机机构包括括信息安安全领导导小组和和信息系系统安全全小组。信息系统统安全小小组的成成员包括括：机房房管理员员、主机机管理员员、网络络管理员员、应用用管理员员、安全全管理员员、安全全审计员员。根据各个个职位职职责不同同，对于于安全管管理员与与安全审审计员应应配备专专职人员员，不可可兼任；对于关关键事务务岗位应应考虑多多人共同同管理。AAAAAA公司司信息安安全体系系组织

36、机机构图如如下：4.1.1 信息安全全职能部部门职责责信息安全全职能部部门为XXXXXXX，主主要职责责如下：l 保障机房房信息系系统的安安全运行行；负责责机房的的环境维维护和物物理访问问管理；负责机机房的设设备维护护及设备备管理；负责机机房内任任何事故故的上报报及处理理；负责责制定及及修订有有关机房房安全管管理制度度。l 负责对机机房值班班人员及及技术维维护人员员（外包包方）进进行日常常工作管管理和检检查；l 负责AAAAAAA公司的的AAAAAA公公司的BBBBBBB系统统的使用用控制及及处置管管理。l 介质的使使用人负负责在单单位内部部介质的的使用控控制及处处置管理理。l 各相关接接待人

37、负负责其接接待的外外来人员员的介质质的使用用及监督督。l 负责AAAAAAA公司网网络系统统安全管管理。l 负责AAAAAAA公司基基础平台台系统安安全管理理，应用用系统安安全管理理。l 负责AAAAAAA公司信信息系统统的恶意意代码防防范工作作，及发发生恶意意代码攻攻击时的的应急处处理。l 负责AAAAAAA公司信信息系统统的密码码使用管管理工作作，包括括密码的的保管、分配、修改、授权。l 负责AAAAAAA公司信信息系统统数据备备份与恢恢复管理理工作。l 负责AAAAAAA公司信信息系统统安全事事件管理理工作。4.1.2 信息安全全领导小小组职责责信息安全全领导小小组主要要职责如如下：l

38、负责关于于信息安安全方面面工作的的方针政政策；l 审定AAAAAAA公司的的BBBBBB系系统 的的安全建建设规划划；l 对信息系系统安全全工作的的重大事事项做出出决策；l 研究审定定AAAAAA公公司的BBBBBBB系统统 安全全建设和和管理工工作中的的制度、标准及及相关政政策，并并协调相相关部门门监督制制度、政政策的实实施情况况；l 组织、协协调和指指导信息息安全的的宣传、普及教教育工作作。4.1.3 信息系统统安全小小组职责责及要求求l 负责贯彻彻落实信信息安全全领导小小组关于于信息系系统安全全工作的的要求和和规定，并落实实各项安安全工作作；l 负责信息息系统的的安全管管理体系系和规章章

39、制度的的建立、实施；l 建设、技技术保障障和操作作规范等等各方面面的逐步步建成；l 组织制订订和贯彻彻信息系系统运行行安全保保障和维维护工作作制度。4.1.3.1 机房管理理员职责责及要求求机房管理理员主要要职责如如下：l 负责保障障机房物物理与环环境的安安全建设设管理l 负责制定定机房基基础设施施的相关关资产清清单(详详见附99)内容包括括资产名名称、重重要程度度、所处处位置等等。l 明确产品品所有者者、使用用者与维维护者；对所有有产品进进行标记记，实现现信息资资产从采采购、安安装、调调试、使使用、变变更到报报废整个个周期的的安全管管理，并并且密码码相关产产品符合合国家密密码主管管部门的的要

40、求。l 令相关人人员能够够按照维维护规程程对系统统进行操操作，降降低和避避免因误误操作所所引发信信息安全全事件的的可能性性。l 负责保障障机房物物理与环环境安全全实施包括括门禁、视频监监控、报报警等安安全防范范措施，确保机机房物理理安全。部署机机房专用用空调、UPSS等环境境保障设设施，对对机房设设施运转转情况进进行每日日两次巡巡检、维维护、故故障处理理和变更更管理。严格对对机房人人员和设设备的出出入管理理，进出出需登记记，外来来人员需需由相关关管理人人员陪同同方能访访问机房房。l 在机房基基础设施施变更、重要操操作、物物理访问问等的进进行逐级级审批，负责日日常审批批，重大大变更需需上报到到A

41、AAAAA公公司领导导小组负负责人进进行核准准和审批批后，方方可进行行变更；l 负责组织织实施机机房基础础设施各各类事故故（故障障）的应应急处理理。机房管理理员任职职要求如如下：1、遵守守AAAAAA公公司的各各项规章章制度；具有良良好的职职业道德德和敬业业精神； 2、爱岗岗敬业，吃苦耐耐劳，愿愿意长期期从事机机房管理理工作； 3、服从从分配与与管理，团结协协作具有有良好的的团队精精神；能能全心全全意为AAAAAAA公司司服务，言行举举止形象象文明； 4、了解解计算机机软硬件件安装及及维护，动手能能力强； 5、具有有一定的的组织能能力和语语言表达达能力。6、具备备保密意意识。4.1.3.2 主

42、机管理理员主机管理理员主要要职责如如下：l 负责保障障主机（包括服服务器设设备、操操作系统统、数据据库系统统、数据据备份）；l 信息安全全日常管管理包括系统统口令管管理、无无人值守守设备管管理、屏屏幕保护护、便携携机管理理等，促促使每位位人员的的日常工工作符合合AAAAAA公公司的BBBBBBB系统统 的信信息安全全策略和和制度要要求。负负责主机机运行维维护体系系和主机机技术支支持平台台的建设设与运行行管理，建立服服务器设设备、操操作系统统、数据据库系统统、数据据备份文文档化的的操作和和维护规规程，使使得各个个相关人人员能够够采用规规范化的的形式对对系统进进行操作作，降低低和避免免因误操操作所

43、引引发信息息安全事事件的可可能性。l 重要信息息和信息息系统备备份定期进行行重要信信息和信信息系统统备份，并对备备份介质质进行安安全地保保存，以以及对备备份数据据定期进进行备份份测试验验证，保保证各种种备份信信息的保保密性、完整性性和可用用性，确确保所有有重要信信息系统统和重要要数据在在故障、灾难后后及其它它特定要要求下进进行可靠靠的恢复复。l 负责统一一部署防防病毒软软件，并并每周更更新病毒毒库；l 负责全系系统的计计算机恶恶意代码码防治和和主机安安全的管管理工作作，制定定检查计计划（包包含在主主机巡检检工作中中），督督促检查查工作；l 负责重要要信息系系统的访访问控制制管理，对系统统特殊权

44、权限和系系统实用用工具的的使用进进行严格格的审批批和监管管；l 负责组织织实施主主机各类类事故（故障）的应急急处理。主机管理理员任职职要求如如下：1、一年年以上相相关工作作经验。2、了解解熟悉服服务器软软件和运运行系统统(Appachhe、WWinddowss /UUNIXX),和和网络故故障排除除，熟悉悉了解安安全措施施，能主主动学习习和聆听听良好的的时间安安排能力力，出色色的沟通通能力以以及客户户服务能能力，完完美解决决问题，灵活且且可靠，以及独独立工作作能力。3、具备备保密意意识4.1.3.3 网络管理理员网络管理理员主要要职责如如下：l 负责保障障网络安安全建设设管理；l 规范网络络管

45、理流流程；l 采用技术术和管理理两方面面的控制制措施，加强对对应用系系统的安安全控制制，提高高网络的的安全性性和稳定定性；l 对重要网网络设备备应有文文档化的的操作和和维护规规程，使使得维护护人员能能够采用用规范化化的形式式对系统统进行操操作，降降低和避避免因误误操作所所引发信信息安全全事件的的可能性性；l 负责保障障网络安安全，协协助安全全管理员员部署网网络安全全产品，确保网网络安全全；对网网络设备备设施运运转情况况进行定定期巡检检、维护护、故障障处理和和变更管管理；l 在网络系系统变更更、重要要操作、访问等等的进行行逐级审审批，负负责日常常审批，重大变变更需报报到AAAAAAA公司领领导小组组进行核核准和审审批后，方可进进行变更更；l 负责组织织实施网网络各类类事故（故障）的应急急处理。网络管理理员任职职要求如如下：1、大专专以上学学历，计计算机、通信等等相关专专业2、二年年以上网网络管理理员工作作经验3、熟悉悉常用服服务器设设备，具具备故障障诊断和和处理能能力4、熟练练掌握WWinddowss 操作作系统的的管理、维护5、了解解主流厂厂商的设设备和技技术发展展6、具备备保密意意识7、具备备良好职职业道德德与工作作态度，善于沟沟通4.1.3.4 应用管理理员