2023年度信息安全管理制度（2023年）.docx

《2023年度信息安全管理制度（2023年）.docx》由会员分享，可在线阅读，更多相关《2023年度信息安全管理制度（2023年）.docx（12页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 2023年度信息安全管理制度（2023年） 信息安全治理制度 信息工作治理制度 第一章总则 第一条为了加强信息治理，标准信息安全操作行为，提高信息安全保障力量与水平，爱护信息安全，促进信息化建立，依据中华人民共与国计算机信息系统安全爱护条例等规定，以环境信息网络治理爱护标准（环保部制定）等标准为根本治理操作准则，制订本治理制度。 其次条本制度适用范围为信息与监控中心，其他单位可参照执行。 其次章岗位治理 第三条业务信息工作人员（包含监控与信息中心技术人员及机关业务系统治理人员）、机房运维人员（包含外包机构人员），应遵循环境信息网络治理爱护标准等规定。 第四条机房运维人员依据运维合同规定由机房

2、治理部门对事实上行治理。 第五条信息工作人员岗位设置为系统治理员、业务治理员、网络治理员、安全治理员、安全审计员。 人员岗位及职责 （一）系统治理员 系统治理员是从事效劳器及存储设备运行治理的人员，业务 上应具备娴熟把握操作系统、娴熟操作效劳器与存储设备的力量。 1、负责指定的效劳器、存储等设备的资料登记、软件保管及设备报修。 2、协作完成指定的业务软件运行环境的建立，正式运行后的效劳器系统软硬件操作的监管，执行中心的备份策略。 3、在所负责的的效劳器、存储设备发生硬件故障时，准时组织有关人员恢复系统的运行，针对系统事故找到系统事故缘由。 4、负责指定的效劳器操作系统的治理口令修改。 5、负责

3、制定、执行效劳器及存储设备故障应急预案。 （二）业务治理员（业务联系人） 业务治理员是部署在应用效劳器上的操作系统及业务系统运行治理的人员，业务上应具备业务系统安装及根本调试操作的力量（业务软件厂家负责培训），业务系统及部署操作系统故障分析的力量，预防系统风险的力量。 1、负责爱护业务系统的运行及业务系统的安装环境。 2、负责制定、执行业务系统及其数据的备份规划。 3、负责业务数据的数据备份及数据恢复。 4、负责制定执行本业务系统的故障应急预案。 （三）网络治理员 2 网络治理员是网络及网络设备运行治理的治理人员，业务上应具备规划大型网络的力量，网络故障分析的力量。 1、负责日常监控网络运行，

4、保持网络安全、稳固、畅通。 2、负责网络、安全设备的资料登记，软件保管及设备修理。 3、负责网络、安全设备的配置状况及针对有关业务配置参数设置，并备份各个设备的配置文件。 4、负责网络、安全设备的编号与调配。 5、负责网络资源规划与网络布线配线架的治理。 6、负责对网络的效能进展评价，提出网络构造、网络技术与网络治理的改良措施。 7、负责制定与执行网络故障应急预案。 （四）安全治理员 安全治理员是网络安全、系统安全进展风险评估的治理人员，业务上应具备文字处理的力量、划分系统爱护定级及系统恢复定级的力量、协调沟通的力量。 1、负责定期对网络、操作系统等进展安全漏洞扫描，通知各有关技术人员并赐予指

5、导。 2、负责组织实施信息安全风险评估，报告。 3、负责组织人员进展安全培训。 4、负责确定系统爱护定级与划分系统恢复等级。 5、负责协作省公安厅与经信委的信息安全检查。 （五）安全审计员 安全审计员是审计网络安全策略、安全防护、角色权限的管 理人员。业务上应具备办公及应用软件安全分析的力量、系统安全风险策略及数据安全风险策略分析的力量、组织协调的力量。 1、负责办公软件与应用软件的安装与爱护。 2、负责重要系统的用户角色权限的审计。网络安全、病毒防护的审计。 3、负责数据备份与灾难恢复的审计。 4、帮助进展网络带宽安排、网络访问操纵、网络安全审计、网络边界完整性、网络入侵防范、网络恶意代码防

6、范、地址绑定等安全功能进展测试。 5、负责重要系统软硬件猎取应用的审计。 6、负责应急预案的审计，并组织应急演练。第六条信息工作人员与机房运维人员都务必遵守XX 省环境爱护厅环境信息网络治理爱护标准，签订信息安全责任书。 第七条对违反信息安全操作标准或者严峻疏忽，依据造成的后果的大小，可对信息工作人员的当年年度考核评定为不合格或者职务晋升、评比先进等实行一票拒绝。人事关系隶属其他部门人员通知有关部门负责人，依据厅有关规定进展 4 处理。造成重大事故，构成犯罪的，将追究刑事责任。 第八条信息工作人员离岗务必交接的内容： 1、将领用的办公电脑、u 盘、移动硬盘等办公品办理退还手续。 2、本岗位全部

7、的工作资料。 3、经办未了的事项。第九条离岗交接要求 1、离岗人员务必仔细填写离岗表格资料，填写资料字迹要清楚。 2、离岗表格资料由信息主管部门负责对离岗人员材料进展评审。 3、资料、文件、未完工作交接时，需由信息主管部门确定监交人，监视移交是否完整、精确，并帮忙移交工作顺当完成。资料交接清单务必有移交人、交接人与监交人三方的签字认可。 4、离岗交接未通过评审者，人事部门不得为其办理离职手续。 5、交接时可能会消失资料交接不完全，人员离岗后，信息主管部门保存对移交人的追索权力。 第十条依据信息安全等级爱护检查工作标准的规定，信息部门每年举办一次信息安全技术培训。 第三章网络治理 第十一条依据X

8、X 省环境爱护厅环境信息网络治理爱护标准标准，网络治理员每天检查网络设备的运行状况。 第十二条网络治理员日常检查各网络运行状态，记录网络运行各项参数。 日常检查内网治理软件、网络与安全治理软件的运行状况。 准时执行网络与安全治理软件升级爱护，并记录网络安全日常爱护表。 第十三条网络治理员协作安全审计员定期对网络带宽安排、网络访问操纵、网络安全审计、网络边界完整性、网络入侵防范、网络恶意代码防范、地址绑定等安全功能进展测试。 第十四条网络资源及网络参数变更，务必有机房负责人进展审批。 第十五条消失网络特别，网络治理员准时报告机房负责人，核实缘由。如网络消失故障或者事故，应根据信息安全应急预案处理

9、，准时修理、更换备机。 第十六条网络、安全设备接入网络，务必通过运维治理部门审批。发觉私自接入网络行为的，赐予警告、记过处分，造成不良后果的，能够撤职。 第十七条利用网络从事非法活动的，将依据有关法 6 律法规，追究责任。 第四章系统治理 第十八条依据“谁应用，谁负责”的原则，确定每个业务系统的业务治理员，软件研发单位负责对业务治理员进展培训。 第十九条业务治理员应每天检查所治理业务系统（包含所使用的硬件设备）的运行状况，检查业务系统备份状况，准时修补系统补丁。 其次十条对业务系统进展升级与爱护，务必录入系统日常爱护表。 其次十一条业务系统及其备份系统发生故障时，系统治理员准时通知软件开发商并

10、报告机房负责人，核实缘由。如系统不能恢复或者数据丧失等重大事故发生，应根据信息安全应急预案处理。 其次十二条每年 7 月，业务治理员协作安全治理员对业务系统进展风险评估，依据风险评估报告（符合 gb/t20984 标准），进展系统修订。 其次十三条每年 7 月，业务治理员协作安全治理员核定信息系统等保定级、系统恢复定级，根据信息安全检查内容进展自查。 其次十四条业务系统效劳器不得开放与工作无关 7 的效劳端口。如需开通其他效劳端口，务必备案，并自行保证信息安全。 第五章软硬件资产治理 其次十五条进入机房的软件、效劳器、存储、网络与安全设备进展统一的编号与调配，如在财务治理所规定的固定资产价值范

11、围内（含软件与其它信息设备），应统一登记，计入固定资产台账。 其次十六条由行政治理部门与使用部门对软件与信息设备共同进展资产治理。 1、设置固定资产实物台帐，建立固定资产卡片。 2、对固定资产进展统一分类资产编号。 3、对固定资产的使用落实到详细负责人。 其次十七条资产编号规章应按财政厅规定的资产编号规章实施。 其次十八条 信息治理部门定期组织人员，进展软件资产清查盘点，对清查盘点中发觉的问题，应当查明缘由，说明状况，软件资产清查盘点工作应当符合信息安全与保密的要求，防止信息外泄。 其次十九条 符合以下条件之一的软件资产能够申请报废 （一）闲置一年以上及版本陈旧已不再使用的 （二）达不到业务要

12、求需要淘汰、报废、删除的； （三）已超过授权期限，无法使用的； （四）其他特别状况需要处置的。 第三十条依据设备新旧程度，信息治理部门应组织系统治理员与网络设备治理员及业务治理员，定期修订设备保养规划，设备进展保养及清洗，需根据保养规划执行。 第三十一条信息设备发生故障时，应准时报告机房负责人并通知有关负责人，核实缘由。如设备故障可能会导致系统或者数据丧失时，应根据信息安全应急预案处理。 第三十二条网络设备、安全设备、效劳器设备其它机房设备修理，务必通过运维治理部门审批，填写修理单。 第三十三条未经运维治理部门审批，不得拆换信息设备零件、配件、外设，不得转变网络设备、安全设备、效劳器设备、存储

13、设备安装位置及系统设置，更不准挪作它用。 第三十四条符合以下条件之一的信息设备能够申请报废 （一）超过使用年限、自然损耗造成性能降低、要紧部件损坏，无法修复的。 （二）屡次修理，费用超过设备原值 50%以上的。 （三）设备属淘汰产品，不能满意正常工作的。 （四）其他特别状况需要处置的。 第六章信息安全治理 9 第三十五条根据关于加强党政机关计算机信息系统安全与保密治理的若干规定，重要数据应参照执行。 第三十六条拥有重要数据的部门应当准时对数据进展备份，防止数据的丧失；涉及数据备份与恢复的部门要指定业务治理员负责数据备份工作，并仔细填写备份日志。 第三十七条数据备份应依据不全都业务制定不全都的备

14、份周期与备份策略，存放备份数据的介质务必具有明确的标识。备份数据应定期测试，以确保备份数据的可恢复性。 第三十八条备份介质务必归档。备份介质要有业务治理员负 责保管工作，储存地点应有防火，防热，防潮，防尘，防磁，防盗设施。 第三十九条数据清理前业务治理员务必对数据进展备份，在确认备份正确前方可进展清理操作。历次清理前的备份数据要依据备份策略进展定期储存或者永久储存，并确保能够随时使用。数据清理的实施应躲开业务顶峰期，避开对联机业务运行造成影响。 第四十条数据恢复前，业务治理员务必对原环境的数据进展备份，防止有用数据的丧失。数据恢复过程中要严格根据数据恢复手册执行，消失问题时由技术部门进展现场技

15、术支持。数据恢复后，务必进展验证、确认，确保数据恢复的完整性与可用性。 第四十一条数据的备份、恢复、转出、转入的权限 10 都应严格操纵。严禁未经授权将数据备份出系统，转给无关的人员或者单位；严禁未经授权进展数据恢复或者转入操作。当存储过重要数据的介质（如光盘、软盘、磁带等）报废时应由专业技术人员进展物理性销毁。 第七章密码治理 第四十二条网络设备、效劳器设备及其应用系统等系统密码与治理密码，应统一治理、专人使用。 第四十三条密码更新应由各设备及系统治理员编制新密码，实施更新，并送机房负责人备查。 第四十四条交换机、路由器、防火墙、效劳器的系统密码与治理密码每月更新一次，在每月 5 日前负责完

16、成。网站与视频会议系统效劳器指定负责人将密码更新后，并准时通知机房负责人备案。 第四十五条特别状况机房负责人可依据工作的实际需要更新密码。 第八章附则 第四十六条结合信息网络快速进展与经济社会进展状况，协作有关法律法规的制定、修改与完善，本制度适时修订。 第四十七条本制度由信息与监控中心制定并解释。第四十八条本制度于 2023 年月日批准实施。 11 网络安全事故应急预案 第一章总则 为了正确、快速与有效地处置网络系统可能发生的重大计算机网络安全事故，提高处理突发计算机网络安全事故的操纵与排障力量，形成科学、有效、反响快速的应急工作机制，确保重要计算机网络系统安全、数据安全，最大限度地削减计算

17、机网络信息安全事故的危害与影响，爱护各项工作顺当进展，特制定本预案。 其次章适用范围 该预案适用于办公楼在日常工作过程中计算机网络发生的各类突发大事，包含通信网络故障、病毒防范、效劳器软件系统故障、核心设备硬件故障、业务数据损坏等计算机网络安全大事。 第三章组织机构职责 信息安全应急工作组组长由信息与监控中心主任任担当，副组长由信息监控中心副主任担当，技术总负责人由运维治理负责人担当，组员由系统治理员、业务治理员、网络治理员、安全治理员、安全审计员构成。要紧职责是： 12（1）担当本单位的值守应急工作； （2）收集、分析工作信息，准时上报重要信息；（3）负责网络与信息安全的监测预警与风险评估操.