《单位内部网络信息安全制度汇编（试行）》.docx

《《单位内部网络信息安全制度汇编（试行）》.docx》由会员分享，可在线阅读，更多相关《《单位内部网络信息安全制度汇编（试行）》.docx（75页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、单位内部网络信息安全制度汇编（试行）单位内部网络信息安全制度汇编（试行）目录一、相关术语111、缩写112、制度适用范围：113、术语定义11一、网络信息安全总体策略13第一章总则13第二章术语定义13第三章组织职责13第四章管理原则13第五章总体目标14第六章安全框架14第七章策略制定与维护15二、信息等级保护体系制定和发布管理规定17第一章总则17第二章职责17第五章文件起草18第六章文件评审19第七章文件发布20附录一、（XX市民政局）管理制度发布记录表21三、等级保护体系评审和修订管理规定22第一章总则22第二章评审程序22第三章修订程序23四、信息安全管理组织架构24第一章总则24第

2、二章组织目标24第三章信息安全组织架构24第四章组织的信息安全职责描述25五、信息系统安全检查管理规定27第一章总则27第二章适用范围27第三章术语定义27第四章组织职责27第五章通用要求27第六章安全检查准备28第七章安全检查报告28第八章安全检查整改29第九章检查工具的使用29附录一：安全检查情况汇总表30附录二：信息系统安全检查表31六、信息安全组织架构与岗位职责33第一章总则33第二章信息化领导小组33七、人员管理制度36第一章总则36第二章术语定义36第三章组织职责36第四章入职管理36第五章在岗管理37第六章纪律处理过程37第七章调动管理37第八章离岗管理38八、网络安全培训和考核

3、管理规定39第一章总则39第二章组织职责39第三章安全培训管理程序39第五章安全考核管理程序40九、第三方机构安全管理规定41第一章总则41第二章术语定义41第三章组织职责41第五章驻场外包人员安全管理要求41第六章临时来访人员安全管理要求42第七章外包服务质量考核与评价42第八章外包人员离场安全要求43十、计算机及网络保密规定44十一、信息系统测试管理办法46第一章总则46第二章测试组工作职责46第三章新业务系统上线测试管理办法47第四章常规版本升级测试管理办法48十二、信息安全建设管理规定50第一章总则50第二章适用范围50第三章组织职责50第四章系统定级50第五章安全检查报告51第六章系

4、统建设52第七章系统备案52第八章系统测评53第九章系统终止53附录一、系统安全设计方案评审表55附录二、系统测试验收评审表56附录三、系统转移、终止或废弃申请表57十三、项目管理规定58第一章总则58第二章适用范围58第三章职责与权限58第四章项目立项58第五章项目计划59第六章项目实施59第七章项目监控60第八章项目收尾60十四、工作环境管理规定61第一章总则61第二章适用范围61第三章术语定义61第四章办公区域访问控制61第五章办公环境安全61第七章办公用计算机安全62第八章监督和检查65十五、信息系统资产管理规定66第一章总则66第二章适用范围66第三章术语定义66第四章职责66第五章

5、资产分类66第六章资产分级67第七章信息资产标识67第八章信息资产维护68第九章闲置报废资产管理68附录一、（XX市民政局）XXXX系统信息资产清单70十六、存储介质管理规定71第一章总则71第二章适用范围71第三章术语定义71第四章组织职责71第五章存储介质标识71第六章存储介质访问71第七章存储介质保管72第八章介质维修72第九章存储介质销毁72附录一、存储介质清单74附录二、存储介质销毁申请表75十七、信息系统运维监控管理规定76第一章总则76第二章适用范围76第三章术语定义76第四章组织职责76第五章监控管理要求77第六章运维监控工作流程77十八、网络系统运行管理规定79第一章总则79

6、第二章组织职责79第三章网络资源的数据管理79第四章网络资源的申请80第五章网络资源的使用80第六章网络资源的建设80第七章网络资源的变更81第八章网络故障处理81十九、系统帐号权限管理规定82第一章总则82第二章适用范围82第三章术语定义82第四章组织职责82第五章通用原则82第六章特权帐号管理84第七章普通帐号管理84第八章口令管理84第九章检查监督85附录一、（XX市民政局）业务系统临时帐户申请表86附录二、（XX市民政局）业务系统帐户清单87二十、补丁管理规定88第一章总则88第二章适用范围88第三章术语定义88第四章组织职责88第五章补丁获取88第六章补丁测试89第七章补丁验证和归档

7、89附录一业务系统补丁安装登记表91二十一、信息系统日志管理规定92第一章总则92第二章适用范围92第三章术语定义92第四章组织职责92第五章通用要求92第六章主机系统日志管理93第七章业务系统日志管理93第八章设备日志管理94二十二、防病毒管理规定95第一章总则95第二章适用范围95第三章术语定义95第四章组织职责95第五章防计算机病毒目的96第六章防病毒管理内容96第七章防病毒应用规定97第八章惩罚制度97附件：病毒事件报告表98二十三、信息安全密码使用管理规定99第一章总则99第二章帐号设立要求99第四章口令设立要求100第五章变更与取消要求100第六章维护要求101第七章流程管理要求1

8、03二十四、变更管理规定105第一章总则105第二章适用范围105第三章术语定义105第四章组织职责106第五章变更申请106第六章变更受理106第七章变更方案制订106第八章变更审批107第九章变更实施107第十章变更汇总109第十一章紧急变更109附录一变更申请单110二十五、备份与恢复管理规定112第一章总则112第二章术语定义112第三章职责112第四章备份管理112第五章备份介质管理114第六章备份恢复管理115附录一：业务系统备份数据清单116二十六、安全事件管理规定120第一章总则120第二章适用范围120第三章术语定义120第四章组织职责120第五章事件分类120第六章事件分级

9、122第七章事件监控122第八章事件受理123第九章事件处置123附录一、信息安全异常现象报告126附录二、信息安全事件报告127二十七、应急预案管理规定129二十八、软件管理办法131第一章总则131第二章适用范围131第三章职责与权限131第四章软件管理131第五章软件外包开发131第六章软件使用132二十九、信息交付管理规定133第一章总则133第二章安全交付规范133第三章人员安全管理135附件安全系统交付清单136相关术语1、缩写原名称缩写名称备注2、制度适用范围：适用于（XX市民政局）各部门，包括系统维护管理人员、网络、服务器、终端、设备、信息系统的专用设备以及物理环境等3、术语定

10、义安全策略：是纲领性的安全策略主文档，描述（XX市民政局）业务安全目标和管理层意图、支持目标和指导原则，是信息安全实践的根本性和指导性的文件。信息安全等级保护管理体系是指依据国家信息安全等级保护的要求建立的系统内进行信息安全管理的制度、方针、策略、流程、指南、记录等管理方面的规章制度集合。信息安全等级保护管理体系是指依据国家信息安全等级保护的要求建立的系统内进行信息安全管理的制度、方针、策略、流程、指南、记录等管理方面的规章制度集合。安全检查：指单位内部或外部机构对信息安全整体执行情况进行的评价活动。安全检查的依据是单位现行的管理制度、信息系统安全体系规范和技术标准、有关法律、法规和标准要求等

11、安全检查包括安全例行检查、安全专项检查等。安全例行检查：指按照已制定的检查周期所作的检查。安全专项抽查：指根据单位、监管机构或相关部门要求的安全运行状况所作的不定期的抽查。本单位员工是指单位正式员工，包括试用期员工和借调人员等。第三方机构是指所有进入（XX市民政局）内部提供相关技术服务的非（XX市民政局）单位（包括但不限于供应商、合作厂商、服务商）。第三方人员分为临时来访人员和驻场外包人员。临时来访的第三方人员是指来（XX市民政局）时间周期较短的人员，包括进行业务交流的人员，临时来访参观的人员等；驻场外包的第三方人员是指来访时间较长的第三方技术服务人员，包括项目建设人员，外来信息系统职守人员，

12、外来信息系统维护人员等。存储介质：指用于单位计算机系统相关业务的电子信息输出、存放的物理介质、可移动和不可移动的磁盘、光盘、硬盘、磁盘阵列等。帐号是指每个可访问系统资源的用户在系统中的标识,可分为应用系统帐号、操作系统帐号和数据库帐号等。访问权限是指帐号被赋予的可以访问系统资源和使用系统功能的权利。超级管理员帐号/特权帐号：指对系统具有超级权限的帐号，包含但不限于UNIX/Linux的root，WINNT的administrators组成员，数据库的DBA等用户。普通帐号：用户用于维护或访问系统，实现日常操作的帐号，是最为常见的用户类型。补丁是针对某一个具体的系统漏洞或安全问题而发布的专门解决

13、该漏洞或安全问题的小程序，通常称为修补程序。日志包括各业务系统中存储的主机系统日志、设备日志和业务系统日志等基础环境日志计算机病毒：计算机病毒是人为蓄意编制的一种寄生性的计算机程序。它能在计算机系统中生存，通过自我复制来传播，在一定条件下即被激活，从而给计算机系统造成一定损害甚至严重破坏，有些病毒还能窃取计算机设备中的重要信息信息安全事件是指由于自然或者人为以及软硬件本身缺陷或故障的原因，对信息系统造成危害，或对社会造成负面影响的事件一、网络信息安全总体策略第一章总则为了加强（XX市民政局）信息系统的网络安全管理，明确（XX市民政局）网络安全管理的总目标和总方向，保护（XX市民政局）系统自有的

14、信息系统资产，积极预防安全事件的发生，使安全事件的影响最小化，特制定本策略文件。第二章术语定义安全策略：是纲领性的安全策略主文档，描述（XX市民政局）信息系统业务安全目标和管理层意图、支持目标和指导原则，是网络安全实践的根本性和指导性的文件。第三章组织职责单位组建网络安全与信息化领导小组，负责批准网络安全策略文件并且保证本文件被执行，同时负责对（XX市民政局）系统网络安全方面的指导方向、安全建设等重大问题做出决策，协调各部门安全协同工作，支持和推动网络安全工作在整个单位实施。单位组建网络安全等级保护工作小组，负责具体执行安全管理策略文件的建立、实施、运作、监控、评审、维护和改进工作。单位所有员

15、工有责任了解自身在单位信息安全、网络安全方面的职责，并按照网络安全与信息化领导小组的指示，认真执行相关要求。第四章管理原则网络安全管理工作实行“积极防范、突出重点、职责到位、保障业务”和“谁主管、谁负责、谁运营、谁负责”的管理原则。第五章总体目标遵守国家相关法律法规，结合（XX市民政局）实际情况，依据现有管理和文化体系，逐步建设一套适用的、先进的网络安全管理体系，更好地保障（XX市民政局）网站、社管平台等重要信息系统安全、稳定的向社会公众提供服务，并满足单位不断发展的业务需求。第六章安全框架安全管理制度逐步完善由安全策略、管理制度、操作规程组成的网络安全管理体系。网络安全策略文件应由管理层审核

16、批准，并公布与传达给单位所有人员以及同本单位有业务往来的第三方机构。网络安全策略文件在规划期间内或有重大变更发生时需通过管理层的审查及修订。安全管理机构必须建立网络安全管理组织，以满足网络安全管理体系持续运行的目标。加强与第三方机构的沟通和合作，及时获取相关信息。必须建立安全检查机制，定期对信息系统进行安全检查。加强人员录用和离岗过程的安全管理，并定期对所有人员进行安全培训和考核，加强安全意识。对所有操作或访问信息资产的第三方机构，必须向其阐明相关的责任要求，并明确告知其有责任恰当地使用和保护这些信息资产。系统建设系统建设初期必须根据系统定级情况进行安全方案设计，对可行性进行论证。确保安全和密

17、码产品采购和使用符合国家的有关规定；并只能选择满足条件的安全服务商。确保在系统的开发与维护过程中，相关的安全功能和需求已被嵌入到系统内。在开发新系统时，安全功能应包含在初始的系统分析与需求描述中。这些描述必须包括自动的和手动的安全控制。这些控制必须通过测试，而且能够整合到正在运行的环境中。系统运维信息系统及其相关的设备在物理上需要受到保护，防止偷窃、滥用、损坏或未经授权的访问。确保信息系统相关的信息资产受到适当保护,所有信息资产必须有确定的属主并且根据其敏感度进行分类和控制。所有信息系统必须制定相应的操作规范，通过对日常操作的管理、介质的管理、恶意代码防范控制确保信息系统范围内信息处理设施的正

18、确和安全操作。对三级系统应建立安全管理中心，对信息资产安全事件实现监控和响应。所有信息系统变更应有审批流程，并有完善的恢复流程。应建立有效的安全事件响应和处理机制，安全事件必须及时的发现、报告、处理、调查、上报并修正，并且有事后的回顾，以吸取经验教训，避免以后再发生同类型的事件，把损失降到最小。建立完善应急预案，以确保事故发生时，对业务活动的影响降至最小。第七章策略制定与维护网络信息安全策略文件由安全管理员编写，由网络安全与信息化领导小组批准，向所有相关部门、第三方机构和相关人员发布。网络安全与信息化领导小组监督网络安全活动，是否与策略的目标一致，达到策略的要求。网络安全与信息化领导小组审查和

19、处理违反安全策略的行为。网络安全等级保护工作小组定期对网络安全策略进行回顾和评审（附件一、评审记录表），确保策略的有效性和可操作性。附件一、安全策略评审记录表安全策略评审记录表日期：年月日会议名称参与人员评审对象评审结果评审意见：审批结果：网络安全等级保护工作小组网络安全与信息化领导小组二、信息等级保护体系制定和发布管理规定第一章总则为了保证（XX市民政局）信息安全等级保护管理体系的持续性、时效性以及适应性，满足业务不断变化的安全管理的需要，明确信息安全等级保护体系的制定、发布、评审和修订等过程中的管理职责，特制定本规定。第二章职责网络安全与信息化领导小组，职责：负责规划、监督、指导网络安全等

20、级保护管理体系文件的起草、审查、发布、清理等工作。负责信息安全等级保护管理体系的评审及修订后复审工作。确保信息安全等级保护管理体系能持续恰当和有效地运作。提供充足的资源和支持，以持续改善信息安全等级保护管理体系。网络安全等级保护工作小组，职责：负责组织管理体系文件的起草、编制、修订、补充等工作的开展，并将实施成果向领导小组汇报。负责启动和主持等级保护管理体系的管理评审工作。负责协调相关人员，指导收集评审资料。确保评审会议所提出的行动项目能在规定的时间内完成，并负责其相关的监督工作。负责对评审结果如需进行修订项协调相关人员进行修订。指派人员负责对修订措施的执行结果进行验证。相关人员，是指（XX市

21、民政局）信息安全等级保护管理体系涉及的人员。比如：系统管理员、应用管理员、开发管理人员、网络管理员、数据管理员、资产管理员和安全管理员等，其职责是：负责依据管理体系文件的内容进行宣贯、培训、执行、检查等工作，并依据部门情况落实管理体系的要求。负责协助进行评审。负责实施修订措施。第五章文件起草（XX市民政局）网络安全管理体系规范文件由网络安全等级保护工作小组负责起草或组织起草。负责起草的科室应当确定一名熟悉相关内容员工为项目负责人，如涉及多个部门时，可由有关部门共同派人组成联合起草小组，由主要起草部门负责牵头组织。起草的规范性文件应当结构严谨、内容完备、形式规范、条理清楚、用词准确、文字简洁。应

22、当明确规定如下内容：（一）制定的目的和依据；（二）适用范围；（三）术语定义；（四）组织职责；（五）具体管理要求或规定；（六）必要的附则；（七）与规范内容相关的资料性附录和参考性附录。报送审查的管理制度送审稿应当由起草部门负责人签署后报网络安全与信息化领导小组审查。几个部门共同起草的规范送审稿，应当由起草部门负责人共同签署后报网络安全与信息化领导小组审查。下列材料应当与规范送审稿一并报送网络安全与信息化领导小组审查：（一）起草说明；（二）与此规范内容有关的规范性文件；（三）汇总的各方意见；（四）如需制定实施细则，应当提交实施细则的主要内容和细则拟出台的时间；（五）其他需要报送的材料。当前隐藏内容

23、免费查看网络安全与信息化领导小组主要从以下方面对送审稿进行审查：（一）是否符合权限和程序；（二）是否符合原则；（三）是否与其他规范、标准相协调、衔接；（四）是否已对有关不同意见进行协调；（五）是否具有可行性；（六）是否符合相关技术要求；（七）需要审查的其他内容。由网络安全与信息化领导小组对送审稿提出审查结论，对草案涉及的有关争议问题以及修改情况作重点说明。由网络安全与信息化领导小组负责人签署的书面审查报告应当反馈起草部门。第六章文件评审（XX市民政局）网络安全等级保护工作小组定期（至少每年一次）开展等级保护管理体系的评审工作，以确保整个等级保护管理体系的充分性、适当性和有效性。等级保护管理体系

24、评审内容：根据业务系统的性质和安全要求，确定（或复审）等级保护管理体系的范围，建立（复审）等级保护管理体系，包括网络安全策略、标准和程序。对等级保护管理体系审核结果进行评审，分析导致不符合项的原因。审查审核对象的反馈信息。总结已发现的安全事件和漏洞。审查现行的安全控制措施和相关技术是否有效。复查修订措施的实施状况。检查先前管理评审中所定义的措施的实施状况。审查改善措施的建议。复查业务和法律法规方面的变更。审查可能影响信息安全等级保护管理体系的任何变更。为协调相关网络安全的实施，评审相关资源的充足性。评审工作必须至少每年举行一次，发生以下情况时，也需要启动管理评审工作：系统业务发生重大变更。系统

25、网络安全策略的重大变更。目前等级保护管理体系的执行不力。系统等级保护管理体系的范围发生变更。相关标准法规发布修订版本或有变更。第七章文件发布规范草案经网络安全与信息化领导小组审议并原则通过后，起草部门根据审议中提出的修改意见对草案进行修改，经网络安全与信息化领导小组负责人签发,以文件形式公布。文件的发布应遵照统一的格式，进行版本控制；并应注明发布范围，对收发文进行登记。对发布的制度应在附录一、（XX市民政局）管理制度发布记录表中进行记录。附录一、（XX市民政局）管理制度发布记录表（XX市民政局）管理制度发布记录管理制度名称制订者发布者生效时间版本分发范围失效时间备注三、等级保护体系评审和修订管

26、理规定第一章总则为了保证（XX市民政局）等级保护管理体系的持续性、时效性以及适应性，满足单位不断变化的安全管理的需要，明确等级保护管理体系的评审和修订过程中管理职责，特制定本规定。第二章评审程序（XX市民政局）网络安全等级保护工作小组定期（至少每年一次）开展等级保护管理体系的评审工作，以确保整个等级保护管理体系的充分性、适当性和有效性。等级保护管理体系评审内容：根据具体工作的性质和安全要求，确定（或复审）等级保护管理体系的范围，建立（复审）等级保护管理体系，包括网络安全策略、标准和程序。对等级保护管理体系审核结果进行评审，分析导致不符合项的原因。审查审核对象的反馈信息。总结已发现的安全事件和漏

27、洞。审查现行的安全控制措施和相关技术是否有效。复查修订措施的实施状况。检查先前管理评审中所定义的措施的实施状况。审查改善措施的建议。复查业务和法律法规方面的变更。审查可能影响等级保护管理体系的任何变更。为协调相关网络安全的实施，评审相关资源的充足性。评审工作必须至少每年举行一次，发生以下情况时，也需要启动管理评审工作：系统业务发生重大变更。系统网络安全策略的重大变更。目前等级保护管理体系的执行不力。系统等级保护管理体系的范围发生变更。相关标准法规发布修订版本或有变更。评审工作的会议记录均需归档，以保存正式的记录。第三章修订程序问题的识别及确认，采取修订措施可能由以下原因，包括但不限于：来自系统

28、等级保护管理体系的相关工作人员的反馈信息或调查申请。网络安全管理评审的会议讨论中发现的问题。等级保护管理体系的审核发现的不符合项。调查问题的起因：由网络安全等级保护工作小组指派专门的人员负责对问题进行分析调查并确认问题的起因。调查人员需提供尽可能多的关于整个问题调查的详细结果。作为修订措施报告的一部分，也可以提供一些额外的补充信息。执行修订措施：基于所调查出的问题起因，需确认并实施相应措施或对事故进行调查研究，负责上述行动的执行者需确保更新任何相关的文件或管理流程。比如：准备制定或更新相关管理程序。培训/通知相关人员知晓。执行人员负责跟踪所执行修订措施的效果。一旦发现效果不如预期，其相关负责人

29、需进行评估分析并就进一步的应对措施进行确认。执行人员必须确保所实施的修订措施是可证实和可验证的，并保证修订措施的报告中都有详细说明。措施的验证：如果验证出所采取的措施是达到预期效果的，则修订措施才算是成功，可以结束跟踪，验证阶段包括以下两个部分：对所规定修订措施的执行程度进行验证。对修订措施的执行效果进行验证。措施验证的结果必须中有详细的说明，且对相关记录进行保存。四、信息安全管理组织架构第一章总则为加强（XX市民政局）信息安全管理工作的组织协调，建立健全等级保护管理制度和运行机制，切实提高（XX市民政局）信息安全管理工作水平，根据信息安全等级保护管理办法（公通字200743号）要求，制定本规

30、范第二章组织目标本实施规则旨在实现信息安全管理的以下目标：管理组织内的信息安全工作；管理外部组织访问组织内信息处理设施和信息资产的安全。第三章信息安全组织架构为加强对（XX市民政局）信息安全管理工作的领导，贯彻落实信息安全的要求及安徽省公安厅关于开展信息安全管理专项检查工作的通知的有关要求，经研究，决定成立（XX市民政局）网络安全与信息化领导小组（以下简称领导小组）成立领导小组，作为信息安全管理工作的最高管理机构，领导小组下设（XX市民政局）系统信息安全管理工作小组。领导小组由（XX市民政局）书记担任组长，副书记担任副组长，领导小组主要成员为队伍建设指导科科长及各相关部门安全主管领导。信息安全

31、管理工作小组负责（XX市民政局）信息安全管理的具体执行工作。工作小组组长由领导小组指定的队伍建设指导科科长兼任。设置一名副组长负责具体工作，对各部门信息安全技术的实施进行指导与审查。信息安全工作小组成员还包括各部门信息化负责人。队伍建设指导科作为信息安全工作的具体执行部门,各科室主要负责人为本科室信息安全管理工作的第一责任人，并应指定一名信息安全管理员作为信息安全工作联络员，负责本科室内的有关信息安全管理工作。第四章组织的信息安全职责描述网络安全与信息化领导小组的职责包括：根据国家、省、市级网络安全的总体要求，结合（XX市民政局）的实际情况，统一领导（XX市民政局）信息安全管理的相关工作；负责

32、协调（XX市民政局）内部管理工作，分配信息安全管理目标、职责，并支持和推动信息安全工作在单位内的实施；负责对与信息安全管理有关的重大事项进行决策，包括安全组织机构调整、以及信息安全管理重大策略变更；组织审定和发布单位信息安全的发展战略、总体规划、重大政策、管理规范和技术标准；评审与监督重大信息安全事故的处理；信息安全管理工作小组的职责包括：直接对领导小组负责，承担信息的具体工作，协助领导小组在信息安全事务上的决策；负责信息安全政策的贯彻与落实，并协调各信息安全执行科室以及与第三方机构间有关的信息安全工作；负责信息安全管理体系的建立、实施和日常运行，起草信息安全政策，确定信息安全管理标准，督促各

33、信息安全执行部门对于信息安全政策、措施的实施；负责对员工的信息安全工作意识教育和安全技能培训；负责维护安全事件的记录报告，对发生的每一起安全事件调查和解决方法都记录在案；负责定期召开信息安全管理工作会议，定期总结安全事件记录报告，并向信息安全领导小组汇报；负责建立各信息安全执行科室、关联上级主管单位与外部安全管理主管机构之间的定期联系和沟通机制；落实纠正措施(包括审计整改意见)和预防措施。信息安全工作联络员的职责包括：负责单位日常的具体信息安全工作，并参加信息安全工作小组所要求的各项活动；负责向信息安全工作小组负责人报告信息安全事件和违反信息安全政策的行为，协助对违反安全政策的行为进行调查；协

34、助信息安全工作小组负责人和单位信息安全主管领导落实针对单位的纠正措施(包括审计整改意见)和预防措施。内部员工的职责包括：严格遵守所有与信息安全相关的国家法律、法规和政策，遵守（XX市民政局）所有的信息安全政策；积极参加信息安全教育与培训，提高信息安全意识；有责任将违反信息安全政策的事件与行为及时报告给单位信息安全联络员及其他相关人员。人力资源部的职责包括：人力资源工作由办公室兼任对员工的聘前、聘中及解聘过程中涉及的人员信息安全进行有效管理；负责制定和实施与信息安全相关的奖惩措施和安全绩效考核体系；组织实施信息安全教育与培训；协助调查安全事件。信息中心的职责包括：信息中心的工作由队伍建设指导科兼

35、任负责对（XX市民政局）各科室和下属单位的信息安全或某个主题进行定期审计或信息安全专项审计；主要以信息安全管理政策及各种标准规范作为审核依据；在具体的审核过程中，必要时可获得信息安全领导小组的协助与支持；负责汇报审计结果，并督促审计整改工作的进行。五、信息系统安全检查管理规定第一章总则为了规范（XX市民政局）信息系统网络安全检查工作流程，明确职责，定期、有效地对本单位信息系统进行安全检查，特制定本规定。第二章适用范围第三章术语定义安全检查：指单位内部或外部机构对网络安全整体执行情况进行的评价活动。安全检查的依据是单位现行的管理制度、信息系统安全体系规范和技术标准、有关法律、法规和标准要求等安全

36、检查包括安全例行检查、安全专项检查等。安全例行检查：指按照已制定的检查周期所作的检查。安全专项抽查：指根据单位、监管机构或相关部门要求的安全运行状况所作的不定期的抽查。第四章组织职责安全管理员负责牵头协调组织各信息系统网络安全检查的管理工作，主要包括系统日常运行、系统漏洞和数据备份等情况。相关管理员应配合安全检查，如实提供所需要的检查信息，对安全检查所发现的问题制定整改措施、整改计划并实施整改。第五章通用要求安全检查应当遵循全面、审慎、独立的原则。安全管理员应牵头建立检查机制，各信息系统负责人配合制定检查计划，定期开展检查活动。检查计划要根据实际情况及时进行补充和调整。应当以半年为周期对信息系

37、统进行安全检查，检查内容应包括安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况。可根据实际需要组织专项检查，对于信息系统发生的重大事故和问题，要进行专项检查，对重大事件实施全面的监控和评价。对于新信息系统，包括设备、主机、应用信息系统上线或安装前必须经过安全检查，检查方式应包括信息系统安全配置，漏洞评估，恶意代码检测，根据检查结果进行整改后方可上线。必须对检查工具、检查过程信息和检查结果信息的使用和访问采取控制措施加以保护，以防止任何可能的风险。第六章安全检查准备安全管理员应组织相关部门或人员按照半年为周期进行安全例行检查，根据需要组织安全专项检查。安全检查应按照所规定

38、的检查要点、检查方式、使用规定的检查工具进行检查。应选择对单位信息系统运行影响最小的方式和时间进行检查。对生产环境实施安全检查应按照（XX市民政局）信息系统变更管理规定所规定的变更流程执行。实施对生产环境可能造成影响的安全检查后，应协调相关科室或人员对检查结果进行验证。安全检查可采用抽查的方式进行，抽查的采样量应能确保安全检查结果的准确性、代表性并符合信息系统实际生产情况。检查过程中应做好检查结果的记录工作。第七章安全检查报告检查完成后由安全管理负责组织编写检查报告并提出整改建议（附录一安全检查情况汇总表），提供给相关科室。第八章安全检查整改相关科室应按照检查报告中整改的时间要求，针对检查报告

39、中所提出的问题制定整改实施计划并组织整改。安全管理员应对整改措施的落实情况进行跟踪，验证整改措施的实施结果是否有效，必要时可进行复查确认。安全管理员根据检查结果和整改情况进行汇总，形成安全状况通报并提供给相关部门。第九章检查工具的使用在安全检查过程中如果需要使用安全工具，只能使用经过审核过安全检查工具。安全检查工具只能在检查设备或者被检查科室的设备上运行，并由检查人员负责操作。在生产信息系统中使用检查工具前，安全管理员要组织进行测试工作，对其可能产生的影响进行评估和论证，必要时安排双人进行操作。附录一：安全检查情况汇总表序号不符合项不符合描述整改建议负责人/科室45678910附录二：信息系统

40、安全检查表检查日期：检查人：CPU占用率系统响应时长（单位：秒）六、信息安全组织架构与岗位职责第一章总则为有效实施信息安全管理，保障和实施本单位的信息安全，在单位内部建立信息安全管理组织架构，明确相关责任和岗位职责，特制定本规定。第二章信息化领导小组为落实国家信息化安全建设方针政策，根据安徽省、XX市相关文件要求，（XX市民政局）成立网络安全和信息化领导小组，并设置相应职能部门或人员负责各级信息系统安全管理工作。具体的信息安全组织架构和岗位设置如下：安全管理员：网络安全和信息化小组成员系统管理员：审计管理员：网络安全和信息化领导小组网络安全和信息化领导小组是（XX市民政局）信息安全工作的最高领

41、导决策机构，负责对本单位的网络和信息安全工作的工作进行整体协调。（XX市民政局）网络安全和信息化领导小组（以下简称：领导小组）负责组织落实上层决策，领导本单位人员落实具体的网络安全和信息化相关工作。主要工作职责如下：1）、领导小组负责领导落实国家、安徽省、XX市三个层面提出的安全建设的总体规划，制定本单位的总体规划；2）、在国家、安徽省、XX市三个层面信息安全总体方针的指导下，组织制定本单位信息系统安全策略并审批上报的信息系统安全策略；3）、负责组织细化上级规章制度，制定相应程序指南，并监督落实规章制度；4）、负责本单位信息系统安全管理层以上的人员权限授予工作；5）、负责审阅信息安全工作报告；

42、负责本单位重大安全事故查处与汇报工作。网络安全和信息化领导小组办公室领导小组下设领导小组办公室（以下简称：办公室），办公室成员由本单位各科室负责信息的人员组成，（XX市民政局）队伍建设科科长担任办公室主任，具体负责网络安全和信息化的任务制定和落实工作。具体工作职责如下：1）、承办领导小组的日常事务，负责组织制定和实施信息安全策略和管理制度。2）、负责组织制定和实施信息安全技术方案。3）、负责组织实施信息安全运行监控与审计。4）、负责组织进行信息安全教育培训。5）、负责组织制度落实情况检查及责任追究和奖励工作。6）、负责组织信息安全档案的建立与管理。网络安全和信息化小组成员信息安全管理执行组负责

43、信息系统建设和运行维护过程中信息安全管理的具体执行工作，具体包含的岗位和职责的描述如下。安全管理员1）、负责组织建立、实施和维护信息安全策略、标准、规章制度和各项操作流程。2）、负责对安全产品购置提供建议，负责组织制定各种安全产品策略与配置规则，负责跟踪安全产品投产后的使用情况；3）、负责指导并监督系统管理员及普通用户与安全相关的工作；4）、负责组织信息系统的安全风险评估工作，并定期进行系统漏洞扫描，形成安全评估报告；5）、根据本机构的信息安全需求，定期提出本机构的信息安全改进意见，并上报信息安全管理部门主管；6）、定期查看信息安全站点的安全公告，跟踪和研究各种信息安全漏洞和攻击手段，在发现可

44、能影响信息安全的安全漏洞和攻击手段时，及时做出相应的对策，通知并指导系统管理员进行安全防范；7）、负责组织审议各种安全方案、安全审计报告、应急计划以及整体安全管理制度；8）、负责参与安全事故调查。系统管理员1）、负责主机操作系统的安全配置（包括及时修补系统漏洞）和日常审计，系统应用软件的安装，从系统层面实现对用户与资源的访问控制；2）、负责应用系统的日常安全检查和日常维护，联系应用软件开发厂家；3）、协助安全管理员制定主机操作系统的安全配置规则，并落实执行；4）、负责主机设备的日常管理与维护，保持系统处于良好的运行状态；5）、为安全审计员提供完整、准确的主机系统运行活动的日志记录；6）、在主机

45、系统异常或故障发生时，详细记载发生异常时的现象、时间和处理方式，并及时上报；7）、编制主机设备的维修、报损、报废计划，报主管领导审核；安全审计员1）、负责定期对主机系统、网络产品、应用系统的日志文件进行分析审计，发现问题及时上报；2）、负责对信息安全保障管理活动进行独立的监督，提供内部独立的审计和评估工作，并根据需要可以协同外部审计评估机构进行评估和认证，为决策领导提供信息系统和信息安全保障执行状况的客观评价。七、人员管理制度第一章总则本规范目标在于建立人员管理制度，用于规范对人员管理过程的安全控制。第二章术语定义本单位人员是指单位正式人员，包括试用期人员和借调人员等。第三章组织职责办公室兼任

46、本单位的人力资源部门（以下均称人力资源部门），负责本单位工作人员入职，在岗，离岗等过程涉及的信息安全管理。第四章入职管理人力资源部门确保人员在任用前，在适当的岗位描述、任用条款和条件中明确说明其应履行的信息安全职责，确保其人员理解其信息安全职责，确保人员承担的角色符合单位的信息安全要求。人力资源部门要对任用的工作人员、候选人员进行充分的审查，特别是对于关键岗位、关键职务人员，以及其他会大量接触敏感信息的人员。人员筛选人力资源部门负责组织对单位各个职位的候选人员进行筛选、对候选人员涉及信息安全方面的资料核实和背景调查。对工作人员的背景调查应在申请职位时进行。调查包括以下内容：是否有适当的推荐人，

47、申请人的工作能力和个人职业道德情况；监管部门要求；其它需要调查的内容。各科室负责人可根据本科室对上岗工作人员的特殊要求，提出必要的附加调查内容，并反馈给人力资源部，以便选出合适的人员。出于背景调查目的收集、处理被调查人员信息时，应在不违反相关的法律法规的前提下进行。第五章在岗管理工作人员需申请使用单位网络访问权限或应用系统帐号，必须通过相关科室审批通过后，才能授予工作所需的最小权限。工作人员工作岗位发生变化时，必须通过相关科室审批，对其访问权限进行相应的调整。人力资源部门应当对单位的所有工作人员进行与其工作职能相关的信息安全意识培训和教育。第六章纪律处理过程对违反纪律的人员做如下处理：对于信息安全违规的人员，在正式纪律处理之前应有一个信息安全违规的确认；正式的纪律处理过程应确保正确、公平、公正地对待被怀疑信息安全违