信息安全管理制度参考模板.docx
《信息安全管理制度参考模板.docx》由会员分享,可在线阅读,更多相关《信息安全管理制度参考模板.docx(62页珍藏版)》请在冰豆网上搜索。
信息安全管理制度参考模板
信息安全管理制度参考模板
福建省网络信息安全协调小组办公室
二O一二年十一月
一、XXX厅(局)国际互联网使用管理办法
XXX厅(局)
国际互联网使用管理办法
第一条为规范党政机关国际互联网(以下简称:
外网)的使用和管理,根据国家有关法律法规的规定,结合本单位实际,制定本制度。
第二条外网的开通和使用,实际方便工作和保障安全相结合的原则。
第三条XX部门是外网管理工作的主要责任部门,负责外网的网络管理和维护保障工作,以及网站日常工作的管理。
XXX部门负责外网网站发布信息的审核、舆论导向的指引。
XXX部门负责外网上网指引、登记备案和有关法律法规的宣传教育。
第四条特殊工作岗位实行定岗管理,特殊工作岗位可开通外网。
其他工作岗位需要开通外网的,实行配额管理。
第五条申请开通外网的程序是:
填写“开通外网申请表”,经部门领导同意后,报XX部门提出审核意见,审核通过的,进行登记备案后,由XX部门办理开通事宜。
第六条超出配额的,申请部门应提出撤销原使用人员名单,否则,申请不予受理。
被停止使用外网人员的上网设备由XX部门负责拆除。
第七条接入互联网的电脑应与内网物理隔离,严禁在外网计算机上处理涉密文件和敏感的工作信息。
第八条在外网计算机上使用的移动存储介质禁止在内网和涉密网中使用,杜绝发生U盘交叉使用(混用)的现象。
第九条上网人员要自觉接受身份认证和IP绑定技术对个人上网活动的安全监督检查,严禁擅自改动单位分配的IP地址。
第十条及时对外网计算机操作系统补丁进行更新。
第十一条上网人员要提高自身的恶意代码防范意识,在接收文件或邮件之前,必须先进行恶意代码检查,或利用杀毒软件进行检查。
第十二条上网人员应自觉学习国家有关的法律法规,严禁在外网计算机上使用存有涉密信息的优盘、移动硬盘等移动存储介质。
第十三条严禁在互联网上浏览反动、淫秽等国家明文禁止的信息。
违反规定者,按国家有关法规和相关纪律处分规定追究责任。
第十四条本制度由XXXX负责解释。
第十五条本制度自发布之日起生效执行。
附件:
开通外网申请表
开通外网申请表
申请人姓名
所在部门
申请原因:
部门领导意见:
负责人(签章):
XX部门审核意见:
负责人(签章):
外网接入安全管理承诺
1、自觉遵守国家计算机信息网络安全管理的有关法律和行政法规。
2、自觉遵守我单位国际互联网使用管理制度
3、所申请的外网仅供本人使用
4、申请人确认上述承诺,如有违反愿接受相应处罚。
申请人签字:
年月日
二、XXX厅(局)内网安全管理制度
XXX厅(局)
内网安全管理制度
第一章总则
第一条为加强内部计算机网络(即党政机关内部计算机网络,以下简称内网,网内的计算机以下统称为内网计算机,使用人员以下统称为内网用户)的使用和管理,保障内网的安全稳定运行,根据国家法律、法规和相关规定,结合本单位实际,制定本制度。
第二条本制度规范的内容包括:
网络管理、终端管理、用户管理、介质管理和安全事件报告。
第三条XX部门是内网管理工作的主要责任部门,负责内网的网络管理和维护保障工作。
第二章网络管理
第四条内网必须与国际互联网实行物理隔离。
第五条内网进行分级、分层、分域管理,对内网信息系统及相应的局域网(业务专网)划分为独立可管理和控制的安全域。
不同的安全域应采取相应的安全策略和保护手段。
第六条建设内网安全与应用支撑平台,实行内网用户、资源的统一注册管理,并为单位信息系统的安全和安全域防护提供身份鉴别、授权管理、边界防护等公共安全技术手段。
第七条加强对内网信息上网前的保密审查和对已上网信息的保密检查,防止涉及国家秘密的信息上网。
第八条按国家相关要求定期开展信息安全等级保护和风险评估工作,排除信息系统安全隐患。
对于集中处理工作秘密的信息系统可以参照秘密级信息系统的分级保护相关要求实施安全防护。
第九条内网应配置独立的交换机,内网综合布线须满足《涉及国家秘密的信息系统分级保护技术要求》中的相关要求。
第十条内网信息系统利用公网(PSTN、ISDN、ADSL、DDN、X.25、帧中继、ATM、SDH等)进行远程传输时,必须使用VPN技术和IP密码机实行加密处理。
第十一条内网因工作需要与其他网络进行连接,连接方式和设备必须满足国家保密部门的要求。
第十二条内外网因工作需要进行数据交换时,必须采用符合国家保密部门要求的方式(如:
刻录光盘)或设备(如:
保密部门认可的安全移动存储介质管理系统)。
第十三条通过部署统一的补丁升级系统、防病毒系统、漏洞扫描系统、网页防篡改系统、存储备份系统、容灾系统,建立与应用相适应的安全策略,全面加强主机和应用系统安全。
第十四条建立监控、备份恢复、应急处理、安全审计、安全事件报告等工作制度。
技术部门通过监控机房、网络、主机、应用、数据等运行状态,主动发现安全隐患,及时采取相应措施,尽快恢复受影响或被中断的应用服务。
第三章终端管理
第十五条内网计算机必须安装违规上互联网监控软件。
第十六条内网计算机应采用“双布线双用户终端”或“双布线单用户终端”的隔离卡物理隔离解决方案。
第十七条严禁在内网计算机上使用无线网卡、无线键盘、无线鼠标、蓝牙等一切无线设备。
第十八条严禁在内网发布涉密信息,内网计算机不得存储、处理、传输国家秘密信息,非涉密移动存储介质不得存储国家秘密信息。
第十九条严禁在内网计算机上连接手机、相机、USB存储介质等一切非授权的可存储或连接其他网络的外置设备。
第二十条内网计算机启用屏幕保护程序并设置恢复密码,屏幕保护的闲置时间设置为10分钟以内。
第二十一条内网计算机必须保证密码安全。
内网计算机和应用系统密码需定期修改,密码长度不少于8位,并由字母、数字和特殊字符混合组成。
第二十二条及时对内网计算机操作系统补丁和防病毒软件病毒库进行更新,定期对计算机进行全盘扫描、杀毒。
第四章用户管理
第二十三条内网用户应定期接受保密教育和培训,建立完善的人员安全监管制度。
第二十四条对内网用户进入网络的行为实行安全准入管理制度。
安全准入行为管理包括便携式计算机、台式计算机、移动存储介质、打印机等设备的注册,外来软件的安装等。
第二十五条内网用户不得私自安装与工作无关的软件,如需安装非工作需要的软件必须向xx部门申请。
第二十六条内网用户不得擅自更改内网计算机系统设置,如计算机名、IP地址、用户名等。
第二十七条内网用户不得通过拨号、无线网卡等方式连接国际互联网。
第二十八条定期组织对内网信息系统的安全保密检测和检查,加强对内网、保密技术知识的教育和培训。
第五章介质管理
第二十九条内网计算机必须使用部门认可的内网专用移动存储介质。
第三十条指定专人负责安全移动存储介质管理系统的保管、发放、登记管理等,建立介质资产清单,落实安全责任制度,明确责任主体。
第三十一条内网计算机及安全移动存储介质改变用途或报废之前,须由技术人员使用专用数据销毁工具将硬盘或移动存储介质中的数据进行彻底清除,以保护信息安全。
第三十二条内网安全移动存储介质的维修、报废,先报主管领导审批,由专人负责登记备案后,再进行维修、报废处理。
第六章安全事件报告
第三十三条内网用户发现安全事件已经发生或可能发生时,应立即采取补救措施并及时报告XX部门。
第三十四条XX部门接到报告后,应当立即做出处理,并及时向上级领导部门报告。
第三十五条内网用户对本人的行为负责;各部门负责人负有管理、监督本部门人员遵守本办法的责任。
第三十六条违反本制度规定的,由管理部门或管理人员及时报告XX,XX根据违规情况按有关法规追究责任。
第七章附则
第三十七条本制度由XXXX负责解释。
第三十八条本制度自发布之日起生效执行。
三、XXX厅(局)信息安全组织机构管理制度
XXX厅(局)
信息安全组织机构管理制度
第一章总则
第一条为加强信息安全管理,明确信息安全责任,保障信息化建设的稳步发展,特制定本制度。
第二章机构设置
第二条由单位主管信息化工作的领导牵头,组织与信息安全相关的各部门负责人,成立信息安全领导机构,统筹管理信息安全相关工作。
第三条信息安全领导机构下设政府信息安全检查工作、互联网信息安全检查工作、内网信息安全检查工作、信息安全风险评估工作等专项工作小组,分别负责信息安全各领域相关工作。
第四条成立信息安全领导机构,完成以下岗位和成员的设置。
信息安全领导机构:
组长、副组长、成员。
第五条成立政府信息安全检查工作小组,完成以下岗位和成员的设置。
政府信息安全检查工作小组:
组长、副组长、成员。
第六条成立互联网信息安全检查工作小组,完成以下岗位和成员的设置。
互联网信息安全检查工作小组:
组长、副组长、成员。
第七条成立内网信息安全检查工作小组,完成以下岗位和成员的设置内网信息安全检查工作小组:
组长、副组长、成员。
第八条成立信息安全应急响应工作小组,完成以下岗位和成员的设置。
信息安全应急响应工作小组:
组长、副组长、成员。
第九条成立信息系统安全等级(分级)保护工作小组,并完成以下岗位和成员的设置。
信息系统安全等级(分级)保护工作小组:
组长、副组长、成员。
第十条成立信息安全风险评估工作小组,完成以下岗位和成员的设置。
信息安全风险评估工作小组:
组长、副组长、成员。
第三章工作职责
第十一条信息安全领导机构工作职责。
信息安全领导机构负责领导安全工作的规划、建设和管理,检查指导各下属工作小组信息安全工作,协调处理信息安全工作中产生的重大问题,建设和完善信息安全组织体系。
第十二条政府信息安全检查工作小组工作职责。
政府信息安全检查工作小组人负责检查信息安全制度落实情况、安全防范措施落实情况、安全防范措施落实情况、应急响应机制建设情况、责任追究情况、安全隐患排查及整改情况、安全形势、安全风险状况等。
第十三条互联网信息安全检查工作小组工作职责。
互联网信息安全检查工作小组负责互联网信息安全检查工作部署、制定检查工作计划和检查方案,监控互联网信息系统安全状况,定期汇总分析并提出安全分析报告。
第十四条内网信息安全检查工作小组工作职责。
内网信息安全检查工作小组负责安排内网信息安全检查工作、制定检查工作计划和检查方案、对检查工作进行检查部署,监控内网信息系统安全状况,定期汇总分析并提出安全分析报告。
第十五条信息系统安全等级(分级)保护工作小组工作职责。
信息系统安全等级(分级)保护工作小组负责制定详细的信息系统安全等级(分级)保护工作计划、采购和使用相应等级的信息安全产品、建设安全设施、落实安全技术措施、完成系统整改等。
第十六条信息安全应急响应工作小组工作职责。
信息安全应急响应工作小组负责应急预案的制定、演练、落实,技术队伍的建设,安全事件监控与处理。
第十七条信息安全风险评估工作小组工作职责。
信息安全风险评估工作小组负责信息系统的风险评估实施过程中的组织安排及各项相关工作。
第五章附则
第十八条本制度由XXXX负责解释
第十九条本制度自发布之日起生效执行
附件:
1.信息安全检查工作责任书
2.互联网信息安全检查工作责任书
3.内网信息安全检查工作责任书
4.信息系统安全等级(分级)保护工作责任书
5.信息安全风险评估工作责任书
6.信息安全应急响应工作责任书
7.安全管理员职责说明书
8.系统管理员职责说明书
9.网络管理员职责说明书
10.机房管理职责说明书
11.安全审计员职责说明书
12信息审查员职责说明书
附件1
信息安全检查工作责任书
为了进一步落实我单位的网络安全与信息安全管理责任,确保网络安全与信息安全,做好信息系统的安全检查工作,特制定本责任书。
一、总体目标按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,切实落实信息安全检查工作责任制,及时发现信息系统存在的各种安全隐患,并尽快修补,确保信息系统安全可靠运行,确保不发生重大信息安全责任事故。
二、责任要求
1、统筹安排信息安全检查工作,组织制定检查工作计划和检查方案,对检查工作进行检查部署,保证检查工作顺利进行,做到突出重点,明确责任,注重实效,保证质量。
对检查工作组织领导不力,有关要求不落实的,要予以通报批评。
2、信息安全检查过程中,要及时通报发现的问题并提出整改建议。
3、信息安全检查过程中应严格遵守检查工作纪律,周密制定应急预案,控制安全风险,加强保密措施,保证信息系统的安全正常运行。
4.信息安全检查过程中,检查责任人必须对检查结果负责,未能及时发现问题或漏洞导致安全事故的,要承担相应的责任。
三、责任追究
如信息安全检查工作责任人未按照本《责任书》履行职责、开展工作的,由单位予以通报批评;工作中存在重大突出问题的,或因为工作失职导致后果的,按照相关规定对责任人予以处分。
本《责任人》自签约之日起生效。
责任人(签章:
)
年月日
附件2
互联网信息安全检查工作责任书
为了进一步落实我单位的互联网安全管理责任,确保网络安全与信息安全,做好互联网信息安全检查工作,特制定本责任书。
一、总体目标
按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,切实落实信息安全检查工作责任制,及时发现信息系统存在的各种安全隐患,并尽快修补,确保信息系统安全可靠运行,确保不发生重大信息安全责任事故。
二、责任要求
1、统筹安排信息安全检查工作,组织制定检查工作计划和检查方案,对检查工作进行检查部署,保证检查工作顺利进行,做到突出重点,明确责任,注重实效,保证质量。
对检查工作组织领导不力,有关要求不落实的,要予以通报批评。
2、信息安全检查过程中,要及时通报发现的问题并提出整改建议。
3、信息安全检查过程中应严格遵守检查工作纪律,周密制定应急预案,控制安全风险,加强保密措施,保证信息系统的安全正常运行。
4、信息安全检查过程中,检查责任人必须对检查结果负责,未能及时发现问题或漏洞导致安全事故的,要承担相应的责任。
三、责任追究
如信息安全检查工作责任人未按照本《责任书》履行职责、开展工作的由单位予以通报批评;工作中存在重大突出问题的,或因工作失职导致后果的,按照相关规定对责任人予以处分。
本《责任书》自签约之日起生效。
责任人(签章:
)
年月日
附件3
内网信息安全检查工作责任书
为了进一步落实我单位的内网安全与信息安全管理责任,确保网络安全与信息安全,做好内网的安全检查工作,特制定本责任书。
一、总体目标
按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,切实落实信息安全检查工作责任制,及时发现信息系统存在的各种安全隐患。
并尽快修补。
确保信息系统安全可靠运行,确保不发生重大信息安全责任事故。
二、责任要求
1、统筹安排内网信息安全检查工作,组织制定检查工作计划和检查方案,对检查工作进行检查部署,保证检查工作顺利进行,做到突出重点,明确责任,注重实效,保证质量。
对检查工作组织领导不力,有关要求不落实的,要予以通报批评。
2、内网信息安全检查过程中,要及时通报发现的问题并提出整改建议。
3、内网信息安全检查过程中应严格遵守检查工作纪律,周密制定应预案,控制安全风险,加强保密措施,保证信息系统的安全正常运行。
4、内网信息安全检查过程中,检查责任人必须对检查结果负责,未能及时发现问题或漏洞导致安全事故的,要承担相应的责任。
三、责任追究
如内网信息安全检查工作责任人未按照本《责任书》履行职责、开展工作的,由本单位予以通报批评;工作中存在重大突出问题的,或因工作失职导致后果的,按照相关规定对责任人予以处分。
本《责任书》自签约之日起生效。
责任人(签章:
)
年月日
附件4
信息系统安全等级(分级)保护
工作责任书
为了进一步落实我单位的网络信息安全与信息安全管理责任确保网络安全与信息安全,做好机关信息系统等级(分级)保护工作,特制定本责任书。
一、总体目标
我单位信息系统按等级(分级)保护标准,分级别进行保护,突出重点、兼顾一般,科学规划、效费合理,信息系统内在确保重点部位、重要信息资源安全,实现多级防护,保障互联互通和信息共享。
二、责任要求
1、组织制定详细的信息系统安全等级(分级)保护工作计划,确保等级(分级)保护工作顺利进行。
2、制定系统完整的信息安全等级(分级)保护管理规范和技术标准,并根据工作开展的实际情况不断补充完善。
3、按照等级(分级)保护的管理规范和技术标准,确定其信息和信息系统的安全保护等级,并报其主管部门审批同意。
4、根据已经确定的信息安全保护等级,按照等级(分级)保护的管理规范和技术标准,采购和使用相应等级的信息安全产品,建设安全设施,落实安全技术措施,完成系统整改。
5、按照等级(分级)保护的管理规范和技术标准,对已经完成安全等级(分级)保护建设的信息系统进行检查评估,发现问题及时上报,并制定响应整改计划,经主管部门审批同意后对其进行整改。
三、责任追究
如信息系统安全等级(分级)保护工作责任人未按照本《责任书》履行职责、开展工作的,由单位予以通报批评;工作中存在重大突出问题的,或因工作失职导致后果的,按照相关规定对责任人予以处分。
本《责任书》自签约之日起生效。
责任人(签章:
)
年月日
附件5
信息安全风险评估工作责任书
为了进一步落实我单位的网络安全与信息安全管理责任,确保网络安全与信息安全,做好机关信息安全风险评估工作,特制定本责任书。
一、总体目标
通过深入、详细、全面地检查单位信息系统的安全风险状况了解单位资产的安全状态,并进行相应整改。
二、责任要求
1、制定详细的风险评估计划,确保风险评估工作顺利有序进行。
计划包括确定风险评估范围,确定风险评估目标,建立适当的组织机构,建立系统性风险评估实施方案。
2、风险评估工作小组的风险评估计划须获得主管领导的批准方能执行。
3、风险评估工作小组的风险评估结果须获得主管领导的认可方能生效。
4、相关组织或单位应制定详细的风险评估工作人员职责安排以及职责说明。
5、风险评估工作小组应无遗漏的识别单位所有重要资产。
6、风险评估工作小组应对资产进行威胁分析以及脆弱性分析,并结合现状进行整改。
7、风险评估工作人员应对单位信息系统进行全面的风险评估,做到无遗漏。
8、风险评估过程中的每项工作都应给出相应的报告及材料。
三、责任追究
如信息安全风险评估工作责任人未按照本《责任书》履行职责、开展工作的,由单位予以通报批评;工作中存在重大突出问题的,或因工作失职导致后果的,按照相关规定对责任人予以处分。
本《责任书》自签约之日起生效。
责任人(签章:
)
年月日
附件6
信息安全应急响应工作责任书
为了进一步落实我单位网络安全与信息安全管理责任,确保网络安全与信息安全,做好信息系统的应急响应工作,特制定本责任书。
一、总体目标
应急响应计划的执行应有足够的资源保证,包括人力、技术、设备和财务等方面,在安全事件发生后应能尽快恢复系统和网络的正常运转,应使系统和网络所遭受的破坏最小化。
二、责任要求
组织和领导相关人员制定详细的应急响应计划,其中应根据不同的安全事件类型制定不同的应急响应计划。
应从人力、技术、设备和财务等方面确保应急响应计划的执行有足够的资源保证。
定期组织应急预案的演练和培训,特别是安全事件发生后应组织相关人员进行事后教育和培训。
定期组织相关人员对应急响应计划进行审查并根据实际情况进行更新。
三、责任追究
如信息安全应急响应工作责任人未按照本《责任书》履行职责、开展工作的,
由单位予以通报批评;工作中存在重大突出问题的,或因工作失职导致后果的,按照相关规定对责任人予以处分。
本《责任书》自签约之日起生效。
责任人(签章:
)
年月日
附件7
安全管理员职责说明书
为了进一步落实网络安全和信息安全管理责任、明确安全管理员职责,确保网络安全和信息安全,安全管理员应落实如下责任:
1、负责对安全产品购置提供建议,负责组织制定各种安全策略与配置规则,负责跟踪安全产品投产后的使用情况。
2、负责指导并监督各安全岗位工作人员及普通用户的安全相关工作。
3、负责组织信息系统的安全风险评估工作,并定期进行系统漏洞扫描,形成安全评估报告。
4、根据信息安全需求,定期提出信息安全改进意见,并上报主管领导。
5、定期查看信息安全站点的安全公告,跟踪和研究各种信息安全漏洞和攻击手段,在发现可能影响信息安全的安全漏洞和攻击手段时,及时做出相应的对策,通知并指导系统管理员进行安全防范。
6、负责整合各种安全方案、安全审计报告、应急计划以及整体安全管理制度并报主管领导。
7、若由于安全管理员工作疏忽或失误而导致安全事故发生,安全管理员应承担相应责任。
附件8
系统管理员职责说明书
为进一步落实主机安全和系统安全管理责任,明确系统管理员职责,确保主机安全和系统安全,系统管理员应落实如下责任:
1、负责主机操作系统的安全配置和日常审计,系统应用软件的安装,从系统层面实现对用户与资源的访问控制。
2、协助安全管理员制定主机操作系统的安全配置规则,并落实执行。
3、负责主机设备的日常管理与维护,保持系统处于良好的运行状态。
4、为安全审计员提供完整、准确的主机系统运行活动日志记录。
5、在主机系统异常或故障发生时,详细记载发生异常时的现象、事件和处理方式,并及时上报。
6、编制主机设备的维修、报损、报废计划,报主管领导审核。
7、若由于系统管理员工作疏忽或失误而导致安全事故发生,系统管理员应承担相应责任。
附件9
网络管理员职责说明书
为了进一步落实网络安全和信息安全管理责任,明确网络管理员职责,确保网络安全和信息安全,网络管理员应落实如下责任:
1、负责网络的部署以及网络产品、相关安全产品的配置、管理与监控,并对关键网络配置文件进行备份,及时修补网络设备的漏洞。
2、协助安全管理员制定网络设备安全配置规则,并落实执行。
3、为安全审计员提供完整、准确的重要网络设备和网站进行活动日志。
4、在网络及设备异常或故障发生时,详细记载发生异常时的现象、时间和处理方式,并及时上报。
5、编制网络设备的维修、报损、报废等计划,报主管领导审核。
6、若由于网络管理员工作疏忽或失误而导致安全事故发生,网络管理员应承担相应责任。
附件10
机房管理员职责说明书
为了进一步落实网络安全和信息安全管理责任,明确机房管理员职责,确保机房安全,机房管理员应落实如下责任:
1、负责机房所有设备的台帐和事物管理,固定资产帐、物相符应达到百分之百,设备完好率不低于百分之九十。
2、要定期或不定期检查机房内的空调、电源等电器设备,发现安全隐患要及时整改和上报,重要设备故障应做好维修记录。
3、每周向主管领导报告一次机房设备完好情况和维修情况。
4、严格核实出入机房人员审批手续的真实性和有效性,确保进入机房人员的作业内容与审批手续完全一致。
5、不得擅自将机房仪器设备外借给其他人使用。
6、电器设备和线路应经常检查,发现可能引起火花线路、发热和即将破损、老化等情况必须立即停止设备使用,报告修理,不得冒险使用。
7、保持机房环境整洁卫生,走道畅通,设备器材摆放整齐、排列有序机房外鞋柜内拖鞋摆放整齐、排列有序,机房外鞋柜内拖鞋摆放整齐。
8、若由于机房管理员工作疏忽或者失误而导致安全事故发生,机房管理员应承担