网络信息安全管理制度汇编.docx
《网络信息安全管理制度汇编.docx》由会员分享,可在线阅读,更多相关《网络信息安全管理制度汇编.docx(77页珍藏版)》请在冰豆网上搜索。
网络信息安全管理制度汇编
2022年11月
目 录
一、网络信息安全工作方针策略
(一)网络信息安全方针
(二)网络信息安全策略
(三)网络信息安全组织机构
二、安全管理制度
(一)制度的编制
(二)制度的批准、发布
(三)制度的发放
(四)制度评审和修订
三、安全管理机构
(一)关键活动的授权和审批
(二)审核和检查
(三)沟通合作
四、人员安全管理
五、系统建设管理
(一)规划设计
(二)设备选型
(三)采购和安装
(四)软件开发管理
(五)工程实施
(六)测试验收
(七)系统交付
(八)系统建设服务商选择
六、机房安全管理制度
(一)办公环境管理办法
(二)机房出入管理
(三)机房环境管理
(四)机房介质管理
(五)机房服务器管理
(六)机房布线管理
(七)机房网络设备管理
(八)机房巡视管理
(九)机房进出设备管理
七、信息资产管理制度
(一)职责
(二)工作程序
八、介质管理规定
(一)介质购置
(二)介质使用及维护管理
(三)介质定期检查
(四)介质维修
(五)介质的报废
九、设备安全管理制度
(一)IT设备的购买
(二)IT设备的登记及领用
(三)IT设备的维护
(四)IT设备的报废
十、商用密码产品使用管理制度
(一)商用密码产品的选择
(二)商用密码产品的使用
(三)商用密码产品的报废、销毁
十一、网络安全管理制度
(一)网络安全规划
(二)网络接入控制
(三)网络安全审计
(四)网络设备管理
(五)网络安全检查
(六)网络访问控制
(七)网络服务安全
十二、系统安全管理制度
(一)系统维护管理
(二)系统访问控制
(三) 系统用户安全管理
(四)系统审计
(五)监视系统的使用
(六)系统备份
十三、恶意代码防范管理制度
(一)职责
(二)防恶意代码系统的规划与部署
(三)恶意代码防范的日常管理
(四)恶意代码的查杀与处理
十四、系统变更管理制度
(一)变更的申请和审批
(二)日常变更的实施
(三)重大变更的实施
(四)重大变更的验证和归档
(五)变更的失败的处理
十五、备份恢复管理制度
(一)程序
(二)资产识别
(三)制定备份方案
(四)备份计划实施
(五)备份的介质标识
(六)备份介质的安全存放
(七)备份介质的定期测试
(八)信息恢复
(九)备份策略
十六、信息安全事件管理制度
(一)网络信息安全事件分类
(二)网络信息安全事件分级
(三)网络信息安全事件的预防
(四)网络信息安全事件的报告
(五)网络信息安全事件响应
(六)网络信息安全事件的调查处理
(七)网络信息安全事件的整改
(八) 信息泄密的安全事件应采用的处理程序和报告程序
十七、应急预案管理制度
(一)应急处置基本原则
(二)组织体系
(三)网络信息安全事件应急处理
一、网络信息安全工作方针策略
(一)网络信息安全方针
全员参与 明确责任
预防为主 快速响应
风险管控 持续改进
具体阐述如下:
1.在市**局网络信息安全工作领导小组的领导下,全面贯彻《浙江省信息安全等级保护管理办法》(省政府223号令)、《浙江省公共数据条例》等关于网络信息安全的相关指导性文件精神,建立可持续发展的网络信息安全管理体系;
2.全员是网络信息安全管理体系的活动分子;落实网络信息安全管理责任制,建立和完善各项网络信息安全管理制度,使网络信息安全管理有章可循;
3.定期进行网络信息安全宣传、教育与培训,不断提高市**局全员的网络信息安全意识及能力;
4.以预防为主的网络信息安全积极防御理念对所发生的网络信息安全事件进行快速、有序地响应;
5.贯彻风险管理的理念,定期对各信息系统进行全面安全检查,将网络信息安全风险控制在可接受的水平之内;
6.在市**局网络信息安全工作领导小组的领导下,市**局网络信息安全建设的工作合乎国家建设规范,保证市**局信息系统安全畅通与可控,保障信息系统所开发和维护健康的服务支持。
(二)网络信息安全策略
1.建立市**局网络信息安全管理组织机构,设立安全主管、各网络信息安全管理相关部门负责人、网络管理员、系统管理员、安全管理员等安全管理相关岗位并定义相应职责,建立健全网络信息安全管理制度,保证网络信息安全责任落实到位;
2.网络信息安全领导小组定期或不定期地对市**局网络信息安全管理体系的合理性和适用性进行评审,对各项安全控制措施实施的可用性进行检测,对存在不足或需要改进的安全管理制度进行修订,以保证网络信息安全管理体系持续的充分性、适宜性、有效性;
3.市**局信息系统按照国家等级保护有关要求,对市**局信息系统及信息确定安全等级,采取分等级保护;
4.规范市**局信息资产(包括硬件、软件、服务等)管理流程,建立信息资产管理台帐,明确资产所有者、使用者与维护者,对所有信息资产进行标记,实现对信息产品购买、使用、变更、报废整个资产管理周期的管理;
5.加强所有工作人员(包括市**局各科室内部人员直属单位,以及各类外来人员)的安全管理,制定违规安全信息管理条例的惩戒措施,落实人员聘用、在岗和离岗时的安全规程,与关键岗位人员签署保密协议;
6.通过正式的网络信息安全培训,以及网站、简报、会议、讲座等各种形式的网络信息安全教育活动,不断加强市**局全体人员的网络信息安全意识,提高整体网络信息安全意识;
7.落实包括门禁、视频监控、报警等安全防范措施,确保机房物理与环境安全。
部署机房专用空调、在线式UPS等环境保障设施,对机房设施运转情况进行定期巡检和维护。
制定对机房人员和设备的出入管理制度,对机房的进出入人员进行登记备案;
8.加强对信息系统外包业务与外包方的管理,签署的服务协议对信息系统安全要求加以细化、明确。
通过审批、访问控制、监控、签署保密协议等措施,加强外部方访问信息系统的控制能力,防止外部方危害信息系统安全;
9.对市**局各重要信息系统(包括基础设施、网络和服务器设备、系统、应用等)应有文档化的操作和维护规程,使得各个相关人员按规程对系统进行使用和操作,降低因误操作所引发网络信息安全事件的概率;
10.在市**局内外网上统一部署网络、服务器、工作站的防恶意代码软件,并进行恶意代码库的统一更新,防范恶意代码、木马等恶意代码对市**局信息系统的影响。
通过强化恶意代码防范的管理措施,如加强介质管理,严禁擅自安装软件,加强人员安全意识教育,定期进行恶意代码检测等,提高市**局信息系统对恶意代码的防范能力;
11.对市**局各重要的信息和信息系统进行备份,并对备份介质进行安全地保存,以及对备份数据定期进行备份测试演练,保证各种备份信息的完整性和有效性,确保所有重要信息系统和重要数据在故障、灾难下的可靠恢复;
12.确定安全策略,采用技术和管理两方面的控制措施,加强对市**局内外网的安全控制,不断提高网络的安全性和稳定性。
通过实施网络访问控制等技术和接入内网严格审批措施,加强安全管理,加强对市**局各科室网络使用的安全培训和教育,确保市**局网络的安全;
13.加强网络信息安全日常管理,包括系统口令管理、无人值守设备管理等,使网络信息安全日常工作符合市**局网络信息安全策略和制度要求;
14.按照“仅知”原则,通过功能和技术配置,对重要信息系统、数据等实施访问控制。
对系统特殊权限和系统实用工具的使用进行严格的审批和监管;
15.进一步重视软件开发安全。
在市**局各信息系统立项和审批过程中,同步考虑网络信息安全系统定级等级保护基本要求以及实际需求和目标。
保证系统设计、开发过程的安全,重点加强对软件代码安全性的管理。
属于外包软件开发的,应与服务提供商签署保密协议。
系统开发完成后,应要求通过第三方安全机构对软件安全性的测评;
16.在符合国家密码管理相关规定的条件下,合理使用密码技术和密码设备,严格密钥生成、分发、保存等方面的安全管理;
17.重视对IT服务连续性的管理,建立对各类网络信息安全事件的预防、预警、响应、处置、恢复机制,编写针对市**局内外网重要系统的应急预案,并定期进行演练;发生网络信息安全事件能迅速、有序地进行应急处置,最大限度地降低因信息系统突发事件给市**局信息系统所带来的影响。
(三)网络信息安全组织机构
为明确市**局网络信息安全管理组织机构、角色、职责等,促进市**局信息系统安全管理的组织建设,指导市**局网络信息安全工作的开展,落实网络信息安全管理责任制,特成立网络信息安全工作领导小组全面负责单位网络信息安全总体工作部署,同时下设网络信息安全工作领导小组职能部门具体负责网络信息安全工作的落实和管理。
网络信息安全工作领导小组组长:
局长
网络信息安全工作领导小组副组长:
各分管局长
网络信息安全工作领导小组组员:
局属各科室、各单位主要负责人
网络信息安全职能部门:
市农水大数据中心
安全主管:
网络信息安全工作领导小组办公室主任
安全管理员:
陈恩光
机房管理员:
王 豪
网络管理员:
王灵燕
系统管理员:
莫晨晨、叶春江
网络信息安全工作领导小组职责:
1.贯彻落实国家网络信息安全方面工作的方针政策,审定市**局信息系统安全建设规划;
2.对信息系统安全工作的重大事项做出决策;
3.研究审定市**局信息系统安全建设和管理工作中的制度、标准及相关政策,并协调相关部门监督制度、政策的实施情况;
4.组织、协调和指导网络信息安全的宣传、普及教育工作。
组长(或安全主管)职责:
1.负责贯彻落实网络信息安全领导小组关于信息系统安全工作的要求和规定;
2.根据信息化建设的总体目标,负责建立信息系统的安全管理体系,包括:
制度建设、技术保障和操作规范等各方面的逐步建成;
3.组织制订和贯彻信息系统运行和维护工作制度;
4.负责管理落实网络信息安全工作领导小组部署的各项工作。
安全管理员职责:
1.负责安全制度的贯彻执行;
2.负责制订信息系统安全规划,并在实施过程中逐步完善;
3.负责制定安全设备或系统的相关资产清单。
内容包括资产管理的责任部门、信息分类和资产标识的方法和资产名称、重要程度、所处位置等;
4.负责规范安全设备或系统管理流程,建立管理台帐,明确资产所有者、使用者与维护者,对安全设备或系统进行标记,实现对机房资产购买、使用、变更、报废整个周期的安全管理;
5.负责制定安全设备或系统的文档化的操作和维护规程,使相关人员按规程对系统进行操作,降低因误操作所引发网络信息安全事件的概率;
6.负责对安全设备或系统运行维护管理,对安全设备或系统运转情况进行定期巡检、维护、故障处理和变更管理。
负责组织分配安全设备或系统各类事故(故障)应急处理的管理;
7.负责协助领导安排安全培训以及制定每年安全教育计划,加强业务信息系统的安全教育,通过各种方式进行宣传和培训,提高全系统安全防范意识;
8.负责制定至少每季度检查一次的安全检查计划制度,包括检查职责、周期、范围、内容、报告的编制、整改、通报等;
9.当出现安全事件时,负责对发生的安全事件及时上报,并配合相关部门的调查和纠正工作;
10.当业务信息系统运行发生重大问题时,协同相关部门一起判断原因,根据应急响应或网络信息安全领导小组指令及时启动相关处理程序;
11.负责与外部安全机构的协调联系,获取外部安全机构的最大资源。
12.负责对介质的管理。
对介质的归档、查询和借用进行记录,对介质进行定期盘点并记录,对故障介质的进行送修和销毁并记录,对于保密性高的介质销毁申报领导批准,并进行记录。
对介质物理传输的交接进行记录。
13.负责对各种记录文档、表单进行半年一次的汇总,对制度开展情况向网络信息安全领导小组领导进行汇报;
14.加强对信息系统外包业务与外包方的管理,签署的服务协议对信息系统安全要求加以细化、明确。
通过审批、访问控制、监控、签署保密协议等措施,加强外部方访问信息系统的控制能力,防止外部方危害信息系统安全;
15.重视对IT服务连续性的管理,建立对各类网络信息安全事件的预防、预警、响应、处置、恢复机制,编写针对市**局内外网重要系统的应急预案,并定期进行演练;发生网络信息安全事件能迅速、有序地进行应急处置,最大限度地降低因信息系统突发事件给市**局信息系统所带来的影响;
16.在符合国家密码管理相关规定的条件下,合理使用密码技术和密码设备,严格密钥生成、分发、保存等方面的安全管理。
机房管理员职责:
1.负责保障机房物理与环境的安全建设管理,对实施方责任、时间进度、任务要求、质量控制等进行监督管理;
2.负责制定机房基础设施的相关资产清单,对所有机房资产进行标记。
内容包括资产管理的责任部门、信息分类和资产标识的方法和资产名称、重要程度、所处位置等;
3.规范机房资产(包括机房物理与环境等)管理流程,建立机房资产管理台帐,明确资产所有者、使用者与维护者,实现对机房资产购买、使用、变更、报废整个周期的安全管理;
4.负责制定重要基础设施等文档化的操作和维护规程,使相关人员按规程对系统进行使用和操作,降低因误操作所引发网络信息安全事件概率;
5.落实包括门禁、视频监控、报警等安全防范措施,确保机房物理与环境安全。
部署机房专用空调、在线式UPS等环境保障设施,对机房设施运转情况进行定期巡检和维护。
制定对机房人员和设备的出入管理制度,对机房的进出入人员进行登记备案;
6.对机房基础设施变更、重要操作、物理访问等进行逐级审批,负责日常审批,重大变更上报到网络信息安全领导小组;
7.负责组织实施机房基础设施各类事故(故障)的应急处理。
网络管理员职责:
1.负责保障网络安全建设管理,对实施方责任、时间进度、任务要求、质量控制等进行监督管理;
2.规范网络管理流程,建立网络相关资产管理台帐,明确资产所有者、使用者与维护者,对所有信息资产进行标记,实现对信息资产购买、使用、变更、报废整个周期的安全管理;
3.确定安全策略,采用技术和管理两方面的控制措施,加强对市**局内外网的安全控制,不断提高网络的安全性和稳定性。
通过实施网络访问控制等技术和接入内网严格审批措施,加强安全管理,加强对市**局各科室网络使用的安全培训和教育,确保市**局网络的安全;
4.对重要网络设备应有文档化的操作和维护规程,使各个相关人员按规程对系统使用和操作,降低因误操作所引发网络信息安全事件概率;
5.负责保障网络安全。
协助安全管理员部署网络安全产品,确保网络安全。
对网络设备设施运转情况进行定期巡检、维护、故障处理和变更管理;
6.对网络系统变更、重要操作、访问等进行逐级审批,负责日常审批,重大变更上报到网络信息安全领导小组;
7.负责组织实施网络各类事故(故障)的应急处理。
系统管理员职责:
1.负责保障主机(包括服务器设备、操作系统、数据库系统、数据备份)安全建设管理,对实施方责任、时间进度、任务要求、质量控制等进行监督管理;
2.对重要的信息和信息系统进行备份,并对备份介质进行安全地保存,以及对备份数据定期进行备份测试验证,保证各种备份信息的保密性、完整性和可用性,确保所有重要信息系统和重要数据在故障或灾难下的可靠的恢复;
3.在服务器和工作站进行统一部署防恶意代码软件,并进行恶意代码库的统一更新,防范恶意代码、木马等恶意代码对市**局信息系统的影响。
通过强化恶意代码防范的管理措施,如加强主机管理,严禁擅自安装软件,定期进行恶意代码检测等,提高市**局信息系统对恶意代码的防范能力。
负责全系统的计算机恶意代码防治和主机安全的管理工作,制定检查计划(包含在主机巡检工作中),督促检查工作;
4.加强网络信息安全日常管理,包括系统口令管理、无人值守设备管理等,使信息化日常工作符合市**局网络信息安全策略和制度要求;
5.规范主机(包括服务器设备、操作系统、数据库系统、数据备份)资产管理流程,建立主机相关资产管理台帐,明确资产所有者、使用者与维护者,对所有信息资产进行标记,实现对主机相关资产购买、使用、变更、报废整个周期的安全管理;
6.在主机系统变更、重要操作、访问等的进行逐级审批,负责日常审批,重大变更上报到网络信息安全领导小组;
7.加强网络信息安全日常管理,包括应用系统口令管理、授权审批管理等,使系统的日常工作符合市**局网络信息安全策略和制度要求;
8.负责组织实施应用系统各类事故(故障)的应急处理。
应用管理员职责:
1.负责保障软件开发管理,对实施方责任、时间进度、任务要求、质量控制等进行监督管理。
进一步重视软件开发安全。
在信息系统立项和审批过程中,同步考虑网络信息安全系统定级等级保护基本要求以及实际需求和目标。
保证系统设计、开发过程的安全,重点加强对软件代码安全性的管理。
属于外包软件开发的,应与服务提供商签署保密协议。
系统开发完成后,应要求通过第三方安全机构对软件安全性的测评;
2.规范信息资产管理流程,建立信息资产管理台帐,明确资产所有者、使用者与维护者,对所有信息资产进行标记,实现对信息资产购买、使用、变更、报废整个周期的安全管理;
3.负责建立重要应用的文档化操作和维护规程,使各个相关人员按规程对系统进行使用和操作,降低因误操作所引发网络信息安全事件概率;
4.加强网络信息安全日常管理,包括应用系统口令管理、授权审批管理等,使信息化日常工作符合网络信息安全策略和制度要求;
5.对应用系统变更、重要操作、访问等进行逐级审批,负责日常审批,重大变更上报到网络信息安全领导小组;
6.负责组织实施应用系统各类事故(故障)的应急处理。
二、安全管理制度
(一)制度的编制
1.信息管理职能部门根据网络信息安全领导小组工作要求,结合部门职责及网络信息安全管理活动中的内容细则,负责组织编制网络信息安全管理体系文件,形成初稿;
2.安全管理员负责组织对网络信息安全管理体系文件的评审,并将审核后的文件报网络信息安全领导小组,由网络信息安全领导小组对网络信息安全管理体系文件进行核审,形成最终的报审稿。
(二)制度的批准、发布
1.安全管理员负责对网络信息安全管理体系文件的报审稿进行登记、核稿后,由网络信息安全领导小组对网络信息安全管理体系文件进行核审,形成最终的报审稿。
2.组织相关人员进行评审,网络信息安全领导小组组长审阅、签批后发布。
(三)制度的发放
网络信息安全管理体系文件由安全管理员发放到各负责人(机房管理员、网络管理员、系统管理员),或者通过单位内网进行发布,同时办公室负责将各管理制度整理成汇编打印装订,发送到各相关科室或工作人员手中。
(四)制度评审和修订
由安全管理员定期或不定期组织工作人员进行文件适用性的检查情况,并对现有文件的有效性进行评审。
对不合适的地方进行修订,必要时更换新版。
三、安全管理机构
(一)关键活动的授权和审批
1.在系统运维过程中,安全管理员对信息系统的访问、变更等授权给系统运维部门。
具体为机房管理员负责机房相关事项的授权和审批、网络管理员和系统管理员分别负责网络和系统相关事项的授权和审批;
2.授权审批流程:
a)由系统运维部门判断职责及事项,授权给相应的管理员;
b)系统若外包的,由外包服务公司申请,授权相应的管理员。
(二)审核和检查
组织专门人员(或委托外包公司)定期或不定期进行安全检查,包括网络、安全设备、系统等各方面的安全检查。
记录检查结果。
规范安全检查的内容并统一分析检查结果。
(三)沟通合作
1.加强各类管理人员之间、组织内部机构之间以及网络信息安全职能部门内部的合作与沟通,定期或不定期召开协调会议,共同协作处理网络信息安全问题;
2.加强与网络信息安全主管单位、公安机关、电信公司的合作与沟通;
3.加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通;
4.建立外联单位联系列表,包括外联单位名称、合作内容、联系人和联系方式等信息;
5.对协调会议、安全评审以及交流活动等进行记录。
四、人员安全管理
岗位网络信息安全检查
Ø 各科室(部门)应提高安全意识,定期或不定期对本科室(部门)岗位进行网络信息安全检查,确保网络信息安全制度和操作规程得到了有效地执行
Ø 网络信息安全领导小组应不定期抽查各科室(部门)的岗位网络信息安全职责的落实情况,确保各科室(部门)的岗位网络信息安全职责的落实
网络信息安全违规的纪律处理
Ø 对于网络信息安全事故和在网络信息安全检查中发现的违规行为,由网络信息安全领导小组根据有关考核规定对该人员进行处罚
Ø 对于情节特别严重的违规行为,还应借助网络、简报等媒介向市**局其它单位进行通报,避免同类问题再次发生
人员考核培训
Ø 定期或不定期得对各个岗位的人员进行安全技能及安全认知的考核
Ø 对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训
Ø 对安全责任和惩戒措施进行书面规定并告知相关人员,对违反违背安全策略和规定的人员进行惩戒
Ø 对安全教育和培训进行书面规定,针对不同岗位制定不同的培训计划,对网络信息安全基础知识、岗位操作规程等进行培训
Ø 对培训进行登记,对考核进行记录登记
人员离岗
Ø 各科室(部门)在人员任用终止时,应按照离岗手续,由人力资源部通知相关科室(部门)对该人员使用信息和信息系统的权限进行调整
Ø 各科室(部门)依照相关人员的个人权限清单,修改、限制或删除相关信息和信息系统的访问权限,包括物理访问、逻辑访问、密钥及ID卡等,并作相应记录
Ø 各科室(部门)应立即撤销或停用离岗人员所使用的账户,或者修改离岗人员所掌握的系统帐户口令
离职后网络信息安全职责的追踪和管理
Ø 离职人员应明确其离职后仍需担负的安全责任和义务,以及违反安全责任和义务所引发的后果
Ø 如发生有离职人员违反其应负的安全责任,泄露市**局敏感秘密,网络信息安全领导小组按照有关规定和相关协议追究其法律责任
外来人员的网络信息安全管理
Ø 各科室(部门)在与外部方签订合同时,应按照岗位角色和职责要求,在合同中对外来人员进行约束
Ø 各单位(部门)应按照市**局网络信息安全领导小组有关网络信息安全管理规定以及合同要求,对所有外来人员进行监督和检查,并就安全违规情况按合同条款中的要求进行处理
Ø 确保在外部人员访问受控域前先提出书面申请,批准后由专人全程陪同或监督,并登记备案
五、系统建设管理
(一)规划设计
1.总体安全规划阶段的工作流程
Ø 近期、远期的安全需求分析
Ø 近期、远期的总体安全设计
Ø 安全管理员负责制定安全建设项目规划
2.安全需求分析
Ø 基本安全需求的确定
Ø 额外/特殊安全需求的确定
Ø 形成安全需求分析报告
3.总体安全设计
Ø 总体安全策略设计:
根据系统安全等级选定安全策略、基本安全措施,依据风险评估补充和调整安全措施
Ø 安全技术体系结构设计
Ø 整体安全管理体系结构设计
Ø 设计结果文档化
4.安全建设项目规划
Ø 安全建设目标确定
Ø 安全建设内容规划
Ø 形成安全建设项目计划
(二)设备选型
信息系统采取有关网络信息安全技术措施和采购装备相应的设备时,应遵循下列原则:
1.应确保产品采购和使用符合国家网络信息安全的有关规定;
2.应预先对产品进行选型测试,确定产品的候选范围,并定期审定和更新候选产品名单;
3.尽量采用我国自主开发研制的网络信息安全技术和设备;
4.采用境外网络信息安全产品时,产品必须通过国家网络信息安全测评机构的认可;
5.严禁使用未经国家密码管理部门批准和未通过国家网络信息安全质量认证的密码设备。
(三)采购和安装
软件和设备的采购
升级会员 