信息安全管理制度参考模板Word格式.docx

信息安全管理制度参考模板Word格式.docx

《信息安全管理制度参考模板Word格式.docx》由会员分享，可在线阅读，更多相关《信息安全管理制度参考模板Word格式.docx（64页珍藏版）》请在冰豆网上搜索。

附件7、信息安全应急响应工作责任书39

附件8、安全管理员职责说明书41

附件9、系统管理员职责说明书43

附件10、网络管理员职责说明书44

附件11、机房管理员职责说明书45

附件12、安全审计员职责说明书46

附件13、信息审查员职责说明书47

七、XXX信息安全事件管理办法48

八、XXX信息系统信息发布制度52

附件1、信息发布审批登记表54

九、XXX机房安全管理制度55

附件1、进入XXX申请处58

附件2、机房出入登记表59

附件3、机房巡检表60

十、XXX网络安全管理制度62

十一、XXX信息系统运行维护管理制度67

附件1、备份计划表73

附件2、数据恢复测试计划表74

十二、XXX信息系统用户管理制度75

附件1、安全保密责任书（在岗人员）82

附件2、保密承诺书（离岗人员）86

附件3、信息安全培训计划表88

附件4、信息安全培训记录表89

附件5、用户权限审批和修改表90

十三、XXX信息资产和设备管理制度91

附件1、内（外）网PC资产信息表105

附件2、服务器内外网IP对应表106

附件3、安全产品清单107

十四、XXX信息系统安全审计管理制度108

十五、XXX数据存储介质管理制度115

十六、XXX软件开发项目管理制度117

前言

信息安全管理制度是实现信息安全管理的重要方面，是信息安全考评和检查的重要内容。

近年来，我省党政机关、重要信息系统的信息安全检查结果表明，一些单位或部门对如何建立信息安全制度体系缺乏了解，对体系构成、制度要素、内容覆盖等方面缺乏完整性和规范性。

为了更好地指导各单位建立信息安全管理制度，根据国家、省和市信息安全考评和检查的有关要求，结合工作重点，我们编制了“信息安全管理制度参考模板”（试行），供各单位完善信息安全制度体系建设参考。

各单位可根据自身业务特点和信息系统建设情况，对本制度模板进行增加、减少、修改等选择性采用。

一、关于编制背景

近年来，我市党政机关、重要信息系统的信息安全检查结果表明，一些单位或部门对如何建立信息安全制度体系缺乏了解，对体系构成、制度要素、内容覆盖等方面缺乏完整性和规范性。

为了更好地指导各单位编制信息安全制度，根据国家、省和市信息安全考评和检查的有关要求，结合工作重点，我们编制了“信息安全管理制度参考模板”（试行），供各单位完善信息安全制度体系建设参考。

二、关于体系结构

制度模板采用金字塔型的“三层”架构设计，由单位发文、部门发文和记录文档三部分组成。

各部分详细结构如下：

第一层：

单位发文

包含制度如下：

1）《XXX国际互联网使用管理办法》

2）《XXX内网安全管理制度》

3）《XXX涉密网络安全管理制度》

4）《XXX信息安全组织机构管理制度》

a）《信息安全检查工作责任书》

b）《内网信息安全检查工作责任书》

c）《互联网信息安全检查工作责任书》

d）《信息系统安全等级（分级）保护工作责任书》

e）《信息安全保密工作责任书》

f）《信息安全风险评估工作责任书》

g）《信息安全应急响应工作责任书》

h）《安全管理员职责说明书》

i）《系统管理员职责说明书》

j）《网络管理员职责说明书》

k）《机房管理员职责说明书》

l）《安全审计员职责说明书》

m）《信息审查员职责说明书》

5）《XXX信息安全事件管理办法》

6）《XXX信息系统信息发布制度》

本部分制度适用于单位对信息系统的全局性管理，为信息系统管理的基础制度，应为单位全体人员普遍遵守。

第二层：

部门发文

1）《XXX机房安全管理制度》

2）《XXX网络安全管理制度》

3）《XXX信息系统运行维护管理制度》

4）《XXX信息系统用户管理制度》

a）《安全保密责任书（在岗人员）》

b）《保密承诺书（离岗人员）》

5）《XXX信息资产和设备管理制度》

6）《XXX信息系统安全审计管理制度》

7）《XXX数据存储介质管理制度》

8）《XXX软件开发项目管理制度》

本部分制度适用于技术部门（如：

信息中心、应用开发、安全运维等）的日常管理，为信息系统的技术类管理制度。

第三层：

记录文档

包含的部分表单如下：

1）《开通外网申请表》

2）《信息发布涉密审查登记表》

3）《信息发布审批登记表》

4）《进入XXX申请表》

5）《机房出入登记表》

6）《机房巡检表》

7）《备份计划表》

8）《数据恢复测试计划表》

9）《信息安全培训计划表》

10）《信息安全培训记录表》

11）《用户权限审批和修改表》

12）《内（外）网PC资产信息表》

13）《服务器内外网IP对应表》

14）《安全产品清单》

本部分记录文件是印证单位发文、部门发文得到落实的客观记录，是联合检查的重要内容。

三XXX国际互联网使用管理办法

XXX

国际互联网使用管理办法

第一条为规范党政机关国际互联网（以下简称：

外网）的使用和管理，根据国家有关法律法规的规定，结合本单位实际，制定本制度。

第二条外网的开通和使用，实行方便工作和保障安全相结合的原则。

第三条XX部门是外网管理工作的主要责任部门，负责外网的网络管理和维护保障工作，以及网站日常工作的管理。

XXX部门负责外网网站发布信息的审核、舆论导向的指引。

XXX部门负责外网上网指引、登记备案和有关法律法规的宣传教育。

第四条特殊工作岗位实行定岗管理，特殊工作岗位可开通外网。

其他工作岗位需要开通外网的，实行配额管理。

第五条申请开通外网的程序是：

填写“开通外网申请表”，经部门领导同意后，报XX部门提出审核意见，审核通过的，进行登记备案后，由XX部门办理开通事宜。

第六条超出配额的，申请部门应提出撤销原使用人员名单，否则，申请不予受理。

被停止使用外网人员的上网设备由XX部门负责拆除。

第七条接入互联网的电脑应与内网物理隔离，严禁在外网计算机上处理涉密文件和敏感的工作信息。

第八条在外网计算机上使用的移动存储介质禁止在内网和涉密网中使用，杜绝发生U盘交叉使用（混用）的现象。

第九条上网人员要自觉接受身份认证和IP绑定技术对个人上网活动的安全监督检查，严禁擅自改动单位分配的IP地址。

第十条及时对外网计算机操作系统补丁进行更新。

第十一条上网人员要提高自身的恶意代码防范意识，在接收文件或邮件之前，必须先进行恶意代码检查。

第十二条上网人员应自觉学习国家有关的法律法规，严禁在外网计算机上使用存有涉密信息的优盘、移动硬盘等移动存储介质。

第十三条严禁在互联网上浏览反动、淫秽等国家明文禁止的信息。

违反规定者，按国家有关法规和相关纪律处分规定追究责任。

第十四条应当建立健全信息发布涉密审查制度，指定机构和人员对拟在互联网及其他公共信息网络发布的信息进行涉密审查，并建立审查记录档案。

第十五条本制度由XXXX负责解释。

第十六条本制度自发布之日起生效执行。

附件：

1.开通外网申请表

2.信息发布涉密审查登记表

附件1、开通外网申请表

附件1

开通外网申请表

申请人姓名

所在部门

申请原因：

部门领导意见：

负责人（签章）：

XX部门审核意见：

负责人（签章）：

外网接入安全管理承诺

1、自觉遵守国家计算机信息网络安全管理的有关法律和行政法规。

2、自觉遵守我单位国际互联网使用管理制度。

3、所申请的外网仅供本人使用。

4、申请人确认上述承诺，如有违反愿接受相应处罚。

申请人签字：

年月日

附件2、信息发布涉密审查登记表

附件2

信息发布涉密审查登记表

编号：

填表日期：

年月日

信息发布人

所属部门

信息标题

信息类别

信息内容：

涉密审查内容

1

工作敏感信息

发现□未发现□

2

国家秘密信息

3

国家机密信息

4

国家绝密信息

审查意见

审查通过，予以发布□

涉及敏感信息，暂缓发布□

审查人（签章）：

四、XXX内网安全管理制度

内网安全管理制度

第一章总则

第一条为加强内部计算机网络（即党政机关内部计算机网络，以下简称内网，网内的计算机以下统称为内网计算机，使用人员以下统称为内网用户）的使用和管理，保障内网的安全稳定运行，根据国家法律、法规和相关规定，结合本单位实际，制定本制度。

第二条本制度规范的内容包括：

网络管理、终端管理、用户管理、介质管理和安全事件报告。

第三条XX部门是内网管理工作的主要责任部门，负责内网的网络管理和维护保障工作。

第二章网络管理

第四条内网必须与国际互联网实行物理隔离。

第五条内网进行分级、分层、分域管理，对内网信息系统及相应的局域网（业务专网）划分为独立可管理和控制的安全域。

不同的安全域应采取相应的安全策略和保护手段。

第六条建设内网安全与应用支撑平台，实行内网用户、资源的统一注册管理，并为单位信息系统的安全和安全域防护提供身份鉴别、授权管理、边界防护等公共安全技术手段。

第七条加强对内网信息上网前的保密审查和对已上网信息的保密检查，防止涉及国家秘密的信息上网。

第八条按国家相关要求定期开展信息安全等级保护和风险评估工作，排除信息系统安全隐患。

对于集中处理工作秘密的信息系统可以参照秘密级信息系统的分级保护相关要求实施安全防护。

第九条内网应配置独立的交换机，内网综合布线须满足《涉及国家秘密的信息系统分级保护技术要求》中的相关要求。

第十条内网信息系统利用公网（PSTN、ISDN、ADSL、

DDN、X.25、帧中继、ATM、SDH等）进行远程传输时，必须使用VPN技术和IP密码机实行加密处理。

第十一条内网因工作需要与其他网络进行连接，连接方式和设备必须满足国家保密部门的要求。

第十二条内外网因工作需要进行数据交换时，必须采用符合国家保密部门要求的方式（如：

刻录光盘）或设备（如：

保密部门认可的安全移动存储介质管理系统）。

第十三条通过部署统一的补丁升级系统、防病毒系统、漏洞扫描系统、网页防篡改系统、存储备份系统、容灾系统，建立与应用相适应的安全策略，全面加强主机和应用系统安全。

第十四条建立监控、备份恢复、应急处理、安全审计、安全事件报告等工作制度。

技术部门通过监控机房、网络、主机、应用、数据等运行状态，主动发现安全隐患，及时采取相应措施，尽快恢复受影响或被中断的应用服务。

第三章终端管理

第十五条内网计算机必须安装保密部门认可的违规上互联网监控软件。

第十六条内网计算机应采用“双布线双用户终端”或“双布线单用户终端”的隔离卡物理隔离解决方案。

第十七条严禁在内网计算机上使用无