信息安全管理制度大全.doc

信息安全管理制度大全.doc

《信息安全管理制度大全.doc》由会员分享，可在线阅读，更多相关《信息安全管理制度大全.doc（126页珍藏版）》请在冰豆网上搜索。

内部资料

注意保存

XXXXXXXXXX

信息安全制度汇编

XXXXXXXXXX

二〇一六年一月

125

目录

一、总则 6

二、安全管理制度 7

第一章管理制度 7

1.安全组织结构 7

1.1信息安全领导小组职责 7

1.2信息安全工作组职责 8

1.3信息安全岗位 9

2.安全管理制度 11

2.1安全管理制度体系 11

2.2安全方针和主策略 12

2.3安全管理制度和规范 12

2.4安全流程和操作规程 14

2.5安全记录单 14

第二章制定和发布 15

第三章评审和修订 16

三、安全管理机构 17

第一章岗位设置 17

1.组织机构 17

2.关键岗位 19

第二章人员配备 21

第三章授权和审批 22

第四章沟通和合作 24

第五章审核和检查 26

四、人员安全管理 28

第一章人员录用 28

1.组织编制 28

2.招聘原则 28

3.招聘时机 28

4.录用人员基本要求 29

5.招聘人员岗位要求 29

6.招聘种类 29

6.1外招 29

6.2内招 30

7.招聘程序 30

7.1人事需求申请 30

7.2甄选 30

7.3录用 32

第二章保密协议 33

第三章人员离岗 35

第三章人员考核 37

1．制定安全管理目标 37

2.目标考核 38

3.奖惩措施 38

第四章安全意识教育和培训 39

1.安全教育培训制度 39

第一章总则 39

第二章安全教育的含义和方式 39

第三章安全教育制度实施 39

第四章三级安全教育及其他教育内容 41

第五章附则 43

第五章外部人员访问管理制度 44

1.总则 44

2.来访登记控制 44

3.进出门禁系统控制 45

4.携带物品控制 46

五、系统建设管理 47

第一章安全方案设计 47

1.概述 47

2．设计要求和分析 48

2.1安全计算环境设计 48

2.2安全区域边界设计 49

2.3安全通信网络设计 50

2.4安全管理中心设计 50

3．针对本单位的具体实践 51

3.1安全计算环境建设 51

3.2安全区域边界建设 52

3.3安全通信网络建设 52

3.4安全管理中心建设 53

3.5安全管理规范制定 54

3.6系统整体分析 54

第二章产品采购和使用 55

第三章自行软件开发 58

1.申报 58

2.安全性论证和审批 58

3.复议 58

4.项目安全立项 58

5.项目管理 59

5.1概要 59

5.2正文 60

第四章工程实施 62

1.信息化项目实施阶段 62

2.概要设计子阶段的安全要求 62

3.详细设计子阶段的安全要求 63

4.项目实施子阶段的安全要求 63

第五章测试验收 65

1.文档准备 65

2.确认签字 65

3.专人负责 65

4.测试方案 65

第六章系统交付 68

1.试运行 68

2.组织验收 68

第七章系统备案 70

1.系统备案 70

2.设备管理 70

3.投产后的监控与跟踪 72

第八章安全服务商选择 74

六、系统运维管理 75

第一章环境管理 75

1.机房环境、设备 75

2.办公环境管理 76

第二章资产管理 81

1.总则 81

2.《资产管理制度》 81

第三章介质管理 85

1.介质安全管理制度 85

1.1计算机及软件备案管理制度 85

1.2计算机安全使用与保密管理制度 85

1.3用户密码安全保密管理制度 86

1.4涉密移动存储设备的使用管理制度 86

1.5数据复制操作管理制度 87

1.6计算机、存储介质、及相关设备维修、维护、报废、销毁管理制度 87

第四章设备管理 89

1.主机、存储系统运维管理 89

2.应用服务系统运维管理 89

3.数据系统运维管理 90

4.信息保密管理 91

5.日常维护 91

6.附件：

安全检查表 92

第五章监控管理和安全管理中心 94

1.监控管理 94

2.安全管理中心 95

第六章网络安全管理 96

第七章系统安全管理 98

1.总则 98

2.系统安全策略 98

3.系统日志管理 99

4.个人操作管理 100

5.惩处 100

第八章恶意代码防范管理 101

1.恶意代码三级防范机制 101

1.1恶意代码初级安全设置与防范 101

1.2.恶意代码中级安全设置与防范 101

1.3恶意代码高级安全设置与防范 102

2.防御恶意代码技术管理人员职责 102

3.防御恶意代码员工日常行为规范 103

第九章密码管理 104

第十章变更管理 106

1.变更 106

2.变更程序 106

2.1变更申请 106

2.2变更审批 106

2.3变更实施 106

2.4变更验收 106

附件一变更申请表 107

附件二变更验收表 108

第十一章备份与恢复管理 109

1.总则 109

2.设备备份 110

3.应用系统、程序和数据备份 111

4.备份介质和介质库管理 114

5.系统恢复 115

6.人员备份 116

第十二章安全事件处置 117

1.工作原则 117

2.组织指挥机构与职责 117

3.先期处置 118

4.应急处置 119

4.1应急指挥 119

4.2应急支援 119

4.3信息处理 119

4.4应急结束 120

5后期处置 120

5.1善后处置 120

5.2调查和评估 121

第十三章应急预案管理 122

1.应急处理和灾难恢复 122

2.应急计划 123

3.应急计划的实施保障 124

4.应急演练 125

一、总则

为规范XXXXXXXXXX信息安全工作，确保全体员工理解信息安全工作与职责，并落实到日常工作中，推动信息安全保障工作的顺利进行，结合XXXXXXXXXX的实际情况，特制定本制度。

本管理制度所称信息系统安全，包括计算机网络和应用系统（以下简称信息系统）的硬件、软件、数据及环境受到有效保护，信息系统的连续、稳定、安全运行得到可靠保障。

信息系统安全管理坚持“谁主管谁负责”的原则，公司的所有部门和员工都应各自履行相关的信息系统安全建设和管理的义务与责任。

信息系统安全工作的总体目标是：

实施信息系统安全等级保护，建立健全先进实用、完整可靠的信息系统安全体系，保证系统和信息的完整性、真实性、可用性、保密性和可控性，保障信息化建设和应用，支撑公司业务持续、稳定、健康发展。

信息系统安全体系建设必须坚持“统一标准、保障应用、符合法规、综合防范、集成共享”的原则。

本制度适用于公司所有部门和个人。

二、安全管理制度

第一章管理制度

1.安全组织结构

XXXXXXXXXX安全管理组织应形成由主管领导牵头的信息安全领导小组、具体信息安全职能部门负责日常工作的组织模式，组织结构图如下所示：

组

织

机

构

图

1.1信息安全领导小组职责

信息安全领导小组是由XXXXXXXXXX主管领导牵头，各部门的负责人为组成成员的组织机构，主要负责批准XXXXXXXXXX安全策略、分配安全责任并协调安全策略能够实施，确保安全管理工作有一个明确的方向，从管理和决策层角度对信息安全管理提供支持。

信息安全领导小组的主要责任如下：

（一）确定网络与信息安全工作的总体方向、目标、总体原则和安全工作方法；

（二）审查并批准政府的信息安全策略和安全责任；

（三）分配和指导安全管理总体职责与工作；

（四）在网络与信息面临重大安全风险时，监督控制可能发生的重大变化；

（五）对安全管理的重大更改事项（例如：

组织机构调整、关键人事变动、信息系统更改等）进行决策；

（六）指挥、协调、督促并审查重大安全事件的处理，并协调改进措施；

（七）审核网络安全建设和管理的重要活动，如重要安全项目建设、重要的安全管理措施出台等；

（八）定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定。

1.2信息安全工作组职责

信息安全工作组是信息安全工作的日常执行机构，内设专职的安全管理组织和岗位，负责日常具体安全工作的落实、组织和协调。

信息安全工作组的主要职责如下：

（一）贯彻执行和解释信息安全领导小组的决议；

（二）贯彻执行和解释国家主管机构下发的信息安全策略；

（三）负责组织和协调各类信息安全规划、方案、实施、测试和验收评审会议；

（四）负责落实和执行各类信息安全具体工作，并对具体落实情况进行总结和汇报；

（五）负责内外部组织和机构的沟通、协调和合作工作；

（六）负责制定所有信息安全相关的管理制度和规范；

（七）负责针对信息安全相关的管理制度和规范具体落实工作进行监督、检查、考核、指导及审批，例如现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。

以上组织结构和职责通过《信息安全组织职责体系》加以说明。

1.3信息安全岗位

为了有效落实信息安全各项工作，XXXXXXXXXX应设立以下专职的安全岗位，负责安全工作的落实和执行：

1.3.1信息安全工作组主管

1）负责网络与信息安全的日常整体协调、管理工作；

2）负责组织人员制定信息安全管理制度，并对管理制度进行推广、培训和指导；

3）负责重大安全事件的具体协调和沟通工作。

1.3.2安全管理员岗位

1）负责执行网络与信息安全工作的日常协调、管理工作；

2）负责日常的安全监控管理，并对上报和发现的各类安全事件进行响应；

3）负责系统、网络和应用安全管理的协调和技术指导；

4）负责安全管理平台安全策略制定，访问控制策略审核；

5）负责组织安全管理制度的推广和培训工作；

6）负责定期进行安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况。

1.3.3安全审计员岗位

1）负责安全管理制度落实情况的检查、监督和指导；

2）负责安全策略执行情况的审核。

1.3.4系统管理员

1）负责系统安全稳定运行的日常管理工作；

2）负责保持系统的防病毒系统、补丁等保持最新，定期对系统进行安全加固，保持系统漏洞最小化。

1.3.5网络管理员

1）负责网络设备安全稳定运行的日常管理工作；

2）负责保持网络设备的漏洞最小化，定期对系统进行安全加固；

3）负责保持网络路由和交换策略与业务需求保护一致。

4）XXXXXXXXXX应根据日常的运行维护和管理工作，设置物理环境管理、数据库管理、应用管理以及资产管理等岗位，这些岗位也应当包括安全职

责，这些安全职责的具体内容通过《信息安全管理岗位说明书》落实。

2.安全管理制度

2.1安全管理制度体系

XXXXXXXXXX安全管理制度应建立信息安全方针、安全策略、安全管理制度、安全技术规范以及流程的一套信息安全管理制度体系。

2.2安全方针和主策略

最高方针，纲领性的安全策略主文档，陈述本策略的目的、适用范围、信息安全的管理意图、支持目标以及指导原则，信息安全各个方面所应遵守的原则方法和指导性策略。

2.3安全管理制度和规范

各类管理规定、管理办法和暂行规定。

从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法，是必须具有可操作性，而且必须得到有效推行和实施的。

技术标准和规范，包括各个安全等级区域网络设备、主机操作系统和主要