网络安全等级保护管理制度模板.docx

网络安全等级保护管理制度模板.docx

《网络安全等级保护管理制度模板.docx》由会员分享，可在线阅读，更多相关《网络安全等级保护管理制度模板.docx（33页珍藏版）》请在冰豆网上搜索。

网络安全等级保护管理制度

一.信息安全管理机构及人员职责设置制度 4

一、 信息安全管理机构及职责 4

二、 信息安全人员岗位及职责 4

三、 机构之间的沟通与合作 5

二.信息安全岗位人员管理制度 7

三.计算机机房日常管理制度 9

一、 机房区域访问规定 9

二、 机房环境卫生规定 9

三、 物品进出管理规定 10

四、 机房空调管理规定 10

五、 机房环境监控规定 10

四.办公环境安全管理制度 12

五.存储介质安全管理制度 14

—、介质的存放 14

二、 介质的使用 14

三、 介质的带出与维修 15

四、 介质的报废或销毁 15

六.信息化资产安全管理制度 16

七.系统建设安全管理制度 18

一、 系统定级及系统安全方案设计 18

二、 安全产品采购和使用 18

三、 自行软件开发 18

四、 外包软件开发 19

五、 工程实施 20

六、 测试验收 20

七、 系统交付 20

八、 安全月艮务商选择 20

八.网络安全管理制度 22

九.系统运维安全管理制度 24

十.计算机和服务器防病毒管理制度 27

十一.安全保密和密码管理制度 28

十二.备份和恢复管理制度 29

十三.安全事件分类及处理流程 30

十四.信息安全应急预案管理制度 32

十五.信息安全知识培训管理制度 33

一.信息安全管理机构及人员职责设置制度

―、信息安全管理机构及职责

（该单位）信息安全管理工作由局信息安全工作领导小组负责，领导小组下设办公室，设在规划科技处，规划科技处负责有关信息安全工作的组织协调，技术中心承担具体工作。

（―）领导小组职责

在局党组领导下，负责审议信息安全工作相关政策法规宣传教育及有关技术方面培训计划；审议信息安全的标准规范、规章制度等；审议信息化建设方案中关于信息安全相关内容；审议或决定信息安全重大项目建设、实施、应用、维护和管理中的重大问题；督促、指导局机关有关处室、直属事业单位按职责分工做好信息安全作。

（二）领导小组办公室职责

贯彻落实局信息安全工作领导小组的决策；研究制定信息安全各项政策、技术标准和管理制度；研究提出信息安全建设、应用、维护、管理中重大问题的解决方案和意见；研究提出信息安全重大项目建设、实施总体方案和年度维护方案建议；承办领导小组交办的具体工作。

二、信息安全人员岗位及职责

（该单位）根据信息化建设及维护工作实际，设置系统管理员、网络管理员、安全管理员、机房管理员等岗位，安全管理员不能兼任网络管理员、系统管理员、机房管理员等，关键岗位应配备多人共同管理，同时可以根据需要设定相应的技术专家团队，负责网络的整体安全运行。

（―）系统管理员的岗位职责

负责信息系统硬件和系统软件的建设、管理、信息安全及运维保障工作。

（二） 网络管理员的岗位职责

1.负责实施网络系统的安全措施与保障策略，维护系统正常运行；

2.负责省局相关人员网络技术培训工作。

（三） 安全管理员的岗位职责

1.负责网络的漏洞扫描、病毒库升级更新和病毒、漏洞、恶意代码的预警等；

2.负责信息安全技术培训工作和进行安全检查，汇总安全检查数据，形成检查报告。

（四） 机房管理员的岗位职责

1.负责机房进出人员的管理和监督；

2.负责在第一时间发现故障或故障隐患，并及时报告；

3.参与机房的值班。

三、机构之间的沟通与合作

1.信息安全工作由局信息安全工作领导小组统一管理，局机关各处室、局直属事业单位必须密切配合，加强内部的合作与沟通，技术中心负责技术支持和保障；

2.加强与中省直负责国家安全、保密、公安、通信的部门及业界专家、供应商等单位的外部合作与沟通；

3,聘请信息安全专家作为常年的安全顾问，指导信息安全建设,参与安全规划和安全评审等。

二.信息安全岗位人员管理制度

一、 系统管理员、网络管理员、安全管理员、机房管理员等信息安全有关的岗位人员，必须经过严格的审查并考核其业务能力。

二、 明确所有信息安全岗位人员在信息系统安全保护中的职责和权限，其工作、活动范围应当被限制在完成其任务的最小范围内。

三、 对可接触较多机密或更高级别安全信息的人员，需要签订保密协议。

四、 信息安全岗位人员确定以后，不能随意进行更换，如确需进行人员变动的话，必须提前上报局信息化领导小组审批。

五、 信息安全岗位人员更换的时候，必须做好交接工作，在新的管理员可以独立工作之前，老的管理员不得离岗，必须给予新管理员充分的技术指导，协助其尽快熟悉工作。

六、 信息化领导小组每年对信息安全岗位人员进行信息安全考察,结果将进行存档。

七、 对于考核中发现有违反信息安全法规行为的人员或发现不适宜承担信息安全关键岗位的人员要依据有关规定处理。

八、 信息化领导小组每年将根据需要对系统管理员、网络管理员、安全管理员、机房管理员等岗位人员进行一次工作督察。

九、 安全管理员应定期进行安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况，并汇总安全检查数据，形成安全检查报告，并对安全检查结果进行通报。

十、信息化领导小组负责对系统变更、重要操作、物理访问和系统接入等事项进行审批，审批通过后可对信息系统进行关键活动的具体操作。

Ξ.计算机机房日常管理制度

—、机房区域访问规定

1.计算机机房除指定的管理人员外，其他人员不得随意进入。

2.其他人员进入机房必须经有关领导批准并登记备案，并且必须有管理人员全程陪同，同时只允许在批准的区域进行相关活动。

3.经批准进入的供应商/合作商（涉及机密信息）应签订保密协议。

4.机房管理人员离职时，所有的访问权必须立即收回或取消。

5.未经安全管理人员或有关领导同意，任何人不得摄影、拍照。

二、机房环境卫生规定

1.进入机房的人员要穿鞋套，所有人员必须保持机房的环境卫生。

2.在机房安装调试机器或者其他网络设备，工作完成后，必须将工作场地清扫干净。

3.应定期对机房进行环境卫生清扫工作，包括地毯、办公区、桌椅、玻璃、窗台等。

4.应定期对网络设备，服务器等其他辅助设备进行除尘等清扫。

5.应定期对空调的过滤净化设备进行清洗或者更换。

6.饮用水等瓶装的水，不允许带入机房，只可以在机房外的休息室内存放和饮用。

三、 物品进出管理规定

1.机房物品进出要严格进行登记，详细填写机房物品进出登记表。

2.进入机房的物品需经过机房管理人员的同意方可带入。

3.个人计算机等产品带入机房，未经同意严禁接入到机房内的局域网内，因为工作需要必须接入的，要经过批准，同时在接入前，要先经过查病毒和木马等过，确认安全后方可接入，接入时要有机房人员陪同，严格控制接入计算机访问的范围。

4.如果要进行机房内摄录时需要报请审批，批准后方可在机房人员的监督和控制之下进行摄录等操作，同时对摄录的内容进行登记。

5.粉末状、易燃易爆和易挥发的物品，严禁带入机房。

四、 机房空调管理规定

1.机房内空调的调整应专人负责，空调的开停可以设定为自动模式。

2.机房内空调温度夏天最低温度不能低于20oC,冬天最高的温度不能超过22oC,湿度设定在40-70%o

3.机房内空调需要定期检查和清洁。

4.严禁在空调的进风口或者出风口进行遮挡。

5.空调维修必须由专业人员负责，严禁私自拆卸等操作。

五、 机房环境监控规定

1.机房内应安装视频监控设备，并应由专人负责监视。

2.机房内应安装安全烟雾、防水防潮、温度报警等环境监控报警

设备，夜间值班人员要定期查看。

3.机房内应安装电子驱鼠、防盗报警等设备。

四.办公环境安全管理制度

一、 计算机上的密级文件，工作人员应采取适当的加密措施，妥善存放。

二、 工作人员对发送到本单位外部的涉及机密信息的邮件必须加密，可用PGP进行高强度的密钥加密，也可使用WINZIP进行压缩并加上口令加密。

三、 办公室无人时，工作人员离开前必须锁门，完成应用系统的操作或离开工作岗位时，应及时退出应用系统。

四、 工作人员在使用自己所属的计算机时，应该设置开机、屏幕保护、目录共享口令，口令符合复杂度要求。

五、 工作人员在设备中不得安装非标准软件或未经申请的软件。

六、 工作人员不允许在本单位网上传播和散布与工作无关的文章和评论，不能下载、使用、传播与工作无关的资料，不能访问与工作无关的站点，特别是反动、淫秽、游戏、聊天等类型的网站。

七、工作人员不允许私自设立WWW、FTP、BBS、NEWS等应用服务，不得设立网上游戏服务，不得私自设立拨号接入服务。

八、 工作人员之间不允许私下互相转让、借用本单位IT资源账号，对本单位应用系统的账号口令应定期更改。

九、 对工作需要授权他人查看自己的邮箱或自己有权的其他应用系统的信息时，应尽量通过增加对方权限的方式，而不应将自己的账号和密码告诉被授权人。

十、工作人员在工作岗位调动或离职时，应主动填写移交或账号变更申请表（包括各种应用系统的账号）。

五.存储介质安全管理制度

—、介质的存放

1.介质应在常温下存储。

2.涉密存储介质应保存在电子密码文件柜内。

3.介质的存放环境应有防火、防水、防震及防静电等措施，以免造成对介质的损坏。

4.介质的存放应远离强磁环境，同时避免与其他能够发射强磁辐射的设备一起存放。

5.介质存放时应对其中的数据进行加密处理，然后对介质进行分类标识。

二、介质的使用

1.各部门内应设置专门人员对介质进行管理，避免因为介质的使用不当造成信息泄密。

2.介质采取统一购置、统一标识、严格登记、授权使用及领用、集中监管的模式，严禁私人擅自使用自购的各种存储介质，严控发放范围。

3.介质传递应包装密封，包装上应当标明编号和使用单位名称，确保信息不能在传递的途中被窥视或泄漏。

4.介质的接收应履行登记、入账等手续，收到介质后，应确认该介质的接受人员，针对涉及敏感信息的介质要严格根据相关的安全保密的规定进行。

5.阅读介质中的信息前应对介质进行病毒查杀等安全检测。

6.介质归档和查询时，应登记记录，并根据存档介质的目录清单定期盘点。

三、 介质的带出与维修

1.外出携带时，介质应始终处于携带人的有效控制之下。

2.因工作需要携带介质离开单位的，应检查该信息是否涉及重要秘密，如涉及国家秘密应遵守相关的保密法规，严禁将存储有害国家利益信息的介质携带出境。

3.介质维修时应进行严格审批，应填写维修记录，维修记录应标明送修人姓名、送修时间、维修单位等信息。

4.如果介质是非纸张的设备，送外部维修时应找可靠的维修地点进行修理，送出前要对内部信息进行彻底删除的操作，如U盘等要进行低级格式化，如果无法进行，也要控制内部信息的传播范围，介质返回后要进行格式化和病毒查杀操作。

四、 介质的报废或销毁

介质的报废或销毁应采用技术手段确保消除的敏感信息无法还原，对纸介质的销毁可采用碎纸机等进行，严禁将本单位的废纸以及相关的纸张等介质未经处理就当废品出售。

六.信息化资产安全管理制度

一、 局办公室负责建立信息化资产（设备）台帐，包括设备来源、购买时间、设备型号、使用部门、重要程度、用途、所处位置、折旧事项，保修条款等。

二、 技术中心人员负责定期对机房的供配电、空调、温湿度控制等设施进行维护与管理；应急救援中心机房自行负责。

三、 机房安全管理人员对机房的人员出入、服务器的开机或关机等工作进行管理。

四、 应对设备选用的各个环节（选型、采购、发放和领用、维修和携带外出）进行审批控制。

五、 对终端计算机、工作站、便携机、系统和网络等设备的操作和使用