信息安全管理制度参考模板.docx
《信息安全管理制度参考模板.docx》由会员分享,可在线阅读,更多相关《信息安全管理制度参考模板.docx(76页珍藏版)》请在冰豆网上搜索。
信息安全管理制度参考模板
信息安全管理制度参考模板
(试行)
市网络与信息安全协调小组办公室
市经济和信息化委员会
二○一二年十二月
前言
信息安全管理制度是实现信息安全管理的重要方面,是信息安全考评和检查的重要容。
近年来,我省党政机关、重要信息系统的信息安全检查结果表明,一些单位或部门对如何建立信息安全制度体系缺乏了解,对体系构成、制度要素、容覆盖等方面缺乏完整性和规性。
为了更好地指导各单位建立信息安全管理制度,根据国家、省和市信息安全考评和检查的有关要求,结合工作重点,我们编制了“信息安全管理制度参考模板”(试行),供各单位完善信息安全制度体系建设参考。
各单位可根据自身业务特点和信息系统建设情况,对本制度模板进行增加、减少、修改等选择性采用。
一、关于编制背景
信息安全管理制度是实现信息安全管理的重要方面,是信息安全考评和检查的重要容。
近年来,我市党政机关、重要信息系统的信息安全检查结果表明,一些单位或部门对如何建立信息安全制度体系缺乏了解,对体系构成、制度要素、容覆盖等方面缺乏完整性和规性。
为了更好地指导各单位编制信息安全制度,根据国家、省和市信息安全考评和检查的有关要求,结合工作重点,我们编制了“信息安全管理制度参考模板”(试行),供各单位完善信息安全制度体系建设参考。
二、关于体系结构
制度模板采用金字塔型的“三层”架构设计,由单位发文、部门发文和记录文档三部分组成。
各部分详细结构如下:
第一层:
单位发文
包含制度如下:
1)《XXX国际互联网使用管理办法》
2)《XXX网安全管理制度》
3)《XXX涉密网络安全管理制度》
4)《XXX信息安全组织机构管理制度》
a)《信息安全检查工作责任书》
b)《网信息安全检查工作责任书》
c)《互联网信息安全检查工作责任书》
d)《信息系统安全等级(分级)保护工作责任书》
e)《信息安全工作责任书》
f)《信息安全风险评估工作责任书》
g)《信息安全应急响应工作责任书》
h)《安全管理员职责说明书》
i)《系统管理员职责说明书》
j)《网络管理员职责说明书》
k)《机房管理员职责说明书》
l)《安全审计员职责说明书》
m)《信息审查员职责说明书》
5)《XXX信息安全事件管理办法》
6)《XXX信息系统信息发布制度》
本部分制度适用于单位对信息系统的全局性管理,为信息系统管理的基础制度,应为单位全体人员普遍遵守。
第二层:
部门发文
包含制度如下:
1)《XXX机房安全管理制度》
2)《XXX网络安全管理制度》
3)《XXX信息系统运行维护管理制度》
4)《XXX信息系统用户管理制度》
a)《安全责任书(在岗人员)》
b)《承诺书(离岗人员)》
5)《XXX信息资产和设备管理制度》
6)《XXX信息系统安全审计管理制度》
7)《XXX数据存储介质管理制度》
8)《XXX软件开发项目管理制度》
本部分制度适用于技术部门(如:
信息中心、应用开发、安全运维等)的日常管理,为信息系统的技术类管理制度。
第三层:
记录文档
包含的部分表单如下:
1)《开通外网申请表》
2)《信息发布涉密审查登记表》
3)《信息发布审批登记表》
4)《进入XXX申请表》
5)《机房出入登记表》
6)《机房巡检表》
7)《备份计划表》
8)《数据恢复测试计划表》
9)《信息安全培训计划表》
10)《信息安全培训记录表》
11)《用户权限审批和修改表》
12)《(外)网PC资产信息表》
13)《服务器外网IP对应表》
14)《安全产品清单》
本部分记录文件是印证单位发文、部门发文得到落实的客观记录,是联合检查的重要容。
三XXX国际互联网使用管理办法
XXX
国际互联网使用管理办法
第一条为规党政机关国际互联网(以下简称:
外网)的使用和管理,根据国家有关法律法规的规定,结合本单位实际,制定本制度。
第二条外网的开通和使用,实行方便工作和保障安全相结合的原则。
第三条XX部门是外网管理工作的主要责任部门,负责外网的网络管理和维护保障工作,以及日常工作的管理。
XXX部门负责外网发布信息的审核、舆论导向的指引。
XXX部门负责外网上网指引、登记备案和有关法律法规的宣传教育。
第四条特殊工作岗位实行定岗管理,特殊工作岗位可开通外网。
其他工作岗位需要开通外网的,实行配额管理。
第五条申请开通外网的程序是:
填写“开通外网申请表”,经部门领导同意后,报XX部门提出审核意见,审核通过的,进行登记备案后,由XX部门办理开通事宜。
第六条超出配额的,申请部门应提出撤销原使用人员,否则,申请不予受理。
被停止使用外网人员的上网设备由XX部门负责拆除。
第七条接入互联网的电脑应与网物理隔离,严禁在外网计算机上处理涉密文件和敏感的工作信息。
第八条在外网计算机上使用的移动存储介质禁止在网和涉密网中使用,杜绝发生U盘交叉使用(混用)的现象。
第九条上网人员要自觉接受身份认证和IP绑定技术对个人上网活动的安全监督检查,严禁擅自改动单位分配的IP地址。
第十条及时对外网计算机操作系统补丁进行更新。
第十一条上网人员要提高自身的恶意代码防意识,在接收文件或之前,必须先进行恶意代码检查。
第十二条上网人员应自觉学习国家有关的法律法规,严禁在外网计算机上使用存有涉密信息的优盘、移动硬盘等移动存储介质。
第十三条严禁在互联网上浏览反动、淫秽等国家明文禁止的信息。
违反规定者,按国家有关法规和相关纪律处分规定追究责任。
第十四条应当建立健全信息发布涉密审查制度,指定机构和人员对拟在互联网及其他公共信息网络发布的信息进行涉密审查,并建立审查记录档案。
第十五条本制度由XXXX负责解释。
第十六条本制度自发布之日起生效执行。
附件:
1.开通外网申请表
2.信息发布涉密审查登记表
附件1、开通外网申请表
附件1
开通外网申请表
申请人
所在部门
申请原因:
部门领导意见:
负责人(签章):
XX部门审核意见:
负责人(签章):
外网接入安全管理承诺
1、自觉遵守国家计算机信息网络安全管理的有关法律和行政法规。
2、自觉遵守我单位国际互联网使用管理制度。
3、所申请的外网仅供本人使用。
4、申请人确认上述承诺,如有违反愿接受相应处罚。
申请人签字:
年月日
附件2、信息发布涉密审查登记表
附件2
信息发布涉密审查登记表
编号:
填表日期:
年月日
信息发布人
所属部门
信息标题
信息类别
信息容:
涉密审查容
1
工作敏感信息
发现□未发现□
2
国家秘密信息
发现□未发现□
3
国家信息
发现□未发现□
4
国家绝密信息
发现□未发现□
审查意见
审查通过,予以发布□
涉及敏感信息,暂缓发布□
审查人(签章):
年月日
四、XXX网安全管理制度
XXX
网安全管理制度
第一章总则
第一条为加强部计算机网络(即党政机关部计算机网络,以下简称网,网的计算机以下统称为网计算机,使用人员以下统称为网用户)的使用和管理,保障网的安全稳定运行,根据国家法律、法规和相关规定,结合本单位实际,制定本制度。
第二条本制度规的容包括:
网络管理、终端管理、用户管理、介质管理和安全事件报告。
第三条XX部门是网管理工作的主要责任部门,负责网的网络管理和维护保障工作。
第二章网络管理
第四条网必须与国际互联网实行物理隔离。
第五条网进行分级、分层、分域管理,对网信息系统及相应的局域网(业务专网)划分为独立可管理和控制的安全域。
不同的安全域应采取相应的安全策略和保护手段。
第六条建设网安全与应用支撑平台,实行网用户、资源的统一注册管理,并为单位信息系统的安全和安全域防护提供身份鉴别、授权管理、边界防护等公共安全技术手段。
第七条加强对网信息上网前的审查和对已上网信息的检查,防止涉及国家秘密的信息上网。
第八条按国家相关要求定期开展信息安全等级保护和风险评估工作,排除信息系统安全隐患。
对于集中处理工作秘密的信息系统可以参照秘密级信息系统的分级保护相关要施安全防护。
第九条网应配置独立的交换机,网综合布线须满足《涉及国家秘密的信息系统分级保护技术要求》中的相关要求。
第十条网信息系统利用公网(PSTN、ISDN、ADSL、
DDN、X.25、帧中继、ATM、SDH等)进行远程传输时,必须使用VPN技术和IP密码机实行加密处理。
第十一条网因工作需要与其他网络进行连接,连接方式和设备必须满足国家部门的要求。
第十二条外网因工作需要进行数据交换时,必须采用符合国家部门要求的方式(如:
刻录光盘)或设备(如:
部门认可的安全移动存储介质管理系统)。
第十三条通过部署统一的补丁升级系统、防病毒系统、漏洞扫描系统、网页防篡改系统、存储备份系统、容灾系统,建立与应用相适应的安全策略,全面加强主机和应用系统安全。
第十四条建立监控、备份恢复、应急处理、安全审计、安全事件报告等工作制度。
技术部门通过监控机房、网络、主机、应用、数据等运行状态,主动发现安全隐患,及时采取相应措施,尽快恢复受影响或被中断的应用服务。
第三章终端管理
第十五条网计算机必须安装部门认可的违规上互联网监控软件。
第十六条网计算机应采用“双布线双用户终端”或“双布线单用户终端”的隔离卡物理隔离解决方案。
第十七条严禁在网计算机上使用无线网卡、键盘、鼠标、蓝牙等一切无线设备。
第十八条严禁在网发布涉密信息,网计算机不得存储、处理、传输国家秘密信息,非涉密移动存储介质不得存储国家秘密信息。
第十九条严禁在网计算机上连接手机、相机、USB存储介质等一切非授权的可存储或连接其他网络的外置设备。
第二十条网计算机须启用屏幕保护程序并设置恢复密码,屏幕保护的闲置时间设置为10分钟以。
第二十一条网计算机必须保证密码安全。
网计算机和应用系统密码需定期修改,密码长度不少于8位,并由字母、数字和特殊字符混合组成。
第二十二条及时对网计算机操作系统补丁和防病毒软件病毒库进行更新,定期对计算机进行全盘扫描、杀毒。
第四章用户管理
第二十三条网用户应定期接受教育和培训,建立完善的人员安全监管制度。
第二十四条对网用户进入网络的行为实行安全准入管理制度。
安全准入行为管理包括便携式计算机、台式计算机、移动存储介质、打印机等设备的注册,外来软件的安装等。
第二十五条网用户不得私自安装与工作无关的软件,如需安装非工作需要的软件必须向xx部门申请。
第二十六条网用户不得擅自更改网计算机系统设置,如计算机名、IP地址、用户名等。
第二十七条网用户不得通过拨号、无线网卡等方式连接国际互联网。
第二十八条定期组织对网信息系统的安全检测和检查,加强对网安全、技术知识的教育和培训。
第五章介质管理
第二十九条网计算机必须使用国家部门认可的安全移动存储介质管理系统。
第三十条指定专人负责安全移动存储介质管理系统的保管、发放、登记管理等,建立介质资产清单,落实安全责任制度,明确责任主体。
第三十一条网计算机及安全移动存储介质改变用途或报废之前,须由技术人员使用专用数据销毁工具将硬盘或移动存储介质中的数据进行彻底清除,以保护信息安全。
第三十二条网安全移动存储介质的维修、报废,先报主管领导审批,由专人负责登记备案后,再进行维修、报废处理。
第六章安全事件报告
第三十三条网用户发现安全事件已经发生或可能发生时,应立即采取补救措施并及时报告XX部门。
第三十四条XX部门接到报告后,应当立即做出处理,并及时向上级领导部门报告。
第三十五条网用户对本人的行为负责;各部门负责人负有管理、监督本部门人员遵守本办法的责任。
第三十六条违反本制度规定的,由管理部门或管理人员及时报告XX,XX根据违规情况按有关法规追究责任。
第七章附则
第三十七条本制度由XXXX负责解释。
第三十八条本制度自发布之日起生效执行。
五、XXX涉密网络安全管理制度
XXX
涉密网络安全管理制度
第一条为加强涉密网络的使用和管理,保障涉密网络和涉密信息安全,根据国家法律、法规和相关规定,结合本单位实际,制定本制度。
第二条XXXX是涉密网络管理工作的主要责任部门,负责涉密网的网络管理和维护保障工作。
第三条涉密网络安全管理要坚持“全面管理、依法管理、分类管理,实行谁主管谁负责、谁使用谁负责”的原则。
第四条涉密网络建设和运行维护服务外包的,必须选择具有相应涉密信息系统集成资质的单位,签订协议,明确责任,落实管理要求。
第五条XXXX(部门)指定部人员担任系统管理员、安全管理员、安全审计员,分别负责涉密网络运行维护、安全管理和安全审计工作。
同时,XXXX(部门)负责对行政管理部门组织培训,并实行持证上岗制度。
第六条涉密网络使用、管理人员必须签订责任书,明确义务和责任。
第七条XXXX(部门)负责采取以下措施,加强涉密网络安全技术防护:
1.采取身份鉴别措施,有效防非授权用户登录服务器、终端、应用系统以及安全设备;
2.采取访问控制措施,有效防用户对信息的越权访问;
3.采取安全审计措施,准确记录用户和管理人员的操作行为,有效监督违规操作;
4.采取边界安全防护措施,有效防违规接入、违规外联和移动存储介质交叉使用等行为;
5.采取信息流转控制措施,防止高密级信息流入低密级网络或安全域。
第八条须统一采购、登记、标识、配备信息设备,并明确使用管理责任人。
第九条涉密与非涉密计算机及外设应严格区分,不得相互混用。
所有涉密计算机必须设置“涉密计算机”字样及国家秘密等级的标识。
第十条涉密计算机必须与国际互联网实行物理隔离,隔离方式和设备必须符合国家部门的相关要求。
第十一条涉密计算机必须安装部门认可的违规上互联网监控软件,并定期对软件状态进行维护,确保监控软件运行正常。
第十二条严禁使用涉密计算机上互联网或私自接入其他非涉密网络。
第十三条涉密网络必须按照国家分级保护标准进行建设,主管部门在建设中行使监督、指导职责。
第十四条规文件打印、存储介质使用等行为,严格控制信息输出。
第十五条在涉密网络中禁止使用多功能机,如有打印、复印需求的必须专机专用,且必须使用无记忆功能的打印、复印设备。
第十六条涉密计算机因工作需要与外部进行数据交换时,必须使用符合部门规定的方式或设备,并采取病毒查杀、单向导入等防护措施。
第十七条严禁在涉密计算机上连接手机、相机、USB存储介质等一切非授权的可存储或连接其他网络的外置设备。
第十八条严禁在涉密计算机上使用无线网卡、路由器、键盘、鼠标等一切无线互联设备,应当拆除具有无线联网功能的硬件模块。
第十九条严禁在涉密计算机上安装和使用远程控制装置。
第二十条严禁在非涉密计算机上存储、处理、传输涉密信息。
第二十一条涉密计算机及存储介质应严格按照专机专用、专人负责,监督管理与技术防并重的原则实施管理。
严禁涉密移动存储介质随意放置,用后应及时存放在保险柜中。
第二十二条涉密计算机应建立登记档案,并实行逐台备案制,填写《省涉密计算机备案表》,向同级行政管理部门申报。
第二十三条涉密移动存储介质应在显眼的位置做出“绝密”、“”、“秘密”的密级标识,并按照相同密级的国家秘密载体进行管理。
第二十四条存储级和较大量秘密级信息的涉密计算机或涉密存储移动介质的场所必须符合“三铁”(铁门、铁窗、铁柜)、“三器”(报警器、电子监控器、灭火器)和“四防”(防水、防盗、防潮、防鼠)的要求。
第二十五条涉密移动存储介质严禁连接互联网,如发现有行为则查扣相关设备,并对当事人予以行政处分。
第二十六条不得擅自处理损坏、报废的涉密计算机或涉密移动存储介质,必须交由XXXX按《省国家局关于涉密计算机、通信和办公自动化设备定点维修维护管理的规定》交有“定点维修维护证书”的单位处理,或交市涉密载体销毁中心作销毁处理。
第二十七条涉密计算机要定期更换口令,“”的应设置10位以上的口令,“秘密”的应设置8位以上的口令,禁止使用简单密码或空口令。
第二十八条离开工作台时应关闭涉密计算机或对计算机进行锁定。
第二十九条禁止在涉密计算机上随意安装第三方软件;如因业务需要,安装时需有批准手续并经过XXX部门的安全检测。
第三十条及时对涉密计算机操作系统补丁进行更新。
第三十一条及时对涉密计算机防病毒软件病毒库进行更新,定期对计算机进行全盘扫描、杀毒。
第三十二条加强涉密计算机病毒防和检查措施的执行力度,防止将计算机病毒带入涉密网。
第三十三条涉密人员不得收受并使用来历不明的手机;不得使用未经国家电信部门入网许可的手机;不得开通手机位置服务功能;不得开通手机连接互联网的功能。
第三十四条不得在手机通话中谈论国家秘密信息。
第三十五条不得使用手机发送、接受、存储、处理包括语音、文字、图像等各种形式的国家秘密信息。
第三十六条严禁通过互联网电子、即时通信工具等办理涉密业务,或者存储、处理、传输国家秘密信息。
第三十七条加强涉密计算机使用人员的安全教育与培训。
第三十八条完善涉密网络的安全策略和安全管理制度,并严格执行。
第三十九条建立健全信息发布审查制度,并指定专人负责审查工作,建立审查档案。
审查应当坚持一事一审、全面审查,确保发布的信息不涉及国家秘密。
第四十条定期组织(每年不少于一次)开展检查,及时发现和消除泄密隐患,并建立检查记录档案。
第四十一条本制度由XXXX负责解释。
第四十二条本制度自发布之日起生效执行。
六、XXX信息安全组织机构管理制度
XXX
信息安全组织机构管理制度
第一章总则
第一条为加强信息安全管理,明确信息安全责任,保障信息化建设的稳步发展,特制定本制度。
第二章机构设置
第二条由单位主管信息化工作和工作的领导牵头,组织与信息安全相关的各部门负责人,成立信息安全领导机构,统筹管理信息安全相关工作。
第三条信息安全领导机构下设政府信息安全检查工作、互联网信息安全检查工作、网信息安全检查工作、信息安全应急响应工作、信息系统安全等级(分级)保护工作、信息安全风险评估工作、信息安全工作等7个专项工作小组,分别负责信息安全各领域相关工作。
第四条成立信息安全领导机构,完成以下岗位和成员的设置。
信息安全领导机构:
组长、副组长、成员。
第五条成立政府信息安全检查工作小组,完成以下岗位和成员的设置。
政府信息安全检查工作小组:
组长、副组长、成员。
第六条成立互联网信息安全检查工作小组,完成以下岗位和成员的设置。
互联网信息安全检查工作小组:
组长、副组长、成员。
第七条成立网信息安全检查工作小组,完成以下岗位和成员的设置。
网信息安全检查工作小组:
组长、副组长、成员。
第八条成立信息安全应急响应工作小组,完成以下岗位和成员的设置。
信息安全应急响应工作小组:
组长、副组长、成员。
第九条成立信息系统安全等级(分级)保护工作小组,并完成以下岗位和成员的设置。
信息系统安全等级(分级)保护工作小组:
组长、副组长、成员。
第十条成立信息安全风险评估工作小组,完成以下岗位和成员的设置。
信息安全风险评估工作小组:
组长、副组长、成员。
第十一条成立信息安全工作小组,完成以下岗位和成员的设置。
信息安全工作小组:
组长、副组长、成员。
第四章工作职责
第十二条信息安全领导机构工作职责。
信息安全领导机构负责领导信息安全工作的规划、建设和管理,检查指导各下属工作小组信息安全工作,协调处理信息安全工作中产生的重大问题,建设和完善信息安全组织体系。
第十三条信息安全检查工作小组工作职责。
信息安全检查工作小组负责检查信息安全制度落实情况、安全防措施落实情况、应急响应机制建设情况、信息技术产品和服务国产化情况、安全教育培训情况、责任追究情况、安全隐患排查及整改情况、安全形势、安全风险状况等。
第十四条互联网信息安全检查工作小组工作职责。
互联网信息安全检查工作小组负责互联网信息安全检查工作部署、制定检查工作计划和检查方案,监控互联网信息系统安全状况,定期汇总分析并提出安全分析报告。
第十五条网信息安全检查工作小组工作职责。
网信息安全检查工作小组负责安排网信息安全检查工作、制定检查工作计划和检查方案、对检查工作进行检查部署,监控网信息系统安全状况,定期汇总分析并提出安全分析报告。
第十六条信息系统安全等级(分级)保护工作小组工作职责。
信息系统安全等级(分级)保护工作小组负责制定详细的信息系统安全等级(分级)保护工作计划、采购和使用相应等级的信息安全产品、建设安全设施、落实安全技术措施、完成系统整改等。
第十七条信息安全应急响应工作小组工作职责。
信息安全应急响应工作小组负责应急预案的制定、演练、落实,技术队伍的建设,安全事件监控与处理。
第十八条信息安全风险评估工作小组工作职责。
信息安全风险评估工作小组负责信息系统的风险评估实施过程中的组织安排及各项相关工作。
第十九条信息安全工作小组工作职责。
信息安全工作小组负责指导各部门开展工作,并定期进行检查、督促;定期召开工作会议,研究部署工作;对工作人员进行教育,组织业务培训。
第五章附则
第二十条本制度由XXXX负责解释。
第二十一条本制度自发布之日起生效执行。
附件:
1.信息安全检查工作责任书
2.互联网信息安全检查工作责任书
3.网信息安全检查工作责任书
4.信息系统安全等级(分级)保护工作责任书
5.信息安全工作责任书
6.信息安全风险评估工作责任书
7.信息安全应急响应工作责任书
8.安全管理员职责说明书
9.系统管理员职责说明书
10.网络管理员职责说明书
11.机房管理员职责说明书
12.安全审计员职责说明书
13.信息审查员职责说明书
附件1、信息安全检查工作责任书
附件1
信息安全检查工作责任书
为了进一步落实我单位的网络安全与信息安全管理责任,确保网络安全与信息安全,做好信息系统的安全检查工作,特制定本责任书。
一、总体目标
按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,切实落实信息安全检查工作责任制,及时发现信息系统存在的各种安全隐患,并尽快修补,确保信息系统安全可靠运行,确保不发生重大信息安全责任事故。
二、责任要求
1、统筹安排信息安全检查工作,组织制定检查工作计划和检查方案,对检查工作进行检查部署,保证检查工作顺利进行,做到突出重点,明确责任,注重实效,保证质量。
对检查工作组织领导不力,有关要求不落实的,要予以通报批评。
2、信息安全检查过程中,要及时通报发现的问题并提出整改建议。
3、信息安全检查过程中应严格遵守检查工作纪律,周密制定应急预案,控制安全风险,加强措施,保证信息系统的安全正常运行。
4、信息安全检查过程中,检查责任人必须对检查结果负责,未能及时发现问题或漏洞导致安全事故的,要承担相应的责任。
三、责任追究
如信息安全检查工作责任人未按照本《责任书》履行职责、开展工作的,由单位予以通报批评;工作中存在重大突出问题的,或因工作失职导致后果的,按照相关规定对责任人予以处分。
本《责任书》自签约之日起生效。
责任人(签章):
年月日
附件2、互联网信息安全检查工作责任书
附件2
互联网信息安全检查工作责任书
为了进一步落实我单位的互联网安全管理责任,确保网络安全与信息安全,做好互联网信息安全检查工作,特制定本责任书。
一、总体目标
按照