1三甲复审XX单位信息安全管理制度.docx

1、1三甲复审XX单位信息安全管理制度XX单位信息安全管理制度第一章 总 则第一条 为加强信息系统内部信息风险控制管理，有效防范信息安全风险，确保信息系统安全可靠运行，根据国家及行业相关法律法规，特制定本制度。第二条 本制度所指的信息安全是指信息系统各要素（包括：制度、人员、软件、服务器、网络、数据、终端等）在运行、维护、开发、建设等过程中的安全管理活动。第三条 本管理制度适用于XX单位各部门。第二章 信息安全管理目标第四条 信息资产的可用性、完整性、保密性是信息安全管理的总体目标。信息中心具体信息安全管理目标是：（一）维护范围内的网络大规模病毒爆发（病毒影响到三分之一的网络中断）每年不超过1次；

2、（二）信息系统运行无故障率大于等于99%；（三）机房设备重大故障每年不超过3次；（四）全年不发生重大信息安全泄露事故；（五）全年不发生单位级存储数据丢失事故。第三章 信息安全管理原则第五条 信息安全管理工作实行“积极防范、突出重点、职责到位、保障业务”和“谁主管、谁负责”的原则。第四章 安全防范管理机制第六条 完善安全防范管理机制是信息系统安全防范的组织保证，成立XX单位信息化工作领导小组，负责开展信息系统建设、应用和信息安全保障工作。信息化建设领导小组下设办公室，具体负责信息化工作的组织协调和信息安全保障工作。小组组长应由XX单位主管领导委任或授权。第七条 信息化工作领导小组办公室设在信息中

3、心，具体负责信息化建设、应用和信息安全保障工作。信息中心设立系统管理员、数据库及中间件管理员、网络管理员、审计管理员、安全管理员和机房管理员等岗位。具体要求参见XX单位信息安全组织架构与岗位职责第五章 管理制度制定和发布第八条 由信息中心负责安全管理制度的制定工作。第九条 制度版本管理及格式要求：（一）初次发文版本号为V1.0（注：V为版本的缩写，必须填写）；制度修订时，若修订时间不跨年度，则在原版基础上进行小版本修改，即在原版本号的最后一位数字加1，作为新版制度的版本号；若修订时间跨年度，则在原版本的基础上进行大版本修订，即将原版本号中字母V后的第一位数字加1，作为新版制度的版本号。例如：2

4、018年第一次发布时的版本号为V1.0，2018年修订时版本号为V1.1、V1.2、，2019年修订时版本号为V2.0。（二）制度标题字体统一采用宋体、二号，正文字体统一采用仿宋、三号，标题及各级目录字体加粗，正文字体不加粗；制度的段落间距为1.5倍行距，制度标题居中，各级目录首行无缩进，正文部分首行缩进两字符。第十条 制度内容应简洁易懂，语句通顺，无错字别字，内容格式与单位要求的格式一致；制度内容应符合国家法律法规的规定，并不与单位相关制度发生冲突。第十一条 制度发布流程：（一）部门拟稿人拟稿，并由拟稿部门负责人确定是否需要其他部门确认，由拟稿部门负责人对发稿进行第一次审核，若审核不通过，拟

5、稿部门负责人需要出具修改建议，连同发稿一并退回给拟稿人修改；审核通过后，流程进入下一节点；部门负责人需在接到审核通知后一个工作日内给出相应的意见，否则流程进入下一节点；（二）若发稿需要相关部门确认，由需要确认部门的负责人对发稿进行第二次审核；若审核不通过，相关部门负责人需要出具修改建议，连同发稿一并退回给拟稿人修改；审核通过后，流程进入下一节点；相关部门负责人需在接到审核通知后一个工作日内给出相应的意见，否则流程进入下一节点；（三）各部门负责人进行会签，若会签不通过，相关部门负责人需要出具修改建议，连同发稿一并退回给拟稿人修改；会签通过后，流程进入下一节点；部门负责人需在接到审核通知后三个工作

6、日内给出相应的意见，否则流程进入下一节点；（四）信息安全主管对发稿进行审核，若审核不通过，需要出具修改建议，连同发稿一并退回给拟稿人修改；审核通过后，对制度进行发布；信息安全主管需在接到审核通知后三个工作日内给出相应的意见。第十二条 XX单位需定期对安全管理制度的合理性和适用性进行论证和审定，必要时可重新修订本安全管理制度。第六章 信息安全管理制度体系第十三条 信息安全管理制度体系是由三个层次组成的。第一部分是信息安全管理制度；第二部分是一系列安全管理办法和规定；第三部分是实施层面的安全指南、实施细则和记录表单等。第十四条 信息安全管理制度包含如下管理办法和规定：（一）人员安全管理办法（二）物

7、理及环境安全管理办法（三）信息系统安全建设管理办法（四）信息系统运行维护管理办法（五）计算机病毒防治管理办法（六）信息系统管理办法（七）信息安全审核检查管理办法（八）信息系统用户及密码管理办法（九）信息系统业务连续性管理办法第十五条 信息安全管理体系遵循动态管理和闭环管理的原则，通过定期的评估不断修改完善。第七章 人员安全管理第十六条 信息中心须对被录用人员所具有的技术技能进行考核；与被录用人员应签署保密协议；从事关键岗位的人员应从内部人员中选拔，并签署岗位安全协议。具体要求参见XX单位人员录用管理办法。第十七条 信息中心须做好人员离岗管理，执行严格的调离手续。具体要求参见XX单位人员离岗管理

8、办法。第十八条 信息中心定期组织各类人员进行安全意识教育、岗位技能培训和相关安全技术培训。对安全教育和培训的情况和结果进行记录并归档保存。具体要求参见XX单位人员安全教育和培训管理办法。第十九条 信息中心定期组织对各个岗位的人员进行安全技能及安全认知的考核；对关键岗位的人员进行全面、严格的安全审查和技能考核，对考核结果进行记录并保存。第二十条 信息中心制定安全责任和惩戒措施规定并告知相关人员，对违反违背安全策略和规定的人员进行惩戒。具体要求参见XX单位安全责任和惩戒措施管理办法。第二十一条 加强第三方人员安全管理，包括人身安全、系统安全、机房安全、弱电安全等，合理规范的统一安排工作。具体要求参

9、见XX单位第三方人员安全管理办法。第八章 物理及环境安全管理第二十二条 XX单位中心机房须实行值班制度，做好人员、设备的进出管理；做好机房场地环境监控。具体要求参见XX单位机房管理办法。第二十三条 加强办公环境的保密性管理，规范办公环境人员行为，做好外来人员的访问控制。具体要求参见XX单位办公环境安全管理办法。第九章 信息系统安全建设管理第二十四条 应严格分离开发系统和运行系统，程序员只能在开发系统上工作；运行主机不得用于项目开发，不得含有源程序、编译工具、连接工具等工具软件，不得使用与业务无关的任何存储介质。第二十五条 信息系统的安全建设要严格遵循信息化项目建设、安全需求分析、安全方案设计、

10、安全产品和服务采购、软件开发、工程实施、测试验收、系统交付、等级测评等环节安全要求。第二十六条 具体要求参见XX单位信息化建设项目管理制度、XX单位软件开发管理办法、XX单位软件外包管理办法、XX单位安全产品采购及使用管理办法。第十章 信息系统运行维护管理第二十七条 为保证信息系统运行和维护工作的顺利开展，信息中心必须合理配备人员，明确职责，责任到人。第二十八条 信息中心负责信息系统的日常管理以及安全控制工作，对系统运行过程中的突发事件或故障进行初步诊断，并调度、联络相关人员执行相应的维护任务。第二十九条 信息中心应定期组织对网络系统、应用系统的漏洞扫描工作，并对发现的系统安全漏洞及时进行修补

11、。第三十条 具体要求参见XX单位信息系统运行维护管理制度。第十一章 计算机病毒防范管理第三十一条 单位各部门应重视计算机病毒的防范工作，所有接入内部网络的计算机应安装防病毒工具软件，并每周检查防病毒软件病毒库更新情况，严禁私自安装未经安全审查的外来软件。具体要求参见XX单位计算机病毒防治管理办法。第十二章 信息系统管理第三十二条 要加强XX单位信息系统的管理和维护，根据网络安全等级保护的要求，单位系统及网络安全操作规范化、具体化、安全化、完整化。第三十三条 在线运行的信息系统禁止任何未正式批准的变更操作，包括安装相关的软件、修改配置、增加用户等。所有变更操作必须向信息中心领导申请，获得批准后方

12、可实施。有重大影响的变更需要得到领导核准，并及时通知所有用户。具体要求参见XX单位信息系统变更管理办法。第十三章 信息安全审核检查管理第三十四条 XX单位应定期组织全面安全检查，检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等，并对安全检查结果进行通报。第三十五条 信息中心应定期进行安全检查，检查内容包括用户账号情况、系统漏洞情况、数据备份等情况。第三十六条 应制定安全检查表格实施安全检查，汇总安全检查数据，形成安全检查报告，并对安全检查结果进行通报。第三十七条 具体要求参见XX单位安全检查管理办法。第十四章 用户及密码管理第三十八条 信息中心应加强信

13、息系统用户和密码的管理，包括用户和密码的设定、使用、废除管理。具体要求参见XX单位信息系统用户及密码管理办法。第十五章 业务连续性管理第三十九条 信息中心应识别需要定期备份的重要业务信息、系统数据及软件系统等，根据数据的重要性和数据对系统运行的影响，制定数据的备份策略和恢复策略对重要数据进行备份。应定期执行恢复程序，检查和测试备份介质的有效性。第四十条 信息中心应制定不同事件的应急预案。第四十一条 信息中心应协调在人力、设备、技术和财务等方面确保应急预案的执行有足够的资源保障。第四十二条 信息中心对信息系统相关的人员进行应急预案培训，并定期对应急预案进行演练。第四十三条 具体要求参见XX单位信

14、息系统业务连续性管理办法、XX单位网络安全事件应急预案。第十六章 沟通与合作第四十四条 信息中心应加强与国家安全机关、电信运营商和信息服务提供商等的联系，并建立协作流程，以便在出现安全事件时，尽快获取信息、采取措施。第四十五条 应加强XX单位内部管理人员之间、内部机构之间的合作与沟通，定期或不定期召开协调会议，共同协作处理信息安全问题。第四十六条 XX单位应聘请信息安全专家作为常年的安全顾问，指导信息安全建设，参与安全规划和安全评审等。第十七章 合规性管理第四十七条 信息中心每年至少进行一次全面风险评估。当系统发生变化应根据具体情况，进行部分或全面的风险评估。第四十八条 新建、改建、扩建信息系统工程项目，应当同步建设网络安全保障设施，应确定安全保护等级，进行系统定级工作，并与主体工程同时进行验收和投入运行。第四十九条 信息系统定级评审通过后三十日内向上级单位或公安机关进行备案，并提交相应的定级备案材料。第五十条 应当落实与信息系统级别相适应的安全防护措施，并定期进行等级评测。信息系统发生改变引起级别发生调整的，应当及时进行级别调整并进行安全改造。第五十一条 应选择具有国家相关技术资质和安全资质的测评单位进行等级测评。第十八章 附 则第五十二条 本制度由信息中心制定，并由其负责解释和维护管理。第五十三条 本制度自发布之日起施行。