2021年XXXX单位信息安全管理制度(等保2.0管理制度模板).docx
- 文档编号:30778834
- 上传时间:2023-08-25
- 格式:DOCX
- 页数:206
- 大小:1.08MB
2021年XXXX单位信息安全管理制度(等保2.0管理制度模板).docx
《2021年XXXX单位信息安全管理制度(等保2.0管理制度模板).docx》由会员分享,可在线阅读,更多相关《2021年XXXX单位信息安全管理制度(等保2.0管理制度模板).docx(206页珍藏版)》请在冰豆网上搜索。
XXXX单位
网络安全管理制度汇编
XXXX部门
2020年XX月XX日
文档说明
文档名称
文档管理编号
保密级别
文档版本号
发行部
发行日期
复审人
复审日期
扩散范围
扩散批准人
适用范围
本文档是XXXX单位为信息安全建设制定的安全管理制度汇编。
版本变更记录
修改内容
修改日期
版本
说明
修改人
2
目录
一.安全管理制度 7
(一)信息安全工作总体方针和安全策略 7
(二)机房操作人员日常操作规程 11
(三)管理制度变更及审批记录表 15
二.安全管理机构 17
(一)信息安全管理组织机构和人员职责管理办法 17
(二)安全审核和安全检查管理办法 21
(三)信息系统授权管理制度 35
(四)信息系统介质管理 38
三.人员安全管理 50
(一)人员管理规定 50
(二)信息安全教育和培训制度 50
(三)第三方人员安全管理 54
(四)外来人员进出管理 56
(五)信息安全奖惩制度 59
(六)员工培训考核记录表 63
5、考核结果只填写合格或不合格。
65
四.系统建设管理 66
(一)工程实施过程管理制度 66
(二)信息化项目管理办法 69
(三)软件开发管理制度 73
五.系统运维管理 76
(一)机房管理制度 76
(二)办公环境管理规定 82
(三)信息系统安全操作规定 86
(四)操作系统安全配置指南 95
(五)信息系统介质安全管理制度 99
(六)信息系统账户安全管理办法 109
(七)信息系统软硬件设备管理制度 113
(八)信息资产的分类和标识管理办法 119
(九)信息系统网络安全管理制度 123
(十)防病毒管理办法 126
(十一)内网邮件安全 128
(十二)信息系统变更管理制度 132
(十三)数据备份与恢复制度 136
(十四)信息安全事件管理制度 145
(十五)应急预案管理 150
(十六)外包运维管理制度 154
六、记录文件 155
(一) 管理制度下发审批记录表 155
(二) 管理制度变更及审批记录表 155
(三) 制度下发登记表 156
(四) 审批事项变更记录 158
(五) 会议纪要 158
(六) 外联单位联系列表 159
(七) 日常安全检查记录表(部门信息安全员) 161
(八) 年度安全检查记录表 163
(九) 机房检查记录表 165
(十) XXXX单位员工保密协议书 168
(十一) 考核成绩登记表 172
(十二) 人员培训记录报告表 174
(十三) 年度培训及考核计划表 176
(十四) 采购申请表 177
(十五) 候选产品名单 179
(十六) 信息资产安全分类以及存放形式例表 181
(十七) 介质存放登记表 183
(十八) 介质/设备作废登记表 184
(十九) 机房设备/介质维修申请 185
(二十) 设备进出登记表 186
(二十一) 设备借用∕领用申请表 187
(二十二) 网络运维检查表 187
(二十三) 网络/设备接入申请表 189
(二十四) 恶意代码库升级记录 190
(二十五) 系统变更申请表 191
(二十六) 系统变更验收报告 192
(二十七) 应急预案演练记录 194
(二十八) 备份数据恢复申请表 195
(二十九) 数据备份登记表 198
(三十) 信息安全事态报告单 199
(三十一) 应急预案培训签到表 200
(三十二) 操作系统账户/数据库系统账户授权审批表 201
(三十三) 外单位人员操作系统账户/数据库系统授权审批表 202
(三十四) 系统运行故障记录 203
(三十五) 日常监控和报警记录及分析 204
一.安全管理制度
(一)信息安全工作总体方针和安全策略
一、总体目标
为满足业务运行要求,遵守行业规程,实施等级保护及风险管理,确保信息安全以及实现持续改进的目的等内容作为本单位信息安全工作的总体方针。
以信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断为总体目标。
二、范围
本文件适用于XXXX单位XXXX部门信息安全整体工作。
在全单位范围内给予执行,由XXXX单位对该项工作的落实和执行进行监督,全单位配合XXXX单位对本文件的有效性进行持续改进。
三、原则
以谁主管谁负责为原则(或者采用其他原则例如:
“整体保护原则”、“适度保护的等级化原则”、“分域保护原则”、“动态保护原则”、“多级保护原则”、“深度保护原则”和“信息流向原则”等)。
四、安全框架
建立一套关于物理、主机、网络、应用、数据、安全管理中心、建设和管理等六个方面的安全需求、控制措施及执行程序,并在关联制度文档中定义出相关的安全角色,并对其赋予管理职责。
“以人为本”,通过对信息安全工作人员的安全意识培训等方法不断加强系统分布的合理性和有效性。
1.物理方面
依据实际情况建立机房管理制度,明确机房的出入管理办法,机房介质存放方式,机房设备维护周期及维护方式,机房设备信息保密要求,机房温湿度控制方式等等环境要求。
通过明确机房责任人、建立机房管理相关办法、对维护和出入等过程建立记录等方式对机房安全进行保护。
2.网络方面
从技术角度实现网络的合理分布、网络设备的实施监控、网络访问策略的统一规划、网络安全扫描以及对网络配置文件等必要信息进行定期(如每周)备份。
从管理角度明确网络各个区域的安全责任人,建立网络维护方面相关操作办法并由XXXX单位监督执行,确保各信息系统网络运行情况稳定、可靠、正常的运行。
3.主机方面
要求各类主机操作系统和数据库系统在满足各类业务系统的正常运行条件下,建立系统访问控制办法、划分系统使用权限、安装恶意代码防范软件并对恶意代码的检查过程进行记录。
明确各类主机的责任人,对主机关键信息进行定期备份。
4.应用方面
从技术角度实现应用系统的操作可控、访问可控、通信可控。
从管理角度实现各类控制办法的有效执行,建立完善的维护操作规程以及明确定期备份内容。
5.数据方面
对本部门的各类业务数据、设备配置信息、总体规划信息等等关键数据建立维护办法,并由XXXX单位监督、执行。
通过汇报或存储方式实现关键数据的安全传输、存储和使用。
6.建设和管理方面
6.1信息安全管理机制
成立信息安全管理主要机构或部门,设立安全主管等主要安全角色,依据信息安全等级保护XX级标准(要求),建立信息系统的整体管理办法。
6.2信息安全管理组织
分别建立安全管理岗位和机构的职责文件,对机构和人员的职责进行明确。
建立信息发布、变更、审批等流程和制度类文件,增强制度的有效性。
建立安全审核和检查的相关制度及报告方式。
6.3人员安全管理要求
对人员的录用、离岗、考核、培训、安全意识教育等方面应通过制度和操作程序进行明确,并形成记录文件。
6.4信息安全等级保护工作及风险评估要求
定期对已备案的信息系统进行等级保护测评,以保证信息系统运行风险维持在较低水平,不断增强系统的稳定性和安全性。
6.5报告安全事件要求
对突发安全事件建立应急预案管理制度和相关操作办法,并定期组织人员进行演练,以保证信息系统在面临突发事件时能够在较短时间内恢复正常的使用。
6.6业务持续性要求
根据对系统的等级测评、风险评估等间接问题挖掘,及时改进信息系统的各类弊端,包括业务弊端,应建立相关改进措施或改进办法,以保证对信息系统的业务持续性要求。
6.7违反信息安全要求的惩罚
建立惩处办法,对违反信息安全总体方针、安全策略的、程序流程和管理措施的人员,依照问题的严重性进行惩罚。
7.安全管理中心
安全管理中心是对网络安全等级保护对象的安全策略和安全计算环境、安全区域边界和安全通信网络上的安全机制实施统一管理的平台或区域,是网络安全等级保护对象安全防御体系的重要组成部分。
建立管理办法从系统管理、安全管理、审计管理等方面进行要求。
五、制度与发布
XX岗位应根据信息安全人员与各部门负责人,了解各部门的安全管理制度现状,结合单位管理需求,提出相应的管理制度起草需求或计划,确定后,由XX岗位审批。
批准后组织XXXX单位部门进行制度的编制,所有相关文档需遵循单位规定的统一格式,编制完成后提交XX岗位论证和审定。
XX岗位负责对开发流程进行监督指导,以保证开发质量和进度,文档编制完成后,由XX岗位内部审批,评审须有书面记录。
评审要点包括:
1.文档可行性、可操作性;
2.文档内部逻辑性,与相关文件匹配性;
3.文档现行状态(版本、编号);
4.文字校对;
根据评审结果,对文档进行修订,如初审时问题较大,修订后再次组织评审。
全局性基础性制度由XXXX单位部门工作起草,XX岗位审核,单位领导批准后由管理服务中心负责发布,确保相关部门得到最新的有效版本,并有签收记录。
六、评审和修订
XX岗位应定期(如每年一次)组织相关部门和人员对安全管理制度进行评审,并留存评审记录,对存在不足或需要改进的安全管理制度进行修订并保留修订记录,在安全时间发生或执行过程中问题积累到一定程度时,XXXX单位部门应该组织相关部门和人员对安全管理制度进行升级。
七、相关文件
《机房安全管理制度》
《操作人员日常操作规程》
七、附则
本文件由XXXX单位负责解释并督促执行
本办法自印发之日起执行
(二)机房操作人员日常操作规程
一、目的
本制度用于机房内部,作为机房工作人员的日常行为规范
二、内容
机房工作人员应严格遵守各项规章制度,工作人员进入机房须严格按要求履行门禁审批、登记手续。
机房内物品须放在指定位置,通道、路口、设备前后和窗口附近,均不得堆放物品和杂物、严禁带入和存放易燃、易爆、易碎、易污染和强磁物品。
机房内严禁吸烟、喝水和吃零食,不准大声喧哗。
值班人员应熟悉各项业务和掌握各类故障的应急操作步骤,未经培训考核及格的人员,不得单独承担值班工作。
值班人员严禁从事与工作无关的事情,严禁在终端和PC机上运行游戏程序及其它与工作无关的程序。
不得擅离工作岗位。
值班人员在值班期间要坚守岗位,不能擅离职守。
应按时完成维护作业计划,填写值班日志,并协助设备维护人员完成现场维护工作。
值班人员应按规定项目定时巡视设备运行情况、各种告警显示。
保持设备和电路运行良好,保持室内环境干净整齐,保持机房电源、温湿度等符合要求,保证机房安全,发现异常及时作相应处理并填写《运维检查记录表》(见附件一)。
无法独立解决的应及时通知相关人员,跟踪处理的各个环节并协助处理。
对于严重的故障应按照故障上报流程立即上报。
值班人员负责机房安全、保密工作;作好机房出入人员的登记工作,及时认真填写好值班日志及各种规定的记录,对系统工作及机房环境等进行详细、正确的记录,做到字迹清晰、内容完整、描述清楚。
机房值班人员负责定时进行巡检,并填写《运维检查记录表》,见附件一。
保持机房内各种资料和记录的完好,各种图纸、资料、文件、工具、仪表未经允许不准擅自带出机房,使用后归还原处。
交接班必须准时、认真,接班人员应提前10分钟进入机房等待接班,查阅相关记录,做好交接准备。
交接班内容:
设备运行状况;维护作业执行情况;故障处理情况;外来人员进入机房情况;上级指示以及需要由接班人继续处理的问题。
交接方法:
交接班人员将交接内容检查核实确认无误,双方在值班日志签字后正式交接班。
交接班过程中发生故障或事故,应暂停交接,以交班人员为主负责处理,接班人协助共同处理,直至障碍或事故消除或处理告一段落后再继续交接。
交接班中因漏交或错交产生的差错,由交班人员承担责任,接班后发现的差错事故由接班人负责。
三、附则
本办法由XXXX单位负责解释和修订
本文件自印发之日起施行
四、附件
附件一:
《运维检查记录表》
12
附件一:
运维检查记录表
检查分类
检查对像
检查内容
检查结果
备注
硬件部分
服务器部分
数据库服务器
检查通道检测卡上各部件工作状态
检查服务器前面板上各硬盘的工作状态
检查服务器是否有异常声音
应用服务器
检查通道检测卡上各部件工作状态
检查服务器前面板上各硬盘的工作状态
检查服务器是否有异常声音
网络交换机部分
网络交换机
检查核心交换机连接指示灯是否正常
检查核心交换机电源是否正常
检查核心交换机工作是否正常
网络安全部分
网络防火墙
检查网络防火墙各连接端口是否正常
检查网络防火墙电源是否正常
路由器
检查路由器各连接端口是否正常
检查路由器电源是否正常
入侵检测设备
检查入侵检测设备连接端口是否正常
检查入侵检测设备电源是否正常
PC部分
检查PC启动、关闭是否正常
检查管理PC网络是否正常
检查管理PC是否有异常声音
软件部分
操作系统部分
查看系统日志,检查系统是否有异常
打开任务管理器,检查CPU、内存、网络是否有异常
打开设备管理器,检查是否有异常设备
打开磁盘管理器,检查磁盘联接是否正常,磁盘使用空间是否正常
使用Ping命令,检查网络是否正常
清理垃圾文件
数据库部分
使用SQLServerManagementStudio进入资源管理器,查看SQLServer日志和错误日志
检查是否有异常登录名
使用Windows资料管理器,查看SQLServer进程的资源使用情况
备份部分
使用SQLServerManagementStudio进入资源管理器,对现运行的数据库进行备份保存
使用SQLServerManagementStudio进入资源管理器,对现运行的数据库进行备份计划,暂定每周2凌晨自动执行数据备份保存
安全防御部分
进入防火墙配置管理界面,查看防火墙状态,检查防火墙策略,是否有异常变动
登录防火墙入侵检测设备(IDS)控制台,查看日志信息,判断是否有异常攻击
依次对每台服务器和PC机安装最新的系统补丁文件
依次检查每台服务器和PC机病毒软件的病毒库更新情况、运行情况;并进行全盘杀毒
机电部分
线路部分
检查所有设备供电是否正常
检查插排供电是否正常;有无破损
检查网线接头有无松动;有无破损;通信是否正常
检查光纤通信有无松动;有无破损;是否正常
电压部分
检查所有设备的电压是否正常
环境部分
对机房所有设备的除尘、清洁
物理部分
检查消防设施功能是否正常
检查防盗设施功能是否正常
检查防水设施功能是否正常
检查防雷设施功能是否正常
检查带电设备接地保护是否正常
(三)管理制度变更及审批记录表
管理制度变更及审批记录表
制度名称
负责部门
变更后名称
变更日期
变更原因:
变更内容:
处室领导意见:
签字:
主管领导意见:
签字:
相关部门沟通确认
单位或部门
签字
单位或部门
签字
二.安全管理机构
(一)信息安全管理组织机构和人员职责管理办法
一、总则
为加强XXXX单位信息安全管理工作,保障网络与信息系统的正常运行,依据有关法律、法规及信息安全标准,特制定本办法。
本办法适用于XXXX单位的信息安全组织机构和人员职责的管理。
二、信息安全领导小组
成立网络安全管理工作的职能部门为XXXX部门,成立信息安全领导小组,其最高领导为单位主要领导兼任。
领导小组是信息安全的最高决策机构,负责信息安全领导小组的日常事务。
信息安全领导小组下设两个工作组:
信息安全工作组
应急处理工作组
信息安全领导小组的职责主要包括:
根据国家和行业有关信息安全的政策、法律和法规,批准单位信息安全总体策略规划、安全管理制度体系建设、管理规范和技术标准;
确定单位信息安全各有关部门工作职责,指导、监督信息安全工作。
1.信息安全工作组
信息安全工作组组长由XXXX单位的负责人担任。
信息安全工作组的主要职责包括:
贯彻执行单位信息安全领导小组的决议,协调和规范单位信息安全工作;
根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落实;
定期组织对信息安全工作制度和技术操作策略进行审查,根据审查结果对信息安全工作制度进行修订,并拟订信息安全总体策略规划,并监督执行;
负责协调、督促各职能部门的信息安全工作,参与信息系统工程建设中的安全规划,监督安全措施的执行;
组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全风险的防范对策;
负责接受各部门的紧急信息安全事件报告,组织进行事件调查,分析原因、涉及范围,并评估安全事件的严重程度,提出信息安全事件防范措施;
及时向信息安全工作领导小组和上级有关部门报告信息安全事件;
跟踪先进的信息安全技术,组织信息安全知识的培训和宣传工作。
2.应急处理工作组
应急处理工作组组长由XXXX单位的主要负责人担任。
应急处理工作组的主要职责包括:
审定单位网络与信息系统的安全应急策略及应急预案;
决定相应应急预案的启动,负责现场指挥,并组织相关人员排除故障,恢复系统;
每年组织对信息安全应急策略和应急预案进行培训和演练。
三、信息安全管理员管理
信息安全管理员应当政治可靠、业务素质高、遵纪守法、恪尽职守。
信息安全管理员应有计算机专业工作三年以上经历,具备专科以上学历。
信息安全管理员的配备和变更情况,应向上一级单位报告、备案。
违反国家法律、法规和行业规章受到处罚的人员,不得从事信息安全管理与技术工作。
信息安全管理员的配备和变更情况,应向上一级单位报告、备案。
信息安全人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务。
四、信息安全管理员工作职责
负责信息安全管理的日常工作,实行多人共同管理制;
开展信息安全检查工作,对关键岗位人员安全工作进行指导和监督;
负责维护和审查有关安全审计记录,及时发现存在问题,提出安全风险防范对策;
开展信息安全知识的培训和宣传工作;
监控信息安全总体状况,提出信息安全分析报告;
及时向信息安全工作领导小组和单位报告信息安全事件。
信息安全管理员发现本单位重大信息安全隐患,有权向上级机构信息安全主管部门报告。
信息安全管理员发现信息系统关键岗位人员使用不当,应及时建议部门进行调整。
信息安全管理员必须严格遵守国家有关法律、法规和单位有关规章制度,严守单位商业秘密。
五、关键岗位人员管理
信息系统关键岗位人员,是指与重要信息系统直接相关的安全管理人员、网络管理人员、系统管理人员、审计管理员等岗位人员;
重要信息系统,是指涉及生产、建设与经营、管理等核心业务且有保密要求的信息系统;
关键岗位人员上岗前必须经单位人事部门进行政治素质审查,技术部门进行业务技能考核,工作经历和工作经验考查等,合格者方可上岗。
关键岗位人员有责任保护信息系统的秘密,并以签署保密协议的方式作出安全承诺;
关键岗位人员上岗必须实行“权限分散、不得交叉覆盖”的原则。
系统管理人员、网络管理人员、系统开发人员、系统维护人员不得兼任业务操作员;系统开发人员原则上不应兼任系统管理员;
对关键岗位人员应实行定期考查制度,关键岗位人员应定接受安全培训,加强自身安全意识和风险防范意识;
关键岗位人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务;涉及单位业务保密信息的关键岗位人员调离单位,必须进行离岗审计,在规定的脱密期后,方可调离;
关键岗位人员离岗后,必须即刻更换操作密码或注销用户。
1.安全管理员责任
负责系统的运行管理,实施系统安全运行细则;
严格用户权限管理,维护系统安全正常运行;
认真记录系统安全事项,及时向信息安全管理员报告安全事件;
对进行系统操作的其他人员予以安全监督;
安全管理员不可兼任系统内其他关键岗位;
2.网络管理员责任
负责网络的运行管理,实施网络安全策略和安全运行细则;
安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运行;
监控网络关键设备、网络端口、网络物理线路,防范黑客入侵,及时向信息安全人员报告安全事件;
对操作网络管理功能的其他人员进行安全监督;
3.系统管理员安全责任
负责系统维护,及时解除系统故障,确保系统正常运行;
不得擅自改变系统功能;
不得安装与系统无关的其他计算机程序;
维护过程中,发现安全漏洞应及时报告信息安全管理员;
4、审计管理员安全责任
监督信息部门对各项信息安全规章制度的执行,并对关键信息文件进行备份,及时查处安全隐患;
负责对整个信息系统进行安全审计,对安全管理员做的安全评估报告进行审计;
协助安全管理员制定网络设备安全配置规则,并监督落实执行;
负责做好有关审计资料的原始调查的收集、整理、建档工作,按规定保守秘密和保护当事人合法权益;
在安全审计过程中,详细记载系统发生异常时的现象、时间和处理方式,并及时上报;
负责对所有涉及额审计事项,编写内部审计报告,及时报主管领导审核,并提出处理意见和建议;
负责参与网络安全事故的调查,对于由于安全审计员工作疏忽或事物而产生的安全事故,应追究其相应责任。
六、附则
本文件由XXXX单位负责解释并督促执行
本办法自印发之日起执行
(二)安全审核和安全检查管理办法
一、总则
为加强XXXX单位的安全审核和安全检查管理,规范审核和检查工作,特制订本办法。
本办法适用于XXXX单位。
二、管理要求
内部或外部相关的安全审核和安全检查工作应根据相关办法,并结合业务实际需求进行。
信息安全领导小组应监督、指导安全审核和安全检查工作,督促执行。
相关部门和人员应积极主动配合安全审核和检查工作,对发现的问题应及时改进。
三、工作内容
各部门信息安全员应定期(每月)针对本部门信息安全相关工作进行安全检查,并报信息安全工作组审核检查结果,并根据信息安全工作组提出的安全建议进行改进。
安全管理员应定期(每季度)组织进行安全检查,检查内容应包括但不限于系统日常运行、系统漏洞和数据备份等情况;各部门信息安全员应配合完成。
安全审计员应定期(每季度)进行安全审查,各部门信息安全员和中心安全管理员应配合完成。
信息安全工作组应制定安全检查表格,配合信息安全领导小组实施安全检查,记录汇总安全检查数据,形成安全检查报告,并对安全检查结果进行通报。
信息安全领导小组定期(每年)进行全面的信息安全检查,其内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。
所有信息安全审核和安全检查工作都应记录并存档。
四、附则
本办法由XXXX单位制定,并负责解释和修订。
本办法自发布之日起执行。
21
附件1:
应用系统安全检查记录表(部门信息安全员)
检查项目
标准
日期
1
2
3
4
5
6
7
8
9
10
11
12
13
…
…
…
…
…
…
系统版本
软件更新
系统的软件更新和补丁安装是否正常
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 2021 XXXX 单位 信息 安全管理 制度 2.0 管理制度 模板