1、2.8 机房安全管理制度562.9 办公计算机安全管理制度602.10 资产管理制度642.11 介质管理制度682.12 恶意代码防范管理制度732.13 用户账号/密码管理制度762.14 变更管理制度792.15 网络安全管理制度832.16 系统安全管理制度872.17 数据备份与恢复管理制度922.18 信息安全事件处置管理制度952.19 应急预案管理制度1042.20 安全监控及审计管理制度1113 安全管理记录表单汇编1153.1 会议记录1153.2 信息安全管理体系评审与修订记录表1163.3 文件记录一览表1173.4 文件记录查阅/借阅管理表1183.5 文件记录作废管
2、理表1193.6 信息安全领导小组成员列表1203.7 安全岗位职责分配表1213.8 外联单位联系表1223.9 人员录用申请表1233.10 人员离岗申请表1253.11 员工岗位调动申请表1263.12 保密协议1273.13 系统接入申请审批表1283.14 第三方人员机房工作内容记录表1293.15 安全培训记录表1303.16 机房人员出入登记表1313.17 资产(设备)故障报告单1333.18 资产(设备)作废登记表1343.19 机房日常安全检查记录表1353.20 机房专项安全检查记录表1363.21 信息资产清单1373.22 信息资产使用申请表1383.23 存储介质出
3、/入库登记表1403.24 补丁和病毒库升级记录表1413.25 系统管理员用户角色分配表1423.26 信息系统管理账号登记表1433.27 信息资产作废记录表1443.28 用户账号/密码检查记录表1453.29 变更申请表1473.30 数据备份登记表1493.31 信息安全事件分析和处置记录1503.32 应急预案演练记录1511.3 管理文件字体字号说明页别文字内容字号与字体单位名称黑体小初(加粗)文件名称黑体小一(加粗)封面 发布日期,实施日期宋体五号(加粗) 编制、审核、批准宋体小四(加粗) 文件编号、版本号、分发号、受控状态 宋体小三(加粗)目录目录宋体五号文件名称黑体小初(加
4、粗)单位名称宋体(加粗)文件首页正文图题、表题、表中文字宋体五号正文宋体小四章黑体三号(加粗)节黑体四号(加粗)条编号宋体小四图题、表题、表中文字宋体五号页码宋体小五1.4 管理文件清单说明序号文件名称文件等级文件主要内容文件对应记录表单第一部分:总体方针策略信息安全工作总体方针,为纲领性文件,概要说明机构安全工作的总体目1信息安全工作总体方针一级2信息安全管理制度体系文件管理办法二级3信息安全管理体系职责一级4人员安全管理制度二级标、范围、原则和安全框架等。文件规范了体系文件的编制与修订职责、分类、编号、字体字号、编制、 审核、批准、发布、保管管理、借阅和复制、修订、作废和评审的要求; 规范
5、了记录表单的编号、编制、监督与检查、存储保管、查阅与借阅、作 废等要求;规范了信息安全管理体系管理评审活动程序,明确管理评审的 目的和作用,确认管理评审的输入材料和输出材料。第二部分:机构和人员安全管理本文件对信息安全管理机构及人员责任给予定义,通过清晰的责任界定以保证信息安全方针得到有效的贯彻,保障信息安全管理活动的有序进行; 包含安全管理机构(信息安全领导小组、安全管理机构职责、机构部门设 置)、安全岗位职责(信息安全主管、安全管理负责人、物理安全负责人、 网络安全负责人等)、授权与审批、沟通与合作、审核与检查等要求;本文件规范了单位从人员录用、人员离岗、人员岗位调动、人员考核、人 员惩戒
6、、人员安全意识教育与技能培训、第三方人员访问的安全管理、第 三方人员安全保密管理、第三方人员安全操作管理的要求。会议记录信息安全管理体系评审与修订记录表文件记录一览表文件记录查阅借阅管理表文件记录作废管理表信息安全领导小组成员列表安全岗位职责分配表外联单位联系表人员录用申请表人员离岗申请表人员岗位调动申请表保密协议系统接入申请审批表5安全培训与考核管理制度二级6信息系统建设管理制度二级7软件开发和实施安全管理制度二级8机房安全管理制度二级9办公计算机安全管理制度二级10资产管理制度二级11介质管理制度二级本文件规范了信息安全培训的要求、培训的内容、培训的管理(发起和实 施)等要求。第三部分:系
7、统建设管理本文件规范了信息系统建设的整个生命周期,分别从工程实施建设前、建 设过程及建设完毕交付等三方面做出规定,具体包括:系统定级、安全方 案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测 试验收、系统交付、系统备案、等级测评和安全服务商选择等方面的管理要求。本文件规范了自行软件开发安全管理、外包软件开发安全管理、工程实施 安全管理等方面要求。第四部分:系统运维管理本文件规范了机房安全管理要求,包括机房环境安全管理、设备安全管理、 机房出入管理、机房保密管理、施工管理、安全检查等方面的要求。本文件规范了办公PC 信息安全基本要求、使用网络相关规定、监督与检查等方面的要求。本文
8、件规定了信息系统资产管理的责任部门,并规范资产的识别、赋值、 管理、以及笔记本管理、存储介质管理、数据资产管理、资产(设备)维护与报废等方面要求。本文件规范了各类介质的存放、使用、归还、维护、运输(带出)、报废 等方面要求。第三方人员机房工作内容记录表安全培训记录表机房人员出入登记表资产(设备)故障报告单资产(设备)作废记录表机房设备日常安全检查记录表机房设备专项安全检查记录表信息资产清单信息资产使用申请表存储介质出/入库登记表信息资产作废记录表本文件规范了恶意代码管理的总体要求,包括安全策略、安全管理、安全报告、病毒响应等要求。补丁和病毒库升级记录表系统管理员用户角色分配表本文件规范了账号密
9、码管理的职责、账号安全、密码安全、权限安全、登信息系统管理账号登记表记管理、安全检查、以及账号申请与审批等要求。用户账号/密码检查记录表变更申请表16 系统安全管理制度二级本文件规范变更的定义、流程、过程职责等要求。本文件规范网络设备维护管理、安全设备维护管理、网络与安全设备运行 管理、网络漏洞管理、备份与恢复等方面要求。本文件规范服务器的操作系统基本配置管理、网络服务配置管理、补丁与 漏洞扫描管理、日志管理、增强性安全配置管理、业务连续性管理等方面20 安全监控及审计管理制度广域网线路中断、局域网线路中断、设备安全、关键人员不在岗、等方面紧急处置措施等要求。本文件规范安全监控及审计管理、安全
10、监控及审计内容以及相关分析等要 求。12 恶意代码防范管理制度13 帐户与密码管理制度14 变更管理制度15 网络安全管理制度17 数据备份与恢复管理制度本文件规范数据备份的职责分工、数据备份与恢复管理方面的要求。数据备份登记表18 信息安全事件处置管理制度本文件规范事件定义、分级、分类、发现、处理、上报与总结等要求。信息安全事件分析和处置记录本文件规范应急预案组织与职责、应急预案制定、应急预案启动、应急措施、以及网站方面、黑客攻击、病毒安全、软件系统遭破坏、数据库方面、19 应急预案管理制度二级应急预案演练记录1.5 信息安全管理体系制度清单序号文件编号文件名称文件等级文件主要内容信息安全工
11、作总体方针,为纲领性文件,概要说明机构安全工作的总体目标、范围、原则1QYFY-ISMS-L1-FZ-2014信息安全工作总体方针一级2QYFY-ISMS-L2-ZD-GL-2014 信息安全管理制度体系文件管理办法二级和安全框架等。文件规范了体系文件的编制与修订职责、分类、编号、字体字号、编制、审核、批准、 发布、保管管理、借阅和复制、修订、作废和评审的要求;规范了记录表单的编号、编 制、监督与检查、存储保管、查阅与借阅、作废等要求;规范了信息安全管理体系管理 评审活动程序,明确管理评审的目的和作用,确认管理评审的输入材料和输出材料。本文件对信息安全管理机构及人员责任给予定义,通过清晰的责任
12、界定以保证信息安全 方针得到有效的贯彻,保障信息安全管理活动的有序进行;包含安全管理机构(信息安3QYFY-ISMS-L1-ZZ-2014信息安全管理体系职责一级4QYFY-ISMS-L2-ZD-RY-2014人员安全管理制度二级全领导小组、安全管理机构职责、机构部门设置)、安全岗位职责(信息安全主管、安 全管理负责人、物理安全负责人、网络安全负责人等)、授权与审批、沟通与合作、审核与检查等要求;本文件规范了单位从人员录用、人员离岗、人员岗位调动、人员考核、人员惩戒、人员 安全意识教育与技能培训、第三方人员访问的安全管理、第三方人员安全保密管理、第三方人员安全操作管理的要求。5QYFY-ISMS-L2-ZD-PX-2014安全培训与考核管理制度二级本文件规范了信息
