单位安全管理制度汇编

单位安全理制度汇编
目录
前言 6
信息安全保障体系总体方针安全策略 1
1 总 1
2 总体方针 1
3 网络信息安全基概念 1
4 网络信息安全重性普遍性 2
5 网络信息安全保障体系安全策略 2
6 安全需求源 3
7 安全风险评估 4
8 安全措施选择原 5
9 安全工作起点 5
10 关键性成功素 5
11 安全策略综述 6
二文件（制度）控制程序 10
1 术语定义 10
2 信息安全组织机构 10
3 职责 11
4 文件编制 11
5 文件批准发布 11
6 文件发放 11
7 文件档 12
8 文件作废销毁 12
9 文件评审理 12
三安全检查理制度 14
1 总 14
2 检查容 14
3 形式方法 15
4 组织实施 15
5 程序求 16
四工作职责岗位说明书 19
1 信息安全领导组工作职责： 19
2 信息系统安全组工作职责： 19
3 组员工作职责： 19
31 安全理员职责 19
32 机房理员职责 21
33 网络理员职责 21
34 机理员职责 22
35 应理员职责 23
4 关键岗位职责 24
五授权审批理制度 29
六外部员访问理制度 37
1 总 37
2 外部员访问 37
3 外部员访问授权 37
七安全培训教育策略 38
1 总 38
2 安全求 39
21 安全培训体系求 39
22 信息安全意识教育 39
23 信息安全技术培训 39
24 信息安全专家建议 40
八机房安全理制度 41
1 总 41
2 机房出入理 41
3 机房环境理 41
4 机房介质理 41
5 机房服务器理 42
6 机房布线理 43
7 机房网络设备理 43
8 机房巡视理： 43
9 机房进出设备理 43
10 违规处理 44
九资产安全理制度 47
1 资产分类方法 47
2 资产标识 48
3 资产分级 49
4 资产理 50
十介质安全理制度 51
1 总 51
2 介质购置 51
3 介质维护理 51
4 介质定期检查 52
5 介质维修 52
6 介质报废 52
十设备安全理制度 55
1 总 55
2 设备购置 55
3 设备 56
4 设备理 56
5 设备报废 56
十二软件项目外包理办法 57
1 总 57
2 理职责 58
3 总体理 59
4 项目立项 59
5 外包商选择 59
6 方案设计 60
7 开发程理 60
8 验收 61
9 正式运行 62
10 培训售服务 62
11 附 62
十三应软件系统开发维护理规定 64
1 总 64
2 理职责 64
3 审批程序 64
4 软件开发 65
5 项目线理 66
6 项目维护变更 66
7 开发维护工作流程 67
8 附 68
十四网络安全分项策略 73
总 73
二安全求 73
21 网络安全运行维护策略 73
22 网络安全变更策略 75
23 网络设备安全配置理策略 77
十五系统安全理制度 82
1 总 82
2 安全求 82
21 系统安全规划策略 82
22 系统运行维护安全策略 83
23 系统变更安全策略 87
24 操作系统安全配置策略 88
十六信息系统变更理规定 92
1 总 92
2 变更申请 92
3 变更评估 92
4 变更实施 92
5 变更档 93
十七信息系统硬件设备维护理制度 98
1 总 98
2 机房硬件设备维护 98
3 机房外设备维护 100
十八数备份恢复理制度 102
1 总 102
2 数备份 102
3 数恢复 103
4 备份数转储 103
十九恶意代码防范理制度 105
1 总 105
2 安全求 105
二十信息系统应急预案 107
1 总 107
11 目 107
12 工作原 107
2 应急工作组机构职责 108
3 预警预防机制 110
31 信息监测报告 110
32 预警 110
33 预警支持系统 110
34 预防机制 110
4 应急处理程序 111
41 信息系统突发事件分类分级说明 111
42 信息系统应急预案启动 111
43 现场应急处理 112
5 保障措施 113
51 应急演练 113
52 员培训 113
53 硬件资源保障 113
54 文档资料准备 113
55 技术支持保障 114
56 公众信息交流 114
6 信息系统安全防范措施 114
61 建立健全信息系统职责体系规章制度 114
62 明确信息安全等级信息安全保护等级 115
63 网络安全防范 115
64 病毒安全防范 116
65 软件系统安全防范 116
66 数安全防范 116
67 设备安全防范 116
68 机房安全防范 116
7 分类突发事件应急处理措施 117
71 黑客攻击时紧急处置措施 117
72 病毒安全紧急处置措施 117
73 软件系统遭破坏性攻击紧急处置措施 118
74 数库安全紧急处置措施 118
75 公司域网中断紧急处置措施 118
76 设备安全紧急处置措施 119
77 员疏散机房灭火预案 119
78 供电中断设备运行预案 119
79 关键员岗紧急处置措施 120
8 附 120

前言

汇编XXX部门提出口
汇编起草部门：XXX部门
汇编起草：

文档信息
文档名称
XXX单位安全理制度汇编
文档编号

受控状态
受控文件
扩散范围
部
制作

制作日期

复审

复审日期

修订历史记录
版
日期
说明
修订
10

创建文件

信息安全保障体系总体方针安全策略
1 总
制度适XXX单位范围信息系统资产信息技术员安全理指导
策略适指导XXX单位信息系统具体安全策略制定安全方案规划安全建设实施
2 总体方针
XXX单位必须贯彻积极预防时发现快速反应确保恢复方针做信息安全工作
3 网络信息安全基概念
网络信息安全包括列三基属性：
Ø 机密性（Confientiality）：确保网络设施信息资源允许授权员访问根信息重性保密求分密级具时效性
Ø 完整性（Integrity）：确保网络设施信息处理准确性完整性
Ø 性（Availability）：确保授权户够需时获取网络信息资产
需特指出网络安全信息安全（包括限容安全）体分割
4 网络信息安全重性普遍性
网络信息资产具缺重价值企业国家保证安全性十分重
网络信息安全工作XXX单位信息化发展基础核心保证网络品质基础保障户利益基础网络信息安全工作分散部门岗位甚合作伙伴时网络信息安全XXX单位员工分担责员工天日常工作息息相关员工必须统思想提高认识高度重视开始坚持懈做网络信息安全工作
5 网络信息安全保障体系安全策略

XXX单位信息安全保障体系四部分三层面组成部分安全策略（第层）第二部分理制度技术手段（第二层）部分运维实施层面工作流程（第三层）
信息安全保障体系安全策略位安全体系第层整安全体系高纲领阐述安全必性基原宏观策略安全策略信息安全保障体系核心信息安全理工作技术工作运维工作目标
安全体系第二层系列技术措施理规定安全策略分解进步阐述侧重性问题操作实施理考核提出具体求安全工作具实际指导作
安全体系第三层操作层面根第层第二层求结合具体网络应环境制订具体实施细流程等具备直观操作性
安全体系包含实施层面工作流程结合安全策略进行具体实施检查考核时遵循动态理闭环理原通定期评估断修改完善
安全策略XXX单位部指导网络信息资产进行理保护分配规指示XXX部门必须制订实施统网络信息安全策略明确安全理方目标范围安全策略必须理层批准支持安全策略应定期评审修订确保持续适宜性特组织结构技术基础改变出现新漏洞威胁发生重安全事件时
XXX单位安全策略总体方针分项策略组成具分层结构完整体系包含宏观微观原方具体
措施等方面容安全策略指导全网网络信息安全工作
6 安全需求源
确立安全需求建立完整安全体系首工作XXX单位安全需求源述三方面：
Ø 系统化安全评估结合验教训技术发展通安全评估分析XXX单位网络信息资产面威胁存薄弱点安全事件发生性估计XXX部门造成种直接潜影响
Ø XXX单位合作伙伴承包商服务提供商必需遵守法律法规行政条例合约束XXX单位客户服务承诺
Ø XXX单位运营理目标策略

7 安全风险评估
安全风险评估应整XXX单位信息网络应单网络信息系统特定系统组件服务
安全风险评估应着重：
Ø 安全事件XXX单位造成损失产生直接潜影响
Ø 综合考虑风险目前已实施控制措施判断类安全事件发生实际性
Ø 安全角度XXX单位现理制度流程身合理性完备程度进行评估
安全风险评估应着行实际效原通策略统评估程序方法量化安全风险确定安全风险危险级采取合理措施防范降低安全风险
需特指出：适应业务发展变化应新出现威胁漏洞评估现控制措施效性合理性必须周期性进行安全风险评估调整控制措施应层面进行高风险领域优先分配资金力等资源
8 安全措施选择原
Ø 效性安全措施实施必须够确保风险降低接受水达期安全目标
Ø 行性安全措施必须技术操作实现某安全措施具备通性需制宜考虑具体实施环境
Ø 实际性应理财务等非技术素详细分析实施安全措施综合较实施成减少潜损失非济素应考虑
XXX单位应遵循原基础根网络信息资产面风险区分轻重缓急实施相应安全控制措施
9 安全工作起点
根般性规律业界实际验网络信息安全工作开展方面着手：
Ø 法律方面：数保护隐私保护XXX单位记录保护知识产权保护等
Ø 业界惯例：安全策略制订安全职责划分安全教育培训安全事件响应业务连续性理等
需指出述容取代根安全风险评估选择控制措施基原控制措施选取应实际面具体风险确定
10 关键性成功素
确保网络信息安全工作利实施列素关重：
Ø XXX单位理层高度重视明确支持承诺
Ø 安全工作组织员落实
Ø 安全策略目标措施应XXX单位理目标致
Ø 安全工作具体实施必须XXX单位企业文化相兼容
Ø 深刻理解安全需求风险评估风险理
Ø 全体员工中建立网络信息安全处安全理念
Ø 建立全面均衡行评估考核体系衡量网络信息安全理工作水
Ø 员工第三方（包括承包商合作伙伴客户等）分发网络信息安全指南提供相应培训教育
11 安全策略综述
策略国际规范参考业界成熟验结合XXX单位实际情况制定描述网络信息安全理必须遵守基原求安全工作点结八方面：
[组织员]
必须建立XXX单位级网络信息安全常设领导机构全面负责XXX单位网络信息安全工作安全领导机构必须明确划分安全职责建立部协调机制XXX单位必须设立专职安全
队伍建立安全事件响应流程联络员制度XXX单位应外部安全专家相关组织加强沟通协作
XXX单位岗位职责中必须包含安全容量实现职责分隔XXX部门应实施员考察制度员工XXX部门网络信息资产组织员应签署保密协议员工应接受网络信息安全培训
第三方访问外包服务必须受控制应事先进行风险评估分析安全影响制订相应措施第三方外包服务机构签订合中应包含双方认安全条款
XXX单位应客户签署相关协议明确双方网络信息安全方面权利义务违约责保障XXX部门双方利益
[网络信息资产理]
XXX单位必须建立详细准确网络信息资产清单严格资产责制度项资产应指定责分配相应安全理职权承担相应安全责责具体工作职责委派维护责必须承担资产安全终责
根网络信息资产敏感度重性必须进行分类标注采取相应理措施
[物理环境安全]
XXX单位关键敏感网络信息处理设施应放置安全区域指定安全边界予保护根安全需求等级应划分安全区域例：机房办公区第三方接入区针安全区域应采取等级安全防护访问控制措施阻止非法访问破坏干扰工程施工期间应遵守相关规定加强安全区域保护
XXX单位必须制定清理办公环境合理计算机设备规定网络信息处理设施处置转移应遵守相应安全求
[通信运营理安全]
XXX单位应建立网络信息处理设施理操作职责流程实现职责分离开发调测运营环境应保持相隔离
XXX单位应做系统容量监视规划配套安全系统应业务系统步规划步建设步运行新建扩容系统审批应包含安全容交付前做测试验收工作涉安全方面审批工作应安全机构员负责
XXX部门应加强防范意识采取效措施预防控制恶意软件
XXX部门应采取相应技术手段确保时钟时间步
XXX部门应建立严格软件理制度时加载安全补丁定期进行系统安全漏洞评估执行系统加固解决方案
XXX部门应制定备份制度执行备份策略定期演练数恢复程记录操作障日志
XXX部门必须采取种控制措施保护网络设备信息安全尤网络边界公网络交换信息采取控制措施：访问控制技术加密技术网技术安全设备安全协议等
XXX部门应制定信息存储介质理制度处置流程应特加强移动存储介质系统文档理
XXX单位组织交换信息软件时应遵相应法律合规定采取必控制措施XXX部门应制定相应程序策略保护传送程中信息媒介安全尤考虑电子商务电子邮件等应安全控制需求时应制定信息发布理规定
[访问控制]
XXX单位应基业务安全需求制定访问控制策略明确户职责加强户访问控制理XXX部门应加强移动办公远程办公理
XXX单位应加强网络系统操作系统应系统访问控制网络边界设置合适接口采取效户设备验证机制控制户访问隔离敏感信息时应监控系统访问记录审查事件日志
[开发维护]
新系统开发包括网络基础设施支撑系统必须遵循系统安全生命周期理流程开发新系统前应确认安全需求设计中应采合适控制措施审计踪记录活动日志包括输入数部处理输出数验证应系统应程序进程中固化账户口令系统应具备口令猜测防范机制监控手段
XXX单位应通风险评估确定加密策略基统策略程序建立加密理规范
系统开发维护程中应严格执行系统开发流程理包括开发测试生产环境变更控制保证系统软硬件数安全
[安全事件响应业务连续性]
XXX部门应实施业务连续性理通分析安全事件业务系统影响制定实施应急方案定期更新维护测试
[安全审计]
网络信息系统设计操作理必须遵国家法律信息产业部相关理条例合规定安全求
安全审计应遵循独立原定期检查网络信息系统安全检验安全政策技术规范执行情况应采取效控制措施保护网络信息系统审计工具安全审计效果化影响化

二文件（制度）控制程序
1 术语定义
1) 信息安全理手册：XXX部门建立信息安全理体系纲领性文件指导实施信息安全理体系活动准
2) 程序文件：信息安全理手册支撑性文件信息安全理求程序性描述
3) 操作规程：程序文件支撑性文件某类信息安全理活动具体求
4) 记录文档：记录程序文件操作规程执行结果项目运作程中产生结果性文档
5) 外文件：XXX部门外部文件包括：外图纸文件标书技术规范法律法规相关信息安全标准
2 信息安全组织机构
1) XXX单位建立信息安全领导组设办公室工作2工作实施机构
2) XXX单位信息安全领导组办公室工作组成员组成：
3) 1信息安全领导组：
4) 组长：
5) 组员：
6) 2信息安全领导组办公室：
7) ：
8) 组员：部门全体员
9) 3信息安全领导组工作组：
10) 组长：
11) 组员：系统理员审批系统理员部门信息理员XXX部门全体员
3 职责
1) 信息安全领导组组长职责：
负责全系统信息安全理手册程序文件批准发布
2) 系统理员职责：
负责信息安全文件口理
3) 安全理员职责：
负责组织编制修订信息安全理手册程序文件
负责组织信息安全理体系文件评审
4 文件编制
1) 安全理员根ISOIEC 27001：2005信息安全理体系求结合部门职责信息安全理流程负责组织编制信息安全理体系文件形成初稿
2) 安全理员负责组织信息安全理体系文件评审审核文件报信息安全领导组组长信息安全领导组组长信息安全理体系文件进行核准形成终报审稿
5 文件批准发布
1) 安全理员负责信息安全理体系文件报审稿进行登记核稿报送领导审阅签批
2) 组织相关员进行评审领导审阅签批发布
6 文件发放
1) 信息安全理体系文件安全理员发放相关职属范围员程序文件信息安全理手册封面加盖受控章进行标识统编号
2) 岗位员变动时文件部门时收回原岗位类文件发放现岗位工作文件保证信息安全理体系效运行
3) 岗位员调离退休时应先XXX部门交回领文件方办理关手续
7 文件档
信息安全理手册程序文件制发需保留1份连签批原件电子版安全理员存档
8 文件作废销毁
文件更换新版安全理员收回作废文件做回收记录
9 文件评审理
年检查次文件适情况现文件效性进行评审合适方进行修订必时更换新版填写安全理制度评审记录表见附件
XXX部门年组织文件控制实施情况进行检查评审存问题通知相应部门进行整改整改情况进行踪验证保存记录
附件：安全理制度评审记录表
安全理制度评审记录表
编号：
评审制度名称

评审员

评审日期

评审点

评审容提：

A．评审制度情况新增□ 废止□ 修订□
B．制度合理性 □ 否□
C．制度效性 □ 否□
D．制度适性 □ 否□
E 求： □ 否□

评审意见：

评审持（签字）：年月日

三安全检查理制度
1 总
1) 保证安全方针目标实现促进安全检查规范化制度化保证检查质量效预防减少安全事件发生制定规定
2) 安全检查必须坚持原做领导员工相结合检查整改相结合定期安全理工作进行检查考核
a) 分级负责原信息安全领导组负责单位安全检查工作XX部门技理员负责部门安全检查工作安全理员负责岗位安全检查工作
b) 注重实效狠抓落实原安全检查应深入工作现场切忌走场搞形式义
c) 谁检查谁签字谁负责原安全检查员认真履行检查职责检查行负责
3) 规定适XXX单位安全检查工作
2 检查容
1) 安全检查务进行风险识查找安全素行提出消控制安全素方法纠正安全行措施单位安全检查应明确目求容具体计划
2) 安全检查容包括：
a) 查思想：检查级领导安全理工作认识否真正关心职工安全健康否认真贯彻安全工作方针政策项法规制度
b) 查理：检查级领导否安全理工作摆重议事日程领导安全工作否分工负责机构员费否健全位类档案台帐资料否齐全干部员工安全教育培训否落实专业技术员否培训考核持证岗安全应急预案否建立演练
c) 查制度：检查项安全理制度否建立健全贯彻落实级安全生产责制否全面落实岗位安全操作规程否完善
d) 查环境：深入工作现场机房物理环境信息系统软硬件情况安全防护情况员操作行等否符合安全工作求进行检查
e) 查隐患：检查实行安全隐患识治理检查否种安全隐患达整改通知书明确整改措施时限重安全隐患进行踪督办
f) 查整改：查出安全隐患整改情况进行复查达整改反馈意见整改时彻底整改力部门进行相应处理
g) 查事件处理：检查类安全事件隐患否规定时报告认真调查严格处理
3 形式方法
1) 单位检查应定期定期开展检查形式：
a) 综合性检查：单位级综合检查年少1次部门级检查月少1次
b) 日常检查：安全理员天信息系统运维情况进行检查时掌握安全动态发现安全素时进行整改
2) 安全检查般方法：
a) 听取汇报：听取关员关安全工作情况汇报检查单位（部门）关员询问关安全工作情况
b) 现场检查：检查员现场实检查安全理工作情况种安全隐患查种安全资料台帐等基础工作
c) 综合评议：检查组检查情况进行汇总评议形成检查意见做出综合评价进行意见反馈提出求
4 组织实施
单位安全检查根规模范围求分单位XXX部门安全理员具体实施
a) 单位级安全检查：定期综合性检查节前检查专业性检查信息安全领导组负责组织部门参求周期进行
b) 部门级安全检查：XXX部门负责定期组织实施
c) 岗位安全检查：安全理员定期实施
5 程序求
1) 单位安全检查应明确目求容具体计划安全检查般程序：检查计划（范围时间求等）落实检查员发检查通知组织安全查听取汇报进行现场检查检查情况汇总检查意见反馈必时发书面检查通报检查情况复查等步骤进行根检查容范围结合工作需实际情况简化检查程序
2) 安全检查求：
a) 建立健全群众性安全检查网络安全生产责落实处安全岗位责查落实处
b) 安全检查般影响检查部门员正常工作部门员应积极配合级组织安全检查活动部门妨碍干扰正常安全检查活动
c) 种检查均应编制相应信息系统安全检查表见附件逐项检查责制挂钩检查中发现安全问题时纠正
3) 检查中发现安全隐患应根谁存安全隐患谁负责整改落实四定（定整改项目定整改容定整改时间定整改责）原立整改立整改难立整改采取防范监控措施落实责部门限期整改整改期限采取效防范措施进行专监控明确责坚决杜绝类事发生隐患整改相关责部门单位应填写整改落实情况报告表关单位部门报告事隐患整改工作落实情况

附件：信息系统安全检查表
信息系统安全检查表
编号：号
日常运行维护理
容求
检查结果
备注

1 信息系统日常运维
系统操作流程时更新
户密码理否规范
户密码否定期更改
操作日志记录
异常情况记录
异常情况处理
记录数完整连续
补丁否更新
病毒库版否升级
□ □否
□ □否
□ □否
□ □否
□ □否
□ □否
□ □否
□ □否
□ □否

文档理
容求
检查结果
备注
1 应急计划
应急计划新时完善修订包含：

□ □否

1 应急联系电话岗位负责
2 类问题具体应措施（障判关键设备位置操作步骤等）
□ □否

2 数备份
备份数完整效
网络设备安全设备配置文件否定期备份
□ □否
□ □否

3 测试报告
次测试进行记录填写报告定期整理
□ □否
□ □否
□ □否

4 应急演练记录
次演练进行记录填写报告定期整理
□ □否
□ □否
□ □否

5 系统线流程审批
系统线软件升级设置变更等填写变更申请表
□ □否
□ □否
□ □否

6 技术文档理
应系统技术文档操作手册否齐全
□ □否

7 IP址记录
IP址记录否时更新
（抽查IP址台设备IP址表）
□ □否

8
双网物理隔离
□ □否

防病毒措施
病毒库时更新
□ □否

9 网络拓扑图
网络拓扑图时更新
□ □否

检查日期：
检查：
四
工作职责岗位说明书
1 信息安全领导组工作职责：
1) 贯彻XXX单位关信息安全方面工作方针政策审定XXX部门信息系统安全建设规划
2) 信息系统安全工作重事项做出决策
3) 研究审定XXX部门信息系统安全建设理工作中制度标准相关政策协调相关部门监督制度政策实施情况
4) 组织协调指导信息安全宣传普教育工作
2 信息系统安全组工作职责：
1) 负责贯彻落实XXX单位信息安全领导组关信息系统安全工作求规定
2) 根信息化建设总体目标负责信息系统安全理体系包括：制度建设技术保障操作规范等方面逐步建成
3) 组织制订贯彻信息系统运行安全保障维护工作制度
4) 负责落实信息安全领导组部署项工作
3 组员工作职责：
31 安全理员职责
a) 负责安全制度贯彻执行
b) 负责制订信息系统安全规划实施程中逐步完善
c) 负责制定安全设备系统相关资产清单容包括资产理责部门信息分类资产标识方法资产名称重程度处位置等
d) 负责规范安全设备系统理流程建立理台帐明确资产者者维护者安全设备系统进行标记实现机房资产购买变更报废整周期安全理
e) 负责制定安全设备系统文档化操作维护规程相关员够采规范化形式系统进行操作降低避免误操作引发信息安全事件性
f) 负责安全设备系统运行维护理安全设备系统运转情况进行定期巡检维护障处理变更理负责组织实施安全设备系统类事（障）应急处理
g) 年进行风险评估根评估结果会负责进行风险处置
h) 负责协助领导安排安全培训负责协助负责制定年安全教育计划加强信息系统安全教育通种方式进行宣传培训提高全系统安全防范意识
i) 负责制定安全检查计划少季度检查次包括检查职责检查周期检查范围检查容检查报告编制检查整改检查通报等容信息系统安全检查进行情况通报记录进行收集整理档
j) 出现安全事件时负责发生安全事件时报配合相关调查纠正工作
k) 信息系统运行发生重问题时协助相关员正确判断原根指令立采取安全措施启动相关处理程序
l) 负责外部安全机构协调联系发生重安全事件时协调获取外部安全机构支持
m) 负责介质理介质档查询进行记录介质进行定期盘点记录障介质进行送修销毁记录保密性高介质销毁需申报领导批准进行记录介质物理传输交接进行记录
n) 负责种记录文档表单半年次进行汇总制度开展情况XXX单位信息系统安全领导组领导进行汇报
o) 加强信息系统外包业务外包方理信息系统外包方签署服务协议中信息系统安全加求通审批访问控制监控签署保密协议等措施加强外部方访问信息系统理防止外部方危害信息系统安全
p) 重视IT服务连续性理建立类信息安全事件预防预警响应处置恢复机制编写针外网等重系统应急预案定期进行测试演练信息系统发生障事时迅速序进行应急处置限度降低信息系统突发事件意外灾害信息系统带影响
q) 符合国家密码理相关规定条件合理密码技术密码设备严格密钥生成分发保存等方面安全理保障密码技术安全性
32 机房理员职责
a) 负责保障机房物理环境安全建设理实施方责时间进度务求质量控制等进行监督理
b) 负责制定机房基础设施相关资产清单容包括资产理责信息分类资产标识方法资产名称重程度处位置等
c) 规范机房资产（包括机房物理环境等）理流程建立机房资产理台帐明确资产者者维护者机房资产进行标记实现机房资产购买变更报废整周期安全理
d) 负责制定重基础设施等文档化操作维护规程相关员够采规范化形式系统进行操作降低避免误操作引发信息安全事件性
e) 负责保障机房物理环境安全实施包括温度监控报警等安全防范措施确保机房物理安全部署机房空调UPS等环境保障设施机房设施运转情况进行定期巡检维护障处理变更理严格机房员设备出入理进出需登记外员需相关理员陪方访问机房
f) 机房基础设施变更重操作物理访问等进行逐级审批负责日常审批重变更报信息系统安全领导组
g) 负责组织实施机房基础设施类事（障）应急处理
33 网络理员职责
a) 负责保障网络安全建设理实施方责时间进度务求质量控制等进行监督理
b) 规范网络理流程建立网络相关资产理台帐明确资产者者维护者信息资产进行标记实现信息资产购买变更报废整周期安全理
c) 采技术理两方面控制措施加强外网安全控制断提高网络安全性稳定性外网互联网进行逻辑隔离通实施网络访问控制等技术防范措施接入进行严格审批登记加强安全理加强市XXX单位网络安全培训教育确保外网安全
d) 重网络设备应文档化操作维护规程相关员够采规范化形式系统进行操作降低避免误操作引发信息安全事件性
e) 负责保障网络安全协助安全理员部署网络安全产品确保网络安全网络设备设施运转情况进行定期巡检维护障处理变更理
f) 网络系统变更重操作访问等进行逐级审批负责日常审批重变更报信息系统安全领导组
g) 负责组织实施网络类事（障）应急处理
34 机理员职责
a) 负责保障机（包括服务器设备操作系统数库系统数备份）安全建设理实施方责时间进度务求质量控制等进行监督理
b) 负责机运行维护体系机技术支持台建设运行理负责建立服务器设备操作系统数库系统数备份文档化操作维护规程相关员够采规范化形式系统进行操作降低避免误操作引发信息安全事件性
c) 负责灾难备份系统相关设施完善日常理工作制订完善灾难备份系统运行评估标准形成标准化理模式监控灾难备份系统运行状况定期定期组织防灾备灾演练灾难备份系统运行状况进行审计评估提出改进意见
d) 重信息信息系统进行备份备份介质进行安全保存备份数定期进行备份测试验证保证种备份信息保密性完整性性确保重信息系统重数障灾难特定求进行恢复
e) 外网统部署网络防恶意代码软件进行恶意代码库统更新防范恶意代码木马等恶意代码XXX单位信息系统影响通强化恶意代码防范理措施加强机理严禁擅安装软件定期进行恶意代码检测等提高信息系统恶意代码防范力负责全系统计算机恶意代码防治机安全理工作制定检查计划（包含机巡检工作中）督促检查工作
f) 加强信息安全日常理包括系统口令理值守设备理屏幕保护便携机理等促位员日常工作符合系统信息安全策略制度求
g) 仅知原通功技术配置重信息系统数等实施访问控制系统特殊权限系统实工具进行严格审批监
h) 规范机（包括服务器设备操作系统数库系统数备份）资产理流程建立机相关资产理台帐明确资产者者维护者信息资产进行标记实现机相关资产购买变更报废整周期安全理
i) 机系统变更重操作访问等进行逐级审批负责日常审批重变更报信息系统安全组
j) 负责组织实施网络类事（障）应急处理
35 应理员职责
a) 负责保障软件开发理实施方责时间进度务求质量控制等进行监督理进步重视软件开发安全系统信息系统立项审批程中步考虑信息安全需求目标应保证系统设计开发程安全重点加强软件代码安全性理属外包软件开发应服务提供商签署保密协议系统开发完成应求通第三方安全机构软件安全性测评
b) 规范信息资产理流程建立信息资产理台帐明确资产者者维护者信息资产进行标记实现信息资产购买变更报废整周期安全理
c) 负责建立重应文档化操作维护规程相关员够采规范化形式系统进行操作降低避免误操作引发信息安全事件性
d) 规范应系统资产理流程建立应系统资产理台帐明确资产者者维护者信息资产进行标记实现机相关资产购买变更报废整周期安全理
e) 加强信息安全日常理包括应系统口令理授权审批理等促位员日常工作符合信息安全策略制度求
f) 应系统变更重操作访问等进行逐级审批负责日常审批重变更报信息系统安全组
g) 负责组织实施应系统类事（障）应急处理

4 关键岗位职责
1) 应部员中选拔事关键岗位员签署岗位安全协议
2) 关键岗位员离岗应时终止离岗员访问权限取回种身份证件钥匙徽章等机构提供软硬件设备
3) 关键岗位离岗应办理严格调离手续承诺相关保密义务方离开

重岗位保密协议书
甲方：
乙方：_____________身份证号码：______________________________
鉴甲方事营项目乙方职位特殊性甲乙双方根关法律法规规定遵循等愿协商致诚实信原乙方职期间离职关事项达成协议：
第条保密
乙方承诺协议约定保密期严格协议约定保密容履行保密义务
第二条保密容
1公众知悉甲方带济利益具实性技术信息营信息
2甲方已掌握负保密责第三者（例甲方客户供货商）技术信息营信息
3甲方书面形式确定商业秘密资料信息
4乙方职工作中接受培训程中形成属公司秘密工作成果（含商业信息营情报技术技术资料等）
第三条保密期限
非甲方通书面形式明确说明协议涉某项保密容保密否乙方应甲方建立劳动关系日起（包括试期）限期保守甲方商业秘密
第四条甲方保密权利义务
1 甲方权制定关保密规章制度甲方部予公开公示
2 甲方权求乙方遵守甲方制定关保密规章制度权乙方违反前述规章制度泄密行进行处罚
3 甲方权制止乙方切泄密行保密行职权员工进行保护
4 乙方劳动合期离职劳动合期满离职时甲方认必离开时携带物品进行检查确保乙方未带走保密资料
第五条乙方保密权利义务
1 乙方应严格遵守甲方制定关保密规章制度维护甲方合法权益
2 乙方执行职工作获取掌握甲方保密容乙方利该保密容事工作关事情披露允许第三
3 乙方非执行职工作获取掌握甲方保密容乙方行该保密容作利披露允许第三
4 乙方形式复制属保密容资料信息
5 关保密容资料信息交乙方保时乙方应力确保安全
6 乙方离开公司需提前30日提出书面申请愿意条件接受甲方进行脱密安排
7 甲乙双方终止劳动合关系时应交出持控制切保密容相关资料
8 乙方保密责双方合作关系终止变更消
第六条泄密
1 未甲方总理书面授权直接间接形式组织透露述涉保密容行均属泄密
2 甲方关保密容资料信息交乙方保时乙方保造成该资料信息遗失公开泄露样视泄密
第七条违约责
1 乙方违反公司保密规定时公司权限期进行纠正消影响解劳动合追究违约责造成公司损害应法赔偿损失
2 泄露公司秘密造成良影响时少应公司支付相6月均工资罚金公司造成损失应实际造成损失进行赔偿
3 违反公司规定致公司遭受损失应公司支付违约金公司权应付款项公司控制工资收入保证金方面收入中直接扣
第十条争议解决
协议履行发生争议甲乙双方应友协商解决协商成协议履行辖权法院提起诉讼处理
协议式两份甲乙双方执份份具等效力

甲方（签章）：乙方：（签章）

身份证号：

________年_____月_____日 ________年_____月_____日

五
授权审批理制度
1) 办公品需求计算机机房耗材类需求报XXX部门XXX部门定期汇总填写物品采购审批表见附见领导意统采购
2) 设备申请领须XXX部门提出书面申请XXX部门申请材料进行必审查审核通发放设备领物品需填写物品领取登记单见附件二领填表签字
3) 接入信息系统设备XXX部门组织验收检测合格方安装运行XXX部门信息系统设备建立档案
4) 访者求机房区域进行访问时应事先XXX部门提出申请填写外部员访问申请授权表见附件三获进入许XXX部门工作员全程陪访问
5) 日常变更申请识具体变更需求（模块调整数修改硬件维护网络维护网络结构变更终端网络需求变更（Hub接入））变更申请填写变更申请表见附件四交变更审批进行审批相应变更审批变更申请进行审核判断变更属日常变更日常变更审批审批行组织实施属重技术变更提交信息系统安全领导组审批填写变更记录表见附件五
6) 线网络XXX部门进行统部署理科室擅接入特殊需时需XXX部门提出申请领导意XXX部门负责接入时回收
7) XXX部门年检查次文件适情况现文件效性进行评审合适方进行修订填写安全理制度评审记录表见附件六必时更换新版
8) 业务科室进行系统改造项目建设时应单位领导递交完善实施细化方案实施计划（包括员时间安排等）抄送科室份科室应认真考虑予积极配合认影响系统正常运行应时提出反馈意见领导审定意实施
9) 服务器等设备机房重设备必须求放置机房指定机柜擅配置移动更换更挪作服务器物理位置确定意变更需变更项目填写变更申请表
10) 根系统建设需服务器连入断开网络变更服务器途应系统重升级变更密码改变目录等项目填写变更申请表机系统负责（理员）确认方变更

附见：物品采购审批表
物品采购申请表
编号：
申请科室（）：
采购理

物品名称
数量
具体求

领导审批意见
年月日

附见二：物品领取登记单
物品领取登记单
编号：
领取理

领取情况
序号
名称型号
数　量

领取
签名
年月日

附件三：外部员访问申请授权
外部员访问申请授权表
编号：
申请

公司

办

部门

部门领导签字

日期

效期

类型：权限开放□ 变更□ 注销□ □
求容

户填写
实际授权

实
施
授权部门签字

日期

实施员签字

日期

权限否收回

日期

附件四：变更申请表
变更申请表
编号：
申请公司部门名称

申请

提交时间

联系电话

移动电话

申请变更容描述

申请变更时间

变更结束时间

受影响网络
户服务

需求提出公司部门
系统负责意见

签字：年月日
容需求变更提出系统建设运维公司厂商相关部门填写

日常变更审
批负责意见

签字：年月日
重变更审批
负责意见（重变更时填写）

签字：年月日
评审委员会
专家意见

签字：年月日

备注

附件五：系统变更记录表
系统变更记录表
编号：
变更：
日期：
变更原

变更评估

变更容：（包括软硬件配置信息等）

复核确认

测试确认

技术负责确认

负责确认

变更踪

附件六：安全理制度评审记录表
安全理制度评审记录表
编号：
评审制度名称

评审员

评审日期

评审点

评审容提：

A．评审制度情况新增□ 废止□ 修订□
B．制度合理性 □ 否□
C．制度效性 □ 否□
D．制度适性 □ 否□
E 求： □ 否□

评审意见：

评审持（签字）：年月日

六外部员访问理制度
1 总
制度规定单位针外部员逻辑访问理
制度适外部员单位网络应系统数库逻辑访问物理访问机房安全理制度进行理
2 外部员访问
1) 外部员访问指单位外组织员单位信息系统逻辑访问外部员访问包括网络访问数库访问信息系统访问
2) 外部员访问前责部门外部员访问导致风险进行评估采取适控制措施（：授权签署保密协议等）维护外部员访问单位信息处理设施信息资产安全评估意见填写外部员访问申请授权表
3) 外部员授权方式包括签订协议时访问授权两种方式
4) 单位建立长期业务合作关系需常公司工作外部员长期逻辑访问单位信息系统外部员责部门应签订保密协议规定公司活动场范围时间员资格求违反安全规定协议须承担法律赔偿责等必时工作员进行资格审查
5) 果属时参观学业务工作需外部员访问采时授权方式

3 外部员访问授权
外部员访问单位网络数库信息系统时需书面授权
授权权限规定：
a) 访问敏感信息须信息理部门负责批准授权
b) 逻辑访问均需部门负责审核报部门批准授权方进行
c) 外部员特权户时应应理部门负责批准工作完成立收回
授权程序：
a) 外部员访问前外部员需申请帐号访问接部门应填写外部员访问申请授权表
b) 外部员访问申请授权表应明确规定访问类型时间权限
c) 授权理部门访者身份访问类型访问导致风险进行风险等级评估确定相应控制措施
申请部门单位接获授权时授权求通知接员外员进行信息安全教育访问授权范围进行控制

七安全培训教育策略
1 总
提高XXX单位员工安全意识基安全防范力提高技术员安全技术水安全事件处理力制定规定
2 安全求
21 安全培训体系求
1) 建立信息技术员培训体系XXX单位应技术员定期组织形式级安全技术培训
2) XXX单位应定期技术员进行专业安全技术培训针理员进行系统网络安全产品等方面安全培训
3) XXX单位应普通员工进行计算机安全理普教育强化员工计算机安全意识
4) XXX单位应中层理员领导进行安全理培训强化信息安全理意识提高安全理力
5) 定期XXX单位技术员进行考核考核结果直接决定职资格
22 信息安全意识教育
予员工关信息安全责方面教育信息安全重性深刻理解意识教育容应包括容：
1) 告知员工信息敏感性信息安全重性严重性
2) 员工知道责
3) 员工应该清醒知道安全违例导致纪律惩罚
23 信息安全技术培训
应组织中员工进行适信息安全培训根组织方针程序变化定期培训培训容应包括容：
1) 安全知识安全技术安全标准
2) 安全求法律责业务控制措施
3) 信息处理设备培训
24 信息安全专家建议
邀请雇信息安全专家吸取组织信息安全活动建议信息安全顾问务应该外部知识信息安全方面提供咨询咨询容应包括容：
1) 安全威胁评估
2) 控制措施建议
3) 组织信息安全效性评判
4) 安全事件破坏调查原予专业指导

八
机房安全理制度
1 总
加强网络机房维护理提高维护理质量确保网络正常运行制定规定
办法适XXX单位网络连接机房
2 机房出入理
1) 非必便进入机房离开机房员关灯锁门外部员进出需专陪相关审批程序填写外部员访问申请授权表见附件进入机房需填写机房出入登记表见附件二
2) 保机房钥匙意转丢失时声明
3) 觉保持机房卫生
4) 严禁携带易燃易爆物品强磁物品食品工作关物品进入机房
3 机房环境理
1) 值班员扫机房卫生保持面干净机柜尘土种设备摆放整齐
2) 机房禁止吸烟注意防火
3) 工作员进入机房检查设备情况（包括空调温湿度电力系统网络设备服务器）离开时察灯门窗锁否关闭
4) 电力设施注意相关机房设备插入墙壁插座
4 机房介质理
1) 应系统产生介质资料重性进行分类存放关键重数介质（资料）分存放安全方建立严格保密保制度
2) 保留机房介质（资料）应系统效运行必需少数量外应保留机房
3) 存放机房介质（资料）应该存放防火防高温防震防电磁场防静电防盗房间保险柜中
4) 介质（资料）库应设专（资产理员）负责登记保未批准意提供介质（资料）
5) 介质（资料）应定期检查考虑介质安全保存期限时更新复制
5 机房服务器理
1) 应统服务器编号操作系统应系统负责IP址出厂序号切换器编号等信息标签方式张贴服务器前面板明显
位置未许撕毁篡改服务器应级理责分重普通测试托四类颜色标签区分测试服务器原服务器安排机柜标签半年复核次
2) 服务器等设备机房重设备必须求放置机房指定机柜擅配置移动更换更挪作服务器物理位置确定意变更需变更项目填写变更申请机系统负责（理员）确认方变更
3) 根系统建设需服务器连入断开网络变更服务器途应系统重升级变更密码改变目录等项目填写变更申请机系统负责（理员）确认方变更时网络项目组根实际情况两工作日调整网软件监控信息存储备份相关配置
4) 服务器必须建立维护档案项目服务器维护档案第责维护档案项目负责项目开发员安全服务员机房理员值班员服务器更改操作均报项目进行记录
5) 服务器相关配套软件申请采购验收项目负责服务器完成验收分配机柜位置联入网络
6) 果服务器运行应系统应系统重程度确定第责
重应系统项目第责
6 机房布线理
1) 机房布线应规范铺设防静电板设备调试时时布线应调试完成天撤换
2) 机房网络线路维护连接拆专施工禁止员未许意连接拆网线
7 机房网络设备理
1) 网络设备建立维护档案基础组负责维护项目网络维护档案第责网络设备更改均记录
2) 应统网络设备编号负责等信息标签方式张贴网络设备前面板明显位置未许撕毁篡改
3) 设备发生障障隐患时非理员路器交换机服务器光纤网线种设备进行调试发生障处理程结果等做详细登记严格相关规定处理障时理员沟通关障做出书面报告
4) 网络设备相关配套软硬件申请采购验收基础组负责设备完成验收分配机柜位置联入网络
8 机房巡视理：
1) 没特殊情况值日员应求天巡视机房二次检查机房种设备运行情况做巡视记录
2) 遇种设备障值日员应机房安全理制度描述操作步骤设备进行处理遇问题时理员沟通关障做出书面报告
3) 相关巡视报告障报告等需相关负责员进行确认存档理
9 机房进出设备理
1) 新购设备时迁入机房设备需机房理员确认详细填写登记
2) 机房设备需迁出机房时需通知日值日员报登记备案
10 违规处理
果发现违规行进行书面检讨信息理中心员计入年终考评违规事件应报相关负责进行记录季度通报

附件：机房进出登记表
机房进出登记表
编号：
机房进出登记表

姓名
属单位
身份证号
进入时间
离开时间
陪员
工作事

附件二：外部员访问申请授权表
外部员访问申请授权表
编号：
申请

公司

办

部门

部门领导签字

日期

效期

类型：权限开放□ 变更□ 注销□ □
求容

户填写
实际授权

实
施
授权部门签字

日期

实施员签字

日期

权限否收回

日期

九资产安全理制度
1 资产分类方法
根XXX单位实际情况组织资产分表述类
分类
英文简写
示例
硬件
Harware(HW)
网络设备：路器网关交换机等
计算机设备：型机型机服务器台式计算机笔记电脑等
存储设备：磁带机磁盘阵列磁带光盘移动硬盘等
传输线路：光纤双绞线等
保障设备：UPS变电设备空调保险柜文件柜门禁消防设施等
安全设备：防火墙入侵防御系统身份鉴等
：印机复印机扫描仪传真机等

软件
Software(SW)
系统软件：操作系统数库理系统语句包开发系统等
应软件：办公软件数库软件类工具软件等
源程序：种享源代码行合作开发种代码等
数
ata(A)
保存电子媒介种数资料包括

源代码数库数系统文档运行理规程计划报告户手册等
文档
ocument(OC)
纸制种文件传真电报财务报告发展计划等
服务
Service(SV)
信息服务：外赖该系统开展类服务
网络服务：种网络设备设施提供网络连接服务
办公服务：提高效率开发理信息系统包括种部配置理文件流转理等服务
员
Staff(ST)
掌握重信息核心业务员机维护网络维护应项目理等

Others(OT)
公司形象客户关系等

2 资产标识
1) 述资产分类中文档服务员四类信息资产需进行编号面硬件软件数三类信息资产编号原资产标识时资产编号资产分级信息理者信息分级信息续章节中介绍
2) 硬件资产编号采统条形码编号形式硬件详细信息IPM系统中维护
3) 软件信息资产编号
软件资产编号原址SWX1X2
说明：
址：表示物理位置
SWSoftware
X1软件类英文简写
X2数字编号00019999软件进行数字编号
软件资产编号举例1：XXX单位SWSS0002
说明：表示软件资产系统软件软件语言版中文软件资产中序号0002
软件资产编号举例2：XXX单位SWAS0015
说明：表示软件资产应软件软件语言版英文软件资产中序号0015
根目前根组织实际情况软件分系统软件应软件源程序三类
软件类
系统软件
应软件
源程序
包含容
操作系统数库理系统语句包开发系统等
业务应软件办公软件数库软件类工具软件等
种享源代码行合作开发种代码等
英文简写
System software(SS)
Application software(AS)
Source coe(SC)
数信息资产编号
数资产编号原：址 AX1X2
说明：
址：表示物理位置
A ata
X1 数秘密级
X2 数字编号00019999数资产进行数字编号
数资产编号举例1：XXX单位A部秘密0002
说明：表示数资产部秘密数数资产中序号0002
数资产编号举例2：XXX单位A部公开0015
说明：表示数资产部公开数数资产中序号0015
3 资产分级
1）XXX单位应信息价值法律求组织敏感程度关键程度进行分类
等级
标识
资产价值定义
5
VH（高）
资产重程度高安全属性破坏导致系统受非常严重影响
4
H（高）
资产重程度较高安全属性破坏导致系统受较严重影响
3
M（中）
资产重程度较高安全属性破坏导致系统受中等程度影响
2
L（低）
资产重程度较低安全属性破坏导致系统受较低程度影响
1
VL（低）
资产重程度低安全属性破坏导致系统受低程度影响甚忽略计
2）具体类资产应解释出相应应关系
等级
硬件资产
软件资产
数资产
文档资产
备注

VH（高）
关键
关键
机密
机密
应关键业务
H（高）
应关键业务
M（中）
重
重
限制发布
限制发布
应重业务
L（低）
般
般
部公开
部公开
应般业务
VL（低）
般
般
公开
公开
应般业务
4 资产理
1）重信息程序文件应该控制少员访问范围
2）访问处理前应配合安全认证产品进行严格身份认证授权理等措施授权程专门应系统负责员实施保证授权力度合理授权程应进行记录
3）根数密级保密时效长短选择相应强度密码算法强度太高增加系统开销强度太低起保密效果
4）信息数拷贝分发应进行严格数量控制
十
介质安全理制度
1 总
加强介质维护理规范介质采购维修报废行制定规定
2 介质购置
介质消耗品理员负责统计划采购编号发放登记理余部门擅购买
3 介质维护理
介质包括磁带磁盘U盘光盘硬盘存贮卡印出文件等移动介质理：
1) 移动介质接入信息系统前必须进行恶意代码木马检测杀毒处理防止恶意代码侵入传染信息系统
2) 果信息需需删重复移动介质中信息
3) 果信息需保存应该保存计算机中应该放移动介质中
4) 介质长期保时保点必须满足防火防水防震防潮防霉防鼠害防虫蛀防静电防磁等方面安全求介质保符合介质生产商介质保求
5) 定期介质中数进行转存验证测试防止介质老化失效导致重数丢失
6) 实行存储介质制度填写介质领申请表见附件介质应时填写介质登记表见附件二理员应做相关登记理工作
7) 存储介质保工作必须符合国家相关理制度类存储介质未批准严禁私带离开单位外
8) 应重介质中数软件采取加密存储根承载数软件重程度介质进行分类标识理
4 介质定期检查
定期存储介质进行清点收回介质核员登记定期移动存储介质进行统杀毒处理
5 介质维修
介质送出维修前应进行申请审核确保删敏感信息维修点送专门定点单位敏感信息维修程应安排员全程监督
6 介质报废
存储敏感信息存储介质应指定点指定员（监督）进行安全报废处置免敏感信息外泄
磁带通消磁物理破坏方式进行处置确保消磁带存储敏感信息
磁盘U盘硬盘存贮卡等通专业软件次格式化进行处置者采物理方式进行破坏
光盘通物理方式进行粉碎处理

附件：介质领申请表
介质领申请表
编号：
领

部门

领时间

载体类型
移动磁盘□ U盘□ □（）
数量

申请理：

部门领导审批意见：

签名年月日
执行机构审批意见：

签名年月日
注：1 表理员负责填写
2 表磁盘理员负责存查

附件二：介质登记表
介质登记表
编号：
介质编号
日期

日期
理员
备注

十设备安全理制度
1 总
加强设备维护理规范设备采购理报废行制定规定
2 设备购置
1) 部分数量价值较关键性电脑设备实行统购置定品牌定型号定价格设备选型坚持选择性价格优良市场占率高售服务国际流产品国品牌产品
2) 选计算机设备必须技术证符合国家关标准规范满足性兼容性求类设备选择23品牌
3) 计算机设备购置须满足方面求：先进性扩充性兼容性充分较性价格良售服务
4) 服务器交换机等关键设备应备充足备件（相应备份措施）
5) 服务器交换机等关键设备购置须制定规范合（协议）书根理权限审批
6) 设备购置合济活动中法律合制定须遵守济合法条款关规定合（协议）签订必须两办领导批准合（协议）建档备案
7) 设备购置合（协议）应包括容：设备名称型号配置标准产单位数量单价合计金额交货时间点验收标准付款时间运保费保修期限维修服务技术支持培训违约责等容合中需详细明确条款容协议方式补充说明
8) 购置计算机设备时般交纳定金支付预付款
9) 合执行程中果发生违约纠纷谁购买谁负责原进行妥善处理
10) 设备购置手续必须完整专负责项目实施项目进行全程理验收完成时建立电脑设备理台帐

3 设备
1) 计算机设备实行专负责制台设备应设保保担公设备保单位具体指定设备丢失造成损坏负责计算机设备须严格遵关操作规程
2) 未XXX部门意严禁改变计算机设备硬件配置
3) 设备中出现障时行修理应设备障时报告XXX部门负责设备维修工作
4) 出现障设备应XXX部门审批意方带出办公环境机房进行维修
4 设备理
1) XXX部门应设立计算机设备理员负责计算机设备实物理
2) 计算机设备理员负责台设备时录入固定资产系统建立设备理档案
3) 设备理员变更时应时盘点资产接员办理移交手续
4) 计算机设备配置变更导致账面值变化时设备理员应时财务部门办理变更手续
5) 计算机维修公司实物资产理制度规定流程审批XXX部门统采购关键设备XXX部门统组织维修营业网点组织维修
6) 计算机维修情况应予记录
7) 计算机设备外须单位领导签字批准时档案卡中予记录
8) 年年底应进行单位计算机设备盘点工作记录盘点台帐
5 设备报废
1) 计算机设备报废应财务理办法关规定严格规定权限程序进行
2) 列情形计算机设备提出报废申请：
a) 折旧期已满帐面已提足折旧费计算机设备部件损坏次性修复费超目前市场档次产品价格30
b) 频然磨损造成设备部件步老化硬件设备发生频率（维修记录）法继续
c) 雷击火烧爆炸水腐蚀摔压等事造成设备严重损坏法修复次性修复费超目前市场类档次产品价格50
d) 技术进步原设备明显落功低满足业务需求宜法继续
3) 计算机设备报废部门提出报废申请XXX部门鉴定财务等关部门审批

十二软件项目外包理办法
1 总
11规范XXX单位应系统开发外包理明确责保证系统开发阶段衔接畅提高系统开发项目决策程序科学性特制定办法
12XXX单位信息系统开发实行项目理模式具体项目进行般信息系统开发项目包括：
121应开发类项目泛指应信息技术开发业务处理系统理信息系统等应软件项目包括新建改建变更项目
122基础设施类项目泛指网络建设安全架构建设机系统购置升级等信息基础建设体项目
123信息研究类项目泛指全公司战略性信息规划项目信息标准建设项目信息咨询项目等
办法适项目第类应开发类项目
13项目开发方式分三类：
131XXX单位行开发指XXX部门独立进行设计开发推广
132公司合作开发指XXX部门合作公司进行设计开发推广
133外包开发外包指外包开发商进行整项目设计开发推广XXX部门负责项目协调监理
办法仅适第三类项目外包理
14办法适XXX单位应系统开发外包理工作
2 理职责
XXX部门应系统开发外包理决策机构负责项目立项费审批
21XXX部门应系统开发项目外包理机构负责项目立项开发理组织项目验收
22XXX部门负责项目线系统设备运行
23XXX部门外包审计部门负责信息系统外包项目审计
24XXX部门外包风险理部门负责外包项目风险评估监察外包风险应急计划制定等风险理工作
25业务部门应系统开发外包项目需求提出者系统者提出项目行性分析成效益分析立项申请编写业务需求协助解决项目开发程中出现业务相关问题组织项目户测试试运行参项目验收工作组织项目推广
3 总体理
31项目正式立项XXX部门会业务部门成立项目组组负责项目全程统筹理项目进度质量负责
32项目组根项目时间求项目工作量力安排业务部门外包商沟通制定出精确周项目实施计划计划中应包括项目阶段目标务时间表里程碑项目需员职责划分汇报业务部门XXX部门负责签字确认
33项目进入验收测试阶段时XXX部门会业务部门成立验收组根项目需邀请外单位专家参验收组中应包括项目组全部成员验收组项目进行时验收终验收项目终质量负责
34XXX部门指定具备3年工作验熟知XXX单位项目理制度员工担项目负责项目负责负责协调业务部门XXX部门外包商三者间工作负责保存项目相关文档
35项目负责项目实施程中应月XXX单位XXX部门负责书面报告项目进展情况包括已完成容前进度项目实施计划较存影响进度问题员资金情况等
4 项目立项
41项目立项两种方式：年度计划中申请时申请重项目必须年度计划中进行申请
42项目时申请流程年度计划申请流程致属年度计划容预算调整时申请批准项目方计划实施项目申请中应包括需求书资金预算成效益定性定量分析项目时间计划中业务部门提供需求书成效益分析XXX部门提供资金预算
5 外包商选择
51外包商选择信息安全领导组根XXX单位理制度求进行项目组参程提供技术方面参考意见
52外包商选择采招标询价方式报领导批准
6 方案设计
61外包商项目组系统运行环境进行分析根业务需求制订设计方案设计方案项目组全体成员讨业务部门负责XXX部门负责签字确认
62变更改建项目外包商必须项目涉原数业务需求进行分析研究限度新项目中利原业务数保护XXX单位信息资产外包商类项目设计方案中必须制订数转换计划实施步骤业务部门负责签字确认
63项目设计方案确定业务部门提出需求变更需求变更必须业务部门负责XXX部门负责签字确认造成设计变更项目延期外包商承担责
64项目设计方案确定外包商提出设计变更设计变更必须外包商项目理书面提出XXX部门负责签字确认造成项目延期系统功改变外包商承担全部责
65发生需求变更设计变更时项目负责评估变更项目造成影响制定变更项目实施计划业务部门XXX部门负责签字确认
66方案设计中必须包括应急计划回退方案
7 开发程理
71项目开发程中应具备开发测试运行3套独立环境中开发环境般外包商提供者新建项目设备项目时验收正式运行前开发环境运行环境项目开发必须开发测试环境中进行
72变更项目中涉软硬件升级补丁工作应测试环境中进行项目负责项工作进行测试做出书面报告XXX部门业务部门负责测试报告签字确认工作方生产环境中进行
73周计划求项目组外包商工作进行检查督促进度已完成部分项目组应时进行检查测试解项目实际情况开发程中出现问题时处理
74外包商应设计方案中数转换计划步骤原数转换移植新系统中项目组检查数完整性致性准确性唯性读取性等
75外包员提交源代码须公司员审核编译产生执行程序须公司相关员测试通规定流程投入生产系统
76外包开发员提交关键代码（涉核心记账业务系统核心处理流程关安全加密认证代码）项目组行方
员必须源代码进行重点抽查
77外包测试员提交测试方案测试案例部门必须组织员进行复核确认外包测试员编写测试脚测试程序必须满足公司项目测试性求
78外包咨询员应时公司咨询求做出响应时帮助解决问题提供符合求咨询建议报告
79外包维护员必须时响应业务需求公司统形象求服务方式求外提供服务

8 验收
81验收分时验收终验收时验收系统功性安全等容进行检验通系统方进行正式运行终验收时验收遗留问题正式运行期间发现新问题处理情况进行检验通项目方认执行完毕
81验收组根项目需求书设计方案制定测试纲项目负责验收纲签字确认
83验收组根验收纲逐项客观应系统做出评价记录验收纲中根验收整体情况验收组出项目验收否通结做出验收报告XXX部门业务部门负责签字确认
84验收中具备测试条件容业务部门外包商致意延期测试容应记录双方达成项目验收备忘录中便日具备条件时进行测试
85完成测试验收组应收回开发员权限系统正式运行前系统进行修改
9 正式运行
91系统进入正式运行项目组应系统正式运行情况通知者项目组外包商安排专继续解决系统投运程中户提出问题
92项目组正式运行系统情况应少进行6月踪记录存问题汇总做出书面报告项目负责签字正式提交外包商求终验收前解决
93变更项目中外包商应设计方案中计划步骤测试程序变更部分移入运行系统移入工作果出现问题需系统恢复移入前情况时设计方案中回退计划实施项目负责监督外包商工作记录保相关文档
94外包商进行移入工作运行准备工作需系统权限时应系统理员分配工作需权限工作完成应系统理员应立收回权限记录保相关文档项目负责监督述工作
10 培训售服务
101系统正式运行前外包商应系统类户进行培训测试保证户熟练该系统变更项目中业务流程界面发生重变化时外包商应户重新进行培训
102系统正式运行时系统维护说明系统说明户操作手册等文档应时公开发布
103系统正式运行时应确保该系统应系统理员已接受培训够完成系统日常维护工作
11 附
111办法文字解释XXX单位XXX部门负责
112办法发布日起施行

十三
应软件系统开发维护理规定
1 总
11加强规范公司应软件系统开发维护理工作确保公司项业务安全正常运行特制定规定
12规定称应软件系统开发维护指行种业务软件开发维护修改关数维护更新
13规定适公司技术员全公司性业务需涵盖应软件系统开发维护工作
14应软件系统开发维护理必须坚持安全第谨慎稳妥相稳定原

2 理职责
21XXX部门负责立项应软件开发维护工作
22XXX部门负责项目线应系统运行工作
23XXX部门负责项目阶段进行审计监督
24XXX部门负责项目开发程风险评估监察等风险理工作
3 审批程序
31业务处室求开发新业务程序已投入计算机运行业务程序进行完善必须提出申请明确需求重项目需进行成效益分析填写XXX单位应软件系统开发维护申请报告关处室会签合规部审查报公司领导签批
32XXX部门根领导签批意申请报告进行应软件项目立项开发修改维护
33XXX部门开发修改完成应软件必须业务处室根XXX单位应软件系统开发维护业务申请报告业务测试题进行严格测试时填写XXX单位应软件系统业务测试题XXX单位应软件系统业务测试报告明确该软件否满足业务需求否机生产运行报公司领导批准机生产运行
34需涉重数库维护项目需求变更优化均参述审批程序
35业务发展需满足客户需求客户端计算机应软件开发维护应规定申请书需求报告报XXX部门关处室协商公司领导签批交XXX部门执行
36严禁未批准软件公司生产业务机安装计算机机房网点业务机安装软件必须XXX部门审核报领导批准方进行作详记录业务机
发现未审批安装软件公司授权XXX部门时予删时领导报告造成严重果通报外事作出严肃处理

4 软件开发
41业务部门负责牵头完成业务需求书证分析细化编写工作业务需求书编写完成业务部门XXX部门确认
42业务需求书系统设计开发确定意更改确属业务发生调整必须变更业务部门提出完整需求变更说明项目开发组分析评估生效较需求变更项目开发组分析评估项目立项审批流程申请需求变更
43业务需求书确定项目进入设计开发测试验收阶段
项目开发组根业务需求书制定项目开发计划编写项目总体设计详细设计
二完成开发先项目开发员进行种类型测试
三业务员编写项目测试题项目进行详细测试测试通业务员负责编写测试报告
44 重项目必须安排压力测试
45根项目需项目需求阶段设计开发阶段测试线阶段组织相关员进行项目阶段性评审工作确保项目应技术架构信息安全质量控制方面符合建设求
46软件系统总体设计应程序设计开发均须进行充分分析证确定统标准符合科学合理安全运行高效求
47开发类软件应遵国家金融行业软件工程关标准必须系统设计开始建立完整开发档案明确详细文图说明
48软件开发必须实行两（含两）参开发修改
49业务软件涉密码密钥必须设定密码密钥级更换密码密钥户界面等软件程序
410业务软件开发完毕投入运行全部开发文档软件源码必须立档封存列入XXX单位商业机密范畴
411公司行开发软件版权均行禁止私占外单位合作开发购置软件版权效合界定属
412加强软件版理业务软件进行修改必须步更新文档作软件版标识保存工作

5 项目线理
51开发员需线源代码线计划书提交源代码审查员源代码审查员必须提交源代码进行认真仔细检查检查问题提交XXX部门线源代码审查员必须线前软件版进行统理备份
52线计划书中必须包括应急计划回退方案
53系统线项目开发成员运行员提交相关户操作手册文档

6 项目维护变更
61项目正式线进入项目维护期项目维护期项目开发组继续负责项目技术支持
1)项目维护期原少1月
2)项目维护期项目开发组负责项目技术支持程序运行中出现问题进行修改测试负责培训系统日常运行维护支持员
3)项目维护期发现软件问题业务变化引发需求变更项目需求部门XXX部门提出优化修改需求相
关部门负责签字认定报分行长签字项目开发组开发员进行修改优化时更新相应文档业务部门测试源代码审查员审查提交XXX部门线

7 开发维护工作流程
71应软件系统开发维护工作流程：
业务处门提出软件开发申请报告报告XXX部门

XXX部门相关处室讨

形成业务需求报告交关
处室会签XXX部门审查

报单位领导签批

交XXX部门立项开发

业务处室测试

完成测试报告报批

单位领导审批通

交XXX部门机生产运行

8 附
81 规定发文日起实行

附件：
XXX单位应软件开发维护申请报告格式表
XXX单位应软件系统业务测试题
XXX单位应软件测试报告格式表
XXX单位应软件系统开发维护申请报告
编号：
提交处室

提出申请时间：年月日
求完成时间：年月日
项目名称

项目类型 □开发新业务软件
□
□现应软件增加新业务功
□修改完善现运行软件
□维护调整现软件功性

项目容概（详细请填写业务需求报告

（够请附纸）处室负责签名
业务组负责

年月日
XXX部门意见

年月日
合规部意见

年月日
公司领导签批

年月日

备注

XXX单位应软件系统业务测试报告
编号：
测试容

测试处室

测试时间

测试员

测试报告：

（够请附纸）
测试结：（业务处室负责会签）

XXX部门负责签署意见

测试负责签名

项目负责签名

源代码检查员意见

领导签批

填表日期：年月日

XXX单位应软件测试报告
编号：
模块功测试表
模块函数名

模块名称

模块层次

编码

模块功简述

编写日期

测试完成日期

功测试容描述
输入例描述
预期输出结果
实际输出结果
测试结果分析

性测试容描述
输入例描述
输出结果描述
性分析

十四网络安全分项策略
总
策略适网络理员
策略建立系统网络规划建设运行变更废弃等阶段安全保障求
二安全求
21 网络安全运行维护策略
1) 网络设备（包括交换机路器防火墙IS网络设备）应专职员负责定点存放理定期检查存放处物理环境物理安全理求进行维护应网络设备进行资产登记登记记录应该标明硬件型号厂家操作系统版已安装补丁程序号安装升级时间等容网络设备必须清晰见形式张贴类似声明：严格禁止未授权网络设备您必须拥访问配置设备明确许设备执行活动记录违反规定受纪律处分诉诸法律设备提供者隐私权保护
2) 应日常运维监控配置理变更理职责进行分离员负责应网络设备拥户账号员权限账号认证理方式做出明确规定重网络设备应远程户拨号认证者终端访问控制器访问控制方式实现户集中理应服务器户账号远程户拨号认证者终端访问控制器服务器网络设备户账号进行定期审查发现疑户账号时系统理员进行核实采取相应措施应户建立相应账号根网络设备安装配置升级理需户设置相应级级户
够命令进行限制严格遵循权限执行等级命令集应网络设备中户账号进行登记备案
3) 应口令选取组成长度保存修改周期存储做出明确规定禁止名字姓氏电话号码生日等容易猜测字符作口令应单单词命令作口令组成口令字符应包含写英文字母数字标点控制字符等口令长度求8位严禁口令存放计算机文件中写容易获取方果存储应户账号口令加密方式存储M5方式重网络设备求少月修改次口令者次性口令设备掌握口令理员调离职工作时必须立更改相关口令
4) 严格禁止非系统理员直接进入网络设备进行操作特殊情况（系统维修升级等）需外部员（指厂家技术工程师非系统技术工程师安全理员等）进入网络设备进行操作时必须系统理员登录操作全程进行记录备案禁止系统户账号口令直接交外部员紧急情况需外部员开放时账号时必须安全理机构相关领导申请申请中写明开放时账号原时间期限外部员操作
监控方法负责开放注销时账号员等容严格根安全理机构批复进行时账号开放注销监控记录备案
5) 制定严格远程登录审批制度建立远程登录登记簿详细记录登录原登录员起止时间批准等项容登录结束应时更改相关配置减少网络设备远程理方式例TelnetWeb等果确需远程理应SSH代TelnetHTTPS代HTTP应限定远程理户数量远程理终端IP址设置控制口远程登录口ile timeout时间控制口远程登录口空闲定时间动断开进行严格身份认证访问权限授予配置完立刻关闭类远程理功应避免SNMP协议进行理果确需应V3版代V1V2版启M5等校验功
6) 应日志功启日志记录容日志理形式日志审查分析做出明确规定重网络设备应建立集中日志理服务器实现重网络设备日志统理利网络设备日志审查分析应保证设备系统日志处运行状态两周日志做次全面分析登录户登录时间
做配置操作做检查发现异常现象时应时信息安全工作组报告
7) 应时监视收集网络安全设备生产厂商公布软件补丁更新求载补丁程序站点必须相应官方站点更新软件补丁进行评测获信息安全工作组批准生产环境实施软件更新者补丁安装必须订阅CERT (计算机紧急响应组)公告专业安全机构提供安全漏洞信息相关资源应立提醒信息安全工作组影响网络正常运行漏洞时评测漏洞采取策获信息安全工作组批准生产环境实施评测策整程记录备案
8) 软件更新者补丁安装应量安排非业务繁忙时段进行操作必须两完成监督操作升级（修补）前做数软件备份工作时整程记录备案软件更新者补丁安装应重新系统进行安全设置进行系统安全检查
9) 应定期进行安全漏洞扫描工作均频率应低2周次重安全漏洞发布应3工作日进行防止网络安全扫描网络性造成影响应根业务实际情况扫描时间做出规定应般安排非业务繁忙时段发现网络设备存异常开放网络服务者开放
网络服务存安全漏洞时应时报信息安全工作组采取相应措施
10) 应少天1次网络设备进行检查确保设备正常工作应通种手段监控网络流量状况突发异常流量时应立报信息安全工作组时采取适控制措施记录备案应时报告已知疑信息安全问题违规行紧急安全事件采取适措施时应信息安全工作组报告细节试图干扰防止阻碍劝阻员工报告类事件时禁止形式报复报告调查类事件应定期提交安全事件相关问题理报告备理层检查
11) 应根必须知道原严格限制泄漏安全违规行安全事件安全漏洞果必须XXX部门外部方（包括合法权威机构）泄漏类受限信息应先咨询相关法律部门
12) 系统软件安装应立进行备份续程中系统软件变更配置修改前应立进行备份工作应少年1次整网络进行灾难影响分析进行灾难恢复演
13) 应少年1次整网络进行风险评估次风险评估时手工检查例应低10％渗透测试例应低5％风险评估应10工作日完成网络修补加固进行二次评估
22 网络安全变更策略
1) 系统维护员应设备接入配置变更废弃等系统变更操作前进行数备份关键网络设备准备备件保证常网络设备库存便成功情况时进行恢复
2) 新网络设备接入应首先相关部门提出申请该部门根实际业务需进行审核确定佳接入方案进行实施果接入系统影响应急响应组进行响应解决接入带障禁止私安装移动网络设备根业务系统应需求设备配置变更时应首先网络维护员提出申请安全理员进行安全确认签字网络维护员负责安排实施禁止私变更网络设备配置网络设备废弃应首先相关部门提出申请该部门根实际业务需进行审核确定佳废弃方案禁止私废弃移动网络设备
3) 应新接入网络设备进行资产登记登记记录应该标明硬件型号厂家操作系统版已安装补丁程序号安装升级时间等容
4) 新网络设备接入应进行记录备案记录容应包括：接入接入时间接入原等网络设备配置变更情况应进行记录记录容应包括：变更变更时间变更原变更容等便期问题查询分析网络设备废弃应进行记录备案记录容应包括：废弃废弃时间废弃原
5) 新网络设备接入配置变更废弃前应做详细应急预案备紧急情况时应重变更必须做操作监督理
6) 时网络拓扑图网络通信配置参数网络址等资料档保严格保密变更应确认网络否具清晰网络拓扑结构网络边界明确观察采网络拓扑发现等技术工具验证实际网络结构验证否网络建设方案网络拓扑结构图致
7) 新网络设备正式架运行前应系统维护员进行功测试安全理员进行安全测试确认签字方正式运行严禁测试测试成功情况接入网络安全理员需测试容：
a) 查硬件软件系统运行情况否正常稳定
b) 查OS版补丁否新
c) OS否存已知系统漏洞者安全缺陷
8) 新网络设备正式架运行前应严格相关网络安全配置理规定中容进行配置记录备案
9) 新网络设备正式架运行应段时间试运行试运行阶段应严密监控运行情况网络否带影响发现网络运行稳定者出现明显疑情况时应立启动应急预案试运行阶段应相关日常运维理规定进行理
10) 网络设备配置变更前应严格相关网络安全配置理规定中容进行配置检查网络设备软件变更配置变更应段时间试运行试运行阶段时应严密监控运行情况网络否带影响发现网络运行稳定者出现明显疑情况时应立启动应急预案试运行阶段应相关日常运维理规定进行理
11) 网络设备硬件存变更情况时应遵循先废弃接入策略
12) 网络设备废弃安全考虑应套完整流程防止废弃影响网络运行稳定
13) 网络设备废弃应段时间试运行试运行阶段应严密监控运行情况网络否带影响发现网络运行稳定者出现明显疑情况时应立启动应急预案试运行阶段应废弃设备进行妥善保者关规定设备容进行销毁
23 网络设备安全配置理策略
应安全策略前应根业务系统实际情况进行操作注意实施操作业务风险
231路安全策略
1) 帐号口令策略
a) 应启enable secret 代enable passwor配置文件中passwor 进行加密防止户口令泄密
2) 网络服务策略
a) 应关闭banner显示远程拨入维护方式需开放服务tcpsmallserversupsmallservers等
b) 必时应关闭 ICMP 协议
c) CISCO 设备应关闭端口 cp neighbor 服务
3) 访问控制策略
a) 应够提供强制性种访问控制方案：ACLAAA认证控制ROUTEMAP 策略控制等
b) 严格禁止户授予等级户访问控制权限
c) 应访问控制列表（ACL）滤 RFC1918 中列出址参 RFC2827 滤进出报文
d) 应限制 SYN 包流量带宽控制 ICMPTCPUP 连接数
4) 日志审核策略
a) 应重新设置日志文件存放位置访问权限防止网络入侵者通修改日志隐藏行踪应定期日志进行审计分析重点分析口令猜测异常时间登录等高风险行
5) 安全增强性策略
a) 应禁止路器 IP 直接广播IP源路ICMP重定Loopback数包目址数包保证网络路径正确性
b) 应丢弃源 IP 址数包
c) 应启路器间 m5 方式邻域认证非明文认证
d) 安全存放路器配置文件保护配置文件备份非法获取
232交换安全策略
1) 帐号口令策略
a) 应启enable secret 代enable passwor配置文件中 passwor 进行加密防止户口令泄密
2) 网络服务策略
a) 应关闭banner显示远程拨入维护方式需开放服务tcpsmallserversupsmallservers等
b) 必时应关闭 ICMP 协议
c) CISCO 设备应关闭端口 cp neighbor 服务
3) 访问控制策略
a) 应够提供强制性种访问控制方案：ACLAAA认证控制ROUTEMAP策略控制等
b) 严格禁止户授予等级户访问控制权限
c) 应访问控制列表（ACL）滤 RFC1918 中列出址参 RFC2827 滤进出报文
d) 应限制 SYN 包流量带宽控制 ICMPTCPUP 连接数
e) 应交换机配置静态 ARP者启交换机址绑定功实现 MAC 址固定 IP 址端口绑定防止IP址盗会话劫持中间攻击非法机接入部网
4) 日志审核策略
a) 应重新设置日志文件存放位置访问权限防止网络入侵者通修改日志隐藏行踪应定期日志进行审计分析重点分析口令猜测异常时间登录等高风险行
5) 安全增强性策略
a) 安全存放交换机配置文件保护配置文件备份非法获取
b) 接入层交换机应该采 VLAN 技术进行区域安全隔离控制根业务需求交换机端口划分 VLAN
c) 接入层交换机中需进行第三层连接端口通设置属相应 VLAN应空闲交换机端口设置 isable防止空闲交换机端口非法
d) CISCO 交换机必时应采 Private VLAN 技术交换机端口做进步安全设置
e) 应启交换机带宽理功实现基IP址服务双带宽控制带宽限制剩余带宽动分配功
f) 交换机做流量镜情况应充分评估镜作镜造成流量增加交换机性影响
233防火墙策略
1) 部署策略
a) 应保证正常应连通性保证网络应系统性防火墙策略实施明显降特重应系统
b) 防火墙区域路设置应合理严格禁止旁路路
c) 情况应量址转换（NAT）功屏蔽网 IP 址隐藏部网络结构
2) 规策略
a) 应量保持防火墙规清晰简洁遵循默认拒绝特殊规前普通规规重复原通调整规次序进行优化
b) 应条规进行详细注释说明应少1月进行1次规回顾检查必调整规变更时应填写防火墙变更请求获理员允许签字
c) 时性增加规完成应时删该规
d) 应允许广域网户访问防火墙 MZ 区域指定机必外服务 WebFTPMail 等
e) 应禁止部网络址广域网进入防火墙 MZ 者部网数包防范 IP 欺骗攻击
f) 允许 MZ 区域指定机动发起广域网访问果必须样做话需明确带安全风险
g) 应防火墙 MZ 区域外服务器进行 IPMAC 绑定防止会话劫持中间攻击
h) 应禁止源路数包防止非法户通源路技术部网进行攻击
i) 防火墙支持应层滤应设置禁止访问 Java AppletActiveX等程序降低威胁
j) 防火墙支持应层滤应控制 FTP 操作仅仅允许特定满足求 FTP 命令
k) 防火墙支持应层滤应滤邮件附件类型
l) 应禁止访问国家法律法规禁止黄色反动非法信息网站户网络访问行进行详细记录
3) 日志策略
a) 应关键信息系统敏感网络连接活动进行全面日志记录少包括户身份访问时间访问源 IP访问目标 IP访问动作等
b) 应网络中流量延时丢包率等统计数进行记录
c) 应启种告警方式：记录日志控制台显示告警电子邮件告警等时根告警严重等级采取告警方式
d) 中等严重程度告警发生应立信息安全工作组报告具体情况采取相应措施
e) 应重新设置日志文件存放位置访问权限防止日志破坏应定期审计日志信息
f) 应集中日志机通加密通道进行日志传输集中日志机进行安全加固
4) 理策略
a) 防火墙理必须安全认证认证程应记录认证机制应综合种认证方式密码认证令牌认证会话认证特定 IP 址认证等
b) 应设置理防火墙 IP 范围禁止址均登陆防火墙理界面
c) 防火墙入侵检测系统联动情况手工方式启联动策略避免入侵检测系统误报造成正常访问阻断
d) 应安全存放防火墙配置文件专保保护配置文件非法获取

十五系统安全理制度
1 总
策略适系统理员等
策略建立系统层规划建设运行变更废弃等阶段安全保障求
2 安全求
21 系统安全规划策略
1) 信息系统机设备网络设备通讯线路网控中心等运行维护费相关费中支出设备维护费单位相关费中支出
2) 系统硬件采购必须符合XXX单位信息安全策略策略符合长期商业需求
3) 系统硬件采购必须考虑：新设备满足功需时应优秀性足够容量避免影响数处理数必须适保护策略避免丢失意外预测破坏系统必须较冗余（电源CPU组件）避免出现突然意外事件
4) 系统硬件采购时必须通结构评估应量获价格性性容错性售技术支持包括相应技术文档IT文档降低购买硬件设备风险
5) 系统服务器操作系统应选正版软件遵守软件规定终户协议禁止盗版软件
6) 关键业务系统服务器操作系统选型必须符合国际B1级（UNIX）标准客户端操作系统须符合国际C2级（Winows）标准
7) 系统服务器操作系统应该避免选新开发尚未成熟稳定系统软件
8) 应充分考虑选机硬件操作系统业务软件兼容性
9) 新系统安装前应详细实施计划包括：时间进度计划力资源分配计划应急响应计划应充分考虑新系统接入网络时原网络中系统影响制定详细应急计划避免新系统接入出现意外情况造成原网络中系统损失
10) 新系统安装程中应严格实施计划进行步实施进行详细记录终形成实施报告
11) 新系统安装完成投入前应组件包括设备服务应进行连通性测试性测试安全性测试做详细记录终形成测试报告测试机构应专业信息安全测试机构第三方安全咨询机构进行
12) 新系统安装完成测试通投入前应删测试户口令化合法户权限优化配置
13) 新系统安装应时系统软件文件重数进行备份
14) 新系统安装应立更改操作系统应服务默认配置策略进行备份
22 系统运行维护安全策略
1) 应日常运维监控配置理变更理职责进行分离员负责应机设备拥户账号员权限账号认证理方式做出明确规定重机设备应RAIUS者TACACS+方式实现户集中理应服务器户账号RAIUS者TACACS+服务器户账号进行审查发现疑户账号时系统理员进行核实采取相应措施户权限设置时应遵循授权权限分割原系统户数库系统户应系统户授予业务需权限应禁止理机系统关员提供机系统户账号关闭切需系统账号两月户账号进行锁定应机设备中户账号进行登记备案
2) 应口令选取组成长度保存修改周期做出明确规定禁止名字姓氏电话号码生日等容易猜测字符作口令单单词命令作口令组成口令字符应包含写英文字母数字标点控制字符等口令长度求8位严禁口令存放计算机文件中写容易获取方果存储应户账号口令加密方式存储
M5方式口令文件（：系统中etcshaow）拷贝访问权限应该严格限制超级户读定期检查重机系统求少月修改次口令者次性口令设备理工作站计算机求少两月修改次口令掌握口令理员调离职工作时必须立更改相关口令应定期利口令破解软件进行口令模拟破解测试发现脆弱性口令时采取强制性补救修改措施
3) 严格禁止非系统理员直接进入机设备进行操作特殊情况（系统维修升级等）需外部员（指厂家技术工程师非系统技术工程师安全理员等）进入机设备进行操作时必须系统理员登录操作全程进行记录备案禁止系统户账号口令直接交外部员紧急情况需外部员开放时账号时必须安全理机构相关领导申请申请中写明开放时账号原时间期限外部员操作监控方法负责开放注销时账号员等容严格根安全理机构批复进行时账号开放注销监控记录备案
4) 应减少机设备远程理方式例Telnet等果确需进行远程理应SSH代Telnet限定远程登录超时时间远程理户数量远程理终端IP址时系统安全配置理策略中规定进行严格身份认证访问权限授予配置完立刻关闭类远程理功应避免SNMP协议进行理果确需应V3版代V1V2版启M5等校验功进行远程理时应设置控制口远程登录口ile timeout时间控制口远程登录口空闲定时间动断开访问服务器桌面机保护获访问信息应采取服务器相保护力防止获信息桌面机窃取
5) 严禁意安装卸载系统组件驱动程序确实需应时评测带影响获信息安全工作组批准生产环境实施评测策整程记录备案禁止意载安装历明没版权软件严禁安装网络游戏时通讯程序（ICQMSNQQ等）服务器系统禁止安装该服务器提供服务应关软件禁止重机系统浏览外部网站网页接收电子邮件编辑文档进行机系统维护关操作果需安装补丁程序补丁程序必须通日常维
护理工作站PC机进行载然移相应机系统安装
6) 禁止机系统开放具写权限享目录果确实必时开放设置强享口令完立刻取消享应禁止系统明确服务协议设备特性避免安全服务例：SNMPRPCTelnetFingerEchoChargenRemote RegistryTimeNISNFSR系列服务等
7) 应严格合理分配服务安装分区者目录权限果话项服务安装独立分区取消者修改服务banner信息避免应服务运行root者aministrator权限
8) 应严格控制重文件许权拥权重数应加密存放机取消匿名FTP访问合理信关系
9) 应日志功启日志记录容日志理形式日志审查分析做出明确规定重机系统应建立集中日志理服务器实现重机系统日志统理利机系统日志审查分析应保证设备系统日志处运行状态两周日志做次全面分析登录户登录时间做配置操作做检查发现异常现象时应时信息安全工作组报告
10) 应时监视收集机设备操作系统生产厂商公布软件补丁更新求载补丁程序站点必须相应官方站点更新软件补丁进行评测获信息安全工作组批准生产环境实施软件更新者补丁安装必须订阅CERT (计算机紧急响应组)公告专业安全机构提供安全漏洞信息相关资源应立提醒信息安全工作组影响网络正常运行漏洞时评测漏洞采取策获信息安全工作组批准生产环境实施评测策整程记录备案软件更新者补丁安装应量安排非业务繁忙时段进行操作必须两完成监督操作升级（修补）前做数软件备份工作时整程记录备案软件更新者补丁安装应重新系统进行安全设置进行系统安全检查
11) 应定期进行安全漏洞扫描病毒查杀工作均频率应低2周次重安全漏洞发布应3工作日进行防止网络安全扫描病毒查杀网络性造成影响应根业务实际情况扫描时间做出规定应般安排非业务繁忙时段发现机设备存病毒异常开放服务者开放服务存安全漏洞时应时报信息安全工作组采取相应措施
12) 应少天1次机设备进行检查确保设备正常工作应通种手段监控机系统CPU利率进程存启动脚等状况发现异常系统进程者系统进程数量异常变化时者CPU利率存占量等突然异常时应立报信息安全工作组时采取适控制措施记录备案
13) 机系统出现现象时必须进行安全问题报告诊断：
a) 系统中出现异常系统进程者系统进程数量异常变化
b) 系统突然明原性降
c) 系统明原重新启动
d) 系统崩溃正常启动
e) 系统中出现异常系统账号
f) 系统账号口令突然失控
g) 系统账号权限发生明变化
h) 系统出现源明文件
i) 系统中文件出现明原改动
j) 系统时钟出现明原改变
k) 系统日志中出现非正常时间系统登录明IP址系统登录
l) 发现系统明原扫描网络机
14) 系统踪种非法请求记录某文件情况根系统位置错误口令连续干次系统应采取相应措施封锁终端记录终端户名立报警
15) 应时报告已知疑信息安全问题违规行紧急安全事件采取适措施时应信息安全工作组报告细节试图干扰防止阻碍劝阻员工报告类事件时禁止形式报复报告调查类事件应定期提交安全事件相关问题理报告备理层检查
16) 设备发生障时操作员应立停止详细记录障发生时间现象等情况时通知单位信息员单位信息员解决单位没信息员通知XXX部门维护员须时现场排够处理须立进行处理法处理通知设备维修商现场处理
17) 应根必须知道原严格限制泄漏安全违规行安全事件安全漏洞果必须XXX单位外部方（包括合法权威机构）泄漏类受限信息应先咨询相关法律部门
18) 系统软件安装应立进行备份续程中系统软件变更配置修改前应立进行备份工作应少年
1次重机系统进行灾难影响分析进行灾难恢复演
19) 应少年1次整网络进行风险评估次风险评估时手工检查例应低10％渗透测试例应低5％风险评估应10工作日完成网络修补加固进行二次评估
23 系统变更安全策略
1) 系统维护员应机设备接入系统配置变更废弃等变更操作前进行数备份关键机设备准备备件保证常机设备库存便成功情况时进行恢复
2) 新机设备接入应首先相关部门提出申请该部门根实际业务需进行审核确定佳接入方案进行实施果接入系统影响应急响应组进行响应解决接入带障禁止私安装移动网络设备业务系统员果需机设备求机系统配置变更应首先系统维护员提出申请信息安全员进行安全确认签字系统维护员负责安排实施禁止私变更机系统配置机系统废弃应首先相关部门提出申请该部门根实际业务需进行审核确定佳废弃方案禁止私废弃移动机设备
3) 应新接入机系统进行资产登记登记记录应该标明硬件型号厂家操作系统版已安装补丁程序号安装升级时间等容
4) 新机系统接入应进行记录备案记录容应包括：接入接入时间接入原等机系统配置变更情况应进行记录记录容应包括：变更变更时间变更原变更容等便期问题查询分析机系统废弃应进行记录备案记录容应包括：废弃废弃时间废弃原
5) 新机系统接入配置变更废弃前应做详细应急预案备紧急情况时应重变更必须做操作监督理
6) 新机系统正式架运行前应系统维护员进行功测试信息安全员进行安全测试确认签字方正式运行严禁测试测试成功情况接入网络信息安全员需测试容：
a) 查硬件软件系统运行情况否正常稳定
b) 查OS版补丁否新
c) OS否存已知系统漏洞者安全缺陷
7) 新机系统正式架运行前应严格相关系统安全配置理规定中容进行配置记录备案
8) 新机系统正式架运行应段时间试运行试运行阶段应严密监控运行情况发现网络运行稳定者出现明显疑情况时应立启动应急预案试运行阶段应相关日常运维理规定进行理
9) 机系统配置变更前应严格相关系统安全理规定中容进行配置检查机系统软件变更配置变更应段时间试运行试运行阶段时应严密监控运行情况发现网络运行稳定者出现明显疑情况时应立启动应急预案试运行阶段应相关日常运维理规定进行理
10) 设备修复程中需更换部件XXX部门规定报批意方进行机系统硬件存变更情况时应遵循先废弃接入策略
11) 机系统废弃安全考虑应套完整流程防止废弃影响系统
12) 机系统废弃应段时间试运行试运行阶段应严密监控网络中系统运行情况发现网络运行稳定者出现明显疑情况时应立启动应急预案试运行阶段应废弃机系统进行妥善保者关规定系统容进行销毁
24 操作系统安全配置策略
1．Winows系统安全配置理策略
应安全策略前应根业务系统实际情况进行操作注意实施操作业务风险
1) 物理安全策略
a) 应设置 BIOS 口令增加物理安全
b) 应禁止远程户光驱软驱
2) 补丁理策略
a) 访问 Internet Winows 系统应采手工补丁方式
3) 帐户口令策略
a) 帐户均应设置口令
b) 应系统理员账号 aministrator 重命名
c) 应禁止 Guest 账号
d) 应启密码必须符合复杂性求设置密码长度值密码长存留期密码短存留期密码强制历史停域中户原加密存储
e) 应设置账户锁定时间账户锁定阈值复位账户锁定计数器防止远程密码猜测攻击
f) 信息安全组批准应定期利口令破解软件进行口令模拟破解测试发现脆弱性口令时通告采取强制性补救修改措施
4) 网络服务策略
a) 应减少网络服务关闭必服务
b) 应通修改注册表项调整优化 TCPIP 参数提高系统抵抗 oS 攻击力
c) 应限制 SNMP 服务果确需应 V3 版代 V1V2 版启 M5 校验等功
5) 文件系统策略
a) 分区均应 NTFS
b) 量磁盘配额理文件加密（EFS）等功
c) 应卸载 OS2 POSIX 操作环境子系统
d) 应常理工具放 systemroot 外特殊目录进行严格访问控制保证理员具执行工具权限
e) 应关闭 NTFS 生成 83 文件名格式
f) 应设置访问控制列表（ACL）重目录文件进行访问权限限制
6) 日志策略
a) 应启系统文件审核功包括应程序日志安全日志系统日志种服务日志
b) 应更改日志存放目录时监控特安全日志系统日志重机设备应建立集中日志理服务器实现重机设备日志统理利机设备日志审查分析
7) 安全性增强策略
a) 独立服务器应直接检查策略配置属域服务器应检查域控制器计算机域理策略检查容户户组权限理策略
b) 应限制注册表访问严禁注册表匿名访问严禁远程访问注册表关键注册表项进行访问控制防止攻击者启动特洛伊木马等恶意程序
c) 应定期检查注册表启动项目避免系统安装非法启动程序
d) 应隐含登陆户名避免攻击者猜测系统户信息
e) 登录系统时应显示告警信息防止户远程终端服务口令进行动化脚猜测删关机钮
f) 应删 Winows 机默认网络享
g) 应关闭 Winows 机匿名连接
h) 需享服务机应彻底关闭文件印机享服务
i) 应限制 Pcanywhere 等远程理工具确实需应新版完整安装补丁程序评测获信息安全工作组许 Pcanywhere 加密方式进行理
j) 应安装防病毒软件时更新软件版病毒库
k) 量安装防火墙
2．UNIX系统安全理策略
1) 补丁理策略
a) 应时安装系统新补丁
b) 应时升级服务新版
2) 帐户口令策略
a) 帐户均应设置口令
b) 需帐户修改默认帐号 shell 变量
c) root 外应存 ui0 帐户
d) 应设置超时动注销登陆减少安全隐患
e) 应限制 su root 组
f) 应禁止 root 远程登陆
g) 信息安全组批准应定期利口令破解软件进行口令模拟破解测试发现脆弱性口令时通告采取强制性补救修改措施
3) 网络服务策略
a) 应减少网络服务关闭必服务
b) 应启 inet 进站连接日志记录增强审计功
c) 应调整优化 TCPIP 参数提高系统抵抗 oS 攻击力
d) 应调整TCPIP 参数禁止 IP 源路
e) 应限制 SNMP 服务果确需应 V3 版代 V1V2 版启 M5 校验等功
f) 应调整核参数开TCP机序列号功
4) 文件系统策略
a) 量系统 root 户初始创建权限(umask)077
b) 量磁盘配额理功
c) 适文件 setui setgi 位
d) 应限制 etc 目录写权限
e) 增强关键文件执行权限控制
f) 挂载点指派属性
5) 日志策略
a) 应 sshsu 登陆日志进行记录
b) 日志服务器外应禁止 syslog 网络监听514端口
c) 重机设备应建立集中日志理服务器实现重机设备日志统理利机设备日志审查分析
6) 安全性增强策略
a) 允许 root 执行 crontab 命令
b) 应保证 bash shell 保存少量（保存）命令
c) 应禁止 GUI 登陆
d) 应隐藏系统提示信息
e) 量安装第三方安全增强软件
f) 操作系统作业正常非正常结束清分配该作业全部时工作区域
g) 系统保护信息原件样精确保护信息拷贝

十六信息系统变更理规定
1 总
加强信息系统变更规范理降低变更潜风险保障信息系统稳定安全高效运行制定规定
2 变更申请
1) 规定中信息系统包括社会保险理信息系统门户网站系统软硬件台通信链路信息系统变更理包括硬件增加调整系统补丁升级系统线软件安装调整配置参数调整等
2) 信息系统变更分重变更般变更重变更指变更涉范围广风险点者存较风险确定素变更包括限系统软件更换重升级机房改建调整新产品新功线等余变更属般变更变更需填写变更申请表见附件三
3 变更评估
1) 变更实施前应变更容进行项性变化风险度评估评估应少包含变更原变更方案潜风险检验方法影响通知范围等容
2) 变更前须硬（软）件供应商取联系明确变更否存未知风险
3) 变更前应安排相关通知工作保证员工客户时充分解变更容关规定执行
4) 变更前应做项备份工作保证变更回退性
5) 涉核心系统重变更条件允许情况应线前进行充分演练
4 变更实施
1) 变更XXX部门具体实施变更应实施员复核员
2) 变更需硬（软）件供应商现场支持需提前告知供应商支持需求确认现场支持员时间点
3) 变更审慎原进行涉重变更须高理层授权方执行
4) 般变更须技术负责批准涉操作流程功变更XXX部门规划实施涉系统线等变更需总理XXX部门批准
5) 变更参系统变更操作流程进行见附件须填写系统变更记录表见附件二变更记录应完整详细
5 变更档
1) 变更容应进行踪记录运行情况
2) 变更涉值班日志应急等相关操作手册应时更新
3) 变更涉配置理应变更员变更信息提交配置理员配置理员变更信息档入库变更信息包括变更版系统配置相关操作手册等
附件：系统变更操作流程
系统变更操作流程
明确变更原硬（软）件供应商取联系明确变更否存未知风险变更风险较应取供应商现场非现场支持
二变更进行评估必时求硬（软）件供应商提供变更评估报告评估变更潜风险点变更方案行性确定风险检验方法估算影响范围等行业已变更前例解变更情况做参考
三确定变更范围制定变更方案确定变更时间变更实施员
四填写系统变更记录表提交相关员确认变更前已进行相关测试需提交书面测试总结报告
五需安排相关通知工作
六变更员配置理员进行变更前备份备份容包括限：
（）数备份(业务数行情数等)
（二）软硬件备份
（三）配置信息备份
（四）参数备份
（五）相关操作手册备份
七根变更方案进行变更填写变更操作手册
八变更严格执行相关测试测试通测试环境进行恢复须恢复需次检查变更设备系统确保正常
九值班员值班日志中记录变更情况
十变更值班应急等相关操作调整需时操作手册流程进行更新
十变更硬（软）件进行踪检查系统变更记录表中记录踪情况系统变更记录表档
十二评估风险较变更变更前需做应急回退方案保证方案真实效
十三变更员配置理员需变更信息档入库
十四操作手册变更流程：
（）变更需技术负责意
（二）变更原操作手册进行备份
（三）变更根变更情况更新操作手册应流程表单等更新版号
（四）操作手册提交配置理员入文档库

附见二系统变更记录表
系统变更记录表
编号：
变更：
日期：
变更原

变更评估

变更容：（包括软硬件配置信息等）

复核确认

测试确认

技术负责确认

负责确认

变更踪

附件三：变更申请表
变更申请表
编号：号
申请公司部门名称

申请

提交时间

联系电话

移动电话

申请变更容描述

申请变更时间

变更结束时间

受影响网络
户服务

需求提出公司部门
系统负责意见

签字：年月日
容需求变更提出系统建设运维公司厂商相关部门填写
日常变更审
批负责意见

签字：年月日
重变更审批
负责意见（重变更时填写）

签字：年月日

评审委员会
专家意见

签字：年月日
备注

十七信息系统硬件设备维护理制度
1 总
加强设备安全理时检查排信息系统硬件设备隐患充分发挥硬件设备良性减少硬件设备障确保信息系统安全稳定运行制定规定
信息系统硬件设备包括机房硬件设备机房外硬件设备办公设备维护参公司相关制度执行列入制度中
2 机房硬件设备维护
1) 确保机房设备正常运行必须良机房环境：
a) 机房保持适温度湿度：温度控制2025度湿度控制4070天进行检查记录
b) 机房保持整洁干净：关机房门窗封堵外界接触缝隙禁止关员进出机房保持机房面机架积尘周扫卫生次
c) 月机房电源进行次工作电压零电压测量
2) 服务器
a) 服务器量采双电源系统分电源供电条件采双路UPS供电服务器电源插座专插座
b) 良开关机序：开机时先开外设开机关机时先关机关外设
c) 服务器种螺丝插槽档板必须齐全防灰尘进入
d) 年服务器进行次尘包括板插卡通风槽电源风扇驱动器等处积灰
e) 尘前必须佩戴静电环等设施防止静电机损坏
f) 服务器尘时充分时间尘服务器进行运行测试相应应急准备防止尘时意外损坏影响交易
3) UPS
a) 合理开关机序：开机时先接市电UPS开机逆变器正常工作启动负载防止击电流定序逐步加载关机时先逐步关闭负载关闭UPS关闭市电
b) 月UPS输入输出电压电池电压负载率进行检查记录UPS负载80
c) 停电时密切监控UPS电池工作状态作记录
d) 季UPS电池进行次放电电池输出电压达190V左右恢复正常供电避免深度放电造成UPS电池损害
e) 年UPS机进行次尘线路维护必时UPS输出电压波形进行次测量检查电池箱电池否漏液电池间连接线否松动腐蚀等现象
f) 放电工作外UPS尘波形测量电池检查等工作专业员完成
4) 机房供配电
年机房供配电系统中计算机供电系统电气部分包括仪表电气开关电源插座等检查检查仪表螺丝开关接线排接线柱否松动加固定时更换老化线路电器开关等项工作工程施工公司巡检完成
5) 机房交换机路器
a) 机房交换机路器机房关键设备意配置挪作
b) 天检查设备运行情况观察设备信号指示灯否正常工作
c) 时做设备机体外部清洁工作设备档板螺丝齐全
d) 年交换机路器进行次尘特风扇处积灰尘方法参服务器维护
6) 机房空调
a) 空调器时手控停开操作时间量间隔3分钟防止瞬间启动电流造成熔断丝熔断热保护器动作甚压缩机损坏
b) 听空调器运行中异常杂声金属碰撞声电机嗡嗡声外壳振动声等应立停机检查查明原免出现更损坏
c) 天检查空调显示面板显示信息否正常检查空调排水情况渗漏机房面
d) 月清洗机房空调滤网次防止尘埃网微孔堵塞进出风量减降低制冷效率
e) 年机房空调进行次专业维护保养：空调制冷系统电气系统室外机系统进行常规尘清扫线路检测制冷剂检查等维护保养保持机房空调良运行性提高制冷效率
7) 防雷消防
a) 机房防雷系统应符合制度求年需专业防雷部门检测
b) 周查防雷设备信号指示灯检查防雷工作否正常雷雨季节天查旦发现障时更换
c) 机房消防系统须请专业员进行检查消防部门出具合格证
d) 天检查火警报警系统否正常报警记录等
8) 线路维护
a) 月通讯线路进行次维护检测整理线路改动做登记
b) 季机柜网络线路进行次维护整理网线颜色分明正确标号清晰误改变应时更改相应图纸
b) 季电话配线架进行次维护整理改变应时更改相应图纸

3 机房外设备维护
1) 发电机
a) 指定专负责发电机操作严格操作流程操作
b) 停电启发电机时应等发电机电压频率稳定切换免发电机工作稳定时烧坏设备
c) 发电机空载试验时间超15分钟
d) 保持发电机房清洁禁止堆放杂物防止易燃物高温发生火灾
e) 月发电机进行次发电测试检查润滑油油位冷液液位空气滤芯器阻塞指示器燃油供油储备等情况保证发电机时候市电中断情况时投入运行避免必时间延误
f) 季发电机启动电瓶电池进行维护充电检查建议电瓶浮充电器
g) 年发电机进行次外部清洁工作吸尘器清通风网灰尘
h) 定期专业员发电机工作性进行维护保养

附件：设备维护记录表
设备维护记录表
编号：
设备名称

出厂编号

设备型号

申请维修部门

申报
障情况

申报：年月日
处置
处置意见

批准：年月日
维修
维修单位

维修时间

联系

联系电话

维修情况

记录：年月日
验收
验收结果

验收：年月日

十八数备份恢复理制度
1 总
效理单位重数保障备份数完整性业务持续性规范日常数备份恢复介质理工作制定规定
制度理范围包括信息系统数备份保存备份数介质
2 数备份
1) 信息系统数重性划分三类：
A类数核心业务数需日进行备份
B类数指操作系统系统配置数外围系统数等类数较少变动需定期进行备份
C类数指系统配置数外围系统数等类数时升级测试需需时进行备份
2) 数备份介质般磁盘光盘移动硬盘等
3) 数备份方式分实时数备份定时数导出备份时复制备份三种方式根数重性核心系统运行影响原选择
4) 应根数重性核心系统运行影响制定数备份策略恢复策略
5) A类数日定时数导出备份方式备份数周刻录数次月数进行次恢复验证
6) B类数改动较频繁采定时导出备份方式进行备份系统进行更改配置改变时应时进行备份妥善保存
7) C类数时升级测试需需时进行备份正式必须采备份方式进行备份保存
8) 备份数应数文件名中包含备份日期备份介质表面写处介质封套标明备份日期备份完成备份员负责备份介质标贴介质容登记备份介质记录表见附件
3 数恢复
1) 数范围仅限理该数部门员完毕必须时放回原处
2) A类数备份完成应备份数进行恢复验证测试
3) 恢复A类数必须求相关业务部门检查数准确性效性相关业务部门验证方运实际信息环境中
4) 恢复B类数应特注意数时效性避免该类数备份更新时导致出现系统障
5) 备份数前原应环境数应备份
4 备份数转储
1) 数理员根备份介质记录表介质效期（五年）否需转储标志求备份员备份数进行转储
2) 备份转储完成备份员负责备份介质标贴介质编号介质编号介质容备份员等登记案
3) 备份员移交备份转储介质时需时移交原备份介质
附件：备份介质记录表
备份介质记录表
编号：
备份日期
介质编号
介质类型
备份容
备份操作
备注

十九恶意代码防范理制度
1 总
建立XXX单位统病毒防范安全理加强恶意代码防范意识理制定规定
2 安全求
1) 防病毒产品选型
a) XXX单位应采国家许正版防病毒软件保证软件长期效支持
b) 防病毒体系建立必须防病毒厂商XXX单位帮助指导建立完善网络防病毒体系
c) 建设XXX单位范围网络防病毒体系客户端应部署整XXX部门范围
d) 应采成熟网络防病毒系统服务器防毒客户端防毒群件防毒网关防毒等防病毒体系整合起形成层次病毒深防护体系制定全网防病毒规划
2) 防病毒配置策略
a) 防病毒服务器安全策略配置应符合XXX单位发展实际情况
b) 应启防病毒系统实时检测功
3) 防病毒理
a) XXX单位应指定专负责计算机病毒防范工作
b) 收防病毒厂商严重病毒通告应时通知员工
c) 周检查二次病毒库升级情况发现杀病毒立报发现查杀病毒时杀毒软件进行查杀月更改服务器理密码做记录
d) 周次全网进行病毒检测发现病毒立处理报告
e) 新系统安装前必须进行病毒例行检测
f) 禁止运行未信息安全工作组审核批准软件
g) 外（：网络载移动磁盘等介质）程序文档应运行开前进行计算机病毒检测清
h) 电子邮件附件带程序文档直接运行开应运行开前先存盘进行计算机病毒检测清开运行
i) 禁止进行计算机病毒制作意传播
j) 果病毒造成损失应该立隔离受病毒感染计算机部网隔离开
k) 重部门计算机做专专专避免交叉
l) 月应少进行次全网病毒综合分析报告病毒防护策略调整做
m) 应预期重病毒发作前信息安全工作组报告病毒预警信息获批准采取相应防护措施
n) 发现疑病毒现象时应时进行计算机病毒诊断分析采取适措施进行计算机病毒清系统恢复计算机病毒引起计算机信息系统瘫痪程序数严重破坏等重事应做现场保护工作信息安全工作组报告
o) 应定期整网进行计算机病毒检测清检测清结果记录备案周期应低2星期
p) 发现新病毒时应保留原始记录立报告信息安全工作组
q) 应根病毒危害程度进行分类报警报警方式应少包括界面报警声音报警Email报警Winows消息报警记录日志数库等
4) 介质防毒求
a) 远程通信传送程序数必须检测确认病毒方
b) 拷贝数存储介质前均需进行病毒检测
5) 严禁黑客软件
二十信息系统应急预案
XXX单位信息系统安全理维护提高处理突发性信息系统异常事件力确保业务系统稳定运行特制订应急预案该预案旨建立紧急状态快速响应快速定位快速处理应急机制增强紧急情况应急处理力进步完善XXX单位信息系统保障体系
预案XXX单位根国家关法律法规政策结合XXX单位信息系统建设运行情况重点针业务系统中发生重突发事件编制包括总组织指挥体系职责预警预防机制应急处理程序保障措施附附件等中明确规定发生类突发事件情况信息系统理员相关职工作方法具定指导性操作性

1 总
11 目
科学应信息系统突发事件建立健全信息系统应急响应机制效预防时控制限度消类突发事件危害影响制订应急预案
12 工作原
a) 统领导
遇重异常情况应时关领导报告便统调度减少良影响
b) 综合协调
明确综合协调职机构员做职间相互衔接
c) 重点突出
应急处理重点放运行着重业务系统导致严重事果关键系统
d) 硬件配置备份
备份相关网络设备服务器参数系统配置相关硬件线路热备冷备等措施提高信息系统安全系数备设备求预先配置种参数发生障时动者手动切换直接线运行
e) 快速恢复
系统理员坚持快速恢复系统原根职责分工加强团结协作必情况设备供应商维护商网络台提供商系统集成商等谋求问题快速解决
f) 时反应积极应
出现信息业务障时值班员应时发现时报告时抢修时控制积极信息业务突发事件进行防范监测预警报告响应
g) 防范加强监控
常性做应信息业务突发事件思想准备预案准备机制准备工作准备提高基础设备基础网络重信息系统综合保障水加强信息业务应日常监视时发现信息业务突发性事件采取效措施迅速控制事件影响范围力争损失降低程度
2 应急工作组机构职责
网络事件处理中组织良职责明确科学理应急队伍成功关键组织机构成立事件响应决策恢复防止类似事件发生具重意义结合XXX单位信息系统实际情况信息系统障关应急员角色职责进行明确划分（图1）

1) 应急处理领导组
时掌握信息系统障事件发展动态级部门报告事件动态关事项做出重决策启动应急预案组织调度必外部资源等
领导组组长：
领导组副组长：
领导组成员：
2) 应急处理工作组
负责定期解外部支持员变动情况时更新技术员联系方式等信息快速响应硬件系统软件系统网络系统机房环境系统障震火灾雷电水灾等然灾害引起导致信息业务系统中断事件执行述相关障诊断排查恢复操作定期通运行维护理软件系统运行报告等方
式信息业务系统情况进行分析早发现网络异常状况排网络隐患
工作组组长：
工作组成员：XXX部门全体员
3) 外部支持员
包括网络运营商设备供应维护商系统集成商等负责事先XXX单位提供紧急情况应急技术方案应急技术支援体系积极配合应急员进行障处理
设备供应商系统集成商电信运营商设备维保商等联系方式
3 预警预防机制
31 信息监测报告
1) 信息系统日常理维护
信息系统日常理维护应加强信息业务应监测分析预警工作
2) 建立信息业务系统障事报告制度
发生信息业务系统障时值班员应立XXX部门负责报告时进行障处理调查核实保存相关证等
32 预警
接突发事件报告应初步核实关情况时XXX单位报告进步进行情况综合研究分析造成影响程度提出初步行动策级领导视情况紧急程度召集协调会决策行动方案发布指示实施命令等
33 预警支持系统
应建立完善信息监测消息传递指挥决策支持系统保证突发事件处理程中资源享运转正常指挥力
34 预防机制
关键业务信息系统建设充分考虑抗毁性灾难恢复制定断完善应急处理预案针信息系统突发性规模异常事件相关部门建立制度化程序化处理流程
4 应急处理程序
41 信息系统突发事件分类分级说明
根信息系统突发事件发生原性质机理信息系统突发事件分三类
1) 攻击类事件：指信息系统计算机病毒感染非法入侵等导致业务中断系统宕机网络瘫痪等情况
2) 障类事件：指信息系统计算机软硬件障机房环境系统障误操作等导致业务中断系统宕机网络瘫痪等情况
3) 灾害类事件：指爆炸火灾雷击震台风等外力素导致信息网络系统损毁造成业务中断系统宕机网络瘫痪等情况
突发事件性质严重程度控性影响范围分般障严重障重障特级障四级
1) 般障
信息系统中单设备终端单外联单位软硬件障未影响业务系统运行未造成社会影响济损失突发事件
2) 严重障
信息系统中某类业务节点软硬件障导致部分业务中断造成社会影响突发事件
3) 重障
信息系统业务瘫痪导致业务系统长时间中断造成重社会影响巨济损失突发事件
4) 特级障
特指发生预见灾难性事火灾水灾震等
42 信息系统应急预案启动
根定义障分级信息系统事件素满足启动应急预案求时进入相应应急启动流程
1) 应急处理工作组业务员障申告运行维护理系统障告警中知信息系统异常事件应第时间派相关员赶赴障现场
2) 应急处理工作组针信息系统异常事件做出初步分析判断单终端业务障者单业务模块障IP址更改物理连线松动某业务算法参数调整者短时间行解决问题时关操作规程进行障处理报领导组备案否应急处理工作组障致定性硬件障线路障软件障等障时告知领导组采取措施避免事件影响范围扩
3) 应急处理工作组领导组报告时启动相应应急预案针灾难事件影响重业务运行重事件时级机关进行报告
4) 应急处理工作组根障类型时外部支持员取联系中设备障设备供应维护商集成商联系软件障系统集成商联系系统集成商进行现场远程技术支持线路障网络运营商联系三方密切协作力求通信线路短时间恢复正常
5) 应急处理工作组级机构外部支持员配合充分利应急预案资源准备采取力措施进行障处理时信息系统恢复正常状态
6) 应急处理工作组通知业务部门信息系统恢复正常领导组报告障处理基情况重事件形成文字资料书面形式级报告
7) 总结整处理程中出现问题时改进应急预案
43 现场应急处理
1) 遇预知外界素（定时定点停电）影响信息系统正常运行根关部门通知提前安排技术员准备实施相关应急预案（停电应急预案详见供电中断设备运行预案）进行现场维护直外界素消
2) 遇抗力素（火灾）造成信息系统障时接通知值班员快速达现场启动相关应急预案（火灾应急预案详见员疏散机房灭火预案）果断切断相关设备配电柜电源积极参消抗力素时情况报中心负责
3) 遇般障严重障重障影响信息系统正常运行值班员迅速时赶现场进行相应突发事件应急处理处理程参障处理流程见附件
5 保障措施
51 应急演练
提高信息系统突发事件应急响应水定期定期组织应急预案演练检验应急预案环节间信息处理协调指挥等否符合快速高效求通演进步明确应急响应岗位责预案中存问题足时补充完善
52 员培训
确保应急预案效运行中心定期定期组织部工程师参加专业技术培训班研讨交流会便岗位应急员全面熟悉熟练掌握突发事件应急处理知识技
53 硬件资源保障
信息系统发生障时够量降低业务系统受影响程度须相应核心业务系统提供必备份设备备份网络等资源配备现设备兼容设备确保相兼容设备应急情况调配备份设备需预先采购保存专门位置备份设备实现热备设备实行双机线运行实现热备时更新冷备份设备配置快速顶

54 文档资料准备
包括信息系统型机配置情况存储配置情况前置机配置情况网络设备配置参数网络系统拓扑图IP址分布情况等
55 技术支持保障
建立预警应急处理技术台进步提高信息系统突发事件发现分析力技术逐步实现发现预警处理通报等环节业务网络系统相关部门间应急处理联动机制
56 公众信息交流
应急预案修订演练前利种信息渠道进行宣传定期利种活动宣传信息系统突发事件应急处理规程预防措施等应急常识
6 信息系统安全防范措施
61 建立健全信息系统职责体系规章制度
XXX部门负责类信息系统维护技术支持监控维护相关监控信息核实处理负责电力空调防火防雷等基础设施监控维护
XXX部门处理信息系统突发事件中职责：
1) 综合协调发生紧急事件时联络相关员位协调开展工作根事件严重程度领导组公安部门级关部门报告全系统通报
2) 负责应系统数库系统网络系统监控防范应急处置数系统恢复工作信息安全事件事追查
3) 负责信息系统安全防范应急处置恢复工作安全事件事追查
逐步健全完善种信息安全理制度包括：
a) 运行审批制度
b) 日志理制度
c) 安全审计制度
d) 数保护安全备份灾难恢复计划
e) 计算机机房重区域出入制度
f) 硬件软件网络媒体维护制度
g) 账户密码通信保密理制度
h) 害数计算机病毒预防发现报告清理制度
62 明确信息安全等级信息安全保护等级
根信息性质重程度划分四级：
A级高敏感信息实行绝强制保护
B级敏感信息实行强制保护
C级部理信息实行安全保护
级公信息实行般安全保护
根确立信息安全等级国家颁布计算机信息系统安全保护等级划分准确立计算系统安全保护五等级具体：
第级户保护级
第二级系统审计保护级
第三级安全标记保护级
第四级结构化保护级
第五级访问验证保护级
63 网络安全防范
单位外部相关部门联网量采单独网络设备通信线路采物理隔离防火墙逻辑隔离方式交换数采严格通信控制策略具备审计记录等功部计算级网络
应特网物理隔离元化申报等原需特网相连必须配置高性防火墙配置网闸电信移动等部门签订网络通畅安全保障协议确保网络线路障情况够时恢复必须机网络设备中较少存安全隐患服务进行关闭类网络接入设备采取具体严格安全控制措施网络建设改造时必须优先充分考虑网络安全性足够冗余备份设备旦出现障够时更换维护未XXX部门许严禁外计算机终端设备接入XXX单位业务网络系统中类网络设备关键机设备密码专保定期变更机制未采取相应加密措施前利电子邮件传递涉机密信息
64 病毒安全防范
XXX单位网计算机设备统正版杀毒软件外软件数必须先进行病毒检查安装
65 软件系统安全防范
网系统XXX部门求原杜绝盗版软件类业务应软件充分考虑软件安全求进行安全性评估
66 数安全防范
网系统户XXX部门统规划部署相关软硬件产品相应数备份恢复机制定期检查实施原备份介质存储机系统域
67 设备安全防范
信息系统设备必须较高性特中心机房服务器中心网络设备网络安全设备等关键设备严格国家计算机信息系统安全相关标准进行采购源头设备性安全关关键设备冗余备份相应配件旦设备出现障够时维护更换确保影响正常开展系统运行
68 机房安全防范
现机房符合国家A类标准建设具备放火防雷防静电防电磁干扰设备完备环境控制设备电源供应设备严格理制度值班制度确保类设备良运行环境

7 分类突发事件应急处理措施
71 黑客攻击时紧急处置措施
1) 关值班员发现业务系统网站容纂改通IPS系统发现黑客正进行攻击时应立网络理技术员通报情况
2) 网络理技术员应十分钟赶现场首先应攻击服务器等设备网络中隔离出保护现场时应急处理领导组通报情况
3) 网络理技术员负责攻击破坏系统恢复重建工作
4) 网络理技术员会相关支持员追查非法信息源
5) 网络理技术员组织相关支持员会商应急处理工作组组长汇报关情况
6) 应急处理工作组组长认情况严重应立应急处理领导组汇报
7) 应急处理领导组组长组织应急处理领导组召开会议认事态严重立公安部门级机关报警
72 病毒安全紧急处置措施
1) 发现计算机感染病毒应立安全理技术员报告该机网络隔离开
2) 安全理技术员接通知应十分钟赶现场
3) 该设备硬盘进行数备份反病毒软件该机进行杀毒处理时通病毒检测软件机器进行病毒扫描清工作
4) 果现行反病毒软件法清该病毒应立应急处理工作组组长报告迅速联系关产品商研究解决
5) 应急处理工作组会商认情况严重应立应急处理领导组汇报
6) 应急处理领导组会商认情况极严重应立公安部门级机关报告
7) 果感染病毒设备中心服务器系统领导组意应立告知相关科室部门做相应清查工作
73 软件系统遭破坏性攻击紧急处置措施
重软件系统时必须存备份软件系统相应数备份保存安全处
1) 旦软件遭破坏性攻击应立网络理技术员业务系统技术员报告该系统停止运行
2) 业务系统技术员软件系统数恢复
3) 网络理技术员检查日志等资料确定攻击源
4) 业务系统技术员应急处理工作组组长汇报
5) 应急处理工作组组长认情况严重应立应急处理领导组汇报
6) 应急处理领导组认情况极严重应立公安部门级机关报告
74 数库安全紧急处置措施
1) 数库应双机热备设置少准备两数库备份时备份放机房备份放异安全场
2) 旦数库崩溃值班员立业务系统领导报告
3) 值班员应立集成商请求支援时通知相关科室部门暂缓业务系统传报数
4) 系统修复启动通知相关科室部门业务系统传报数
75 公司域网中断紧急处置措施
1) 网络备设备应存放指定位置
2) 公司域网中断网络理技术员应立判断障节点查明障原应急处理工作组组长汇报
3) 属线路障应重新安装线路
4) 属路器交换机等网络设备障应立指定位置备设备取出接调试通畅
5) 属路器交换机配置文件破坏应迅速求重新配置调试通畅
6) 应急处理领导组汇报
76 设备安全紧急处置措施
服务器存储设备等关键设备损坏值班员应立硬件理技术员报告
1) 硬件理技术员立查明原
2) 果够行恢复应立重新启该设备
3) 属行恢复立设备提供维护商联系请求派维护员前维修
4) 果设备时修复应处理工作组组长汇报告相关科室部门暂缓业务系统传报数
5) 时应急处理领导组汇报
77 员疏散机房灭火预案
1) 旦机房发生火灾应遵循列原：首先确保员安全次保护关键设备数安全三保护般设备安全
2) 员疏散程序：机房值班员立响火警警报通119电话公安消防请求支援参灭火员预定路线迅速机房中序撤出
3) 员灭火程序：首先切断电源启动动气体灭火装置
4) 果动灭火未开启机房门外时隔离开关启动开关启动灭火

78 供电中断设备运行预案
市供电局供电供两路市电中心机房路市电障影响中心机房市电供电
1) 市电中断机房供电动UPS备电源供电
2) 机房值班员应立查明原处理工作组组长汇报情况
3) 楼部线路障请物业服务部门迅速恢复
4) 果供电局原应立供电局联系请供电局迅速恢复供电
5) 果供电局告知需长时间停电应作安排
6) 应急处理领导组汇报情况
7) 市电恢复关掉发电机开关右中间停机位
79 关键员岗紧急处置措施
1) 关键岗位时应做员储备确保项工作两够操作
2) 旦发生关键员岗情况首先应处理工作组组长汇报情况
3) 处理工作组组长批准备员岗操作
4) 果备员法岗请求维保商集成商外部支持技术员支援
8 附
1) 预案称信息系统突发事件指然灾害软硬件障部失误破坏等原信息系统正常运行受严重影响出现业务中断系统破坏数破坏等现象造成良影响造成定程度直接间接济损失事件
2) 预案通演实践检验根应急历练变更新技术新资源应应急事件发展趋势时进行修订完善附成员联系方式等发生变化时时修订
3) 预案发布日起实施

附件：障处理流程
障处理流程

附件二：信息安全事件登记表
信息安全事件登记表
编号：
事件发生部门：
事件发生时间：
事件调查处理部门：
调查员：
事件类型：
事件级： □重 □较 □般
事件描述处理

调查负责：
日期：
事件影响原分析

调查负责：
日期：
处理意见

批准：
日期：
纠正预防措施

责部门：
日期：

纠正预防措施验证

验证：
日期：
附件三：应急预案培训记录
应急预案培训记录
培训时间

培训点

培训员

培训方式

参部门

参员

培训容

审批

审批时间

附件四：应急预案演练记录
应急预案演练记录
记录

记录时间

演练点

参部门

参员

演练容

演练目

演练结果

审批

审批时间

《香当网》用户分享的内容，不代表《香当网》观点或立场，请自行判断内容的真实性和可靠性！
该内容是文档的文本内容，更好的格式请下载文档

单位安全管理制度汇编

相关文档

机关单位管理制度汇编

餐饮服务单位食品安全管理制度汇编

安全管理制度汇编

信息安全管理制度汇编

＊＊公司安全管理制度汇编

学校安全工作管理制度汇编

学校安全管理制度汇编

小学安全管理制度汇编

学校安全工作管理制度汇编

安全生产管理制度汇编

平安校园安全管理制度汇编

安全生产管理制度汇编

安全生产管理制度汇编

学校安全管理制度汇编

信息安全管理制度汇编

《单位内保安全管理制度》

建设单位安全管理制度

＊＊单位车辆安全管理制度

单位内部网络信息安全制度汇编（试行）

《单位内部网络信息安全制度汇编（试行）》

文档贡献者

该用户的其他文档

相关PPT

相关PDF