信息安全管理制度汇编 .

1、内部资料注意保存XXXXXXXXXX信息安全制度汇编XXXXXXXXXX二一六年一月127目录一、总则6二、安全管理制度7第一章 管理制度71.安全组织结构71.1信息安全领导小组职责71.2 信息安全工作组职责81.3信息安全岗位92.安全管理制度112.1安全管理制度体系112.2安全方针和主策略122.3安全管理制度和规范122.4安全流程和操作规程142.5安全记录单14第二章 制定和发布15第三章 评审和修订16三、安全管理机构17第一章 岗位设置171.组织机构172.关键岗位19第二章 人员配备21第三章 授权和审批22第四章 沟通和合作24第五章 审核和检查26四、人员安全管理28第一章 人员录用281.组织编制282.招聘原则283.招聘时机284.录用人员基本要求295.招聘人员岗位要求296.招聘种类296.1 外招296.2 内招307.招聘程序307.1 人事需求申请307.2 甄选307.3 录用32第二章 保密协议33第三章 人员离岗35第三章 人员考核371制定安全管理目标372.目标考核383.奖惩措施38第四章 安全意识教育和培训391.安全教育培训

2、制度39第一章 总 则39第二章 安全教育的含义和方式39第三章 安全教育制度实施39第四章 三级安全教育及其他教育内容41第五章 附则43第五章 外部人员访问管理制度441.总 则442.来访登记控制443.进出门禁系统控制454.携带物品控制46五、系统建设管理47第一章 安全方案设计471.概述472设计要求和分析482.1安全计算环境设计482.2安全区域边界设计492.3安全通信网络设计502.4安全管理中心设计503针对本单位的具体实践513.1安全计算环境建设513.2安全区域边界建设523.3安全通信网络建设523.4安全管理中心建设533.5安全管理规范制定543.6系统整体分析54第二章 产品采购和使用55第三章 自行软件开发581.申报582.安全性论证和审批583.复议584.项目安全立项585.项目管理595.1 概要595.2正文60第四章 工程实施621.信息化项目实施阶段622.概要设计子阶段的安全要求623.详细设计子阶段的安全要求634.项目实施子阶段的安全要求63第五章 测试验收651.文档准备652.确认签字653.专人负责654.测试方案65第

3、六章 系统交付681.试运行682.组织验收68第七章 系统备案701.系统备案702.设备管理703.投产后的监控与跟踪72第八章 安全服务商选择74六、系统运维管理75第一章 环境管理751.机房环境、设备752.办公环境管理76第二章 资产管理811.总则812.资产管理制度81第三章 介质管理851.介质安全管理制度851.1计算机及软件备案管理制度851.2计算机安全使用与保密管理制度851.3用户密码安全保密管理制度861.4涉密移动存储设备的使用管理制度861.5数据复制操作管理制度871.6计算机、存储介质、及相关设备维修、维护、报废、销毁管理制度87第四章 设备管理891.主机、存储系统运维管理892.应用服务系统运维管理893.数据系统运维管理904.信息保密管理915.日常维护916.附件：安全检查表92第五章 监控管理和安全管理中心941.监控管理942.安全管理中心95第六章 网络安全管理96第七章 系统安全管理981.总则982.系统安全策略983.系统日志管理994.个人操作管理1005.惩处100第八章 恶意代码防范管理1011.恶意代码三级防范机制10

4、11.1恶意代码初级安全设置与防范1011.2.恶意代码中级安全设置与防范1011.3恶意代码高级安全设置与防范1022.防御恶意代码技术管理人员职责1023.防御恶意代码员工日常行为规范103第九章 密码管理104第十章 变更管理1061.变更1062.变更程序1062.1变更申请1062.2变更审批1062.3 变更实施1062.4变更验收106附件一变更申请表107附件二变更验收表108第十一章 备份与恢复管理1091.总则1092.设备备份1103.应用系统、程序和数据备份1114.备份介质和介质库管理1145.系统恢复1156.人员备份116第十二章 安全事件处置1171.工作原则1172.组织指挥机构与职责1173.先期处置1184.应急处置1194.1应急指挥1194.2应急支援1194.3信息处理1194.4应急结束1205后期处置1205.1善后处置1205.2调查和评估121第十三章 应急预案管理1221.应急处理和灾难恢复1222.应急计划1233.应急计划的实施保障1244.应急演练125一、总则为规范XXXXXXXXXX信息安全工作，确保全体员工理解信息安全工

5、作与职责，并落实到日常工作中，推动信息安全保障工作的顺利进行，结合XXXXXXXXXX的实际情况，特制定本制度。本管理制度所称信息系统安全，包括计算机网络和应用系统（以下简称信息系统）的硬件、软件、数据及环境受到有效保护，信息系统的连续、稳定、安全运行得到可靠保障。信息系统安全管理坚持“谁主管谁负责”的原则，公司的所有部门和员工都应各自履行相关的信息系统安全建设和管理的义务与责任。信息系统安全工作的总体目标是：实施信息系统安全等级保护，建立健全先进实用、完整可靠的信息系统安全体系，保证系统和信息的完整性、真实性、可用性、保密性和可控性，保障信息化建设和应用，支撑公司业务持续、稳定、健康发展。信息系统安全体系建设必须坚持“统一标准、保障应用、符合法规、综合防范、集成共享”的原则。本制度适用于公司所有部门和个人。二、安全管理制度第一章 管理制度1.安全组织结构XXXXXXXXXX安全管理组织应形成由主管领导牵头的信息安全领导小组、具体信息安全职能部门负责日常工作的组织模式，组织结构图如下所示：组织机构图1.1信息安全领导小组职责信息安全领导小组是由XXXXXXXXXX主管领导牵头，各部门的

6、负责人为组成成员的组织机构，主要负责批准XXXXXXXXXX安全策略、分配安全责任并协调安全策略能够实施，确保安全管理工作有一个明确的方向，从管理和决策层角度对信息安全管理提供支持。信息安全领导小组的主要责任如下：(一) 确定网络与信息安全工作的总体方向、目标、总体原则和安全工作方法； (二) 审查并批准政府的信息安全策略和安全责任； (三) 分配和指导安全管理总体职责与工作； (四) 在网络与信息面临重大安全风险时，监督控制可能发生的重大变化； (五) 对安全管理的重大更改事项（例如：组织机构调整、关键人事变动、信 息系统更改等）进行决策； (六) 指挥、协调、督促并审查重大安全事件的处理，并协调改进措施； (七) 审核网络安全建设和管理的重要活动，如重要安全项目建设、重要的安 全管理措施出台等； (八) 定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进 行审定。1.2 信息安全工作组职责信息安全工作组是信息安全工作的日常执行机构，内设专职的安全管理组织和岗位，负责日常具体安全工作的落实、组织和协调。信息安全工作组的主要职责如下：（一） 贯彻执行和解释信息安全领导小组的

7、决议；（二） 贯彻执行和解释国家主管机构下发的信息安全策略；（三） 负责组织和协调各类信息安全规划、方案、实施、测试和验收评审会议；（四） 负责落实和执行各类信息安全具体工作，并对具体落实情况进行总 结和汇报；（五） 负责内外部组织和机构的沟通、协调和合作工作； （六） 负责制定所有信息安全相关的管理制度和规范； （七） 负责针对信息安全相关的管理制度和规范具体落实工作进行监督、 检查、考核、指导及审批，例如现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。 以上组织结构和职责通过信息安全组织职责体系加以说明。1.3信息安全岗位为了有效落实信息安全各项工作，XXXXXXXXXX应设立以下专职的安全岗位，负责安全工作的落实和执行： 1.3.1信息安全工作组主管1) 负责网络与信息安全的日常整体协调、管理工作； 2) 负责组织人员制定信息安全管理制度，并对管理制度进行推广、培训和 指导；3) 负责重大安全事件的具体协调和沟通工作。 1.3.2安全管理员岗位1) 负责执行网络与信息安全工作的日常协调、管理工作；2) 负责日常的安全监控管理，并对上报和发现的各类安

8、全事件进行响应； 3) 负责系统、网络和应用安全管理的协调和技术指导； 4) 负责安全管理平台安全策略制定，访问控制策略审核； 5) 负责组织安全管理制度的推广和培训工作； 6) 负责定期进行安全检查，检查内容包括系统日常运行、系统漏洞和数据 备份等情况。1.3.3安全审计员岗位1) 负责安全管理制度落实情况的检查、监督和指导； 2) 负责安全策略执行情况的审核。 1.3.4系统管理员1) 负责系统安全稳定运行的日常管理工作； 2) 负责保持系统的防病毒系统、补丁等保持最新，定期对系统进行安全加 固，保持系统漏洞最小化。 1.3.5网络管理员1) 负责网络设备安全稳定运行的日常管理工作；2) 负责保持网络设备的漏洞最小化，定期对系统进行安全加固； 3) 负责保持网络路由和交换策略与业务需求保护一致。4）XXXXXXXXXX应根据日常的运行维护和管理工作，设置物理环境管理 、数据库管理、应用管理以及资产管理等岗位，这些岗位也应当包括安全职责，这些安全职责的具体内容通过信息安全管理岗位说明书落实。2.安全管理制度2.1安全管理制度体系XXXXXXXXXX安全管理制度应建立信息安全方针、安全策略、安全管理制度、安全技术规范以及流程的一套信息安全管理制度体系。2.2安全方针和主策略最高方针，纲领性的安全策略主文档，陈述本策略的目的、适用范围、信息安全的管理意图、支持目标以及指导原则，信息安全各个方面所应遵守的原则方法和指导性策略。 2.3安全管理制度和规范各类管理规定、管理办法和暂行规定。从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法，是必须具有可操作性，而且必须得到有效推行和实施的。 技术标准和规范，包括各个安全等级区域网络设备、主机操作系统和主要

《信息安全管理制度汇编 .》由会员Si****n分享，可在线阅读，更多相关《信息安全管理制度汇编 .》请在金锄头文库上搜索。