网络信息安全管理制度汇编.docx

网络信息安全管理制度汇编           2022年11月 目   录一、网络信息安全工作方针策略（一）网络信息安全方针（二）网络信息安全策略（三）网络信息安全组织机构二、安全管理制度（一）制度的编制（二）制度的批准、发布（三）制度的发放（四）制度评审和修订三、安全管理机构（一）关键活动的授权和审批（二）审核和检查（三）沟通合作四、人员安全管理五、系统建设管理(一) 规划设计(二) 设备选型(三) 采购和安装(四) 软件开发管理（五）工程实施（六）测试验收（七）系统交付（八）系统建设服务商选择六、机房安全管理制度（一）办公环境管理办法（二）机房出入管理（三）机房环境管理（四）机房介质管理（五）机房服务器管理（六）机房布线管理（七）机房网络设备管理（八）机房巡视管理（九）机房进出设备管理七、信息资产管理制度(一) 职责(二) 工作程序八、介质管理规定(一) 介质购置(二) 介质使用及维护管理(三) 介质定期检查(四) 介质维修(五) 介质的报废九、设备安全管理制度(一) IT设备的购买(二) IT设备的登记及领用(三) IT设备的维护(四) IT设备的报废十、商用密码产品使用管理制度(一) 商用密码产品的选择(二) 商用密码产品的使用(三) 商用密码产品的报废、销毁十一、网络安全管理制度(一) 网络安全规划(二) 网络接入控制(三) 网络安全审计(四) 网络设备管理(五) 网络安全检查(六) 网络访问控制(七) 网络服务安全十二、系统安全管理制度(一) 系统维护管理(二) 系统访问控制(三) 系统用户安全管理(四) 系统审计(五) 监视系统的使用(六) 系统备份十三、恶意代码防范管理制度(一) 职责(二) 防恶意代码系统的规划与部署(三) 恶意代码防范的日常管理(四) 恶意代码的查杀与处理十四、系统变更管理制度(一) 变更的申请和审批(二) 日常变更的实施(三) 重大变更的实施(四) 重大变更的验证和归档(五) 变更的失败的处理十五、备份恢复管理制度(一) 程序(二) 资产识别(三) 制定备份方案(四) 备份计划实施(五) 备份的介质标识(六) 备份介质的安全存放(七) 备份介质的定期测试(八) 信息恢复(九) 备份策略十六、信息安全事件管理制度(一) 网络信息安全事件分类(二) 网络信息安全事件分级(三) 网络信息安全事件的预防(四) 网络信息安全事件的报告(五) 网络信息安全事件响应(六) 网络信息安全事件的调查处理(七) 网络信息安全事件的整改(八) 信息泄密的安全事件应采用的处理程序和报告程序十七、应急预案管理制度(一) 应急处置基本原则(二) 组织体系(三) 网络信息安全事件应急处理 一、网络信息安全工作方针策略（一）网络信息安全方针全员参与     明确责任预防为主     快速响应风险管控     持续改进具体阐述如下：1.在市**局网络信息安全工作领导小组的领导下，全面贯彻《浙江省信息安全等级保护管理办法》（省政府223号令）、《浙江省公共数据条例》等关于网络信息安全的相关指导性文件精神，建立可持续发展的网络信息安全管理体系；2.全员是网络信息安全管理体系的活动分子；落实网络信息安全管理责任制，建立和完善各项网络信息安全管理制度，使网络信息安全管理有章可循；3.定期进行网络信息安全宣传、教育与培训，不断提高市**局全员的网络信息安全意识及能力；4.以预防为主的网络信息安全积极防御理念对所发生的网络信息安全事件进行快速、有序地响应；5.贯彻风险管理的理念，定期对各信息系统进行全面安全检查，将网络信息安全风险控制在可接受的水平之内；6.在市**局网络信息安全工作领导小组的领导下，市**局网络信息安全建设的工作合乎国家建设规范，保证市**局信息系统安全畅通与可控，保障信息系统所开发和维护健康的服务支持。

二）网络信息安全策略1.建立市**局网络信息安全管理组织机构，设立安全主管、各网络信息安全管理相关部门负责人、网络管理员、系统管理员、安全管理员等安全管理相关岗位并定义相应职责，建立健全网络信息安全管理制度，保证网络信息安全责任落实到位；2.网络信息安全领导小组定期或不定期地对市**局网络信息安全管理体系的合理性和适用性进行评审，对各项安全控制措施实施的可用性进行检测，对存在不足或需要改进的安全管理制度进行修订，以保证网络信息安全管理体系持续的充分性、适宜性、有效性；3.市**局信息系统按照国家等级保护有关要求，对市**局信息系统及信息确定安全等级，采取分等级保护；4.规范市**局信息资产（包括硬件、软件、服务等）管理流程，建立信息资产管理台帐，明确资产所有者、使用者与维护者，对所有信息资产进行标记，实现对信息产品购买、使用、变更、报废整个资产管理周期的管理；5.加强所有工作人员（包括市**局各科室内部人员直属单位，以及各类外来人员）的安全管理，制定违规安全信息管理条例的惩戒措施，落实人员聘用、在岗和离岗时的安全规程，与关键岗位人员签署保密协议；6.通过正式的网络信息安全培训，以及网站、简报、会议、讲座等各种形式的网络信息安全教育活动，不断加强市**局全体人员的网络信息安全意识，提高整体网络信息安全意识；7.落实包括门禁、视频监控、报警等安全防范措施，确保机房物理与环境安全。

部署机房专用空调、式UPS等环境保障设施，对机房设施运转情况进行定期巡检和维护制定对机房人员和设备的出入管理制度，对机房的进出入人员进行登记备案；8.加强对信息系统外包业务与外包方的管理，签署的服务协议对信息系统安全要求加以细化、明确通过审批、访问控制、监控、签署保密协议等措施，加强外部方访问信息系统的控制能力，防止外部方危害信息系统安全；9.对市**局各重要信息系统（包括基础设施、网络和服务器设备、系统、应用等）应有文档化的操作和维护规程，使得各个相关人员按规程对系统进行使用和操作，降低因误操作所引发网络信息安全事件的概率；10.在市**局内外网上统一部署网络、服务器、工作站的防恶意代码软件，并进行恶意代码库的统一更新，防范恶意代码、木马等恶意代码对市**局信息系统的影响通过强化恶意代码防范的管理措施，如加强介质管理，严禁擅自安装软件，加强人员安全意识教育，定期进行恶意代码检测等，提高市**局信息系统对恶意代码的防范能力；11.对市**局各重要的信息和信息系统进行备份，并对备份介质进行安全地保存，以及对备份数据定期进行备份测试演练，保证各种备份信息的完整性和有效性，确保所有重要信息系统和重要数据在故障、灾难下的可靠恢复；12.确定安全策略，采用技术和管理两方面的控制措施，加强对市**局内外网的安全控制，不断提高网络的安全性和稳定性。

通过实施网络访问控制等技术和接入内网严格审批措施，加强安全管理，加强对市**局各科室网络使用的安全培训和教育，确保市**局网络的安全；13.加强网络信息安全日常管理，包括系统口令管理、无人值守设备管理等，使网络信息安全日常工作符合市**局网络信息安全策略和制度要求；14.按照“仅知”原则，通过功能和技术配置，对重要信息系统、数据等实施访问控制对系统特殊权限和系统实用工具的使用进行严格的审批和监管；15.进一步重视软件开发安全在市**局各信息系统立项和审批过程中，同步考虑网络信息安全系统定级等级保护基本要求以及实际需求和目标保证系统设计、开发过程的安全，重点加强对软件代码安全性的管理属于外包软件开发的，应与服务提供商签署保密协议系统开发完成后，应要求通过第三方安全机构对软件安全性的测评；16.在符合国家密码管理相关规定的条件下，合理使用密码技术和密码设备，严格密钥生成、分发、保存等方面的安全管理；17.重视对IT服务连续性的管理，建立对各类网络信息安全事件的预防、预警、响应、处置、恢复机制，编写针对市**局内外网重要系统的应急预案，并定期进行演练；发生网络信息安全事件能迅速、有序地进行应急处置，最大限度地降低因信息系统突发事件给市**局信息系统所带来的影响。

三）网络信息安全组织机构为明确市**局网络信息安全管理组织机构、角色、职责等，促进市**局信息系统安全管理的组织建设，指导市**局网络信息安全工作的开展，落实网络信息安全管理责任制，特成立网络信息安全工作领导小组全面负责单位网络信息安全总体工作部署，同时下设网络信息安全工作领导小组职能部门具体负责网络信息安全工作的落实和管理网络信息安全工作领导小组组长：局长网络信息安全工作领导小组副组长：各分管局长网络信息安全工作领导小组组员：局属各科室、各单位主要负责人网络信息安全职能部门：市农水大数据中心安全主管：网络信息安全工作领导小组办公室主任安全管理员：陈恩光机房管理员：王  豪网络管理员：王灵燕系统管理员：莫晨晨、叶春江网络信息安全工作领导小组职责：1.贯彻落实国家网络信息安全方面工作的方针政策，审定市**局信息系统安全建设规划；2.对信息系统安全工作的重大事项做出决策；3.研究审定市**局信息系统安全建设和管理工作中的制度、标准及相关政策，并协调相关部门监督制度、政策的实施情况；4.组织、协调和指导网络信息安全的宣传、普及教育工作组长（或安全主管）职责：1.负责贯彻落实网络信息安全领导小组关于信息系统安全工作的要求和规定；2.根据信息化建设的总体目标，负责建立信息系统的安全管理体系，包括：制度建设、技术保障和操作规范等各方面的逐步建成；3.组织制订和贯彻信息系统运行和维护工作制度；4.负责管理落实网络信息安全工作领导小组部署的各项工作。

安全管理员职责:1.负责安全制度的贯彻执行；2.负责制订信息系统安全规划，并在实施过程中逐步完善；3.负责制定安全设备或系统的相关资产清单内容包括资产管理的责任部门、信息分类和资产标识的方法和资产名称、重要程度、所处位置等；4.负责规范安全设备或系统管理流程，建立管理台帐，明确资产所有者、使用者与维护者，对安全设备或系统进行标记，实现对机房资产购买、使用、变更、报废整个周期的安全管理；5.负责制定安全设备或系统的文档化的操作和维护规程，使相关人员按规程对系统进行操作，降低因误操作所引发网络信息安全事件的概率；6.负责对安全设备或系统运行维护管理，对安全设备或系统运转情况进行定期巡检、维护、故障处理和变更管理负责组织分配安全设备或系统各类事故（故障）应急处理的管理；7.负责协助领导安排安全培训以及制定每年安全教育计划，加强业务信息系统的安全教育，通过各种方式进行宣传和培训，提高全系统安全防范意识；8.负责制定至少每季度检查一次的安全检查计划制度，包括检查职责、周期、范围、内容、报告的编制、整改、通报等；9.当出现安全事件时，负责对发生的安全事件及时上报，并配合相关部门的调查和纠正工作；10.当业务信息系统运行发生重大问题时，协同相关部门一起判断原因，根据应急响应或网络信息安全领导小组指令及时启动相关处理程序；11.负责与外部安全机构的协调联系，获取外部安全机构的最大资源。

12.负责对介质的管理对介质的归档、查询和借用进行记录，对介质进行定期盘点并记录，对故障介质的进行送修和销毁并记录，对于保密性高的介质销毁申报领导批准，并进行记录对介质物理传输的交接进行记录13.负责对。