信息安全管理制度大全.docx
- 文档编号:25102534
- 上传时间:2023-06-05
- 格式:DOCX
- 页数:88
- 大小:81.78KB
信息安全管理制度大全.docx
《信息安全管理制度大全.docx》由会员分享,可在线阅读,更多相关《信息安全管理制度大全.docx(88页珍藏版)》请在冰豆网上搜索。
信息安全管理制度大全
内部资料
注意保存
XXXXXXXXXX
信息安全制度汇编
XXXXXXXXXX
二〇一六年一月
一、总则6
二、安全管理制度7
第一章管理制度7
1.安全组织结构7
1.1信息安全领导小组职责7
1.2信息安全工作组职责8
1.3信息安全岗位9
2.安全管理制度11
2.1安全管理制度体系11
2.2安全方针和主策略12
2.3安全管理制度和规范12
2.4安全流程和操作规程14
2.5安全记录单14
第二章制定和发布15
第三章评审和修订16
三、安全管理机构17
第一章岗位设置17
1.组织机构17
2.关键岗位19
第二章人员配备21
第三章授权和审批22
第四章沟通和合作24
第五章审核和检查26
四、人员安全管理28
第一章人员录用28
1.组织编制28
2.招聘原则28
3.招聘时机28
4.录用人员基本要求29
5.招聘人员岗位要求29
6.招聘种类29
6.1外招29
6.2内招30
7.招聘程序30
7.1人事需求申请30
7.2甄选30
7.3录用32
第二章保密协议33
第三章人员离岗35
第三章人员考核37
1.制定安全管理目标37
2.目标考核38
3.奖惩措施38
第四章安全意识教育和培训39
1.安全教育培训制度39
第一章总则39
第二章安全教育的含义和方式39
第三章安全教育制度实施39
第四章三级安全教育及其他教育内容41
第五章附则43
第五章外部人员访问管理制度44
1.总则44
2.来访登记控制44
3.进出门禁系统控制45
4.携带物品控制46
五、系统建设管理47
第一章安全方案设计47
1.概述47
2.设计要求和分析48
2.1安全计算环境设计48
2.2安全区域边界设计49
2.3安全通信网络设计50
2.4安全管理中心设计50
3.针对本单位的具体实践51
3.1安全计算环境建设51
3.2安全区域边界建设52
3.3安全通信网络建设52
3.4安全管理中心建设53
3.5安全管理规范制定54
3.6系统整体分析54
第二章产品采购和使用55
第三章自行软件开发58
1.申报58
2.安全性论证和审批58
3.复议58
4.项目安全立项58
5.项目管理59
5.1概要59
5.2正文60
第四章工程实施62
1.信息化项目实施阶段62
2.概要设计子阶段的安全要求62
3.详细设计子阶段的安全要求63
4.项目实施子阶段的安全要求63
第五章测试验收65
1.文档准备65
2.确认签字65
3.专人负责65
4.测试方案65
第六章系统交付68
1.试运行68
2.组织验收68
第七章系统备案70
1.系统备案70
2.设备管理70
3.投产后的监控与跟踪72
第八章安全服务商选择74
六、系统运维管理75
第一章环境管理75
1.机房环境、设备75
2.办公环境管理76
第二章资产管理81
1.总则81
2.《资产管理制度》81
第三章介质管理85
1.介质安全管理制度85
1.1计算机及软件备案管理制度85
1.2计算机安全使用与保密管理制度85
1.3用户密码安全保密管理制度86
1.4涉密移动存储设备的使用管理制度86
1.5数据复制操作管理制度87
1.6计算机、存储介质、及相关设备维修、维护、报废、销毁管理制度87
第四章设备管理89
1.主机、存储系统运维管理89
2.应用服务系统运维管理89
3.数据系统运维管理90
4.信息保密管理91
5.日常维护91
6.附件:
安全检查表92
第五章监控管理和安全管理中心94
1.监控管理94
2.安全管理中心95
第六章网络安全管理96
第七章系统安全管理98
1.总则98
2.系统安全策略98
3.系统日志管理99
4.个人操作管理100
5.惩处100
第八章恶意代码防范管理101
1.恶意代码三级防范机制101
1.1恶意代码初级安全设置与防范101
1.2.恶意代码中级安全设置与防范101
1.3恶意代码高级安全设置与防范102
2.防御恶意代码技术管理人员职责102
3.防御恶意代码员工日常行为规范103
第九章密码管理104
第十章变更管理106
1.变更106
2.变更程序106
2.1变更申请106
2.2变更审批106
2.3变更实施106
2.4变更验收106
附件一变更申请表107
附件二变更验收表108
第十一章备份与恢复管理109
1.总则109
2.设备备份110
3.应用系统、程序和数据备份111
4.备份介质和介质库管理114
5.系统恢复115
6.人员备份116
第十二章安全事件处置117
1.工作原则117
2.组织指挥机构与职责117
3.先期处置118
4.应急处置119
4.1应急指挥119
4.2应急支援119
4.3信息处理119
4.4应急结束120
5后期处置120
5.1善后处置120
5.2调查和评估121
第十三章应急预案管理122
1.应急处理和灾难恢复122
2.应急计划123
3.应急计划的实施保障124
4.应急演练125
一、总则
为规范XXXXXXXXXX信息安全工作,确保全体员工理解信息安全工作与职责,并落实到日常工作中,推动信息安全保障工作的顺利进行,结合XXXXXXXXXX的实际情况,特制定本制度。
本管理制度所称信息系统安全,包括计算机网络和应用系统(以下简称信息系统)的硬件、软件、数据及环境受到有效保护,信息系统的连续、稳定、安全运行得到可靠保障。
信息系统安全管理坚持“谁主管谁负责”的原则,公司的所有部门和员工都应各自履行相关的信息系统安全建设和管理的义务与责任。
信息系统安全工作的总体目标是:
实施信息系统安全等级保护,建立健全先进实用、完整可靠的信息系统安全体系,保证系统和信息的完整性、真实性、可用性、保密性和可控性,保障信息化建设和应用,支撑公司业务持续、稳定、健康发展。
信息系统安全体系建设必须坚持“统一标准、保障应用、符合法规、综合防范、集成共享”的原则。
本制度适用于公司所有部门和个人。
二、安全管理制度
第一章管理制度
1.安全组织结构
XXXXXXXXXX安全管理组织应形成由主管领导牵头的信息安全领导小组、具体信息安全职能部门负责日常工作的组织模式,组织结构图如下所示:
组
织
机
构
图
1.1信息安全领导小组职责
信息安全领导小组是由XXXXXXXXXX主管领导牵头,各部门的负责人为组成成员的组织机构,主要负责批准XXXXXXXXXX安全策略、分配安全责任并协调安全策略能够实施,确保安全管理工作有一个明确的方向,从管理和决策层角度对信息安全管理提供支持。
信息安全领导小组的主要责任如下:
(一)确定网络与信息安全工作的总体方向、目标、总体原则和安全工作方法;
(二)审查并批准政府的信息安全策略和安全责任;
(三)分配和指导安全管理总体职责与工作;
(四)在网络与信息面临重大安全风险时,监督控制可能发生的重大变化;
(五)对安全管理的重大更改事项(例如:
组织机构调整、关键人事变动、信息系统更改等)进行决策;
(六)指挥、协调、督促并审查重大安全事件的处理,并协调改进措施;
(七)审核网络安全建设和管理的重要活动,如重要安全项目建设、重要的安全管理措施出台等;
(八)定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定。
1.2信息安全工作组职责
信息安全工作组是信息安全工作的日常执行机构,内设专职的安全管理组织和岗位,负责日常具体安全工作的落实、组织和协调。
信息安全工作组的主要职责如下:
(一)贯彻执行和解释信息安全领导小组的决议;
(二)贯彻执行和解释国家主管机构下发的信息安全策略;
(三)负责组织和协调各类信息安全规划、方案、实施、测试和验收评审会议;
(四)负责落实和执行各类信息安全具体工作,并对具体落实情况进行总结和汇报;
(五)负责内外部组织和机构的沟通、协调和合作工作;
(六)负责制定所有信息安全相关的管理制度和规范;
(七)负责针对信息安全相关的管理制度和规范具体落实工作进行监督、检查、考核、指导及审批,例如现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。
以上组织结构和职责通过《信息安全组织职责体系》加以说明。
1.3信息安全岗位
为了有效落实信息安全各项工作,XXXXXXXXXX应设立以下专职的安全岗位,负责安全工作的落实和执行:
1.3.1信息安全工作组主管
1)负责网络与信息安全的日常整体协调、管理工作;
2)负责组织人员制定信息安全管理制度,并对管理制度进行推广、培训和指导;
3)负责重大安全事件的具体协调和沟通工作。
1.3.2安全管理员岗位
1)负责执行网络与信息安全工作的日常协调、管理工作;
2)负责日常的安全监控管理,并对上报和发现的各类安全事件进行响应;
3)负责系统、网络和应用安全管理的协调和技术指导;
4)负责安全管理平台安全策略制定,访问控制策略审核;
5)负责组织安全管理制度的推广和培训工作;
6)负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况。
1.3.3安全审计员岗位
1)负责安全管理制度落实情况的检查、监督和指导;
2)负责安全策略执行情况的审核。
1.3.4系统管理员
1)负责系统安全稳定运行的日常管理工作;
2)负责保持系统的防病毒系统、补丁等保持最新,定期对系统进行安全加固,保持系统漏洞最小化。
1.3.5网络管理员
1)负责网络设备安全稳定运行的日常管理工作;
2)负责保持网络设备的漏洞最小化,定期对系统进行安全加固;
3)负责保持网络路由和交换策略与业务需求保护一致。
4)XXXXXXXXXX应根据日常的运行维护和管理工作,设置物理环境管理、数据库管理、应用管理以及资产管理等岗位,这些岗位也应当包括安全职
责,这些安全职责的具体内容通过《信息安全管理岗位说明书》落实。
2.安全管理制度
2.1安全管理制度体系
XXXXXXXXXX安全管理制度应建立信息安全方针、安全策略、安全管理制度、安全技术规范以及流程的一套信息安全管理制度体系。
2.2安全方针和主策略
最高方针,纲领性的安全策略主文档,陈述本策略的目的、适用范围、信息安全的管理意图、支持目标以及指导原则,信息安全各个方面所应遵守的原则方法和指导性策略。
2.3安全管理制度和规范
各类管理规定、管理办法和暂行规定。
从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法,是必须具有可操作性,而且必须得到有效推行和实施的。
技术标准和规范,包括各个安全等级区域网络设备、主机操作系统和主要应用程序的应遵守的安全配置和管理的技术标准和规范。
技术标准和规范将作为各个网络设备、主机操作系统和应用程序的安装、配置、采购、项目评审、日常安全管理和维护时必须遵照的标准,不允许发生违背和冲突。
本项目将为XXXXXXXXXX编制如下安全管理制度和规范:
安全方针
安全策略
安全管理组织体系职责
内部人员安全管理规定
外部人员安全管理规定
等级保护安全管理规范
风险评估管理规范
软件开发管理规定
IT外包管理规定
工程安全管理规定
产品采购安全管理规定
服务商安全管理规定
机房管理制度
办公环境安全管理规定
资产安全管理制度
设备安全管理规定
介质安全管理规定
运行维护安全管理规范
网络安全管理规定
系统安全管理规定
防病毒安全管理规定
密码使用管理制度
变更管理制度
备份与恢复管理规定
安全事件管理制度
应急预案
安全流程和操作规程,详细规定主要业务应用和事件处理的流程、步骤和相关注意事项。
作为具体工作时的具体依照,此部分必须具有可操作性,而且必须得到有效推行和实施的。
2.4安全流程和操作规程
安全流程和操作规程,详细规定主要业务应用和事件处理的流程和步骤,和相关注意事项。
作为具体工作时的具体依照,此部分必须具有可操作性,而且必须得到有效推行和实施的。
2.5安全记录单
安全记录单,落实安全流程和操作规程的具体表单,根据不同等级信息系统的要求可以通过不同方式的安全记录单落实并在日常工作中具体执行。
主要包括日常操作的记录、工作记录、流转记录以及审批记录等。
第二章制定和发布
安全策略系列文档制定后,必须有效发布和执行。
发布和执行过程中除了要得到管理层的大力支持和推动外,还必须要有合适的、可行的发布和推动手段,同时在发布和执行前对每个人员都要做与其相关部分的充分培训,保证每个人员都知道和了解与其相关部分的内容。
安全策略在制定和发布过程中,应当实施以下安全管理:
(一)安全管理制度应具有统一的格式,并进行版本控制;
(二)由信息安全工作小组负责安全管理制度的制定
(三)安全管理职能部门应组织相关人员对制定的安全管理制度进行论证和审定;
(四)安全管理制度应通过文件形式下发通知;
(五)安全管理制度应注明发布范围,并对收发文进行登记。
必须要注意到这是一个长期、艰苦的工作,需要付出艰苦的努力,而且由于牵扯到许多部门和绝大多数员工,可能需要改变工作方式和流程,所以推行起来的阻力会相当大;同时安全策略本身存在的缺陷,包括不切实可行,太过复杂和繁琐,部分规定有缺欠等,都会导致整体策略难以落实。
第三章评审和修订
信息安全领导小组应组织相关人员对于信息安全策略体系文件进行评审,并确定其有效执行期限。
同时应指定信息安全职能部门每年审视安全策略系列文档,具体检查内容包括:
(一)信息安全策略中的主要更新;
(二)信息安全标准中的主要更新。
信息安全标准不需要全部更新,可以仅对因变更而受影响的部分进行更新;如果必要,可以使用年度审视/更新流程对信息安全标准做一次全面更新。
(三)安全管理组织机构和人员的安全职责的主要更新;
(四)操作流程的主要更新;
(五)各类管理规定、管理办法和暂行规定的主要更新;
(六)用户协议的主要更新;等等。
通过《信息安全策略管理规定》落实以上相关内容。
三、安全管理机构
第一章岗位设置
健全的岗位设置、职责分配及技能要求等是安全组织建设的重点内容,对于以后安全管理工作的顺利开展具有巨大的意义。
缺乏健全的岗位设置、职责分配及技能要求将导致无人负责、难以落实责权利,难以胜任安全管理工作等严重问题。
1.组织机构
1)XXXXXXXXXX成立信息安全领导小组,是信息安全的最高决策机构,下设办公室,负责信息安全领导小组的日常事务。
2)信息安全工作领导小组,其最高领导由单位主管领导委任或授权。
3)信息安全领导小组负责研究重大事件,落实方针政策和制定总体策略等。
职责主要包括:
a)根据国家和行业有关信息安全的政策、法律和法规,批准公司信息安全总体策略规划、管理规范和技术标准;
b)确定公司信息安全各有关部门工作职责,指导、监督信息安全工作。
c)信息安全领导小组下设两个工作组:
信息安全工作组、应急处理工作组。
组长均由公司负责人担任。
4)信息安全工作组的主要职责包括:
a)贯彻执行公司信息安全领导小组的决议,协调和规范公司信息安全工作;
b)根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落实;
c)组织对重大的信息安全工作制度和技术操作策略进行审查,拟订信息安全总体策略规划,并监督执行;
d)负责协调、督促各职能部门和有关单位的信息安全工作,参与信息系统工程建设中的安全规划,监督安全措施的执行;
e)组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全风险的防范对策;
f)负责接受各单位的紧急信息安全事件报告,组织进行事件调查,分析原因、涉及范围,并评估安全事件的严重程度,提出信息安全事件防范措施;
g)及时向信息安全工作领导小组和上级有关部门、单位报告信息安全事件。
h)跟踪先进的信息安全技术,组织信息安全知识的培训和宣传工作。
5)应急处理工作组的主要职责包括:
a)审定公司网络与信息系统的安全应急策略及应急预案;
b)决定相应应急预案的启动,负责现场指挥,并组织相关人员排除故障,恢复系统;
c)每年组织对信息安全应急策略和应急预案进行测试和演练。
6)公司应指定分管信息的领导负责本单位信息安全管理,并配备信息安全技术人员,有条件的应设置信息安全工作小组或办公室,对公司信息安全领导小组和工作小组负责,落实本单位信息安全工作和应急处理工作。
2.关键岗位
设置信息系统的关键岗位并加强管理,配备系统管理员、网络管理员、应用开发管理员、安全审计员、安全保密管理员,要求五人各自独立。
要害岗位人员必须严格遵守保密法规和有关信息安全管理规定。
1)系统管理员主要职责有:
a)负责系统的运行管理,实施系统安全运行细则;
b)严格用户权限管理,维护系统安全正常运行;
c)认真记录系统安全事项,及时向信息安全人员报告安全事件;
d)对进行系统操作的其他人员予以安全监督。
2)网络管理员主要职责有:
a)负责网络的运行管理,实施网络安全策略和安全运行细则;
b)安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运行;
c)监控网络关键设备、网络端口、网络物理线路,防范黑客入侵,及时向信息安全人员报告安全事件;
d)对操作网络管理功能的其他人员进行安全监督。
3)应用开发管理员主要职责有:
a)负责在系统开发建设中,严格执行系统安全策略,保证系统安全功能的准确实现;
b)系统投产运行前,完整移交系统相关的安全策略等资料;
c)不得对系统设置“后门”;
d)对系统核心技术保密等。
4)安全审计员负责对涉及系统安全的事件和各类操作人员的行为进行审计和监督,主要职能包括:
a)按操作员证书号进行审计;
b)按操作时间审计;
c)按操作类型审计;
d)事件类型进行审计;
e)日志管理等。
5)安全保密管理员负责日常安全保密管理活动,主要职责有:
a)监视全网运行和安全告警信息
b)网络审计信息的常规分析
c)安全设备的常规设置和维护
d)执行应急中心制定的具体安全策略
e)向应急管理机构和领导机构报告重大的网络安全事件等。
第二章人员配备
配备足够数量的系统管理员、网络管理员、安全管理员对顺利完成安全管理工作是非常重要的,可以有效避免人力不足带来的问题。
配备专职的安全管理员可以让管理工作落实到专人上,可以更高效的开展安全管理工作。
关键事务岗位配备多人进行共同管理可以防止出现疏忽,并且有利于互相约束和监督机制的建立。
如果没有配备足够数量的系统管理员、网络管理员、安全管理员,则可能由于工作过度繁忙而出现安全事件。
如果安全管理人员都是兼职,则很可能出现只顾其他业务而忽视安全的情况。
关键事务岗位人员不足会导致疏忽大意。
1.按照实际工作需要配备足够数量的系统管理员、网络管理员、安全管理员;
2.在安全管理部配备专职的安全管理员;
3.识别出关键事务岗位,对这些关键岗位配备多人进行共同管理,以防止疏忽,并且建立起约束和监督机制。
岗位名称
人员数量
人员名称
系统管理员
网络管理员
应用开发管理员
安全审计员
安全保密管理员
第三章授权和审批
授权和审批可以保证安全有关工作得到认可和控制,排除盲目性和不一致性,使安全工作更加权威和科学,有利于增强责任感。
如果授权和审批工作做得不够完善,可能会带来执行难等问题,安全工作得不到控制,因安全带来的问题长期得不到解决,安全问题日积月累,最终导致严重安全事件的发生。
应按照以下规范进行授权和审批流程建设:
1.明确审批授权事项、审批授权部门;?
2.建立系统变更、重要操作、物理访问和系统接入等事项的审批程序,对重要活动实施逐级审批;
3.按照审批程序执行审批过程,记入文档并进行审计;
4.定期审查审批事项,及时更新需授权和审批的项目、审批部门和审批人等信息;
制度名称
信息系统管理授权审批制度
受控状态
文件编号
执行部门
监督部门
考证部门
第1条为了提高企业信息系统的可靠性、稳定性、安全性,特制定本制度。
第2条本制度适用于信息部与各用户部门使用企业信息系统的相关人员。
第3条企业中涉及到信息系统方面的工作统一由信息部负责。
第4条信息系统管理授权的方式。
企业信息系统的授权以职位说明书和授权书为基准,逐级授权,其他授权方式或越级授权视为无效。
第5条企业信息系统管理授权程序。
1.总裁授权运营总监全面负责企业信息系统的开发、管理、修改等工作。
2.运营总裁授权信息部经理负责信息系统的开发、管理、修改等具体工作。
3.信息部经理授权给下属员工,完成相应工作。
第6条企业信息系统管理中的文件审批程序,如下图所示。
信息系统管理的文件审批程序示意图
第7条企业中的各用户部门对信息系统只有根据其职级的使用权与建议权,而无修改权,否则造成的全部后果由当事人承担。
第8条本制度由信息部制定,解释权、修改权归属信息部。
第9条本制度自总裁审批之日起实施,修订时亦同。
编制日期
审核日期
批准日期
修改标记
修改处数
修改日期
第四章沟通和合作
安全管理问题涉及到各个层次的人员及技术,需要大家密切配合才能做好,任何一方出现问题都会影响整个安全管理工作的顺利开展,因此对各种安全问题进行定期沟通和合作是非常必要的。
如果与安全管理有关的沟通和合作推进不顺利,出现的安全问题得不到反馈和支持,则安全问题会变得越来越严重,直到出现严重安全事件。
应按照以下规范进行沟通与合作:
1.由安全管理部提出,每半年召开一次安全协调专题会议,为期一天,各有关部门包括外部顾问机构及人员都要参加,及时提出问题和解决问题;
会议记录
时间
地点
主持人
记录员
时间调度
参加人员:
会议议题
发言人
会议内容
执行人
监督人
完成时间
2.每年与与兄弟单位、公安机关、电信公司等召开一次安全总结会,平时则通过邮件等及时合作与沟通;
3.通过邮件、电话等与供应商、业界专家、专业的安全公司、安全组织进行及时合作与沟通;
4.建立外联单位联系列表,包括外联单位名称、合作内容、联系人和联系方式等信息;
5.聘请信息安全专家作为常年的安全顾问,指导信息安全建设,参与安全规划和安全评审等。
第五章审核和检
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全管理 制度 大全