温岭市应急管理局网络信息安全管理制度汇编试行模板.docx
- 文档编号:28855093
- 上传时间:2023-07-20
- 格式:DOCX
- 页数:59
- 大小:50.96KB
温岭市应急管理局网络信息安全管理制度汇编试行模板.docx
《温岭市应急管理局网络信息安全管理制度汇编试行模板.docx》由会员分享,可在线阅读,更多相关《温岭市应急管理局网络信息安全管理制度汇编试行模板.docx(59页珍藏版)》请在冰豆网上搜索。
温岭市应急管理局网络信息安全管理制度汇编试行模板
温岭市应急管理局
网络信息安全管理制度汇编(试行)
2019年05月
一、网络信息安全工作方针策略6
(一)网络信息安全方针6
(二)网络信息安全策略6
(三)网络信息安全组织机构8
二、安全管理制度14
(一)制度的编制14
(二)制度的批准、发布14
(三)制度的发放14
(四)制度评审和修订14
三、安全管理机构15
(一)关键活动的授权和审批15
(二)审核和检查15
(三)沟通合作15
四、人员安全管理16
五、系统建设管理18
(一)规划设计18
(二)设备选型18
(三)采购和安装19
(四)软件开发管理19
(五)工程实施20
(六)测试验收21
(七)系统交付21
(八)系统建设服务商选择21
附表1运维人员联系方式一览表22
六、机房安全管理制度23
(一)办公环境管理办法23
(二)机房出入管理23
(三)机房环境管理23
(四)机房介质管理23
(五)机房服务器管理24
(六)机房布线管理24
(七)机房网络设备管理25
(八)机房巡视管理25
(九)机房进出设备管理25
七、信息资产管理制度26
(一)职责26
(二)工作程序26
八、介质管理规定29
(一)介质购置29
(二)介质使用及维护管理29
(三)介质定期检查30
(四)介质维修30
(五)介质的报废30
附表2介质领用申请单30
附表3介质借用/使用登记单31
九、设备安全管理制度32
(一)IT设备的购买32
(二)IT设备的登记及领用32
(三)IT设备的维护32
(四)IT设备的报废33
十、商用密码产品使用管理制度34
(一)商用密码产品的选择34
(二)商用密码产品的使用34
(三)商用密码产品的报废、销毁34
十一、网络安全管理制度35
(一)网络安全规划35
(二)网络接入控制35
(三)网络安全审计35
(四)网络设备管理35
(五)网络安全检查36
(六)网络访问控制36
(七)网络服务安全37
十二、系统安全管理制度38
(一)系统维护管理38
(二)系统访问控制38
(三)系统用户安全管理39
(四)系统审计40
(五)监视系统的使用41
(六)系统备份42
十三、恶意代码防范管理制度43
(一)职责43
(二)防恶意代码系统的规划与部署43
(三)恶意代码防范的日常管理43
(四)恶意代码的查杀与处理44
附表4恶意代码查杀统计表45
十四、系统变更管理制度46
(一)变更的申请和审批46
(二)日常变更的实施46
(三)重大变更的实施46
(四)重大变更的验证和归档47
(五)变更的失败的处理47
附表5配置变更申请表47
十五、备份恢复管理制度1
(一)程序1
(二)资产识别1
(三)制定备份方案1
(四)备份计划实施1
(五)备份的介质标识2
(六)备份介质的安全存放2
(七)备份介质的定期测试2
(八)信息恢复2
附表6数据备份检查记录表3
十六、信息安全事件管理制度4
(一)网络信息安全事件分类4
(二)网络信息安全事件分级4
(三)网络信息安全事件的预防4
(四)网络信息安全事件的报告5
(五)网络信息安全事件响应5
(六)网络信息安全事件的调查处理6
(七)网络信息安全事件的整改6
(八)信息泄密的安全事件应采用的处理程序和报告程序6
十七、应急预案管理制度10
(一)应急处置基本原则10
(二)组织体系10
(三)网络信息安全事件应急处理10
网络信息安全工作方针策略
(一)网络信息安全方针
全员参与明确责任
预防为主快速响应
风险管控持续改进
具体阐述如下:
1.在温岭市应急管理局网络安全与信息化领导小组的领导下,全面贯彻浙江省信息安全等级保护管理办法(省政府223号令)关于网络信息安全工作的相关指导性文件精神,建立可持续发展的网络信息安全管理体系;
2.全员是网络信息安全管理体系的活动分子;落实网络信息安全管理责任制,建立和完善各项网络信息安全管理制度,使网络信息安全管理有章可循;
3.定期进行网络信息安全宣传、教育与培训,不断提高温岭市应急管理局全员的网络信息安全意识及能力;
4.以预防为主的网络信息安全积极防御理念对所发生的网络信息安全事件进行快速、有序地响应;
5.贯彻风险管理的理念,定期对各信息系统进行全面安全检查,将网络信息安全风险控制在可接受的水平之内;
6.在温岭市应急管理局网络安全与信息化领导小组的领导下,温岭市应急管理局网络信息安全建设的工作合乎国家建设规范,保证温岭市应急管理局信息系统安全畅通与可控,保障信息系统所开发和维护健康的服务支持。
(二)网络信息安全策略
1.建立温岭市应急管理局网络信息安全管理组织机构,设立安全主管、各网络信息安全管理相关部门负责人、网络管理员、系统管理员、安全管理员等安全管理相关岗位并定义相应职责,建立健全网络信息安全管理制度,保证网络信息安全责任落实到位;
2.网络安全与信息化领导小组定期或不定期地对温岭市应急管理局网络信息安全管理体系的合理性和适用性进行评审,对各项安全控制措施实施的可用性进行检测,对存在不足或需要改进的安全管理制度进行修订,以保证网络信息安全管理体系持续的充分性、适宜性、有效性;
3.温岭市应急管理局信息系统按照国家等级保护有关要求,对温岭市应急管理局信息系统及信息确定安全等级,采取分等级保护;
4.规范温岭市应急管理局信息资产(包括硬件、软件、服务等)管理流程,建立信息资产管理台帐,明确资产所有者、使用者与维护者,对所有信息资产进行标记,实现对信息产品购买、使用、变更、报废整个资产管理周期的管理;
5.加强所有工作人员(包括温岭市应急管理局各科室内部人员直属单位,以及各类外来人员)的安全管理,制定违规安全信息管理条例的惩戒措施,落实人员聘用、在岗和离岗时的安全规程,与关键岗位人员签署保密协议;
6.通过正式的网络信息安全培训,以及网站、简报、会议、讲座等各种形式的网络信息安全教育活动,不断加强温岭市应急管理局全体人员的网络信息安全意识,提高整体网络信息安全意识;
7.落实包括门禁、视频监控、报警等安全防范措施,确保机房物理与环境安全。
部署机房专用空调、在线式UPS等环境保障设施,对机房设施运转情况进行定期巡检和维护。
制定对机房人员和设备的出入管理制度,对机房的进出入人员进行登记备案;
8.加强对信息系统外包业务与外包方的管理,签署的服务协议对信息系统安全要求加以细化、明确。
通过审批、访问控制、监控、签署保密协议等措施,加强外部方访问信息系统的控制能力,防止外部方危害信息系统安全;
9.对温岭市应急管理局各重要信息系统(包括基础设施、网络和服务器设备、系统、应用等)应有文档化的操作和维护规程,使得各个相关人员按规程对系统进行使用和操作,降低因误操作所引发网络信息安全事件的概率;
10.在温岭市应急管理局内外网上统一部署网络、服务器、工作站的防恶意代码软件,并进行恶意代码库的统一更新,防范恶意代码、木马等恶意代码对温岭市应急管理局信息系统的影响。
通过强化恶意代码防范的管理措施,如加强介质管理,严禁擅自安装软件,加强人员安全意识教育,定期进行恶意代码检测等,提高温岭市应急管理局信息系统对恶意代码的防范能力;
11.对温岭市应急管理局各重要的信息和信息系统进行备份,并对备份介质进行安全地保存,以及对备份数据定期进行备份测试演练,保证各种备份信息的完整性和有效性,确保所有重要信息系统和重要数据在故障、灾难下的可靠恢复;
12.确定安全策略,采用技术和管理两方面的控制措施,加强对温岭市应急管理局内外网的安全控制,不断提高网络的安全性和稳定性。
通过实施网络访问控制等技术和接入内网严格审批措施,加强安全管理,加强对温岭市应急管理局各科室网络使用的安全培训和教育,确保温岭市应急管理局网络的安全;
13.加强网络信息安全日常管理,包括系统口令管理、无人值守设备管理等,使网络信息安全日常工作符合温岭市应急管理局网络信息安全策略和制度要求;
14.按照“仅知”原则,通过功能和技术配置,对重要信息系统、数据等实施访问控制。
对系统特殊权限和系统实用工具的使用进行严格的审批和监管;
15.进一步重视软件开发安全。
在温岭市应急管理局各信息系统立项和审批过程中,同步考虑网络信息安全系统定级等级保护基本要求以及实际需求和目标。
保证系统设计、开发过程的安全,重点加强对软件代码安全性的管理。
属于外包软件开发的,应与服务提供商签署保密协议。
系统开发完成后,应要求通过第三方安全机构对软件安全性的测评;
16.在符合国家密码管理相关规定的条件下,合理使用密码技术和密码设备,严格密钥生成、分发、保存等方面的安全管理;
17.重视对IT服务连续性的管理,建立对各类网络信息安全事件的预防、预警、响应、处置、恢复机制,编写针对温岭市应急管理局内外网重要系统的应急预案,并定期进行演练;发生网络信息安全事件能迅速、有序地进行应急处置,最大限度地降低因信息系统突发事件给温岭市应急管理局信息系统所带来的影响。
(三)网络信息安全组织机构
为明确温岭市应急管理局网络信息安全管理组织机构、角色、职责等,促进温岭市应急管理局信息系统安全管理的组织建设,指导温岭市应急管理局网络信息安全工作的开展,落实网络信息安全管理责任制,特成立网络安全与信息化领导小组全面负责单位网络信息安全总体工作部署,同时下设网络安全与信息化领导小组职能部门具体负责网络信息安全工作的落实和管理。
网络安全与信息化领导小组组长:
吴庆华
网络安全与信息化领导小组副组长:
蒋正德、林细军、杨云良、陈青辉、赵挺
网络安全与信息化领导小组组员:
王文雄、朱军民、王保胜、陈祥宽、黄军华、刘星、徐再锋、管恩沛、江军标、陈海敏、胡苗苗
网络信息安全职能部门:
办公室、应急指挥中心
安全主管:
王文雄
安全管理员:
管恩沛
机房管理员:
陈健
网络管理员:
陈健、杨妙宋
系统管理员:
杨妙宋、陈健
应用管理员:
江军标、陈海敏、郑叶青
网络安全与信息化领导小组职责:
1.贯彻落实国家网络信息安全方面工作的方针政策,审定温岭市应急管理局信息系统安全建设规划;
2.对信息系统安全工作的重大事项做出决策;
3.研究审定温岭市应急管理局信息系统安全建设和管理工作中的制度、标准及相关政策,并协调相关部门监督制度、政策的实施情况;
4.组织、协调和指导网络信息安全的宣传、普及教育工作。
组长(或安全主管)职责:
1.负责贯彻落实网络安全与信息化领导小组关于信息系统安全工作的要求和规定;
2.根据信息化建设的总体目标,负责建立信息系统的安全管理体系,包括:
制度建设、技术保障和操作规范等各方面的逐步建成;
3.组织制订和贯彻信息系统运行和维护工作制度;
4.负责管理落实网络安全与信息化领导小组部署的各项工作。
安全管理员职责:
1.负责安全制度的贯彻执行;
2.负责制订信息系统安全规划,并在实施过程中逐步完善;
3.负责制定安全设备或系统的相关资产清单。
内容包括资产管理的责任部门、信息分类和资产标识的方法和资产名称、重要程度、所处位置等;
4.负责规范安全设备或系统管理流程,建立管理台帐,明确资产所有者、使用者与维护者,对安全设备或系统进行标记,实现对机房资产购买、使用、变更、报废整个周期的安全管理;
5.负责制定安全设备或系统的文档化的操作和维护规程,使相关人员按规程对系统进行操作,降低因误操作所引发网络信息安全事件的概率;
6.负责对安全设备或系统运行维护管理,对安全设备或系统运转情况进行定期巡检、维护、故障处理和变更管理。
负责组织分配安全设备或系统各类事故(故障)应急处理的管理;
7.负责协助领导安排安全培训以及制定每年安全教育计划,加强业务信息系统的安全教育,通过各种方式进行宣传和培训,提高全系统安全防范意识;
8.负责制定至少每季度检查一次的安全检查计划制度,包括检查职责、周期、范围、内容、报告的编制、整改、通报等;
9.当出现安全事件时,负责对发生的安全事件及时上报,并配合相关部门的调查和纠正工作;
10.当业务信息系统运行发生重大问题时,协同相关部门一起判断原因,根据应急响应或网络安全与信息化领导小组指令及时启动相关处理程序;
11.负责与外部安全机构的协调联系,获取外部安全机构的最大资源。
12.负责对介质的管理。
对介质的归档、查询和借用进行记录,对介质进行定期盘点并记录,对故障介质的进行送修和销毁并记录,对于保密性高的介质销毁申报领导批准,并进行记录。
对介质物理传输的交接进行记录。
13.负责对各种记录文档、表单进行半年一次的汇总,对制度开展情况向网络安全与信息化领导小组领导进行汇报;
14.加强对信息系统外包业务与外包方的管理,签署的服务协议对信息系统安全要求加以细化、明确。
通过审批、访问控制、监控、签署保密协议等措施,加强外部方访问信息系统的控制能力,防止外部方危害信息系统安全;
15.重视对IT服务连续性的管理,建立对各类网络信息安全事件的预防、预警、响应、处置、恢复机制,编写针对温岭市应急管理局内外网重要系统的应急预案,并定期进行演练;发生网络信息安全事件能迅速、有序地进行应急处置,最大限度地降低因信息系统突发事件给温岭市应急管理局信息系统所带来的影响;
16.在符合国家密码管理相关规定的条件下,合理使用密码技术和密码设备,严格密钥生成、分发、保存等方面的安全管理。
机房管理员职责:
1.负责保障机房物理与环境的安全建设管理,对实施方责任、时间进度、任务要求、质量控制等进行监督管理;
2.负责制定机房基础设施的相关资产清单,对所有机房资产进行标记。
内容包括资产管理的责任部门、信息分类和资产标识的方法和资产名称、重要程度、所处位置等;
3.规范机房资产(包括机房物理与环境等)管理流程,建立机房资产管理台帐,明确资产所有者、使用者与维护者,实现对机房资产购买、使用、变更、报废整个周期的安全管理;
4.负责制定重要基础设施等文档化的操作和维护规程,使相关人员按规程对系统进行使用和操作,降低因误操作所引发网络信息安全事件概率;
5.落实包括门禁、视频监控、报警等安全防范措施,确保机房物理与环境安全。
部署机房专用空调、在线式UPS等环境保障设施,对机房设施运转情况进行定期巡检和维护。
制定对机房人员和设备的出入管理制度,对机房的进出入人员进行登记备案;
6.对机房基础设施变更、重要操作、物理访问等进行逐级审批,负责日常审批,重大变更上报到网络安全与信息化领导小组;
7.负责组织实施机房基础设施各类事故(故障)的应急处理。
网络管理员职责:
1.负责保障网络安全建设管理,对实施方责任、时间进度、任务要求、质量控制等进行监督管理;
2.规范网络管理流程,建立网络相关资产管理台帐,明确资产所有者、使用者与维护者,对所有信息资产进行标记,实现对信息资产购买、使用、变更、报废整个周期的安全管理;
3.确定安全策略,采用技术和管理两方面的控制措施,加强对温岭市应急管理局内外网的安全控制,不断提高网络的安全性和稳定性。
通过实施网络访问控制等技术和接入内网严格审批措施,加强安全管理,加强对温岭市应急管理局各科室网络使用的安全培训和教育,确保温岭市应急管理局网络的安全;
4.对重要网络设备应有文档化的操作和维护规程,使各个相关人员按规程对系统使用和操作,降低因误操作所引发网络信息安全事件概率;
5.负责保障网络安全。
协助安全管理员部署网络安全产品,确保网络安全。
对网络设备设施运转情况进行定期巡检、维护、故障处理和变更管理;
6.对网络系统变更、重要操作、访问等进行逐级审批,负责日常审批,重大变更上报到网络安全与信息化领导小组;
7.负责组织实施网络各类事故(故障)的应急处理。
系统管理员职责:
1.负责保障主机(包括服务器设备、操作系统、数据库系统、数据备份)安全建设管理,对实施方责任、时间进度、任务要求、质量控制等进行监督管理;
2.对重要的信息和信息系统进行备份,并对备份介质进行安全地保存,以及对备份数据定期进行备份测试验证,保证各种备份信息的保密性、完整性和可用性,确保所有重要信息系统和重要数据在故障或灾难下的可靠的恢复;
3.在服务器和工作站进行统一部署防恶意代码软件,并进行恶意代码库的统一更新,防范恶意代码、木马等恶意代码对温岭市应急管理局信息系统的影响。
通过强化恶意代码防范的管理措施,如加强主机管理,严禁擅自安装软件,定期进行恶意代码检测等,提高温岭市应急管理局信息系统对恶意代码的防范能力。
负责全系统的计算机恶意代码防治和主机安全的管理工作,制定检查计划(包含在主机巡检工作中),督促检查工作;
4.加强网络信息安全日常管理,包括系统口令管理、无人值守设备管理等,使信息化日常工作符合温岭市应急管理局网络信息安全策略和制度要求;
5.规范主机(包括服务器设备、操作系统、数据库系统、数据备份)资产管理流程,建立主机相关资产管理台帐,明确资产所有者、使用者与维护者,对所有信息资产进行标记,实现对主机相关资产购买、使用、变更、报废整个周期的安全管理;
6.在主机系统变更、重要操作、访问等的进行逐级审批,负责日常审批,重大变更上报到网络安全与信息化领导小组;
7.加强网络信息安全日常管理,包括应用系统口令管理、授权审批管理等,使系统的日常工作符合温岭市应急管理局网络信息安全策略和制度要求;
8.负责组织实施应用系统各类事故(故障)的应急处理。
应用管理员职责:
1.负责保障软件开发管理,对实施方责任、时间进度、任务要求、质量控制等进行监督管理。
进一步重视软件开发安全。
在信息系统立项和审批过程中,同步考虑网络信息安全系统定级等级保护基本要求以及实际需求和目标。
保证系统设计、开发过程的安全,重点加强对软件代码安全性的管理。
属于外包软件开发的,应与服务提供商签署保密协议。
系统开发完成后,应要求通过第三方安全机构对软件安全性的测评;
2.规范信息资产管理流程,建立信息资产管理台帐,明确资产所有者、使用者与维护者,对所有信息资产进行标记,实现对信息资产购买、使用、变更、报废整个周期的安全管理;
3.负责建立重要应用的文档化操作和维护规程,使各个相关人员按规程对系统进行使用和操作,降低因误操作所引发网络信息安全事件概率;
4.加强网络信息安全日常管理,包括应用系统口令管理、授权审批管理等,使信息化日常工作符合网络信息安全策略和制度要求;
5.对应用系统变更、重要操作、访问等进行逐级审批,负责日常审批,重大变更上报到网络安全与信息化领导小组;
6.负责组织实施应用系统各类事故(故障)的应急处理。
安全管理制度
(一)制度的编制
1.信息管理职能部门根据网络安全与信息化领导小组工作要求,结合部门职责及网络信息安全管理活动中的内容细则,负责组织编制网络信息安全管理体系文件,形成初稿;
2.安全管理员负责组织对网络信息安全管理体系文件的评审,并将审核后的文件报网络安全与信息化领导小组,由网络安全与信息化领导小组对网络信息安全管理体系文件进行核审,形成最终的报审稿。
(二)制度的批准、发布
1.安全管理员负责对网络信息安全管理体系文件的报审稿进行登记、核稿后,由网络安全与信息化领导小组对网络信息安全管理体系文件进行核审,形成最终的报审稿。
2.组织相关人员进行评审,网络安全与信息化领导小组组长审阅、签批后发布。
(三)制度的发放
网络信息安全管理体系文件由安全管理员发放到各负责人(机房管理员、网络管理员、系统管理员),或者通过单位内网进行发布,同时办公室负责将各管理制度整理成汇编打印装订,发送到各相关科室或工作人员手中。
(四)制度评审和修订
由安全管理员定期或不定期组织工作人员进行文件适用性的检查情况,并对现有文件的有效性进行评审。
对不合适的地方进行修订,必要时更换新版。
安全管理机构
(一)关键活动的授权和审批
1.在系统运维过程中,安全管理员对信息系统的访问、变更等授权给系统运维部门。
具体为机房管理员负责机房相关事项的授权和审批、网络管理员和系统管理员分别负责网络和系统相关事项的授权和审批;
2.授权审批流程:
a)由系统运维部门判断职责及事项,授权给相应的管理员;
b)系统若外包的,由外包服务公司申请,授权相应的管理员。
(二)审核和检查
组织专门人员(或委托外包公司)定期或不定期进行安全检查,包括网络、安全设备、系统等各方面的安全检查。
记录检查结果。
规范安全检查的内容并统一分析检查结果。
(三)沟通合作
1.加强各类管理人员之间、组织内部机构之间以及网络信息安全职能部门内部的合作与沟通,定期或不定期召开协调会议,共同协作处理网络信息安全问题;
2.加强与网络信息安全主管单位、公安机关、电信公司的合作与沟通;
3.加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通;
4.建立外联单位联系列表,包括外联单位名称、合作内容、联系人和联系方式等信息;
5.对协调会议、安全评审以及交流活动等进行记录。
人员安全管理
岗位网络信息安全检查
Ø各科室(部门)应提高安全意识,定期或不定期对本科室(部门)岗位进行网络信息安全检查,确保网络信息安全制度和操作规程得到了有效地执行。
Ø网络安全与信息化领导小组应不定期抽查各科室(部门)的岗位网络信息安全职责的落实情况,确保各科室(部门)的岗位网络信息安全职责的落实。
网络信息安全违规的纪律处理
Ø对于网络信息安全事故和在网络信息安全检查中发现的违规行为,由局党组或网络安全与信息化领导小组根据有关考核规定对该人员进行处罚。
Ø对于情节特别严重的违规行为,还应借助网络、简报等媒介向全市应急管理系统内的其它单位进行通报,避免同类问题再次发生。
人员考核培训
Ø定期或不定期得对各个岗位的人员进行安全技能及安全认知的考核
Ø对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训
Ø对安全责任和惩戒措施进行书面规定并告知相关人员,对违反违背安全策略和规定的人员进行惩戒。
Ø对安全教育和培训进行书面规定,针对不同岗位制定不同的培训计划,对网络信息安全基础知识、岗位操作规程等进行培训。
Ø对培训进行登记,对考核进行记录登记。
人员离岗
Ø各科室(部门)在人员任用终止时,应按照离岗手续,由人力资源部通知相关科室(部门)对该人员使用信息和信息系统的权限进行调整。
Ø各科室(部门)依照相关人员的个人权限清单,修改、限制或删除相关信息和信息系统的访问权限,包括物理访问、逻辑访问、密钥及ID卡等,并作相应记录。
Ø各科室(部门)应立即撤销或停用离岗人员所使用的账户,或者修改离岗人员所掌握的系统帐户口令。
离职后网络信息安全职责的追踪和管理
Ø离职人员应明确其离职后仍需担负的安全责任和义务,以及违反安全责任和义务所引发的后果。
Ø如发生有离职人员违反其应负的安全责任,泄露温岭市应急管理局敏感秘密,网络安全与信息化领导小组按照有关规定和相关协议追究其法律责任。
外来人员的网络信息安全管理
Ø各科室(部门)在与外部方签订合同时,应按照岗位角色和职责要求,在合同中对外来人员进行约束。
Ø各单位(部门)应按照温岭市应急管理局网络安全与信息化领导小组有关网络信息安全管理规定以及合同要求,对所有外
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 温岭 应急 管理局 网络 信息 安全管理 制度 汇编 试行 模板