xx中心信息安全管理制度改0623.docx
- 文档编号:573621
- 上传时间:2023-04-29
- 格式:DOCX
- 页数:72
- 大小:463.21KB
xx中心信息安全管理制度改0623.docx
《xx中心信息安全管理制度改0623.docx》由会员分享,可在线阅读,更多相关《xx中心信息安全管理制度改0623.docx(72页珍藏版)》请在冰点文库上搜索。
xx中心信息安全管理制度改0623
xx中心
信息安全实施细则
2017年6月21日
V1.4
xx中心信息所
版本控制
序号
版本
更改内容
变更人
审核人
审批人
生效时间
1.
1.0
制度编制
施子威
刘诚
范爱晶
2013.6.15
2.
1.1
细化操作要求
肖楠
刘诚
范爱晶
2014.9.26
3.
1.2
安全管理机构
变更控制管理制度
肖楠
刘诚
范爱晶
2014.11.21
4.
1.3
设备出入登记表、介质备份恢复测试记录表
刘诚
2016.6.21
5.
1.4
部分附件修订
刘诚
2017.6.2
6.
7.
8.
9.
10.
11.
12.
13.
目录
第一章总则7
第二章信息安全管理手册8
一、信息安全方针8
二、总体安全策略9
三、管理制度标准和要求11
四、管理标准制定和发布12
五、管理制度审核与修订12
六、管理制度的作废与销毁12
七、适用范围12
第三章安全管理机构14
一、总则14
二、信息安全管理机构14
三、工作职责及岗位说明15
四、授权和审批22
五、沟通和合作24
六、审核与检查24
第四章人员安全管理制度26
一、人员录用制度26
二、人员离岗制度26
三、人员考核制度26
四、安全意识教育和培训27
五、第三方人员访问管理27
第五章系统建设管理制度28
一、系统定级28
二、安全方案设计和审定28
三、产品采购29
四、自行软件开发29
五、外包软件开发29
六、工程实施30
七、测试验收30
八、系统交付31
九、安全服务商选择和运维31
第六章办公环境保密管理制度32
第七章机房安全管理制度33
一、机房出入管理33
二、机房环境管理33
三、机房设备管理34
第八章资产安全管理制度35
一、资产管理职责部门35
二、资产的分类分级35
三、资产的登记与标记36
四、资产的使用与维护36
五、资产的移动管理37
六、资产的销毁37
第九章信息分类分级标识管理制度38
一、信息资产分类标准分类原则38
二、信息等级划分标准38
三、等级划分标准38
四、标记与处理39
第十章介质安全管理制度40
一、介质的使用与维护40
二、介质定期检查41
三、介质的维修与报废41
第十一章设备安全管理制度42
一、总则42
二、设备的购买42
三、设备的登记与领用42
四、设备的维护流程43
五、设备操作规程44
六、设备的报废44
第十二章监控管理制度45
第十三章系统运维管理制度46
一、系统维护管理46
二、系统访问控制47
三、系统用户安全管理48
四、系统审计50
五、监视系统的使用51
六、系统备份52
七、时钟同步52
第十四章网络安全管理制度53
一、网络安全规划53
二、网络接入控制53
三、网络安全审计53
四、网络设备管理54
五、网络安全检查54
六、网络访问控制55
七、网络服务安全56
第十五章恶意代码防范管理制度56
一、病毒及恶意代码防范的日常管理56
二、病毒及恶意代码的查杀与处理57
第十六章账号权限及密码管理制度58
一、账号权限管理58
二、密码产品58
三、密码的设置58
四、密码和口令的保存59
第十七章变更管理制度60
一、总则60
二、变更定义60
三、变更职责61
四、变更申请62
五、变更方案制定与评审62
六、变更实施63
七、变更回退64
八、变更回顾65
第十八章备份与恢复管理制度66
一、资产识别66
二、制定备份方案66
三、备份计划实施67
四、备份的介质标识67
五、备份介质的安全存放67
六、备份介质的定期测试68
七、信息恢复68
第十九章安全事件管理制度69
一、信息安全事件分类69
二、信息安全事件分级69
三、信息安全事件的预防70
四、信息安全事件的报告71
五、信息安全事件响应71
六、信息安全事件的调查处理72
七、信息安全事件的整改72
八、信息泄密事件处理流程73
九、奖励与惩罚73
第二十章应急预案管理制度75
一、应急预案编制75
二、应急预案评审76
三、应急预案培训76
四、应急预案演练76
五、应急预案修订77
第二十一章安全服务商管理78
第二十二章附件78
附件1:
变更流程图78
附件2:
机房每日巡检登记表84
附件3:
设备出入机房登记表85
附件4:
变更申请表86
附件5:
外来人员访问登记表87
附件6:
介质备份恢复测试记录表89
第1章总则
为规范xx中心(以下简称“上海XX”)信息系统安全等级保护管理,提高系统的安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》(国务院第147号)、《信息安全等级保护管理办法》(公通字[2007]43号)等有关文件,依据《信息系统安全等级保护基本要求》(GB/T22239-2008)标准和信息安全总体方针,结合现有管理要求,制定本制度。
为加强xx中心信息系统的管理,减少网络信息安全事件的发生,以防对国有资产造成损害,特制定本安全管理制度,明确岗位职责,规范操作流程,维护整个信息系统的正常运行,确保信息系统的安全,现根据《中华人民共和国计算机信息系统安全保护条例》、《信息安全技术信息系统安全等级保护基本要求》等有关规定,结合实际,制订本制度。
本手册按照《信息系统安全等级保护定级指南》,结合xx中心信息系统的实际编制而成。
本文档所描述的信息安全管理制度适用于xx中心信息系统的所有信息安全相关管理和技术工作,加强对信息安全工作的规范性管理。
本制度由制定,每年定期进行审核,根据审核结果进行修订,并通过正式发布。
xx中心信息部
年月日
第2章信息安全管理手册
1、信息安全方针
全员参与明确责任
预防为主快速响应
风险管控持续改进
具体阐述如下:
1.在xx中心信息安全协调小组的领导下,全面贯彻国家和上海市关于信息安全工作的相关指导性文件精神,在xx中心内建立可持续改进的信息安全管理体系。
2.全员参与信息安全管理体系建设,落实信息安全管理责任制,建立和完善各项信息安全管理制度,使得信息安全管理有章可循。
3.通过定期地信息安全宣传、教育与培训,不断提高xx中心所有人员的信息安全意识及能力。
4.推行预防为主的信息安全积极防御理念,同时对所发生的信息安全事件进行快速、有序地响应。
5.贯彻风险管理的理念,定期对“上海市免疫规划信息系统”等重要信息系统进行风险评估和控制,将信息安全风险控制在可接受的水平。
6.按照PDCA精神,持续改进xx中心信息安全各项工作,保障xx中心安全畅通与可控,保障所开发和维护信息系统的安全稳定,为xx中心提供安全可靠的服务。
2、总体安全策略
1.建立安全管理组织机构,明确相关岗位及职责,建立健全信息安全管理责任制,使得信息安全各项职责落实到人。
2.对信息安全管理体系进行定期地评审,并实施相应的纠正和预防措施,以保证信息安全管理体系持续的充分性、适宜性、有效性。
3.对信息系统中所存在的安全风险进行有计划的评估和管理。
定期对信息系统实施信息安全风险评估,根据评估结果选择适当的安全策略和控制措施,将安全风险控制在可接受的水平。
4.按照国家等级保护有关要求,对系统服务及信息确定安全等级,并根据不同的安全等级实施分等级保护。
5.规范信息系统信息资产(包括硬件、软件、服务等)管理流程,建立信息资产管理台帐,明确资产所有者、使用者与维护者,对所有信息资产进行标记,实现对信息资产购买、使用、变更、报废整个周期的安全管理。
6.加强所有人员(包括内部人员,以及各类外来人员)的安全管理,明确岗位安全职责,制定针对违规的惩戒措施,落实人员聘用、在岗和离岗时的安全控制,与敏感岗位人员签署保密协议。
7.通过正式的信息安全培训,以网站、简报、会议、讲座等各种形式的信息安全教育活动,不断加强人员的信息安全意识,提高他们的信息安全技能和意识。
8.保障机房物理与环境安全。
实施包括门禁、视频监控、报警等安全防范措施,确保机房物理安全。
部署机房专用空调、UPS等环境保障设施,对机房设施运转情况进行定期巡检和维护。
严格对机房人员和设备的出入管理,进出需登记,外来人员需由相关管理人员陪同方能访问机房。
9.加强对信息系统外包业务与外包方的管理,在与信息系统外包方签署的服务协议中,对信息系统安全加以要求。
通过审批、访问控制、监控、签署保密协议等措施,加强外部方访问信息系统的管理,防止外部方危害信息系统安全。
10.建立信息系统(包括基础设施、网络和服务器设备、系统、应用等)文档化的操作和维护规程,使得各个相关人员能够采用规范化的形式对系统进行操作,降低和避免因误操作所引发信息安全事件的可能性。
11.统一部署网络防恶意代码软件,并进行恶意代码库的统一更新,防范恶意代码、木马等恶意代码对信息系统的影响。
通过强化恶意代码防范的管理措施,如加强介质管理,严禁擅自安装软件,加强人员安全意识教育,定期进行恶意代码检测等,提高信息系统对恶意代码的防范能力。
12.对重要的信息和信息系统进行备份,并对备份介质进行安全地保存,以及对备份数据定期进行备份测试验证,保证各种备份信息的保密性、完整性和可用性,确保所有重要信息系统和重要数据在故障、灾难后及其它特定要求下进行可靠的恢复。
13.采用技术和管理两方面的控制措施,加强对信息系统外网的安全控制,不断提高网络的安全性和稳定性。
对外网与互联网进行逻辑隔离。
通过实施网络访问控制等技术防范措施,对接入进行严格审批,加强使用安全管理,加强对系统使用的安全培训和教育,确保信息系统的安全。
14.加强信息安全日常管理,包括系统口令管理、无人值守设备管理、屏幕保护、便携机管理等,促使每位人员的日常工作符合信息系统信息安全策略和制度要求。
15.按照“仅知”原则,通过功能和技术配置,对重要信息系统、数据等实施访问控制。
进一步推广数字证书的使用,以及安全的授权管理制度,并落实授权责任人。
对系统特殊权限和系统实用工具的使用进行严格的审批和监管。
16.进一步重视软件开发安全。
在信息系统立项和审批过程中,同步考虑信息安全需求和目标。
需保证系统设计、开发过程的安全,重点加强对软件代码安全性的管理。
属于外包软件开发的,需与服务提供商签署保密协议。
系统开发完成后,要求通过第三方安全机构对软件安全性的测评。
17.在符合国家密码管理相关规定的条件下,合理使用密码技术和密码设备,严格密钥生成、分发、保存等方面的安全管理,保障密码技术使用的安全性。
18.重视对IT服务连续性的管理,建立对各类信息安全事件的预防、预警、响应、处置、恢复机制,编写针对信息系统的应急预案,并定期进行测试和演练,在信息系统发生故障或事故时,能迅速、有序地进行应急处置,最大限度地降低因信息系统突发事件或意外灾害所带来的影响。
19.对所适用的国家信息安全相关法律法规进行定期的识别、记录和更新,并对信息安全管理现状与法律法规的符合性进行检查,确保各项信息安全工作符合国家信息安全相关法律法规要求。
3、管理制度标准和要求
1.以XX中心信息系统持续安全稳定运行作为总体目标,按照总体安全策略文件执行具体的安全策略。
2.该制度应对系统管理活动中重要的管理内容建立安全管理制度,以规范安全管理活动,约束人员的行为方式,详见系统运维管理章节中相关内容。
3.该制度应对要求管理人员或操作人员执行的重要管理操作,建立操作规程,以规范操作行为,防止操作失误,详见系统运维管理章节中相关内容。
4、管理标准制定和发布
1.在安全领导小组的总体负责和监督下,组织相关业务科室或人员制订安全管理制度。
2.保证安全管理制度具有统一的格式风格,并进行版本控制。
3.组织信息所的相关人员通过内部评审对制定的管理制度进行论证和审定。
4.安全管理制度应经过安全领导小组相关负责人签发后按照一定的程序和途径以文件形式发布。
5.本管理制度适用于以xx中心信息系统为核心的应用。
5、管理制度审核与修订
1.由信息部每年检查一次制度的适用情况,并对现有制度的有效性进行评审。
对不合适的地方进行修订,必要时更换新版。
2.信息部每年组织对制度控制实施情况进行检查、评审,对存在的问题通知相应部门进行整改,并对整改情况进行跟踪验证并保存记录。
6、管理制度的作废与销毁
管理制度经过定期的评审和修改后,更换新的版本,旧版本的交由文档管理员回收作为作废文件,并做好回收记录。
7、适用范围
本手册按照ISO/IEC27001:
2005《信息安全管理体系要求》及GB/T22239-2008《信息安全等级保护基本要求》,结合信息系统的实际编制而成,符合ISO/IEC27001:
2005及GB/T22239-2008标准的全部要求。
本管理制度适用于信息系统建设和运维过程。
第3章安全管理机构
1、总则
为标准化信息安全管理流程,明确安全管理组织机构、角色、职责等,促进信息系统安全管理的组织建设,指导信息安全管理工作,落实信息安全管理责任制,特制定本管理办法。
信息安全管理机构的建设、管理,均适用本管理办法。
2、信息安全管理机构
上海市XX中心信息安全管理组织机构主要由信息安全领导小组和信息安全管理小组组成,信息安全管理小组由信息部安全管理员、机房管理员、网络管理员、应用管理员、主机管理员等负责信息系统的具体管理工作;聘请内部、领域内信息安全专家对信息系统建设和整改进行评审;日常系统运维通过外包给专业的服务公司具体实施。
信息安全管理组织架构如图3-1所示。
图2-1信息安全管理组织架构
1.安全领导小组由上海市XX中心信息化领导小组担任;
2.安全管理小组由上海市信息部主任与副主任共同担任;
3.信息系统管理人员角色主要包括机房管理员、网络管理员、机房管理员、安全管理员、安全审计员等;
4.同时为了完善信息系统的安全建设、维护和规划,由第三方维护人员优化系统维护,由信息安全专家对系统安全建设进行评审。
5.其中安全管理员不可兼任其他岗位。
3、工作职责及岗位说明
1.安全领导小组工作职责:
Ø贯彻关于信息安全方面工作的方针政策,审定信息系统安全建设规划。
Ø对信息系统安全工作的重大事项做出决策。
Ø研究审定信息系统安全建设和管理工作中的制度、标准及相关政策,并协调相关部门监督制度、政策的实施情况。
Ø组织、协调和指导信息安全的宣传、普及教育工作。
2.安全管理小组工作职责:
Ø负责贯彻落实上海市网络及信息安全领导小组关于信息系统安全工作的要求和规定。
Ø负责各业务处室信息系统安全管理工作。
Ø根据信息化建设的总体目标,负责信息系统的安全管理体系,包括:
制度建设、技术保障和操作规范等各方面的逐步建成。
Ø负责灾难备份系统及相关设施的完善及日常管理工作。
制订并完善灾难备份系统评估标准,形成标准化管理模式。
Ø监控灾难备份系统运行状况,定期或不定期组织演练,对灾难备份系统的运行状况进行审计和评估,并提出改进意见。
Ø当信息系统运行发生重大问题时,协助相关部门正确判断原因,根据指令立即采取安全措施启动相关处理程序。
Ø加强信息系统的安全教育,通过各种方式进行宣传和培训,提高全系统安全防范意识。
Ø负责信息系统安全工作进行指导、检查并进行情况通报。
Ø负责全系统的计算机恶意代码防治和网络安全的管理工作。
Ø负责与外部安全机构(如上海市信息安全认证测评中心)的协调联系,在发生重大安全事件时以协调获取外部安全机构的支持。
Ø负责制订信息系统安全规划,并在实施过程中逐步完善。
Ø负责信息系统运行安全保障工作的管理、组织、实施和监督。
Ø负责运行维护体系和技术支持平台的建设与运行管理。
Ø组织制订和贯彻信息系统运行安全保障和维护工作制度。
Ø组织实施对信息系统各类事故(故障)进行应急处理。
Ø负责数据综合利用和查询展示的管理和实施。
Ø负责容灾备份中心的运行管理。
Ø负责落实信息安全领导小组部署的各项工作。
Ø负责信息系统安全制度、技术保障和操作规范的建立及其它相关信息安全管理工作。
Ø负责对信息安全状况的定期检查;当出现安全事件时,对发生的安全事件及时上报,并配合相关的调查和纠正工作。
Ø负责对内部人员进行信息系统安全的教育、培训,提高本局内部人员的信息系统安全意识。
3.各管理人员职责:
1)机房管理员职责:
负责机房相关的运维、审批、变更等事务,保存机房相关的文档、数据。
Ø负责保障机房物理与环境的安全建设管理,对实施方责任、时间进度、任务要求、质量控制等进行监督管理。
Ø负责制定机房基础设施的相关资产清单。
内容包括资产管理的责任部门、信息分类和资产标识的方法和资产名称、重要程度、所处位置等。
Ø规范机房资产(包括机房物理与环境等)管理流程,建立机房资产管理台帐,明确资产所有者、使用者与维护者,对所有机房资产进行标记,实现对机房资产购买、使用、变更、报废整个周期的安全管理。
Ø负责制定重要基础设施等的文档化的操作和维护规程,使得相关人员能够采用规范化的形式对系统进行操作,降低和避免因误操作所引发信息安全事件的可能性。
Ø负责保障机房物理与环境安全。
实施包括门禁、视频监控、报警等安全防范措施,确保机房物理安全。
部署机房专用空调、UPS等环境保障设施,对机房设施运转情况进行定期巡检、维护、故障处理和变更管理。
严格对机房人员和设备的出入管理,进出需登记,外来人员需由相关管理人员陪同方能访问机房。
Ø在机房基础设施变更、重要操作、物理访问等的进行逐级审批,负责日常审批,重大变更上报到信息安全部。
Ø负责组织实施机房基础设施各类事故(故障)的应急处理。
2)网络管理员职责:
负责网络相关的运维、审批、变更事务,保存网络相关的文档、数据。
Ø负责保障网络安全建设管理,对实施方责任、时间进度、任务要求、质量控制等进行监督管理。
Ø规范网络管理流程,建立网络相关资产管理台帐,明确资产所有者、使用者与维护者,对所有信息资产进行标记,实现对信息资产购买、使用、变更、报废整个周期的安全管理。
Ø采用技术和管理两方面的控制措施,加强对信息系统的安全控制,不断提高网络的安全性和稳定性,信息系统外网与互联网进行逻辑隔离。
通过实施网络访问控制等技术防范措施,对接入进行严格审批并登记,加强使用安全管理,加强对系统使用的安全培训和教育,确保信息系统的安全。
Ø对重要网络设备应有文档化的操作和维护规程,使得各个相关人员能够采用规范化的形式对系统进行操作,降低和避免因误操作所引发信息安全事件的可能性。
Ø负责保障网络安全。
协助安全管理员部署网络安全产品,确保网络安全。
对网络设备设施运转情况进行定期巡检、维护、故障处理和变更管理。
Ø在网络系统变更、重要操作、访问等的进行逐级审批,负责日常审批,重大变更上报到信息安全部。
Ø负责组织实施网络各类事故(故障)的应急处理。
3)主机管理员职责:
负责主机相关的运维、审批、变更事务,保存主机相关的文档、数据。
Ø负责保障主机(包括服务器设备、操作系统、数据库系统、数据备份)安全建设管理,对实施方责任、时间进度、任务要求、质量控制等进行监督管理。
Ø负责主机运行维护体系和主机技术支持平台的建设与运行管理。
负责建立服务器设备、操作系统、数据库系统、数据备份文档化的操作和维护规程,使得各个相关人员能够采用规范化的形式对系统进行操作,降低和避免因误操作所引发信息安全事件的可能性。
Ø负责灾难备份系统及相关设施的完善及日常管理工作。
制订并完善灾难备份系统运行的评估标准,形成标准化管理模式。
监控灾难备份系统运行状况,定期或不定期组织防灾备灾演练,对灾难备份系统的运行状况进行审计和评估,并提出改进意见。
Ø对重要的信息和信息系统进行备份,并对备份介质进行安全地保存,以及对备份数据定期进行备份测试验证,保证各种备份信息的保密性、完整性和可用性,确保所有重要信息系统和重要数据在故障、灾难后及其它特定要求下进行可靠的恢复。
Ø在外网上统一部署网络防恶意代码软件,并进行恶意代码库的统一更新,防范恶意代码、木马等恶意代码对信息系统的影响。
通过强化恶意代码防范的管理措施,如加强主机管理,严禁擅自安装软件,定期进行恶意代码检测等,提高信息系统对恶意代码的防范能力。
负责全系统的计算机恶意代码防治和主机安全的管理工作,制定检查计划(包含在主机巡检工作中),督促检查工作。
Ø加强信息安全日常管理,包括系统口令管理、无人值守设备管理、屏幕保护、便携机管理等,促使每位人员的日常工作符合信息系统的信息安全策略和制度要求。
Ø通过功能和技术配置,对重要信息系统、数据等实施访问控制。
对系统特殊权限和系统实用工具的使用进行严格的审批和监管。
Ø规范主机(包括服务器设备、操作系统、数据库系统、数据备份)资产管理流程,建立主机相关资产管理台帐,明确资产所有者、使用者与维护者,对所有信息资产进行标记,实现对主机相关资产购买、使用、变更、报废整个周期的安全管理。
Ø在主机系统变更、重要操作、访问等的进行逐级审批,负责日常审批,重大变更上报到信息安全部。
Ø负责组织实施网络各类事故(故障)的应急处理。
4)系统管理员职责:
负责应用系统相关的运维、审批、变更事务,保存应用系统相关的文档、数据。
Ø负责保障软件开发管理,对实施方责任、时间进度、任务要求、质量控制等进行监督管理。
进一步重视软件开发安全。
在系统立项和审批过程中,同步考虑信息安全需求和目标。
需保证系统设计、开发过程的安全,重点加强对软件代码安全性的管理。
属于外包软件开发的,需与服务提供商签署保密协议。
系统开发完成后,并要求通过第三方安全机构对软件安全性的测评。
Ø规范信息资产管理流程,建立信息资产管理台帐,明确资产所有者、使用者与维护者,对所有信息资产进行标记,实现对信息资产购买、使用、变更、报废整个周期的安全管理。
Ø负责建立重要应用的文档化操作和维护规程,使得各个相关人员能够采用规范化的形式对系统进行操作,降低和避免因误操作所引发信息安全事件的可能性。
Ø规范应用系统资产管理流程,建立应用系统资产管理台帐,明确资产所有者、使用者与维护者,对所有信息资产进行标记,实现对主机相关资产购买、使用、变更、报废整个周期的安全管理。
Ø加强信息安全日常管理,包括应用系统口令管理、授权审批管理等,促使每位人员的日常工
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- xx 中心 信息 安全管理 制度 0623