信息安全管理制度匯編

1、內部資料注意保存XXXXXXXXXX信息安全制度匯編XXXXXXXXXX二O六年一月目錄TOC o 1-5 h z HYPERLINK l bookmark6 o Current Document 一、總則6 HYPERLINK l bookmark8 o Current Document 二、安全管理制度7 HYPERLINK l bookmark10 o Current Document 第一章管理制度7 HYPERLINK l bookmark12 o Current Document 1.安全組織結構7 HYPERLINK l bookmark14 o Current Document

2、 1.1信息安全領導小組職責7 HYPERLINK l bookmark16 o Current Document 1.2信息安全工作組職責8 HYPERLINK l bookmark18 o Current Document 1.3信息安全崗位9 HYPERLINK l bookmark20 o Current Document 2.安全管理制度11 HYPERLINK l bookmark22 o Current Document 2.1安全管理制度體系11 HYPERLINK l bookmark24 o Current Document 2.2安全方針和主策略12 HYPERLINK

3、l bookmark26 o Current Document 2.3安全管理制度和規(guī)范12 HYPERLINK l bookmark28 o Current Document 2.4安全流程和操作規(guī)程14 HYPERLINK l bookmark30 o Current Document 2.5安全記錄單14 HYPERLINK l bookmark32 o Current Document 第二章制定和發(fā)布15 HYPERLINK l bookmark34 o Current Document 第三章評審和修訂16 HYPERLINK l bookmark36 o Current Docu

4、ment 三、安全管理機構17 HYPERLINK l bookmark38 o Current Document 第一章崗位設置17 HYPERLINK l bookmark40 o Current Document 1.組織機構17 HYPERLINK l bookmark42 o Current Document 2.關鍵崗位19 HYPERLINK l bookmark44 o Current Document 第二章人員配備21 HYPERLINK l bookmark46 o Current Document 第三章授權和審批22 HYPERLINK l bookmark48 o

5、Current Document 第四章溝通和合作24 HYPERLINK l bookmark50 o Current Document 第五章審核和檢查26 HYPERLINK l bookmark52 o Current Document 四、人員安全管理28 HYPERLINK l bookmark54 o Current Document 第一章人員錄用28 HYPERLINK l bookmark56 o Current Document 1.組織編制28 HYPERLINK l bookmark58 o Current Document 2.招聘原則28 HYPERLINK l

6、bookmark60 o Current Document 3.招聘時機28 HYPERLINK l bookmark62 o Current Document 4.錄用人員基本要求29 HYPERLINK l bookmark64 o Current Document 5.招聘人員崗位要求29 HYPERLINK l bookmark66 o Current Document 6.招聘種類29外招29 HYPERLINK l bookmark68 o Current Document 內招30 HYPERLINK l bookmark70 o Current Document 7.招聘程序3

7、0 HYPERLINK l bookmark72 o Current Document 7.1人事需求申請30 HYPERLINK l bookmark74 o Current Document 甄選30錄用32 HYPERLINK l bookmark76 o Current Document 第二章保密協議33 HYPERLINK l bookmark78 o Current Document 第三章人員離崗35 HYPERLINK l bookmark80 o Current Document 第三章人員考核37 HYPERLINK l bookmark82 o Current Docu

8、ment 1制定安全管理目標37 HYPERLINK l bookmark84 o Current Document 2.目標考核37 HYPERLINK l bookmark86 o Current Document 3.獎懲措施38 HYPERLINK l bookmark88 o Current Document 第四章安全意識教育和培訓39 HYPERLINK l bookmark90 o Current Document 1.安全教育培訓制度39 HYPERLINK l bookmark92 o Current Document 第一章總則39 HYPERLINK l bookmar

9、k94 o Current Document 第二章安全教育的含義和方式39 HYPERLINK l bookmark96 o Current Document 第三章安全教育制度實施39 HYPERLINK l bookmark98 o Current Document 第四章三級安全教育及其他教育內容41 HYPERLINK l bookmark100 o Current Document 第五章附則43 HYPERLINK l bookmark102 o Current Document 第五章外部人員訪問管理制度44 HYPERLINK l bookmark104 o Current

10、Document 1.總則44 HYPERLINK l bookmark106 o Current Document 2.來訪登記控制44 HYPERLINK l bookmark108 o Current Document 3.進出門禁系統(tǒng)控制45 HYPERLINK l bookmark110 o Current Document 4.攜帶物品控制46 HYPERLINK l bookmark112 o Current Document 五、系統(tǒng)建設管理47 HYPERLINK l bookmark114 o Current Document 第一章安全方案設計47 HYPERLINK l

11、 bookmark116 o Current Document 1.概述47 HYPERLINK l bookmark118 o Current Document 2設計要求和分析48 HYPERLINK l bookmark120 o Current Document 2.1安全計算環(huán)境設計48 HYPERLINK l bookmark122 o Current Document 2.2安全區(qū)域邊界設計49 HYPERLINK l bookmark124 o Current Document 2.3安全通信網絡設計50 HYPERLINK l bookmark126 o Current Do

12、cument 2.4安全管理中心設計50 HYPERLINK l bookmark128 o Current Document 3針對本單位的具體實踐51 HYPERLINK l bookmark130 o Current Document 3.1安全計算環(huán)境建設51 HYPERLINK l bookmark132 o Current Document 3.2安全區(qū)域邊界建設52 HYPERLINK l bookmark134 o Current Document 3.3安全通信網絡建設52 HYPERLINK l bookmark136 o Current Document 3.4安全管理中

13、心建設53 HYPERLINK l bookmark138 o Current Document 3.5安全管理規(guī)范制定54 HYPERLINK l bookmark140 o Current Document 3.6系統(tǒng)整體分析54 HYPERLINK l bookmark142 o Current Document 第二章產品采購和使用55 HYPERLINK l bookmark144 o Current Document 第三章自行軟件開發(fā)581.申報58 HYPERLINK l bookmark146 o Current Document 2.安全性論證和審批583.復議58 HYP

14、ERLINK l bookmark148 o Current Document 4.項目安全立項58II IVTOC o 1-5 h z HYPERLINK l bookmark150 o Current Document 5.項目管理59 HYPERLINK l bookmark152 o Current Document 5.1概要595.2正文60 HYPERLINK l bookmark154 o Current Document 第四章工程實施62 HYPERLINK l bookmark156 o Current Document 1.信息化項目實施階段62 HYPERLINK l

15、 bookmark158 o Current Document 概要設計子階段的安全要求62 HYPERLINK l bookmark160 o Current Document 詳細設計子階段的安全要求63 HYPERLINK l bookmark162 o Current Document 項目實施子階段的安全要求63 HYPERLINK l bookmark164 o Current Document 第五章測試驗收65 HYPERLINK l bookmark166 o Current Document 1.文檔準備65 HYPERLINK l bookmark168 o Curren

16、t Document 2.確認簽字65 HYPERLINK l bookmark170 o Current Document 3.專人負責65 HYPERLINK l bookmark172 o Current Document 4.測試方案65 HYPERLINK l bookmark174 o Current Document 第六章系統(tǒng)交付68 HYPERLINK l bookmark176 o Current Document 1.試運行68 HYPERLINK l bookmark178 o Current Document 2.組織驗收68 HYPERLINK l bookmark

17、180 o Current Document 第七章系統(tǒng)備案70 HYPERLINK l bookmark182 o Current Document 1.系統(tǒng)備案70 HYPERLINK l bookmark184 o Current Document 2.設備管理70 HYPERLINK l bookmark186 o Current Document 3.投產后的監(jiān)控與跟蹤72 HYPERLINK l bookmark188 o Current Document 第八章安全服務商選擇74 HYPERLINK l bookmark190 o Current Document 六、系統(tǒng)運維管

18、理75 HYPERLINK l bookmark192 o Current Document 第一章環(huán)境管理75 HYPERLINK l bookmark194 o Current Document 1.機房環(huán)境、設備75 HYPERLINK l bookmark196 o Current Document 2.辦公環(huán)境管理76 HYPERLINK l bookmark198 o Current Document 第二章資產管理81 HYPERLINK l bookmark200 o Current Document 1.總則81 HYPERLINK l bookmark202 o Curre

19、nt Document 2.資產管理制度81 HYPERLINK l bookmark204 o Current Document 第三章介質管理85 HYPERLINK l bookmark206 o Current Document 1介質安全管理制度85 HYPERLINK l bookmark208 o Current Document 1.1計算機及軟件備案管理制度85 HYPERLINK l bookmark210 o Current Document 1.2計算機安全使用與保密管理制度85 HYPERLINK l bookmark212 o Current Document 1.

20、3用戶密碼安全保密管理制度86 HYPERLINK l bookmark214 o Current Document 1.4涉密移動存儲設備的使用管理制度86 HYPERLINK l bookmark216 o Current Document 1.5數據復制操作管理制度87 HYPERLINK l bookmark218 o Current Document 1.6計算機、存儲介質、及相關設備維修、維護、報廢、銷毀管理制度87 HYPERLINK l bookmark220 o Current Document 第四章設備管理89 HYPERLINK l bookmark222 o Curr

21、ent Document 主機、存儲系統(tǒng)運維管理89 HYPERLINK l bookmark224 o Current Document 應用服務系統(tǒng)運維管理89 HYPERLINK l bookmark226 o Current Document 3.數據系統(tǒng)運維管理90 HYPERLINK l bookmark228 o Current Document 4信息保密管理91 HYPERLINK l bookmark230 o Current Document 日常維護91 HYPERLINK l bookmark232 o Current Document 附件：安全檢查表92 HYPE

22、RLINK l bookmark234 o Current Document 第五章監(jiān)控管理和安全管理中心94 HYPERLINK l bookmark236 o Current Document 監(jiān)控管理94 HYPERLINK l bookmark238 o Current Document 安全管理中心95 HYPERLINK l bookmark240 o Current Document 第六章網絡安全管理96 HYPERLINK l bookmark242 o Current Document 第七章系統(tǒng)安全管理98 HYPERLINK l bookmark244 o Curren

23、t Document 總則98 HYPERLINK l bookmark246 o Current Document 系統(tǒng)安全策略98 HYPERLINK l bookmark248 o Current Document 系統(tǒng)日志管理99 HYPERLINK l bookmark250 o Current Document 個人操作管理100 HYPERLINK l bookmark252 o Current Document 懲處100 HYPERLINK l bookmark254 o Current Document 第八章惡意代碼防范管理101 HYPERLINK l bookmark

24、256 o Current Document 1.惡意代碼三級防范機制101 HYPERLINK l bookmark258 o Current Document 惡意代碼初級安全設置與防范101 HYPERLINK l bookmark260 o Current Document 1.2.惡意代碼中級安全設置與防范101 HYPERLINK l bookmark262 o Current Document 1.3惡意代碼高級安全設置與防范102 HYPERLINK l bookmark264 o Current Document 防御惡意代碼技術管理人員職責102 HYPERLINK l b

25、ookmark266 o Current Document 防御惡意代碼員工日常行為規(guī)范103 HYPERLINK l bookmark268 o Current Document 第九章密碼管理104 HYPERLINK l bookmark270 o Current Document 第十章變更管理1061.變更106 HYPERLINK l bookmark272 o Current Document 2.變更程序106變更申請1062.2變更審批1062.3變更實施1062.4變更驗收106 HYPERLINK l bookmark274 o Current Document 附件一變

26、更申請表107 HYPERLINK l bookmark276 o Current Document 附件二變更驗收表108 HYPERLINK l bookmark278 o Current Document 第十一章備份與恢復管理109 HYPERLINK l bookmark280 o Current Document 總則109 HYPERLINK l bookmark282 o Current Document 設備備份110 HYPERLINK l bookmark284 o Current Document 應用系統(tǒng)、程序和數據備份111 HYPERLINK l bookmark

27、286 o Current Document 備份介質和介質庫管理114 HYPERLINK l bookmark288 o Current Document 系統(tǒng)恢復115 HYPERLINK l bookmark290 o Current Document 人員備份116 HYPERLINK l bookmark292 o Current Document 第十二章安全事件處置117IV VTOC o 1-5 h z HYPERLINK l bookmark294 o Current Document 1.工作原則117 HYPERLINK l bookmark296 o Current

28、Document 2.組織指揮機構與職責117 HYPERLINK l bookmark298 o Current Document 3.先期處置118 HYPERLINK l bookmark300 o Current Document 4.應急處置1194.1應急指揮1194.2應急支援1194.3信息處理1194.4應急結束120 HYPERLINK l bookmark302 o Current Document 5后期處置1205.1善后處置120 HYPERLINK l bookmark304 o Current Document 5.2調查和評估121 HYPERLINK l b

29、ookmark306 o Current Document 第十三章應急預案管理122 HYPERLINK l bookmark308 o Current Document 1.應急處理和災難恢復122 HYPERLINK l bookmark310 o Current Document 2應急計劃123 HYPERLINK l bookmark312 o Current Document 3應急計劃的實施保障124 HYPERLINK l bookmark314 o Current Document 4應急演練125一、總則為規(guī)范XXXXXXXXXX信息安全工作，確保全體員工理解信息安全工作

30、與職責，并落實到日常工作中，推動信息安全保障工作的順利進行，結合XXXXXXXXXX的實際情況，特制定本制度。本管理制度所稱信息系統(tǒng)安全，包括計算機網絡和應用系統(tǒng)（以下簡稱信息系統(tǒng)）的硬件、軟件、數據及環(huán)境受到有效保護，信息系統(tǒng)的連續(xù)、穩(wěn)定、安全運行得到可靠保障。信息系統(tǒng)安全管理堅持“誰主管誰負責”的原則，公司的所有部門和員工都應各自履行相關的信息系統(tǒng)安全建設和管理的義務與責任。信息系統(tǒng)安全工作的總體目標是：實施信息系統(tǒng)安全等級保護，建立健全先進實用、完整可靠的信息系統(tǒng)安全體系，保證系統(tǒng)和信息的完整性、真實性、可用性、保密性和可控性，保障信息化建設和應用，支撐公司業(yè)務持續(xù)、穩(wěn)定、健康發(fā)展。信息

31、系統(tǒng)安全體系建設必須堅持“統(tǒng)一標準、保障應用、符合法規(guī)、綜合防范、集成共享”的原則。本制度適用于公司所有部門和個人。二、安全管理制度第一章管理制度安全組織結構XXXXXXXXXX安全管理組織應形成由主管領導牽頭的信息安全領導小組、具體信息安全職能部門負責日常工作的組織模式，組織結構圖如下所示：組織機構圖信息安全領導小組職責信息安全領導小組是由XXXXXXXXXX主管領導牽頭，各部門的負責人為組成成員的組織機構，主要負責批準XXXXXXXXXX安全策略、分配安全責任并協調安全策略能夠實施，確保安全管理工作 有一個明確的方向，從管理和決策層角度對信息安全管理提供支持。信息安全領導小組的主要責任如下

32、：（一）確定網絡與信息安全工作的總體方向、目標、總體原則和安全工作方法；（二）審查并批準政府的信息安全策略和安全責任；（三）分配和指導安全管理總體職責與工作；（四）在網絡與信息面臨重大安全風險時，監(jiān)督控制可能發(fā)生的重大變化；（五）對安全管理的重大更改事項（例如：組織機構調整、關鍵人事變動、信息系統(tǒng)更改等）進行決策；（六）指揮、協調、督促并審查重大安全事件的處理，并協調改進措施；（七）審核網絡安全建設和管理的重要活動，如重要安全項目建設、重要的安全管理措施出臺等；（八）定期組織相關部門和相關人員對安全管理制度體系的合理性和適用性進行審定。信息安全工作組職責信息安全工作組是信息安全工作的日常執(zhí)行機

33、構，內設專職的安全管理組織和崗位，負責日常具體安全工作的落實、組織和協調。信息安全工作組的主要職責如下：（一）貫徹執(zhí)行和解釋信息安全領導小組的決議；（二）貫徹執(zhí)行和解釋國家主管機構下發(fā)的信息安全策略；（三）負責組織和協調各類信息安全規(guī)劃、方案、實施、測試和驗收評審會議；（四）負責落實和執(zhí)行各類信息安全具體工作，并對具體落實情況進行總結和匯報；（五）負責內外部組織和機構的溝通、協調和合作工作；（六）負責制定所有信息安全相關的管理制度和規(guī)范；（七）負責針對信息安全相關的管理制度和規(guī)范具體落實工作進行監(jiān)督、檢查、考核、指導及審批，例如現有安全技術措施的有效性安全配置與安全策略的一致性、安全管理制度的

34、執(zhí)行情況等。以上組織結構和職責通過信息安全組織職責體系加以說明。1.3信息安全崗位為了有效落實信息安全各項工作，XXXXXXXXXX應設立以下專職的安全崗位，負責安全工作的落實和執(zhí)行：1.3.1信息安全工作組主管1）負責網絡與信息安全的日常整體協調、管理工作；2）負責組織人員制定信息安全管理制度，并對管理制度進行推廣、培訓和指導；3）負責重大安全事件的具體協調和溝通工作。1.3.2安全管理員崗位負責執(zhí)行網絡與信息安全工作的日常協調、管理工作；負責日常的安全監(jiān)控管理，并對上報和發(fā)現的各類安全事件進行響應；負責系統(tǒng)、網絡和應用安全管理的協調和技術指導；負責安全管理平臺安全策略制定，訪問控制策略審核

35、；負責組織安全管理制度的推廣和培訓工作；負責定期進行安全檢查，檢查內容包括系統(tǒng)日常運行、系統(tǒng)漏洞和數據備份等情況。1.3.3安全審計員崗位負責安全管理制度落實情況的檢查、監(jiān)督和指導；負責安全策略執(zhí)行情況的審核。系統(tǒng)管理員1)負責系統(tǒng)安全穩(wěn)定運行的日常管理工作；2)負責保持系統(tǒng)的防病毒系統(tǒng)、補丁等保持最新，定期對系統(tǒng)進行安全加固，保持系統(tǒng)漏洞最小化。網絡管理員1)負責網絡設備安全穩(wěn)定運行的日常管理工作；2)負責保持網絡設備的漏洞最小化，定期對系統(tǒng)進行安全加固負責保持網絡路由和交換策略與業(yè)務需求保護一致。4)XXXXXXXXXX應根據日常的運行維護和管理工作，設置物理環(huán)境管理、數據庫管理、應用管理

36、以及資產管理等崗位，這些崗位也應當包括安全職責，這些安全職責的具體內容通過信息安全管理崗位說明書落實安全管理制度安全管理制度體系XXXXXXXXXX安全管理制度應建立信息安全方針、安全策略、安全管理制度、安全技術規(guī)范以及流程的一套信息安全管理制度體系。信息妄全方針匪安全主策略I隧暮全技術I就范和標準I婆全工件流程(支擔妄全管理制庚子耍全操件規(guī)程支捷妄全技術規(guī)范LJ安全方針和主策略最高方針，綱領性的安全策略主文檔，陳述本策略的目的、適用范圍、信息安全的管理意圖、支持目標以及指導原則，信息安全各個方面所應遵守的原則方法和指導性策略。安全管理制度和規(guī)范各類管理規(guī)定、管理辦法和暫行規(guī)定。從安全策略主文

37、檔中規(guī)定的安全各個方面所應遵守的原則方法和指導性策略引出的具體管理規(guī)定、管理辦法和實施辦法，是必須具有可操作性，而且必須得到有效推行和實施的。技術標準和規(guī)范，包括各個安全等級區(qū)域網絡設備、主機操作系統(tǒng)和主要應用程序的應遵守的安全配置和管理的技術標準和規(guī)范。技術標準和規(guī)范將作為各個網絡設備、主機操作系統(tǒng)和應用程序的安裝、配置、采購、項目評審、日常安全管理和維護時必須遵照的標準，不允許發(fā)生違背和沖突。本項目將為XXXXXXXXXX編制如下安全管理制度和規(guī)范：安全方針安全策略安全管理組織體系職責內部人員安全管理規(guī)定外部人員安全管理規(guī)定等級保護安全管理規(guī)范風險評估管理規(guī)范軟件開發(fā)管理規(guī)定IT外包管理規(guī)

38、定工程安全管理規(guī)定產品采購安全管理規(guī)定服務商安全管理規(guī)定機房管理制度辦公環(huán)境安全管理規(guī)定資產安全管理制度設備安全管理規(guī)定介質安全管理規(guī)定運行維護安全管理規(guī)范網絡安全管理規(guī)定系統(tǒng)安全管理規(guī)定防病毒安全管理規(guī)定密碼使用管理制度變更管理制度備份與恢復管理規(guī)定安全事件管理制度應急預案安全流程和操作規(guī)程，詳細規(guī)定主要業(yè)務應用和事件處理的流程步驟和相關注意事項。作為具體工作時的具體依照，此部分必須具有可操作性，而且必須得到有效推行和實施的。安全流程和操作規(guī)程安全流程和操作規(guī)程，詳細規(guī)定主要業(yè)務應用和事件處理的流程和步驟，和相關注意事項。作為具體工作時的具體依照，此部分必須具有可操作性，而且必須得到有效推行

39、和實施的。2.5安全記錄單安全記錄單，落實安全流程和操作規(guī)程的具體表單，根據不同等級信息系統(tǒng)的要求可以通過不同方式的安全記錄單落實并在日常工作中具體執(zhí)行。主要包括日常操作的記錄、工作記錄、流轉記錄以及審批記錄等。第二章制定和發(fā)布安全策略系列文檔制定后，必須有效發(fā)布和執(zhí)行。發(fā)布和執(zhí)行過程中除了要得到管理層的大力支持和推動外，還必須要有合適的、可行的發(fā)布和推動手段，同時在發(fā)布和執(zhí)行前對每個人員都要做與其相關部分的充分培訓，保證每個人員都知道和了解與其相關部分的內容。安全策略在制定和發(fā)布過程中，應當實施以下安全管理：（一）安全管理制度應具有統(tǒng)一的格式，并進行版本控制；（二）由信息安全工作小組負責安全

40、管理制度的制定（三）安全管理職能部門應組織相關人員對制定的安全管理制度進行論證和審定；（四）安全管理制度應通過文件形式下發(fā)通知；（五）安全管理制度應注明發(fā)布范圍，并對收發(fā)文進行登記。必須要注意到這是一個長期、艱苦的工作，需要付出艱苦的努力，而且由于牽扯到許多部門和絕大多數員工，可能需要改變工作方式和流程，所以推行起來的阻力會相當大；同時安全策略本身存在的缺陷，包括不切實可行，太過復雜和繁瑣，部分規(guī)定有缺欠等，都會導致整體策略難以落實。第三章評審和修訂信息安全領導小組應組織相關人員對于信息安全策略體系文件進行評審，并確定其有效執(zhí)行期限。同時應指定信息安全職能部門每年審視安全策略系列文檔，具體檢查

41、內容包括：（一）信息安全策略中的主要更新；（二）信息安全標準中的主要更新。信息安全標準不需要全部更新，可以僅對因變更而受影響的部分進行更新；如果必要，可以使用年度審視更新流程對信息安全標準做一次全面更新。（三）安全管理組織機構和人員的安全職責的主要更新；（四）操作流程的主要更新；（五）各類管理規(guī)定、管理辦法和暫行規(guī)定的主要更新；（六）用戶協議的主要更新；等等。通過信息安全策略管理規(guī)定落實以上相關內容。三、安全管理機構第一章崗位設置健全的崗位設置、職責分配及技能要求等是安全組織建設的重點內容，對于以后安全管理工作的順利開展具有巨大的意義。缺乏健全的崗位設置、職責分配及技能要求將導致無人負責、難以

42、落實責權利，難以勝任安全管理工作等嚴重問題。組織機構1）XXXXXXXXXX成立信息安全領導小組，是信息安全的最高決策機構，下設辦公室，負責信息安全領導小組的日常事務。2）信息安全工作領導小組，其最高領導由單位主管領導委任或授權。3）信息安全領導小組負責研究重大事件，落實方針政策和制定總體策略等。職責主要包括：a）根據國家和行業(yè)有關信息安全的政策、法律和法規(guī)，批準公司信息安全總體策略規(guī)劃、管理規(guī)范和技術標準；b）確定公司信息安全各有關部門工作職責，指導、監(jiān)督信息安全工作。c）信息安全領導小組下設兩個工作組：信息安全工作組、應急處理工作組。組長均由公司負責人擔任。4）信息安全工作組的主要職責包括

43、：a）貫徹執(zhí)行公司信息安全領導小組的決議，協調和規(guī)范公司信息 安全工作；b）根據信息安全領導小組的工作部署，對信息安全工作進行具體安排、落實；c）組織對重大的信息安全工作制度和技術操作策略進行審查，擬訂信息安全總體策略規(guī)劃，并監(jiān)督執(zhí)行；d）負責協調、督促各職能部門和有關單位的信息安全工作，參與信息系統(tǒng)工程建設中的安全規(guī)劃，監(jiān)督安全措施的執(zhí)行；e）組織信息安全工作檢查，分析信息安全總體狀況，提出分析報告和安全風險的防范對策；f）負責接受各單位的緊急信息安全事件報告，組織進行事件調查，分析原因、涉及范圍，并評估安全事件的嚴重程度，提出信息安全事件防范措施；g）及時向信息安全工作領導小組和上級有關部

44、門、單位報告信息安全事件。h）跟蹤先進的信息安全技術，組織信息安全知識的培訓和宣傳工作。5）應急處理工作組的主要職責包括：a）審定公司網絡與信息系統(tǒng)的安全應急策略及應急預案；b）決定相應應急預案的啟動，負責現場指揮，并組織相關人員排除故障，恢復系統(tǒng)；c）每年組織對信息安全應急策略和應急預案進行測試和演練。6）公司應指定分管信息的領導負責本單位信息安全管理，并配備信息安全技術人員，有條件的應設置信息安全工作小組或辦公室，對公司信息安全領導小組和工作小組負責，落實本單位信息安全工作和應急處理工作。關鍵崗位設置信息系統(tǒng)的關鍵崗位并加強管理，配備系統(tǒng)管理員、網絡管理員、應用開發(fā)管理員、安全審計員、安全

45、保密管理員，要求五人各自獨立。要害崗位人員必須嚴格遵守保密法規(guī)和有關信息安全管理規(guī)定。1）系統(tǒng)管理員主要職責有：a）負責系統(tǒng)的運行管理，實施系統(tǒng)安全運行細則；b）嚴格用戶權限管理，維護系統(tǒng)安全正常運行；c）認真記錄系統(tǒng)安全事項，及時向信息安全人員報告安全事件；d）對進行系統(tǒng)操作的其他人員予以安全監(jiān)督。2）網絡管理員主要職責有：a）負責網絡的運行管理，實施網絡安全策略和安全運行細則；b）安全配置網絡參數，嚴格控制網絡用戶訪問權限，維護網絡安全正常運行；c）監(jiān)控網絡關鍵設備、網絡端口、網絡物理線路，防范黑客入侵，及時向信息安全人員報告安全事件；d）對操作網絡管理功能的其他人員進行安全監(jiān)督。3）應用

46、開發(fā)管理員主要職責有:a）負責在系統(tǒng)開發(fā)建設中，嚴格執(zhí)行系統(tǒng)安全策略，保證系統(tǒng)安全功能的準確實現；b）系統(tǒng)投產運行前，完整移交系統(tǒng)相關的安全策略等資料；c）不得對系統(tǒng)設置“后門”；d）對系統(tǒng)核心技術保密等。4）安全審計員負責對涉及系統(tǒng)安全的事件和各類操作人員的行為進行審計和監(jiān)督，主要職能包括：a）按操作員證書號進行審計；b）按操作時間審計；c）按操作類型審計；d）事件類型進行審計；e）日志管理等。5）安全保密管理員負責日常安全保密管理活動，主要職責有：a）監(jiān)視全網運行和安全告警信息b）網絡審計信息的常規(guī)分析c）安全設備的常規(guī)設置和維護d）執(zhí)行應急中心制定的具體安全策略e）向應急管理機構和領導機

47、構報告重大的網絡安全事件等。第二章人員配備配備足夠數量的系統(tǒng)管理員、網絡管理員、安全管理員對順利完成安全管理工作是非常重要的，可以有效避免人力不足帶來的問題。配備專職的安全管理員可以讓管理工作落實到專人上，可以更高效的開展安全管理工作。關鍵事務崗位配備多人進行共同管理可以防止出現疏忽，并且有利于互相約束和監(jiān)督機制的建立。如果沒有配備足夠數量的系統(tǒng)管理員、網絡管理員、安全管理員，則可能由于工作過度繁忙而出現安全事件。如果安全管理人員都是兼職，則很可能出現只顧其他業(yè)務而忽視安全的情況。關鍵事務崗位人員不足會導致疏忽大意。按照實際工作需要配備足夠數量的系統(tǒng)管理員、網絡管理員、安全管理員；在安全管理部

48、配備專職的安全管理員；識別出關鍵事務崗位，對這些關鍵崗位配備多人進行共同管理，以防止疏忽，并且建立起約束和監(jiān)督機制。崗位名稱人員數量人員名稱系統(tǒng)管理員網絡管理員應用開發(fā)管理員安全審計員安全保密管理員第三章授權和審批授權和審批可以保證安全有關工作得到認可和控制，排除盲目性和不一致性，使安全工作更加權威和科學，有利于增強責任感。如果授權和審批工作做得不夠完善，可能會帶來執(zhí)行難等問題，安全工作得不到控制，因安全帶來的問題長期得不到解決，安全問題日積月累，最終導致嚴重安全事件的發(fā)生。應按照以下規(guī)范進行授權和審批流程建設：明確審批授權事項、審批授權部門；建立系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入等事項的

49、審批程序，對重要活動實施逐級審批；按照審批程序執(zhí)行審批過程，記入文檔并進行審計；定期審查審批事項，及時更新需授權和審批的項目、審批部門和審批人等信息；制度名稱信息系統(tǒng)管理授權審批制度執(zhí)行部門監(jiān)督部門文件編號考證部門受控狀態(tài)為了提高企業(yè)信息系統(tǒng)的可靠性、穩(wěn)定性、安全性，特制定本制度。第2條本制度適用于信息部與各用戶部門使用企業(yè)信息系統(tǒng)的相關人員。第3條企業(yè)中涉及到信息系統(tǒng)方面的工作統(tǒng)一由信息部負責。第4條信息系統(tǒng)管理授權的方式。企業(yè)信息系統(tǒng)的授權以職位說明書和授權書為基準，逐級授權，其他授權方式或越級授權視為無效。第5條企業(yè)信息系統(tǒng)管理授權程序。1總裁授權運營總監(jiān)全面負責企業(yè)信息系統(tǒng)的開發(fā)、管理

50、、修改等工作。2運營總裁授權信息部經理負責信息系統(tǒng)的開發(fā)、管理、修改等具體工作。3信息部經理授權給下屬員工，完成相應工作。第6條企業(yè)信息系統(tǒng)管理中的文件審批程序，如下圖所示。信息系統(tǒng)管理的文件審批程序示意圖第7條企業(yè)中的各用戶部門對信息系統(tǒng)只有根據其職級的使用權與建議權，而無修改權，否則造成的全部后果由當事人承擔。第8條本制度由信息部制定，解釋權、修改權歸屬信息部。第9條本制度自總裁審批之日起實施，修訂時亦同。編制日期審核日期批準日期修改標記修改處數修改日期第四章溝通和合作安全管理問題涉及到各個層次的人員及技術，需要大家密切配合才能做好，任何一方出現問題都會影響整個安全管理工作的順利開展，因此

51、對各種安全問題進行定期溝通和合作是非常必要的。如果與安全管理有關的溝通和合作推進不順利，出現的安全問題得不到反饋和支持，則安全問題會變得越來越嚴重，直到出現嚴重安全事件。應按照以下規(guī)范進行溝通與合作：由安全管理部提出，每半年召開一次安全協調專題會議，為期一天，各有關部門包括外部顧問機構及人員都要參加，及時提出問題和解決問題；會議記錄時間地點主持人記錄員時間調度參加人員：會議議題發(fā)言人會議內容執(zhí)行人監(jiān)督人完成時間每年與與兄弟單位、公安機關、電信公司等召開一次安全總結會，平時則通過郵件等及時合作與溝通；通過郵件、電話等與供應商、業(yè)界專家、專業(yè)的安全公司、安全組織進行及時合作與溝通；建立外聯單位聯系

52、列表，包括外聯單位名稱、合作內容、聯系人和聯系方式等信息；聘請信息安全專家作為常年的安全顧問，指導信息安全建設，參與安全規(guī)劃和安全評審等。第五章審核和檢查對安全工作的開展情況進行定級審核和檢查可以及時、有效的督促安全制度和安全技術的執(zhí)行、運作情況，減少安全疏忽，及時發(fā)現并解決問題，使安全工作日?；?、制度化。安全工作如果不能保證及時的審核和檢查，則容易導致各項工作大打折扣，并且由此帶來的問題會積累起來最終導致嚴重安全事件發(fā)生，如補丁長期得不到更新使系統(tǒng)長期暴露于黑客攻擊威脅之下。由安全管理員每周進行安全檢查，檢查內容包括系統(tǒng)日常運行、系統(tǒng)漏洞和數據備份等情況；由內部人員或上級單位每季度進行全面安

53、全檢查，檢查內容包括現有安全技術措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等；每次檢查都要制定安全檢查表格實施安全檢查，匯總安全檢查數據，形成安全檢查報告，并對安全檢查結果進行通報；將上述工作要求寫入安全審核和檢查管理制度，用以規(guī)范安全審核和安全檢查工作的頻率等重要內容。安全檢查記錄表檢查類型：定期安全檢查單位名稱XXXXXXXXXX工程名稱檢查時間檢查單位檢查項目或部位參見檢察人員檢查記錄檢查結論及意見填表人：四、人員安全管理第一章人員錄用組織編制各部門根據實際工作之需，進行工作分析，設定工作崗位，明確各崗位職責，任職條件、需要人數等。根據權責分工及不同職位的相互關系，

54、建立組織架構，并根據各職位人員配備數，確定組織編制，各部門負責制訂本部門組織編制，人事行政部匯總制訂全公司組織編制。每年11月份制訂下年編制，如因公司經營決策有重大調整或重大形勢變化，經總經理同意可在需要時修訂。招聘原則人員招聘根據人事編制安排，一般不得超出批準的編制（確須超出原編制招員的，應先按規(guī)定修訂編制）人員招聘應遵循公開、公平、公正原則，平等競爭，擇優(yōu)錄取。招聘時機原有人員異動或離職，需補缺。工作業(yè)務量擴大，現有人力不能滿足工作需求，需擴招。 錄用人員基本要求具備應聘崗位所需的文化和技能要求，并通過考試或考核合格。具備應聘崗位所要求的年齡和身體條件。身份正當，具有有效身份證及國家規(guī)定的

55、其它證明。思想品德好，認同公司的文化，能夠自覺遵守公司的規(guī)章制度、自覺維護公司的權益和形象并愿意為公司服務。服從公司的工作安排，努力做好本職工作?；加芯裥浴魅拘约捌渌锌赡苡绊懻９ぷ?、危害公眾健康的疾病的人員不得錄用。隱瞞、偽造、冒用個人證件、履歷的人員不得錄用。受過刑罰或正被追究刑事責任的人員不得錄用。被公司辭退、開除或自動離職的原公司員工不得再行錄用。招聘人員崗位要求各部門應根據不同職位要求，對性別、年齡、教育程度、相關工作年限、專業(yè)知識、技能及其它適職條件做出明確說明；便于人事行政部遴選初試。招聘種類6.1外招外招適用于公司現有人力不能滿足實際工作需要時（數量不足、任職資格不足）。

56、6.2內招內招適用于選拔同一職級但不同職位或更高職級之職位人員，在公司現有人力資源可以滿足的情況下，應優(yōu)先采用內招形式。內招報名人員需填寫好內招人員報名表，經部門主管人員批準后，送交人事行政部。7.招聘程序7.1人事需求申請需求部門根據生產經營和發(fā)展需要至人事行政部處領取人員需求申請表提出人事需求申請，注明是內招還是外招，由部門主管人員審核，人事行政部根據各部門的定編定崗情況確認后，呈總經理核準。需求部門應于實際需求日前提出人事需求申請，生產作業(yè)人員提前7天申請，辦公室普通職員提前15天申請，部門主管（含）及以上中層管理人員提前30天申請，以便于人事行政部統(tǒng)籌安排招聘。人事行政部應按部門需求及

57、時組織招聘，如到需求時間未招到合適人員，人事行政部應向需求部門說明原因，并與需求部門協調，再行確認預計時間，并視需要重新確認需求條件。7.2甄選人事行政部根據經批準的需求申請制訂招聘計劃，組織招聘選擇招聘渠道，主要形式有：a）、廠區(qū)門口就地招聘、職介機構、勞務所推介（主要用于招聘生產作業(yè)人員）。b）、參加人才招聘會、網絡招聘（主要用于招聘辦公室普通職員和中層管理人員）。c）、與院校合作，由校方推介（主要用于招聘實習生）。d）、獵頭公司推薦。（主要用于招聘高層管理人員）。人事行政部對應聘資料進行收集、分類、歸檔，按照所需崗位的職位描述做初步篩選。擬選人員一般需經過兩次面談和測試,面試層次及步驟如

58、下：a）應聘人員填寫求職人員登記表，人事行政部應向應試者了解個人背景，進行資格審查（初試），不符合公司基本要求或需求部門基本條件者，予以謝絕。b）人事行政部將初選合格的人員推薦到需求部門，由需求部門組織對應聘人員進行專業(yè)能力及其它方面的復試。1）、需求部門經復試認為合格，提請批準錄用（生產作業(yè)人員由部門部長批準，辦公室職員由總經理批準），如認為不合格，予以謝絕。2）、部門經過復試以后，無論是否預備錄用應聘人員，均轉由人事行政部通知應聘者。背景調查人事行政部負責對通過面試的部門主管（含）級別以上的人員進行工作經歷、學歷狀況、身份證明等進行背景調查，填寫應聘者背景資料查詢表（見附件5）并將調查結果

59、進行匯總報相關領導。7.2.5薪資核定、審批手續(xù)辦理人力資源主管根據面試評價及背景調查情況，對生產作業(yè)人員的薪資進行核定、審批；辦公室普通職員、部門主管（含）以上人員的薪資核定由人事行政部審核后，交由總經理進行核準。7.3錄用人事行政部根據經批準的錄用意見，發(fā)放錄用通知書，通知錄用人員報到有關事宜。第二章保密協議信息安全人員應簽訂保密協議，履行約定紀律及其他方面條款。從內部人員中選拔從事關鍵崗位的人員，并簽署崗位安全協議.信息安全人員在調離崗位時要簽訂離崗人員保密協議保密協議附件：甲方：xxxxxxxxxx乙方：甲、乙雙方根據中華人民共和國勞動法以及國家、地方政府有關規(guī)定，在遵循平等自愿、協商

60、一致、誠實信用的原則下，就甲方商業(yè)秘密保密事項達成如下協議。一、保密內容甲、乙雙方確認，乙方應承擔保密義務的甲方商業(yè)秘密范圍包括但不限于以下內容。1技術信息：技術方案、工程設計、技術報告、檢測報告、實驗數據、試驗結果、圖紙、樣品等。2經營信息：包括經營方針、投資決策意向、產品服務定價、市場分析、廣告策略等。3公司依照法律規(guī)定或者有關協議的約定對外承擔保密義務的事項。二、雙方的權利和義務1甲方提供正常的工作條件，為乙方的發(fā)明、科研成果提供良好的應用和生產條件，并根據創(chuàng)造的經濟效益給予獎勵。2乙方必須按甲方的要求從事經營、生產項目和科研項目的設計與開發(fā)，并將生產、經營、設計與開發(fā)的成果、資料交甲方