三級等保評審需要的網(wǎng)絡(luò)安全管理制度大全匯編V1

某某單位

信息安全管理制度匯編

2019年1月

信息化管理處

關(guān)于本文件

文件名稱省某某單位信息安全管理制度匯編

文件編號控制級別部資料

文件類別管理制度文件頁數(shù)

編制日期年月日

審核日期年月日

簽發(fā)日期年月日

分發(fā)控制［受控文件填寫］

編號份數(shù)

用途

審批人日期

經(jīng)手人日期

目錄

第一章安全策略總綱...............................................1

1.1、信息安全黃略總綱..........................................2

1.1.1、總則.........................................................2

1.1.2、信息安全工作總體方針........................................2

1.13.信息安全總體策略............................................4

1.1.4、安全管理.....................................................6

1.1.5,制度的制定與發(fā)布...........................................15

1.1.6、制度的評審和修訂...........................................16

附件17T網(wǎng)絡(luò)安全管理制度論證審定記錄（模板）.......................17

附件17-2網(wǎng)絡(luò)安全管理制度收發(fā)文記錄（模板）.........................19

第二章安全管理機(jī)構(gòu).............................................21

2.1、信息安全組織及崗位職責(zé)管理規(guī)定..........................22

2.1.1、總則........................................................22

2.1.2、信息安全組織機(jī)構(gòu)...........................................23

2.1.3、信息安全組織職責(zé)...........................................25

2.1.4,信息安全崗位職責(zé)...........................................27

2.1.5、信息安全崗位要求...........................................31

2.1.6、附則........................................................32

附件277網(wǎng)絡(luò)安全工作授權(quán)審批單（模板）..............................33

附件2-1-2網(wǎng)絡(luò)安全工作會議記錄表（模板）..............................35

附件27-3外聯(lián)單位工作聯(lián)系表（模板）..................................37

2.2、信息安全檢查與審計(jì)管理制度..............................39

2.2.1、總則........................................................39

2.2.2、安全檢查....................................................39

223、安全審計(jì)....................................................40

2.2.4、附則.........................................................42

附件2-27年度網(wǎng)絡(luò)安全檢查記錄（模板）................................43

第三章人員安全管理..............................................50

3.1、部人員信息安全管理規(guī)定...................................51

3.1.1、總則........................................................51

3.1.2>人員錄用....................................................51

3.1.3、崗位人選....................................................52

3.1.4、人員轉(zhuǎn)崗和離崗..............................................52

3.1.5、人員考核....................................................53

3.1.6、人員懲戒....................................................54

3.1.7、人員教育和培訓(xùn)..............................................54

3.1.8、附則........................................................55

附件377人員錄用審查考核結(jié)果記錄（模板）...........................56

附件37-2信息系統(tǒng)關(guān)鍵崗位安全協(xié)議（模板）...........................58

附件37-3信息安全崗位培訓(xùn)計(jì)劃制定要求（模板）.......................60

附件37-4人員離崗安全處理記錄（模板）................................63

附件37-5人員培訓(xùn)考核記錄（模板）....................................66

附件37-6人員獎懲及違紀(jì)記錄（模板）..................................68

3.2、外部人員訪問信息安全管理規(guī)定............................70

3.2.1、總則........................................................70

3.2.2、定義........................................................70

323、外部人員訪問信息安全管理...................................71

324、第三方安全要求.............................................73

3.2.5、附則........................................................74

第四章系統(tǒng)建設(shè)管理..............................................75

4.1、定級備案管理規(guī)定..........................................76

4.1.1、總則........................................................76

4.1.2、定義........................................................76

4.1.3、崗位及職責(zé)..................................................78

4.1.4、系統(tǒng)定級方法................................................79

4.1.5、系統(tǒng)定級備案管理...........................................81

附件477系統(tǒng)定級結(jié)果評審及審批意見（模板）.........................85

4.2、信息安全方案設(shè)計(jì)管理規(guī)定..................................87

4.2.1、總則........................................................87

422、安全建設(shè)總體規(guī)劃責(zé)任部門...................................87

4.2.3、安全方案的設(shè)計(jì)和評審.......................................87

424、安全方案的調(diào)整和修訂.......................................88

4.2.5、附則.........................................................88

附件4-27安全方案評審及審批意見（模板）..............................90

4.3、產(chǎn)品采購和使用信息安全管理規(guī)定...........................92

4.3.1、總則........................................................92

432、產(chǎn)品采購和使用..............................................92

4.3.3、產(chǎn)品采購清單的維護(hù).........................................94

434、附則.........................................................94

附件4-37安全產(chǎn)品采購記錄（模板）....................................95

附件4-3-2候選產(chǎn)品清單（模板）........................................97

4.4、信息系統(tǒng)自行軟件開發(fā)管理規(guī)定.............................99

4.4.1、總則........................................................99

442、自行軟件開發(fā)管理............................................99

4.4.3、附則........................................................104

4.5、信息系統(tǒng)外包軟件開發(fā)管理規(guī)定............................105

4.5.1、總則........................................................105

452、外包軟件開發(fā)管理...........................................105

4.5.3、附則........................................................107

4.6、信息系統(tǒng)工程實(shí)施安全管理制度............................108

461、總則.......................................................108

462、工程實(shí)施管理...............................................108

463、實(shí)施過程控制方法..........................................109

464、實(shí)施人員行為準(zhǔn)則..........................................112

465、附則.......................................................114

附件4-67工程測試驗(yàn)收評審及審批意見（模板）........................115

4.7、信息系統(tǒng)測試驗(yàn)收安全管理規(guī)定............................117

4.7.1、總則.......................................................117

472、測試驗(yàn)收管理...............................................117

473、測試驗(yàn)收控制方法..........................................119

4.7.4、測試人員行為準(zhǔn)則..........................................119

4.7.5、附則.......................................................120

4.8、信息系統(tǒng)交付安全管理規(guī)定................................121

4.8.1、總則.......................................................121

4.8.2、交付管理...................................................121

4.8.3、系統(tǒng)交付的控制方法........................................122

4.8.4、參與人員行為準(zhǔn)則..........................................123

4.8.5、附則.......................................................123

4.9、信息系統(tǒng)等級測評管理規(guī)定................................124

4.9.1、總則.......................................................124

492、等級測評管理...............................................124

4.9.3、附則........................................................125

4.10、信息系統(tǒng)安全服務(wù)商選擇管理辦法.......................127

4.10.1、總則.......................................................127

4.10.2、安全服務(wù)商選擇............................................127

4.10.3、附則.......................................................128

附件4707個人工作承諾書（模板）....................................129

附件4-10-2服務(wù)項(xiàng)目協(xié)議書（模板）....................................132

第五章系統(tǒng)運(yùn)維管理.............................................134

5.1、環(huán)境安全管理規(guī)定........................................135

5.1.1、總則.......................................................135

5.1.2、機(jī)房安全管理...............................................135

5.1.3、辦公區(qū)信息安全管理........................................138

5.1.4、附則.......................................................140

附件577機(jī)房來訪人員登記表（模板）.................................141

5.2、資產(chǎn)安全管理制度........................................143

5.2.1、總則.......................................................143

522、信息系統(tǒng)資產(chǎn)使用..........................................144

523、信息系統(tǒng)資產(chǎn)傳輸..........................................145

5.2.4、信息系統(tǒng)資產(chǎn)存儲..........................................145

5.2.5、信息系統(tǒng)資產(chǎn)維護(hù)..........................................145

5.2.6、信息系統(tǒng)資產(chǎn)報(bào)廢..........................................147

5.2.7、附則.......................................................148

附件5-2-1資產(chǎn)清單（模板）............................................150

附件5-2-2信息系統(tǒng)資產(chǎn)報(bào)廢申請表（模板）.............................152

5.3、介質(zhì)安全管理制度........................................154

5.3.1、總則.......................................................154

5.3.2、介質(zhì)管理標(biāo)準(zhǔn)...............................................154

5.3.3、附則.......................................................157

附件5-3-1存儲介質(zhì)操作記錄表（模板）.................................159

5.4、設(shè)備安全管理制度........................................161

5.4.1、總則.......................................................161

542、設(shè)備安全管理...............................................161

543、配套設(shè)施、軟硬件維護(hù)管理..................................163

5.4.4、設(shè)備使用管理...............................................167

5.4.5、附則.......................................................169

附件5-4-1設(shè)備出門條（模板）.........................................170

附件5-4-2設(shè)備維修記錄表（模板）.....................................171

附件5-4-3網(wǎng)絡(luò)運(yùn)維巡檢表（模板）.....................................173

附件5-4-4主機(jī)運(yùn)維巡檢表（模板）.....................................174

附件5-4-5數(shù)據(jù)庫運(yùn)維巡檢表（模板）...................................176

附件5-4-6應(yīng)用服務(wù)運(yùn)維巡檢表（模板）.................................178

附件5-4-7機(jī)房相關(guān)設(shè)備運(yùn)維巡檢表（模板）.............................180

5.5、運(yùn)行維護(hù)和監(jiān)控管理規(guī)定..................................182

5.5.1、總則.......................................................182

5.5.2、運(yùn)行維護(hù)和監(jiān)控工作........................................182

5.5.3、安全運(yùn)行維護(hù)和監(jiān)控作業(yè)計(jì)劃...............................184

554、附則.......................................................185

附件5-57監(jiān)控記錄分析評審表.........................................186

5.6、網(wǎng)絡(luò)安全管理制度........................................188

561、總則.......................................................188

562、網(wǎng)絡(luò)設(shè)備管理..............................................188

563、用戶和口令管理............................................191

564、配置文件管理..............................................191

565、日志管理...................................................192

566、設(shè)備軟件管理..............................................193

567、設(shè)備登錄管理...............................................193

568、附則.......................................................194

附件5-6-1網(wǎng)絡(luò)運(yùn)維記錄表（模板）.....................................195

附件5-6-2違規(guī)外聯(lián)及接入行為檢查記錄表（模板）......................197

5.7、系統(tǒng)安全管理制度........................................199

5.7.1、總、則.......................................................199

5.7.2、系統(tǒng)安全策略..............................................199

5.7.3、安全配置...................................................201

5.7.4>日志管理...................................................201

5.7.5、日常操作流程...............................................202

5.7.6、附則.......................................................202

附件5-7-1補(bǔ)丁測試記錄（模板）.......................................203

附件5-7-2日志審計(jì)分析記錄（模板）...................................205

5.8、惡意代碼防管理規(guī)定.....................................207

5.8.1、總則.......................................................207

5.8.2、惡意代碼防工作原則........................................207

5.8.3、職責(zé).......................................................208

5.8.4、工作要求...................................................209

5.8.5、附則.......................................................210

附件5-8-1惡意代碼檢查結(jié)果分析記錄（模板）..........................211

5.9、密碼使用管理制度........................................213

591、總則.......................................................213

592、密碼使用管理...............................................213

593、密碼使用要求...............................................214

594、附則.......................................................216

5.10、變更管理制度..........................................217

5.10.1、總則.......................................................217

5.10.2、變更定義...................................................217

5.10.3>變更過程...................................................218

5.10.4、變更過程職責(zé)...............................................221

5.10.5、附則.......................................................223

5.11.備份與恢復(fù)管理制度...................................224

5.11.1、總則.......................................................224

5.11.2、備份恢復(fù)管理...............................................224

5.11.3、附則.......................................................225

附件5717數(shù)據(jù)備份和恢復(fù)策略文檔（模板）...........................227

附件5-11-2備份介質(zhì)清除或銷毀申請單（模板）.........................229

附件5-11-3數(shù)據(jù)備份和恢復(fù)記錄（模板）................................231

5.12、安全事件報(bào)告利處置管理制度...........................233

5.12.1、總則.......................................................233

5.12.2、安全事件定級...............................................233

5.12.3、安全事件報(bào)告和處置管理....................................236

5.12.4、安全事件報(bào)告和處理程序....................................237

5.12.5、附則.......................................................240

附件5T2-1網(wǎng)絡(luò)安全行為告知書（模板）...............................241

附件572-2信息安全事件報(bào)告表（模板）................................244

附件572-3系統(tǒng)異常事件處理記錄（模板）.............................246

5.13、應(yīng)急預(yù)案管理制度.....................................248

5.13.1、總則.......................................................248

5.13.2、組織機(jī)構(gòu)與職責(zé)............................................248

5.13.3、安全事件應(yīng)急預(yù)案框架......................................249

5.13.4、應(yīng)急響應(yīng)程序..............................................251

5.13.5、應(yīng)急預(yù)案審查管理..........................................255

5.13.6、應(yīng)急預(yù)案培訓(xùn)..............................................255

5.13.7、應(yīng)急預(yù)案演練..............................................256

5.13.8、附則.......................................................256

附件5737應(yīng)急處置審批表（模板）....................................257

附件5T3-2應(yīng)急預(yù)案評審及審批意見（模板）...........................259

第六章其他管理制度............................................261

6.1、安全設(shè)備運(yùn)行維護(hù)規(guī)......................................262

6.1.1、總則.......................................................262

6.1.2、適用產(chǎn)品圍................................................262

6.1.3、安全策略配置規(guī)............................................262

6.1.4、安全運(yùn)維規(guī)................................................265

6.1.5>附則.......................................................268

附件677安全設(shè)備配置變更申請表（模板）.............................269

附件67-2安全設(shè)備配置變更記錄表（模板）.............................270

第一章安全策略總綱

1.1、信息安全策略總綱

l.l.lx總則

第一條為貫徹國家對信息安全的規(guī)定和要求，指導(dǎo)和規(guī)

省某某單位信息系統(tǒng)建設(shè)、使用、維護(hù)和管理過程中，實(shí)現(xiàn)

信息系統(tǒng)安全防界的基本目的，提高信息系統(tǒng)的安全性，防

和控制系統(tǒng)故障和風(fēng)險(xiǎn)，確保信息系統(tǒng)安全、可靠、穩(wěn)定運(yùn)

行，維護(hù)社會秩序、公共利益和國家安全，特制定《省某某

單位信息安全策略總綱》（以下簡稱《總綱》）o

第二條《總綱》根據(jù)國家信息安全相關(guān)政策法規(guī)而制

定。

第三條本制度適用于省某某單位信息系統(tǒng)，適用于省

某某單位擬建、在建以及運(yùn)行的非涉密信息系統(tǒng)。

LL2、信息安全工作總體方針

第四條省某某單位信息系統(tǒng)的安全保護(hù)管理工作總體

方針是“保持適度安全；管理與技術(shù)并重；全方位實(shí)施，全

員參與；分權(quán)制衡，最小特權(quán)；盡量采用成熟的技術(shù)”?！邦A(yù)

防為主”是省某某單位信息安全保護(hù)管理工作的基本方針。

第五條《總綱》規(guī)定了省某某單位信息系統(tǒng)安全管理

的體系、策略和具體制度，為信息化安全管理工作提供監(jiān)督

依據(jù)。

第六條省某某單位信息系統(tǒng)安全管理體系是由信息安

全策略總綱、安全管理制度、安全技術(shù)標(biāo)準(zhǔn)以及安全工作流

程和操作規(guī)程組成的。

（一）《總綱》是信息安全各個方面所應(yīng)遵守的原則方法

和指導(dǎo)性策略文件。

（二）《總綱》是制定省某某單位信息安全管理制度和規(guī)

定的依據(jù)。

（三）省某某單位信息安全管理制度和規(guī)定了信息安仝管

理活動中各項(xiàng)管理容。

（四）省某某單位信息安全技術(shù)標(biāo)準(zhǔn)和規(guī)是根據(jù)《總綱》

中對信息安全方面相關(guān)的規(guī)定所引出的，其規(guī)定了信息安全

中的各項(xiàng)技術(shù)要求。

第七條省某某單位信息安全工作流程和操作規(guī)程詳細(xì)

規(guī)定了主要應(yīng)用和事件處理的流程、步驟以及相關(guān)注意事

項(xiàng)，并且作為具體工作時的具體依照。

1.1.3x信息安全總體策略

第八條省某某單位信息系統(tǒng)總體安全保護(hù)策略是：系統(tǒng)

資源的價值大小、用戶訪問權(quán)限的大小和系統(tǒng)重要程度的區(qū)

別就是安全級別的客觀體現(xiàn)。信息安全保護(hù)必須符合客觀存

在和發(fā)展規(guī)律，其分級、分區(qū)域、分類和分階段是做好信息

安全保護(hù)工作的前提。

第九條省某某單位信息系統(tǒng)的安全保護(hù)策略由省某某

單位網(wǎng)絡(luò)安全與信息化工作領(lǐng)導(dǎo)小組負(fù)責(zé)制定與更新。

第十條省某某單位網(wǎng)絡(luò)安全與信息化工作領(lǐng)導(dǎo)小組根

據(jù)信息系統(tǒng)的安全保護(hù)等級、安全保護(hù)需求和安全目標(biāo)，結(jié)

合省某某單位自身的實(shí)際情況，依據(jù)國家信息安全法規(guī)和標(biāo)

準(zhǔn)，制定信息系統(tǒng)的安全保護(hù)實(shí)施細(xì)則和具體管理辦法，并

根據(jù)實(shí)際情況，及時調(diào)整和制定新的實(shí)施細(xì)則和具體管理辦

法。

第十一條省某某單位信息系統(tǒng)的安全保護(hù)工作應(yīng)從

技術(shù)體系和管理體系兩個方面進(jìn)行，技術(shù)體系包括物理環(huán)境

安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全等五個部

分，管理體系包括安全管理制度、安全管理機(jī)構(gòu)、人員安全

管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等五個部分，由技術(shù)體

系和管理體系共十個部分構(gòu)成信息系統(tǒng)安全等級保護(hù)體系。

（一）物理環(huán)境安全包括：周邊環(huán)境安全，門禁檢查，防

盜竊、防破壞、防火、防水、防潮、防雷擊、防電磁泄露和

干擾，電源備份和管理，設(shè)備的標(biāo)識、使用、存放和管理等;

（二）網(wǎng)絡(luò)安全包括：網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，網(wǎng)絡(luò)的布線和

防護(hù)，網(wǎng)絡(luò)設(shè)備的管理和報(bào)警，網(wǎng)絡(luò)攻擊的監(jiān)察和處理，網(wǎng)

絡(luò)安全審計(jì)和檢查及邊界完整性檢查；

（三）主機(jī)安全包括：主機(jī)的身份鑒別、訪問控制、安

全審計(jì)、入侵防、惡意代碼防、監(jiān)控和終端接入控制等；

（四）應(yīng)用安全包括：應(yīng)用系統(tǒng)的身份鑒別、訪問控制、

安全審計(jì)、剩余信息保護(hù)、通信完整性和性、抗抵賴、軟件

容錯和資源控制等；

（五）數(shù)據(jù)安全包括：數(shù)據(jù)傳輸?shù)耐暾院托?、?shù)據(jù)存

儲的完整性和性、數(shù)據(jù)的備份和恢復(fù)等；

（六）安全管理制度是信息系統(tǒng)安全策略、方針性文件,

規(guī)定信息安全工作的總體目標(biāo)、圍、原則和安全框架，是管

理制度體系的靈魂和核心文件；

（七）通過構(gòu)建和完善信息安全組織架構(gòu)的措施，明確

不同安全組織和不同安全角色的定位、職責(zé)以及相互關(guān)系，

強(qiáng)化信息安全的專業(yè)化管理，實(shí)現(xiàn)對安全風(fēng)險(xiǎn)的有效控制；

（A）人員安全管理包括人員錄用、人員管理、人員考

核、協(xié)議、培訓(xùn)、離崗離職等多個方面;

（九）系統(tǒng)建設(shè)管理根據(jù)信息密級、系統(tǒng)重要性和安全

策略將信息系統(tǒng)劃分為不同的安全域，針對不同的安全域確

定不同的信息安全保護(hù)等級，采取相應(yīng)的保護(hù)。信息系統(tǒng)安

全等級的定級決定了系統(tǒng)方案的設(shè)計(jì)、實(shí)施、安全措施、運(yùn)

行維護(hù)等信息系統(tǒng)建設(shè)的各個環(huán)節(jié)。信息系統(tǒng)定級遵循“誰

建設(shè)、誰定級”的原則；

（十）系統(tǒng)運(yùn)維管理對信息系統(tǒng)進(jìn)行綜合監(jiān)控管理，對

支撐重要信息系統(tǒng)的資源進(jìn)行監(jiān)控保護(hù)，確碼防護(hù)、病毒防

護(hù)、系統(tǒng)變更等事件按照規(guī)定的信息安全管理策略實(shí)行，建

立安全管理監(jiān)控中心，實(shí)現(xiàn)對人、事件、流程、資產(chǎn)等方面

的綜合管理。

1.1.4、安全管理

第十二條省某某單位信息系統(tǒng)定級備案管理完全按照

國家相關(guān)信息安全標(biāo)準(zhǔn)的相關(guān)政策要求進(jìn)行。要求所有接入

省某某單位的信息系統(tǒng)均按照等級保護(hù)定級備案要求進(jìn)行

定級，參考《信息系統(tǒng)安全保護(hù)等級定級指南

GB/T22240-2008>,由各應(yīng)用系統(tǒng)接入單位自主定級并填寫

定級報(bào)告，省某某單位網(wǎng)絡(luò)安全與信息化工作領(lǐng)導(dǎo)小組辦公

室填寫定級備案表，經(jīng)省某某單位網(wǎng)絡(luò)安全與信息化工作領(lǐng)

導(dǎo)小組批準(zhǔn)，由省某某單位網(wǎng)絡(luò)安全與信息化工作領(lǐng)導(dǎo)小組

辦公室統(tǒng)一負(fù)責(zé)向公安機(jī)關(guān)進(jìn)行備案。所有省某某單位信息

系統(tǒng)必須確定其信息安全保護(hù)等級，并在省某某單位網(wǎng)絡(luò)安

全與信息化工作領(lǐng)導(dǎo)小組辦公室進(jìn)行登記和備案。

第十三條業(yè)務(wù)應(yīng)用需求和設(shè)計(jì)單位，要充分考慮信息

系統(tǒng)的安全需求分析，統(tǒng)一按照業(yè)務(wù)系統(tǒng)歸屬進(jìn)行安全域劃

分，確定定級備案情況；具體參考《信息安全等級保護(hù)管理

辦法》、《信息系統(tǒng)安全等級保護(hù)基本要求》，參照《信息系

統(tǒng)安全等級保護(hù)實(shí)施指南》、《信息系統(tǒng)通用安全技術(shù)要求》、

《信息系統(tǒng)安全工程管理要求》、《信息系統(tǒng)等級保護(hù)安全設(shè)

計(jì)技術(shù)要求》等標(biāo)準(zhǔn)規(guī)要求，結(jié)合行業(yè)特點(diǎn)進(jìn)行安全需求分

析。

（一）信息安全需求分析，至少包括以下信息安全方面

的容：

1.安全威脅分析；

2.系統(tǒng)脆弱性分析；

3.影響性分析；

4.風(fēng)險(xiǎn)分析；

5.系統(tǒng)安全需求。

（二）可行性分析中須包括以下信息安全方面的容：

1.明確項(xiàng)目的總體信息安全目標(biāo)，并依據(jù)信息安全需

求分析的結(jié)論提出相應(yīng)的安全對策，每個信息安全需求

都至少對應(yīng)一個信息安全對策，信息安全對策的強(qiáng)度根

據(jù)相應(yīng)資產(chǎn)/系統(tǒng)的重要性來選擇；

2.描述如何從技術(shù)和管理兩個方面來實(shí)現(xiàn)所有的信息

安全對策，并形成信息安全方案；

3.增加項(xiàng)目建設(shè)中的信息安全管理模式、信息安全組

織結(jié)構(gòu)、人員的安全職責(zé)、建設(shè)實(shí)施中的安全操作程序

和相應(yīng)安全管理要求；

4.對安全方案進(jìn)行成本-效益分析；

5.需求分析階段必須明確地定義和商定新系統(tǒng)的需求

和準(zhǔn)則，并形成文件，便于后期驗(yàn)收。相關(guān)信息安全需

求的要求和準(zhǔn)則應(yīng)包括：用戶管理、權(quán)限管理、日志管

理和數(shù)據(jù)管理等。

第十四條業(yè)務(wù)應(yīng)用的安全設(shè)計(jì)應(yīng)按照國家信息安全標(biāo)

準(zhǔn)進(jìn)行，并依照信息安全需求分析評估得出的結(jié)論，通過相

關(guān)專家評審會后，綜合多方意見，進(jìn)行安全設(shè)計(jì)。

具體要求如下:

（一）物理安全-設(shè)計(jì)中要充分考慮到物理訪問控制、防盜

竊和防破壞、防雷擊、防火、防水、防潮、電力、物理

位置、防靜電和電磁防護(hù)，做到增強(qiáng)控制，對人員和設(shè)

備的出入進(jìn)行監(jiān)控；

（二）網(wǎng)絡(luò)安全-設(shè)計(jì)中要充分考慮到結(jié)構(gòu)安全、訪問控

制、設(shè)備防護(hù)、安全審計(jì)、邊界完整性檢查、入侵防、

惡意代碼防，確保重要主機(jī)的優(yōu)先級，做到應(yīng)用層過濾,

對入網(wǎng)設(shè)備的接入進(jìn)行非法外聯(lián)的定位和阻斷，對形成

的記錄進(jìn)行分析、形成報(bào)表，對審計(jì)系統(tǒng)進(jìn)行兩種以上

鑒別技術(shù)，保證特權(quán)用戶分離；

（三）主機(jī)安全-設(shè)計(jì)中充分考慮主機(jī)系統(tǒng)（操作系統(tǒng)）的

身份鑒別、訪問控制、入侵防、惡意代碼防、安全審計(jì)、

資源控制、剩余信息保護(hù)，要求必須監(jiān)控服務(wù)器相關(guān)服

務(wù)，保證最小授權(quán)原則，對形成的記錄進(jìn)行分析并形成

報(bào)表；

（四）數(shù)據(jù)安全-設(shè)計(jì)中充分考慮數(shù)據(jù)完整性、數(shù)據(jù)備份和

恢復(fù)、數(shù)據(jù)性；

（五）應(yīng)用安全-設(shè)計(jì)中充分考慮應(yīng)用系統(tǒng)的身份鑒別、訪

問控制、通信完整性和性、軟件容錯、安全審計(jì)、資源

控制、剩余信息保護(hù)、抵賴性。

在信息系統(tǒng)安全規(guī)劃設(shè)計(jì)時，應(yīng)該考慮系統(tǒng)的容量和資

源的可用性，以減少系統(tǒng)過載的風(fēng)險(xiǎn)，并采取相應(yīng)的措施，

控制涉及核心數(shù)據(jù)軟件設(shè)計(jì)的相關(guān)資料的使用，并應(yīng)遵循以

下原則：

（一）充分考慮應(yīng)用安全實(shí)現(xiàn)的可控性，以便盡可能地降

低安全系統(tǒng)與應(yīng)用系統(tǒng)結(jié)合過程中的風(fēng)險(xiǎn)；

（二）保持安全系統(tǒng)與應(yīng)用系統(tǒng)的相互獨(dú)立性，避免功能

實(shí)現(xiàn)上的交叉或跨越；

（三）建立完善的信息安全控制機(jī)制，包括：用戶標(biāo)識與

認(rèn)證、邏輯訪問控制、公共訪問控制、審計(jì)與跟蹤等。

第十五條信息系統(tǒng)安全建設(shè)管理需要按照國家信息安

全標(biāo)準(zhǔn)的相關(guān)要求，并在安全管理組織的領(lǐng)導(dǎo)下，結(jié)合應(yīng)用

的實(shí)際情況，進(jìn)行信息安全建設(shè)。

在建設(shè)中應(yīng)充分考慮系統(tǒng)定級管理、安全方案設(shè)計(jì)管

理、產(chǎn)品采購和使用管理、自行以及外包軟件開發(fā)管理、工

程實(shí)施管理、測試驗(yàn)收管理、系統(tǒng)交付管理、安全服務(wù)商選

擇管理、系統(tǒng)備案管理、等級測評管理等因素對信息系統(tǒng)安

全的影響程度。

信息系統(tǒng)安全建設(shè)管理要求將系統(tǒng)建設(shè)過程有效程序

化，明確指定項(xiàng)目實(shí)施監(jiān)理負(fù)責(zé)人，確保系統(tǒng)設(shè)計(jì)文檔和相

關(guān)代碼的安全，對銷毀過程要進(jìn)行安全控制，自行開發(fā)時應(yīng)

當(dāng)嚴(yán)格控制對程序資源庫的訪問。

第十六條信息系統(tǒng)安全驗(yàn)收管理按照國家相關(guān)信息安

全標(biāo)準(zhǔn)的要求，結(jié)合省某某單位信息系統(tǒng)的實(shí)際情況進(jìn)行安

全驗(yàn)收管理規(guī)化。項(xiàng)目驗(yàn)收需得到各業(yè)務(wù)單位、省某某單位

網(wǎng)絡(luò)安全與信息化工作領(lǐng)導(dǎo)小組辦公室共同確認(rèn)簽字驗(yàn)收。

項(xiàng)目應(yīng)達(dá)到項(xiàng)目任務(wù)書中制定的總體安全目標(biāo)和安全指標(biāo)，

實(shí)現(xiàn)全部安全功能。驗(yàn)收報(bào)告中應(yīng)包括項(xiàng)目總體安全目標(biāo)及

主要容。驗(yàn)收報(bào)告中應(yīng)包括項(xiàng)目采用的關(guān)鍵安全技術(shù)容。系

統(tǒng)驗(yàn)收并移交后，必須立即修改系統(tǒng)中的默認(rèn)口令。應(yīng)用系

統(tǒng)項(xiàng)目驗(yàn)收應(yīng)審查如下容：

（一）功能檢查包括對軟件功能完整性、正確性進(jìn)行審查

和評價；

（二）項(xiàng)目管理審查包括對項(xiàng)目計(jì)劃、采用標(biāo)準(zhǔn)、需求方

案及其執(zhí)行情況進(jìn)行審查和評價；

（三）測試結(jié)果審查包括對項(xiàng)目測試報(bào)告、監(jiān)理單位出具

的監(jiān)理報(bào)告等進(jìn)行審查；

（四）技術(shù)文檔檢查包括對項(xiàng)目開發(fā)單位交付的文檔資料

（紙質(zhì)文檔和電子文檔）進(jìn)行審查。

（五）系統(tǒng)交付時，應(yīng)根據(jù)合同要求制定系統(tǒng)交付的清單;

（六）系統(tǒng)運(yùn)行所需要的全部設(shè)備；

（七）系統(tǒng)運(yùn)行所需要的全部軟件；

（八）系統(tǒng)文檔，包括系統(tǒng)建設(shè)過程中的文檔，詳細(xì)的系

統(tǒng)使用和維護(hù)文檔；

（九）系統(tǒng)應(yīng)急方案；

（十）系統(tǒng)使用培訓(xùn)教材。

系統(tǒng)建設(shè)項(xiàng)目有下列情況之一，不能通過安全驗(yàn)收：

（一）驗(yàn)收文件、資料、數(shù)據(jù)不真實(shí)；

（二）未達(dá)到安全設(shè)計(jì)要求；

（三）設(shè)計(jì)不符合國家信息安全建設(shè)相關(guān)標(biāo)準(zhǔn)要求；

（四）擅自修改設(shè)計(jì)目標(biāo)和建設(shè)容；

（五）系統(tǒng)建設(shè)過程中出現(xiàn)重大問題，未能解決和做出說

明，或存在糾紛。

項(xiàng)目驗(yàn)收完畢后，系統(tǒng)建設(shè)部門應(yīng)對負(fù)責(zé)系統(tǒng)使用和維

護(hù)的人員進(jìn)行相應(yīng)培訓(xùn)，并履行服務(wù)承諾。

第十七條安全測評管理是按照國家信息安全標(biāo)準(zhǔn)測評

的相關(guān)要求，結(jié)合省某某單位的實(shí)際情況進(jìn)行安全測評。項(xiàng)

目驗(yàn)收時應(yīng)按照信息安全法律法規(guī)和標(biāo)準(zhǔn)情況，進(jìn)行自評估

或委托具有國家相關(guān)技術(shù)資質(zhì)和安全資質(zhì)的第三方測評機(jī)

構(gòu)進(jìn)行測評，并出具測評報(bào)告，測評報(bào)告將作為項(xiàng)目驗(yàn)收的

參考依據(jù)。信息系統(tǒng)的安全性測試驗(yàn)收應(yīng)獨(dú)立進(jìn)行，測試程

序應(yīng)包括以下容：

（一）測試驗(yàn)收前根據(jù)設(shè)計(jì)方案或合同要求等制訂測試驗(yàn)

收方案，測試驗(yàn)收方案應(yīng)對參與測試部門、人員、現(xiàn)場

操作過程等進(jìn)行要求，并確保測試和接收標(biāo)準(zhǔn)被清晰定

義并文檔化；

（二）測試方案應(yīng)通過省某某單位網(wǎng)絡(luò)安全與信息化工作

領(lǐng)導(dǎo)小組辦公室的論證和審定；

（三）嚴(yán)格依據(jù)測試方案進(jìn)行測試，測試驗(yàn)收過程中設(shè)細(xì)

記錄測試結(jié)果；

（四）至少應(yīng)審查主機(jī)端口開放情況是否符合系統(tǒng)說明、

使用網(wǎng)絡(luò)偵聽工具查通訊數(shù)據(jù)包是否符合系統(tǒng)說明和

使用惡意代碼軟件檢測軟件包中可能存在的惡意代碼

等。

（五）擬定測試驗(yàn)收報(bào)告，并由相關(guān)負(fù)責(zé)人簽字確認(rèn)。

第十八條安全運(yùn)維管理按照國家信息安全標(biāo)準(zhǔn)的要

求，項(xiàng)目驗(yàn)收完畢后，結(jié)合省某某單位的實(shí)際情況進(jìn)行運(yùn)行

維護(hù)管理工作。信息安全管理部門接管后，負(fù)責(zé)物理安全、

網(wǎng)絡(luò)安全、主機(jī)安全、數(shù)據(jù)安全等管理工作，并定期和不定

期的進(jìn)行信息安全檢查，確保信息系統(tǒng)安全運(yùn)行。各業(yè)務(wù)系

統(tǒng)的維護(hù)人員負(fù)責(zé)維護(hù)和監(jiān)控責(zé)任圍的應(yīng)用系統(tǒng)，不得越權(quán)

進(jìn)行訪問。信息安全運(yùn)行維護(hù)項(xiàng)目應(yīng)包括但不限于以下容：

（一）對物理安全的機(jī)房環(huán)境、溫濕度等檢查；

（二）對網(wǎng)絡(luò)的連通性、時延、丟包率，檢查網(wǎng)絡(luò)的狀況、

故障及攻擊事件等；

（三）對設(shè)備運(yùn)行狀態(tài)檢查；

（四）對出口鏈路或關(guān)鍵鏈路流量進(jìn)行檢查，設(shè)備配置進(jìn)

行備份工作等。

（五）對新購置的設(shè)備和軟件在上線之前進(jìn)行安全性檢

查、策略合理性測試。

（六）對設(shè)備和軟件的日志進(jìn)行定期和不定期的審計(jì)。

（七）對設(shè)備和軟件進(jìn)行版本升級和相關(guān)庫升級。

（八）建立監(jiān)控平臺，對設(shè)備安全漏洞、安全事件、系統(tǒng)

日志等信息進(jìn)行監(jiān)控，制定各項(xiàng)計(jì)劃性的安全維護(hù)工

作。

（九）建立單位作業(yè)計(jì)劃應(yīng)包括以下容安全設(shè)備維護(hù)、安

全監(jiān)控、操作日志、日志審核、故障管理、測試等工作,

明確執(zhí)行期限，落實(shí)到人。安全維護(hù)作業(yè)計(jì)劃在編制和

確定后，各業(yè)務(wù)單位應(yīng)根據(jù)其容嚴(yán)格執(zhí)行。定期對維護(hù)

計(jì)劃執(zhí)行情況進(jìn)行總結(jié)分析。

（十）定期出具安全運(yùn)行維護(hù)報(bào)告，報(bào)告涉及方面包括但

不限于以下容：安全設(shè)備維護(hù)容、安全監(jiān)控容、操作日

志、系統(tǒng)日志、故障處理容等。

L1.5、制度的制定與發(fā)布

第十九條省某某單位信息化管理處負(fù)責(zé)制訂信息系統(tǒng)

安全管理制度，并以文檔形式表述，經(jīng)省某某單位網(wǎng)絡(luò)安全

與信息化工作領(lǐng)導(dǎo)小組辦公室討論通過，由省某某單位網(wǎng)絡(luò)

安全與信息化工作領(lǐng)導(dǎo)小組辦公室負(fù)責(zé)人審批發(fā)布。

第二十條省某某單位信息化管理處負(fù)責(zé)組織制度編

制、論證、監(jiān)督檢查和修訂等工作。

第二十一條省某某單位信息化管理處負(fù)責(zé)根據(jù)信息

系統(tǒng)安全管理制度，結(jié)合系統(tǒng)的特點(diǎn)進(jìn)行細(xì)化和制定實(shí)施細(xì)

則，報(bào)省某某單位網(wǎng)絡(luò)安全與信息化工作領(lǐng)導(dǎo)小組辦公室審

批，以正式形式發(fā)布。

第二十二條省某某單位信息系統(tǒng)安全管理制度編寫

格式統(tǒng)一，并進(jìn)行版本控制。

第二十三條信息安全管理制度由省某某單位網(wǎng)絡(luò)安

全與信息化工作領(lǐng)導(dǎo)小組辦公室負(fù)責(zé)審核，以正式文件形式

發(fā)布，同時注明發(fā)布圍并有收發(fā)文登記。

L1.6、制度的評審和修訂

第二十四條由省某某單位網(wǎng)絡(luò)安全與信息化工作領(lǐng)導(dǎo)

小組辦公室負(fù)責(zé)文檔的評審，對安全策略和制度的有效性進(jìn)

行程序化、周期性評審，并保留必要的評審記錄和依據(jù)。

第二十五條省某某單位信息化管理處負(fù)責(zé)定期組織

對安全管理制度的執(zhí)行情況進(jìn)行檢查，并結(jié)合國家信息安全

主管部門每年定期對信息安全進(jìn)行檢查中發(fā)現(xiàn)的問題，對安

全管理制度進(jìn)行有針對性的修訂與完善。

第二十六條當(dāng)發(fā)生重大安全事故、出現(xiàn)新的安全漏洞

以及技術(shù)基礎(chǔ)結(jié)溝發(fā)生變更時，省某某單位信息化管理外要

對安全管理制度的細(xì)則進(jìn)行修訂，修訂后報(bào)省某某單位網(wǎng)絡(luò)

安全與信息化工作領(lǐng)導(dǎo)小組辦公室進(jìn)行審批。

第二十七條每個策略和制度文檔有相應(yīng)的負(fù)責(zé)人或

負(fù)責(zé)部門，負(fù)責(zé)對明確需要修訂的文檔進(jìn)行維護(hù)，并制定信

息安全管理制度對應(yīng)負(fù)責(zé)人或負(fù)責(zé)部門的清單。

附件177網(wǎng)絡(luò)安全管理制度論證審定記錄（模板）

網(wǎng)絡(luò)安全管理制度論證審定記錄表

組織部門

評審容

評審原因

評審時間

部門崗位職責(zé)聯(lián)系方式簽到

參與人員

評審意見

評審結(jié)論

組織人

簽字負(fù)責(zé)人

記錄人

附件1-1-2網(wǎng)絡(luò)安全管理制度收發(fā)文記錄（模板）

網(wǎng)絡(luò)安全管理制度收發(fā)文記錄表

文件名稱

發(fā)文部門

發(fā)

文件編號

文

信

發(fā)文號

息

發(fā)文日期

發(fā)文方式

簽收部門簽收人簽收時間備注

簽

收

信

息

第二章安全管理機(jī)構(gòu)

2.1、信息安全組織及崗位職責(zé)管理規(guī)定

2.1.1x總則

第一條為了加強(qiáng)省某某單位對信息安全工作的管理，全

面提高信息安全管理能力，規(guī)信息安全管理組織體系，建立

健全信息安全機(jī)閡職責(zé)，特制定本規(guī)定。

第二條本規(guī)定依據(jù)《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信

息安全保障工作的意見》、《GB/T20269-2006信息安全技術(shù)

信息系統(tǒng)安全管理要求》等政策標(biāo)準(zhǔn)制定。

第三條本規(guī)定依照“信息安全管理的主要領(lǐng)導(dǎo)負(fù)責(zé)、

全員參與、依法管理、分權(quán)和授權(quán)和體系化管理”原則編制，

具體原則如下：

（一）主要領(lǐng)導(dǎo)負(fù)責(zé)原則：省某某單位應(yīng)確保主要領(lǐng)導(dǎo)

參與并確立組織統(tǒng)一的信息安全保障宗旨和政策，組織有效

的安全保障隊(duì)伍，調(diào)動并優(yōu)化配置必要的資源，協(xié)調(diào)安全管

理工作與各部門工作的關(guān)系，并確保其落實(shí)、有效；

（二）全員參與原則：信息系統(tǒng)所有相關(guān)人員普遍參與

信息系統(tǒng)的安全管理，并與相關(guān)方面協(xié)同、協(xié)調(diào)，共同保障

信息系統(tǒng)安全；

（三）依法管理原則：信息安全管理工作應(yīng)保證管理主

體合法、管理行為合法、管理容合法、管理程序合法；

（四）分權(quán)和授權(quán)原則：對特定職能或責(zé)任領(lǐng)域的管理

功能實(shí)施分離、獨(dú)立審計(jì)等實(shí)行分權(quán)，避免權(quán)力過分集中所

帶來的隱患，以減小未授權(quán)的修改或?yàn)E用系統(tǒng)資源的機(jī)會。

任何實(shí)體（如用戶、管理員、進(jìn)程、應(yīng)用或系統(tǒng)）僅享有該

實(shí)體需要完成其任務(wù)所必須的權(quán)限，不