信息安全管理制度汇编XX省人民政府政务服务中心2017年3月目录第一部分信息安全管理工作总体方针、机构……………………………1一、XX省人民政府政务服务中心信息安全管理工作总体方针……………………………………………………1二、XX省人民政府政务服务中心信息安全管理制度制定与发布…………………………………………………9三、XX省人民政府政务服务中心信息安全管理体系评审与修订…………………………………………………15四、XX省人民政府政务服务中心信息安全管理组织机构和人员职责管理办法…………………………………19五、XX省人民政府政务服务中心网络、信息系统授权审批管理制度………………………………………………28六、XX省人民政府政务服务中心计算机、网络安全检查管理制度………………………………………………29第二部分人员安全管理…………………………………………………41七、XX省人民政府政务服务中心人员录用管理制度……………41八、XX省人民政府政务服务中心信息安全人员考核与审查管理制度…………………………………………………52九、XX省人民政府政务服务中心信息安全人员教育与培训管理办法…………………………………………………55十、XX省人民政府政务服务中心人员离岗离职管理办法………57十一、XX省人民政府政务服务中心第三方人员信息安全管理制度…………………………………………………62第三部分信息系统建设…………………………………………………66十二、XX省人民政府政务服务中心信息系统建设安全管理制度………………………………………………………66十三、XX省人民政府政务服务中心第三方服务商管理办法……………………………………………………………81十四、XX省人民政府政务服务中心信息系统安全等级保护工作管理办法……………………………………………85十五、XX省人民政府政务服务中心软件开发管理办法…………88第四部分信息系统运维管理……………………………………………91十六、XX省人民政府政务服务中心机房安全管理制度…………91十七、XX省人民政府政务服务中心办公环境安全管理办法……102十八、XX省人民政府政务服务中心信息资产管理制度…………104十九、XX省人民政府政务服务中心移动存储介质管理办法……117二十、XX省人民政府政务服务中心计算机信息系统运行安全管理规定………………………………………………119二十一、XX省人民政府政务服务中心计算机病毒防护管理规定…………………………………………………125二十二、XX省人民政府政务服务中心信息系统补丁管理规定………………………………………………………128二十三、XX省人民政府政务服务中心信息系统账号和权限管理制度……………………………………………132二十四、XX省人民政府政务服务中心信息系统账号口令管理制度…………………………………………………135二十五、XX省人民政府政务服务中心计算机系统数据备份与恢复管理制度……………………………………137二十六、XX省人民政府政务服务中心信息安全监控及审计制度…………………………………………………149二十七、XX省人民政府政务服务中心网站系统运行应急预案…………………………………………………153二十八、XX省人民政府政务服务中心信息系统故障管理办法…………………………………………………164二十九、XX省人民政府政务服务中心信息安全产品选型指导办法……………………………………………167三十、XX省人民政府政务服务中心互联网使用管理规定…………………………………………………………168三十一、XX省人民政府政务服务中心计算机硬件日常维护管理规程……………………………………………170三十二、XX省人民政府政务服务中心计算机安全产品管理制度…………………………………………………173三十三、XX省人民政府政务服务中心防火墙安全管理制度………………………………………………………181三十四、XX省人民政府政务服务中心信息资产的分类和标识管理办法…………………………………………186三十五、XX省人民政府政务服务中心计算机网络、信息系统安全应急预案……………………………………194三十六、XX省公共资源交易平台系统运行应急预案…………206第一部分信息安全管理工作总体方针、机构一、XX省人民政府政务服务中心信息安全管理工作总体方针第一章总则第一条以党的十八大精神为指导,按照“依法管网、以人管网、技术管网”的总体要求,加强和规范XX省人民政府政务服务中心(以下简称“中心”)的网络、信息系统安全工作,提高中心网络、信息系统整体安全防护水平,有效应对当前国内外各种网络安全威胁,有效防范信息安全事件(事故)的发生,切实维护国家安全、公共安全和基础设施安全,制订本制度。第二条本制度的目的是为中心的网络、信息系统安全管理提供一个总体的策略性架构文件,该文件将指导中心信息系统的安全管理体系的建立。信息安全管理体系的建立是为中心的网络、信息系统的安全管理工作提供参照,以实现中心统一的安全策略管理,提高整体的网络与信息系统安全管理水平,确保安全策略落实到位,保障网络与信息系统安全稳定运行。第三条本制度适用于中心网络、信息系统资产的管理、信息技术人员安全的管理、信息系统安全策略的制定、安全方案的规划、安全建设的实施和安全管理措施的选择。第四条本制度所称网络、信息系统指中心负责管控的局域网、各业务应用信息系统。第五条引用标准及参考文件:本文档的编制参照了以下国家规范和标准:(一)《中华人民共和国计算机信息系统安全保护条例》(国务院令第147号);(二)《信息安全等级保护管理办法》(公通字[2007]43号);(三)《电子政务“十二五”发展规划》的通知(工信部规[2011]567号);(四)《关于加快国家电子政务外网安全等级保护工作的通知》(政务外网[2011]15号);(五)《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号);(六)《信息技术安全技术信息安全管理体系要求》(GB/T22080-2008/ISO/IEC27001:2005);(七)《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008);(八)《信息安全技术信息系统安全管理要求》(GB/T20269—2006);第二章方针、目标和原则第六条中心网络、信息系统安全坚持“等级保护,积极预防,管理和技术并重,综合防范”的总体方针,依照“分级、分区、分域”总体安全防护策略,执行信息系统安全等级保护制度。管理信息网络分为内部业务服务区和互联网服务区,内部业务服务区定位为承载网络和内部办公网络,互联网服务区定位为对外业务网络和访问互联网用户终端网络。内部业务服务区与互联网服务区之间实施强逻辑隔离的措施。第七条信息安全工作总体目标是确保信息系统持续、稳定、可靠运行和确保信息内容的机密性、完整性、可用性,实现信息系统安全达到“进不来,拿不走,看不懂,改不了,跑不了”的目标,防止因信息系统本身故障导致信息系统不能正常使用和系统崩溃,抵御黑客、病毒、恶意代码等对信息系统发起的各类攻击和破坏,防止信息内容及数据丢失和失密,防止有害信息在网上传播,防止对外服务中断和由此造成的系统运行事故。第八条信息安全工作总体原则1.基于安全需求原则组织机构应根据其信息系统担负的使命,积累的信息资产的重要性,可能受到的威胁及面临的风险分析安全需求,按照信息系统等级保护要求确定相应的信息系统安全保护等级,遵从相应等级的规范要求,从全局上恰当地平衡安全投入与效果;2.主要领导负责原则主要领导应确立其组织统一的信息安全保障的宗旨和政策,负责提高员工的安全意识,组织有效安全保障队伍,调动并优化配置必要的资源,协调安全管理工作与各部门工作的关系,并确保其落实、有效;3.全员参与原则信息系统所有相关人员应普遍参与信息系统的安全管理,并与相关方面协同、协调,共同保障信息系统安全;4.系统方法原则按照系统工程的要求,识别和理解信息安全保障相互关联的层面和过程,采用管理和技术结合的方法,提高实现安全保障的目标的有效性和效率;5.持续改进原则安全管理是一种动态反馈过程,贯穿整个安全管理的生存周期,随着安全需求和系统脆弱性的时空分布变化,威胁程度的提高,系统环境的变化以及对系统安全认识的深化等,应及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级,维护和持续改进信息安全管理体系的有效性;6.依法管理原则信息安全管理工作主要体现为管理行为,应保证信息系统安全管理主体合法、管理行为合法、管理内容合法、管理程序合法。对安全事件的处理,应由授权者适时发布准确一致的有关信息,避免带来不良的社会影响;7.分权和授权原则对特定职能或责任领域的管理功能实施分离、独立审计等实行分权,避免权力过分集中所带来的隐患,以减小未授权的修改或滥用系统资源的机会。任何实体(如用户、管理员、进程、应用或系统)仅享有该实体需要完成其任务所必须的权限,不应享有任何多余权限;8.选用成熟技术原则成熟的技术具有较好的可靠性和稳定性,采用新技术时要重视其成熟的程度,并应首先局部试点然后逐步推广,以减少或避免可能出现的失误;9.分级保护原则按等级划分标准确定信息系统的安全保护等级,实行分级保护;对多个子系统构成的大型信息系统,确定系统的基本安全保护等级,并根据实际安全需求,分别确定各子系统的安全保护等级,实行多级安全保护;10.管理与技术并重原则坚持积极防御和综合防范,全面提高信息系统安全防护能力,立足国情,采用管理与技术相结合,管理科学性和技术前瞻性结合的方法,保障信息系统的安全性达到所要求的目标;11.自保护和国家监管结合原则对信息系统安全实行自保护和国家保护相结合。组织机构要对自己的信息系统安全保护负责,政府相关部门有责任对信息系统的安全进行指导、监督和检查,形成自管、自查、自评和国家监管相结合的管理模式,提高信息系统的安全保护能力和水平,保障国家信息安全。12.信息安全防护“三同步”原则在规划和建设信息系统时,信息系统安全防护措施应按照“三同步”原则,与信息系统建设同步规划、同步建设、同步投入运行。第三章总体安全策略第九条物理安全策略1.机房和办公室必须选择在经过防震、防火、防雷击验收合格的办公大楼内部,机房的窗户需要有防雨水渗透的能力;2.机房的位置不能是大楼的地下室、一楼房间或是大楼的顶层,机房的正上方不能是用水量大的房间;3.机房出入口必须有专人值守,对工作人员进行登记;4.进入机房的来访人员应经过申请和审批流程,由安全管理员或机房管理员全程陪同;5.机房内部必须划分重要设备区、一般设备区、过渡区等区域,对不同区域分别进行管理,区域与区域之间进行物理隔离;6.机房内部必须部署基础防护系统和设备,如电子门禁系统、监控报警系统、防雷设备、消防灭火系统、防水监控系统、温湿度控制系统、UPS供电系统和电磁屏蔽设备。第十条网络安全策略1.网络中必须部署路由器、交换机、防火墙、防毒墙、IPS设备、IDS设备和网络管理、安全管理、漏洞扫描、网络版防病毒、补丁分发等系统;2.网络设备除接入交换机之外,必须进行双机热备,除接入交换机链接工作终端的线路外,其他线路必须进行双线冗余;3.整体网络不能出现流量瓶颈,保证带宽充足;4.根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;5.划分网络带宽,突出优先级;6.应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段;7.网络边界处必须部署防火墙、IPS等安全设备进行安全防范;8.能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断;9.能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断;10.网络设备必须开启日志审计功能;11.对登录网络设备的用户进行身份鉴别;