信息安全管理制度

1、信息安全管理制度目錄信息安全管理制度 1一、機(jī)房安全管理制度3第一章總則3第二章機(jī)房環(huán)境管理3第三章清潔管理4第四章設(shè)備管理5第五章訪問管理5第六章作業(yè)管理6第七章用電管理9第八章巡檢管理9二、網(wǎng)絡(luò)安全管理制度15第一章范圍及職責(zé)15第二章網(wǎng)絡(luò)管理15第三章運(yùn)維管理17第四章賬號管理17第五章惡意代碼管理18第六章惡意事件處理18第七章附則18三、信息系統(tǒng)運(yùn)行維護(hù)管理制度 19第一章范圍及職責(zé)19第二章業(yè)務(wù)系統(tǒng)運(yùn)維管理19第三章備份與恢復(fù)管理20第四章口令、權(quán)限管理21第五章惡意代碼防范管理22第六章系統(tǒng)補(bǔ)丁管理23第七章附則23四、資產(chǎn)和設(shè)備管理制度 23第一章范圍及職責(zé)23第二章信息資產(chǎn)的

2、獲取24第三章信息資產(chǎn)的分類24第四章信息資產(chǎn)的使用和處置 26第五章安全設(shè)備管理32第六章附則35五、信息系統(tǒng)用戶管理制度 39第一章范圍及職責(zé)39第二章崗位配置原則39第三章人員錄用及調(diào)離 40第四章人員培訓(xùn)41第五章內(nèi)外部溝通 41第六章第三方人員管理41第七章附則42六、信息系統(tǒng)安全審計(jì)管理制度 49第章工作職責(zé)安排 49第二章審計(jì)計(jì)劃的制訂49第三章安全審計(jì)實(shí)施50第四章安全審計(jì)匯報(bào)52第五章糾正和預(yù)防措施53第六章審計(jì)糾正和預(yù)防措施的實(shí)施狀況 53第七章審計(jì)結(jié)果的審閱53七、信息安全事件管理辦法 54八、重大信息安全事故責(zé)任追究管理辦法 56九、鹽田區(qū)政府信息系統(tǒng)信息發(fā)布制度 62

3、十、用戶信息保護(hù)制度65第一章總則65第二章術(shù)語和定義65第三章職責(zé)分工65第四章信息收集和使用65第五章安全保障措施 67第六章監(jiān)督檢查68第七章附則68一、機(jī)房安全管理制度第一章總則第一條 為保障機(jī)房正常運(yùn)行，加強(qiáng)對機(jī)房附屬設(shè)備運(yùn)行維 護(hù)管理，為各種信息化基礎(chǔ)設(shè)施提供安全可靠的工作環(huán)境，特 制定本制度。第二條 本制度的內(nèi)容包括：機(jī)房環(huán)境管理、機(jī)房附屬設(shè)備 監(jiān)控管理、安全審計(jì)。第三條 機(jī)房管理員負(fù)責(zé)機(jī)房內(nèi)所有設(shè)備的臺帳管理 ，負(fù)責(zé) 機(jī)房環(huán)境及附屬設(shè)備（UPS空調(diào)、氣體消防、監(jiān)控系統(tǒng)）的日常 維護(hù)、監(jiān)控和管理。第四條 安全審計(jì)員負(fù)責(zé)對機(jī)房管理制度落實(shí)情況進(jìn)行審計(jì)。 第二章機(jī)房環(huán)境管理第五條機(jī)房

4、管理員應(yīng)每日對機(jī)房環(huán)境進(jìn)行巡檢并填寫機(jī) 房環(huán)境巡檢表，巡檢內(nèi)容如下：1機(jī)房內(nèi)照明良好，地面清潔、設(shè)備無塵、工具就位、資料 規(guī)整。2、 機(jī)房內(nèi)溫度應(yīng)保持在+23± 2 C,相對濕度應(yīng)保持在 40履 70%。3、檢查消防設(shè)備是否擺放到位，各電源插座的狀態(tài)。4、觀察機(jī)房內(nèi)的UPS空調(diào)、消防設(shè)施、監(jiān)控系統(tǒng)等重要設(shè) 備是否運(yùn)行良好。5、觀察機(jī)房內(nèi)的服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等重要設(shè)備有 無報(bào)警。第六條機(jī)房管理員如發(fā)現(xiàn)問題應(yīng)記錄在機(jī)房環(huán)境巡檢表 并及時(shí)通知相關(guān)責(zé)任人跟進(jìn)處理。第七條機(jī)房管理員安排各種設(shè)備擺放的位置，設(shè)備必須憑設(shè)備進(jìn)出機(jī)房審批表進(jìn)出機(jī)房。第八條機(jī)房實(shí)施門禁進(jìn)出控制，出入機(jī)房的工作人

5、員須使 用個(gè)人門禁卡，門禁卡不得借給他人使用。第九條非授權(quán)人員憑進(jìn)入機(jī)房審批表、或辦文系統(tǒng)審批 記錄、或運(yùn)維系統(tǒng)審批記錄在機(jī)房管理員的陪同下進(jìn)入機(jī)房，工作完畢后，機(jī)房管理員須補(bǔ)充出入時(shí)間及操作內(nèi)容概述。第十條 進(jìn)入機(jī)房人員不得攜帶任何易燃、 易爆、腐蝕性、強(qiáng) 電磁、輻射性、流體物質(zhì)、食物等對設(shè)備正常運(yùn)行構(gòu)成威脅的物 品。外來人員由機(jī)房管理員負(fù)責(zé)監(jiān)督。第十一條 嚴(yán)禁攜帶移動存儲介質(zhì)進(jìn)入機(jī)房，外來人員由機(jī) 房管理員負(fù)責(zé)監(jiān)督。第十二條 嚴(yán)禁在機(jī)房內(nèi)抽煙、大聲喧嘩以及處理與工作無 關(guān)的事情。第十三條機(jī)房管理員負(fù)責(zé)機(jī)房內(nèi)各種資料、工具、存儲介 質(zhì)等物品的存放和使用。第三章清潔管理第十四條所有人員進(jìn)入機(jī)房

6、時(shí)應(yīng)穿工作鞋或帶鞋套。否則 將被拒絕進(jìn)入機(jī)房。第十五條 機(jī)房應(yīng)每月進(jìn)行清潔兩次（即 1、15日，國家節(jié) 假日應(yīng)向后推遲）清潔過程技術(shù)處派員負(fù)責(zé)隨工， 保證設(shè)備的安 全。第十六條盡量安排固定清潔人員清潔機(jī)房，使其熟悉機(jī)房 內(nèi)的注意事項(xiàng)。第十七條 機(jī)房門前的鞋柜及工作用鞋或鞋套定期檢查及更 換。第四章設(shè)備管理第十八條 設(shè)備進(jìn)入機(jī)房前必須事先提出申請，由相關(guān)領(lǐng)導(dǎo) 同意后才能進(jìn)入機(jī)房，當(dāng)設(shè)備暫未安裝時(shí)禁止堆放在機(jī)房內(nèi)。第十九條設(shè)備上架時(shí)必須事先進(jìn)行驗(yàn)收，確認(rèn)設(shè)備型號規(guī) 格后接電測試，一切正常后才可安裝至機(jī)柜。第二十條定期對機(jī)房設(shè)備進(jìn)行巡檢并且填寫機(jī)房設(shè)備巡 檢報(bào)告，發(fā)現(xiàn)設(shè)備報(bào)警后須上報(bào)進(jìn)行處理。第二一

7、條 設(shè)備下架必須事先提出申請，通過后發(fā)出放行 條，通知人員對設(shè)備進(jìn)行斷電下架操作。第五章訪問管理第二十二條 對于進(jìn)出已安裝門禁設(shè)備的機(jī)房，必須使用門 禁卡。第二十三條機(jī)房維護(hù)人員憑門禁卡權(quán)限進(jìn)出機(jī)房進(jìn)行相關(guān) 作業(yè)第二十四條 工程設(shè)計(jì)、施工、監(jiān)理單位、廠家技術(shù)支持人員 須辦理相關(guān)審批手續(xù)和熟悉作業(yè)須知，經(jīng)同意后方可憑臨時(shí)門禁卡的權(quán)限進(jìn)入相關(guān)機(jī)房進(jìn)行相關(guān)作業(yè)。進(jìn)入有人值守機(jī)房時(shí)，須 經(jīng)值班人員核對相關(guān)證件和審批手續(xù)；進(jìn)入無人值守機(jī)房時(shí)，須經(jīng)機(jī)房主管對相關(guān)證件和審批手續(xù)， 并在進(jìn)入和離開機(jī)房時(shí)電話 通知值班人員。第二十五條當(dāng)接待來賓參觀機(jī)房或上級領(lǐng)導(dǎo)檢查機(jī)房安全時(shí)，由機(jī)房主管人員陪同下進(jìn)出機(jī)房。第二

8、十六條任何人員進(jìn)出機(jī)房必須履行登記手續(xù)，填寫機(jī) 房出入登記表。第二十七條任何人員進(jìn)入機(jī)房未經(jīng)準(zhǔn)許不得翻看、抄錄、復(fù)制、下載有關(guān)通信設(shè)備、網(wǎng)絡(luò)組織與配置、電路開放、配線記 錄、軟件數(shù)據(jù)等機(jī)密資料及技術(shù)、 用戶文檔（包括電子文檔）；未 經(jīng)批準(zhǔn)嚴(yán)禁任何人將上述資料帶出機(jī)房；未經(jīng)許可機(jī)房內(nèi)不得攝影、攝像。第六章作業(yè)管理第二十八條 機(jī)房作業(yè)包括對機(jī)房、機(jī)房內(nèi)設(shè)備與基礎(chǔ)設(shè)施 的巡檢、維護(hù)、測試、清潔、勘察和施工改造等。第二十九條 機(jī)房作業(yè)涉及線、纜布放及設(shè)備、器件安裝的，不得因作業(yè)而破壞機(jī)房原有工藝規(guī)范，或降低機(jī)房安全標(biāo)準(zhǔn)。第三十條 維護(hù)（巡檢、測試、清潔等）作業(yè)應(yīng)按照維護(hù)規(guī)程 要求和作業(yè)計(jì)劃實(shí)施；實(shí)施非

9、維護(hù)作業(yè)需有機(jī)房主管核準(zhǔn)的作業(yè) 計(jì)劃及方案。由外單位人員實(shí)施的機(jī)房作業(yè)計(jì)劃應(yīng)取得機(jī)房主管 批準(zhǔn)，并按要求安排隨行人員。 外來作業(yè)人員必須服從機(jī)房管理 員及隨行人員的管理。第三十一條機(jī)房主管不定期進(jìn)行機(jī)房施工現(xiàn)場巡查工作， 及時(shí)發(fā)現(xiàn)和糾正違章作業(yè)行為。 對于違規(guī)作業(yè)的，巡查人員有權(quán) 制止、糾正施工作業(yè)人員的違規(guī)行為。第三十二條嚴(yán)禁攜帶各類易燃、易爆、易腐蝕等危險(xiǎn)品進(jìn) 入機(jī)房。第三十三條 嚴(yán)禁在機(jī)房內(nèi)吸煙、飲食、睡覺和使用各種電 熱器具。第三十四條 維護(hù)或施工作業(yè)期間必須保持機(jī)房門的正常關(guān) 閉，防止無關(guān)人員進(jìn)入機(jī)房。第三十五條機(jī)房施工應(yīng)有監(jiān)理或隨工，隨行人員對施工人 員和現(xiàn)場必須嚴(yán)格監(jiān)督管理，并配

10、合工程監(jiān)理對施工全過程的安 全、工藝、環(huán)境衛(wèi)生等管理，及時(shí)制止可能影響通信安全的操作 及其它違章操作，發(fā)現(xiàn)問題及時(shí)匯報(bào)。必須要求施工單位落實(shí)施 工安全責(zé)任人，落實(shí)施工安全措施，制定相應(yīng)的應(yīng)急預(yù)案，防止 因違規(guī)操作造成通信事故或其它安全事故，確保機(jī)房安全及網(wǎng)絡(luò) 和設(shè)備安全。第三十六條維護(hù)或施工需使用電源端子或其它在用設(shè)備資 源的，必須在作業(yè)前按相關(guān)流程辦理申請手續(xù)，未經(jīng)機(jī)房主管領(lǐng)導(dǎo)同意，不得私自使用電源端子或其它在用設(shè)備資源。第三十七條 維護(hù)或施工作業(yè)需進(jìn)行電焊、 氣焊、切割、打磨 等明火作業(yè)的，必須落實(shí)現(xiàn)場監(jiān)護(hù)人員，制定應(yīng)急預(yù)案，采取有 效的防護(hù)措施后方可施工。在機(jī)房維護(hù)或施工作業(yè)必須做好防塵

11、 措施，需使用沖擊鉆或其它工具打孔時(shí)，必須用吸塵器吸塵。使 用各類電動工具或其它施工電器設(shè)備時(shí)， 嚴(yán)禁使用設(shè)備專用電源。 嚴(yán)禁亂拉接電源線，嚴(yán)禁使用鹵鎢燈等高溫照明燈具作臨時(shí)照明。第三十八條維護(hù)或施工需使用電纜豎井或水平孔洞布放線 纜的，必須經(jīng)技術(shù)處審核、批準(zhǔn)、確認(rèn)布放線纜路由后方可施工。 維護(hù)或施工打開的電纜豎井或水平孔洞必須在當(dāng)天按標(biāo)準(zhǔn)回圭寸， 并通知機(jī)房主管驗(yàn)收確認(rèn)。第三十九條維護(hù)或施工待安裝的設(shè)備必須擺放整齊，備品 備件在維護(hù)或施工竣工后應(yīng)立即清理出機(jī)房，嚴(yán)禁將機(jī)房作倉庫使用。第四十條 設(shè)備的外包裝嚴(yán)禁在機(jī)房內(nèi)開箱。維護(hù)或施工過 程中產(chǎn)生的雜物、廢料必須在當(dāng)天清理出機(jī)房， 嚴(yán)禁在機(jī)房內(nèi)

12、堆 放過夜。第四一條維護(hù)或施工作業(yè)完畢必須檢查和清理現(xiàn)場，不 得遺留安全隱患。關(guān)燈、關(guān)門，并確保機(jī)房現(xiàn)場安全和通知值班 人員檢察后方可離開。第四十二條 施工結(jié)束后隨行人員應(yīng)負(fù)責(zé)對工程的檢查和隨 工驗(yàn)收，并督促現(xiàn)場雜物、垃圾的及時(shí)清理和孔洞封堵情況檢查。 對施工過程中所發(fā)生的任何重要問題隨行人員須有詳細(xì)記錄。第七章用電管理第四十三條 用電單位因工程施工需申請電源端子或改變用 電負(fù)荷的，必須在事前向機(jī)房主管及機(jī)房所在物業(yè)提出申請。第四十四條 用電單位經(jīng)同意允許使用電源端子或改變用電 負(fù)荷的，在施工過程中應(yīng)密切注意設(shè)備的告警信息，發(fā)現(xiàn)異常及時(shí)通知現(xiàn)場人員處理。第四十五條施工單位進(jìn)行用電接入、拆除或增

13、加負(fù)荷工作， 應(yīng)按規(guī)范做標(biāo)簽標(biāo)明用途和線徑。 如增加負(fù)荷后相關(guān)的用電線路 已不能再增加負(fù)荷的，應(yīng)在顯眼位置張貼滿負(fù)荷警告標(biāo)志。第四十六條 未經(jīng)批準(zhǔn)，任何單位和個(gè)人不得私自接電、改 變用電性質(zhì)或任意擴(kuò)大用電量。 凡違反本辦法的，追究相關(guān)責(zé)任 人的責(zé)任。第八章巡檢管理第四十七條 機(jī)房巡檢固定頻率為每天 2次。第四十八條 巡檢過程發(fā)現(xiàn)問題應(yīng)及時(shí)上報(bào)部門主管。第四十九條 在狂風(fēng)雷雨前后、重大節(jié)日前后應(yīng)加強(qiáng)巡視檢查，以確保機(jī)房及設(shè)備的安全。附件1:設(shè)備進(jìn)入機(jī)房審批表申請人簽名放入日期設(shè)備名稱設(shè)備型號重量電源功率主要配置應(yīng)用描述需要機(jī)房 提供的環(huán) 境與配件機(jī)房內(nèi)的設(shè)備信息IP地址物理地址操作系統(tǒng)應(yīng)用軟件系

14、統(tǒng)軟件與漏洞檢測網(wǎng)絡(luò)設(shè)備連接接口機(jī)房位置機(jī)房相關(guān)管理員與領(lǐng)導(dǎo)的簽字確認(rèn)機(jī)房管理員（必填）網(wǎng)絡(luò)管理員（選填）安全管理員（選填）服務(wù)器管理員（選填）信息中心領(lǐng)導(dǎo)簽字附件2:設(shè)備移出機(jī)房審批表設(shè)備名稱設(shè)備型號移到何處移出日期移出原因主要配置應(yīng)用描述數(shù)據(jù)處理情況設(shè)備信息處理機(jī)房相關(guān)管理員與領(lǐng)導(dǎo)的簽字確認(rèn)機(jī)房管理員（必填）網(wǎng)絡(luò)管理員（選填）安全管理員（選填）服務(wù)器管理員（選填）信息中心領(lǐng)導(dǎo)簽字附件3:外來人員進(jìn)入機(jī)房審批表日期進(jìn)入時(shí)間離開時(shí)間姓名單位聯(lián)系電話進(jìn)入事由操作內(nèi)容審批人審批意見陪同人簽字外來人員進(jìn)入機(jī)房審批表日期進(jìn)入時(shí)間離開時(shí)間姓名單位聯(lián)系電話進(jìn)入事由操作內(nèi)容審批人審批意見陪同人簽字附件4:機(jī)

15、房環(huán)境巡檢表日期檢杳內(nèi)容備注服務(wù)器區(qū)溫濕度服務(wù)器區(qū)是否有異常網(wǎng)絡(luò)區(qū)溫濕度網(wǎng)絡(luò)區(qū)是否有異常小機(jī)房溫濕度小機(jī)房是否有異常UPS工作情況精密空調(diào)工作情況監(jiān)控系統(tǒng)情況消防系統(tǒng)工作情況配電房情況巡檢簽名服務(wù)器區(qū)溫濕度服務(wù)器區(qū)是否有異常網(wǎng)絡(luò)區(qū)溫濕度網(wǎng)絡(luò)區(qū)是否有異常小機(jī)房溫濕度小機(jī)房是否有異常UPS工作情況精密空調(diào)工作情況監(jiān)控系統(tǒng)情況消防系統(tǒng)工作情況配電房情況巡檢簽名服務(wù)器區(qū)溫濕度服務(wù)器區(qū)是否有異常網(wǎng)絡(luò)區(qū)溫濕度網(wǎng)絡(luò)區(qū)是否有異常小機(jī)房溫濕度小機(jī)房是否有異常UPS工作情況精密空調(diào)工作情況監(jiān)控系統(tǒng)情況消防系統(tǒng)工作情況配電房情況巡檢簽名附件5機(jī)房人員出入登記表日期單位/公司姓名身份證號聯(lián)系電話事由進(jìn)入時(shí)間離開時(shí)間附

16、件6鹽田區(qū)信息中心中心機(jī)房巡檢登記表負(fù)責(zé)人簽字：巡檢人簽字：年 月日、服務(wù)器、交換機(jī)運(yùn)行情況設(shè)備名稱運(yùn)行狀況故障描述檢測時(shí)間備注內(nèi)網(wǎng)服務(wù)器正常故障外網(wǎng)服務(wù)器正常故障小型機(jī)服務(wù) 器正常故障PC服務(wù)器正常故障內(nèi)網(wǎng)交換機(jī)正常故障二、網(wǎng)絡(luò)安全管理制度第一章 范圍及職責(zé)第一條 本制度適用于網(wǎng)絡(luò)安全管理，包括：網(wǎng)絡(luò)系統(tǒng)安全 管理、賬號管理、病毒防治管理、網(wǎng)絡(luò)事件報(bào)告和查處。第二條 信息中心主要負(fù)責(zé)網(wǎng)絡(luò)安全管理制度的制定和修訂; 網(wǎng)絡(luò)管理員負(fù)責(zé)網(wǎng)絡(luò)維護(hù)。第二章 網(wǎng)絡(luò)管理第二條 應(yīng)在信息系統(tǒng)內(nèi)外網(wǎng)網(wǎng)絡(luò)邊界部署防火墻、審計(jì)系 統(tǒng)、IDS等安全設(shè)備；對內(nèi)部網(wǎng)絡(luò)進(jìn)行區(qū)域隔離、保護(hù)。重要的 業(yè)務(wù)應(yīng)用服務(wù)器區(qū)部署單獨(dú)的

17、防火墻進(jìn)行保護(hù)。第四條 內(nèi)外網(wǎng)網(wǎng)絡(luò)之間要實(shí)行物理隔離。如需進(jìn)行數(shù)據(jù)交 換時(shí)，應(yīng)使用符合國家政策和保密部門認(rèn)可的安全產(chǎn)品或技術(shù)措 施進(jìn)行數(shù)據(jù)傳輸。第五條所有在互聯(lián)網(wǎng)發(fā)布的應(yīng)用系統(tǒng)必須使用網(wǎng)頁防篡改 技術(shù)或?qū)Ｓ冒踩O(shè)備進(jìn)行保護(hù)， 確保網(wǎng)站在受到破壞時(shí)能自動恢 復(fù)。第六條 所有在互聯(lián)網(wǎng)發(fā)布的應(yīng)用系統(tǒng)必須經(jīng)過有資質(zhì)的專 業(yè)信息安全公司或第三方技術(shù)機(jī)構(gòu)的安全測評，確保網(wǎng)站的安全性。第七條 采用技術(shù)手段對網(wǎng)絡(luò)接入進(jìn)行控制。內(nèi)部終端如因 工作需要接入In ternet或其他網(wǎng)絡(luò)，應(yīng)向所在部門領(lǐng)導(dǎo)提出申 請，經(jīng)批準(zhǔn)后由網(wǎng)絡(luò)管理員提供接入服務(wù)。管理員對接入端信息做詳細(xì)登記并存檔備案。外部人員如需接入網(wǎng)絡(luò)， 需由

18、部門主管 領(lǐng)導(dǎo)批準(zhǔn)，再由網(wǎng)絡(luò)管理員提供臨時(shí)接入服務(wù)。第八條 網(wǎng)絡(luò)管理員負(fù)責(zé)網(wǎng)絡(luò)拓?fù)鋱D的繪制。若網(wǎng)絡(luò)結(jié)構(gòu)發(fā) 生變化要及時(shí)更新拓?fù)鋱D，確保網(wǎng)絡(luò)拓?fù)鋱D完整、真實(shí)。第九條未經(jīng)綜合處主管領(lǐng)導(dǎo)批準(zhǔn)，任何人不得改變網(wǎng)絡(luò)拓 撲結(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備布局、服務(wù)器和路由器配置以及網(wǎng)絡(luò)參數(shù)。第十條在未經(jīng)許可的情況下，任何人不得進(jìn)入計(jì)算機(jī)系統(tǒng) 更改系統(tǒng)信息和用戶數(shù)據(jù)。第十一條 任何人不得利用計(jì)算機(jī)技術(shù)侵害用戶合法利益， 不得制作和傳播有害信息。第三章 運(yùn)維管理第十二條對信息系統(tǒng)核心設(shè)備米取冗余措施（包括線路及 設(shè)備冗余），確保網(wǎng)絡(luò)正常運(yùn)行。第十三條對網(wǎng)絡(luò)、安全設(shè)備進(jìn)行管理時(shí)須采用安全的方式（如加密、SSH等）,并嚴(yán)格控制可訪

19、問該設(shè)備的地址和網(wǎng)段。第十四條定期對網(wǎng)絡(luò)系統(tǒng)（服務(wù)器、網(wǎng)絡(luò)設(shè)備）進(jìn)行漏洞 掃描，并及時(shí)修補(bǔ)已發(fā)現(xiàn)的安全漏洞。第十五條根據(jù)設(shè)備廠商提供的更新軟件對網(wǎng)絡(luò)設(shè)備和安全 設(shè)備進(jìn)行升級，在升級之前要注意對重要文件的配置進(jìn)行備份。第十六條 定期對重要的網(wǎng)絡(luò)、安全設(shè)備進(jìn)行巡檢，確保重 要設(shè)施工作正常，并填寫相關(guān)記錄表單歸檔保存。 若在巡檢中發(fā) 現(xiàn)安全問題要及時(shí)上報(bào)處理。第十七條定期對重要系統(tǒng)服務(wù)器和相關(guān)業(yè)務(wù)數(shù)據(jù)進(jìn)行備份， 備份數(shù)據(jù)應(yīng)一式兩份，分別進(jìn)行保存管理。第十八條 部署專用的網(wǎng)絡(luò)審計(jì)設(shè)備記錄網(wǎng)絡(luò)訪問日志，日 志的最小保存期限不低于 180天，且應(yīng)保證無一天以上的中斷。 第四章 賬號管理第十九條 對網(wǎng)絡(luò)管理

20、員、安全審計(jì)員等不同用戶建立不同的賬號，并對資源管理權(quán)限進(jìn)行劃分，以便于審計(jì)。第二十條網(wǎng)絡(luò)賬號、密碼設(shè)計(jì)必須滿足長度、復(fù)雜度要求, 用戶須定期更改密碼以保障網(wǎng)絡(luò)賬戶安全。第二十一條指定專人對服務(wù)器和網(wǎng)絡(luò)設(shè)備的賬號、密碼進(jìn) 行統(tǒng)一登記，一式兩份存檔管理。管理員須嚴(yán)守職業(yè)道德和職業(yè) 紀(jì)律，不得將任何賬號、密碼等信息泄露出去。第五章 惡意代碼管理第二十二條不得制造和傳播任何計(jì)算機(jī)病毒。第二十三條 網(wǎng)絡(luò)服務(wù)器的病毒防治由網(wǎng)絡(luò)管理員負(fù)責(zé)，網(wǎng) 絡(luò)管理員負(fù)責(zé)對各部門計(jì)算機(jī)的病毒防治工作進(jìn)行指導(dǎo)和協(xié)助。第二十四條 及時(shí)更新網(wǎng)絡(luò)系統(tǒng)服務(wù)器病毒庫，定期對服務(wù) 器進(jìn)行全盤掃描殺毒。第二十五條 提高自身的惡意代碼防范

21、意識，在接收文件或 郵件之前，必須先進(jìn)行惡意代碼檢查。第二十六條已授權(quán)的外來計(jì)算機(jī)或存儲設(shè)備在接入網(wǎng)絡(luò)之 前，必須對其進(jìn)行惡意代碼掃描。第六章 惡意事件處理第二十七條發(fā)現(xiàn)制造病毒、故意傳播病毒等行為，須立即 通知綜合處電腦室，并協(xié)助有關(guān)部門進(jìn)行調(diào)查。第二十八條 發(fā)現(xiàn)惡意網(wǎng)絡(luò)攻擊行為，須立即通知信息中心, 并協(xié)助有關(guān)部門進(jìn)行調(diào)查。第七章 附則第二十九條 本制度由信息中心負(fù)責(zé)解釋第三十條 本制度自發(fā)布之日起生效執(zhí)行。三、信息系統(tǒng)運(yùn)行維護(hù)管理制度第一章 范圍及職責(zé)第一條 本制度適用于信息系統(tǒng)的運(yùn)行維護(hù)管理，包括：業(yè) 務(wù)系統(tǒng)運(yùn)維管理、備份和恢復(fù)、口令和權(quán)限管理、惡意代碼防范 管理以及系統(tǒng)補(bǔ)丁管理。第二

22、條信息中心負(fù)責(zé)信息系統(tǒng)運(yùn)行維護(hù)管理制度的制定 和修訂；系統(tǒng)管理員負(fù)責(zé)信息系統(tǒng)的運(yùn)行維護(hù)。第二章 業(yè)務(wù)系統(tǒng)運(yùn)維管理第三條 對運(yùn)行關(guān)鍵業(yè)務(wù)的系統(tǒng)進(jìn)行監(jiān)控。 監(jiān)控系統(tǒng)關(guān)鍵性 能參數(shù)（如啟動參數(shù)）、工作狀態(tài)、占用資源和容量使用情況等 內(nèi)容。第四條 不得隨意重啟業(yè)務(wù)系統(tǒng)服務(wù)器、 相關(guān)網(wǎng)絡(luò)設(shè)備和安 全設(shè)備，盡量少安裝業(yè)務(wù)無關(guān)的與其它軟件。第五條定期對系統(tǒng)日志進(jìn)行審計(jì)、備份。第六條 對主機(jī)系統(tǒng)上開放的網(wǎng)絡(luò)服務(wù)和端口進(jìn)行檢查，發(fā)現(xiàn)不需要開放的網(wǎng)絡(luò)服務(wù)和端口時(shí)及時(shí)通知相關(guān)管理員進(jìn)行關(guān) 閉。第七條 對系統(tǒng)運(yùn)行情況進(jìn)行記錄， 每月對記錄結(jié)果進(jìn)行分 析、統(tǒng)計(jì)，并形成分析報(bào)告向上級匯報(bào)。第八條開辦交互式欄目的信息系統(tǒng)必

23、須配備關(guān)鍵字過濾 措施，防止出現(xiàn)有害信息和非法言論。第九條 不同的業(yè)務(wù)系統(tǒng)應(yīng)采取不同的保護(hù)措施，達(dá)到等級保護(hù)二級以上標(biāo)準(zhǔn)時(shí)應(yīng)向網(wǎng)監(jiān)部門提交備案申請并取得備案編 號。第十條 已在網(wǎng)監(jiān)部門備案的信息系統(tǒng)要根據(jù)等級保護(hù)國 標(biāo)和上級主管部門的工作要求開展測評和整改工作。第十一條所有在互聯(lián)網(wǎng)發(fā)布的信息系統(tǒng)都必須在公安部 門進(jìn)行備案登記。已備案信息系統(tǒng)應(yīng)注意前次備案的有效期限， 應(yīng)在備案失效前再次向公安部門報(bào)送材料進(jìn)行備案，保證信息系統(tǒng)備案狀態(tài)的持續(xù)性。第三章備份與恢復(fù)管理第十二條 按照業(yè)務(wù)數(shù)據(jù)的重要性，采取不同介質(zhì)進(jìn)行備份, 如：專業(yè)存儲陣列、磁帶、硬盤、光盤等；備份介質(zhì)要標(biāo)注內(nèi)容、 日期、操作員和狀態(tài)

24、。第十三條 備份介質(zhì)（磁帶、硬盤和光盤）要按照時(shí)間順序 保存。第十四條 備份介質(zhì)必須異地存放，存放環(huán)境要滿足介質(zhì)存 儲的安全要求。第十五條 當(dāng)介質(zhì)超出有效使用期時(shí)， 即使還能使用也要強(qiáng) 制報(bào)廢。第十六條按照備份策略，對不同業(yè)務(wù)數(shù)據(jù)采用不同備份方式，靈活運(yùn)用完全備份、增量備份和差異備份等方式進(jìn)行備份， 保證信息系統(tǒng)出現(xiàn)故障時(shí)，能夠滿足數(shù)據(jù)恢復(fù)的時(shí)間點(diǎn)和速度要 求。第十七條每次備份必須進(jìn)行備份記錄，對備份介質(zhì)類型、 備份的頻率、數(shù)據(jù)量、數(shù)據(jù)屬性等有明確描述，并及時(shí)檢查備份 的狀態(tài)和日志，確保備份是成功的。第十八條 定期對介質(zhì)做恢復(fù)測試，至少一年一次。第四章口令、權(quán)限管理第十九條 口令安全是保護(hù)信息

25、安全的重要措施之一?？诹钜?guī)范如下：1、保守口令的秘密性，除非有正式批準(zhǔn)授權(quán)，禁止把口令 提供給其他人使用；2、避免記錄口令（例如在紙上記錄），除非使用了安全的保 管方式（如保險(xiǎn)柜）并得到了批準(zhǔn)；3、提高安全意識，當(dāng)信息系統(tǒng)或賬戶狀態(tài)出現(xiàn)異常情況時(shí)（如懷疑被入侵），應(yīng)考慮立即更改口令；4、設(shè)置高質(zhì)量的口令并定期進(jìn)行修改，禁止循環(huán)使用舊口令;5、用戶在第一次登陸的時(shí)候，須立即修改初始口令；6、不能在任何登錄程序中保存口令或啟用自動登錄，如在 宏或功能鍵中存儲口令；7、網(wǎng)絡(luò)設(shè)備或服務(wù)器、桌面系統(tǒng)的口令安全設(shè)置，必須遵 守系統(tǒng)安全策略中的相關(guān)要求。第五章 惡意代碼防范管理第二十條 所有計(jì)算機(jī)必須安裝防

26、病毒軟件并實(shí)時(shí)運(yùn)行。第二十一條及時(shí)更新防病毒軟件和病毒特征庫。嚴(yán)禁制造、 引入或傳播惡意軟件（例如病毒、蠕蟲、木馬、郵件炸彈等）。第二十二條 非本單位計(jì)算機(jī)嚴(yán)禁擅自接入規(guī)定業(yè)務(wù)以外 的其他網(wǎng)絡(luò)，如因工作需要接入的，須經(jīng)信息中心批準(zhǔn)和確認(rèn)。第二十三條及時(shí)對計(jì)算機(jī)操作系統(tǒng)補(bǔ)丁進(jìn)行更新。第二十四條 新購置的、借入的或維修返還的計(jì)算機(jī)或存儲 介質(zhì)，在使用前必須進(jìn)行惡意代碼檢查， 確保無惡意代碼之后才 能正式投入使用。第二十五條U盤、光盤以及其它移動存儲介質(zhì)在使用前必 須進(jìn)行惡意代碼檢測，嚴(yán)禁使用任何未經(jīng)惡意代碼檢測過的存儲 介質(zhì)。第二十六條 計(jì)算機(jī)軟件以及從其它渠道獲得的電子文件， 在安裝使用前必須進(jìn)

27、行惡意代碼檢測，禁止安裝或使用未經(jīng)惡意 代碼檢測的計(jì)算機(jī)軟件和電子文件。第二十七條文件拷入計(jì)算機(jī)之前必須經(jīng)過惡意代碼掃描， 文件拷貝的途徑包括但不限于網(wǎng)絡(luò)共享文件的拷貝、通過光盤、 U盤等移動存儲媒介的拷貝、從 In ternet下載文件、下載郵件 等。第二十八條 郵件的附件在打開之前必須進(jìn)行病毒檢測。收到來歷不明的郵件時(shí)不要打開附件，應(yīng)確認(rèn)文件安全或直接刪除。第六章 系統(tǒng)補(bǔ)丁管理第二十九條定期對信息系統(tǒng)進(jìn)行漏洞掃描，對發(fā)現(xiàn)的信息 系統(tǒng)漏洞和風(fēng)險(xiǎn)進(jìn)行及時(shí)的修補(bǔ)。第三十條 每季度對信息系統(tǒng)設(shè)備（包括：主機(jī)、網(wǎng)絡(luò)設(shè)備、 數(shù)據(jù)庫等）至少進(jìn)行一次漏洞掃描，并對掃描報(bào)告進(jìn)行分析和歸 類存檔。第三十一條定

28、期檢查信息系統(tǒng)的各種補(bǔ)丁狀態(tài)，并及時(shí)更 新。第三十二條在安裝信息系統(tǒng)各類補(bǔ)丁前須對補(bǔ)丁的兼容 性和安全性進(jìn)行評估和檢測，確保新補(bǔ)丁不影響信息系統(tǒng)的正常 運(yùn)行。第三十三條 當(dāng)出現(xiàn)應(yīng)對高危漏洞的信息系統(tǒng)補(bǔ)丁時(shí)， 應(yīng)在 第一時(shí)間組織補(bǔ)丁的測試工作，并對漏洞進(jìn)行修補(bǔ)。第三十四條 每月根據(jù)收集情況安排補(bǔ)丁分發(fā)， 如遇緊急更 新，第一時(shí)間進(jìn)行分發(fā)。第七章 附則第三十五條 本制度由信息中心負(fù)責(zé)解釋。第三十六條 本制度自發(fā)布之日起生效執(zhí)行。四、資產(chǎn)和設(shè)備管理制度第一章 范圍及職責(zé)第一條 本制度適用于信息資產(chǎn)的管理，包括：獲取、分類、 使用和處置以及安全設(shè)備的管理。第二條本制度中的信息資產(chǎn)是指可以存儲信息數(shù)據(jù)的

29、信 息載體，包括：硬件、軟件、數(shù)據(jù)（電子數(shù)據(jù)）、文檔（紙質(zhì)文件）、人員、服務(wù)設(shè)施、其他。第三條信息中心主要負(fù)責(zé)信息資產(chǎn)的分類、匯總、使用與 處置方法，以及安全設(shè)備的選型、檢測、安裝、登記、使用、維 護(hù)和儲存。第四條 計(jì)算機(jī)資產(chǎn)統(tǒng)計(jì)信息的范圍包含但不限于：計(jì)算機(jī)主機(jī)名、IP地址、MAC地址、使用人/責(zé)任人、所屬部門、物理 位置、服務(wù)器的內(nèi)外網(wǎng)IP對應(yīng)等。第二章信息資產(chǎn)的獲取第五條軟件、硬件設(shè)施、服務(wù)性設(shè)施等的獲得主要以米購 的方式獲得，米購按照有關(guān)規(guī)定進(jìn)行米購和驗(yàn)收。第六條數(shù)據(jù)信息資產(chǎn)的獲得來源主要為：外包供應(yīng)商、市 場信息、其他信息。第三章信息資產(chǎn)的分類第七條 各部門根據(jù)業(yè)務(wù)流程將每項(xiàng)資產(chǎn)的資

30、產(chǎn)類別、 信息 資產(chǎn)編號、資產(chǎn)現(xiàn)有編號、資產(chǎn)名稱、所屬部門（組別） 、管理 者、使用者、地點(diǎn)等相關(guān)信息記錄備案。第八條資產(chǎn)的分類原則和編號原則如下：1、硬件1）計(jì)算機(jī)設(shè)備：（臺式機(jī)、筆記本）、服務(wù)器；2）存儲設(shè)備：磁帶機(jī)、磁盤整列、磁帶、光盤、軟盤、移動硬盤等；3）網(wǎng)絡(luò)設(shè)備：路由器、交換機(jī)、網(wǎng)關(guān)、程控交換機(jī)等；4）傳輸線路：光纖、雙絞線、電話線（布線）、電源線；5）安全設(shè)備：硬件防火墻、入侵檢測、網(wǎng)絡(luò)隔離設(shè)備（如網(wǎng)閘）、身份驗(yàn)證等；6）辦公設(shè)備：打印機(jī)、復(fù)印機(jī)、掃描儀、傳真機(jī)、碎紙機(jī)、寫字白板、應(yīng)急照明設(shè)備等；7）保障設(shè)備：動力保障設(shè)備（UPS變電設(shè)備）、空調(diào)、保險(xiǎn)柜、文件柜、門禁、消防設(shè)施等

31、；8）其他設(shè)備；2、軟件。如：操作系統(tǒng)、系統(tǒng)軟件（office/AutoCAD ）、應(yīng)用軟件（生產(chǎn)軟件）、網(wǎng)管軟件、殺毒軟件、財(cái)務(wù)軟件、開發(fā)工具 和資源庫等；3、存在電子媒介的各種數(shù)據(jù)資料。如：源代碼、數(shù)據(jù)庫數(shù) 據(jù)、各種數(shù)據(jù)資料、系統(tǒng)文檔、運(yùn)行管理規(guī)程、計(jì)劃、日周月報(bào) 告、財(cái)務(wù)報(bào)告（電子版本）、用戶手冊、方案、電子設(shè)計(jì)圖紙等;4、紙質(zhì)的各種文件。女口：傳真、電報(bào)、合同、紙張圖紙等;5、服務(wù)性設(shè)施。如：供電、供水、保潔、門禁、消防設(shè)施6、人員。如：各級領(lǐng)導(dǎo)、各級正式雇員、臨時(shí)雇員等；7、其他。第九條按照涉及國家秘密的信息系統(tǒng)分級保護(hù)技術(shù)標(biāo)準(zhǔn) 和信息安全管理體系建設(shè)要求， 按照信息資產(chǎn)的公開和敏感

32、程度， 將信息資產(chǎn)化分為不同的保護(hù)等級， 并對不同等級的信息資產(chǎn)進(jìn) 行保護(hù)，確保信息安全。各部門要將所有的移動介質(zhì)和電子文件 按照敏感性和重要程度分為不同的保護(hù)等級，保密級別與保密期限由持有人自行定義。第十條 識別各個(gè)流程的各類關(guān)鍵信息資產(chǎn)，最終信息中心匯總，并每半年進(jìn)行一次更新，確保重要信息資產(chǎn)的完備性（重 要信息資產(chǎn)沒有遺漏和缺失）和準(zhǔn)確性（信息資產(chǎn)的保密級別和 重要程度能夠真實(shí)反映信息資產(chǎn)的狀態(tài)）。第一條 對信息資產(chǎn)進(jìn)行編號，同時(shí)對重要信息資產(chǎn)進(jìn)行 標(biāo)識：文檔需有固定版本編號規(guī)則； 硬件設(shè)備粘貼在設(shè)備明顯位 置處。第四章 信息資產(chǎn)的使用和處置第一節(jié) 硬件資產(chǎn)的使用和處置第十二條 硬件的使

33、用處置包括購買/接收、使用（交接、維 修、重用）、處置等有關(guān)內(nèi)容。第十三條 購買新的硬件設(shè)備或者從其他部門接收轉(zhuǎn)移設(shè) 備時(shí)，對相關(guān)設(shè)備進(jìn)行測試驗(yàn)證。由資產(chǎn)管理員對硬件設(shè)備進(jìn)行 管理，明確設(shè)備管理職責(zé)。第十四條硬件資產(chǎn)的保存1、機(jī)房選址要避免在地下室、一樓（水淹和滲水）和頂層（滲水和失火時(shí)火向上燃燒），同時(shí)考慮相鄰樓層的活動（避免 熱源和滲水）；2、處理敏感數(shù)據(jù)的信息處理設(shè)施放在適當(dāng)安全的位置，以減少在設(shè)備在使用期間信息被窺視的風(fēng)險(xiǎn)，保護(hù)儲存設(shè)施以防止 未授權(quán)訪問；3、設(shè)備的選址應(yīng)采取控制措施以減小潛在的物理威脅的風(fēng)險(xiǎn)，例如偷竊、火災(zāi)、爆炸、煙霧、水（或供水故障）、溫度、濕 度、塵埃、振動、化學(xué)

34、影響、電源干擾、通信干擾、電磁輻射和 故意破壞；4、禁止在信息處理設(shè)施附近進(jìn)食、喝飲料和抽煙；5、對專門保護(hù)的部件要予以隔離，以滿足特殊安全要求；第十五條 硬件資產(chǎn)的日常使用安全1、所有的硬件資產(chǎn)必須明確設(shè)備的使用人員 /管理人員，明 確職責(zé)；2、硬件資產(chǎn)的使用人（或管理人），在使用或管理硬件資產(chǎn) 時(shí)，要注意硬件資產(chǎn)的安全性、機(jī)密性、完整性，防止信息載體 的毀壞和信息的泄密，防止信息處理設(shè)施的濫用；對設(shè)備定期進(jìn)行維護(hù)保養(yǎng)，發(fā)生毀壞，丟失等問題時(shí)能夠及 時(shí)處置；3、新硬件設(shè)備接入網(wǎng)絡(luò)按照相關(guān)規(guī)定處理；4、在人員上崗時(shí)，可根據(jù)需要為上崗人員配備必要的辦公 設(shè)備，包括電腦（筆記本或臺式機(jī)），電話機(jī)，

35、其它辦公用品；信 息中心根據(jù)該工作人員所處部門、 工作性質(zhì)為其設(shè)置相應(yīng)的辦公 網(wǎng)訪問權(quán)限；5、需要使用移動計(jì)算設(shè)備（包括筆記本、無線網(wǎng)卡、移動 硬盤和U盤）的用戶，應(yīng)得到信息中心負(fù)責(zé)人的同意后方可使用；6、對于無人職守的設(shè)備，要明確管理人員，加強(qiáng)物理安全 控制。第十六條硬件資產(chǎn)的轉(zhuǎn)移安全1、當(dāng)設(shè)備遷移時(shí)，必須先對設(shè)備中存儲的重要信息進(jìn)行備份；2、設(shè)備遷移完成后，必須檢查設(shè)備是否損壞；3、設(shè)備遷移出本單位時(shí)，設(shè)備中禁止存放重要信息，以防止機(jī)密信息泄露或泄露的風(fēng)險(xiǎn)增加。辦公地點(diǎn)外使用任何信息處理設(shè)備必須通過管理者授權(quán)。場外設(shè)備的保護(hù)要考慮下列內(nèi)容：1、離開本單位的設(shè)備和介質(zhì) （如現(xiàn)場的設(shè)備和介質(zhì)）

36、，必須 有人值守或委派負(fù)責(zé)人（或者公共場所放置的需要有人值守或監(jiān) 視系統(tǒng)）；2、制造商保護(hù)設(shè)備用的說明書要始終加以遵守，例如，防止暴露于強(qiáng)電磁場內(nèi)；3、根據(jù)風(fēng)險(xiǎn)的不同采取足夠的安全保障措施，以保護(hù)離開 辦公室設(shè)備的安全。第十七條硬件資產(chǎn)的處置和重用1、存儲設(shè)備銷毀前，必須確保所有存儲的敏感數(shù)據(jù)或授權(quán) 軟件已經(jīng)被移除或安全重寫；2、服務(wù)器、主要網(wǎng)絡(luò)設(shè)備的處置由信息中心進(jìn)行安全處置；3、臺式機(jī)、打印機(jī)、傳真機(jī)、掃描儀等IT設(shè)備的處置由信 息中心并做登記；4、如需報(bào)廢時(shí)，應(yīng)向主管部門提出報(bào)廢申請，經(jīng)批準(zhǔn)后報(bào) 廢。第二節(jié)軟件資產(chǎn)的使用和處置第十八條軟件資產(chǎn)的使用1、所有的軟件資產(chǎn)必須設(shè)置專人管理，明確

37、職責(zé)，避免軟 件資產(chǎn)的丟失，泄密；2、所有正版軟件實(shí)體由信息中心保管，在安裝軟件時(shí)要規(guī) 定使用權(quán)限，防止非授權(quán)訪問；3、按照系統(tǒng)運(yùn)行維護(hù)管理制度中“備份與恢復(fù)管理”章節(jié)要求，對重要系統(tǒng)進(jìn)行備份；4、當(dāng)人員離職或崗位變動，需要回收有關(guān)的軟件，必要時(shí)， 由信息中心技術(shù)人員對離職人員使用的軟件進(jìn)行卸載，刪除。第十九條 軟件資產(chǎn)的處置：對過時(shí)或確認(rèn)無效的軟件資產(chǎn)， 定期進(jìn)行清除。第三節(jié)電子數(shù)據(jù)的使用和處置第二十條電子數(shù)據(jù)的使用1、對所有電子數(shù)據(jù)進(jìn)行分類/分級，標(biāo)識未授權(quán)人員的訪問 限制，不同安全級別的數(shù)據(jù)應(yīng)存儲在不同的區(qū)域， 按類按級傳達(dá)， 便于信息的安全管理；2、不同類型的電子文件按照統(tǒng)一規(guī)律存放在

38、個(gè)人電腦或服 務(wù)器中，便于整理和查閱以及工作交接時(shí)轉(zhuǎn)移；3、所有電子文件保存在電腦或服務(wù)器中，并按照備份和恢復(fù)管理制度規(guī)定的備份頻率定期進(jìn)行備份；4、對于存于服務(wù)器上的電子數(shù)據(jù)的訪問，根據(jù)服務(wù)器提供 服務(wù)的不同與部門/職務(wù)的不同， 設(shè)置不同的訪問權(quán)限，避免非 授權(quán)訪問；5、對于內(nèi)部公開級別的電子信息，其使用要控制在內(nèi)部，禁止帶出；6、對于秘密級別以上的電子文件的處理過程，必須保障數(shù) 據(jù)的完整性、機(jī)密性和可用性；7、 對于秘密級別以上的電子文件的使用，系統(tǒng)應(yīng)進(jìn)行審計(jì)；8對于秘密級別以上的電子文件的傳輸，必須采取適當(dāng)?shù)?安全措施加以保護(hù)，如加密傳輸、分散傳輸?shù)龋?、在整理電腦中的電子數(shù)據(jù)時(shí)，要小心

39、操作，確認(rèn)后再進(jìn) 行處理，避免由于誤操作將有用的電子數(shù)據(jù)刪除。第四節(jié) 紙質(zhì)文檔的使用和處置第二十一條紙質(zhì)文檔的使用1、所有的秘密級以上的紙質(zhì)文件資料要（通過標(biāo)簽或其它 方式）標(biāo)識出資產(chǎn)的保密級別，分類存放，不同安全級別的紙質(zhì) 文件應(yīng)按類按級傳達(dá)，便于紙質(zhì)文件的安全管理；2、對于比較重要的紙質(zhì)文件（機(jī)密級別以上）必須保存在 帶鎖的文件柜或保險(xiǎn)柜中，鑰匙由專人保管；3、對于紙質(zhì)文件的保存期限依據(jù)實(shí)際要求制定和實(shí)施；4、對于比較重要的紙質(zhì)文件的使用過程，必須注意信息的 保密，確保信息的完整性和可用性；5、對于比較重要的紙質(zhì)文件的傳輸，必須采取適當(dāng)?shù)陌踩?措施加以保護(hù)，如專人遞送、分散傳輸?shù)?。第二十?/p>

40、條紙質(zhì)文檔的處置1、實(shí)體數(shù)據(jù)資料達(dá)到保存期限后，必須將其撕毀或者粉碎 到讀不出來為止，避免實(shí)體數(shù)據(jù)資料的泄密；2、對于重要紙質(zhì)文件的銷毀，如財(cái)務(wù)紙質(zhì)文件，要求兩人以上在場，防止信息的泄密。第五節(jié) 人員招調(diào)、在職、離職第二十三條所有人員的招調(diào)、在職、離職安全管理按照用 戶管理制度的要求進(jìn)行實(shí)施。第六節(jié)服務(wù)性資產(chǎn)的使用和處置第二十四條 所有服務(wù)性資產(chǎn)要設(shè)置專人管理，定期維護(hù)， 避免損壞、非授權(quán)使用或丟失。涉及服務(wù)性的合同，相關(guān)管理部 門在簽署合同時(shí)，應(yīng)審核涉及信息保密的相關(guān)條款。第二十五條 當(dāng)服務(wù)性設(shè)施損壞，如果可以維修，由負(fù)責(zé)人 聯(lián)絡(luò)相關(guān)人員進(jìn)行維修，如果涉及到第三方，依據(jù)用戶管理制 度對第三方

41、進(jìn)行管理。第二十六條 當(dāng)服務(wù)性設(shè)施損壞，不可維修，只能報(bào)廢時(shí)， 應(yīng)聯(lián)絡(luò)相關(guān)管理部門提出報(bào)廢申請。第五章 安全設(shè)備管理第一節(jié)設(shè)備的選型第二十七條嚴(yán)禁采購和使用未獲得銷售許可證的信息安 全產(chǎn)品。第二十八條 應(yīng)優(yōu)先采用我國自主開發(fā)研制的信息安全技 術(shù)和設(shè)備。第二十九條 避免采用境外的密碼設(shè)備。第三十條 如需米用境外信息安全產(chǎn)品時(shí)， 必須確保產(chǎn)品獲 得我國權(quán)威機(jī)構(gòu)的認(rèn)證測試和銷售許可證。第三十一條 使用經(jīng)國家密碼管理部門批準(zhǔn)和認(rèn)可的國內(nèi) 密碼技術(shù)及相關(guān)產(chǎn)品。第三十二條 終端物理隔離必須使用國家保密局認(rèn)可的隔 離卡或采用國家保密局認(rèn)可的其他方式。第二節(jié)設(shè)備檢測第三十三條 信息系統(tǒng)中的所有安全設(shè)備必須符合

42、中華人 民共和國國家標(biāo)準(zhǔn) 數(shù)據(jù)處理設(shè)備的安全、電動辦公機(jī)器的安 全中規(guī)定的要求，其電磁輻射強(qiáng)度、可靠性及兼容性也必須符合安全管理等級要求。第三節(jié)設(shè)備安裝第三十四條設(shè)備符合系統(tǒng)選型要求并獲得批準(zhǔn)后，方可購 置安裝。第三十五條 凡購回的設(shè)備均須在測試環(huán)境下經(jīng)過連續(xù)72小時(shí)以上的單機(jī)運(yùn)行測試和聯(lián)機(jī) 48小時(shí)的應(yīng)用系統(tǒng)兼容性運(yùn)行 測試。第三十六條主機(jī)、服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等上架運(yùn) 行前必須通過安全檢測，禁止安裝有默認(rèn)操作系統(tǒng)的主機(jī)、服務(wù) 器直接接入系統(tǒng)。第三十七條 通過上述測試后，設(shè)備進(jìn)入試運(yùn)行階段，試運(yùn) 行時(shí)間的長短根據(jù)業(yè)務(wù)需要動態(tài)設(shè)定。第三十八條通過試運(yùn)行的設(shè)備才能接入生產(chǎn)系統(tǒng)，正式運(yùn)行。第

43、四節(jié)設(shè)備登記第三十九條對所有設(shè)備均應(yīng)建立嚴(yán)格完整的購置、移交、 使用、維護(hù)、維修和報(bào)廢等記錄，認(rèn)真做好資產(chǎn)登記和管理工作， 保證設(shè)備管理的正規(guī)化。第五節(jié)設(shè)備使用管理第四十條 每臺設(shè)備的使用均應(yīng)指定專人負(fù)責(zé)并建立詳細(xì) 的運(yùn)行日志。第四十一條 由責(zé)任人負(fù)責(zé)進(jìn)行設(shè)備的日常清洗及定期保 養(yǎng)維護(hù)，做好維護(hù)記錄，保證設(shè)備處于最佳狀態(tài)。第四十二條 保證設(shè)備在其適宜的使用環(huán)境下工作。第四十三條一旦設(shè)備出現(xiàn)故障，管理員如實(shí)填寫故障報(bào)告， 通知有關(guān)人員處理。第六節(jié)設(shè)備維修管理第四十四條 設(shè)備由專人負(fù)責(zé)維修，并建立滿足正常運(yùn)行最 低要求的易損件的備件庫。第四十五條 根據(jù)每臺設(shè)備的使用情況及系統(tǒng)的可靠性等級，制定預(yù)防

44、性維修計(jì)劃。第四十六條 對系統(tǒng)進(jìn)行維修時(shí)必須采取數(shù)據(jù)保護(hù)措施，安全設(shè)備維修時(shí)應(yīng)有安全管理員在場。第四十七條 對設(shè)備進(jìn)行維修時(shí)必須記錄維修對象、故障原因、排除方法、主要維修過程及維修有關(guān)情況等。第四十八條 對設(shè)備應(yīng)規(guī)定折舊期，設(shè)備到了規(guī)定使用年限 或因嚴(yán)重故障不能恢復(fù)，由專業(yè)技術(shù)人員對設(shè)備進(jìn)行鑒定和殘值 估價(jià)，并對設(shè)備情況進(jìn)行詳細(xì)登記，提出報(bào)告書和處理意見，由 主管領(lǐng)導(dǎo)和上級主管部門批準(zhǔn)后方能進(jìn)行報(bào)廢處理。第七節(jié)設(shè)備儲存管理第四十九條 設(shè)備儲存環(huán)境應(yīng)符合出廠標(biāo)稱要求。第五十條 建立詳細(xì)的設(shè)備進(jìn)出庫、領(lǐng)用和報(bào)廢登記。第五十一條必須定期對儲存設(shè)備進(jìn)行清潔、核查及通電檢第五十二條安全產(chǎn)品及保密設(shè)備必須

45、單獨(dú)儲存并有相應(yīng) 的保護(hù)措施。第六章 附則第五十三條 本制度由信息中心負(fù)責(zé)解釋。第五十四條 本制度自發(fā)布之日起生效執(zhí)行。附件1鹽田區(qū)內(nèi)（外）網(wǎng)PC資產(chǎn)信息表序號計(jì)算機(jī)名內(nèi)（外）網(wǎng)IP地址MAC地 址房間號使用人單位附件2鹽田區(qū)信息中心服務(wù)器內(nèi)外網(wǎng) IP對應(yīng)表序號服務(wù)器名稱描述計(jì)算機(jī)名內(nèi)網(wǎng)IP地址公網(wǎng)IP地址MAC地 址物理位置附件3安全產(chǎn)品清單序號產(chǎn)品名稱生產(chǎn)廠商產(chǎn)品用途部署位置備注五、信息系統(tǒng)用戶管理制度第一章 范圍及職責(zé)第一條 本制度適用于信息系統(tǒng)用戶的管理，包括：崗位配 置原則、人員錄用及調(diào)（離）崗、授權(quán)管理、安全培訓(xùn)教育、第 三方人員管理。第二條信息中心負(fù)責(zé)信息系統(tǒng)用戶管理制度的制定和

46、修 訂。第二章崗位配置原則第三條根據(jù)信息系統(tǒng)職能要求，結(jié)合信息部門實(shí)際情況進(jìn) 行人員配備，權(quán)限、職能不同的角色必須分離，避免權(quán)責(zé)不清、 責(zé)任不明確的現(xiàn)象發(fā)生。 原則上互斥、不兼容的職能角色必須分 離，要求如下：1、業(yè)務(wù)操作人員必須與系統(tǒng)開發(fā)人員分離。2、業(yè)務(wù)操作人員必須與系統(tǒng)維護(hù)人員分離。3、審計(jì)人員必須與系統(tǒng)開發(fā)人員分離。4、審計(jì)人員必須與系統(tǒng)維護(hù)人員分離。5、審計(jì)人員必須與業(yè)務(wù)操作人員分離。6、同一系統(tǒng)的數(shù)據(jù)庫維護(hù)人員必須與應(yīng)用系統(tǒng)維護(hù)人員分 離。第四條 重要崗位實(shí)施A、B角制度，在合理設(shè)置工作崗位、 完善工作職責(zé)的基礎(chǔ)上， 在相近崗位之間，實(shí)行頂崗或互為備崗 的制度，能及時(shí)處理緊急任務(wù)。

47、第五條為確保信息安全工作的順利開展，保障信息系統(tǒng)的 正常運(yùn)行，須設(shè)置安全管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、機(jī)房管理員、安全審計(jì)員和信息審查員并明確其工作職責(zé)，且安全管理員由單位主要負(fù)責(zé)人擔(dān)任。第三章 人員錄用及調(diào)離第六條 相關(guān)信息安全職責(zé)在崗位說明書中予以明確， 各部 門負(fù)責(zé)人根據(jù)已批準(zhǔn)的崗位說明書和部門人員配置要求， 填寫相 關(guān)申請，統(tǒng)一招調(diào)。第七條所有信息系統(tǒng)相關(guān)崗位均要簽署保密協(xié)議，關(guān)鍵崗位人員必須從內(nèi)部人員中選拔。第八條 對被錄用人的身份、背景、專業(yè)資格和資質(zhì)等進(jìn)行 審查，當(dāng)人員處理涉密信息或涉及高敏感性的信息或擔(dān)負(fù)重要崗 位時(shí)，應(yīng)進(jìn)行更嚴(yán)格的政審。第九條人員調(diào)離時(shí)必須更換或歸還之前發(fā)放

48、的身份證件、 鑰匙、單位提供的軟硬件設(shè)備及文檔資料等資產(chǎn)，并辦理詳盡的交接手續(xù)。第十條人員調(diào)離時(shí)必須終止其所有的訪問權(quán)限，涉及相關(guān)信息系統(tǒng)賬號、口令時(shí)，先采取更換密碼或凍結(jié)賬號的措施，避 免直接刪除賬號。第十一條 人員調(diào)（離）崗時(shí)必須簽署保密承諾書，承諾在 調(diào)（離）崗后根據(jù)保密承諾書的內(nèi)容履行相關(guān)的保密責(zé)任和義務(wù)， 涉密人員實(shí)行脫密期管理制度。第十二條 對未辦理正常交接手續(xù)離崗的人員，及時(shí)進(jìn)行信息安全風(fēng)險(xiǎn)評估并由專人跟進(jìn)處理， 保證信息系統(tǒng)的安全和業(yè)務(wù) 連續(xù)性。第十三條建立完善的獎懲機(jī)制，對違反信息安全策略或規(guī) 定的人員，給予正式紀(jì)律處理，對信息安全工作表現(xiàn)突優(yōu)異的人 員，給予適當(dāng)激勵(lì)。第四章

49、 人員培訓(xùn)第十四條 所有工作人員必須進(jìn)行上崗培訓(xùn)， 培訓(xùn)內(nèi)容包括 崗位安全、信息系統(tǒng)應(yīng)用、行政制度、獎懲條例等內(nèi)容。培訓(xùn)完 成后組織上崗考試，通過考試后才能被錄用，確保工作能夠勝任。第十五條 根據(jù)各個(gè)崗位安全意識教育、 崗位技能培訓(xùn)和相 關(guān)安全技術(shù)需求制定培訓(xùn)計(jì)劃，定期進(jìn)行安全教育和培訓(xùn)。第十六條對安全教育和培訓(xùn)的情況和結(jié)果進(jìn)行記錄并歸 檔保存。第五章內(nèi)外部溝通第十七條 與市里信息管理部門、信息服務(wù)商和電信運(yùn)營商 保持適當(dāng)聯(lián)系，確保在發(fā)生安全事故時(shí)能夠得到及時(shí)響應(yīng)及必要 幫助及協(xié)助查處危害內(nèi)部信息安全的違法犯罪案件。第十八條 應(yīng)該積極參加組織間信息安全方面的技術(shù)交流。 第六章 第三方人員管理第

50、十九條 第三方人員對敏感的信息資產(chǎn)進(jìn)行訪問之前，必須簽訂保密協(xié)議或正式的合同； 在協(xié)議及合同中應(yīng)該明確第三方 人員的安全責(zé)任和必須遵守的安全要求以及違反要求的處罰，對允許訪問的區(qū)域、系統(tǒng)、設(shè)備、信息等內(nèi)容應(yīng)有明確的規(guī)定。第二十條需要訪問我單位信息系統(tǒng)的第三方人員必須得 到有關(guān)領(lǐng)導(dǎo)和部門的許可和授權(quán)， 其訪問權(quán)限必須得到嚴(yán)格限制。 第三方人員使用的工具還要經(jīng)相關(guān)部門的檢查。第二一條與第三方人員共同協(xié)定現(xiàn)場工作規(guī)范并按照該規(guī)范實(shí)施管理、低風(fēng)險(xiǎn)。落實(shí)代維人員或終端責(zé)任人全程陪同策略以降第二十二條訪問者的身份。第三方人員在進(jìn)行遠(yuǎn)程訪問之前，要嚴(yán)格鑒定第二十三條負(fù)責(zé)第三人員接待和管理的部門在第三方人員結(jié)

51、束訪問之后， 限。要及時(shí)收回相關(guān)物品、 資料和取消相關(guān)訪問權(quán)第二十四條負(fù)責(zé)第三方人員接待和管理的人員應(yīng)該要受到相關(guān)培訓(xùn)，有良好的安全意識和風(fēng)險(xiǎn)識別能力。第二十五條定期與第三方公司管理層檢討工作開展情況， 以提高服務(wù)質(zhì)量。第七章 附則第二十六條 本制度由信息中心負(fù)責(zé)解釋。第二十七條 本制度自發(fā)布之日起生效執(zhí)行。附件1在崗人員安全保密責(zé)任書為做好本單位的保密工作，確保單位敏感信息和國家秘密 的安全，特制定本保密責(zé)任書。一、個(gè)人信息提供本人保證，涉密資格審查時(shí)提供的所有個(gè)人信息都是真實(shí) 的，沒有任何虛假、偽造或隱瞞。二、崗位職責(zé)（一）積極參加保密教育和培訓(xùn)，認(rèn)真學(xué)習(xí)、掌握并嚴(yán)格 執(zhí)行保密法律、法規(guī)、規(guī)章和本單位、本部門的保密規(guī)定；（二）負(fù)責(zé)所在涉密場所保密安全防范措施的執(zhí)行并確保 落實(shí)；（三）嚴(yán)格護(hù)照保密工作部門有關(guān)手機(jī)使用保密管理規(guī)定 的要求使用和管理手機(jī)。三、行為規(guī)范本人保證，不得做出下列行為：（一）以任何方式非法向知悉范圍以外的人員泄露