信息安全管理體系制度匯編V10

1、信息安全管理體系制度匯編V1.0信息安全管理體系匯編（第一版）網(wǎng)絡(luò)運營中心監(jiān)制乂乂年3月目錄目錄 信息安全工作指導(dǎo)方針I(yè)信息安全工 作流程圖II信息安全工作示意圖III信息安全管理體系框架IV 信息安全工作總體方針1第一章總則1第二章總體安全方針1第三章總體安全目標(biāo)1第四章安全工作原則1第五章安全工作要求2第六章安全組織保障3第七章附則4架構(gòu)與安全委員會章程5第一章總則5第二章組織結(jié)構(gòu)5第三章架構(gòu)與安全委員會6第四章信息安全實施小組7第五章例會制度9第六章附則10附件11附件1：架構(gòu)與安全委員會名單11 附件2：架構(gòu)與安全委員會例會紀(jì)要12信息系統(tǒng)安全管理制度13第一章總則13第二章信息系統(tǒng)安

2、全管理13第三章數(shù)據(jù)中心機房安全管理14第四章網(wǎng)絡(luò)安全管理14第五章系統(tǒng)安全管理15第六章應(yīng)用安全管理15第七章數(shù)據(jù)安全管理15第八章信息系統(tǒng)建設(shè)安全管理16第九章信息系統(tǒng)變更安全管理16第章信息系統(tǒng)運維安全管理16第一章信息系統(tǒng)安全事件管理17第二章信息安全檢查與審計管理17第三章信息系統(tǒng)風(fēng)險評估管理17第四章信息系統(tǒng)安全應(yīng)急預(yù)案17第五章業(yè)務(wù)連續(xù)性與災(zāi)難恢復(fù)管理18第六章信息系統(tǒng)安全值守巡檢規(guī)范18第七章附則18信息系統(tǒng)日常安全管理規(guī)范19第一章總則19第二章信息系統(tǒng)日常管理19第三章人員安全管理20第四章第三方人員安全管理制度20第五章信息資產(chǎn)安全管理制度20第六章辦公設(shè)備安全管理制度2

3、0第七章桌面終端安全管理21第八章介質(zhì)安全管理21第九章附則21數(shù)據(jù)中心機房管理制度22第一章總則22第二章機房出入管理22第三章機房操作管理24第四章機房設(shè)備管理24第五章附則25附件26附件1：機房人員、設(shè)備進出申請表 26附件2：數(shù)據(jù)中心維護工作登記表27網(wǎng)絡(luò)安全管理制度29第一章總則29第二章管理職責(zé)29第三章網(wǎng)絡(luò)架構(gòu)安全29第四章網(wǎng)絡(luò)配置安全30第五章網(wǎng)絡(luò)運維安全32第六章附則34系統(tǒng)安全管理制度35第一章總則35第二章管理職責(zé)35第三章系統(tǒng)配置安全35第四章系統(tǒng)運維安全36第五章附則37應(yīng)用安全管理制度38第一章總則38第二章身份鑒別38第三章WEB頁面安全39第四章訪問控制39第

4、五章安全審計40第六章過期信息、文檔處理40第七章資源控制40第八章應(yīng)用容錯40第九章報文完整性41第章報文保密性41第一章抗抵賴41第二章編碼安全41第三章電子認證應(yīng)用41第四章附則42數(shù)據(jù)安全管理制度43第一章總則43第二章數(shù)據(jù)分級43第三章數(shù)據(jù)傳輸安全44第四章數(shù)據(jù)存儲安全44第五章數(shù)據(jù)變更安全45第六章數(shù)據(jù)訪問安全46第七章數(shù)據(jù)備份安全46第八章數(shù)據(jù)恢復(fù)安全47第九章數(shù)據(jù)銷毀安全48第章密碼和密鑰安全48第一章附則50附件51附件1：備份記錄51附件2：備份計 劃表52附件3：備份數(shù)據(jù)可用性測試申請表53附件4：備份數(shù) 據(jù)可用性測試記錄54附件5：數(shù)據(jù)恢復(fù)申請表55業(yè)務(wù)系統(tǒng)建設(shè) 安全管

5、理制度56第一章總則56第二章總體安全要求56第三章業(yè)務(wù)系統(tǒng)研發(fā)、測試56第四章業(yè)務(wù)系統(tǒng)上線57第五章附則59附件60附件1：新業(yè)務(wù)上線申請表60信息 系統(tǒng)變更安全管理制度61第一章總則61第二章變更分類61第三章變更管理流程61第四章附則64附件65附件1：變更申請表65附件2：變 更記錄表66信息系統(tǒng)運維安全管理制度67第一章總則67第二章日常巡檢67第三章信息系統(tǒng)運維賬號管理68第四章安全監(jiān)控與入侵防范管理70第五章惡意代碼防范70第六章附則71附件72附件1：信息系統(tǒng)運維賬號申請表72信息系統(tǒng)安全事件管理制度73第一章總則73第二章安全事件定義73第三章安全事件分級77第四章安全事件處

6、理79第五章附則80附件81附件1：故障記錄登記表81附件 2：故障記錄匯總審批表82信息安全檢查與審計管理制度83第一章總則83第二章安全檢查與審計內(nèi)容83第三章全面安全檢查與審計流程85第四章附則87突發(fā)業(yè)務(wù)高可用性管理制度89第一章總則89第二章管理職責(zé)89第三章技術(shù)保障89第四章突發(fā)業(yè)務(wù)高可用性管理90第五章附則93附件94附件1：突發(fā)業(yè)務(wù)高可用性影響分析 報告94附件2：突發(fā)業(yè)務(wù)高可用性實施計劃95附件3：突發(fā)業(yè) 務(wù)高可用性實施計劃測試報告96附件4：突發(fā)業(yè)務(wù)高可用性實施 計劃評審報告97信息系統(tǒng)安全應(yīng)急預(yù)案98第一章總則98第二章組織和職責(zé)98第三章事件分類98第四章機房故障應(yīng)急預(yù)

7、案99第五章業(yè)務(wù)系統(tǒng)故障應(yīng)急預(yù)案100第六章應(yīng)急處理保障101第七章應(yīng)急處理培訓(xùn)及演練101第八章附則102信息系統(tǒng)風(fēng)險評估管理規(guī)范103第一章總則103第二章風(fēng)險的概念103第三章風(fēng)險評估職責(zé)104第四章風(fēng)險評估過程104第五章附則107信息系統(tǒng)安全值守巡檢規(guī)范108第一章總則108第二章組織和職責(zé)108第三章機房安全值守108第四章辦公室安全值守109第五章附則110人員安全管理制度111第一章總則111第二章人員錄用111第三章人員調(diào)/離崗112第四章信息安全意識教育112第五章人員考核112第六章附則113附件114附件1：保密協(xié)議書114附件2： 培訓(xùn)記錄單119第三方人員安全管理制

8、度120第一章總則120第二章第三方人員安全管理120第三章第三方人員安全操作120第四章附則121附件122附件1：第三方人員訪問申請流程 122附件2：第三方人員入網(wǎng)申請表123信息資產(chǎn)安全管理制度 124第一章總則124第二章信息資產(chǎn)分類124第三章信息資產(chǎn)分級124第四章信息資產(chǎn)管理125第五章信息資產(chǎn)盤點126第六章附則126附件128附件1：信息資產(chǎn)保密性賦值定義 128附件2：信息資產(chǎn)完整性賦值定義129附件3：信息資產(chǎn)可用 性賦值定義130附件4：信息資產(chǎn)清單131辦公設(shè)備安全管理制 度132第一章總則132第二章管理職責(zé)132第三章設(shè)備申請采購管理132第四章設(shè)備使用維護管理

9、133第五章設(shè)備維修報廢管理136第六章附則136附件137附件1：辦公設(shè)備申請采購工作流 程137附件2：辦公設(shè)備領(lǐng)用工作流程138附件3：辦公設(shè)備調(diào) 撥工作流程139附件4：辦公設(shè)備維修報廢流程140附件5：辦 公設(shè)備領(lǐng)用單141附件6：辦公設(shè)備調(diào)撥申請表142附件7：辦 公設(shè)備送外維修申請表143桌面終端安全管理制度144第一章總則144第二章員工桌面終端安全要求144第三章桌面終端初始配置145第四章桌面終端接入網(wǎng)絡(luò)145第五章桌面終端日常使用146第六章桌面終端連接互連網(wǎng)148第七章桌面終端維修報廢149第八章附則149介質(zhì)安全管理制度150第一章總則150第二章介質(zhì)保管150第三章

10、介質(zhì)使用與維護150第四章介質(zhì)維修與銷毀151第五章附則152附件153附件1：介質(zhì)目錄清單153附件 2：介質(zhì)申請表154附件3：介質(zhì)送外維修申請表155附件4：介 質(zhì)移交單156附件5：介質(zhì)銷毀清單157附件6：保密介質(zhì)銷毀 申請表158網(wǎng)絡(luò)運營中心監(jiān)制信息安全工作指導(dǎo)方針信息安全 工作指導(dǎo)方針網(wǎng)絡(luò)運營中心監(jiān)制IV信息安全工作流程圖信息 安全工作流程圖信息安全工作示意圖信息安全工作示意圖信息 安全管理體系框架信息安全管理體系框架信息安全工作總體方 針信息安全工作總體方針第一章總則第一條為給集團信息安全工作提供清晰的指導(dǎo)方向，加強信 息安全管理，保證業(yè)務(wù)系統(tǒng)的安全運行，提高服務(wù)質(zhì)量，特制定

11、本方針。第二條信息安全工作是集團運營發(fā)展的基礎(chǔ)，是保障網(wǎng)絡(luò)質(zhì) 量，保護客戶利益的基礎(chǔ)，因此必須重視信息安全工作。第三條信息安全是集團各部門所有員工共同分擔(dān)的責(zé)任，與 每一位員工的日常工作息息相關(guān)，所有員工必須提高認識，高度 重視，從自己開始，堅持不懈地做好信息安全工作。第四條本方針適用于集團全體員工。第二章 總體安全方針第五條集團信息安全應(yīng)堅持“信息安全與業(yè)務(wù)并重，安全管 理與技術(shù)并重”的總體方針，實現(xiàn)信息系統(tǒng)安全可查、可視、可 控。依照“分區(qū)、分級、分域”的總體安全防護策略，執(zhí)行信息 系統(tǒng)安全防護。第三章總體安全目標(biāo)第六條集團的信息安全目標(biāo)是：一、保障信息系統(tǒng)安全穩(wěn)定運行，保證業(yè)務(wù)連續(xù)性；二

12、、保護客戶隱私，保障客戶資料的機密性，維護客戶的利三、保護集團的商業(yè)機密和技術(shù)機密，維護集團的利益；四、建立集團的信息安全體系，確保信息資產(chǎn)的安全可靠。第四章安全工作原則第七條安全工作應(yīng)遵循以下基本原則：一、“分級保護”原則：應(yīng)根據(jù)各業(yè)務(wù)系統(tǒng)的重要程度以及 面臨的風(fēng)險大小等因素決定各類信息的安全保護級別，分級保護，合理投資。二、“同步規(guī)劃、同步建設(shè)、同步運行”原則：安全建設(shè)應(yīng) 與業(yè)務(wù)系統(tǒng)同步規(guī)劃、同步建設(shè)、同步運行，在任何一個環(huán)節(jié)的 疏忽都可能給業(yè)務(wù)系統(tǒng)帶來危害。三、“三分技術(shù)、七分管理”原則：信息安全不是單純的技 術(shù)問題，需要在采用安全技術(shù)和產(chǎn)品的同時，重視安全管理，不 斷完善各類安全管理規(guī)

13、章制度和操作規(guī)程，全面提高安全管理水 平。四、“內(nèi)外并重”原則：安全工作需要做到內(nèi)外并重，在防 范外部威脅的同時，加強規(guī)范內(nèi)部人員行為和審計機制。五、“整體規(guī)劃，分步實施”原則：需要對集團信息安全建 設(shè)進行整體規(guī)劃，分步實施，逐步建立完善的信息安全體系。六、“風(fēng)險管理”原則：進行安全風(fēng)險管理，確認可能影響 信息系統(tǒng)的安全風(fēng)險，并以較低的成本將其降低到可接受的水 平。七、“適度安全”原則：沒有絕對的安全，安全和易用性是 矛盾的，需要做到適度安全，找到安全和易用性的平衡點。第五章安全工作要求第八條集團必須建立和完善信息安全管理規(guī)章制度和操作程 序，規(guī)范和加強信息安全管理工作，所有員工都必須遵守與其

14、相 關(guān)的信息安全規(guī)章制度。第九條加強內(nèi)部人員安全管理，依據(jù)最小特權(quán)原則清晰劃分 崗位，在所有崗位職責(zé)中明確信息安全責(zé)任，要害工作崗位實現(xiàn) 職責(zé)分離，關(guān)鍵事務(wù)雙人臨崗，重要崗位要有人員備份。第條各部門必須加強信息資產(chǎn)管理，建立和維護信息資產(chǎn)清 單，建立信息資產(chǎn)責(zé)任制，對信息資產(chǎn)進行分類管理和貼標(biāo)簽。第一條加強系統(tǒng)建設(shè)的安全管理，配套安全系統(tǒng)必須與業(yè)務(wù) 系統(tǒng)“同步規(guī)劃、同步建設(shè)、同步運行”，加強安全規(guī)劃、安全 審批、安全驗收管理。第二條 建立維護作業(yè)計劃，嚴格執(zhí)行維護作業(yè)計劃，加強對 網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)的運行監(jiān)控，編寫日常 運行維護報告。第三條部署網(wǎng)絡(luò)層面和系統(tǒng)層面的訪問控制、安

15、全審計以及 安全監(jiān)控技術(shù)措施，保障業(yè)務(wù)系統(tǒng)的安全運行。第四條 建立日常維護操作手冊和變更控制流程，規(guī)范日常運 行維護操作，嚴格控制和審批任何變更行為，加強機房和辦公區(qū) 域的安全管理，為業(yè)務(wù)系統(tǒng)的正常運行提供物理和環(huán)境安全保 障。第五條增強主機系統(tǒng)的安全配置，定期進行安全評估和安全 加固，加強防范惡意軟件，定期更新病毒特征代碼，及時報告發(fā) 現(xiàn)的病毒。所有Windows操作系統(tǒng)的電腦必須及時進行補丁升 級。第六條制定各業(yè)務(wù)系統(tǒng)的應(yīng)急方案，定期更新、維護和測 試，做好數(shù)據(jù)備份工作，確保出現(xiàn)故障時數(shù)據(jù)能夠及時恢復(fù)，保 證數(shù)據(jù)的安全。第七條 加強用戶賬號和權(quán)限管理，按照最小特權(quán)原則為用戶 分配權(quán)限，避免

16、出現(xiàn)共用賬號的情況。第八條加強用戶口令的管理，口令長度至少8位，并采用數(shù) 字、字母和特殊字符的組合，定期修改用戶口令。第九條加強應(yīng)用系統(tǒng)的安全管理，包括軟件開發(fā)安全管理、 投產(chǎn)測試和上線安全管理、應(yīng)用軟件版本和配置管理，加強外包 開發(fā)的業(yè)務(wù)系統(tǒng)軟件的安全管理。第二條加強第三方訪問和外包服務(wù)的安全控制，在風(fēng)險評估 的基礎(chǔ)上制定安全控制措施，并與第三方集團和外包服務(wù)集團簽 署安全責(zé)任協(xié)議，明確其安全責(zé)任。第二一條所有員工都應(yīng)簽署保密協(xié)議，并接受信息安全教育 培訓(xùn)，提高安全意識，及時報告信息安全事件。第六章安全組織保障第二二條架構(gòu)與安全委員會是集團管理委員會領(lǐng)導(dǎo)下的IT 服務(wù)管理的安全監(jiān)督機構(gòu)，下設(shè)

17、信息安全實施小組，全面負責(zé)集 團信息安全的各項工作。第二三條架構(gòu)與安全委員會負責(zé)集團信息安全相關(guān)的技術(shù)指 導(dǎo)和管理工作，定期向管理委員會匯報集團網(wǎng)絡(luò)與信息安全現(xiàn)狀；負責(zé)根據(jù)集團的智慧大北農(nóng)平臺 戰(zhàn)略建立網(wǎng)絡(luò)與信息安全管理體系工作規(guī)劃。第二四條信息安全實施小組由信息安全部、網(wǎng)絡(luò)運維部、技 術(shù)中心安全相關(guān)人員以及外部組織技術(shù)人員組成，是集團信息安 全的具體實施組織，信息安全部負責(zé)根據(jù)架構(gòu)與安全委員會的各 項決策提出具體解決方案并組織實行，制定并落實集團的信息安 全管理體系規(guī)范，并為委員會決策提供真實、有效的信息安全數(shù) 據(jù)。小組其他部門負責(zé)配合信息安全部完成委員會各項信息安全 決策的具體落實。第七章

18、附則第二五條本方針的制定和修改需要經(jīng)架構(gòu)與安全委員會成員 討論通過后，管理委員會批準(zhǔn)之日起生效。第二六條本方針解釋權(quán)屬架構(gòu)與安全委員會。網(wǎng)絡(luò)運營中心監(jiān)制26架構(gòu)與安全委員會章程架構(gòu)與安全委 員會章程第一章總則第一條為了加強集團信息安全保障能力，建立健全集團的安 全管理體系，提高整體的網(wǎng)絡(luò)與信息安全水平，保證網(wǎng)絡(luò)通信暢 通和業(yè)務(wù)系統(tǒng)的正常運營，提高網(wǎng)絡(luò)服務(wù)質(zhì)量，經(jīng)集團批準(zhǔn)設(shè)立 架構(gòu)與安全委員會。第二條架構(gòu)與安全委員會（以下簡稱“委員會”）是集團管 理委員會領(lǐng)導(dǎo)下的IT服務(wù)管理的安全監(jiān)督機構(gòu)，負責(zé)集團信息安 全相關(guān)的技術(shù)指導(dǎo)和管理工作，定期向管理委員會匯報集團網(wǎng)絡(luò)與信息安全現(xiàn)狀；負責(zé)根據(jù)集團的智慧

19、大北農(nóng)平臺 戰(zhàn)略建立網(wǎng)絡(luò)與信息安全管理體系工作規(guī)劃。第三條委員會的宗旨是集中團隊力量，落實集團信息化發(fā)展 戰(zhàn)略，建立統(tǒng)一的IT管理體系，規(guī)范IT管理制度，合理配置IT 資源，優(yōu)化IT體系結(jié)構(gòu)，更好地為集團業(yè)務(wù)發(fā)展服務(wù)。第二章組織結(jié)構(gòu)第四條委員會下設(shè)信息安全實施小組，由網(wǎng)絡(luò)運營中心、技 術(shù)中心、外部組織等安全相關(guān)人員組成，是集團信息安全的具體 實施組織，負責(zé)信息系統(tǒng)日常的運維安全和安全管理體系的具體 落實。第五條委員會成員由集團管理委員會指派，每屆任期為1 年。詳細人員名單見附件一。第六條信息安全實施小組組織架構(gòu)如下圖所示：第三章 架構(gòu)與安全委員會第七條架構(gòu)與安全委員會職責(zé)如下：一、負責(zé)集團信息

20、安全相關(guān)的技術(shù)指導(dǎo)和管理工作,定期向 集團管理委員會匯報集團網(wǎng)絡(luò)與信息安全現(xiàn)狀；二、負責(zé)根據(jù)集團的智慧大北農(nóng)平臺戰(zhàn)略，制定網(wǎng)絡(luò)與信息 安全體系的發(fā)展規(guī)劃，并根據(jù)規(guī)劃的內(nèi)容向集團管理委員會提交 安全建議和方案；三、根據(jù)國家信息安全管理的相關(guān)法律法規(guī)和制度，建立和 健全集團的信息安全管理體系；四、根據(jù)集團信息安全管理體系要求，組織落實信息安全管 理制度規(guī)范，并定期評審制度規(guī)范的落實情況；五、根據(jù)集團信息安全管理體系要求，定期組織開展信息系 統(tǒng)安全檢查，及時預(yù)見潛在的重大信息安全風(fēng)險并向集團管理委 員會提交防范建議；六、負責(zé)集團重點網(wǎng)絡(luò)與信息安全項目的 審議與決策；七、負責(zé)集團信息安全相關(guān)問題的對內(nèi)

21、及對外的 協(xié)調(diào)工作。協(xié)調(diào)內(nèi)部實施小組各部門成員處理集團信息安全工作 中的各項安全事件和安全問題，在遭遇重大安全事件內(nèi)部無法解 決時協(xié)調(diào)外部技術(shù)人員協(xié)助處理問題；八、負責(zé)定期組織技術(shù) 人員進行信息安全方面的培訓(xùn)和學(xué)習(xí)。第四章信息安全實施小組第八條信息安全實施小組是集團信息安全的具體實施組織， 下設(shè)的信息安全部是集團信息安全實際管理執(zhí)行部門，小組其他 部門人員負責(zé)配合信息安全部完成委員會各項信息安全決策的具 體落實。第九條信息安全實施小組職責(zé)如下：一、負責(zé)集團信息安全工作的具體實施落實；二、負責(zé)制定并不斷改進集團的信息安全管理體系制度規(guī) 范，提交給委員會進行審核；三、負責(zé)落實集團的信息安全管理體系

22、制度規(guī)范，并針對落 實過程中出現(xiàn)的不合理之處及時修訂安全管理體系制度規(guī)范；四、負責(zé)落實集團的信息安全檢查工作，實施內(nèi)部安全檢查 審計或協(xié)助第三方人員實施安全評估工作；五、負責(zé)協(xié)助第三方人員實施重大網(wǎng)絡(luò)與安全項目，保障項 目順利實施；六、負責(zé)制定集團信息系統(tǒng)日常安全運行維護的 工作流程和操作手冊，監(jiān)控信息系統(tǒng)日常的安全運行，保障信息 系統(tǒng)安全穩(wěn)定運行；七、負責(zé)集團信息安全事件的應(yīng)急響應(yīng)處 理；八、負責(zé)定期參與集團組織的技術(shù)培訓(xùn)和信息安全培訓(xùn)。第條 實施小組各成員工作職責(zé)如下：一、網(wǎng)絡(luò)安全工程師工作職責(zé)：n負責(zé)集團信息安全技術(shù) 及管理體系的規(guī)劃設(shè)計、實施；n負責(zé)集團信息安全管理體系具 體安全管理制

23、度流程的制定、維護、更新；n負責(zé)定期開展內(nèi)部 的信息安全檢查及審計工作，配合第三方人員實施外部安全評 估；n負責(zé)集團新上線業(yè)務(wù)的安全檢測；n負責(zé)業(yè)務(wù)相關(guān)安全 設(shè)備的配置維護、更新，梳理業(yè)務(wù)系統(tǒng)訪問關(guān)系，制定訪問控制 規(guī)則；n負責(zé)日常的網(wǎng)絡(luò)設(shè)備、服務(wù)器、數(shù)據(jù)庫、應(yīng)用中間件、 應(yīng)用系統(tǒng)等的安全檢查與安全日志審計，及時發(fā)現(xiàn)安全問題及攻 擊事件，排除安全隱患；n負責(zé)監(jiān)控業(yè)務(wù)網(wǎng)站的安全狀態(tài)，處理 集團信息安全事件；n負責(zé)定期開展信息安全教育培訓(xùn)，提高內(nèi) 部人員的安全意識；n負責(zé)定期提交集團信息安全工作報告。二、網(wǎng)絡(luò)工程師工作職責(zé)：n負責(zé)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的方案設(shè) 計、實施；n負責(zé)各業(yè)務(wù)平臺省級運營商骨干網(wǎng)的架

24、構(gòu)設(shè)計、實 施；n負責(zé)各業(yè)務(wù)平臺、各數(shù)據(jù)中心相關(guān)網(wǎng)絡(luò)的實施、優(yōu)化；n 負責(zé)業(yè)務(wù)相關(guān)網(wǎng)絡(luò)設(shè)備的配置維護、變更；n負責(zé)制定集團網(wǎng)絡(luò) 設(shè)備的安全操作手冊；n負責(zé)堡壘主機的賬號權(quán)限管理；n負 責(zé)業(yè)務(wù)相關(guān)網(wǎng)絡(luò)的監(jiān)控、維護和故障處理，并定期提交工作報 告；n負責(zé)定期檢查網(wǎng)絡(luò)設(shè)備日志，排除安全隱患；n協(xié)助網(wǎng) 絡(luò)安全工程師處理集團信息安全事件，配合集團各項信息安全工 作實施。三、網(wǎng)絡(luò)管理員工作職責(zé)：n負責(zé)集團辦公網(wǎng)絡(luò)的監(jiān)控、 維護和故障處理，并定期提交工作報告；n負責(zé)集團網(wǎng)絡(luò)會議、 視頻會議的網(wǎng)絡(luò)部署、監(jiān)控和故障處理；n負責(zé)集團總部辦公區(qū) 網(wǎng)絡(luò)、員工終端PC、固定電話等的部署、維護和故障處理；n協(xié) 助網(wǎng)絡(luò)工程

25、師進行業(yè)務(wù)相關(guān)網(wǎng)絡(luò)的監(jiān)控、維護和故障處理；n協(xié) 助網(wǎng)絡(luò)安全工程師處理集團信息安全事件，配合集團各項信息安 全工作實施。四、系統(tǒng)工程師安全工作職責(zé)：n負責(zé)業(yè)務(wù)相關(guān)服務(wù)器操 作系統(tǒng)的安裝和賬號管理；n負責(zé)業(yè)務(wù)相關(guān)服務(wù)器操作系統(tǒng)的配 置維護、軟件安裝和補丁升級；n負責(zé)制定集團服務(wù)器操作系統(tǒng) 的安全操作手冊；n負責(zé)業(yè)務(wù)相關(guān)服務(wù)器操作系統(tǒng)的運行監(jiān)控、 維護和故障處理；n負責(zé)定期檢查服務(wù)器日志，排除安全隱患；n協(xié)助網(wǎng)絡(luò)安全工程師處理集團信息安全事件，配合集團各項信 息安全工作實施。五、數(shù)據(jù)庫工程師安全工作職責(zé)：n負責(zé)業(yè)務(wù)相關(guān)數(shù)據(jù)庫 的安裝、配置和補丁升級；n負責(zé)制定集團數(shù)據(jù)庫的安全操作手 冊； n 負責(zé)業(yè)

26、務(wù)相關(guān)數(shù)據(jù)庫的運行監(jiān)控、維護和故障處理； n 負責(zé)定期檢查數(shù)據(jù)庫日志，排除安全隱患；n協(xié)助網(wǎng)絡(luò)安全工程 師處理集團信息安全事件，配合集團各項信息安全工作實施。六、研發(fā)工程師安全工作職責(zé)：n負責(zé)按照應(yīng)用安全編碼 規(guī)范編寫各業(yè)務(wù)系統(tǒng)的代碼；n協(xié)助網(wǎng)絡(luò)安全工程師處理集團信 息安全事件，配合集團各項信息安全工作實施。第五章例會制度第一條委員會要定期組織例會，聽取和討論集團的信息安全 發(fā)展?fàn)顩r，當(dāng)出現(xiàn)如下情況時需及時組織發(fā)起會議：一、集團網(wǎng)絡(luò)與信息安全的發(fā)展規(guī)劃的制定；二、集團信息安全管理規(guī)范及制度的頒布；三、集團重點網(wǎng)絡(luò)與信息安全項目方案的部署；四、集團網(wǎng)絡(luò)與信息安全項目涉及的重大更新；五、集團網(wǎng)絡(luò)與

27、信息安全評估的總結(jié)匯報;六、其他重要的網(wǎng)絡(luò)與信息安全技術(shù)投入。第二條委員會成員必須全體參加例會，會議要形成會議記錄 并留檔。第三條會議議題要清晰，需提前發(fā)布會議目的，各成員須提 前就議題內(nèi)容進行資料的準(zhǔn)備及方案的整理，以便提升會議效 率。第六章附則第四條本章程的制定和修改需要經(jīng)架構(gòu)與安全委員會成員討 論通過后，管理委員會批準(zhǔn)之日起生效。第五條本章程解釋權(quán)屬架構(gòu)與安全委員會。附件附件1：架構(gòu)與安全委員會名單委員會成員：孫安、 李玉福、薛素金、趙萬冬、張傳民、劉東棟、陳健源 附件2：架 構(gòu)與安全委員會例會紀(jì)要農(nóng)信集團架構(gòu)與安全委員會例會紀(jì)要 會議時間會議地點參會人員會議議題會議紀(jì)要會議結(jié)果信 息系

28、統(tǒng)安全管理制度信息系統(tǒng)安全管理制度第一章總則第一條為加強信息系統(tǒng)安全管理，保證信息系統(tǒng)的安全、可 靠運行，提高服務(wù)質(zhì)量，特制定本制度。第二條信息系統(tǒng)安全管理是保障網(wǎng)絡(luò)質(zhì)量，保護客戶利益的 基礎(chǔ)，因此必須重視信息系統(tǒng)安全工作。第三條信息系統(tǒng)安全管理是集團各部門所有員工共同分擔(dān)的 責(zé)任，與每一位員工的日常工作息息相關(guān)，所有員工必須提高認 識，高度重視，從自己開始，堅持不懈地做好信息系統(tǒng)安全工 作。第二章信息系統(tǒng)安全管理第四條信息系統(tǒng)安全管理分為數(shù)據(jù)中心機房管理制度，網(wǎng)絡(luò) 安全管理制度，系統(tǒng)安全管理制度，應(yīng)用安全管理制度，數(shù)據(jù)安 全管理制度，信息系統(tǒng)變更安全管理制度，信息系統(tǒng)運維安全管 理制度，信息

29、系統(tǒng)安全事件管理制度，信息安全檢查與審計管理 制度，信息系統(tǒng)風(fēng)險評估管理制度，信息系統(tǒng)建設(shè)安全管理制 度，信息系統(tǒng)安全應(yīng)急預(yù)案，業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)管理制度， 信息系統(tǒng)安全值守巡檢規(guī)范共計14項制度，其結(jié)構(gòu)與關(guān)系如下：第三章 數(shù)據(jù)中心機房安全管理第五條數(shù)據(jù)中心機房是集團業(yè)務(wù)系統(tǒng)的信息化支撐平臺，機 房內(nèi)信息處理設(shè)備的安全、穩(wěn)定運行直接影響著集團各業(yè)務(wù)系統(tǒng) 的正常運行，為防范機房可能發(fā)生的安全事故，保證機房內(nèi)設(shè)備 處于最佳運行狀態(tài)，使其運行服務(wù)質(zhì)量能夠滿足集團業(yè)務(wù)使用的 需求，需對機房實施安全管理。第六條數(shù)據(jù)中心機房安全管理的設(shè)備包括所有支持集團信息 化業(yè)務(wù)的機房信息處理設(shè)備，包括服務(wù)器、網(wǎng)絡(luò)設(shè)

30、備、安全設(shè)備 以及提供這些設(shè)備良好穩(wěn)定運行的物理環(huán)境支撐設(shè)備，如空調(diào)、 UPS 等。第七條數(shù)據(jù)中心機房安全管理的內(nèi)容包括機房出入管理，機 房操作管理和機房設(shè)備管理。第四章網(wǎng)絡(luò)安全管理第八條為了加強集團網(wǎng)絡(luò)安全管理工作，保障集團信息系統(tǒng) 網(wǎng)絡(luò)在安全、可控狀態(tài)下運行，建立健全信息系統(tǒng)相關(guān)網(wǎng)絡(luò)操作 手冊，提高網(wǎng)絡(luò)通信質(zhì)量，優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)，需實施網(wǎng)絡(luò)安全管 理。第九條網(wǎng)絡(luò)安全管理的內(nèi)容是對集團業(yè)務(wù)相關(guān)網(wǎng)絡(luò)架構(gòu)安全 設(shè)計、網(wǎng)絡(luò)安全策略的制定、網(wǎng)絡(luò)設(shè)備的安全配置、網(wǎng)絡(luò)運維安 全進行統(tǒng)一規(guī)范和管理。第五章系統(tǒng)安全管理第條為了加強集團的系統(tǒng)安全管理，保障集團業(yè)務(wù)相關(guān)服務(wù) 器操作系統(tǒng)在安全、可控狀態(tài)下運行，建立健

31、全業(yè)務(wù)相關(guān)服務(wù)器 操作系統(tǒng)的操作手冊，需實施系統(tǒng)安全管理。第一條系統(tǒng)安全管理的內(nèi)容是對集團業(yè)務(wù)相關(guān)服務(wù)器操作系 統(tǒng)安全配置、系統(tǒng)運維安全進行統(tǒng)一規(guī)范和管理。第六章應(yīng)用安全管理第二條為規(guī)范集團業(yè)務(wù)系統(tǒng)、管理系統(tǒng)的應(yīng)用安全，保障集 團應(yīng)用系統(tǒng)安全穩(wěn)定運行，需實施應(yīng)用安全管理。第三條 應(yīng)用安全管理的內(nèi)容應(yīng)包括從身份鑒別，WEB頁面安 全，訪問控制，安全審計，剩余信息保護，資源控制，應(yīng)用容錯，報文完整性，報文保密性，抗抵賴，編碼安全和電子認證應(yīng) 用等。第七章數(shù)據(jù)安全管理第四條數(shù)據(jù)的安全管理是集團業(yè)務(wù)系統(tǒng)數(shù)據(jù)正常提供服務(wù)的 重要保證。為加強數(shù)據(jù)的安全管理，提信息系統(tǒng)數(shù)據(jù)的可用性、 完整性及保密性，需實施

32、數(shù)據(jù)安全管理。第五條數(shù)據(jù)安全管理涉及的內(nèi)容有數(shù)據(jù)分級、數(shù)據(jù)傳輸安 全、數(shù)據(jù)存儲安全、數(shù)據(jù)變更安全、數(shù)據(jù)訪問安全、數(shù)據(jù)備份安 全、數(shù)據(jù)恢復(fù)安全、數(shù)據(jù)銷毀安全以及密碼密鑰安全。第八章信息系統(tǒng)建設(shè)安全管理第六條為加快集團信息系統(tǒng)安全建設(shè)步伐，規(guī)范信息系統(tǒng)建 設(shè)的安全管理，實現(xiàn)安全建設(shè)應(yīng)與業(yè)務(wù)系統(tǒng)“同步規(guī)劃、同步建 設(shè)、同步運行”的安全工作原則，需實施信息系統(tǒng)建設(shè)安全管 理。第七條信息系統(tǒng)建設(shè)安全管理適用于對集團信息系統(tǒng)建設(shè)過 程中的各階段進行安全規(guī)范和管理，保證集團信息系統(tǒng)建設(shè)安 全、可控。第八條信息系統(tǒng)建設(shè)安全管理的內(nèi)容是對信息系統(tǒng)的研發(fā)、 測試以及上線安全進行統(tǒng)一規(guī)范和管理。第九章信息系統(tǒng)變更安

33、全管理第九條為保證集團信息系統(tǒng)安全穩(wěn)定運行，規(guī)范集團信息系 統(tǒng)變更管理，提高變更的效率和質(zhì)量，減少或避免變更對業(yè)務(wù)系 統(tǒng)的影響，需實施信息系統(tǒng)變更安全管理。第二條變更管理是指對信息系統(tǒng)的增補或修改的管理。變更 行為包括但不限于硬件設(shè)備、系統(tǒng)軟件、應(yīng)用軟件、網(wǎng)絡(luò)架構(gòu)、 賬號權(quán)限以及配置變更。第二一條變更管理的內(nèi)容是對變更分類、變更管理流程安全 進行統(tǒng)一規(guī)范和管理。第章信息系統(tǒng)運維安全管理第二二條為了加強集團信息系統(tǒng)的運行維護安全管理，建立 和健全信息系統(tǒng)相關(guān)操作手冊，提高系統(tǒng)運行維護質(zhì)量，減少人 為造成的操作不當(dāng)，保障信息系統(tǒng)穩(wěn)定可靠的運行，需實施信息 系統(tǒng)運維安全管理。第二三條網(wǎng)絡(luò)運營中心負責(zé)

34、集團信息系統(tǒng)的日常安全運行維 護工作，并負責(zé)制定詳細的信息系統(tǒng)運行維護的操作手冊。第二四條信息系統(tǒng)運維安全管理包括日常巡檢管理，信息系 統(tǒng)賬號管理，安全監(jiān)控與入侵防范管理及惡意代碼防范等。第一章信息系統(tǒng)安全事件管理第二五條為加強集團信息系統(tǒng)安全事件的快速應(yīng)對能力，保 障集團信息系統(tǒng)的業(yè)務(wù)連續(xù)性，需實施信息系統(tǒng)安全事件管理。第二六條信息系統(tǒng)安全事件管理的內(nèi)容包括安全事件的定 義，安全事件的分級和安全事件的處理。第二章信息安全檢查與審計管理第二七條為了能夠及時發(fā)現(xiàn)和掌握集團信息系統(tǒng)目前存在的 安全問題及安全風(fēng)險，制定安全解決方案，保障信息系統(tǒng)安全穩(wěn) 定運行，需實施信息安全檢查與審計管理。第二八條信

35、息安全檢查與審計工作是由網(wǎng)絡(luò)運營中心信息安 全部具體實施，其他業(yè)務(wù)相關(guān)部門協(xié)助實施的一項安全工作，信 息安全檢查與審計工作必須嚴格遵循本制度。第三章信息系統(tǒng)風(fēng)險評估管理第二九條風(fēng)險評估的目的在于分析集團信息系統(tǒng)及其所依托 的網(wǎng)絡(luò)環(huán)境的安全狀況，全面了解和掌握信息系統(tǒng)面臨的信息安 全威脅和風(fēng)險，為制定信息系統(tǒng)的安全規(guī)劃，開展安全建設(shè)提供 依據(jù)和決策建議。第三條風(fēng)險評估的范圍包括集團擁有的所有信息資產(chǎn)。風(fēng)險 評估的具體對象包括機房、服務(wù)器、網(wǎng)絡(luò)、應(yīng)用系統(tǒng)和管理制 度。第四章信息系統(tǒng)安全應(yīng)急預(yù)案第三一條為提高集團信息系統(tǒng)突發(fā)事件的應(yīng)急處理能力，形 成科學(xué)、有效、反應(yīng)迅速的應(yīng)急工作機制，保障信息系統(tǒng)的

36、正常 運轉(zhuǎn)，最大限度的減少非計劃停機時間，減小突發(fā)事件對工作的 影響，需建立信息系統(tǒng)安全應(yīng)急預(yù)案。第三二條信息系統(tǒng)安全應(yīng)急預(yù)案的目的是對集團信息系統(tǒng)突 發(fā)事件應(yīng)急處理進行統(tǒng)一規(guī)范和管理。第五章突發(fā)業(yè)務(wù)高可用性管理第三三條為保障集團業(yè)務(wù)系統(tǒng)在各種突發(fā)情況下能夠向客戶 提供連續(xù)不間斷服務(wù)，防止業(yè)務(wù)中斷對客戶造成嚴重影響，保護 關(guān)鍵業(yè)務(wù)過程免受重大失效或災(zāi)難的影響，確保災(zāi)難發(fā)生時能夠 及時進行數(shù)據(jù)恢復(fù)，需實施突發(fā)業(yè)務(wù)高可用性管理。第六章信息系統(tǒng)安全值守巡檢規(guī)范第三四條為規(guī)范集團信息化支撐設(shè)備或軟件的安全巡檢維護 工作，保證信息系統(tǒng)安全穩(wěn)定運行，最大限度的減少因硬件設(shè)備 或軟件系統(tǒng)故障對工作造成的影響

37、，需對信息系統(tǒng)安全值守巡檢 進行規(guī)范。第三五條信息系統(tǒng)安全值守巡檢規(guī)范內(nèi)容包括安全值守巡檢 組織和職責(zé)、機房安全值守以及辦公室安全值守。第七章附則第三六條本制度的制定和修改需要經(jīng)架構(gòu)與安全委員會成員 討論通過后，管理委員會批準(zhǔn)之日起生效。第三七條本制度解釋權(quán)屬架構(gòu)與安全委員會。信息系統(tǒng)日常安全管理規(guī)范信息系統(tǒng)日常安全管理規(guī)范第一章總則第一條為加強信息系統(tǒng)日常管理，保證信息系統(tǒng)的安全，可 靠的運行，提高服務(wù)質(zhì)量，特制定本規(guī)范。第二條信息系統(tǒng)日常管理是指信息系統(tǒng)相關(guān)人員及設(shè)備的管 理，是保護集團利益的基礎(chǔ)，因此必須重視信息系統(tǒng)日常管理工 作。第二章信息系統(tǒng)日常管理第三條信息系統(tǒng)日常管理分為人員安全

38、管理制度，第三方人 員安全管理制度，信息資產(chǎn)安全管理制度，辦公設(shè)備安全管理制 度，桌面終端安全管理制度，介質(zhì)安全管理制度共計6項制度， 其結(jié)構(gòu)與關(guān)系如下：第三章人員安全管理第四條為了加強集團人員信息安全管理，提高集團人員的信 息安全意識，需實施人員安全管理。第五條 人員安全管理主要是對人員錄用、人員離崗、人員信 息安全意識教育、人員考核等方面進行規(guī)范和管理。第四章第三方人員安全管理制度第六條為有效防范第三方人員進入集團帶來的安全風(fēng)險，加 強和規(guī)范各部門對第三方人員的安全管理，提供第三方人員在集 團活動所要遵守的行為準(zhǔn)則，需實施第三發(fā)人員安全管理制度。第七條第三方人員包括軟件開發(fā)商、產(chǎn)品供應(yīng)商、系統(tǒng)集成商、設(shè) 備維護商和服務(wù)