《单位内部网络信息安全制度汇编（试行）》（全文56893字）

《单位内部网络信息安全制度汇编（试行）》
目录
1、缩写 1
2、制度适用范围： 2
3、术语定义 2
一、网络信息安全总体策略 3
二、信息等级保护体系制定和发布管理规定 7
三、等级保护体系评审和修订管理规定 11
四、信息安全管理组织架构 13
五、信息系统安全检查管理规定 16
六、信息安全组织架构与岗位职责 20
七、人员管理制度 23
八、网络安全培训和考核管理规定 27
九、第三方机构安全管理规定 28
十、计算机及网络保密规定 31
十一、信息系统测试管理办法 32
十二、信息安全建设管理规定 36
十三、项目管理规定 43
十四、工作环境管理规定 46
十五、信息系统资产管理规定 50
十六、存储介质管理规定 55
十七、信息系统运维监控管理规定 58
十八、网络系统运行管理规定 61
十九、系统帐号权限管理规定 63
二十、补丁管理规定 68
二十一、信息系统日志管理规定 71
二十二、防病毒管理规定 74
二十三、信息安全密码使用管理规定 78
二十四、变更管理规定 84
二十五、备份与恢复管理规定 91
二十六、安全事件管理规定 98
二十七、应急预案管理规定 105
二十八、软件管理办法 107
二十九、信息交付管理规定 109
相关术语
1、缩写
原名称 缩写名称 备注

2、制度适用范围：
　　　适用于（XX市民政局）各部门，包括系统维护管理人员、网络、服务器、终端、设备、信息系统的专用设备以及物理环境等
3、术语定义
（一）安全策略：是纲领性的安全策略主文档，描述（XX市民政局）业务安全目标和管理层意图、支持目标和指导原则，是信息安全实践的根本性和指导性的文件。
（二）信息安全等级保护管理体系是指依据国家信息安全等级保护的要求建立的系统内进行信息安全管理的制度、方针、策略、流程、指南、记录等管理方面的规章制度集合。
（三）信息安全等级保护管理体系是指依据国家信息安全等级保护的要求建立的系统内进行信息安全管理的制度、方针、策略、流程、指南、记录等管理方面的规章制度集合。
（四）安全检查：指单位内部或外部机构对信息安全整体执行情况进行的评价活动。安全检查的依据是单位现行的管理制度、信息系统安全体系规范和技术标准、有关法律、法规和标准要求等安全检查包括安全例行检查、安全专项检查等。
（五）安全例行检查：指按照已制定的检查周期所作的检查。
（六）安全专项抽查：指根据单位、监管机构或相关部门要求的安全运行状况所作的不定期的抽查。
（七）本单位员工是指单位正式员工，包括试用期员工和借调人员等。
（八）第三方机构是指所有进入（XX市民政局）内部提供相关技术服务的非（XX市民政局）单位（包括但不限于供应商、合作厂商、服务商）。第三方人员分为临时来访人员和驻场外包人员。临时来访的第三方人员是指来（XX市民政局）时间周期较短的人员，包括进行业务交流的人员，临时来访参观的人员等；驻场外包的第三方人员是指来访时间较长的第三方技术服务人员，包括项目建设人员，外来信息系统职守人员，外来信息系统维护人员等。
（九）存储介质：指用于单位计算机系统相关业务的电子信息输出、存放的物理介质、可移动和不可移动的磁盘、光盘、硬盘、磁盘阵列等。
（十）帐号是指每个可访问系统资源的用户在系统中的标识，可分为应用系统帐号、操作系统帐号和数据库帐号等。
（十一）访问权限是指帐号被赋予的可以访问系统资源和使用系统功能的权利。
（十二）超级管理员帐号/特权帐号：指对系统具有超级权限的帐号，包含但不限于UNIX/Linux的root，WINNT的xx组成员，数据库的DB***等用户。
（十三）普通帐号：用户用于维护或访问系统，实现日常操作的帐号，是最为常见的用户类型。
（十四）补丁是针对某一个具体的系统漏洞或安全问题而发布的专门解决该漏洞或安全问题的小程序，通常称为修补程序。
（十五）日志包括各业务系统中存储的主机系统日志、设备日志和业务系统日志等基础环境日志
（十六）计算机病毒：计算机病毒是人为蓄意编制的一种寄生性的计算机程序。它能在计算机系统中生存，通过自我复制来传播，在一定条件下即被激活，从而给计算机系统造成一定损害甚至严重破坏，有些病毒还能窃取计算机设备中的重要信息
（十七）信息安全事件是指由于自然或者人为以及软硬件本身缺陷或故障的原因，对信息系统造成危害，或对社会造成负面影响的事件
一、网络信息安全总体策略
第一章 总则
第一条为了加强（XX市民政局）信息系统的网络安全管理，明确（XX市民政局）网络安全管理的总目标和总方向，保护（XX市民政局）系统自有的信息系统资产，积极预防安全事件的发生，使安全事件的影响最小化，特制定本策略文件。
第二章 术语定义
第二条安全策略：是纲领性的安全策略主文档，描述（XX市民政局）信息系统业务安全目标和管理层意图、支持目标和指导原则，是网络安全实践的根本性和指导性的文件。
第三章 组织职责
第三条单位组建网络安全与信息化领导小组，负责批准网络安全策略文件并且保证本文件被执行，同时负责对（XX市民政局）系统网络安全方面的指导方向、安全建设等重大问题做出决策，协调各部门安全协同工作，支持和推动网络安全工作在整个单位实施。
第四条单位组建网络安全等级保护工作小组，负责具体执行安全管理策略文件的建立、实施、运作、监控、评审、维护和改进工作。
第五条单位所有员工有责任了解自身在单位信息安全、网络安全方面的职责，并按照网络安全与信息化领导小组的指示，认真执行相关要求。
第四章 管理原则
第六条网络安全管理工作实行“积极防范、突出重点、职责到位、保障业务”和“谁主管、谁负责、谁运营、谁负责”的管理原则。
第五章 总体目标
第七条遵守国家相关法律法规，结合（XX市民政局）实际情况，依据现有管理和文化体系，逐步建设一套适用的、先进的网络安全管理体系，更好地保障（XX市民政局）网站、社管平台等重要信息系统安全、稳定的向社会公众提供服务，并满足单位不断发展的业务需求。
第六章 安全框架
第八条安全管理制度
（一）逐步完善由安全策略、管理制度、操作规程组成的网络安全管理体系。
（二）网络安全策略文件应由管理层审核批准，并公布与传达给单位所有人员以及同本单位有业务往来的第三方机构。网络安全策略文件在规划期间内或有重大变更发生时需通过管理层的审查及修订。
第九条安全管理机构
（一）必须建立网络安全管理组织，以满足网络安全管理体系持续运行的目标。
（二）加强与第三方机构的沟通和合作，及时获取相关信息。
（三）必须建立安全检查机制，定期对信息系统进行安全检查。
（四）加强人员录用和离岗过程的安全管理，并定期对所有人员进行安全培训和考核，加强安全意识。
（五）对所有操作或访问信息资产的第三方机构，必须向其阐明相关的责任要求，并明确告知其有责任恰当地使用和保护这些信息资产。
第十条系统建设
（一）系统建设初期必须根据系统定级情况进行安全方案设计，对可行性进行论证。
（二）确保安全和密码产品采购和使用符合国家的有关规定；并只能选择满足条件的安全服务商。
（三）确保在系统的开发与维护过程中，相关的安全功能和需求已被嵌入到系统内。在开发新系统时，安全功能应包含在初始的系统分析与需求描述中。这些描述必须包括自动的和手动的安全控制。这些控制必须通过测试，而且能够整合到正在运行的环境中。
第十一条系统运维
（一）信息系统及其相关的设备在物理上需要受到保护，防止偷窃、滥用、损坏或未经授权的访问。
（二）确保信息系统相关的信息资产受到适当保护， 所有信息资产必须有确定的属主并且根据其敏感度进行分类和控制。
（三）所有信息系统必须制定相应的操作规范，通过对日常操作的管理、介质的管理、恶意代码防范控制确保信息系统范围内信息处理设施的正确和安全操作。
（四）对三级系统应建立安全管理中心，对信息资产安全事件实现监控和响应。
（五）所有信息系统变更应有审批流程，并有完善的恢复流程。
（六）应建立有效的安全事件响应和处理机制，安全事件必须及时的发现、报告、处理、调查、上报并修正，并且有事后的回顾，以吸取经验教训，避免以后再发生同类型的事件，把损失降到最小。
（七）建立完善应急预案，以确保事故发生时，对业务活动的影响降至最小。
第七章 策略制定与维护
第十二条网络信息安全策略文件由安全管理员编写，由网络安全与信息化领导小组批准，向所有相关部门、第三方机构和相关人员发布。
第十三条网络安全与信息化领导小组监督网络安全活动，是否与策略的目标一致，达到策略的要求。
第十四条网络安全与信息化领导小组审查和处理违反安全策略的行为。
第十五条网络安全等级保护工作小组定期对网络安全策略进行回顾和评审（附件一、评审记录表），确保策略的有效性和可操作性。
附件一、安全策略评审记录表
安全策略评审记录表
日期： 年 月 日
　会议名称
　参与人员
　评审对象
　评审结果

　评审意见：
网络安全等级保护工作小组 　审批结果：
网络安全与信息化领导小组
二、信息等级保护体系制定和发布管理规定
第一章 总则
第一条为了保证（XX市民政局）信息安全等级保护管理体系的持续性、时效性以及适应性，满足业务不断变化的安全管理的需要，明确信息安全等级保护体系的制定、发布、评审和修订等过程中的管理职责，特制定本规定。
第二章 职责
第二条网络安全与信息化领导小组，职责：
（一）负责规划、监督、指导网络安全等级保护管理体系文件的起草、审查、发布、清理等工作。
（二）负责信息安全等级保护管理体系的评审及修订后复审工作。
（三）确保信息安全等级保护管理体系能持续恰当和有效地运作。
（四）提供充足的资源和支持，以持续改善信息安全等级保护管理体系。
第三条网络安全等级保护工作小组，职责：
（一）负责组织管理体系文件的起草、编制、修订、补充等工作的开展，并将实施成果向领导小组汇报。
（二）负责启动和主持等级保护管理体系的管理评审工作 。
（三）负责协调相关人员，指导收集评审资料。
（四）确保评审会议所提出的行动项目能在规定的时间内完成，并负责其相关的监督工作。
（五）负责对评审结果如需进行修订项协调相关人员进行修订。
（六）指派人员负责对修订措施的执行结果进行验证。
第四条相关人员，是指（XX市民政局）信息安全等级保护管理体系涉及的人员。比如：系统管理员、应用管理员、开发管理人员、网络管理员、数据管理员、资产管理员和安全管理员等，其职责是：
（一）负责依据管理体系文件的内容进行宣贯、培训、执行、检查等工作，并依据部门情况落实管理体系的要求。
（二）负责协助进行评审。
（三）负责实施修订措施。
第五章 文件起草
第五条（XX市民政局）网络安全管理体系规范文件由网络安全等级保护工作小组负责起草或组织起草。
第六条负责起草的科室应当确定一名熟悉相关内容员工为项目负责人， 如涉及多个部门时，可由有关部门共同派人组成联合起草小组，由主要起草部门负责牵头组织。
第七条起草的规范性文件应当结构严谨、内容完备、形式规范、条理清楚、用词准确、文字简洁。
第八条应当明确规定如下内容：
（一）制定的目的和依据；
（二）适用范围；
（三）术语定义；
（四）组织职责；
（五）具体管理要求或规定；
（六）必要的附则；
　　　　　（七）与规范内容相关的资料性附录和参考性附录。
第九条报送审查的管理制度送审稿应当由起草部门负责人签署后报网络安全与信息化领导小组审查。几个部门共同起草的规范送审稿，应当由起草部门负责人共同签署后报网络安全与信息化领导小组审查。
第十条下列材料应当与规范送审稿一并报送网络安全与信息化领导小组审查：
（一）起草说明；
（二）与此规范内容有关的规范性文件；
（三）汇总的各方意见；
（四）如需制定实施细则，应当提交实施细则的主要内容和细则拟出台的时间；
（五）其他需要报送的材料。
第十一条网络安全与信息化领导小组主要从以下方面对送审稿进行审查：
（一）是否符合权限和程序；
（二）是否符合原则；
（三）是否与其他规范、标准相协调、衔接；
（四）是否已对有关不同意见进行协调；
　　　　　（五）是否具有可行性；
　　　　　（六）是否符合相关技术要求；
（七）需要审查的其他内容。
第十二条由网络安全与信息化领导小组对送审稿提出审查结论，对草案涉及的有关争议问题以及修改情况作重点说明。由网络安全与信息化领导小组负责人签署的书面审查报告应当反馈起草部门。
第六章 文件评审
第十三条（XX市民政局）网络安全等级保护工作小组定期（至少每年一次）开展等级保护管理体系的评审工作，以确保整个等级保护管理体系的充分性、适当性和有效性。
第十四条等级保护管理体系评审内容：
（一）根据业务系统的性质和安全要求，确定（或复审）等级保护管理体系的范围，建立（复审）等级保护管理体系，包括网络安全策略、标准和程序。
（二）对等级保护管理体系审核结果进行评审，分析导致不符合项的原因。
（三）审查审核对象的反馈信息。
（四）总结已发现的安全事件和漏洞。
（五）审查现行的安全控制措施和相关技术是否有效。
（六）复查修订措施的实施状况。
（七）检查先前管理评审中所定义的措施的实施状况。
（八）审查改善措施的建议。
（九）复查业务和法律法规方面的变更。
（十）审查可能影响信息安全等级保护管理体系的任何变更。
（十一）为协调相关网络安全的实施，评审相关资源的充足性。
第十五条评审工作必须至少每年举行一次，发生以下情况时，也需要启动管理评审工作：
（一）系统业务发生重大变更。
（二）系统网络安全策略的重大变更。
（三）目前等级保护管理体系的执行不力。
（四）系统等级保护管理体系的范围发生变更。
（五）相关标准法规发布修订版本或有变更。
第七章 文件发布
第十六条规范草案经网络安全与信息化领导小组审议并原则通过后，起草部门根据审议中提出的修改意见对草案进行修改，经网络安全与信息化领导小组负责人签发，以文件形式公布。
第十七条文件的发布应遵照统一的格式，进行版本控制；并应注明发布范围，对收发文进行登记。对发布的制度应在《附录一、（XX市民政局）管理制度发布记录表》中进行记录。
附录一、（XX市民政局）管理制度发布记录表
（XX市民政局）管理制度发布记录
管理制度名称 制订者 发布者 生效时间 版本 分发范围 失效时间 备注

日期： 文档管理人员： 审核人：
三、等级保护体系评审和修订管理规定
第一章 总则
第一条为了保证（XX市民政局）等级保护管理体系的持续性、时效性以及适应性，满足单位不断变化的安全管理的需要，明确等级保护管理体系的评审和修订过程中管理职责，特制定本规定。
第二章 评审程序
第二条（XX市民政局）网络安全等级保护工作小组定期（至少每年一次）开展等级保护管理体系的评审工作，以确保整个等级保护管理体系的充分性、适当性和有效性。
第三条等级保护管理体系评审内容：
（一）根据具体工作的性质和安全要求，确定（或复审）等级保护管理体系的范围，建立（复审）等级保护管理体系，包括网络安全策略、标准和程序。
（二）对等级保护管理体系审核结果进行评审，分析导致不符合项的原因。
（三）审查审核对象的反馈信息。
（四）总结已发现的安全事件和漏洞。
（五）审查现行的安全控制措施和相关技术是否有效。
（六）复查修订措施的实施状况。
（七）检查先前管理评审中所定义的措施的实施状况。
（八）审查改善措施的建议。
（九）复查业务和法律法规方面的变更。
（十）审查可能影响等级保护管理体系的任何变更。
（十一）为协调相关网络安全的实施，评审相关资源的充足性。
第四条评审工作必须至少每年举行一次，发生以下情况时，也需要启动管理评审工作：
（一）系统业务发生重大变更。
（二）系统网络安全策略的重大变更。
（三）目前等级保护管理体系的执行不力。
（四）系统等级保护管理体系的范围发生变更。
（五）相关标准法规发布修订版本或有变更。
（六）评审工作的会议记录均需归档，以保存正式的记录。
第三章 修订程序
第五条问题的识别及确认，采取修订措施可能由以下原因，包括但不限于：
（一）来自系统等级保护管理体系的相关工作人员的反馈信息或调查申请。
（二）网络安全管理评审的会议讨论中发现的问题。
（三）等级保护管理体系的审核发现的不符合项。
第六条调查问题的起因：
（一）由网络安全等级保护工作小组指派专门的人员负责对问题进行分析调查并确认问题的起因。
（二）调查人员需提供尽可能多的关于整个问题调查的详细结果。作为修订措施报告的一部分，也可以提供一些额外的补充信息。
第七条执行修订措施：
（一）基于所调查出的问题起因，需确认并实施相应措施或对事故进行调查研究，负责上述行动的执行者需确保更新任何相关的文件或管理流程。比如：
?准备制定或更新相关管理程序。
?培训/通知相关人员知晓。
（二）执行人员负责跟踪所执行修订措施的效果。一旦发现效果不如预期，其相关负责人需进行评估分析并就进一步的应对措施进行确认。执行人员必须确保所实施的修订措施是可证实和可验证的，并保证修订措施的报告中都有详细说明。
第八条措施的验证：
（一）如果验证出所采取的措施是达到预期效果的，则修订措施才算是成功，可以结束跟踪，验证阶段包括以下两个部分：
?对所规定修订措施的执行程度进行验证。
?对修订措施的执行效果进行验证。
（二）措施验证的结果必须中有详细的说明，且对相关记录进行保存。
四、信息安全管理组织架构
第一章 总则
第一条为加强（XX市民政局）信息安全管理工作的组织协调，建立健全等级保护管理制度和运行机制，切实提高（XX市民政局）信息安全管理工作水平，根据《信息安全等级保护管理办法（公通字[2007]43号）》要求，制定本规范
第二章 组织目标
第二条本实施规则旨在实现信息安全管理的以下目标：
（一）管理组织内的信息安全工作；
（二）管理外部组织访问组织内信息处理设施和信息资产的安全。
第三章 信息安全组织架构
第三条为加强对（XX市民政局）信息安全管理工作的领导，贯彻落实信息安全的要求及安徽省公安厅《关于开展信息安全管理专项检查工作的通知》的有关要求，经研究，决定成立（XX市民政局）网络安全与信息化领导小组（以下简称领导小组）
第四条成立领导小组，作为信息安全管理工作的最高管理机构，领导小组下设（XX市民政局）系统信息安全管理工作小组。
第五条领导小组由（XX市民政局）书记担任组长，副书记担任副组长，领导小组主要成员为队伍建设指导科科长及各相关部门安全主管领导。
第六条信息安全管理工作小组负责（XX市民政局）信息安全管理的具体执行工作。工作小组组长由领导小组指定的队伍建设指导科科长兼任。设置一名副组长负责具体工作，对各部门信息安全技术的实施进行指导与审查。信息安全工作小组成员还包括各部门信息化负责人。
第七条队伍建设指导科作为信息安全工作的具体执行部门， 各科室主要负责人为本科室信息安全管理工作的第一责任人，并应指定一名信息安全管理员作为信息安全工作联络员，负责本科室内的有关信息安全管理工作。
第四章 组织的信息安全职责描述
第八条网络安全与信息化领导小组的职责包括：
　　(一)根据国家、省、市级网络安全的总体要求，结合（XX市民政局）的实际情况，统一领导（XX市民政局）信息安全管理的相关工作；
　　(二)负责协调（XX市民政局）内部管理工作，分配信息安全管理目标、职责，并支持和推动信息安全工作在单位内的实施；
　　(三)负责对与信息安全管理有关的重大事项进行决策，包括安全组织机构调整、以及信息安全管理重大策略变更；
　　(四)组织审定和发布单位信息安全的发展战略、总体规划、重大政策、管理规范和技术标准；
　　(五)评审与监督重大信息安全事故的处理；
第九条信息安全管理工作小组的职责包括：
　　　(一)直接对领导小组负责，承担信息的具体工作，协助领导小组在信息安全事务上的决策；
　　　(二)负责信息安全政策的贯彻与落实，并协调各信息安全执行科室以及与第三方机构间有关的信息安全工作；
　　　(三)负责信息安全管理体系的建立、实施和日常运行，起草信息安全政策，确定信息安全管理标准，督促各信息安全执行部门对于信息安全政策、措施的实施；
　　　(四)负责对员工的信息安全工作意识教育和安全技能培训；
　　　(五)负责维护安全事件的记录报告，对发生的每一起安全事件调查和解决方法都记录在案；
　　　(六)负责定期召开信息安全管理工作会议，定期总结安全事件记录报告，并向信息安全领导小组汇报；
　　　(七)负责建立各信息安全执行科室、关联上级主管单位与外部安全管理主管机构之间的定期联系和沟通机制；
　　　(八)落实纠正措施(包括审计整改意见)和预防措施。
第十条信息安全工作联络员的职责包括：
　　　(一)负责单位日常的具体信息安全工作，并参加信息安全工作小组所要求的各项活动；
　　　(二)负责向信息安全工作小组负责人报告信息安全事件和违反信息安全政策的行为，协助对违反安全政策的行为进行调查；
　　　(三)协助信息安全工作小组负责人和单位信息安全主管领导落实针对单位的纠正措施(包括审计整改意见)和预防措施。
第十一条内部员工的职责包括：
　　　　(一)严格遵守所有与信息安全相关的国家法律、法规和政策，遵守（XX市民政局）所有的信息安全政策；
　　　　(二)积极参加信息安全教育与培训，提高信息安全意识；
　　　　(三)有责任将违反信息安全政策的事件与行为及时报告给单位信息安全联络员及其他相关人员。
第十二条人力资源部的职责包括：
　　　　(一)人力资源工作由办公室兼任
　　　　(二)对员工的聘前、聘中及解聘过程中涉及的人员信息安全进行有效管理；
　　　　(三)负责制定和实施与信息安全相关的奖惩措施和安全绩效考核体系；
　　　　(四)组织实施信息安全教育与培训；
　　　　(五)协助调查安全事件。
第十三条信息中心的职责包括：
　　　　(一)信息中心的工作由队伍建设指导科兼任
　　　　(二)负责对（XX市民政局）各科室和下属单位的信息安全或某个主题进行定期审计或信息安全专项审计；
　　　　(三)主要以信息安全管理政策及各种标准规范作为审核依据；在具体的审核过程中，必要时可获得信息安全领导小组的协助与支持；
　　　　(四)负责汇报审计结果，并督促审计整改工作的进行。
五、信息系统安全检查管理规定
第一章 总则
第一条为了规范（XX市民政局）信息系统网络安全检查工作流程，明确职责，定期、有效地对本单位信息系统进行安全检查，特制定本规定。
第二章 适用范围
第二条本规定适用于本单位信息系统网络安全检查准备、实施、报告和整改过程，管理对象为安全管理员和信息系统管理人员。
第三章 术语定义
第三条安全检查：指单位内部或外部机构对网络安全整体执行情况进行的评价活动。安全检查的依据是单位现行的管理制度、信息系统安全体系规范和技术标准、有关法律、法规和标准要求等安全检查包括安全例行检查、安全专项检查等。
第四条安全例行检查：指按照已制定的检查周期所作的检查。
第五条安全专项抽查：指根据单位、监管机构或相关部门要求的安全运行状况所作的不定期的抽查。
第四章 组织职责
第六条安全管理员负责牵头协调组织各信息系统网络安全检查的管理工作，主要包括系统日常运行、系统漏洞和数据备份等情况。
第七条相关管理员应配合安全检查，如实提供所需要的检查信息，对安全检查所发现的问题制定整改措施、整改计划并实施整改。
第五章 通用要求
第八条安全检查应当遵循全面、审慎、独立的原则。
第九条安全管理员应牵头建立检查机制，各信息系统负责人配合制定检查计划，定期开展检查活动。检查计划要根据实际情况及时进行补充和调整。
第十条应当以半年为周期对信息系统进行安全检查，检查内容应包括安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况。
第十一条可根据实际需要组织专项检查，对于信息系统发生的重大事故和问题，要进行专项检查，对重大事件实施全面的监控和评价。
第十二条对于新信息系统，包括设备、主机、应用信息系统上线或安装前必须经过安全检查，检查方式应包括信息系统安全配置，漏洞评估，恶意代码检测，根据检查结果进行整改后方可上线。
第十三条必须对检查工具、检查过程信息和检查结果信息的使用和访问采取控制措施加以保护，以防止任何可能的风险。
第六章 安全检查准备
第十四条安全管理员应组织相关部门或人员按照半年为周期进行安全例行检查，根据需要组织安全专项检查。
第十五条安全检查应按照所规定的检查要点、检查方式、使用规定的检查工具进行检查。
第十六条应选择对单位信息系统运行影响最小的方式和时间进行检查。
第十七条对生产环境实施安全检查应按照《（XX市民政局）信息系统变更管理规定》所规定的变更流程执行。
第十八条实施对生产环境可能造成影响的安全检查后，应协调相关科室或人员对检查结果进行验证。
第十九条安全检查可采用抽查的方式进行，抽查的采样量应能确保安全检查结果的准确性、代表性并符合信息系统实际生产情况。
第二十条检查过程中应做好检查结果的记录工作。
第七章 安全检查报告
第二十一条检查完成后由安全管理负责组织编写检查报告并提出整改建议（附录一安全检查情况汇总表），提供给相关科室。
第八章 安全检查整改
第二十二条相关科室应按照检查报告中整改的时间要求，针对检查报告中所提出的问题制定整改实施计划并组织整改。
第二十三条安全管理员应对整改措施的落实情况进行跟踪，验证整改措施的实施结果是否有效，必要时可进行复查确认。
第二十四条安全管理员根据检查结果和整改情况进行汇总，形成安全状况通报并提供给相关部门。
第九章 检查工具的使用
第二十五条在安全检查过程中如果需要使用安全工具，只能使用经过审核过安全检查工具。
第二十六条安全检查工具只能在检查设备或者被检查科室的设备上运行，并由检查人员负责操作。
第二十七条在生产信息系统中使用检查工具前，安全管理员要组织进行测试工作，对其可能产生的影响进行评估和论证，必要时安排双人进行操作。
附录一： 安全检查情况汇总表
　　序号 　不符合项 　　不符合描述 　整改建议 　负责人/科室
　　1
　　2
　　3
　　4
　　5
　　6
　　7
　　8
　　9
　　10
附录二： 信息系统安全检查表
检查日期： 检查人：
　日常运行维护管理 　内容及要求 　检查结果 　备注
　1.信息系统日常运维 　信息系统操作流程及时更新
　用户密码管理是否规范
　用户密码是否定期更改
　操作日志记录
　异常情况记录
　异常情况处理
　记录数据完整、连续
　补丁是否更新
　是否安装防病毒软件 　□是□否
　□是□否
　□是□否
　□是□否
　□是□否
　□是□否
　□是□否
　□是□否
　□是□否 　
服务器运行情况 　内容及要求 　检查结果 　备注
服务器资源情况以及系统访问情况 　CPU占用率
　内存占用率
　存储占用率
　系统响应时长（单位：秒） 　 　
　文档管理 　内容及要求 　检查结果 　备注
　1.应急计划 　应急计划为最新，并及时完善、修订，并包含：
　1、外联联系单、应急联系电话、岗位负责人
　2、各类问题的具体应对措施（故障判别、关键设备位置、应急操作步骤等） 　□是□否
　□是□否 　
　2.数据备份 　备份数据完整、有效
　网络设备、安全设备配置文件是否定期备份 　□是□否
　□是□否 　
　3.测试报告 　每次测试都进行记录，填写报告，定期整理 　□是□否 　
　4.应急演练记录 　每次演练都进行记录，填写报告，定期整理 　□是□否 　
　5.信息系统上线流程审批 　信息系统上线、软件升级、设置变更等填写审批单 　□是□否 　
　6.技术文档管理 　各应用信息系统的技术文档、操作手册是否齐全 　□是□否 　
　7.IP地址记录 　IP地址记录是否及时更新
　（抽查IP地址，每台设备的IP地址表） 　□是□否 　
　8.防病毒措施 　病毒库即时更新 　□是□否 　
　9.网络拓扑图 　网络拓扑图及时更新 　□是□否 　
　安全管理及卫生情况 　内容及要求 　检查结果 　备注
　1.人员备岗 　关键岗位有备岗
　外部运维人员保密协议 　□是□否
　□是□否 　
　2.机房备品备件 　机房关键设备、各应用信息系统等是否有备份 　□有□无 　
　3.是否有超年限的机器 　中心机房 　□有□无 　
　4.机房管理 　应急照明
　是否堆放有杂物（纸箱、废弃物等）
　机房的监控信息系统清晰、有效
　机房网络线路是否清晰，网线颜色是否标准 　□有□无
　□是□否
　□有□无
　□是□否 　
　5.视频监控 　视频监控设备清晰、有效 　□是□否 　
　6.门禁信息系统 　门禁信息系统功能是否正常 　□正常□不正常 　
　7.防盗报警器 　红外防盗报警器功能是否正常 　□正常□不正常 　
　8.机房出入人员登记表 　外来人员进出机房登记 　□是□否 　
　9.机房电力供应等 　电力切换演习记录
　UPS容量、负载情况
　电池供电时间
　配电房定期检修
　空调运行情况（空调供水、排水情况） 　□有□无
　（ ）
　（ ）
　□有□无
　□正常□不正常 　
　10.消防 　烟感、温感
　消防报警信息系统
　定期演练 　□正常□不正常
　□正常□不正常
　□是□否 　
　11.防雷信息系统 　防雷信息系统安装等级
　措施完整、有效(防雷接地、防雷保安器) 　（ ）
　□是□否 　
六、信息安全组织架构与岗位职责
第一章 总则
第一条为有效实施信息安全管理，保障和实施本单位的信息安全，在单位内部建立信息安全管理组织架构，明确相关责任和岗位职责，特制定本规定。
第二章 信息化领导小组
第二条为落实国家信息化安全建设方针政策，根据安徽省、XX市相关文件要求，（XX市民政局）成立网络安全和信息化领导小组，并设置相应职能部门或人员负责各级信息系统安全管理工作。具体的信息安全组织架构和岗位设置如下：
组织 人员组成
网络安全和信息化领导小组 组 长： 书记
副组长： 副书记

网络安全和信息化领导小组办公室 主 任：

网络安全和信息化小组成员 安全管理员：
系统管理员：
审计管理员：
（一）网络安全和信息化领导小组
　　　网络安全和信息化领导小组是（XX市民政局）信息安全工作的最高领导决策机构，负责对本单位的网络和信息安全工作的工作进行整体协调。
　　　（XX市民政局）网络安全和信息化领导小组（以下简称：领导小组）负责组织落实上层决策，领导本单位人员落实具体的网络安全和信息化相关工作。主要工作职责如下：
　　　1）、领导小组负责领导落实国家、安徽省、XX市三个层面提出的安全建设的总体规划，制定本单位的总体规划；
　　　2）、在国家、安徽省、XX市三个层面信息安全总体方针的指导下，组织制定本单位信息系统安全策略并审批上报的信息系统安全策略；
　　　3）、负责组织细化上级规章制度，制定相应程序指南，并监督落实规章制度；
　　　4）、负责本单位信息系统安全管理层以上的人员权限授予工作；
　　　5）、负责审阅信息安全工作报告；负责本单位重大安全事故查处与汇报工作。
（二）网络安全和信息化领导小组办公室
　　　领导小组下设领导小组办公室（以下简称：办公室），办公室成员由本单位各科室负责信息的人员组成，（XX市民政局）队伍建设科科长担任办公室主任，具体负责网络安全和信息化的任务制定和落实工作。具体工作职责如下：
　　　1）、承办领导小组的日常事务，负责组织制定和实施信息安全策略和管理制度。
　　　2）、负责组织制定和实施信息安全技术方案。
　　　3）、负责组织实施信息安全运行监控与审计。
　　　4）、负责组织进行信息安全教育培训。
　　　5）、负责组织制度落实情况检查及责任追究和奖励工作。
　　　6）、负责组织信息安全档案的建立与管理。
（三）网络安全和信息化小组成员
　　　信息安全管理执行组负责信息系统建设和运行维护过程中信息安全管理的具体执行工作，具体包含的岗位和职责的描述如下。
?安全管理员
　　　1）、负责组织建立、实施和维护信息安全策略、标准、规章制度和各项操作流程。
　　　2）、负责对安全产品购置提供建议，负责组织制定各种安全产品策略与配置规则，负责跟踪安全产品投产后的使用情况；
　　　3）、负责指导并监督系统管理员及普通用户与安全相关的工作；
　　　4）、负责组织信息系统的安全风险评估工作，并定期进行系统漏洞扫描，形成安全评估报告；
　　　5）、根据本机构的信息安全需求，定期提出本机构的信息安全改进意见，并上报信息安全管理部门主管；
　　　6）、定期查看信息安全站点的安全公告，跟踪和研究各种信息安全漏洞和攻击手段，在发现可能影响信息安全的安全漏洞和攻击手段时，及时做出相应的对策，通知并指导系统管理员进行安全防范；
　　　7）、负责组织审议各种安全方案、安全审计报告、应急计划以及整体安全管理制度；
　　　8）、负责参与安全事故调查。
?系统管理员
　　　1）、负责主机操作系统的安全配置（包括及时修补系统漏洞）和日常审计，系统应用软件的安装，从系统层面实现对用户与资源的访问控制；
　　　2）、负责应用系统的日常安全检查和日常维护，联系应用软件开发厂家；
　　　3）、协助安全管理员制定主机操作系统的安全配置规则，并落实执行；
　　　4）、负责主机设备的日常管理与维护，保持系统处于良好的运行状态；
　　　5）、为安全审计员提供完整、准确的主机系统运行活动的日志记录；
　　　6）、在主机系统异常或故障发生时，详细记载发生异常时的现象、时间和处理方式，并及时上报；
　　　7）、编制主机设备的维修、报损、报废计划，报主管领导审核；
?安全审计员
　　　1）、负责定期对主机系统、网络产品、应用系统的日志文件进行分析审计，发现问题及时上报；
　　　2）、负责对信息安全保障管理活动进行独立的监督，提供内部独立的审计和评估工作，并根据需要可以协同外部审计评估机构进行评估和认证，为决策领导提供信息系统和信息安全保障执行状况的客观评价。
七、人员管理制度
第一章 总则
第一条本规范目标在于建立人员管理制度，用于规范对人员管理过程的安全控制。
第二章 术语定义
第二条本单位人员是指单位正式人员，包括试用期人员和借调人员等。
第三章 组织职责
第三条办公室兼任本单位的人力资源部门（以下均称人力资源部门），负责本单位工作人员入职，在岗，离岗等过程涉及的信息安全管理。
第四章 入职管理
第四条人力资源部门确保人员在任用前，在适当的岗位描述、任用条款和条件中明确说明其应履行的信息安全职责，确保其人员理解其信息安全职责，确保人员承担的角色符合单位的信息安全要求。
第五条人力资源部门要对任用的工作人员、候选人员进行充分的审查，特别是对于关键岗位、关键职务人员，以及其他会大量接触敏感信息的人员。
第六条人员筛选
(一)人力资源部门负责组织对单位各个职位的候选人员进行筛选、对候选人员涉及信息安全方面的资料核实和背景调查。
(二)对工作人员的背景调查应在申请职位时进行。调查包括以下内容：
　　　1、是否有适当的推荐人，申请人的工作能力和个人职业道德情况；
　　　2、监管部门要求；
　　　3、其它需要调查的内容。
(三)各科室负责人可根据本科室对上岗工作人员的特殊要求，提出必要的附加调查内容，并反馈给人力资源部，以便选出合适的人员。
第七条出于背景调查目的收集、处理被调查人员信息时，应在不违反相关的法律法规的前提下进行。
第五章 在岗管理
第八条工作人员需申请使用单位网络访问权限或应用系统帐号，必须通过相关科室审批通过后，才能授予工作所需的最小权限。
第九条工作人员工作岗位发生变化时，必须通过相关科室审批，对其访问权限进行相应的调整。
第十条人力资源部门应当对单位的所有工作人员进行与其工作职能相关的信息安全意识培训和教育。
第六章 纪律处理过程
第十一条对违反纪律的人员做如下处理：
(一)对于信息安全违规的人员，在正式纪律处理之前应有一个信息安全违规的确认；
(二)正式的纪律处理过程应确保正确、公平、公正地对待被怀疑信息安全违规的工作人员；
(三)对内部工作人员的具体纪律处理执行部门行政处罚管理规定。
第七章 调动管理
第十二条人员调动由调入科室提出调动申请，经调出科室负责人、相关领导和人力资源部批准后，发起人员转岗流程。
第十三条转岗人员在科室负责人的监督下完成工作交接和工作资料交接，包括个人办公电脑中业务资料的交接工作。
第十四条调岗人员岗位变动后的系统使用权限依照相关规定进行申请。
第十五条由人力资源部门负责流程抄送相关业务科室，由其协调所在科室完成对新入人员使用业务系统的调整审批工作，由人力资源部门完成具体的权限调整操作。
第十六条转岗人员在完成工作交接后，如果新工作不需要使用到原工作中的业务资料，其个人办公电脑硬盘由人力资源部门负责进行数据清除，清除方式包括格式化或使用专用工具进行安全擦除。如果新工作需要使用到原工作中的业务资料，其个人办公电脑硬盘可以不进行数据清除工作。
第十七条如果人员转岗限在单位范围内，人力资源部门负责为转岗人员办理办公电脑和其他办公用品的变动手续；如果是人员在机构间调动，由人力资源部门为其办理办公电脑和其他办公用品的回收手续。
第十八条如果是人员在机构间调动，财务部负责转岗人员的财务欠款追缴或未报销帐目报销工作。
第八章 离岗管理
第十九条任用变更与终止职责
(一)应清晰的定义和分配工作人员任用变更或任用终止的职责。
(二)变更或终止的传达应包括安全要求和法律职责，必要时还应包括任何保密协议规定的职责，并且在工作人员任用结束后持续一段时间仍然有效的任用条款和任用合同等。
(三)必要时，在工作人员的合同中应包含相关职责和义务在任用终止后仍然有效的内容，如保密方面的要求。
(四)内部工作人员的任用变更或终止由所在科室、人力资源部等负责处理。
第二十条资产归还
(一)所有的工作人员在终止任用合同或协议时，应归还其使用的所有单位资产。需要交接的信息资产包括计算机设备、工作证、纸质文件资料和存储于电子介质中的文档、数据等。转岗或离岗人员办公电脑中的数据由其所在科室决定如何处置，归还后的办公电脑操作系统盘由人力资源部门或相关科室安全管理员进行格式化。
(二)当工作人员在单位工作期间，利用单位信息资产产生信息及其知识产权，除另有约定外，属于单位所有。
第二十一条变更、撤销访问权限
(一)所有工作人员对信息和信息处理设施的访问权限应在岗位发生变更时进行调整或在任用终止时注销或删除。
(二)应注销或删除或改变访问权的内容包括物理访问授权、逻辑访问授权。必要时，在对信息和信息处理设施的访问权限进行变更或终止前需要进行风险评估。
八、网络安全培训和考核管理规定
第一章 总则
第一条为了提高单位员工网络安全意识和相关人员的安全技能，向单位工作人员宣讲网络安全管理的各项法规制度，将可能的风险降到最低，明确网络安全培训与考核管理过程与职责，特制定本规定。
第二章 组织职责
第二条网络安全培训与考核工作由队伍建设科负责组织、筹备，须遵循相关的培训制度。
第三条安全管理员负责具体落实具体的培训与考核内容、培训与考核形式、登记汇总以及相关事宜。
第三章 安全培训管理程序
第四条安全培训主要包括安全意识培训和安全技能培训。
（一）、安全意识培训会因不同的对象有所调整，建议积极参与，在某些情况下可以要求有关的第三方机构组织参加。培训的内容可以包括：
?对部门工作人员进行必要的网络安全教育培训，让其了解和掌握网络安全法律法规，加强安全意识。
?在单位组织举办一年一次的业务学习班。由专业人员进行业务培训。
?根据单位业务发展需要，对相关业务骨干人员组织精准送培，到相关业务单位进修。
?为强化在岗培训效果，单位定期组织多种形式的培训考核。
（二）、安全技术培训主要是针对信息处理设备使用者或管理人员进行的，如系统安全配置，开发安全配置等IT安全技术相关内容。
第五条培训类型可采用内部培训或外部培训（聘请外部专家），由专家顾问以及其他专业人员对员工进行培训，网络安全培训应由安全管理员进行汇总登记。
第六条安全培训的工作安排：
（一）、安全意识培训
?安全意识培训工作应当由队伍建设科负责组织和准备，在其他部门的配合下开展。
?单位工作人员应该积极参加关于网络安全方面的培训。
?新进工作人员应当在入职后3个月内参加网络安全培训。
?关键/敏感岗位的人员的变动应当开展相关的岗位培训。
?对网络安全政策、制度、标准的重大调整、更新必须组织相关培训，保证所有人员及时了解、掌握变更内容。
?用户在使用任何信息技术设施前（包括软件和硬件），必须接受完整的培训，特别是应当包括单位各项使用规定。
（二）、安全技术培训
?队伍建设科负责组织培训工作，安全技能培训的教材、课程应当由安全管理员负责，保证所有需要参加培训的人员都能及时的参加必要的安全技能培训。
?当系统的新建、升级对用户使用产生影响时，必须事先开展必要的针对用户的培训，及时掌握最新的安全技术。
第五章 安全考核管理程序
第七条网络安全考核至少一年进行一次全面的网络安全考核，由队伍建设科负责组织相关人员成立考核小组进行网络安全考核工作。
第八条由安全管理员制定关键网络安全关键岗位考核内容，考核内容应包括安全管理制度落实情况、安全培训情况以及安全技能相关内容。
第九条网络安全关键岗位考核内容应根据不同岗位进行区分。
九、第三方机构安全管理规定
第一章 总则
第一条为了加强对第三方机构的安全管理，明确定义第三方机构必须遵守的安全管理规定以及服务交付的安全要求等，特制定本文件。
第二章 术语定义
第二条第三方机构是指所有进入本单位内部提供相关技术服务的非本单位人员（包括但不限于供应商、合作厂商、服务商）。
第三条第三方机构人员分为临时来访人员和驻场外包人员。临时来访的第三方机构人员是指来本单位时间周期较短的人员，包括进行业务交流的人员，临时来访参观的人员等；驻场外包的第三方机构人员是指来访时间较长的第三方机构技术服务人员，包括项目建设人员，外来信息系统值守人员，外来信息系统维护人员等。
第三章 组织职责
第四条办公室及相关业务科室负具有对第三方机构及人员的管理职责，采用“谁接洽、谁负责，谁主管、谁负责”的原则。
第五章 驻场外包人员安全管理要求
第五条驻场工作的外包人员应遵守单位各项管理制度和外包合同中约定的各种条款。
第六条驻场工作的外包人员应与单位签署保密协议。
第七条对于单位驻场外包工作人员的各种资质，应由相应项目的单位方项目经理进行审核，并留存复印件进行统一保管。
第八条聘请外包人员的单位或部门应对驻场工作的外包人员进行单位相关安全制度等方面的培训，以提高外包人员的安全意识。
第九条对于长期驻场工作的外包人员，聘请外包人员的单位或部门应定期进行安全意识和单位安全制度执行情况方面的考核。对于考核不合格者，应要求委托外包单位调换工作人员。
第十条驻场外包工作人员由相应项目的单位项目经理负责安排工位、资产领用、申请相应账号及权限、申请网络访问配置信息。
第十一条驻场为外包人员申请账号和权限时，应符合最小权限及实名制原则。
第十二条驻场外包人员在驻场办公时，必须佩戴能够标识外包人员身份的正式或临时工牌，以便安全巡查时能够对各种人员快速识别。
第十三条驻场外包人员在访问机房等受限访问的区域时，应遵守单位《XX市数据资源管理局中心机房管理办法》、《（XX市民政局）机房管理办法》和《（XX市民政局）工作环境管理规定》的有关规定，向机房管理人员提出申请并经批准后，由单位员工全程陪同方可进入受限访问区域， 驻场外包人员进入办公区域应进行登记。
第十四条驻场外包人员不得利用单位的网络、服务器等资源从事未经允许的活动。不得在单位内部未授权使用网络扫描、刺探等软件。不得在未经批准的情况下利用单位办公、生产环境测试新技术、新业务。
第十五条违反以上条款规定的，单位会做出调换驻场外包人员、追究民事及刑事责任等处罚措施。
第六章 临时来访人员安全管理要求
第十六条单位临时来访人员应在前台或保安室进行来访事由、来访人、访问对象等内容的登记，并等待访问对象接待。登记时，来访人应出示身份证明材料。
第十七条临时来访人员在访问单位机房等受限访问区域时，应遵守单位《XX市数据资源管理局中心机房管理办法》、《（XX市民政局）机房管理办法》的有关规定，向机房管理人员提出申请并经批准后，由单位员工全程陪同方可进入。
第十八条临时来访人员自带电子设备未经授权禁止接入单位网络和信息系统。
第十九条临时来访人员与驻场外包人员为同一个单位的，未经单位许可，禁止在外包人员的引领下进入单位任何区域。
第七章 外包服务质量考核与评价
第二十条单位外包项目经理应采取日常考核和定期考核相结合的方式，对外部人员的日常考勤、工作成果、服务质量等方面进行评价。
第二十一条当单位外包项目经理通过外包质量考核发现提供的外包服务有偏差时，应书面通知提供外包服务方的项目经理及时进行调整和改进。
第八章 外包人员离场安全要求
第二十二条外包人员在外包合同到期、被单位提出调离或替换和个人原因离职等情况下应当离场。
第二十三条外包人员离场时要有完整的工作交接清单及接收人签字证明材料。
第二十四条外包人员离场前，要归还领用的单位资产。
第二十五条外包人员离场后，聘请外包人员的单位或部门应按照单位有关流程，及时删除外包人员的账户和权限等。
第二十六条外包人员需对保密协议承诺中持续生效的条款，继续履行保密义务。
十、计算机及网络保密规定
第一条为加强本单位计算机及网络保密工作，根据中央、省委、市委保密委员会有关规定和要求，制定本规定。
第二条单位成立保密工作领导小组，负责指导、检查和督促本单位计算机及网络保密工作，单位网络安全与信息化工作领导小组协助工作。
第三条要加大宣传、加强培训，不断增强单位工作人员计算机及网络安全保密意识。
第四条确定单位档案室计算机为涉密计算机，由办公室具体管理，处理有关涉密信息。其他计算机(含笔记本电脑)均不得处理涉密信息。
第五条单位涉密计算机只连接党政内网，严禁与公共信息网连接，实行登录身份认证，建立使用台帐。
第六条单位用于政务网上公文交换计算机由办公室专人管理，有关用户名、口令及联网方式、技术要严格保密，不得对外提供。
第七条涉密信息应在涉密计算机中存储和处理，禁止通过公共信息网传递。必要时，可在涉密移动存储介质中暂时存储，但处理完毕必须清除信息。除需存档和必须保留的副本外，在处理过程中产生的样品、纸张等必须销毁。
第八条涉密信息存储介质由专人严格保管，不得在涉密计算机与连接公共信息网计算机之间交叉使用。使用存储介质应登记，确需外出携带需经单位保密工作领导小组批准。
第九条单位人员因工作需要查阅有关涉密信息，经单位保密工作领导小组批准后，由单位专职保密员在涉密计算机上操作进行。
第十条不得利用计算机在公共信息网上发布内部消息、泄露国家机密，不得制作、查阅、复制和传播有碍社会治安和不健康的信息。
第十一条对单位涉密计算机及公文交换计算机系统要经常检查，发现隐患及时报告和处理。
第十二条单位涉密计算机的维修、更换、报废，经单位保密工作领导小组批准后，在单位专职保密员监督下进行。
第十三条计算机设备应安装防病毒工具，具有漏洞扫描和入侵防护措施，并进行实时监控，定期检测和杀毒，确保计算机安全、正常运行。
第十四条单位涉密打印机专供单位接收文电和复印、打印有关涉密资料使用，由办公室专人管理和操作。
第十五条单位各科室每季度自查一次计算机及网络保密情况，单位保密工作领导小组每半年对单位计算机及网络保密情况进行一次检查，并通报检查结果。
十一、信息系统测试管理办法
第一章 总则
第一条为规范单位业务支撑系统及管理支撑系统（以下统称“业务系统”）上线前的测试流程及上线后的版本升级测试流程，保障业务系统的安全、稳定运行，特制定本办法。
第二条业务系统上线运行及后续补丁版本升级，都必须经过严格的系统测试，严禁未经测试的系统或补丁版本直接上线运行，系统测试通过后方可进入系统验收环节。
第三条本办法用于规范新业务系统上线、常规版本升级前的测试工作，涉及的范围涵盖功能测试、性能测试、可靠性测试、可维护性测试和安全测试。
第四条业务科室组织项目相关方（项目需求部门、项目开发单位、系统使用人员、第三方测试人员）组成系统测试组，负责系统测试的各项工作（以下统称“测试组”）。
第二章 测试组工作职责
第五条严格按软件系统测试流程完成需求申请、测试执行、总结评估等各项测试活动。
第六条负责检查以下测试准入条件，满足条件后才允许启动测试：
(一)项目开发单位提交测试的版本必须基线化，测试过程中不得随意更改；
(二)项目开发单位提交的文档应归档管理，包括开发单位的系统测试报告、系统需求设计文档、版本描述文档、用户手册、系统安装升级手册、联机帮助、缺陷列表等；
(三)项目开发单位提交的系统功能列表须与业务需求部门的原始需求一致；
(四)项目开发单位提交的遗留缺陷列表中，无导致系统宕机等致命缺陷，基本业务和新增功能无严重缺陷。
第七条如遇以下测试终止条件，测试组应暂停或终止测试活动：
(一)版本初验测试（含基本功能验证测试和缺陷回归测试）未通过；
(二)发现严重缺陷，阻塞后续大量用例无法测试；
(三)项目需求出现重大变更；
(四)测试人力出现较大变更。
第八条负责检查以下测试出口条件，符合条件后才能结束测试：
(一)用例执行覆盖率达到100％；多轮测试后缺陷数明显收敛，系统功能符合需求说明书中规定的需求；
(二)系统无致命问题，经评审发现的问题总数、严重问题个数符合可接受范围；
(三)上一版本承诺解决的致命、严重、紧急问题均通过回归测试；
(四)系统测试报告（或验收测试报告）已通过业务系统项目组审核。
第九条测试过程中如遇以下争议情况，测试组应申请召开争议评定会议，邀请相关人员（测试人员、业务需求部门、项目开发单位、系统使用人员）参加：
(一)测试发现的缺陷是否符合可接受范围，是否允许测试通过；
(二)回归测试未通过的缺陷是否允许暂不解决；
(三)测试版本被打回时，需召开会议审议；
(四)紧急情况下未符合测试准入条件的版本，是否允许测试；
(五)紧急版本为缩短上线测试时间，是否允许裁剪测试流程，是否允许适当降低测试出口标准（紧急版本上线后仍需按标准流程进行补充测试，补齐测试交付件）；
(六)对缺陷的认定有争议（含缺陷严重级别、缺陷承诺解决时间）；
(七)对系统的功能实现及原始需求有争议；
(八)变更已归档或发布的文件。
第十条测试组在整个测试周期应进行严格的配置管理
(一)创建独立的测试管理配置库，有配置管理员负责测试过程文档、阶段性文档的更新和发布；
(二)转测试的版本、补丁和文档应在配置库上基线化，配置管理员按标准制定项目版本号；
(三)各阶段的过程文件应在配置库上留痕和发布；
(四)已归档或发布的文件，需通过评估会议仲裁后，才能变更。
第三章 新业务系统上线测试管理办法
第十一条前期工作
(一)测试人员应在需求分析阶段，了解原始业务需求，提出系统可维护性、可测性需求；在需求功能明确后，启动测试设计活动；
(二)业务系统项目组应在启动测试设计活动前二周提交测试申请，测试组按《信息系统测试流程》要求，准备测试环境、编写测试计划，审批通过后启动测试活动；
(三)若有自动化测试需求，业务系统项目组应在启动测试设计前三周提交自动化测试申请，测试组先对系统进行自动化可行性分析，再按《信息系统测试流程》要求，启动自动化用例设计工作；
(四)测试组预估测试工作量，提前安排测试执行时间，应至少规划1个月时间，安排两轮系统测试、一轮回归测试。
第十二条测试范围
(一)新系统应重点考虑功能、性能、可靠性测试；
(二)运行在不同操作系统、硬件设备上的系统，需考虑兼容性测试；
(三)有大量终端客户使用的系统，需考虑系统易用性和可维护性测试。
第十三条测试方法
(一)新业务系统测试以黑盒测试为主；有前台界面的系统以自动化测试为主，采取手工与自动化相结合的方式；
(二)新业务系统通过系统测试后，必须组织系统使用部门、业务需求部门共同完成正式的验收测试；
(三)有大量终端客户使用的新系统，全面上线前还应安排β测试。在实际使用场所部署新系统，选取一批典型客户试用一段时间，试用期间客户发现的缺陷、提出的意见妥善处理和解决后方可上线。
第四章 常规版本升级测试管理办法
第十四条前期工作
(一)仅修复缺陷的补丁版本，应在启动测试活动前一周提交测试申请，安排1至2轮回归测试；
(二)重大功能升级测试，业务系统项目组应在启动测试前活动前二周提交测试申请，测试组按《信息系统测试流程》要求，准备测试环境、编写测试计划；
(三)重大功能升级版本及原有测试用例覆盖不全的系统，应至少规划一个月的测试设计时间，安排两轮系统测试、一轮回归测试。
第十五条测试范围
(一)重大功能升级测试以功能测试为主，若新增性能指标或系统架构较大变更，还需重点考虑性能、稳定性测试；
(二)补丁版本升级测试以版本初验测试和回归测试为主，版本初验测试重点针对系统的基本业务进行功能测试；回归测试重点验证修复的缺陷，并对缺陷相关联的业务进行功能测试。
第十六条测试方法
(一)常规版本升级测试以黑盒测试为主；功能测试优先考虑自动化方式，问题回归及不适合自动化测试的系统采取手工方式；
(二)拥有大量终端客户的系统，若业务功能或终端界面有较大变化，在系统测试通过后还需安排β测试。β测试期间客户发现的缺陷、提出的意见妥善处理和解决后方可上线。
十二、信息安全建设管理规定
第一章 总则
第一条为了规范信息安全管理，提高信息安全保障能力和水平，维护信息系统安全运行，保障和促进信息化建设，根据《信息安全等级保护管理办法(公通字[2007]43号)》，特制定本规定。
第二章 适用范围
第二条本规定适用于单位信息安全保护建设全生命周期，管理对象为信息安全建设过程中所有管理人员、维护人员、使用人员以及第三方服务机构。
第三章 组织职责
第三条单位在网络安全与信息化领导小组下设立信息安全领导小组，负责信息安全管理工作的监督、检查、指导并协调各个科室之间的协同工作，支持和推动信息安全管理工作在整个单位范围内的实施。
第四条信息安全管理工作小组在信息安全领导小组的指导下负责落实信息安全管理工作的监督、检查、指导信息安全管理工作。
第五条安全管理员负责协调组织单位信息安全管理建设工作，包括系统定级、方案设计、等级备案、等级测评等工作。
第六条单位相关科室或人员协助配合安全管理员进行信息安全建设工作。
第四章 系统定级
第七条信息系统定级坚持自主定级、自主保护的原则。信息系统的安全管理应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
第八条信息系统的安全保护等级分为以下五级：
?第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。
?第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。
?第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。
?第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。
?第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。
第九条由安全管理员根据《GB/T 22240-2019信息安全等级保护定级指南》中信息安全保护定级因素对系统进行定级。
第十条安全管理员制订信息系统定级报告，并组织相关科室和有关安全技术专家对信息系统定级结果的合理性和正确性进行评审，形成评审意见。
第十一条评审通过的定级报告报送上级主管部门进行审批，同时将相关材料报送公安机关网安部门进行备案，换取备案证明。
第五章 安全检查报告
第十二条安全方案设计阶段的目标是根据信息系统的划分情况、信息系统的定级情况、信息系统承载业务情况，通过分析明确信息系统安全需求，设计合理的、满足信息安全要求的总体方案，并制定出安全实施计划，以指导后续的信息系统安全建设工程实施。对于已运行的信息系统，需求分析应当首先分析判断信息系统的安全保护现状与信息安全要求之间的差距。
第十三条安全管理员协调相关部门或人员对信息系统的安全建设进行总体规划，制定近期和远期的安全建设工作计划。
第十四条安全管理员协调相关部门或人员根据信息系统的等级划分情况，统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案。
第十五条网络安全与信息化领导小组负责组织相关部门和有关安全技术专家对系统安全设计方案进行评审和论证（附录一、系统安全设计方案评审表）。
第十六条根据等级测评、安全评估的结果由安全管理员协调相关人员定期调整和修订总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件。
第六章 系统建设
第十七条产品采购和使用应按照国家相关部门要求和单位相关管理制度进行产品采购。
第十八条对于自行、外包软件开发以及项目工程实施过程应按照《XX市数据资源管理局软件开发管理规范》相关要求进行管理。
第十九条系统建设完成后可委托公正的第三方测试单位对系统进行安全性测试，并出具安全性测试报告；根据设计方案或合同要求等制订测试验收方案，在测试验收过程中应详细记录测试验收结果，对不符合信息安全要求的及时进行整改，并形成测试验收报告。
第二十条安全管理员负责对第三方测试单位进行管理，并按照《（XX市民政局）第三方机构安全管理规定》对第三方人员行为准则进行严格管理。
第二十一条安全管理员组织相关部门和相关人员对系统测试验收报告进行审定，并签字确认《附录二、系统测试验收报告评审表》。
第七章 系统备案
第二十二条根据公通字2007（43）号文要求，已运行的第二级以上信息系统，应当在信息安全保护等级确定后30日内，由安全管理员到所在地区的市级以上公安机关办理备案手续。
第二十三条新建第二级以上信息系统，应当在投入运行后30日内，由安全管理员到所在地区的市级以上公安机关办理备案手续。
第二十四条办理信息系统安全保护等级备案手续时，应当填写《信息系统安全等级保护备案表》，第三级以上信息系统应当同时提供以下材料：
?系统拓扑结构及说明
?系统安全组织机构和管理制度；
?系统安全保护设施设计实施方案或者改建实施方案；
?系统使用的信息安全产品清单及其认证、销售许可证明；
?测评后符合系统安全保护等级的技术检测评估报告；
?信息系统安全保护等级专家评审意见；
?主管部门审核批准信息系统安全保护等级的意见。 安全检查工具只能在检查设备或者被检查部门的设备上运行，并由检查人员负责操作。
第八章 系统测评
第二十五条邀请具有等级保护测评资质证书的第三方机构对本单位系统进行等级保护测评，等级保护测评机构应具备如下条件：
?在中华人民共和国境内注册成立（港澳台地区除外）；
?由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）；
?在《中国网络安全等级保护网》推荐目录中能查询到，且从事相关等保测评工作两年以上，无违法记录；
?工作人员仅限于中国公民；
?法人及主要业务、技术人员无犯罪记录；
?使用的技术装备、设施应当符合本办法对信息安全产品的要求；
?对国家安全、社会秩序、公共利益不构成威胁。
第二十六条安全管理员负责对测评机构等级测评过程按照单位相关规定进行管理，负责对测评人员安全保密进行要求，必要时与其签订安全保密责任书，规定应当履行的安全保密义务和承担的法律责任，并负责检查落实。
第二十七条在系统运行过程中，定期进行等级测评，三级及以上系统至少每年对系统进行一次等级测评，发现不符合相应等级保护标准要求的及时整改。
第二十八条在系统发生变更时及时对系统进行等级测评，发现级别发生变化的及时调整级别并进行安全改造，发现不符合相应等级保护标准要求的及时整改。
第九章 系统终止
第二十九条信息系统被转移、终止或废弃时，由安全管理员组织系统相关管理人员提出系统终止申请（附录三、系统转移、终止或废弃申请表），由单位信息安全领导小组（“保密委”）进行审批，方可执行系统转移、终止或废弃。
第三十条审批通过后由安全管理对系统所属软、硬件和介质等敏感信息按照相关规定进行处理。
附录一、系统安全设计方案评审表
日期： 年 月 日
方案名称
参与人员
方案描述
专家意见
附录二、系统测试验收评审表
日期： 年 月 日
测试报告名称
评审人员
交付物
报告内容(须提交测试报告做为附件)：
　　
评审意见：
评审人员：
日期：
附录三、系统转移、终止或废弃申请表
日期： 年 月 日
系统名称：
系统申请调整状态（转移、终止或废弃）：
提出部门： 提出人：
转移、终止或废弃原因说明：
系统所属科室意见：
　　　　　　　　　　　　　　　　　　　　　　　　　　（ 签章 ）
　　　　　　　　　　　　　　　　　　年 月 日
信息安全小组领导意见：
　　　　　　　　　　　　　　　　　　组长签字： 年 月 日
十三、项目管理规定
第一章 总则
第一条为提项目管理能力，保障信息系统项目建设，推动业务发展，促进信息系统项目管理工作规范化，特制定本规定。
第二章 适用范围
第二条本规定适用范围包括项目的立项、启动、计划、实施、监控、收尾等管理过程。
第三章 职责与权限
第三条办公室是信息系统项目的主管部门，负责信息系统项目管理工作，并参与各科室的项目建设管理。
第四条各业务科室对接具体的项目，负责具体的项目各阶段工作。其主要职责包括：
　（一）负责信息系统需求实施可行性分析与评估，组织项目实施方案并要求工程实施单位能正式地执行安全工程过程。
　（二）负责牵头项目立项工作，负责进行项目报批或报备工作。
　（三）负责项目实施任务的技术组织、落实与管理工作。
　（四）制定项目所建信息系统上线工作方案，部署上线投产和推广工作。
　（五）负责项目监控，定期编制项目报告。
　（六）负责技术验收和项目相关文档的管理，报办公室存档
第四章 项目立项
第五条项目立项阶段相关工作一般包括但不限于；
　（一）需求科室经前期准备，确定需求目标和范围，编写需求说明书，明确需求的必要性、合规性、重要性、可行性等，并向信息部门领导提交。
　（二）业务科室发起，组织办公室、审计部门、财务部门、技术专家等对项目需求进行评估。
　（三）拟定项目实施初步方案，包括制定项目计划，编制项目预算表，识别潜在的风险。
　（四）确定项目前期的技术和业务联系人。
　（五）办公室会同业务主管科室，准备项目申报材料，由办公室完成项目报批或报备流程。
　　　报批或报备材料一般包括但不限于：
?项目立项申请表
?项目实施方案（包括项目计划、项目组织架构及资源使用情况等）
?需求说明书
?技术方案
?预算编制表
?其他与项目有关文档，如项目分析报告（可行性、必要性分析）、项目涉及的业务规定、项目审批意见、与该项目相关的前项目总结报告、重要会议纪要等。
?项目需求科室发起项目预算申请。
第五章 项目计划
第六条项目计划阶段相关工作包括但不限于：
（一）细化项目实施方案，包括细化项目范围说明书，制定具体的项目进度计划、资源配置计划、重要里程碑等。
（二）细化技术实施方案。
（三）编写项目管理计划书。
第六章 项目实施
第七条项目实施阶段相关工作包括但不限于：
(一)落实项目计划实施，完成项目所涉及信息系统的设计、开发、测试、设备上线 、系统投产和维护工作。
(二)管理项目进程，作好项目实施过程中信息的发布与报告。
(三)需求部门应积极配合项目实施工作，包括业务需求解释、业务问题协调，需求变更审核、用户验收测试，确认项目的实施结果及上线方案等工作。
第七章 项目监控
第八条项目监控是对项目计划所确定的范围、时间、费用、资源、质量和风险等目标进行监测，识别并纠正问题和偏差，控制出现的变更，从而使项目按计划推进。
第九条项目监控过程中，项目组应及时识别风险，跟踪已识别的信息系统项目风险，检测剩余风险，配合风险管理等工作开展。
第十条项目组须及时收集项目的信息，按月编制项目报告，向办公室汇报项目状态、进展。项目报告中须包括该周期项目完成工作、下一周期项目计划、项目里程碑完成情况及项目重大问题列表等。
第八章 项目收尾
第十一条项目收尾包括与结束项目相关的所有活动。一般包括项目费用决算、项目后评估、项目文档整理归档、项目关闭等工作。
第十二条项目完工后，项目相关文档应整理归档并妥善保存。项目文档包括但不限于：
(一)项目立项申请文档，如业务需求文档、项目实施方案、项目预算编制表、项目分析报告、项目涉及的业务管理规定或规定等。
(二)项目商务文档，如询价文档、招投标文档、合同等。
(三)项目实施文档，如概要设计、详细设计、技术方案、操作手册、测试文档等。
(四)项目管理文档，包括项目评估报告、会议纪要等。
第十三条当项目相关活动均结束后，项目组编制项目总结报告，进行项目关闭。项目关闭须经业务科室、办公室确认。
十四、工作环境管理规定
第一章 总则
第一条为加强单位办公区域的安全管理，保护内部机密信息，确保单位信息资产安全，规范员工和“第三方机构”人员在单位办公区域的行为，特制定本规定。
第二章 适用范围
第二条本规定适用于（XX市民政局）各科室员工和第三方机构人员。
第三章 术语定义
第三条办公区域是指单位内部员工日常办公工作所处的工作区域。
第四章 办公区域访问控制
第四条应在工作环境内划定重要办公区域，对重要办公区域的访问应严格限制，未经许可，员工不得擅自进入严格限制的办公区域，如设备室和存储介质室等。
第五条未经许可和授权，任何人员禁止将办公区域的计算机、笔记本、硬盘、存储介质以及移动介质带离单位。
第六条在员工离职时，收回所有员工使用的技术资料和存储介质，以及其他访问权（例如工卡、办公室钥匙等）。
第七条接待人员应自觉保守秘密，不得向“第三方”人员透露业务范围之外的技术、商务情况，不随意承诺不在授权范围之外行事，已经承诺和双方达成意向的事宜应当作正式记录。
第八条第三方机构人员进入单位的办公区域应遵照《（XX市民政局）第三方机构安全管理规定》中的相应规定。
第五章 办公环境安全
第九条员工在下班后桌面上不能有密级纸件文档、磁介质等。下班前，应关闭个人使用设备的电源，并对办公室内公用设备进行检查。员工离开座位超过30分钟，桌面上不能有密级相关文档。
第十条密级文档应放在抽屉或保密柜内，或交资料室统一保存。存放机密文件的保密柜必须上锁或设置密码，由专人统一管理。
第十一条有单独办公室的员工，在离开办公室时必须锁门。
第十二条当办公室无其他员工时，离开时必须锁门。
第十三条妥善保管好单位和个人的贵重物品和仪器，下班后贵重物品和仪器必须存放在保密柜内。保险柜必须上锁或设置密码。
第十四条员工调离部门或更换办公室时，必须立即交还办公室钥匙以及相关公用设备。
第十五条维护人员进入办公区域进行设备维修时，应事先和相关部门取得联系，在维修的过程中应有专人进行监督。
第十六条复印机等设备由办公室统一管理，员工使用复印机等设备应按有关规定进行，对复印后作废的纸张应及时销毁。
第十七条指定的义务消防员要积极配合物业部门做好办公室防火安全工作，配合做好大楼消防系统的设备维护工作，熟悉配备的各种灭火器具的使用，并积极配合和接受主管部门对办公区域的安全检查。
第七章 办公用计算机安全
第十八条员工应自觉遵守职业道德，有高度的责任心并自觉维护单位的利益，不利用计算机私自收集、泄漏单位秘密信息。
第十九条禁止员工利用单位网络传播和散布与工作无关的文章和评论，特别是破坏社会秩序的文章或政治性评论。
第二十条计算机口令的设置
　　　（一）员工在使用自己所属的计算机时，应该设置开机、屏幕保护和目录共享口令；
　　　（二）用户口令应当同时包含大、小写字母、数字和特殊字符的组合，口令长度最好大于12个字符，不能少于8位，不使用弱口令（例如用户名、姓名的拼音等），不得写在纸上或记录于文件中；
　　　（三）口令至少每个季度更改一次，且不得重复。
第二十一条计算机设备的使用
　　　（一）员工不得私自在办公的计算机设备上装配并使用可读写光驱、磁带机、磁光盘机和USB硬盘等外置存储设备；
　　　（二）员工不得私自开启办公计算机机箱，确有需要，应当向相应部门提出申请；
　　　（三）员工不得私自将配备的工作用计算机转借给他人使用。
第二十二条便携机的使用
　　　（一）在外出办公时，不要使便携式设备处于无人看管状态；
　　　（二）如果物理锁定功能可用，只要便携式设备不在使用时就应该采用该功能；
　　　（三）如果便携式计算机设备被盗，应立即向当地公安机关报案；
　　　（四）不允许将便携式计算机借给无关人员操作，防止程序或数据遭到破坏。
第二十三条移动介质的使用
　　　（一）含有敏感信息的文件存放在移动介质中时，必须加密；
　　　（二）不得在移动介质中长期存贮含有敏感信息的文件，使用完毕后必须及时删除，必要时做低级格式化或者销毁；
　　　（三）不得通过移动介质传播病毒或者恶意程序。
第二十四条软件使用
　　　（一）员工应安装单位规定且拥有版权的操作系统和工具软件，不得私自安装与工作无关的应用软件，特别是盗版软件；
　　　（二）员工应当安装、运行单位规定的防病毒软件并及时升级，对单位公布的防病毒措施应及时完成，不得私自安装运行未经单位许可的防病毒软件；
　　　（三）如果员工发现防病毒软件不能有效清除的病毒，应立即报告有关部门，在问题处理前禁止使用感染病毒的文件；
　　　（四）员工不得制造、传播计算机病毒；
　　　（五）员工在安装xx操作系统时，如无特殊需要，不得安装IIS、xx、FTP等不必要的服务；
　　　（六）员工不得安装、使用黑客工具软件，不得安装影响或破坏单位网络运行的软件；
　　　（七）对本机上的保密文件，应采取适当的加密措施，并妥善存放。
第二十五条网络使用
　　　（一）未经允许，员工不能随意更改自己的IP地址；
　　　（二）办公网络标准协议为TCP/IP，非工作需要不得启用任何其它网络协议，如SPX/IPX，xx等；
　　　（三）未经批准，员工不能在单位内部私自拨号上网；
　　　（五）员工因工作需要在计算机上安装两块或多块网卡并连接到不同网络设备时，应提出申请由网络管理员负责安装和调试，同时应注意在计算机上不要启动路由网关功能；
　　　（六）员工不应私自更改到网络设备的连接，需要变动时应提出申请，由网络管理员负责更改。
第二十六条电子邮件系统的使用
　　　（一）员工如收到可疑的电子邮件，不要打开并及时通知有关部门处理，以免感染上可能存在的病毒；
　　　（二）外部电子邮件的附件在使用前应进行病毒检查，确保无病毒后才能使用；
　　　（三）在收到来自内部员工发来的含有病毒的邮件，除自己进行杀毒外，还应及时通知对方杀毒；
第二十七条互联网
　　　（一）员工不应利用单位上网资源访问与工作无关的站点，特别是淫秽、游戏、反动等类型的网站；
　　　（二）员工不应利用单位网资源下载与工作无关的文件；
第二十八条远程拨号（拨入）
　　　（一）远程拨号用户须严格控制，应当由部门负责人确认；
　　　（二）远程拨入单位内部的员工须使用一次性口令、VPN技术或采用回拨功能；
　　　（三）远程拨号用户不得将拨入号码告知他人。
第二十九条其它
　　　（一）员工不得私自开设WWW、FTP、xx、BBS和NEWS等服务；
　　　（二）员工不得私自设立拨号接入服务；
　　　（三）员工之间不得私下互相转让、借用IT资源的账号，如电子邮件账户；
　　　（四）在工作岗位调动或离岗时，员工应主动移交各种应用系统的账号；
　　　（五）员工完成应用系统的操作或离开工作岗位时，应及时退出应用系统；
　　　（六）员工离开自己办公计算机时，应将计算机屏幕锁定；
　　　（七）员工如果发现计算机被入侵，应马上通知相关安全部门，按相关规定操作。
第八章 监督和检查
第三十条各科室在办公区域的安全管理上应接受有关职能部门的监督和检查，在计算机的使用上应接受信息安全等级保护工作小组的监督和检查，对在检查中提出的问题要及时整改。
第三十一条各科室领导及管理员应当对本部门计算机用户进行有效监督和管理，对违反管理规定的行为要及时指正，对严重违反者要立即上报。
十五、信息系统资产管理规定
第一章 总则
第一条为了识别本单位的信息资产，指定资产责任人以及确定相关职责，识别资产可接受的使用来对信息资产进行适当保护，防止未授权的访问，特制定本规定。
第二章 适用范围
第二条本文件适用于（XX市民政局）各业务系统相关的信息资产。
第三章 术语定义
第三条信息资产：同信息系统相关的对组织有价值的事物，如计算机硬件和软件、数据、服务和文档等。
第四章 职责
第四条业务系统管理员负责信息资产分类、赋值、标识以及维修管理。
第五章 资产分类
第五条信息资产识别是指按照规定属性对各类信息资产的辨认和区分，包括信息资产识别、分类和登记等项工作。为了便于管理，将资产进行分类，具体分为：
(一)主机设备：各类承载业务系统和软件的计算机系统及其操作系统，包括安装在服务器上各类应用系统以及构建系统的平台软件（数据库，中间件、群件系统、各商业软件平台等）
(二)网络设备：如交换机、负载均衡、光纤转换器、路由器、缓冲服务器、调制解调器、多层交换机，无线***P、***C、B***S、Hub、R***S、VoIP网关等构成信息系统网络传输环境的设备
(三)存储设备 如磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等
(四)安全设备：VPN网关、防火墙、内容过滤网关、入侵检测系统、防病毒网关、加密机、安全网闸等构成信息系统信息安全环境的设备，软件；
(五)办公设备工作站、台式计算机、便携计算机等
(六)业务信息和技术文档等
(七)其他设备打印机、复印机、扫描仪、传真机等
第六章 资产分级
第六条信息资产的安全价值由资产的机密性价值、完整性价值和可用性价值三部分组成。
第七条根据资产在业务价值和可用性上的赋值等级，将资产划分为五级，级别越高表示资产越重要。
5 很高 非常重要，其安全属性被破坏后可能对组织造成非常严重的损失
4 高 重要，其安全属性被破坏后可能对组织造成比较严重的损失
3 中等 比较重要，其安全属性被破坏后可能对组织造成中等程度的损失
2 低 不太重要，其安全属性被破坏后可能对组织造成较低的损失
1 很低 不重要，其安全属性被破坏后对组织造成非常低的损失，甚至忽略不计
第七章 信息资产标识
第八条对所有识别出并进行分类的信息资产，应当进行标识，标识方法可以采用标签、文档标识、数据标识等方法。
第九条对信息资产进行标识时，应标识信息资产的名称、分类、资产编号、资产管理员、重要级别等信息，根据不同的信息资产类别，标识的内容和方法可以有所不同。
第十条在资产标识时，不但要有资产的编号，而且要有资产的分级信息和维护人员信息。
　　　资产编号原则: 地址-人员-X1-X2-X3
　　说明：
　　地址：表示所在物理位置；
　　人员：表示维护人员信息，包括部门，角色等；
　　X1为业务平台信息
　　X2为资产的分类，如主机设备，网络设备等；
　　　X3为资产信息的分级信息。
第十一条当信息资产的管理者、物理位置、重要级别等等信息发生变更时，需要对相应的标识进行变更，变更记录由各信息资产管理者保存后报办公室进行复核存档。
第十二条信息资产的管理者需要维护好自己的所负责的信息的分类清单，并定期回顾更新。
第八章 信息资产维护
第十三条办公室协助信息资产管理者核实和维护信息资产的信息。
第十四条维护应按规定要求对信息资产进行调查，并建立《附件一：信息资产清单》和记录信息资产状况的档案。
第十五条信息资产属性发生变更时，信息资产管理者要及时对《信息资产清单》进行变更、保存，并报办公室复核存档。变更包括地理位置变动、信息资产配置信息、补丁信息等变更。
第九章 闲置报废资产管理
第十六条单位内部各部门根据工作需要申请使用的设备，由申请人填写相应的申请单，由部门负责人审核、批准；对不再使用的设备应及时返回给有关办公室。
第十七条对单位新进的办公设备，办公室首先进行检查、确认，然后对其编号，贴上设备标签，方能使用。
第十八条办公室对单位的每台设备建立档案，做好详细的记录，为设备的定期维护和故障处理提供资料。
第十九条办公室对单位的每台设备进行半年一次的定期维护，在维护的过程中发现问题须及时处理。
第二十条设备出现故障时，设备使用人员应及时告知办公室，不可擅自处理。办公室接到故障通知后及时进行故障排除，不能及时排除的故障应给出说明。
第二十一条网络维护部门每日对单位的局域网及广域网进行检查，检查路由器、交换机、集线器、调制解调器的状态，发现问题及时解决，确保网络正常运行。
第二十二条设备使用人员要爱护自已的设备，并保持设备的清洁，避免非法操作。设备使用部门因某种原因对自用设备进行退库时，应及时通知办公室。
第二十三条设备因更新或故障等原因导致设备报废时，由申请人填写“报废申请单”，申请报废的设备，应与“报废申请单”一起送交设备管理员检验，检验后填写检验结果，经其部门负责人审核，提交主管领导批准。
第二十四条报废设备放置在一个指定的空间。办公室负责具体处理废品工作。
第二十五条旧设备的再利用
　（一）办公室对各部门不再使用的设备进行入库登记，并在设备登记表中注明， 对其各种配件进行检查，对仍有使用价值的设备配件进行再利用。
涉及敏感信息或资产级别3级以上的闲置资产应在安全管理员处进行备案。对任何可重用的闲置资产中的内容涉及敏感信息

............试读结束............

查阅全文加微信：3231169

如来写作网：gw.rulaixiezuo.com（可搜索其他更多资料）

本文内容由互联网用户自发贡献，该文观点仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容， 请发送邮件至 3231169@qq.com 举报，一经查实，本站将立刻删除。
如若转载，请注明出处：https://www.rlxzw.com/24605.html