信息安全管理制度规范页脚内容0目录1 信息安全规范 (3)1.1 总则 (3)1.2 环境管理 (3)1.3 资产管理 (8)1.4 介质管理 (8)1.5 设备管理 (9)1.5.1 总则 (9)1.5.2 系统主机维护管理办法 (10)1.5.3 涉密计算机安全管理办法 (14)1.6 系统安全管理 (15)1.7 恶意代码防范管理 (17)1.8 变更管理 (17)1.9 安全事件处置 (18)1.10 监控管理和安全管理中心 (18)1.11 数据安全管理 (19)1.12 网络安全管理 (20)页脚内容11.13 操作管理 (24)1.14 安全审计管理办法 (24)1.15 信息系统应急预案 (25)页脚内容21信息安全规范1.1总则第1条为明确岗位职责，规范操作流程，确保公司信息系统的安全，根据《中华人民共和国计算机信息系统安全保护条例》等有关规定，结合公司实际，特制订本制度。

第2条信息系统是指由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

第3条信息安全系统遵循安全性、可行性、效率性、可承担性的设计原则，将从物理安全、网络安全、支撑层系统安全、应用层系统安全、数据及资料安全几方面进行部署实施。

1.2环境管理第1条信息机房由客户安排指定，但应该满足如下的要求：1、物理位置的选择(G3)页脚内容32、防雷击(G3)3、防火(G3)4、防水和防潮(G3)页脚内容45、防静电(G3)6、温湿度控制(G3)7、电磁防护(S2)页脚内容58、物理访问控制(G3)页脚内容69、防盗窃和防破坏(G3)第2条由客户指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理。

第3条出入机房要有登记记录。

非机房工作人员不得进入机房。

外来人员进机房参观需经保密办批准，并有专人陪同。

第4条进入机房人员不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质、食品等对设备正常运行构成威胁的物品。

严禁在机房内吸烟。

严禁在机房内堆放与工作无关的杂物。

第5条机房内应按要求配置足够量的消防器材，并做到三定（定位存放、定期检查、定时更换）。

加强防火安全知识教育，做到会使用消防器材。

加强电源管理，严禁乱接电线和违章用电。

发现火险隐患，及时报告，并采取安全措施。

页脚内容7第6条机房应保持整洁有序，地面清洁。

设备要排列整齐，布线要正规，仪表要齐备，工具要到位，资料要齐全。

机房的门窗不得随意打开。

第7条每天上班前和下班后对机房做日常巡检，检查机房环境、电源、设备等并做好相应记录（见表一）。

第8条对临时进入机房工作的人员，不再发放门禁卡，在向用户单位保密部门提出申请得到批准后，由安全保密管理员陪同进入机房工作。

1.3资产管理第1条编制并保存与信息系统相关的资产清单，包括资产责任部门、重要程度和所处位置等内容。

第2条规定信息系统资产管理的责任人员或责任部门，并规范资产管理和使用的行为。

第3条根据资产的重要程度对资产进行标识管理。

第4条对信息分类与标识方法作出规定，并对信息的使用、传输和存储等进行规范化管理。

1.4介质管理第1条建立介质安全管理制度，对介质的存放环境、使用、维护和销毁等方面作出规定。

第2条建立移动存储介质安全管理制度，对移动存储介质的使用进行管控。

第3条确保介质存放在安全的环境中，对各类介质进行控制和保护，并实行存储环境专人管理。

第4条对介质在物理传输过程中的人员选择、打包、交付等情况进行控制，对介质归档和查页脚内容8询等进行登记记录，并根据存档介质的目录清单定期盘点。

第5条对存储介质的使用过程、送出维修以及销毁等进行严格的管理，对带出工作环境的存储介质进行内容加密和监控管理，对送出维修或销毁的介质应首先清除介质中的敏感数据，对保密性较高的存储介质未经批准不得自行销毁。

第6条根据数据备份的需要对某些介质实行异地存储，存储地的环境要求和管理方法应与本地相同第7条对重要数据或软件采用加密介质存储，并根据所承载数据和软件的重要程度对介质进行分类和标识管理。

1.5设备管理1.5.1总则第1条由系统管理员对信息系统相关的各种设备（包括备份和冗余设备）、线路等进行定期维护管理。

第2条建立基于申报、审批和专人负责的设备安全管理制度。

第3条建立明确维护人员的责任、涉外维修和服务的审批、维修过程的监督控制的管理制度。

第4条对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理，按操作规程实现主要设备（包括备份和冗余设备）的启动/停止、加电/断电等操作第5条确保信息处理设备必须经过审批才能带离机房或办公地点。

页脚内容91.5.2系统主机维护管理办法第1条系统主机由系统管理员负责维护，未经允许任何人不得对系统主机进行更改操作。

第2条根据系统设计方案和应用系统运行要求进行主机系统安装、调试，建立系统管理员账户，设置管理员密码，建立用户账户，设置系统策略、用户访问权利和资源访问权限，并根据安全风险最小化原则及运行效率最大化原则配置系统主机。

第3条建立系统设备档案（见表二）、包括系统主机详细的技术参数，如：品牌、型号、购买日期、序列号、硬件配置信息、软件配置信息、网络配置信息、系统配置信息，妥善保管系统主机保修卡，在系统主机软硬件信息发生变更时对设备档案进行及时更新。

第4条每周修改系统主机管理员密码，密码长度不得低于八位，要求有数字、字母并区分大小写。

第5条每周通过系统性能分析软件对系统主机进行运行性能分析，并做详细记录（见表四），根据分析情况对系统主机进行系统优化，包括磁盘碎片整理、系统日志文件清理，系统升级等。

第6条每周对系统日志、系统策略、系统数据进行备份，做详细记录（见表四）。

第7条每天检查系统主机各硬件设备是否正常运行，并做详细记录（见表五）。

第8条每天检查系统主机各应用服务系统是否运行正常，并做详细记录（见表五）。

第9条每天记录系统主机运行维护日记，对系统主机运行情况进行总结。

第10条在系统主机发生故障时应及时通知用户，用最短的时间解决故障，保证系统主机尽快正常运行，并对系统故障情况做详细记录（见表六）。

第11条每月对系统主机运行情况进行总结、并写出系统主机运行维护月报，上报保密办。

页脚内容10第12条系统主机的信息安全等级保持要求：1、身份鉴别2、访问控制页脚内容113、剩余信息保护4、入侵防范页脚内容125、恶意代码防范页脚内容136、资源控制1.5.3涉密计算机安全管理办法第1条涉密计算机安全管理由安全保密管理员专人负责，未经允许任何人不得进行此项操作。

第2条根据网络系统安全设计要求制定、修改、删除涉密计算机安全审计策略，包括打印控制策略、外设输入输出控制策略、应用程序控制策略，并做记录。

第3条每日对涉密计算机进行安全审计，及时处理安全问题，并做详细记录（见表十八），遇有重大问题上报保密部门。

第4条涉密计算机的新增、变更、淘汰需经保密部门审批，审批通过后由安全保密管理员统页脚内容14一进行操作，并做详细记录（见表十八）。

第5条新增涉密计算机联入涉密网络，需经保密办审批，由安全保密管理员统一进行操作，并做详细记录（见表十八）。

1.6系统安全管理第1条根据业务需求和系统安全分析确定系统的访问控制策略。

页脚内容15第2条定期进行漏洞扫描，对发现的系统安全漏洞及时进行修补。

第3条安装系统的最新补丁程序，在安装系统补丁前，首先在测试环境中测试通过，并对重要文件进行备份后，方可实施系统补丁程序的安装。

第4条依据操作手册对系统进行维护，详细记录操作日志，包括重要的日常操作、运行维护记录、参数的设置和修改等内容，严禁进行未经授权的操作。

第5条定期对运行日志和审计数据进行分析，以便及时发现异常行为。

第6条信息系统的运行维护由系统管理员负责维护，未经允许任何人不得对信息系统进行任何操作。

第7条根据信息系统的设计要求及实施细则安装、调试、配置信息系统，建立信息系统管理员账号，设置管理员密码，密码要求由数字和字母组成，区分大小写，密码长度不得低于8位。

第8条对信息系统的基本配置信息做详细记录，包括系统配置信息、用户帐户名称，系统安装目录、数据文件存贮目录，在信息系统配置信息发生改变时及时更新记录（见表三）。

第9条每周对信息系统系统数据、用户ID文件、系统日志进行备份，并做详细记录（见表四），备份介质交保密办存档。

第10条当信息系统用户发生增加、减少、变更时，新建用户帐户，新建用户邮箱，需经保密单位审批，并填写系统用户申请单或系统用户变更申请单（见表七），审批通过后，由系统管理员进行操作，并做详细记录。

第11条根据用户需求设置信息系统各功能模块访问权限，并提交保密办审批。

页脚内容16第12条每天检查信息系统各项应用功能是否运行正常，并做详细记录（见表五）。

第13条在信息系统发生故障时，应及时通知用户，并用最短的时间解决故障，保证信息系统尽快正常运行，并对系统故障情况做详细记录（见表六）。

第14条每天记录信息系统运行维护日志，对信息系统运行情况进行总结。

第15条每月对信息系统运行维护情况进行总结，并写出信息系统维护月报，并上报保密办。

1.7恶意代码防范管理第1条通过培训及标识提高所有用户的防病毒意识，及时告知防病毒软件版本，在读取移动存储设备上的数据以及网络上接收文件或邮件之前，先进行病毒检查，对外来计算机或存储设备接入网络系统之前也应进行病毒检查。

第2条信息安全专员对网络和主机进行恶意代码检测并保存检测记录。

第3条定期检查信息系统内各种产品的恶意代码库的升级情况并进行记录，对主机防病毒产品、防病毒网关和邮件防病毒网关上截获的危险病毒或恶意代码进行及时分析处理，并形成报表和总结汇报。

1.8变更管理第1条确认系统中要发生的变更，并制定变更方案。

第2条建立变更管理制度，系统发生变更前，向主管领导申请，变更和变更方案经过评审、审批后方可实施变更，并在实施后将变更情况向相关人员通告。

第3条建立变更控制的申报和审批文件化程序，对变更影响进行分析并文档化，记录变更实施过程，并妥善保存所有文档和记录。

页脚内容17第4条建立中止变更并从失败变更中恢复的文件化程序，明确过程控制方法和人员职责，必要时对恢复过程进行演练。

1.9安全事件处置第1条报告所发现的安全弱点和可疑事件，但任何情况下用户均不应尝试验证弱点。

第2条制定安全事件报告和处置管理制度，明确安全事件的类型，规定安全事件的现场处理、事件报告和后期恢复的管理职责。

第3条根据国家相关管理部门对计算机安全事件等级划分方法和安全事件对本系统产生的影响，对本系统计算机安全事件进行等级划分。

第4条制定安全事件报告和响应处理程序，确定事件的报告流程，响应和处置的范围、程度，以及处理方法等。