信息安全管理制度框架 -三级

信息安全管理制度框架一．安全管理制度
1.1信息技术制度管理办法
总则
组织机构与职责
制度分类
制度的文件格式
制度的制定、发布、修改和废止流程
附则
1.1.1对安全管理制度进行认证和审计的记录
1.1.2制度发布的收发文登记记录
1.1.3安全管理文件体系的评审记录
二．安全管理机构
2.1总体方针和政策
总则
组织机构与职责
信息安全治理原则和目标
信息系统架构
信息安全队伍建设与规划
信息系统建设规划
信息安全风险控制
考核机制
附则
2.2 信息安全管理策略
总则
安全制度管理策略
信息安全组织管理策略
人员安全管理策略
系统开发与维护管理策略
物理与环境安全管理策略
资产管理策略
系统运行管理策略
访问控制管理策略
信息安全事故管理策略
应急处理策略
合规性管理策略
2.3岗位职责文件
总则
组织机构与职责（每一个部门负责的工作内容）
岗位职责
岗位要求
考核机制
附则
2.4安全检查管理办法
总则
组织机构与职责
信息安全检查分类
信息安全检查内容
信息安全检查实施
信息安全检查报告
附则
2.4.1安全检查表格
2.4.2安全检查报告
三．人员安全管理
3.1人员录用、离岗
3.1.1信息技术人员离岗手续记录单
3.2培训考核管理（安全责任）办法总则
组织机构与职责
培训的类别与要求
培训内容
培训安排
培训考核
附则
3.2.1员工培训记录表（安全相关培训）
3.2.2对安全认知和安全技能的考核记录表
3.3信息安全违章行为责任追究办法总则
组织机构与职责
违章行为界定
监督和检查
处罚规定
附则
3.3.1安全惩戒记录表
3.4外来人员安全访问管理办法总则
组织机构与职责
外来人员的分类
基本安全管理
账户管理
计算机设备接入管理
远程访问管理
处罚规定
附则
3.4.1外来人员访问受控区域的审批记录四．系统建设管理
4.1信息系统项目建设管理办法总则
组织机构与职责
电子化建设项目里程碑管理
项目准备阶段
需求分析阶段
方案设计阶段
系统实现阶段
上线运行阶段
项目移交阶段
项目计划与会议管理
问题与风险管理
变更管理
附则
4.1.2安全方案论证和审定的记录表
4.2自主软件开发管理
总则
组织机构与职责
软件开发环境管理
开发过程管理
配置管理
集成测试管理
系统发布管理
附则
4.3外包软件开发管理
总则
组织机构与职责
术语定义
外包软件开发人员管理
外包软件开发项目流程
外包软件开发项目现场实施管理
附则
4.4测试验收管理
总则
组织机构与职责
验收方法与标准
验收内容及程序
验收结论及后续管理
相关责任
附则
4.5.1电子化建设项目验收报告审定表4.5系统交付管理办法
总则
组织机构与职责
部署方案
系统部署
上线运行与运维交接
附则
4.6.1系统交付清单
五．系统运维管理
5.1机房安全管理
总则
组织机构与职责
机房值班管理
机房环境管理
机房维护管理
机房及设备巡视
机房出入管理
机房设备管理
机房空调、电源系统管理
机房消防管理
机房资料管理
附则
5.1.1外来人员进出机房登记表
5.1.2机房巡检表
5.1.3服务器开关机记录表
5.1.4设备进入机房登记表
5.1.5设备带离申请表
5.2办公环境安全管理
总则
组织机构与职责
办公室行为规范
办公室环境管理
办公室安全管理
附则
5.3固定资产管理办法
总则
组织机构与职责
固定资产的计划、审批和购置
固定资产的验收、登记、领用及投保
固定资产的使用、维护、调拨等日常管理
固定资产的折旧、盘点清查、闲置与报废处理固定资产的实物台账管理
固定资产管理员工作交接管理
罚则
附则
5.3.1固定资产台账
5.3.2信息资产登记表
5.4存储介质管理办法
总则
组织机构与职责
介质的检查与维护
介质的传送
介质的备份
介质的移交重用
介质的数据清理
介质的销毁
附则
5.4.1介质归档记录表
5.4.2介质使用登记表
5.4.3介质处理记录表
5.4.4介质的完整性和可用性检查记录表
5.4.5介质恢复验证测试记录表
5.5设备安全管理办法
总则
组织机构与职责
设备的选型、采购
设备的发放和领用
设备的维护和维修
设备的报废
附则
5.5.1设备申购表
5.5.2设备维修记录表
5.6信息资产的分类和标识管理办法总则
组织机构与职责
信息资产分类的定义
信息资产访问控制权限
信息资产的数据保护
信息资产的管理与使用
附则
5.7网络安全管理办法
总则
组织机构与职责
网络结构管理
网络安全管理
网络接入管理
互联网上网管理
安全加固及补丁管理
账户口令及日志审计管理
网络与信息安全风险评估管理
网络漏洞扫描管理
附则
5.7.1外来计算机及存储设备接入公司网络申请表
5.7.2互联网申请表
5.7.3远程接入申请表
5.8系统安全管理办法
总则
组织机构与职责
系统账户管理
操作系统管理
数据库管理
应用软件管理
系统服务与端口管理
访问控制管理
安全审计管理
安全扫描加固管理
升级与补丁管理
附则
5.8.1定期对运行日志和审计数据进行分析的记录表5.9计算机病毒防治管理办法
总则
组织机构与职责
计算机病毒防范管理措施
计算机设备和网络病毒防范管理
计算机病毒疫情监控、上报与处理
计算机病毒防范工作的落实和检查
计算机病毒情况分析
附则
5.9.1防恶意代码软件、木马及补丁情况检查表
5.9.2恶意代码库升级记录表
5.10信息系统变更管理办法
总则
组织机构与职责
变更分类
变更通知
风险评估
变更控制
变更报告
变更流程
附则
5.10.1变更申请表
5.10.2变更记录表
5.11信息系统密码管理办法
总则
组织机构与职责
信息系统密码设置及控制措施
信息系统用户密码使用管理
附则
5.12备份和恢复方面的管理
总则
组织机构与职责
数据备份
数据恢复
备份系统巡检
统计和考核
附则
5.12.1备份策略
5.12.2数据备份需求登记表
5.12.3数据备份记录
5.13安全事件报告和处置管理
总则
组织机构与职责
安全事故分类及分级
安全事故报告
安全事件处理
安全事件恢复
事后培训和教育
附则
5.13.1安全事件报告表
5.13.2安全事件处理记录表
5.14应急预案（制定不同事件的应急预案）总则
组织机构与职责
应急保障
应急启动
应急处理
系统恢复
应急培训
应急演练
附则
5.14.1应急演练记录表
5.14.2应急预案培训记录表。