基于等保2.0的管理制度体系文档

基于等保2.0的管理制度体系文档
XXX
安全管理制度
文档说明
适用范围
本文档是XX单位为规范XX管理制定。

版本变更记录
第一章总体安全方针和安全策略
第一条公司网络安全以满足信息系统运行要求，遵守相关规程，实施等级保护及风险管理，确保网络安全，实现持续改进。

以信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断为总体安全方针。

第二条本制度适用于公司及所属单位网络安全工作。

在全公司范围内给予执行，由信息部门对该项工作的落实和执行进行监督，公司所属单位配合xxx
部门对本制度的有效性进行持续改进。

第三条以谁主管谁负责为原则，加强对网络安全的管理。

第四条建立一套关于物理、主机、网络、应用、数据、建设和管
理等六个方面的安全需求、控制措施及执行程序，并定义相关的安全角色，并对其赋予管理职责。

加强对网络安全工作人员的安全意识培训，不断优化系统分布的合理性和有效性。

第五条安全层面
（一）物理方面：依据实际情况建立机房管理制度，明确机房的出入管理要求，机房介质存放方式，机房设备维护周期及维护方式，机房设备信息保密要求，机房温湿度控制方式等环境要求。

明确机房责任人、建立机房管理相关制度、对维护和出入等过程建立记录等方式对机房安全进行保护。

（二）网络方面：从技术角度实现网络的合理分布、网络设备的实施监控、网络访问策略的统一规划、网络安全扫描以及对网络配置文件等必要信息进行定期备份。

从管理角度明确网络各个区域的安全责任人，建立网络维护方面相关操作办法，并由相关人员或部门监督执行，确保各信息系统网络运行情况稳定、可
靠、正常的运行。

（三）主机方面：各类主机操作系统和数据库系统在满足各类业务系统的正常运行条件下，建立系统访问控制办法、划分系统使用权限、安装恶意代码防范软件并对恶意代码的检查过程进行记录。

明确各类主机的责任人，对主机关键信息进行定期备份。

（四）应用方面：从技术角度实现应用系统的操作可控、访问可控、通信可控。

从管理角度实现各类相应控制办法的有效执行，建立完善的维护操作规程，明确定期备份内容。

（五）数据方面：对本单位或部门的各类业务数据、设备配置信息、总体规划信息等关键数据建立维护办法，并由相关部门或人监督、执行。

通过汇报或存储方式实现关键数据的安全传输、存储和使用。

（六）网络安全管理机制：成立网络安全管理主要机构或部门，设立安全主管等主要安全角色，依据网络安全等级保护三级标准（要求），建立信息系统管理办法。

（七）网络安全管理组织：建立安全管理岗位和机构的职责文件，对机构和人员的职责进行明确。

建立信息发布、变更、审批等流程和
制度类文件，增强制度的有效性。

建立安全审核和检查的相关制度及报告方式。

（八）人员安全管理要求：对人员的录用、离岗、考核、培训、安全意识教育等方面应通过制度和操作程序进行明确，并形成记录文件。

（九）网络安全等级保护工作及风险评估要求：定期对已备案的信息系统进行等级保护测评，以保证信息系统运行风险维持在较低水平，不断增强系统的稳定性和安全性。

（十）报告安全事件要求：对突发安全事件建立应急预案管理制度和相关操作办法，并定期组织人员进行演练，以保证信息系统在面临突发事件时能够在较短时间内恢复正常的使用。

（十一）业务持续性要求：根据对系统的等级测评、风险评估等间接问题挖掘，及时改进信息系统的各类弊端，包括业务弊端，应建立相关改进措施或改进办法，以保证对信息系统的业务持续性要求。

（十二）违反网络安全要求的惩罚：建立惩处办法，对违反网络安全总体方针、安全策略的、程序流程和管理措施的人员，依据问题的严重性进行惩罚。

第二章网络安全组织机构和人员管理
第六条组织机构和人员
（一）组织机构
1．成立信息化（安全）领导小组，组长为单位主要领导。

领导小组是网络安全的最高决策机构，下设办公室挂靠在信息部门，负责领导小组的日常事务。

（1）领导小组下设两个工作组：网络安全工作组、应急处理工作组。

（2）领导小组的职责主要包括：根据国家和行业有关网络安全的政策、法律和法规，批准单位网络安全总体策略规划、安全管理制度体系建设、管理规范和技术标准；确定单位网络安全各有关部门工作职责，指导、监督网络安全工作。

2．网络安全工作组组长由单位信息部门的负责人担任，其主要职
（1）贯彻执行公司信息化（安全）领导小组的决议，协调和规范公司网络安全工作。

（2）根据信息化（安全）领导小组的工作部署，对网络安全工作进行具体
安排、落实。

（3）定期组织对网络安全工作制度和技术操作策略进行审查，根据审查结果对网络安全工作制度进行修订，并拟订网络安全总体策略规划，并监督执行。

（4）负责协调、督促各职能部门的网络安全工作，参与信息系统工程建设中的安全规划，监督安全措施的执行。

（5）组织网络安全工作检查，分析网络安全总体状况，提出分析报告和安全风险的防范对策。

（6）负责接受各部门的紧急网络安全事件报告，组织进行事件调查，分析原因、涉及范围，并评估安全事件的严重程度，提出网络安全事件防范措施。

（7）及时向领导小组和上级有关部门报告网络安全事件。

（8）跟踪先进的网络安全技术，组织网络安全知识的培训和宣传工作。

3．应急处理工作组组长由单位应急部门的主要负责人担任，其主要职责：（1）制定单位网络与信息系统的安全应急策略及应急预案。

（2）决定相应应急预案的启动，负责现场指挥，并组织相关人员排除故障，恢复系统。

（3）每年组织对网络安全应急策略和应急预案进行培训和演练。

（二）网络安全管理员条件
1．网络安全管理员应当政治可靠、业务素质高、遵纪守法、恪尽职守。

2．网络安全管理员应有计算机专业工作三年以上经历，具备专科以上学历。

3．网络安全管理员的配备和变更情况，应向单位主要领导报告、
4．违反国家法律、法规和行业规章受到处罚的人员，不得从事网络安全管理与技术工作。

5．网络安全管理员调离岗位，必须严格办理调离手续，承诺其调离后的保密义务。

6．信息系统关键岗位应与公司签订安全责任书。

（见附件二十二）（三）网络安全管理员职责
1．负责网络安全管理的日常工作，实行多人共同管理制。

2．开展网络安全检查工作，对关键岗位人员安全工作进行指导和监督。

3．负责维护和审查有关安全审计记录，及时发现存在问题，提出安全风险防范对策。

4．开展网络安全知识的培训和宣传工作。

5．监控网络安全总体状况，提出网络安全分析报告。

6．及时向信息化（安全）工作领导小组和单位报告网络安全事件。

7．网络安全管理员发现本单位重大网络安全隐患，有权向上级机构网络安全主管部门报告。

8．网络安全管理员发现信息系统关键岗位人员使用不当，应及时建议部门进行调整。

9．网络安全管理员必须严格遵守国家有关法律、法规和公司有关规章制度，严守公司商业秘密。

（四）关键岗位人员管理
1．信息系统关键岗位人员是指与重要信息系统直接相关的安全管理人员、网络管理人员、系统管理人员等岗位人员。

2．重要信息系统，是指涉及生产、建设与经营、管理等核心业务且有保密要求的信息系统。

3．关键岗位人员上岗前必须经单位人事部门进行政治素质审查，信息化管理部门进行业务技能考核，工作经历和工作经验考查等，合格者方可上岗。

4．关键岗位人员有责任保护信息系统的秘密，并以签署保密协议
的方式作出安全承诺。

5．关键岗位人员上岗必须实行“权限分散、不得交叉覆盖”的原则。

系统管理人员、网络管理人员、系统开发人员、系统维护人员不得兼任业务操作员；系统开发人员原则上不应兼任系统管理员。

6．对关键岗位人员应实行定期考查制度，关键岗位人员应定接受安全培训，加强自身安全意识和风险防范意识。

7．关键岗位人员调离岗位，必须严格办理调离手续，承诺其调离后的保密义务；涉及公司业务保密信息的关键岗位人员调离单位，必须进行离岗审计，在规定的脱密期后，方可调离。

9．关键岗位人员离岗后，必须即刻更换操作密码或注销用户。

10．安全管理人员责任：
（1）负责系统的运行管理，实施系统安全运行细则。

（2）严格用户权限管理，维护系统安全正常运行。

（3）认真记录系统安全事项，及时向网络安全管理员报告安全事件。

（4）对进行系统操作的其他人员予以安全监督。

11．网络管理人员责任：
（1）负责网络的运行管理，实施网络安全策略和安全运行细则。

（2）安全配置网络参数，严格控制网络用户访问权限，维护网络安全正常运行。

（3）监控网络关键设备、网络端口、网络物理线路，防范黑客入侵，及时向网络安全人员报告安全事件。

（4）对操作网络管理功能的其他人员进行安全监督。

12．系统管理人员责任
（1）负责系统维护，及时解除系统故障，确保系统正常运行。

（2）不得擅自改变系统功能。

（3）不得安装与系统无关的其他计算机程序。

（4）维护过程中，发现安全漏洞应及时报告网络安全管理员。

第三章网络安全检查与审计管理
第七条安全检查和审计
（一）安全检查
1．安全检查包括信息系统运维部门自查和负责网络安全的人员定期执行的安全检查。

2．信息系统运维部门的自查内容应包括业务系统日常运行、系统漏洞和数据备份等情况，自查工作应保留自查结果。

自查应至少一个季度组织一次。

3．负责网络安全的人员执行的安全检查内容应包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况和业务人员自查结果抽查等。

安全检查应至少半年组织一次。

4．自查和安全检查均应在检查之前形成检查表，应严格按照检查表实施检查，检查完毕，记录下所有检查结果。

应对检查记录进行归档，只有授权人员可以访问阅读。

应对检查结果进行汇总分析，形成安全检查报告，检查报告应对问
题进行分析，提出解决建议。

5．应制定措施防止安全检查结果的非授权散布，只对经过授权的人员通报安全检查结果。

6．信息系统运维部门应阅读并理解安全检查报告，在网络安全人员的指导下对出现的问题进行整改。

负责网络安全的人员应对整改过程进行监督，并将整改结果报送网络安全领导小组。

（二）安全审计
1．安全审计作为整体审计工作的一个部份，依据审计工作相关管理要求开展安全审计工作。

2．安全审计人员的配备应根据实际情况，采用如下方法的一种，原则上应以独立的安全审计人员为主，其他手段为辅。

（1）由审计人员独立完成，使用具备相应技能的人员完成审计工作；
（2）由审计人员和信息系统运维部门共同完成，信息系统运维部门指派熟悉技术的人员配合审计人员完成审计工作，本情形需注意审计独立的原则，进行交叉审计；
（3）聘请外部专业审计单位完成审计工作。

3．安全审计的内容主要包括：相关法律法规的符合情况；管理部门的相关管理要求的符合情况；现有安全技术措施的有效性；安全配置与安全策略的一致性；安全管理制度的执行情况；安全检查和自查的检查结果及检查报告；日志信息是否完整记录；各类重要记录是否免受损失、破坏或伪造篡改；检查系统是否存在漏洞；检查数据是否具备安全保障措施。

安全审计工作应具有独立性，避免有舞弊的情况发生。

4．安全审计的方式
（1）全面审计：即审计内容覆盖信息系统安全管理范围内的所有部门，以及所有网络安全控制措施要求的检查。

（2）专项审计：即审计内容只涉及部分部门，或部分网络安全控制措施要求的检查。

5．无论是采用全面审计还是专项审计方式，安全审计应每一年对所有的部门，以及所有的网络安全控制措施要求至少进行过一次审计。

6．审计方应积极配合网络安全审计工作，应对审计结果进行确认。

7．安全审计工作中发现的不符合事项应按照审计管理相关制度要求进行改进。

审计部门应将改进过程和结果通告给网络安全工作小组。

第四章信息系统工程实施过程管理
第八条工程实施过程管理
（一）实施过程管理
1．指定或授权专门的部门或人员负责工程实施过程的管理；
2．应确保选择的承建商具有国家或者市信息化主管部门的资质认证；
3．应由专门的项目经理或项目管理部门负责或聘请第三方监理公司协助；
4．自施工准备到竣工验收的各个环节，均需进行技术监督、过程控制和质量检验；
5．应制定详细的工程实施方案控制实施过程，并要求工程实施单位能正式地执行安全工程过程；
6．实行监理制度的工程项目，应充分发挥监理单位在施工活动中
的监督管
理作用，对工程质量、进度、投资进行有效控制；
7．质量检查工作，应以自检为主，自检、互检与专职检查相结合的原则，按照现行的施工质量验收规范执行；
8．施工过程中工程管理人员职责：
（1）认真贯彻与执行国家基本建设方面的政策、法令、法规和要求，严格执行基本建设程序；
（2）认真搜集有关资料，参与调研与技术论证，为编审工作提供证据；
（3）组织设计、施工及有关单位进行施工图纸会审和技术交底；
（4）做好施工前的准备工作，为工程及时开工和顺利施工创造必要条件；
（5）做好施工现场管理，主要是施工技术管理、工程质量的检查与监督工作；
（6）审查施工组织设计和整体施工方案；
（7）严格执行与施工单位签订的施工合同，并及时检查监督合同的执行。

（二）测试验收管理
1．系统测试验收过程中，测试验收的标准至少需要保证功能和安全两方面满足要求，测试工作要由专门人员或部门负责；
2．项目承担单位应按照本办法规定的检查内容要求建立自我检查制度，在对信息系统软件开发和数据库建设的每个阶段和重要技术环节之后都必须进行认真检查，达到规定的系统应用和数据质量控制要求，满足信息业务的需要，并将自检的有关材料报项目组织实施单位备案；
3．系统软件开发完成后，由项目承担单位向项目组织实施单位提出书面预检申请，经过审查同意后，由项目组织实施单位组织专家进行预检，并提交预检
报告；
4．系统软件预检合格后，由项目组织实施单位向项目批准单位提
出书面验收申请，经审查批准后，由项目批准单位组织专家进行验收，并提交验收报告。

5．对于自身缺少测试能力的项目需要委托第三方公司帮助完成测试工作；
6．委托公正的第三方测试单位对系统进行安全性测试，并出具安全性测试报告；
7．在测试验收前，根据设计方案或合同要求等制订测试验收方案，在测试验收过程中详细记录测试验收结果，并形成测试验收报告；
8．对系统测试验收的控制方法和人员行为准则进行书面规定；
9．指定或授权专门的部门负责系统测试验收的管理，并按照管理规定的要求完成系统测试验收工作；
10．组织相关部门和相关人员对系统测试验收报告进行审定，并签字确认。

11．为确保系统的正常测试验收，需满足以下规定：
（1）测试验收单位及其主要负责人应当对系统测试验收报告结论负责；
（2）建立严格的质量审核制度和质量保证体系，严格按照国家有关法律法规规章、技术规范和技术要求，开展测试验收工作和编制测试验收报告，并接受相关人员的日常监督检查；
（3）验收测试报告应当如实反映系统安全状况；
（4）禁止泄露信息系统相关机密信息；
（5）在验收监测或调查过程中不得隐瞒真实情况、提供虚假材料、编造数据或者实施其他弄虚作假行为；
（6）测试验收行为应当严格遵守国家和地方有关规定。

（三）系统交付管理
1．系统交付过程中需明确系统交付的清单，提供详细的系统使用和维护文档，并在可能的情况下对技术人员进行适当的培训，具体内容如下：（1）制定详细的系统交付清单，并根据交付清单对所交接的设备、软件和文档等进行清点；
（2）对负责系统运行维护的技术人员进行相应的技能培训；
（3）应提供系统建设过程中的文档和指导用户进行系统运行维护的文档；
（4）指定或授权专门的部门负责系统交付的管理工作，并按照管理规定的要求完成系统交付工作；
2．系统交付过程中控制方法及人员行为应满足以下规定：
（1）系统交付过程中应保证系统交付清单的真实性；
（2）禁止向外泄露系统相关信息；
（3）在系统交付过程中不得隐瞒真实情况、提供虚假材料、编造数据或者实施其他弄虚作假行为；
（4）系统交付行为应当严格遵守国家和地方有关规定；
（5）不得在系统交付工作中为个人谋取私利；
（6）不得进行其他妨碍系统交付工作的行为，保证廉洁、独立、客观的态度开展工作。

第五章网络安全环境管理
第九条管理策略及内容
（一）网络接入策略
员工必须正确地管理信息系统的接入信息，如分配的IP地址、用户ID和口令，对它们进行保密等，禁止与他人共享这些接入信息。

（二）网络连接的安全管理措施
1．禁止进行非法路由设定、非法拨号连接设定、以及提供非法http/ftp访问服务或E-mail服务等的设定；
2. 在发生计算机病毒或恶意代码感染的安全事件后，发生场合必须立即切断与单位内部网络的连接，上报公司，在安全事件处理完成，确保清除恶意代码后，才可恢复与内部网的连接，该安全事件的处理过程应形成事件处置报告，报信息部门备存；
3. 对于不满足网络安全要求的计算机（如外借后归还部门的计算机，新购入的计算机等），必须进行相应安全设置，符合安全要求后，才能与单位内部网连接。

（三）微软操作系统的计算机安全管理措施。

服务器、测试机、个人计算机、笔记本电脑等安装微软Windows系列操作系统的计算机。

1．所有安装微软操作系统的计算机，必须安装正版防毒软件。

如有特殊原因或需要，不能安装防毒软件，需要取得领导许可，并确保安全。

（1）安装的杀毒软件应实时更新病毒库文件；
（2）防护功能缺省为有效状态；
（3）定期（每周1次）扫描所有文件；
（4）开启Windows update功能确保定期从微软官方网站下载安全补丁。

2．用户管理、口令管理、文件系统的权限设定须符合《服务器系统日常安全维护制度》。

（四）UNIX类操作系统的计算机安全管理措施。

服务器、测试机等安装UNIX/Linux类操作系统（包括Solaris、HPux、Aix、Linux、SuSe等）的计算机。

1．必须关闭不必要的服务。

如因工作需要，必须开启服务的计算机，必须安装服务相关的全部安全补丁；
2．所有安装UNIX/Linux类操作系统的计算机，必须安装对应的正版防毒软件。

如有特殊原因或需要，不能安装防毒软件，需要取得领导许可，并确保安全；
3．用户管理、口令管理、文件系统的权限设定须符合《服务器系统日常安全维护制度》。

（五）桌清和屏清策略。

员工必须遵守针对文件和可移动计算机介质的桌清策略，以及针对个人计算机的屏清策略，以减少非授权访问、丢失和损坏部门资产的风险；桌清和屏清策略适用于任何时间任何地点。

1．桌清说明
（1）含受限信息的文件或计算机介质在不用时必须存放在合适的带锁文件柜或其他形式的防护装置中，特别是在下班后和当办公室无人时；
（2）确保传真机上的信息及时被取走；
（3）受限信息一旦打印出来，必须从打印机处迅速取走；
（4）各部门应督促部门员工切实遵守上述规定，信息部门应安排专人巡查。

2．屏清说明
（1）计算机在无人照管或者不再使用时应立即锁定、注销或关机；
（2）计算机应设定带口令保护的自动定时屏保功能，建议定时利用系统缺
省值（Windows 系统自动定时屏保缺省值不能超过5min）；
（3）各部门应督促部门员工切实遵守上述规定，信息部门应安排专人巡查。

（六）会话超时。

对于不活动的网络连接或会话，应设定在连接或会话不活动超过一定期间后自动中断连接的功能。

重要服务器必须设定连接或会话不活动的超时设定。

（七）无人值守的设备。

服务器等无人值守计算机和设备应采取如下保护措施：
（1）远程计算机登录窗口如临时终止使用，需对远程计算机采取屏清操作，如长期（超过半小时）不使用应终止会话（Logoff）；
（2）若本地计算机登录了远程计算机，本地窗口临时终止时，应先对远程计算机采取屏清操作，再对本地计算机进行屏清操作；
（3）对于无人值守且长期不使用的计算机等设备，应关机。

第六章网络安全教育和培训
第十条培训分类
（一）结合单位目前的实际情况，网络安全培训分为：入职培训、在职继续培训、关键岗位（含安全管理员、安全审计员、系统管理员、数据库管理员、网络管理员、机房管理员等）培训（包含关键岗位的入岗培训、关键岗位的在岗继续培训）。

（二）入职培训专门针对新进员工和新调入关键岗位的员工举办，旨在帮助员工了解本单位或本岗位网络安全的各项要求、尽快适应工作需要的培训。

（三）在职继续培训指不脱离工作岗位，在工作中接受的网络安全类培训。