【正文】 行授權(quán)和批準(zhǔn)1應(yīng)具有程序資源庫的修改、更新、發(fā)布文檔或記錄1軟件交付前應(yīng)依據(jù)開發(fā)協(xié)議的技術(shù)指標(biāo)對軟件功能和性能等進(jìn)行驗收檢測1軟件安裝之前應(yīng)檢測軟件中的惡意代碼（該軟件包的惡意代碼檢測報告），檢測工具是否是第三方的商業(yè)產(chǎn)品1應(yīng)具有軟件設(shè)計的相關(guān)文檔和使用指南1應(yīng)具有需求分析說明書、軟件設(shè)計說明書、軟件操作手冊等開發(fā)文檔應(yīng)指定專門部門或人員按照工程實施方案的要求對工程實施過程進(jìn)行進(jìn)度和質(zhì)量控制2應(yīng)具有工程實施過程應(yīng)按照實施方案形成各種文檔，如階段性工程進(jìn)程匯報報告，工程實施方案2在信息系統(tǒng)正式運(yùn)行前，應(yīng)委托第三方測試機(jī)構(gòu)根據(jù)設(shè)計方案或合同要求對信息系統(tǒng)進(jìn)行獨立的安全性測試（第三方測試機(jī)構(gòu)出示的系統(tǒng)安全性測試驗收報告）2應(yīng)具有工程測試驗收方案（測試驗收方案與設(shè)計方案或合同要求內(nèi)容一致）2應(yīng)具有測試驗收報告2應(yīng)指定專門部門負(fù)責(zé)測試驗收工作（具有對系統(tǒng)測試驗收報告進(jìn)行審定的意見）2根據(jù)交付清單對所交接的設(shè)備、文檔、軟件等進(jìn)行清點（系統(tǒng)交付清單）2應(yīng)具有系統(tǒng)交付時的技術(shù)培訓(xùn)記錄2應(yīng)具有系統(tǒng)建設(shè)文檔（如系統(tǒng)建設(shè)方案）、指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)維的文檔（如服務(wù)器操作規(guī)程書）以及系統(tǒng)培訓(xùn)手冊等文檔。2應(yīng)指定部門負(fù)責(zé)系統(tǒng)交付工作應(yīng)具有與產(chǎn)品供應(yīng)商、軟件開發(fā)商、系統(tǒng)集成商、系統(tǒng)運(yùn)維商和等級測評機(jī)構(gòu)等相關(guān)安全服務(wù)商簽訂的協(xié)議（文檔中有保密范圍、安全責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容3選定的安全服務(wù)商應(yīng)提供一定的技術(shù)培訓(xùn)和服務(wù)3應(yīng)與安全服務(wù)商簽訂的服務(wù)合同或安全責(zé)任合同書1采購產(chǎn)品前應(yīng)預(yù)先對產(chǎn)品進(jìn)行選型測試確定產(chǎn)品的候選范圍，形成候選產(chǎn)品清單，是否定期審定和更新候選產(chǎn)品名單1應(yīng)具有產(chǎn)品選型測試結(jié)果記錄和候選產(chǎn)品名單及更新記錄（產(chǎn)品選型測試結(jié)果文檔）1應(yīng)具有軟件設(shè)計相關(guān)文檔，專人保管軟件設(shè)計的相關(guān)文檔，應(yīng)具有軟件使用指南或操作手冊1對程序資源庫的修改、更新、發(fā)布應(yīng)進(jìn)行授權(quán)和批準(zhǔn)1應(yīng)具有程序資源庫的修改、更新、發(fā)布文檔或記錄1軟件交付前應(yīng)依據(jù)開發(fā)協(xié)議的技術(shù)指標(biāo)對軟件功能和性能等進(jìn)行驗收檢測1軟件安裝之前應(yīng)檢測軟件中的惡意代碼（該軟件包的惡意代碼檢測報告），檢測工具是否是第三方的商業(yè)產(chǎn)品1應(yīng)具有軟件設(shè)計的相關(guān)文檔和使用指南1應(yīng)具有需求分析說明書、軟件設(shè)計說明書、軟件操作手冊等開發(fā)文檔應(yīng)指定專門部門或人員按照工程實施方案的要求對工程實施過程進(jìn)行進(jìn)度和質(zhì)量控制2應(yīng)具有工程實施過程應(yīng)按照實施方案形成各種文檔，如階段性工程進(jìn)程匯報報告，工程實施方案2在信息系統(tǒng)正式運(yùn)行前，應(yīng)委托第三方測試機(jī)構(gòu)根據(jù)設(shè)計方案或合同要求對信息系統(tǒng)進(jìn)行獨立的安全性測試（第三方測試機(jī)構(gòu)出示的系統(tǒng)安全性測試驗收報告）2應(yīng)具有工程測試驗收方案（測試驗收方案與設(shè)計方案或合同要求內(nèi)容一致）2應(yīng)具有測試驗收報告2應(yīng)指定專門部門負(fù)責(zé)測試驗收工作（具有對系統(tǒng)測試驗收報告進(jìn)行審定的意見）2根據(jù)交付清單對所交接的設(shè)備、文檔、軟件等進(jìn)行清點（系統(tǒng)交付清單）2應(yīng)具有系統(tǒng)交付時的技術(shù)培訓(xùn)記錄2應(yīng)具有系統(tǒng)建設(shè)文檔（如系統(tǒng)建設(shè)方案）、指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)維的文檔（如服務(wù)器操作規(guī)程書）以及系統(tǒng)培訓(xùn)手冊等文檔。2應(yīng)指定部門負(fù)責(zé)系統(tǒng)交付工作應(yīng)具有與產(chǎn)品供應(yīng)商、軟件開發(fā)商、系統(tǒng)集成商、系統(tǒng)運(yùn)維商和等級測評機(jī)構(gòu)等相關(guān)安全服務(wù)商簽訂的協(xié)議（文檔中有保密范圍、安全責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容3選定的安全服務(wù)商應(yīng)提供一定的技術(shù)培訓(xùn)和服務(wù)3應(yīng)與安全服務(wù)商簽訂的服務(wù)合同或安全責(zé)任合同書六、系統(tǒng)運(yùn)維管理應(yīng)指定專人或部門對機(jī)房的基本設(shè)施（如空調(diào)、供配電設(shè)備等）進(jìn)行定期維護(hù)，由何部門/何人負(fù)責(zé)。應(yīng)具有機(jī)房基礎(chǔ)設(shè)施的維護(hù)記錄，空調(diào)、溫濕度控制等機(jī)房設(shè)施定期維護(hù)保養(yǎng)的記錄應(yīng)指定部門和人員負(fù)責(zé)機(jī)房安全管理工作應(yīng)對辦公環(huán)境保密性進(jìn)行管理（工作人員離開座位確保終端計算機(jī)退出登錄狀態(tài)、桌面上沒有包含敏感信息的紙檔文件）應(yīng)具有資產(chǎn)清單（覆蓋資產(chǎn)責(zé)任人、所屬級別、所處位置、所處部門等方面）應(yīng)指定資產(chǎn)管理的責(zé)任部門或人員應(yīng)依據(jù)資產(chǎn)的重要程度對資產(chǎn)進(jìn)行標(biāo)識介質(zhì)存放于何種環(huán)境中，應(yīng)對存放環(huán)境實施專人管理（介質(zhì)存放在安全的環(huán)境（防潮、防盜、防火、防磁，專用存儲空間））應(yīng)具有介質(zhì)使用管理記錄，應(yīng)記錄介質(zhì)歸檔和使用等情況（介質(zhì)存放、使用管理記錄）對介質(zhì)的物理傳輸過程應(yīng)要求選擇可靠傳輸人員、嚴(yán)格介質(zhì)的打包（如采用防拆包裝置）、選擇安全的物理傳輸途徑、雙方在場交付等環(huán)節(jié)的控制1應(yīng)對介質(zhì)的使用情況進(jìn)行登記管理，并定期盤點（介質(zhì)歸檔和查詢的記錄、存檔介質(zhì)定期盤點的記錄）1對送出維修或銷毀的介質(zhì)如何管理，銷毀前應(yīng)對數(shù)據(jù)進(jìn)行凈化處理。（對帶出工作環(huán)境的存儲介質(zhì)是否進(jìn)行內(nèi)容加密并有領(lǐng)導(dǎo)批準(zhǔn)。對保密性較高的介質(zhì)銷毀前是否有領(lǐng)導(dǎo)批準(zhǔn)）（送修記錄、帶出記錄、銷毀記錄）1應(yīng)對某些重要介質(zhì)實行異地存儲，異地存儲環(huán)境是否與本地環(huán)境相同（防潮、防盜、防火、防磁，專用存儲空間）1介質(zhì)上應(yīng)具有分類的標(biāo)識或標(biāo)簽1應(yīng)對各類設(shè)施、設(shè)備指定專人或?qū)ｉT部門進(jìn)行定期維護(hù)。1應(yīng)具有設(shè)備操作手冊1應(yīng)對帶離機(jī)房的信息處理設(shè)備經(jīng)過審批流程，由何人審批（審批記錄）1應(yīng)監(jiān)控主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的運(yùn)行狀況等1應(yīng)有相關(guān)網(wǎng)絡(luò)監(jiān)控系統(tǒng)或技術(shù)措施能夠?qū)νㄐ啪€路、主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行監(jiān)測和報警應(yīng)具有日常運(yùn)維的監(jiān)控日志記錄和運(yùn)維交接日志記錄2應(yīng)定期對監(jiān)控記錄進(jìn)行分析、評審2應(yīng)具有異?，F(xiàn)象的現(xiàn)場處理記錄和事后相關(guān)的分析報告2應(yīng)建立安全管理中心，對設(shè)備狀態(tài)、惡意代碼、補(bǔ)丁升級、安全審計等相關(guān)事項進(jìn)行集中管理2應(yīng)指定專人負(fù)責(zé)維護(hù)網(wǎng)絡(luò)安全管理工作2應(yīng)對網(wǎng)絡(luò)設(shè)備進(jìn)行過升級，更新前應(yīng)對現(xiàn)有的重要文件是否進(jìn)行備份（網(wǎng)絡(luò)設(shè)備運(yùn)維維護(hù)工作記錄）2應(yīng)對網(wǎng)絡(luò)進(jìn)行過漏洞掃描，并對發(fā)現(xiàn)的漏洞進(jìn)行及時修補(bǔ)。2對設(shè)備的安全配置應(yīng)遵循最小服務(wù)原則，應(yīng)對配置文件進(jìn)行備份（具有網(wǎng)絡(luò)設(shè)備配置數(shù)據(jù)的離線備份）2系統(tǒng)網(wǎng)絡(luò)的外聯(lián)種類（互聯(lián)網(wǎng)、合作伙伴企業(yè)網(wǎng)、上級部門網(wǎng)絡(luò)等）應(yīng)都得到授權(quán)與批準(zhǔn)，由何人/何部門批準(zhǔn)。應(yīng)定期檢查違規(guī)聯(lián)網(wǎng)的行為。2對便攜式和移動式設(shè)備的網(wǎng)絡(luò)接入應(yīng)進(jìn)行限制管理應(yīng)具有內(nèi)部網(wǎng)絡(luò)外聯(lián)的授權(quán)批準(zhǔn)書，應(yīng)具有網(wǎng)絡(luò)違規(guī)行為（如撥號上網(wǎng)等）的檢查手段和工具。3在安裝系統(tǒng)補(bǔ)丁程序前應(yīng)經(jīng)過測試，并對重要文件進(jìn)行備份。3應(yīng)有補(bǔ)丁測試記錄和系統(tǒng)補(bǔ)丁安裝操作記錄3應(yīng)對系統(tǒng)管理員用戶進(jìn)行分類（比如：劃分不同的管理角色，系統(tǒng)管理權(quán)限與安全審計權(quán)限分離等）3審計員應(yīng)定期對系統(tǒng)審計日志進(jìn)行分析（有定期對系統(tǒng)運(yùn)行日志和審計數(shù)據(jù)的分析報告）3應(yīng)對員工進(jìn)行基本惡意代碼防范意識的教育，如告知應(yīng)及時升級軟件版本（對員工的惡意代碼防范教育的相關(guān)培訓(xùn)文檔）3應(yīng)指定專人對惡意代碼進(jìn)行檢測，并保存記錄。3應(yīng)具有對網(wǎng)絡(luò)和主機(jī)進(jìn)行惡意代碼檢測的記錄3應(yīng)對惡意代碼庫的升級情況進(jìn)行記錄（代碼庫的升級記錄），對各類防病毒產(chǎn)品上截獲的惡意代碼是否進(jìn)行分析并匯總上報。是否出現(xiàn)過大規(guī)模的病毒事件，如何處理3應(yīng)具有惡意代碼檢測記錄、惡意代碼庫升級記錄和分析報告 應(yīng)具有變更方案評審記錄和變更過程記錄文檔。4重要系統(tǒng)的變更申請書，應(yīng)具有主管領(lǐng)導(dǎo)的批準(zhǔn)4系統(tǒng)管理員、數(shù)據(jù)庫管理員和網(wǎng)絡(luò)管理員應(yīng)識別需定期備份的業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)（備份文件記錄）4應(yīng)定期執(zhí)行恢復(fù)程序，檢查和測試備份介質(zhì)的有效性4應(yīng)有系統(tǒng)運(yùn)維過程中發(fā)現(xiàn)的安全弱點和可疑事件對應(yīng)的報告或相關(guān)文檔4應(yīng)對安全事件記錄分析文檔4應(yīng)具有不同事件的應(yīng)急預(yù)案4應(yīng)具有應(yīng)急響應(yīng)小組，應(yīng)具備應(yīng)急設(shè)備并能正常工作，應(yīng)急預(yù)案執(zhí)行所需資金應(yīng)做過預(yù)算并能夠落實。4應(yīng)對系統(tǒng)相關(guān)人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)（應(yīng)急預(yù)案培訓(xùn)記錄）4應(yīng)定期對應(yīng)急預(yù)案進(jìn)行演練（應(yīng)急預(yù)案演練記錄）50、應(yīng)對應(yīng)急預(yù)案定期進(jìn)行審查并更新5應(yīng)具有更新的應(yīng)急預(yù)案記錄、應(yīng)急預(yù)案審查記錄。第三篇：信息安全等級保護(hù)工作計劃篇一：信息安全等級保護(hù)工作實施方案 白魯?shù)A九年制學(xué)校信息安全等級保護(hù)工作實施方案為加強(qiáng)信息安全等級保護(hù)，規(guī)范信息安全等級保護(hù)管理，提高信息安全保障能力和水平，維護(hù)國家安全、社會穩(wěn)定和公共利益，保障和促進(jìn)我校信息化建設(shè)。根據(jù)商教發(fā)【2011】321號文件精神，結(jié)合我校實際，制訂本實施方案。一、指導(dǎo)思想以科學(xué)發(fā)展觀為指導(dǎo)，以黨的十七大、十七屆五中全會精神為指針，深入貫徹執(zhí)行《信息安全等級保護(hù)管理辦法》等文件精神，全面推進(jìn)信息安全等級保護(hù)工作，維護(hù)我?；A(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全穩(wěn)定運(yùn)行。二、定級范圍學(xué)校管理、辦公系統(tǒng)、教育教學(xué)系統(tǒng)、財務(wù)管理等重要信息系統(tǒng)以及其他重要信息系統(tǒng)。三、組織領(lǐng)導(dǎo)（一）工作分工。定級工作由電教組牽頭，會同學(xué)校辦公室、安全保衛(wèi)處等共同組織實施。學(xué)校辦公室負(fù)責(zé)定級工作的部門間協(xié)調(diào)。安全保衛(wèi)處負(fù)責(zé)定級工作的監(jiān)督。電教組負(fù)責(zé)定級工作的檢查、指導(dǎo)、評審。各部門依