【正文】 理員、安全管理員等重要崗位（分工明確，各司其職），數(shù)量情況（管理人員名單、崗位與人員對(duì)應(yīng)關(guān)系表）安全管理員應(yīng)是專職人員關(guān)鍵事物需要配備2人或2人以上共同管理，人員具體配備情況如何。應(yīng)及時(shí)終止離崗人員的所有訪問權(quán)限（離崗人員所有訪問權(quán)限終止的記錄）應(yīng)及時(shí)取回離崗人員的各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備等（交還身份證件和設(shè)備等的登記記錄）人員離崗應(yīng)辦理調(diào)離手續(xù)，是否要求關(guān)鍵崗位調(diào)離人員承諾相關(guān)保密義務(wù)后方可離開（具有按照離崗程序辦理調(diào)離手續(xù)的記錄，調(diào)離人員的簽字）對(duì)各個(gè)崗位人員應(yīng)定期進(jìn)行安全技能考核；具有安全技能考核記錄，考核內(nèi)容要求包含安全知識(shí)、安全技能等。2應(yīng)指定部門負(fù)責(zé)系統(tǒng)交付工作應(yīng)具有與產(chǎn)品供應(yīng)商、軟件開發(fā)商、系統(tǒng)集成商、系統(tǒng)運(yùn)維商和等級(jí)測(cè)評(píng)機(jī)構(gòu)等相關(guān)安全服務(wù)商簽訂的協(xié)議（文檔中有保密范圍、安全責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容3選定的安全服務(wù)商應(yīng)提供一定的技術(shù)培訓(xùn)和服務(wù)3應(yīng)與安全服務(wù)商簽訂的服務(wù)合同或安全責(zé)任合同書1采購產(chǎn)品前應(yīng)預(yù)先對(duì)產(chǎn)品進(jìn)行選型測(cè)試確定產(chǎn)品的候選范圍，形成候選產(chǎn)品清單，是否定期審定和更新候選產(chǎn)品名單1應(yīng)具有產(chǎn)品選型測(cè)試結(jié)果記錄和候選產(chǎn)品名單及更新記錄（產(chǎn)品選型測(cè)試結(jié)果文檔）1應(yīng)具有軟件設(shè)計(jì)相關(guān)文檔，專人保管軟件設(shè)計(jì)的相關(guān)文檔，應(yīng)具有軟件使用指南或操作手冊(cè)1對(duì)程序資源庫的修改、更新、發(fā)布應(yīng)進(jìn)行授權(quán)和批準(zhǔn)1應(yīng)具有程序資源庫的修改、更新、發(fā)布文檔或記錄1軟件交付前應(yīng)依據(jù)開發(fā)協(xié)議的技術(shù)指標(biāo)對(duì)軟件功能和性能等進(jìn)行驗(yàn)收檢測(cè)1軟件安裝之前應(yīng)檢測(cè)軟件中的惡意代碼（該軟件包的惡意代碼檢測(cè)報(bào)告），檢測(cè)工具是否是第三方的商業(yè)產(chǎn)品1應(yīng)具有軟件設(shè)計(jì)的相關(guān)文檔和使用指南1應(yīng)具有需求分析說明書、軟件設(shè)計(jì)說明書、軟件操作手冊(cè)等開發(fā)文檔應(yīng)指定專門部門或人員按照工程實(shí)施方案的要求對(duì)工程實(shí)施過程進(jìn)行進(jìn)度和質(zhì)量控制2應(yīng)具有工程實(shí)施過程應(yīng)按照實(shí)施方案形成各種文檔，如階段性工程進(jìn)程匯報(bào)報(bào)告，工程實(shí)施方案2在信息系統(tǒng)正式運(yùn)行前，應(yīng)委托第三方測(cè)試機(jī)構(gòu)根據(jù)設(shè)計(jì)方案或合同要求對(duì)信息系統(tǒng)進(jìn)行獨(dú)立的安全性測(cè)試（第三方測(cè)試機(jī)構(gòu)出示的系統(tǒng)安全性測(cè)試驗(yàn)收?qǐng)?bào)告）2應(yīng)具有工程測(cè)試驗(yàn)收方案（測(cè)試驗(yàn)收方案與設(shè)計(jì)方案或合同要求內(nèi)容一致）2應(yīng)具有測(cè)試驗(yàn)收?qǐng)?bào)告2應(yīng)指定專門部門負(fù)責(zé)測(cè)試驗(yàn)收工作（具有對(duì)系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告進(jìn)行審定的意見）2根據(jù)交付清單對(duì)所交接的設(shè)備、文檔、軟件等進(jìn)行清點(diǎn)（系統(tǒng)交付清單）2應(yīng)具有系統(tǒng)交付時(shí)的技術(shù)培訓(xùn)記錄2應(yīng)具有系統(tǒng)建設(shè)文檔（如系統(tǒng)建設(shè)方案）、指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)維的文檔（如服務(wù)器操作規(guī)程書）以及系統(tǒng)培訓(xùn)手冊(cè)等文檔。對(duì)保密性較高的介質(zhì)銷毀前是否有領(lǐng)導(dǎo)批準(zhǔn)）（送修記錄、帶出記錄、銷毀記錄）1應(yīng)對(duì)某些重要介質(zhì)實(shí)行異地存儲(chǔ)，異地存儲(chǔ)環(huán)境是否與本地環(huán)境相同（防潮、防盜、防火、防磁，專用存儲(chǔ)空間）1介質(zhì)上應(yīng)具有分類的標(biāo)識(shí)或標(biāo)簽1應(yīng)對(duì)各類設(shè)施、設(shè)備指定專人或?qū)ｉT部門進(jìn)行定期維護(hù)。2對(duì)便攜式和移動(dòng)式設(shè)備的網(wǎng)絡(luò)接入應(yīng)進(jìn)行限制管理應(yīng)具有內(nèi)部網(wǎng)絡(luò)外聯(lián)的授權(quán)批準(zhǔn)書，應(yīng)具有網(wǎng)絡(luò)違規(guī)行為（如撥號(hào)上網(wǎng)等）的檢查手段和工具。是否出現(xiàn)過大規(guī)模的病毒事件，如何處理3應(yīng)具有惡意代碼檢測(cè)記錄、惡意代碼庫升級(jí)記錄和分析報(bào)告 應(yīng)具有變更方案評(píng)審記錄和變更過程記錄文檔。第2條 根據(jù)網(wǎng)絡(luò)信息系統(tǒng)的安全設(shè)計(jì)要求及主機(jī)審計(jì)系統(tǒng)數(shù)據(jù)的分析結(jié)果，制定、配置、修改、刪除主機(jī)審計(jì)系統(tǒng)的各項(xiàng)管理策略，并做記錄。第6條 每周對(duì)網(wǎng)絡(luò)信息系統(tǒng)安全管理策略進(jìn)行數(shù)據(jù)備份，并作詳細(xì)記錄。第10條 每周登陸入侵檢測(cè)系統(tǒng)產(chǎn)品網(wǎng)站，下載最新升級(jí)文件包，對(duì)系統(tǒng)進(jìn)行更新，并做詳細(xì)記錄。第14條 涉密計(jì)算機(jī)安全管理由安全保密管理員專人負(fù)責(zé)，未經(jīng)允許任何人不得進(jìn)行此項(xiàng)操作。第18條 新增涉密計(jì)算機(jī)聯(lián)入涉密網(wǎng)絡(luò)，需經(jīng)保密局審批，由安全保密管理員統(tǒng)一進(jìn)行操作，并做詳細(xì)記錄。第三條 本辦法所稱信息安全等級(jí)保護(hù)，是指按國家規(guī)定對(duì)需要實(shí)行安全等級(jí)保護(hù)的各類信息的存儲(chǔ)、傳輸、處理的信息系統(tǒng)進(jìn)行相應(yīng)的等級(jí)保護(hù)，對(duì)信息系統(tǒng)中發(fā)生的信息安全突發(fā)公共事件實(shí)行分等級(jí)響應(yīng)和處置的安全保障制度。信息系統(tǒng)應(yīng)當(dāng)按照信息安全等級(jí)保護(hù)的要求，實(shí)行同步建設(shè)、動(dòng)態(tài)調(diào)整、誰運(yùn)行誰負(fù)責(zé)的原則。第二章 等級(jí)保護(hù)的分級(jí)與實(shí)施第八條 根據(jù)信息系統(tǒng)承載的信息的重要性、業(yè)務(wù)處理對(duì)系統(tǒng)的依賴性以及系統(tǒng)遭到破壞后對(duì)經(jīng)濟(jì)、社會(huì)的危害程度，確定信息系統(tǒng)相應(yīng)的保護(hù)等級(jí)。第十條 基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)保護(hù)等級(jí)，實(shí)行專家評(píng)審制度。第十二條 信息系統(tǒng)建設(shè)完成后，其運(yùn)營、使用單位應(yīng)當(dāng)按照國家有關(guān)技術(shù)規(guī)范和標(biāo)準(zhǔn)進(jìn)行安全測(cè)評(píng)，符合要求的，方可投入使用。第十四條 信息系統(tǒng)的運(yùn)營、使用單位，應(yīng)當(dāng)按照國家有關(guān)技術(shù)規(guī)范和標(biāo)準(zhǔn)，建立信息安全等級(jí)保護(hù)管理制度，落實(shí)安全保護(hù)責(zé)任，采取相應(yīng)的安全保護(hù)措施，切實(shí)保障信息系統(tǒng)正常安全運(yùn)行。分級(jí)響應(yīng)和應(yīng)急處置按照省有關(guān)網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案的規(guī)定執(zhí)行。第十九條 密碼管理部門應(yīng)當(dāng)按照職責(zé)分工依法做好相關(guān)工作，加強(qiáng)對(duì)涉及密碼管理的信息安全等級(jí)保護(hù)工作的監(jiān)督、檢查和指導(dǎo)，查處信息安全等級(jí)保護(hù)工作中違反密碼管理的行為和事件。信息系統(tǒng)運(yùn)營、使用單位，在運(yùn)營、使用中發(fā)生信息安全突發(fā)公共事件、泄密失密事件的，應(yīng)當(dāng)按照應(yīng)急預(yù)案要求，及時(shí)采取有效措施，防止事態(tài)擴(kuò)大，并立即報(bào)告有關(guān)主管部門，配合做好應(yīng)急處置工作。第二十五條 信息系統(tǒng)運(yùn)營、使用單位違反本辦法第十四條規(guī)定，未建立信息安全等級(jí)保護(hù)管理制度、落實(shí)安全保護(hù)責(zé)任和措施的，由公安部門責(zé)令限期改正，并給予警告；逾期拒不改正的，對(duì)經(jīng)營性的處五千元以上五萬元以下罰款，對(duì)非經(jīng)營性的處二千元罰款。第二十八條 有關(guān)信息安全等級(jí)保護(hù)監(jiān)管部門及其工作人員有下列行為之一的，由其主管部門或者監(jiān)察部門對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人依法給予行政或者紀(jì)律處分。第三十一條 本辦法自2007年1月1日起施行。第二十九條違反本辦法規(guī)定，構(gòu)成犯罪的，依法追究刑事責(zé)任。違反本辦法第十五條第二款規(guī)定，基礎(chǔ)信息網(wǎng)絡(luò)與重要信息系統(tǒng)的運(yùn)營、使用單位，未定期對(duì)系統(tǒng)的信息安全狀況進(jìn)行測(cè)評(píng)的，由公安部門責(zé)令限期改正，并給予警告；逾期拒不改正的，對(duì)經(jīng)營性的處二千元以上二萬元以下罰款，對(duì)非經(jīng)營性的處二千元罰款。第二十三條 信息系統(tǒng)運(yùn)營、使用單位違反本辦法規(guī)定，不建立信息系統(tǒng)保護(hù)等級(jí)或者自行選定的保護(hù)等級(jí)不符合國家有關(guān)技術(shù)規(guī)范和標(biāo)準(zhǔn)的，由公安部門責(zé)令限期改正，并給予警告；逾期拒不改正的，處一千元以上二千元以下罰款。（三）組織專家審定信息系統(tǒng)的保護(hù)等級(jí)；（四）為相關(guān)單位提供信息安全等級(jí)保護(hù)的有關(guān)資訊和技術(shù)咨詢；（五）根據(jù)預(yù)案規(guī)定，組織落實(shí)信息安全突發(fā)公共事件的應(yīng)急處置工作；（六）信息安全等級(jí)保護(hù)的其他相關(guān)工作。第三章 監(jiān)督管理第十七條 縣級(jí)以上人民政府公安部門依法對(duì)運(yùn)營、使用信息系統(tǒng)的單位的信息安全等級(jí)保護(hù)工作實(shí)施監(jiān)督管理，并做好下列工作：（一）督促、指導(dǎo)信息安全等級(jí)保護(hù)工作；（二）監(jiān)督、檢查信息系統(tǒng)運(yùn)營、使用單位的安全等級(jí)保護(hù)管理制度和技術(shù)措施的落實(shí)情況；（三）受理信息系統(tǒng)保護(hù)等級(jí)的備案；（四）依法查處信息系統(tǒng)運(yùn)營、使用單位和個(gè)人的違法行為；（五）信息安全等級(jí)保護(hù)的其他相關(guān)工作。基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的運(yùn)營、使用單位，應(yīng)當(dāng)按照國家有關(guān)技術(shù)規(guī)范和標(biāo)準(zhǔn)，每年對(duì)系統(tǒng)的信息安全狀況進(jìn)行一次全面的測(cè)評(píng)，也可以委托有相應(yīng)資質(zhì)的單位進(jìn)行安全測(cè)評(píng)。備案的具體細(xì)則由省公安部門制定。申報(bào)與審定的具體細(xì)則，由省信息化行政主管部門會(huì)同省公安部門制定，并報(bào)省人民政府備案。第九條 信息系統(tǒng)的建設(shè)、運(yùn)營、使用單位，應(yīng)當(dāng)按照國家有關(guān)技術(shù)規(guī)范、標(biāo)準(zhǔn)和本辦法第八條規(guī)定自行選定其信息系統(tǒng)相應(yīng)的保護(hù)等級(jí)。第七條 縣級(jí)以上人民政府公安、國家安全、保密、密碼、信息化等行政主管部門應(yīng)當(dāng)按照國家和本辦法規(guī)定，履行監(jiān)督管理職責(zé)。本辦法所稱信息系統(tǒng)，是指由計(jì)算機(jī)、信息網(wǎng)絡(luò)及其配套的設(shè)施、設(shè)備構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行存儲(chǔ)、傳輸、處理的運(yùn)行體系。省長 呂祖善二○○六年九月三十日第一章 總則第一條 為加強(qiáng)和規(guī)范信息安全等級(jí)保護(hù)管理，提高信息安全保障能力，維護(hù)國家安全、公共利益和社會(huì)穩(wěn)定，促進(jìn)信息化建設(shè)，根據(jù)國家有關(guān)規(guī)定，結(jié)合本省實(shí)際，制定本辦法。第16條 每日對(duì)涉密計(jì)算機(jī)進(jìn)行安全審計(jì)，及時(shí)處理安全問題，并做詳細(xì)記錄，遇有重大問題上報(bào)保密部門。第12條 每周登錄全評(píng)估產(chǎn)品網(wǎng)站，下載最新升級(jí)文件包，對(duì)系統(tǒng)進(jìn)行更新，并作詳細(xì)記錄。第8條 網(wǎng)絡(luò)信息系統(tǒng)安全檢查由安全保密管理員專職負(fù)責(zé)執(zhí)行，未經(jīng)允許任何人不得進(jìn)行此項(xiàng)操作。第4條 根據(jù)網(wǎng)絡(luò)信息系統(tǒng)的安全設(shè)計(jì)要求制定、配置、修改、刪除入侵檢測(cè)系統(tǒng)的各項(xiàng)管理策略，并做記錄。4應(yīng)對(duì)系統(tǒng)相關(guān)人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)（應(yīng)急預(yù)案培訓(xùn)記錄）4應(yīng)定期對(duì)應(yīng)急預(yù)案進(jìn)行演練（應(yīng)急預(yù)案演練記錄）50、應(yīng)對(duì)應(yīng)急預(yù)案定期進(jìn)行審查并更新5應(yīng)具有更新的應(yīng)急預(yù)案記錄、應(yīng)急預(yù)案審查記錄。3應(yīng)有補(bǔ)丁測(cè)試記錄和系統(tǒng)補(bǔ)丁安裝操作記錄3應(yīng)對(duì)系統(tǒng)管理員用戶進(jìn)行分類（比如：劃分不同的管理角色，系統(tǒng)管理權(quán)限與安全審計(jì)權(quán)限分離等）3審計(jì)員應(yīng)定期對(duì)系統(tǒng)審計(jì)日志進(jìn)行分析（有定期對(duì)系統(tǒng)運(yùn)行日志和審計(jì)數(shù)據(jù)的分析報(bào)告）3應(yīng)對(duì)員工進(jìn)行基本惡意代碼防范意識(shí)的教育，如告知應(yīng)及時(shí)升級(jí)軟件版本（對(duì)員工的惡意代碼防范教育的相關(guān)培訓(xùn)文檔）3應(yīng)指定專人對(duì)惡意代碼進(jìn)行檢測(cè)，并保存記錄。2對(duì)設(shè)備的安全配置應(yīng)遵循最小服務(wù)原則，應(yīng)對(duì)配置文件進(jìn)行備份（具有網(wǎng)絡(luò)設(shè)備配置數(shù)據(jù)的離線備份）2系統(tǒng)網(wǎng)絡(luò)的外聯(lián)種類（互聯(lián)網(wǎng)、合作伙伴企業(yè)網(wǎng)、上級(jí)部門網(wǎng)絡(luò)等）應(yīng)都得到授權(quán)與批準(zhǔn)，由何人/何部門批準(zhǔn)。應(yīng)具有機(jī)房基礎(chǔ)設(shè)施的維護(hù)記錄，空調(diào)、溫濕度控制等機(jī)房設(shè)施定期維護(hù)保養(yǎng)的記錄應(yīng)指定部門和人員負(fù)責(zé)機(jī)房安全管理工作應(yīng)對(duì)辦公環(huán)境保密性進(jìn)行管理（工作人員離開座位確保終端計(jì)算機(jī)退出登錄狀態(tài)、桌面上沒有包含敏感信息的紙檔文件）應(yīng)具有資產(chǎn)清單（覆蓋資產(chǎn)責(zé)任人、所屬級(jí)別、所處位置、所處部門等方面）應(yīng)指定資產(chǎn)管理的責(zé)任部門或人員應(yīng)依據(jù)資產(chǎn)的重要程度對(duì)資產(chǎn)進(jìn)行標(biāo)識(shí)介質(zhì)存放于何種環(huán)境中，應(yīng)對(duì)存放環(huán)境實(shí)施專人管理（介質(zhì)存放在安全的環(huán)境（防潮、防盜、防火、防磁，專用存儲(chǔ)空間））應(yīng)具有介質(zhì)使用管理記錄，應(yīng)記錄介質(zhì)歸檔和使用等情況（介質(zhì)存放、使用管理記錄）對(duì)介質(zhì)的物理傳輸過程應(yīng)要求選擇可靠傳輸人員、嚴(yán)格介質(zhì)的打包（如采用防拆包裝置）、選擇安全的物理傳輸途徑、雙方在場(chǎng)交付等環(huán)節(jié)的控制1應(yīng)對(duì)介質(zhì)的使用情況進(jìn)行登記管理，并定期盤點(diǎn)（介質(zhì)歸檔和查詢的記錄、存檔介質(zhì)定期盤點(diǎn)的記錄）1對(duì)送出維修或銷毀的介質(zhì)如何管理，銷毀前應(yīng)對(duì)數(shù)據(jù)進(jìn)行凈化處理。應(yīng)對(duì)各類人員（普通用戶、運(yùn)維人員、單位領(lǐng)導(dǎo)等）進(jìn)行安全教育、崗位技能和安全技術(shù)培訓(xùn)。審批程序：應(yīng)與其它部門之間及內(nèi)部各部門管理人員定期進(jìn)行溝通（信息安全領(lǐng)導(dǎo)小組或者安全管理委員會(huì)應(yīng)定期召開會(huì)議）應(yīng)組織內(nèi)部機(jī)構(gòu)之間以及信息安全職能部門內(nèi)部的安全工作會(huì)議文件或會(huì)議記錄，定期：信息安全管理委員會(huì)或領(lǐng)導(dǎo)小組安全管理工作執(zhí)行情況的文件或工作記錄（如會(huì)議記錄/紀(jì)要，信息安全工作決策文檔等）1應(yīng)與公安機(jī)關(guān)、電信公司和兄弟單位等的溝通合作（外聯(lián)單位聯(lián)系列表）1應(yīng)與供應(yīng)商、業(yè)界專家、專業(yè)的安全公司、安全組織等建立溝通、合作機(jī)制。信息安全領(lǐng)導(dǎo)小組定期對(duì)安全管理制度體系的合理性和適用性進(jìn)行審定，審定周期多長。第四十三條 本辦法所稱“以上”包含本數(shù)（級(jí)）。第六章 法律責(zé)任第四十條 第三級(jí)以上信息系統(tǒng)運(yùn)營、使用單位違反本 辦法規(guī)定，有下列行為之一的，由公安機(jī)關(guān)、國家保密工作部門和國家密碼工作管理部門按照職責(zé)分工責(zé)令其限期改正；逾期不改正的，給予警告，并向其上級(jí)主管部門通報(bào)情況，建議對(duì)其直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員予以處理，并及時(shí)反饋處理結(jié)果：（一）未按本辦法規(guī)定備案、審批的；（二）未按本辦法規(guī)定落實(shí)安全管理制度、措施的；（三）未按本辦法規(guī)定開展系統(tǒng)安全狀況檢查的；（四）未按本辦法規(guī)定開展系統(tǒng)安全技術(shù)測(cè)評(píng)的；（五）接到整改通知后，拒不整改的；（六）未按本辦法規(guī)定選擇使用信息安全產(chǎn)品和測(cè)評(píng)機(jī)構(gòu)的；（七）未按本辦法規(guī)定如實(shí)提供有關(guān)文件和證明材料的；（八）違反保密管理規(guī)定的；（九）違反密碼管理規(guī)定的；（十）違反本辦法其他規(guī)定的。第三十七條運(yùn)用密碼技術(shù)對(duì)信息系統(tǒng)進(jìn)行系統(tǒng)等級(jí)保護(hù)建設(shè)和整改的，必須采用經(jīng)國家密碼管理部門批準(zhǔn)使用或者準(zhǔn)于銷售的密碼產(chǎn)品進(jìn)行安全保護(hù)，不得采用國外引進(jìn)或者擅自研制的密碼產(chǎn)品；未經(jīng)批準(zhǔn)不得采用含有加密功能的進(jìn)口信息技術(shù)產(chǎn)品。信息系統(tǒng)運(yùn)營、使用單位采用密碼進(jìn)行等級(jí)保護(hù)的，應(yīng)當(dāng)遵照《信息安全等級(jí)保護(hù)密碼管理辦法》、《信息安全等級(jí)保護(hù)商用密碼技術(shù)要求》等密碼管理規(guī)定和相關(guān)標(biāo)準(zhǔn)。第三十三條 國家和地方各級(jí)保密工作部門依法對(duì)各地區(qū)、各部門涉密信息系統(tǒng)分級(jí)保護(hù)工作實(shí)施監(jiān)督管理，并做好以下工作：（一）指導(dǎo)、監(jiān)督和檢查分級(jí)保護(hù)工作的開展；（二）指導(dǎo)涉密信息系統(tǒng)建設(shè)使用單位規(guī)范信息定密，合理確定系統(tǒng)保護(hù)等級(jí)；（三）參與涉密信息系統(tǒng)分級(jí)保護(hù)方案論證，指導(dǎo)建設(shè)使用單位做好保密設(shè)