【正文】 交通行業(yè)數(shù)據(jù)庫、公交行業(yè)數(shù)據(jù)庫、出租行業(yè)數(shù)據(jù)庫、省際客運(yùn)行業(yè)數(shù)據(jù)庫、道路貨運(yùn)行業(yè)數(shù)據(jù)庫、汽修行業(yè)數(shù)據(jù)庫、駕培行業(yè)數(shù)據(jù)庫、公共停車行業(yè)數(shù)據(jù)庫和道路清障救援牽引行業(yè)數(shù)據(jù)庫等，為綜合管理、公共服務(wù)和行業(yè)發(fā)展的決策支持提供數(shù)據(jù)支撐。對于不能確定是否為涉密信息或重要信息的，在對外披露時，必須征得安全責(zé)任人的同意；l 工作人員必須遵守“AAAAA公司”制定并下發(fā)的安全保密管理體系；l 工作人員必須了解安全事件處理流程，并能遵守和使用；l XXXXX有權(quán)對工作人員的計算機(jī)設(shè)備定期審查；l 工作人員登錄或使用AAAAA公司核心網(wǎng)絡(luò)和系統(tǒng)的所有操作，都將被記錄形成日志備查；l 對于自己的計算機(jī)必須設(shè)置開機(jī)口令（所有計算機(jī)在使用之前必須修改由廠商所設(shè)置的原始口令）；若懷疑口令泄露或經(jīng)過廠商維修后必須修改口令；l 當(dāng)離開計算機(jī)時，必須激活帶口令的屏幕保護(hù)程序，或?qū)⑾到y(tǒng)鎖定，或返回登錄狀態(tài)，或關(guān)機(jī)；l 設(shè)置的任何口令，必須是字母、數(shù)字和符號組合，且不少于8位。 離職后信息安全職責(zé)的追蹤和管理l 離職人員應(yīng)明確其離職后仍需擔(dān)負(fù)的安全責(zé)任和義務(wù)，以及違反安全責(zé)任和義務(wù)所引發(fā)的后果；l 如發(fā)生有離職人員違反其應(yīng)負(fù)的安全責(zé)任，按照有關(guān)規(guī)定和離職保密承諾書（見附37）追究其法律責(zé)任；第十三章 外來人員管理制度 第三方人員安全管理第三方人員主要為與我委有業(yè)務(wù)往來的外單位人員，如項目相關(guān)單位、服務(wù)商單位等相關(guān)人員。職責(zé)一般包括：l 歸還資產(chǎn)方面各相關(guān)單位（部門）的職責(zé)；l 撤銷訪問權(quán)方面各相關(guān)單位（部門）的職責(zé)；l 崗位人員變動方面各相關(guān)單位（部門）的職責(zé)；l 離開崗位后還應(yīng)承擔(dān)的責(zé)任，如保密限制等。不斷的提高信息安全防范意識；l 年初由組織統(tǒng)一制定全年的安全意識教育和培訓(xùn)計劃；統(tǒng)一發(fā)布至各部門，并在組織年內(nèi)具體落實；（見附32）l 每半年舉行一次信息安全培訓(xùn)，培訓(xùn)對象包括AAAAA公司所有員工；l 培訓(xùn)內(nèi)容包括信息安全基礎(chǔ)、信息安全崗位操作流程等；對于新錄用的員工，需要單獨進(jìn)行安全培訓(xùn)；l 培訓(xùn)手段多樣化，包括講座、觀看影視資料、學(xué)習(xí)信息安全材料等。 信息安全違規(guī)紀(jì)律處理l 對于信息安全事故和在信息安全檢查中發(fā)現(xiàn)的違規(guī)行為，由根據(jù)有關(guān)考核規(guī)定對該人員進(jìn)行處罰；l 對于情節(jié)特別嚴(yán)重的違規(guī)行為，需向全體人員進(jìn)行通報和宣傳，避免同類問題再次發(fā)生。 保密協(xié)議根據(jù)崗位安全職責(zé)，對重要崗位制定相應(yīng)的保密協(xié)議。如交流與合作內(nèi)容比較正式，且有正式的會議形式，則需要由XXXXX做好會議記錄工作，會議記錄的模板可用信息安全例會的模板代替，但會議主題需注明為“合作溝通”。在發(fā)生大范圍的信息安全事件、有重大信息安全事件發(fā)生、或者有重大信息系統(tǒng)建設(shè)項目時，如有必要，由信息安全領(lǐng)導(dǎo)小組發(fā)起，或者由信息安全工作小組提議，由信息安全領(lǐng)導(dǎo)小組發(fā)起高層信息安全領(lǐng)導(dǎo)小組會議，通知相關(guān)人員參加，及時協(xié)調(diào)各方資源，共同協(xié)作，解決相關(guān)問題，或完成各項部署。在發(fā)生小范圍內(nèi)信息安全事件時如需要，信息安全工作小組可隨時召集發(fā)起信息安全工作會議，通知相關(guān)人員參加，就信息安全管理各項制度和執(zhí)行情況做出及時調(diào)整和部署。f) 離開辦公室應(yīng)注意關(guān)閉電腦、電燈、空調(diào)、飲水機(jī)、打印機(jī)、復(fù)印機(jī)等設(shè)備設(shè)施電源，并檢查門窗是否關(guān)閉上鎖。g) 工作人員調(diào)離辦公室應(yīng)立即交還該辦公室鑰匙h) 不在辦公區(qū)接待來訪人員等2） 個人辦公區(qū)域標(biāo)準(zhǔn)a) 辦公桌椅排放整齊，椅子不得放在走道內(nèi)阻礙通行；b) 桌面上允許擺放的物品包括：電腦、茶杯、常用辦公用品、小飾物（1－2件）及1個月內(nèi)常用資料和工作文件。b) 所有區(qū)域應(yīng)保持清潔衛(wèi)生。需授權(quán)的審批事項如下：事項類型事項名稱負(fù)責(zé)人硬件運(yùn)維硬件維修進(jìn)出機(jī)房服務(wù)器配置變更系統(tǒng)配置變更安全變更特權(quán)用戶授權(quán)（主機(jī)、網(wǎng)絡(luò)）特權(quán)用戶授權(quán)（數(shù)據(jù)庫）系統(tǒng)軟件應(yīng)用變更數(shù)據(jù)庫變更第六章 審核與檢查管理制度 審核與檢查管理制度 定期安全檢查l 由安全領(lǐng)導(dǎo)小組組織專門人員每三個月進(jìn)行安全檢查；l 對包括網(wǎng)絡(luò)、安全設(shè)備、系統(tǒng)、文檔等各方面的安全檢查；l 檢查完畢后提交檢查報告，并由AAAAA公司安全管理員進(jìn)行檢查報告復(fù)核，確定安全檢查結(jié)果，并對于不符合要求的地方提出整改措施并規(guī)定整改期限，以電子郵件或書面形式通知被檢查人員；（詳見附17）l 檢查時針對上一次的檢查結(jié)果進(jìn)行復(fù)查，若發(fā)現(xiàn)仍未整改的，需上報信息安全領(lǐng)導(dǎo)小組并進(jìn)行書面通告。簽字確認(rèn)：_____年_____月_____日備注：AAAAA公司永久存檔AAAAA公司XXXXX安全審計員崗位協(xié)議名字部門職責(zé)范圍：1. 參與制定我局規(guī)章制度和流程，規(guī)章制度和流程培訓(xùn)與宣傳；2. 根據(jù)我局的審計要求制定審計計劃，定期或不定期的開展審計工作，撰寫審計報告，開展風(fēng)險評估，發(fā)現(xiàn)安全漏洞或隱患，提交處理報告和切合實際可操作的處理方案，指導(dǎo)實施；3. 負(fù)責(zé)我局機(jī)房安全審計，負(fù)責(zé)數(shù)據(jù)庫服務(wù)器、數(shù)據(jù)備份與災(zāi)難恢復(fù)審計；4. 負(fù)責(zé)我局操作系統(tǒng)安全審計，關(guān)鍵系統(tǒng)的用戶角色權(quán)限審計；5. 負(fù)責(zé)我局日常信息安全規(guī)章制度和流程的執(zhí)行審計，信息系統(tǒng)環(huán)境安全審計等；6. 對被審計部門提供咨詢、建議、協(xié)調(diào)等服務(wù)和公司領(lǐng)導(dǎo)安排的相關(guān)工作；7. 負(fù)責(zé)對系統(tǒng)管理員、安全管理員的操作行為進(jìn)行審計跟蹤分析和監(jiān)督檢查，及時發(fā)現(xiàn)違規(guī)行為，每月向信息安全中心匯報工作情況；嚴(yán)格遵守保密協(xié)議。13. 加強(qiáng)對信息系統(tǒng)外包業(yè)務(wù)與外包方的管理在與信息系統(tǒng)外包方簽署的服務(wù)協(xié)議中，對信息系統(tǒng)安全加以要求。對信息系統(tǒng)安全檢查并進(jìn)行情況通報。9. 嚴(yán)格遵守保密協(xié)議。AAAAA公司XXXXX系統(tǒng)管理員崗位協(xié)議書名字部門職責(zé)范圍：1. 負(fù)責(zé)保障主機(jī)（包括服務(wù)器設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、數(shù)據(jù)備份）；2. 信息安全日常管理包括系統(tǒng)口令管理、無人值守設(shè)備管理、屏幕保護(hù)、便攜機(jī)管理等，促使每位人員的日常工作符合AAAAA公司的BBBBB系統(tǒng) 的信息安全策略和制度要求。 信息安全管理人員AAAAA公司設(shè)置有系統(tǒng)管理員、安全管理員和安全審計員、應(yīng)用管理員、主機(jī)管理員、機(jī)房管理員，配備多名管理人員和技術(shù)人員承擔(dān)信息系統(tǒng)日常運(yùn)行維護(hù)和管理任務(wù)。l 網(wǎng)絡(luò)管理員、主機(jī)管理員網(wǎng)絡(luò)和主機(jī)管理員的權(quán)限僅次于系統(tǒng)管理員，包括更改系統(tǒng)和網(wǎng)絡(luò)配置，但無法新增用戶。l 對安全檢查中查出的問題和隱患應(yīng)逐一向AAAAA公司交底，并提出整改意見和建議；對查出的重大事故隱患應(yīng)及時通報AAAAA公司結(jié)束后，應(yīng)如實記錄檢查情況，并在檢查記錄上簽字。對檢查結(jié)果和所提的意見和建議負(fù)責(zé)。l 加強(qiáng)對信息系統(tǒng)外包業(yè)務(wù)與外包方的管理，在與信息系統(tǒng)外包方簽署的服務(wù)協(xié)議中，對信息系統(tǒng)安全加以要求。對信息系統(tǒng)安全檢查并進(jìn)行情況通報。l 在應(yīng)用系統(tǒng)變更、重要操作、訪問等的進(jìn)行逐級審批，負(fù)責(zé)日常審批，重大變更需報到AAAAA公司領(lǐng)導(dǎo)小組進(jìn)行核準(zhǔn)和審批后，方可進(jìn)行變更；l 負(fù)責(zé)組織實施應(yīng)用系統(tǒng)各類事故（故障）的應(yīng)急處理。應(yīng)保證系統(tǒng)設(shè)計、開發(fā)過程的安全，重點加強(qiáng)對軟件代碼安全性的管理。主機(jī)管理員任職要求如下：一年以上相關(guān)工作經(jīng)驗。 主機(jī)管理員主機(jī)管理員主要職責(zé)如下：l 負(fù)責(zé)保障主機(jī)（包括服務(wù)器設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、數(shù)據(jù)備份）；l 信息安全日常管理包括系統(tǒng)口令管理、無人值守設(shè)備管理、屏幕保護(hù)、便攜機(jī)管理等，促使每位人員的日常工作符合AAAAA公司的BBBBB系統(tǒng) 的信息安全策略和制度要求。嚴(yán)格對機(jī)房人員和設(shè)備的出入管理，進(jìn)出需登記，外來人員需由相關(guān)管理人員陪同方能訪問機(jī)房。l 明確產(chǎn)品所有者、使用者與維護(hù)者；對所有產(chǎn)品進(jìn)行標(biāo)記，實現(xiàn)信息資產(chǎn)從采購、安裝、調(diào)試、使用、變更到報廢整個周期的安全管理，并且密碼相關(guān)產(chǎn)品符合國家密碼主管部門的要求。l 負(fù)責(zé)AAAAA公司信息系統(tǒng)安全事件管理工作。l 負(fù)責(zé)AAAAA公司基礎(chǔ)平臺系統(tǒng)安全管理，應(yīng)用系統(tǒng)安全管理。l 負(fù)責(zé)對機(jī)房值班人員及技術(shù)維護(hù)人員（外包方）進(jìn)行日常工作管理和檢查；l 負(fù)責(zé)AAAAA公司的AAAAA公司的BBBBB系統(tǒng)的使用控制及處置管理。第四章 信息安全組織機(jī)構(gòu)制度 信息安全組織機(jī)構(gòu)AAAAA公司針對AAAAA公司的BBBBB系統(tǒng)的信息安全組織機(jī)構(gòu)包括信息安全領(lǐng)導(dǎo)小組和信息系統(tǒng)安全小組。 風(fēng)險評估在體系建立過程中，AAAAA公司確定信息安全風(fēng)險評估方法，對AAAAA公司的BBBBB系統(tǒng) 實施風(fēng)險評估(詳見附8)，識別AAAAA公司的BBBBB系統(tǒng) 所面臨的風(fēng)險，并根據(jù)風(fēng)險進(jìn)行相應(yīng)的處理。(2) 信息安全領(lǐng)導(dǎo)小組審批完成后，信息安全工作小組負(fù)責(zé)通知所有相關(guān)人員，并對《AAAAA公司XXXXX信息安全管理體系文件》進(jìn)行廢除。如需要，可邀請專家對體系文件進(jìn)行專家評審（詳見附附附7）。如果確定文檔有必要進(jìn)行修改，應(yīng)填寫《體系文件更改申請表》(詳見附2)。評審流程如下： (1) 信息安全工作小組發(fā)起對體系文件的評審申請，信息安全領(lǐng)導(dǎo)小組確認(rèn)后批準(zhǔn)評審要求。 管理細(xì)則 體系文件生命周期流程體系文件流程圖 體系文件策劃信息安全工作小組組織相關(guān)人員，根據(jù)《信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)基本要求（GBT 222392008）》、 《信息安全技術(shù) 信息系統(tǒng)安全管理要求（GBT 202692006）》、《ISO/IEC 27001：2005 信息安全管理體系》的要求， 結(jié)合實際的職責(zé)和工作流程，策劃制定信息安全管理體系文件，并形成《AAAAA公司XXXXX信息安全管理體系文件匯編》。本管理制度適用于AAAAA公司的BBBBB系統(tǒng)建設(shè)和運(yùn)維過程。l 部署防病毒軟件統(tǒng)一部署防病毒軟件，并進(jìn)行病毒庫的統(tǒng)一更新，任何人不得私自卸載防病毒軟件。 信息安全系統(tǒng)運(yùn)維管理l 保障機(jī)房物理與環(huán)境安全實施多種手段對機(jī)房安全進(jìn)行監(jiān)控，包括門禁、視頻監(jiān)控、紅外線報警等安全防范措施，確保機(jī)房物理安全。l 保密協(xié)議簽署對于外包的軟件開發(fā)，需與服務(wù)提供商簽署保密協(xié)議；在信息系統(tǒng)立項和審批過程中，同步考慮信息安全需求和目標(biāo)。l 定期審查信息安全管理體系監(jiān)督各項安全控制措施的落實情況，并針對有偏差的地方進(jìn)行糾正，以保證信息安全管理體系持續(xù)有效。 總體目標(biāo)l 明確AAAAA公司信息安全管理機(jī)構(gòu)和人力資源管理制度；l 按照等級保護(hù)三級要求規(guī)范AAAAA公司的BBBBB系統(tǒng)建設(shè)和運(yùn)維；l 制定AAAAA公司的BBBBB系統(tǒng)應(yīng)急預(yù)案，并定期進(jìn)行應(yīng)急演練；l 定期開展全系統(tǒng)范圍的信息系統(tǒng)安全檢查和信息安全管理制度宣傳，并按需開展第三方信息安全風(fēng)險評估。AAAAA公司安全管理制度（）文檔編制單位：AAAAA文檔編制時間：文檔總頁數(shù)：頁文檔編制： 文檔審核人： 審核時間：注：替換：AAAAA為公司名稱，DDDDD為公司簡稱，BBBBB為系統(tǒng)名稱，XXXXX為信息安全管理的部門（如“XXXXX”）。 總體原則本制度的信息安全總體原則如下：l 全面貫徹國家和上海市關(guān)于信息安全工作的要求文件和相關(guān)指導(dǎo)性文件精神，在部門內(nèi)建立符合國家要求完善的信息安全管理體系；l 建立由安全策略、管理制度、操作規(guī)程等構(gòu)成的全面信息安全管理制度體系，并落實信息安全管理責(zé)任到個人，使信息安全管理有章可循；l 定期進(jìn)行信息安全培訓(xùn)，提高相關(guān)人員信息安全意識及能力；l 實行預(yù)防為主，應(yīng)急為輔的信息安全理念，對可能存在的信息安全隱患進(jìn)行提前預(yù)防性排查和處理；對于突發(fā)性信息安全事件，可以按照應(yīng)急預(yù)案進(jìn)行快速響應(yīng)，將事件影響降到最低；l 定期對信息系統(tǒng)進(jìn)行風(fēng)險評估和控制，將信息安全風(fēng)險控制在可接受的水平，以降低突發(fā)性事件出現(xiàn)的概率；l 持續(xù)改進(jìn)信息安全管理所要求包含的各項工作，為系統(tǒng)提供可靠的安全信息服務(wù)。l 加強(qiáng)信息安全的授權(quán)和審批對于系統(tǒng)變更（包含軟件和硬件）實施審批，并記錄在案。 信息安全人力資源管理制度l 加強(qiáng)人員安全管理包含人員錄用前考察、人員在崗和離崗的安全控制、人員考核、獎懲措施等內(nèi)容；對于關(guān)鍵崗位的工作人員，需簽訂保密協(xié)議。 信息建設(shè)安全管理制度l 文檔發(fā)布制度化制定文檔發(fā)布規(guī)范制度，統(tǒng)一文檔版本、格式等，并定期按照制度對文檔進(jìn)行更新，以保證所有文檔的時效性。l 維護(hù)和操作規(guī)程文檔化對系統(tǒng)維護(hù)和操作規(guī)程實施文檔化操作，降低和避免因誤操作所引發(fā)信息安全事件的可能性。 適用范圍本手冊按照ISO/IEC 27001：2005 《信息安全管理體系要求》，結(jié)合AAAAA公司的BBBBB系統(tǒng)的實際編制而成，符合ISO/IEC 27001：2005 標(biāo)準(zhǔn)的全部要求。 職責(zé)由信息安全工作小組的主體部門DDDDD負(fù)責(zé)信息安全管理體系文件的維護(hù)，包括制訂、修訂和評審，由信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)體系文件的批準(zhǔn)、發(fā)布和作廢。對體系文件的評審應(yīng)至少每年進(jìn)行一次。(3) 各評審責(zé)任人根據(jù)時間計劃，結(jié)合內(nèi)部審核、管理評審、風(fēng)險評估及日常記錄的結(jié)果，評估現(xiàn)有文件的有效性和充分性。會簽后，由文檔評審責(zé)任人進(jìn)行文檔修改。 體系文件的作廢(1) 在體系文件的評審過程中，如果評審責(zé)任人認(rèn)為文件應(yīng)當(dāng)作廢，則填寫《體系文件作廢申請表》(詳見附4)，由信息安全工作小組審批后，報信息安全領(lǐng)導(dǎo)小組進(jìn)行審批。 信息安全管理體系建立 管理體系范圍根據(jù)AAAAA公司系統(tǒng)業(yè)務(wù)特點、組織機(jī)構(gòu)、物理位置確定AAAAA公司的BBBBB系統(tǒng) 信息安全管理體系的范圍為：l 所有部門和正式工作人員，包括AAAAA公司所有成員；l AAAAA公司XXXXX主要負(fù)責(zé)AAAAA公司的BBBBB系統(tǒng) 建設(shè)和運(yùn)行工作及系統(tǒng)維護(hù)和管理；l 與系統(tǒng)業(yè)務(wù)活動相關(guān)的應(yīng)用系統(tǒng)及其包含的全部信息資產(chǎn)，其中應(yīng)用系統(tǒng)包括：AAAAA公司的BBBBB系統(tǒng)；信息資產(chǎn)包括：與上述業(yè)務(wù)應(yīng)用系統(tǒng)相關(guān)的數(shù)據(jù)、硬件、軟件、服務(wù)及文檔等；l AAAAA公司的BBBBB系統(tǒng) 涉及的辦公場所和上述業(yè)務(wù)應(yīng)用系統(tǒng)所處機(jī)房，其中機(jī)房