【正文】 l 應(yīng)用威脅及需求，包括但不限于以下方面：216。 攻擊者在軟硬件分發(fā)環(huán)節(jié)（生產(chǎn)、運輸?shù)龋┲袗阂飧能浻布柰ㄟ^惡意代碼方法、控制臺審計等技術(shù)手段解決；216。 設(shè)施、通信線路、設(shè)備或存儲介質(zhì)因使用、維護或保養(yǎng)不當(dāng)?shù)仍驅(qū)е鹿收?，需要通過線路狀態(tài)檢測、線路冗余、數(shù)據(jù)備份與恢復(fù)等技術(shù)手段解決；216。 攻擊者利用非法手段進入機房內(nèi)部盜竊、破壞等，需要通過進行環(huán)境管理、采取物理訪問控制策略、實施防盜竊和防破壞等控制措施，建立數(shù)據(jù)備份和恢復(fù)系統(tǒng)、實行備份與恢復(fù)管理來解決非法手段進入機房內(nèi)部盜竊、破壞等帶來的安全問題；216。 高溫、低溫、多雨等原因引起溫度、濕度異常，應(yīng)該采取溫濕度控制措施，同時，建立數(shù)據(jù)備份和恢復(fù)系統(tǒng)、實行備份與恢復(fù)管理來解決因高溫、低溫和多雨帶來的安全威脅；216。l 資源控制層面需求，216。 安全相關(guān)事件的記錄應(yīng)包括日期和時間、類型、主體標(biāo)識、客體標(biāo)識、事件的結(jié)果等；216。 具有鑒別警示功能（如系統(tǒng)有三次登錄失敗則鎖定該用戶的限制，則應(yīng)給用戶必要的提示）；216。（二）系統(tǒng)服務(wù)安全保護等級的確定系統(tǒng)服務(wù)描述本系統(tǒng)在充分利用政務(wù)外網(wǎng)和現(xiàn)有城市交通基礎(chǔ)數(shù)據(jù)庫的基礎(chǔ)上，通過建設(shè)軌道交通行業(yè)管理、危險品運輸車輛安全監(jiān)督管理、公共交通一體化管理、行業(yè)安全管理及突發(fā)事件應(yīng)急處置等應(yīng)用系統(tǒng)，加強對軌道交通、危險品運輸?shù)戎攸c領(lǐng)域的安全監(jiān)管能力，提高對突發(fā)事件的應(yīng)急處置能力；提高城市交通運行監(jiān)管效率，為城市發(fā)展和2010年上海世博會提供安全、便捷、通暢的公共交通服務(wù)。l 不得將有重要資料的軟盤、光盤、磁帶等存儲介質(zhì)隨意存放或隨意帶出辦公地點。 訪問權(quán)限回收l 各單位（部門）在人員任用終止時，應(yīng)按照離崗手續(xù)，通知相關(guān)單位（部門）對該人員使用信息和信息系統(tǒng)的權(quán)限進行調(diào)整；l 信息安全中心依照相關(guān)人員的個人權(quán)限清單和業(yè)務(wù)部門授權(quán)文件的要求，修改、限制或刪除相關(guān)信息和信息系統(tǒng)的訪問權(quán)限，包括物理訪問、邏輯訪問、密鑰及ID卡等，并作相應(yīng)記錄；l 信息安全中心應(yīng)立即撤銷或停用離崗人員所使用的賬戶，或者修改離崗人員所掌握的系統(tǒng)帳戶口令。 關(guān)鍵崗位考核制度l 關(guān)鍵崗位需要由XXXXX領(lǐng)導(dǎo)直接考核；l 對關(guān)鍵崗位人員需要從政治面貌，工作態(tài)度，業(yè)務(wù)能力等方面入手進行考核與審查，每年度一次（附28）；l 關(guān)鍵崗位業(yè)務(wù)能力的考核根據(jù)崗位要求每年度有所變動，但基本安全要求不變，都需要通過人員考核中相關(guān)考核內(nèi)容；第十一章 信息安全培訓(xùn)制度 信息安全培訓(xùn)制度l 對各類人員進行安全意識教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)（附29）；l 對安全責(zé)任和懲戒措施進行書面規(guī)定并告知相關(guān)人員，對違反違背安全策略和規(guī)定的人員進行懲戒；l 對定期安全教育和培訓(xùn)進行書面規(guī)定，針對不同崗位制定不同的培訓(xùn)計劃，對信息安全基礎(chǔ)知識、崗位操作規(guī)程等進行培訓(xùn)；l 對于定期舉辦的信息安全培訓(xùn)AAAAA公司相關(guān)員工都必須參加，每位培訓(xùn)人員都必須填寫培訓(xùn)簽到表格予以確認(rèn)（見附30）；l 對安全教育和培訓(xùn)的情況和結(jié)果進行記錄并歸檔保存（見附31）；l 培訓(xùn)手段多樣化，包括講座、觀看影視資料、學(xué)習(xí)信息安全材料等。第九章 人員入崗管理制度 信息安全條款信息安全相關(guān)條款包括以下方面：l 崗位相關(guān)的法律職責(zé)和權(quán)利；l 信息系統(tǒng)相關(guān)資產(chǎn)的管理職責(zé)；l 操作其他組織和機構(gòu)信息的職責(zé)；l 保護個人信息方面的安全職責(zé)，包括對個人隱私保密，不濫用個人信息等；l 在辦公區(qū)域外和正常工作時間之外的職責(zé)；l 信息安全違規(guī)將受到的懲戒措施。(四) 高層信息安全例會由信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)發(fā)起，至少每季度需要組織一次常規(guī)的高層信息安全例會，例會參會人員包括信息安全領(lǐng)導(dǎo)小組主要成員。b) 工作時間不做與工作無關(guān)的事；c) 公共辦公區(qū)域內(nèi)禁止吸煙；d) 保持防火、防盜安全意識；e) 遵守環(huán)境體系要求，節(jié)約能源紙張，垃圾分類投放。第七章 辦公環(huán)境管理制度 辦公環(huán)境管理制度1） 總體要求：a) 各類物品擺放整齊、有序，功能布局清晰。16. 嚴(yán)格遵守保密協(xié)議。負(fù)責(zé)組織實施安全設(shè)備或系統(tǒng)各類事故（故障）的應(yīng)急處理；6. 每年進行風(fēng)險評估，根據(jù)評估結(jié)果會同其他負(fù)責(zé)人進行風(fēng)險處置；7. 負(fù)責(zé)協(xié)助領(lǐng)導(dǎo)安排安全培訓(xùn)，負(fù)責(zé)協(xié)助負(fù)責(zé)制定每年安全教育計劃，加強信息系統(tǒng)的安全教育，通過各種方式進行宣傳和培訓(xùn)，提高全系統(tǒng)安全防范意識；8. 負(fù)責(zé)制定安全檢查計劃包括檢查職責(zé)、檢查周期、檢查范圍、檢查內(nèi)容、檢查報告的編制、檢查整改、檢查通報等內(nèi)容。(備份管理員操作變更 詳見附12: 備份管理員操作變更申請單)各機構(gòu)人員情況如下表所示：AAAAA公司信息安全領(lǐng)導(dǎo)小組角 色職務(wù)姓名聯(lián)系電話組長副組長AAAAA公司信息安全小組系統(tǒng)/主機管理員機房管理員網(wǎng)絡(luò)管理員應(yīng)用管理員AAAAA公司信息安全后備小組備份系統(tǒng)/主機管理員備份機房管理員備份網(wǎng)絡(luò)管理員備份應(yīng)用管理員AAAAA公司信息小組信息化三員角 色職務(wù)姓名聯(lián)系電話系統(tǒng)管理員安全管理員安全審計員 關(guān)鍵崗位協(xié)議涉及到核心系統(tǒng)、數(shù)據(jù)庫的管理人員為關(guān)鍵崗位管理人員，如主機，安全管理人員需要明確其職責(zé)，并需要簽訂崗位職責(zé)協(xié)議書，在崗人員只能從事協(xié)議書內(nèi)相關(guān)的工作，不能有越權(quán)行為。具備保密意識 信息安全小組權(quán)限l 系統(tǒng)管理員系統(tǒng)管理員擁有最高的管理權(quán)限，包括更改系統(tǒng)和網(wǎng)絡(luò)配置，新增用戶。(密碼變更記錄表見附13)安全管理員任職要求如下：大專以上學(xué)歷，計算機、通信等相關(guān)專業(yè)二年以上網(wǎng)絡(luò)管理員工作經(jīng)驗熟悉常用服務(wù)器設(shè)備，具備故障診斷和處理能力具備保密意識具備良好職業(yè)道德與工作態(tài)度，善于溝通 安全審計員安全審計員的主要職責(zé)：l 參與制定AAAAA公司規(guī)章制度和流程，規(guī)章制度和流程培訓(xùn)與宣傳；l 根據(jù)AAAAA公司的審計要求制定審計計劃，定期或不定期的開展審計工作，撰寫審計報告，開展風(fēng)險評估，發(fā)現(xiàn)安全漏洞或隱患，提交處理報告和切合實際可操作的處理方案，指導(dǎo)實施；l 負(fù)責(zé)機房安全審計，負(fù)責(zé)數(shù)據(jù)庫服務(wù)器、數(shù)據(jù)備份與災(zāi)難恢復(fù)審計；l 負(fù)責(zé)操作系統(tǒng)安全審計，關(guān)鍵系統(tǒng)的用戶角色權(quán)限審計；（安全審計員安全審計工作報告每月）l 負(fù)責(zé)日常信息安全規(guī)章制度和流程的執(zhí)行審計，信息系統(tǒng)環(huán)境安全審計等；l 對被審計部門提供咨詢、建議、協(xié)調(diào)等服務(wù)和公司領(lǐng)導(dǎo)安排的相關(guān)工作；l 負(fù)責(zé)對系統(tǒng)管理員、安全管理員的操作行為進行審計跟蹤分析和監(jiān)督檢查，及時發(fā)現(xiàn)違規(guī)行為，每月向安全管理中心匯報工作情況；(詳見附14)安全審計員任職要求如下：大專以上學(xué)歷，計算機、通信等相關(guān)專業(yè)二年以上安全管理員工作經(jīng)驗熟悉常用服務(wù)器設(shè)備，具備故障診斷和處理能力具備保密意識具備良好職業(yè)道德與工作態(tài)度，善于溝通 專家小組專家小組主要職責(zé):l 專家應(yīng)符合有關(guān)資歷要求和知識要求，具有高度的事業(yè)心和責(zé)任心，認(rèn)真履行檢查職責(zé)；檢查中堅持客觀公正，實事求是，不走過場，不弄虛作假，不隱瞞真實情況。負(fù)責(zé)組織實施安全設(shè)備或系統(tǒng)各類事故（故障）的應(yīng)急處理；l 每年進行風(fēng)險評估，根據(jù)評估結(jié)果會同其他負(fù)責(zé)人進行風(fēng)險處置；l 負(fù)責(zé)協(xié)助領(lǐng)導(dǎo)安排安全培訓(xùn)，負(fù)責(zé)協(xié)助負(fù)責(zé)制定每年安全教育計劃，加強信息系統(tǒng)的安全教育，通過各種方式進行宣傳和培訓(xùn)，提高全系統(tǒng)安全防范意識；l 負(fù)責(zé)制定安全檢查計劃包括檢查職責(zé)、檢查周期、檢查范圍、檢查內(nèi)容、檢查報告的編制、檢查整改、檢查通報等內(nèi)容。網(wǎng)絡(luò)管理員任職要求如下：大專以上學(xué)歷，計算機、通信等相關(guān)專業(yè)二年以上網(wǎng)絡(luò)管理員工作經(jīng)驗熟悉常用服務(wù)器設(shè)備，具備故障診斷和處理能力熟練掌握Windows 操作系統(tǒng)的管理、維護了解主流廠商的設(shè)備和技術(shù)發(fā)展具備保密意識具備良好職業(yè)道德與工作態(tài)度，善于溝通 應(yīng)用管理員應(yīng)用管理員主要職責(zé)如下：l 負(fù)責(zé)保障軟件開發(fā)管理在AAAAA公司的BBBBB系統(tǒng)系統(tǒng)立項和審批過程中，同步考慮信息安全需求和目標(biāo)。具備保密意識。 機房管理員職責(zé)及要求機房管理員主要職責(zé)如下：l 負(fù)責(zé)保障機房物理與環(huán)境的安全建設(shè)管理l 負(fù)責(zé)制定機房基礎(chǔ)設(shè)施的相關(guān)資產(chǎn)清單(詳見附9)內(nèi)容包括資產(chǎn)名稱、重要程度、所處位置等。l 負(fù)責(zé)AAAAA公司網(wǎng)絡(luò)系統(tǒng)安全管理。 信息安全管理體系監(jiān)察嚴(yán)格執(zhí)行監(jiān)視和評審程序以及其它相關(guān)措施，以達到：l 迅速檢測信息安全管理體系運行過程中的缺陷和弱點；l 迅速識別潛在的和已發(fā)生的信息安全違規(guī)和事故；l 確保管理者分配給各人員的信息安全活動或通過信息技術(shù)實施的信息安全活動能如期執(zhí)行；l 確定信息安全措施的有效性；l 定期進行信息安全管理評審，以判斷信息安全管理體系的有效性；l 定期進行信息安全風(fēng)險評估的評審；l 定期對信息安全管理體系進行管理評審；l 依據(jù)監(jiān)視和評審活動的結(jié)果，對信息安全管理體系進行修改和完善；l 記錄可能影響信息安全管理體系有效性或執(zhí)行情況的措施和事件。 體系文件的作廢(1) 在體系文件的評審過程中，如果評審責(zé)任人認(rèn)為文件應(yīng)當(dāng)作廢，則填寫《體系文件作廢申請表》(詳見附4)，由信息安全工作小組審批后，報信息安全領(lǐng)導(dǎo)小組進行審批。(3) 各評審責(zé)任人根據(jù)時間計劃，結(jié)合內(nèi)部審核、管理評審、風(fēng)險評估及日常記錄的結(jié)果，評估現(xiàn)有文件的有效性和充分性。 職責(zé)由信息安全工作小組的主體部門DDDDD負(fù)責(zé)信息安全管理體系文件的維護，包括制訂、修訂和評審，由信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)體系文件的批準(zhǔn)、發(fā)布和作廢。l 維護和操作規(guī)程文檔化對系統(tǒng)維護和操作規(guī)程實施文檔化操作，降低和避免因誤操作所引發(fā)信息安全事件的可能性。 信息安全人力資源管理制度l 加強人員安全管理包含人員錄用前考察、人員在崗和離崗的安全控制、人員考核、獎懲措施等內(nèi)容；對于關(guān)鍵崗位的工作人員，需簽訂保密協(xié)議。 總體原則本制度的信息安全總體原則如下：l 全面貫徹國家和上海市關(guān)于信息安全工作的要求文件和相關(guān)指導(dǎo)性文件精神，在部門內(nèi)建立符合國家要求完善的信息安全管理體系；l 建立由安全策略、管理制度、操作規(guī)程等構(gòu)成的全面信息安全管理制度體系，并落實信息安全管理責(zé)任到個人，使信息安全管理有章可循；l 定期進行信息安全培訓(xùn)，提高相關(guān)人員信息安全意識及能力；l 實行預(yù)防為主，應(yīng)急為輔的信息安全理念，對可能存在的信息安全隱患進行提前預(yù)防性排查和處理；對于突發(fā)性信息安全事件，可以按照應(yīng)急預(yù)案進行快速響應(yīng)，將事件影響降到最低；l 定期對信息系統(tǒng)進行風(fēng)險評估和控制，將信息安全風(fēng)險控制在可接受的水平，以降低突發(fā)性事件出現(xiàn)的概率；l 持續(xù)改進信息安全管理所要求包含的各項工作，為系統(tǒng)提供可靠的安全信息服務(wù)。 總體目標(biāo)l 明確AAAAA公司信息安全管理機構(gòu)和人力資源管理制度；l 按照等級保護三級要求規(guī)范AAAAA公司的BBBBB系統(tǒng)建設(shè)和運維；l 制定AAAAA公司的BBBBB系統(tǒng)應(yīng)急預(yù)案，并定期進行應(yīng)急演練；l 定期開展全系統(tǒng)范圍的信息系統(tǒng)安全檢查和信息安全管理制度宣傳，并按需開展第三方信息安全風(fēng)險評估。l 保密協(xié)議簽署對于外包的軟件開發(fā)，需與服務(wù)提供商簽署保密協(xié)議；在信息系統(tǒng)立項和審批過程中，同步考慮信息安全需求和目標(biāo)。l 部署防病毒軟件統(tǒng)一部署防病毒軟件，并進行病毒庫的統(tǒng)一更新，任何人不得私自卸載防病毒軟件。 管理細(xì)則 體系文件生命周期流程體系文件流程圖 體系文件策劃信息安全工作小組組織相關(guān)人員，根據(jù)《信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求（GBT 222392008）》、 《信息安全技術(shù) 信息系統(tǒng)安全管理要求（GBT 202692006）》、《ISO/IEC 27001：2005 信息安全管理體系》的要求， 結(jié)合實際的職責(zé)和工作流程，策劃制定信息安全管理體系文件，并形成《AAAAA公司XXXXX信息安全管理體系文件匯編》。如果確定文檔有必要進行修改，應(yīng)填寫《體系文件更改申請表》(詳見附2)。(2) 信息安全領(lǐng)導(dǎo)小組審批完成后，信息安全工作小組負(fù)責(zé)通知所有相關(guān)人員，并對《AAAAA公司XXXXX信息安全管理體系文件》進行廢除。第四章 信息安全組織機構(gòu)制度 信息安全組織機構(gòu)AAAAA公司針對AAAAA公司的BBBBB系統(tǒng)的信息安全組織機構(gòu)包括信息安全領(lǐng)導(dǎo)小組和信息系統(tǒng)安全小組。l 負(fù)責(zé)AAAAA公司基礎(chǔ)平臺系統(tǒng)安全管理，應(yīng)用系統(tǒng)安全管理。l 明確產(chǎn)品所有者、使用者與維護者；對所有產(chǎn)品進行標(biāo)記，實現(xiàn)信息資產(chǎn)從采購、安裝、調(diào)試、使用、變更到報廢整個周期的安全管理，并且密碼相關(guān)產(chǎn)品符合國家密碼主管部門的要求。 主機管理員主機管理員主要職責(zé)如下：l 負(fù)責(zé)保障主機（包括服務(wù)器設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、數(shù)據(jù)備份）；l 信息安全日常管理包括系統(tǒng)口令管理、無人值守設(shè)備管理、屏幕保護、便攜機管理等，促使每位人員的日常工作符合AAAAA公司的BBBBB系統(tǒng) 的信息安全策略和制度要求。應(yīng)保證系統(tǒng)設(shè)計、開發(fā)過程的安全，重點加強對軟件代碼安全性的管理。對信息系統(tǒng)安全檢查并進行情況通報。對檢查結(jié)果和所提的意見和建議負(fù)責(zé)。l 網(wǎng)絡(luò)管理員、主機管理員網(wǎng)絡(luò)和主機管理員的權(quán)限僅次于系統(tǒng)管理員，包括更改系統(tǒng)和網(wǎng)絡(luò)配置，但無法新增用戶。AAAAA公司XXXXX系統(tǒng)管理員崗位協(xié)議書名字部門職責(zé)范圍：1. 負(fù)責(zé)保障主機（包括服務(wù)器設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、數(shù)據(jù)備份）；2. 信息安全日常管理包括系統(tǒng)口令管理、無人值守設(shè)備管理、屏幕保護、便攜機管理等，促使每位人員的日常工作符合AAAAA公司的BBBBB系統(tǒng) 的信息安全策略和制度要求。對信息系統(tǒng)安全檢查并進行情況通報。簽字確認(rèn)：_____年_____月_____日備注：AAAAA公司永久存檔AAAA