【正文】 l 應(yīng)用威脅及需求，包括但不限于以下方面：216。 攻擊者在軟硬件分發(fā)環(huán)節(jié)（生產(chǎn)、運(yùn)輸?shù)龋┲袗阂飧能浻布柰ㄟ^(guò)惡意代碼方法、控制臺(tái)審計(jì)等技術(shù)手段解決；216。 設(shè)施、通信線路、設(shè)備或存儲(chǔ)介質(zhì)因使用、維護(hù)或保養(yǎng)不當(dāng)?shù)仍驅(qū)е鹿收希枰ㄟ^(guò)線路狀態(tài)檢測(cè)、線路冗余、數(shù)據(jù)備份與恢復(fù)等技術(shù)手段解決；216。 攻擊者利用非法手段進(jìn)入機(jī)房?jī)?nèi)部盜竊、破壞等，需要通過(guò)進(jìn)行環(huán)境管理、采取物理訪問(wèn)控制策略、實(shí)施防盜竊和防破壞等控制措施，建立數(shù)據(jù)備份和恢復(fù)系統(tǒng)、實(shí)行備份與恢復(fù)管理來(lái)解決非法手段進(jìn)入機(jī)房?jī)?nèi)部盜竊、破壞等帶來(lái)的安全問(wèn)題；216。 高溫、低溫、多雨等原因引起溫度、濕度異常，應(yīng)該采取溫濕度控制措施，同時(shí)，建立數(shù)據(jù)備份和恢復(fù)系統(tǒng)、實(shí)行備份與恢復(fù)管理來(lái)解決因高溫、低溫和多雨帶來(lái)的安全威脅；216。l 資源控制層面需求，216。 安全相關(guān)事件的記錄應(yīng)包括日期和時(shí)間、類(lèi)型、主體標(biāo)識(shí)、客體標(biāo)識(shí)、事件的結(jié)果等；216。 具有鑒別警示功能（如系統(tǒng)有三次登錄失敗則鎖定該用戶的限制，則應(yīng)給用戶必要的提示）；216。（二）系統(tǒng)服務(wù)安全保護(hù)等級(jí)的確定系統(tǒng)服務(wù)描述本系統(tǒng)在充分利用政務(wù)外網(wǎng)和現(xiàn)有城市交通基礎(chǔ)數(shù)據(jù)庫(kù)的基礎(chǔ)上，通過(guò)建設(shè)軌道交通行業(yè)管理、危險(xiǎn)品運(yùn)輸車(chē)輛安全監(jiān)督管理、公共交通一體化管理、行業(yè)安全管理及突發(fā)事件應(yīng)急處置等應(yīng)用系統(tǒng)，加強(qiáng)對(duì)軌道交通、危險(xiǎn)品運(yùn)輸?shù)戎攸c(diǎn)領(lǐng)域的安全監(jiān)管能力，提高對(duì)突發(fā)事件的應(yīng)急處置能力；提高城市交通運(yùn)行監(jiān)管效率，為城市發(fā)展和2010年上海世博會(huì)提供安全、便捷、通暢的公共交通服務(wù)。l 不得將有重要資料的軟盤(pán)、光盤(pán)、磁帶等存儲(chǔ)介質(zhì)隨意存放或隨意帶出辦公地點(diǎn)。 訪問(wèn)權(quán)限回收l(shuí) 各單位（部門(mén)）在人員任用終止時(shí)，應(yīng)按照離崗手續(xù)，通知相關(guān)單位（部門(mén)）對(duì)該人員使用信息和信息系統(tǒng)的權(quán)限進(jìn)行調(diào)整；l 信息安全中心依照相關(guān)人員的個(gè)人權(quán)限清單和業(yè)務(wù)部門(mén)授權(quán)文件的要求，修改、限制或刪除相關(guān)信息和信息系統(tǒng)的訪問(wèn)權(quán)限，包括物理訪問(wèn)、邏輯訪問(wèn)、密鑰及ID卡等，并作相應(yīng)記錄；l 信息安全中心應(yīng)立即撤銷(xiāo)或停用離崗人員所使用的賬戶，或者修改離崗人員所掌握的系統(tǒng)帳戶口令。 關(guān)鍵崗位考核制度l 關(guān)鍵崗位需要由XXXXX領(lǐng)導(dǎo)直接考核；l 對(duì)關(guān)鍵崗位人員需要從政治面貌，工作態(tài)度，業(yè)務(wù)能力等方面入手進(jìn)行考核與審查，每年度一次（附28）；l 關(guān)鍵崗位業(yè)務(wù)能力的考核根據(jù)崗位要求每年度有所變動(dòng)，但基本安全要求不變，都需要通過(guò)人員考核中相關(guān)考核內(nèi)容；第十一章 信息安全培訓(xùn)制度 信息安全培訓(xùn)制度l 對(duì)各類(lèi)人員進(jìn)行安全意識(shí)教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)（附29）；l 對(duì)安全責(zé)任和懲戒措施進(jìn)行書(shū)面規(guī)定并告知相關(guān)人員，對(duì)違反違背安全策略和規(guī)定的人員進(jìn)行懲戒；l 對(duì)定期安全教育和培訓(xùn)進(jìn)行書(shū)面規(guī)定，針對(duì)不同崗位制定不同的培訓(xùn)計(jì)劃，對(duì)信息安全基礎(chǔ)知識(shí)、崗位操作規(guī)程等進(jìn)行培訓(xùn)；l 對(duì)于定期舉辦的信息安全培訓(xùn)AAAAA公司相關(guān)員工都必須參加，每位培訓(xùn)人員都必須填寫(xiě)培訓(xùn)簽到表格予以確認(rèn)（見(jiàn)附30）；l 對(duì)安全教育和培訓(xùn)的情況和結(jié)果進(jìn)行記錄并歸檔保存（見(jiàn)附31）；l 培訓(xùn)手段多樣化，包括講座、觀看影視資料、學(xué)習(xí)信息安全材料等。第九章 人員入崗管理制度 信息安全條款信息安全相關(guān)條款包括以下方面：l 崗位相關(guān)的法律職責(zé)和權(quán)利；l 信息系統(tǒng)相關(guān)資產(chǎn)的管理職責(zé)；l 操作其他組織和機(jī)構(gòu)信息的職責(zé)；l 保護(hù)個(gè)人信息方面的安全職責(zé)，包括對(duì)個(gè)人隱私保密，不濫用個(gè)人信息等；l 在辦公區(qū)域外和正常工作時(shí)間之外的職責(zé)；l 信息安全違規(guī)將受到的懲戒措施。(四) 高層信息安全例會(huì)由信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)發(fā)起，至少每季度需要組織一次常規(guī)的高層信息安全例會(huì)，例會(huì)參會(huì)人員包括信息安全領(lǐng)導(dǎo)小組主要成員。b) 工作時(shí)間不做與工作無(wú)關(guān)的事；c) 公共辦公區(qū)域內(nèi)禁止吸煙；d) 保持防火、防盜安全意識(shí)；e) 遵守環(huán)境體系要求，節(jié)約能源紙張，垃圾分類(lèi)投放。第七章 辦公環(huán)境管理制度 辦公環(huán)境管理制度1） 總體要求：a) 各類(lèi)物品擺放整齊、有序，功能布局清晰。16. 嚴(yán)格遵守保密協(xié)議。負(fù)責(zé)組織實(shí)施安全設(shè)備或系統(tǒng)各類(lèi)事故（故障）的應(yīng)急處理；6. 每年進(jìn)行風(fēng)險(xiǎn)評(píng)估，根據(jù)評(píng)估結(jié)果會(huì)同其他負(fù)責(zé)人進(jìn)行風(fēng)險(xiǎn)處置；7. 負(fù)責(zé)協(xié)助領(lǐng)導(dǎo)安排安全培訓(xùn)，負(fù)責(zé)協(xié)助負(fù)責(zé)制定每年安全教育計(jì)劃，加強(qiáng)信息系統(tǒng)的安全教育，通過(guò)各種方式進(jìn)行宣傳和培訓(xùn)，提高全系統(tǒng)安全防范意識(shí)；8. 負(fù)責(zé)制定安全檢查計(jì)劃包括檢查職責(zé)、檢查周期、檢查范圍、檢查內(nèi)容、檢查報(bào)告的編制、檢查整改、檢查通報(bào)等內(nèi)容。(備份管理員操作變更 詳見(jiàn)附12: 備份管理員操作變更申請(qǐng)單)各機(jī)構(gòu)人員情況如下表所示：AAAAA公司信息安全領(lǐng)導(dǎo)小組角 色職務(wù)姓名聯(lián)系電話組長(zhǎng)副組長(zhǎng)AAAAA公司信息安全小組系統(tǒng)/主機(jī)管理員機(jī)房管理員網(wǎng)絡(luò)管理員應(yīng)用管理員AAAAA公司信息安全后備小組備份系統(tǒng)/主機(jī)管理員備份機(jī)房管理員備份網(wǎng)絡(luò)管理員備份應(yīng)用管理員AAAAA公司信息小組信息化三員角 色職務(wù)姓名聯(lián)系電話系統(tǒng)管理員安全管理員安全審計(jì)員 關(guān)鍵崗位協(xié)議涉及到核心系統(tǒng)、數(shù)據(jù)庫(kù)的管理人員為關(guān)鍵崗位管理人員，如主機(jī)，安全管理人員需要明確其職責(zé)，并需要簽訂崗位職責(zé)協(xié)議書(shū)，在崗人員只能從事協(xié)議書(shū)內(nèi)相關(guān)的工作，不能有越權(quán)行為。具備保密意識(shí) 信息安全小組權(quán)限l 系統(tǒng)管理員系統(tǒng)管理員擁有最高的管理權(quán)限，包括更改系統(tǒng)和網(wǎng)絡(luò)配置，新增用戶。(密碼變更記錄表見(jiàn)附13)安全管理員任職要求如下：大專(zhuān)以上學(xué)歷，計(jì)算機(jī)、通信等相關(guān)專(zhuān)業(yè)二年以上網(wǎng)絡(luò)管理員工作經(jīng)驗(yàn)熟悉常用服務(wù)器設(shè)備，具備故障診斷和處理能力具備保密意識(shí)具備良好職業(yè)道德與工作態(tài)度，善于溝通 安全審計(jì)員安全審計(jì)員的主要職責(zé)：l 參與制定AAAAA公司規(guī)章制度和流程，規(guī)章制度和流程培訓(xùn)與宣傳；l 根據(jù)AAAAA公司的審計(jì)要求制定審計(jì)計(jì)劃，定期或不定期的開(kāi)展審計(jì)工作，撰寫(xiě)審計(jì)報(bào)告，開(kāi)展風(fēng)險(xiǎn)評(píng)估，發(fā)現(xiàn)安全漏洞或隱患，提交處理報(bào)告和切合實(shí)際可操作的處理方案，指導(dǎo)實(shí)施；l 負(fù)責(zé)機(jī)房安全審計(jì)，負(fù)責(zé)數(shù)據(jù)庫(kù)服務(wù)器、數(shù)據(jù)備份與災(zāi)難恢復(fù)審計(jì)；l 負(fù)責(zé)操作系統(tǒng)安全審計(jì)，關(guān)鍵系統(tǒng)的用戶角色權(quán)限審計(jì)；（安全審計(jì)員安全審計(jì)工作報(bào)告每月）l 負(fù)責(zé)日常信息安全規(guī)章制度和流程的執(zhí)行審計(jì)，信息系統(tǒng)環(huán)境安全審計(jì)等；l 對(duì)被審計(jì)部門(mén)提供咨詢、建議、協(xié)調(diào)等服務(wù)和公司領(lǐng)導(dǎo)安排的相關(guān)工作；l 負(fù)責(zé)對(duì)系統(tǒng)管理員、安全管理員的操作行為進(jìn)行審計(jì)跟蹤分析和監(jiān)督檢查，及時(shí)發(fā)現(xiàn)違規(guī)行為，每月向安全管理中心匯報(bào)工作情況；(詳見(jiàn)附14)安全審計(jì)員任職要求如下：大專(zhuān)以上學(xué)歷，計(jì)算機(jī)、通信等相關(guān)專(zhuān)業(yè)二年以上安全管理員工作經(jīng)驗(yàn)熟悉常用服務(wù)器設(shè)備，具備故障診斷和處理能力具備保密意識(shí)具備良好職業(yè)道德與工作態(tài)度，善于溝通 專(zhuān)家小組專(zhuān)家小組主要職責(zé):l 專(zhuān)家應(yīng)符合有關(guān)資歷要求和知識(shí)要求，具有高度的事業(yè)心和責(zé)任心，認(rèn)真履行檢查職責(zé)；檢查中堅(jiān)持客觀公正，實(shí)事求是，不走過(guò)場(chǎng)，不弄虛作假，不隱瞞真實(shí)情況。負(fù)責(zé)組織實(shí)施安全設(shè)備或系統(tǒng)各類(lèi)事故（故障）的應(yīng)急處理；l 每年進(jìn)行風(fēng)險(xiǎn)評(píng)估，根據(jù)評(píng)估結(jié)果會(huì)同其他負(fù)責(zé)人進(jìn)行風(fēng)險(xiǎn)處置；l 負(fù)責(zé)協(xié)助領(lǐng)導(dǎo)安排安全培訓(xùn)，負(fù)責(zé)協(xié)助負(fù)責(zé)制定每年安全教育計(jì)劃，加強(qiáng)信息系統(tǒng)的安全教育，通過(guò)各種方式進(jìn)行宣傳和培訓(xùn)，提高全系統(tǒng)安全防范意識(shí)；l 負(fù)責(zé)制定安全檢查計(jì)劃包括檢查職責(zé)、檢查周期、檢查范圍、檢查內(nèi)容、檢查報(bào)告的編制、檢查整改、檢查通報(bào)等內(nèi)容。網(wǎng)絡(luò)管理員任職要求如下：大專(zhuān)以上學(xué)歷，計(jì)算機(jī)、通信等相關(guān)專(zhuān)業(yè)二年以上網(wǎng)絡(luò)管理員工作經(jīng)驗(yàn)熟悉常用服務(wù)器設(shè)備，具備故障診斷和處理能力熟練掌握Windows 操作系統(tǒng)的管理、維護(hù)了解主流廠商的設(shè)備和技術(shù)發(fā)展具備保密意識(shí)具備良好職業(yè)道德與工作態(tài)度，善于溝通 應(yīng)用管理員應(yīng)用管理員主要職責(zé)如下：l 負(fù)責(zé)保障軟件開(kāi)發(fā)管理在AAAAA公司的BBBBB系統(tǒng)系統(tǒng)立項(xiàng)和審批過(guò)程中，同步考慮信息安全需求和目標(biāo)。具備保密意識(shí)。 機(jī)房管理員職責(zé)及要求機(jī)房管理員主要職責(zé)如下：l 負(fù)責(zé)保障機(jī)房物理與環(huán)境的安全建設(shè)管理l 負(fù)責(zé)制定機(jī)房基礎(chǔ)設(shè)施的相關(guān)資產(chǎn)清單(詳見(jiàn)附9)內(nèi)容包括資產(chǎn)名稱(chēng)、重要程度、所處位置等。l 負(fù)責(zé)AAAAA公司網(wǎng)絡(luò)系統(tǒng)安全管理。 信息安全管理體系監(jiān)察嚴(yán)格執(zhí)行監(jiān)視和評(píng)審程序以及其它相關(guān)措施，以達(dá)到：l 迅速檢測(cè)信息安全管理體系運(yùn)行過(guò)程中的缺陷和弱點(diǎn)；l 迅速識(shí)別潛在的和已發(fā)生的信息安全違規(guī)和事故；l 確保管理者分配給各人員的信息安全活動(dòng)或通過(guò)信息技術(shù)實(shí)施的信息安全活動(dòng)能如期執(zhí)行；l 確定信息安全措施的有效性；l 定期進(jìn)行信息安全管理評(píng)審，以判斷信息安全管理體系的有效性；l 定期進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估的評(píng)審；l 定期對(duì)信息安全管理體系進(jìn)行管理評(píng)審；l 依據(jù)監(jiān)視和評(píng)審活動(dòng)的結(jié)果，對(duì)信息安全管理體系進(jìn)行修改和完善；l 記錄可能影響信息安全管理體系有效性或執(zhí)行情況的措施和事件。 體系文件的作廢(1) 在體系文件的評(píng)審過(guò)程中，如果評(píng)審責(zé)任人認(rèn)為文件應(yīng)當(dāng)作廢，則填寫(xiě)《體系文件作廢申請(qǐng)表》(詳見(jiàn)附4)，由信息安全工作小組審批后，報(bào)信息安全領(lǐng)導(dǎo)小組進(jìn)行審批。(3) 各評(píng)審責(zé)任人根據(jù)時(shí)間計(jì)劃，結(jié)合內(nèi)部審核、管理評(píng)審、風(fēng)險(xiǎn)評(píng)估及日常記錄的結(jié)果，評(píng)估現(xiàn)有文件的有效性和充分性。 職責(zé)由信息安全工作小組的主體部門(mén)DDDDD負(fù)責(zé)信息安全管理體系文件的維護(hù)，包括制訂、修訂和評(píng)審，由信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)體系文件的批準(zhǔn)、發(fā)布和作廢。l 維護(hù)和操作規(guī)程文檔化對(duì)系統(tǒng)維護(hù)和操作規(guī)程實(shí)施文檔化操作，降低和避免因誤操作所引發(fā)信息安全事件的可能性。 信息安全人力資源管理制度l 加強(qiáng)人員安全管理包含人員錄用前考察、人員在崗和離崗的安全控制、人員考核、獎(jiǎng)懲措施等內(nèi)容；對(duì)于關(guān)鍵崗位的工作人員，需簽訂保密協(xié)議。 總體原則本制度的信息安全總體原則如下：l 全面貫徹國(guó)家和上海市關(guān)于信息安全工作的要求文件和相關(guān)指導(dǎo)性文件精神，在部門(mén)內(nèi)建立符合國(guó)家要求完善的信息安全管理體系；l 建立由安全策略、管理制度、操作規(guī)程等構(gòu)成的全面信息安全管理制度體系，并落實(shí)信息安全管理責(zé)任到個(gè)人，使信息安全管理有章可循；l 定期進(jìn)行信息安全培訓(xùn)，提高相關(guān)人員信息安全意識(shí)及能力；l 實(shí)行預(yù)防為主，應(yīng)急為輔的信息安全理念，對(duì)可能存在的信息安全隱患進(jìn)行提前預(yù)防性排查和處理；對(duì)于突發(fā)性信息安全事件，可以按照應(yīng)急預(yù)案進(jìn)行快速響應(yīng)，將事件影響降到最低；l 定期對(duì)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估和控制，將信息安全風(fēng)險(xiǎn)控制在可接受的水平，以降低突發(fā)性事件出現(xiàn)的概率；l 持續(xù)改進(jìn)信息安全管理所要求包含的各項(xiàng)工作，為系統(tǒng)提供可靠的安全信息服務(wù)。 總體目標(biāo)l 明確AAAAA公司信息安全管理機(jī)構(gòu)和人力資源管理制度；l 按照等級(jí)保護(hù)三級(jí)要求規(guī)范AAAAA公司的BBBBB系統(tǒng)建設(shè)和運(yùn)維；l 制定AAAAA公司的BBBBB系統(tǒng)應(yīng)急預(yù)案，并定期進(jìn)行應(yīng)急演練；l 定期開(kāi)展全系統(tǒng)范圍的信息系統(tǒng)安全檢查和信息安全管理制度宣傳，并按需開(kāi)展第三方信息安全風(fēng)險(xiǎn)評(píng)估。l 保密協(xié)議簽署對(duì)于外包的軟件開(kāi)發(fā)，需與服務(wù)提供商簽署保密協(xié)議；在信息系統(tǒng)立項(xiàng)和審批過(guò)程中，同步考慮信息安全需求和目標(biāo)。l 部署防病毒軟件統(tǒng)一部署防病毒軟件，并進(jìn)行病毒庫(kù)的統(tǒng)一更新，任何人不得私自卸載防病毒軟件。 管理細(xì)則 體系文件生命周期流程體系文件流程圖 體系文件策劃信息安全工作小組組織相關(guān)人員，根據(jù)《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求（GBT 222392008）》、 《信息安全技術(shù) 信息系統(tǒng)安全管理要求（GBT 202692006）》、《ISO/IEC 27001：2005 信息安全管理體系》的要求， 結(jié)合實(shí)際的職責(zé)和工作流程，策劃制定信息安全管理體系文件，并形成《AAAAA公司XXXXX信息安全管理體系文件匯編》。如果確定文檔有必要進(jìn)行修改，應(yīng)填寫(xiě)《體系文件更改申請(qǐng)表》(詳見(jiàn)附2)。(2) 信息安全領(lǐng)導(dǎo)小組審批完成后，信息安全工作小組負(fù)責(zé)通知所有相關(guān)人員，并對(duì)《AAAAA公司XXXXX信息安全管理體系文件》進(jìn)行廢除。第四章 信息安全組織機(jī)構(gòu)制度 信息安全組織機(jī)構(gòu)AAAAA公司針對(duì)AAAAA公司的BBBBB系統(tǒng)的信息安全組織機(jī)構(gòu)包括信息安全領(lǐng)導(dǎo)小組和信息系統(tǒng)安全小組。l 負(fù)責(zé)AAAAA公司基礎(chǔ)平臺(tái)系統(tǒng)安全管理，應(yīng)用系統(tǒng)安全管理。l 明確產(chǎn)品所有者、使用者與維護(hù)者；對(duì)所有產(chǎn)品進(jìn)行標(biāo)記，實(shí)現(xiàn)信息資產(chǎn)從采購(gòu)、安裝、調(diào)試、使用、變更到報(bào)廢整個(gè)周期的安全管理，并且密碼相關(guān)產(chǎn)品符合國(guó)家密碼主管部門(mén)的要求。 主機(jī)管理員主機(jī)管理員主要職責(zé)如下：l 負(fù)責(zé)保障主機(jī)（包括服務(wù)器設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、數(shù)據(jù)備份）；l 信息安全日常管理包括系統(tǒng)口令管理、無(wú)人值守設(shè)備管理、屏幕保護(hù)、便攜機(jī)管理等，促使每位人員的日常工作符合AAAAA公司的BBBBB系統(tǒng) 的信息安全策略和制度要求。應(yīng)保證系統(tǒng)設(shè)計(jì)、開(kāi)發(fā)過(guò)程的安全，重點(diǎn)加強(qiáng)對(duì)軟件代碼安全性的管理。對(duì)信息系統(tǒng)安全檢查并進(jìn)行情況通報(bào)。對(duì)檢查結(jié)果和所提的意見(jiàn)和建議負(fù)責(zé)。l 網(wǎng)絡(luò)管理員、主機(jī)管理員網(wǎng)絡(luò)和主機(jī)管理員的權(quán)限僅次于系統(tǒng)管理員，包括更改系統(tǒng)和網(wǎng)絡(luò)配置，但無(wú)法新增用戶。AAAAA公司XXXXX系統(tǒng)管理員崗位協(xié)議書(shū)名字部門(mén)職責(zé)范圍：1. 負(fù)責(zé)保障主機(jī)（包括服務(wù)器設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、數(shù)據(jù)備份）；2. 信息安全日常管理包括系統(tǒng)口令管理、無(wú)人值守設(shè)備管理、屏幕保護(hù)、便攜機(jī)管理等，促使每位人員的日常工作符合AAAAA公司的BBBBB系統(tǒng) 的信息安全策略和制度要求。對(duì)信息系統(tǒng)安全檢查并進(jìn)行情況通報(bào)。簽字確認(rèn)：_____年_____月_____日備注：AAAAA公司永久存檔AAAA