【正文】 170 附錄25: 崗位協(xié)議書 （需打印） 171 附錄26：信息安全崗位人員考核記錄 174 附錄27：安全技能考核紀錄 175 附錄28：關鍵崗位審查情況表 176 附錄29：信息安全培訓計劃 182 附錄30：安全教育培訓簽到表 185 附錄31: 安全教育培訓評價表 186 附錄32：年度信息安全培訓計劃 187 附錄33：培訓考題 188 附錄34：培訓考核記錄表 192 附錄35: 人員離崗/職審批表 194 附錄36: 人員離崗工作交接表 196 附錄37: 離職保密承諾書 198 附錄38: 機房進出申請單 199 附錄39: 機房進出記錄表 201 附錄40：機房出入登記表 203 附錄41：XXXXX機房設備出門單 204 附錄42：設備維護檔案 205 附錄43：信息安全存儲介質領用/借用申請單 206 附錄44：介質銷毀審批表 207 附錄45：信息安全存儲介質維修記錄 208 附錄46：設備領用表 209 附錄47：計算機設備責任人變更審批表 210 附錄48：特權用戶申請表 210 附錄49：服務器補丁升級記錄 211 附錄50：變更申請單 212 附錄51：備份記錄 215 附錄52：恢復記錄 215 附錄53：備份與恢復演練記錄單 216 附錄54：安全事件記錄報告 216 附錄55：信息安全事件調查報告 217 附錄56：硬件維護 218 附錄57：工作日志 219 附錄58：信息系統(tǒng)巡檢 220221 / 221第一章 信息安全管理制度總則 概述信息系統(tǒng)安全等級保護管理制度體系是對實現(xiàn)信息系統(tǒng)安全等級保護所采用的安全管理措施的描述。部署機房專用空調、UPS，滅火設備等環(huán)境保障設施；每天對機房設施運轉情況進行定期巡檢、和維護。(2) 信息安全工作小組制定評審計劃。 風險處置在風險評估后，根據(jù)風險評估的結果，確定風險處置的策略，包括：l 采用風險控制措施，以降低面臨的信息安全風險；l 在滿足信息安全方針和風險接受準則的前提下，有意識地、客觀地接受風險；l 轉移相關業(yè)務風險到其他方面，如：購買產品維保，運維服務外包等；l 根據(jù)風險處置策略，制定風險控制措施，對已識別出的風險進行分類處理，并對殘余風險進行了批準。 信息安全領導小組職責信息安全領導小組主要職責如下：l 負責關于信息安全方面工作的方針政策；l 審定AAAAA公司的BBBBB系統(tǒng) 的安全建設規(guī)劃；l 對信息系統(tǒng)安全工作的重大事項做出決策；l 研究審定AAAAA公司的BBBBB系統(tǒng) 安全建設和管理工作中的制度、標準及相關政策，并協(xié)調相關部門監(jiān)督制度、政策的實施情況；l 組織、協(xié)調和指導信息安全的宣傳、普及教育工作。了解熟悉服務器軟件和運行系統(tǒng)(Apache、Windows /UNIX),和網(wǎng)絡故障排除，熟悉了解安全措施，能主動學習和聆聽良好的時間安排能力，出色的溝通能力以及客戶服務能力，完美解決問題，靈活且可靠，以及獨立工作能力。通過審批、訪問控制、監(jiān)控、簽署保密協(xié)議等措施，加強外部方訪問“AAAAA公司的BBBBB系統(tǒng)系統(tǒng)”的管理，防止外部方危害信息系統(tǒng)安全。AAAAA公司將部分工作委托給專業(yè)技術公司完成，并和公司簽訂保密協(xié)議。通過審批、訪問控制、監(jiān)控、簽署保密協(xié)議等措施，加強外部方訪問“健康檔案”的管理，防止外部方危害信息系統(tǒng)安全。c) 臺式電腦放置于兩條桌邊垂直角上，立式主機放置于桌底下；d) 文件資料擺放在辦公桌側邊處；e) 常用辦公用品、茶杯、小飾物放置在正前方區(qū)域；f) 1個月以上不常用物品應整理放置于櫥柜內；g) 不亂貼亂釘與工作無關的物品，隔斷類辦公桌區(qū)域內粘貼紙張不得超過隔斷上邊緣；h) 抽屜內物品擺放整齊有序，常用物品隨手可??；i) 與工作無關的物品須整齊存放于隱蔽地方；j) 每日下班離崗前須整理桌面物品、文件資料，恢復標準放置狀態(tài)；k) 辦公文件資料須分門別類整理、有標識的存放，便于查找和取拿； l) 保持個人區(qū)域范圍內的清潔，；m) 電器線路整齊束扎，下班、雙休、長假期關閉拖線板總電源；n) 愛護公物，做好貴重物品的妥善保管和看護；3） 公共區(qū)域環(huán)境標準a) 辦公桌椅、文件柜、儲物柜、辦公設備、綠化擺放整齊、布局清晰有序，頂部角落無雜物堆放；b) 地面、柜面、桌面、公共設備表面清潔無灰塵；c) 文件柜內文件資料和各類物品分類擺放，有標識；d) 在指定區(qū)域內張貼。(二)由信息安全工作小組負責建立并加強與供應商、業(yè)界專家、專業(yè)的安全公司、安全組織的合作與溝通，就最新信息安全技術、信息熱點事件等進行交流和咨詢（詳見附19）。 資產歸還l 離崗人員在離崗時歸還其使用的資產，包括所有先前發(fā)放的軟件、訪問卡、文件和設備等。信息受到破壞后對侵害客體的侵害程度的確定上述結果的程度表現(xiàn)為一般損害，影響主要功能的執(zhí)行，有限的社會不良影響，個人造成一般損害。l 安全審計層面需求，包括但不限于以下方面：216。 雷擊、地震和臺風等自然災難，需要通過對物理位置進行選擇、建立數(shù)據(jù)備份和恢復系統(tǒng)、實行備份與恢復管理，以及采取防雷擊措施等來解決雷擊、地震和臺風等威脅帶來的問題；216。 內部人員未授權接入外部網(wǎng)絡，需要通過邊界的完整性檢查、網(wǎng)絡審計、主機審計、應用審計等手段解決；216。 由于授權用戶的不正確啟動和恢復導致安全機制失效，需通過系統(tǒng)加固、安全審計、軟件容錯、備份與恢復等技術手段解決；216。 內部人員下載、拷貝軟件或文件，打開可疑郵件時引入病毒。 攻擊者利用工具捕捉電磁泄漏的信號，導致信息泄露，需要通過采取防電磁措施，加強對產品采購的管理，加強對密碼的管理，加強通信的保密性和數(shù)據(jù)的保密性，來解決電磁、信息泄漏帶來的安全問題。 應對應用系統(tǒng)的最大并發(fā)會話連接數(shù)進行限制；216。l 訪問控制層面需求，包括但不限于以下方面：216。建設覆蓋市、區(qū)（縣）兩級交港機構的AAAAA公司的BBBBB系統(tǒng)，覆蓋本市城市交通運輸全行業(yè)的基礎管理、業(yè)務審核、行政監(jiān)管、安全管理和行業(yè)發(fā)展的五大業(yè)務領域，依托市法人庫，通過接入GPS信息、營運信息、培訓信息、車輛檢測信息等動態(tài)數(shù)據(jù)，實現(xiàn)基于動靜態(tài)數(shù)據(jù)的城市交通運輸行業(yè)一體化管理和服務。不斷的提高信息安全防范意識；l 培訓結束后，需要每個參與人員填寫信息安全培訓結果反饋和心得體會，并統(tǒng)一歸檔保存。(五) 常規(guī)的高層信息安全例會的主要內容是聽取信息安全工作小組的信息安全工作季度報告，就信息安全各項工作根據(jù)報告提出調整和解決方案，并協(xié)調各方資源，共同協(xié)作，完成各項信息安全工作。c) 標識統(tǒng)一規(guī)范，不隨意張貼。對記錄進行收集、整理、歸檔。l 安全管理員安全管理員只擁有管理權，包括查看安全日志，安全設備配置的變更、備份、環(huán)境的安全等。對記錄進行收集、整理、歸檔。負責主機運行維護體系和主機技術支持平臺的建設與運行管理，建立服務器設備、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、數(shù)據(jù)備份文檔化的操作和維護規(guī)程，使得各個相關人員能夠采用規(guī)范化的形式對系統(tǒng)進行操作，降低和避免因誤操作所引發(fā)信息安全事件的可能性。l 負責AAAAA公司信息系統(tǒng)的惡意代碼防范工作，及發(fā)生惡意代碼攻擊時的應急處理。 第三章 信息安全管理體系 信息安全管理體系以ISO/IEC 27001：2005 《信息安全管理體系要求》為依據(jù)，建立信息安全管理體系，并形成相關的信息安全管理體系文件。 信息安全工作小組將制定的《AAAAA公司XXXXX信息安全管理體系文件匯編》匯報給信息安全領導小組，信息安全領導小組進行審批確認。系統(tǒng)開發(fā)完成后，要求通過第三方安全機構對軟件安全性的測評。本制度體系從信息安全管理機構制度、信息安全人力資源管理制度、信息系統(tǒng)建設安全管理制度、信息安全系統(tǒng)運維管理制度和信息系統(tǒng)操作規(guī)程及應急預案等方面，針對AAAAA公司的BBBBB系統(tǒng)，從信息安全管理和信息系統(tǒng)運維兩個方面做出規(guī)定?？刂茩C房人員和設備的出入管理，非管理人員無法進入主機房，外部人員進入機房需填寫出入記錄并且由管理人員全程陪同。計劃中應確定各文檔對應的評審責任人以及實施評審的時間計劃。 信息安全管理體系實施在實施和運行信息安全管理體系中所開展的工作包括：l 通過風險管理方法來控制信息系統(tǒng)中存在的信息安全風險，配置資源、明確職責和優(yōu)先級別，實施適當?shù)墓芾泶胧?；l 實施各信息安全管理體系文件中包括的控制措施，以達到各控制目標；l 實施培訓和意識教育計劃，具體內容參見《培訓制度》；l 實施能迅速檢測安全事件和響應安全事故的程序。 信息系統(tǒng)安全小組職責及要求l 負責貫徹落實信息安全領導小組關于信息系統(tǒng)安全工作的要求和規(guī)定，并落實各項安全工作；l 負責信息系統(tǒng)的安全管理體系和規(guī)章制度的建立、實施；l 建設、技術保障和操作規(guī)范等各方面的逐步建成；l 組織制訂和貫徹信息系統(tǒng)運行安全保障和維護工作制度。具備保密意識 網(wǎng)絡管理員網(wǎng)絡管理員主要職責如下：l 負責保障網(wǎng)絡安全建設管理；l 規(guī)范網(wǎng)絡管理流程；l 采用技術和管理兩方面的控制措施，加強對應用系統(tǒng)的安全控制，提高網(wǎng)絡的安全性和穩(wěn)定性；l 對重要網(wǎng)絡設備應有文檔化的操作和維護規(guī)程，使得維護人員能夠采用規(guī)范化的形式對系統(tǒng)進行操作，降低和避免因誤操作所引發(fā)信息安全事件的可能性；l 負責保障網(wǎng)絡安全，協(xié)助安全管理員部署網(wǎng)絡安全產品，確保網(wǎng)絡安全；對網(wǎng)絡設備設施運轉情況進行定期巡檢、維護、故障處理和變更管理；l 在網(wǎng)絡系統(tǒng)變更、重要操作、訪問等的進行逐級審批，負責日常審批，重大變更需報到AAAAA公司領導小組進行核準和審批后，方可進行變更；l 負責組織實施網(wǎng)絡各類事故（故障）的應急處理。l 重視對IT服務連續(xù)性的管理，建立對各類信息安全事件的預防、預警、響應、處置、恢復機制，并編寫相應的應急預案；l 在符合國家密碼管理相關規(guī)定的條件下，合理使用密碼技術和密碼設備，嚴格密鑰生成、分發(fā)、保存等方面的安全管理，保障密碼技術使用的安全性。AAAAA公司應用管理員、主機管理員、安全管理員、機房管理員、網(wǎng)絡管理員以及安全審計員，承擔信息系統(tǒng)日常運行維護和管理任務。14. 重視對IT服務連續(xù)性的管理，建立對各類信息安全事件的預防、預警、響應、處置、恢復機制，并編寫相應的應急預案；15. 在符合國家密碼管理相關規(guī)定的條件下，合理使用密碼技術和密碼設備，嚴格密鑰生成、分發(fā)、保存等方面的安全管理，保障密碼技術使用的安全性。4） 辦公行為a) 上班著裝整潔得體。如交流與合作內容比較正式，且有正式的會議形式，則需要由XXXXX做好會議記錄工作（詳見附20），會議記錄的模板可用信息安全例會的模板代替，但會議主題需注明為“合作溝通”。相關單位（部門）應與離崗人員進行離崗交接，并做好記錄（見附36）；l 離崗人員應就其涉及到的專利、技術文檔等及時向所在單位（部門）上交；l 人員在離崗時，應對正在實施的項目中的相關信息形成文檔并提交給相關單位（部門），進行項目交接。業(yè)務信息安全等級的確定依據(jù)信息受到破壞時所侵害的客體以及侵害程度，AAAAA公司的BBBBB系統(tǒng)信息安全等級定為二級。 安全審計應記錄應用系統(tǒng)重要的安全相關事件，包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)功能的執(zhí)行等；216。 水患和火災等災害，需要采取防水、防潮、防火措施、建立數(shù)據(jù)備份和恢復系統(tǒng)、實行備份與恢復管理，來解決水患和火災等威脅帶來的安全威脅；216。 網(wǎng)絡設計不合理，需要通過優(yōu)化設計、安全域改造完成；216。 攻擊者利用通過惡意代碼或木馬程序，對網(wǎng)絡、操作系統(tǒng)或應用系統(tǒng)進行攻擊，需通過惡意代碼防護、網(wǎng)絡入侵檢測、身份鑒別、訪問控制、控制臺審計等技術手段解決。 攻擊者利用網(wǎng)絡擴散病毒，需通過惡意代碼方法、控制臺審計等技術手段解決；216。 攻擊者采用在通信線纜上搭接或切斷等導致線路不可用，需要通過采取物理訪問控制策略、實施防盜竊和防破壞等控制措施，建立數(shù)據(jù)備份和恢復系統(tǒng)、實行備份與恢復管理來解決在通信線纜上搭接或切斷等導致線路不可用帶來的安全問題；216。 應限制單個用戶的多重并發(fā)會話；216。 具有抵抗?jié)B透性測試的能力，如通過暴力破解或其他手段進入系統(tǒng)，或對WEB系統(tǒng)采用SQL注入等繞過身份鑒別的方法。l 在使用應用系統(tǒng)時，必須遵守應用系統(tǒng)的權限管理，不得企圖獲取別人的口令或其它認證方式，不得攻擊內部網(wǎng)絡或企圖侵入無權限的應用系統(tǒng)；l 未經授權，不得向外部網(wǎng)絡傳輸涉密信息及重要信息；第十五章 信息系統(tǒng)建設安全管理制度 系統(tǒng)總體規(guī)劃設計信息系統(tǒng)的安全保護等級由業(yè)務信息安全等級和系統(tǒng)服務安全等級的較高者決定，具體如下：（一）業(yè)務信息安全保護等級的確定業(yè)務信息描述建設覆蓋業(yè)戶、從業(yè)人員、營運車輛、營業(yè)場所、線路、額度、維保場、運價、設施、票據(jù)等的上海市城市交通運輸管理數(shù)據(jù)庫，包括軌道交通行業(yè)數(shù)據(jù)庫、公交行業(yè)數(shù)據(jù)庫、出租行業(yè)數(shù)據(jù)庫、省際客運行業(yè)數(shù)據(jù)庫、道路貨運行業(yè)數(shù)據(jù)庫、汽修行業(yè)數(shù)據(jù)庫、駕培行業(yè)數(shù)據(jù)庫、公共停車行業(yè)數(shù)據(jù)庫和道路清障救援牽引行業(yè)數(shù)據(jù)庫等，為綜合管理、公共服務和行業(yè)發(fā)展的決策支持提供數(shù)據(jù)支撐。不斷的提高信息安全防范意識；l 年初由組織統(tǒng)一制定全年的安全意識教育和培訓計劃；統(tǒng)一發(fā)布至各部門，并在組織年內具體落實；（見附32）l 每半年舉行一次信息安全培訓，培訓對象包括AAAAA公司所有員工；l 培訓內容包括信息安全基礎、信息安全崗位操作流程等；對于新錄用的員工，需要單獨進行安全培訓；l 培訓手段多樣化，包括講座、觀看影視資料、學習信息安全材料等。在發(fā)生大范圍的信息安全事件、有重大信息安全事件發(fā)生、或者有重大信息系統(tǒng)建設項目時，如有必要，由信息安全領導小組發(fā)起，或者由信息安全工作小組提議，由信息安全領導小組發(fā)起高層信息安全領導小組會議，通知相關人員參加，及時協(xié)調各方資源，共同協(xié)作，解決相關問題，或完成各項部署。b) 所有區(qū)域應保持清潔衛(wèi)生。對信息系統(tǒng)安全檢查并進行情況通報。l 網(wǎng)絡管理員、主機管理員網(wǎng)絡和