【文章內(nèi)容簡介】
................. 4 存儲介質(zhì)防護管理 ......................................... 4 4 信息安全應(yīng)急管理 ............................................. 4 5 信息安全教育培訓 ............................................. 4 6 信息安全檢查 ................................................. 5 1 信息安全組織管理 本項要求包括: a) 應(yīng)加強領(lǐng)導(dǎo),落實責任,完善措施,建立健全信息安全責任制和工作機制; b) 應(yīng)明確一名主管領(lǐng)導(dǎo),負責本單位信息安全管理工作,根據(jù)國家法律法規(guī)有關(guān)要求,結(jié)合實際組織制定信息安全管理制度,完善技術(shù)防護措施,協(xié)調(diào)處理重大信息安全事件; c) 應(yīng)指定一個機構(gòu),具體承擔信息安全管理工作,負責組織落實信息安全管理制度和信息安全技術(shù)防護措施,開展信息安全教育培訓和監(jiān)督檢查等; d) 各內(nèi)設(shè)機構(gòu)應(yīng)指定一名專職或兼職信息安全員,負責日常信息安全督促、檢查、指導(dǎo)工作。信息安全員應(yīng)當具備較強的信息安全意識和工作責任心,掌握基本的信息安全知識和技能。 2 日常信息安全管理 基本要求 本項要求包括: a) 應(yīng)制定信息安全工作的總體方針和目標,明確信息安全工作的主要任務(wù)和原則; b) c) 應(yīng)建立健全信息安全相關(guān)管理制度; 應(yīng)加強對人員、資產(chǎn)、采購、外包等的安全管理,并保證信息安全工作經(jīng)費投入。 人員管理 本項要求包括: a) 應(yīng)建立健全崗位信息安全責任制度,明確崗位及人員的信息安全責任。重點崗位的計算機使用人員應(yīng)簽訂信息安全與保密協(xié)議,明確信息安全與保密要求和責任; b) 應(yīng)制定并嚴格執(zhí)行人員離崗離職信息安全管理規(guī)定,人員離崗離職時應(yīng)終止信息系統(tǒng)訪問權(quán)限,收回各種軟硬件設(shè)備及身份證件、門禁卡等,并簽署安全保密承諾書; c) 應(yīng)建立外部人員訪問機房等重要區(qū)域?qū)徟贫龋獠咳藛T須經(jīng)審批后方可進入,并安排本單位工作人員現(xiàn)場陪同,對訪問活動進行記錄并留存; d) 應(yīng)對信息安全責任事故進行查處,對違反信息安全管理規(guī)定的人員給予嚴肅處理,對造成信息安全事故的依法追究當事人和有關(guān)負責人的責任,并以適當方式通報。 資產(chǎn)管理 本項要求包括: a) b) c) 應(yīng)建立并嚴格執(zhí)行資產(chǎn)管理制度; 應(yīng)指定專人負責資產(chǎn)管理; 應(yīng)建立資產(chǎn)臺賬(清單),統(tǒng)一編號、統(tǒng)一標識、統(tǒng)一發(fā)放; d) e) 應(yīng)及時記錄資產(chǎn)狀態(tài)和使用情況,保證賬物相符; 應(yīng)建立并嚴格執(zhí)行設(shè)備維修維護和報廢管理制度。 采購管理 本項要求包括: a) 應(yīng)采購安全可控的信息技術(shù)產(chǎn)品和服務(wù)。采購基于新型技術(shù)的產(chǎn)品和服務(wù)或者國外產(chǎn)品和服務(wù)時,應(yīng)進行必要性和安全性評估; b) 辦公用計算機、服務(wù)器等設(shè)備的更新?lián)Q代中,應(yīng)采購配備安全可控CPU、操作系統(tǒng)等的關(guān)鍵軟硬件; c) 公文處理軟件、信息安全產(chǎn)品等應(yīng)采購國產(chǎn)產(chǎn)品,信息安全產(chǎn)品應(yīng)經(jīng)過國家統(tǒng)一認證; d) 接受捐贈的信息技術(shù)產(chǎn)品,使用前應(yīng)進行