【文章內(nèi)容簡介】 估工作小組應(yīng)無遺漏的識別單位所有重要資產(chǎn)。(六) 風(fēng)險評估小組應(yīng)對資產(chǎn)進(jìn)行威脅分析以及脆弱性分析，并結(jié)合現(xiàn)狀進(jìn)行整改。(七) 風(fēng)險評估工作人員應(yīng)對單位信息系統(tǒng)進(jìn)行全面的風(fēng)險評估，做到無遺漏。(八) 風(fēng)險評估過程總的每項工作都應(yīng)給出相應(yīng)的報告及材料。三、責(zé)任追究如信息安全風(fēng)險評估工作責(zé)任人未按早本《責(zé)任書》履行職責(zé)、開展工作的，由單位予以通報批評；工作中國存在重大突出問題的，或因工作失職導(dǎo)致后果的，按照相關(guān)規(guī)定對責(zé)任人予以處分。本《責(zé)任書》自簽約之日起生效。 責(zé)任人（簽章）： 年 月 日、附件7信息安全應(yīng)急響應(yīng)工作責(zé)任書為了進(jìn)一步落實我單位的網(wǎng)絡(luò)與信息安全管理責(zé)任，確保網(wǎng)絡(luò)與信息安全，做好信息系統(tǒng)的應(yīng)急響應(yīng)工作，特制定本責(zé)任書。 一、總體目標(biāo)應(yīng)急響應(yīng)計劃的執(zhí)行應(yīng)有足夠的資源保證，包括人力、技術(shù)、設(shè)備和財務(wù)等方面，在安全事件發(fā)生后應(yīng)能盡快恢復(fù)系統(tǒng)和網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)，應(yīng)使系統(tǒng)和網(wǎng)絡(luò)鎖遭受的破壞最小化。二、責(zé)任要求組織和領(lǐng)導(dǎo)相關(guān)人員制定詳細(xì)的應(yīng)急響應(yīng)酒啊，其中應(yīng)根據(jù)不同的安全事件類型制定不同的應(yīng)急響應(yīng)計劃。應(yīng)從人力、技術(shù)、設(shè)備和財務(wù)等方面確保應(yīng)急響應(yīng)計劃的執(zhí)行歐足夠的資源保證。定期組織應(yīng)急預(yù)案的演練和培訓(xùn)，特別是安全事件發(fā)生后應(yīng)組織相關(guān)人員進(jìn)行事后教育和培訓(xùn)。定期組織相關(guān)人員對應(yīng)急響應(yīng)計劃進(jìn)行審查并根據(jù)實際情況進(jìn)行更新。三、責(zé)任追究如信息安全應(yīng)急響應(yīng)工作責(zé)任人未按早本《責(zé)任書》履行職責(zé)、開展工作的，由單位予以通報批評；工作中國存在重大突出問題的，或因工作失職導(dǎo)致后果的，按照相關(guān)規(guī)定對責(zé)任人予以處分。本《責(zé)任書》自簽約之日起生效。 責(zé)任人（簽章）： 年 月 日附件8 安全管理員職責(zé)說明書 為了進(jìn)一步落實網(wǎng)絡(luò)與信息安全管理責(zé)任，明確安全管理員職責(zé)，確保網(wǎng)絡(luò)與信息安全，安全管理員應(yīng)落實如下責(zé)任：一、 負(fù)責(zé)對安全產(chǎn)品購置提供建議，負(fù)責(zé)組織制定各種安全策略與配置規(guī)則，負(fù)責(zé)跟蹤安全產(chǎn)品投產(chǎn)后的使用情況。二、 負(fù)責(zé)指導(dǎo)并監(jiān)督各安全崗位工作人員及普通用戶的安全相關(guān)工作。三、 負(fù)責(zé)組織信息系統(tǒng)的安全風(fēng)險評估工作，并定期進(jìn)行系統(tǒng)漏洞掃描，形成安全評估報告。四、 根據(jù)信息安全需求，定期提出信息安全改進(jìn)意見，并上報主管領(lǐng)導(dǎo)。五、 定期查看信息安全站點的安全公告，跟蹤和研究各種信息安全漏洞和攻擊手段，在發(fā)現(xiàn)可能影響信息安全的安全漏洞和攻擊手段時，及時作出相應(yīng)的對策，通知并指導(dǎo)系統(tǒng)管理員進(jìn)行安全防范。六、 負(fù)責(zé)整合各種安全方案、安全審計報告、應(yīng)急計劃以及整體安全管理制度并報主管領(lǐng)導(dǎo)。七、 若由于安全管理員工作疏忽或事物而導(dǎo)致安全事故發(fā)生，安全管理員應(yīng)承擔(dān)相應(yīng)責(zé)任。 附件9 系統(tǒng)管理員職責(zé)說明書為了進(jìn)一步落實主機(jī)安全和系統(tǒng)安全管理責(zé)任，明確系統(tǒng)管理員職責(zé)，確保主機(jī)安全好系統(tǒng)安全，系統(tǒng)管理員應(yīng)落實如下責(zé)任：一、 負(fù)責(zé)主機(jī)操作系統(tǒng)的安全配置和日常審計，系統(tǒng)應(yīng)用軟件的安裝，從系統(tǒng)層面時限對用戶與資源的訪問控制。二、 協(xié)助安全管理員制定主機(jī)操作系統(tǒng)的安全配置規(guī)則，并落實執(zhí)行。三、 負(fù)責(zé)知己設(shè)備的日常管理與維護(hù)，保持系統(tǒng)處于良好的運(yùn)行狀態(tài)。四、 為安全審計員提供完整、準(zhǔn)確的主機(jī)系統(tǒng)運(yùn)行活動日志記錄。五、 在主機(jī)系統(tǒng)異?；蚬收习l(fā)生時，詳細(xì)記載發(fā)生異常時的現(xiàn)象、時間和處理方式，并及時上報。六、 編制主機(jī)設(shè)備的維修、報損、報廢計劃，報主管領(lǐng)導(dǎo)審核。七、 若由于系統(tǒng)管理員工作疏忽或失誤而導(dǎo)致安全事故發(fā)生，系統(tǒng)管理員應(yīng)承擔(dān)相應(yīng)責(zé)任。附件10網(wǎng)絡(luò)管理員職責(zé)說明書為了進(jìn)一步落實網(wǎng)絡(luò)與信息安全管理責(zé)任，明確網(wǎng)絡(luò)管理員職責(zé)，確保網(wǎng)絡(luò)安全和信息安全，網(wǎng)絡(luò)管理員應(yīng)落實如下責(zé)任：一、 負(fù)責(zé)網(wǎng)絡(luò)的部署以及網(wǎng)絡(luò)產(chǎn)品、相關(guān)安全產(chǎn)品的配備、管理與監(jiān)控，并對關(guān)鍵網(wǎng)絡(luò)配置文件進(jìn)行備份，及時修補(bǔ)網(wǎng)絡(luò)設(shè)備的漏洞。二、 協(xié)助安全管理員制定網(wǎng)絡(luò)設(shè)備安全配備規(guī)則，并落實執(zhí)行。三、 為安全審計員提供完整、準(zhǔn)確的重要網(wǎng)絡(luò)設(shè)備和網(wǎng)站運(yùn)行活動日志。四、 在網(wǎng)絡(luò)及設(shè)備異?；蚬收习l(fā)生時，詳細(xì)記載發(fā)生異常時的現(xiàn)象、時間和處理方式，并及時上報。五、 編制網(wǎng)絡(luò)設(shè)備的維修、報損、報廢等計劃，報主管領(lǐng)導(dǎo)審核。六、 若由于網(wǎng)絡(luò)管理員工作疏忽或事物而導(dǎo)致安全事故發(fā)生，網(wǎng)絡(luò)管理員應(yīng)承擔(dān)相應(yīng)責(zé)任。附件11機(jī)房管理員職責(zé)說明書為了進(jìn)一步落實網(wǎng)絡(luò)與信息安全管理責(zé)任，明確機(jī)房管理員職責(zé)，確保機(jī)房安全，機(jī)房管理員應(yīng)落實如下責(zé)任：一、 負(fù)責(zé)機(jī)房所有設(shè)備的臺賬和實物管理，固定資產(chǎn)賬、物相符應(yīng)達(dá)到百分之百，設(shè)備完好率不低于百分之九十。二、 要定期或不定期檢查機(jī)房內(nèi)的空調(diào)、電源燈電器設(shè)備，發(fā)現(xiàn)安全隱患要及時整改和上報，重要設(shè)備故障應(yīng)做好維修記錄。三、 每周向主管領(lǐng)導(dǎo)報告一次機(jī)房設(shè)備完好情況和維修情況。四、 嚴(yán)格核實出入機(jī)房人員審批手續(xù)的真實性和有效性，確保進(jìn)入機(jī)房人員的作業(yè)內(nèi)容與審批手續(xù)完全一致。五、 不得擅自將機(jī)房一起設(shè)備外借給其他人使用。六、 電器設(shè)備和線路應(yīng)經(jīng)常檢查，發(fā)現(xiàn)可能引起火花線路、發(fā)熱和即將破損、老化等情況必須立即停止設(shè)備使用，報告維修，不得冒險使用。七、 保持機(jī)房環(huán)境整潔衛(wèi)生，走到暢通，設(shè)備器材擺放整齊、排列有序，機(jī)房外鞋柜內(nèi)拖鞋拜訪整齊。八、 若由于機(jī)房管理員工作疏忽或失誤而導(dǎo)致安全事故發(fā)生，機(jī)房管理員應(yīng)承擔(dān)相應(yīng)責(zé)任。附件12安全審計員職責(zé)說明書為了進(jìn)一步落實網(wǎng)絡(luò)與信息安全管理責(zé)任，明確安全審計員職責(zé)，確保信息系統(tǒng)安全，安全審計員應(yīng)落實如下責(zé)任：一、 負(fù)責(zé)根據(jù)系統(tǒng)管理員提供的主機(jī)運(yùn)行日志記錄以及網(wǎng)絡(luò)管理員提供的網(wǎng)絡(luò)設(shè)備和網(wǎng)站運(yùn)行日志進(jìn)行安全審計工作，判斷信息系統(tǒng)及資產(chǎn)是否安全，并按時上交安全審計報告。二、 對審計過程中發(fā)現(xiàn)的安全問題做出及時處理，上報備案，并通知相關(guān)負(fù)責(zé)人。三、 對于審計記錄，內(nèi)容以及存儲設(shè)施必須給予保護(hù)（如一些文檔的記錄或者存儲設(shè)備），以防止非授權(quán)的訪問。四、 要建立與審計相關(guān)的監(jiān)控程序，以確保只能進(jìn)行已經(jīng)明確規(guī)定的授權(quán)活動。要定期回顧監(jiān)控活動記錄。五、 確保對儲存和處理的審計日志進(jìn)行了保質(zhì)期識別并登記；如果確定已過期記錄無保存價值，則必須采取適當(dāng)?shù)拇胧╀N毀記錄。六、 若由于安全審計員工作疏忽或失誤而導(dǎo)致安全事故發(fā)生，安全審計員應(yīng)承當(dāng)相應(yīng)責(zé)任。附件13信息審查員職責(zé)說明書為了進(jìn)一步落實網(wǎng)絡(luò)與信息安全管理責(zé)任，明確信息審查員職責(zé)，確保無不良信息傳播以及公文的規(guī)范性，信息審查員應(yīng)落實如下責(zé)任：一、 負(fù)責(zé)審查網(wǎng)站信息以及內(nèi)部公文。對網(wǎng)站信息中出現(xiàn)的不良信息（包括言論、圖片、網(wǎng)站鏈接等）進(jìn)行及時過濾。二、 審查內(nèi)部信息公文的格式及內(nèi)容的規(guī)范性，判斷有無涉及非授權(quán)信息。三、 負(fù)責(zé)審查發(fā)布信息中是否存在工作敏感信息和國家秘密信息。四、 制定網(wǎng)站規(guī)范有關(guān)規(guī)定，對不良信息進(jìn)行明確劃分。五、 若由于信息審查工作疏忽或失誤而導(dǎo)致安全事故發(fā)生，信息審查員應(yīng)承擔(dān)相應(yīng)責(zé)任。XXX信息安全事件管理辦法第一條 信息安全事件分類如下所示：一、 有害程序事件：包括計算機(jī)病毒事件、蠕蟲事件、特洛伊木馬事件、僵尸網(wǎng)絡(luò)事件、混合攻擊程序事件、網(wǎng)頁內(nèi)嵌惡意代碼事件等。二、網(wǎng)絡(luò)攻擊事件包括拒絕服務(wù)攻擊事件、后門攻擊事件、漏洞攻擊事件、網(wǎng)絡(luò)掃描竊聽事件、網(wǎng)絡(luò)釣魚事件、干擾事件等。三、信息破壞事件：包括信息篡改事件、信息假冒事件、信息泄露事件、信息竊取事件、信息丟失事件等。四、信息內(nèi)容安全事件：、行政法規(guī)的信息安全事件；、評論，形成網(wǎng)上敏感的輿論熱點，出現(xiàn)一定規(guī)模炒作的信息安全事件。、煽動集會游行的信息安全事件。五、設(shè)施和設(shè)備故障：、軟硬件涉及缺陷或軟硬件運(yùn)行環(huán)境發(fā)生變化等而導(dǎo)致信息安全事件；，如電力故障；。六、災(zāi)害性事件：包括水災(zāi)、臺風(fēng)、地震、雷擊、場塌、火災(zāi)、恐怖襲擊等。七、其他事件。第二條 按照信息安全事件造成的后果和影響的嚴(yán)重程度，將信息安全事件分為以下等級：，指能夠?qū)е绿貏e嚴(yán)重影響或破壞的信息安全事件，包括以下情況：（1）會使特別重要信息系統(tǒng)遭受特別眼紅的系統(tǒng)損失；（2）產(chǎn)生特別重大的社會影響。，指能能夠?qū)е聡?yán)重影響或破壞的信息安全事件，包括以下情況：（1）會使特別重要信息系統(tǒng)遭受嚴(yán)重的系統(tǒng)損失，或使重要重要信息系統(tǒng)遭受特別嚴(yán)重的系統(tǒng)損失；（2）產(chǎn)生重大的社會應(yīng)先。，指能夠?qū)е螺^嚴(yán)重影響或破壞的信息安全事件，包括以下情況：（1）會使特別重要信息系統(tǒng)遭受較大的系統(tǒng)損失，或使重要信息系統(tǒng)遭受嚴(yán)重的系統(tǒng)損失、一般信息系統(tǒng)遭受特別嚴(yán)重的系統(tǒng)損失；（2）產(chǎn)生較大的社會影響。，指不滿足以上條件的信息安全事件，包括以下情況:（1)會使特別重要信息系統(tǒng)遭受較小的系統(tǒng)損失，或使重要信息系統(tǒng)遭受較大的系統(tǒng)損失、一般信息系統(tǒng)遭受嚴(yán)重或嚴(yán)重以下級別的系統(tǒng)損失。（2）產(chǎn)生一般的社會影響。第三條 安全事件處置流程是：事件報告→事件受理→事件處理→事后總結(jié)第四條 安全事件處理各環(huán)節(jié)責(zé)任人及職責(zé)說明如下表所示：所示：責(zé)任人職責(zé)說明信息安全事件報告人信息安全事件報告安全事件管理相關(guān)負(fù)責(zé)人受理和記錄信息安全事件將安全事件分配到技術(shù)人員進(jìn)行處理記 錄歸檔安全事件處理人員對信息安全事件進(jìn)行處理XX部門負(fù)責(zé)人安全事件的統(tǒng)計分析采取糾正預(yù)防措施上級部門協(xié)調(diào)安全事件的處理 第五條 安全事件報告程序：一、 發(fā)現(xiàn)一般安全事件時，由XX部門安全事件管理相關(guān)負(fù)責(zé)人受理并記錄歸檔、安全事件處理人員進(jìn)行處理，并上報相關(guān)負(fù)責(zé)人；二、 發(fā)現(xiàn)較大安全事件時，首先報XX部門相關(guān)負(fù)責(zé)人，由安全事件處理人員進(jìn)行事件處理，處理完畢上報相關(guān)負(fù)責(zé)人；三、 發(fā)現(xiàn)重大安全事件或特別重大安全事件時，應(yīng)報XX部門領(lǐng)導(dǎo)及相關(guān)負(fù)責(zé)人，聯(lián)系維護(hù)支撐單位協(xié)助處理安全事件，處理完畢上報XX部門領(lǐng)導(dǎo)及相關(guān)負(fù)責(zé)人。第六條 XX部門負(fù)責(zé)人組織、跟蹤信息安全事件的處理和完成情況，并針對安全事件進(jìn)行原因分析，針對安全缺陷進(jìn)行統(tǒng)計分析，并對事件及缺陷采取糾正、預(yù)防等措施。第七條 本制度由XXXX負(fù)責(zé)解釋。第八條 本制度自發(fā)布之日起生效執(zhí)行。XXX信息系統(tǒng)信息發(fā)布制度第一條 為促進(jìn)信息系統(tǒng)信息發(fā)布、審核工作的規(guī)范化、制度化，保障信息系統(tǒng)發(fā)布信息的權(quán)威性、及時性、準(zhǔn)確性、嚴(yán)肅性和安全性，結(jié)合本單位實際，制定本制度。第二條 本制度適用于信息系統(tǒng)（如：門戶網(wǎng)站）應(yīng)當(dāng)公開或需要公開的所有信息發(fā)布，在正式發(fā)布前，必須進(jìn)行預(yù)先審核。第三條 發(fā)布的信息應(yīng)具有交錢的時效性，保證信息內(nèi)容的真實性、準(zhǔn)確性、完整性和安全性。第四條 發(fā)布信息應(yīng)遵循“審核嚴(yán)謹(jǐn)，流程規(guī)范，源頭可溯，依法公開”的原則。第五條 擬發(fā)布信息內(nèi)容必須經(jīng)過內(nèi)部初審，重點是對擬發(fā)布信息內(nèi)容的準(zhǔn)確性、完整性、時效性、是否涉密等進(jìn)行審核；主管領(lǐng)導(dǎo)對信息進(jìn)行復(fù)審；審核通過后方可在門戶網(wǎng)站上發(fā)布。第六條 建立完善的信息發(fā)布登記制度，對發(fā)布的信息都應(yīng)進(jìn)行登記，登記的信息包含但不限于：日期、部門、信息簡介、承辦人等。第七條 嚴(yán)格履行保密義務(wù)，不得發(fā)布違反國家法律及地方法規(guī)的信息，不得發(fā)布與黨的各項方針、政策相違背的信息，不得制作和傳播各類不健康信息，不得發(fā)布虛假信息。第八條 對因?qū)徍瞬粐?yán)導(dǎo)致信息公開內(nèi)容失實、泄密、引發(fā)負(fù)面影響的，依照有關(guān)法律法規(guī)和規(guī)定追究相關(guān)人員責(zé)任。第九條 制定專人負(fù)責(zé)信息系統(tǒng)信息復(fù)查工作，發(fā)現(xiàn)問題應(yīng)及時通知有關(guān)負(fù)責(zé)人進(jìn)行更正，造成不良影響的應(yīng)追究相關(guān)人員責(zé)任。第十條 本制度由XXXX負(fù)責(zé)解釋。第十一條 本制度自發(fā)布之日起生效執(zhí)行。附件：附件1信息發(fā)布審批登記表編號： 填表日期： 年 月 日信息發(fā)布人 所屬部門 信息標(biāo)題 信息類別信息內(nèi)容：初審意見： 審核人簽字： 年 月 日復(fù)審意見： 審核人簽字： 年 月 日XXX機(jī)房安全管理制度第一條 XX部門負(fù)責(zé)機(jī)房安全管理制度的落實和實施，對制度的執(zhí)行過程進(jìn)行監(jiān)督和檢查。第二條 機(jī)房管理員負(fù)責(zé)機(jī)房的日常維護(hù)、日常監(jiān)控和日常管理。第三條 嚴(yán)禁非機(jī)房工作人員進(jìn)入機(jī)房，如因工作需要進(jìn)入機(jī)房需經(jīng)XX部門主管領(lǐng)導(dǎo)批準(zhǔn)并由機(jī)房管理員帶入。第四條 進(jìn)入機(jī)房人員不得攜帶任何易燃、易爆、腐蝕性、強(qiáng)電磁、輻射性、流體物質(zhì)等對設(shè)備正常運(yùn)行構(gòu)成威脅的物品。第五條 進(jìn)入機(jī)房的人員必須完整填寫《機(jī)房出入登記表》（后附樣表），以備檢查。第六條 操作人員應(yīng)隨時監(jiān)視設(shè)備運(yùn)行狀況，發(fā)現(xiàn)異常情況時應(yīng)立即按照原規(guī)程進(jìn)行操作，并及時上報和做好詳細(xì)記錄。第七條 任何人員未經(jīng)許可不得擅自上級操作和對運(yùn)行設(shè)備的各種配置進(jìn)行更改。第八條 嚴(yán)格執(zhí)行密碼管理制度，對操作密碼進(jìn)行定期修改，超級用戶密碼有系統(tǒng)管理員掌握。第九條 機(jī)房工作人員應(yīng)恪守保密制度，不得擅自泄露機(jī)房中的各種信息資料和資料數(shù)據(jù)。第十條 保持機(jī)房安