【文章內(nèi)容簡介】 明確所要保護的總體安全目標(biāo)與范圍 ； 信息安全 策略經(jīng)過本級主管信息工作的領(lǐng)導(dǎo)批準(zhǔn)， 正式頒布， 并 定期 根據(jù)實施效果進行修訂 。 信息安全管理制度 信息安全管理制度是為了更好地保證系統(tǒng)的信息安全，是信息安全策略的進一步實施的具體化。 要求 制定嚴(yán)格的規(guī)范化的信息安全管理制度，以促進信息安全策略的實施； 內(nèi)容 對信息的生成、 存儲、查看、傳輸、復(fù)制、備份、歸檔、銷毀等制定 嚴(yán)格的管理制度； 對 信息系統(tǒng)中設(shè)備與系統(tǒng)的接 入、運行、維護、管理的規(guī)定 ； 有安全管理值班制度與事故報告處理制度，應(yīng)急響應(yīng)預(yù)案以及各種應(yīng)用系統(tǒng)用戶授權(quán)管 理與系統(tǒng)運行管理規(guī)定等 ； 根據(jù)管理制度的 執(zhí)行情況定期審核，修訂。 行為規(guī)范 行為規(guī)范規(guī)定了系統(tǒng) 的各類使用和管理人員的崗位職責(zé)，規(guī)定了各類人員的責(zé)任和所允許信息系統(tǒng)的權(quán)利。 要求 對信息系統(tǒng)的各類使用和管理人員的崗位職責(zé)、行為規(guī)范制定管理規(guī)定，并描述其責(zé)任和所允許的訪問信息和信息系統(tǒng)的正當(dāng)行為； 所有用戶在被授權(quán)訪問信息系統(tǒng)之前，應(yīng)以書面簽認方式確認其已經(jīng)知悉、理解并愿意遵守相關(guān)的規(guī)范。 內(nèi)容 管理制度印發(fā)給有關(guān)管理和應(yīng)用人員，并抽查，以驗證其是否了解應(yīng)遵守的行為規(guī)范。 安全規(guī)劃 制定較為完整的信息安全規(guī)劃，以指導(dǎo)信息安全保障工 作的開展。安全規(guī)劃包括系統(tǒng)安全規(guī)劃、系統(tǒng)安全規(guī)劃的更新、階段性行動計劃。 系統(tǒng)安全規(guī)劃 系統(tǒng)安全規(guī)劃是對信息系統(tǒng)安全一個全面的規(guī)劃，用來描述系統(tǒng)的安全要求和滿足安全規(guī)劃采用的安全控制措施 。 要求 為信息系統(tǒng)制定并實施安全規(guī)劃，對系統(tǒng)的安全要求以及滿足這些安全需求的在用的或計劃采用的安全控制措施進行描述； 高層領(lǐng)導(dǎo)應(yīng)審核、批準(zhǔn)安全規(guī)劃，并采用統(tǒng)一規(guī)劃、分步實施的原則貫徹執(zhí)行。 內(nèi)容 結(jié)合 xxxx 的 信息系統(tǒng)安全的總體目標(biāo)和安全需求，制定針對性的信息安全規(guī)劃； 系統(tǒng)安全規(guī)劃的更新 系統(tǒng)安全是一個動態(tài)的過程，系統(tǒng)安全規(guī)劃要定期審核并修訂，當(dāng)發(fā)生重大變更時，要用時對系統(tǒng)安全規(guī)劃進行更新。 要求 定期審核并修訂信息系統(tǒng)安全規(guī)劃，以解決在計劃實施中或安全控制評估中發(fā)現(xiàn)的問題，以及應(yīng)對信息系統(tǒng)或組織的變更。 內(nèi)容 定期或發(fā)生重大變更時，對信息安全規(guī)劃進行審核和修訂； 信息安全規(guī)劃的修改要 嚴(yán)格遵守相關(guān) 的策略和 流程，并得到主管領(lǐng)導(dǎo)的批準(zhǔn)。 階段性行動計劃 信息系統(tǒng)的生命周期有不同的階段，在每一個階段信息系統(tǒng)的安全需求是不同的，要對每個階段編制、開發(fā)或更新信息系統(tǒng)的行動計劃。 要求 編制開發(fā)和更新信息系統(tǒng)的活動和里程碑計劃 ，并將已計劃的、已實施的、和經(jīng)過評估的 行為文件化，以減少或消除系統(tǒng)中已知的脆弱 性。 內(nèi)容 有相應(yīng)的活動和里程碑計劃 ； 活動和里程碑計劃是在安全控制措施評估結(jié)果、安全影響分析和持續(xù)性監(jiān)控活動的基礎(chǔ)上進行更新的。 2 組織管理 組織機構(gòu) 信息安全管理機構(gòu) 要求 組建本單位的信息安全管理機構(gòu)，該機構(gòu)應(yīng)由主管本單位信息安全工作的領(lǐng)導(dǎo)、負責(zé)具體工作的網(wǎng)絡(luò)、安全管理人員組成，責(zé)任到人，具有領(lǐng)導(dǎo)信息安全工作、制定安全策略、監(jiān)督管理等職能。 內(nèi)容 組建信息安全管理機構(gòu)及其機構(gòu)組成，人員設(shè)置 ,并文件化； 組建的信息安全管理機構(gòu) 有明確的信息安全管理職能（包括物理安全管理、身份鑒別管理、訪問控制管理、安全審計管 理、安全教育與培訓(xùn)等）； 組建的信息安全管理機構(gòu)是自上而下，分級負責(zé)的。 信息安全管理人員 要求 信息安全管理機構(gòu)中的安全管理人員應(yīng)分權(quán)負責(zé)，以限制具有超級權(quán)限的人員存在。 內(nèi)容 信息安全管理機構(gòu)中的管理人員分權(quán)負責(zé)，系統(tǒng)管理員、安全管理員、安全審計員等 分別 都是 由不同的人員擔(dān)任； 各種設(shè)備與系統(tǒng)由相關(guān)的管理責(zé)任人，具有信息資產(chǎn)清單，并明文規(guī)定責(zé)任人的職責(zé)，責(zé)任人對其管理的設(shè)備及責(zé)任 清楚。 人員安全 人員安全主要包括工作崗位風(fēng)險分級、人員審查、人員工作合同終止、人員調(diào)動、工作協(xié)議和條款、第三方人員 安全以及人員處罰等幾個方面。 工作崗位風(fēng)險分級 要求 對工作崗位進行風(fēng)險分級，并制定針對在各級崗位工作的人員 審查機制； 定期復(fù)核和修訂不同工作崗位的風(fēng)險分級。 內(nèi)容 制定并實施工作崗位風(fēng)險分級的制度； 定期復(fù)核、修訂工作崗位的風(fēng)險分級。 人員審查 要求 結(jié)合 自身的業(yè)務(wù)需求、相關(guān)的法律法規(guī)、被訪問信息的 分類及面臨風(fēng)險等因素，對工作人員、合作者、第三方人員進行人員背景審查； 在授權(quán)之前對需要訪問信息和信息系統(tǒng)的人員進行審查； 制定人員審查流程，流程應(yīng)描述進行人員審查的方式和限制條件，如規(guī)定誰有資格進行審查，在 何時，通過什么方式，因為什么原因來進行審查等等。 內(nèi)容 制定有關(guān)人員背景審查的制度和流程，并依此進行人員審查、核實工作。 人員工作合同終止 要求 當(dāng)人員工作合同終止時，應(yīng)終止人員對信息系統(tǒng)的訪問，并確保其歸還所擁有與組織相關(guān)的資產(chǎn)； 制定 員工注冊和注銷流程，來授予和撤銷員工對信息系統(tǒng)和服務(wù)的訪問權(quán)限。 內(nèi)容 明確規(guī)定和指派職責(zé)，以處理人員工作合同終止事宜； 及時移除或封堵工作合同終止的人員對信息和信息處理系統(tǒng)的訪問權(quán)限，包括物理和邏輯訪問； 及時更改工作合同終止人員所知曉的賬戶密碼。 人員調(diào)動 要求 當(dāng) 工作人員被重新分配或調(diào)動到單位其它工作崗位時，應(yīng)復(fù)查信息系統(tǒng)和設(shè)施的訪問授權(quán)，并采取適當(dāng)?shù)拇胧ㄈ缰匦掳l(fā)放身份卡，關(guān)閉原有賬戶的同時創(chuàng)建新賬戶，更改系統(tǒng)的訪問授權(quán)等） 。 內(nèi)容 對人員調(diào)動 采取適當(dāng)?shù)陌踩胧? 工作協(xié)議和條款 要求 在對需要訪問信息和信息系統(tǒng)的人員進行訪問授權(quán)之前，簽署適當(dāng)?shù)墓ぷ鲄f(xié)議和條款（如，保密協(xié)議、按規(guī)