【正文】 評審記錄和變更過程記錄文檔。4重要系統(tǒng)的變更申請書，應具有主管領導的批準4系統(tǒng)管理員、數(shù)據(jù)庫管理員和網(wǎng)絡管理員應識別需定期備份的業(yè)務信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)（備份文件記錄）4應定期執(zhí)行恢復程序，檢查和測試備份介質的有效性4應有系統(tǒng)運維過程中發(fā)現(xiàn)的安全弱點和可疑事件對應的報告或相關文檔4應對安全事件記錄分析文檔4應具有不同事件的應急預案4應具有應急響應小組，應具備應急設備并能正常工作，應急預案執(zhí)行所需資金應做過預算并能夠落實。4應對系統(tǒng)相關人員進行應急預案培訓（應急預案培訓記錄）4應定期對應急預案進行演練（應急預案演練記錄）50、應對應急預案定期進行審查并更新5應具有更新的應急預案記錄、應急預案審查記錄。第四篇：安全等級保護管理辦法安全等級保護管理辦法為規(guī)范信息安全等級保護管理，提高信息安全保障能力和水平，維護國家安全、社會穩(wěn)定和公共利益，保障和促進信息化建設，根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》等有關法律法規(guī)制定以下辦法：第1條 網(wǎng)絡安全策略管理由安全保密管理員專職負責，未經(jīng)允許任何人不得進行此項操作。第2條 根據(jù)網(wǎng)絡信息系統(tǒng)的安全設計要求及主機審計系統(tǒng)數(shù)據(jù)的分析結果，制定、配置、修改、刪除主機審計系統(tǒng)的各項管理策略，并做記錄。第3條 根據(jù)網(wǎng)絡信息系統(tǒng)的安全設計要求制定、配置、修改、刪除網(wǎng)絡安全評估分析系統(tǒng)的各項管理策略，并做記錄。第4條 根據(jù)網(wǎng)絡信息系統(tǒng)的安全設計要求制定、配置、修改、刪除入侵檢測系統(tǒng)的各項管理策略，并做記錄。第5條 根據(jù)網(wǎng)絡信息系統(tǒng)的安全設計要求制定、配置、修改、刪除、內(nèi)網(wǎng)主機安全監(jiān)控與審計系統(tǒng)的各項管理策略，并做記錄。第6條 每周對網(wǎng)絡信息系統(tǒng)安全管理策略進行數(shù)據(jù)備份，并作詳細記錄。第7條 網(wǎng)絡信息安全技術防護系統(tǒng)（主機審計系統(tǒng)、漏洞掃描系統(tǒng)、防病毒系統(tǒng)、內(nèi)網(wǎng)主機安全監(jiān)控與審計系統(tǒng)）由網(wǎng)絡安全保密管理員統(tǒng)一負責安裝和卸載。第8條 網(wǎng)絡信息系統(tǒng)安全檢查由安全保密管理員專職負責執(zhí)行，未經(jīng)允許任何人不得進行此項操作。第9條 每天根據(jù)入侵檢測系統(tǒng)的系統(tǒng)策略檢測、審計系統(tǒng)日志，檢查是否有網(wǎng)絡攻擊、異常操作、不正常數(shù)據(jù)流量等，對異常情況做及時處理，遇有重大安全問題上報保密局，并做詳細記錄。第10條 每周登陸入侵檢測系統(tǒng)產(chǎn)品網(wǎng)站，下載最新升級文件包，對系統(tǒng)進行更新，并做詳細記錄。第11條 每月通過漏洞掃描系統(tǒng)對網(wǎng)絡系統(tǒng)終端進行安全評估分析，并對掃描結果進行分析，及時對終端系統(tǒng)漏洞及安全隱患進行處理，作詳細記錄，并將安全評估分析報告上報保密辦。第12條 每周登錄全評估產(chǎn)品網(wǎng)站，下載最新升級文件包，對系統(tǒng)進行更新，并作詳細記錄。第13條 每周備份入侵檢測系統(tǒng)和漏洞掃描系統(tǒng)的審計信息，并作詳細記錄。第14條 涉密計算機安全管理由安全保密管理員專人負責，未經(jīng)允許任何人不得進行此項操作。第15條 根據(jù)網(wǎng)絡系統(tǒng)安全設計要求制定、修改、刪除涉密計算機安全審計策略，包括打印控制策略、外設輸入輸出控制策略、應用程序控制策略，并做記錄。第16條 每日對涉密計算機進行安全審計，及時處理安全問題，并做詳細記錄，遇有重大問題上報保密部門。第17條 涉密計算機的新增、變更、淘汰需經(jīng)保密部門審批，審批通過后由安全保密管理員統(tǒng)一進行操作，并做詳細記錄。第18條 新增涉密計算機聯(lián)入涉密網(wǎng)絡，需經(jīng)保密局審批，由安全保密管理員統(tǒng)一進行操作，并做詳細記錄。第五篇：浙江省信息安全等級保護管理辦法浙江省信息安全等級保護管理辦法 省政府令223號浙江省信息安全等級保護管理辦法》已經(jīng)省人民政府第77次常務會議審議通過，現(xiàn)予公布，自2007年1月1日起施行。省長 呂祖善二○○六年九月三十日第一章 總則第一條 為加強和規(guī)范信息安全等級保護管理，提高信息安全保障能力，維護國家安全、公共利益和社會穩(wěn)定，促進信息化建設，根據(jù)國家有關規(guī)定，結合本省實際，制定本辦法。第二條 本省行政區(qū)域內(nèi)建設、運營、使用信息系統(tǒng)的單位，均須遵守本辦法。第三條 本辦法所稱信息安全等級保護，是指按國家規(guī)定對需要實行安全等級保護的各類信息的存儲、傳輸、處理的信息系統(tǒng)進行相應的等級保護，對信息系統(tǒng)中發(fā)生的信息安全突發(fā)公共事件實行分等級響應和處置的安全保障制度。第四條 本辦法所稱信息，是指通過信息系統(tǒng)進行存儲、傳輸、處理的語言、文字、聲音、圖像、數(shù)字等資料。本辦法所稱信息系統(tǒng)，是指由計算機、信息網(wǎng)絡及其配套的設施、設備構成的，按照一定的應用目標和規(guī)則對信息進行存儲、傳輸、處理的運行體系。第五條 信息安全等級保護應當遵循分級實施、明確責任、確保安全的原則；重點保障基礎信息網(wǎng)絡和重要信息系統(tǒng)各類信息的安全性和信息處理的連續(xù)性。信息系統(tǒng)應當按照信息安全等級保護的要求，實行同步建設、動態(tài)調整、誰運行誰負責的原則。第六條 縣級以上人民政府應當加強對信息安全等級保護工作的領導，把信息安全等級保護納入信息化建設規(guī)劃，協(xié)調、解決有關重大問題，建立必要的資金和技術的保障機制。第七條 縣級以上人民政府公安、國家安全、保密、密碼、信息化等行政主管部門應當按照國家和本辦法規(guī)定，履行監(jiān)督管理職責?？h級以上人民政府其他相關部門，應當按照職責分工，落實信息安全等級保護管理的責任，配合做好相關工作。第二章 等級保護的分級與實施第八條 根據(jù)信息系統(tǒng)承載的信息的重要性、業(yè)務處理對系統(tǒng)的依賴性以及系統(tǒng)遭到破壞后對經(jīng)濟、社會的危害程度，確定信息系統(tǒng)相應的保護等級。信息系統(tǒng)的保護等級分為以下五級：（一）信息系統(tǒng)承載的信息涉及公民、法人和其他組織的權益，信息系統(tǒng)遭到破壞后，業(yè)務可以直接用其他方式替代處理，對公民、法人和其他組織的權益有一定影響，但不損害國家安全、社會秩序、經(jīng)濟建設和公共利益的，為一級保護，由運營單位自主保護；（二）信息系統(tǒng)承載的信息直接涉及公民、法人和其他組織的權益，信息系統(tǒng)遭到破壞后，會影響業(yè)務的正常處理，并對國家安全、社會秩序、經(jīng)濟建設和公共利益造成一定損害的，為二級保護，由運營單位在信息安全等級保護工作監(jiān)管部門的指導下進行保護；（三）信息系統(tǒng)承載的信息涉及國家、社會和公共利益，信息系統(tǒng)遭到破壞后，會嚴重影響業(yè)務的正常處理，并對國家安全、社會秩序、經(jīng)濟建設和公共利益造成較大損害的，為三級保護，由運營單位在信息安全等級保護工作監(jiān)管部門的監(jiān)督下進行保護；（四）信息系統(tǒng)承載的信息直接涉及國家、社會和公共利益，信息系統(tǒng)遭到破壞后，業(yè)務無法正常處理，并對國家安全、社會秩序、經(jīng)濟建設和公共利益造成嚴重損害的，為四級保護，由運營單位按照信息安全等級保護工作監(jiān)管部門的強制要求進行保護；（五）信息系統(tǒng)承載的信息直接關系國家安全、社會穩(wěn)定、經(jīng)濟建設和運行，信息系統(tǒng)遭到破壞后，會對國家安全、社會秩序、經(jīng)濟建設和公共利益造成特別嚴重損害的，為五級保護，由運營單位在國家指定的專門部門、專門機構的?？叵逻M行保護。第九條 信息系統(tǒng)的建設、運營、使用單位，應當按照國家有關技術規(guī)范、標準和本辦法第八條規(guī)定自行選定其信息系統(tǒng)相應的保護等級?；A信息網(wǎng)絡和重要信息系統(tǒng)的保護等級，建設單位應當在信息系統(tǒng)規(guī)劃設計時，按照本辦法第十條規(guī)定報經(jīng)審定。第十條 基礎信息網(wǎng)絡和重要信息系統(tǒng)保護等級，實行專家評審制度。省、設區(qū)的市信息化行政主管部門應當分別建立省、市信息系統(tǒng)保護等級專家評審組，并分別組織對關系全省和關系全市的基礎信息網(wǎng)絡和重要信息系統(tǒng)的保護等級進行審定。申報與審定的具體細則，由省信息化行政主管部門會同省公安部門制定，并報省人民政府備案。第十一條 對于包含多個子系統(tǒng)的信息系統(tǒng)，應當根據(jù)各子系統(tǒng)的重要程度分別確定保護等級。第十二條 信息系統(tǒng)建設完成后，其運營、使用單位應當按照國家有關技術規(guī)范和標準進行安全測評，符合要求的，方可投入使用。第十三條 信息系統(tǒng)投入運行或者系統(tǒng)變更之日起三十日內(nèi)，運營、使用單位應當將信息系統(tǒng)保護等級選定或者審定情況報所在地縣級以上人民政府公安部門備案。備案的具體細則由省公安部門制定。信息系統(tǒng)涉及國家秘密的，運營、使用單位應當按照有關保密法律、法規(guī)、規(guī)章的規(guī)定執(zhí)行。第十四條 信息系統(tǒng)的運營、使用單位，應當按照國家有關技術規(guī)范和標準，建立信息安全等級保護管理制度，落實安全保護責任，采取相應的安全保護措施，切實保障信息系統(tǒng)正常安全運行。第十五條 信息系統(tǒng)的運營、使用單位，應當建立信息系統(tǒng)安全狀況日常檢測工作制度，加強對信息系統(tǒng)的日常維護和安全管理，及時消除安全隱患，確保信息的安全和系統(tǒng)的正常運行?；A信息網(wǎng)絡和重要信息系統(tǒng)的運營、使用單位，應當按照國家有關技術規(guī)范和標準，每年對系統(tǒng)的信息安全狀況進行一次全面的測評，也可以委托有相應資質的單位進行安全測評。第十六條 信息系統(tǒng)發(fā)生信息安全突發(fā)公共事件時，應當根據(jù)事件的可控性、地域影響范圍和信息系統(tǒng)遭到破壞的嚴重程度，實行分級響應和應急處置。分級響應和應急處置按照省有關網(wǎng)絡與信息安全應急預案的規(guī)定執(zhí)行。通信基礎網(wǎng)絡發(fā)生突發(fā)公共事件時，應當按照省有關通信保障應急預案的規(guī)定執(zhí)行。第三章 監(jiān)督管理第十七條 縣級以上人民政府公安部門依法對運營、使用信息系統(tǒng)的單位的信息安全等級保護工作實施監(jiān)督管理，并做好下列工作：（一）督促、指導信息安全等級保護工作；（二）監(jiān)督、檢查信息系統(tǒng)運營、使用單位的安全等級保護管理制度和技術措施的落實情況；（三）受理信息系統(tǒng)保護等級的備案；（四）依法查處信息系統(tǒng)運營、使用單位和個人的違法行為；（五）信息安全等級保護的其他相關工作。第十八條 保密工作部門依照職責分工，依法做好下列工作：（一）督促、指導涉及國家秘密的信息安全等級保護工作；（二）受理涉及國家秘密的信息系統(tǒng)保護等級的備案；（三）依法查處信息泄密、失密事件；（四）信息安全等級保護中涉及國家秘密的其他相關工作。第十九條 密碼管理部門應當按照職責分工依法做好相關工作，加強對涉及密碼管理的信息安全等級保護工作的監(jiān)督、檢查和指導，查處信息安全等級保護工作中違反密碼管理的行為和事件。第二十條 信息化行政主管部門應當加強對信息安全等級保護工作的指導、服務、協(xié)調和管理，并做好下列工作：（一）指導、協(xié)調信息安全等級保護工作；（二）組織制定信息安全等級保護工作規(guī)范。（三）組織專家審定信息系統(tǒng)的保護等級；（四）為相關單位提供信息安全等級保護的有關資訊和技術咨詢；（五）根據(jù)預案規(guī)定，組織落實信息安全突發(fā)公共事件的應急處置工作；（六）信息安全等級保護的其他相關工作。第二十一條 信息系統(tǒng)建設、運營、使用單位，應當按照國家和本辦法有關規(guī)定，開展信息安全等級保護工作，接受有關部門的指導、檢查和監(jiān)督管理。信息系統(tǒng)運營、使用單位，在運營、使用中發(fā)生信息安全突發(fā)公共事件、泄密失密事件的，應當按照應急預案要求，及時采取有效措施，防止事態(tài)擴大，并立即報告有關主管部門，配合做好應急處置工作。第四章 法律責任第二十二條 違反本辦法規(guī)定的行為，有關法律、法規(guī)已有行政處罰規(guī)定的，從其規(guī)定。第二十三條 信息系統(tǒng)運營、使用單位違反本辦法規(guī)定，不建立信息系統(tǒng)保護等級或者自行選定的保護等級不符合國家有關技術規(guī)范和標準的，由公安部門責令限期改正，并給予警告；逾期拒不改正的，處一千元以上二千元以下罰款。第二十四條 信息系統(tǒng)運營、使用單位違反本辦法第十二條、第十三條第一款規(guī)定的，由公安部門責令限期改正，并給予警告；逾期不改正的，處二千元罰款。第二十五條 信息系統(tǒng)運營、使用單位違反本辦法第十四條規(guī)定，未建立信息安全等級保護管理制度、落實安全保護責任和措施的，由公安部門責令限期改正，并給予警告；逾期拒不改正的，對經(jīng)營性的處五千元以上五萬元以下罰款，對非經(jīng)營性的處二千元罰款。第二十六條 違反本辦法第十五條第一款規(guī)定，信息系統(tǒng)運營、使用單位未建立信息系統(tǒng)安全狀況日常檢測工作制度的，由公安部門責令限期改正，并給予警告；逾期拒不改正的，處一千元以上二千元以下罰款。違反本辦法第十五條第二款規(guī)定，基礎信息網(wǎng)絡與重要信息系統(tǒng)的運營、使用單位，未定期對系統(tǒng)的信息安全狀況進行測評的，由公安部門責令限期改正，并給予警告；逾期拒不改正的，對經(jīng)營性的處二千元以上二萬元以下罰款，對非經(jīng)營性的處二千元罰款。第二十七條 信息系統(tǒng)運營、使用單位違反本辦法第二十一條第二款規(guī)定的，由縣級以上人民政府信息化行政主管部門責令改正，給予警告，對經(jīng)營性的并處五千元以上三萬元以下罰款，對非經(jīng)營性的并處二千元罰款；涉及泄密、失密的，按照有關保密法律、法規(guī)、規(guī)章的規(guī)定處理。第二十八條 有關信息安全等級保護監(jiān)管部門及其工作人員有下列行為之一的，由其主管部門或者監(jiān)察部門對直接負責的主管人員和其他直接責任人依法給予行政或者紀律處分。（一）未按照本辦法規(guī)定履行監(jiān)督管理職責的；（二）違反國家和本辦法規(guī)定審定信息系統(tǒng)保護等級的；（三）違反法定程序和權限實施行政處罰的；（四）在履行監(jiān)督管理職責中，玩忽職守、濫用職權、徇私舞弊的；（五）其他應當依法給予行政或者紀律處分的行為。第二十九條違反本辦法規(guī)定，構成犯罪的，依法追究刑事責任。第五章 附則第三十條 在本辦法施行前已經(jīng)建成的信息系統(tǒng)，運營、使用單位應當依照本辦法規(guī)定建立相應的保護等級。第三十一條 本辦法自2007年1月1日起施行。