【正文】 硬件維修進出機房服務器配置變更系統(tǒng)配置變更安全變更特權(quán)用戶授權(quán)（主機、網(wǎng)絡）特權(quán)用戶授權(quán)（數(shù)據(jù)庫）系統(tǒng)軟件應用變更數(shù)據(jù)庫變更第六章 審核與檢查管理制度 審核與檢查管理制度 定期安全檢查l 由安全領導小組組織專門人員每三個月進行安全檢查；l 對包括網(wǎng)絡、安全設備、系統(tǒng)、文檔等各方面的安全檢查；l 檢查完畢后提交檢查報告，并由AAAAA公司安全管理員進行檢查報告復核，確定安全檢查結(jié)果，并對于不符合要求的地方提出整改措施并規(guī)定整改期限，以電子郵件或書面形式通知被檢查人員；（詳見附17）l 檢查時針對上一次的檢查結(jié)果進行復查，若發(fā)現(xiàn)仍未整改的，需上報信息安全領導小組并進行書面通告。具體為機房管理員負責機房相關(guān)事務的授權(quán)和審批；網(wǎng)絡管理員負責網(wǎng)絡相關(guān)事務的授權(quán)和審批；主機管理員負責主機相關(guān)事務的授權(quán)和審批；應用系統(tǒng)管理員負責應用相關(guān)事務的授權(quán)和審批。簽字確認：_____年_____月_____日備注：AAAAA公司永久存檔AAAAA公司XXXXX安全審計員崗位協(xié)議名字部門職責范圍：1. 參與制定我局規(guī)章制度和流程，規(guī)章制度和流程培訓與宣傳；2. 根據(jù)我局的審計要求制定審計計劃，定期或不定期的開展審計工作，撰寫審計報告，開展風險評估，發(fā)現(xiàn)安全漏洞或隱患，提交處理報告和切合實際可操作的處理方案，指導實施；3. 負責我局機房安全審計，負責數(shù)據(jù)庫服務器、數(shù)據(jù)備份與災難恢復審計；4. 負責我局操作系統(tǒng)安全審計，關(guān)鍵系統(tǒng)的用戶角色權(quán)限審計；5. 負責我局日常信息安全規(guī)章制度和流程的執(zhí)行審計，信息系統(tǒng)環(huán)境安全審計等；6. 對被審計部門提供咨詢、建議、協(xié)調(diào)等服務和公司領導安排的相關(guān)工作；7. 負責對系統(tǒng)管理員、安全管理員的操作行為進行審計跟蹤分析和監(jiān)督檢查，及時發(fā)現(xiàn)違規(guī)行為，每月向信息安全中心匯報工作情況；嚴格遵守保密協(xié)議。14. 重視對IT服務連續(xù)性的管理，建立對各類信息安全事件的預防、預警、響應、處置、恢復機制，并編寫相應的應急預案；15. 在符合國家密碼管理相關(guān)規(guī)定的條件下，合理使用密碼技術(shù)和密碼設備，嚴格密鑰生成、分發(fā)、保存等方面的安全管理，保障密碼技術(shù)使用的安全性。13. 加強對信息系統(tǒng)外包業(yè)務與外包方的管理在與信息系統(tǒng)外包方簽署的服務協(xié)議中，對信息系統(tǒng)安全加以要求。9. 當出現(xiàn)安全事件時，負責對發(fā)生的安全事件及時上報，并配合相關(guān)的調(diào)查和糾正工作；10. 當信息系統(tǒng)運行發(fā)生重大問題時，協(xié)助相關(guān)部門正確判斷原因，根據(jù)指令立即采取安全措施啟動相關(guān)處理程序；11. 負責與外部安全機構(gòu)的協(xié)調(diào)聯(lián)系，在發(fā)生重大安全事件時以協(xié)調(diào)獲取外部安全機構(gòu)的支持；12. 負責對介質(zhì)的管理對介質(zhì)的歸檔、查詢和借用進行記錄，對介質(zhì)進行定期盤點并記錄，對故障介質(zhì)的進行送修和銷毀并記錄，對于保密性高的介質(zhì)銷毀需要申報領導批準，并進行記錄。對信息系統(tǒng)安全檢查并進行情況通報。內(nèi)容包括資產(chǎn)管理的責任部門、資產(chǎn)名稱、重要程度、所處位置等；4. 負責制定安全設備或系統(tǒng)的文檔化的操作和維護規(guī)程，使得相關(guān)人員能夠采用規(guī)范化的形式對系統(tǒng)進行操作，降低和避免因誤操作所引發(fā)信息安全事件的可能性；5. 負責我局安全設備或系統(tǒng)運行維護管理，對安全設備或系統(tǒng)運轉(zhuǎn)情況進行定期巡檢、維護、故障處理和變更管理。9. 嚴格遵守保密協(xié)議。4. 重要信息和信息系統(tǒng)備份定期進行重要信息和信息系統(tǒng)備份，并對備份介質(zhì)進行安全地保存，以及對備份數(shù)據(jù)定期進行備份測試驗證，保證各種備份信息的保密性、完整性和可用性，確保所有重要信息系統(tǒng)和重要數(shù)據(jù)在故障、災難后及其它特定要求下進行可靠的恢復。AAAAA公司XXXXX系統(tǒng)管理員崗位協(xié)議書名字部門職責范圍：1. 負責保障主機（包括服務器設備、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、數(shù)據(jù)備份）；2. 信息安全日常管理包括系統(tǒng)口令管理、無人值守設備管理、屏幕保護、便攜機管理等，促使每位人員的日常工作符合AAAAA公司的BBBBB系統(tǒng) 的信息安全策略和制度要求。AAAAA公司應用管理員、主機管理員、安全管理員、機房管理員、網(wǎng)絡管理員以及安全審計員，承擔信息系統(tǒng)日常運行維護和管理任務。 信息安全管理人員AAAAA公司設置有系統(tǒng)管理員、安全管理員和安全審計員、應用管理員、主機管理員、機房管理員，配備多名管理人員和技術(shù)人員承擔信息系統(tǒng)日常運行維護和管理任務。l 機房管理員機房管理員只擁有對硬件設備的操作權(quán)，但無法對硬件配置進行任何更改，機房管理員登錄硬件設備的帳號只有查看權(quán)。l 網(wǎng)絡管理員、主機管理員網(wǎng)絡和主機管理員的權(quán)限僅次于系統(tǒng)管理員，包括更改系統(tǒng)和網(wǎng)絡配置，但無法新增用戶。專家小組任職要求：碩士以上學歷；了解并熟悉信息工程及相關(guān)領域知識；熟悉相關(guān)法律法規(guī)及規(guī)范/標準；了解ISO9001管理體系；具備注冊安全工程師、注冊安全評價師、注冊風險評價師等資質(zhì)證書優(yōu)先考慮；熟悉國家及地方政府對環(huán)境、健康與安全方面的政策法規(guī)具備良好的組織協(xié)調(diào)能力、溝通能力及團隊協(xié)作能力；良好的語言表達、交流能力。l 對安全檢查中查出的問題和隱患應逐一向AAAAA公司交底，并提出整改意見和建議；對查出的重大事故隱患應及時通報AAAAA公司結(jié)束后，應如實記錄檢查情況，并在檢查記錄上簽字。檢查時做到全面細致，不留死角。對檢查結(jié)果和所提的意見和建議負責。l 重視對IT服務連續(xù)性的管理，建立對各類信息安全事件的預防、預警、響應、處置、恢復機制，并編寫相應的應急預案；l 在符合國家密碼管理相關(guān)規(guī)定的條件下，合理使用密碼技術(shù)和密碼設備，嚴格密鑰生成、分發(fā)、保存等方面的安全管理，保障密碼技術(shù)使用的安全性。l 加強對信息系統(tǒng)外包業(yè)務與外包方的管理，在與信息系統(tǒng)外包方簽署的服務協(xié)議中，對信息系統(tǒng)安全加以要求。(詳見附11)l 當出現(xiàn)安全事件時，負責對發(fā)生的安全事件及時上報，并配合相關(guān)的調(diào)查和糾正工作；l 當信息系統(tǒng)運行發(fā)生重大問題時，協(xié)助相關(guān)部門正確判斷原因，根據(jù)指令立即采取安全措施啟動相關(guān)處理程序；l 負責與外部安全機構(gòu)的協(xié)調(diào)聯(lián)系，在發(fā)生重大安全事件時以協(xié)調(diào)獲取外部安全機構(gòu)的支持；l 負責對介質(zhì)的管理，對介質(zhì)的歸檔、查詢和借用進行記錄，對介質(zhì)進行定期盤點并記錄，對故障介質(zhì)的進行送修和銷毀并記錄，對于保密性高的介質(zhì)銷毀需要申報領導批準，并進行記錄。對信息系統(tǒng)安全檢查并進行情況通報。內(nèi)容包括資產(chǎn)名稱、重要程度、所處位置等；l 負責制定安全設備或系統(tǒng)的文檔化的操作和維護規(guī)程，使得運維人員能夠采用規(guī)范化的形式對系統(tǒng)進行操作，降低和避免因誤操作所引發(fā)信息安全事件的可能性；l 負責對安全設備或系統(tǒng)運行維護管理，對安全設備或系統(tǒng)運轉(zhuǎn)情況進行定期巡檢、維護、故障處理和變更管理。l 在應用系統(tǒng)變更、重要操作、訪問等的進行逐級審批，負責日常審批，重大變更需報到AAAAA公司領導小組進行核準和審批后，方可進行變更；l 負責組織實施應用系統(tǒng)各類事故（故障）的應急處理。系統(tǒng)開發(fā)完成后，應要求通過第三方安全機構(gòu)對軟件安全性的測評。應保證系統(tǒng)設計、開發(fā)過程的安全，重點加強對軟件代碼安全性的管理。具備保密意識 網(wǎng)絡管理員網(wǎng)絡管理員主要職責如下：l 負責保障網(wǎng)絡安全建設管理；l 規(guī)范網(wǎng)絡管理流程；l 采用技術(shù)和管理兩方面的控制措施，加強對應用系統(tǒng)的安全控制，提高網(wǎng)絡的安全性和穩(wěn)定性；l 對重要網(wǎng)絡設備應有文檔化的操作和維護規(guī)程，使得維護人員能夠采用規(guī)范化的形式對系統(tǒng)進行操作，降低和避免因誤操作所引發(fā)信息安全事件的可能性；l 負責保障網(wǎng)絡安全，協(xié)助安全管理員部署網(wǎng)絡安全產(chǎn)品，確保網(wǎng)絡安全；對網(wǎng)絡設備設施運轉(zhuǎn)情況進行定期巡檢、維護、故障處理和變更管理；l 在網(wǎng)絡系統(tǒng)變更、重要操作、訪問等的進行逐級審批，負責日常審批，重大變更需報到AAAAA公司領導小組進行核準和審批后，方可進行變更；l 負責組織實施網(wǎng)絡各類事故（故障）的應急處理。主機管理員任職要求如下：一年以上相關(guān)工作經(jīng)驗。l 重要信息和信息系統(tǒng)備份定期進行重要信息和信息系統(tǒng)備份，并對備份介質(zhì)進行安全地保存，以及對備份數(shù)據(jù)定期進行備份測試驗證，保證各種備份信息的保密性、完整性和可用性，確保所有重要信息系統(tǒng)和重要數(shù)據(jù)在故障、災難后及其它特定要求下進行可靠的恢復。 主機管理員主機管理員主要職責如下：l 負責保障主機（包括服務器設備、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、數(shù)據(jù)備份）；l 信息安全日常管理包括系統(tǒng)口令管理、無人值守設備管理、屏幕保護、便攜機管理等，促使每位人員的日常工作符合AAAAA公司的BBBBB系統(tǒng) 的信息安全策略和制度要求。機房管理員任職要求如下：遵守AAAAA公司的各項規(guī)章制度；具有良好的職業(yè)道德和敬業(yè)精神； 愛崗敬業(yè)，吃苦耐勞，愿意長期從事機房管理工作； 服從分配與管理，團結(jié)協(xié)作具有良好的團隊精神；能全心全意為AAAAA公司服務，言行舉止形象文明； 了解計算機軟硬件安裝及維護，動手能力強； 具有一定的組織能力和語言表達能力。嚴格對機房人員和設備的出入管理，進出需登記，外來人員需由相關(guān)管理人員陪同方能訪問機房。l 負責保障機房物理與環(huán)境安全實施包括門禁、視頻監(jiān)控、報警等安全防范措施，確保機房物理安全。l 明確產(chǎn)品所有者、使用者與維護者；對所有產(chǎn)品進行標記，實現(xiàn)信息資產(chǎn)從采購、安裝、調(diào)試、使用、變更到報廢整個周期的安全管理，并且密碼相關(guān)產(chǎn)品符合國家密碼主管部門的要求。 信息系統(tǒng)安全小組職責及要求l 負責貫徹落實信息安全領導小組關(guān)于信息系統(tǒng)安全工作的要求和規(guī)定，并落實各項安全工作；l 負責信息系統(tǒng)的安全管理體系和規(guī)章制度的建立、實施；l 建設、技術(shù)保障和操作規(guī)范等各方面的逐步建成；l 組織制訂和貫徹信息系統(tǒng)運行安全保障和維護工作制度。l 負責AAAAA公司信息系統(tǒng)安全事件管理工作。l 負責AAAAA公司信息系統(tǒng)的密碼使用管理工作，包括密碼的保管、分配、修改、授權(quán)。l 負責AAAAA公司基礎平臺系統(tǒng)安全管理，應用系統(tǒng)安全管理。l 各相關(guān)接待人負責其接待的外來人員的介質(zhì)的使用及監(jiān)督。l 負責對機房值班人員及技術(shù)維護人員（外包方）進行日常工作管理和檢查；l 負責AAAAA公司的AAAAA公司的BBBBB系統(tǒng)的使用控制及處置管理。根據(jù)各個職位職責不同，對于安全管理員與安全審計員應配備專職人員，不可兼任；對于關(guān)鍵事務崗位應考慮多人共同管理。第四章 信息安全組織機構(gòu)制度 信息安全組織機構(gòu)AAAAA公司針對AAAAA公司的BBBBB系統(tǒng)的信息安全組織機構(gòu)包括信息安全領導小組和信息系統(tǒng)安全小組。 信息安全管理體系實施在實施和運行信息安全管理體系中所開展的工作包括：l 通過風險管理方法來控制信息系統(tǒng)中存在的信息安全風險，配置資源、明確職責和優(yōu)先級別，實施適當?shù)墓芾泶胧?；l 實施各信息安全管理體系文件中包括的控制措施，以達到各控制目標；l 實施培訓和意識教育計劃，具體內(nèi)容參見《培訓制度》；l 實施能迅速檢測安全事件和響應安全事故的程序。 風險評估在體系建立過程中，AAAAA公司確定信息安全風險評估方法，對AAAAA公司的BBBBB系統(tǒng) 實施風險評估(詳見附8)，識別AAAAA公司的BBBBB系統(tǒng) 所面臨的風險，并根據(jù)風險進行相應的處理。由AAAAA公司主管領導批準發(fā)布，在AAAAA公司范圍內(nèi)實施并保持，利用內(nèi)部審核、管理評審、定期檢查、定期更新和預防措施以及持續(xù)改進的手段，確保信息安全管理體系的有效性。(2) 信息安全領導小組審批完成后，信息安全工作小組負責通知所有相關(guān)人員，并對《AAAAA公司XXXXX信息安全管理體系文件》進行廢除。(7) 信息安全工作小組最終對評審結(jié)果向信息安全領導小組進行匯報。如需要，可邀請專家對體系文件進行專家評審（詳見附附附7）。(5) 如果修改的內(nèi)容涉及到XXXXX以外的部門，需要所有涉及部門的會簽。如果確定文檔有必要進行修改，應填寫《體系文件更改申請表》(詳見附2)。計劃中應確定各文檔對應的評審責任人以及實施評審的時間計劃。評審流程如下： (1) 信息安全工作小組發(fā)起對體系文件的評審申請，信息安全領導小組確認后批準評審要求。 體系文件的評審信息安全工作小組應定期發(fā)起對體系文件的評審, 應填寫《體系文件建立申請表》(詳見附1)。 管理細則 體系文件生命周期流程體系文件流程圖 體系文件策劃信息安全工作小組組織相關(guān)人員，根據(jù)《信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求（GBT 222392008）》、 《信息安全技術(shù) 信息系統(tǒng)安全管理要求（GBT 202692006）》、《ISO/IEC 27001：2005 信息安全管理體系》的要求， 結(jié)合實際的職責和工作流程，策劃制定信息安全管理體系文件，并形成《AAAAA公司XXXXX信息安全管理體系文件匯編》。 范圍本管理規(guī)范適用于信息安全領導小組和工作小組對信息安全管理體系文件的維護管理。本管理制度適用于AAAAA公司的BBBBB系統(tǒng)建設和運維過程。 信息系統(tǒng)操作規(guī)程及應急預案l 信息安全事件應對機制建立對各類信息安全事件的預防、預警、響應、處置、恢復機制，編寫針對網(wǎng)絡、數(shù)據(jù)庫、系統(tǒng)和惡意代碼等的應急預案，并每年兩次進行測試和演練。l 部署防病毒軟件統(tǒng)一部署防病毒軟件，并進行病毒庫的統(tǒng)一更新，任何人不得私自卸載防病毒軟件?？刂茩C房人員和設備的出入管理，非管理人員無法進入主機房，外部人員進入機房需填寫出入記錄并且由管理人員全程陪同。 信息安全系統(tǒng)運維管理l 保障機房物理與環(huán)境安全實施多種手段對機房安全進行監(jiān)控，包括門禁、視頻監(jiān)控、紅外線報警等安全防范措施，確保機房物理安全。 信息系統(tǒng)安全管理安全策略信息系統(tǒng)安全管理安全策略包括信息建設安全管理制度、信息安全系統(tǒng)運維管理和信息系統(tǒng)操作規(guī)程及應急預案。l 保密協(xié)議簽署對于外包的軟件開發(fā)，需與服務提供商簽署保密協(xié)議；在信息系統(tǒng)立項和審批過程中，同步考慮信息安全需求和目標。l 定期評估安全風險根據(jù)評估結(jié)果選擇適當?shù)陌?