【正文】 全策略和控制措施，保證安全風險可控。l 定期審查信息安全管理體系監(jiān)督各項安全控制措施的落實情況，并針對有偏差的地方進行糾正，以保證信息安全管理體系持續(xù)有效。 信息安全管理機構(gòu)制度l 建立AAAAA公司的BBBBB系統(tǒng)信息安全管理組織機構(gòu)明確網(wǎng)絡管理員、主機管理員、系統(tǒng)管理員、安全管理員、安全審計員等安全管理相關崗位及職責。 總體目標l 明確AAAAA公司信息安全管理機構(gòu)和人力資源管理制度；l 按照等級保護三級要求規(guī)范AAAAA公司的BBBBB系統(tǒng)建設和運維；l 制定AAAAA公司的BBBBB系統(tǒng)應急預案，并定期進行應急演練；l 定期開展全系統(tǒng)范圍的信息系統(tǒng)安全檢查和信息安全管理制度宣傳，并按需開展第三方信息安全風險評估。本制度體系從信息安全管理機構(gòu)制度、信息安全人力資源管理制度、信息系統(tǒng)建設安全管理制度、信息安全系統(tǒng)運維管理制度和信息系統(tǒng)操作規(guī)程及應急預案等方面，針對AAAAA公司的BBBBB系統(tǒng)，從信息安全管理和信息系統(tǒng)運維兩個方面做出規(guī)定。AAAAA公司安全管理制度（）文檔編制單位：AAAAA文檔編制時間：文檔總頁數(shù)：頁文檔編制： 文檔審核人： 審核時間：注：替換：AAAAA為公司名稱，DDDDD為公司簡稱，BBBBB為系統(tǒng)名稱，XXXXX為信息安全管理的部門（如“XXXXX”）。信息安全管理機構(gòu)制度版本記錄版本記錄版本修改日期修改摘要修改人審批人審批日期目錄第一章 信息安全管理制度總則 8 概述 8 總體原則 8 總體目標 8 總體框架 9 系統(tǒng)信息運維安全策略 9 信息系統(tǒng)安全管理安全策略 10 適用范圍 11第二章 AAAAA公司XXXXX信息安全管理體系文件 12 目的 12 范圍 12 職責 12 管理細則 13 體系文件生命周期流程 13 體系文件策劃 13 體系文件的評審 14 體系文件的作廢 14第三章 信息安全管理體系 15 信息安全管理體系 15 信息安全管理體系建立 15 信息安全管理體系實施 16 信息安全管理體系監(jiān)察 16第四章 信息安全組織機構(gòu)制度 17 信息安全組織機構(gòu) 17 信息安全職能部門職責 17 信息安全領導小組職責 18 信息系統(tǒng)安全小組職責及要求 18 信息安全小組權(quán)限 25 信息安全管理人員 26 關鍵崗位協(xié)議 27第五章 信息安全授權(quán)及審批管理制度 32 信息安全授權(quán)及審批管理制度 32第六章 審核與檢查管理制度 33 審核與檢查管理制度 33 定期安全檢查 33 文件審批與發(fā)布管理制度 33第七章 辦公環(huán)境管理制度 34 辦公環(huán)境管理制度 34第八章 溝通與合作管理制度 36 溝通與合作管理制度 36 信息安全例會管理 36 外部協(xié)作管理 37第九章 人員入崗管理制度 38 信息安全條款 38 保密協(xié)議 38 人員錄用和上崗安全管理 39第十章 人員在崗管理制度 39 人員在崗信息安全管理 39 崗位信息安全檢查 39 信息安全違規(guī)紀律處理 39 人員考核 40 關鍵崗位考核制度 40第十一章 信息安全培訓制度 40 信息安全培訓制度 40第十二章 人員離崗管理制度 41 人員離崗離職安全管理 41 資產(chǎn)歸還 41 訪問權(quán)限回收 42 離職后信息安全職責的追蹤和管理 42第十三章 外來人員管理制度 43 第三方人員安全管理 43 外來人員信息安全管理 44第十四章 工作人員安全守則 44 工作人員安全守則 44第十五章 信息系統(tǒng)建設安全管理制度 46 系統(tǒng)總體規(guī)劃設計 46 安全設計需求分析及評估 48 總體安全設計 57 安全建設規(guī)劃 63 系統(tǒng)工程實施 65 產(chǎn)品采購管理制度 65 安全服務商選擇 66 硬件采購和安裝 66 軟件采購和安裝 67 系統(tǒng)軟件開發(fā)管理 67 系統(tǒng)測試驗收 69 系統(tǒng)交付 69 系統(tǒng)備案 69第十六章 硬件設備運維管理制度 70 硬件設備運維管理制度 70 機房安全管理制度 70 辦公環(huán)境安全管理制度 72 資產(chǎn)安全管理制度 73 介質(zhì)安全管理制度 78 設備管理制度 83 網(wǎng)絡安全管理制度 85第十七章 系統(tǒng)軟件運維管理制度 88 系統(tǒng)軟件運維管理制度 88 系統(tǒng)安全管理制度 88 惡意代碼防范管理制度 95 密碼使用管理制度 96 信息系統(tǒng)變更管理制度 96第十八章 備份與恢復管理制度 100 備份與恢復管理制度 100 備份制度流程圖 100 資產(chǎn)識別 101 備份方案 102 備份計劃實施 102 備份的介質(zhì)標識 102 備份介質(zhì)的安全存放 103 信息恢復 103第十九章 信息系統(tǒng)安全事件管理制度 104 信息系統(tǒng)安全事件管理制度 104 安全事件定義 104 安全事件等級劃分 105 安全事件處理流程 106 安全事件報告流程 120第二十章 硬件維護日常操作管理規(guī)程 121 硬件維護日常操作管理規(guī)程 121 交換機 121 路由器 122 防火墻 122 小型機 122 PC服務器 123 審計系統(tǒng) 123第二十一章 信息系統(tǒng)操作規(guī)程 123 信息系統(tǒng)操作規(guī)程 123 服務器設備操作規(guī)程 123 網(wǎng)絡設備操作規(guī)程 124第二十二章 應急機構(gòu) 125 應急機構(gòu)及角色設置 125 應急領導小組 125 應急協(xié)調(diào)小組 126 應急實施小組 126 外部應急協(xié)助組 127第二十三章 應急預案 128 信息系統(tǒng)應急預案 128 應急預案分類 128 應急預案啟動 128 應急處理流程 131 系統(tǒng)恢復 133 故障總結(jié)及報告 134 應急演練 134 附錄 136 附1：體系文件建立申請表 136 附2：體系文件更改申請表 137 附3：體系文件評審記錄表 138 附4：體系文件作廢申請表 139 附5：專家論證表 140 附6：專家意見書 141 附7：專家論證會會議紀要 142 附錄8 :安全評估報告 143 附錄9 資產(chǎn)清單 144 附錄10 :系統(tǒng)的操作手冊 146 附錄11：信息系統(tǒng)安全檢查表單 146 附錄12：備份管理員操作變更申請單 147 附錄13：密碼變更記錄表（zj） 149 附錄14：審計記錄 153 附錄15：授權(quán)與審批流程 155 附錄16：系統(tǒng)配置變更審批單 156 附錄17: 安全檢查表 158 附錄18: 安全檢查報告與通報 160 附19:外聯(lián)單位聯(lián)系表 161 附20:會議記要 163 附21:信息安全專家聘任書 164 附錄22 :保密協(xié)議 164 附錄23: 上崗人員情況登記表 168 附錄24: 人員入崗審核表 170 附錄25: 崗位協(xié)議書 （需打?。?171 附錄26：信息安全崗位人員考核記錄 174 附錄27：安全技能考核紀錄 175 附錄28：關鍵崗位審查情況表 176 附錄29：信息安全培訓計劃 182 附錄30：安全教育培訓簽到表 185 附錄31: 安全教育培訓評價表 186 附錄32：年度信息安全培訓計劃 187 附錄33：培訓考題 188 附錄34：培訓考核記錄表 192 附錄35: 人員離崗/職審批表 194 附錄36: 人員離崗工作交接表 196 附錄37: 離職保密承諾書 198 附錄38: 機房進出申請單 199 附錄39: 機房進出記錄表 201 附錄40：機房出入登記表 203 附錄41：XXXXX機房設備出門單 204 附錄42：設備維護檔案 205 附錄43：信息安全存儲介質(zhì)領用/借用申請單 206 附錄44：介質(zhì)銷毀審批表 207 附錄45：信息安全存儲介質(zhì)維修記錄 208 附錄46：設備領用表 209 附錄47：計算機設備責任人變更審批表 210 附錄48：特權(quán)用戶申請表 210 附錄49：服務器補丁升級記錄 211 附錄50：變更申請單 212 附錄51：備份記錄 215 附錄52：恢復記錄 215 附錄53：備份與恢復演練記錄單 216 附錄54：安全事件記錄報告 216 附錄55：信息安全事件調(diào)查報告 217 附錄56：硬件維護 218 附錄57：工作日志 219 附錄58：信息系統(tǒng)巡檢 220221 / 221第一章 信息安全管理制度總則 概述信息系統(tǒng)安全等級保護管理制度體系是對實現(xiàn)信息系統(tǒng)安全等級保護所采用的安全管理措施的描述。 總體原則本制度的信息安全總體原則如下：l 全面貫徹國家和上海市關于信息安全工作的要求文件和相關指導性文件精神，在部門內(nèi)建立符合國家要求完善的信息安全管理體系；l 建立由安全策略、管理制度、操作規(guī)程等構(gòu)成的全面信息安全管理制度體系，并落實信息安全管理責任到個人，使信息安全管理有章可循；l 定期進行信息安全培訓，提高相關人員信息安全意識及能力；l 實行預防為主，應急為輔的信息安全理念，對可能存在的信息安全隱患進行提前預防性排查和處理；對于突發(fā)性信息安全事件，可以按照應急預案進行快速響應，將事件影響降到最低；l 定期對信息系統(tǒng)進行風險評估和控制，將信息安全風險控制在可接受的水平，以降低突發(fā)性事件出現(xiàn)的概率；l 持續(xù)改進信息安全管理所要求包含的各項工作，為系統(tǒng)提供可靠的安全信息服務。 總體框架本制度的安全策略包括信息安全管理安全策略和信息系統(tǒng)運維安全策略，如下圖所示： 系統(tǒng)信息運維安全策略系統(tǒng)信息運維安全策略包括信息安全管理機構(gòu)制度和信息安全人力資源管理制度。l 加強信息安全的授權(quán)和審批對于系統(tǒng)變更（包含軟件和硬件）實施審批，并記錄在案。l 規(guī)范產(chǎn)品采購和使用管理制度流程明確產(chǎn)品所有者、使用者與維護者；對所有產(chǎn)品進行標記，實現(xiàn)信息資產(chǎn)從采購、安裝、調(diào)試、使用、變更到報廢整個周期的安全管理，并且密碼相關產(chǎn)品符合國家密碼主管部門的要求。 信息安全人力資源管理制度l 加強人員安全管理包含人員錄用前考察、人員在崗和離崗的安全控制、人員考核、獎懲措施等內(nèi)容；對于關鍵崗位的工作人員，需簽訂保密協(xié)議。系統(tǒng)開發(fā)完成后，要求通過第三方安全機構(gòu)對軟件安全性的測評。 信息建設安全管理制度l 文檔發(fā)布制度化制定文檔發(fā)布規(guī)范制度，統(tǒng)一文檔版本、格式等，并定期按照制度對文檔進行更新，以保證所有文檔的時效性。部署機房專用空調(diào)、UPS，滅火設備等環(huán)境保障設施；每天對機房設施運轉(zhuǎn)情況進行定期巡檢、和維護。l 維護和操作規(guī)程文檔化對系統(tǒng)維護和操作規(guī)程實施文檔化操作，降低和避免因誤操作所引發(fā)信息安全事件的可能性。l 定期備份重要系統(tǒng)和數(shù)據(jù)對重要的數(shù)據(jù)和信息系統(tǒng)進行每日增量備份每周全量備份，并對備份介質(zhì)進行安全地保存，以及對備份數(shù)據(jù)每季度進行備份還原測試，保證各種備份信息的保密性、完整性和可用性，確保所有重要信息系統(tǒng)和重要數(shù)據(jù)在故障、災難后及其它特定要求下進行可靠的恢復。 適用范圍本手冊按照ISO/IEC 27001：2005 《信息安全管理體系要求》，結(jié)合AAAAA公司的BBBBB系統(tǒng)的實際編制而成，符合ISO/IEC 27001：2005 標準的全部要求。第二章 AAAAA公司XXXXX信息安全管理體系文件 目的為規(guī)范AAAAA公司XXXXX（以下簡稱“DDDDD”）的信息安全管理體系文件的制訂、修訂及評審，特制定本制度。 職責由信息安全工作小組的主體部門DDDDD負責信息安全管理體系文件的維護，包括制訂、修訂和評審，由信息安全領導小組負責體系文件的批準、發(fā)布和作廢。 信息安全工作小組將制定的《AAAAA公司XXXXX信息安全管理體系文件匯編》匯報給信息安全領導小組，信息安全領導小組進行審批確認。對體系文件的評審應至少每年進行一次。(2) 信息安全工作小組制定評審計劃。(3) 各評審責任人根據(jù)時間計劃，結(jié)合內(nèi)部審核、管理評審、風險評估及日常記錄的結(jié)果，評估現(xiàn)有文件的有效性和充分性。(4) 如果修改的內(nèi)容只涉及XXXXX，則由信息安全工作小組組長進行審批，在審批同意后，由文檔評審責任人進行修改。會簽后，由文檔評審責任人進行文檔修改。(6) 修改完畢之后，各責任人將《體系文件評審記錄表》(詳見附3)和完善后的體系文件版本一并報送信息安全工作小組，由信息安全工作小組進行標識和保存。 體系文件的作廢(1) 在體系文件的評審過程中，如果評審責任人認為文件應當作廢，則填寫《體系文件作廢申請表》(詳見附4)，由信息安全工作小組審批后，報信息安全領導小組進行審批。 第三章 信息安全管理體系 信息安全管理體系以ISO/IEC 27001：2005 《信息安全管理體系要求》為依據(jù)，建立信息安全管理體系，并形成相關的信息安全管理體系文件。 信息安全管理體系建立 管理體系范圍根據(jù)AAAAA公司系統(tǒng)業(yè)務特點、組織機構(gòu)、物理位置確定AAAAA公司的BBBBB系統(tǒng) 信息安全管理體系的范圍為：l 所有部門和正式工作人員，包括AAAAA公司所有成員；l AAAAA公司XXXXX主要負責AAAAA公司的BBBBB系統(tǒng) 建設和運行工作及系統(tǒng)維護和管理；l 與系統(tǒng)業(yè)務活動相關的應用系統(tǒng)及其包含的全部信息資產(chǎn)，其中應用系統(tǒng)包括：AAAAA公司的BBBBB系統(tǒng)；信息資產(chǎn)包括：與上述業(yè)務應用系統(tǒng)相關的數(shù)據(jù)、硬件、軟件、服務及文檔等；l AAAAA公司的BBBBB系統(tǒng) 涉及的辦公場所和上述業(yè)務應用系統(tǒng)所處機房，其中機房為AAAA