信息安全管理办法-政府部门要求

第一篇：信息安全管理办法-政府部门要求

信息安全管理办法

目 录 信息安全组织管理.............................................1 2 日常信息安全管理.............................................1 4.1 基本要求.................................................1 4.2 人员管理.................................................1 4.3 资产管理.................................................2 4.4 采购管理.................................................2 4.5 外包管理.................................................2 4.6 经费保障.................................................2 3 信息安全防护管理.............................................3 5.1 基本要求.................................................3 5.2 网络边界防护管理.........................................3 5.3 信息系统防护管理.........................................3 5.4 门户网站防护管理.........................................3 5.5 电子邮件防护管理.........................................3 5.6 终端计算机防护管理.......................................4 5.7 存储介质防护管理.........................................4 4 信息安全应急管理.............................................4 5 信息安全教育培训.............................................4 6 信息安全检查.................................................5 信息安全组织管理 本项要求包括：

a)应加强领导，落实责任，完善措施，建立健全信息安全责任制和工作机制；

b)应明确一名主管领导，负责本单位信息安全管理工作，根据国家法律法规有关要求，结合实际组织制定信息安全管理制度，完善技术防护措施，协调处理重大信息安全事件；

c)应指定一个机构，具体承担信息安全管理工作，负责组织落实信息安全管理制度和信息安全技术防护措施，开展信息安全教育培训和监督检查等；

d)各内设机构应指定一名专职或兼职信息安全员，负责日常信息安全督促、检查、指导工作。信息安全员应当具备较强的信息安全意识和工作责任心，掌握基本的信息安全知识和技能。日常信息安全管理 基本要求 本项要求包括： 2.1 a)应制定信息安全工作的总体方针和目标，明确信息安全工作的主要任务和原则；

b)c)应建立健全信息安全相关管理制度；

应加强对人员、资产、采购、外包等的安全管理，并保证信息安全工作经费投入。

2.2 人员管理 本项要求包括：

a)应采购安全可控的信息技术产品和服务。采购基于新型技术的产品和服务或者国外产品和服务时，应进行必要性和安全性评估；

b)办公用计算机、服务器等设备的更新换代中，应采购配备安全可控CPU、操作系统等的关键软硬件；

c)公文处理软件、信息安全产品等应采购国产产品，信息安全产品应经过国家统一认证；

d)接受捐赠的信息技术产品，使用前应进行安全测评，并与捐赠方签订信息安全与保密协议；

e)不得采购社会第三方认证机构提供的信息安全管理体系认证服务；

f)信息系统数据中心、灾备中心不得设立在境外。外包管理 本项要求包括： 2.5 a)b)应建立并严格执行信息技术外包服务安全管理制度； 应与信息技术外包服务提供商签订服务合同和信息安全与保密协议，明确信息安全与保密责任，要求服务提供商不得将服务转包，不得泄露、扩散、转让服务过程中获知的敏感信息，不得占有服务过程中产生的任何资产，不得以服务为由强制要求委托方购买、使用指定产品；

c)信息技术外包服务人员应为中国公民，现场服务过程中应安排专人陪同，并详细记录服务过程；

a)非涉密信息系统与互联网及其他公共信息网络应实行逻辑隔离，涉密信息系统与互联网及其他公共信息网络应实行物理隔离；

b)建立互联网接入审批和登记制度，严格控制互联网接入口数量，加强互联网接入口安全管理和安全防护。

c)应采取访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范等措施，进行网络边界防护；

d)应根据承载业务的重要性对网络进行分区分域管理，采取必要的技术措施对不同网络分区进行防护、对不同安全域之间实施访问控制；

e)应对网络日志进行管理，定期分析，及时发现安全风险。

3.3 信息系统防护管理 本项要求包括：

a)应按照GB/T 20984-2007的要求，定期对信息系统面临的安全风险和威胁、薄弱环节以及防护措施的有效性等进行分析评估；

b)应综合考虑信息系统的重要性、涉密程度和面临的信息安全风险等因素，按照国家信息安全等级保护相关政策和技术标准规范，对信息系统实施相应等级的安全管理；

c)应按照GB/T 22240-2008的要求，确定信息系统安全保护等级；

d)应按照GB/T 22239-2008的要求；对信息系统实施相应等级的安全建设和整改；

a)应采用集中统一管理方式对终端计算机进行管理，统一软件下发，统一安装系统补丁，统一实施病毒库升级和病毒查杀，统一进行漏洞扫描；

b)应规范软硬件使用，不得擅自更改软硬件配置，不得擅自安装软件；

c)应加强账户及口令管理，使用具有一定强度的口令并定期更换；

d)应对接入互联网的终端计算机采取控制措施，包括实名接入认证、IP地址与MAC地址绑定等；

e)f)应定期对终端计算机进行安全审计；

非涉密计算机不得存储和处理国家秘密信息。存储介质防护管理 本项要求包括： 3.7 a)应严格存储阵列、磁带库等大容量存储介质的管理，采取技术措施防范外联风险，确保存储数据安全；

b)应对移动存储介质进行集中统一管理，记录介质领用、交回、维修、报废、销毁等情况；

c)非涉密移动存储介质不得存储涉及国家秘密信息，不得在涉密计算机上使用；

d)移动存储介质在接入本部门计算机和信息系统前，应当查杀病毒、木马等恶意代码；

e)应配备必要的电子信息消除和销毁设备，对转作他用的存储介质要消除信息，对废弃的存储介质要进行销毁。信息安全应急管理

c)应定期开展对信息安全管理人员和技术人员专业技能培训，提高信息安全工作能力和水平；

d)应把信息安全防护基本技能纳入工作考核范围，并作为干部任用的重要条件；

e)应记录并保存信息安全教育培训、考核情况和结果。信息安全检查 本项要求包括： 6 a)应认真组织开展信息安全检查工作，掌握信息安全总体状况和面临的威胁，查找安全隐患，堵塞安全漏洞，完善安全措施，减少安全风险，提高安全防护能力；

b)应每年进行一次全面的信息安全检查，重点检查办公系统、业务系统、门户网站的安全防护情况；

c)应加强检查工作组织领导，建立检查工作责任制，制定检查工作方案并认真落实；

d)应重视安全技术检测，采取必要的技术检测手段对门户网站、服务器、终端计算机等进行安全检测。可根据需要委托符合要求的检测机构进行技术检测；

e)应加强安全检查过程中的保密管理和风险控制，严格检查人员、有关文档和数据的安全保密管理，制定安全检查应急预案，确保被检查信息系统的正常运行；

f)应对安全检查中发现的问题进行分析研判，制定整改措施并及时整改；

g)应对年度安全检查情况进行全面总结，按照要求如实完成检查报告并报信息安全主管部门。

第二篇：信息安全管理办法

HYW3-111-XZ15

XXXXZDXXXXXXXX电厂管理制度

Net

信息安全管理办法

2015-9-10发布 2015-9-10实施

XXXXXXXX电厂 发 布 HYW3-111-XZ15

XXXXXXXX电厂 信息安全管理办法

第一章 总 则

第一条 为了加强XXXXXXXX电厂（以下简称“电厂”）信息的安全管理，确保公司信息系统安全、稳定运行，特制定本办法。

第二条 本办法规定了信息安全管理的职责、内容和方法，本办法适用于电厂各部门。

第二章 人员与帐户

第三条 电厂的所有员工都必须接受信息安全培训，培训由电厂人力资源部组织，信息中心协助。

第四条 信息中心统一管理各应用系统中的帐户信息，包括用户基本信息、用户帐号、权限等。信息中心应在接到人力资源部门的员工职位变动或离职的通知后，根据具体情况及时调整相应的帐户信息。

第五条 员工离职时必须将其掌管的信息资产（如电脑、打印机等）移交信息中心，信息中心进行清点和核查。必要时，还需要检查此员工管理的信息系统，以确认系统安全、正常，没有遭受蓄意破坏。

第三章 口令策略

第六条 信息系统中所需要的所有口令应至少满足以下要求：

（一）长度：至少6位，建议在16位以下。

（二）复杂度：可以由大小写字母、数字和普通符号组成。

（三）有效期：口令应每季度更换。

（四）更换策略：新口令至少与前3次的口令不能相同。

第四章 特权帐号的控制

第七条 特权帐号是指具有特殊管理功能和权限的专用账号，如：具有应用系统管理权、数据库管理权、操作系统管理权的帐号，还包括网络设备特权帐号等。

第八条 特权帐号应由专人管理和使用，责任到人。特权帐号使用人在出差、请假期间，应将特权帐号转交给信息中心负责人指定的人员。特权帐号使用人长期离开时，应将特权帐号交给信息中心负责人。

第九条 使用特权帐号后，特权帐号使用人应将其操作情况记录在《操作日志》中。信息中心负责人每季度对《操作日志》进行审核。

第十条 特权帐号使用人在进行操作时，不得擅自离开；操作完成后，应立即退出登录，以防账号被窃用。

HYW3-111-XZ15

第五章 安全检查和审计

第十一条 信息中心安全管理员对防火墙进行管理，按照电厂有关技术规范的要求和本单位的实际情况配置相应的安全策略。防火墙必须保留完整的日志记录，安全管理员对其每月进行检查、分析和审计。

第十二条 应用系统、操作系统和数据库的自动日志记录应完整保留，以便对其使用情况进行检查和审计。

第六章 病毒防护

第十三条 电厂内部网络内所有采用windows操作系统的计算机（包括服务器、台式机和笔记本）都必须安装电厂统一的防病毒软件，防病毒软件的安装、升级、更新和策略设置由信息中心负责，电脑终端用户不得擅自卸载杀毒软件或更改其设置。

第七章 数据安全与保护

第十四条 重要数据的安全保护工作由电厂信息中心负责，按照数据重要性的分类应采用不同的备份和管理的策略。

第十五条 重要数据进行销毁或存储介质报废时，应确保对数据存储介质的物理销毁或清除。

第十六条 信息中心的技术资料、软件安装介质、软件授权以及设备保修卡等重要资料应指定专人分类妥善保管。上述资料应存放在防火、防潮并且上锁的资料柜中，借出时应登记，避免遗失。

第八章 安全应急处理

第十七条 信息系统受到恶意攻击或发生重大事故时，信息中心负责应急和恢复工作。信息中心应对主要事故和攻击的情况做出预案，以确保能迅速恢复系统的正常运行。

第十八条 信息系统受到非法攻击或发生重大事故后，信息中心应对系统的安全性重新进行全面的评估，制订相应的整改措施并落实执行。

第十九条 建立信息系统问题汇报机制，信息中心根据问题的性质、影响大小和发生频度对电厂的信息系统进行分类汇总，信息化领导小组每季度审阅相应的报告，对其中特别重大的事件（例如；重大安全事件〈黑客攻击〉、主要系统的设备损毁、病毒造成的电厂范围的网络瘫痪）应及时上报，同时向上级公司信息中心汇报。

第九章 附 则

第二十条 本办法由电厂行政部信息中心负责解释。

第二十一条

本办法自发布施行。

第三篇：舆情信息报送格式要求及管理办法

舆情信息报送格式要求及管理办法

生环学院团总支青年研究中心制

一、格式要求

1.报送以word附件形式发送至shtzzyouth@163.com，附件名及邮件名需以班级名称命名，如“11生态舆情”；

2.报送格式请参照已下发的策划书内附件表格及要求；

3.报送内容需条理清晰，语句通顺，语义明确；

4.若报送内容中涉及到具体事件，请详谈：

如丢失物品现象，需言明哪班哪宿舍谁什么时间在哪丢失怎样的物品，失物价值等；

如活动时间安排冲突事件，需言明哪个活动占用什么时间与另一活动占用什么时间，二者如何冲突，两个活动组织方为何人等，方便老师予以解决。

5.除需要老师帮助解决的事件外，鼓励报送班级特色内容。如班级特色活动中同学们的感受与反响、同学们对近期社会事件的关注与讨论、同学们对身边人事物的言论及看法等。

二、管理办法

1.请务必在每周五晚12点之前发送舆情报告，逾期不候；

2.请务必遵守格式要求所列内容，不合格者将退回信件；

3.请务必认真完成报送工作，内容充实具体，有意义，勿敷衍了事；

4.每周未按时上交或上交内容不合格者，我中心将在本期周报中统计后报送给老师，由老师裁决，具体体现于综合测评加减分、优秀干部评选、优秀团员评选、优秀班集体评定等。情节严重者，批评且撤销其职位。

请各班心理委员务必重视并认真完成工作。谢谢配合！

第四篇：信息安全工作要求

信息安全工作要求

今天,人民银行组织召开金融信息安全形势座谈会，信息安全工作要求。会议分析了当前我国金融信息安全面临的形势,指出了存在的问题与挑战,明确了下一阶段的工作重点。人民银行党委委员、行长助理李东荣出席会议并讲话。

李东荣指出,近年来,金融业信息化程度不断提高,对金融业改革、发展、壮大发挥了重要的促进作用。同时,金融业对信息技术的依赖程度越来越大,信息安全保障工作的难度不断加大,互联网应用又进一步加大了信息安全风险的扩散效应。国家对金融信息安全高度重视,有关领导多次作出重要指示,要求金融业切实采取措施,努力提高信息安全保障水平,坚决打击危害金融信息安全的犯罪活动。因此,各金融机构要清醒地看到当前我国金融信息安全面临的形势,充分认识金融信息安全工作的重要性,未雨绸缪,勇于应对挑战,进一步做好工作。

李东荣强调,要从以下方面做好金融业信息安全保障工作:

一是要提高金融信息安全风险防范意识，工作总结《信息安全工作要求》。各金融机构要深刻认识信息安全风险发展的新趋势,从防范系统性金融风险的高度去认识做好金融信息安全工作的重要性和紧迫性,妥善处理数据大集中带来的风险集中以及互联网对金融机构信息安全风险的放大,采取有效措施积极应对。

二是完善金融信息安全保障组织机制,加强组织领导。将金融信息安全风险管理纳入机构风险管理范畴,避免片面地将信息安全风险防范作为单一的科技工作。

落实金融信息安全责任制和问责制,形成各部门有效协作、齐抓共管的工作局面。

三是将金融信息安全管理各项措施落到实处,保障业务连续性。做好金融信息安全发展规划,完善金融信息安全保障体系,加强金融信息系统生命周期过程的风险管理,坚决贯彻“优先恢复系统对外服务”的原则,切实加强自主运维能力建设,定期进行风险的深度检测与评估,加强应急演练,不断提高应急实战能力。

四是加强指导与服务,协同防范金融信息安全风险。人民银行将认真履行国家赋予的工作职责,与金融监管部门协调配合,加强对金融机构的指导与服务,通过明确标准规范引导、加大监督检查力度、完善协调机制建设等措施,促进金融机构共同提高我国金融信息安全保障能力。

21家全国性商业银行分管科技工作的负责同志以及人民银行相关司局、直属企事业单位有关负责人参加了会议。

(xiexiebang.com www.xiexiebang.com)

第五篇：项目信息安全管理办法

关于**项目信息安全管理办法

为了规范及加强**项目的信息安全管理工作，特制定<<**项目信息安全管理办法>>,并严格按要求执行,具体如下:

一、硬件设备及软件信息安全管理

1、按照**客服供应商硬件及软件设备要求标准进行配置，确保符合标准。并定期维护。

要求：技术员定期维护，对于损坏、无法修复、多次修复仍然存在问题的电脑及时进行更换。

对象：**项目组座席、管理使用的电脑 实施时间：随时检查，每月排查登记一次

违规处罚：未按规定时间完成的考核技术负责人500元/次。

2、招募第三方安全公司，按**客服供应商对第三方安全公司的安全测评要求来进行招标，定期上报安全测评报告，并对存在的信息安全、网络安全等隐患或漏洞进行排查整改。对象：**项目组所使用设备、软件等 实施时间：每季度测评一次

违规处罚：未按规定时间完成的考核技术负责人500元/次。

3、外网访问、系统更新补丁、防火墙检查、机房电脑USB端口的禁用等检查工作

要求：对海口职场电脑外网访问进行严格审查，无关于工作的外网一律禁止访问，对于网盘、视频、音乐、非工作用的在线聊天软

件等进行屏蔽。每周定期打系统更新补丁，每周定期对防火墙进行检查、打补丁，每周定期对机房电脑USB端口禁用进行检查

对像：机房座席电脑、管理人员使用的电脑、服务器。

实施时间：每周定期检查，并做好技术维护日志登记工作。以便可追溯。

违规处罚：未按规定时间完成的考核技术负责人500元/次。如有出现擅自开通外网、解禁USB端口等出现危害信息安全等行为的，一律按500元/次进行考核，严重的做辞退处理。并承担由此造成的经济损失。

4、硬件设备、软件等信息安全检查要求

要求：

1、对**项目所有电脑按区域进行划分，共5个区域。

2、专人负责，每个区域由团队长进行管理。

3、每周各区域负责人对管辖区域信息安全进行检查及检查。

4、检查完毕后团队长填写《信息安全检查表》，并签名。

5、中心经理每日对团队长信息安全工作及签名进行检查，一旦出现未按要求完成工作则纳入考核。

实施时间：每周日前完成

违规处罚：不按时完成工作及签名者，考核200元/次。

二、座席入职及职场信息安全管理

1、座席信息安全保密工作

要求：座席上岗前100%签订保密协议，并通过信息安全制度考试后

方可上岗。对信息安全相关考核及连带责任条例进行签字确认认同并无异议。每月业务考试中加入信息安全考核内容，定期考核。在岗期间不得将工作资料、客户信息等纸质文件、电子文档等在未经项目经理允许的情况下带离公司，不得将涉及公司及客户信息安全的资料发到自己的社交媒体如QQ群、QQ空间、微信群、微信朋友圈、电子邮箱等。在岗期间不得在非工作群内谈论客户信息、发布客户信息等行为。

实施时间：新员工入岗前完成，岗中每月业务考试中进行考核，项目主管、团队长不定期检查座席的空间、朋友圈等。

违规处罚：如有违例扣罚当事人500元/次，并承担由此造成的经济损失，如涉及法律相关问题，应配合公司应诉并承担相应法律责任。

2、机房现场信息安全防范工作

要求：非**项目组员工不得进入**机房内，进出机房需使用门禁系统，进入机房不得携带手机、数码相机、U盘、笔记本电脑、录音笔等非工作设备。

实施时间：每日班前会进行检查，每日执行

违规处罚：如有违例扣罚当事人500元/次，并承担由此造成的经济损失，如涉及法律相关问题，应配合公司应诉并承担相应法律责任。

**项目组信息安全条例根据**总部相关条例及时进行调整。员工保密协议、信息安全考试、技术维护日志等均纳入运营管理绩效考核中。如未按要求执行则承担相应考核。