第一篇:信息系统安全等级测评之组织机构和人员安全管理办法
××公司
信息安全管理组织机构和人员安全管理办法
第一章 总则
第1条 为加强本公司信息安全管理工作,保障网络与信息系统的正常运行,依据有关法律、法规及信息安全标准,特制定本办法。
第2条 本办法适用于本公司的信息安全组织机构和人员职责的管理。
第二章 信息安全领导小组
第1条 公司成立信息安全领导小组。领导小组是信息安全的最高决策机构,下设办公室挂靠在公司技术部,负责信息安全领导小组的日常事务。
第2条 信息安全领导小组下设两个工作组:
信息安全工作组
应急处理工作组
第3条 信息安全领导小组的职责主要包括:
根据国家和行业有关信息安全的政策、法律和法规,批准公司信息安全总体策略规划、管理规范和技术标准;
确定公司信息安全各有关部门工作职责,指导、监督信息安全工作。
第三章 信息安全工作组
第1条 信息安全工作组组长由公司技术部的负责人担任。
第2条 信息安全工作组的主要职责包括:
贯彻执行公司信息安全领导小组的决议,协调和规范公司信息安全工作;
根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落实;
组织对重大的信息安全工作制度和技术操作策略进行审查,拟订信息安全总体策略规划,并监督执行;
负责协调、督促各职能部门和有关单位的信息安全工作,参与信息系统工程建设中的安全规划,监督安全措施的执行;
组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全风险的防范对策;
负责接受各单位的紧急信息安全事件报告,组织进行事件调查,分析原因、涉及范围,并评估安全事件的严重程度,提出信息安全事件防范措施;
及时向信息安全工作领导小组和上级有关部门、单位报告信息安全事件。
跟踪先进的信息安全技术,组织信息安全知识的培训和宣传工作。
第四章 应急处理工作组
第1条 应急处理工作组组长由公司技术部的主要负责人担任。
第2条 应急处理工作组的主要职责包括:
审定公司网络与信息系统的安全应急策略及应急预案;
决定相应应急预案的启动,负责现场指挥,并组织相关人员排除故障,恢复系统; 每年组织对信息安全应急策略和应急预案进行测试和演练。
第五章 信息安全人员基本要求
第1条 信息安全管理人员和专(兼)职信息安全技术人员应当政治可靠、业务素质高、遵纪守法、恪尽职守。
第2条 信息安全管理人员及专职和兼职信息安全技术人员应有计算机专业工作三年以上经历,具备专科以上学历。
第3条 违反国家法律、法规和行业规章受到处罚的人员,不得从事信息安全管理与技术工作。
第六章 信息安全人员管理
第1条 信息安全人员的配备和变更情况,应向总经理报告、备案。
第2条 信息安全人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务。
第七章 信息安全人员职责范围
第1条 信息安全人员应履行以下职责:
负责信息安全管理的日常工作;
开展信息安全检查工作,对要害岗位人员安全工作进行指导和监督;
负责维护和审查有关安全审计记录,及时发现存在问题,提出安全风险防范对策; 开展信息安全知识的培训和宣传工作;
监控信息安全总体状况,提出信息安全分析报告;
及时向信息安全工作领导小组和有关部门、单位报告信息安全事件。
第2条 信息安全人员在行使职责时,确因工作需要,经批准,可了解涉及经营与管理有关的信息系统的机密信息。
第3条 信息安全人员发现本单位重大信息安全隐患,有权向公司总经理报告。
第4条 信息安全人员发现信息系统要害岗位人员使用不当,应及时建议公司进行调整。
第5条 信息安全人员必须严格遵守国家有关法律、法规和公司有关规章制度,严守公司商业秘密。
第八章 要害岗位人员管理
第1条 信息系统要害岗位人员,是指与重要信息系统直接相关的系统管理人员、网络管理人员、重要应用开发人员、系统维护人员、重要业务操作人员等岗位人员。
第2条 重要信息系统,是指涉及公司生产、建设与经营、管理等核心业务且有保密要求的信息系统。
第3条 要害岗位人员上岗前必须经单位人事部门进行政治素质审查,技术部门进行业务技能考核,工作经历和工作经验考查等,合格者方可上岗。
第4条 要害岗位人员有责任保护信息系统的秘密,并以签署保密协议的方式作出安全承诺。
第5条 要害岗位人员上岗必须实行“权限分散、不得交叉覆盖”的原则。系统管理人员、网络管理人员、系统开发人员、系统维护人员不得兼任业务操作员;系统开发人员原则上不应兼任系统管理员。
第6条 对要害岗位人员应实行定期考查制度,要害岗位人员应定期接受安全培训,加强自身安全意识和风险防范意识。
第7条 要害岗位人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务。涉及公司业务保密信息的要害岗位人员调离单位,必须进行离岗审计,在规定的脱密期后,方可调离。
第8条 要害岗位人员离岗后,必须即刻更换操作密码或注销用户。
第九章 要害岗位安全责任
第1条 系统管理员安全责任
负责系统的运行管理,实施系统安全运行细则;
严格用户权限管理,维护系统安全正常运行;
认真记录系统安全事项,及时向信息安全人员报告安全事件;
对进行系统操作的其他人员予以安全监督。
第2条 网络管理员安全责任
负责网络的运行管理,实施网络安全策略和安全运行细则;
安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运行;
监控网络关键设备、网络端口、网络物理线路,防范黑客入侵,及时向信息安全人员报告安全事件;
对操作网络管理功能的其他人员进行安全监督。
第3条 系统开发员安全责任
系统开发建设中,应严格执行系统安全策略,保证系统安全功能的准确实现; 系统投产运行前,应完整移交系统源代码和相关涉密资料;
不得对系统设置“后门”;
对系统核心技术保密。
第4条 系统维护员安全责任
负责系统维护,及时解除系统故障,确保系统正常运行;
不得擅自改变系统功能;
不得安装与系统无关的其他计算机程序;
维护过程中,发现安全漏洞应及时报告信息安全人员。
第5条 业务操作员安全责任
严格执行系统操作规程和运行安全管理制度;
不得向他人提供自己的操作密码;
及时向系统管理员报告系统各种异常事件。
第6条 各要害岗位人员必须严格遵守保密法规和有关信息安全管理规定。
第十章 第三方人员管理
第1条 第三方人员包括软件开发商,硬件供应商,系统集成商,设备维护商和服务提供商,以及实习学生和临时工作人员。
第2条 应对第三方人员的物理访问和逻辑访问实施访问控制,根据其在系统中完成工作的时间、性质、范围、内容等方面的需要给予最低授权。
第3条 第三方人员的现场工作或远程维护工作内容应在合同中明确规定,如工作涉及机密或秘密信息内容,应要求其签署保密协议。
第4条 一般情况下第三方人员的现场工作,如数据库、系统、漏洞扫描、入侵检测、白客渗透以及其他软件的安装等,不许接入自带的设备。
第5条 第三方人员的现场工作应在本单位信息部门有关人员的陪同和监督下完成。第三方人员自带设备接入信息系统应得到特别授权,其操作应受到审计。
第6条 第三方人员工作结束后,应及时清除有关账户、过程记录等信息。
第十一章 培训与教育
第1条 信息安全人员应定期参加下列信息安全知识和技能的培训:
信息安全法律法规及行业规章制度的培训;
信息安全基本知识的培训;
信息安全专门技能的培训。
第2条 信息安全人员应定期接受政治思想教育、职业道德教育和安全保密教育。
第3条 应对所有使用计算机的人员定期进行基本的信息安全知识和技能的培训,并应注意培养信息安全意识。
第十二章 附则
第1条 本办法由公司人力行政部负责解释。
第2条 本办法自发布之日起施行。
××公司
××年××月××日
第二篇:广东省信息安全等级测评机构管理办法
广东省信息安全等级测评机构管理办法
(试行)
第一条
为规范信息安全等级测评机构管理,提高信息安全保障能力和水平,保障和促进信息化建设,根据《广东省计算机信息系统安全保护条例》和《信息安全等级保护管理办法》等规定,制定本办法。
第二条
本办法所称信息安全等级测评机构是指对信息系统的安全保护措施是否符合信息安全等级保护相关法律和标准进行评估的组织。
第三条
信息安全等级测评应当坚持实事求是、客观公正的原则,保证测评活动的独立性和测评结论的准确性。
第四条
第二级以上的计算机信息系统的安全测评应当选择符合下列条件的计算机信息系统安全等级测评机构(简称测评机构)承担:
(一)在中华人民共和国境内注册成立(港澳台地区除外),具有相应经营范围的营业执照,注册资本100万元以上;
(二)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);
(三)近3年完成的测评项目总值150万元以上;
(四)具有计算机安全或相关专业资格证书的专业技术人员不少于20人,其中大学本科以上学历的人员不少于15人;
(五)管理人员应当具有3年以上从事计算机信息系统安全技术领域企业管理工作经历,技术负责人已获得计算机信息系统安全技术相关专业的高级职称,从事安全测评工作不少于3年,无犯罪记录;
(六)工作人员仅限于中国公民,法人及主要业务、技术人员无犯罪记录;
(七)具有与所承担项目适应的技术装备;
(八)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;
(九)对国家安全、社会秩序、公共利益不构成威胁。
第五条
我省对测评机构实施备案制度。符合第四条规定的条件,承担第二级以上的计算机信息系统测评工作的机构应当到公安机关公共信息网络安全监察部门备案。
第六条
信息安全等级测评机构申请备案,应当向地级以上市公安机关公共信息网络安全监察部门提交下列资料:
(一)备案申请书;
(二)营业执照复印件;
(三)管理人员和专业技术人员的身份证明、学历证明、计算机安全培训合格证书复印件和无犯罪证明;
(四)技术装备情况及组织管理制度报告。第七条
地级以上市公安机关公共信息网络安全监察部门应当自接到申请材料之日起15日内对申请材料进行初审。初审合格的,报送省公安厅公共信息网络安全监察部门审查;初审不合格的,退回申请并说明理由。
省公安厅公共信息网络安全监察部门应当自接到初审材料之日起15日内进行审查,符合条件的,发给备案证书。不符合条件的,作出不予备案的决定并说明理由。
承担省直和中央驻粤单位信息安全等级测评工作的机构,直接向省公安厅公共信息网络安全监察部门提出申请,省公安厅公共信息网络安全监察部门应当在30日内作出备案意见。
第八条
省公安厅公共信息网络安全监察部门对已备案的信息安全等级测评机构进行公布。
第九条
备案证书分为正本和副本,正本和副本具有同等效力。
第十条
备案证书实行年检制度。年检时间为每年2月至3月,新领备案证书未满半年的不需年检。
第十二条
信息安全等级测评机构参加年检,应当持下列材料向地级以上市公安机关公共信息网络安全监察部门提出申请:
(一)备案证书年检申请书;
(二)备案证书副本;
(三)其他材料。
第十三条
地级以上市公安机关公共信息网络安全监察部门应当自接到申请材料之日起15日内对申请材料进行初审。初审合格的,报送省公安厅公共信息网络安全监察部门审查;初审不合格的,退回申请并说明理由。
省公安厅公共信息网络安全监察部门应当自接到初审材料之日起15日内进行审查并作出年检结论。
持国家工商行政管理总局或省工商行政管理局核发的营业执照的机构,直接向省公安厅公共信息网络安全监察部门提出申请,省公安厅公共信息网络安全监察部门应当在30日内作出年检结论。
第十四条
年检结论分为合格、取消两种。
具备下列情形的,年审结论为合格:
(一)遵守国家有关法律法规和本省有关规定;
(二)上完成的测评项目总值不低于50万元;
(三)符合备案条件。
有下列情形之一的,年检结论为取消:
(一)违反国家有关法律法规和本省有关规定,情节严重;
(二)上完成的测评项目总值低于50万元;
(三)情况发生变更,达不到备案条件。
年检合格的,在备案证书副本和年检申请书上注明,加盖省公安厅公共信息网络安全监察专用章。
年检结论为取消的,备案证书作废,信息安全等级测评机构应当自接到年检结论之日起10日内交回备案证书。
未按时参加年检的,年审结论视为取消。
因特殊原因未年检的,应当书面说明理由,经批准,方可补办相关手续。
第十五条
备案证书登记事项发生变更的,应在30日内到地级以上市公安机关公共信息网络安全监察部门办理变更手续。
第十六条
信息安全等级测评机构应当履行下列义务:
(一)遵守国家有关法律法规和技术标准,提供安全、客观、公正的检测评估服务,保证测评的质量和效果;
(二)保守在测评活动中知悉的国家秘密、商业秘密和个人隐私,防范测评风险;
(三)对测评人员进行安全保密教育,与其签订安全保密责任书,规定应当履行的安全保密义务和承担的法律责任,并负责检查落实。
第十七条
公安机关公共信息网络安全监察部门对信息安全等级测评机构进行监督、检查和指导。第十八条
信息安全等级测评机构有下列行为之一的,由所在地公安机关公共信息网络安全监察部门责令改正,并予以通报。对已办理备案的,收回备案证书。触犯有关法律、法规和规章的,依法追究法律责任。
(一)伪造、冒用信息安全等级测评机构备案证书的;
(二)转让、转借信息安全等级测评机构备案证书的;
(三)出具虚假、失实的信息安全等级测评结论的;
(四)泄露测评活动中掌握的国家秘密、商业秘密和个人隐私的;
(五)违反法律、法规、规章等规定的其他行为。
第十九条
本办法自印发之日起施行。
第三篇:《信息安全等级保护测评机构管理办法》最新
信息安全等级保护测评机构管理办法
第一条 为加强信息安全等级保护测评机构管理,规范等级测评行为,提高测评技术能力和服务水平,根据《信息安全等级保护管理办法》等有关规定,制定本办法。
第二条 等级测评工作,是指等级测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。
等级测评机构,是指依据国家信息安全等级保护制度规定,具备本办法规定的基本条件,经审核推荐,从事等级测评等信息安全服务的机构。
第三条 等级测评机构推荐管理工作遵循统筹规划、合理布局、安全规范的方针,按照“谁推荐、谁负责,谁审核、谁负责”的原则有序开展。
第四条 等级测评机构应以提供等级测评服务为主,可根据信息系统运营使用单位安全保障需求,提供信息安全咨询、应急保障、安全运维、安全监理等服务。
第五条 国家信息安全等级保护工作协调小组办公室(以下简称“国家等保办”)负责受理隶属国家信息安全职能部门和重点行业主管部门申请单位提出的申请,并对其推荐的等级测评机构进行监督管理。
省级信息安全等级保护工作协调(领导)小组办公室(以下简称“省级等保办”)负责受理本省(区、直辖市)申请单位提出的申请,并对其推荐的等级测评机构进行监督管理。
第六条 申请成为等级测评机构的单位(以下简称“申请单位”)应具备以下基本条件:
(一)在中华人民共和国境内注册成立,由中国公民、法人投资或者国家投资的企事业单位;
(二)产权关系明晰,注册资金100万元以上;
(三)从事信息系统安全相关工作两年以上,无违法记录;
(四)测评人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;
(五)具有信息系统安全相关工作经验的技术人员,不少于10人;
(六)具备必要的办公环境、设备、设施,使用的技术装备、设施应满足测评工作需求;
(七)具有完备的安全保密管理、项目管理、质量管理、人员管理和培训教育等规章制度;
(八)自觉接受等保办的监督、检查和指导,对国家安全、社会秩序、公共利益不构成威胁;
(九)不涉及信息安全产品开发、销售或信息系统安全集成等业务;
(十)应具备的其他条件。
第七条 申请时,申请单位应向等保办提交以下材料:
(一)《信息安全等级保护测评机构申请表》;
(二)从事信息系统安全相关工作情况;
(三)检测评估工作所需软硬件及其他服务保障设施配备情况;
(四)有关管理制度建设情况;
(五)申请单位及其测评人员基本情况;
(六)应提交的其他材料。
等保办收到申请材料后,应在10个工作日内组织初审,并出具初审结果告知书。
第八条 通过初审的申请单位,应及时参加指定评估机构组织的测评人员培训。考试合格的人员,取得等级测评师证书。
等级测评师分为初级、中级和高级。申请单位应至少有10人获得等级测评师证书,其中高级和中级测评师均不得少于1人。
第九条 指定评估机构应根据标准规范对申请单位开展能力评估,出具信息安全等级保护测评机构能力评估报告,并及时将申请单位能力评估有关情况报送等保办。
第十条 等保办组织专家对通过能力评估的申请单位进行审核。审核通过的,颁发《信息安全等级保护测评机构推荐证书》。
省级等保办应及时将本地等级测评机构推荐情况报国家等保办,国家等保办定期发布公告,在《中国信息安全等级保护网》发布《全国信息安全等级保护测评机构推荐目录》。
第十一条 下列事项发生变更时,等级测评机构应在变更后5个工作日内向等保办报告。
(一)等级测评机构名称、地址、测评人员和主要负责人发生变更的;
(二)等级测评机构法人、股权结构发生变更的;
(三)其他重大事项发生变更的。
省级等保办应及时将等级测评机构变更情况报国家等保办。
第十二条 信息安全等级保护测评机构推荐证书有效期为三年。等级测评机构应在推荐证书期满前30日内,向等保办申请复审。复审通过的等级测评机构应换发新证。复审未通过的,等保办应督促其限期整改。
省级等保办应及时将等级测评机构期满复审情况报国家等保办。
第十三条 等级测评师上岗前,等级测评机构应组织岗前培训。培训合格的,由等级测评机构配发上岗证。未取得测评师证书和上岗证的,不得参与等级测评项目。
等级测评师离职前,等级测评机构应与其签订离职保密承诺书,并收回上岗证。
第十四条 等级测评师应妥善保管等级测评师证书、上岗证,不得涂改、出借、出租和转让。
第十五条 等级测评机构应加强对本机构等级测评师的监督管理,定期组织开展安全保密教育和业务培训。
第十六条 等级测评机构应严格按照信息安全等级保护标准规范公正、独立地开展等级测评工作,依据模板出具信息系统安全等级测评报告,确保测评质量,全面、客观地反映被测信息系统的安全保护状况。
第十七条 等级测评机构开展测评项目不受地域、行业限制。等级测评机构应在测评项目合同签订以及项目完成后5个工作日内,向受理信息系统备案的公安机关报告等级测评项目有关情况。
第十八条 测评项目实施过程中,等级测评机构应接受等保办的监督、检查和指导。测评项目完成后,等级测评机构应请被测评信息系统运营使用单位对测评服务情况进行评价,评价情况由被测单位反馈等保办。
第十九条 等级测评机构应定期向等保办报送测评工作开展情况。根据测评实践,每年底编制并报送信息系统安全状况分析报告。第二十条 等级测评机构实行等级化管理。根据信息系统测评数量、机构规模、测评技术能力和服务质量等指标,对等级测评机构划分为五个星级,最低为一星级,最高为五星级。等级测评机构星级评定标准由国家等保办另行制定。
第二十一条 等级测评机构应于每年底向等保办提交星级评定所需材料。
等保办负责组织所推荐等级测评机构的星级评定审核工作,并出具星级评定意见。省级等保办应及时将评定意见报国家等保办审定,国家等保办定期发布星级评定结果。
第二十二条 取得信息安全等级保护测评机构推荐证书未满一年的,不参加星级评定。
第二十三条 等保办负责对所推荐等级测评机构的日常监督检查、测评项目抽查和年审工作,及时掌握等级测评机构工作情况。
第二十四条 等保办应于每年底对所推荐的等级测评机构进行年审。等级测评机构自推荐之日起未满6个月的,当年可免予年审。年审时,等级测评机构应提交以下材料:
(一)《信息安全等级保护测评机构年审表》;
(二)信息安全等级保护测评机构推荐证书副本;
(三)测评工作总结;
(四)其他所需材料。
第二十五条
国家等保办负责组织开展等级测评机构能力验证和抽查工作。
第二十六条 等级测评机构有下列情形之一的,等保办应责令其限期整改;情形严重的,予以通报。
(一)未按照有关标准规范开展测评或未按规定出具信息系统安全等级测评报告的;
(二)影响被测评信息系统正常运行,危害被测评信息系统安全的;
(三)非授权占有、使用,未妥善保管等级测评相关资料及数据文件的;
(四)分包或转包等级测评项目,以及扰乱测评市场秩序的;
(五)限定被测评单位购买、使用指定信息安全产品的;
(六)测评人员未取得等级测评师证书和上岗证从事等级测评活动的;
(七)未按本办法规定向等保办提交材料、报告情况或弄虚作假的;
(八)其他违反等级测评有关规定的行为。
第二十七条 等级测评机构有下列情形之一的,等保办应取消其信息安全等级保护测评机构推荐证书,并向社会公告。
(一)因单位股权、人员等情况发生变动,不符合等级测评机构基本条件的;
(二)有信息安全产品开发、销售或信息系统安全集成行为的;
(三)故意泄露被测评单位工作秘密、重要信息系统数据信息的;
(四)故意隐瞒测评过程中发现的安全问题,或者在测评过程中弄虚作假未如实出具等级测评报告的;
(五)一年内未开展信息系统测评工作或自愿退出《全国信息安全等级保护测评机构推荐目录》的;
(六)连续两年年审不合格或限期整改后仍未通过复审的;
(七)违反本办法第二十六条规定,情节特别严重的。第二十八条 等级测评师有下列行为之一的,等保办应责令等级测评机构督促其限期改正;情节严重的,责令等级测评机构暂停其参与测评工作;情形特别严重的,应注销其等级测评师证书,并对其所在等级测评机构进行通报。
(一)未经允许擅自使用或泄露、出售等级测评工作中收集的数据信息、资料或信息系统安全等级测评报告的;
(二)违反本办法第十四条规定,未妥善保管等级测评师证书、上岗证,有涂改、出借、出租和转让等行为的;
(三)测评行为失误或不当,影响信息系统安全或造成运营使用单位利益损失的;
(四)其他违反等级测评有关规定的行为。第二十九条 等级测评机构及其等级测评师违反本办法的相关规定,给被测评信息系统运营使用单位造成严重危害和损失的,由相关部门依照有关法律、法规予以处理。
第三十条 任何单位和个人如发现等级测评机构、等级测评师有违法、违规行为的,可向国家等保办举报、投诉。
第三十一条 本办法由国家等保办负责解释。第三十二条 本办法自发布之日起实施。
第四篇:上海市公共信息系统安全测评管理办法(范文模版)
上海市公共信息系统安全测评管理办法
(2006年5月7日上海市人民政府令第58号公布,根据2010年12月20日上海市人民政府令第52号公布的《上海市人民政府关于修改〈上海市农机事故处理暂行规定〉等148件市政府规章的决定》修正并重新发布)
第一条(立法目的)
为了规范本市公共信息系统安全测评活动,保障公共信息系统正常运行,制定本办法。
第二条(定义)
本办法所称的公共信息系统安全测评,是指依据有关信息安全标准、规范,对本市承担公共管理职能的机构(以下简称公共管理机构)以及提供社会公共服务的单位(以下简称公共服务单位)的计算机信息系统,进行安全保障性能测试、评估的活动。
第三条(适用范围)
本市行政区域内的公共信息系统安全测评及其管理活动,适用本办法。法律、法规另有规定的,从其规定。
第四条(管理部门)
上海市经济和信息化委员会(以下简称市经济信息化委)负责本市公共信息系统安全测评的组织协调和监督管理工作。
第五条(责任制度)
公共管理机构、公共服务单位的负责人应当承担开展公共信息系统安全测评的管理责任。
各有关主管部门应当督促所属的公共管理机构、公共服务单位开展公共信息系统安全测评。
第六条(测评计划)
市经济信息化委应当会同各有关主管部门,制定公共信息系统安全测评计划,组织公共管理机构、公共服务单位实施,并进行指导、监督。
第七条(新建系统的测评)
新建公共信息系统的,公共管理机构、公共服务单位应当在系统建设前将安全设计方案报送市经济信息化委审查;市经济信息化委应当在15日内提出审查意见。
新建的公共信息系统试运行结束后30日内,应当进行安全测评。
第八条(测评机构)
公共信息系统安全测评,应当由国家有关部门认可的信息安全测评机构(以下简称测评机构)实施。
公共管理机构的公共信息系统,由市经济信息化委指定的测评机构统一实施安全测评;公共服务单位的公共信息系统,由该单位委托的测评机构实施安全测评。
第九条(测评协议)
公共管理机构、公共服务单位应当与测评机构签订公共信息系统安全测评协议,明确测评的范围、内容、方案、期限、费用和违约责任等事项。
公共信息系统安全测评协议的示范文本,由市经济信息化委制定。
第十条(测评要求)
测评机构应当依据国家和本市信息技术、信息系统安全的标准、规范,实施公共信息系统安全测评,保证测评活动的客观、公正。
第十一条(安全事项告知与协助义务)
安全测评的实施过程可能影响公共信息系统正常运行的,测评机构应当事先告知公共管理机构、公共服务单位,并协助其采取相应的预防措施。
第十二条(测评报告)
测评机构实施公共信息系统安全测评后,应当出具包括以下内容的测评报告:
(一)测评范围、内容;
(二)测评所依据的相关标准、规范;
(三)系统安全的评估结论、整改建议。
测评报告应当由测评机构负责人签署。
第十三条(安全整改)
公共管理机构、公共服务单位应当根据测评报告的整改建议,对公共信息系统采取安全整改措施;测评机构应当给予协助和指导。
公共管理机构完成安全整改后15日内,应当将整改情况报送市经济信息化委备案;公共服务单位完成安全整改后15日内,应当将整改情况报送其主管部门备案。
第十四条(测评实施情况的报告)
测评机构应当每季度将实施公共信息系统安全测评的汇总情况向市经济信息化委报告;发现公共信息系统存在重大安全问题时,应当立即向市经济信息化委报告。
第十五条(动态复测)
公共信息系统安全测评后,应当每两年进行一次复测;系统的网络结构、信息处理流程等发生重大变更的,应当及时进行复测。
公共信息系统的复测应当包括以下内容:
(一)系统前次测评时发现的主要问题;
(二)核心网络设备、服务器、安全防护设施、应用软件等系统关键部分发生变更,可能出现的安全隐患;
(三)新的信息技术可能对系统安全造成的影响。
第十六条(测评机构的保密义务)
测评机构对公共信息系统安全测评过程中取得的技术数据、业务资料等信息负有保密义务,不得以任何方式将相关信息提供给第三方。
第十七条(测评机构的行为禁止)
禁止测评机构从事下列活动:
(一)信息安全产品开发、营销和信息系统集成活动;
(二)限定公共管理机构、公共服务单位购买、使用其指定的信息安全产品;
(三)其他可能影响测评客观、公正的活动。
第十八条(未进行测评或者整改的处理)
公共管理机构、公共服务单位未按照本办法的规定开展公共信息系统安全测评或者采取安全整改措施的,由市经济信息化委或者相关主管部门责令其改正;因未开展公共信息系统安全测评或者采取安全整改措施,导致系统发生安全故障的,依法追究有关负责人的行政责任。
第十九条(对测评机构违法行为的处理)
对测评机构违反本办法的行为,由市经济信息化委按照下列规定进行处理:
(一)违反本办法第十四条规定,未报告公共信息系统安全测评情况或者重大安全问题的,责令改正,并处1万元以下罚款;
(二)违反本办法第十六条规定,向第三方提供公共信息系统安全测评相关信息的,或者违反本办法第十七条规定,从事可能影响测评客观、公正的活动的,责令改正,并处3万元以下罚款。
第二十条(施行日期)
本办法自2006年7月1日起施行。
第五篇:信息安全管理组织机构和人员安全管理办法
信息安全管理组织机构和人员安全管理办法
第一章 总则
第1条 为加强本公司信息安全管理工作,保障网络与信息系统的正常运行,依据有关法律、法规及信息安全标准,特制定本办法。第2条 本办法适用于本公司的信息安全组织机构和人员职责的管理。第二章 信息安全领导小组
第1条 公司成立信息安全领导小组。领导小组是信息安全的最高决策机构,下设办公室挂靠在公司技术部,负责信息安全领导小组的日常事务。
第2条 信息安全领导小组下设两个工作组:
信息安全工作组 应急处理工作组
第3条 信息安全领导小组的职责主要包括:
根据国家和行业有关信息安全的政策、法律和法规,批准公司信息安全总体策略规划、管理规范和技术标准;
确定公司信息安全各有关部门工作职责,指导、监督信息安全工作。
第三章 信息安全工作组
第1条 信息安全工作组组长由公司技术部的负责人担任。第2条 信息安全工作组的主要职责包括:
贯彻执行公司信息安全领导小组的决议,协调和规范公司信息安全工作; 根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落实;
组织对重大的信息安全工作制度和技术操作策略进行审查,拟订信息安全总体策略规划,并监督执行;
负责协调、督促各职能部门和有关单位的信息安全工作,参与信息系统工程建设中的安全规划,监督安全措施的执行;
组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全风险的防范对策;
负责接受各单位的紧急信息安全事件报告,组织进行事件调查,分析原因、涉及范围,并评估安全事件的严重程度,提出信息安全事件防范措施;
及时向信息安全工作领导小组和上级有关部门、单位报告信息安全事件。跟踪先进的信息安全技术,组织信息安全知识的培训和宣传工作。
第四章 应急处理工作组
第1条 应急处理工作组组长由公司技术部的主要负责人担任。第2条 应急处理工作组的主要职责包括:
审定公司网络与信息系统的安全应急策略及应急预案; 决定相应应急预案的启动,负责现场指挥,并组织相关人员排除故障,恢复系统;
每年组织对信息安全应急策略和应急预案进行测试和演练。第五章 信息安全人员基本要求 第1条 信息安全管理人员和专(兼)职信息安全技术人员应当政治可靠、业务素质高、遵纪守法、恪尽职守。
第2条 信息安全管理人员及专职和兼职信息安全技术人员应有计算机专业工作三年以上经历,具备专科以上学历。
第3条 违反国家法律、法规和行业规章受到处罚的人员,不得从事信息安全管理与技术工作。第六章 信息安全人员管理
第1条 信息安全人员的配备和变更情况,应向总经理报告、备案。第2条 信息安全人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务。
第七章 信息安全人员职责范围
第1条 信息安全人员应履行以下职责:
负责信息安全管理的日常工作;
开展信息安全检查工作,对要害岗位人员安全工作进行指导和监督;
负责维护和审查有关安全审计记录,及时发现存在问题,提出安全风险防范对策;
开展信息安全知识的培训和宣传工作;
监控信息安全总体状况,提出信息安全分析报告;
及时向信息安全工作领导小组和有关部门、单位报告信息安全事件。第2条 信息安全人员在行使职责时,确因工作需要,经批准,可了解涉及经营与管理有关的信息系统的机密信息。
第3条 信息安全人员发现本单位重大信息安全隐患,有权向公司总经理报告。
第4条 信息安全人员发现信息系统要害岗位人员使用不当,应及时建议公司进行调整。
第5条 信息安全人员必须严格遵守国家有关法律、法规和公司有关规章制度,严守公司商业秘密。第八章 要害岗位人员管理
第1条 信息系统要害岗位人员,是指与重要信息系统直接相关的系统管理人员、网络管理人员、重要应用开发人员、系统维护人员、重要业务操作人员等岗位人员。
第2条 重要信息系统,是指涉及公司生产、建设与经营、管理等核心业务且有保密要求的信息系统。
第3条 要害岗位人员上岗前必须经单位人事部门进行政治素质审查,技术部门进行业务技能考核,工作经历和工作经验考查等,合格者方可上岗。
第4条 要害岗位人员有责任保护信息系统的秘密,并以签署保密协议的方式作出安全承诺。
第5条 要害岗位人员上岗必须实行“权限分散、不得交叉覆盖”的原则。系统管理人员、网络管理人员、系统开发人员、系统维护人员不得兼任业务操作员;系统开发人员原则上不应兼任系统管理员。第6条 对要害岗位人员应实行定期考查制度,要害岗位人员应定期接受安全培训,加强自身安全意识和风险防范意识。
第7条 要害岗位人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务。涉及公司业务保密信息的要害岗位人员调离单位,必须进行离岗审计,在规定的脱密期后,方可调离。
第8条 要害岗位人员离岗后,必须即刻更换操作密码或注销用户。第九章 要害岗位安全责任
第1条 系统管理员安全责任
负责系统的运行管理,实施系统安全运行细则; 严格用户权限管理,维护系统安全正常运行;
认真记录系统安全事项,及时向信息安全人员报告安全事件; 对进行系统操作的其他人员予以安全监督。第2条 网络管理员安全责任
负责网络的运行管理,实施网络安全策略和安全运行细则; 安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运行;
监控网络关键设备、网络端口、网络物理线路,防范黑客入侵,及时向信息安全人员报告安全事件;
对操作网络管理功能的其他人员进行安全监督。第3条 系统开发员安全责任
系统开发建设中,应严格执行系统安全策略,保证系统安全功能的准确实现; 系统投产运行前,应完整移交系统源代码和相关涉密资料; 不得对系统设置“后门”; 对系统核心技术保密。第4条 系统维护员安全责任
负责系统维护,及时解除系统故障,确保系统正常运行; 不得擅自改变系统功能;
不得安装与系统无关的其他计算机程序;
维护过程中,发现安全漏洞应及时报告信息安全人员。第5条 业务操作员安全责任
严格执行系统操作规程和运行安全管理制度; 不得向他人提供自己的操作密码; 及时向系统管理员报告系统各种异常事件。
第6条 各要害岗位人员必须严格遵守保密法规和有关信息安全管理规定。
第十章 第三方人员管理
第1条 第三方人员包括软件开发商,硬件供应商,系统集成商,设备维护商和服务提供商,以及实习学生和临时工作人员。第2条 应对第三方人员的物理访问和逻辑访问实施访问控制,根据其在系统中完成工作的时间、性质、范围、内容等方面的需要给予最低授权。
第3条 第三方人员的现场工作或远程维护工作内容应在合同中明确规定,如工作涉及机密或秘密信息内容,应要求其签署保密协议。第4条 一般情况下第三方人员的现场工作,如数据库、系统、漏洞扫描、入侵检测、白客渗透以及其他软件的安装等,不许接入自带的设备。
第5条 第三方人员的现场工作应在本单位信息部门有关人员的陪同和监督下完成。第三方人员自带设备接入信息系统应得到特别授权,其操作应受到审计。
第6条 第三方人员工作结束后,应及时清除有关账户、过程记录等信息。
第十一章 培训与教育
第1条 信息安全人员应定期参加下列信息安全知识和技能的培训:
信息安全法律法规及行业规章制度的培训; 信息安全基本知识的培训; 信息安全专门技能的培训。
信息安全人员应定期接受政治思想教育、职业道德教育和安全保密教育。
第3条 应对所有使用计算机的人员定期进行基本的信息安全知识和技能的培训,并应注意培养信息安全意识。第十二章 附则
第1条 本办法由公司人力行政部负责解释。第2条 本办法自发布之日起施行。
陕西溢诚金融服务股份有限公司
2017年7月1日