第一篇:基层单位信息系统安全等级保护三级管理制度-运行和维护管理规定
版本号:1.0.xxxx
信息系统运行和维护管理规定
第一章 总则
第一条 为了进一步规范我单位信息系统运行和维护管理工作,根据《信息安全等级保护管理办法》、《信息系统安全管理要求》(GBT 20269-2006)和其他有关法律法规的规定,结合本单位实际,特制定本规定。
第二条 本规定适用于我单位信息系统安全管理人员和技术人员进行信息系统运行和维护管理工作,包括用户管理、运行操作管理、运行维护管理、外包服务管理、安全机制保障、安全集中管理。
第三条 信息系统运行和维护管理的责任部门为我单位信息系统安全管理中心。
第二章 用户管理
第四条 用户管理的内容包括五个方面:用户分类管理、系统用户管理、普通用户管理、机构外部用户管理、临时用户管理。
第五条 应按审查和批准的用户分类清单,建立用户和分配权限。用户分类清单应包括信息系统的所有用户的清单,以及各类用户的权限;用户权限发生变化时应及时更改用户清单内容;必要时可以对有关用户开启审计功能。
第六条 系统用户应由信息安全职能部门的主管领导指定,授权应以满足其工作需要的最小权限为原则;系统用户应接受审计;对重要信息系统的系统用户,应进行人员的严格审查,符合要求的人员才能给予授权;对系统用户应能区分责任到个人,不应以部门或组作为责任人;在关键信息系统中,对系统用户的授权操作,必须有两人在场,并经双重认可后方可操作;操作过程应自动产生不可更改的审计日志。
第七条 普通用户应保护好口令等身份鉴别信息;发现系统的漏洞、滥用或违背安全行为应及时报告;不应透露与组织机构有关的非公开信息;不应故意进行违规的操作;不应在不符合敏感信息保护要求的系统中保存和处理高敏感度的信息;不应使用各种非正版软件和不可信的自由软件;应在系统规定的权限内进 1 行操作,必要时某些重要操作应得到批准;用户应保管好自己的身份鉴别信息载体,不得转借他人。
第八条 应对机构外部用户明确说明使用者的责任、义务和风险,并要求提供合法使用的声明;外部用户应保护口令等身份鉴别信息;外部用户只能是应用层的用户;可对特定外部用户提供专用通信通道、端口、特定的应用或数据协议、以及专用设备等;在关键部位,一般不允许设置外部用户。
第九条 临时用户的设置和期限必须经过审批,使用完毕或到期应及时删除,设置与删除均应记录备案;对主要部位的临时用户应进行审计,并在删除前进行风险评估;在关键部位,一般不允许设置临时用户。
第三章 运行操作管理
第十条 运行操作管理的内容包括七个方面:服务器操作管理、终端计算机操作管理、便携机操作管理、网络及安全设备操作管理、业务应用操作管理、变更控制和重用管理、信息交换管理。
第十一条 对服务器的操作应由授权的系统管理员实施;应按操作规程实现服务器的启动/停止、加电/断电等操作;实现操作的身份鉴别管理;
第十二条 用户在使用自己的终端计算机时,应设置开机、屏幕保护、目录共享口令;非组织机构配备的终端计算机未获批准,不能在办公场所使用;及时安装经过许可的软件和补丁程序,不得自行安装及使用其它软件和自由下载软件;未获批准,严禁使用Modem拨号、无线网卡等方式或另辟通路接入其它网络;建立身份鉴别机制;
第十三条 便携机需设置开机口令和屏保口令;因工作岗位变动不再需要使用便携机时,应及时办理资产转移或清退手续,并删除机内的敏感数据;在本地网络工作时应按终端计算机的要求执行;在本地之外网络接入过的便携机,需要接入本地网络前应进行必要的安全检查;
第十四条 对网络及安全设备的操作应由授权的系统管理员实施;应按操作规程实现网络设备和安全设备的接入/断开、启动/停止、加电/断电等操作;维护网络和安全设备的运行环境及配置和服务设定;对实施网络及安全设备操作的管理员应进行身份鉴别;
第十五条 业务应用系统应对操作人员进行身份鉴别;业务应用系统应能够 以菜单等方式限制操作人员的访问权限;业务应用操作程序应形成正式文档,需要进行改动时应得到管理层授权;这些操作步骤应指明具体执行每个作业的指令,至少包括:指定需要处理和使用的信息;明确操作步骤,包括与其它系统的相互依赖性、操作起始和结束的时间;说明处理错误或其它异常情况的指令,系统出现故障时进行重新启动和恢复的措施,以及在出现意外的操作或技术问题时需要技术支持的联系方法;
第十六条 任何变更控制和设备重用必须经过申报和审批才能进行,同时还有以下要求:注意识别重大变更,并进行记录;评估这些变更的潜在影响;向所有相关人员通报变更细节;明确中止变更并从失败变更中恢复的责任和处理方法;重用设备中原有信息的清除;
对操作系统、数据库、应用系统、人员、服务等的变更控制应制度化; 对信息系统的任何变更必须考虑全面安全事务一致性。
第十七条 在公众网站、内部网站发布的信息,以及提供查询的信息应符合国家有关政策法规的规定;对所公布的信息应采取适当的安全措施保护其完整性;应保护业务应用中的信息交换的安全性,防止欺诈、合同纠纷以及泄露或修改信息事件的发生;
第四章 运行维护管理
第十八条 运行维护管理的内容包括四个方面:日常运行安全管理、运行状况监控、软件硬件维护管理、外部服务方访问管理。
第十九条 应通过正式授权程序委派专人负责系统运行的安全管理;应建立运行值班等有关安全规章制度;应正确实施为信息系统可靠运行而采取的各种检测、监控、审计、分析、备份及容错等方法和措施;应对运行安全进行监督检查;应明确各个岗位人员对信息系统各类资源的安全责任;应明确信息系统安全管理人员和普通用户对信息系统资源的访问权限;按风险管理计划和操作规程定期对信息系统的运行进行风险分析与评估,并向管理层提交正式的风险分析报告。
第二十条 所有的系统日志应保留一定期限,不能被改变,只允许授权用户访问;日志应有脱机保存的介质;信息系统应使用统一的时间,以确保记录日志准确;日志应定期处理并产生报告;审计日志须经授权方可查阅;应告知用户某些行为是会被审计的。第二十一条 应明确信息系统的软件、硬件维护的人员和责任,规定维护的时限,以及设备更新和替换的管理办法;制定有关软件、硬件维修的制度;对需要外出维修的设备,应经过审批,磁盘数据应进行删除;外部维修人员进入机房维修,应经过审批,并有专人负责陪同。
第二十二条 对外部服务方访问的要求,应经过相应的申报和审批程序;应对外部服务方访问建立相应的安全管理制度;外部服务方访问应签署保密合同;应对外部服务方访问进行风险分析和评估;应对外部服务方访问实施严格控制;应对外部服务方访问实施监视。
第五章 外包服务管理
第二十三条 外包服务管理的内容包括三个方面:外包服务合同管理、外包服务商管理、外包服务的运行管理。
第二十四条 对由外部服务商承担完成的外包服务,应签署正式的书面合同,至少包括:对符合法律要求的说明,对外包服务的风险的说明,对外包服务合同各方的安全责任界定,对控制安全风险应采用的控制措施的说明,对外包服务风险发生时应采取措施的说明,对外包服务的期限、中止的条件和善后处理的事宜以及由此产生责任问题的说明,对审计人员权限的说明。
第二十五条 应选择具有相应服务资质并信誉好的外包服务商;对较为重要的业务应用,应在行业认可或者是经过上级主管部门批准的范围内,选择具有相应服务资质并信誉好的可信的外包服务商;关键的或涉密的业务应用,一般不应采用外包服务方式。
第二十六条 对外包服务的业务应用系统运行的安全状况应进行监控和检查,应定期进行评估,出现问题应遵照合同规定及时处理和报告;当出现重大安全问题或隐患时应进行重新评估,提出改进意见,直至停止外包服务。
第六章 安全机制保障
第二十七条 安全机制保障的内容包括七个方面:身份鉴别机制管理、访问控制机制管理、系统安全管理、网络安全管理、应用系统安全管理、病毒防护管理、密码管理。
第二十八条 对网络、操作系统、数据库系统等系统管理员和应用系统管理员以及普通用户,应明确使用和保护身份鉴别机制的责任,采用不可伪造的鉴别 信息进行身份鉴别,采用有关身份鉴别和认证系统的管理维护措施;应指定安全管理人员定期进行检查,鉴别信息应进行相应的保护。
第二十九条 应根据自主访问控制机制的要求,由授权用户为主、客体设置相应访问的参数;应将自主访问控制与审计密切结合,实现对自主访问控制过程的审计,使访问者必须为自己的行为负责;并保证最高管理层对自主访问控制管理的掌握。
第三十条 应对操作系统和数据库管理系统按其安全技术和机制的不同要求实施相应的安全管理;应通过正式授权程序委派专人负责系统安全管理;建立系统安全配置、备份等安全管理规章制度;按规章制度的要求及时进行补丁升级;
应进行日常安全管理,包括对用户安全使用进行指导和审计等;
应根据访问控制安全策略的要求,全面考虑和统一设置、维护用户及主、客体的标记信息。
第三十一条 应对网络按其安全技术和机制的不同要求实施相应的安全管理;应通过正式授权程序指定网络安全管理人员;应按有关规程对网络安全进行定期评估,不断完善网络安全策略,建立、健全网络安全管理和配置的规章制度;
第三十二条 应对应用系统按其安全技术和机制的不同要求实施相应的安全管理;应通过正式授权程序委派专人负责应用系统的安全管理,应明确管理范围、管理事务、管理规程,以及应用系统软件的安全配置、备份等安全工作;
第三十三条 通过正式授权程序对病毒防护委派专人负责检查网络和主机的病毒检测并保存记录;使用外部移动存储设备之前应进行病毒检查;要求从不信任网络上所接收的文件或邮件,在使用前应首先检查是否有病毒;对非在线的内部计算机设备,以及外来或新增计算机做到入网前进行杀毒和补丁检测;
第三十四条 应按国家密码主管部门的规定,对信息系统中使用的密码算法和密钥进行管理;应按国家有关法律法规要求,对信息系统中包含密码的软、硬件信息处理模块的进、出口进行管理;应按国家密码主管部门的规定,对信息系统中以密码为基础的安全机制实施分等级管理。
第七章 安全集中管理
第三十五条 安全集中管理的内容包括三个方面:安全机制集中控管、安全信息集中管理、安全机制整合。第三十六条 安全机制集中控管要求能够对信息系统所涉及的计算机、网络以及应用系统的安全机制实施统一管理、统一监控、统一审计、协同防护,根据网络结构,按照分布式多层次的管理结构,进行分层分级联合方式的集中安全管理,发挥安全机制的整体作用,提高安全防护的等级和水平。
第三十七条 将信息系统所涉及的计算机、网络以及应用系统的安全信息实施统一管理、综合分析,发挥安全信息的整体作用;通过对关键区域安全信息的集中管理,应能够对关键区域的安全信息的处理,采用相应的访问控制和保护措施;根据核心区域安全信息的需要,通过对安全信息的集中管理,制定专项的安全控制和保护措施。
第三十八条 安全机制整合要求包括:资产信息管理、网络异常流量监控、安全事件监控管理、脆弱性管理、安全策略管理、安全预警管理。
第八章 附则
第三十九条 本规定由单位信息安全领导小组负责解释。
第四十条 违反本规定,发生信息安全事件的,按照事件造成的损失和后果,依据国家有关法律法规进行处罚。
第四十一条 本规定自发布之日起施行。
第二篇:基层单位信息系统安全等级保护三级管理制度-安全监督和检查管理规定
版本号:1.0.xxxx
信息系统安全监督和检查管理规定
第一章 总则
第一条 为了进一步规范我单位信息系统安全监督和检查管理工作,根据《信息安全等级保护管理办法》、《信息系统安全管理要求》(GBT 20269-2006)和其他有关法律法规的规定,结合本单位实际,特制定本规定。
第二条 本规定适用于我单位信息系统安全管理人员和技术人员进行政务信息系统安全监督和检查管理工作,包括合法性检查、依从性检查、审计及监管控制、责任认定等工作。
第三条 信息系统安全监督和检查管理工作的责任部门为单位信息中心。
第二章 合法性检查
第四条 合法性检查的内容包括三个方面:知晓适用的法律、知识产权管理、保护证据记录。
第五条 应了解信息系统应用范畴适用的所有法律法规;对信息系统的设计、操作、使用和管理,以及信息管理方面应规避法律法规禁区,防止出现违法行为;应保护组织机构的数据信息和个人信息隐私;对于详细而准确的法律要求如有需要,应从专业法律人员处获得帮助;
第六条 应尊重知识产权,涉及软件开发的工作人员和承包商应做到符合和遵守相关的法律、法规,应防止发生侵犯版权的行为;如果重要应用系统软件是外包开发的,应注意明确软件版权有关问题,应防止发生因软件升级或改造引起侵犯软件版权的行为;
第七条 数据库记录、审计日志、变更记录、技术维护记录、机房进出记录、关键设备访问记录等为重要记录,应按照法律法规的要求进行保护,防止丢失、毁坏和被篡改;被作为证据的记录,信息的内容和保留的时间应遵守国家法律法规的规定。
第三章 依从性检查
第八条 依从性检查的内容包括三个方面:检查和改进、安全策略依从性检 1
查、技术依从性检查。
第九条 每半年定期进行一次对安全管理活动的各个方面进行检查和评估工作;对照安全策略和管理制度做到自管、自查、自评,并应落实责任制;
第十条 每月定期进行一次检查安全策略的遵守情况,重点检查信息系统的网络、操作系统、数据库系统等系统管理员,保证其在应有责任范围内能够正确地执行所有安全程序,能够正确遵从组织机构制定的安全策略;
第十一条 每年定期进行一次技术依从性检查。对硬件和软件的检验,以及技术依从检查应由有能力的、经过授权的人员来进行;对于技术测试应由有经验的系统工程师手工或使用软件包进行并生成检测结果,经技术专家解释并产生技术报告;根据检查结果,对存在的缺陷进行不断改进;
第四章 审计及监管控制
第十二条 审计及监管控制的内容包括二个方面:审计控制、监管控制。第十三条 审计活动应每年进行一次,由独立的审计机构或人员对安全管理体系、信息系统的安全风险控制、管理过程的有效性和正确性进行审计;对系统的审计活动进行规划,应制定审计的工作程序和流程、需求和责任,对审计过程进行控制,尽量减小中断业务流程的风险;应加强安全事件发生后的审计;
第十四条 积极配合上级信息安全监管职能部门进行的监督、检查。
第五章 责任认定
第十五条 责任认定的内容包括二个方面:审计结果的责任认定、审计及监管者责任的认定。
第十六条 对于审计及监管过程发现的问题应限期解决,同时要认定技术责任和管理责任,明确责任当事人,认定相关领导者的责任,领导层应就此提出问题解决办法和责任处理意见,以及监督问题解决情况;
第十七条 审计及监管者应按有关监督和检查的规定定期进行审计,逾期未进行审计及监管,使本应审计的问题因未审计而造成信息系统损失,应承担相应的责任;
第六章 附则
第十八条 本规定由单位信息安全领导小组负责解释。
第十九条 违反本规定,发生信息安全事件的,按照事件造成的损失和后果,依据国家有关法律法规进行处罚。
第二十条 本规定自发布之日起施行。
第三篇:西安市信息系统安全等级保护
西安市信息系统安全等级保护
责
任
书
西安市公安局网安支队印制
信息系统安全等级保护
责 任 书
甲方: 西安市公安局网安支队
乙方:
为加强我市信息系统安全等级保护工作,保证信息系统安全,建设平安西安、和谐西安,依据《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)文件精神和《信息安全等级保护管理办法》相关规定,制定本责任书。
一、双方职责及义务
(一)网安支队
按照相关法律法规赋予的职能,认真履行以下职责及义务:
1、负责西安市非涉密、非密码信息系统的安全等级保护工作;
2、负责对信息系统信息安全等级保护工作进行监督、检查、指导。审核等级保护单位填写的《信息系统安全等级保护备案表》,并对各单位提出定级建议;
3、负责对通过审核的信息系统进行备案管理。建立档案,进行备案统计,并按照国家有关规定逐级上报;
4、负责监督、检查各单位信息系统安全保护状况。依据《信息安全等级保护管理办法》规定组织运营、使用单位定期对信息系统安全等级状况开展等级测评及自查工作。对测评及自查后发现问题的单位,下发整改通知,督促其制定整改方案,整改存在问题。必要时,对整改情况组织检查;
5、负责督促从事信息系统安全等级测评的机构履行《信息安全等级保护管理办法》规定的义务;
6、负责对信息系统备案通过审核、符合等级保护要求的单位颁发信息系统安全等级保护备案证明。
7、负责定期对等保单位安全员组织信息系统安全等级保护相关知识培训。
(二)信息系统等级保护单位:
按照国家相关法律法规的规定,要认真履行以下职责及义务:
1、负责落实本单位及下属单位开展信息系统安全等级保护工作;
2、在公安机关的指导下,负责对本单位的信息系统自定等级,如实填写《信息系统安全等级保护备案表》和定级报告,到公安机关办理备案手续。建立本单位信息系统等级保护工作领导小组,并及时向公安机关部门报告领导小组人员
变更调整情况;
3、负责落实本单位的信息系统安全等级保护措施。建立健全信息系统安全保护制度及措施,及时修订信息系统安全应急方案,积极配合公安机关对本单位信息系统安全等级状况开展测评,对测评后存在的问题及时出台整改措施进行整改;
4、负责如实向公安机关提供开展等级保护工作所需要的所有文档材料。
二、双方负有的安全责任
(一)网安支队
1、指导各单位落实信息系统安全保护制度,检查各单位等级保护工作开展情况,做好信息系统安全等级保护备案工作。
2、审查等保评测机构资质,指导做好测评工作,努力减少系统漏洞。
3、查办信息系统案件。
4、依据《信息安全等级保护管理办法》,组织各单位、部门定期开展信息系统等级测评工作。
(二)信息系统安全等级保护单位
信息系统安全等级保护单位及相关人员,在公安机关指导下开展本单位信息系统安全保护工作。
1、要指定专人负责,制定并落实等保人防措施,不断完
善等等保技术手段,确保信息系统平稳、安全运行。
2、配合公安机关组织开展的信息系统测评工作,根据测评情况及时认真实施整改。
3、制定信息系统应急预案,保证系统不间断运行。
4、及时向公安机关报告本系统发生的问题,协助公安机关的查处工作。
5、做好本单位等保宣传教育工作,确保信息系统安全。
三、本责任书未尽事宜,严格按照法律法规的规定执行。
本责任书自签字盖章后两年内有效,一式两份,双方各执一份。
网安支队领导签字:
(单位盖章)(单位盖章)
年 月 日 年 月 日
信息系统安全等级保护
单位领导签字:
第四篇:五、信息系统安全等级保护自查报告(范本)
某单位信息安全等级保护工作自查报告
为进一步做好某单位信息安全等级保护工作工作,提高全辖人民银行系统信息安全保障能力和水平,根据《人民银行长沙中心支行2012年信息安全等级保护工作方案》精神,结合我行实际,组织开展了信息安全等级保护自查工作。通过自查,进一步明确了我行信息安全等级保护工作职责,规范了信息安全等级保护工作标准,完善了信息安全等级保护工作制度,提升了信息安全等级保护工作水平。现将自查情况报告如下:
一、等级保护工作部署和组织实施情况
某单位在上级行的统一领导和部署下,按照《信息安全等级保护管理办法》和《人民银行信息系统信息安全等级保护实施指引(试行)》的要求,组织开展辖内人民银行系统信息安全等级保护工作。一是成立了某单位信息安全等级保护工作领导小组,由主管科技的副行长任组长,各科室主要负责人为成员,全面负责全辖人民银行系统信息安全等级保护工作,领导小组下设办公室,安排专人负责计算机信息系统安全管理,明确了各自的职责。二是建立健全了各项信息安全管理制度,做到了有章可循。三是加强相关工作人员的培训学习,增强信息系统安全工作的自觉性,提高信息系统安全工作管理水平。
二、信息系统安全保护等级备案情况
我行根据《人民银行长沙中心支行2012年信息安全等级保护工作方案》精神,将《郴州中支业务网网络系统》和《郴州中支财库行横向联网系统》信息安全保护等级定为第二级,其他系统定为第一级,并将定为第二级的系统向市公安局网监支队报备。
三、下一步工作计划
目前,某单位信息安全等级保护工作正在不断完善中,今后还需要在以下几个方面不断加强:一是进一步加强信息安全管理力度,督促各支行、各科室加强信息安全等级保护工作;二是加强网络信息安全队伍建设,提高网络管理人员和维护人员的技术水平和安全管理意识;三是进一步完善信息安全管理制度,开展信息系统安全评估和自测评;四是规范和完善安全事件处理流程。
人民银行郴州市中心支行 科技科
2012年8月2日
第五篇:信息系统安全等级保护备案表
信息系统安全等级保护备案表
单位名称 信息系统名称 信息系统类别 系统域名 系统 IP 地址 系统服务 情 况 系统网络平台 服务器情况 存储设备 情 况 服务范围 服务对象 覆盖范围 网络性质 是否有服务器 服务器位置 服务器操作系统 是否有专用存储 存储设备位置 □MySQL □windows □linux □是 □否 品牌及容量 □Access □SQLServer 年 □Oracle □其它_______ 月 日 □全国 □全(市、区)□全校 □全校师生员工 □三者均包括 □广域网 □互联网 □否 是否在学校机房寄存 □unix □是 □否 □Solaris □其它_______ □本单位 □其它__________ □其它__________ □单位内部人员 □社会公众人员 □局域网 □业务专网 □是 □校园网 □业务管理系统 □网站 □其他
□其它___________
系统数据库情况 系统何时投入运行使用 系统主要承建单位 系统目前维护单位 系统责任人 姓 管理员情况 办公电话 系统是否是分系统 上级系统名称 信息系统安全保护等级 系统密级(涉及保密的信息系统 需要填写本项)系统分级保护实施情况 填表人: 名
联系方式 E-mail 手 □是 机
□否(如选择是请填下两项)所属单位
□第一级 □秘密 □ 已经实施
□第二级 □机密
□第三级 □绝密
□第四级
□第五级
□正在实施 填表日期:
□计划________年实施 年 月 日
填报单位:(盖章)