第一篇:信息系統安全等級測評之組織機構和人員安全管理辦法
××公司
信息安全管理組織機構和人員安全管理辦法
第一章 總則
第1條 為加強本公司信息安全管理工作,保障網絡與信息系統的正常運行,依據有關法律、法規及信息安全標準,特制定本辦法。
第2條 本辦法適用于本公司的信息安全組織機構和人員職責的管理。
第二章 信息安全領導小組
第1條 公司成立信息安全領導小組。領導小組是信息安全的最高決策機構,下設辦公室掛靠在公司技術部,負責信息安全領導小組的日常事務。
第2條 信息安全領導小組下設兩個工作組:
信息安全工作組
應急處理工作組
第3條 信息安全領導小組的職責主要包括:
根據國家和行業有關信息安全的政策、法律和法規,批準公司信息安全總體策略規劃、管理規范和技術標準;
確定公司信息安全各有關部門工作職責,指導、監督信息安全工作。
第三章 信息安全工作組
第1條 信息安全工作組組長由公司技術部的負責人擔任。
第2條 信息安全工作組的主要職責包括:
貫徹執行公司信息安全領導小組的決議,協調和規范公司信息安全工作;
根據信息安全領導小組的工作部署,對信息安全工作進行具體安排、落實;
組織對重大的信息安全工作制度和技術操作策略進行審查,擬訂信息安全總體策略規劃,并監督執行;
負責協調、督促各職能部門和有關單位的信息安全工作,參與信息系統工程建設中的安全規劃,監督安全措施的執行;
組織信息安全工作檢查,分析信息安全總體狀況,提出分析報告和安全風險的防范對策;
負責接受各單位的緊急信息安全事件報告,組織進行事件調查,分析原因、涉及范圍,并評估安全事件的嚴重程度,提出信息安全事件防范措施;
及時向信息安全工作領導小組和上級有關部門、單位報告信息安全事件。
跟蹤先進的信息安全技術,組織信息安全知識的培訓和宣傳工作。
第四章 應急處理工作組
第1條 應急處理工作組組長由公司技術部的主要負責人擔任。
第2條 應急處理工作組的主要職責包括:
審定公司網絡與信息系統的安全應急策略及應急預案;
決定相應應急預案的啟動,負責現場指揮,并組織相關人員排除故障,恢復系統; 每年組織對信息安全應急策略和應急預案進行測試和演練。
第五章 信息安全人員基本要求
第1條 信息安全管理人員和專(兼)職信息安全技術人員應當政治可靠、業務素質高、遵紀守法、恪盡職守。
第2條 信息安全管理人員及專職和兼職信息安全技術人員應有計算機專業工作三年以上經歷,具備專科以上學歷。
第3條 違反國家法律、法規和行業規章受到處罰的人員,不得從事信息安全管理與技術工作。
第六章 信息安全人員管理
第1條 信息安全人員的配備和變更情況,應向總經理報告、備案。
第2條 信息安全人員調離崗位,必須嚴格辦理調離手續,承諾其調離后的保密義務。
第七章 信息安全人員職責范圍
第1條 信息安全人員應履行以下職責:
負責信息安全管理的日常工作;
開展信息安全檢查工作,對要害崗位人員安全工作進行指導和監督;
負責維護和審查有關安全審計記錄,及時發現存在問題,提出安全風險防范對策; 開展信息安全知識的培訓和宣傳工作;
監控信息安全總體狀況,提出信息安全分析報告;
及時向信息安全工作領導小組和有關部門、單位報告信息安全事件。
第2條 信息安全人員在行使職責時,確因工作需要,經批準,可了解涉及經營與管理有關的信息系統的機密信息。
第3條 信息安全人員發現本單位重大信息安全隱患,有權向公司總經理報告。
第4條 信息安全人員發現信息系統要害崗位人員使用不當,應及時建議公司進行調整。
第5條 信息安全人員必須嚴格遵守國家有關法律、法規和公司有關規章制度,嚴守公司商業秘密。
第八章 要害崗位人員管理
第1條 信息系統要害崗位人員,是指與重要信息系統直接相關的系統管理人員、網絡管理人員、重要應用開發人員、系統維護人員、重要業務操作人員等崗位人員。
第2條 重要信息系統,是指涉及公司生產、建設與經營、管理等核心業務且有保密要求的信息系統。
第3條 要害崗位人員上崗前必須經單位人事部門進行政治素質審查,技術部門進行業務技能考核,工作經歷和工作經驗考查等,合格者方可上崗。
第4條 要害崗位人員有責任保護信息系統的秘密,并以簽署保密協議的方式作出安全承諾。
第5條 要害崗位人員上崗必須實行“權限分散、不得交叉覆蓋”的原則。系統管理人員、網絡管理人員、系統開發人員、系統維護人員不得兼任業務操作員;系統開發人員原則上不應兼任系統管理員。
第6條 對要害崗位人員應實行定期考查制度,要害崗位人員應定期接受安全培訓,加強自身安全意識和風險防范意識。
第7條 要害崗位人員調離崗位,必須嚴格辦理調離手續,承諾其調離后的保密義務。涉及公司業務保密信息的要害崗位人員調離單位,必須進行離崗審計,在規定的脫密期后,方可調離。
第8條 要害崗位人員離崗后,必須即刻更換操作密碼或注銷用戶。
第九章 要害崗位安全責任
第1條 系統管理員安全責任
負責系統的運行管理,實施系統安全運行細則;
嚴格用戶權限管理,維護系統安全正常運行;
認真記錄系統安全事項,及時向信息安全人員報告安全事件;
對進行系統操作的其他人員予以安全監督。
第2條 網絡管理員安全責任
負責網絡的運行管理,實施網絡安全策略和安全運行細則;
安全配置網絡參數,嚴格控制網絡用戶訪問權限,維護網絡安全正常運行;
監控網絡關鍵設備、網絡端口、網絡物理線路,防范黑客入侵,及時向信息安全人員報告安全事件;
對操作網絡管理功能的其他人員進行安全監督。
第3條 系統開發員安全責任
系統開發建設中,應嚴格執行系統安全策略,保證系統安全功能的準確實現; 系統投產運行前,應完整移交系統源代碼和相關涉密資料;
不得對系統設置“后門”;
對系統核心技術保密。
第4條 系統維護員安全責任
負責系統維護,及時解除系統故障,確保系統正常運行;
不得擅自改變系統功能;
不得安裝與系統無關的其他計算機程序;
維護過程中,發現安全漏洞應及時報告信息安全人員。
第5條 業務操作員安全責任
嚴格執行系統操作規程和運行安全管理制度;
不得向他人提供自己的操作密碼;
及時向系統管理員報告系統各種異常事件。
第6條 各要害崗位人員必須嚴格遵守保密法規和有關信息安全管理規定。
第十章 第三方人員管理
第1條 第三方人員包括軟件開發商,硬件供應商,系統集成商,設備維護商和服務提供商,以及實習學生和臨時工作人員。
第2條 應對第三方人員的物理訪問和邏輯訪問實施訪問控制,根據其在系統中完成工作的時間、性質、范圍、內容等方面的需要給予最低授權。
第3條 第三方人員的現場工作或遠程維護工作內容應在合同中明確規定,如工作涉及機密或秘密信息內容,應要求其簽署保密協議。
第4條 一般情況下第三方人員的現場工作,如數據庫、系統、漏洞掃描、入侵檢測、白客滲透以及其他軟件的安裝等,不許接入自帶的設備。
第5條 第三方人員的現場工作應在本單位信息部門有關人員的陪同和監督下完成。第三方人員自帶設備接入信息系統應得到特別授權,其操作應受到審計。
第6條 第三方人員工作結束后,應及時清除有關賬戶、過程記錄等信息。
第十一章 培訓與教育
第1條 信息安全人員應定期參加下列信息安全知識和技能的培訓:
信息安全法律法規及行業規章制度的培訓;
信息安全基本知識的培訓;
信息安全專門技能的培訓。
第2條 信息安全人員應定期接受政治思想教育、職業道德教育和安全保密教育。
第3條 應對所有使用計算機的人員定期進行基本的信息安全知識和技能的培訓,并應注意培養信息安全意識。
第十二章 附則
第1條 本辦法由公司人力行政部負責解釋。
第2條 本辦法自發布之日起施行。
××公司
××年××月××日
第二篇:廣東省信息安全等級測評機構管理辦法
廣東省信息安全等級測評機構管理辦法
(試行)
第一條
為規范信息安全等級測評機構管理,提高信息安全保障能力和水平,保障和促進信息化建設,根據《廣東省計算機信息系統安全保護條例》和《信息安全等級保護管理辦法》等規定,制定本辦法。
第二條
本辦法所稱信息安全等級測評機構是指對信息系統的安全保護措施是否符合信息安全等級保護相關法律和標準進行評估的組織。
第三條
信息安全等級測評應當堅持實事求是、客觀公正的原則,保證測評活動的獨立性和測評結論的準確性。
第四條
第二級以上的計算機信息系統的安全測評應當選擇符合下列條件的計算機信息系統安全等級測評機構(簡稱測評機構)承擔:
(一)在中華人民共和國境內注冊成立(港澳臺地區除外),具有相應經營范圍的營業執照,注冊資本100萬元以上;
(二)由中國公民投資、中國法人投資或者國家投資的企事業單位(港澳臺地區除外);
(三)近3年完成的測評項目總值150萬元以上;
(四)具有計算機安全或相關專業資格證書的專業技術人員不少于20人,其中大學本科以上學歷的人員不少于15人;
(五)管理人員應當具有3年以上從事計算機信息系統安全技術領域企業管理工作經歷,技術負責人已獲得計算機信息系統安全技術相關專業的高級職稱,從事安全測評工作不少于3年,無犯罪記錄;
(六)工作人員僅限于中國公民,法人及主要業務、技術人員無犯罪記錄;
(七)具有與所承擔項目適應的技術裝備;
(八)具有完備的保密管理、項目管理、質量管理、人員管理和培訓教育等安全管理制度;
(九)對國家安全、社會秩序、公共利益不構成威脅。
第五條
我省對測評機構實施備案制度。符合第四條規定的條件,承擔第二級以上的計算機信息系統測評工作的機構應當到公安機關公共信息網絡安全監察部門備案。
第六條
信息安全等級測評機構申請備案,應當向地級以上市公安機關公共信息網絡安全監察部門提交下列資料:
(一)備案申請書;
(二)營業執照復印件;
(三)管理人員和專業技術人員的身份證明、學歷證明、計算機安全培訓合格證書復印件和無犯罪證明;
(四)技術裝備情況及組織管理制度報告。第七條
地級以上市公安機關公共信息網絡安全監察部門應當自接到申請材料之日起15日內對申請材料進行初審。初審合格的,報送省公安廳公共信息網絡安全監察部門審查;初審不合格的,退回申請并說明理由。
省公安廳公共信息網絡安全監察部門應當自接到初審材料之日起15日內進行審查,符合條件的,發給備案證書。不符合條件的,作出不予備案的決定并說明理由。
承擔省直和中央駐粵單位信息安全等級測評工作的機構,直接向省公安廳公共信息網絡安全監察部門提出申請,省公安廳公共信息網絡安全監察部門應當在30日內作出備案意見。
第八條
省公安廳公共信息網絡安全監察部門對已備案的信息安全等級測評機構進行公布。
第九條
備案證書分為正本和副本,正本和副本具有同等效力。
第十條
備案證書實行年檢制度。年檢時間為每年2月至3月,新領備案證書未滿半年的不需年檢。
第十二條
信息安全等級測評機構參加年檢,應當持下列材料向地級以上市公安機關公共信息網絡安全監察部門提出申請:
(一)備案證書年檢申請書;
(二)備案證書副本;
(三)其他材料。
第十三條
地級以上市公安機關公共信息網絡安全監察部門應當自接到申請材料之日起15日內對申請材料進行初審。初審合格的,報送省公安廳公共信息網絡安全監察部門審查;初審不合格的,退回申請并說明理由。
省公安廳公共信息網絡安全監察部門應當自接到初審材料之日起15日內進行審查并作出年檢結論。
持國家工商行政管理總局或省工商行政管理局核發的營業執照的機構,直接向省公安廳公共信息網絡安全監察部門提出申請,省公安廳公共信息網絡安全監察部門應當在30日內作出年檢結論。
第十四條
年檢結論分為合格、取消兩種。
具備下列情形的,年審結論為合格:
(一)遵守國家有關法律法規和本省有關規定;
(二)上完成的測評項目總值不低于50萬元;
(三)符合備案條件。
有下列情形之一的,年檢結論為取消:
(一)違反國家有關法律法規和本省有關規定,情節嚴重;
(二)上完成的測評項目總值低于50萬元;
(三)情況發生變更,達不到備案條件。
年檢合格的,在備案證書副本和年檢申請書上注明,加蓋省公安廳公共信息網絡安全監察專用章。
年檢結論為取消的,備案證書作廢,信息安全等級測評機構應當自接到年檢結論之日起10日內交回備案證書。
未按時參加年檢的,年審結論視為取消。
因特殊原因未年檢的,應當書面說明理由,經批準,方可補辦相關手續。
第十五條
備案證書登記事項發生變更的,應在30日內到地級以上市公安機關公共信息網絡安全監察部門辦理變更手續。
第十六條
信息安全等級測評機構應當履行下列義務:
(一)遵守國家有關法律法規和技術標準,提供安全、客觀、公正的檢測評估服務,保證測評的質量和效果;
(二)保守在測評活動中知悉的國家秘密、商業秘密和個人隱私,防范測評風險;
(三)對測評人員進行安全保密教育,與其簽訂安全保密責任書,規定應當履行的安全保密義務和承擔的法律責任,并負責檢查落實。
第十七條
公安機關公共信息網絡安全監察部門對信息安全等級測評機構進行監督、檢查和指導。第十八條
信息安全等級測評機構有下列行為之一的,由所在地公安機關公共信息網絡安全監察部門責令改正,并予以通報。對已辦理備案的,收回備案證書。觸犯有關法律、法規和規章的,依法追究法律責任。
(一)偽造、冒用信息安全等級測評機構備案證書的;
(二)轉讓、轉借信息安全等級測評機構備案證書的;
(三)出具虛假、失實的信息安全等級測評結論的;
(四)泄露測評活動中掌握的國家秘密、商業秘密和個人隱私的;
(五)違反法律、法規、規章等規定的其他行為。
第十九條
本辦法自印發之日起施行。
第三篇:《信息安全等級保護測評機構管理辦法》最新
信息安全等級保護測評機構管理辦法
第一條 為加強信息安全等級保護測評機構管理,規范等級測評行為,提高測評技術能力和服務水平,根據《信息安全等級保護管理辦法》等有關規定,制定本辦法。
第二條 等級測評工作,是指等級測評機構依據國家信息安全等級保護制度規定,按照有關管理規范和技術標準,對非涉及國家秘密信息系統安全等級保護狀況進行檢測評估的活動。
等級測評機構,是指依據國家信息安全等級保護制度規定,具備本辦法規定的基本條件,經審核推薦,從事等級測評等信息安全服務的機構。
第三條 等級測評機構推薦管理工作遵循統籌規劃、合理布局、安全規范的方針,按照“誰推薦、誰負責,誰審核、誰負責”的原則有序開展。
第四條 等級測評機構應以提供等級測評服務為主,可根據信息系統運營使用單位安全保障需求,提供信息安全咨詢、應急保障、安全運維、安全監理等服務。
第五條 國家信息安全等級保護工作協調小組辦公室(以下簡稱“國家等保辦”)負責受理隸屬國家信息安全職能部門和重點行業主管部門申請單位提出的申請,并對其推薦的等級測評機構進行監督管理。
省級信息安全等級保護工作協調(領導)小組辦公室(以下簡稱“省級等保辦”)負責受理本省(區、直轄市)申請單位提出的申請,并對其推薦的等級測評機構進行監督管理。
第六條 申請成為等級測評機構的單位(以下簡稱“申請單位”)應具備以下基本條件:
(一)在中華人民共和國境內注冊成立,由中國公民、法人投資或者國家投資的企事業單位;
(二)產權關系明晰,注冊資金100萬元以上;
(三)從事信息系統安全相關工作兩年以上,無違法記錄;
(四)測評人員僅限于中華人民共和國境內的中國公民,且無犯罪記錄;
(五)具有信息系統安全相關工作經驗的技術人員,不少于10人;
(六)具備必要的辦公環境、設備、設施,使用的技術裝備、設施應滿足測評工作需求;
(七)具有完備的安全保密管理、項目管理、質量管理、人員管理和培訓教育等規章制度;
(八)自覺接受等保辦的監督、檢查和指導,對國家安全、社會秩序、公共利益不構成威脅;
(九)不涉及信息安全產品開發、銷售或信息系統安全集成等業務;
(十)應具備的其他條件。
第七條 申請時,申請單位應向等保辦提交以下材料:
(一)《信息安全等級保護測評機構申請表》;
(二)從事信息系統安全相關工作情況;
(三)檢測評估工作所需軟硬件及其他服務保障設施配備情況;
(四)有關管理制度建設情況;
(五)申請單位及其測評人員基本情況;
(六)應提交的其他材料。
等保辦收到申請材料后,應在10個工作日內組織初審,并出具初審結果告知書。
第八條 通過初審的申請單位,應及時參加指定評估機構組織的測評人員培訓。考試合格的人員,取得等級測評師證書。
等級測評師分為初級、中級和高級。申請單位應至少有10人獲得等級測評師證書,其中高級和中級測評師均不得少于1人。
第九條 指定評估機構應根據標準規范對申請單位開展能力評估,出具信息安全等級保護測評機構能力評估報告,并及時將申請單位能力評估有關情況報送等保辦。
第十條 等保辦組織專家對通過能力評估的申請單位進行審核。審核通過的,頒發《信息安全等級保護測評機構推薦證書》。
省級等保辦應及時將本地等級測評機構推薦情況報國家等保辦,國家等保辦定期發布公告,在《中國信息安全等級保護網》發布《全國信息安全等級保護測評機構推薦目錄》。
第十一條 下列事項發生變更時,等級測評機構應在變更后5個工作日內向等保辦報告。
(一)等級測評機構名稱、地址、測評人員和主要負責人發生變更的;
(二)等級測評機構法人、股權結構發生變更的;
(三)其他重大事項發生變更的。
省級等保辦應及時將等級測評機構變更情況報國家等保辦。
第十二條 信息安全等級保護測評機構推薦證書有效期為三年。等級測評機構應在推薦證書期滿前30日內,向等保辦申請復審。復審通過的等級測評機構應換發新證。復審未通過的,等保辦應督促其限期整改。
省級等保辦應及時將等級測評機構期滿復審情況報國家等保辦。
第十三條 等級測評師上崗前,等級測評機構應組織崗前培訓。培訓合格的,由等級測評機構配發上崗證。未取得測評師證書和上崗證的,不得參與等級測評項目。
等級測評師離職前,等級測評機構應與其簽訂離職保密承諾書,并收回上崗證。
第十四條 等級測評師應妥善保管等級測評師證書、上崗證,不得涂改、出借、出租和轉讓。
第十五條 等級測評機構應加強對本機構等級測評師的監督管理,定期組織開展安全保密教育和業務培訓。
第十六條 等級測評機構應嚴格按照信息安全等級保護標準規范公正、獨立地開展等級測評工作,依據模板出具信息系統安全等級測評報告,確保測評質量,全面、客觀地反映被測信息系統的安全保護狀況。
第十七條 等級測評機構開展測評項目不受地域、行業限制。等級測評機構應在測評項目合同簽訂以及項目完成后5個工作日內,向受理信息系統備案的公安機關報告等級測評項目有關情況。
第十八條 測評項目實施過程中,等級測評機構應接受等保辦的監督、檢查和指導。測評項目完成后,等級測評機構應請被測評信息系統運營使用單位對測評服務情況進行評價,評價情況由被測單位反饋等保辦。
第十九條 等級測評機構應定期向等保辦報送測評工作開展情況。根據測評實踐,每年底編制并報送信息系統安全狀況分析報告。第二十條 等級測評機構實行等級化管理。根據信息系統測評數量、機構規模、測評技術能力和服務質量等指標,對等級測評機構劃分為五個星級,最低為一星級,最高為五星級。等級測評機構星級評定標準由國家等保辦另行制定。
第二十一條 等級測評機構應于每年底向等保辦提交星級評定所需材料。
等保辦負責組織所推薦等級測評機構的星級評定審核工作,并出具星級評定意見。省級等保辦應及時將評定意見報國家等保辦審定,國家等保辦定期發布星級評定結果。
第二十二條 取得信息安全等級保護測評機構推薦證書未滿一年的,不參加星級評定。
第二十三條 等保辦負責對所推薦等級測評機構的日常監督檢查、測評項目抽查和年審工作,及時掌握等級測評機構工作情況。
第二十四條 等保辦應于每年底對所推薦的等級測評機構進行年審。等級測評機構自推薦之日起未滿6個月的,當年可免予年審。年審時,等級測評機構應提交以下材料:
(一)《信息安全等級保護測評機構年審表》;
(二)信息安全等級保護測評機構推薦證書副本;
(三)測評工作總結;
(四)其他所需材料。
第二十五條
國家等保辦負責組織開展等級測評機構能力驗證和抽查工作。
第二十六條 等級測評機構有下列情形之一的,等保辦應責令其限期整改;情形嚴重的,予以通報。
(一)未按照有關標準規范開展測評或未按規定出具信息系統安全等級測評報告的;
(二)影響被測評信息系統正常運行,危害被測評信息系統安全的;
(三)非授權占有、使用,未妥善保管等級測評相關資料及數據文件的;
(四)分包或轉包等級測評項目,以及擾亂測評市場秩序的;
(五)限定被測評單位購買、使用指定信息安全產品的;
(六)測評人員未取得等級測評師證書和上崗證從事等級測評活動的;
(七)未按本辦法規定向等保辦提交材料、報告情況或弄虛作假的;
(八)其他違反等級測評有關規定的行為。
第二十七條 等級測評機構有下列情形之一的,等保辦應取消其信息安全等級保護測評機構推薦證書,并向社會公告。
(一)因單位股權、人員等情況發生變動,不符合等級測評機構基本條件的;
(二)有信息安全產品開發、銷售或信息系統安全集成行為的;
(三)故意泄露被測評單位工作秘密、重要信息系統數據信息的;
(四)故意隱瞞測評過程中發現的安全問題,或者在測評過程中弄虛作假未如實出具等級測評報告的;
(五)一年內未開展信息系統測評工作或自愿退出《全國信息安全等級保護測評機構推薦目錄》的;
(六)連續兩年年審不合格或限期整改后仍未通過復審的;
(七)違反本辦法第二十六條規定,情節特別嚴重的。第二十八條 等級測評師有下列行為之一的,等保辦應責令等級測評機構督促其限期改正;情節嚴重的,責令等級測評機構暫停其參與測評工作;情形特別嚴重的,應注銷其等級測評師證書,并對其所在等級測評機構進行通報。
(一)未經允許擅自使用或泄露、出售等級測評工作中收集的數據信息、資料或信息系統安全等級測評報告的;
(二)違反本辦法第十四條規定,未妥善保管等級測評師證書、上崗證,有涂改、出借、出租和轉讓等行為的;
(三)測評行為失誤或不當,影響信息系統安全或造成運營使用單位利益損失的;
(四)其他違反等級測評有關規定的行為。第二十九條 等級測評機構及其等級測評師違反本辦法的相關規定,給被測評信息系統運營使用單位造成嚴重危害和損失的,由相關部門依照有關法律、法規予以處理。
第三十條 任何單位和個人如發現等級測評機構、等級測評師有違法、違規行為的,可向國家等保辦舉報、投訴。
第三十一條 本辦法由國家等保辦負責解釋。第三十二條 本辦法自發布之日起實施。
第四篇:上海市公共信息系統安全測評管理辦法(范文模版)
上海市公共信息系統安全測評管理辦法
(2006年5月7日上海市人民政府令第58號公布,根據2010年12月20日上海市人民政府令第52號公布的《上海市人民政府關于修改?上海市農機事故處理暫行規定?等148件市政府規章的決定》修正并重新發布)
第一條(立法目的)
為了規范本市公共信息系統安全測評活動,保障公共信息系統正常運行,制定本辦法。
第二條(定義)
本辦法所稱的公共信息系統安全測評,是指依據有關信息安全標準、規范,對本市承擔公共管理職能的機構(以下簡稱公共管理機構)以及提供社會公共服務的單位(以下簡稱公共服務單位)的計算機信息系統,進行安全保障性能測試、評估的活動。
第三條(適用范圍)
本市行政區域內的公共信息系統安全測評及其管理活動,適用本辦法。法律、法規另有規定的,從其規定。
第四條(管理部門)
上海市經濟和信息化委員會(以下簡稱市經濟信息化委)負責本市公共信息系統安全測評的組織協調和監督管理工作。
第五條(責任制度)
公共管理機構、公共服務單位的負責人應當承擔開展公共信息系統安全測評的管理責任。
各有關主管部門應當督促所屬的公共管理機構、公共服務單位開展公共信息系統安全測評。
第六條(測評計劃)
市經濟信息化委應當會同各有關主管部門,制定公共信息系統安全測評計劃,組織公共管理機構、公共服務單位實施,并進行指導、監督。
第七條(新建系統的測評)
新建公共信息系統的,公共管理機構、公共服務單位應當在系統建設前將安全設計方案報送市經濟信息化委審查;市經濟信息化委應當在15日內提出審查意見。
新建的公共信息系統試運行結束后30日內,應當進行安全測評。
第八條(測評機構)
公共信息系統安全測評,應當由國家有關部門認可的信息安全測評機構(以下簡稱測評機構)實施。
公共管理機構的公共信息系統,由市經濟信息化委指定的測評機構統一實施安全測評;公共服務單位的公共信息系統,由該單位委托的測評機構實施安全測評。
第九條(測評協議)
公共管理機構、公共服務單位應當與測評機構簽訂公共信息系統安全測評協議,明確測評的范圍、內容、方案、期限、費用和違約責任等事項。
公共信息系統安全測評協議的示范文本,由市經濟信息化委制定。
第十條(測評要求)
測評機構應當依據國家和本市信息技術、信息系統安全的標準、規范,實施公共信息系統安全測評,保證測評活動的客觀、公正。
第十一條(安全事項告知與協助義務)
安全測評的實施過程可能影響公共信息系統正常運行的,測評機構應當事先告知公共管理機構、公共服務單位,并協助其采取相應的預防措施。
第十二條(測評報告)
測評機構實施公共信息系統安全測評后,應當出具包括以下內容的測評報告:
(一)測評范圍、內容;
(二)測評所依據的相關標準、規范;
(三)系統安全的評估結論、整改建議。
測評報告應當由測評機構負責人簽署。
第十三條(安全整改)
公共管理機構、公共服務單位應當根據測評報告的整改建議,對公共信息系統采取安全整改措施;測評機構應當給予協助和指導。
公共管理機構完成安全整改后15日內,應當將整改情況報送市經濟信息化委備案;公共服務單位完成安全整改后15日內,應當將整改情況報送其主管部門備案。
第十四條(測評實施情況的報告)
測評機構應當每季度將實施公共信息系統安全測評的匯總情況向市經濟信息化委報告;發現公共信息系統存在重大安全問題時,應當立即向市經濟信息化委報告。
第十五條(動態復測)
公共信息系統安全測評后,應當每兩年進行一次復測;系統的網絡結構、信息處理流程等發生重大變更的,應當及時進行復測。
公共信息系統的復測應當包括以下內容:
(一)系統前次測評時發現的主要問題;
(二)核心網絡設備、服務器、安全防護設施、應用軟件等系統關鍵部分發生變更,可能出現的安全隱患;
(三)新的信息技術可能對系統安全造成的影響。
第十六條(測評機構的保密義務)
測評機構對公共信息系統安全測評過程中取得的技術數據、業務資料等信息負有保密義務,不得以任何方式將相關信息提供給第三方。
第十七條(測評機構的行為禁止)
禁止測評機構從事下列活動:
(一)信息安全產品開發、營銷和信息系統集成活動;
(二)限定公共管理機構、公共服務單位購買、使用其指定的信息安全產品;
(三)其他可能影響測評客觀、公正的活動。
第十八條(未進行測評或者整改的處理)
公共管理機構、公共服務單位未按照本辦法的規定開展公共信息系統安全測評或者采取安全整改措施的,由市經濟信息化委或者相關主管部門責令其改正;因未開展公共信息系統安全測評或者采取安全整改措施,導致系統發生安全故障的,依法追究有關負責人的行政責任。
第十九條(對測評機構違法行為的處理)
對測評機構違反本辦法的行為,由市經濟信息化委按照下列規定進行處理:
(一)違反本辦法第十四條規定,未報告公共信息系統安全測評情況或者重大安全問題的,責令改正,并處1萬元以下罰款;
(二)違反本辦法第十六條規定,向第三方提供公共信息系統安全測評相關信息的,或者違反本辦法第十七條規定,從事可能影響測評客觀、公正的活動的,責令改正,并處3萬元以下罰款。
第二十條(施行日期)
本辦法自2006年7月1日起施行。
第五篇:信息安全管理組織機構和人員安全管理辦法
信息安全管理組織機構和人員安全管理辦法
第一章 總則
第1條 為加強本公司信息安全管理工作,保障網絡與信息系統的正常運行,依據有關法律、法規及信息安全標準,特制定本辦法。第2條 本辦法適用于本公司的信息安全組織機構和人員職責的管理。第二章 信息安全領導小組
第1條 公司成立信息安全領導小組。領導小組是信息安全的最高決策機構,下設辦公室掛靠在公司技術部,負責信息安全領導小組的日常事務。
第2條 信息安全領導小組下設兩個工作組:
信息安全工作組 應急處理工作組
第3條 信息安全領導小組的職責主要包括:
根據國家和行業有關信息安全的政策、法律和法規,批準公司信息安全總體策略規劃、管理規范和技術標準;
確定公司信息安全各有關部門工作職責,指導、監督信息安全工作。
第三章 信息安全工作組
第1條 信息安全工作組組長由公司技術部的負責人擔任。第2條 信息安全工作組的主要職責包括:
貫徹執行公司信息安全領導小組的決議,協調和規范公司信息安全工作; 根據信息安全領導小組的工作部署,對信息安全工作進行具體安排、落實;
組織對重大的信息安全工作制度和技術操作策略進行審查,擬訂信息安全總體策略規劃,并監督執行;
負責協調、督促各職能部門和有關單位的信息安全工作,參與信息系統工程建設中的安全規劃,監督安全措施的執行;
組織信息安全工作檢查,分析信息安全總體狀況,提出分析報告和安全風險的防范對策;
負責接受各單位的緊急信息安全事件報告,組織進行事件調查,分析原因、涉及范圍,并評估安全事件的嚴重程度,提出信息安全事件防范措施;
及時向信息安全工作領導小組和上級有關部門、單位報告信息安全事件。跟蹤先進的信息安全技術,組織信息安全知識的培訓和宣傳工作。
第四章 應急處理工作組
第1條 應急處理工作組組長由公司技術部的主要負責人擔任。第2條 應急處理工作組的主要職責包括:
審定公司網絡與信息系統的安全應急策略及應急預案; 決定相應應急預案的啟動,負責現場指揮,并組織相關人員排除故障,恢復系統;
每年組織對信息安全應急策略和應急預案進行測試和演練。第五章 信息安全人員基本要求 第1條 信息安全管理人員和專(兼)職信息安全技術人員應當政治可靠、業務素質高、遵紀守法、恪盡職守。
第2條 信息安全管理人員及專職和兼職信息安全技術人員應有計算機專業工作三年以上經歷,具備專科以上學歷。
第3條 違反國家法律、法規和行業規章受到處罰的人員,不得從事信息安全管理與技術工作。第六章 信息安全人員管理
第1條 信息安全人員的配備和變更情況,應向總經理報告、備案。第2條 信息安全人員調離崗位,必須嚴格辦理調離手續,承諾其調離后的保密義務。
第七章 信息安全人員職責范圍
第1條 信息安全人員應履行以下職責:
負責信息安全管理的日常工作;
開展信息安全檢查工作,對要害崗位人員安全工作進行指導和監督;
負責維護和審查有關安全審計記錄,及時發現存在問題,提出安全風險防范對策;
開展信息安全知識的培訓和宣傳工作;
監控信息安全總體狀況,提出信息安全分析報告;
及時向信息安全工作領導小組和有關部門、單位報告信息安全事件。第2條 信息安全人員在行使職責時,確因工作需要,經批準,可了解涉及經營與管理有關的信息系統的機密信息。
第3條 信息安全人員發現本單位重大信息安全隱患,有權向公司總經理報告。
第4條 信息安全人員發現信息系統要害崗位人員使用不當,應及時建議公司進行調整。
第5條 信息安全人員必須嚴格遵守國家有關法律、法規和公司有關規章制度,嚴守公司商業秘密。第八章 要害崗位人員管理
第1條 信息系統要害崗位人員,是指與重要信息系統直接相關的系統管理人員、網絡管理人員、重要應用開發人員、系統維護人員、重要業務操作人員等崗位人員。
第2條 重要信息系統,是指涉及公司生產、建設與經營、管理等核心業務且有保密要求的信息系統。
第3條 要害崗位人員上崗前必須經單位人事部門進行政治素質審查,技術部門進行業務技能考核,工作經歷和工作經驗考查等,合格者方可上崗。
第4條 要害崗位人員有責任保護信息系統的秘密,并以簽署保密協議的方式作出安全承諾。
第5條 要害崗位人員上崗必須實行“權限分散、不得交叉覆蓋”的原則。系統管理人員、網絡管理人員、系統開發人員、系統維護人員不得兼任業務操作員;系統開發人員原則上不應兼任系統管理員。第6條 對要害崗位人員應實行定期考查制度,要害崗位人員應定期接受安全培訓,加強自身安全意識和風險防范意識。
第7條 要害崗位人員調離崗位,必須嚴格辦理調離手續,承諾其調離后的保密義務。涉及公司業務保密信息的要害崗位人員調離單位,必須進行離崗審計,在規定的脫密期后,方可調離。
第8條 要害崗位人員離崗后,必須即刻更換操作密碼或注銷用戶。第九章 要害崗位安全責任
第1條 系統管理員安全責任
負責系統的運行管理,實施系統安全運行細則; 嚴格用戶權限管理,維護系統安全正常運行;
認真記錄系統安全事項,及時向信息安全人員報告安全事件; 對進行系統操作的其他人員予以安全監督。第2條 網絡管理員安全責任
負責網絡的運行管理,實施網絡安全策略和安全運行細則; 安全配置網絡參數,嚴格控制網絡用戶訪問權限,維護網絡安全正常運行;
監控網絡關鍵設備、網絡端口、網絡物理線路,防范黑客入侵,及時向信息安全人員報告安全事件;
對操作網絡管理功能的其他人員進行安全監督。第3條 系統開發員安全責任
系統開發建設中,應嚴格執行系統安全策略,保證系統安全功能的準確實現; 系統投產運行前,應完整移交系統源代碼和相關涉密資料; 不得對系統設置“后門”; 對系統核心技術保密。第4條 系統維護員安全責任
負責系統維護,及時解除系統故障,確保系統正常運行; 不得擅自改變系統功能;
不得安裝與系統無關的其他計算機程序;
維護過程中,發現安全漏洞應及時報告信息安全人員。第5條 業務操作員安全責任
嚴格執行系統操作規程和運行安全管理制度; 不得向他人提供自己的操作密碼; 及時向系統管理員報告系統各種異常事件。
第6條 各要害崗位人員必須嚴格遵守保密法規和有關信息安全管理規定。
第十章 第三方人員管理
第1條 第三方人員包括軟件開發商,硬件供應商,系統集成商,設備維護商和服務提供商,以及實習學生和臨時工作人員。第2條 應對第三方人員的物理訪問和邏輯訪問實施訪問控制,根據其在系統中完成工作的時間、性質、范圍、內容等方面的需要給予最低授權。
第3條 第三方人員的現場工作或遠程維護工作內容應在合同中明確規定,如工作涉及機密或秘密信息內容,應要求其簽署保密協議。第4條 一般情況下第三方人員的現場工作,如數據庫、系統、漏洞掃描、入侵檢測、白客滲透以及其他軟件的安裝等,不許接入自帶的設備。
第5條 第三方人員的現場工作應在本單位信息部門有關人員的陪同和監督下完成。第三方人員自帶設備接入信息系統應得到特別授權,其操作應受到審計。
第6條 第三方人員工作結束后,應及時清除有關賬戶、過程記錄等信息。
第十一章 培訓與教育
第1條 信息安全人員應定期參加下列信息安全知識和技能的培訓:
信息安全法律法規及行業規章制度的培訓; 信息安全基本知識的培訓; 信息安全專門技能的培訓。
信息安全人員應定期接受政治思想教育、職業道德教育和安全保密教育。
第3條 應對所有使用計算機的人員定期進行基本的信息安全知識和技能的培訓,并應注意培養信息安全意識。第十二章 附則
第1條 本辦法由公司人力行政部負責解釋。第2條 本辦法自發布之日起施行。
陜西溢誠金融服務股份有限公司
2017年7月1日
點擊咨詢 