第一篇:基層單位信息系統安全等級保護三級管理制度-安全監督和檢查管理規定
版本號:1.0.xxxx
信息系統安全監督和檢查管理規定
第一章 總則
第一條 為了進一步規范我單位信息系統安全監督和檢查管理工作,根據《信息安全等級保護管理辦法》、《信息系統安全管理要求》(GBT 20269-2006)和其他有關法律法規的規定,結合本單位實際,特制定本規定。
第二條 本規定適用于我單位信息系統安全管理人員和技術人員進行政務信息系統安全監督和檢查管理工作,包括合法性檢查、依從性檢查、審計及監管控制、責任認定等工作。
第三條 信息系統安全監督和檢查管理工作的責任部門為單位信息中心。
第二章 合法性檢查
第四條 合法性檢查的內容包括三個方面:知曉適用的法律、知識產權管理、保護證據記錄。
第五條 應了解信息系統應用范疇適用的所有法律法規;對信息系統的設計、操作、使用和管理,以及信息管理方面應規避法律法規禁區,防止出現違法行為;應保護組織機構的數據信息和個人信息隱私;對于詳細而準確的法律要求如有需要,應從專業法律人員處獲得幫助;
第六條 應尊重知識產權,涉及軟件開發的工作人員和承包商應做到符合和遵守相關的法律、法規,應防止發生侵犯版權的行為;如果重要應用系統軟件是外包開發的,應注意明確軟件版權有關問題,應防止發生因軟件升級或改造引起侵犯軟件版權的行為;
第七條 數據庫記錄、審計日志、變更記錄、技術維護記錄、機房進出記錄、關鍵設備訪問記錄等為重要記錄,應按照法律法規的要求進行保護,防止丟失、毀壞和被篡改;被作為證據的記錄,信息的內容和保留的時間應遵守國家法律法規的規定。
第三章 依從性檢查
第八條 依從性檢查的內容包括三個方面:檢查和改進、安全策略依從性檢 1
查、技術依從性檢查。
第九條 每半年定期進行一次對安全管理活動的各個方面進行檢查和評估工作;對照安全策略和管理制度做到自管、自查、自評,并應落實責任制;
第十條 每月定期進行一次檢查安全策略的遵守情況,重點檢查信息系統的網絡、操作系統、數據庫系統等系統管理員,保證其在應有責任范圍內能夠正確地執行所有安全程序,能夠正確遵從組織機構制定的安全策略;
第十一條 每年定期進行一次技術依從性檢查。對硬件和軟件的檢驗,以及技術依從檢查應由有能力的、經過授權的人員來進行;對于技術測試應由有經驗的系統工程師手工或使用軟件包進行并生成檢測結果,經技術專家解釋并產生技術報告;根據檢查結果,對存在的缺陷進行不斷改進;
第四章 審計及監管控制
第十二條 審計及監管控制的內容包括二個方面:審計控制、監管控制。第十三條 審計活動應每年進行一次,由獨立的審計機構或人員對安全管理體系、信息系統的安全風險控制、管理過程的有效性和正確性進行審計;對系統的審計活動進行規劃,應制定審計的工作程序和流程、需求和責任,對審計過程進行控制,盡量減小中斷業務流程的風險;應加強安全事件發生后的審計;
第十四條 積極配合上級信息安全監管職能部門進行的監督、檢查。
第五章 責任認定
第十五條 責任認定的內容包括二個方面:審計結果的責任認定、審計及監管者責任的認定。
第十六條 對于審計及監管過程發現的問題應限期解決,同時要認定技術責任和管理責任,明確責任當事人,認定相關領導者的責任,領導層應就此提出問題解決辦法和責任處理意見,以及監督問題解決情況;
第十七條 審計及監管者應按有關監督和檢查的規定定期進行審計,逾期未進行審計及監管,使本應審計的問題因未審計而造成信息系統損失,應承擔相應的責任;
第六章 附則
第十八條 本規定由單位信息安全領導小組負責解釋。
第十九條 違反本規定,發生信息安全事件的,按照事件造成的損失和后果,依據國家有關法律法規進行處罰。
第二十條 本規定自發布之日起施行。
第二篇:基層單位信息系統安全等級保護三級管理制度-運行和維護管理規定
版本號:1.0.xxxx
信息系統運行和維護管理規定
第一章 總則
第一條 為了進一步規范我單位信息系統運行和維護管理工作,根據《信息安全等級保護管理辦法》、《信息系統安全管理要求》(GBT 20269-2006)和其他有關法律法規的規定,結合本單位實際,特制定本規定。
第二條 本規定適用于我單位信息系統安全管理人員和技術人員進行信息系統運行和維護管理工作,包括用戶管理、運行操作管理、運行維護管理、外包服務管理、安全機制保障、安全集中管理。
第三條 信息系統運行和維護管理的責任部門為我單位信息系統安全管理中心。
第二章 用戶管理
第四條 用戶管理的內容包括五個方面:用戶分類管理、系統用戶管理、普通用戶管理、機構外部用戶管理、臨時用戶管理。
第五條 應按審查和批準的用戶分類清單,建立用戶和分配權限。用戶分類清單應包括信息系統的所有用戶的清單,以及各類用戶的權限;用戶權限發生變化時應及時更改用戶清單內容;必要時可以對有關用戶開啟審計功能。
第六條 系統用戶應由信息安全職能部門的主管領導指定,授權應以滿足其工作需要的最小權限為原則;系統用戶應接受審計;對重要信息系統的系統用戶,應進行人員的嚴格審查,符合要求的人員才能給予授權;對系統用戶應能區分責任到個人,不應以部門或組作為責任人;在關鍵信息系統中,對系統用戶的授權操作,必須有兩人在場,并經雙重認可后方可操作;操作過程應自動產生不可更改的審計日志。
第七條 普通用戶應保護好口令等身份鑒別信息;發現系統的漏洞、濫用或違背安全行為應及時報告;不應透露與組織機構有關的非公開信息;不應故意進行違規的操作;不應在不符合敏感信息保護要求的系統中保存和處理高敏感度的信息;不應使用各種非正版軟件和不可信的自由軟件;應在系統規定的權限內進 1 行操作,必要時某些重要操作應得到批準;用戶應保管好自己的身份鑒別信息載體,不得轉借他人。
第八條 應對機構外部用戶明確說明使用者的責任、義務和風險,并要求提供合法使用的聲明;外部用戶應保護口令等身份鑒別信息;外部用戶只能是應用層的用戶;可對特定外部用戶提供專用通信通道、端口、特定的應用或數據協議、以及專用設備等;在關鍵部位,一般不允許設置外部用戶。
第九條 臨時用戶的設置和期限必須經過審批,使用完畢或到期應及時刪除,設置與刪除均應記錄備案;對主要部位的臨時用戶應進行審計,并在刪除前進行風險評估;在關鍵部位,一般不允許設置臨時用戶。
第三章 運行操作管理
第十條 運行操作管理的內容包括七個方面:服務器操作管理、終端計算機操作管理、便攜機操作管理、網絡及安全設備操作管理、業務應用操作管理、變更控制和重用管理、信息交換管理。
第十一條 對服務器的操作應由授權的系統管理員實施;應按操作規程實現服務器的啟動/停止、加電/斷電等操作;實現操作的身份鑒別管理;
第十二條 用戶在使用自己的終端計算機時,應設置開機、屏幕保護、目錄共享口令;非組織機構配備的終端計算機未獲批準,不能在辦公場所使用;及時安裝經過許可的軟件和補丁程序,不得自行安裝及使用其它軟件和自由下載軟件;未獲批準,嚴禁使用Modem撥號、無線網卡等方式或另辟通路接入其它網絡;建立身份鑒別機制;
第十三條 便攜機需設置開機口令和屏保口令;因工作崗位變動不再需要使用便攜機時,應及時辦理資產轉移或清退手續,并刪除機內的敏感數據;在本地網絡工作時應按終端計算機的要求執行;在本地之外網絡接入過的便攜機,需要接入本地網絡前應進行必要的安全檢查;
第十四條 對網絡及安全設備的操作應由授權的系統管理員實施;應按操作規程實現網絡設備和安全設備的接入/斷開、啟動/停止、加電/斷電等操作;維護網絡和安全設備的運行環境及配置和服務設定;對實施網絡及安全設備操作的管理員應進行身份鑒別;
第十五條 業務應用系統應對操作人員進行身份鑒別;業務應用系統應能夠 以菜單等方式限制操作人員的訪問權限;業務應用操作程序應形成正式文檔,需要進行改動時應得到管理層授權;這些操作步驟應指明具體執行每個作業的指令,至少包括:指定需要處理和使用的信息;明確操作步驟,包括與其它系統的相互依賴性、操作起始和結束的時間;說明處理錯誤或其它異常情況的指令,系統出現故障時進行重新啟動和恢復的措施,以及在出現意外的操作或技術問題時需要技術支持的聯系方法;
第十六條 任何變更控制和設備重用必須經過申報和審批才能進行,同時還有以下要求:注意識別重大變更,并進行記錄;評估這些變更的潛在影響;向所有相關人員通報變更細節;明確中止變更并從失敗變更中恢復的責任和處理方法;重用設備中原有信息的清除;
對操作系統、數據庫、應用系統、人員、服務等的變更控制應制度化; 對信息系統的任何變更必須考慮全面安全事務一致性。
第十七條 在公眾網站、內部網站發布的信息,以及提供查詢的信息應符合國家有關政策法規的規定;對所公布的信息應采取適當的安全措施保護其完整性;應保護業務應用中的信息交換的安全性,防止欺詐、合同糾紛以及泄露或修改信息事件的發生;
第四章 運行維護管理
第十八條 運行維護管理的內容包括四個方面:日常運行安全管理、運行狀況監控、軟件硬件維護管理、外部服務方訪問管理。
第十九條 應通過正式授權程序委派專人負責系統運行的安全管理;應建立運行值班等有關安全規章制度;應正確實施為信息系統可靠運行而采取的各種檢測、監控、審計、分析、備份及容錯等方法和措施;應對運行安全進行監督檢查;應明確各個崗位人員對信息系統各類資源的安全責任;應明確信息系統安全管理人員和普通用戶對信息系統資源的訪問權限;按風險管理計劃和操作規程定期對信息系統的運行進行風險分析與評估,并向管理層提交正式的風險分析報告。
第二十條 所有的系統日志應保留一定期限,不能被改變,只允許授權用戶訪問;日志應有脫機保存的介質;信息系統應使用統一的時間,以確保記錄日志準確;日志應定期處理并產生報告;審計日志須經授權方可查閱;應告知用戶某些行為是會被審計的。第二十一條 應明確信息系統的軟件、硬件維護的人員和責任,規定維護的時限,以及設備更新和替換的管理辦法;制定有關軟件、硬件維修的制度;對需要外出維修的設備,應經過審批,磁盤數據應進行刪除;外部維修人員進入機房維修,應經過審批,并有專人負責陪同。
第二十二條 對外部服務方訪問的要求,應經過相應的申報和審批程序;應對外部服務方訪問建立相應的安全管理制度;外部服務方訪問應簽署保密合同;應對外部服務方訪問進行風險分析和評估;應對外部服務方訪問實施嚴格控制;應對外部服務方訪問實施監視。
第五章 外包服務管理
第二十三條 外包服務管理的內容包括三個方面:外包服務合同管理、外包服務商管理、外包服務的運行管理。
第二十四條 對由外部服務商承擔完成的外包服務,應簽署正式的書面合同,至少包括:對符合法律要求的說明,對外包服務的風險的說明,對外包服務合同各方的安全責任界定,對控制安全風險應采用的控制措施的說明,對外包服務風險發生時應采取措施的說明,對外包服務的期限、中止的條件和善后處理的事宜以及由此產生責任問題的說明,對審計人員權限的說明。
第二十五條 應選擇具有相應服務資質并信譽好的外包服務商;對較為重要的業務應用,應在行業認可或者是經過上級主管部門批準的范圍內,選擇具有相應服務資質并信譽好的可信的外包服務商;關鍵的或涉密的業務應用,一般不應采用外包服務方式。
第二十六條 對外包服務的業務應用系統運行的安全狀況應進行監控和檢查,應定期進行評估,出現問題應遵照合同規定及時處理和報告;當出現重大安全問題或隱患時應進行重新評估,提出改進意見,直至停止外包服務。
第六章 安全機制保障
第二十七條 安全機制保障的內容包括七個方面:身份鑒別機制管理、訪問控制機制管理、系統安全管理、網絡安全管理、應用系統安全管理、病毒防護管理、密碼管理。
第二十八條 對網絡、操作系統、數據庫系統等系統管理員和應用系統管理員以及普通用戶,應明確使用和保護身份鑒別機制的責任,采用不可偽造的鑒別 信息進行身份鑒別,采用有關身份鑒別和認證系統的管理維護措施;應指定安全管理人員定期進行檢查,鑒別信息應進行相應的保護。
第二十九條 應根據自主訪問控制機制的要求,由授權用戶為主、客體設置相應訪問的參數;應將自主訪問控制與審計密切結合,實現對自主訪問控制過程的審計,使訪問者必須為自己的行為負責;并保證最高管理層對自主訪問控制管理的掌握。
第三十條 應對操作系統和數據庫管理系統按其安全技術和機制的不同要求實施相應的安全管理;應通過正式授權程序委派專人負責系統安全管理;建立系統安全配置、備份等安全管理規章制度;按規章制度的要求及時進行補丁升級;
應進行日常安全管理,包括對用戶安全使用進行指導和審計等;
應根據訪問控制安全策略的要求,全面考慮和統一設置、維護用戶及主、客體的標記信息。
第三十一條 應對網絡按其安全技術和機制的不同要求實施相應的安全管理;應通過正式授權程序指定網絡安全管理人員;應按有關規程對網絡安全進行定期評估,不斷完善網絡安全策略,建立、健全網絡安全管理和配置的規章制度;
第三十二條 應對應用系統按其安全技術和機制的不同要求實施相應的安全管理;應通過正式授權程序委派專人負責應用系統的安全管理,應明確管理范圍、管理事務、管理規程,以及應用系統軟件的安全配置、備份等安全工作;
第三十三條 通過正式授權程序對病毒防護委派專人負責檢查網絡和主機的病毒檢測并保存記錄;使用外部移動存儲設備之前應進行病毒檢查;要求從不信任網絡上所接收的文件或郵件,在使用前應首先檢查是否有病毒;對非在線的內部計算機設備,以及外來或新增計算機做到入網前進行殺毒和補丁檢測;
第三十四條 應按國家密碼主管部門的規定,對信息系統中使用的密碼算法和密鑰進行管理;應按國家有關法律法規要求,對信息系統中包含密碼的軟、硬件信息處理模塊的進、出口進行管理;應按國家密碼主管部門的規定,對信息系統中以密碼為基礎的安全機制實施分等級管理。
第七章 安全集中管理
第三十五條 安全集中管理的內容包括三個方面:安全機制集中控管、安全信息集中管理、安全機制整合。第三十六條 安全機制集中控管要求能夠對信息系統所涉及的計算機、網絡以及應用系統的安全機制實施統一管理、統一監控、統一審計、協同防護,根據網絡結構,按照分布式多層次的管理結構,進行分層分級聯合方式的集中安全管理,發揮安全機制的整體作用,提高安全防護的等級和水平。
第三十七條 將信息系統所涉及的計算機、網絡以及應用系統的安全信息實施統一管理、綜合分析,發揮安全信息的整體作用;通過對關鍵區域安全信息的集中管理,應能夠對關鍵區域的安全信息的處理,采用相應的訪問控制和保護措施;根據核心區域安全信息的需要,通過對安全信息的集中管理,制定專項的安全控制和保護措施。
第三十八條 安全機制整合要求包括:資產信息管理、網絡異常流量監控、安全事件監控管理、脆弱性管理、安全策略管理、安全預警管理。
第八章 附則
第三十九條 本規定由單位信息安全領導小組負責解釋。
第四十條 違反本規定,發生信息安全事件的,按照事件造成的損失和后果,依據國家有關法律法規進行處罰。
第四十一條 本規定自發布之日起施行。
第三篇:信息安全等級保護監督檢查報告
信息安全等級保護監督檢查報告
接縣公安局文件后,我單位對本單位信息安全等級保護工作進行了自查
一、等級保護工作組織開展、實施情況:嚴格按照文件精神組織開始了信息安全等級保護自查工作,主要檢查對象為本單位維護的翼城政府網;安全責任落實情況:按照“誰主管誰負責,誰運營誰負責”的原則開展工作,我單位負責人為第一責任人,對翼城政府網信息安全負直接責任,并接受信息安全監管部門對開展等級保護工作的監管;信息系統安全崗位和安全管理人員設置情況:本單位負責人主管信息系統安全工作,有安全管理員兩名。
二、按照信息安全法律法規、標準規范的要求制定具體實施方案和落實情況:遵照有關法律法規,對翼城政府網遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度,對翼城政府網信息安全保護等級進行了自主定級。
三、信息系統定級備案情況,信息系統變化及定級備案變動情況:按照《關于開展全國重要信息系統安全等級保護定級工作的通知》(公通字?2007?861號),對本單位維護網站(翼城政府網)安全保護等級級別定位第二級。
四、信息安全設施建設情況和信息安全整改情況:鑒于
網站的性質,無信息安全設施。
五、信息安全管理制度建設和落實情況:制定了翼城政府網信息安全管理制度,按照“誰主管誰負責”的原則開展工作,我單位負責人為第一責任人,對翼城政府網信息安全管理負直接責任,并接受上級單位的監管。
六、信息安全保護技術措施建設和落實情況:對翼城政府網機房實施了24小時值班,操作系統、數據庫系統、防病毒系統、網站軟件系統實時升級,發現安全隱患,第一時間由技術人員解決。
七、選擇使用信息安全產品情況:翼城政府網使用了銳捷網絡的XXX產品。
八、聘請測評機構按規范要求開展技術測評工作情況,根據測評結果開展整改情況:暫無聘請測評機構開展技術測評工作。
九、自行定期開展自查情況:每半年對翼城政府網進行一次信息系統安全保護自查。
十、開展信息安全知識和技能培訓情況:主動學習信息安全法律法規,積極參加公安機關、上級主管部門組織的信息安全知識和技能培訓。
翼城縣網絡中心
2011年8月23日
第四篇:西安市信息系統安全等級保護
西安市信息系統安全等級保護
責
任
書
西安市公安局網安支隊印制
信息系統安全等級保護
責 任 書
甲方: 西安市公安局網安支隊
乙方:
為加強我市信息系統安全等級保護工作,保證信息系統安全,建設平安西安、和諧西安,依據《關于開展全國重要信息系統安全等級保護定級工作的通知》(公信安[2007]861號)文件精神和《信息安全等級保護管理辦法》相關規定,制定本責任書。
一、雙方職責及義務
(一)網安支隊
按照相關法律法規賦予的職能,認真履行以下職責及義務:
1、負責西安市非涉密、非密碼信息系統的安全等級保護工作;
2、負責對信息系統信息安全等級保護工作進行監督、檢查、指導。審核等級保護單位填寫的《信息系統安全等級保護備案表》,并對各單位提出定級建議;
3、負責對通過審核的信息系統進行備案管理。建立檔案,進行備案統計,并按照國家有關規定逐級上報;
4、負責監督、檢查各單位信息系統安全保護狀況。依據《信息安全等級保護管理辦法》規定組織運營、使用單位定期對信息系統安全等級狀況開展等級測評及自查工作。對測評及自查后發現問題的單位,下發整改通知,督促其制定整改方案,整改存在問題。必要時,對整改情況組織檢查;
5、負責督促從事信息系統安全等級測評的機構履行《信息安全等級保護管理辦法》規定的義務;
6、負責對信息系統備案通過審核、符合等級保護要求的單位頒發信息系統安全等級保護備案證明。
7、負責定期對等保單位安全員組織信息系統安全等級保護相關知識培訓。
(二)信息系統等級保護單位:
按照國家相關法律法規的規定,要認真履行以下職責及義務:
1、負責落實本單位及下屬單位開展信息系統安全等級保護工作;
2、在公安機關的指導下,負責對本單位的信息系統自定等級,如實填寫《信息系統安全等級保護備案表》和定級報告,到公安機關辦理備案手續。建立本單位信息系統等級保護工作領導小組,并及時向公安機關部門報告領導小組人員
變更調整情況;
3、負責落實本單位的信息系統安全等級保護措施。建立健全信息系統安全保護制度及措施,及時修訂信息系統安全應急方案,積極配合公安機關對本單位信息系統安全等級狀況開展測評,對測評后存在的問題及時出臺整改措施進行整改;
4、負責如實向公安機關提供開展等級保護工作所需要的所有文檔材料。
二、雙方負有的安全責任
(一)網安支隊
1、指導各單位落實信息系統安全保護制度,檢查各單位等級保護工作開展情況,做好信息系統安全等級保護備案工作。
2、審查等保評測機構資質,指導做好測評工作,努力減少系統漏洞。
3、查辦信息系統案件。
4、依據《信息安全等級保護管理辦法》,組織各單位、部門定期開展信息系統等級測評工作。
(二)信息系統安全等級保護單位
信息系統安全等級保護單位及相關人員,在公安機關指導下開展本單位信息系統安全保護工作。
1、要指定專人負責,制定并落實等保人防措施,不斷完
善等等保技術手段,確保信息系統平穩、安全運行。
2、配合公安機關組織開展的信息系統測評工作,根據測評情況及時認真實施整改。
3、制定信息系統應急預案,保證系統不間斷運行。
4、及時向公安機關報告本系統發生的問題,協助公安機關的查處工作。
5、做好本單位等保宣傳教育工作,確保信息系統安全。
三、本責任書未盡事宜,嚴格按照法律法規的規定執行。
本責任書自簽字蓋章后兩年內有效,一式兩份,雙方各執一份。
網安支隊領導簽字:
(單位蓋章)(單位蓋章)
年 月 日 年 月 日
信息系統安全等級保護
單位領導簽字:
第五篇:五、信息系統安全等級保護自查報告(范本)
某單位信息安全等級保護工作自查報告
為進一步做好某單位信息安全等級保護工作工作,提高全轄人民銀行系統信息安全保障能力和水平,根據《人民銀行長沙中心支行2012年信息安全等級保護工作方案》精神,結合我行實際,組織開展了信息安全等級保護自查工作。通過自查,進一步明確了我行信息安全等級保護工作職責,規范了信息安全等級保護工作標準,完善了信息安全等級保護工作制度,提升了信息安全等級保護工作水平。現將自查情況報告如下:
一、等級保護工作部署和組織實施情況
某單位在上級行的統一領導和部署下,按照《信息安全等級保護管理辦法》和《人民銀行信息系統信息安全等級保護實施指引(試行)》的要求,組織開展轄內人民銀行系統信息安全等級保護工作。一是成立了某單位信息安全等級保護工作領導小組,由主管科技的副行長任組長,各科室主要負責人為成員,全面負責全轄人民銀行系統信息安全等級保護工作,領導小組下設辦公室,安排專人負責計算機信息系統安全管理,明確了各自的職責。二是建立健全了各項信息安全管理制度,做到了有章可循。三是加強相關工作人員的培訓學習,增強信息系統安全工作的自覺性,提高信息系統安全工作管理水平。
二、信息系統安全保護等級備案情況
我行根據《人民銀行長沙中心支行2012年信息安全等級保護工作方案》精神,將《郴州中支業務網網絡系統》和《郴州中支財庫行橫向聯網系統》信息安全保護等級定為第二級,其他系統定為第一級,并將定為第二級的系統向市公安局網監支隊報備。
三、下一步工作計劃
目前,某單位信息安全等級保護工作正在不斷完善中,今后還需要在以下幾個方面不斷加強:一是進一步加強信息安全管理力度,督促各支行、各科室加強信息安全等級保護工作;二是加強網絡信息安全隊伍建設,提高網絡管理人員和維護人員的技術水平和安全管理意識;三是進一步完善信息安全管理制度,開展信息系統安全評估和自測評;四是規范和完善安全事件處理流程。
人民銀行郴州市中心支行 科技科
2012年8月2日
點擊咨詢 