第一篇：機房安全等級和分區保護

第十八條機房安全等級和分區保護：

（一）市級聯社的主機房定為Ｃ級；重要業務系統的微機房定為Ｄ級；縣聯社管理的機房定為Ｄ級。

（二）機房內部劃分為核心區、生產區、輔助區，各區之間應為物理割斷。Ｃ級機房劃分為核心區和輔助區；Ｄ級機房劃分為生產區和輔助區。

●核心區是指安裝有主計算機、主通信機、網絡通信及控制設備、磁盤機、光盤機等數據存儲設備、數據存儲介質庫、系統操作室等機房要害區域。允許計算機安全管理員、系統管理員或系統值班員等兩人以上同時進出，其他人員進入核心區須經部門領導批準并由以上人員之一全程陪同；

●生產區是指信用社業務前端設備操作室、打印機室、數據資料室、介質交接室、運行值班室等金融業務運作區域和各部門或縣級聯社的微機房。允許經業務部門領導批準的業務操作人員進出，系統開發人員不得進入生產區；維護人員進出須有業務操作人員陪同。在非工作時間進入生產區，必須經主管領導批準，至少有兩人同行；

●輔助區劃分為三類：第一類包括供電設備用房，如配電室、不間斷電源（ＵＰＳ）室、發電機室等；第二類包括消防、空調設備用房，如火警監控室、空調監控室等；第三類包括機房工作人員共用房間，如辦公室、衛生間等。允許從事該項工作的人員進出。

第二篇：等級保護-中心機房管理制度

Iyunke信息化管理制度

中心機房管理制度

為科學、有效地管理中心機房，保證網絡系統安全、高效運行和使用，結合本局網絡結構及運行情況，特制定如下制度，請遵照執行。

一、機房日常管理

1.管理目標是保證中心機房設備與信息的安全，保障機房具有良好的運行環境和工作環境。

2.機房日常管理指定專人負責。

3.機房鑰匙要嚴格保管，不得隨意轉借，一旦丟失要及時報告并積極尋找，并采取有效措施予以補救。

4.無關人員未經批準不得進入機房，更不得動用機房設備、物品和資料，確因工作需要，相關人員需要進入機房操作必須經過批準方可在管理人員的指導或協同下進行。

5.機房應保持清潔、衛生，溫度、濕度適可，機房內嚴禁吸煙，嚴禁攜帶無關物品尤其是易燃、易爆物品及其他危險品進入機房。

6.消防物品要放在指定位置，任何人不得隨意挪動；機房工作人員要掌握防火技能，定期檢查消防設施是否正常。出現異常情況應立即采取切斷電源、報警、使用滅火設備等正確方式予以處理。

7.硬件設備要注意維護和保養，做到設備物卡相符、設備使

Iyunke信息化管理制度

用狀態記錄完整。

8.建立機房登記制度，對本地局域網、廣域網的運行情況建立檔案。未發生故障或故障隱患時，網管人員不可對中繼、光纖、網線及各種設備進行任何調試，對所發生的故障、處理過程和結果等要做好詳細記錄。

9.網管人員應做好網絡安全工作，嚴格保密服務器的各種帳號，監控網絡上的數據流，從中檢測出攻擊的行為并給予響應和處理。

10.網管人員要對數據實施嚴格的安全與保密管理，防止系統數據的非法生成、變更、泄露、丟失及破壞。網管人員應在數據庫的系統認證、系統授權、系統完整性、補丁和修正程序方面實時修改。

二、設備管理

1.網管人員對各種網絡設備的使用需按操作程序或使用說明書進行。

2.經常對硬件設備進行檢查、測試和修理，確保其運行完好。3.所有貴重設備均由專人保管，專人使用，不得外借或由非專業人員單獨操作。

4.中心機房的所有設備未經許可一律不得挪用和外借，特殊情況經批準后辦理借用手續，借用期間如有損壞由借用單位或使用人員負責賠償。

5.硬件設備發生損壞、丟失等事故，應及時上報，填寫報告

Iyunke信息化管理制度

單并按有關規定處理。

6.中心機房及其附屬設備的管理（登記）與維修由網管人員負責。設備管理人員每半年要核準一次設備登記情況。

7.中心機房主機（系統服務器）、網絡服務器及其外圍設備由網管人員每周進行一次例行檢查和維護，尤其是設備供電、運行狀態是否正常等要時常檢查和維護。

三、系統軟件、應用軟件管理

1.軟件要定期進行系統維護與備份，備份至少保持一式兩套，并存放在溫度濕度適宜的磁介質庫存中。

2.應用軟件、應用數據應根據運行頻率進行定期或不定期的備份工作，備份軟件和數據亦應存放于的磁介質庫存中。

3.應用軟件的源程序除了在磁介質上備份以外，網管員應自己進行備份，以防應用程序發生意外，難以恢復。

4.為了便于對系統軟件進行應用與管理，機房中須備有與系統軟件有關的使用手冊和各種指南等資料，以便維護人員查閱。其資料未經許可，任何人不得拿出機房。

5.應用軟件人員應將項目的調研資料、各階段的設計說明書、圖表、源程序、應用系統運行流程圖等進行分類歸檔，以便查閱。

6.當應用軟件修改時，具體的功能修改、邏輯修改、程序變動等，都應有相應的文檔記錄，以備查閱。

7.為確保軟件系統的安全，磁介質除了應有專人管理外，還

Iyunke信息化管理制度

應配備防火器具，確立防磁、防靜電、防灰塵等有效措施（建筑上保證），磁介質保管要明確責任，遵守出入庫制度。

四、計算機病毒防范管理

1.網管人員應有較強的病毒防范意識，定期進行病毒檢測（特別是服務器），發現病毒應立即處理。

2.采用國家許可的正版防病毒軟件并及時更新軟件版本。3.未經領導許可，網管人員不得在服務器上安裝新軟件，若確實需要安裝，安裝前應進行病毒例行檢測。

4.經遠程通信傳送的程序或數據，必須經過檢測確認無病毒后方可使用。

五、數據保密及數據備份

1.根據數據的保密規定和用途，確定使用人員的存取權限、存取方式和審批手續。

2.禁止泄露、外借和轉移專業數據信息。3.未經批準不得隨意更改業務數據。

4.網管人員制作數據的備份要異地存放，確保系統一旦發生故障時能夠快速恢復，備份數據不得更改。

5.業務數據必須定期、完整、真實、準確地轉儲到不可更改的介質上，并要求集中和異地保存，保存期限至少2年。

6.備份的數據由網管人員負責保管，備份的數據應在指定的數據保管室或指定的場所保管。

7.備份數據資料保管地點應有防火、防熱、防潮、防塵、防

Iyunke信息化管理制度

磁、防盜設施。

六、安全檢查管理

1.中心機房安全是關系到行業安全的一件大事，是保證各個業務系統正常工作的前提條件，因此必須堅持定期安全檢查。

2.中心機房自檢每年進行一次，且須認真做好檢查記錄。3.對檢查中發現的問題將進行限期整改。

附1：網絡管理員職責

1.主要負責全市網絡（包含局域網、廣域網、城域網）的系統安全性及正常運行。

2.負責日常操作系統、網管系統、郵件系統的安全補丁、漏洞檢測及修補、病毒防治等工作。

3.應經常保持對最新技術的掌握，實時了解INTERNET的動向，做到病毒預防為主。

4.良好周密的日志記錄以及細致的分析是預測攻擊，定位攻擊，以及遭受攻擊后追查攻擊者的有力武器。察覺到網絡處于被攻擊狀態后，網管員應確定其身份，并對其發出警告，提前制止可能的網絡犯罪，若對方不聽勸告，在保護系統安全的情況下可做善意阻擊并向主管領導匯報。

5.對機房進行管理，嚴格按照機房制度執行日常維護。6.每月管理人員應向主管領導提交當月值班及事件記錄，并對系統記錄文件保存收檔，以備查閱。具體文件及方法見附

Iyunke信息化管理制度

件。

7.嚴格控制進入機房人員，不允許私自帶他人入內。8.要定期檢查機房及各種安全設備，做好記錄確保安全。9.對機房各種設備均應建立技術檔案，認真填寫、妥善保管登記備案。

10.定期對機器進行維護，保證機器正常運行。

11.負責對門、窗、燈、電源、機器的安全情況進行全面檢查、管理，全面保證機房的安全無誤。

12.搞好機房衛生，保持一個良好的環境。

13.不允許私自將機房內的設備、工具、部件等帶出機房，借物須辦理借物手續。

14.對因責任心不強而造成事故和嚴重后果的，要追究責任。

附2：計算機使用和管理制度

信息中心電腦管理和維護由專職管理人員負責，并完整保存計算機及其相關設備的驅動程序、保修卡及重要隨機文件。

1.未經許可，不準隨便動用電腦設備。

2.未經許可，任何人不準更換電腦硬件和軟件，拒絕使用來歷不明的軟件和光盤。

3.嚴格按規定程序開啟和關閉電腦系統。(1)開機流程：

Iyunke信息化管理制度

接通電源→打開顯示器、打印機等外設→開通電腦主機→按顯示菜單提示，鍵入規定口令或密碼→在權限內對工作任務進行操作。

(2)關機流程：

退出應用程序、各個子目錄→關斷主機→關閉顯示器、打印機等外設→切斷電源。

4.使用人員如發現計算機系統運行異常應及時與管理員聯系，非專業管理人員不得擅自拆開計算機調換設備配件。

5.外請人員對電腦進行維修時，單位應有人自始至終地陪同，電腦維修維護過程中，首先確保對單位信息進行拷貝，防止遺失。

6.凡因個人使用不當所造成的電腦維護費用和損失，使用者是否賠償由單位視情決定。

7.計算機及其相關設備的報廢需經過本局辦公室或專職人員鑒定，確認不符合使用要求后方可申請報廢。

Iyunke信息化管理制度

本制度提供各單位專門用于機房內部，作為機房工作人員的日常行為規范。

一、機房人員日常行為準則

1、必須注意環境衛生。禁止在機房、辦公室內吃食物、抽煙、隨地吐痰；對于意外或工作過程中弄污機房地板和其它物品的，必須及時采取措施清理干凈，保持機房無塵潔凈環境。

2、必須注意個人衛生。工作人員儀表、穿著要整齊、談吐文雅、舉止大方。

3、機房用品要各歸其位，不能隨意亂放。

4、機房應安排人員值日，負責機房的日常整理和行為督導。

5、進出機房必須換鞋，雨具、鞋具等物品要按位擺放整齊。

6、注意檢查機房的防曬、防水、防潮，維持機房環境通爽，注意天氣對機房的影響，下雨天時應及時主動檢查和關閉窗戶、檢查去水通風等設施。

7、機房內部不應大聲喧嘩、注意噪音/音響音量控制、保持安靜的工作環境。

8、堅持每天下班之前將桌面收拾干凈、物品擺放整齊。

二、機房保安制度

1、出入機房應注意鎖好防盜門。對于有客人進出機房，機房相關的工作人員應負責該客人的安全防范工作。最后離開機房的人員必須自覺檢查和關閉所有機房門窗、鎖定防盜裝置。應主動拒絕陌生人進出機房。

2、工作人員離開工作區域前，應保證工作區域內保存的重要文件、資料、設備、數據處于安全保護狀態。如檢查并鎖上自己工作柜枱、鎖定工作電腦、并將桌面重要資料和數據妥善保存等等。

3、工作人員、到訪人員出入應登記。

4、外來人員進入必須有專門的工作人員全面負責其行為安全。

5、未經主管領導批準，禁止將機房相關的鑰匙、保安密碼等物品和信息外借或透露給其它人員，同時有責任對保安信息保密。對于遺失鑰匙、泄露保安信息的情況要即時上報，并積極主動采取措施保證機房安全。

6、機房人員對機房保安制度上的漏洞和不完善的地方有責任及時提出改善建議。

Iyunke信息化管理制度

7、禁止帶領與機房工作無關的人員進出機房。

8、絕不允許與機房工作無關的人員直接或間接操縱機房任何設備。

9、出現機房盜竊、破門、火警、水浸、110報警等嚴重事件時，機房工作人員有義務以最快的速度和最短的時間到達現場，協助處理相關的事件。

三、機房用電安全制度

1、機房人員應學習常規的用電安全操作和知識，了解機房內部的供電、用電設施的操作規程。

2、機房人員應經常實習、掌握機房用電應急處理步驟、措施和要領。

3、機房應安排有專業資質的人員定期檢查供電、用電設備、設施。

4、不得亂拉亂接電線，應選用安全、有保證的供電、用電器材。

5、在真正接通設備電源之前必須先檢查線路、接頭是否安全連接以及設備是否已經就緒、人員是否已經具備安全保護。

6、嚴禁隨意對設備斷電、更改設備供電線路，嚴禁隨意串接、并接、搭接各種供電線路。

7、如發現用電安全隱患，應即時采取措施解決，不能解決的必須及時向相關負責人員提出解決。

8、機房人員對個人用電安全負責。外來人員需要用電的，必須得到機房管理人員允許，并使用安全和對機房設備影響最少的供電方式。

9、機房工作人員需要離開當前用電工作環境，應檢查并保證工作環境的用電安全。

10、最后離開機房的工作人員，應檢查所有用電設備，應關閉長時間帶電運作可能會產生嚴重后果的用電設備。

11、禁止在無人看管下在機房中使用高溫、熾熱、產生火花的用電設備。

12、在使用功率超過特定瓦數的用電設備前，必須得到上級主管批準，并在保證線路保險的基礎上使用。

Iyunke信息化管理制度

13、在危險性高的位置應張貼相應的安全操作方法、警示以及指引，實際操作時應嚴格執行。

14、在外部供電系統停電時，機房工作人員應全力配合完成停電應急工作。

15、應注意節約用電。

四、機房消防安全制度

1、機房工作人員應熟悉機房內部消防安全操作和規則，了解消防設備操作原理、掌握消防應急處理步驟、措施和要領。

2、任何人不能隨意更改消防系統工作狀態、設備位置。需要變更消防系統工作狀態和設備位置的，必須取得主管領導批準。工作人員更應保護消防設備不被破壞。

3、應定期進行消防演習、消防常識培訓、消防設備使用培訓。

4、如發現消防安全隱患，應即時采取措施解決，不能解決的應及時向相關負責人員提出解決。

5、應嚴格遵守張貼于相應位置的操作和安全警示及指引。

6、最后離開的機房工作人員，應檢查消防設備的工作狀態，關閉將會帶來消防隱患的設備，采取措施保證無人狀態下的消防安全。

五、機房用水制度

1、禁止將供水管道和設施安裝在機房內。

2、應格遵守張貼于相應位置的安全操作、警示以及安全指引。

六、機房硬件設備安全使用制度

1、機房人員必須熟知機房內設備的基本安全操作和規則。

2、應定期檢查、整理硬件物理連接線路，定期檢查硬件運作狀態（如設備指示燈、儀表），定期調閱硬件運作自檢報告，從而及時了解硬件運作狀態。

3、禁止隨意搬動設備、隨意在設備上進行安裝、拆卸硬件、或隨意更改設備連線、禁止隨意進行硬件復位。

Iyunke信息化管理制度

4、禁止在服務器上進行試驗性質的配置操作，需要對服務器進行配置，應在其它可進行試驗的機器上調試通過并確認可行后，才能對服務器進行準確的配置。

5、對會影響到全局的硬件設備的更改、調試等操作應預先發布通知，并且應有充分的時間、方案、人員準備，才能進行硬件設備的更改。

6、對重大設備配置的更改，必須首先形成方案文件，經過討論確認可行后，由具備資格的技術人員進行更改和調整，并應做好詳細的更改和操作記錄。對設備的更改、升級、配置等操作之前，應對更改、升級、配置所帶來的負面后果做好充分的準備，必要時需要先準備好后備配件和應急措施。

7、不允許任何人在服務器、交換設備等核心設備上進行與工作范圍無關的任何操作。未經上級允許，更不允許他人操作機房內部的設備，對于核心服務器和設備的調整配置，更需要小組人員的共同同意后才能進行。

8、要注意和落實硬件設備的維護保養措施。

七、軟件安全使用制度

1、必須定期檢查軟件的運行狀況、定期調閱軟件運行日志記錄，進行數據和軟件日志備份。

2、禁止在服務器上進行試驗性質的軟件調試，禁止在服務器隨意安裝軟件。需要對服務器進行配置，必須在其它可進行試驗的機器上調試通過并確認可行后，才能對服務器進行準確的配置。

3、對會影響到全局的軟件更改、調試等操作應先發布通知，并且應有充分的時間、方案、人員準備，才能進行軟件配置的更改。

4、對重大軟件配置的更改，應先形成方案文件，經過討論確認可行后，由具備資格的技術人員進行更改，并應做好詳細的更改和操作記錄。對軟件的更改、升級、配置等操作之前，應對更改、升級、配置所帶來的負面后果做好充分的準備，必要時需要先備份原有軟件系統和落實好應急措施。

5、不允許任何人員在服務器等核心設備上進行與工作范圍無關的軟件調試和操作。未經上級允許，不允許帶領、指示他人進入機房、對網絡及軟件環境進行更改和操作。

6、應嚴格遵守張貼于相應位置的安全操作、警示以及安全指引。

八、機房資料、文檔和數據安全制度

1、資料、文檔、數據等必須有效組織、整理和歸檔備案。

Iyunke信息化管理制度

2、禁止任何人員將機房內的資料、文檔、數據、配置參數等信息擅自以任何形式提供給其它無關人員或向外隨意傳播。

3、對于牽涉到網絡安全、數據安全的重要信息、密碼、資料、文檔等等必須妥善存放。外來工作人員的確需要翻閱文檔、資料或者查詢相關數據的，應由機房相關負責人代為查閱，并只能向其提供與其當前工作內容相關的數據或資料。

4、重要資料、文檔、數據應采取對應的技術手段進行加密、存儲和備份。對于加密的數據應保證其可還原性，防止遺失重要數據。

九、機房財產登記和保護制度

1、機房的日常物品、設備、消耗品等必須有清晰的數量、型號登記記錄，對于公共使用的物品和重要設備，必須建立一套較為完善的借取和歸還制度進行管理。

2、機房工作人員應有義務安全和小心使用機房的任何設備、儀器等物品，在使用完畢后，應將物品歸還并存放于原處，不應隨意擺放。

3、對于使用過程中損壞、消耗、遺失的物品應匯報登記，并對責任人追究相關責任。

4、未經主管領導同意，不允許向他人外借或提供機房設備和物品。

十、團隊精神和相互協作

1、機房工作小組人員應樹立團隊協作精神。

2、任何將要發生的給其他人員工作和安排產生影響的事情，或需要與其他工作人員互相協調的事情，應先提出和協調一致，禁止個人獨斷獨行的作風。

3、工作分工要明確，責任要到位、工作計劃要清晰，工作總結要具體。

4、小組人員有義務服從工作安排，并有義務對工作安排提出更加合理化建議和意見。

5、營造民主協作的工作環境，任何人員有權利和義務組織、聯絡其他小組成員、主管領導等展開討論、開展會議、及時反映問題、做到相互溝通、協同工作。

第三篇：信息安全等級保護

信息安全等級保護(二級)信息安全等級保護(二級)備注：其中黑色字體為信息安全等級保護第二級系統要求，藍色字體為第三級系統等保要求。

一、物理安全

1、應具有機房和辦公場地的設計/驗收文檔（機房場地的選址說明、地線連接要求的描述、建筑材料具有相應的耐火等級說明、接地防靜電措施）

2、應具有有來訪人員進入機房的申請、審批記錄；來訪人員進入機房的登記記錄

3、應配置電子門禁系統(三級明確要求)；電子門禁系統有驗收文檔或產品安全認證資質，電子門禁系統運行和維護記錄

4、主要設備或設備的主要部件上應設置明顯的不易除去的標記

5、介質有分類標識；介質分類存放在介質庫或檔案室內，磁介質、紙介質等分類存放

6、應具有攝像、傳感等監控報警系統；機房防盜報警設施的安全資質材料、安裝測試和驗收報告；機房防盜報警系統的運行記錄、定期檢查和維護記錄；

7、應具有機房監控報警設施的安全資質材料、安裝測試和驗收報告；機房監控報警系統的運行記錄、定期檢查和維護記錄

8、應具有機房建筑的避雷裝置；通過驗收或國家有關部門的技術檢測；

9、應在電源和信號線上增加有資質的防雷保安器；具有防雷檢測資質的檢測部門對防雷裝置的檢測報告

10、應具有自動檢測火情、自動報警、自動滅火的自動消防系統；自動消防系統的運行記錄、檢查和定期維護記錄；消防產品有效期合格；自動消防系統是經消防檢測部門檢測合格的產品

11、應具有除濕裝置；空調機和加濕器；溫濕度定期檢查和維護記錄

12、應具有水敏感的檢測儀表或元件；對機房進行防水檢測和報警；防水檢測裝置的運行記錄、定期檢查和維護記錄

13、應具有溫濕度自動調節設施；溫濕度自動調節設施的運行記錄、定期檢查和維護記錄

14、應具有短期備用電力供應設備（如UPS）；短期備用電力供應設備的運行記錄、定期檢查和維護記錄

15、應具有冗余或并行的電力電纜線路（如雙路供電方式）

16、應具有備用供電系統（如備用發電機）；備用供電系統運行記錄、定期檢查和維護記錄

二、安全管理制度

1、應具有對重要管理操作的操作規程，如系統維護手冊和用戶操作規程

2、應具有安全管理制度的制定程序：

3、應具有專門的部門或人員負責安全管理制度的制定（發布制度具有統一的格式，并進行版本控制）

4、應對制定的安全管理制度進行論證和審定，論證和審定方式如何（如召開評審會、函審、內部審核等），應具有管理制度評審記錄

5、應具有安全管理制度的收發登記記錄，收發應通過正式、有效的方式（如正式發文、領導簽署和單位蓋章等）----安全管理制度應注明發布范圍，并對收發文進行登記。

6、信息安全領導小組定期對安全管理制度體系的合理性和適用性進行審定，審定周期多長。（安全管理制度體系的評審記錄）

7、系統發生重大安全事故、出現新的安全漏洞以及技術基礎結構和組織結構等發生變更時應對安全管理制度進行檢查，對需要改進的制度進行修訂。（應具有安全管理制度修訂記錄）

三、安全管理機構

1、應設立信息安全管理工作的職能部門

2、應設立安全主管、安全管理各個方面的負責人

3、應設立機房管理員、系統管理員、網絡管理員、安全管理員等重要崗位（分工明確，各司其職），數量情況（管理人員名單、崗位與人員對應關系表）

4、安全管理員應是專職人員

5、關鍵事物需要配備2人或2人以上共同管理，人員具體配備情況如何。

6、應設立指導和管理信息安全工作的委員會或領導小組（最高領導是否由單位主管領導委任或授權的人員擔任）

7、應對重要信息系統活動進行審批（如系統變更、重要操作、物理訪問和系統接入、重要管理制度的制定和發布、人員的配備和培訓、產品的采購、外部人員的訪問等），審批部門是何部門，審批人是何人。審批程序：

8、應與其它部門之間及內部各部門管理人員定期進行溝通（信息安全領導小組或者安全管理委員會應定期召開會議）

9、應組織內部機構之間以及信息安全職能部門內部的安全工作會議文件或會議記錄，定期：

10、信息安全管理委員會或領導小組安全管理工作執行情況的文件或工作記錄（如會議記錄/紀要，信息安全工作決策文檔等）

11、應與公安機關、電信公司和兄弟單位等的溝通合作（外聯單位聯系列表）

12、應與供應商、業界專家、專業的安全公司、安全組織等建立溝通、合作機制。

13、聘請信息安全專家作為常年的安全顧問（具有安全顧問名單或者聘請安全顧問的證明文件、具有安全顧問參與評審的文檔或記錄）

14、應組織人員定期對信息系統進行安全檢查（查看檢查內容是否包括系統日常運行、系統漏洞和數據備份等情況）

15、應定期進行全面安全檢查（安全檢查是否包含現行技術措施有效性和管理制度執行情況等方面、具有安全檢查表格，安全檢查報告，檢查結果通告記錄）

四、人員安全管理

1、何部門/何人負責安全管理和技術人員的錄用工作（錄用過程）

2、應對被錄用人的身份、背景、專業資格和資質進行審查，對技術人員的技術技能進行考核，技能考核文檔或記錄

3、應與錄用后的技術人員簽署保密協議（協議中有保密范圍、保密責任、違約責任、協議的有效期限和責任人的簽字等內容）

4、應設定關鍵崗位，對從事關鍵崗位的人員是否從內部人員中選拔，是否要求其簽署崗位安全協議。

5、應及時終止離崗人員的所有訪問權限（離崗人員所有訪問權限終止的記錄）

6、應及時取回離崗人員的各種身份證件、鑰匙、徽章等以及機構提供的軟硬件設備等（交還身份證件和設備等的登記記錄）

7、人員離崗應辦理調離手續，是否要求關鍵崗位調離人員承諾相關保密義務后方可離開（具有按照離崗程序辦理調離手續的記錄，調離人員的簽字）

8、對各個崗位人員應定期進行安全技能考核；具有安全技能考核記錄，考核內容要求包含安全知識、安全技能等。

9、對關鍵崗位人員的安全審查和考核與一般崗位人員有何不同，審查內容是否包括操作行為和社會關系等。

10、應對各類人員（普通用戶、運維人員、單位領導等）進行安全教育、崗位技能和安全技術培訓。

11、應針對不同崗位制定不同的培訓計劃，并按照計劃對各個崗位人員進行安全教育和培訓（安全教育和培訓的結果記錄，記錄應與培訓計劃一致）

12、外部人員進入條件（對哪些重要區域的訪問須提出書面申請批準后方可進入），外部人員進入的訪問控制（由專人全程陪同或監督等）

13、應具有外部人員訪問重要區域的書面申請

14、應具有外部人員訪問重要區域的登記記錄（記錄描述了外部人員訪問重要區域的進入時間、離開時間、訪問區域、訪問設備或信息及陪同人等）

五、系統建設管理

1、應明確信息系統的邊界和安全保護等級（具有定級文檔，明確信息系統安全保護等級）

2、應具有系統建設/整改方案

3、應授權專門的部門對信息系統的安全建設進行總體規劃，由何部門/何人負責

4、應具有系統的安全建設工作計劃（系統安全建設工作計劃中明確了近期和遠期的安全建設計劃）

5、應組織相關部門和有關安全技術專家對總體安全策略、安全技術框架、安全管理策略等相關配套文件進行論證和審定（配套文件的論證評審記錄或文檔）

6、應對總體安全策略、安全技術框架、安全管理策略等相關配套文件應定期進行調整和修訂

7、應具有總體安全策略、安全技術框架、安全管理策略、總體建設規劃、詳細設計方案等相關配套文件的維護記錄或修訂版本

8、應按照國家的相關規定進行采購和使用系統信息安全產品

9、安全產品的相關憑證，如銷售許可等，應使用符合國家有關規定產品

10、應具有專門的部門負責產品的采購

11、采購產品前應預先對產品進行選型測試確定產品的候選范圍，形成候選產品清單，是否定期審定和更新候選產品名單

12、應具有產品選型測試結果記錄和候選產品名單及更新記錄（產品選型測試結果文檔）

13、應具有軟件設計相關文檔，專人保管軟件設計的相關文檔，應具有軟件使用指南或操作手冊

14、對程序資源庫的修改、更新、發布應進行授權和批準

15、應具有程序資源庫的修改、更新、發布文檔或記錄

16、軟件交付前應依據開發協議的技術指標對軟件功能和性能等進行驗收檢測

17、軟件安裝之前應檢測軟件中的惡意代碼（該軟件包的惡意代碼檢測報告），檢測工具是否是第三方的商業產品

18、應具有軟件設計的相關文檔和使用指南

19、應具有需求分析說明書、軟件設計說明書、軟件操作手冊等開發文檔

20、應指定專門部門或人員按照工程實施方案的要求對工程實施過程進行進度和質量控制

21、應具有工程實施過程應按照實施方案形成各種文檔，如階段性工程進程匯報報告，工程實施方案

22、在信息系統正式運行前，應委托第三方測試機構根據設計方案或合同要求對信息系統進行獨立的安全性測試（第三方測試機構出示的系統安全性測試驗收報告）

23、應具有工程測試驗收方案（測試驗收方案與設計方案或合同要求內容一致）

24、應具有測試驗收報告

25、應指定專門部門負責測試驗收工作（具有對系統測試驗收報告進行審定的意見）

26、根據交付清單對所交接的設備、文檔、軟件等進行清點（系統交付清單）

27、應具有系統交付時的技術培訓記錄

28、應具有系統建設文檔（如系統建設方案）、指導用戶進行系統運維的文檔（如服務器操作規程書）以及系統培訓手冊等文檔。

29、應指定部門負責系統交付工作

30、應具有與產品供應商、軟件開發商、系統集成商、系統運維商和等級測評機構等相關安全服務商簽訂的協議（文檔中有保密范圍、安全責任、違約責任、協議的有效期限和責任人的簽字等內容

31、選定的安全服務商應提供一定的技術培訓和服務

32、應與安全服務商簽訂的服務合同或安全責任合同書

11、采購產品前應預先對產品進行選型測試確定產品的候選范圍，形成候選產品清單，是否定期審定和更新候選產品名單

12、應具有產品選型測試結果記錄和候選產品名單及更新記錄（產品選型測試結果文檔）

13、應具有軟件設計相關文檔，專人保管軟件設計的相關文檔，應具有軟件使用指南或操作手冊

14、對程序資源庫的修改、更新、發布應進行授權和批準

15、應具有程序資源庫的修改、更新、發布文檔或記錄

16、軟件交付前應依據開發協議的技術指標對軟件功能和性能等進行驗收檢測

17、軟件安裝之前應檢測軟件中的惡意代碼（該軟件包的惡意代碼檢測報告），檢測工具是否是第三方的商業產品

18、應具有軟件設計的相關文檔和使用指南

19、應具有需求分析說明書、軟件設計說明書、軟件操作手冊等開發文檔

20、應指定專門部門或人員按照工程實施方案的要求對工程實施過程進行進度和質量控制

21、應具有工程實施過程應按照實施方案形成各種文檔，如階段性工程進程匯報報告，工程實施方案

22、在信息系統正式運行前，應委托第三方測試機構根據設計方案或合同要求對信息系統進行獨立的安全性測試（第三方測試機構出示的系統安全性測試驗收報告）

23、應具有工程測試驗收方案（測試驗收方案與設計方案或合同要求內容一致）

24、應具有測試驗收報告

25、應指定專門部門負責測試驗收工作（具有對系統測試驗收報告進行審定的意見）

26、根據交付清單對所交接的設備、文檔、軟件等進行清點（系統交付清單）

27、應具有系統交付時的技術培訓記錄

28、應具有系統建設文檔（如系統建設方案）、指導用戶進行系統運維的文檔（如服務器操作規程書）以及系統培訓手冊等文檔。

29、應指定部門負責系統交付工作

30、應具有與產品供應商、軟件開發商、系統集成商、系統運維商和等級測評機構等相關安全服務商簽訂的協議（文檔中有保密范圍、安全責任、違約責任、協議的有效期限和責任人的簽字等內容

31、選定的安全服務商應提供一定的技術培訓和服務

32、應與安全服務商簽訂的服務合同或安全責任合同書

六、系統運維管理

1、應指定專人或部門對機房的基本設施（如空調、供配電設備等）進行定期維護，由何部門/何人負責。

2、應具有機房基礎設施的維護記錄，空調、溫濕度控制等機房設施定期維護保養的記錄

3、應指定部門和人員負責機房安全管理工作

4、應對辦公環境保密性進行管理（工作人員離開座位確保終端計算機退出登錄狀態、桌面上沒有包含敏感信息的紙檔文件）

5、應具有資產清單（覆蓋資產責任人、所屬級別、所處位置、所處部門等方面）

6、應指定資產管理的責任部門或人員

7、應依據資產的重要程度對資產進行標識

8、介質存放于何種環境中，應對存放環境實施專人管理（介質存放在安全的環境（防潮、防盜、防火、防磁，專用存儲空間））

9、應具有介質使用管理記錄，應記錄介質歸檔和使用等情況（介質存放、使用管理記錄）

10、對介質的物理傳輸過程應要求選擇可靠傳輸人員、嚴格介質的打包（如采用防拆包裝置）、選擇安全的物理傳輸途徑、雙方在場交付等環節的控制

11、應對介質的使用情況進行登記管理，并定期盤點（介質歸檔和查詢的記錄、存檔介質定期盤點的記錄）

12、對送出維修或銷毀的介質如何管理，銷毀前應對數據進行凈化處理。（對帶出工作環境的存儲介質是否進行內容加密并有領導批準。對保密性較高的介質銷毀前是否有領導批準）（送修記錄、帶出記錄、銷毀記錄）

13、應對某些重要介質實行異地存儲，異地存儲環境是否與本地環境相同（防潮、防盜、防火、防磁，專用存儲空間）

14、介質上應具有分類的標識或標簽

15、應對各類設施、設備指定專人或專門部門進行定期維護。

16、應具有設備操作手冊

17、應對帶離機房的信息處理設備經過審批流程，由何人審批（審批記錄）

18、應監控主機、網絡設備和應用系統的運行狀況等

19、應有相關網絡監控系統或技術措施能夠對通信線路、主機、網絡設備和應用軟件的運行狀況、網絡流量、用戶行為等進行監測和報警

20、應具有日常運維的監控日志記錄和運維交接日志記錄

21、應定期對監控記錄進行分析、評審

22、應具有異?，F象的現場處理記錄和事后相關的分析報告

23、應建立安全管理中心，對設備狀態、惡意代碼、補丁升級、安全審計等相關事項進行集中管理

24、應指定專人負責維護網絡安全管理工作

25、應對網絡設備進行過升級，更新前應對現有的重要文件是否進行備份（網絡設備運維維護工作記錄）

26、應對網絡進行過漏洞掃描，并對發現的漏洞進行及時修補。

27、對設備的安全配置應遵循最小服務原則，應對配置文件進行備份（具有網絡設備配置數據的離線備份）

28、系統網絡的外聯種類（互聯網、合作伙伴企業網、上級部門網絡等）應都得到授權與批準，由何人/何部門批準。應定期檢查違規聯網的行為。

29、對便攜式和移動式設備的網絡接入應進行限制管理

30、應具有內部網絡外聯的授權批準書，應具有網絡違規行為（如撥號上網等）的檢查手段和工具。

31、在安裝系統補丁程序前應經過測試，并對重要文件進行備份。

32、應有補丁測試記錄和系統補丁安裝操作記錄

33、應對系統管理員用戶進行分類（比如：劃分不同的管理角色，系統管理權限與安全審計權限分離等）

34、審計員應定期對系統審計日志進行分析（有定期對系統運行日志和審計數據的分析報告）

35、應對員工進行基本惡意代碼防范意識的教育，如告知應及時升級軟件版本（對員工的惡意代碼防范教育的相關培訓文檔）

36、應指定專人對惡意代碼進行檢測，并保存記錄。

37、應具有對網絡和主機進行惡意代碼檢測的記錄

38、應對惡意代碼庫的升級情況進行記錄（代碼庫的升級記錄），對各類防病毒產品上截獲的惡意代碼是否進行分析并匯總上報。是否出現過大規模的病毒事件，如何處理

39、應具有惡意代碼檢測記錄、惡意代碼庫升級記錄和分析報告 40、應具有變更方案評審記錄和變更過程記錄文檔。

41、重要系統的變更申請書，應具有主管領導的批準

42、系統管理員、數據庫管理員和網絡管理員應識別需定期備份的業務信息、系統數據及軟件系統（備份文件記錄）

43、應定期執行恢復程序，檢查和測試備份介質的有效性

44、應有系統運維過程中發現的安全弱點和可疑事件對應的報告或相關文檔

45、應對安全事件記錄分析文檔

46、應具有不同事件的應急預案

47、應具有應急響應小組，應具備應急設備并能正常工作，應急預案執行所需資金應做過預算并能夠落實。

48、應對系統相關人員進行應急預案培訓（應急預案培訓記錄）

49、應定期對應急預案進行演練（應急預案演練記錄）50、應對應急預案定期進行審查并更新

51、應具有更新的應急預案記錄、應急預案審查記錄。

第四篇：安全等級保護管理辦法

安全等級保護管理辦法

為規范信息安全等級保護管理，提高信息安全保障能力和水平，維護國家安全、社會穩定和公共利益，保障和促進信息化建設，根據《中華人民共和國計算機信息系統安全保護條例》等有關法律法規制定以下辦法：

第1條 網絡安全策略管理由安全保密管理員專職負責，未經允許任何人不得進行此項操作。

第2條 根據網絡信息系統的安全設計要求及主機審計系統數據的分析結果，制定、配置、修改、刪除主機審計系統的各項管理策略，并做記錄。

第3條 根據網絡信息系統的安全設計要求制定、配置、修改、刪除網絡安全評估分析系統的各項管理策略，并做記錄。

第4條 根據網絡信息系統的安全設計要求制定、配置、修改、刪除入侵檢測系統的各項管理策略，并做記錄。

第5條 根據網絡信息系統的安全設計要求制定、配置、修改、刪除、內網主機安全監控與審計系統的各項管理策略，并做記錄。

第6條 每周對網絡信息系統安全管理策略進行數據備份，并作詳細記錄。第7條 網絡信息安全技術防護系統（主機審計系統、漏洞掃描系統、防病毒系統、內網主機安全監控與審計系統）由網絡安全保密管理員統一負責安裝和卸載。

第8條 網絡信息系統安全檢查由安全保密管理員專職負責執行，未經允許任何人不得進行此項操作。

第9條 每天根據入侵檢測系統的系統策略檢測、審計系統日志，檢查是否有網絡攻擊、異常操作、不正常數據流量等，對異常情況做及時處理，遇有重大安全問題上報保密局，并做詳細記錄。

第10條 每周登陸入侵檢測系統產品網站，下載最新升級文件包，對系統進行更新，并做詳細記錄。

第11條 每月通過漏洞掃描系統對網絡系統終端進行安全評估分析，并對掃描結果進行分析，及時對終端系統漏洞及安全隱患進行處理，作詳細記錄，并將安全評估分析報告上報保密辦。

第12條 每周登錄全評估產品網站，下載最新升級文件包，對系統進行更新，并作詳細記錄。

第13條 每周備份入侵檢測系統和漏洞掃描系統的審計信息，并作詳細記錄。第14條 涉密計算機安全管理由安全保密管理員專人負責，未經允許任何人不得進行此項操作。

第15條 根據網絡系統安全設計要求制定、修改、刪除涉密計算機安全審計策略，包括打印控制策略、外設輸入輸出控制策略、應用程序控制策略，并做記錄。

第16條 每日對涉密計算機進行安全審計，及時處理安全問題，并做詳細記錄，遇有重大問題上報保密部門。

第17條 涉密計算機的新增、變更、淘汰需經保密部門審批，審批通過后由安全保密管理員統一進行操作，并做詳細記錄。

第18條 新增涉密計算機聯入涉密網絡，需經保密局審批，由安全保密管理員統一進行操作，并做詳細記錄。

第五篇：機房建設等級保護二級要求

機房環境建設等級保護二級要求

依據國家等級保護要求，等級保護二級的機房環境應滿足以下要求：

1)機房和辦公場地應選擇在具有防震、防風和防雨等能力的建筑內。

2)具備防盜竊和防破壞能力：

a)主要設備放置在機房內，并將設備或主要部件進行固定，設置明顯的不易除去的標記；

b)通信線纜鋪設在隱蔽處，可鋪設在地下或管道中；

c)主機房應安裝必要的防盜報警設施。

3)機房建筑應設置避雷裝置，并為機房內所有交流電源接地防靜電措施。

4)機房應設置滅火設備和火災自動報警系統。

5)具備防水和防潮能力：

a)機房內水管安裝不得穿過機房屋頂和活動地板下；

b)窗戶、屋頂和墻壁等具有防雨水滲透能力；

c)機房應具備防止水蒸氣結露和地下積水的轉移與滲透。

6)機房應設置溫、濕度自動調節設施，使機房溫、濕度的變化在設備運行所允許的范圍之內。

7)機房供電線路上配置穩壓器和過電壓防護設備，并提供短期的備用電力供應，至少滿足關鍵設備在斷電情況下的正常運行要求。

8)電源線和通信線纜應隔離鋪設，避免互相干擾。