1、信 息 安 全 管 理 制 度 参 考 模 板福建省网络信息安全协调小组办公室二O一二年十一月一、XXX厅(局)国际互联网使用管理办法 .2二、XXX厅(局)内网安全管理制度 .4三、XXX厅(局)信息安全组织机构管理制度 .8四、XXX厅(局)信息安全事件管理办法 .21五、XXX厅(局)信息系统信息发布制度 .24六、XXX厅(局)机房安全管理制度 .26七、XXX厅(局)网络安全管理制度 .31八、XXX厅(局)信息系统运行维护管理制度 .33九、XXX厅(局)信息系统用户管理制度 .38十、XXX厅(局)信息资产和设备管理制度 .45十一、XXX厅(局)信息系统安全审计管理制度 .52
2、十二、XXX厅(局)数据存储介质管理制度 .57十三、XXX厅(局)软件开发项目管理制度 .58十四、XXX厅(局)信息系统建设管理制度 .61十五、XXX厅(局)信息系统应急预案 .68十七、XXX厅(局)信息系统变更管理制度 .71十八、XXX厅(局)技术测评制度 .72信息安全管理制度参考模板编制说明 .73一、XXX厅(局)国际互联网使用管理办法XXX厅(局)国际互联网使用管理办法第一条 为规范党政机关国际互联网(以下简称:外网)的使用和管理,根据国家有关法律法规的规定,结合本单位实际,制定本制度。第二条 外网的开通和使用,实际方便工作和保障安全相结合的原则。第三条 XX部门是外网管理
3、工作的主要责任部门,负责外网的网络管理和维护保障工作,以及网站日常工作的管理。XXX部门负责外网网站发布信息的审核、舆论导向的指引。XXX部门负责外网上网指引、登记备案和有关法律法规的宣传教育。第四条 特殊工作岗位实行定岗管理,特殊工作岗位可开通外网。其他工作岗位需要开通外网的,实行配额管理。第五条 申请开通外网的程序是:填写“开通外网申请表” ,经部门领导同意后,报XX部门提出审核意见,审核通过的,进行登记备案后,由 XX部门办理开通事宜。第六条 超出配额的,申请部门应提出撤销原使用人员名单,否则,申 请不予受理。被停止使用外网人员的上网设备由XX部门负责拆除。第七条 接入互联网的电脑应与内
4、网物理隔离,严禁在外网计算机上处理涉密文件和敏感的工作信息。第八条 在外网计算机上使用的移动存储介质禁止在内网和涉密网中使用,杜绝发生U盘交叉使用(混用)的现象。第九条 上网人员要自觉接受身份认证和IP绑定技术对个人上网活 动的安全监督检查,严禁擅自改动单位分配的IP 地址。第十条 及时对外网计算机操作系统补丁进行更新。第十一条 上网人员要提高自身的恶意代码防范意识,在接收文件或邮件之前,必须先进行恶意代码检查,或利用杀毒软件进行检查。第十二条 上网人员应自觉学习国家有关的法律法规,严禁在外网计算机上使用存有涉密信息的优盘、移动硬盘等移动存储介质。第十三条 严禁在互联网上浏览反动、淫秽等国家明
5、文禁止的信息。违反规定者,按国家有关法规和相关纪律处分规定追究责任。第十四条 本制度由XXXX负责解释。第十五条 本制度自发布之日起生效执行。附件:开通外网申请表开通外网申请表申请人姓名 所在部门申请原因:部门领导意见:负责人(签章):XX部门审核意见:负责人(签章):外网接入安全管理承诺1、自觉遵守国家计算机信息网络安全管理的有关法律和行政法规。2、自觉遵守我单位国际互联网使用管理制度3、所申请的外网仅供本人使用4、申请人确认上述承诺,如有违反愿接受相应处罚。申请人签字:年 月 日二、XXX厅(局)内网安全管理制度XXX厅(局)内网安全管理制度第一章 总 则第一条 为加强内部计算机网络(即党
6、政机关内部计算机网络,以下简称内网,网内的计算机以下统称为内网计算机,使用人员以下统称为内网用户)的使用和管理,保障内网的安全稳定运行,根据国家法律、法规和相关 规定, 结合本单位实际,制定本制度。第二条 本制度规范的内容包括:网络管理、终端管理、用 户管理、介 质管理和安全事件报告。第三条 XX部门是内网管理工作的主要责任部门,负责内网的网络管理和维护保障工作。第二章 网络管理第四条 内网必须与国际互联网实行物理隔离。第五条 内网进行分级、分层、分域管理,对内网信息系统及相 应的局域网(业务专网) 划分为独立可管理和控制的安全域。不同的安全域应采取相应的安全策略和保护手段。第六条 建设内网安
7、全与应用支撑平台,实行内网用户、 资源的 统一注册管理,并 为单位信息系统的安全和安全域防护提供身份鉴别、授权管理、边界防护等公共安全技术手段。第七条 加强对内网信息上网前的保密审查和对已上网信息的保密检查,防止涉及国家秘密的信息上网。第八条 按国家相关要求定期开展信息安全等级保护和风险评估工作,排除信息系统安全隐患。 对于集中处理工作秘密的信息系统可以参照秘密级信息系统的分级保护相关要求实施安全防护。第九条 内网应配置独立的交换机,内网综合布线须满足涉及国家秘密的信息系统分级保护技术要求中的相关要求。第十条 内网信息系统利用公网(PSTN、 ISDN、ADSL、DDN、X.25、帧中继、AT
8、M、 SDH等)进行远程传输时,必须 使用VPN 技术和IP密码机 实行加密处理。第十一条 内网因工作需要与其他网络进行连接,连接方式和设备必须满足国家保密部门的要求。第十二条 内外网因工作需要进行数据交换时,必须采用符合国家保密部门要求的方式(如:刻录光盘) 或设备 (如:保密部 门认可的安全移动存储介质管理系统)。第十三条 通过部署统一的补丁升级系统、防病毒系统、漏洞 扫 描系统、网 页防篡改系统、存储备份系统、容灾系统,建立与应用相适应的安全策略,全面加强主机和应用系统安全。第十四条 建立监控、 备份恢复、应急处理、安全 审计、安全事件报告等工作制度。技术部门通过监控机房、网络、主机、应
9、用、数据等运行状态,主动发现安全隐患,及时采取相应措施,尽快恢复受影响或被中断的应用服务。第三章 终端管理第十五条 内网计算机必须安装违规上互联网监控软件。第十六条 内网计算机应采用“ 双布线 双用户终端” 或“双布线单用户终端”的隔离卡物理隔离解决方案。第十七条 严禁在内网计算机上使用无线网卡、无线键盘、无 线 鼠标、 蓝牙等一切无线设备。第十八条 严禁在内网发布涉密信息,内网计算机不得存储、 处 理、 传输国家秘密信息,非涉密移动存储介质不得存储国家秘密信息。第十九条 严禁在内网计算机上连接手机、相机、USB存储介质 等一切非授权的可存储或连接其他网络的外置设备。第二十条 内网计算机启用屏
10、幕保护程序并设置恢复密码,屏幕保护的闲置时间设置为10分钟以内。第二十一条 内网计算机必须保证密码安全。内网计算机和应用系统密码需定期修改,密码长度不少于8位,并由字母、数字和特殊字符混合组成。第二十二条 及时对内网计算机操作系统补丁和防病毒软件病毒库进行更新,定期对计算机进行全盘扫描、杀毒。第四章 用户管理第二十三条 内网用户应定期接受保密教育和培训,建立完善的人员安全监管制度。第二十四条 对内网用户进入网络的行为实行安全准入管理制度。安全准入行为管理包括便携式计算机、台式计算机、移动存储介质、打印机等设备的注册,外来软件的安装等。第二十五条 内网用户不得私自安装与工作无关的软件,如需安装非
11、工作需要的软件必须向xx部门申请。第二十六条 内网用户不得擅自更改内网计算机系统设置,如计算机名、IP地址、用户名等。第二十七条 内网用户不得通过拨号、无线网卡等方式连接国际互联网。第二十八条 定期组织对内网信息系统的安全保密检测和检查,加强对内网、保密技术知识的教育和培训。第五章 介质管理第二十九条 内网计算机必须使用部门认可的内网专用移动存储介质。第三十条 指定专人负责安全移动存储介质管理系统的保管、发放、登记管理等,建立介 质资产清单,落实安全责任制度,明确责任主体。第三十一条 内网计算机及安全移动存储介质改变用途或报废之前,须由技术人员使用专用数据销毁工具将硬盘或移动存储介质中的数据进
12、行彻底清除, 以保护信息安全。第三十二条 内网安全移动存储介质的维修、报废,先报主管领导审批, 由专人负责登记备案后,再 进行维修、 报废处理。第六章 安全事件报告第三十三条 内网用户发现安全事件已经发生或可能发生时,应立即采取补救措施并及时报告XX部门。第三十四条 XX部门接到报告后,应当立即做出处理,并及 时向上 级领导部门报告。第三十五条 内网用户对本人的行为负责;各部门负责人负有管理、监督本部门人员遵守本办法的责任。第三十六条 违反本制度规定的,由管理部 门或管理人员及时报告XX,XX根据违规情况按有关法规追究责任。第七章 附 则第三十七条 本制度由XXXX负责解释。第三十八条 本制度自发布之日起生效执行。
