AAAAA公司

安全管理制度(vl.O)文檔編制單位:AAAAA文檔編制時(shí)間:文檔總頁(yè)數(shù):頁(yè)文檔編制：文檔審核人:審核時(shí)間：注:替換:AAAAA為公司名稱,DDDDD為公司簡(jiǎn)稱,BBBBB為系統(tǒng)名稱,XXXXX為信息安全管理的部門（如"XXXXX”）。信息安全管理機(jī)構(gòu)制度版本記錄版本記錄版本修改日期修改摘要修改人審批人審批日期1.0目錄第一章信息安全管理制度總則概述信息系統(tǒng)安全等級(jí)保護(hù)管理制度體系是對(duì)實(shí)現(xiàn)信息系統(tǒng)安全等級(jí)保護(hù)所采用的安全管理措施的描述。本制度體系從信息安全管理機(jī)構(gòu)制度、信息安全人カ資源管理制度、信息系統(tǒng)建設(shè)安全管理制度、信息安全系統(tǒng)運(yùn)維管理制度和信息系統(tǒng)操作規(guī)程及應(yīng)急預(yù)案等方面,針對(duì)AAAAA公司的BBBBB系統(tǒng),從信息安全管理和信息系統(tǒng)運(yùn)維兩個(gè)方面做出規(guī)定?？傮w原則本制度的信息安全總體原則如下:全面貫徹國(guó)家和上海市關(guān)于信息安全工作的要求文件和相關(guān)指導(dǎo)性文件精神,在部門內(nèi)建立符合國(guó)家要求完善的信息安全管理體系;建立由安全策略、管理制度、操作規(guī)程等構(gòu)成的全面信息安全管理制度體系,并落實(shí)信息安全管理責(zé)任到個(gè)人，使信息安全管理有章可循;定期進(jìn)行信息安全培訓(xùn),提高相關(guān)人員信息安全意識(shí)及能力;實(shí)行預(yù)防為主,應(yīng)急為輔的信息安全理念,對(duì)可能存在的信息安全隱患進(jìn)行提前預(yù)防性排查和處理；對(duì)于突發(fā)性信息安全事件，可以按照應(yīng)急預(yù)案進(jìn)行快速響應(yīng),將事件影響降到最低；定期對(duì)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估和控制,將信息安全風(fēng)險(xiǎn)控制在可接受的水平,以降低突發(fā)性事件出現(xiàn)的概率；持續(xù)改進(jìn)信息安全管理所要求包含的各項(xiàng)工作,為系統(tǒng)提供可靠的安全信息服務(wù)?？傮w目標(biāo)明確AAAAA公司信息安全管理機(jī)構(gòu)和人カ資源管理制度；按照等級(jí)保護(hù)三級(jí)要求規(guī)范AAAAA公司的BBBBB系統(tǒng)建設(shè)和運(yùn)維;制定AAAAA公司的BBBBB系統(tǒng)應(yīng)急預(yù)案,并定期進(jìn)行應(yīng)急演練;定期開(kāi)展全系統(tǒng)范圍的信息系統(tǒng)安全檢查和信息安全管理制度宣傳,并按需開(kāi)展第三方信息安全風(fēng)險(xiǎn)評(píng)估?？傮w框架本制度的安全策略包括信息安全管理安全策略和信息系統(tǒng)運(yùn)維安全策略,如下圖所示:1系統(tǒng)信息運(yùn)維安全策略系統(tǒng)信息運(yùn)維安全策略包括信息安全管理機(jī)構(gòu)制度和信息安全人力資源管理制度。信息安全管理機(jī)構(gòu)制度建立AAAAA公司的BBBBB系統(tǒng)信息安全管理組織機(jī)構(gòu)明確網(wǎng)絡(luò)管理員、主機(jī)管理員、系統(tǒng)管理員、安全管理員、安全審計(jì)員等安全管理相關(guān)崗位及職責(zé)。加強(qiáng)信息安全的授權(quán)和審批對(duì)于系統(tǒng)變更（包含軟件和硬件）實(shí)施審批,并記錄在案。定期審查信息安全管理體系監(jiān)督各項(xiàng)安全控制措施的落實(shí)情況,并針對(duì)有偏差的地方進(jìn)行糾正,以保證信息安全管理體系持續(xù)有效。規(guī)范產(chǎn)品采購(gòu)和使用管理制度流程明確產(chǎn)品所有者、使用者與維護(hù)者;對(duì)所有產(chǎn)品進(jìn)行標(biāo)記,實(shí)現(xiàn)信息資產(chǎn)從采購(gòu)、安裝、調(diào)試、使用、變更到報(bào)廢整個(gè)周期的安全管理,并且密碼相關(guān)產(chǎn)品符合國(guó)家密碼主管部門的要求。定期評(píng)估安全風(fēng)險(xiǎn)根據(jù)評(píng)估結(jié)果選擇適當(dāng)?shù)陌踩呗院涂刂拼胧?保證安全風(fēng)險(xiǎn)可控。信息安全人力資源管理制度?加強(qiáng)人員安全管理包含人員錄用前考察、人員在崗和離崗的安全控制、人員考核、獎(jiǎng)懲措施等內(nèi)容;對(duì)于關(guān)鍵崗位的工作人員,需簽訂保密協(xié)議。?保密協(xié)議簽署對(duì)于外包的軟件開(kāi)發(fā),需與服務(wù)提供商簽署保密協(xié)議;在信息系統(tǒng)立項(xiàng)和審批過(guò)程中,同步考慮信息安全需求和目標(biāo)。系統(tǒng)開(kāi)發(fā)完成后,要求通過(guò)第三方安全機(jī)構(gòu)對(duì)軟件安全性的測(cè)評(píng)。1.4.2信息系統(tǒng)安全管理安全策略信息系統(tǒng)安全管理安全策略包括信息建設(shè)安全管理制度、信息安全系統(tǒng)運(yùn)維管理和信息系統(tǒng)操作規(guī)程及應(yīng)急預(yù)案。信息建設(shè)安全管理制度?文檔發(fā)布制度化制定文檔發(fā)布規(guī)范制度，統(tǒng)一文檔版本、格式等,并定期按照制度對(duì)文檔進(jìn)行更新，以保證所有文檔的時(shí)效性。信息安全系統(tǒng)運(yùn)維管理保障機(jī)房物理與環(huán)境安全實(shí)施多種手段對(duì)機(jī)房安全進(jìn)行監(jiān)控，包括門禁、視頻監(jiān)控、紅外線報(bào)警等安全防范措施,確保機(jī)房物理安全。部署機(jī)房專用空調(diào)、UPS,滅火設(shè)備等環(huán)境保障設(shè)施;每天對(duì)機(jī)房設(shè)施運(yùn)轉(zhuǎn)情況進(jìn)行定期巡檢、和維護(hù)?？刂茩C(jī)房人員和設(shè)備的出入管理,非管理人員無(wú)法進(jìn)入主機(jī)房,外部人員進(jìn)入機(jī)房需填寫出入記錄并且由管理人員全程陪同。維護(hù)和操作規(guī)程文檔化對(duì)系統(tǒng)維護(hù)和操作規(guī)程實(shí)施文檔化操作,降低和避免因誤操作所引發(fā)信息安全事件的可能性。部署防病毒軟件統(tǒng)一部署防病毒軟件,并進(jìn)行病毒庫(kù)的統(tǒng)ー更新,任何人不得私自卸載防病毒軟件。定期備份重要系統(tǒng)和數(shù)據(jù)對(duì)重要的數(shù)據(jù)和信息系統(tǒng)進(jìn)行每日增量備份每周全量備份,并對(duì)備份介質(zhì)進(jìn)行安全地保存,以及對(duì)備份數(shù)據(jù)每季度進(jìn)行備份還原測(cè)試,保證各種備份信息的保密性、完整性和可用性，確保所有重要信息系統(tǒng)和重要數(shù)據(jù)在故障、災(zāi)難后及其它特定要求下進(jìn)行可靠的恢復(fù)。信息系統(tǒng)操作規(guī)程及應(yīng)急預(yù)案?信息安全事件應(yīng)對(duì)機(jī)制建立對(duì)各類信息安全事件的預(yù)防、預(yù)警、響應(yīng)、處置、恢復(fù)機(jī)制,編寫針對(duì)網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)、系統(tǒng)和惡意代碼等的應(yīng)急預(yù)案,并每年兩次進(jìn)行測(cè)試和演練。1.5適用范圍本手冊(cè)按照ISO/IEC27001：2005《信息安全管理體系要求》,結(jié)合AAAAA公司的BBBBB系統(tǒng)的實(shí)際編制而成，符合IS0/IEC27001：2005標(biāo)準(zhǔn)的全部要求。本管理制度適用于AAAAA公司的BBBBB系統(tǒng)建設(shè)和運(yùn)維過(guò)程。第二章AAAAA公司XXXXX信息安全管理體系文件目的為規(guī)范AAAAA公司XXXXX（以下簡(jiǎn)稱“DDDDD"）的信息安全管理體系文件的制訂、修訂及評(píng)審，特制定本制度范圍本管理規(guī)范適用于信息安全領(lǐng)導(dǎo)小組和工作小組對(duì)信息安全管理體系文件的維護(hù)管理。職責(zé)由信息安全工作小組的主體部門DDDDD負(fù)責(zé)信息安全管理體系文件的維護(hù),包括制訂、修訂和評(píng)審,由信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)體系文件的批準(zhǔn)、發(fā)布和作廢。管理細(xì)則4.1體系文件生命周期流程體系文件流程圖4.2體系文件策劃信息安全工作小組組織相關(guān)人員,根據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求(GBT22239-2008)?,《信息安全技術(shù)信息系統(tǒng)安全管理要求(GBT20269-2006)》、《IS0/IEC27001：2005信息安全管理體系》的要求,結(jié)合實(shí)際的職責(zé)和工作流程,策劃制定信息安全管理體系文件,并形成《AAAAA公司XXXXX信息安全管理體系文件匯編》。信息安全工作小組將制定的《AAAAA公司XXXXX信息安全管理體系文件匯編》匯報(bào)給信息安全領(lǐng)導(dǎo)小組,信息安全領(lǐng)導(dǎo)小組進(jìn)行審批確認(rèn)。4.3體系文件的評(píng)審信息安全工作小組應(yīng)定期發(fā)起對(duì)體系文件的評(píng)審,應(yīng)填寫《體系文件建立申請(qǐng)表》(詳見(jiàn)附1)。對(duì)體系文件的評(píng)審應(yīng)至少每年進(jìn)行ー次。評(píng)審流程如下:(1)信息安全工作小組發(fā)起對(duì)體系文件的評(píng)審申請(qǐng),信息安全領(lǐng)導(dǎo)小組確認(rèn)后批準(zhǔn)評(píng)審要求(2)信息安全工作小組制定評(píng)審計(jì)劃。計(jì)劃中應(yīng)確定各文檔對(duì)應(yīng)的評(píng)審責(zé)任人以及實(shí)施評(píng)審的時(shí)間計(jì)劃。(3)各評(píng)審責(zé)任人根據(jù)時(shí)間計(jì)劃,結(jié)合內(nèi)部審核、管理評(píng)審、風(fēng)險(xiǎn)評(píng)估及日常記錄的結(jié)果,評(píng)估現(xiàn)有文件的有效性和充分性。如果確定文檔有必要進(jìn)行修改,應(yīng)填寫《體系文件更改申請(qǐng)表》(詳見(jiàn)附2)。(4)如果修改的內(nèi)容只涉及XXXXX,則由信息安全工作小組組長(zhǎng)進(jìn)行審批,在審批同意后,由文檔評(píng)審責(zé)任人進(jìn)行修改。(5)如果修改的內(nèi)容涉及到XXXXX以外的部門，需要所有涉及部門的會(huì)簽。會(huì)簽后,由文檔評(píng)審責(zé)任人進(jìn)行文檔修改。如需要，可邀請(qǐng)專家對(duì)體系文件進(jìn)行專家評(píng)審(詳見(jiàn)附5、附6、附7)。(6)修改完畢之后,各責(zé)任人將《體系文件評(píng)審記錄表》(詳見(jiàn)附3)和完善后的體系文件版本ー并報(bào)送信息安全工作小組，由信息安全工作小組進(jìn)行標(biāo)識(shí)和保存。(7)信息安全工作小組最終對(duì)評(píng)審結(jié)果向信息安全領(lǐng)導(dǎo)小組進(jìn)行匯報(bào)。4.4體系文件的作廢(1)在體系文件的評(píng)審過(guò)程中,如果評(píng)審責(zé)任人認(rèn)為文件應(yīng)當(dāng)作廢,則填寫《體系文件作廢申請(qǐng)表》(詳見(jiàn)附4),由信息安全工作小組審批后,報(bào)信息安全領(lǐng)導(dǎo)小組進(jìn)行審批。(2)信息安全領(lǐng)導(dǎo)小組審批完成后,信息安全工作小組負(fù)責(zé)通知所有相關(guān)人員,并對(duì)《AAAAA公司XXXXX信息安全管理體系文件》進(jìn)行廢除。第三章信息安全管理體系信息安全管理體系以ISO/IEC27001：2005《信息安全管理體系要求》為依據(jù),建立信息安全管理體系，并形成相關(guān)的信息安全管理體系文件。由AAAAA公司主管領(lǐng)導(dǎo)批準(zhǔn)發(fā)布，在AAAAA公司范圍內(nèi)實(shí)施并保持,利用內(nèi)部審核、管理評(píng)審、定期檢查、定期更新和預(yù)防措施以及持續(xù)改進(jìn)的手段,確保信息安全管理體系的有效性。1.1信息安全管理體系建立管理體系范圍根據(jù)AAAAA公司系統(tǒng)業(yè)務(wù)特點(diǎn)、組織機(jī)構(gòu)、物理位置確定AAAAA公司的BBBBB系統(tǒng)信息安全管理體系的范圍為:所有部門和正式工作人員,包括AAAAA公司所有成員:AAAAA公司XXXXX主要負(fù)責(zé)AAAAA公司的BBBBB系統(tǒng)建設(shè)和運(yùn)行工作及系統(tǒng)維護(hù)和管理;與系統(tǒng)業(yè)務(wù)活動(dòng)相關(guān)的應(yīng)用系統(tǒng)及其包含的全部信息資產(chǎn),其中應(yīng)用系統(tǒng)包括:AAAAA公司的BBBBB系統(tǒng);信息資產(chǎn)包括:與上述業(yè)務(wù)應(yīng)用系統(tǒng)相關(guān)的數(shù)據(jù)、硬件、軟件、服務(wù)及文檔等;AAAAA公司的BBBBB系統(tǒng)涉及的辦公場(chǎng)所和上述業(yè)務(wù)應(yīng)用系統(tǒng)所處機(jī)房,其中機(jī)房為AAAAA公司的BBBBB系統(tǒng)所在機(jī)房。風(fēng)險(xiǎn)評(píng)估在體系建立過(guò)程中,AAAAA公司確定信息安全風(fēng)險(xiǎn)評(píng)估方法,對(duì)AAAAA公司的BBBBB系統(tǒng)實(shí)施風(fēng)險(xiǎn)評(píng)估（詳見(jiàn)附8）,識(shí)別AAAAA公司的BBBBB系統(tǒng)所面臨的風(fēng)險(xiǎn),并根據(jù)風(fēng)險(xiǎn)進(jìn)行相應(yīng)的處理。風(fēng)險(xiǎn)處置風(fēng)險(xiǎn)評(píng)估后,根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果,確定風(fēng)險(xiǎn)處置的策略,包括;采用風(fēng)險(xiǎn)控制措施,以降低面臨的信息安全風(fēng)險(xiǎn)；在滿足信息安全方針和風(fēng)險(xiǎn)接受準(zhǔn)則的前提下，有意識(shí)地、客觀地接受風(fēng)險(xiǎn)；轉(zhuǎn)移相關(guān)業(yè)務(wù)風(fēng)險(xiǎn)到其他方面,如;購(gòu)買產(chǎn)品維保,運(yùn)維服務(wù)外包等；根據(jù)風(fēng)險(xiǎn)處置策略,制定風(fēng)險(xiǎn)控制措施,對(duì)已識(shí)別出的風(fēng)險(xiǎn)進(jìn)行分類處理,并對(duì)殘余風(fēng)險(xiǎn)進(jìn)行了批準(zhǔn)。1.2信息安全管理體系實(shí)施在實(shí)施和運(yùn)行信息安全管理體系中所開(kāi)展的工作包括:通過(guò)風(fēng)險(xiǎn)管理方法來(lái)控制信息系統(tǒng)中存在的信息安全風(fēng)險(xiǎn),配置資源、明確職責(zé)和優(yōu)先級(jí)別,實(shí)施適當(dāng)?shù)墓芾泶胧?實(shí)施各信息安全管理體系文件中包括的控制措施,以達(dá)到各控制目標(biāo);實(shí)施培訓(xùn)和意識(shí)教育計(jì)劃,具體內(nèi)容參見(jiàn)《培訓(xùn)制度》;實(shí)施能迅速檢測(cè)安全事件和響應(yīng)安全事故的程序。L3信息安全管理體系監(jiān)察嚴(yán)格執(zhí)行監(jiān)視和評(píng)審程序以及其它相關(guān)措施,以達(dá)到:迅速檢測(cè)信息安全管理體系運(yùn)行過(guò)程中的缺陷和弱點(diǎn);迅速識(shí)別潛在的和已發(fā)生的信息安全違規(guī)和事故;確保管理者分配給各人員的信息安全活動(dòng)或通過(guò)信息技術(shù)實(shí)施的信息安全活動(dòng)能如期執(zhí)行；確定信息安全措施的有效性；定期進(jìn)行信息安全管理評(píng)審，以判斷信息安全管理體系的有效性；定期進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估的評(píng)審；定期對(duì)信息安全管理體系進(jìn)行管理評(píng)審；依據(jù)監(jiān)視和評(píng)審活動(dòng)的結(jié)果,對(duì)信息安全管理體系進(jìn)行修改和完善;記錄可能影響信息安全管理體系有效性或執(zhí)行情況的措施和事件。第四章信息安全組織機(jī)構(gòu)制度.1信息安全組織機(jī)構(gòu)AAAAA公司針對(duì)AAAAA公司的BBBBB系統(tǒng)的信息安全組織機(jī)構(gòu)包括信息安全領(lǐng)導(dǎo)小組和信息系統(tǒng)安全小組。信息系統(tǒng)安全小組的成員包括:機(jī)房管理員、主機(jī)管理員、網(wǎng)絡(luò)管理員、應(yīng)用管理員、安全管理員、安全審計(jì)員。根據(jù)各個(gè)職位職責(zé)不同,對(duì)于安全管理員與安全審計(jì)員應(yīng)配備專職人員,不可兼任;對(duì)于關(guān)鍵事務(wù)崗位應(yīng)考慮多人共同管理。AAAAA公司信息安全體系組織機(jī)構(gòu)圖如下:信息安全職能部門職責(zé)信息安全職能部門為XXXXX,主要職責(zé)如下：保障機(jī)房信息系統(tǒng)的安全運(yùn)行;負(fù)責(zé)機(jī)房的環(huán)境維護(hù)和物理訪問(wèn)管理;負(fù)責(zé)機(jī)房的設(shè)備維護(hù)及設(shè)備管理；負(fù)責(zé)機(jī)房?jī)?nèi)任何事故的上報(bào)及處理；負(fù)責(zé)制定及修訂有關(guān)機(jī)房安全管理制度。負(fù)責(zé)對(duì)機(jī)房值班人員及技術(shù)維護(hù)人員（外包方）進(jìn)行日常工作管理和檢查；負(fù)責(zé)AAAAA公司的AAAAA公司的BBBBB系統(tǒng)的使用控制及處置管理。介質(zhì)的使用人負(fù)責(zé)在單位內(nèi)部介質(zhì)的使用控制及處置管理。各相關(guān)接待人負(fù)責(zé)其接待的外來(lái)人員的介質(zhì)的使用及監(jiān)督。負(fù)責(zé)AAAAA公司網(wǎng)絡(luò)系統(tǒng)安全管理。負(fù)責(zé)AAAAA公司基礎(chǔ)平臺(tái)系統(tǒng)安全管理,應(yīng)用系統(tǒng)安全管理。負(fù)責(zé)AAAAA公司信息系統(tǒng)的惡意代碼防范工作,及發(fā)生惡意代碼攻擊時(shí)的應(yīng)急處理。負(fù)責(zé)AAAAA公司信息系統(tǒng)的密碼使用管理工作，包括密碼的保管、分配、修改、授權(quán)。負(fù)責(zé)AAAAA公司信息系統(tǒng)數(shù)據(jù)備份與恢復(fù)管理工作。負(fù)責(zé)AAAAA公司信息系統(tǒng)安全事件管理工作。1.2信息安全領(lǐng)導(dǎo)小組職責(zé)信息安全領(lǐng)導(dǎo)小組主要職責(zé)如下:負(fù)責(zé)關(guān)于信息安全方面工作的方針政策；審定AAAAA公司的BBBBB系統(tǒng)的安全建設(shè)規(guī)劃;對(duì)信息系統(tǒng)安全工作的重大事項(xiàng)做出決策;研究審定AAAAA公司的BBBBB系統(tǒng)安全建設(shè)和管理工作中的制度、標(biāo)準(zhǔn)及相關(guān)政策,并協(xié)調(diào)相關(guān)部門監(jiān)督制度、政策的實(shí)施情況;組織、協(xié)調(diào)和指導(dǎo)信息安全的宣傳、普及教育工作。4.1.3信息系統(tǒng)安全小組職責(zé)及要求負(fù)責(zé)貫徹落實(shí)信息安全領(lǐng)導(dǎo)小組關(guān)于信息系統(tǒng)安全工作的要求和規(guī)定,并落實(shí)各項(xiàng)安全工作;負(fù)責(zé)信息系統(tǒng)的安全管理體系和規(guī)章制度的建立、實(shí)施；建設(shè)、技術(shù)保障和操作規(guī)范等各方面的逐步建成;組織制訂和貫徹信息系統(tǒng)運(yùn)行安全保障和維護(hù)工作制度。機(jī)房管理員職責(zé)及要求機(jī)房管理員主要職責(zé)如下:負(fù)責(zé)保障機(jī)房物理與環(huán)境的安全建設(shè)管理負(fù)責(zé)制定機(jī)房基礎(chǔ)設(shè)施的相關(guān)資產(chǎn)清單（詳見(jiàn)附9）內(nèi)容包括資產(chǎn)名稱、重要程度、所處位置等。明確產(chǎn)品所有者、使用者與維護(hù)者;對(duì)所有產(chǎn)品進(jìn)行標(biāo)記,實(shí)現(xiàn)信息資產(chǎn)從采購(gòu)、安裝、調(diào)試、使用、變更到報(bào)廢整個(gè)周期的安全管理,并且密碼相關(guān)產(chǎn)品符合國(guó)家密碼主管部門的要求。令相關(guān)人員能夠按照維護(hù)規(guī)程對(duì)系統(tǒng)進(jìn)行操作,降低和避免因誤操作所引發(fā)信息安全事件的可能性。負(fù)責(zé)保障機(jī)房物理與環(huán)境安全實(shí)施包括門禁、視頻監(jiān)控、報(bào)警等安全防范措施,確保機(jī)房物理安全。部署機(jī)房專用空調(diào)、UPS等環(huán)境保障設(shè)施,對(duì)機(jī)房設(shè)施運(yùn)轉(zhuǎn)情況進(jìn)行每日兩次巡檢、維護(hù)、故障處理和變更管理。嚴(yán)格對(duì)機(jī)房人員和設(shè)備的出入管理,進(jìn)出需登記,外來(lái)人員需由相關(guān)管理人員陪同方能訪問(wèn)機(jī)房。在機(jī)房基礎(chǔ)設(shè)施變更、重要操作、物理訪問(wèn)等的進(jìn)行逐級(jí)審批,負(fù)責(zé)日常審批,重大變更需上報(bào)到AAAAA公司領(lǐng)導(dǎo)小組負(fù)責(zé)人進(jìn)行核準(zhǔn)和審批后,方可進(jìn)行變更;負(fù)責(zé)組織實(shí)施機(jī)房基礎(chǔ)設(shè)施各類事故（故障）的應(yīng)急處理。機(jī)房管理員任職要求如下:1、遵守AAAAA公司的各項(xiàng)規(guī)章制度;具有良好的職業(yè)道德和敬業(yè)精神;2、愛(ài)崗敬業(yè),吃苦耐勞,愿意長(zhǎng)期從事機(jī)房管理工作；3、服從分配與管理，團(tuán)結(jié)協(xié)作具有良好的團(tuán)隊(duì)精神；能全心全意為AAAAA公司服務(wù)，言行舉止形象文明；4、了解計(jì)算機(jī)軟硬件安裝及維護(hù),動(dòng)手能力強(qiáng)；5、具有一定的組織能力和語(yǔ)言表達(dá)能力。6、具備保密意識(shí)。主機(jī)管理員主機(jī)管理員主要職責(zé)如下:負(fù)責(zé)保障主機(jī)（包括服務(wù)器設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、數(shù)據(jù)備份）；信息安全日常管理包括系統(tǒng)口令管理、無(wú)人值守設(shè)備管理、屏幕保護(hù)、便攜機(jī)管理等,促使每位人員的日常工作符合AAAAA公司的BBBBB系統(tǒng)的信息安全策略和制度要求。負(fù)責(zé)主機(jī)運(yùn)行維護(hù)體系和主機(jī)技術(shù)支持平臺(tái)的建設(shè)與運(yùn)行管理,建立服務(wù)器設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、數(shù)據(jù)備份文檔化的操作和維護(hù)規(guī)程,使得各個(gè)相關(guān)人員能夠采用規(guī)范化的形式對(duì)系統(tǒng)進(jìn)行操作,降低和避免因誤操作所引發(fā)信息安全事件的可能性。重要信息和信息系統(tǒng)備份定期進(jìn)行重要信息和信息系統(tǒng)備份，并對(duì)備份介質(zhì)進(jìn)行安全地保存,以及對(duì)備份數(shù)據(jù)定期進(jìn)行備份測(cè)試驗(yàn)證,保證各種備份信息的保密性、完整性和可用性,確保所有重要信息系統(tǒng)和重要數(shù)據(jù)在故障、災(zāi)難后及其它特定要求下進(jìn)行可靠的恢復(fù)。負(fù)責(zé)統(tǒng)一部署防病毒軟件，并每周更新病毒庫(kù)；?負(fù)責(zé)全系統(tǒng)的計(jì)算機(jī)惡意代碼防治和主機(jī)安全的管理工作,制定檢查計(jì)劃（包含在主機(jī)巡檢工作中）,督促檢查工作;負(fù)責(zé)重要信息系統(tǒng)的訪問(wèn)控制管理,對(duì)系統(tǒng)特殊權(quán)限和系統(tǒng)實(shí)用工具的使用進(jìn)行嚴(yán)格的審批和監(jiān)管;負(fù)責(zé)組織實(shí)施主機(jī)各類事故（故障）的應(yīng)急處理。主機(jī)管理員任職要求如下:1、一年以上相關(guān)工作經(jīng)驗(yàn)。2、了解熟悉服務(wù)器軟件和運(yùn)行系統(tǒng)（Apache、Windows/UNIX）,和網(wǎng)絡(luò)故障排除，熟悉了解安全措施，能主動(dòng)學(xué)習(xí)和聆聽(tīng)良好的時(shí)間安排能力,出色的溝通能力以及客戶服務(wù)能力,完美解決問(wèn)題,靈活且可靠,以及獨(dú)立エ作能力。3、具備保密意識(shí)網(wǎng)絡(luò)管理員網(wǎng)絡(luò)管理員主要職責(zé)如下:負(fù)責(zé)保障網(wǎng)絡(luò)安全建設(shè)管理；規(guī)范網(wǎng)絡(luò)管理流程;采用技術(shù)和管理兩方面的控制措施,加強(qiáng)對(duì)應(yīng)用系統(tǒng)的安全控制,提高網(wǎng)絡(luò)的安全性和穩(wěn)定性；對(duì)重要網(wǎng)絡(luò)設(shè)備應(yīng)有文檔化的操作和維護(hù)規(guī)程，使得維護(hù)人員能夠采用規(guī)范化的形式對(duì)系統(tǒng)進(jìn)行操作，降低和避免因誤操作所引發(fā)信息安全事件的可能性；負(fù)責(zé)保障網(wǎng)絡(luò)安全,協(xié)助安全管理員部署網(wǎng)絡(luò)安全產(chǎn)品,確保網(wǎng)絡(luò)安全;對(duì)網(wǎng)絡(luò)設(shè)備設(shè)施運(yùn)轉(zhuǎn)情況進(jìn)行定期巡檢、維護(hù)、故障處理和變更管理;在網(wǎng)絡(luò)系統(tǒng)變更、重要操作、訪問(wèn)等的進(jìn)行逐級(jí)審批，負(fù)責(zé)日常審批,重大變更需報(bào)到AAAAA公司領(lǐng)導(dǎo)小組進(jìn)行核準(zhǔn)和審批后,方可進(jìn)行變更;負(fù)責(zé)組織實(shí)施網(wǎng)絡(luò)各類事故（故障）的應(yīng)急處理。網(wǎng)絡(luò)管理員任職要求如下:1、大專以上學(xué)歷，計(jì)算機(jī)、通信等相關(guān)專業(yè)2、二年以上網(wǎng)絡(luò)管理員工作經(jīng)驗(yàn)3、熟悉常用服務(wù)器設(shè)備,具備故障診斷和處理能力4、熟練掌握Windows操作系統(tǒng)的管理、維護(hù)5、了解主流廠商的設(shè)備和技術(shù)發(fā)展6、具備保密意識(shí)7、具備良好職業(yè)道德與工作態(tài)度,善于溝通應(yīng)用管理員應(yīng)用管理員主要職責(zé)如下:負(fù)責(zé)保障軟件開(kāi)發(fā)管理在AAAAA公司的BBBBB系統(tǒng)系統(tǒng)立項(xiàng)和審批過(guò)程中,同步考慮信息安全需求和目標(biāo)。應(yīng)保證系統(tǒng)設(shè)計(jì)、開(kāi)發(fā)過(guò)程的安全,重點(diǎn)加強(qiáng)對(duì)軟件代碼安全性的管理。屬于外包軟件開(kāi)發(fā)的,應(yīng)與服務(wù)提供商簽署保密協(xié)議。系統(tǒng)開(kāi)發(fā)完成后,應(yīng)要求通過(guò)第三方安全機(jī)構(gòu)對(duì)軟件安全性的測(cè)評(píng)。負(fù)責(zé)建立重要應(yīng)用的文檔化操作和維護(hù)規(guī)程（詳見(jiàn)附10）,使得各個(gè)相關(guān)人員能夠采用規(guī)范化的形式對(duì)系統(tǒng)進(jìn)行操作,降低和避免因誤操作所引發(fā)信息安全事件的可能性;負(fù)責(zé)信息安全日常管理,包括應(yīng)用系統(tǒng)口令管理、授權(quán)審批管理等,促使每位人員的日常工作符合AAAAA公司的BBBBB系統(tǒng)系統(tǒng)信息安全策略和制度要求。在應(yīng)用系統(tǒng)變更、重要操作、訪問(wèn)等的進(jìn)行逐級(jí)審批,負(fù)責(zé)日常審批,重大變更需報(bào)到AAAAA公司領(lǐng)導(dǎo)小組進(jìn)行核準(zhǔn)和審批后,方可進(jìn)行變更;負(fù)責(zé)組織實(shí)施應(yīng)用系統(tǒng)各類事故（故障）的應(yīng)急處理。應(yīng)用管理員任職要求如下:1、全日制大學(xué)本科及以上學(xué)歷；2、3年以上信息項(xiàng)目管理或軟件開(kāi)發(fā)及維護(hù)工作經(jīng)驗(yàn);3、工作責(zé)任心強(qiáng),有良好的團(tuán)隊(duì)合作精神,溝通表達(dá)能力、文字表達(dá)能力及組織、協(xié)調(diào)能力較強(qiáng);安全管理員安全管理員主要職責(zé)如下:負(fù)責(zé)安全制度的貫徹執(zhí)行;負(fù)責(zé)制訂信息系統(tǒng)安全規(guī)劃,并在實(shí)施過(guò)程中逐步完善;負(fù)責(zé)制定安全設(shè)備或系統(tǒng)的相關(guān)資產(chǎn)清單。內(nèi)容包括資產(chǎn)名稱、重要程度、所處位置等；負(fù)責(zé)制定安全設(shè)備或系統(tǒng)的文檔化的操作和維護(hù)規(guī)程,使得運(yùn)維人員能夠采用規(guī)范化的形式對(duì)系統(tǒng)進(jìn)行操作,降低和避免因誤操作所引發(fā)信息安全事件的可能性；負(fù)責(zé)對(duì)安全設(shè)備或系統(tǒng)運(yùn)行維護(hù)管理，對(duì)安全設(shè)備或系統(tǒng)運(yùn)轉(zhuǎn)情況進(jìn)行定期巡檢、維護(hù)、故障處理和變更管理。負(fù)責(zé)組織實(shí)施安全設(shè)備或系統(tǒng)各類事故（故障）的應(yīng)急處理；每年進(jìn)行風(fēng)險(xiǎn)評(píng)估,根據(jù)評(píng)估結(jié)果會(huì)同其他負(fù)責(zé)人進(jìn)行風(fēng)險(xiǎn)處置；負(fù)責(zé)協(xié)助領(lǐng)導(dǎo)安排安全培訓(xùn),負(fù)責(zé)協(xié)助負(fù)責(zé)制定每年安全教育計(jì)劃，加強(qiáng)信息系統(tǒng)的安全教育,通過(guò)各種方式進(jìn)行宣傳和培訓(xùn)，提高全系統(tǒng)安全防范意識(shí)；負(fù)責(zé)制定安全檢查計(jì)劃包括檢查職責(zé)、檢查周期、檢查范圍、檢查內(nèi)容、檢查報(bào)告的編制、檢查整改、檢查通報(bào)等內(nèi)容。對(duì)信息系統(tǒng)安全檢查并進(jìn)行情況通報(bào)。對(duì)記錄進(jìn)行收集、整理、歸檔。（詳見(jiàn)附11）當(dāng)出現(xiàn)安全事件時(shí),負(fù)責(zé)對(duì)發(fā)生的安全事件及時(shí)上報(bào),并配合相關(guān)的調(diào)查和糾正工作；當(dāng)信息系統(tǒng)運(yùn)行發(fā)生重大問(wèn)題時(shí)，協(xié)助相關(guān)部門正確判斷原因，根據(jù)指令立即采取安全措施啟動(dòng)相關(guān)處理程序；負(fù)責(zé)與外部安全機(jī)構(gòu)的協(xié)調(diào)聯(lián)系,在發(fā)生重大安全事件時(shí)以協(xié)調(diào)獲取外部安全機(jī)構(gòu)的支持；負(fù)責(zé)對(duì)介質(zhì)的管理,對(duì)介質(zhì)的歸檔、查詢和借用進(jìn)行記錄,對(duì)介質(zhì)進(jìn)行定期盤點(diǎn)并記錄,對(duì)故障介質(zhì)的進(jìn)行送修和銷毀并記錄,對(duì)于保密性高的介質(zhì)銷毀需要申報(bào)領(lǐng)導(dǎo)批準(zhǔn),并進(jìn)行記錄。對(duì)介質(zhì)物理傳輸?shù)慕唤舆M(jìn)行記錄。加強(qiáng)對(duì)信息系統(tǒng)外包業(yè)務(wù)與外包方的管理,在與信息系統(tǒng)外包方簽署的服務(wù)協(xié)議中,對(duì)信息系統(tǒng)安全加以要求。通過(guò)審批、訪問(wèn)控制、監(jiān)控、簽署保密協(xié)議等措施,加強(qiáng)外部方訪問(wèn)“AAAAA公司的BBBBB系統(tǒng)系統(tǒng)”的管理,防止外部方危害信息系統(tǒng)安全。重視對(duì)IT服務(wù)連續(xù)性的管理，建立對(duì)各類信息安全事件的預(yù)防、預(yù)警、響應(yīng)、處置、恢復(fù)機(jī)制，并編寫相應(yīng)的應(yīng)急預(yù)案;?在符合國(guó)家密碼管理相關(guān)規(guī)定的條件下,合理使用密碼技術(shù)和密碼設(shè)備，嚴(yán)格密鑰生成、分發(fā)、保存等方面的安全管理,保障密碼技術(shù)使用的安全性。（密碼變更記錄表見(jiàn)附13）安全管理員任職要求如下:1、大專以上學(xué)歷,計(jì)算機(jī)、通信等相關(guān)專業(yè)2、二年以上網(wǎng)絡(luò)管理員工作經(jīng)驗(yàn)3、熟悉常用服務(wù)器設(shè)備，具備故障診斷和處理能力4、具備保密意識(shí)5、具備良好職業(yè)道德與工作態(tài)度,善于溝通安全審計(jì)員安全審計(jì)員的主要職責(zé):參與制定AAAAA公司規(guī)章制度和流程,規(guī)章制度和流程培訓(xùn)與宣傳;根據(jù)AAAAA公司的審計(jì)要求制定審計(jì)計(jì)劃,定期或不定期的開(kāi)展審計(jì)工作,撰寫審計(jì)報(bào)告，開(kāi)展風(fēng)險(xiǎn)評(píng)估,發(fā)現(xiàn)安全漏洞或隱患,提交處理報(bào)告和切合實(shí)際可操作的處理方案,指導(dǎo)實(shí)施;負(fù)責(zé)機(jī)房安全審計(jì),負(fù)責(zé)數(shù)據(jù)庫(kù)服務(wù)器、數(shù)據(jù)備份與災(zāi)難恢復(fù)審計(jì);負(fù)責(zé)操作系統(tǒng)安全審計(jì)，關(guān)鍵系統(tǒng)的用戶角色權(quán)限審計(jì)；（安全審計(jì)員安全審計(jì)工作報(bào)告每月）負(fù)責(zé)日常信息安全規(guī)章制度和流程的執(zhí)行審計(jì),信息系統(tǒng)環(huán)境安全審計(jì)等；對(duì)被審計(jì)部門提供咨詢、建議、協(xié)調(diào)等服務(wù)和公司領(lǐng)導(dǎo)安排的相關(guān)工作；負(fù)責(zé)對(duì)系統(tǒng)管理員、安全管理員的操作行為進(jìn)行審計(jì)跟蹤分析和監(jiān)督檢查,及時(shí)發(fā)現(xiàn)違規(guī)行為,每月向安全管理中心匯報(bào)工作情況;（詳見(jiàn)附14）安全審計(jì)員任職要求如下:1、大專以上學(xué)歷,計(jì)算機(jī)、通信等相關(guān)專業(yè)2、二年以上安全管理員工作經(jīng)驗(yàn)3、熟悉常用服務(wù)器設(shè)備,具備故障診斷和處理能力4、具備保密意識(shí)5、具備良好職業(yè)道德與工作態(tài)度,善于溝通專家小組專家小組主要職責(zé):專家應(yīng)符合有關(guān)資歷要求和知識(shí)要求,具有高度的事業(yè)心和責(zé)任心,認(rèn)真履行檢查職責(zé);檢查中堅(jiān)持客觀公正,實(shí)事求是，不走過(guò)場(chǎng)，不弄虛作假,不隱瞞真實(shí)情況。對(duì)檢查結(jié)果和所提的意見(jiàn)和建議負(fù)責(zé)。受AAAAA公司委托,定期對(duì)其生產(chǎn)作業(yè)場(chǎng)所進(jìn)行安全檢査。檢查時(shí)做到全面細(xì)致,不留死角。確保經(jīng)檢查、整改和復(fù)查,安全制度、應(yīng)急救援、消防設(shè)施、安全設(shè)施等重要設(shè)施,屏蔽機(jī)房等重要場(chǎng)所部位符合相關(guān)規(guī)范要求。對(duì)安全檢查中查出的問(wèn)題和隱患應(yīng)逐一向AAAAA公司交底,并提出整改意見(jiàn)和建議;對(duì)查出的重大事故隱患應(yīng)及時(shí)通報(bào)AAAAA公司結(jié)束后,應(yīng)如實(shí)記錄檢查情況,并在檢查記錄上簽字。針對(duì)AAAAA公司信息安全事故隱患，適時(shí)對(duì)整改情況進(jìn)行復(fù)查,整改復(fù)查情況應(yīng)如實(shí)記錄并由AAAAA公司存檔。專家小組任職要求:1、碩士以上學(xué)歷;2、了解并熟悉信息工程及相關(guān)領(lǐng)域知識(shí);2、熟悉相關(guān)法律法規(guī)及規(guī)范/標(biāo)準(zhǔn);3、了解ISO9001管理體系;4、具備注冊(cè)安全工程師、注冊(cè)安全評(píng)價(jià)師、注冊(cè)風(fēng)險(xiǎn)評(píng)價(jià)師等資質(zhì)證書優(yōu)先考慮；5、熟悉國(guó)家及地方政府對(duì)環(huán)境、健康與安全方面的政策法規(guī)6、具備良好的組織協(xié)調(diào)能力、溝通能力及團(tuán)隊(duì)協(xié)作能力;7、良好的語(yǔ)言表達(dá)、交流能力。8、具備保密意識(shí)4信息安全小組權(quán)限系統(tǒng)管理員系統(tǒng)管理員擁有最高的管理權(quán)限,包括更改系統(tǒng)和網(wǎng)絡(luò)配置,新增用戶。網(wǎng)絡(luò)管理員、主機(jī)管理員網(wǎng)絡(luò)和主機(jī)管理員的權(quán)限僅次于系統(tǒng)管理員,包括更改系統(tǒng)和網(wǎng)絡(luò)配置,但無(wú)法新增用戶。安全管理員安全管理員只擁有管理權(quán),包括查看安全日志,安全設(shè)備配置的變更、備份、環(huán)境的安全等。機(jī)房管理員機(jī)房管理員只擁有對(duì)硬件設(shè)備的操作權(quán)，但無(wú)法對(duì)硬件配置進(jìn)行任何更改,機(jī)房管理員登錄硬件設(shè)備的帳號(hào)只有查看權(quán)。安全審計(jì)員安全管理員只擁有審計(jì)權(quán),包括查看審計(jì)日志,審核審查系統(tǒng)和網(wǎng)絡(luò)配置更改,審查各種數(shù)據(jù)庫(kù)記錄等。4.1.5信息安全管理人員AAAAA公司設(shè)置有系統(tǒng)管理員、安全管理員和安全審計(jì)員、應(yīng)用管理員、主機(jī)管理員、機(jī)房管理員,配備多名管理人員和技術(shù)人員承擔(dān)信息系統(tǒng)日常運(yùn)行維護(hù)和管理任務(wù)。AAAAA公司將部分工作委托給專業(yè)技術(shù)公司完成,并和公司簽訂保密協(xié)議。AAAAA公司應(yīng)用管理員、主機(jī)管理員、安全管理員、機(jī)房管理員、網(wǎng)絡(luò)管理員以及安全審計(jì)員,承擔(dān)信息系統(tǒng)日常運(yùn)行維護(hù)和管理任務(wù)。（備份管理員操作變更詳見(jiàn)附12:備份管理員操作變更申請(qǐng)單）各機(jī)構(gòu)人員情況如下表所示:

AAAAA公司信息安全領(lǐng)導(dǎo)小組角色職務(wù)姓名聯(lián)系電話組長(zhǎng)副組長(zhǎng)AAAAA公司信息安全小組系統(tǒng)/主機(jī)管理員機(jī)房管理員網(wǎng)絡(luò)管理員應(yīng)用管理員AAAAA公司信息安全后備小組備份系統(tǒng)/主機(jī)管理員備份機(jī)房管理員備份網(wǎng)絡(luò)管理員備份應(yīng)用管理員AAAAA公司信息小組信息化三員角色職務(wù)姓名聯(lián)系電話系統(tǒng)管理員安全管理員安全審計(jì)員4.1.6關(guān)鍵崗位協(xié)議涉及到核心系統(tǒng)、數(shù)據(jù)庫(kù)的管理人員為關(guān)鍵崗位管理人員,如主機(jī),安全管理人員需要明確其職責(zé),并需要簽訂崗位職責(zé)協(xié)議書,在崗人員只能從事協(xié)議書內(nèi)相關(guān)的工作,不能有越權(quán)行為。AAAAA公司XXXXX系統(tǒng)管理員崗位協(xié)議書名字 部門職責(zé)范圍:.負(fù)責(zé)保障主機(jī)（包括服務(wù)器設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、數(shù)據(jù)備份）；.信息安全日常管理包括系統(tǒng)口令管理、無(wú)人值守設(shè)備管理、屏幕保護(hù)、便攜機(jī)管理等,促使每位人員的日常工作符合AAAAA公司的BBBBB系統(tǒng)的信息安全策略和制度要求。.負(fù)責(zé)主機(jī)運(yùn)行維護(hù)體系和主機(jī)技術(shù)支持平臺(tái)的建設(shè)與運(yùn)行管理建立服務(wù)器設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、數(shù)據(jù)備份文檔化的操作和維護(hù)規(guī)程,使得各個(gè)相關(guān)人員能夠采用規(guī)范化的形式對(duì)系統(tǒng)進(jìn)行操作,降低和避免因誤操作所引發(fā)信息安全事件的可能性。.重要信息和信息系統(tǒng)備份定期進(jìn)行重要信息和信息系統(tǒng)備份，并對(duì)備份介質(zhì)進(jìn)行安全地保存，以及對(duì)備份數(shù)據(jù)定期進(jìn)行備份測(cè)試驗(yàn)證,保證各種備份信息的保密性、完整性和可用性,確保所有重要信息系統(tǒng)和重要數(shù)據(jù)在故障、災(zāi)難后及其它特定要求下進(jìn)行可靠的恢復(fù)。.負(fù)責(zé)統(tǒng)一部署防病毒軟件,并定期更新病毒庫(kù);.負(fù)責(zé)全系統(tǒng)的計(jì)算機(jī)惡意代碼防治和主機(jī)安全的管理工作，制定檢查計(jì)劃（包含在主機(jī)巡檢工作中）,督促檢查工作;.負(fù)責(zé)重要信息系統(tǒng)的訪問(wèn)控制管理,對(duì)系統(tǒng)特殊權(quán)限和系統(tǒng)實(shí)用工具的使用進(jìn)行嚴(yán)格的審批和監(jiān)管;.負(fù)責(zé)組織實(shí)施主機(jī)各類事故（故障）的應(yīng)急處理。.嚴(yán)格遵守保密協(xié)議。簽字確認(rèn): 年月日備注:AAAAA公司永久存檔AAAAA公司XXXXX安全管理員崗位協(xié)議書3字部門職責(zé)范圍:.負(fù)責(zé)我局安全制度的貫徹執(zhí)行;.負(fù)責(zé)制訂信息系統(tǒng)安全規(guī)劃,并在實(shí)施過(guò)程中逐步完善;.負(fù)責(zé)制定我局安全設(shè)備或系統(tǒng)的相關(guān)資產(chǎn)清單。內(nèi)容包括資產(chǎn)管理的責(zé)任部門、資產(chǎn)名稱、重要程度、所處位置等；.負(fù)責(zé)制定安全設(shè)備或系統(tǒng)的文檔化的操作和維護(hù)規(guī)程,使得相關(guān)人員能夠采用規(guī)范化的形式對(duì)系統(tǒng)進(jìn)行操作,降低和避免因誤操作所引發(fā)信息安全事件的可能性；.負(fù)責(zé)我局安全設(shè)備或系統(tǒng)運(yùn)行維護(hù)管理，對(duì)安全設(shè)備或系統(tǒng)運(yùn)轉(zhuǎn)情況進(jìn)行定期巡檢、維護(hù)、故障處理和變更管理。負(fù)責(zé)組織實(shí)施安全設(shè)備或系統(tǒng)各類事故（故障）的應(yīng)急處理；.每年進(jìn)行風(fēng)險(xiǎn)評(píng)估,根據(jù)評(píng)估結(jié)果會(huì)同其他負(fù)責(zé)人進(jìn)行風(fēng)險(xiǎn)處置；.負(fù)責(zé)協(xié)助領(lǐng)導(dǎo)安排安全培訓(xùn),負(fù)責(zé)協(xié)助負(fù)責(zé)制定每年安全教育計(jì)劃,加強(qiáng)信息系統(tǒng)的安全教育,通過(guò)各種方式進(jìn)行宣傳和培訓(xùn),提高全系統(tǒng)安全防范意識(shí)；.負(fù)責(zé)制定安全檢查計(jì)劃包括檢查職責(zé)、檢查周期、檢查范圍、檢查內(nèi)容、檢查報(bào)告的編制、檢査整改、檢查通報(bào)等內(nèi)容。對(duì)信息系統(tǒng)安全檢查并進(jìn)行情況通報(bào)。對(duì)記錄進(jìn)行收集、整理、歸檔。.當(dāng)出現(xiàn)安全事件時(shí),負(fù)責(zé)對(duì)發(fā)生的安全事件及時(shí)上報(bào),并配合相關(guān)的調(diào)查和糾正工作；.當(dāng)信息系統(tǒng)運(yùn)行發(fā)生重大問(wèn)題時(shí),協(xié)助相關(guān)部門正確判斷原因,根據(jù)指令立即采取安全措施啟動(dòng)相關(guān)處理程序；.負(fù)責(zé)與外部安全機(jī)構(gòu)的協(xié)調(diào)聯(lián)系，在發(fā)生重大安全事件時(shí)以協(xié)調(diào)獲取外部安全機(jī)構(gòu)的支持；.負(fù)責(zé)對(duì)介質(zhì)的管理對(duì)介質(zhì)的歸檔、查詢和借用進(jìn)行記錄,對(duì)介質(zhì)進(jìn)行定期盤點(diǎn)并記錄,對(duì)故障介質(zhì)的進(jìn)行送修和銷毀并記錄，對(duì)于保密性高的介質(zhì)銷毀需要申報(bào)領(lǐng)導(dǎo)批準(zhǔn),并進(jìn)行記錄。對(duì)介質(zhì)物理傳輸?shù)慕唤舆M(jìn)行記錄。.加強(qiáng)對(duì)信息系統(tǒng)外包業(yè)務(wù)與外包方的管理在與信息系統(tǒng)外包方簽署的服務(wù)協(xié)議中,對(duì)信息系統(tǒng)安全加以要求。通過(guò)審批、訪問(wèn)控制、監(jiān)控、簽署保密協(xié)議等措施,加強(qiáng)外部方訪問(wèn)“健康檔案”的管理,防止外部方危害信息系統(tǒng)安全。.重視對(duì)IT服務(wù)連續(xù)性的管理，建立對(duì)各類信息安全事件的預(yù)防、預(yù)警、響應(yīng)、處置、恢復(fù)機(jī)制,并編寫相應(yīng)的應(yīng)急預(yù)案;.在符合國(guó)家密碼管理相關(guān)規(guī)定的條件下,合理使用密碼技術(shù)和密碼設(shè)備,嚴(yán)格密鑰生成、分發(fā)、保存等方面的安全管理,保障密碼技術(shù)使用的安全性。.嚴(yán)格遵守保密協(xié)議。簽字確認(rèn): 年月日—備注:AAAAA公司永久存檔AAAAA公司XXXXX安全審計(jì)員崗位協(xié)議名字 部門職責(zé)范圍:.參與制定我局規(guī)章制度和流程，規(guī)章制度和流程培訓(xùn)與宣傳;.根據(jù)我局的審計(jì)要求制定審計(jì)計(jì)劃，定期或不定期的開(kāi)展審計(jì)工作,撰寫審計(jì)報(bào)告,開(kāi)展風(fēng)險(xiǎn)評(píng)估,發(fā)現(xiàn)安全漏洞或隱患,提交處理報(bào)告和切合實(shí)際可操作的處理方案,指導(dǎo)實(shí)施;.負(fù)責(zé)我局機(jī)房安全審計(jì),負(fù)責(zé)數(shù)據(jù)庫(kù)服務(wù)器、數(shù)據(jù)備份與災(zāi)難恢復(fù)審計(jì);.負(fù)責(zé)我局操作系統(tǒng)安全審計(jì),關(guān)鍵系統(tǒng)的用戶角色權(quán)限審計(jì);.負(fù)責(zé)我局日常信息安全規(guī)章制度和流程的執(zhí)行審計(jì),信息系統(tǒng)環(huán)境安全審計(jì)等;.對(duì)被審計(jì)部門提供咨詢、建議、協(xié)調(diào)等服務(wù)和公司領(lǐng)導(dǎo)安排的相關(guān)エ作；.負(fù)責(zé)對(duì)系統(tǒng)管理員、安全管理員的操作行為進(jìn)行審計(jì)跟蹤分析和監(jiān)督檢查,及時(shí)發(fā)現(xiàn)違規(guī)行為，每月向信息安全中心匯報(bào)工作情況；

8、嚴(yán)格遵守保密協(xié)議。簽字確認(rèn):一年 月 日備注:AAAAA公司永久存檔第五章信息安全授權(quán)及審批管理制度信息安全授權(quán)及審批管理制度在系統(tǒng)運(yùn)維過(guò)程中,對(duì)信息系統(tǒng)的訪問(wèn)、變更等授權(quán)給AAAAA公司的BBBBB系統(tǒng)運(yùn)維管理人員。具體為機(jī)房管理員負(fù)責(zé)機(jī)房相關(guān)事務(wù)的授權(quán)和審批;網(wǎng)絡(luò)管理員負(fù)責(zé)網(wǎng)絡(luò)相關(guān)事務(wù)的授權(quán)和審批;主機(jī)管理員負(fù)責(zé)主機(jī)相關(guān)事務(wù)的授權(quán)和審批;應(yīng)用系統(tǒng)管理員負(fù)責(zé)應(yīng)用相關(guān)事務(wù)的授權(quán)和審批。授權(quán)審批流程如下:由相關(guān)信息安全組長(zhǎng)判斷職責(zé)、并授權(quán)給相應(yīng)的管理人員；由外包服務(wù)公司申請(qǐng),相應(yīng)的管理員進(jìn)行授權(quán)、審批（見(jiàn)附15）；填寫授權(quán)審批表（見(jiàn)附16）；組織AAAAA公司人員每季度審查審批事項(xiàng),及時(shí)更新需授權(quán)和審批的項(xiàng)目、審批部門和審批人等信息,保存審批文檔。需授權(quán)的審批事項(xiàng)如下;事項(xiàng)類型事項(xiàng)名稱負(fù)責(zé)人硬件運(yùn)維硬件維修進(jìn)出機(jī)房服務(wù)器配置變更系統(tǒng)配置變更安全變更特權(quán)用戶授權(quán)（主機(jī)、網(wǎng)絡(luò)）特權(quán)用戶授權(quán)（數(shù)據(jù)庫(kù)）系統(tǒng)軟件應(yīng)用變更數(shù)據(jù)庫(kù)變更第六章審核與檢查管理制度6.1審核與檢查管理制度1.1定期安全檢查由安全領(lǐng)導(dǎo)小組組織專門人員每三個(gè)月進(jìn)行安全檢查;對(duì)包括網(wǎng)絡(luò)、安全設(shè)備、系統(tǒng)、文檔等各方面的安全檢查;檢查完畢后提交檢查報(bào)告,并由AAAAA公司安全管理員進(jìn)行檢查報(bào)告復(fù)核,確定安全檢查結(jié)果,并對(duì)于不符合要求的地方提出整改措施并規(guī)定整改期限,以電子郵件或書面形式通知被檢查人員;（詳見(jiàn)附17）檢查時(shí)針對(duì)上一次的檢查結(jié)果進(jìn)行復(fù)查,若發(fā)現(xiàn)仍未整改的,需上報(bào)信息安全領(lǐng)導(dǎo)小組并進(jìn)行書面通告。（詳見(jiàn)附18）安全檢查流程6.1.2文件審批與發(fā)布管理制度安全管理員根據(jù)ISO/IEC27001：2005《信息安全管理體系要求》，結(jié)合部門職責(zé)及信息安全管理流程,負(fù)責(zé)組織編制信息安全管理體系文件,形成初稿;安全管理員負(fù)責(zé)組織對(duì)信息安全管理體系文件的評(píng)審,并將審核后的文件報(bào)AAAAA公司,由信息安全領(lǐng)導(dǎo)小組領(lǐng)導(dǎo)對(duì)信息安全管理體系文件進(jìn)行核準(zhǔn)，形成最終的報(bào)審稿;安全管理員負(fù)責(zé)對(duì)信息安全管理體系文件的報(bào)審稿進(jìn)行登記、核稿后,報(bào)送領(lǐng)導(dǎo)審閱、簽批；組織相關(guān)人員進(jìn)行評(píng)審，領(lǐng)導(dǎo)審閱、簽批后發(fā)布；信息安全管理體系文件由安全管理員發(fā)放到各負(fù)責(zé)人,由各負(fù)責(zé)人按規(guī)定的發(fā)放范圍發(fā)至相關(guān)職屬范圍人員,由安全管理員按規(guī)定的發(fā)放范圍發(fā)至相關(guān)各部門,程序文件、信息安全管理手冊(cè)封面加蓋“受控”章進(jìn)行標(biāo)識(shí),統(tǒng)ー編號(hào);?崗位人員變動(dòng)時(shí),由文件主管部門及時(shí)收回原崗位各類文件,發(fā)放現(xiàn)崗位工作所依據(jù)的文件，以保證信息安全管理體系的有效運(yùn)行;崗位人員調(diào)離或退休時(shí),應(yīng)先向AAAAA公司交回其所領(lǐng)用的文件后,方可辦理有關(guān)手續(xù);信息安全管理手冊(cè)和程序文件制發(fā)后,需保留1份，連同簽批原件和電子版ー并歸安全管理員存檔;文件更換新版后,由安全管理員收回作廢的文件,并做好回收記錄;由安全管理員定期檢查文件的適用情況,并對(duì)現(xiàn)有文件的有效性進(jìn)行評(píng)審。對(duì)不合適的地方進(jìn)行修訂,必要時(shí)更換新版;外來(lái)文件由相應(yīng)的責(zé)任部門負(fù)責(zé)接收和管理。第七章辦公環(huán)境管理制度7.1辦公環(huán)境管理制度1）總體要求:a）各類物品擺放整齊、有序,功能布局清晰。b）所有區(qū)域應(yīng)保持清潔衛(wèi)生。c）標(biāo)識(shí)統(tǒng)ー規(guī)范，不隨意張貼。d）員エ應(yīng)嚴(yán)格遵行《崗位行為規(guī)范》要求。e）愛(ài)護(hù)公共設(shè)備設(shè)施；f）遵循ISO環(huán)境管理體系要求。g）工作人員調(diào)離辦公室應(yīng)立即交還該辦公室鑰匙h）不在辦公區(qū)接待來(lái)訪人員等2）個(gè)人辦公區(qū)域標(biāo)準(zhǔn)a）辦公桌椅排放整齊,椅子不得放在走道內(nèi)阻礙通行；b）桌面上允許擺放的物品包括:電腦、茶杯、常用辦公用品、小飾物（1-2件）及1個(gè)月內(nèi)常用資料和工作文件。c）臺(tái)式電腦放置于兩條桌邊垂直角上,立式主機(jī)放置于桌底下；d）文件資料擺放在辦公桌側(cè)邊處；e）常用辦公用品、茶杯、小飾物放置在正前方區(qū)域;f）1個(gè)月以上不常用物品應(yīng)整理放置于櫥柜內(nèi);g）不亂貼亂釘與工作無(wú)關(guān)的物品,隔斷類辦公桌區(qū)域內(nèi)粘貼紙張不得超過(guò)隔斷上邊緣；h）抽屜內(nèi)物品擺放整齊有序,常用物品隨手可??；i）與工作無(wú)關(guān)的物品須整齊存放于隱蔽地方；j）每日下班離崗前須整理桌面物品、文件資料,恢復(fù)標(biāo)準(zhǔn)放置狀態(tài)；k）辦公文件資料須分門別類整理、有標(biāo)識(shí)的存放,便于查找和取拿；1）保持個(gè)人區(qū)域范圍內(nèi)的清潔,；m）電器線路整齊束扎,下班、雙休、長(zhǎng)假期關(guān)閉拖線板總電源;n）愛(ài)護(hù)公物,做好貴重物品的妥善保管和看護(hù)；3）公共區(qū)域環(huán)境標(biāo)準(zhǔn)a）辦公桌椅、文件柜、儲(chǔ)物柜、辦公設(shè)備、綠化擺放整齊、布局清晰有序,頂部角落無(wú)雜物堆放；b）地面、柜面、桌面、公共設(shè)備表面清潔無(wú)灰塵；c）文件柜內(nèi)文件資料和各類物品分類擺放,有標(biāo)識(shí)；d）在指定區(qū)域內(nèi)張貼。4）辦公行為a）上班著裝整潔得體。b）工作時(shí)間不做與工作無(wú)關(guān)的事；c）公共辦公區(qū)域內(nèi)禁止吸煙；d）保持防火、防盜安全意識(shí)；e）遵守環(huán)境體系要求,節(jié)約能源紙張,垃圾分類投放。f）離開(kāi)辦公室應(yīng)注意關(guān)閉電腦、電燈、空調(diào)、飲水機(jī)、打印機(jī)、復(fù)印機(jī)等設(shè)備設(shè)施電源，并檢查門窗是否關(guān)閉上鎖。g）愛(ài)護(hù)公用設(shè)備設(shè)施，按規(guī)定正確使用。5）辦公設(shè)備管理a）辦公設(shè)備屬公司國(guó)家財(cái)產(chǎn),主要包括辦公桌椅、電腦及電腦的各種組件、電腦軟件、網(wǎng)絡(luò)設(shè)備、打印機(jī)、復(fù)印機(jī)、掃描儀、存儲(chǔ)柜等;b）辦公設(shè)備分配到個(gè)人后，使用人須自覺(jué)妥善放置和保管，并愛(ài)護(hù)使用；c）愛(ài)護(hù)公共設(shè)備設(shè)施,不浪費(fèi)或故意損壞;d）使用人未能合理使用而造成設(shè)備損壞的則需照價(jià)賠償;e）借用公用辦公設(shè)備須及時(shí)歸還,如有丟失或損壞,由借用人負(fù)責(zé)照價(jià)賠償。f）未經(jīng)允許,不得隨意挪用他人或公用辦公設(shè)備;g）設(shè)備使用人須配合辦公設(shè)備管理員的工作;第八章溝通與合作管理制度8.I溝通與合作管理制度8.1.1信息安全例會(huì)管理（一）中層信息安全例會(huì)由信息安全工作小組負(fù)責(zé)發(fā)起，至少每月需要組織ー次常規(guī)的信息安全例會(huì),例會(huì)參會(huì)人員至少要包括信息安全工作小組主要成員和執(zhí)行層各角色的管理人員。在發(fā)生小范圍內(nèi)信息安全事件時(shí)如需要,信息安全エ作小組可隨時(shí)召集發(fā)起信息安全工作會(huì)議,通知相關(guān)人員參加,就信息安全管理各項(xiàng)制度和執(zhí)行情況做出及時(shí)調(diào)整和部署。（二）常規(guī)的中層信息安全例會(huì)的主要內(nèi)容是就各階段的信息安全檢查結(jié)果進(jìn)行上會(huì)檢查和審批,對(duì)信息安全檢查中發(fā)現(xiàn)的各項(xiàng)問(wèn)題提出解決辦法和規(guī)避措施,對(duì)外包運(yùn)維人員的工作內(nèi)容進(jìn)行確認(rèn)和審核,就發(fā)現(xiàn)的各類信息安全問(wèn)題及時(shí)提出解決方案并落實(shí)到相關(guān)責(zé)任人。（三）遇有工程或項(xiàng)目時(shí),可根據(jù)工程和項(xiàng)目進(jìn)度情況或者工程和項(xiàng)目的需要隨時(shí)召開(kāi)信息安全例會(huì),且可不拘泥于信息安全工作小組范圍,可召集相關(guān)的合作單位、合作方、內(nèi)部相關(guān)部門的相關(guān)人員ー起參加信息安全例會(huì),并由XXXXX做好例會(huì)的記錄工作。（四）高層信息安全例會(huì)由信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)發(fā)起，至少每季度需要組織一次常規(guī)的高層信息安全例會(huì),例會(huì)參會(huì)人員包括信息安全領(lǐng)導(dǎo)小組主要成員。在發(fā)生大范圍的信息安全事件、有重大信息安全事件發(fā)生、或者有重大信息系統(tǒng)建設(shè)項(xiàng)目時(shí)，如有必要，由信息安全領(lǐng)導(dǎo)小組發(fā)起，或者由信息安全工作小組提議,由信息安全領(lǐng)導(dǎo)小組發(fā)起高層信息安全領(lǐng)導(dǎo)小組會(huì)議,通知相關(guān)人員參加,及時(shí)協(xié)調(diào)各方資源,共同協(xié)作,解決相關(guān)問(wèn)題,或完成各項(xiàng)部署。（五）常規(guī)的高層信息安全例會(huì)的主要內(nèi)容是聽(tīng)取信息安全工作小組的信息安全工作季度報(bào)告,就信息安全各項(xiàng)工作根據(jù)報(bào)告提出調(diào)整和解決方案，并協(xié)調(diào)各方資源，共同協(xié)作,完成各項(xiàng)信息安全工作。高層信息安全例會(huì)的另一重要內(nèi)容是就信息安全管理體系的各項(xiàng)管理制度，根據(jù)運(yùn)行中發(fā)現(xiàn)的問(wèn)題，及時(shí)進(jìn)行調(diào)整和部署，不斷完善信息安全管理體系。8.1.2外部協(xié)作管理（-）由信息安全工作小組負(fù)責(zé)建立并保持與兄弟單位的合作與溝通，就兄弟單位的成熟經(jīng)驗(yàn)、政策法規(guī)、當(dāng)前的信息熱點(diǎn)事件展開(kāi)交流與合作。如交流與合作內(nèi)容比較正式,且有正式的會(huì)議形式,則需要由XXXXX做好會(huì)議記錄工作,會(huì)議記錄的模板可用信息安全例會(huì)的模板代替,但會(huì)議主題需注明為“合作溝通”。（二）由信息安全工作小組負(fù)責(zé)建立并加強(qiáng)與供應(yīng)商、業(yè)界專家、專業(yè)的安全公司、安全組織的合作與溝通，就最新信息安全技術(shù)、信息熱點(diǎn)事件等進(jìn)行交流和咨詢（詳見(jiàn)附19）。如交流與合作內(nèi)容比較正式,且有正式的會(huì)議形式，則需要由XXXXX做好會(huì)議記錄工作（詳見(jiàn)附20）,會(huì)議記錄的模板可用信息安全例會(huì)的模板代替,但會(huì)議主題需注明為“合作溝通”。第九章人員入崗管理制度信息安全條款信息安全相關(guān)條款包括以下方面:崗位相關(guān)的法律職責(zé)和權(quán)利;信息系統(tǒng)相關(guān)資產(chǎn)的管理職責(zé);操作其他組織和機(jī)構(gòu)信息的職責(zé);保護(hù)個(gè)人信息方面的安全職責(zé),包括對(duì)個(gè)人隱私保密,不濫用個(gè)人信息等;在辦公區(qū)域外和正常工作時(shí)間之外的職責(zé);信息安全違規(guī)將受到的懲戒措施。保密協(xié)議根據(jù)崗位安全職責(zé),對(duì)重要崗位制定相應(yīng)的保密協(xié)議。保密協(xié)議包括以下方面的內(nèi)容（詳見(jiàn)附22）：崗位所要保護(hù)的信息;協(xié)議有效期;協(xié)議終止時(shí)所應(yīng)采取的措施;為避免泄密,簽字人的職責(zé)和行為；保密協(xié)議與知識(shí)產(chǎn)權(quán)保護(hù)、商業(yè)秘密保護(hù)的關(guān)系；協(xié)議終止時(shí)信息的歸檔或銷毀的措施；違反協(xié)議后應(yīng)采取的措施。人員錄用和上崗安全管理指定或授權(quán)專門的部門或人員負(fù)責(zé)人員錄用,每位入崗人員都必須如實(shí)填寫個(gè)人相關(guān)情況（見(jiàn)附23）；嚴(yán)格規(guī)范人員錄用過(guò)程,對(duì)被錄用人的身份、背景、專業(yè)資格和資質(zhì)等進(jìn)行審查,對(duì)其所具有的技術(shù)技能進(jìn)行審核（見(jiàn)附24）；崗位人員在任用之前應(yīng)簽署保密協(xié)議（見(jiàn)附22）；從內(nèi)部人員中選拔從事關(guān)鍵崗位的人員，并簽署崗位安全協(xié)議;（見(jiàn)附25）各單位（部門）應(yīng)通過(guò)教育和培訓(xùn)活動(dòng),確保本單位（部門）員エ、外來(lái)人員在上崗前,理解其崗位信息安全角色和職責(zé)；各單位（部門）應(yīng)確保在針對(duì)本單位員エ的崗前培訓(xùn)中,包括信息安全管理體系和相關(guān)管理制度、崗位信息安全職責(zé)等信息安全相關(guān)的內(nèi)容。第十章人員在崗管理制度人員在崗信息安全管理崗位信息安全檢査AAAAA公司全體成員應(yīng)提高安全意識(shí),定期對(duì)本部門崗位進(jìn)行信息安全檢查,確保信息安全規(guī)定得到了有效地執(zhí)行;AAAAA公司的BBBBB系統(tǒng)安全小組不定期抽查各部門的崗位信息安全職責(zé)的落實(shí)情況,確保各部門的崗位信息安全職責(zé)的落實(shí)。1.2信息安全違規(guī)紀(jì)律處理?對(duì)于信息安全事故和在信息安全檢查中發(fā)現(xiàn)的違規(guī)行為,由根據(jù)有關(guān)考核規(guī)定對(duì)該人員進(jìn)行處罰;?對(duì)于情節(jié)特別嚴(yán)重的違規(guī)行為,需向全體人員進(jìn)行通報(bào)和宣傳,避免同類問(wèn)題再次發(fā)生。人員考核定期對(duì)各個(gè)崗位的人員進(jìn)行安全技能及安全認(rèn)知的考核;（詳見(jiàn)附26）對(duì)關(guān)鍵崗位的人員進(jìn)行全面、嚴(yán)格的安全審查和技能考核；對(duì)考核結(jié)果進(jìn)行記錄和保存（詳見(jiàn)附27）。對(duì)于考核不合格人員進(jìn)行補(bǔ)充安全教育,如超過(guò)兩次不合格者將采用一定程度處罰措施,情節(jié)嚴(yán)重者將嚴(yán)肅處理。關(guān)鍵崗位考核制度?關(guān)鍵崗位需要由XXXXX領(lǐng)導(dǎo)直接考核;?對(duì)關(guān)鍵崗位人員需要從政治面貌，工作態(tài)度，業(yè)務(wù)能力等方面入手進(jìn)行考核與審查,每年度一次（附28）；?關(guān)鍵崗位業(yè)務(wù)能力的考核根據(jù)崗位要求每年度有所變動(dòng),但基本安全要求不變,都需要通過(guò)人員考核中相關(guān)考核內(nèi)容;第十一章信息安全培訓(xùn)制度信息安全培訓(xùn)制度對(duì)各類人員進(jìn)行安全意識(shí)教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)1（附29）；對(duì)安全責(zé)任和懲戒措施進(jìn)行書面規(guī)定并告知相關(guān)人員,對(duì)違反違背安全策略和規(guī)定的人員進(jìn)行懲戒；對(duì)定期安全教育和培訓(xùn)進(jìn)行書面規(guī)定,針對(duì)不同崗位制定不同的培訓(xùn)計(jì)劃,對(duì)信息安全基礎(chǔ)知識(shí)、崗位操作規(guī)程等進(jìn)行培訓(xùn)；對(duì)于定期舉辦的信息安全培訓(xùn)IAAAAA公司相關(guān)員エ都必須參加,每位培訓(xùn)人員都必須填寫培訓(xùn)簽到表格予以確認(rèn)（見(jiàn)附30）；對(duì)安全教育和培訓(xùn)的情況和結(jié)果進(jìn)行記錄并歸檔保存（見(jiàn)附31）；培訓(xùn)手段多樣化，包括講座、觀看影視資料、學(xué)習(xí)信息安全材料等。不斷的提高信息安全防范意識(shí)；年初由組織統(tǒng)ー制定全年的安全意識(shí)教育和培訓(xùn)計(jì)劃;統(tǒng)ー發(fā)布至各部門,并在組織年內(nèi)具體落實(shí)；（見(jiàn)附32）每半年舉行ー次信息安全培訓(xùn),培訓(xùn)對(duì)象包括AAAAA公司所有員エ；培訓(xùn)內(nèi)容包括信息安全基礎(chǔ)、信息安全崗位操作流程等；對(duì)于新錄用的員ェ,需要單獨(dú)進(jìn)行安全培訓(xùn)；培訓(xùn)手段多樣化,包括講座、觀看影視資料、學(xué)習(xí)信息安全材料等。不斷的提高信息安全防范意識(shí)；培訓(xùn)結(jié)束后,需要每個(gè)參與人員填寫信息安全培訓(xùn)結(jié)果反饋和心得體會(huì),并統(tǒng)ー歸檔保存。并對(duì)培訓(xùn)內(nèi)容進(jìn)行考核（見(jiàn)附33）并記錄（見(jiàn)附34）；第十二章人員離崗管理制度人員離崗離職安全管理離職人員應(yīng)當(dāng)提出辭職書面申請(qǐng),并填寫《人員離崗/職審批表》（見(jiàn)附36）一式二份,經(jīng)其所在部門、信息安全小組逐級(jí)審核通過(guò)方可辦理離職手續(xù)。明確人員離職和轉(zhuǎn)崗時(shí)的手續(xù),明確離職和轉(zhuǎn)崗管理職責(zé)。職責(zé)一般包括:歸還資產(chǎn)方面各相關(guān)單位（部門）的職責(zé);撤銷訪問(wèn)權(quán)方面各相關(guān)單位（部門）的職責(zé);崗位人員變動(dòng)方面各相關(guān)單位（部門）的職責(zé);離開(kāi)崗位后還應(yīng)承擔(dān)的責(zé)任,如保密限制等。1.1資產(chǎn)歸還離崗人員在離崗時(shí)歸還其使用的資產(chǎn),包括所有先前發(fā)放的軟件、訪問(wèn)卡、文件和設(shè)備等。相關(guān)單位（部門）應(yīng)與離崗人員進(jìn)行離崗交接,并做好記錄（見(jiàn)附36）；離崗人員應(yīng)就其涉及到的專利、技術(shù)文檔等及時(shí)向所在單位（部門）上交;人員在離崗時(shí),應(yīng)對(duì)正在實(shí)施的項(xiàng)目中的相關(guān)信息形成文檔并提交給相關(guān)單位（部門），進(jìn)行項(xiàng)目交接。1.2訪問(wèn)權(quán)限回收?各單位（部門）在人員任用終止時(shí),應(yīng)按照離崗手續(xù),通知相關(guān)單位（部門）對(duì)該人員使用信息和信息系統(tǒng)的權(quán)限進(jìn)行調(diào)整;?信息安全中心依照相關(guān)人員的個(gè)人權(quán)限清單和業(yè)務(wù)部門授權(quán)文件的要求,修改、限制或刪除相關(guān)信息和信息系統(tǒng)的訪問(wèn)權(quán)限,包括物理訪問(wèn)、邏輯訪問(wèn)、密鑰及ID卡等,并作相應(yīng)記錄；?信息安全中心應(yīng)立即撤銷或停用離崗人員所使用的賬戶,或者修改離崗人員所掌握的系統(tǒng)帳戶口令。3離職后信息安全職責(zé)的追蹤和管理?離職人員應(yīng)明確其離職后仍需擔(dān)負(fù)的安全責(zé)任和義務(wù),以及違反安全責(zé)任和義務(wù)所引發(fā)的后果;?如發(fā)生有離職人員違反其應(yīng)負(fù)的安全責(zé)任,按照有關(guān)規(guī)定和離職保密承諾書（見(jiàn)附37）追究其法律責(zé)任;第十三章外來(lái)人員管理制度第三方人員安全管理第三方人員主要為與我委有業(yè)務(wù)往來(lái)的外單位人員,如項(xiàng)目相關(guān)單位、服務(wù)商單位等相關(guān)人員。第三方在訪問(wèn)前需簽訂責(zé)任書或保密協(xié)議;第三方進(jìn)出機(jī)房等重要區(qū)域前需提交申請(qǐng),并提交安全管理員簽字確認(rèn);審批通過(guò)后需登記進(jìn)出時(shí)間,事件內(nèi)容等信息,并注明陪同人員（見(jiàn)附38）；第三方人員進(jìn)入機(jī)房作業(yè)時(shí),需由機(jī)房管理員全程陪同,不得允許第三方人員單獨(dú)在機(jī)房?jī)?nèi)作業(yè);對(duì)于需要登錄主機(jī)或網(wǎng)絡(luò)設(shè)備時(shí),第三方人員需提交給主機(jī)管理員或網(wǎng)絡(luò)管理員操作指南,經(jīng)主機(jī)或網(wǎng)絡(luò)管理員確認(rèn)并提交安全管理員審批后,由主機(jī)管理員或網(wǎng)絡(luò)管理員代為操作；不得允許第三方人員獨(dú)自改動(dòng)主機(jī)或網(wǎng)絡(luò)配置;對(duì)于需要變更的操作,需先向安全管理員提出申請(qǐng)并審批通過(guò)后方可進(jìn)行;對(duì)于第三方攜帶的移動(dòng)存儲(chǔ)設(shè)備如移動(dòng)硬盤、U盤等,未經(jīng)病毒掃描不得直接插在主機(jī)上:確有需要的,由主機(jī)管理員確認(rèn)后代為操作。外來(lái)人員信息安全管理外來(lái)人員來(lái)本單位訪問(wèn)、參觀時(shí)，應(yīng)對(duì)其進(jìn)行信息安全意識(shí)教育,確保其理解和遵守訪問(wèn)、參觀時(shí)應(yīng)注意的信息安全規(guī)定;外來(lái)人員訪問(wèn)受控區(qū)域時(shí)應(yīng)提交書面申請(qǐng),并在批準(zhǔn)后由機(jī)房管理員陪同并登記備案；（見(jiàn)附39）各單位（部門）應(yīng)要求外部方根據(jù)制度要求,對(duì)其人員進(jìn)行安全職責(zé)的宣傳和教育,確保外來(lái)人員理解其應(yīng)擔(dān)負(fù)的安全責(zé)任和義務(wù);各單位（部門）應(yīng)按照有關(guān)信息安全管理規(guī)定以及制度要求,對(duì)所有外來(lái)人員進(jìn)行監(jiān)督和檢查,并就安全違規(guī)情況按管理制度條款中的要求進(jìn)行處理；第十四章工作人員安全守則工作人員安全守則保護(hù)信息資產(chǎn)的安全是每位工作人員的責(zé)任。每個(gè)工作人員必須認(rèn)識(shí)到信息資產(chǎn)的價(jià)值,負(fù)責(zé)保管好自己所轄的涉及AAAAA公司的數(shù)據(jù)和信息;每個(gè)工作人員必須遵守AAAAA公司信息保密策略規(guī)定,了解信息的重要度級(jí)別。對(duì)于不能確定是否為涉密信息或重要信息的，在對(duì)外披露時(shí),必須征得安全責(zé)任人的同意;工作人員必須遵守“AAAAA公司”制定并下發(fā)的安全保密管理體系;工作人員必須了解安全事件處理流程,并能遵守和使用；XXXXX有權(quán)對(duì)工作人員的計(jì)算機(jī)設(shè)備定期審查；工作人員登錄或使用AAAAA公司核心網(wǎng)絡(luò)和系統(tǒng)的所有操作,都將被記錄形成日志備查；對(duì)于自己的計(jì)算機(jī)必須設(shè)置開(kāi)機(jī)口令（所有計(jì)算機(jī)在使用之前必須修改由廠商所設(shè)置的原始口令）；若懷疑口令泄露或經(jīng)過(guò)廠商維修后必須修改口令;當(dāng)離開(kāi)計(jì)算機(jī)時(shí),必須激活帶口令的屏幕保護(hù)程序,或?qū)⑾到y(tǒng)鎖定,或返回登錄狀態(tài),或關(guān)機(jī);設(shè)置的任何口令,必須是字母、數(shù)字和符號(hào)組合,且不少于8位。必須不易被猜測(cè)（不得是自己的生日、電話號(hào)碼、姓名的拼音等）,口令每三個(gè)月更改一次,必須牢記自己的口令;必須使計(jì)算機(jī)設(shè)備與食物、飲料、水、磁性物質(zhì)等保持一定距離,防止計(jì)算機(jī)設(shè)備遭受污染和損壞；對(duì)手提計(jì)算機(jī)、軟盤、移動(dòng)硬盤、閃存等便攜設(shè)備，必須及時(shí)清理鎖入柜中,防止被盜；必須確保所有個(gè)人重要數(shù)據(jù)（如電子郵件、個(gè)人文檔等）及時(shí)備份,并將備份數(shù)據(jù)保存在安全地點(diǎn)；計(jì)算機(jī)必須安裝統(tǒng)一的防病毒軟件,并由防病毒服務(wù)器統(tǒng)ー管理,不得安裝非信息安全中心指定的防病毒軟件或其它安全軟件;外來(lái)存儲(chǔ)介質(zhì)在使用之前、電子郵件等在打開(kāi)之前必須先查殺病毒;當(dāng)認(rèn)為自己的計(jì)算機(jī)可能已感染病毒時(shí),必須立即報(bào)告信息安全中心部門處理;軟盤、光盤、閃存、磁帶等存儲(chǔ)介質(zhì)上的數(shù)據(jù)不再需要時(shí),必須及時(shí)對(duì)數(shù)據(jù)予以清除；當(dāng)用戶的計(jì)算機(jī)出現(xiàn)故障,在維修人員到場(chǎng)維修時(shí),必須現(xiàn)場(chǎng)監(jiān)督維修人員無(wú)拷貝數(shù)據(jù)或打開(kāi)文件的行為,需要送外維修時(shí)應(yīng)當(dāng)確保所有重要信息已經(jīng)備份并在計(jì)算機(jī)上已經(jīng)物理刪除；當(dāng)非本單位人員到本部門辦公區(qū)時(shí),員エ必須詢問(wèn)來(lái)訪目的,不允許非本單位人員無(wú)故逗留；員エ必須對(duì)自己使用的電子郵件系統(tǒng)、辦公系統(tǒng)以及其他應(yīng)用系統(tǒng)的帳號(hào)、口令及進(jìn)行的一切活動(dòng)和事件負(fù)全部責(zé)任；轉(zhuǎn)發(fā)涉及“AAAAA公司”信息的電子郵件到外部地址必須事先經(jīng)過(guò)信息擁有人同意或有關(guān)部門的授權(quán)；用戶若發(fā)現(xiàn)任何非法使用本人帳號(hào)以及其他威脅信息系統(tǒng)安全的情況,必須立即報(bào)告信息安全管理部門；用戶必須經(jīng)常對(duì)電子郵件進(jìn)行備份,把電子郵件中的重要信息導(dǎo)入文字處理文檔、數(shù)據(jù)庫(kù)或其它文件中,防止被用戶本人錯(cuò)誤刪除或當(dāng)系統(tǒng)發(fā)生問(wèn)題時(shí)丟失。同時(shí),電子郵件系統(tǒng)不是被用來(lái)存儲(chǔ)重要信息的,管理員保留對(duì)電子郵件服務(wù)器中儲(chǔ)存的信息定期維護(hù)的權(quán)利；對(duì)涉及重要信息的電子文件,應(yīng)當(dāng)設(shè)置口令；不得共享或透露個(gè)人用戶名和口令,不得將內(nèi)部用戶名和口令借與外單位人員登錄AAAAA公司應(yīng)用系統(tǒng)；不得傳播任何非法的、騷擾性的、中傷他人的、辱罵性的、恐嚇性的、傷害性的、淫穢的等信息數(shù)據(jù)；不準(zhǔn)傳播任何教唆他人構(gòu)成犯罪行為的信息數(shù)據(jù)；不得傳輸助長(zhǎng)國(guó)家不利因素、涉及國(guó)家安全,以及任何不符合國(guó)家法律、法規(guī)、規(guī)章的信息數(shù)據(jù);未經(jīng)許可不得非法進(jìn)入其他的郵件系統(tǒng)；不得盜用他人的郵件帳號(hào)；不得隨意在自己的計(jì)算機(jī)內(nèi)設(shè)置共享目錄,如確有必要,必須設(shè)置口令保護(hù),并在共享完畢后立即取消共享功能;工作人員不得隨意安全軟件,所有相關(guān)軟件都必須由XXXXX人員安裝,并由信息安全中心人員確認(rèn)無(wú)安全危害;非XXXXX人員不得隨意拆卸計(jì)算機(jī)設(shè)備，更改計(jì)算機(jī)系統(tǒng)配置。不得將有重要資料的軟盤、光盤、磁帶等存儲(chǔ)介質(zhì)隨意存放或隨意帶出辦公地點(diǎn)。在使用應(yīng)用系統(tǒng)時(shí)，必須遵守應(yīng)用系統(tǒng)的權(quán)限管理,不得企圖獲取別人的口令或其它認(rèn)證方式,不得攻擊內(nèi)部網(wǎng)絡(luò)或企圖侵入無(wú)權(quán)限的應(yīng)用系統(tǒng);未經(jīng)授權(quán),不得向外部網(wǎng)絡(luò)傳輸涉密信息及重要信息;第十五章信息系統(tǒng)建設(shè)安全管理制度15.1系統(tǒng)總體規(guī)劃設(shè)計(jì)信息系統(tǒng)的安全保護(hù)等級(jí)由業(yè)務(wù)信息安全等級(jí)和系統(tǒng)服務(wù)安全等級(jí)的較高者決定,具體如下:(-)業(yè)務(wù)信息安全保護(hù)等級(jí)的確定1、業(yè)務(wù)信息描述建設(shè)覆蓋業(yè)戶、從業(yè)人員、營(yíng)運(yùn)車輛、營(yíng)業(yè)場(chǎng)所、線路、額度、維保場(chǎng)、運(yùn)價(jià)、設(shè)施、票據(jù)等的上海市城市交通運(yùn)輸管理數(shù)據(jù)庫(kù),包括軌道交通行業(yè)數(shù)據(jù)庫(kù)、公交行業(yè)數(shù)據(jù)庫(kù)、出租行業(yè)數(shù)據(jù)庫(kù)、省際客運(yùn)行業(yè)數(shù)據(jù)庫(kù)、道路貨運(yùn)行業(yè)數(shù)據(jù)庫(kù)、汽修行業(yè)數(shù)據(jù)庫(kù)、駕培行業(yè)數(shù)據(jù)庫(kù)、公共停車行業(yè)數(shù)據(jù)庫(kù)和道路清障救援牽引行業(yè)數(shù)據(jù)庫(kù)等，為綜合管理、公共服務(wù)和行業(yè)發(fā)展的決策支持提供數(shù)據(jù)支撐。建設(shè)覆蓋市、區(qū)(縣)兩級(jí)交港機(jī)構(gòu)的AAAAA公司的BBBBB系統(tǒng),覆蓋本市城市交通運(yùn)輸全行業(yè)的基礎(chǔ)管理、業(yè)務(wù)審核、行政監(jiān)管、安全管理和行業(yè)發(fā)展的五大業(yè)務(wù)領(lǐng)域，依托市法人庫(kù),通過(guò)接入GPS信息、營(yíng)運(yùn)信息、培訓(xùn)信息、車輛檢測(cè)信息等動(dòng)態(tài)數(shù)據(jù),實(shí)現(xiàn)基于動(dòng)靜態(tài)數(shù)據(jù)的城市交通運(yùn)輸行業(yè)一體化管理和服務(wù)。建設(shè)全市出租汽車電子準(zhǔn)營(yíng)證系統(tǒng)。為全市12萬(wàn)出租汽車駕駛員新配IC卡電子準(zhǔn)營(yíng)證。2、業(yè)務(wù)信息受到破壞時(shí)所侵害客體的確定AAAAA公司的BBBBB系統(tǒng)受到破壞后,所侵害的客體是社會(huì)秩序和公民的合法權(quán)益。3、信息受到破壞后對(duì)侵害客體的侵害程度的確定上述結(jié)果的程度表現(xiàn)為一般損害,影響主要功能的執(zhí)行,有限的社會(huì)不良影響,個(gè)人造成一般損害。4、業(yè)務(wù)信息安全等級(jí)的確定依據(jù)信息受到破壞時(shí)所侵害的客體以及侵害程度,AAAAA公司的BBBBB系統(tǒng)信息安全等級(jí)定為二級(jí)。（二）系統(tǒng)服務(wù)安全保護(hù)等級(jí)的確定1、系統(tǒng)服務(wù)描述本系統(tǒng)在充分利用政務(wù)外網(wǎng)和現(xiàn)有城市交通基礎(chǔ)數(shù)據(jù)庫(kù)的基礎(chǔ)上,通過(guò)建設(shè)軌道交通行業(yè)管理、危險(xiǎn)品運(yùn)輸車輛安全監(jiān)督管理、公共交通一體化管理、行業(yè)安全管理及突發(fā)事件應(yīng)急處置等應(yīng)用系統(tǒng),加強(qiáng)對(duì)軌道交通、危險(xiǎn)品運(yùn)輸?shù)戎攸c(diǎn)領(lǐng)域的安全監(jiān)管能力，提高對(duì)突發(fā)事件的應(yīng)急處置能力;提高城市交通運(yùn)行監(jiān)管效率,為城市發(fā)展和2010年上海世博會(huì)提供安全、便捷、通暢的公共交通服務(wù)。2、系統(tǒng)服務(wù)受到破壞時(shí)所侵害客體的確定AAAAA公司的BBBBB系統(tǒng)受到破壞侵害后,所侵害的客體是社會(huì)秩序和公民利益。3、系統(tǒng)服務(wù)受到破壞后對(duì)侵害客體的侵害程度的確定上述結(jié)果的程度表現(xiàn)為一般損害,即工作職能受到局部影響,業(yè)務(wù)能力降低影響主要功能執(zhí)行,造成有限的社會(huì)不良影響。4、系統(tǒng)服務(wù)安全等級(jí)的確定依據(jù)AAAAA公司的BBBBB系統(tǒng)受到破壞時(shí)所侵害的客體以及侵害程度,確定系統(tǒng)服務(wù)安全等級(jí)為二級(jí)。（三）安全保護(hù)等級(jí)的確定依據(jù)業(yè)務(wù)信息安全等級(jí)和系統(tǒng)服務(wù)安全等級(jí)均為二級(jí),最終確定AAAAA公司的BBBBB系統(tǒng)安全保護(hù)等級(jí)為二級(jí)。安全設(shè)計(jì)需求分析及評(píng)估應(yīng)用系統(tǒng)基本安全需求身份鑒別層面需求,包括但不限于以下方面:＞身份鑒別信息是否具有不易被冒用的特點(diǎn),例如復(fù)雜性（如規(guī)定字符應(yīng)混有大、小寫字母、數(shù)字和特殊字符）；＞具有登錄失敗處理功能,如結(jié)束會(huì)話、限制非法登錄次數(shù),當(dāng)?shù)卿涍B接超時(shí),自動(dòng)退出;＞具有鑒別警示功能（如系統(tǒng)有三次登錄失敗則鎖定該用戶的限制，則應(yīng)給用戶必要的提示）；＞具有抵抗?jié)B透性測(cè)試的能力,如通過(guò)暴力破解或其他手段進(jìn)入系統(tǒng),或?qū)EB系統(tǒng)采用SQL注入等繞過(guò)身份鑒別的方法。訪問(wèn)控制層面需求,包括但不限于以下方面:＞系統(tǒng)應(yīng)能夠提供訪問(wèn)控制機(jī)制，實(shí)現(xiàn)依據(jù)安全策略控制用戶對(duì)客體（如文件和數(shù)據(jù)庫(kù)中的數(shù)據(jù)）的訪問(wèn);＞由授權(quán)主體設(shè)置對(duì)系統(tǒng)功能操作和對(duì)數(shù)據(jù)訪問(wèn)的權(quán)限;＞應(yīng)實(shí)現(xiàn)應(yīng)用系統(tǒng)特權(quán)用戶的權(quán)限分離（如將系統(tǒng)管理員、安全員和審計(jì)員的權(quán)限分離），權(quán)限之間確保相互制約（如系統(tǒng)管理員、安全管理員等不能對(duì)審計(jì)日志進(jìn)行管理,安全審計(jì)員不能管理審計(jì)功能的開(kāi)啟、關(guān)閉、刪除等重要事件的審計(jì)日志等）。安全審計(jì)層面需求,包括但不限于以下方面;＞安全審計(jì)應(yīng)記錄應(yīng)用系統(tǒng)重要的安全相關(guān)事件,包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)功能的執(zhí)行等；＞安全相關(guān)事件的記錄應(yīng)包括日期和時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)、事件的結(jié)果等；＞為授權(quán)用戶瀏覽和分析審計(jì)數(shù)據(jù)提供專門的審計(jì)工具（如對(duì)審計(jì)記錄進(jìn)行分類、排序、查詢、統(tǒng)計(jì)、分析和組合查詢等），并能根據(jù)需要生成審計(jì)報(bào)表；＞審計(jì)記錄應(yīng)受到保護(hù)避免受到未預(yù)期的刪除、修改或覆蓋等。軟件容錯(cuò)層面需求,包括但不限于以下方面:＞對(duì)通過(guò)人機(jī)接口輸入或通過(guò)通信接口輸入的數(shù)據(jù)進(jìn)行有效性檢驗(yàn);＞對(duì)通過(guò)人機(jī)接口方式進(jìn)行的操作提供“回退”功能,即允許按照操作的序列進(jìn)行回退;＞有狀態(tài)監(jiān)測(cè)能力，當(dāng)故障發(fā)生時(shí),能實(shí)時(shí)檢測(cè)到故障狀態(tài)并報(bào)警;＞有自動(dòng)保護(hù)能力,當(dāng)故障發(fā)生時(shí),自動(dòng)保護(hù)當(dāng)前所有狀態(tài)。資源控制層面需求,＞應(yīng)限制單個(gè)用戶的多重并發(fā)會(huì)話；＞應(yīng)對(duì)應(yīng)用系統(tǒng)的最大并發(fā)會(huì)話連接數(shù)進(jìn)行限制；＞應(yīng)對(duì)ー個(gè)時(shí)間段內(nèi)可能的并發(fā)會(huì)話連接數(shù)進(jìn)行限制；＞應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時(shí)鎖定和鑒別失敗鎖定,并規(guī)定解鎖或終止方式。硬件系統(tǒng)基本安全需求?物理威脅及需求,包括但不限于以下方面:＞雷擊、地震和臺(tái)風(fēng)等自然災(zāi)難，需要通過(guò)對(duì)物理位置進(jìn)行選擇、建立數(shù)據(jù)備份和恢復(fù)系統(tǒng)、實(shí)行備份與恢復(fù)管理，以及采取防雷擊措施等來(lái)解決雷擊、地震和臺(tái)風(fēng)等威脅帶來(lái)的問(wèn)題;＞水患和火災(zāi)等災(zāi)害,需要采取防水、防潮、防火措施、建立數(shù)據(jù)備份和恢復(fù)系統(tǒng)、實(shí)行備份與恢復(fù)管理,來(lái)解決水患和火災(zāi)等威脅帶來(lái)的安全威脅;＞高溫、低溫、多雨等原因引起溫度、濕度異常，應(yīng)該采取溫濕度控制措施，同時(shí)，建立數(shù)據(jù)備份和恢復(fù)系統(tǒng)、實(shí)行備份與恢復(fù)管理來(lái)解決因高溫、低溫和多雨帶來(lái)的安全威脅;＞電壓波動(dòng)，需要合理設(shè)計(jì)電カ供應(yīng)系統(tǒng),同時(shí)，建立數(shù)據(jù)備份和恢復(fù)系統(tǒng)、實(shí)行備份與恢復(fù)管理來(lái)解決因電壓波動(dòng)帶來(lái)的安全威脅;＞供電系統(tǒng)故障,需要合理設(shè)計(jì)電カ供應(yīng)系統(tǒng),如:購(gòu)買UPS系統(tǒng)或者建立發(fā)電機(jī)機(jī)房來(lái)保障電カ的供應(yīng),同時(shí),建立數(shù)據(jù)備份和恢復(fù)系統(tǒng)、實(shí)行備份與恢復(fù)管理來(lái)解決因供電系統(tǒng)故障帶來(lái)的安全威脅;＞靜電、設(shè)備寄生耦合干擾和外界電磁干擾,需要采取防靜電和電磁防護(hù)措施來(lái)解決靜電、設(shè)備寄生耦合干擾和外界電磁干擾帶來(lái)的安全威脅;＞強(qiáng)電磁場(chǎng)、強(qiáng)震動(dòng)源、強(qiáng)噪聲源等污染,需要通過(guò)對(duì)物理位置的選擇、采取適當(dāng)?shù)碾姶欧雷o(hù)措施,同時(shí),建立數(shù)據(jù)備份和恢復(fù)系統(tǒng)、實(shí)行備份與恢復(fù)管理來(lái)解決強(qiáng)電磁場(chǎng)、強(qiáng)震動(dòng)源、強(qiáng)噪聲源等污染帶來(lái)的安全隱患;＞線路老化等原因?qū)е峦ㄐ啪€路損壞或傳輸質(zhì)量下降，需要通過(guò)采取對(duì)網(wǎng)絡(luò)進(jìn)行安全管理，對(duì)網(wǎng)絡(luò)通信線路的傳輸能力進(jìn)行必要的監(jiān)控,以及建立數(shù)據(jù)備份和恢復(fù)系統(tǒng)、實(shí)行備份與恢復(fù)管理來(lái)解決因線路老化等原因?qū)е峦ㄐ啪€路損壞或傳輸質(zhì)量下降帶來(lái)的安全問(wèn)題;＞存儲(chǔ)介質(zhì)使用時(shí)間過(guò)長(zhǎng)或質(zhì)量問(wèn)題等導(dǎo)致不可用,需要通過(guò)對(duì)存儲(chǔ)介質(zhì)存放的環(huán)境進(jìn)行管理,對(duì)介質(zhì)和設(shè)備進(jìn)行管理，檢查通信的完整性和數(shù)據(jù)的完整性，建立數(shù)據(jù)備份和恢復(fù)系統(tǒng)、實(shí)行備份與恢復(fù)管理來(lái)解決存儲(chǔ)介質(zhì)使用時(shí)間過(guò)長(zhǎng)或質(zhì)量問(wèn)題等導(dǎo)致不可用帶來(lái)的安全問(wèn)題;＞網(wǎng)絡(luò)設(shè)備、系統(tǒng)設(shè)備及其他設(shè)備使用時(shí)間過(guò)長(zhǎng)或質(zhì)量問(wèn)題等導(dǎo)致硬件故障,需要通過(guò)對(duì)產(chǎn)品采購(gòu)、自行軟件開(kāi)發(fā)、外包軟件和測(cè)試驗(yàn)收進(jìn)行管理,網(wǎng)絡(luò)設(shè)備、系統(tǒng)設(shè)備存放的環(huán)境進(jìn)行管理,對(duì)存儲(chǔ)介質(zhì)進(jìn)行管理，對(duì)網(wǎng)絡(luò)和系統(tǒng)設(shè)備以及其他設(shè)備進(jìn)行管理,建立一套監(jiān)控管理體系,建立數(shù)據(jù)備份和恢復(fù)系統(tǒng)、實(shí)行備份與恢復(fù)管理，通過(guò)上述措施來(lái)解決網(wǎng)絡(luò)設(shè)備、系統(tǒng)設(shè)備及其他設(shè)備使用時(shí)間過(guò)長(zhǎng)或質(zhì)量問(wèn)題等導(dǎo)致硬件故障帶來(lái)的安全問(wèn)題;＞攻擊者利用非法手段進(jìn)入機(jī)房?jī)?nèi)部盜竊、破壞等,需要通過(guò)進(jìn)行環(huán)境管理、采取物理訪問(wèn)控制策略、實(shí)施防盜竊和防破壞等控制措施，建立數(shù)據(jù)備份和恢復(fù)系統(tǒng)、實(shí)行備份與恢復(fù)管理來(lái)解決非法手段進(jìn)入機(jī)房?jī)?nèi)部盜竊、破壞等帶來(lái)的安全問(wèn)題;＞攻擊者采用在通信線纜上搭接或切斷等導(dǎo)致線路不可用，需要通過(guò)采取物理訪問(wèn)控制策略、實(shí)施防盜竊和防破壞等控制措施，建立數(shù)據(jù)備份和恢復(fù)系統(tǒng)、實(shí)行備份與恢復(fù)管理來(lái)解決在通信線纜上搭接或切斷等導(dǎo)致線路不可用帶來(lái)的安全問(wèn)題;＞攻擊者利用工具捕捉電磁泄漏的信號(hào),導(dǎo)致信息泄露,需要通過(guò)采取防電磁措施,加強(qiáng)對(duì)產(chǎn)品采購(gòu)的管理,加強(qiáng)對(duì)密碼的管理,加強(qiáng)通信的保密性和數(shù)據(jù)的保密性,來(lái)解決電磁、信息泄漏帶來(lái)的安全問(wèn)題。＞攻擊者非法物理訪問(wèn)系統(tǒng)設(shè)備、網(wǎng)絡(luò)設(shè)備或存儲(chǔ)介質(zhì)等,需要通過(guò)數(shù)據(jù)保密、通信保密性、防盜竊和防破壞、物理訪問(wèn)控制、產(chǎn)品采購(gòu)、密碼管理等技術(shù)手段完成。?網(wǎng)絡(luò)威脅及需求,包括但不限于以下方面:＞內(nèi)部人員未授權(quán)接入外部網(wǎng)絡(luò),需要通過(guò)邊界的完整性檢查、網(wǎng)絡(luò)審計(jì)、主機(jī)審計(jì)、應(yīng)用審計(jì)等手段解決;＞網(wǎng)絡(luò)設(shè)計(jì)不合理,需要通過(guò)優(yōu)化設(shè)計(jì)、安全局改造完成;＞設(shè)施、通信線路、設(shè)備或存儲(chǔ)介質(zhì)因使用、維護(hù)或保養(yǎng)不當(dāng)?shù)仍驅(qū)е鹿收?需要通過(guò)線路狀態(tài)檢測(cè)、線路冗余、數(shù)據(jù)備份與恢復(fù)等技術(shù)手段解決；＞攻擊者利用分布式拒絕服務(wù)攻擊等拒絕服務(wù)攻擊工具，惡意地消耗網(wǎng)絡(luò)、操作系統(tǒng)和應(yīng)用系統(tǒng)資源,導(dǎo)致拒絕服務(wù),需要通過(guò)主機(jī)資源優(yōu)化、網(wǎng)絡(luò)入侵檢測(cè)與防范、網(wǎng)絡(luò)結(jié)構(gòu)調(diào)整與優(yōu)化等技術(shù)手段解決；＞攻擊者利用網(wǎng)絡(luò)協(xié)議、操作系統(tǒng)、應(yīng)用系統(tǒng)漏洞,越權(quán)訪問(wèn)文件、數(shù)據(jù)或其他資源，需要通過(guò)惡意代碼防護(hù)、控制臺(tái)審計(jì)、漏洞掃描、訪問(wèn)控制、身份鑒別、GB17859二級(jí)以上操作系統(tǒng)、網(wǎng)絡(luò)和主機(jī)審計(jì)系統(tǒng)等技術(shù)手段解決；＞攻擊者利用網(wǎng)絡(luò)協(xié)議存在的漏洞進(jìn)行可躲避檢測(cè)的攻擊（如碎片重組,協(xié)議端口復(fù)位位等）,需通過(guò)網(wǎng)絡(luò)入侵檢測(cè)、防病毒系統(tǒng)、控制面板審計(jì)、訪問(wèn)控制等技術(shù)手段解決；＞攻擊者利用網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)缺陷旁路安全策略，未授權(quán)訪問(wèn)網(wǎng)絡(luò),需通過(guò)網(wǎng)絡(luò)入侵檢測(cè)、訪問(wèn)控制、身份鑒別、網(wǎng)絡(luò)結(jié)構(gòu)優(yōu)化和調(diào)整等技術(shù)手段解決；＞攻擊者利用通用安全協(xié)議/算法/軟件等缺陷,獲取信息、解密密鑰或破壞通信完整性,需要通過(guò)控制臺(tái)審計(jì)、惡意代碼防范、國(guó)密辦認(rèn)證的算法及協(xié)議產(chǎn)品；＞攻擊者盜用授權(quán)用戶的會(huì)話連接,需通過(guò)身份鑒別、訪問(wèn)控制、通信加密等技術(shù)手段解決。?系統(tǒng)威脅及需求,包括但不限于以下方面:＞攻擊者在軟硬件分發(fā)環(huán)節(jié)（生產(chǎn)、運(yùn)輸?shù)龋┲袗阂飧能浻布?需通過(guò)惡意代碼方法、控制臺(tái)審計(jì)等技術(shù)手段解決;＞攻擊者利用網(wǎng)絡(luò)擴(kuò)散病毒，需通過(guò)惡意代碼方法、控制臺(tái)審計(jì)等技術(shù)手段解決;＞內(nèi)部人員下載、拷貝軟件或文件,打開(kāi)可疑郵件時(shí)引入病毒。需通過(guò)惡意代碼防范技術(shù)手段解決；＞授權(quán)用戶對(duì)系統(tǒng)錯(cuò)誤配置或更改。需通過(guò)安全審計(jì)、數(shù)據(jù)備份和恢復(fù)等技術(shù)手段解決；＞由于授權(quán)用戶的不正確啟動(dòng)和恢復(fù)導(dǎo)致安全機(jī)制失效,需通過(guò)系統(tǒng)加固、安全審計(jì)、軟件容錯(cuò)、備份與恢復(fù)等技術(shù)手段解決；＞攻擊者利用通過(guò)惡意代碼或木馬程序，對(duì)網(wǎng)絡(luò)、操作系統(tǒng)或應(yīng)用系統(tǒng)進(jìn)行攻擊,需通過(guò)惡意代碼防護(hù)、網(wǎng)絡(luò)入侵檢測(cè)、身份鑒別、訪問(wèn)控制、控制臺(tái)審計(jì)等技術(shù)手段解決。?應(yīng)用威脅及需求，包括但不限于以下方面:A攻擊者否認(rèn)自己的操作行為,需要采取抗抵賴性措施，以及通過(guò)加強(qiáng)網(wǎng)絡(luò)安全審計(jì)以及軟件應(yīng)用系統(tǒng)的自身的安全審計(jì)來(lái)解決抵賴行為帶來(lái)的安全問(wèn)題；＞系統(tǒng)軟件、應(yīng)用軟件運(yùn)行故障,需要通過(guò)對(duì)產(chǎn)品采購(gòu)、自行軟件開(kāi)發(fā)、外包軟件和測(cè)試驗(yàn)收進(jìn)行管理,系統(tǒng)軟件和應(yīng)用軟件應(yīng)具備容錯(cuò)能力,對(duì)系統(tǒng)和軟件進(jìn)行保護(hù),并對(duì)系統(tǒng)軟件和應(yīng)用軟件監(jiān)控管理,對(duì)入侵系統(tǒng)和軟件的行為進(jìn)行監(jiān)測(cè)和報(bào)警，此外,建立數(shù)據(jù)備份和恢復(fù)系統(tǒng)、實(shí)行備份與恢復(fù)管理等措施，來(lái)解決此類安全問(wèn)題；＞系統(tǒng)軟件、應(yīng)用軟件過(guò)度使用內(nèi)存、CPU等系統(tǒng)資源，需要對(duì)系統(tǒng)軟件和應(yīng)用軟件進(jìn)行入侵行為的防范,并進(jìn)行實(shí)時(shí)的監(jiān)控管理,同時(shí),對(duì)系統(tǒng)使用的資源進(jìn)行管理控制來(lái)解決過(guò)度使用帶來(lái)的安全問(wèn)題；＞應(yīng)用軟件、系統(tǒng)軟件缺陷導(dǎo)致數(shù)據(jù)丟失或運(yùn)行中斷，需要通過(guò)對(duì)產(chǎn)品采購(gòu)進(jìn)行管理、加強(qiáng)自軟件開(kāi)發(fā)管理、加強(qiáng)外包軟件開(kāi)發(fā)管理、加強(qiáng)代碼安全管理,加強(qiáng)通信完整性和數(shù)據(jù)完整性,以及建立數(shù)據(jù)備份和恢復(fù)系統(tǒng)、實(shí)行備份與恢復(fù)管理等措施來(lái)解決應(yīng)用軟件、系統(tǒng)軟件缺陷導(dǎo)致數(shù)據(jù)丟失或運(yùn)行中斷帶來(lái)的安全問(wèn)題;＞攻擊者利用應(yīng)用系統(tǒng)、操作系統(tǒng)中的后門程序攻擊系統(tǒng),需要加強(qiáng)產(chǎn)品采購(gòu)管理、加強(qiáng)軟件外包開(kāi)發(fā)的管理、對(duì)軟件進(jìn)行充分的測(cè)試和驗(yàn)收管理、對(duì)惡意代碼采取有效的防范措施，對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行防護(hù)、對(duì)訪問(wèn)網(wǎng)絡(luò)的用戶進(jìn)行訪問(wèn)控制、對(duì)訪問(wèn)網(wǎng)絡(luò)的用戶身份進(jìn)行鑒別、對(duì)系統(tǒng)或應(yīng)用實(shí)行自主訪問(wèn)控制和強(qiáng)制的訪問(wèn)控制來(lái)加強(qiáng)訪問(wèn)控制措施，采取措施對(duì)入侵行為進(jìn)行監(jiān)測(cè)和防范，通過(guò)采取上述措施來(lái)解決應(yīng)用系統(tǒng)和操作系統(tǒng)中的后門程序帶來(lái)的安全隱患;＞攻擊者利用各種工具獲取身份鑒別數(shù)據(jù),并對(duì)鑒別數(shù)據(jù)進(jìn)行分析和解咅リ,獲得鑒別信息,未授權(quán)訪問(wèn)網(wǎng)絡(luò)、系統(tǒng),或非法使用應(yīng)用軟件、文件和數(shù)據(jù)，需要加強(qiáng)產(chǎn)品采購(gòu)管理、加強(qiáng)密碼管理、保證數(shù)據(jù)傳輸?shù)耐ㄐ诺谋Ｃ苄院蛿?shù)據(jù)的保密性、對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行防護(hù)、對(duì)撥號(hào)訪問(wèn)用戶進(jìn)行控制、對(duì)訪問(wèn)網(wǎng)絡(luò)的用戶進(jìn)行訪問(wèn)控制、對(duì)訪問(wèn)網(wǎng)絡(luò)的用戶身份進(jìn)行鑒別、對(duì)系統(tǒng)或應(yīng)用實(shí)行自主訪問(wèn)控制和強(qiáng)制的訪問(wèn)控制來(lái)加強(qiáng)訪問(wèn)控制措施,通過(guò)采取上述措施來(lái)解決攻擊者利用工具分析和解剖信息帶來(lái)的安全問(wèn)題;＞攻擊者利用非法手段獲得授權(quán)用戶的鑒別信息或密碼介質(zhì),訪問(wèn)網(wǎng)絡(luò)、系統(tǒng),或使用應(yīng)用軟件、文件和數(shù)據(jù),需要加強(qiáng)密碼管理、保證數(shù)據(jù)傳輸?shù)谋Ｃ苄?、?duì)網(wǎng)絡(luò)設(shè)備進(jìn)行防護(hù)、對(duì)撥號(hào)訪問(wèn)用戶進(jìn)行控制、對(duì)訪問(wèn)網(wǎng)絡(luò)的用戶進(jìn)行訪問(wèn)控制、對(duì)訪問(wèn)網(wǎng)絡(luò)的用戶身份進(jìn)行鑒別、對(duì)系統(tǒng)或應(yīng)用實(shí)行自主訪問(wèn)控制和強(qiáng)制的訪問(wèn)控制來(lái)加強(qiáng)訪問(wèn)控制措施,同時(shí),加強(qiáng)員エ安全意識(shí)的教育和培訓(xùn),加強(qiáng)系統(tǒng)的安全管理,來(lái)解決攻擊者帶來(lái)的安全問(wèn)題;A攻擊者利用偽造客戶端進(jìn)入系統(tǒng),進(jìn)行非法訪問(wèn),需要對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行防護(hù)、對(duì)撥號(hào)訪問(wèn)用戶進(jìn)行控制、對(duì)訪問(wèn)網(wǎng)絡(luò)的用戶進(jìn)行訪問(wèn)控制、對(duì)訪問(wèn)網(wǎng)絡(luò)的用戶身份進(jìn)行鑒別、對(duì)系統(tǒng)或應(yīng)用實(shí)行自主訪問(wèn)控制和強(qiáng)制的訪問(wèn)控制來(lái)加強(qiáng)訪問(wèn)控制措施,來(lái)解決攻擊者偽造客戶端帶來(lái)的安全問(wèn)題;＞攻擊者提供偽造的應(yīng)用系統(tǒng)服務(wù)進(jìn)行信息的竊取,需要加強(qiáng)網(wǎng)絡(luò)邊界完整性檢查,加強(qiáng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行防護(hù)、對(duì)訪問(wèn)網(wǎng)絡(luò)的用戶身份進(jìn)行鑒別,此外,加強(qiáng)數(shù)據(jù)保密性來(lái)解決攻擊帶來(lái)的安全問(wèn)題。?數(shù)據(jù)威脅及需求，包括但不限于以下方面:＞內(nèi)部人員利用技術(shù)或管理漏洞，未授權(quán)修改重要系統(tǒng)數(shù)據(jù)或修改系統(tǒng)程序,需要通過(guò)網(wǎng)絡(luò)安全審計(jì)、惡意代碼防范、審核和檢查、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、網(wǎng)絡(luò)設(shè)備防護(hù)、網(wǎng)絡(luò)訪問(wèn)控制、身份鑒別、自主訪問(wèn)控制、強(qiáng)制訪問(wèn)控制、撥號(hào)訪問(wèn)控制、通信完整性、數(shù)據(jù)完整性、入侵防范、應(yīng)用系統(tǒng)身份鑒別等技術(shù)手段解決;＞內(nèi)部人員未授權(quán)訪問(wèn)敏感信息,將信息帶出或通過(guò)網(wǎng)絡(luò)傳出，導(dǎo)致信息泄露,需要通過(guò)網(wǎng)絡(luò)安全審計(jì)、網(wǎng)絡(luò)設(shè)備防護(hù)、網(wǎng)絡(luò)訪問(wèn)控制、身份鑒別、自主訪問(wèn)控制、強(qiáng)制訪問(wèn)控制、數(shù)據(jù)保密性、通信保密性、產(chǎn)品采購(gòu)、密碼管理、資產(chǎn)管理、介質(zhì)管理等技術(shù)手段解決;＞攻擊者截獲數(shù)據(jù)，進(jìn)行篡改、插入，并重發(fā),造成數(shù)據(jù)的完整性、真實(shí)性喪失,需要通過(guò)通信完整性、數(shù)據(jù)完整性、通信保密性、數(shù)據(jù)保密性、產(chǎn)品采購(gòu)、密碼管理、抗抵賴等技術(shù)手段解決；＞通信過(guò)程中受到干擾等原因發(fā)生數(shù)據(jù)傳輸錯(cuò)誤,需要通過(guò)通信完整性、數(shù)據(jù)完整性等技術(shù)手段解決；A授權(quán)用戶操作失誤導(dǎo)致系統(tǒng)文件被覆蓋、數(shù)據(jù)丟失或不能使用,需要通過(guò)網(wǎng)絡(luò)安全審計(jì)、軟件容錯(cuò)、數(shù)據(jù)備份和恢復(fù)、備份與恢復(fù)管理、管理制度、人員錄用、人員離崗、人員考核、第三方人員訪問(wèn)管理、安全意識(shí)教育和培訓(xùn)、外包軟件開(kāi)發(fā)、產(chǎn)品采購(gòu)、監(jiān)控管理等手段解決;＞攻擊者截獲、讀取、破解介質(zhì)的信息或剩余信息,進(jìn)行信息的竊取,需要通過(guò)通信保密性、數(shù)據(jù)保密性、剩余信息保護(hù)、介質(zhì)管理、產(chǎn)品采購(gòu)、密碼管理、網(wǎng)絡(luò)訪問(wèn)控制、撥號(hào)訪問(wèn)控制、自主訪問(wèn)控制、強(qiáng)制訪問(wèn)控制等安全措施；＞攻擊者截獲、讀取、破解通信線路中的信息,需要通過(guò)通信保密性、數(shù)據(jù)保密性、產(chǎn)品采購(gòu)、密碼管理等技術(shù)手段解決；＞攻擊者利用通信干擾工具，故意導(dǎo)致通信數(shù)據(jù)錯(cuò)誤,需要通過(guò)結(jié)構(gòu)安全和網(wǎng)段劃分、通信完整性、數(shù)據(jù)完整性等技術(shù)手段解決。管理層面安全需求安全是不能僅僅靠技術(shù)來(lái)保證,單純的技術(shù)都無(wú)法實(shí)現(xiàn)絕對(duì)的安全,AAAAA公司必須要有相應(yīng)的組織管理體制配合、支撐,才能確保信息系統(tǒng)安全、穩(wěn)定運(yùn)行。管理安全是整體安全中重要的組成部分。信息系統(tǒng)安全管理雖然得到了一定的落實(shí),但由于人員編制有限,安全的專業(yè)性、復(fù)雜性、不可預(yù)計(jì)性等,在管理機(jī)構(gòu)、管理制度、人員安全、系統(tǒng)建設(shè)、系統(tǒng)運(yùn)維等安全管理方面存在ー些安全隱患:管理機(jī)構(gòu)＞需要建立安全職能部門,設(shè)置安全管理崗位,配備必要的安全管理人員、網(wǎng)絡(luò)管理人員、系統(tǒng)管理人員;＞需要配備相應(yīng)的安全管理員、網(wǎng)絡(luò)管理員、系統(tǒng)管理員;＞