xx公司信息系统安全等级保护二级制度编制草案

更新时间：2024-04-25 10:04:01 阅读量：综合文库文档下载

说明：文章内容仅供预览，部分内容可能不全。下载后的文档，内容与下面显示的完全一致。下载之前请确认下面内容是否您想要的，是否完整无缺。

xx公司信息系统安全等级保护二级制度汇编

1．《安全工作的总体方针、政策性文件和安全策略文件》.................. 4 2．设备管理制度..................................................... 7 3.审批管理制度..................................................... 10 4.网络接入管理审批制度............................................. 11 5.系统投入运行测试管理制度......................................... 12 6.办公环境管理制度................................................. 13 7.关键设备操作规程................................................. 15 8.机房管理制度..................................................... 18 9.机房办公环境管理办法............................................. 23 10.网络安全管理制度................................................ 24 11.系统安全管理制度................................................ 26 12.员工离职管理制度................................................ 29 13.系统数据备份与恢复管理制度...................................... 32 14.计算机类设备接入网络管理办法.................................... 33 15.信息系统变更及发布管理制度...................................... 37 16.xx资产安全管理制度 ............................................. 40 17.信息系统补丁及版本管理制度...................................... 41 18.安全事件报告和处置管理制度...................................... 43 19.系统漏洞扫描系统运行安全管理制度................................ 47 20.恶意代码防范制度................................................ 49 21.存储介质管理制度................................................ 51 22.xx信息系统权限划分实施细则 ..................................... 52 23.安全事件定级.................................................... 55 24.年度安全培训计划................................................ 60 25.应急预案总体框架................................................ 62 26.xx应急处置方案 ................................................. 66 27.保密协议书...................................................... 70 1.安全技能考核记录................................................. 73

2.安全教育培训记录................................................. 74 3.安全事件处理记录................................................. 75 4.补丁安装操作记录（范文）......................................... 76 5. 系统补丁更新记录................................................ 77 6.操作运维记录..................................................... 78 7.系统运维记录..................................................... 79 8.管理制度评审记录................................................. 80 9.信息系统会议纪要................................................. 81 10.机房安全检查记录表.............................................. 82 11.设备带离机房审批单.............................................. 83 12.离职移交手续单.................................................. 84 13.培训记录单...................................................... 85 14.设备带离机房审批记录............................................ 86 15.设备领用登记表.................................................. 87 16.外部人员访问审批单.............................................. 88 17.外联授权审批表.................................................. 89 18.网络设备及服务器更新记录........................................ 90 19.系统变更申请表.................................................. 91 20.系统投入运行申请表.............................................. 92 21应急预案培训记录 ................................................ 93

1．《安全工作的总体方针、政策性文件和安全策略文件》

第一章总则

第一条为保障xx业务的正常持续运行，保护信息资产的安全，制定本方针。

第二条本方针旨在为xx的信息安全管理实践提供清晰的策略方向，阐明信息安全建设和管理的重要原则，为xx的信息安全管理工作提供指引与支持。

第三条除非特别说明，本方针的管理对象包括xx拥有、控制、管理和使用的所有硬件、软件、信息、服务、人员和无形资产等信息资产。本方针的适用对象主要包括与以上信息资产相关的xx的所有部门，以及与xx有关的集成商、软件开发商、产品提供商、顾问、商业合作伙伴、临时工作人员和其他第三方机构或人员。

第二章信息安全方针

第四条信息安全管理委员会是xx最高信息安全管理机构，下设信息安全管理领导小组和信息安全管理工作小组。

第五条信息安全管理领导小组组长由***担任，小组成员由xx信息中心和局领导组成。信息安全管理领导小组定期召开会议，对有关信息安全重大问题做出决策。

第六条信息安全管理工作小组组长由***兼任，小组成员由xx专职人员和各部门信息安全管理员组成。信息安全管理工作小组负责信息安全政策和措施的宣传、贯彻和督促检查，并针对信息安全事件建立完善的响应、报告和调查机制。

第七条本方针的适用对象必须遵守国家有关信息安全的法律、法规、上级主管部门及行业内的相关规定和要求，以及xx的有关规定。

第八条 xx建立有效的信息安全管理体系，定义信息资产的安全需求，持续进行信息资产的风险评估，建立并完善信息安全保护策略和程序，使xx拥有可控的风险管理架构、方法和保障落实机制，确保xx在不断变化的信息安全风险环境中，始终能够通过科学的方法和持续的改进来增强xx抵抗风险的能力。

第九条 xx全体干部职工必须接受必要的信息安全教育与培训，充分理解xx制订的信息安全管理规定，明确在保护xx信息资产安全过程中所应担当的角色和责任。

第十条根据“谁主管，谁负责；谁运行，谁负责”的原则，建立信息安全绩效考核体系。对于违反信息安全规定的部门和个人，将按有关规定进行处理。

第三章信息安全管理原则

第十一条 xx的信息安全管理推行治理原则、管理与技术并重原则和PDCA(“Plan：规划”—“Do：实施”—“Check：检查”—“Act：处置”)动态循环管理原则。

(一) 治理原则：信息安全管理要符合xx的治理原则。在战略层面上，信息安全决策必须由最了解xx整体目标与价值的权威部门来决定，使信息安全问题得到最高管理层的关注，并进入xx战略层的日常议题；在战术层面上，信息安全实践由国际和国内得到普遍实践与认可的治理标准（如ISO27001、ITIL、COBIT等）来指导。 (二)

管理与技术并重原则：信息安全不是单纯的技术问题，在采用安全技术

和产品的同时，重视采取有效的管理措施，不断积累完善针对实际情况的各类安全管理策略、规章制度，全面提高信息安全管理水平，达到成本效益最优目标。 (三)

PDCA动态循环管理原则：对信息与信息系统的建设、运行、维护、废止

的全过程进行信息安全管理；在对信息资产的管理上遵循PDCA动态循环管理原则，针对xx内外部业务环境及技术条件的变化情况，进行周期性的风险评估，根据风险状况及时调整信息安全管理策略和方法。

第四章信息安全方针的评审

第十二条信息安全方针需要根据经营环境、业务内容和技术状况的变化情况，进行定期评审（一年一次）或不定期评审（当发生了较大的安全事故或xx经历较大的变革时），并根据实际情况进行修订，以适应当前最新的信息安全需要。

第十三条信息安全方针的变更由信息安全管理委员会、xx各部门提出，由信息安全管理工作小组进行汇总、分析研讨，并负责起草工作，由信息安全管理领导小组审批后发布。

第十四条 xx将通过纸质文件或电子文件方式向所有工作人员发布本方针的最新版本及相关信息。

第五章信息安全方针的执行

第十五条各部门及下属机构负责向所属的干部职工、相关承包方和第三方人员宣传、贯彻和落实执行本方针，信息安全管理工作小组负责督促检查。第十六条从本单位机房管理的实际情况出发，需将覆盖物理机房，介质管理，网络设备运维，流程审批，培训记录等相关记录表单按照年份存储归档以方便日后查询记录。

2．设备管理制度

为确保xx通信信息处计算机设备管理规范有序，确保单位信息系统和客户端正常可靠地运行，保证日常工作的顺利开展，特制定计算机、服务器、网络设备管理制度。

本系统所有的计算机、服务器、网络设备由信息中心统一管理，通过相应采购渠道进来的计算机、服务器、网络设备均应列入单位固定资产帐，并由专人管理，定期登记。

本制度的设备是指包括服务器、网络设备等专有设备，以及跟系统相关的计

算机客户终端设备。

xx相关的各种设备、线路等，指定信息中心专人负责，并对系统指定专人定期维护管理。

个人日常办公使用的计算机设备主要有计算机主机（包括机箱内的各种芯片、功能卡、内存、硬盘、软驱、光驱等）、显示器、打印机、外设（键盘、鼠标、音箱、U盘）以及随机资料等。

用于个人办公的计算机设备，都将直接分配到个人使用和保管。各人都必须对自己领用的设备负责。领用（退回）任何设备时，必须认真清点并签收（签退）。

设备的领用、更新、更换、维护和淘汰

采购入库设备由机房管理员到仓库登记领取，统一发放，并登记领用人，并填写《设备领用登记表》，明确责任人；

设备的更新及更换。一是定期对部分需要升级的机器增加新配件（如增加内存）或更新部分配件；二是使用的设备已经到了淘汰的年份而必须更换新设备。设备更新和旧设备淘汰工作根据xx通信信息中心的统一部署按计划分批进行。更换流程：

由需求人员填写《设备更新及更换申请表》，提出目前遇到的困难和所需设备性能要求；

信息中心进行技术鉴定；部门负责人签字；信息中心负责人签字；

信息中心分析IT设备需求，形成设备调拨或采购方案，如需采购则依照政府采购标准进行统一采购。所有独立IT设备，应按规定在财资处办理固定资产登记，填写设备卡，同时进行备案；

对新旧设备按各部门需求情况进行统一调拨。

计算机设备的淘汰。如需报废计算机及相关设备，由使用人员填写《设备报废鉴定表》，经相关部门鉴定无二次利用价值时，转由财资处根据我所相关规定办理设备报废手续。

IT设备实行包干管理负责制。每台设备都应有专人负责保管（包括说明书及有关附件），在未特别指定管理人员的设备由操作人员负责管理，并切实负起保管、维护责任。信息中心负责定期检查IT设备使用情况，进行需求分析，制订解决方案。

在使用IT设备前，应掌握操作规程，阅读有关手册，经培训合格后方可进行相关操作。

分配到个人或科室使用的设备，使用者对设备的安全和完整负有责任。各人必须爱护、珍惜分配给自己使用的计算机设备。

各人原则上只能使用自己分配的计算机。非必要时，不能将机器交由他人操作（特别是非本单位人员）。未经当事人同意，不能擅自在他人的计算机上进行任何操作。

未经授权同意，不得擅自操作服务器和网络设备。

所有计算机设备，未经授权同意，不得擅自拆、换任何零件、配件、外设。不论该行为是否已经对设备、网络、数据造成影响，一经发现，将严肃处理。未经授权同意，不得擅自将私有或外来的零件、配件、设备，加入到系统内部的计算机设备中或网络中，不得擅自安装未经认可、允许的游戏和盗版软件。如果需要将系统内的计算机设备搬离办公地点（或借给外单位）使用，必须经相关领导负责人同意后才能搬离或借出（必要时将相关数据删除）。如果人员工作发生本局内调动，原有设备不能满足新的岗位需要，或者实际情况不适合计算机设备跟随调动的，必须预先向信息中心提交申请报告，由部门领导同意后按实际情况处理。

各科室队及本人必须保证自己所用微机的清洁、卫生和安全。

由信息中心定期对计算机设备进行全面清查、核对。

3.审批管理制度

为确保计算机网络(以下简称“内网”)的健康发展和正常运行，规范系统和设备接入内网的行为、为内网用户提供良好的接入服务，保障每个网络使用者安全、正常地运行，根据《中华人民共和国计算机信息系统安全保护条例》和单位相关管理制度的规定，特制定本管理办法。本办法适用于：

本级机构所有需要接入和使用网络的计算机系统及设备；需要接入本级机构网络的合作单位计算机系统及设备；临时造访人员自带的计算机系统及设备。

本办法由信息中心统一管理和执行。安全管理员负责对申请接入设备进行安

全检查和入网审批，系统管理员负责服务器类系统及补丁的安装和升级，服务支持人员负责桌面系统的安装及升级。

4.网络接入管理审批制度

系统及设备在接入单位网络前必须接受检查和审核，检查审核通过后方可接入并按规定访问和使用相关网络资源，检查和审核工作由信息中心负责。具体的流程说明如下：

需要接入网络的用户提出网络接入申请，填写《外连授权审批记录》，说明接入设备的类型、接入用途、接入区域、使用环境、使用资源范围和预计终止时间等，并提交主管领导审批。

主管领导审批、签字后，提交给信息中心主任做系统安全检查，核实设备和系统的补丁和病毒防护情况是否符合单位要求。如不符合安全要求则由网络处填写审批意见，并视系统类型返回运行管理处或服务支持处安装必要的工具和补

丁。

安全检查通过后，网络管理员根据用户使用申请审核并分配网络资源，确定用户IP地址和网段，并在网络设备和安全设备上完成相应的设置工作。由于使用需要而需要对被访问的服务器资源进行的配置调整由系统管理员负责。

如因工作需要，外部人员（包括设备厂家、系统服务商、合作开发商和分单位人员等）需要接入单位网络，由相应的接口负责人提出网络接入申请，外部人员在离开单位后，需由接口负责人提出取消网络接入申请，外部人员在接入内网的计算机名必须采用实名制。因技术交流或者其他工作原因临时造访的外部人员只能在指定区域（会议室和公共区域）接入网络。

用户如果需要延长接入时间则必须重新填写网络接入申请表，申请时间到期后，网络管理员有权调整配置以中止其网络连接。

用户终止连接时必须办理用户注销手续，以便信息中心释放用户网络资源。网络接入申请材料在机房柜子存档以备查验。

5.系统投入运行测试管理制度

对准备投入的信息系统进行系统测试，测试时间按照具体情况，由信息中心和信息办商议决定测试时间，无故障运行一月并填先写《系统测试报告》。

《系统测试报告》经信息中心检查通过后，填写《系统投入运行申请表》并上报局领导审批签字通过，方可正式投入运行。

罚则

网络管理员将密切监测网络，如果发现用户网络异常或用户有违反本办法的使用行为，安全管理员将中断该用户的计算机系统的网络连接，并按本办法的规定进行相应的处理。

员工有责任采取积极防范措施，避免自己维护的计算机系统被禁止接入网络。由于禁用网络连接所导致的对单位业务的影响将由员工个人承担。

信息中心将定期或者不定期地对联网机器的IP地址、系统补丁和防病毒库

软件、远程接入设备管理情况进行检查，发现有违反本规定的接入行为或不按单位相关规定使用网络资源的，将给予通报批评；超过三次以上者将上报单位人力资源管理部门给予警告处分；对于由此造成单位计算机信息系统严重故障或导致单位重大损失的，将视情节严重程度给予严重警告以上处分，并实施相应的经济处罚，触犯国家法律的，则依法移交国家法律部门处理。

外部人员（包括设备厂家、系统服务商、合作开发商和分单位人员等）一旦接入单位网络，视同单位员工进行管理，相应的接口负责人对其负领导监督责任，对于其触犯相应规定的行为由相应的接口负责人负责。临时造访人员如果违规接入网络，其行为后果由相应的接待人员负责。

6.办公环境管理制度

为了提升单位形象，使本单位每位员工由一个优美舒适、整洁有序的办公环境，特制定本规定：

爱护办公室环境，保持办公区域、办公桌面的清洁，办公桌面各种资料、工具、文件、配件等均应放置整齐、美观；

报刊、书籍阅完后要放到固定的报架上，不得放在桌面或台面上；室内不准堆放杂物，垃圾应及时清理，不准堆积，保持室内网线、电线等线路整齐，不零乱；

设备、纸张要摆放整齐，因打印等产生的各种废纸、杂物要放入垃圾筐内，未用完的纸张应放回原处，不得造成浪费；

自觉养成良好的卫生习惯，搞好个人卫生，保持服装、头发干净、整洁；员工要珍惜、爱护本部门各种设备，严禁私自转借或出租，因过失造成设备损坏的，要查明原因，并根据造成损坏程度由过失人全部赔偿；

注意节约用电、用水，节约用电等，严禁在办公室私自使用大功率电器；办公电话本着节俭效能的原则，严格控制公话私用；

员工午餐或长时间离开办公室应将办公用品、相关资料收拾整理好；在指定的就餐处用餐，用完餐后将餐具收拾好，并清理桌面杂物，保持桌面干净，整洁；

严禁在上班时间吃带壳有声响的零食，自带零食以及包装不允许长时间放置于办公桌上；

办公所有区域不得吸烟，保持室内空气流通。办公室严禁随地吐痰、乱扔烟头、纸屑等。

下班时，应整理干净办公桌上所用物品，座椅置于桌下，所有废弃物品必须投放于垃圾袋中带出，避免过夜杂物发霉产生难闻气味影响办公环境；

保洁人员打扫办公环境卫生情况，保证每次打扫办公环境的干净、整洁；每位员工应节约使用打印纸，不得打印与工作无关的内容，非正式文件应正反两面使用。

每位员工都应爱护花草等绿色植物，严禁在办公区域的绿色植物花盆内乱倒水、茶叶、赃物等影响植物生长。

对带有敏感内容的文档不得随意放置电脑桌面，需放入其他盘符建立文件夹的快捷方式，需对电脑进行屏保设置，恢复时使用密码恢复，建议设置频幕保护时间为10分钟。

对外来人员访问时，需在会议室进行接待以及处理相应事件，不得在办公区处理工作，特殊情况除外。

工作期间不得做与工作无关的事情，例如打游戏，随意聊天等。

7.关键设备操作规程

一、设备使用守则

1、局里使用人员必须熟悉系统和设备的技术结构、主要功能、主要性能指标和使用方法，严格遵守系统和设备的操作规程。

2、各类设备在开机前，必须检查环境条件，电源电压和连接线缆等，符合要求后方可开机。开机必须按规定的顺序和操作规程进行，并待设备稳定后方能进行工作。

3、设备如需关机，每次关机前，必须先保存当前运行日志，检查设备的运行状态，按要求顺序关机，并填写操作记录。

4、当设备在运行中发生故障时，必须报告相关领导，认真记录故障现象，保护故障现场，请维修人员检查。

5、所有设备必须定期进行维护保养，长期不用的库存设备应定期加电检查。二、预防性维护保养守则

预防性维护保养是指通过合理选择良好的工作环境，掌握正确的操作使用方法和规程，建立健全各项规章制度，作好日常维护保养以及主动捕捉故障预发现

象等措施，来改善系统固有的可靠性指标，减少系统的故障发生率，确保系统的长期可靠运行，提高机器设备的使用寿命。

预防性维护保养的主要内容：

1、加强机房建设与管理，确保机器运行处于良好的环境中。 2、定期（至少在7个工作日内）检查ups系统和电源供电设备。 3、建立完整的设备维修档案，每周要调阅各类机器记录进行分析比较，捕捉故障苗头，及时采取措施。

4、加强现场观察，捕捉异常现象。从设备启动、停止的现象，正常运行时的噪声，设备上指示灯的状态，以及设备发热程度等方面捕捉可能故障的预发现象。

5、做好故障情报工作，审定各种可能发生的故障的处理方案。 6、按时更换或调整某些元器件或零部件。 7、认真作好日常的例行性维护和测试。三、定期常规维护守则

定期常规维护是为保证设备正常运行而定期进行的日常维修保养。 1、日常维护的主要工作是：

a.开机前检查机器运行的环境条件是否满足要求。 b.电源电压是否正常。

c.机器设备的开关，连线，插头插座等是否正常，有无错位、松动。 d.开机后检查设备的各种指示和运行状况是否正常。 e.作好设备清洁工作 2、周维护的主要工作是：

a.清除设备表面灰尘和机内卫生(每月至少2-3次)。

b.检查设备主要性能，发现问题及时解决或通知维修部门解决。 c.清理磁盘空间，删除过期文件。

d.对个楼配线间进行定期检查并认真填写巡检报表 3、月维护的主要工作有： a.认真检查，机器参数和指标。 b.用吸尘器清洁机器表面灰尘。

c.对电源，空调系统，接地系统等运行环境进行系统检修。 4、年维护的主要工作有：

a.清除工作间地板下和走槽里的灰尘，检查线缆的完好性和隔离性，更换老化、变质和绝缘不好的线缆。

b.检查机房内的防火，防水，防盗等设施和安全警报装置。 c.全面检查电源、空调、接地等系统并进行全面检修。

d.对设备的软、硬件性能进行全面测试，调整有关参数，并按上级统一要求进行系统参数的调整。

e.校正各种设备仪表等。

5 严格按照操作手册进行操作如出现技术问题应及时联系技术工程师进行解决处理

四、信息中心关键设备操作流程

1、对于防火墙的操作流程，如设备需要断电或重启必须在网络空闲时进行，如午休以及休息日。

2、核心交换机、汇聚交换机，楼层交换机的操作流程，所有需要操作都要有相应方案，方案通过领导审批之后，才能进行相关操作。操作过程中如有修改必须做好相应记录。在完成操作之后，需由专人值守，查看网络是否有异常，以便做出相应恢复措施。网络设备操作完成之后最短观察网络现状时间为一天。如设备需要断电，1、首先save配置，然后导出配置。2、输入shoutdown –h now关机命令，等待设备关机。3、在指示灯熄灭之后，切断电源。开机则反之。

3、安全设备由信息中心工程师集中管理，有专人进行管理。对于安全设备操作可根据网络设备操作流程进行。如防火墙设备操作中在设备管理→基本信息→选择密码必须符合要求。完成密码修改后重新登录一次查看修改完成之后的密码是否可行

4、如果机房发生全面积停电，则将不必要的服务器以及不必要的网络设备做断电处理，以延长重要网络设备和主机的工作时间，如UPS报警只剩5-15分钟则关闭全部服务器与网络设备。

5.关于服务器开关使用，远程登录到服务器中。完成操作后需退出。服务器如需断电，window操作系统首先点击开始，然后点击关机。等待系统关闭之后

再进行断电。Windows ，Linux系统，1、打开终端管理器。2、输入shoutdown –h now。3、在系统关闭之后进行断电处理。

8.机房管理制度

一、机房进出入管理

1、严禁非机房工作人员进入机房，特殊情况需经中心值班负责人批准，并填写机房登记表，在机房人员的陪同下方可进入。

2、业务系统开发人员、机房内设备检修维护人员须由中心相关人员陪同方可进入工作。

3、严禁业务系统开发人员、机房设备维修人员单独进入主机房、网络机房和配电房等核心区域。在核心区域进行操作期间，须由中心相关人员始终陪同。

4、进入机房人员应遵守机房管理制度，更换专用工作鞋。 5、信息中心人员严禁将门卡（或钥匙）借给无关人员使用。

6、进入机房人员不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质等对设备正常运行构成威胁的物品。

7、如有第三方人员需进出入机房，必须填写《外部人员访问审批单》需相关领导签字方可生效进入。二、安全管理

(1).环境安全

1、机房必须保持安静、整洁，严禁喧哗、会客、吸烟、聚众聊天或玩游戏。 2、机房内实际温度应保持在20℃—25℃之间，相对湿度保持为45%—65%。 3、配备环境监控系统和远程报警系统的机房，须每天检查系统的运行状况，确保系统正常运行。

4、定期做好机房及设备的清洁保养工作，严禁在机房内堆放杂物，存放复印纸、打印纸及软盘、光盘、U盘等移动存贮介质。严禁将茶杯、饮料、5食品、报纸、杂志等带入机房。设备安装过程中产生的各类包装物应在当日及时清理干净。

5、机房配备安全员，专门负责机房的防火、防盗，负责机房供电系统、空调系统、通风系统的安全和日常养护工作，定期检查机房设施情况，做好安全记录，并对机房全体工作人员经常进行防火、防盗、防爆、防破坏教育和培训，提高安全意识。

6、严禁易燃、易爆、易腐蚀品进入机房；严禁将水洒落在机房设备和地板上；严禁踩踏机房电源插座或网线插座；未经许可,非机房工作人员严禁动用各种电源开关，严禁动用任何线路和设备。

7、机房用电量严禁超负荷运行，严禁在机房内使用电炉、取暖炉、电水壶等大功率家用电器。

8、定期对机房供电系统及照明器具进行检查，防止因线路开关老化或损坏而短路造成火灾。雷雨季节要加强对机房防雷设备、地线及防护电路的检查。

9、机房内一律不得动用明火，要严格控制电烙铁、电焊机等的使用，确需使用时，应经徐处同意并按规定操作。

10、机房配备管理员，专门负责机房的防火、防盗，负责机房供电系统、空调系统（并填写空调维护记录）、通风系统的安全和日常养护工作，定期检查机房设施情况，做好安全记录，并对机房全体工作人员经常进行防火、防盗、防爆、防破坏教育和培训，提高安全意识。

11、机房软、硬件相关物品都由信息中心统一管理，且机房物品带入、带出机房必须进行登记。

(2). 人员操作

1、中心机房的关键数据处理实行双人作业制度；操作人员遵守值班制度，不得擅自脱岗。中心服务器数据库要每天进行双备份，并严格实行备份、专人保管。所有重要文档定期整理装订，专人保管，以备后查。

2、值班人员应定时对服务器、网络设备、空调、UPS、监控等设备的运行指示灯、CPU、内存、硬盘、应用程序等进行检查，值班人员须认真、如实、详细填写《机房日志》等各种登记簿，以备后查。

3、严格按照每日预制操作流程进行操作，对新上业务及特殊情况需要变更流程的应事先进行详细安排并书面报负责人批准签字后方可执行；所有操作变更必须有存档记录。

4、操作人员应遵守相关安全规定使用服务器，完成操作后必须退出相关终端管理器。

5、各类软件系统的维护、增删、配置的更改，各类硬件设备的添加、更换必需经负责人书面批准后方可进行；必须按规定进行详细登记和记录，对各类软件、现场资料、档案整理存档。

6、为确保数据的安全保密，对各业务单位、业务部门送交的数据及处理后的数据都必须按有关规定履行交接登记手续。

7、安全检查规定，每天定时检查温湿度，半月针对所有设备进行安全检查。

三、机房保密管理

1、严格遵守通信纪律,增强保密观念,不得随意监测用户通信。增强法制观念,保守通信秘密,不得随意增删、泄漏有关资料。

2、未经批准不得擅自抄录、复制机线及设备图纸、电路和网络组织资料、机密文件、软件版本、技术档案、用户资料、内部资料等，或将其携带出机房。

3、外部人员进入机房必须遵守机房管理规定和机房安全规定。非经同意, 外来人员不得触摸设备及终端, 不得翻阅图纸资料。

4、所有维护和管理人员，均应熟悉并严格执行安全保密规定。各级领导必须经常对维护和管理人员进行安全、保密和消防教育。定期检查安全保密规则的执行情况，发现问题隐患及时处理。

5、信息中心负责对用户口令、操作权限的管理，各类设备与系统应设定各级操作权限和口令，操作人员只可使用权限内的操作，用户账号及口令不可泄露给无关人员。

四、消防安全管理 (1).消防管理规定

1、机房内禁止存放和使用易燃易爆物品，用过的抹布棉纱等物品，用后应随时存放在箱内或放在室外安全地点，不得乱扔。机房内严禁吸烟或携带打火机。未经单位防火负责人同意，机房内不得动用明火；现场必须使用电炉、喷灯时，应做好防火措施。

2、机房与工作室的钥匙配发由信息中心管理，任何人不得私自配制或给他人使用。不经批准，外来人员不得进入机房。

3、机房内应备有一定数量的灭火器，并指定人员负责定期检查。要协调治安保卫队定期检查防火设施，发现过期失效防火设备，及时上报治安保卫队更换。

4、不允许在机房内擅自搭接电源，不得使用超大负荷电器。 5、机房附近施工应严格遵守用火规定，并做好防护措施。

6、机房内不同种类的测试电源，应使用不同种类的插座，以防插错高低压电源而造成机障和阻断，电源线要符合耐压标准。

7、任何人不能随意更改消防系统工作状态、设备位置。需要变更消防系统工作状态和设备位置的，必须取得主管领导批准。工作人员更应保护消防设备不被破坏。

8、机房管理人员应熟悉机房内部消防安全操作和规则，了解消防设备操作原理、掌握消防应急处理步骤、措施和要领以及灭火器的正确使用方法。

9、根据实际情况配备消防设施，对消防设施不准擅自搬动、也不准挪作他用。

10、测试电器设备是否通电，只许使用测试仪表，禁止用手接触电器设备的带电部分和用短路等方法进行试验。

11、任何人不能随便更改消防系设备位置。如需更改必须取得主管领导的批准。

12、应定期消防常识培训、消防设备使用培训。如发现消防安全隐患，应即

时采取措施解决，不能解决的应及时向相关负责人员提出解决。

13、最后离开机房的工作人员，应检查消防设备是否完好。

（2）机房消防应急预案

信息化网络机房是我处网络信息通讯的重要场所。重要仪器、设备相对集中，一旦发生火灾，会造成严重后果。特制定火警应急预案。

1、处置火灾事故的组织：治安保卫队值班人员，机房值班人员; 2、报警程序：

（1）迅速组织有关人员携带消防器具赶赴现场进行扑救。

（2）即刻通知治安保卫队及相关部门，根据火情大小如需报警立即就近用电话或手机报告消防中心（电话119）

（3）在处领导领导汇报的同时，派出人员到各路口等待引导消防车辆。 3、组织实施：

（1）参加人员：在消防车到来之前，以安全消防组织成员为主，其余人员均有义务参加扑救。

（2）大楼内的人员听到报警后，应听从现场指挥人员的指挥，从大楼的消防通道内快速脱离火场，不得恋物。

（3）迅速组织义务消防队员展开自救，把人员和重要设备疏散到安全地带，应遵循先人后物的原则。

（4）消防车到来之后，一切听从消防指挥人员的指挥，筹建处人员配合消防专业人员扑救或做好辅助工作。

（5）使用器具：干粉灭火器，七氟丙烷灭火器等气体灭火器。（6）无关人员要远离火场和消防通道，以便于消防车辆驶入。 4、注意事项：

（1）火灾事故首要的一条是保护人员安全，扑救要在确保人员不受伤害的前提下进行。

（2）火灾一发生，管理人员应立即切断电源。

9.机房办公环境管理办法

机房必须保持安静、整洁，严禁喧哗、会客、吸烟、聚众聊天、玩游戏等。机房内实际温度应保持在20℃—25℃之间，相对湿度保持为45%—65%。配备环境监控系统和远程报警系统的机房，须每天检查系统的运行状况，确保系统正常运行。

定期做好机房及设备的清洁保养工作，严禁在机房内堆放杂物，存放复印纸、打印纸及软盘、光盘、U盘等移动存贮介质。严禁将茶杯、饮料、食品、报纸、杂志等带入机房。设备安装过程中产生的各类包装物应在当日及时清理干净。

机房配备安全员，专门负责机房的防火、防盗，负责机房供电系统、空调系统、通风系统的安全和日常养护工作，定期检查机房设施情况，做好安全记录，并对机房全体工作人员经常进行防火、防盗、防爆、防破坏教育和培训，提高安全意识。

严禁易燃、易爆、易腐蚀品进入机房；严禁将水洒落在机房设备和地板上；严禁踩踏机房电源插座或网线插座；未经许可,非机房工作人员严禁动用各种电源开关，严禁动用任何线路和设备。

机房用电量严禁超负荷运行，严禁在机房内使用电炉、取暖炉、电水壶等大功率家用电器。

定期对机房供电系统及照明器具进行检查，防止因线路开关老化或损坏而短路造成火灾。雷雨季节要加强对机房防雷设备、地线及防护电路的检查。

机房内一律不得动用明火，要严格控制电烙铁、电焊机等的使用，确需使用时，应经信息中心领导同意并按规定操作。

10.网络安全管理制度

网络结构安全管理

对网络设备的口令要加密存储，并在以密文显示，并一月修改一次对网络设备需要配置关闭telnet，划分VLAN区域使用逻辑隔离等安全配置网络物理结构和逻辑结构定期更新，拓扑结构图上应包含IP地址，掩码，网关，端口，网络设备名称，专线供应商名称及联系方式，专线带宽等，并妥善保存，未经许可不得对网络结构进行修改

网络结构必须严格保密，禁止泄漏网络结构相关信息

网络结构的改变，必须提交更改预案，并经过信息总监的批准方可进行定期每季度对网络设备配置文件进行更新存档，并按照每季查看备份文件是否可用

定期邀请第三方检测机构开展内部网络设备安全漏洞扫描工作，并形成书面材料，扫描周期为一年2次。

网络访问控制

妥善保管现有的网络访问控制列表，其中应包含网络设备及型号，网络设备的管理IP，当前的ACL列表，更新列表的时间，更新的内容等，通过KVM串口登录，口令密文存储显示，按照业务要求进行VLAN划分。

定期检查网络访问控制列表与业务需求是否一致，如不一致，申请更新ACL 未经许可不得进行ACL相关的任何修改

更新ACL时，必须备份原有ACL，以防误操作 ACL配置完成以后，必须测试禁止泄漏任何ACL配置网络设备安全

妥善保管现有网络设备清单，包括供应商及联系人信息，设备型号，IP地址，系统版本，设备当前配置清单

每月检查设备配置是否与业务需求相符，如有不符，申请更新配置配置网络设备时，必须备份原有配置，以防误操作配置完成之后，必须进行全面测试

禁止在网络设备上进行与工作无关的任何测试未经许可不得进行任何配置修改禁止泄漏网络设备配置

1网络设备日志保存时间为半年。

2网络设备和安全设备在刚架设投入使用时会进行更新，如有需要则进行更新，更新时必须先做好原先的配置备份，在网络空闲的时候进行，并进行测试，测试通过后放能接入生产网络，并填写《操作运维记录》。

3系统内部网络访问外网必须信息中心主任审批通过，并填写《外联授权审批记录》。 IP地址管理

妥善保管现有IP地址清单，其中应包含服务器型号，操作系统版本，是否支持远程登录及远程登录方式，IP地址，子网掩码，网关，dns信息

实时更新IP地址清单，并制定检查计划，如有多余的IP，及时清理和更新禁止泄漏IP地址清单

11.系统安全管理制度

为加强xx的网络管理，明确岗位职责，规范操作流程，维护网络正常运行，确保计算机信息系统的安全，现根据《中华人民共和国计算机信息系统安全保护条例》等有关规定，结合本单位实际，特制订本制度。

第一条计算机信息系统是指由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

第二条海曙区财政局设立信息安全管理小组，专门负责本单位范围内的计算机信息系统安全管理工作。

第三条遵守国家有关法律、法规，严格执行安全保密制度，不得利用网络从事危害国家安全、泄露国家秘密等违法犯罪活动，不得制作、浏览、复制、传播反动及色情信息，不得在网络上发布反动、非法和虚假的消息，不得在网络上漫骂攻击他人，不得在网上泄露他人隐私。严禁通过网络进行任何黑客活动和性质类似的破坏活动，严格控制和防范计算机病毒的侵入。

第四条各工作计算机未进行安全配置、未装防火墙或杀毒软件的，不得入网。各计算机终端用户应定期对计算机系统、杀毒软件等进行升级和更新，并定期进行病毒清查，不要下载和使用未经测试和来历不明的软件、不要打开来历不

明的电子邮件、以及不要随意使用带毒U盘等介质。

第五条每个月对网络设备进行安全备份，日志审核，在实行安全配置时候需经过上级同意后进行操作。定期对网络设备的口令进行修改，口令应具有复杂度。

第六条任何人员不得制造或者故意输入、传播计算机病毒和其他有害数据，不得利用非法手段复制、截收、篡改计算机信息系统中的数据。

第七条网络管理人员禁止利用扫描、监听、伪装等工具对网络和服务器进行恶意攻击，禁止非法侵入他人网络和服务器系统，禁止利用计算机和网络干扰他人正常工作的行为。

第八条计算机各终端用户应保管好自己的用户帐号和密码。严禁随意向他人泄露、借用自己的帐号和密码；严禁不以真实身份登录系统。计算机使用者更应定期更改密码、使用复杂密码。

第九条每个月检查系统安全策略、安全配置。定期对日志进行审核管理，发现问题及时上报。通过审批后进行相关安全操作。

第十条专人负责网络运行日志，网络监控记录、日常维护和报警信息分析和处理等工作。

第十一条由网络管理员每三个月对对象进行扫描，扫描完成后出一份相应的漏洞扫描报告，并记录归档。

第十二条当需要系统接入时，首先要对该接入的新系统进行检查，检查无误后填写《网络系统接入审批表》并由信息中心相关人员陪同及上级领导同意签字后方可进行相关操作，并对相关操作记录形成《系统运维记录》。

第十三条系统应遵循最小安装的原则，需将不必要的软件进行卸载，将不需要的系统服务停用。

第十四条系统必须开启日志审计功能，且不能删除，日志文件保存三个月以上，且单个文件必须大于2M，并由网络管理员进行管理，检查，并三个月一次对审计日志进行分析形成《日志分析报告》。

第十五条对现在已有的用户账户进行权限的分配以及专人使用，如有特殊情况需要进行用户权限的变更则需要征求信息中心领导审批通过后方可更改。如果发生岗位人员调离或离职，则需要根据实际情况出发对系统账户进行账户禁用或权限修改，如果该账号为administration，则修改该账户的用户名以及密码，和该用户生成的文件（C:\\Documents and Settings\\Administrator）。

第十六条需对操作系统，数据库的管理员账户基本情况进行记录：主机操作系统管理员只有唯一账户Administrator为最高管理员账户，

数据库账户中超级管理员账户为最高权限可对数据表进行查询，检索以及删除，添加修改等操作，其余用户对数据表仅有检索以及查询功能无法修改。

数据备份机制介绍：所有数据存储至存储设备中，备份时间为实时备份.

12.员工离职管理制度

第一章目的

为规范本单位离职管理有所依循，确保本单位和离职员工的合法权益，制定本管理条理。

第二章适用范围

本单位所有员工，不论何种原因离职，均依本办法办理，若有特例，由总经理签字认可。

第三章离职定义合同离职

员工履行受聘合同或协议而离职。员工辞职

因员工个人原因申请辞去工作：1）本单位同意，且视为辞聘员工违约；2）本单位同意，但视为部分履行合同（视实际情况由双方商定）。

自动离职，因员工个人原因离开本单位：1）不辞而别；2）申请辞去工作，但本单位未同意而离职。本单位辞退、解聘

1、员工因各种原因不能胜任其工作岗位者，予以辞退；

2、本单位因不可抗力等原因，可与员工解除劳动关系，但应事前三十日预先辞退通告；

3、违反本单位、国家相关法规、制度，情节较轻者，予以解聘。本单位开除

违反本单位、国家相关法规、制度，情节严重者，予以开除。第四章离职手续办理

一、离职申报

1、离职员工，不论是那种方式都应填写《离职申请/通知单》报送直接上级及办公室。

2、普通员工离职的书面申报，应提前二周报送，管理员、技术人员应提前一个月报送，中高级岗位应提前二个月。

3.员工离职时必须严格保守本单位的各项工作信息，做好严格的保密规定，如有发现离职员工有泄密事件，按实际情况出发追究相关责任人责任。

二、移交

员工离职应办理以下交接手续： 1、工作移交

指将本人经办的各项工作、保管的各类工作性资料等移交至直接上级所指定的人员，并要求接交人在《工作交接单》签字确认，具体内容如下：（1）本单位的各项内部文件；（2）经管工作详细说明

（3）《客户信息表》、《供销关系信息表》：（含姓名、单位、联系方式及其它相关信息）

（4）培训资料原件

（5）本单位的技术资料（包括书面文档、电子文档两类）（6）项目工作情况说明 A、项目计划书 B、项目实施进度说明 C、项目相关技术资料 D、其它项目相关情况详细说明二、事物移交

员工在本单位就职期间所有领用物品的移交，并应交接双方签字确认。 1、领用办公用品移交至办公室； 2、本单位配置的通讯工具移交至办公室；

3、考勤卡、（办公室、办公桌）钥匙、移交至办公室； 4、借阅资料移交至原保管处；

5、各类工具（如维修用品、移动存储、保管工具等）移交至直接上级。三、款项移交

1、将经手各类项目、业务、个人借款等款项事宜移交至财务。 2、经手办理的业务合同（协议）移交至财务。

以上各项交接均应由交接人、接管人签字确认，并经办公室审核、备案后方可认为交接完成。四、结算

1、结算条件：当交接事项全部完成，并经直接上级、办公室、总经理三级签字认可后，方可对离职人员进行相关结算。

2、结算部门：离职人员的工资、违约金等款项的结算由财务、办公室共同进行。3、结算项目：

（1）违约金：因开除、解聘、自动离职和违约性辞职产生的违约金，由办公室按照合同违约条款进行核算； A、《劳动合同》合同期未满违约金 B、《保密、竞业协议》违约金（3）住房基金

住房基金的款项结算，按照《本单位住房基金管理办法》由财务进行结算。（4）工资

（1）合同期满人员，发放正常出勤工资，无违约责任；

（2）本单位辞退的人员，发放正常出勤工资，双方互不承担违约责任；（3）因本单位经营状况等特殊原因的资遣人员，发放正常出勤工资外，本单位另外加付一个月基本工资。

（4）项目损失补偿金：项目开发人员违约性离职，其负责的开发任务未能完成和移交，应付本单位项目损失补偿金。

项目损失补偿金 = （项目开始至离职日之月数 + 3）× 月工资全额注：因个人原因，在技术服务、项目、生产等工作中对本单位造成的损失不在此管理制度中，具体办法参见各项管理条例中的细则规定。

五、关系转移 1、转移前提

交接工作全部完成（以签字为确），违约金、赔偿金等结算完成（以签字为确）。

2、转移内容

档案关系，社保关系，本单位内部建立个人档案中资料不再归还本人，由办公室分类存档

13.系统数据备份与恢复管理制度

为了确保系统计算机系统的数据安全，使得在计算机系统失效或数据丢失时，能依靠备份尽快地恢复系统和数据，保护关键应用数据的安全，保证数据不丢失，特制定本制度。

应该及对数据进行备份，防止系统、数据的丢失；涉及数据备份和恢复的股所要由专人负责数据备份工作，并认真填写备份日志。

网络服务器数据备份工作，由信息中心负责，备份方式为全备,备份频率为三个月一次。备份介质保存于光盘中,保存周期为永久保存。

备份数据应该严格管理，妥善保存；备份数据资料需保存在机房内部。数据的备份、恢复、转出、转入的权限都应严格控制。严禁未经授权将数据备份出系统，转给无关的人员或单位；严禁未经授权进行数据恢复或转入操作。

当各个系统发生数据丢失或数据破坏无法正常工作等情况时(附录：参照数据恢复流程图)

（1）系统管理员首先应该关闭网站服务器,在网站页面上说明”系统正在维护中”；

（2）各管理员配合系统管理员进行系统故障排查，查看审计数据进行全面扫描杀毒等工作；

（3）检查确认问题，并解决问题后方可重新开启网站服务器。进行正常生产使用；

测试数据库备份数据的数据完整性和可用性，需定期对备份的数据进行测试、恢复。

将备份数据导入测试服务器

配合数据库管理员对数据进行检测，查看其是否可用，和数据的完整性

检查通过后，可导入生产服务器。

第七条信息处定期6个月检查一次保存备份数据能否正常使用，需刻录光盘的数据应经过检验确保数据备份的完整性和可用性后，方可刻录光盘。

数据应放置机房柜子中，文件命名规则按照日期来命名，带离机房时应经过信息中心负责人审批通过，方可带离。

14.计算机类设备接入网络管理办法

总则

为确保China ACM计算机网络(以下简称“内网”)的健康发展和正常运行，规范系统和设备接入内网的行为、为内网用户提供良好的接入服务，保障每个网络使用者安全、正常地运行，根据《中华人民共和国计算机信息系统安全保护条例》和单位相关管理制度的规定，特制定本管理办法。

本办法适用于：

本级机构所有需要接入和使用网络的计算机系统及设备；

需要接入本级机构网络的合作单位计算机系统及设备；临时造访人员自带的计算机系统及设备。

本办法由信息中心统一管理和执行。安全管理员负责对申请接入设备进行安全检查和入网审批，系统管理员负责服务器类系统及补丁的安装和升级，服务支持人员负责桌面系统的安装及升级。

接入管理

需要接入网络的用户提出网络接入申请，填写申请表格，说明接入设备的类型、接入用途、接入区域、使用环境、使用资源范围和预计终止时间等，并提交主管领导审批。如果申请资源中涉及到开放防火墙端口，申请人还需要根据《防火墙与安全网关管理办法》中的流程进行申请和审批。

主管领导审批、签字后，提交给信息中心网络管理员做系统安全检查，核实设备和系统的补丁和病毒防护情况是否符合单位要求。如不符合安全要求则由网络处填写审批意见，并视系统类型返回运行管理处或服务支持处安装必要的工具和补丁。

用户如果需要延长接入时间则必须重新填写网络接入申请表，申请时间到期后，网络管理员有权调整配置以中止其网络连接。

用户终止连接时必须办理用户注销手续，以便信息中心释放用户网络资源。网络接入申请材料在信息中心存档以备查验。

使用管理

保护单位计算机系统安全，不受病毒侵害，是每个员工不可推卸的责任，任何可能导致不良影响的网络使用行为将被视为违反单位规定并追究其个人责任。

禁止任何与单位业务无关的使用单位网络和系统的行为，每个员工都有责任保护单位网络和系统安全，保护重要数据及商业机密安全。

每个接入用户必须严格按网络管理处核准的区域和IP地址接入网络，不得擅自更改，如需要变动须得到网络管理员的批准。

每个接入用户个人必须保证自己所使用、维护、管理的计算机系统安装合适的系统安全补丁程序，及时更新病毒库并定期进行全系统扫描。

每个接入用户必须对网络病毒的来源保持足够的警惕，决不打开来历不明的或其他可疑的电子邮件。

每个接入用户一旦发现或怀疑自己的电脑系统已被病毒感染，应立即断开网络，并及时联系信息中心安全管理员进行处理。

所有接入内网的用户必须严格遵守执行单位相关的安全保密制度和运行管理制度，禁止滥用网络，严禁如下行为：

私自卸载操作系统补丁或者防病毒软件。在单位内部用电话线拨号上网。私自安装和使用黑客软件和入侵工具。

散布病毒或者其他干扰或破坏系统的软件和工具。擅自侦听或截取网络中传输的信息。

破解、盜用或冒用他人账号及密码或无故泄漏他人账号及密码。

私自将自己的账号和IP地址借予他人使用,或者盗用他人账号和IP地址。窺视他人的电子邮件。

以任何方式滥用网络资源，包括以电子邮件大量传送广告、连锁信或无用信息，或以灌爆信箱、掠夺资源等方式，影响系统的正常运作。

以电子邮件、聊天工具、BBS或类似功能的方法散布欺诈、诽谤、侮辱、猥亵、骚扰、非法软件交易或其他违法讯息。

所有接入内网的用户必须严格尊重他人知识产权，避免下列可能涉及侵害知

识产权的行为：

（一）使用未授权的软件或工具。

（二）违法下载、拷贝受著作权保护的作品。

（三）未经著作人许可，将受保护的作品上传于公开的网站上。

（四）不理会作者明示禁止转载的通告，任意转载BBS或其他网上的文章。（五）私自开放公众WEB服务，架设网站。（六）其他可能涉及侵害知识产权的之行为。

罚则

信息中心网络管理员将密切监测网络，如果发现用户网络异常或用户有违反本办法的使用行为，安全管理员将中断该用户的计算机系统的网络连接，并按本办法的规定进行相应的处理。

员工有责任采取积极防范措施，避免自己维护的计算机系统被禁止接入网络。由于禁用网络连接所导致的对单位业务的影响将由员工个人承担。

信息中心将定期或者不定期地对联网机器的IP地址、系统补丁和防病毒库软件、远程接入设备管理情况进行检查，发现有违反本规定的接入行为或不按单位相关规定使用网络资源的，将给予通报批评；超过三次以上者将上报单位人力资源管理部门给予警告处分；对于由此造成单位计算机信息系统严重故障或导致单位重大损失的，将视情节严重程度给予严重警告以上处分，并实施相应的经济处罚，触犯国家法律的，则依法移交国家法律部门处理。

15.信息系统变更及发布管理制度

第一节总则

第一条为规范软件变更与维护管理，提高软件管理水平，优化软件变更与维护管理流程，特制定本制度。

第二条本制度适用于应用系统、网络系统等已开发或采购完毕并正式上线、且由软件开发组织移交给应用管理组织之后，所发生的生产应用系统（以下简称应用系统）运行支持及系统变更工作。

第二节变更流程

第三条系统变更工作可分为下面三类类型： 1.功能完善维护

业务部门由于业务发展或业务处理的需要，所产生的对系统的现有功能进行修改、完善的需求。

2.系统缺陷修改

系统设计和实现上的缺陷会引发业务操作中的异常。对系统缺陷进行修复的需求。

3.统计报表生成

业务部门统计报表数据生成的需求。所要求的统计报表数据不能够通过应用系统现有功能提供。这些报表有的只是一次性使用，有的需要经常使用。

第四条系统变更工作以任务形式由相关科室和计算机管理员协作完成。系统变更过程类似软件开发，大致可分为四个阶段：任务提交和接受、任务实现、任务验收和程序下发上线。具体流程，前三个阶段参见《系统变更流程》，第四个阶段参见《程序下发流程》。

第五条因紧急问题处理引发的系统变更处理，具体流程参见《紧急变更流程》。

第六条相关科室提出系统变更需求，并将变更需求整理成《系统变更申请

表》，由科室负责人审批后提交给计算机管理员。

第七条计算机管理员负责接受需求，进行分析需求后，向开发人员提出系统变更建议。

第八条实现过程应按照软件开发过程规定进行。系统变更过程应遵循软件开发过程相同的正式、统一的编码标准，并经过测试和正式验收才能分发。

第九条计算机管理员组织相关科室对系统程序变更严格按照功能要求在备用服务器上进行全面调试，并撰写《程序变更验收报告》，提交科室负责人和计算机管理员签字确认通过后才能分发，并对前一版本撤销。

第十条计算机管理员负责对系统变更过程的文档进行归档进行版本管理，变更过程中涉及的所有文档应至少保存两年。

第三节紧急变更流程

1、紧急事件的报告

科室发现系统异常，导致业务处理无法正常进行，必须迅速处理解决时，问题发现人将问题报告给计算机管理员。

计算机管理员根据问题信息，进行问题的初步诊断，如有可能，对问题原因进行分析定位，并给出解决问题的建议

2、紧急事件变更启动

计算机管理员接到紧急问题上报后，及时与进行讨论和交流，了解情况，并最终判定是否属于紧急事件。确定属于紧急事件后，由计算机管理员启动紧急事件变更流程，并根据其重要性和紧迫性分配优先权，组织人员采取相应的处理流程。

3、紧急事件变更处理

计算机管理员组织人员进行紧急事件变更处理。紧急事件变更流程的变更处理同一般问题变更流程，包括分析、设计、实施、测试、验收，但需使用专设系统用户账号进行紧急事件变更，并进行明确的紧急事件变更文档记录。

4、紧急事件变更程序分发

计算机管理员组织完成变更处理后，进行程序分发。紧急事件变更流程的程序分发同一般系统变更流程。

5、补办文档和领导审批记录

紧急问题得到妥善解决后，需要分别补办各类文档和审批记录。第十一条

系统变更过程中，采取各种措施保证调试系统应用程序访问权限受到良好控制。这些措施包括：

1、通过调试环境的访问控制，限制对调试环境的访问； 2、通过物理隔离的手段，限制对调试环境的访问； 3、通过逻辑隔离的手段，限制对调试环境的访问；

4、对授权访问调试环境的开发人员进行详细记录，使用该记录对调试环境访问权限的检查，确保只有经授权开发人员才能访问调试环境；

5、普通用户只能通过前台登录系统，不能通过后台（如使用调试环境操作系统的命令行）进行操作；

6、开发人员不应该拥有前台应用程序的业务操作访问权限，更不应该在前台应用程序中担任实际的业务操作任务；

7、从技术角度限制开发人员对调试环境中应用程序文件夹的访问权限，只有经过授权的开发人员对程序拥有读、写和执行的权限；

16.xx资产安全管理制度

一、为加强xx信息固定资产的保管及使用管理，特制定本规定。二、本规则所称信息固定资产包括xx信息化范围内所涉及的房屋及建筑物、信息化硬件及其附属设备、信息化软件及其集成系统、工具等。

三、信息化固定资产管理及保养细则由信息中心会同使用部门共同制定。 (一)机房设备由信息中心负责管理；

(二)网络设备、网络软件、网络线路等由网络管理员负责总体管理；

(三)电脑及其附属设备、应用软件、工具等由机房管理员负责管理。

四、人员移交时，对于固定资产按规定详列清册办理移交。

五、固定资产因故障须送厂商修复时，应依照有关规定程序办理相关手续。

已经确认报废的固定资产，应在保密部门和监察部门的共同监督下，将其中的存储介质进行不可恢复的粉碎性物理毁灭。

17.信息系统补丁及版本管理制度

1 总则

1.1为加强xx系统补丁及版本的管理，规范补丁及版本的部署流程，保证信息系统补丁及版本的及时更新，确保信息系统安全稳定高效的运行，特制定本办法。 1.2 本办法所涉及的补丁包括硬件微码补丁、操作系统补丁、数据库补丁和应用系统补丁。

本办法所涉及的版本包括网络设备、安全设备、存储、服务器、终端等硬件产品的操作系统版本，各类系统软件（数据库、中间件）及各类业务系统的版本。

2 适用范围

xx负责部署在信息中心的各类软硬件产品的补丁及版本更新工作及市本级各类终端设备的补丁及版本更新工作。

信息中心负责本级各类软硬件产品的补丁及版本更新工作及终端设备的补丁及版本更新工作。

3 职责分工

补丁版本管理

硬件设备操作系统版本管理员，每月和相关厂商联系，获取操作系统版本的最新情况，并对版本的更新后可能会产生的影响进行评估，确认是否可以升级，升级版本之前先做备份。

各类业务系统应该部署与之相应的测试系统，版本升级之前应做充分的测试，测试2天后无重大问题可进行正式部署，并将版本升级后做的改动内容告知各使用对象。 3.1 操作系统管理员

3.1.1负责各操作系统（含浏览器、办公软件）补丁的管理。

3.1.2负责收集操作系统漏洞信息，跟踪最新补丁信息，评估漏洞威胁、成因和严重性。

3.1.3负责提出操作系统漏洞修补要求和相关防护措施，审批变更计划。 3.2 数据库管理员

3.2.1负责各数据库补丁的管理。

3.2.2负责收集数据库漏洞信息，跟踪最新补丁信息，评估漏洞威胁、成因和严重性。

3.2.3负责提出数据库漏洞修补要求和相关防护措施，审批变更计划。 3.3 系统管理员

3.3.1负责各应用系统（含中间件）补丁的管理。

3.3.2负责收集应用系统漏洞信息，跟踪最新补丁信息，评估漏洞威胁、成因和严重性。

3.3.3负责提出应用系统漏洞修补要求和相关防护措施，审批变更计划。 3.4 补丁测试

3.4.1负责搭建测试环境，负责测试补丁和测试结果的记录。 3.4.2负责跟踪最新补丁信息和下载补丁。 3.5补丁安装员

3.5.1负责补丁的安装或分发，负责制订补丁修补计划。 3.5.2负责解决补丁安装或分发过程中出现的问题。

4 补丁管理

4.1补丁由信息中心统一进行下载、测试和安装，未经许可，不可私自下载安装。 4.2补丁来源须为原厂商官方网站或原厂商工作人员，对于非法的补丁禁止安装。

4.3补丁安装前，应先做好系统和数据备份工作，避免出现问题进行回退，经严格测试通过后方可安装，对测试不成功的补丁严禁安装。

4.4测试中发现的问题应做详细分析，判断发生问题的原因并及时解决，如果不能解决，须记录发生问题的环境，立即反馈给原厂商。

4.5对于刚发布的严重等级漏洞（无补丁）或未通过测试的补丁，可采用临时解决办法消除漏洞的威胁或者暂时接受该风险。

4.6制订补丁修补计划，须先分析信息资产、IT系统环境、IT网络环境和信息资产重要等级，确定需要安装的补丁和相应严重等级，同时明确修补时间、修补方式和修补范围。

4.7补丁安装须先填写变更工单（或工作票），相应补丁管理员和应用系统管理员对变更的必要性、风险和修补计划进行评审，评审通过后由应用系统管理员安

排运维人员全过程配合补丁安装员完成补丁的安装和应用系统的测试。 4.8补丁安装顺序遵循“资产价值大、威胁等级高优先安装”的原则。对于漏洞级别为严重的补丁，无特殊情况须在补丁发布后1星期内安装。

4.9补丁安装完成后应进行全面检查，以确认补丁安装情况，同时制定补丁清单列表。

5 附则

5.1本办法由本单位信息中心负责解释。 5.2本办法自发布之日起施行。

18.安全事件报告和处置管理制度

一、目的

提高处置网络与信息安全突发公共事件的能力，形成科学、有效、反应迅速的应急工作机制，确保重要计算机信息系统的实体安全、运行安全和数据安全，最大限度地减轻网络与信息安全突发公共事件的危害，保障国家和人民生命财产的安全，保护公众利益，维护正常的政治、经济和社会秩序。二、适用范围

本预案适用于xx发生的网络与信息安全突发公共事件和可能导致网络与信息安全突发公共事件的应对工作。

本预案启动后，本单位其它网络与信息安全应急预案与本预案相冲突的，按照本预案执行；法律、法规和规章另有规定的从其规定。三、职责

本预案由信息中心制订，报领导批准后实施。单位有关部门应根据本预案，制定部门网络与信息安全应急预案，并报信息中心备案。

结合信息网络快速发展和本单位经济社会发展状况，配合相关法律法规的制定、修改和完善，适时修订本预案。本预案自印发之日起实施。四、要求 1. 工作原则

预防为主：立足安全防护，加强预警，重点保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统，从预防、监控、应急处理、应急保障和打击犯罪等环节，在法律、管理、技术、人才等方面，采取多种措施，充分发挥各方面的作用，共同构筑网络与信息安全保障体系。

快速反应：在网络与信息安全突发公共事件发生时，按照快速反应机制，及时获取充分而准确的信息，跟踪研判，果断决策，迅速处置，最大程度地减少危害和影响。

以人为本：把保障公共利益以及公民、法人和其他组织的合法权益的安全作为首要任务，及时采取措施，最大限度地避免公民财产遭受损失。

分级负责：按照“谁主管谁负责、谁运营谁负责、谁使用谁负责”以及“条块结合，以条为主”的原则，建立和完善安全责任制及联动工作机制。根据部门职能，各司其职，加强部门间、各局的协调与配合，形成合力，共同履行应急处

置工作的管理职责。

常备不懈：加强技术储备，规范应急处置措施与操作流程，定期进行预案演练，确保应急预案切实有效，实现网络与信息安全突发公共事件应急处置的科学化、程序化与规范化。 2 组织指挥机构与职责

发生网络与信息安全突发公共事件后，应成立网络与信息安全应急协调小组(以下简称协调小组)，为本单位网络与信息安全应急处置的组织协调机构，负责领导、协调全局网络与信息安全突发公共事件的应急处置工作。单位网络与信息安全协调小组下设办公室(以下简称协调小组办公室)，负责日常工作和综合协调，并与公安网监部门进行联系。 3 先期处置

（1）当发生网络与信息安全突发公共事件时，事发部门应做好先期应急处置工作，立即采取措施控制事态，同时向相关主管部门通报。

（2）网络与信息安全事件分为四级:特别重大(1级)、重大(2级)、较大(3级)、一般(4级)。

（3）主管部门在接到本系统网络与信息安全突发公共事件发生或可能发生的信息后，应加强与有关方面的联系，掌握最新发展态势。对3级或4级的网络与信息安全突发公共事件，由该上级主管部门自行负责应急处置工作。对有可能演变为2级或1级的网络与信息安全突发公共事件，要为协调小组处置工作提出建议方案，并作好启动本预案的各项准备工作。主管部门要根据网络与信息安全突发公共事件发展态势，视情况决定赶赴现场指导、组织派遣应急支援力量，支持事发部门做好应急处置工作。 4 应急处置 4.1 应急指挥

本预案启动后，根据协调小组会议的部署，担任总指挥的领导和参与指挥的领导迅速赶赴相应的指挥平台，进入指挥岗位，启动指挥系统。相关联动部门按照本预案确定的有关职责立即开展工作。

需要成立现场指挥部的，事发部门立即在现场开设指挥部，并提供现场指挥运作的相关保障。现场指挥部要根据事件性质迅速组建各类应急工作组，开展应

急处置工作。现场指挥部在协调小组的领导下全权负责现场的应急援救工作。主管部门负责对发生网络与信息安全突发公共事件的网络与信息系统的现场应急处置工作。 4.2 应急支援

本预案启动后，协调小组的应急响应先遣小组，赶赴事发地，督促、指导和协调处置工作。协调小组办公室根据事态的发展和处置工作需要，及时增派专家小组和应急支援单位，调动必需的物资、设备，支援应急工作。

参加现场处置工作的各有关部门和单位要在现场指挥部统一指挥下，协助开展处置行动。 4.3 信息处理

（1）现场信息收集、分析和上报。事发部门应对事件进行动态监测，评估，及时将事件的性质、危害程度和损失情况及处置工作等情况按紧急信息报送的有关规定，及时报协调小组办公室，不得隐瞒、缓报、谎报。

（2）分管科级信息处理。协调小组办公室要明确信息采集、编辑、分析、审核、签发的责任人，做好信息分析、报告和发布工作。

（3）信息发布和咨询。当网络与信息安全突发公共事件发生时，协调小组办公室要及时做好信息发布工作，通过新闻单位发布网络与信息安全突发公共事件预警及应急处置的相关信息，通知社会各界做好应急准备及预防措施，增强公众的信心。信息发布与新闻报道要按国家的有关规定及时进行。 4.4 应急结束

网络与信息安全突发公共事件经应急处置后，得到有效控制，经各监测统计数据上报协调小组办公室，由协调小组办公室向协调小组提出应急结束的建议，经批准后实施。 5 后期处置 5.1 善后处置

在应急处置工作结束后，事发单位要迅速采取措施，抓紧组织抢修受损的基础设施，减少损失，尽快恢复正常工作，统计各种数据，查明原因，对事件造成的损失和影响以及恢复重建能力进行分析评估，认真制定恢复重建计划，迅速组织实施。有关主管部门要提供必要的人员和技术、物资和装备以及资金等的支持，

并将善后处置的有关情况报协调小组办公室。 5.2 调查和评估

在应急处置工作结束后，主管部门应立即组织有关人员和专家组成事件调查组，在当地政府及其有关部门的配合下，对事件发生及其处置过程进行全面的调查，查清事件发生的原因及财产损失状况和总结经验教训，并根据问责制的有关规定，对有关责任人员做出处理。五相关资源

根据《中华人民共和国计算机信息系统安全保护条例》、《计算机病毒防治管理办法》制定本预案。

19.系统漏洞扫描系统运行安全管理制度

第一章总则

第一条为保障信息网络的安全、稳定运行，特制订本制度。

第二条本制度适用于xx，信息系统的所有漏洞扫描及相关设备的管理和运行。

其他联网单位参照执行。第二章人员职责

第三条漏洞扫描系统管理员的任命

漏洞扫描系统管理员的任命应遵循“任期有限、权限分散”的原则；

系统管理员的任期可根据系统的安全性要求而定，最长为三年，期满通过考核后可以续任；

必须签订保密协议书。

第四条漏洞扫描系统管理员的职责如下：

恪守职业道德，严守企业秘密；熟悉国家安全生产法以及有关通信管理的相关规程；

负责漏洞扫描软件（包括漏洞库）的管理、更新和公布；

负责对网络系统所有服务器和专用网络设备的首次、周期性和紧急的漏洞扫描；负责查找修补漏洞的补丁程序，及时打补丁堵塞漏洞；

密切注意最新漏洞的发生、发展情况，关注和追踪业界公布的漏洞疫情；遵守漏洞扫描设备各项管理规范。第三章用户管理

第五条只有漏洞扫描系统管理员才具有修改漏洞扫描设备配置、分析和扫描的权限。

第六条为用户级和特权级模式设置口令。不能使用缺省口令，确保用户级和特权级模式口令不同。

第七条漏洞扫描设备口令长度应采用8位以上，由非纯数字或字母组成，并定期更换，不能使用容易猜解的口令。第四章设备管理

第八条漏洞扫描设备的部署环境应满足相应的国家标准和规范，其网络拓扑和扫描范围的更改要报送信息系统运行管理部门批准，以保证漏洞扫描设备发挥最大效应。

第九条漏洞扫描设备工作时会对网络造成一定程度的影响，应避免在网络运行高峰期进行扫描，如有特殊情况应通知有关的系统管理员

第十条漏洞扫描设备的规则设置、更改的授权、审批依据《漏洞扫描设备配置

变更审批表》（参见附表1）进行。漏洞扫描设备的规则设置、更改，应该得到信息系统运行管理部门负责人的批准，由系统管理员具体负责实施。

第十一条对扫描结果的分析和安全漏洞修补。漏洞扫描后，发现系统漏洞公告，必须及时找到修补漏洞的补丁程序，并通过专用工具，及时下载打补丁，堵塞漏洞。

第十二条漏洞扫描设备定期检测和维护要求（首次实施）。系统管理员对服务器和专用网络设备实施首次漏洞扫描。服务器和专用网络设备上线前，必须进行漏洞扫描，并填写《漏洞扫描补丁记录单》（附表2）。

第十三条漏洞扫描设备定期检测和维护要求（周期实施）。系统管理员对服务器和专用网络设备实施周期性漏洞扫描，并填写《漏洞扫描记录单》（附表3）。第十四条漏洞扫描设备配置操作规程要求如下：记录网络环境，定义漏洞扫描的网络接口；定义漏洞扫描的IP地址范围；定义漏洞扫描的安全级别和扫描选项；安装，升级最新的漏洞库；定义管理员清单和管理权限；

测试漏洞扫描设备的性能和做好网管数据库。

漏洞扫描发现的安全事件处理和报告的要求。一旦获悉业界公布的漏洞疫情，并确认它们存在严重的危害性，即使本单位当前尚未出现受到侵扰的迹象，也必须采取预防措施，紧急更新库，通告本单位，对服务器和专用网络设备实施紧急漏洞扫描，及时调整防火墙策略，并填写《漏洞扫描记录单》。

20.恶意代码防范制度

一、授权使用

应在单位网络配置计算机网络病毒防治产品，其生产单位应具有《计算机信息安全专业产品销售许可证》，其病毒防治能力应达到公安部规定的合格或以上水平

二、恶意代码防范意识

各部门应有较强的补丁升级、病毒防范等意识，定期进行病毒库升级，病毒检测。用户发现系统报错，病毒应立即处理并通知信息中心专职人员。

新系统安装完成后应打上最新的系统补丁、安装最新的防病毒软件，并对系统进行病毒例行检测。

经远程通信传送的程序或数据，必须进过检车确认无病毒后方可使用。需按照单位实际情况出发，每季度对本单位相关员工进行恶意代码防范的技术培训。恶意代码工作

信息中心为最基本的病毒防治和管理部门，主要工作有：

负责升级防病毒产品。

负责防病毒产品安装，升级病毒库，负责病毒检测和清除，负责病毒和防治应急。