xx公司信息系统安全等级保护二级制度编制草案解析.docVIP

xx公司信息系统安全等级保护二级制度汇编 xx 目录 1．《安全工作的总体方针、政策性文件和安全策略文件》 4 2．设备管理制度 8 3.审批管理制度 11 4.网络接入管理审批制度 12 5.系统投入运行测试管理制度 13 6.办公环境管理制度 14 7.关键设备操作规程 16 8.机房管理制度 19 9.机房办公环境管理办法 24 10.网络安全管理制度 25 11.系统安全管理制度 27 12.员工离职管理制度 30 13.系统数据备份与恢复管理制度 33 14.计算机类设备接入网络管理办法 34 15.信息系统变更及发布管理制度 38 16.xx资产安全管理制度 41 17.信息系统补丁及版本管理制度 42 18.安全事件报告和处置管理制度 45 19.系统漏洞扫描系统运行安全管理制度 49 20.恶意代码防范制度 51 21.存储介质管理制度 53 22.xx信息系统权限划分实施细则 54 23.安全事件定级 57 24.年度安全培训计划 62 25.应急预案总体框架 63 26.xx应急处置方案 67 27.保密协议书 71 1.安全技能考核记录 74 2.安全教育培训记录 75 3.安全事件处理记录 76 4.补丁安装操作记录（范文） 77 5. 系统补丁更新记录 78 6.操作运维记录 79 7.系统运维记录 80 8.管理制度评审记录 81 9.信息系统会议纪要 82 10.机房安全检查记录表 83 11.设备带离机房审批单 84 12.离职移交手续单 85 13.培训记录单 86 14.设备带离机房审批记录 87 15.设备领用登记表 88 16.外部人员访问审批单 89 17.外联授权审批表 90 18.网络设备及服务器更新记录 91 19.系统变更申请表 92 20.系统投入运行申请表 93 21应急预案培训记录 94 1．《安全工作的总体方针、政策性文件和安全策略文件》 第一章 总则 第一条 为保障xx业务的正常持续运行，保护信息资产的安全，制定本方针。 第二条 本方针旨在为xx的信息安全管理实践提供清晰的策略方向，阐明信息安全建设和管理的重要原则，为xx的信息安全管理工作提供指引与支持。 第三条 除非特别说明，本方针的管理对象包括xx拥有、控制、管理和使用的所有硬件、软件、信息、服务、人员和无形资产等信息资产。本方针的适用对象主要包括与以上信息资产相关的xx的所有部门，以及与xx有关的集成商、软件开发商、产品提供商、顾问、商业合作伙伴、临时工作人员和其他第三方机构或人员。 第二章 信息安全方针 第四条 信息安全管理委员会是xx最高信息安全管理机构，下设信息安全管理领导小组和信息安全管理工作小组。 第五条 信息安全管理领导小组组长由***担任，小组成员由xx信息中心和局领导组成。信息安全管理领导小组定期召开会议，对有关信息安全重大问题做出决策。 第六条 信息安全管理工作小组组长由***兼任，小组成员由xx专职人员和各部门信息安全管理员组成。信息安全管理工作小组负责信息安全政策和措施的宣传、贯彻和督促检查，并针对信息安全事件建立完善的响应、报告和调查机制。 第七条 本方针的适用对象必须遵守国家有关信息安全的法律、法规、上级主管部门及行业内的相关规定和要求，以及xx的有关规定。 第八条 xx建立有效的信息安全管理体系，定义信息资产的安全需求，持续进行信息资产的风险评估，建立并完善信息安全保护策略和程序，使xx拥有可控的风险管理架构、方法和保障落实机制，确保xx在不断变化的信息安全风险环境中，始终能够通过科学的方法和持续的改进来增强xx抵抗风险的能力。 第九条 xx全体干部职工必须接受必要的信息安全教育与培训，充分理解xx制订的信息安全管理规定，明确在保护xx信息资产安全过程中所应担当的角色和责任。 第十条 根据“谁主管，谁负责；谁运行，谁负责”的原则，建立信息安全绩效考核体系。对于违反信息安全规定的部门和个人，将按有关规定进行处理。 第三章 信息安全管理原则 第十一条 xx的信息安全管理推行治理原则、管理与技术并重原则和PDCA(“Plan：规划”—“Do：实施”—“Check：检查”—“Act：处置”)动态循环管理原则。 (一) 治理原则：信息安全管理要符合xx的治理原则。在战略层面上， 信息安全决策必须由最了解xx整体目标与价值的权威部门来决定，使信息安全问题得到最高管理层的关注，并进入xx战略层的日常议题；在战术层面上，信息安全实践由国际和国内得到普遍实践与认可的治理标准（如ISO27001、ITIL、COBIT等）来指导。 (二) 管理与技术并重原则：信息安全