机房安全管理制富阳.doc

目录 前 言 1 一. 信息安全保障体系总体方针和安全策略 2 1. 总则 2 2. 总体方针 2 3. 网络与信息安全的基本概念 2 4. 网络与信息安全的重要性和普遍性 2 5. 网络与信息安全保障体系与安全策略 3 6. 安全需求的来源 4 7. 安全风险的评估 4 8. 安全措施的选择原则 5 9. 安全工作的起点 5 10. 关键性的成功因素 6 11. 安全策略综述 6 二. 文件（制度）控制程序 9 1. 术语与定义 9 2. 职责 9 3. 文件的编制 9 4. 文件的批准、发布 10 5. 文件的发放 10 6. 文件的归档 10 7. 文件的作废和销毁 10 8. 文件评审管理 10 三. 安全检查管理制度 11 1. 总则 11 2. 检查内容 11 3. 形式与方法 12 4. 组织实施 12 5. 程序与要求 12 四. 工作职责及岗位说明书 14 1. 信息安全领导小组工作职责 14 2. 信息系统安全小组工作职责 14 3. 各组员工作职责 14 3.1 安全管理员职责 14 3.2 机房管理员职责 16 3.3 网络管理员职责 16 3.4 主机管理员职责 17 3.5 应用管理员职责 18 4. 关键岗位人员相关事宜 19 五. 授权和审批管理制度 20 六. 外部人员访问管理制度 22 1. 总则 22 2. 外部人员访问 22 3. 外部人员访问的授权 22 七. 安全培训教育策略 24 1. 总则 24 2. 安全要求 24 2.1 安全培训体系要求 24 2.2 信息安全意识教育 24 2.3 信息安全技术培训 24 2.4 信息安全专家建议 25 八. 机房安全管理制度 26 1. 总则 26 2. 机房出入管理 26 3. 机房环境管理 26 4. 机房介质管理 26 5. 机房服务器管理 27 6. 机房布线管理 27 7. 机房网络设备管理 28 8. 机房巡视管理 28 9. 机房进出设备管理 28 10. 违规处理 28 九. 资产安全管理制度 29 1. 资产分类方法 29 2. 资产标识 30 3. 资产分级 31 4. 资产的使用和管理 32 十. 介质安全管理制度 33 1. 总则 33 2. 介质购置 33 3. 介质使用及维护管理 33 4. 介质定期检查 34 5. 介质维修 34 6. 介质的报废 34 十一. 设备安全管理制度 35 1. 总则 35 2. 设备购置 35 3. 设备使用 36 4. 设备管理 36 5. 设备报废 36 十二. 软件项目外包管理办法 38 1. 总则 38 2. 管理职责 38 3. 总体管理 39 4. 项目立项 39 5. 外包商选择 40 6. 方案设计 40 7. 开发过程管理 40 8. 验收 41 9. 正式运行 42 10. 培训与售后服务 42 11. 附则 42 十三. 应用软件系统开发维护管理规定 43 1. 总则 43 2. 管理职责 43 3. 审批程序 43 4. 软件开发 44 5. 项目上线管理 45 6. 项目维护与变更 45 7. 开发维护工作流程 46 8. 附则 46 十四. 网络安全分项策略 47 1. 总则 47 2. 安全要求 47 2.1 网络安全运行与维护策略 47 2.2 网络安全变更策略 49 2.3 网络设备安全配置管理策略 51 十五. 系统安全管理制度 56 1. 总则 56 2. 安全要求 56 2.1 系统安全规划策略 56 2.2 系统运行与维护安全策略 57 2.3 系统变更安全策略 61 2.4 操作系统安全配置策略 62 十六. 信息系统变更管理规定 67 1. 总则 67 2. 变更申请 67 3. 变更评估 67 4. 变更实施 67 5. 变更归档 68 十七. 信息系统硬件设备维护管理制度 71 1. 总则 71 2. 机房内硬件设备维护 71 3. 机房外设备的维护 73 十八. 数据备份和恢复管理制度 74 1. 总则 74 2. 数据备份 74 3. 数据使用和恢复 75 4. 备份数据转储 75 十九. 恶意代码防范管理制度 76 1. 总则 76 2. 安全要求 76 二十. 信息系统应急预案 78 1. 总则 78 1.1 目的 78 1.2 工作原则 78 2. 应急工作小组机构及职责 79 3. 预警和预防机制 80 3.1 信息监测及报告 80 3.2 预警 81 3.3 预警支持系统 81 3.4 预防机制 81 4. 应急处理程序 81 4.1 信息系统突发事件分类分级的说明 81 4.2 信息系统应急预案启动 82 4.3 现场应急处理 83 5. 保障措施 83 5.1 应急演练 83 5.2 人员培训 83