信息安全建设整改管理实施内容.docxVIP

信息安全建设整改管理实施内容 管理文件框架体系 一级文件为纲领性文件，是信息安全工作的总体方针和安全策略，说明机构安全工作的总体目标、范围、安全框架和安全职责，包括《信息安全工作总体方针》、《信息安全管理体系职责》和《信息安全管理制度体系文件管理办法》。 二级文件为安全管理制度，是安全管理活动中的各类安全管理制度，包括《人员安全管理制度》、《网络安全管理制度》、《主机安全管理制度》和《机房安全管理制度》等。 三级文件为操作过程记录表单，记录各类安全管理活动的过程和操作。 管理文件编号说明 文件编号遵循通用、简明、易于识别的原则，通常以汉语拼音、拉丁字母、阿拉伯数字等来标识。 一级文件（纲领性文件） 二级文件（安全管理制度） rx-sf-L2-ZD-JF-2016 文件属性代码：ZD-JF：为安全管理制度类的机房安全管理制度。  管理文件字体字号说明 页别 文字内容 字号与字体 封面 单位名称 黑体小初（加粗） 文件名称 黑体小一（加粗） 发布日期，实施日期 宋体五号（加粗） 编制、审核、批准 宋体小四（加粗） 文件编号、版本号、分发号、受控状态 宋体小三（加粗） 目录 目录 宋体五号 文件首页 文件名称 黑体小初（加粗） 单位名称 宋体（加粗） 图题、表题、表中文字 宋体五号 正文 宋体小四 正文 章 黑体三号（加粗） 节 黑体四号（加粗） 条编号 宋体小四 正文 宋体小四 图题、表题、表中文字 宋体五号 页码 宋体小五 管理文件清单说明 序号 文件名称 文件等级 文件主要内容 文件对应记录表单 第一部分：总体方针策略 1 信息安全工作总体方针 一级 信息安全工作总体方针,为纲领性文件，概要说明机构安全工作的总体目标、范围、原则和安全框架等。 《会议记录》 2 信息安全管理制度体系文件管理办法 二级 文件规范了体系文件的编制与修订职责、分类、编号、字体字号、编制、审核、批准、发布、保管管理、借阅和复制、修订、作废和评审的要求；规范了记录表单的编号、编制、监督与检查、存储保管、查阅与借阅、作废等要求；规范了信息安全管理体系管理评审活动程序，明确管理评审的目的和作用，确认管理评审的输入材料和输出材料。 《信息安全管理体系评审与修订记录表》 《文件记录一览表》 《文件记录查阅借阅管理表》 《文件记录作废管理表》 第二部分：机构和人员安全管理 3 信息安全管理体系职责 一级 本文件对信息安全管理机构及人员责任给予定义，通过清晰的责任界定以保证信息安全方针得到有效的贯彻，保障信息安全管理活动的有序进行；包含安全管理机构（信息安全领导小组、安全管理机构职责、机构部门设置）、安全岗位职责（信息安全主管、安全管理负责人、物理安全负责人、网络安全负责人等）、授权与审批、沟通与合作、审核与检查等要求； 《信息安全领导小组成员列表》 《安全岗位职责分配表》 《外联单位联系表》 4 人员安全管理制度 二级 本文件规范了单位从人员录用、人员离岗、人员岗位调动、人员考核、人员惩戒、人员安全意识教育与技能培训、第三方人员访问的安全管理、第三方人员安全保密管理、第三方人员安全操作管理的要求。 《人员录用申请表》 《人员离岗申请表》 《人员岗位调动申请表》 《保密协议》 《系统接入申请审批表》 《第三方人员机房工作内容记录表》 5 安全培训与考核管理制度 二级 本文件规范了信息安全培训的要求、培训的内容、培训的管理（发起和实施）等要求。 《安全培训记录表》 第三部分：系统建设管理 6 信息系统建设管理制度 二级 本文件规范了信息系统建设的整个生命周期，分别从工程实施建设前、建设过程及建设完毕交付等三方面做出规定，具体包括：系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评和安全服务商选择等方面的管理要求。 7 软件开发和实施安全管理制度 二级 本文件规范了自行软件开发安全管理、外包软件开发安全管理、工程实施安全管理等方面要求。 第四部分：系统运维管理 8 机房安全管理制度 二级 本文件规范了机房安全管理要求，包括机房环境安全管理、设备安全管理、机房出入管理、机房保密管理、施工管理、安全检查等方面的要求。 《机房人员出入登记表》 《资产（设备）故障报告单》 《资产（设备）作废记录表》 《机房设备日常安全检查记录表》 《机房设备专项安全检查记录表》 9 办公计算机安全管理制度 二级 本文件规范了办公PC信息安全基本要求、使用网络相关规定、监督与检查等方面的要求。 10 资产管理制度 二级 本文件规定了信息系统资产管理的责任部门，并规范资产的识别、赋值、管理、以及笔记本管理、存储介质管理、数据资产管理、资产（设备）维护与报废等方