《等级保护管理制度汇编》.pdfVIP

XXX公司

信息安全管理制度汇编

年月

2

一、信息安全工作方针策略

（一）信息安全方针

全员参与明确责任

预防为主快响应

风险管控持续改进

具体阐述如下：

I.在浙江省XX局信息安全领导小组的领导下，全面贯省安局关于信息

安全工作的相关指导性文件精神，建立可持续改进的信息安全管理体

系。

2.全员参与信息安全管理体系建设，落实信息安全管理责任制，建立和完

善各项信息安全管理制度，使得信息安全管理有章可循。

3.通过定期地信息安全宣传、教育与培训，不断提高浙江省XX局所有工

作人员的信息安全意识及能力。

4.推行预防为主的信息安全积极防御理念，同时对所发生的信息安全事件

进行快速、有序地响应。

5.贯风险管理的理念，定期对各信息系统进行全面安全检查，将信息安

全风险控制在可接受的水平。

6.在浙江省XX局信息安全领导小组的领导下，持续改进浙江省XX局信息

安全各项工作，保障浙江省XX局信息系统安全畅通与可控，保障所开

发和维护信息系统的安全稳定，为各工作人员及系统应用场所提供安全

可靠的信息化服务。

（二）信息安全策略

I.建立浙江省XX局信息安全管理组织机构，明确安全主管、安全管理负

责人、网络管理员、系统管理员、安全管理员等安全管理相关岗位及职

责，建立健全信息安全管理责任制，使得信息安全各项职责落实到人。

3

10.在浙江省XX局内外网上统一部署网络防恶意代码软件，并进行恶意

代码库的统一更新，防范恶意代码，木马等恶意代码对浙江省XX局信

息系统的影响。通过强化恶意代码防范的管理措施，如加强介质管理，

严禁擅自安装软件，加强人员安全意识教育，定期进行恶意代码检测等,

提高浙江省XX局信息系统对恶意代码的防范能力。

11.对浙江省XX局各重要的信息和信息系统进行备份，并对备份介质进

行安全地保存，以及对备份数据定期进行备份测试验证，保证各种备份

信息的保密性、完整性和可用性，确保所有重要信息系统和重要数据在

故障、灾难后及其它特定要求下进行可靠的恢复。

12.采用技术和管理两方面的控制措施，加强对浙江省XX局内外网的安

全控制，不断提高网络的安全性和稳定性。浙江省XX局内网与互联网

进行物理隔离。通过实施网络访问控制等技术防范措施，对接入内网的

进行严格审批，加强安全管理，加强对浙江省XX局各科室网络使用的

安全培训和教育，确保浙江省XX局网络的安全。

13.加强信息安全日常管理，包括系统口令管理、无人值守设备管理、

等，促使每位人员的日常工作符合浙江省XX局信息安全策略和制度要

求。

14.按照“仅知”原则，通过功能和技术配置，对重要信息系统、数据

等实施访问控制。对系统特殊权限和系统实用工具的使用进行严格的审

批和监管。

15.进一步重视软件开发安全。在浙江省XX局各信息系统立项和审批过

程中，同步考虑信息安全求和目标。应保证系统设计、开发过程的安