公共机构信息安全管理操作手册.docxVIP

公共机构信息安全管理操作手册

第一章总则

1.1目的与依据

1.2适用范围

本手册适用于本机构所有部门及其全体工作人员，包括正式职工、合同制人员、临时工作人员以及在本机构工作的外来访问人员、实习人员等。本手册所指信息资产，涵盖本机构拥有或管理的各类数据、信息系统、网络设施、终端设备以及相关的软件、文档等。

1.3基本原则

信息安全管理应遵循以下原则：

*统一领导，分级负责：机构领导层对信息安全负总责，各部门负责人对本部门信息安全负责，层层落实责任。

*预防为主，防治结合：以风险评估为基础，采取前瞻性的安全防护措施，同时建立健全应急响应机制。

*最小权限，按需分配：信息访问权限应严格按照工作职责和业务需要进行分配，并实施动态管理。

*全员参与，综合治理：信息安全是全体人员的共同责任，需从技术、管理、人员等多个层面进行综合防控。

*持续改进，动态调整：根据信息技术发展、业务变化及安全形势，定期评估并调整信息安全管理策略和措施。

第二章组织与人员管理

2.1领导责任

*明确机构主要负责人为信息安全第一责任人，负责审批信息安全重大事项和总体策略。

*分管领导协助第一责任人，负责信息安全日常工作的协调与决策。

2.2归口管理部门

*设立或明确信息安全归口管理部门（可设在信息技术部门或办公室），负责组织制定和实施信息安全管理制度、技术规范，监督检查各部门信息安全工作落实情况。

*配备足够数量且具备相应能力的信息安全专业人员，承担具体的安全技术支持和运维工作。

2.3部门职责

*各业务部门负责人为本部门信息安全直接责任人，负责组织落实本手册及相关信息安全要求，开展本部门人员的安全意识教育。

*各部门指定一名信息安全联络员，协助归口管理部门开展工作，及时上报本部门发生的安全事件。

2.4人员安全管理

*入职管理：对新入职人员进行信息安全知识和本手册内容的培训，签订信息安全保密承诺书，根据岗位需求分配适当的系统访问权限。

*在岗管理：定期组织全员信息安全意识培训和考核，内容包括但不限于安全保密纪律、防钓鱼、防病毒、密码安全等。鼓励员工报告安全漏洞和可疑事件。

*离岗离职管理：及时收回离岗或离职人员的门禁卡、钥匙、设备等，注销其系统账户和访问权限，进行离职前信息安全提醒和保密义务重申。

*岗位权限管理：严格执行岗位不相容原则，关键岗位应建立轮岗或强制休假制度。员工岗位变动时，及时调整其系统访问权限。

第三章资产安全管理

3.1资产识别与分类

*对本机构的信息资产进行全面梳理和登记，建立信息资产清单。

*根据资产的重要程度、敏感级别和业务价值进行分类分级管理，重点保护核心业务系统和敏感数据。

3.2资产处置

*废弃或停用的存储介质（如硬盘、U盘、光盘等）在处置前，必须进行数据彻底清除或物理销毁，确保信息无法恢复。

*报废的计算机、服务器等设备，应进行登记，并由专人负责处置，严禁随意丢弃或流入非正规渠道。

第四章物理环境安全管理

4.1机房安全

*机房应设置在相对独立、不易被无关人员接近的区域，具备防火、防水、防潮、防尘、防鼠、防虫、防盗、防雷、防静电、温湿度控制等设施。

*机房出入口应设置门禁系统/think，实行双人双锁管理，出入机房需进行登记。

*机房内禁止存放与工作无关的物品，严禁吸烟和使用明火。

4.2办公场所安全

*办公区域应保持整洁有序，重要文件资料应妥善保管，下班前整理入柜上锁。

*离开办公座位时，应及时锁定计算机屏幕或关闭电源。

*外来人员进入办公区域需经授权人员陪同，并进行登记。

第五章技术安全管理

5.1网络安全管理

*网络架构：根据业务需求和安全策略，合理划分网络区域，如办公区、业务区、DMZ区等，实施区域隔离和访问控制。

*访问控制：网络设备（路由器、交换机、防火墙等）应设置强密码，启用必要的安全功能。严格控制外部网络对内部网络的访问，以及内部网络不同区域间的访问。

*边界防护：互联网出口应部署防火墙、入侵检测/防御系统等安全设备，定期更新安全策略和特征库。

*无线安全：无线网络应设置强密码和加密方式，隐藏SSID，禁止私自搭建无线接入点。

5.2系统安全管理

*账户管理：采用集中式账户管理系统，对系统账户进行统一管理。实行账户实名制，权限最小化，定期审计账户使用情况。

*补丁管理：建立健全系统和应用软件的补丁管理流程，及时获取、测试并安装安全补丁，优先处理高危漏洞补丁。

5.3应用安全管理

*开发安全：在应用系统开发过程中，应遵循安全开发生命周期方法论，进行安全需求分析、安全设计、安全编码和安全测