网络安全等级保护信息安全管理制度.docxVIP

网络安全等级保护信息安全管理制度

一、总则

为规范本单位网络安全等级保护工作，提升信息安全防护能力，保障网络和信息系统的安全稳定运行，根据《中华人民共和国网络安全法》《信息安全等级保护管理办法》等相关法律法规和标准规范，结合本单位实际情况，制定本制度。

本制度适用于本单位所有涉及网络安全等级保护的信息系统，包括但不限于办公自动化系统、业务应用系统、数据存储系统等。

网络安全等级保护工作坚持“自主保护、重点保护、同步建设、动态调整”的原则，按照信息系统的重要程度和受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度，实行分级保护。

二、组织与人员管理

1.管理机构与职责

成立网络安全等级保护工作领导小组，由单位主要负责人担任组长，分管领导担任副组长，成员包括各部门负责人。领导小组负责统筹协调本单位网络安全等级保护工作，审议网络安全重大决策，解决网络安全重大问题。

设立网络安全管理部门，负责具体组织实施网络安全等级保护工作，制定网络安全管理制度和技术措施，开展网络安全检查和评估，处理网络安全事件等。

各部门明确一名网络安全联络员，负责本部门网络安全工作的联络和协调，配合网络安全管理部门开展各项工作。

2.人员安全管理

人员招聘：在招聘涉及网络安全等级保护工作的人员时，应进行严格的背景审查，确保其具备良好的品德和专业素养。

人员培训：定期组织网络安全培训，提高全体员工的网络安全意识和技能。培训内容包括网络安全法律法规、安全管理制度、安全技术知识等。新员工入职时，应进行网络安全培训和教育，签订保密协议。

人员离岗：员工离岗时，应及时收回其使用的网络设备和账户权限，清除其在信息系统中的相关数据和信息，并要求其签署保密承诺书。

人员安全审计：定期对涉及网络安全等级保护工作的人员进行安全审计，检查其操作行为是否符合安全规定。对发现的违规行为，应及时进行处理。

三、信息系统定级与备案

1.信息系统定级

网络安全管理部门组织相关人员对本单位的信息系统进行梳理和分析，根据信息系统的重要程度、业务特点、数据敏感程度等因素，按照《信息安全等级保护定级指南》确定信息系统的安全保护等级。

信息系统的安全保护等级分为五级，从一级到五级，安全保护等级逐级增高。一级信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益；二级信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全；三级信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害；四级信息系统受到破坏后，会对国家安全造成严重损害；五级信息系统受到破坏后，会对国家安全造成特别严重损害。

信息系统定级结果应经单位网络安全等级保护工作领导小组审议通过，并报上级主管部门备案。

2.信息系统备案

对于确定为二级及以上的信息系统，网络安全管理部门应在定级评审通过后30个工作日内，到当地公安机关指定的受理机构办理备案手续。

备案时应提交《信息系统安全等级保护备案表》、信息系统定级报告、信息系统拓扑结构等相关材料。

备案信息发生变更时，应在变更后30个工作日内到原备案机关办理变更手续。

四、安全建设与整改

1.安全建设要求

新建、改建、扩建信息系统时，应按照国家有关网络安全等级保护的要求，同步规划、同步建设、同步运行网络安全设施。

信息系统的安全建设应遵循国家相关标准和规范，采用成熟、可靠的安全技术和产品，确保信息系统的安全性、可靠性和可用性。

安全建设项目应进行可行性研究和方案设计，经单位网络安全等级保护工作领导小组审议通过后实施。

2.安全整改措施

网络安全管理部门定期对信息系统进行安全评估和检查，发现安全隐患和问题时，应及时制定整改方案。

整改方案应明确整改目标、整改措施、整改期限和责任人。整改措施应具有针对性和可操作性，确保能够有效消除安全隐患。

整改工作应按照整改方案组织实施，在整改过程中应加强监督和检查，确保整改工作按时完成。整改完成后，应进行验收，验收合格后方可投入使用。

五、安全运维管理

1.网络安全运行维护

建立网络安全运维管理制度，明确运维人员的职责和权限，规范运维操作流程。

定期对网络设备、服务器、存储设备等进行巡检和维护，检查设备的运行状态、性能指标等，及时发现和处理设备故障和安全隐患。

对网络拓扑结构、网络设备配置等进行定期备份，确保在发生故障或灾难时能够快速恢复。

加强对网络访问