《单位内部网络信息安全制度汇编（试行）》

相关术语

1、缩写

2、制度适用范围：

适用于（xx市民政局）各部门，包括系统维护管理人员、网络、服务器、终端、设备、信息系统的专用设备以及物理环境等

3、术语定义

安全策略：是纲领性的安全策略主文档，描述

（

xx

市民政局）

业务安全目标和管理层意图、支持目标和指导原则，是信息安全实践的根本性和指导性的文件。

信息安全等级保护管理体系是指依据国家信息安全等级保护的要求建立的系统内进行信息安全管理的制度、方针、策略、流程、指南、记录等管理方面的规章制度集合。

信息安全等级保护管理体系是指依据国家信息安全等级保护的要求建立的系统内进行信息安全管理的制度、方针、策略、流程、指南、记录等管理方面的规章制度集合。

安全检查：指单位内部或外部机构对信息安全整体执行情况进行的评价活动。安全检查的依据是单位现行的管理制度、信息系统安全体系规范和技术标准、有关法律、法规和标准要求等安全检查包括安全例行检查、安全专项检查等。

安全例行检查：指按照已制定的检查周期所作的检查。

安全专项抽查：指根据单位、监管机构或相关部门要求的安全运行状况所作的不定期的抽查。

本单位员工是指单位正式员工，包括试用期员工和借调人员等。

第三方机构是指所有进入

（

xx

市民政局）

内部提供相关技术服务的非

（

xx

市民政局）

单位（包括但不限于供应商、合作厂商、

服务商）。第三方人员分为

临时来访人员和驻场外包人员。临时来访的第三方人员是指来

（

xx

市民政局）

时间周期较短的人员，包括进行业务交流的人员，临时来访参观的人员等；驻场外包的第三方人员是指来访时间较长的第三方技术服务人员，包括项目建设人员，外来信息系统职守人员，外来信息系统维护人员等。

存储介质：指用于单位计算机系统相关业务的电子信息输出、存放的物理介质、可移动和不可移动的磁盘、光盘、硬盘、磁盘阵列等。

帐号是指每个可访问系统资源的用户在系统中的标识

,

可分为应用系统帐号、操作系统帐号和数据库帐号等。

访问权限是

指帐号被赋予的可以访问系统资源和使用系统功能的权利。

超级管理员帐号

/

特权帐号：指对系统具有超级权限的帐号，包含但不限于

UNIX/Linux

的

root

，

WINNT

的

administrators

组成员，数据库的

DBA

等用户。

普通帐号：用户用于维护或访问系统，实现日常操作的帐号，是最为常见的用户类型。

补丁是针对某一个具体的系统漏洞或安全问题而发布的专门解决该漏洞或安全问题的小程序，通常称为修补程序。

日志包括各业务系统中存储的主机系统日志、设备日志和业务系统日志等基础环境日志

计算机病毒：计算机病毒是人为蓄

意编制的一种寄生性的计算机程序。它能在计算机系统中生存，通过自我复制来传播，在一定条件下即被激活，从而给计算机系统造成一定损害甚至严重破坏，有些病毒还能窃取计算机设备中的重要信息

信息安全事件是指由于自然或者人为以及软硬件本身缺陷或故障的原因，对信息系统造成危害，或对社会造成负面影响的事件

一、网络信息安全总体策略

第一章 总则

为了加强（

xx

市民政局）信息系统的网络安全管理，明确（

xx

市民政局）网络安全管理的总目标和总方向，保护（

xx

市民政局）系统自有的信息系统资产，积极预防安全事件的发生，使安全事件的影响最小化，特制定本策略文件。

第二章 术语定义

安全策略：是纲领性的安全策略主文档，描述（

xx

市民政局）信息系统业务安全目标和管理层意图、支持目标和指导原则，是网络安全实践的根本性和指导性的文件。

第三章 组织职责

单位

组建

网络安全与信息化领导小组，负责批准网络安全策略文件并且保证本文件被执

行，同时负责对（

xx

市民政局）系统网络安全方面的指导方向、安全建设等重大问题做出决策，协调各部门安全协同工作，支持和推动网络安全工作在整个单位实施。

单位

组建

网络安全等级保护工作小组，负责具体执行安全管理策略文件的建立、实施、运作、监控、评审、维护和改进工作。

单位所有员工有责任了解自身在单位

信息安全、

网络安全方面的职责，并按照

网络安全与信息化领导小组的

指示

，

认真执行相关要求。

第四章 管理原则

网络安全管理工作实行“积极防范、突出重点、职责到位、保障业务”和“谁主管、谁负责、

谁运营、谁负责

”的管理原则。

第五章 总体目标

遵守国家相关法律法规，结合（

xx

市民政局）实际情况，依据现有管理和文化

体系，逐步建设一套适用的、先进的网络安全管理体系，更好地保障（

xx

市民政局）网站

、社管

平台

等重要信息

系统

安全、稳定的向

社会公众

提供

服务，并满足单位不断发展的业务需求

。

第六章 安全框架

安全管理制度

逐步完善由安全策略、管理制度、操作规程组成的网络安全管理体系。

网络安全策略文件应由管理层审核批准，并公布与传

达给单位所有人员以及同

本单位

有

业务往来的

第三方机构。网络安全策略文件在规划期间内或有重大变更发生时需通过管理层的审查及修订。

安全管理机构

必须建立网络安全管理组织，以满足网络安全管理体系持续运行的目标。

加强与第三方机构的沟通和合作，及时获取相关信息。

必须建立安全检查机制，定期对信息系统进行安全检查。

加强人员录用和离岗过程的安全管理，并定期对所有人员进行安全培训和考核，加强安全意识。

对所有操作或访问信息资产的第三方机构，必须向其阐明相关的责任要求，并明确告知其有责任恰当地使用和保护这些信息资产。

系统建设

系统建设初期必须根据系统定级情况进行安全方案设计，对可行性进行论证。

确保安全和密码产品采购和使用符合国家的有关规定；并只能选择满足条件的安全服务商。

确保在系统的开发与维护过程中，相关的安全功能和需求已被嵌入到系统内。在开发新系统时，安全功能应包含在初始的系统分析与需求描述中。这些描述必须包括自动的和手动的安全控制。这些控制必须通过测试，而且能够整合到正在运行的环境中。

系统运维

信息系统及其相关的设备在物理上需要受到保护，防止偷窃、滥用、损坏或未经授权的访问。

确保信息系统相关的信息资产受到适当保护

,

所有信息资产必须有确定的属主并且根据其敏感度进行分类和控制。

所有信息系统必须制定相应的操作规范，通过对日常操作的管理、介质的管理、恶意代码防范控制确保信息系统范围内信息处理设施的正确和安全操作。

对三级系统应建立安全管理中心，对信息资产安全事件实现监控和响应。

所有信息系统变更应有审批流程，并有完善的恢复流程。

应建立有效的安全事件响应和处理机制，安全事件必须及时的发现、报告、处理、调查、上报并修正，并且有事后的回顾，以吸取经验教训，避免以后再发生同类型的事件，把损失降到最小。

建立完善应急预案，以确保事故发生时，对业务活动的影响降至最小。

第七章 策略制定与维护

网络信息安全策略文件由安全管理员编写，由网络安全与信息化领导小组批准，向所有相关部门、第三方机构和相关人员发布。

网络安全与信息化领导小组监督网络安全活动，是否与策略的目标一致，达到策略的要求。

网络安全与信息化领导小组审查和处理违反安全策略的行为。

网络安全等级保护工作小组定期对网络安全策略进行回顾和评审（附件一、评审记录表），确保策略的有效性和可操作性。

附件一、安全策略评审记录表

安全策略评审记录表

日期： 年 月 日

客服

扫码添加客服微信
享受更多尊贵服务

内群

扫码添加客服微信
进内部大秘交流群

活动

限量优惠活动
正在火热进行

顶部

关于我们

• 公文写作宝
• 写作没烦恼
• 材料不枯燥
• 文章更出彩
• 网站地图

合作交流

• 长期接受投稿
• 诚聘专职写手
• 代找文档稿件

声明 :

• 本站尊重并保护知识产权，根据《信息网络传播权保护条例》及《民法典》第1195条之规定，如果我们转载的作品侵犯了您的权利,请在一周内通知我们，我们会及时删除。

关注我们

微信公众号

微信客服

本站由 KK工作室 提供全套技术支持（建站咨询:18656655565）

GMT+8, 2024-11-15 22:44 , Processed in 4.997824 second(s), 24 queries , Gzip On. 公文写作宝 gwxzb.com Copyright © 2001-2023 鲁ICP备2020039014号-2