一、 信息安全工作方针策略 5
(一) 信息安全方针 5
(二) 信息安全策略 5
(三) 信息安全组织机构 8
二、 安全管理制度 14
(一) 制度的编制 14
(二) 制度的批准、发布 14
(三) 制度的发放 14
(四) 制度评审和修订 14
三、 安全管理机构 15
(一) 关键活动的授权和审批 15
(二) 审核和检查 15
(三) 沟通合作 15
四、 人员安全管理 16
五、 系统建设管理 18
(一) 规划设计 18
(二) 设备选型 18
(三) 采购和安装 19
(四) 软件开发管理 19
(五) 工程实施 20
(六) 测试验收 21
(七) 系统交付 21
(八) 系统建设服务商选择 21
附表1运维人员联系方式一览表 22
六、 机房安全管理制度 23
(一) 办公环境管理办法 23
(二) 机房出入管理 23
(三) 机房环境管理 23
(四) 机房介质管理 23
(五) 机房服务器管理 24
(六) 机房布线管理 24
(七) 机房网络设备管理 25
(八) 机房巡视管理 25
(九) 机房进出设备管理 25
七、 信息资产管理制度 26
(一) 职责 26
(二) 工作程序 26
八、 介质管理规定 29
(一) 介质购置 29
(二) 介质使用及维护管理 29
(三) 介质定期检查 30
(四) 介质维修 30
(五) 介质的报废 30
附表2介质领用申请单 30
附表3介质借用/使用登记单 31
九、 设备安全管理制度 32
(一) IT设备的购买 32
(二) IT设备的登记及领用 32
(三) IT设备的维护 32
(四) IT设备的报废 33
十、 网络安全管理制度 34
(一) 网络安全规划 34
(二) 网络接入控制 34
(三) 网络安全审计 34
(四) 网络设备管理 34
(五) 网络安全检查 35
(六) 网络访问控制 35
(七) 网络服务安全 36
十一、 系统安全管理制度 37
(一) 系统维护管理 37
(二) 系统访问控制 37
(三) 系统用户安全管理 38
(四) 系统审计 39
(五) 监视系统的使用 40
(六) 系统备份 41
十二、 恶意代码防范管理制度 42
(一) 职责 42
(二) 防恶意代码系统的规划与部署 42
(三) 恶意代码防范的日常管理 42
(四) 恶意代码的查杀与处理 43
附表4恶意代码查杀统计表 44
十三、 系统变更管理制度 45
(一) 变更的申请和审批 45
(二) 日常变更的实施 45
(三) 重大变更的实施 45
(四) 重大变更的验证和归档 46
(五) 变更的失败的处理 46
附表5配置变更申请表 46
十四、 备份恢复管理制度 47
(一) 程序 47
(二) 资产识别 47
(三) 制定备份方案 47
(四) 备份计划实施 48
(五) 备份的介质标识 48
(六) 备份介质的安全存放 48
(七) 备份介质的定期测试 48
(八) 信息恢复 48
附表6数据备份检查记录表 49
十五、 信息安全事件管理制度 50
(一) 信息安全事件分类 50
(二) 信息安全事件分级 50
(三) 信息安全事件的预防 50
(四) 信息安全事件的报告 51
(五) 信息安全事件响应 51
(六) 信息安全事件的调查处理 52
(七) 信息安全事件的整改 52
附表7信息安全事件管理文档 53
十六、 应急预案管理制度 54
(一) 应急处置基本原则 54
(二) 组织体系 54
(三) 信息安全事件应急处理 55