信息安全管理制度

=====WORD完整版----可編輯----專業(yè)資料分享=====

----完整版學(xué)習(xí)資料分享----

網(wǎng)絡(luò)信息安全管理制度

第一章總則

第一條為了加強(qiáng)信息管理，規(guī)范信息安全操作行為，提高信

息安全保障能力和水平，維護(hù)信息安全，促進(jìn)信息化建設(shè)，根據(jù)《中

華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》等規(guī)定，以《環(huán)境

信息網(wǎng)絡(luò)管理維護(hù)規(guī)范》（環(huán)保部制定）等標(biāo)準(zhǔn)為基本管理操作準(zhǔn)則，

制訂本管理制度。

第二條本制度適用范圍為信息與監(jiān)控中心，其他單位可參照

執(zhí)行。

第二章崗位管理

第三條業(yè)務(wù)信息工作人員（包括監(jiān)控與信息中心技術(shù)人員及

機(jī)關(guān)業(yè)務(wù)系統(tǒng)管理人員）、機(jī)房運(yùn)維人員（包括外包機(jī)構(gòu)人員），應(yīng)

遵循《環(huán)境信息網(wǎng)絡(luò)管理維護(hù)規(guī)范》等規(guī)定。

第四條機(jī)房運(yùn)維人員根據(jù)運(yùn)維合同規(guī)定由機(jī)房管理部門對(duì)

其實(shí)行管理。

第五條信息工作人員崗位設(shè)置為系統(tǒng)管理員、業(yè)務(wù)管理員、

網(wǎng)絡(luò)管理員、安全管理員、安全審計(jì)員。

人員崗位及職責(zé)

（一）系統(tǒng)管理員

=====WORD完整版----可編輯----專業(yè)資料分享=====

----完整版學(xué)習(xí)資料分享----

系統(tǒng)管理員是從事服務(wù)器及存儲(chǔ)設(shè)備運(yùn)行管理的人員，業(yè)務(wù)上

應(yīng)具備熟練掌握操作系統(tǒng)、熟練操作服務(wù)器和存儲(chǔ)設(shè)備的能力。

1、負(fù)責(zé)指定的服務(wù)器、存儲(chǔ)等設(shè)備的資料登記、軟件保管及

設(shè)備報(bào)修。

2、配合完成指定的業(yè)務(wù)軟件運(yùn)行環(huán)境的建立，正式運(yùn)行后的服務(wù)器

系統(tǒng)軟硬件操作的監(jiān)管，執(zhí)行中心的備份策略。

3、在所負(fù)責(zé)的的服務(wù)器、存儲(chǔ)設(shè)備發(fā)生硬件故障時(shí),及時(shí)組織

有關(guān)人員恢復(fù)系統(tǒng)的運(yùn)行,針對(duì)系統(tǒng)事故找到系統(tǒng)事故原因。

4、負(fù)責(zé)指定的服務(wù)器操作系統(tǒng)的管理口令修改。

5、負(fù)責(zé)制定、執(zhí)行服務(wù)器及存儲(chǔ)設(shè)備故障應(yīng)急預(yù)案。

（二）業(yè)務(wù)管理員（業(yè)務(wù)聯(lián)系人）

業(yè)務(wù)管理員是部署在應(yīng)用服務(wù)器上的操作系統(tǒng)及業(yè)務(wù)系統(tǒng)運(yùn)行

管理的人員，業(yè)務(wù)上應(yīng)具備業(yè)務(wù)系統(tǒng)安裝及基本調(diào)試操作的能力（業(yè)

務(wù)軟件廠家負(fù)責(zé)培訓(xùn)），業(yè)務(wù)系統(tǒng)及部署操作系統(tǒng)故障分析的能力，

預(yù)防系統(tǒng)風(fēng)險(xiǎn)的能力。

1、負(fù)責(zé)維護(hù)業(yè)務(wù)系統(tǒng)的運(yùn)行及業(yè)務(wù)系統(tǒng)的安裝環(huán)境。

2、負(fù)責(zé)制定、執(zhí)行業(yè)務(wù)系統(tǒng)及其數(shù)據(jù)的備份計(jì)劃。

3、負(fù)責(zé)業(yè)務(wù)數(shù)據(jù)的數(shù)據(jù)備份及數(shù)據(jù)恢復(fù)。

4、負(fù)責(zé)制定執(zhí)行本業(yè)務(wù)系統(tǒng)的故障應(yīng)急預(yù)案。

（三）網(wǎng)絡(luò)管理員

網(wǎng)絡(luò)管理員是網(wǎng)絡(luò)及網(wǎng)絡(luò)設(shè)備運(yùn)行管理的管理人員，業(yè)務(wù)上應(yīng)

具備規(guī)劃大型網(wǎng)絡(luò)的能力，網(wǎng)絡(luò)故障分析的能力。

1、負(fù)責(zé)日常監(jiān)控網(wǎng)絡(luò)運(yùn)行，保持網(wǎng)絡(luò)安全、穩(wěn)定、暢通。

=====WORD完整版----可編輯----專業(yè)資料分享=====

----完整版學(xué)習(xí)資料分享----

2、負(fù)責(zé)網(wǎng)絡(luò)、安全設(shè)備的資料登記，軟件保管及設(shè)備維修。

3、負(fù)責(zé)網(wǎng)絡(luò)、安全設(shè)備的配置情況及針對(duì)相關(guān)業(yè)務(wù)配置參數(shù)

設(shè)置，并備份各個(gè)設(shè)備的配置文件。

4、負(fù)責(zé)網(wǎng)絡(luò)、安全設(shè)備的編號(hào)和調(diào)配。

5、負(fù)責(zé)網(wǎng)絡(luò)資源規(guī)劃和網(wǎng)絡(luò)布線配線架的管理。

6、負(fù)責(zé)對(duì)網(wǎng)絡(luò)的效能進(jìn)行評(píng)價(jià)，提出網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)技術(shù)和

網(wǎng)絡(luò)管理的改進(jìn)措施。

7、負(fù)責(zé)制定和執(zhí)行網(wǎng)絡(luò)故障應(yīng)急預(yù)案。

（四）安全管理員

安全管理員是網(wǎng)絡(luò)安全、系統(tǒng)安全進(jìn)行風(fēng)險(xiǎn)評(píng)估的管理人員，

業(yè)務(wù)上應(yīng)具備文字處理的能力、劃分系統(tǒng)保護(hù)定級(jí)及系統(tǒng)恢復(fù)定級(jí)

的能力、協(xié)調(diào)溝通的能力。

1、負(fù)責(zé)定期對(duì)網(wǎng)絡(luò)、操作系統(tǒng)等進(jìn)行安全漏洞掃描，通知各

相關(guān)技術(shù)人員并給予指導(dǎo)。

2、負(fù)責(zé)組織實(shí)施信息安全風(fēng)險(xiǎn)評(píng)估，報(bào)告。

3、負(fù)責(zé)組織人員進(jìn)行安全培訓(xùn)。

4、負(fù)責(zé)確定系統(tǒng)保護(hù)定級(jí)和劃分系統(tǒng)恢復(fù)等級(jí)。

5、負(fù)責(zé)配合省公安廳和經(jīng)信委的信息安全檢查。

（五）安全審計(jì)員

安全審計(jì)員是審計(jì)網(wǎng)絡(luò)安全策略、安全防護(hù)、角色權(quán)限的管理

人員。業(yè)務(wù)上應(yīng)具備辦公及應(yīng)用軟件安全分析的能力、系統(tǒng)安全風(fēng)

險(xiǎn)策略及數(shù)據(jù)安全風(fēng)險(xiǎn)策略分析的能力、組織協(xié)調(diào)的能力。

1、負(fù)責(zé)辦公軟件和應(yīng)用軟件的安裝和維護(hù)。

=====WORD完整版----可編輯----專業(yè)資料分享=====

----完整版學(xué)習(xí)資料分享----

2、負(fù)責(zé)重要系統(tǒng)的用戶角色權(quán)限的審計(jì)。網(wǎng)絡(luò)安全、病毒防

護(hù)的審計(jì)。

3、負(fù)責(zé)數(shù)據(jù)備份與災(zāi)難恢復(fù)的審計(jì)。

4、協(xié)助進(jìn)行網(wǎng)絡(luò)帶寬分配、網(wǎng)絡(luò)訪問控制、網(wǎng)絡(luò)安全審計(jì)、網(wǎng)絡(luò)邊

界完整性、網(wǎng)絡(luò)入侵防范、網(wǎng)絡(luò)惡意代碼防范、地址綁定等安全功

能進(jìn)行測(cè)試。

5、負(fù)責(zé)重要系統(tǒng)軟硬件獲取應(yīng)用的審計(jì)。

6、負(fù)責(zé)應(yīng)急預(yù)案的審計(jì)，并組織應(yīng)急演練。

第六條信息工作人員與機(jī)房運(yùn)維人員都必須遵守《山東省環(huán)

境保護(hù)廳環(huán)境信息網(wǎng)絡(luò)管理維護(hù)規(guī)范》，簽訂信息安全責(zé)任書。

第七條對(duì)違反信息安全操作規(guī)范或嚴(yán)重疏忽，根據(jù)造成的后

果的大小，可對(duì)信息工作人員的當(dāng)年年度考核評(píng)定為不合格或職務(wù)

晉升、評(píng)選先進(jìn)等實(shí)行一票否決。人事關(guān)系隸屬其他部門人員通知

相關(guān)部門負(fù)責(zé)人，根據(jù)廳有關(guān)規(guī)定進(jìn)行處理。造成重大事故，構(gòu)成

犯罪的，將追究刑事責(zé)任。

第八條信息工作人員離崗必須交接的內(nèi)容：

1、將領(lǐng)用的辦公電腦、U盤、移動(dòng)硬盤等辦公品辦理退還手續(xù)。

2、本崗位所有的工作資料。

3、經(jīng)辦未了的事項(xiàng)。

第九條離崗交接要求

1、離崗人員必須認(rèn)真填寫離崗表格資料，填寫資料字跡要清晰。

2、離崗表格資料由信息主管部門負(fù)責(zé)對(duì)離崗人員材料進(jìn)行評(píng)

審。

=====WORD完整版----可編輯----專業(yè)資料分享=====

----完整版學(xué)習(xí)資料分享----

3、資料、文件、未完工作交接時(shí)，需由信息主管部門確定監(jiān)交

人，監(jiān)督移交是否完整、準(zhǔn)確，并幫助移交工作順利完成。資料交

接清單必須有移交人、交接人以及監(jiān)交人三方的簽字認(rèn)可。

4、離崗交接未通過評(píng)審者，人事部門不得為其辦理離職手續(xù)。

5、交接時(shí)可能會(huì)出現(xiàn)資料交接不完全，人員離崗后，信息主管

部門保留對(duì)移交人的追索權(quán)力。

第十條根據(jù)《信息安全等級(jí)保護(hù)檢查工作規(guī)范》的規(guī)定，信

息部門每年舉辦一次信息安全技術(shù)培訓(xùn)。

第三章網(wǎng)絡(luò)管理

第十一條根據(jù)《山東省環(huán)境保護(hù)廳環(huán)境信息網(wǎng)絡(luò)管理維護(hù)規(guī)

范》標(biāo)準(zhǔn)，網(wǎng)絡(luò)管理員每天檢查網(wǎng)絡(luò)設(shè)備的運(yùn)行情況。

第十二條網(wǎng)絡(luò)管理員日常檢查各網(wǎng)絡(luò)運(yùn)行狀態(tài)，記錄網(wǎng)絡(luò)運(yùn)

行各項(xiàng)參數(shù)。

日常檢查內(nèi)網(wǎng)管理軟件、網(wǎng)絡(luò)與安全管理軟件的運(yùn)行情況。及

時(shí)執(zhí)行網(wǎng)絡(luò)與安全管理軟件升級(jí)維護(hù)，并記錄網(wǎng)絡(luò)安全日常維護(hù)表。

第十三條網(wǎng)絡(luò)管理員配合安全審計(jì)員定期對(duì)網(wǎng)絡(luò)帶寬分配、

網(wǎng)絡(luò)訪問控制、網(wǎng)絡(luò)安全審計(jì)、網(wǎng)絡(luò)邊界完整性、網(wǎng)絡(luò)入侵防范、

網(wǎng)絡(luò)惡意代碼防范、地址綁定等安全功能進(jìn)行測(cè)試。

第十四條網(wǎng)絡(luò)資源及網(wǎng)絡(luò)參數(shù)變更，必須有機(jī)房負(fù)責(zé)人進(jìn)行

審批。

第十五條出現(xiàn)網(wǎng)絡(luò)異常，網(wǎng)絡(luò)管理員及時(shí)報(bào)告機(jī)房負(fù)責(zé)人，

=====WORD完整版----可編輯----專業(yè)資料分享=====

----完整版學(xué)習(xí)資料分享----

核實(shí)原因。如網(wǎng)絡(luò)出現(xiàn)故障或事故，應(yīng)按照《信息安全應(yīng)急預(yù)案》

處理，及時(shí)維修、更換備機(jī)。

第十六條網(wǎng)絡(luò)、安全設(shè)備接入網(wǎng)絡(luò)，必須經(jīng)過運(yùn)維管理部門

審批。發(fā)現(xiàn)私自接入網(wǎng)絡(luò)行為的，給予警告、記過處分，造成不良

后果的，可以撤職。

第十七條利用網(wǎng)絡(luò)從事非法活動(dòng)的，將根據(jù)有關(guān)法律法規(guī)，

追究責(zé)任。

第四章系統(tǒng)管理

第十八條根據(jù)“誰應(yīng)用，誰負(fù)責(zé)”的原則，確定每個(gè)業(yè)務(wù)系統(tǒng)的

業(yè)務(wù)管理員，軟件研發(fā)單位負(fù)責(zé)對(duì)業(yè)務(wù)管理員進(jìn)行培訓(xùn)。

第十九條業(yè)務(wù)管理員應(yīng)每天檢查所管理業(yè)務(wù)系統(tǒng)（包括所使

用的硬件設(shè)備）的運(yùn)行情況，檢查業(yè)務(wù)系統(tǒng)備份情況，及時(shí)修補(bǔ)系

統(tǒng)補(bǔ)丁。

第二十條對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行升級(jí)與維護(hù)，必須錄入系統(tǒng)日常維

護(hù)表。

第二十一條業(yè)務(wù)系統(tǒng)及其備份系統(tǒng)發(fā)生故障時(shí)，系統(tǒng)管理員

及時(shí)通知軟件開發(fā)商并報(bào)告機(jī)房負(fù)責(zé)人，核實(shí)原因。如系統(tǒng)不能恢

復(fù)或數(shù)據(jù)丟失等重大事故發(fā)生，應(yīng)按照《信息安全應(yīng)急預(yù)案》處理。

第二十二條每年7月，業(yè)務(wù)管理員配合安全管理員對(duì)業(yè)務(wù)系

統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估，根據(jù)風(fēng)險(xiǎn)評(píng)估報(bào)告（符合GB/T20984標(biāo)準(zhǔn)），進(jìn)

行系統(tǒng)修訂。

=====WORD完整版----可編輯----專業(yè)資料分享=====

----完整版學(xué)習(xí)資料分享----

第二十三條每年7月，業(yè)務(wù)管理員配合安全管理員核定信息

系統(tǒng)等保定級(jí)、系統(tǒng)恢復(fù)定級(jí)，按照信息安全檢查內(nèi)容進(jìn)行自查。

第二十四條業(yè)務(wù)系統(tǒng)服務(wù)器不得開放與工作無關(guān)的服務(wù)端

口。如需開通其他服務(wù)端口，必須備案，并自行保證信息安全。

第五章軟硬件資產(chǎn)管理

第二十五條進(jìn)入機(jī)房的軟件、服務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)與安全設(shè)

備進(jìn)行統(tǒng)一的編號(hào)和調(diào)配，如在財(cái)務(wù)管理所規(guī)定的固定資產(chǎn)價(jià)值范

圍內(nèi)（含軟件和其它信息設(shè)備），應(yīng)統(tǒng)一登記，計(jì)入固定資產(chǎn)臺(tái)賬。

第二十六條由行政管理部門和使用部門對(duì)軟件和信息設(shè)備

共同進(jìn)行資產(chǎn)管理。

1、設(shè)置固定資產(chǎn)實(shí)物臺(tái)帳，建立固定資產(chǎn)卡片。

2、對(duì)固定資產(chǎn)進(jìn)行統(tǒng)一分類資產(chǎn)編號(hào)。

3、對(duì)固定資產(chǎn)的使用落實(shí)到具體負(fù)責(zé)人。

第二十七條資產(chǎn)編號(hào)規(guī)則應(yīng)按財(cái)政廳規(guī)定的資產(chǎn)編號(hào)規(guī)則

實(shí)施。

第二十八條信息管理部門定期組織人員，進(jìn)行軟件資產(chǎn)清

查盤點(diǎn)，對(duì)清查盤點(diǎn)中發(fā)現(xiàn)的問題，應(yīng)當(dāng)查明原因，說明情況，軟

件資產(chǎn)清查盤點(diǎn)工作應(yīng)當(dāng)符合信息安全和保密的要求，防止信息外

泄。

第二十九條符合下列條件之一的軟件資產(chǎn)可以申請(qǐng)報(bào)

廢

=====WORD完整版----可編輯----專業(yè)資料分享=====

----完整版學(xué)習(xí)資料分享----

（一）閑置一年以上及版本陳舊已不再使用的

（二）達(dá)不到業(yè)務(wù)要求需要淘汰、報(bào)廢、刪除的；

（三）已超過授權(quán)期限，無法使用的；

（四）其他特殊情況需要處置的。

第三十條根據(jù)設(shè)備新舊程度，信息管理部門應(yīng)組織系統(tǒng)管理

員和網(wǎng)絡(luò)設(shè)備管理員及業(yè)務(wù)管理員，定期修訂設(shè)備保養(yǎng)計(jì)劃，設(shè)備

進(jìn)行保養(yǎng)及清洗，需按照保養(yǎng)計(jì)劃執(zhí)行。

第三十一條信息設(shè)備發(fā)生故障時(shí)，應(yīng)及時(shí)報(bào)告機(jī)房負(fù)責(zé)人并

通知相關(guān)負(fù)責(zé)人，核實(shí)原因。如設(shè)備故障可能會(huì)導(dǎo)致系統(tǒng)或數(shù)據(jù)丟

失時(shí)，應(yīng)按照《信息安全應(yīng)急預(yù)案》處理。

第三十二條網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器設(shè)備其它機(jī)房設(shè)備

維修，必須經(jīng)過運(yùn)維管理部門審批，填寫維修單。

第三十三條未經(jīng)運(yùn)維管理部門審批，不得拆換信息設(shè)備零

件、配件、外設(shè)，不得改變網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器設(shè)備、存

儲(chǔ)設(shè)備安裝位置及系統(tǒng)設(shè)置，更不準(zhǔn)挪作它用。

第三十四條符合下列條件之一的信息設(shè)備可以申請(qǐng)報(bào)廢

（一）超過使用年限、自然損耗造成性能降低、主要部件損壞，

無法修復(fù)的。

（二）多次修理，費(fèi)用超過設(shè)備原值50%以上的。

（三）設(shè)備屬淘汰產(chǎn)品，不能滿足正常工作的。

（四）其他特殊情況需要處置的。

第六章信息安全管理

=====WORD完整版----可編輯----專業(yè)資料分享=====

----完整版學(xué)習(xí)資料分享----

第三十五條按照《關(guān)于加強(qiáng)黨政機(jī)關(guān)計(jì)算機(jī)信息系統(tǒng)安全和

保密管理的若干規(guī)定》，重要數(shù)據(jù)應(yīng)參照?qǐng)?zhí)行。

第三十六條擁有重要數(shù)據(jù)的部門應(yīng)該及時(shí)對(duì)數(shù)據(jù)進(jìn)行備份，

防止數(shù)據(jù)的丟失；涉及數(shù)據(jù)備份和恢復(fù)的部門要指定業(yè)務(wù)管理員負(fù)

責(zé)數(shù)據(jù)備份工作，并認(rèn)真填寫備份日志。

第三十七條數(shù)據(jù)備份應(yīng)根據(jù)不同業(yè)務(wù)制定不同的備份周期

和備份策略，存放備份數(shù)據(jù)的介質(zhì)必須具有明確的標(biāo)識(shí)。備份數(shù)據(jù)

應(yīng)定期測(cè)試，以確保備份數(shù)據(jù)的可恢復(fù)性。

第三十八條備份介質(zhì)必須歸檔。備份介質(zhì)要有業(yè)務(wù)管理員負(fù)

責(zé)保管工作，保存地點(diǎn)應(yīng)有防火，防熱，防潮，防塵，防磁，防盜

設(shè)施。

第三十九條數(shù)據(jù)清理前業(yè)務(wù)管理員必須對(duì)數(shù)據(jù)進(jìn)行備份，在

確認(rèn)備份正確后方可進(jìn)行清理操作。歷次清理前的備份數(shù)據(jù)要根據(jù)

備份策略進(jìn)行定期保存或永久保存，并確保可以隨時(shí)使用。數(shù)據(jù)清

理的實(shí)施應(yīng)避開業(yè)務(wù)高峰期，避免對(duì)聯(lián)機(jī)業(yè)務(wù)運(yùn)行造成影響。

第四十條數(shù)據(jù)恢復(fù)前，業(yè)務(wù)管理員必須對(duì)原環(huán)境的數(shù)據(jù)進(jìn)行

備份，防止有用數(shù)據(jù)的丟失。數(shù)據(jù)恢復(fù)過程中要嚴(yán)格按照數(shù)據(jù)恢復(fù)

手冊(cè)執(zhí)行，出現(xiàn)問題時(shí)由技術(shù)部門進(jìn)行現(xiàn)場(chǎng)技術(shù)支持。數(shù)據(jù)恢復(fù)后，

必須進(jìn)行驗(yàn)證、確認(rèn)，確保數(shù)據(jù)恢復(fù)的完整性和可用性。

第四十一條數(shù)據(jù)的備份、恢復(fù)、轉(zhuǎn)出、轉(zhuǎn)入的權(quán)限都應(yīng)嚴(yán)

格控制。嚴(yán)禁未經(jīng)授權(quán)將數(shù)據(jù)備份出系統(tǒng)，轉(zhuǎn)給無關(guān)的人員或單位；

嚴(yán)禁未經(jīng)授權(quán)進(jìn)行數(shù)據(jù)恢復(fù)或轉(zhuǎn)入操作。當(dāng)存儲(chǔ)過重要數(shù)據(jù)的介質(zhì)

=====WORD完整版----可編輯----專業(yè)資料分享=====

----完整版學(xué)習(xí)資料分享----

（如光盤、軟盤、磁帶等）報(bào)廢時(shí)應(yīng)由專業(yè)技術(shù)人員進(jìn)行物理性銷

毀。

第七章密碼管理

第四十二條網(wǎng)絡(luò)設(shè)備、服務(wù)器設(shè)備及其應(yīng)用系統(tǒng)等系統(tǒng)密碼

和管理密碼，應(yīng)統(tǒng)一管理、專人使用。

第四十三條密碼更新應(yīng)由各設(shè)備及系統(tǒng)管理員編制新密碼，

實(shí)施更新，并送機(jī)房負(fù)責(zé)人備查。

第四十四條交換機(jī)、路由器、防火墻、服務(wù)器的系統(tǒng)密碼和管理

密碼每月更新一次，在每月5日前負(fù)責(zé)完成。網(wǎng)站和視頻會(huì)議系統(tǒng)

服務(wù)器指定負(fù)責(zé)人將密碼更新后，并及時(shí)通知機(jī)房負(fù)責(zé)人備案。

第四十五條特殊情況機(jī)房負(fù)責(zé)人可根據(jù)工作的實(shí)際需要更

新密碼。

第八章附則

第四十六條結(jié)合信息網(wǎng)絡(luò)快速發(fā)展和經(jīng)濟(jì)社會(huì)發(fā)展?fàn)顩r，配

合相關(guān)法律法規(guī)的制定、修改和完善，本制度適時(shí)修訂。

第四十七條本制度由信息與監(jiān)控中心制定并解釋。

第四十八條本制度于20年月日批準(zhǔn)實(shí)施。