xx公司信息系统安全等级保护二级制度编制草案

xx公司信息系统安全等级保护二级制度汇编xx目录1．《安全工作的总体方针、政策性文件和安全策略文件》..................42．设备管理制度.....................................................73.审批管理制度.....................................................104.网络接入管理审批制度.............................................115.系统投入运行测试管理制度.........................................126.办公环境管理制度.................................................137.关键设备操作规程.................................................158.机房管理制度.....................................................189.机房办公环境管理办法.............................................2310.网络安全管理制度................................................2411.系统安全管理制度................................................2612.员工离职管理制度................................................2913.系统数据备份与恢复管理制度......................................3214.计算机类设备接入网络管理办法....................................3315.信息系统变更及发布管理制度......................................3716.xx资产安全管理制度.............................................4017.信息系统补丁及版本管理制度......................................4118.安全事件报告和处置管理制度......................................4319.系统漏洞扫描系统运行安全管理制度................................4720.恶意代码防范制度................................................4921.存储介质管理制度................................................5122.xx信息系统权限划分实施细则.....................................5223.安全事件定级....................................................5524.年度安全培训计划................................................6025.应急预案总体框架................................................6226.xx应急处置方案.................................................6627.保密协议书......................................................701.安全技能考核记录.................................................732.安全教育培训记录.................................................743.安全事件处理记录.................................................754.补丁安装操作记录（范文）.........................................765.系统补丁更新记录................................................776.操作运维记录.....................................................787.系统运维记录.....................................................798.管理制度评审记录.................................................809.信息系统会议纪要.................................................8110.机房安全检查记录表..............................................8211.设备带离机房审批单..............................................8312.离职移交手续单..................................................8413.培训记录单......................................................8514.设备带离机房审批记录............................................8615.设备领用登记表..................................................8716.外部人员访问审批单..............................................8817.外联授权审批表..................................................8918.网络设备及服务器更新记录........................................9019.系统变更申请表..................................................9120.系统投入运行申请表..............................................9221应急预案培训记录................................................931．《安全工作的总体方针、政策性文件和安全策略文件》第一章总则第一条为保障xx业务的正常持续运行，保护信息资产的安全，制定本方针。第二条本方针旨在为xx的信息安全管理实践提供清晰的策略方向，阐明信息安全建设和管理的重要原则，为xx的信息安全管理工作提供指引与支持。第三条除非特别说明，本方针的管理对象包括xx拥有、控制、管理和使用的所有硬件、软件、信息、服务、人员和无形资产等信息资产。本方针的适用对象主要包括与以上信息资产相关的xx的所有部门，以及与xx有关的集成商、软件开发商、产品提供商、顾问、商业合作伙伴、临时工作人员和其他第三方机构或人员。第二章信息安全方针第四条信息安全管理委员会是xx最高信息安全管理机构，下设信息安全管理领导小组和信息安全管理工作小组。第五条信息安全管理领导小组组长由***担任，小组成员由xx信息中心和局领导组成。信息安全管理领导小组定期召开会议，对有关信息安全重大问题做出决策。第六条信息安全管理工作小组组长由***兼任，小组成员由xx专职人员和各部门信息安全管理员组成。信息安全管理工作小组负责信息安全政策和措施的宣传、贯彻和督促检查，并针对信息安全事件建立完善的响应、报告和调查机制。第七条本方针的适用对象必须遵守国家有关信息安全的法律、法规、上级主管部门及行业内的相关规定和要求，以及xx的有关规定。第八条xx建立有效的信息安全管理体系，定义信息资产的安全需求，持续进行信息资产的风险评估，建立并完善信息安全保护策略和程序，使xx拥有可控的风险管理架构、方法和保障落实机制，确保xx在不断变化的信息安全风险环境中，始终能够通过科学的方法和持续的改进来增强xx抵抗风险的能力。第九条xx全体干部职工必须接受必要的信息安全教育与培训，充分理解xx制订的信息安全管理规定，明确在保护xx信息资产安全过程中所应担当的角色和责任。第十条根据“谁主管，谁负责；谁运行，谁负责”的原则，建立信息安全绩效考核体系。对于违反信息安全规定的部门和个人，将按有关规定进行处理。第三章信息安全管理原则第十一条xx的信息安全管理推行治理原则、管理与技术并重原则和PDCA(“Plan：规划”—“Do：实施”—“Check：检查”—“Act：处置”)动态循环管理原则。(一)治理原则：信息安全管理要符合xx的治理原则。在战略层面上，信息安全决策必须由最了解xx整体目标与价值的权威部门来决定，使信息安全问题得到最高管理层的关注，并进入xx战略层的日常议题；在战术层面上，信息安全实践由国际和国内得到普遍实践与认可的治理标准（如ISO27001、ITIL、COBIT等）来指导。(二)管理与技术并重原则：信息安全不是单纯的技术问题，在采用安全技术和产品的同时，重视采取有效的管理措施，不断积累完善针对实际情况的各类安全管理策略、规章制度，全面提高信息安全管理水平，达到成本效益最优目标。(三)PDCA动态循环管理原则：对信息与信息系统的建设、运行、维护、废止的全过程进行信息安全管理；在对信息资产的管理上遵循PDCA动态循环管理原则，针对xx内外部业务环境及技术条件的变化情况，进行周期性的风险评估，根据风险状况及时调整信息安全管理策略和方法。第四章信息安全方针的评审第十二条信息安全方针需要根据经营环境、业务内容和技术状况的变化情况，进行定期评审（一年一次）或不定期评审（当发生了较大的安全事故或xx经历较大的变革时），并根据实际情况进行修订，以适应当前最新的信息安全需要。第十三条信息安全方针的变更由信息安全管理委员会、xx各部门提出，由信息安全管理工作小组进行汇总、分析研讨，并负责起草工作，由信息安全管理领导小组审批后发布。第十四条xx将通过纸质文件或电子文件方式向所有工作人员发布本方针的最新版本及相关信息。第五章信息安全方针的执行第十五条各部门及下属机构负责向所属的干部职工、相关承包方和第三方人员宣传、贯彻和落实执行本方针，信息安全管理工作小组负责督促检查。第十六条从本单位机房管理的实际情况出发，需将覆盖物理机房，介质管理，网络设备运维，流程审批，培训记录等相关记录表单按照年份存储归档以方便日后查询记录。2．设备管理制度为确保xx通信信息处计算机设备管理规范有序，确保单位信息系统和客户端正常可靠地运行，保证日常工作的顺利开展，特制定计算机、服务器、网络设备管理制度。本系统所有的计算机、服务器、网络设备由信息中心统一管理，通过相应采购渠道进来的计算机、服务器、网络设备均应列入单位固定资产帐，并由专人管理，定期登记。本制度的设备是指包括服务器、网络设备等专有设备，以及跟系统相关的计算机客户终端设备。xx相关的各种设备、线路等，指定信息中心专人负责，并对系统指定专人定期维护管理。个人日常办公使用的计算机设备主要有计算机主机（包括机箱内的各种芯片、功能卡、内存、硬盘、软驱、光驱等）、显示器、打印机、外设（键盘、鼠标、音箱、U盘）以及随机资料等。用于个人办公的计算机设备，都将直接分配到个人使用和保管。各人都必须对自己领用的设备负责。领用（退回）任何设备时，必须认真清点并签收（签