xx市xx区农业农村局网络安全管理制度汇编
目录
1.《安全工作的总体方针、政策性文件和安全策略文件》 5
2.安全管理制度 9
3.设备管理制度 12
4.审批管理制度 15
5.系统投入运行测试管理制度 18
6.机房管理制度 19
7.网络安全管理制度 23
8.系统安全管理制度 25
9.职员录用管理制度 28
10.职工离职管理制度 30
11.系统数据备份与恢复管理制度 33
12.信息系统变更及发布管理制度 35
13.资产安全管理制度 38
14.信息系统补丁及版本管理制度 41
15.安全事件报告和处置管理制度 43
16.恶意代码防范制度 47
17.存储介质管理制度 50
18.系统建设管理制度 52
19.漏洞扫描制度 54
20.软件开发管理制度 56
21.信息系统权限划分实施细则 60
22.安全事件定级 63
23.年度安全培训计划 66
24.办公环境管理办法 68
25.关键设备操作规程 69
26.安全责任管理规定 72
27.计算机类设备接入网络管理办法 73
28.应急预案总体框架 76
29.应急处置方案 80
30.保密协议书 84
31.岗位职责文件 87
32.网络管理操作规程 92
33.密码管理制度 95
34.外包运维管理制度 96
35.信息审核发布管理制度 97
附件1.设备领用登记表 98
附件2.设备更新及更换申请表 99
附件3.设备报废鉴定表 100
附件4.接入/外联授权审批表 101
附件5.网络外联及准入申请表 102
附件6.外部人员运维申请表 103
附件7.系统投入运行申请表 104
附件8.中心机房进出人员登记表( )月 105
附件9.外部人员访问审批单 106
附件10.机房安全检查记录表 107
附件11.网络设备及服务器更新记录表 108
附件12.系统运维记录 109
附件13.离职移交手续单 110
附件14.系统变更申请表 111
附件15.补丁安装操作记录(范文) 112
附件16.系统补丁更新记录 113
附件17.介质使用管理记录表 114
附件18.培训记录单 115
附件19.应急预案培训记录表 116
附件20.安全事件处理记录 117
附件21.设备带离机房审批记录 118
附件22.恶意代码培训记录 119
附件23.介质归档登记表 120
附件24.安全教育培训记录 121
附件25.管理制度评审记录 122
附件26.会议纪要 123
附件27.安全管理制度修订记录 124
附件28.操作运维记录 125
附件29.数据备份登记表 0
附件30.安全技能考核记录 2
附件31.安全管理人员信息表 3
附件32.网络主机恶意代码检测记录表 4
附件33.补丁更新测试记录表 5
附件34.外联单位联系表 6
附件35.日志分析记录 7
前 言
为保障xx市xx区农业农村局信息系统业务的正常持续运行,保护信息资产(具体包括单位拥有、控制、管理和使用的所有硬件、软件、信息、服务、人员和无形资产等信息资产)的安全,确保“单位信息系统”达到网络安全法律法规要求,制定本制度。
本制度旨在为单位的信息安全管理实践提供清晰的策略方向,阐明信息安全建设和管理的重要原则,为单位的信息安全管理工作提供指引与支持。
1.《安全工作的总体方针、政策性文件和安全策略文件》
第一章 总则
一、为保障xx市xx区农业农村局业务的正常持续运行,保护信息资产(具体包括单位拥有、控制、管理和使用的所有硬件、软件、信息、服务、人员和无形资产等信息资产)的安全,制定本方针。
二、本方针旨在为xx市xx区农业农村局的信息安全管理实践提供清晰的策略方向,阐明信息安全建设和管理的重要原则,为单位的信息安全管理工作提供指引与支持。
三、本方针的适用对象主要包括单位信息安全相关成员,以及与单位有关的集成商、软件开发商、产品提供商、商业合作伙伴、临时工作人员和其它第三方机构或人员。
第二章 信息安全方针
一、xx市xx区农业农村局成立网络安全与信息化领导小组,小组成员由单位领导、部门负责人组成,领导小组办公室设于xx市xx区农产品质量安全管理站,xx市xx区农产品质量安全管理站负责单位网络安全与信息化工作的组织协调和具体落实。xx市xx区农产品质量安全管理站组织定期召开会议,对有关信息安全重大问题做出决策。
二、xx市xx区农产品质量安全管理站是xx市xx区农业农村局信息安全管理职能部门。单位建立有效的信息安全管理体系,定义信息资产的安全需求,持续进行信息资产的风险评估,建立并完善信息安全保护策略和程序,使单位拥有可控的风险管理架构、方法和保障落实机制,确保单位在不断变化的信息安全风险环境中,始终能够通过科学的方法和持续的改进来增强单位抵抗风险的能力。
三、xx市xx区农业农村局信息安全相关成员必须接受必要的信息安全教育与培训,充分理解单位制订的信息安全管理规定,明确在保护单位信息资产安全过程中所应担当的角色和责任。
四、根据“谁主管,谁负责;谁运行,谁负责”的原则,建立信息安全绩效考核体系。对于违反信息安全规定的部门和个人,将按有关规定进行处理。
第三章 信息安全管理原则
xx市xx区农业农村局的信息安全管理推行治理原则、管理与技术并重原则和PDCA(“Plan:规划”—“Do:实施”—“Check:检查”—“Act:处置”)全面质量管理原则。
1、治理原则:信息安全管理要符合xx市xx区农业农村局的治理原则。在战略层面上,信息安全决策必须由最了解xx市xx区农业农村局整体目标与价值的权威部门来决定,使信息安全问题得到最高管理层的关注,信息安全实践由国际和国内得到普遍实践与认可的治理标准(如ISO27001、ITIL等)来指导。
2、管理与技术并重原则:信息安全不是单纯的技术问题,在采用安全技术和产品的同时,重视采取有效的管理措施,不断积累完善针对实际情况的各类安全管理策略、规章制度,全面提高信息安全管理水平,达到成本效益最优目标。
3、PDCA全面质量管理原则:对信息与信息系统的建设、运行、维护、废止的全过程进行信息安全管理;在对信息资产的管理上遵循PDCA全面质量管理原则,针对xx市xx区农业农村局内外部业务环境及技术条件的变化情况,进行周期性的风险评估,根据风险状况及时调整信息安全管理策略和方法。
第四章 信息安全方针的评审
一、信息安全方针需要根据工作环境、业务内容和技术状况的变化情况,进行定期评审(一年一次)或不定期评审(当发生了较大的安全事故或单位经历较大的变革时),并根据实际情况进行修订,以适应当前最新的信息安全需要。
二、信息安全方针的变更由各部门提出,xx市xx区农产品质量安全管理站进行汇总、分析研讨,并负责起草工作,单位网络安全与信息化领导小组审批后发布。
三、单位将通过纸质文件或电子文件方式向所有工作人员发布本方针的最新版本及相关信息。
第五章 安全策略框架
建立一套关于物理、主机、网络、应用、数据、建设和管理等六个方面的安全需求、控制措施及执行程序,并在关联制度文档中定义出相关的安全角色,并对其赋予管理职责。“以人为本”,通过对信息安全工作人员的安全意识培训等方法不断加强系统分布的合理性和有效性。
1、物理方面
依据实际情况建立机房管理制度,明确机房的出入管理办法,机房介质存放方式,机房设备维护周期及维护方式,机房设备信息保密要求,机房温湿度控制方式等等环境要求。通过明确机房责任人、建立机房管理相关办法、对维护和出入等过程建立记录等方式对机房安全进行保护。
2、网络方面
从技术角度实现网络的合理分布、网络设备的实施监控、网络访问策略的统一规划、网络安全扫描以及对网络配置文件等必要信息进行定期备份。从管理角度明确网络各个区域的安全责任人,建立网络维护方面相关操作办法并由某人或某部门监督执行看,确保各信息系统网络运行情况稳定、可靠、正常的运行。
3、主机方面
要求各类主机操作系统和数据库系统在满足各类业务系统的正常运行条件下,建立系统访问控制办法、划分系统使用权限、安装恶意代码防范软件并对恶意代码的检查过程进行记录。明确各类主机的责任人,对主机关键信息进行定期备份。
4、应用方面
从技术角度实现应用系统的操作可控、访问可控、通信可控。从管理角度实现各类控制办法的有效执行,建立完善的维护操作规程以及明确定期备份内容。
5、数据方面
对本单位的各类业务数据、设备配置信息、总体规划信息等等关键数据建立维护办法,并由某部门或某人监督、执行。通过汇报或存储方式实现关键数据的安全传输、存储和使用。
6、建设和管理方面
(1)信息安全管理机制
成立信息安全管理职能部门,设立单独的安全主管、系统管理员、网络管理员、安全管理员等主要安全角色,依据信息安全等级保护二级标准(要求),建立信息系统的整体管理办法。
(2)信息安全管理组织
分别建立安全管理岗位和机构的职责文件,对机构和人员的职责进行明确,各个安全角色不能兼任。建立信息发布、变更、审批等流程和制度类文件,增强制度的有效性。建立安全审核和检查的相关制度及报告方式。
(3)人员安全管理要求
对人员的录用、离岗、考核、培训、安全意识教育等方面应通过制度和操作程序进行明确,并且,定期对各个岗位人员的技能和安全意识进行培训。
(4)信息安全等级保护工作及风险评估要求
定期对已备案的信息系统进行等级保护测评,以保证信息系统运行风险维持在较低水平,不断增强系统的稳定性和安全性。
(5)报告安全事件要求
对突发安全事件建立应急预案管理制度和相关操作办法,并定期组织人员进行演练,以保证信息系统在面临突发事件时能够在较短时间内恢复正常的使用。
(6)业务持续性要求
根据对系统的等级测评、风险评估等间接问题挖掘,及时改进信息系统的各类弊端,包括业务弊端,应建立相关改进措施或改进办法,以保证对信息系统的业务持续性要求。
(7)违反信息安全要求的惩罚
建立惩处办法,对违反信息安全总体方针、安全策略的、程序流程和管理措施的人员,依照问题的严重性进行惩罚。
附 则
(1) 本制度由xx市xx区农业农村局负责解释。
(2) 本制度自颁布之日起实行。
2.安全管理制度
一、总则
为贯彻执行国家、地方和本行业有关信息化建设的方针政策,有效保障xx市xx区农业农村局信息系统正常运行。单位信息系统管理的规范化、程序化、制度化,进一步提高管理制度的体系化和制定发布流程的标准化,特制定本制度。
具体建设目标:
建立完整的信息安全运行体系,实现网络系统安全系统的集中管理和透明化监控,提高对突发事件的应急响应处理能力,保证关键业务应用运行的可用性、可依赖性以及故障恢复能力。
二、规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡注明日期的引用文件,其随后所有的修改单或修订版均不适用于本标准(不包括勘误、通知单),然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡未注日期的引用文件,其最新版本适用于本标准。
《信息安全技术 信息系统安全保障评估框架》
《信息安全技术 信息系统安全管理要求》
《信息安全技术 信息系统安全等级保护基本要求》
三、安全管理
1、系统建设管理
信息系统的安全管理贯穿系统的整个生命周期,系统建设管理主要关注的是生命周期中的前三个阶段(初始、采购、实施)中各项安全管理活动。
系统建设管理分别从工程实施建设前、建设过程以及建设完毕交付等三方面考虑,具体包括系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评和安全服务商选择十一个控制点。
2、系统运维管理
目的是保障信息系统日常运行的安全稳定,对运行环境、技术支持、操作使用、病毒防范、备份措施、文档建立等全方位管理。包括用户管理、运行操作管理、运行维护管理、外包服务管理、有关安全机制保障、安全管理控制平台等方面的管理要素。
对运行过程的任何变化,数据、软件、物理设置等,都应实施技术监控和管理手段以确保其完整性,防止信息非法复制、篡改,任何查询和变更操作需经过授权和合法性验证。
应急管理也是运维的重要内容,目的是分析信息系统可能出现的紧急事件或灾难,建立一整套应急措施,以保障核心业务的快速恢复和持续稳定运行。应急计划包括应急处理和灾难恢复策略、应急计划、应急计划的实施保障等管理要素。
在单位统一的应急规划下,针对信息系统面临的各种应急场景编制相应的应急预案,并经过测试演练修订,同时宣传普及。
3、物理安全
目的是保护计算机设备、设施(含网络)以及信息系统免遭自然灾害和其他形式的破坏,保证信息系统的实体安全。
有关物理环境的选址和设计应遵照相关标准,配备防火、防水、防雷击、防静电、防鼠害等机房措施,维持系统不间断运行能力,确保信息系统运行的安全可靠。对重要安全设备的选择,需符合国家相关标准规范,相关证书齐全。严格确定设备的合法使用人,建立详细运行日志和维护记录。
4、网络安全
目的是有效防范网络体系的安全风险,为业务应用系统提供安全、可靠、稳定的网络管理和技术平台。
对于依赖网络架构安全的业务应用系统,需根据其安全级别,实施相应的访问控制、身份认证、审计等安全服务机制;在网络边界处,需根据资源的保护等级,实施相应安全级别的防火墙、认证、审计、动态检测等技术,防范信息资源的非法访问、篡改和破坏。
5、主机安全
主机安全包括服务器、终端/工作站等在内的计算机设备在操作系统及数据库系统层面的安全。终端/工作站是带外设的台式机与笔记本计算机,服务器则包括应用程序、网络、web、文件与通信等服务器。主机承载着各种应用,是保护信息安全的中坚力量。
主机安全需着重关注和加强身份鉴别、访问控制、恶意代码防范、安全审计、入侵防范几个方面,同时定期或不定期的进行安全评估(含渗透性测试)和加固,实时确保主机的健壮性。
6、应用安全
应用安全是信息系统整体防御的最后一道防线,目的是保障业务应用系统开发过程及最终产品的安全性。
在应用层面运行着信息系统的基于网络的应用以及特定业务应用。基于网络的应用是形成其他应用的基础,是基本的应用;业务应用采纳基本应用的功能以满足特定业务的要求;故最终是保护系统的各种业务应用程序的安全运行。
应用系统的总体需求计划阶段,应全面评估系统的安全风险,确定系统的访问控制、身份认证、审计跟踪等安全需求;总体架构设计阶段,应实施安全需求设计,确立安全服务机制、开发人员技术要求和操作规程;应用系统的实现阶段,应全程实施质量控制,防止程序后门,减少代码漏洞;在上线运行之前,应充分进行局部功能、整体功能、压力测试,以及系统安全性能、操作流程、应急方案测试。
7、 数据安全及备份恢复
信息系统处理的各种数据(用户数据、系统数据、业务数据等)在维持系统正常运行上起着至关重要的作用。由于信息系统的各个层面(网络、主机、应用等)都对各类数据进行传输、存储和处理等,因此,对数据的保护需要物理环境、网络、数据库和操作系统、应用程序等提供支持。
数据备份也是防止数据被破坏后无法恢复的重要手段,而硬件备份等更是保证系统可用的重要内容。
附 则
(1) 本制度由xx市xx区农业农村局负责解释。
(2) 本制度自颁布之日起实行。
3.设备管理制度
一、总则
为确保xx市xx区农业农村局信息系统设备管理规范有序,正常可靠地运行,特制定设备管理制度,本制度适用对象主要为信息化职能部门相关人员。
本制度的信息系统设备是指与信息系统相关的,包括服务器、存储设备、网络设备等专有设备,以及计算机客户终端设备。
信息系统相关的所有计算机、服务器、存储设备、网络设备等由各信息化职能部门统一管理,并由专人管理,定期登记。
xx市xx区农业农村局网络机房的各种设备、线路等,需指定各信息化职能部门专人负责,并对系统指定专人定期维护管理。
计算机客户终端设备,由相关责任人使用和保管。相关责任人都应对所属设备负责日常维护管理,并按相关管理规定与程序办理手续。
二、设备选型
第一次要选:它是在广泛收集设备市场货源情报的基础上进行的。货源情报的来源包括产品样本、产品目录、电视广告、报刊广告等,制造厂家销售人员上门推销提供的情报,从展销会上收集到情报,代理商或有关专业人员提供的情报等。将这些情报分类汇集、编辑索引,从中选一些可供选择的机型和厂家。这就是为设备选型提供信息的预选过程。
第二次细选:它是在第一次预选的基础上进行的,首先要对预选的机型和厂家进行调查、联系和询问,详细了解产品的各种技术参数、效率、精度、性能:制造厂的服务质量和信誉,使用单位对其产品的反映和评价;货源及供货时间;订货渠道、价格及随机附件等情况,做好调查记录,填写“设备货源调查表”。然后进行分析、比较,从中在选出几个有希望的机型和厂家。
第三次选择:首先,要在第二次细选的基础上与选出的机型和厂家进一步联系接洽,必要时作专题调查和了解。对需要进一步落实的关键设备,要到制造厂或这种设备的使用厂实地进行深入细致的观察和了解,并进行必要的加工和实验,针对有关问题(如附件、附具、图样资料、备件的供应,设备的结构和精度、性能改善的可能性,价格及优惠问题,交货期等。)同生产厂家进行交谈,并作详细记录;也可与制造厂或代理商草签会谈备忘录或协议等。然后,由设备、工艺技术、计划和使用部门共同评价,选出最理想的机型和厂家作为第一方案(同时也要准备第二、第三方案,以便订货过程出现新情况是备用)。
最后,由主管领导决策批准,正式签订合同。在设备选型过程中,对一些关键设备,价格昂贵、数量多或整条生产线的设备,除采用上述多次筛选选法外,还应通过必要的技术经济分析和评价来进行优选。
三、设备的领用、更新、更换、维护和淘汰
1、采购入库设备由机房管理员到仓库登记领取,按照单位统一流程领用发放,并登记领用人,并填写《设备领用登记表》(附件1),明确责任人。
2、设备的更新与更换。设备的更新是指定期对部分需要升级的设备增加新配件,或更新部分配件;设备的更换是指更换已经到了淘汰的年份而必须更换的设备。设备更新和旧设备淘汰工作根据统一部署按计划分批进行。
3、更新与更换流程。由需求人员填写《设备更新及更换申请表》(附件2),提出目前遇到的困难和所需设备性能要求,技术人员进行技术鉴定,由负责人签字。
4、分析信息系统设备需求,形成设备调拨或采购方案,如需采购则依照政府采购标准进行统一采购。所有独立信息系统设备,应按规定办理固定资产登记,填写设备卡,同时进行备案;对新旧设备按各需求情况进行统一调拨。
5、信息系统设备的淘汰。
如需报废计算机及相关信息系统设备,由使用人员填写《设备报废鉴定表》(附件3),经鉴定无二次利用价值时,根据相关规定办理设备报废手续。
6、信息系统设备实行包干管理负责制。
每台设备都应有专人负责保管(包括说明书及有关附件),在未特别指定管理人员的设备由操作人员负责管理,并切实负起保管、维护责任。
7、在使用信息系统设备前,应掌握操作规程,阅读有关手册,经培训合格后方可进行相关操作。
8、分配到个人或xx市xx区农产品质量安全管理站使用的设备,使用者对设备的安全和完整负有责任。各人必须爱护、珍惜分配给自己使用的计算机设备。
9、各人原则上只能使用自己分配的计算机。
非必要时,不能将机器交由他人操作(特别是非本单位在职人员)。未经当事人同意,不能擅自在他人的计算机上进行任何操作。
10、未经授权同意,不得擅自操作服务器和网络设备。
所有计算机设备,未经授权同意,不得擅自拆、换任何零件、配件、外设。不论该行为是否已经对设备、网络、数据造成影响,一经发现,将严肃处理。
11、未经授权同意,不得擅自将私有或外来的零件、配件、设备,加入到系统内部的计算机设备中或网络中,不得擅自安装未经认可、允许的游戏和盗版软件。
12、如果需要将信息系统相关的计算机设备搬离办公地点(或外借)使用,必须经相关领导负责人同意后才能搬离或借出(必要时将相关数据删除)。
13、如果在职人员发生本单位内部调动,原有设备不能满足新的岗位需要,或者实际情况不适合计算机设备跟随调动的,必须预先提交申请报告,由领导同意后按实际情况处理。
14、xx市xx区农产品质量安全管理站及个人必须保证自己所用微机的清洁、卫生和安全。
四、附则
1、本制度由xx市xx区农业农村局负责解释和修订。
2、本制度自发布之日起开始执行。
4.审批管理制度
一、总则
为确保计算机网络(以下简称“内网”)的健康发展和正常运行,规范系统和设备接入内网的行为、为内网用户提供良好的接入服务,保障每个网络使用者安全、正常地运行,根据《中华人民共和国计算机信息系统安全保护条例》和本单位相关管理制度的规定,特制定本管理办法。
1、本制度适用于:
(1)单位所有需要接入和使用网络的计算机系统及设备;
(2)需要接入单位网络的合作单位计算机系统及设备;
(3)临时造访人员自带的计算机系统及设备;
(4)重要资源的访问;
(5)系统发生变化。
2、本制度由xx市xx区农产品质量安全管理站统一管理和执行。各信息化职能部门安全管理员负责对申请接入设备进行安全检查和入网审批,系统管理员负责服务器类系统及补丁的安装和升级,服务支持人员负责桌面系统的安装及升级。
二、接入管理
1、系统及设备接入本单位网络及重要资源的访问都必须接受检查和审核,检查审核通过后方可接入并按规定访问和使用相关网络资源,检查和审核工作由各信息化职能部门负责。具体的流程说明如下:
(1)需要外联的用户提出网络接入申请,填写《外联授权审批表》(附件4),说明接入设备的类型、接入原因、运行状况和运行起止时间等,并提交主管领导审批。
(2)主管领导审批、签字后,提交给信息化职能部门做系统安全检查,核实设备和系统的补丁和病毒防护情况是否符合单位要求。
(3)安全检查通过后,网络管理员根据用户需求分配网络资源,确定用户IP地址和网段,并在网络设备和安全设备上完成相应的设置工作。需要对被访问的服务器资源进行的配置调整由系统管理员负责。
2、如因工作需要,外部人员(包括设备厂家、系统服务商、合作开发商等)需要接入网络时,由相应的接口负责人提出网络接入申请,并填写《网络外联及准入申请表》(附件5)。
(1)外部人员在离开单位后,需由接口负责人提出取消网络接入申请,外部人员在接入内网的计算机名必须采用实名制。因技术交流或者其他工作原因临时造访的外部人员只能在指定区域(会议室和公共区域)接入网络。
(2)用户如果需要延长接入时间则必须重新填写申请表,申请时间到期后,网络管理员有权调整配置以中止其网络连接。
(3)用户终止连接时必须办理用户注销手续,以便信息化职能部门释放用户网络资源。
(4)网络接入申请材料在机房柜子存档以备查验。
三、运维管理
如因工作需要,外部人员(包括设备厂家、系统服务商、合作开发商等)需要进行运维操作时,需填写《外部人员运维申请表》(附件6),填写单位名称,操作时间、工作内容描述,及可能受影响的系统和服务等信息,经相关负责人同意后方可进行操作。
四、系统变更及重要操作
1、执行系统变更和重要操作必须接受检查和审核,检查审核通过后方可接入并按规定访问和使用相关网络资源,检查和审核工作由各信息化职能部门负责。
具体流程如下:
(1)变更申请:由变更申请人根据变更类型进行变更申请,填写《系统变更申请表》,并将变更申请发送给信息化职能部门。
(2)变更需求调研:由信息化职能部门组织调研,在变更申请人配合下,完成对变更需求的调研分析。
(3)变更方案建议:由信息化职能部门根据变更需求,给出初步的方案建议。
(4)变更评审:由信息化职能部门负责人确定变更评审小组成员,评审中修改并确定变更的实施方案,小型变更由部门负责人审批,大、中型变更由信息分管领导审批。
(5)制定变更计划:由信息化职能部门根据已审批的方案,联系内部或外部支持团队,共同评估和协商,制定变更实施计划。
(6)确认变更计划:由变更申请人对计划中的功能、性能、时间、成本等进行确认。
(7)执行变更计划:由信息化职能部门和运维人员执行系统变更的具体实现工作。
(8)变更交付:在进行测试后,由信息化职能部门进行成果交付。如果交付的成果未达到申请人要求,再重新申请变更。
五、附则
1、本制度由xx市xx区农业农村局负责解释和修订。
2、本制度自发布之日起开始执行。
5.系统投入运行测试管理制度
一、总则
为规范系统工作流程、明确责任、保证信息化管理系统安全、稳定、有序运行;以及在发生错误后得到及时、准确地解决,特制定本制度。
二、细则
对准备投入的信息系统进行系统测试,测试时间按照具体情况,由各信息化职能部门商议决定测试时间,无故障运行一月并经信息化职能部门检查通过后,填写《系统投入运行申请表》(附件7)并经领导审批通过,方可正式投入运行。
网络管理员需密切监测网络,如果发现用户网络异常或用户有违反本办法的使用行为,安全管理员将中断该用户的计算机系统的网络连接,并按本办法的规定进行相应的处理。
定期或者不定期地对联网机器的IP地址、系统补丁和防病毒库软件、远程接入设备管理情况进行检查,发现有违反本规定的接入行为或不按单位相关规定使用网络资源的,将给予通报批评;超过三次以上者将按单位相关规定给予警告处分;对于由此造成单位计算机信息系统严重故障或导致单位重大损失的,将视情节严重程度给予严重警告以上处分,并实施相应的经济处罚,触犯国家法律的,则依法移交国家法律部门处理。
外部人员(包括设备厂家、系统服务商、合作开发商等)一旦接入单位网络,视同单位在职人员进行管理,相应的接口负责人对其负领导监督责任,对于其触犯相应规定的行为由相应的接口负责人负责。临时造访人员如果违规接入网络,其行为后果由相应的接待人员负责。
三、附则
1、本制度由xx市xx区农业农村局负责解释和修订。
2、本制度自发布之日起开始执行。
6.机房管理制度
一、总则
机房管理是网络安全运行维护管理的重要环节,为了保护服务器和网络设备及UPS、空调等设备、设施的正常工作,及时、准确、可靠、完整地完成业务数据处理,保障信息服务的顺利进行,制定本制度。
二、机房进出入管理
1、信息化职能部门相关人员进出机房需填写《中心机房进出人员登记表》(附件8),写明进出机房时间、姓名、访问事由,及陪同人员。如有第三方人员需进出入机房,则还需填写《外部人员访问审批单》(附件9)需信息化职能部门领导签字方可生效进入。
2、严禁业务系统开发人员、机房设备维修人员单独进入主机房、网络机房和配电房等核心区域。在核心区域进行操作期间,须由中心相关人员始终陪同。
3、信息化职能部门相关人员严禁将门卡(或钥匙)借给无关人员使用。
4、进入机房人员不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质等对设备正常运行构成威胁的物品。
三、环境安全
1、机房必须保持安静、整洁,严禁喧哗、会客、吸烟、聚众聊天或玩游戏。
2、机房内实际温度应保持在20℃—25℃之间,相对湿度保持为45%—65%。
3、配备环境监控系统和远程报警系统的机房,须每天检查系统的运行状况,确保系统正常运行。
4、定期做好机房及设备的清洁保养工作,严禁在机房内堆放杂物,存放复印纸、打印纸及软盘、光盘、U盘等移动存贮介质。严禁将茶杯、饮料、食品、报纸、杂志等带入机房。设备安装过程中产生的各类包装物应在当日及时清理干净。
5、机房管理员,专门负责机房的防火、防盗,负责机房供电系统、空调系统的安全和日常养护工作,定期检查机房设施情况,并对单位全体工作人员经常进行防火、防盗、防爆、防破坏教育和培训,提高安全意识。
6、严禁易燃、易爆、易腐蚀品进入机房;严禁将水洒落在机房设备和地板上;严禁踩踏机房电源插座或网线插座;未经许可,非机房工作人员严禁动用各种电源开关,严禁动用任何线路和设备。
7、机房用电量严禁超负荷运行,严禁在机房内使用电炉、取暖炉、电水壶等大功率家用电器。
8、定期对机房供电系统及照明器具进行检查,防止因线路开关老化或损坏而短路造成火灾。雷雨季节要加强对机房防雷设备、地线及防护电路的检查与验收。
9、机房内一律不得动用明火,要严格控制电烙铁、电焊机等的使用。
10、机房软、硬件相关物品都由各信息化职能部门统一管理,且机房物品带入、带出机房必须进行登记。
11、对机房设备或主要部件进行固定,并设置明显的不易除去的标记。
四、人员操作
1、操作人员遵守值班制度,不得擅自脱岗。中心服务器数据库要每天进行备份,并严格实行备份专人保管。所有重要文档定期整理装订,专人保管,以备后查。
2、 值班人员应定时(如每个月一次)对服务器、网络设备、空调、UPS、监控等设备的运行指示灯、CPU、内存、硬盘、应用程序等进行检查,值班人员须认真、如实、详细填写《机房安全检查记录表》(附件10),以备后查。
3、 严格按照每日预制操作流程进行操作,对新上业务及特殊情况需要变更流程的应事先进行详细安排并书面报负责人批准签字后方可执行;所有操作变更必须有存档记录。
4、操作人员应遵守相关安全规定使用服务器,完成操作后必须退出相关终端管理器。
5、 各类软件系统的维护、增删、配置的更改,各类硬件设备的添加、更换必需经负责人书面批准后方可进行;必须按规定进行详细登记和记录,对各类软件、现场资料、档案整理存档。
6、 为确保数据的安全保密,对各部门送交的数据及处理后的数据都必须按有关规定履行交接登记手续。
7、安全检查规定 ,每天定时检查温湿度,半月针对所有设备进行安全检查。
8、如需将机房设备带离机房,则需要填写《设备带离机房审批记录》(附件21),经相关负责人审批。
五、机房保密管理
1、严格遵守通信纪律,增强保密观念,不得随意监测用户通信。增强法制观念,保守通信秘密,不得随意增删、泄漏有关资料。
2、未经批准不得擅自抄录、复制机线及设备图纸、电路和网络组织资料、机密文件、软件版本、技术档案、用户资料、内部资料等,或将其携带出机房。
3、外部人员进入机房必须遵守机房管理规定和机房安全规定。非经同意, 外来人员不得触摸设备及终端, 不得翻阅图纸资料。
4、所有维护和管理人员,均应熟悉并严格执行安全保密规定。各级领导必须经常对维护和管理人员进行安全、保密和消防教育。定期检查安全保密规则的执行情况,发现问题隐患及时处理。
5、信息化职能部门负责对用户口令、操作权限的管理,各类设备与系统应设定各级操作权限和口令,操作人员只可使用权限内的操作, 用户账号及口令不可泄露给无关人员。
六、消防安全管理
1、机房内禁止存放和使用易燃易爆物品,用过的抹布棉纱等物品,用后应随时存放在箱内或放在室外安全地点,不得乱扔。机房内严禁吸烟或携带打火机。未经本单位防火负责人同意,机房内不得动用明火;现场必须使用电炉、喷灯时,应做好防火措施。
2、机房的钥匙配发由信息化职能部门管理,任何人不得私自配制或给他人使用。不经批准,外来人员不得进入机房。
3、机房内应备有一定数量的灭火器,并指定人员负责定期检查。要协调保卫部定期检查防火设施,发现过期失效防火设备,及时上报保卫部更换。
4、不允许在机房内擅自搭接电源,不得使用超大负荷电器。
5、机房附近施工应严格遵守用火规定,并做好防护措施。
6、机房内不同种类的测试电源,应使用不同种类的插座,以防插错高低压电源而造成机障和阻断,电源线要符合耐压标准。
7、任何人不能随意更改消防系统工作状态、设备位置。需要变更消防系统工作状态和设备位置的,必须取得主管领导批准。工作人员更应保护消防设备不被破坏。
8、机房管理人员应熟悉机房内部消防安全操作和规则,了解消防设备操作原理、掌握消防应急处理步骤、措施和要领以及灭火器的正确使用方法。
9、根据实际情况配备消防设施,对消防设施不准擅自搬动、也不准挪作他用。
10、测试电器设备是否通电,只许使用测试仪表,禁止用手接触电器设备的带电部分和用短路等方法进行试验。
11、任何人不能随便更改消防设备位置。如需更改必须取得主管领导的批准。
12、应定期组织进行消防常识培训、消防设备使用培训。如发现消防安全隐患,应即时采取措施解决,不能解决的应及时向相关负责人员提出解决。
13、最后离开机房的工作人员,应检查消防设备是否完好。
七、附则
1、本制度由xx市xx区农业农村局负责解释和修订。
2、本制度自发布之日起开始执行。
7.网络安全管理制度
一、总则
为了加强单位网络安全与信息安全工作, 防止因偶发性事件、网络病毒等造成系统故障,妨碍正常的工作秩序,依照《中华人民共和国计算机信息系统安全保护条例》制定本管理规定。
二、网络结构安全管理
1、对网络设备的口令要加密存储,并以密文显示,并一季度修改一次。
2、对网络设备需要配置关闭telnet,划分VLAN区域使用逻辑隔离等安全配置。
3、网络物理结构和逻辑结构及时更新,拓扑结构图上应包含IP地址,掩码,网关,端口,网络设备名称,专线供应商名称及联系方式,专线带宽等,并妥善保存,未经许可不得对网络结构进行修改。
4、网络结构必须严格保密,禁止泄漏网络结构相关信息。
5、网络结构的改变,必须提交更改预案,并经过领导的批准方可进行。
三、网络访问控制
1、妥善保管现有的网络访问控制列表,其中应包含网络设备及型号,网络设备的管理IP,当前的ACL列表,更新列表的时间,更新的内容等,通过KVM串口登录,口令密文存储显示,按照业务要求进行VLAN划分。
2、定期检查网络访问控制列表与业务需求是否一致,如不一致,申请更新ACL。
3、未经许可不得进行ACL相关的任何修改。
4、更新ACL时,必须备份原有ACL,以防误操作。
5、ACL配置完成以后,必须测试。
6、禁止泄漏任何ACL配置。
四、网络设备安全
1、妥善保管现有网络设备清单,包括供应商及联系人信息,设备型号,IP地址,系统版本,设备当前配置清单。
2、每月检查设备配置是否与业务需求相符,如有不符,申请更新配置。
3、配置网络设备时,必须备份原有配置,以防误操作,配置完成之后,必须进行全面测试。
4、禁止在网络设备上进行与工作无关的任何测试。
5、未经许可不得进行任何配置修改。
6、网络设备和安全设备需要及时更新版本,且进行更新时必须先做好原先的配置备份,在网络空闲的时候进行测试,测试通过后放能接入生产网络,并填写《网络设备及服务器更新记录表》(附件11)。
7、定期开展内部网络设备安全漏洞扫描工作,并形成书面材料,扫描周期为一年2次,并对漏洞扫描并进行分析、修复。
8、设备必须开启日志审计功能,且不能删除,日志文件保存六个月以上,且单个文件必须大于2M,并由网络管理员进行管理,检查,并每3个月对审计日志进行分析。
9、网络设备和安全设备账户口令需要定期更换。
五、IP地址管理
1、妥善保管现有IP地址清单,其中应包含设备型号,是否支持远程登录及远程登录方式,IP地址,子网掩码,网关等信息。
2、及时更新IP地址清单,并制定检查计划,如有多余的IP,及时清理和更新。
六、备份
定期每季度对网络设备配置文件、安全策略进行更新存档,并定期每半年查看备份文件是否可用,网络设备日志保存时间为半年。
七、附则
1、本制度由xx市xx区农业农村局负责解释和修订。
2、本制度自发布之日起开始执行。
8.系统安全管理制度
一、总则
为加强xx市xx区农业农村局的系统安全管理,明确岗位职责,规范操作流程,维护信息系统正常运行,确保计算机信息系统的安全,现根据《中华人民共和国计算机信息系统安全保护条例》等有关规定,结合本单位实际情况,特制订本制度。
二、操作规程
1、xx市xx区农业农村局成立网络安全与信息化领导小组,专门负责本单位范围内的计算机信息系统安全管理工作。
2、各工作计算机未进行安全配置、未装防火墙或杀毒软件的,不得入网。各计算机终端用户应定期对计算机系统、杀毒软件等进行升级和更新,并定期进行病毒清查,不得下载和使用未经测试和来历不明的软件、不得打开来历不明的电子邮件、以及不得随意使用带毒U盘等介质。
3、对信息系统的每个操作系统用户和数据库用户进行审计,审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等,并保护审计记录,避免受到未预期的删除、修改或覆盖等。
4、每季度对主机系统进行安全备份,日志审核。在实行安全配置时候需经过上级同意后进行操作。定期对主机系统的口令进行修改,口令应具有复杂度。
5、设定终端接入方式、对网络地址范围等进行限制,对终端登入用户数量进行限定,对终端连接的空闲时间进行限定。
6、任何人员不得制造或者故意输入、传播计算机病毒和其他有害数据,不得利用非法手段复制、截收、篡改计算机信息系统中的数据。
7、禁止利用扫描、监听、伪装等工具对网络和服务器进行恶意攻击,禁止非法侵入他人网络和服务器系统,禁止利用计算机和网络干扰他人正常工作。
8、计算机各终端用户应保管好自己的用户帐号和密码。严禁随意向他人泄露、借用自己的帐号和密码;严禁不以真实身份登录系统。计算机使用者更应定期更改密码、使用复杂密码。
9、所有密码应符合复杂度策略,长度不少于8位,包含大小写字母、数字、字符中的两种或两种以上;并且定期(90天)修改密码。
10、每个月检查系统安全策略、安全配置,定期对日志进行审核管理,发现问题及时上报。
11、专人负责系统运行日志,系统监控记录、日常维护和报警信息分析和处理等工作。
12、定期3个月对主机系统进行漏洞扫描,补丁升级,定期出具系统日志运行分析报告、审计数据的分析记录和分析报告。
13、当需要系统接入时,首先要对该接入的新系统进行检查,检查无误后填写《系统投入运行申请表》(附件7),并由信息化职能部门相关人员陪同及领导同意签字后方可进行相关操作,并对相关操作记录形成《系统运维记录》(附件12)。
14、系统应遵循最小安装的原则,需将不必要的软件进行卸载,将不需要的系统服务停用。
15、系统必须开启日志审计功能,且不能删除,日志文件保存6个月以上,且单个文件必须大于2M,并由网络管理员进行管理,检查,并6个月一次对审计日志进行分析。
16、对现在已有的用户账户进行权限的分配以及专人使用,如有特殊情况需要进行用户权限的变更则需要征求信息化职能部门领导审批通过后方可更改。如果发生岗位人员调离或离职,则需要根据实际情况出发对系统账户进行账户禁用或权限修改,如果该账号为administrator,则修改该账户的用户名以及密码。
17、对主机、网络及存储设备进行关机、重启、断电等操作时一定得按照设备的操作说明书进行操作,对于主机设备按照先关闭操作系统再断电源顺序,对于网络设备在关机或者重启之前保证网络配置的保存及备份,网络设备有开关的先关闭开关再切断电源,重启设备尽量使用系统本身命令重启,切勿频繁插拔电源,对于存储设备先关闭与之相连的设备,再关闭存储设备系统,最后断电的顺序,以保证设备、数据的安全。
四、信息系统安全检查管理办法
管理员通过监控类安全设备对信息系统进行安全性实时监控,通过审计类安全设备进行安全的综合性分析,多方结合以便及时发现存在的安全漏洞或恶意的攻击,从而实现动态和实时的安全控制。
1、关键重要的安全设备须每天进行日常巡检,检查指示灯、服务状态等。
2、所有安全设备须每月详细检查一次,记录并分析相关日志,对可疑行为及时进行处理。
3、每周二次对网络防病毒系统的病毒库进行升级,并查看防病毒系统事件日志,包括各客户端病毒查杀日志、升级日志等。病毒发现情况和统一升级的情况,应记录于病毒系统安全检查表格中。
4、在系统日常管理中,要定期(不少于两周一次)对系统日志文件等进行检查,并对用户情况进行检查,以尽早发现潜在的非法侵入。
5、计算机信息系统中要有详细系统日志,记录每个用户的每次活动(访问时间、地址、数据、程序、设备等)以及系统出错和配置修改等信息。
6、系统安全保密管理人员要定期审查系统日志并做好审查记录,审查周期不得长于一个月,同时保证系统核心日志的定期备份。
7、所有的检查及审计须提供相应的记录或报告。
五、附则
1、本制度由xx市xx区农业农村局负责解释和修订。
2、本制度适用于单位所有操作系统、数据库、应用系统等方面的系统安全。
3、本制度自发布之日起开始执行。
9.职员录用管理制度
一、总则
1、为规范职员的录用工作,明确录用双方的权责,特制定本规定。
2、人事部门负责录用工作的实施,用人部门协助执行。
二、录用前的告知义务
1、职员在入职前,必须如实告知其真实履历,身体状况、教育状况等基本信息,确保其向单位提交的各种证明的材料全面、真实、合法。
2、职员入职前,行政人事部如实告知其入职条件、工作职责、工作地点、
工作环境、工作时间、福利待遇、规章制度等,对职员所关心的其他事项也应作详细解答。
三、录用条件和要求
1、录用职员年龄必须达到18周岁或以上,具有国家认可的有效身份证明。
2、其他重大疾病(重大疾病参见国家相关规定)或不适合招聘岗位的其他
疾病。职员在签订劳动合同前必须出示单位指定的医疗机构的体检报告,否则单位不与其签订劳动合同。
3、能力要求。职员应当具备应聘岗位所要求的教育背景、工作经验、专业
能力和一定的辅助能力以及所应聘岗位的特殊要求。
四、入职报到手续与流程
1、被录用人员凭人事部门发放的《录用通知书》,按指定时间、地点携带
规定的证件、资料,亲自办理报到手续。不在规定时间内报到或不亲自前往办理的均视为拒绝受雇,该通知书自动失效。
2、新职员均须到行政人事部办理报到手续,如实填写《职员档案》个人资料部分。行政人事部收取录用人员1寸免冠彩照2张、有效体检报告以及身份证、毕业证、职称证、流动人口计生证、暂住证等相关证件复印件;已依法与原单位办理解除或终止劳动合同手续的,应向单位出示相关劳动合同解除或终止证明,单位将视具体情况向其前单位核实;单位对录用人员的经历、背景、相关证件及以前工作表现情况保留核实的权利。
五、附则
1、本规定由xx市xx区农业农村局负责制定、解释,由网络安全领导小组审批后颁布实施。修订、废止时亦同。
2、本规定自颁布之日起实施。
10.职工离职管理制度
一、总则
为规范全体职员离职管理工作,使单位离职管理有所依循,确保单位和离职职工的合法权益和日常工作连续性,制定本管理制度。
1、适用范围
信息化工作岗位所有员工,不论何种原因离职,均依本办法办理,若有特例,由信息化职能部门相关领导签字认可。
2、离职定义
(1)合同离职。
(2)职工履行受聘合同或协议而离职。
(3)职工辞职:
a、因职工个人原因申请辞去工作:单位同意,且视为辞聘职工违约;单位同意,但视为部分履行合同(视实际情况由双方商定)。
b、自动离职,因职工个人原因离开单位:不辞而别;申请辞去工作,但单位未同意而离职。
(4)单位辞退、解聘:
a、职工因各种原因不能胜任其工作岗位者,予以辞退。
b、因不可抗力等原因,可与职工解除劳动关系,但应事前三十日预先辞退通告。
c、违反单位、国家相关法规、制度,情节较轻者,予以解聘。
(5)开除:
违反单位、国家相关法规、制度,情节严重者,予以开除。
二、离职申报
1、离职职工,不论是那种方式都应填写《离职移交手续单》(附件13)报送xx市xx区农产品质量安全管理站的领导。
2、普通职工离职的书面申报,应提前二周报送,管理员、技术人员应提前一个月报送,中高级岗位应提前二个月。
3.职工离职时必须严格保守本单位的各项工作信息,做好严格的保密规定,如有发现离职职工有泄密事件,按实际情况出发追究相关责任人责任。
三、移交
职工离职应办理以下交接手续:
1、工作移交
指将本人经办的各项工作、保管的各类工作性资料等移交至直接上级所指定的人员,并要求接交人在《离职移交手续单》(附件13)签字确认,具体内容如下:
(1) 单位的各项内部文件;
(2) 经管工作详细说明;
(3) 培训资料原件;
(4) 单位的技术资料(包括书面文档、电子文档两类);
(5) 项目工作情况说明:
a、项目计划书
b、项目实施进度说明
c、项目相关技术资料
d、其它项目相关情况详细说明
2、事物移交
职工在单位就职期间所有领用物品的移交,交接双方签字确认,具体内容如下:
(1)领用办公用品;
(2)单位配置的通讯工具;
(3)考勤卡、(xx市xx区农产品质量安全管理站、办公桌)钥匙;
(4)借阅资料;
(5)各类工具(如维修用品、移动存储、保管工具等);
(6)其他需要移交的物品。
3、款项移交
(1)将经手各类项目、业务、个人借款等款项事宜移交至计划财务部。
(2)经手办理的业务合同(协议)移交至计划财务部。
以上各项交接均应由交接人、接管人签字确认,并经xx市xx区农产品质量安全管理站审核、备案后方可认为交接完成。
四、结算
1、结算条件:当交接事项全部完成,并经领导签字认可后,方可对离职人员进行相关结算。
2、结算部门:离职人员的工资、违约金等款项的结算由计划财务部、xx市xx区农产品质量安全管理站共同进行。
3、结算项目:
(1) 违约金:因开除、解聘、自动离职和违约性辞职产生的违约金,由人事部按照合同违约条款进行核算;
a、《劳动合同》合同期未满违约金
b、《保密协议》违约金
(2) 住房基金结算。
(3) 工资
a、合同期满人员,发放正常出勤工资,无违约责任;
b、 单位辞退的人员,发放正常出勤工资,双方互不承担违约责任;
c、 因本单位经营状况等特殊原因的资遣人员,发放正常出勤工资外,本单位另外加付一个月基本工资。
(4) 项目损失补偿金:项目开发人员违约性离职,其负责的开发任务未能完成和移交,应付本单位项目损失补偿金。
五、关系转移
1、转移前提
交接工作全部完成(以签字为准),违约金、赔偿金等结算完成(以签字为准)。
2、转移内容
档案关系, 社保关系,单位内部建立个人档案中资料不再归还本人,由人事部分类存档。
六、附则
1、本制度由xx市xx区农业农村局负责解释和修订。
2、本制度自发布之日起开始执行。
11.系统数据备份与恢复管理制度
一、总则
为了确保系统计算机系统的数据安全,使得在计算机系统失效或数据丢失时,能依靠备份尽快地恢复系统和数据,保护关键应用数据的安全,保证数据不丢失,特制定本制度。
二、备份方式
数据备份分为常规备份和非常规备份两大类。
常规备份是指在指定时间进行、具有固定备份内容和操作流程的数据备份,包括日备份、月备份、全系统备份等。
非常规备份是指不定期进行、具有特定备份目的的数据备份,包括应用系统软件备份、数据清档备份和特殊备份等。
三、数据备份操作规程
应该及时对数据进行备份,防止系统、数据的丢失;涉及数据备份和恢复的工作要由专人负责,并认真填写《数据备份登记表》(附件29)。
服务器数据备份工作,由信息化职能部门负责,备份方式为全备,备份频率为三个月一次。备份介质保存于光盘与硬盘中,保存周期为永久保存,半年检查一次。
网络设备数据备份工作,由信息化职能部门负责,备份方式为全备,备份频率为三个月一次,备份介质保存于光盘或硬盘中,保存周期为永久保存,半年检查一次。
备份数据应该严格管理,妥善保存;备份数据资料需保存在机房内部。
四、数据恢复操作规程
1、数据的备份、恢复、转出、转入的权限都应严格控制。严禁未经授权将数据备份出系统,转给无关的人员或单位;严禁未经授权进行数据恢复或转入操作。
2、当各个系统发生数据丢失或数据破坏无法正常工作等情况时应该按照以下步骤进行操作:
(1)系统管理员首先应该关闭网站服务器,在网站页面上说明“系统正在维护中”;
(2)各管理员配合系统管理员进行系统故障排查,查看审计数据,确定故障原因;
(3)检查确认问题后对数据进行恢复(“备份文件导入”-“数据检查测试”-“测试通过”-“导入服务器”),解决问题后方可重新开启网站服务器,进行正常使用。
3、测试数据库备份数据的数据完整性和可用性,需定期对备份的数据进行测试、恢复:
(1)将备份数据导入测试服务器;
(2)配合数据库管理员对数据进行检测,查看其是否可用,和数据的完整性;
(3)检查通过后,可导入生产服务器。
五、备份管理
1、信息化职能部门定期6个月检查一次保存备份数据能否正常使用,需刻录光盘的数据应经过检验,确保数据备份的完整性和可用性后,方可刻录光盘,所有光盘、硬盘如果检查出损坏,需立刻更换,如果存储空间满额,需要及时增加。
数据库备份方式为异机备份,有相应备份策略进行实施备份。
2、备份数据应放置机房五防柜中,文件命名规则按照日期来命名,带离机房时应填写《介质使用管理记录表》(附件17)经过介质管理员登记后通过,方可带离。
六、附则
1、本制度由xx市xx区农业农村局负责解释和修订。
2、本制度自发布之日起开始执行。
12.信息系统变更及发布管理制度
一、总 则
1、为规范软件变更与维护管理,提高软件管理水平,优化软件变更与维护管理流程,特制定本制度。
2、本制度适用于应用系统、网络系统等已开发或采购完毕并正式上线、且由软件开发组织移交给应用管理组织之后,所发生的生产应用系统(以下简称应用系统)运行支持及系统变更工作。
二、变更流程
1、系统变更工作可分为下面两类类型:
(1)功能完善维护
业务部分由于业务发展或业务处理的需要,所产生的对系统的现有功能进行完善的需求。
(2)系统缺陷修改
系统设计和实现上的缺陷会引发业务操作中的异常,即对系统缺陷进行修复的需求。
2、由信息系统使用责任人提出系统变更需求,并将变更需求整理成《系统变更申请表》(附件14)。由信息化职能部门负责需求分析,提出系统变更建议。批准后会撰写变更方案,方案包括现状分析、变更或改造建议以及实施费用预算等方面内容。
3、当确定信息系统变更方案后,单位将通过正式文函的方式对系统的运维、使用主体部门进行告知。
4、实现过程应按照软件开发过程规定进行。系统变更前应遵循软件开发过程相同的正式、统一的编码标准,并经过测试和正式验收才能分发。
5、系统管理员组织相关人员对系统程序进行的变更,需严格按照功能要求在备用服务器上进行全面调试,调试通过后才能分发。
6、系统管理员负责对系统变更过程的文档进行归档保存,变更过程中涉及的所有文档应至少保存两年。
三、紧急变更流程
1、紧急事件的报告
发现系统异常,导致业务处理无法正常进行,必须迅速处理解决时,问题发现人将问题报告给系统管理员。
系统管理员根据问题信息,进行问题的初步诊断,如有可能,对问题原因进行分析定位,并给出解决问题的建议
2、紧急事件变更启动
系统管理员接到紧急问题上报后,及时进行讨论和交流,了解情况,并最终判定是否属于紧急事件。确定属于紧急事件后,由系统管理员启动紧急事件变更流程,并根据其重要性和紧迫性分配优先权,组织人员采取相应的处理流程。变更系统前,需要发布变更通知,提前告知所有受影响的用户,如果涉及到对外开放的业务,需要在网站上进行公告,说明系统变更的原因、变更时间、变更内容等。
3、紧急事件变更处理
系统管理员组织人员进行紧急事件变更处理。紧急事件变更流程的变更处理同一般问题变更流程,包括分析、设计、实施、测试、验收,但需使用专设系统用户账号进行紧急事件变更,并进行明确的紧急事件变更文档记录。
4、紧急事件变更程序分发
程序需要分发的,则系统管理员组织完成变更处理后,进行程序分发。紧急事件变更流程的程序分发同一般系统变更流程。
5、补办文档和领导审批记录
紧急问题得到妥善解决后,需要分别补办各类文档和审批记录。
四、安全措施
系统变更过程中,采取各种措施保证调试系统应用程序访问权限受到良好控制。这些措施包括:
1、通过调试环境的访问控制,限制对调试环境的访问;
2、通过物理隔离的手段,限制对调试环境的访问;
3、通过逻辑隔离的手段,限制对调试环境的访问;
4、对授权访问调试环境的开发人员进行详细记录,使用该记录对调试环境访问权限的检查,确保只有经授权开发人员才能访问调试环境;
5、普通用户只能通过前台登录系统,不能通过后台(如使用调试环境操作系统的命令行)进行操作;
6、开发人员不应该拥有前台应用程序的业务操作访问权限,更不应该在前台应用程序中担任实际的业务操作任务;
7、从技术角度限制开发人员对调试环境中应用程序文件夹的访问权限,只有经过授权的开发人员对程序拥有读、写和执行的权限;
五、变更管理
对于信息系统的变更,如对整体网络添加、删除设备等操作,变更前需填写《系统变更申请表》(附件14),经信息化职能部门相关领导同意后出具网络设备变更实施方案,变更后对整体网络无影响则变更成功,变更失败后需立即恢复变更前原状,保持网络畅通。
六、附则
1、本制度由xx市xx区农业农村局负责解释和修订。
2、本制度自发布之日起开始执行。
13.资产安全管理制度
一、总则
为加强xx市xx区农业农村局信息固定资产的保管及使用管理,特制定本制度。
本制度所称信息固定资产包括xx市xx区农业农村局信息系统范围内所涉及的房屋及建筑物、信息化硬件及其附属设备、信息化软件及其集成系统、工具等。
二、操作规程
1、职责
(1)负责检查数据资产的安全管理情况。
(2)负责本文件的编制和管理;
(3)负责固定资产的管理,包括固定资产的采购、记录、变更、报废等;
(4)负责备品备件的出入库管理;
(5)负责对有形资产进行分类、分级和标记;
(6)负责对备品备件进行分类;
(7)在有形资产发生变更、报废或销毁时,负责检查资产中信息的处理情况。
(8)负责检查台帐、信息系统中信息资产相关记录,并将记录情况纳入考核计划中。
2、资产的分类分级
资产分类分为关键资产和非关键资产。
关键资产:对业务连续性和系统可用性影响大的资产(价格或价值较高的资产)。
非关键资产:对业务连续性和系统可用性影响小的资产(价格或价值较低的资产)。
3、资产的登记与标记
(1)信息化职能部门对固定资产进行分类分级、登记,确定该资产的类型、用途、 位置、格式、规格、价值等具体信息;
(2)信息化职能部门根据发放的资产清单及设备标牌,对有形资产进行粘贴标记,各部门指定资产责任人,由资产责任人对所负责的资产进行保护;
(3)各部门在资产新增、更新、调拨、报废时,向信息化职能部门提出需求,由信息安全领导小组审核,报主管领导批准后按照相关规定执行;
(4)信息化职能部门定期检查有形资产的标记与使用情况,对资产丢失,标签缺损的情况进行记录,并纳入各部门考核;
(5)各部门对本部门管理的数据资产进行归类和统计,对电子文件采用统一 样式的电子标记进行标识。
4、资产的使用与维护
(1)各部门对信息资产使用规范说明,包括使用授权、管理方式、操作方法、移动管理等,报信息化职能部门备案。
(2)各部门工作人员,包括雇员、承包方人员和第三方人员应明确到他们使用信息资产时的限制条件,应对信息资产的使用和管理负责。
(3)各部门人员应确保在采用移动介质进行数据传输时,传输完毕应及时删除介质上保留的数据信息,对于只读介质,由本部门信息安全专员进行保存;
(4)各部门的存储介质在长期存储时,信息安全专员应确保本部门介质贮存地点应符合防火、防水、防震、防潮、防霉、防鼠害、防虫蛀、防静电、防磁等方面的安全要求,介质的存储要符合介质生产商对介质存储的要求;
(5)各部门定期对本部门存储介质中的数据进行备份和恢复测试,并进行测试记录,防止由于介质老化而导致的重要信息丢失;
(6)涉及国家秘密的信息通过移动介质进行存储时,各部门应参照国家有关规定执行。
(7)网络安全与信息化领导小组定期检查数据资产的安全管理情况,发现问题进行记录,并纳入各部门考核。
5、资产的销毁
(1)各部门检查并清空待报废设备内的所有信息,交信息化职能部门统一处理;
(2)信息化职能部门对报废设备进行清点;
(3)信息化职能部门定期对报废设备进行统一处理,处理前对设备的存储信息进行检查;
(4)各部门介质上存储的信息的敏感程度,由信息化职能部门采取适当的措施对已报废的介质进行处理:
包含敏感信息的介质,应按照国家要求,去专门地点删除原有介质上的数据信息或进行消磁处理;对于只读介质,可采用粉碎等方式进行处理。
三、附则
1、本制度由xx市xx区农业农村局负责解释和修订。
2、本制度自发布之日起开始执行。
14.信息系统补丁及版本管理制度
一、总则
1、为加强xx市xx区农业农村局系统补丁及版本的管理,规范补丁及版本的部署流程,保证信息系统补丁及版本的及时更新,确保信息系统安全稳定高效的运行,特制定本办法。
2、 本办法所涉及的补丁包括硬件微码补丁、操作系统补丁、数据库补丁和应用系统补丁。
3、本办法所涉及的版本包括网络设备、安全设备、存储、服务器、终端等硬件产品的操作系统版本,各类系统软件(数据库、中间件)及各类业务系统的版本。
二、 适用范围
信息化职能部门负责本级各类软硬件产品的补丁及版本更新工作及终端设备的补丁及版本更新工作。
三、职责分工
系统管理员每月和相关厂商联系,获取操作系统版本的最新情况,并对版本的更新后可能会产生的影响进行评估,确认是否可以升级,升级版本之前先做备份。
各类业务系统应该部署与之相应的测试系统,版本升级之前应做充分的测试,测试2天后无重大问题可进行正式部署,并将版本升级后做的改动内容告知各使用对象。
1、系统管理员
(1)负责各操作系统(含浏览器、办公软件)补丁和应用系统(含中间件)补丁的管理。
(2)负责收集操作系统漏洞和应用系统漏洞信息,跟踪最新补丁信息,评估漏洞威胁、成因和严重性。
(3)负责提出操作系统漏洞和应用系统漏洞修补要求和相关防护措施,审批变更计划。
(4)负责搭建测试环境,测试补丁和测试结果的记录。
(5)负责补丁的安装或分发,负责制订补丁修补计划。
(6)负责解决补丁安装或分发过程中出现的问题。
2、数据库管理员
(1)负责各数据库补丁的管理。
(2)负责收集数据库漏洞信息,跟踪最新补丁信息,评估漏洞威胁、成因和严重性。
(3)负责提出数据库漏洞修补要求和相关防护措施,审批变更计划。
四、补丁管理
1、补丁由信息化职能部门统一进行下载、测试和安装,未经许可,不可私自下载安装。
2、补丁来源须为原厂商官方网站或原厂商工作人员,对于非法的补丁禁止安装。
3、补丁安装前,应先做好系统和数据备份工作,避免出现问题进行回退,经严格测试通过后方可安装,对测试不成功的补丁严禁安装。
4、测试中发现的问题应做详细分析,判断发生问题的原因并及时解决,如果不能解决,须记录发生问题的环境,立即反馈给原厂商。
5、对于刚发布的严重等级漏洞(无补丁)或未通过测试的补丁,可采用临时解决办法消除漏洞的威胁或者暂时接受该风险。
6、制订补丁修补计划,须先分析信息资产、IT系统环境、IT网络环境和信息资产重要等级,确定需要安装的补丁和相应严重等级,同时明确修补时间、修补方式和修补范围。
7、补丁安装顺序遵循“资产价值大、威胁等级高优先安装”的原则。对于漏洞级别为严重的补丁,无特殊情况须在补丁发布后1星期内安装。补丁安装可参考《补丁安装操作记录(范文)》(附件15)。
8、补丁安装完成后应进行全面检查,以确认补丁安装情况,同时填写《系统补丁更新记录》(附件16)。
五、附则
1、本办法由xx市xx区农业农村局负责解释。
2、本办法自发布之日起施行。
15.安全事件报告和处置管理制度
一、总则
提高处置网络与信息安全突发公共事件的能力,形成科学、有效、反应迅速的应急工作机制,确保重要计算机信息系统的实体安全、运行安全和数据安全,最大限度地减轻网络与信息安全突发公共事件的危害,保障单位信息安全,保护公众利益,维护正常的工作秩序制定本管理制度。
二、适用范围
本制度适用于xx市xx区农业农村局发生的网络与信息安全突发公共事件和可能导致网络与信息安全突发公共事件的应对工作。
三、职责
本制度由xx市xx区农产品质量安全管理站制订,结合信息网络快速发展和单位实际发展状况,配合相关法律法规的制定、修改和完善,适时修订本制度。
四、要求
1、工作原则
预防为主:立足安全防护,加强预警,重点保护基础信息网络和重要信息系统,从预防、监控、应急处理、应急保障和打击犯罪等环节,在法律、管理、技术、人才等方面,采取多种措施,充分发挥各方面的作用,共同构筑网络与信息安全保障体系。
快速反应:在网络与信息安全突发公共事件发生时,按照快速反应机制,及时获取充分而准确的信息,跟踪研判,果断决策,迅速处置,最大程度地减少危害和影响。
以人为本:把保障公共利益以及公民、法人和其他组织的合法权益的安全作为首要任务,及时采取措施,最大限度地避免财产遭受损失。
分级负责:按照“谁主管谁负责、谁运营谁负责、谁使用谁负责”以及“条块结合,以条为主”的原则,建立和完善安全责任制及联动工作机制。根据部门职能,各司其职,加强部门间、各部门的协调与配合,形成合力,共同履行应急处置工作的管理职责。
常备不懈:加强技术储备,规范应急处置措施与操作流程,定期进行预案演练,确保应急预案切实有效,实现网络与信息安全突发公共事件应急处置的科学化、程序化与规范化。
2、组织指挥机构与职责
发生网络与信息安全突发公共事件后,应成立网络与信息安全应急协调小组(以下简称协调小组),为单位网络与信息安全应急处置的组织协调机构,负责领导、协调全单位网络与信息安全突发公共事件的应急处置工作。单位应急协调小组负责日常工作和综合协调,并与公安网监部门进行联系。
3、先期处置
(1)当发生网络与信息安全突发公共事件时,事发部门应做好先期应急处置工作,立即采取措施控制事态,同时向相关主管部门通报。
(2) 网络与信息安全事件分为四级:特别重大(1级)、重大(2级)、较大(3级)、一般(4级)。
(3)主管部门在接到本系统网络与信息安全突发公共事件发生或可能发生的信息后,应加强与有关方面的联系,掌握最新发展态势。对3级或4级的网络与信息安全突发公共事件,由该上级主管部门自行负责应急处置工作。对有可能演变为2级或1级的网络与信息安全突发公共事件,要为协调小组处置工作提出建议方案,并作好启动各项准备工作。主管部门要根据网络与信息安全突发公共事件发展态势,视情况决定赶赴现场指导、组织派遣应急支援力量,支持事发部门做好应急处置工作。
4、 应急处置
(1)应急指挥
工作启动后,根据协调小组会议的部署,担任总指挥的领导和参与指挥的领导迅速赶赴相应的指挥平台,进入指挥岗位,启动指挥系统。相关部门按照本预案确定的有关职责立即开展工作。
需要成立现场指挥部的,事发部门立即在现场开设指挥部,并提供现场指挥运作的相关保障。现场指挥部要根据事件性质迅速组建各类应急工作组,开展应急处置工作。现场指挥部在协调小组的领导下全权负责现场的应急援救工作。主管部门负责对发生网络与信息安全突发公共事件的网络与信息系统的现场应急处置工作。
(2)应急支援
工作启动后,协调小组的应急响应先遣小组,赶赴事发地,督促、指导和协调处置工作。协调小组种根据事态的发展和处置工作需要,及时增派专家小组和应急支援部门,调动必需的物资、设备,支援应急工作。
参加现场处置工作的各有关部门要在现场指挥部统一指挥下,协助开展处置行动。
(3)信息处理
a. 现场信息收集、分析和上报。事发部门应对事件进行动态监测,评估,及时将事件的性质、危害程度和损失情况及处置工作等情况按紧急信息报送的有关规定,及时报协调小组,不得隐瞒、缓报、谎报。
b.信息处理。协调小组要明确信息采集、编辑、分析、审核、签发的责任人,做好信息分析、报告和发布工作。
c.信息发布和咨询。当网络与信息安全突发公共事件发生时,协调小组要及时做好信息发布工作,单位通过新闻发布网络与信息安全突发公共事件预警及应急处置的相关信息。信息发布与新闻报道要按国家的有关规定及时进行。
(4)应急结束
网络与信息安全突发公共事件经应急处置后,得到有效控制,经各监测统计数据上报协调小组,协调小组提出应急结束的建议,经批准后实施。
5、后期处置
(1)善后处置
在应急处置工作结束后,事发部门要迅速采取措施,抓紧组织抢修受损的基础设施,减少损失,尽快恢复正常工作,统计各种数据,查明原因,对事件造成的损失和影响以及恢复重建能力进行分析评估,认真制定恢复重建计划,迅速组织实施。有关主管部门要提供必要的人员和技术、物资和装备以及资金等的支持,并将善后处置的有关情况报协调小组,并填写相关记录《安全事件处理记录》(附件20)。
(2)调查和评估
在应急处置工作结束后,主管部门应立即组织有关人员和专家组成事件调查组,查清事件发生的原因及财产损失状况和总结经验教训,并根据问责制的有关规定,对有关责任人员做出处理。
五、 相关资源
根据《中华人民共和国计算机信息系统安全保护条例》、《计算机病毒防治管理办法》制定本预案。
六、附则
1、本制度由xx市xx区农业农村局负责解释和修订。
2、本制度自发布之日起开始执行。
16.恶意代码防范制度
根据《公安部第51号令 计算机病毒防治管理办法》,制定本办法。
一、授权使用
应在单位网络安装计算机网络病毒防治产品,其生产单位应具有《计算机信息安全专业产品销售许可证》,其病毒防治能力应达到公安部规定的合格或以上水平。
二、恶意代码防范意识
职工应有较强的补丁升级、病毒防范等意识,定期进行病毒库升级,病毒检测。用户发现系统感染病毒情况,应立即处理并通知相关人员。
新系统安装完成后应打上最新的系统补丁、安装最新的防病毒软件,并对系统进行病毒例行检测。
经远程通信传送的程序或数据,必须进过检验确认无病毒后方可使用。
需按照单位实际情况出发,定期对各信息化职能部门相关员工进行恶意代码防范的技术培训,并填写《恶意代码培训记录》(附件22)。
三、恶意代码防治和管理工作
信息化职能部门为最基本的病毒防治和管理部门,主要工作有:
(1)负责升级防病毒产品;
(2)负责防病毒产品安装;
(3)负责升级病毒
............试读结束............
查阅全文加微信:3231169 如来写作网:gw.rulaixiezuo.com(可搜索其他更多资料)
本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 3231169@qq.com 举报,一经查实,本站将立刻删除。如若转载,请注明出处:https://www.rulaiwenku.com/216794.html
