《單位內部網絡信息安全制度匯編（試行）》

目錄

一、相關術語......................................................12

1、縮寫...........................................................12

2、制度適用范圍：.................................................12

3、術語定義.......................................................12

一、網絡信息安全總體策略.........................................15

第一章總則.......................................................15

第二章術語定義...................................................15

第三章組織職責...................................................15

第四章管理原則...................................................16

第五章總體目標...................................................16

第六章安全框架...................................................16

第七章策略制定與維護............................................18

二、信息等級保護體系制定和發布管理規定..........................20

第一章總則.......................................................20

第二章職責.......................................................20

第五章文件起草...................................................21

第六章文件評審...................................................23

第七章文件發布...................................................24

附錄一、（XX市民政局）管理制度發布記錄表........................25

三、等級保護體系評審和修訂管理規定..............................26

第一章總則...................................................26

第二章評審程序...............................................26

第三章修訂程序...............................................27

四、信息安全管理組織架構......................................29

第一章總則...................................................29

第二章組織目標...............................................29

第三章信息安全組織架構.......................................29

第四章組織的信息安全職責描述.................................30

五、信息系統安全檢查管理規定..................................33

第一章總則...................................................33

第二章適用范圍...............................................33

第三章術語定義...............................................33

第四章組織職責...............................................33

第五章通用要求...............................................34

第六章安全檢查準備...........................................34

第七章安全檢查報告...........................................35

第八章安全檢查整改...........................................35

第九章檢查工具的使用.........................................35

附錄一：安全檢查情況匯總表...................................37

附錄二：信息系統安全檢查表...................................38

六、信息安全組織架構與崗位職責................................42

第一章總則...................................................42

第二章信息化領導小組.........................................42

七、人員管理制度..............................................46

第一章總則...................................................46

第二章術語定義...............................................46

第三章組織職責...............................................46

第四章入職管理...............................................46

第五章在崗管理...............................................47

第六章紀律處理過程..........................................48

第七章調動管理...............................................48

第八章離崗管理...............................................49

八、網絡安全培訓和考核管理規定................................50

第一章總則...................................................50

第二章組織職責...............................................50

第三章安全培訓管理程序.......................................51

第五章安全考核管理程序......................................52

九、第三方機構安全管理規定....................................53

第一章總則...................................................53

第二章術語定義...............................................53

第三章組織職責...............................................53

第五章駐場外包人員安全管理要求...............................53

第六章臨時來訪人員安全管理要求...............................55

第七章外包服務質量考核與評價................................55

第八章外包人員離場安全要求...................................55

十、計算機及網絡保密規定......................................57

十一、信息系統測試管理辦法....................................59

第一章總則...................................................59

第二章測試組工作職責.........................................59

第三章新業務系統上線測試管理辦法.............................61

第四章常規版本升級測試管理辦法...............................63

十二、信息安全建設管理規定....................................65

第一章總則...................................................65

第二章適用范圍...............................................65

第三章組織職責...............................................65

第四章系統定級...............................................66

第五章安全檢查報告...........................................67

第六章系統建設...............................................67

第七章系統備案...............................................68

第八章系統測評...............................................69

第九章系統終止...............................................70

附錄一、系統安全設計方案評審表................................71

附錄二、系統測試驗收評審表....................................72

附錄三、系統轉移、終止或廢棄申請表............................74

十三、項目管理規定............................................76

第一章總則...................................................76

第二章適用范圍...................................................76

第三章職責與權限................................................76

第四章項目立項...................................................77

第五章項目計劃...................................................78

第六章項目實施...................................................78

第七章項目監控...................................................78

第八章項目收尾...................................................79

十四、工作環境管理規定...........................................80

第一章總則.......................................................80

第二章適用范圍...................................................80

第三章術語定義...................................................80

第四章辦公區域訪問控制..........................................80

第五章辦公環境安全..............................................81

第七章辦公用計算機安全..........................................82

第八章監督和檢查................................................85

十五、信息系統資產管理規定.......................................87

第一章總則.......................................................87

第二章適用范圍...................................................87

第三章術語定義...................................................87

第四章職責.......................................................87

第五章資產分類...................................................87

第六章資產分級...................................................88

第七章信息資產標識..............................................89

第八章信息資產維護..............................................90

第九章閑置報廢資產管理..........................................90

附錄一、（XX市民政局）KXXX系統信息資產清單.....................93

十六、存儲介質管理規定...........................................94

第一章總則.......................................................94

第二章適用范圍...................................................94

第三章術語定義...................................................94

第四章組織職責...................................................94

第五章存儲介質標識..............................................94

第六章存儲介質訪問..............................................95

第七章存儲介質保管..............................................95

第八章介質維修...................................................96

第九章存儲介質銷毀..............................................96

附錄一、存儲介質清單.............................................97

附錄二、存儲介質銷毀申請表.......................................98

十七、信息系統運維監控管理規定..................................99

第一章總則.......................................................99

第二章適用范圍...................................................99

第三章術語定義...................................................99

第四章組織職責...................................................99

第五章監控管理要求.............................................100

第六章運維監控工作流程.........................................101

十八、網絡系統運行管理規定......................................103

第一章總則......................................................103

第二章組織職責..................................................103

第三章網絡資源的數據管理.......................................103

第四章網絡資源的申請...........................................104

第五章網絡資源的使用...........................................104

第六章網絡資源的建設...........................................105

第七章網絡資源的變更..........................................106

第八章網絡故障處理............................................106

十九、系統帳號權限管理規定......................................107

第一章總則......................................................107

第二章適用范圍..................................................107

第三章術語定義..................................................107

第四章組織職責..................................................108

第五章通用原則..................................................108

第六章特權帳號管理.............................................109

第七章普通帳號管理.............................................110

第八章口令管理..................................................110

第九章檢查監督..................................................111

附錄一、（XX市民政局）業務系統臨時帳戶申請表..................112

附錄二、（XX市民政局）業務系統帳戶清單.........................113

二十、補丁管理規定..............................................114

第一章總則......................................................114

第二章適用范圍..................................................114

第三章術語定義..................................................114

第四章組織職責..................................................114

第五章補丁獲取..................................................115

第六章補丁測試..................................................115

第七章補丁驗證和歸檔...........................................116

附錄一業務系統補丁安裝登記表...................................118

二十一、信息系統日志管理規定....................................119

第一章總則......................................................119

第二章適用范圍..................................................119

第三章術語定義..................................................119

第四章組織職責..................................................119

第五章通用要求..................................................119

第六章主機系統日志管理.........................................120

第七章業務系統日志管理.........................................121

第八章設備日志管理.............................................121

二十二、防病毒管理規定..........................................123

第一章總則......................................................123

第二章適用范圍..................................................123

第三章術語定義..................................................123

第四章組織職責..................................................123

第五章防計算機病毒目的.........................................124

第六章防病毒管理內容...........................................125

第七章防病毒應用規定...........................................126

第八章懲罰制度..................................................126

附件:病毒事件報告表............................................127

二十三、信息安全密碼使用管理規定...............................129

第一章總則......................................................129

第二章帳號設立要求.............................................129

第四章口令設立要求.............................................130

第五章變更與取消要求...........................................131

第六章維護要求..................................................133

第七章流程管理要求.............................................135

二十四、變更管理規定............................................138

第一章總則......................................................138

第二章適用范圍..................................................138

第三章術語定義..................................................138

第四章組織職責..................................................139

第五章變更申請..................................................139

第六章變更受理..................................................140

第七章變更方案制訂.............................................140

第八章變更審批..................................................141

第九章變更實施..................................................141

第十章變更匯總..................................................143

第十一章緊急變更................................................144

附錄一變更申請單..............................................145

二十五、備份與恢復管理規定......................................148

第一章總則......................................................148

第二章術語定義..................................................148

第三章職責......................................................148

第四章備份管理..................................................148

第五章備份介質管理.............................................151

第六章備份恢復管理.............................................152

附錄一:業務系統備份數據清單....................................154

二十六、安全事件管理規定........................................161

第一章總則......................................................161

第二章適用范圍..................................................161

第三章術語定義..................................................161

第四章組織職責..................................................161

第五章事件分類..................................................162

第六章事件分級..................................................164

第七章事件監控..................................................165

第八章事件受理..................................................165

第九章事件處置..................................................165

附錄一、信息安全異常現象報告....................................169

附錄二、信息安全事件報告........................................170

二十七、應急預案管理規定........................................173

二十八、軟件管理辦法............................................176

第一章總則......................................................176

第二章適用范圍..................................................176

第三章職責與權限................................................176

第四章軟件管理..................................................176

第五章軟件外包開發.............................................177

第六章軟件使用..................................................177

二十九、信息交付管理規定........................................178

第一章總則......................................................178

第二章安全交付規范.............................................179

第三章人員安全管理.............................................182

附件安全系統交付清單.........................................182

相關術語

1、縮寫

原名稱縮寫名稱備注

2、制度適用范圍:

適用于（XX市民政局）各部門，包括系統維護管理人員、網絡、

服務器、終端、設備、信息系統的專用設備以及物理環境等

3、術語定義

（一）安全策略：是綱領性的安全策略主文檔，描述（XX市民政

局）業務安全目標和管理層意圖、支持目標加指導原則，是

信息安全實踐的根本性和指導性的文件。

（二）信息安全等級保護管理體系是指依據國家信息安全等級保

護的要求建立的系統內進行信息安全管理的制度、方針、策

略、流程、指南、記錄等管理方面的規章制度集合。

（三）信息安全等級保護管理體系是指依據國家信息安全等級保

護的要求建立的系統內進行信息安全管理的制度、方針、策

略、流程、指南、記錄等管理方面的規章制度集合。

（四）安全檢查：指單位內部或外部機構對信息安全整體執行情

況進行的評價活動。安全檢查的依據是單位現行的管理制度、

信息系統安全體系規范和技術標準、有關法律、法規和標準

要求等安全檢查包括安全例行檢查、安全專項檢查等。

（五）安全例行檢查：指按照已制定的檢查周期所作的檢查。

（六）安全專項抽查：指根據單位、監管機構或相關部門要求的

安全運行狀況所作的不定期的抽查。

（七）本單位員工是指單位正式員工，包括試用期員工和借調人

員等。

（A）第三方機構是指所有進入（XX市民政局）內部提供相關技

術服務的非（XX市民政局）單位（包括但不限于供應商、合

作廠商、服務商）。第三方人員分為臨時來訪人員和駐場外包

人員。臨時來訪的第三方人員是指來（XX市民政局）時間周

期較短的人員，包括進行業務交流的人員，臨時來訪參觀的

人員等；駐場外包的第三方人員是指來訪時間較長的第三方

技術服務人員，包括項目建設人員，外來信息系統職守人員，

外來信息系統維護人員等。

（九）存儲介質：指用于單位計算機系統相關業務的電子信息輸

出、存放的物理介質、可移動和不可移動的磁盤、光盤、硬

盤、磁盤陣列等。

（十）帳號是指每個可訪問系統資源的用戶在系統中的標識，可

分為應用系統帳號、操作系統帳號和數據庫帳號等。

（十一）訪問權限是指帳號被賦予的可以訪問系統資源和使用

系統功能的權利。

（十二）超級管理員帳號/特權帳號：指對系統具有超級權限的

帳號，包含但不限于UNIX/Linux的root,WINNT的

administrators紐成員，數據庫的DBA等用戶<>

（十三）普通帳號：用戶用于維護或訪問系統，實現日常操作的

帳號，是最為常見的用戶類型。

（十四）補丁是針對某一個具體的系統漏洞或安全問題而發布

的專門解決該漏洞或安全問題的小程序，通常稱為修補程序。

（十五）日志包括各業務系統中存儲的主機系統日志、設備日志

和業務系統日志等基礎環境日志

（十六）計算機病毒：計算機病毒是人為蓄意編制的一種寄生性

的計算機程序。它能在計算機系統中生存，通過自我復制來

傳播，在一定條件下即被激活，從而給計算機系統造成一定

損害甚至嚴重破壞，有些病毒還能竊取計算機設備中的重要

信息

（十七）信息安全事件是指由于自然或者人為以及軟硬件本身

缺陷或故障的原因，對信息系統造成危害，或對社會造成負

面影響的事件

一、網絡信息安全總體策略

第一章總則

第一條為了加強（XX市民政局）信息系統的網絡安全管理，明確（XX

市民政局）網絡安全管理的總目標和總方向，保護（XX市民政局）系統自

有的信息系統資產，積極預防安全事件的發生，使安全事件的影響最小化，

特制定本策略文件。

第二章術語定義

第二條安全策略：是綱領性的安全策略主文檔，描達（XX市民政局）信

息系統業務安全目標和管理層意圖、支持目標和指導原則，是網絡安全實

踐的根本性和指導性的文件。

第三章組織職責

第三條單位組建網絡安全與信息化領導小組，負責批準網絡安全策略文

件并且保證本文件被執行，同時負責對（XX市民政局）系統網絡安全方面

的指導方向、安全建設等重大問題做出決策，協調各部門安全協同工作，

支持和推動網絡安全工作在整個單位實施。

第四條單位組建網絡安全等級保護工作小組，負責具體執行安全管理策

略文件的建立、實施、運作、監控、評審、維護和改進工作。

第五條單位所有員工有責任了解自身在單位信息安全、網絡安全方面的

職責，并按照網絡安全與信息化領導小組的指示，認真執行相關要求。

KLSDJFDJSFKDJFLFJUFKLFJDKSLFJDSKFJSDKFJDSL

第四章管理原則

第六條網絡安全管理工作實行“積極防范、突出重點、職責到位、保障

業務”和“誰主管、誰負責、誰運營、誰負責”的管理原則。

第五章總體目標

第七條遵守國家相關法律法規，結合（XX市民政局）實際情況，依據現

有管理和文化體系，逐步建設一套適用的、先進的網絡安全管理體系，更

好地保障（XX市民政局）網站、社管平臺等重要信息系統安全、穩定的向

社會公眾提供服務，并滿足單位不斷發展的業務需求。

第六章安全框架

第八條安全管理制度

（一）逐步完善由安全策略、管理制度、操作規程組成的網絡安全管理體

系。

（二）網絡安全策略文件應由管理層審核批準，并公布與傳達給單位所有

人員以及同本單位有業務往來的第三方機構。網絡安全策略文件在規劃

期間內或有重大變更發生時需通過管理層的審查及修訂。

第九條安全管理機構

（一）必須建立網絡安全管理組織，以滿足網絡安全管理體系持續運行的

目標。

（二）加強與第三方機構的溝通和合作，及時獲取相關信息。

KLSDJFDJSFKDJFLFJUFKLFJDKSLFJDSKFJSDKFJDSL

（三）必須建立安全檢查機制，定期對信息系統進行安全檢查。

（四）加強人員錄用和離崗過程的安全管理，并定期對所有人員進行安全

培訓和考核，加強安全意識。

（五）對所有操作或訪問信息資產的第三方機構，必須向其闡明相關的責

任要求，并明確告知其有責任恰當地使用和保護這些信息資產。

第十條系統建設

（一）系統建設初期必須根據系統定級情況進行安全方案設計，對可行性

進行論證。

（二）確保安全和密碼產品采購和使用符合國家的有關規定；并只能選擇

滿足條件的安全服務商。

（三）確保在系統的開發與維護過程中，相關的安全功能和需求已被嵌入

到系統內。在開發新系統時，安全功能應包含在初妗的系統分析與需求

描述中。這些描述必須包括自動的和手動的安全控制。這些控制必須通

過測試，而且能夠整合到正在運行的環境中。

第十一條系統運維

（一）信息系統及其相關的設備在物理上需要受到保護，防止偷竊、濫用、

損壞或未經授權的訪問。

（二）確保信息系統相關的信息資產受到適當保護，所有信息資產必須有

確定的屬主并且根據其敏感度進行分類和控制。

（三）所有信息系統必須制定相應的操作規范，通過對日常操作的管理、

介質的管理、惡意代碼防范控制確保信息系統范圍內信息處理設施的正

確和安全操作。

KLSDJFDJSFKDJFLFJUFKLFJDKSLFJDSKFJSDKFJDSL

（四）對三級系統應建立安全管理中心，對信息資產安全事件實現監控和

響應。

（五）所有信息系統變更應有審批流程，并有完善的恢復流程。

（六）應建立有效的安全事件響應和處理機制，安全事件必須及時的發現、

報告、處理、調查、上報并修正，并且有事后的回顧，以吸取經驗教訓，

避免以后再發生同類型的事件，把損失降到最小。

（七）建立完善應急預案，以確保事故發生時，對業務活動的影響降至最

小。

第七章策略制定與維護

第十二條網絡信息安全策略文件由安全管理員編寫，由網絡安全與信息化

領導小組批準，向所有相關部門、第三方機構和相關人員發布。

第十三條網絡安全與信息化領導小組監督網絡安全活動，是否與策略的目

標一致，達到策略的要求。

第十四條網絡安全與信息化領導小組審查和處理違反安全策略的行為。

第十五條網絡安全等級保護工作小組定期對網絡安全策略進行回顧和評

審（附件一、評審記錄表），確保策略的有效性和可操作性。

KLSDJFDJSFKDJFLFJUFKLFJDKSLFJDSKFJSDKFJDSL

附件一、安全策略評審記錄表

安全策略評審記錄表

日期：年月日

會議名稱

參與人員

評審對象

評審結果

評審意見：審批結果：

網絡安全等級保護工作小組網絡安全與信息化領導小組

KLSDJFDJSFKDJFLFJUFKLFJDKSLFJDSKFJSDKFJDSL

二、信息等級保護體系制定和發布管理規定

第一章總則

第一條為了保證（XX市民政局）信息安全等級保護管理體系的持續性、

時效性以及適應性，滿足業務不斷變化的安全管理的需要，明確信息安全

等級保護體系的制定、發布、評審和修訂等過程中的管理職責，特制定本

規定。

第二章職責

第二條網絡安全與信息化領導小組，職責：

（一）負責規劃、監督、指導網絡安全等級保護管理體系文件的起草、審

查、發布、清理等工作。

（二）負責信息安全等級保護管理體系的評審及修訂后復審工作。

（三）確保信息安全等級保護管理體系能持續恰當和有效地運作。

（四）提供充足的資源和支持，以持續改善信息安全等級保護管理體系。

第三條網絡安全等級保護工作小組，職責：

（一）負責組織管理體系文件的起草、編制、修訂、補充等工作的開展，

并將實施成果向領導小組匯報。

（二）負責啟動和主持等級保護管理體系的管理評審工作。

（三）負責協調相關人員，考導收集評審資料。

（四）確保評審會議所提出的行動項目能在規定的時間內完成，并負責其

相關的監督工作。

（五）負責對評審結果如需進行修訂項協調相關人員進行修訂C

KLSDJFDJSFKDJFLFJUFKLFJDKSLFJDSKFJSDKFJDSL

（六）指派人員負責對修訂措施的執行結果進行驗證。

第四條相關人員，是指（XX市民政局）信息安全等級保護管理體系涉及

的人員。比如：系統管理員、應用管理員、開發管理人員、網絡管理員、

數據管理員、資產管理員和安全管理員等，其職責是：

（一）負責依據管理體系文件的內容進行宣貫、培訓、執行、檢查等工作，

并依據部門情況落實管理體系的要求。

（二）負責協助進行評審。

（三）負責實施修訂措施。

第五章文件起草

第五條（XX市民政局）網絡安全管理體系規范文件由網絡安全等級保護

工作小組負責起草或組織起草。

第六條負責起草的科室應當確定一名熟悉相關內容員工為項目負責人,

如涉及多個部門時，可由有關部門共同派人組成聯合起草小組，由主要起

草部門負責牽頭組織。

第七條起草的規范性文件應當結構嚴謹、內容完備、形式規范、條理清

楚、用詞準確、文字簡潔。

第八條應當明確規定如下內容：

（一）制定的目的和依據；

（二）適用范圍；

（三）術語定義；

（四）組織職責；

KLSDJFDJSFKDJFLFJUFKLFJDKSLFJDSKFJSDKFJDSL

（五）具體管理要求或規定；

（六）必要的附則；

（七）與規范內容相關的資料性附錄和參考性附錄。

第九條報送審查的管理制度送審稿應當由起草部門負責人簽署后報網

絡安全與信息化領導小組審查。幾個部門共同起草的規范送審稿，應當由

起草部門負責人共同簽署后報網絡安全與信息化領導小組審查。

第十條下列材料應當與規范送審稿一并報送網絡安全與信息化領導小

組審查：

（一）起草說明；

（二）與此規范內容有關的規范性文件；

（三）匯總的各方意見；

（四）如需制定實施細則，應當提交實施細則的主要內容和細則擬出臺的

時間；

（五）其他需要報送的材料。

第十一條網絡安全與信息化領導小組主要從以下方面對送審稿進行審查：

（一）是否符合權限和程序；

（二）是否符合原則；

（三）是否與其他規范、標準相協調、銜接；

（四）是否已對有關不同意見進行協調；

KLSDJFDJSFKDJFLFJUFKLFJDKSLFJDSKFJSDKFJDSL

（五）是否具有可行性；

（六）是否符合相關技術要求；

（七）需要審查的其他內容。

第十二條由網絡安全與信息化領導小組對送審稿提出審查結論，對草案涉

及的有關爭議問題以及修改情況作重點說明。由網絡安全與信息化領導小

組負責人簽署的書面審查報告應當反饋起草部門。

第六章文件評審

第十三條（XX市民政局）網絡安全等級保護工作小組定期（至少每年一次）

開展等級保護管理體系的評審工作，以確保整個等級保護管理體系的充分

性、適當性和有效性。

第十四條等級保護管理體系評審內容：

（一）根據業務系統的性質和安全要求，確定（或復審）等級保護管理體

系的范圍，建立（復審）等級保護管理體系，包括網絡安全策略、標準

和程序。

（二）對等級保護管理體系審核結果進行評審，分析導致不符合項的原因。

（三）審查審核對象的反饋信息。

（四）總結已發現的安全事件和漏洞。

（五）審查現行的安全控制措施和相關技術是否有效。

（六）復查修訂措施的實施狀況。

（七）檢查先前管理評審中所定義的措施的實施狀況。

（A）審查改善措施的建議。

KLSDJFDJSFKDJFLFJUFKLFJDKSLFJDSKFJSDKFJDSL

（九）復查業務和法律法規方面的變更。

（十）審查可能影響信息安全等級保護管理體系的任何變更。

（十一）為協調相關網絡安全的實施，評審相關資源的充足性。

第十五條評審工作必須至少每年舉行一次，發生以下情況時，也需要啟動

管理評審工作：

（一）系統業務發生重大變更。

（二）系統網絡安全策略的重大變更。

（三）目前等級保護管理體系的執行不力。

（四）系統等級保護管理體系的范圍發生變更。

（五）相關標準法規發布修訂版本或有變更。

第七章文件發布

第十六條規范草案經網絡安全與信息化領導小組審議并原則通過后，起草

部門根據審議中提出的修改意見對草案進行修改，經網絡安全與信息化領

導小組負責人簽發，以文件形式公布。

第十七條文件的發布應遵照統一的格式，進行版本控制；并應注明發布范

圍，對收發文進行登記。對發布的制度應在《附錄一、（XX市民政局）管理

制度發布記錄表》中進行記錄。

KLSDJFDJSFKDJFLFJUFKLFJDKSLFJDSKFJSDKFJDSL

附錄一、（XX市民政局）管理制度發布記錄表

（XX市民政局）管理制度發布記錄

管理制度名稱制訂者發布者生效時間版本分發范圍失效時間備注

日期：文檔管理人員：審核人：

KLSDJFDJSFKDJFLFJUFKLFJDKSLFJDSKFJSDKFJDSL

三、等級保護體系評審和修訂管理規定

第一章總則

第一條為了保證（XX市民政局）等級保護管理體系的持續性、時效性以

及適應性，滿足單位不斷變化的安全管理的需要，明確等級保護管理體

系的評審和修訂過程中管理職責，特制定本規定。

第二章評審程序

第二條（XX市民政局）網絡安全等級保護工作小組定期（至少每年一次）

開展等級保護管理體系的評審工作，以確保整個等級保護管理體系的充分

性、適當性和有效性。

第三條等級保護管理體系評審內容：

（一）根據具體工作的性質和安全要求，確定（或復審）等級保護管理體

系的范圍，建立（復審）等級保護管理體系，包括網絡安全策略、標準

和程序。

（二）對等級保護管理體系審核結果進行評審，分析導致不符合項的原因。

（三）審查審核對象的反饋信息。

（四）總結已發現的安全事件和漏洞。

（五）審查現行的安全控制措施和相關技術是否有效。

（六）復查修訂措施的實施狀況。

（七）檢查先前管理評審中所定義的措施的實施狀況。

（A）審查改善措施的建議。

（九）復杳業務和法律法規方面的變更c

KLSDJFDJSFKDJFLFJUFKLFJDKSLFJDSKFJSDKFJDSL

（十）審查可能影響等級保獷管理體系的任何變更。

（十一）為協調相關網絡安全的實施，評審相關資源的充足性。

第四條評審工作必須至少每年舉行一次，發生以下情況時，也需要啟動

管理評審工作：

（一）系統業務發生重大變更。

（二）系統網絡安全策略的重大變更。

（三）目前等級保護管理體系的執行不力。

（四）系統等級保護管理體系的范圍發生變更。

（五）相關標準法規發布修訂版本或有變更。

（六）評審工作的會議記錄均需歸檔，以保存正式的記錄。

第三章修訂程序

第五條問題的識別及確認，采取修訂措施可能由以r原因，包括但不限

于：

（一）來自系統等級保護管理體系的相關工作人員的反饋信息或調查申請。

（二）網絡安全管理評審的會議討論中發現的問題。

（三）等級保護管理體系的審核發現的不符合項。

第六條調查問題的起因：

（一）由網絡安全等級保護工作小組指派專門的人員負責對問題進行分析

調查并確認問題的起因。

（二）調查人員需提供盡可能多的關于整個問題調查的詳細結果。作為修

訂措施報告的一部分，也可以提供一些額外的補充信息。

第七條執行修訂措施：

KLSDJFDJSFKDJFLFJUFKLFJDKSLFJDSKFJSDKFJDSL

（一）基于所調查出的問題起因，需確認并實施相應措施或對事故進行調

查研究，負責上述行動的執行者需確保更新任何相關的文件或管理流程。

比如：

＞準備制定或更新相關管理程序。

＞培訓/通知相關人員知曉。

（二）執行人員負責跟蹤所執行修訂措施的效果。一旦發現效果不如預期，

其相關負責人需進行評估分析并就進一步的應對措施進行確認。執行人

員必須確保所實施的修訂措施是可證實和可驗證的，并保證修訂措施的

報告中都有詳細說明。

第八條措施的驗證：

（一）如果驗證出所采取的措施是達到預期效果的，貝］修訂措施才算是成

功，可以結束跟蹤，驗證階段包括以下兩個部分：

＞對所規定修訂措施的執行程度進行驗證。

＞對修訂措施的執行效果進行驗證。

（二）措施驗證的結果必須中有詳細的說明，且對相關記錄進行保存。

KLSDJFDJSFKDJFLFJUFKLFJDKSLFJDSKFJSDKFJDSL

四、信息安全管理組織架構

第一章總則

第一條為加強（XX市民政局）信息安全管理工作的組織協調，建立健全

等級保護管理制度和運行機制，切實提高（XX市民政局）信息安全管理

工作水平，根據《信息安全等級保護管理辦法（公通字[2007]43號）》

要求，制定本規范

第二章組織目標

第二條本實施規則旨在實現信息安全管理的以下目標：

（一）管理組織內的信息安全工作；

（二）管理外部組織訪問組織內信息處理設施和信息資產的安全。

第三章信息安全組織架構

第三條為加強對（XX市民政局）信息安全管理工作的領導，貫徹落實信

息安全的要求及安徽省公安廳《關于開展信息安全管理專項檢查工作的

通知》的有關要求，經研究，決定成立（XX市民政局）網絡安全與信息

化領導小組（以下簡稱領導小組）

第四條成立領導小組，作為信息安全管理工作的最高管理機構，領導小

組下設（XX市民政局）系統信息安全管理工作小組，

第五條領導小組由（XX市民政局）書記擔任組長，副書記擔任副組長,

領導小組主要成員為隊伍建設指導科科長及各相關部門安全主管領導。

第六條信息安全管理工作小組負責（XX市民政局）信息安全管理的具體

KLSDJFDJSFKDJFLFJUFKLFJDKSLFJDSKFJSDKFJDSL

執行工作。工作小組組長由領導小組指定的隊伍建設指導科科長兼任。

設置一名副組長負責具體工作，對各部門信息安全技術的實施進行指導

與審查。信息安全工作小組成員還包括各部門信息化負責人。

第七條隊伍建設指導科作為信息安全工作的具體執行部門，各科室主

要負責人為本科室信息安全管理工作的第一責任人，并應指定一名信息

安全管理員作為信息安全工作聯絡員，負責本科室內的有關信息安全管

理工作。

第四章組織的信息安全職責描述

第八條網絡安全與信息化領導小組的職責包括：

（一）根據國家、省、市級網絡安全的總體要求，結合（XX市民政局）的實際

情況，統一領導（XX市民政局）信息安全管理的相關工作；

（二）負責協調（XX市民政局）內部管理工作，分配信息安全管理目標、職責，

并支持和推動信息安全工作在單位內的實施；

（三）負責對與信息安全管理有關的重大事項進行決策，包括安全組織機構調整、

以及信息安全管理重大策略變更；

（四）組織審定和發布單位信息安全的發展戰略、總體規劃、重大政策、管理規

范和技術標準；

（五）評審與監督重大信息安全事故