奔跑的老吴

（一） 先行处置，密码安全突发事件发生后，按照规定立即向上级报告的同时，应当立即启动本单位安全事件处置机制，组织应急处置工作组人员采取应急处置措施，尽最大努力恢复密码设备系统的运行，尽可能减少对用户和社会的影响，同时注意保存密码攻击、入侵或病毒的证据。安全事件风险评估，通过多种途径监测、收集密码设备漏洞病毒、唯密文攻击、侧信道攻击、差分类攻击、线性类攻击、模差分攻击、中间相遇攻击、协议攻击、代数攻击等密码安全隐患和预警信息，对发生突发事件的可能性及其可能造成的影响进行分析评估。

调查和评估：在应急处置工作结束后，及时向信息系统主管部门及归属的密码管理部门（XXX密码管理局）报告事件发生情况及处置情况，主管部门应立即组织有关人员和专家组成事件调查组，在当地政府及其有关部门的配合下，对事件发生及其处置过程进行全面的调查，查清事件发生的原因及财产损失状况和总结经验教训，并根据问责制的有关规定，对有关责任人员做出处理。事发部门应对事件进行动态监测，评估，及时将事件的性质、危害程度和损失情况及处置工作等情况按局委、局政府紧急信息报送的有关规定，及时报局协调小组办公室，不得隐瞒、缓报、谎报。

对于批处理作业等后台操作、涉及客户账务和资金风险的技术操作不得采取远程登录方式访问系统，同时应遵循谨慎操作、双人复核的原则，确认无误后方可执行操作命令，必须对处理结果进行检查、审核，并做好操作记录。网络和系统用户口令管理策略和口令的申请、审批、发放、回收、修改管理流程。在使用密码保障信息系统的安全时，对所用密钥生命周期的全过程（密钥的产生、存储、分配、使用、废除、归档、销毁）应实施严格的安全保密管理。防病毒网关、入侵检测、漏洞扫描、VPN、加密机、认证授权等信息安全设备的操作，严格管理维护和维修过程。

为了保证本单位的密码应用安全运行联合单位各部门组建专门的密码应用安全管理组织机构，组织主要分为：密码应用安全组织委员会、密码应用安全工作组、密码应用安全应急处置组。为健全和完善单位密码应用安全的规章制度体系，加强单位密码应用安全规章制度的管理工作，促进单位管理实现制度化、流程化、规范化，提高工作效率，保证密码应用安全工作质量，建立简捷、实用、高效、统一的制度管理体系，使密码应用安全规章制度保持合理性、适用性、有效性和执行力，密码应用安全组织委员会负责本单位密码应用制度体系建设及管理工作。

XXX部门XXX部门密钥生成□密钥销毁□密钥装载和启用□密钥分发□业务部门负责人意见：负责人签字：年月日部门负责人意见：负责人签字：年月日结果确认密码操作员意见负责人签字：密钥管理员意见负责人签字：密码审计员意见负责人签字：部门负责人意见：负责人签字：年月日密码审计员意见：负责人签字：年月日。

c)高级管理员为最高权限人，设定权限为完全控制，即拥有对所有用户名及密钥管理，查看系统运行日志，拥有对服务器、终端的所有权限管理，即对绝密、机密、秘密资料拥有权限、创建、删除、添加、编辑、更新、运行、读取、拷贝及其他操作权；b)设定内容中，完全控制是指对VPN虚拟专网中服务器（包括系统服务器、镜像服务器、应用服务器和管理服务器）、终端（包括工作终端和用户终端）有绝对控制权，包括IP地址、网关、DNS服务器地址、超级用户密码、系统库密码、操作系统、程序、信息数据的设定、修改、删除权利等；

各部门提交部门年度软件正版化工作情况，综合部汇总XXXXX单位年度软件正版化工作总结，重点是软件正版化工作责任落实、软件采购、软件使用管理、督促检查等情况，填写《软件正版化工作信息统计表》。为加强XXXXX单位软件正版化管理，推进软件正版化工作规范化和标准化，根据国家和省市软件版权有关文件规定，结合XXXXX单位工作实际，制定本制度。各部门主要负责人是本部门软件正版化工作的第一责任人，负责配合综合部做好软件正版化工作，督促本部门工作人员严格遵守软件正版化工作相关规章制度。

凡因违规操作、使用不当、管理不善等人为原因，造成设备损坏、数据丢失或泄漏，直接责任人需承担一定责任，情节严重的给予通报批评。为规范XXXXX单位员工在使用计算机终端过程中的行为，提高计算机终端的安全性，确保员工安全使用计算机终端，特制定本制度。终端管理按照“谁使用谁负责”的原则，计算机终端使用人为第一责任人，有责任和义务保证所使用的设备完好，确保设备安全。本规定适用于在XXXXX单位使用计算机终端的所有员工，包括内部终端和外部终端。本管理制度由XXXXX单位负责解释，自发布之日起实施。

主要包括灾难恢复需求的确定，灾难恢复策略的制定，灾难恢复策略的实现，灾难恢复预案的制定、落实和管理。灾难恢复日常运行组的主要职责是负责协助灾难恢复系统实施，灾难备份中心日常管理，灾难备份系统的运行和维护，灾难恢复的专业技术支持，参与和协助灾难恢复预案的教育、培训和演练，维护和管理灾难恢复预案，灾难发生后信息系统和业务功能的恢复。灾难恢复规划实施组的主要职责是负责灾难恢复的需求分析，提出灾难恢复策略和等级，灾难恢复策略的实现，制定灾难恢复预案，组织实验恢复预案的测试和演练。

对于在线业务系统的风险评估，应采用最小影响原则，即首要保障业务系统的稳定运行，而对于需要进行攻击性测试的工作内容，需与用户沟通并进行应急备份，同时选择避开业务的高峰时间进行。信息安全风险评估应以被评估组织的关键业务作为评估工作的核心，把涉及这些业务的相关网络与系统，包括基础网络、业务网络、应用基础平台、业务应用平台等作为评估的重点。评估方应事先在评估工作沟通会议中向用户介绍评估服务流程，明确需要得到被评估组织协作的工作内容，确保安全评估服务工作的顺利进行。

从云计算平台迁移出的数据，不仅包括XXXXX单位移交给云服务商的数据和资料，还应包括XXXXX单位业务系统在云计算平台上运行期间产生、收集的数据以及相关文档资料，如数据文件、程序代码、说明书、技术资料、运行日志等。与云服务商签订合同时，应该全面考虑采用云计算服务可能面临的安全风险，并通过合同对管理、技术、人员等进行约定，要求云服务商为XXXXX单位提供安全、可靠的服务。在运行监管活动中，XXXXX单位、云服务商的任何一方发现安全事件，都应及时通知对方，云服务商应及时对安全事件进行处置。

为保证XXXXX单位主要的网络设备、安全设备、主机和应用系统的安全日志都能得到完整和准确的收集，规范日志管理，便于日后管理与分析，特制订本管理规定。网络管理人员、系统管理员应该按照信息系统日志审计管理规定做好日志审计管理工作。主要设备:常见网络设备、安全设备、操作系统、数据库的安全日志。本管理制度由XXXXX单位负责解释，自发布之日起实施。主要应用系统:主要应用系统的安全日志。系统、服务器日志检查分析记录。

结合现有信息安全管理现状，网络安全与信息化管理部门负责整合现有的信息安全管理技术解决方案，初步建成XXXXX单位的信息安全监控和管理中心。安全和监控中心管理制度的建立旨在实现XXXXX单位以资产和风险为核心的安全风险监控管理，并将之规范化、常态化。本规范适用于XXXXX单位对于信息系统的综合安全管理、风险监控管理，主要适用于XXXXX单位员的日常综合管理。通过XXXXX单位现在的安管平台，对安全日志和网络流进行分析达到集中安全监控和管理的目的。本管理制度由XXXXX单位负责解释，自发布之日起实施。

判断攻击的来源与性质，关闭影响安全与稳定的网络设备和服务器设备，断开信息系统与攻击来源的网络物理连接，跟踪并锁定攻击来源的IP地址或其它网络用户信息，修复被破坏的信息，恢复信息系统。事件的基本信息（故障发生的时间、故障点、故障情况）、事件的类型、表现出来的现象、涉及的网络，事件当前的状态及可能造成的后果，以及事件解决的建议和措施。事件的基本信息（故障发生的时间、故障点、故障情况）、事件的类型、表现出来的现象、涉及的网络，事件当前的状态及可能造成的后果，以及事件解决的建议和措施。

为了严密规范XXXXX单位信息系统的安全事件处理程序，确保各业务系统的正常运行和系统及网络的安全事件得到及时响应、处理和跟进，保障网络和系统持续安全运行，确保XXXXX单位重要计算机信息系统的实体安全、运行安全和数据安全，最大限度地减轻网络与信息安全突发公共事件的危害，保障XXX市人民的财产安全，保护公众利益，维护正常的政治、经济和社会秩序，特制订本管理制度。信息安全事故应进行备案管理，重大以上的信息安全事故由信息安全领导小组备案，其他信息安全事故由网络安全与信息化管理部门和各业务部门进行备案。

为规范XXXXX单位的数据备份与恢复管理，加强数据备份与恢复工作的日常管理及考核水平，保障系统安全稳定运行，明确管理责任，特制定本制度。数据恢复指当数据存储设备物理损坏或由于人员误操作、操作系统故障导致数据不可见、无法读取、丢失等情况，通过已有的数据备份将数据复原的过程。系统集成商和原厂商：负责提供存储备份系统的售后技术支持与服务，包括系统调优并对日常运行维护中的技术难点提供解决方案与支持。系统管理员：负责存储备份系统的管理，包括存储设备的规划和空间分配管理、制订备份恢复策略、组织实施备份恢复工作等。

紧急事件变更流程的变更处理同一般问题变更流程，包括分析、设计、实施、测试、验收，但需使用专设系统用户账号进行紧急事件变更，并进行明确的紧急事件变更文档记录。各业务部门信息系统使用和维护人员按照本办法发起和进行各信息系统的变更，网络安全与信息化管理部门系统管理员和网络管理员按照本办法发起或受理各信息系统的变更，并就相关变更的执行过程进行控制。计算机管理员根据问题信息，进行问题的初步诊断，如有可能，对问题原因进行分析定位，并给出解决问题的建议。a)通过调试环境的访问控制，限制对调试环境的访问；

网络安全与信息化管理部门系统管理员负责计算机病毒防治的日常管理工作，负责计算机病毒的监控、处理、汇总、通报、上报等工作，负责计算机杀毒软件的安装、升级、运行、监控和维护等工作。本制度所称的计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。本制度所称计算机病毒疫情，是指某种计算机病毒爆发、流行的时间、范围、破坏特点、破坏后果等情况的报告或者预报。本办法适用于XXXXX单位的信息系统及未联网计算机的病毒防治管理工作。

为推动XXXXX单位系统安全管理的规范化、程序化、制度化，应按信息系统安全等级保护的相关要求，依据系统的保护等级，落实各系统各项的防护措施，进一步加强系统安全性，保障信息网络的安全、稳定运行，特制订本制度。应根据国家等级保护相关技术文档对系统的安全策略、授权访问、最小服务、升级与打补丁、系统账户（用户责任、义务、风险、权限审批、权限分配、账户注销等进行提升，并形成主机安全加固报告。数据库系统的宿主操作系统除提供数据库服务外，不得提供其它网络服务，如：WWW、FTP、DNS等。

为了进一步规范XXXXX单位信息系统风险管理活动，提升风险管理工作的可操纵性和适用性，使信息网络正常运行，防止网络攻击，保证业务的正常进行，依据XXXXX单位员的相关规范和标准规定，特制定本管理制度。网络安全与信息化管理部门部署有漏洞扫描系统，能在各层面对XXXXX单位网络进行安全扫描漏洞检测，漏洞扫描系统每星期至少进行一次安全扫描并输出报表，每月进行一次总结。本制度所称的安全漏洞扫描是针对业务系统、业务系统服务器、网络设备进行安全漏洞扫描，及时发现信息系统中存在的各种安全隐患和应用系统的漏洞。

为防止XXXXX单位信息资产、涉密信息因存储介质的误用、滥用、非法使用、非法公开和保管不善而导致的信息数据泄露、损坏、丢失、感染病毒和业务中断等情况，根据XXXXX单位信息安全建设及保密工作需要，对介质进行管理控制和物理保护，特制定本制度。本办法适用于XXXXX单位介质在复制、迁移、重复使用、保存及废弃等方面的处置，其中介质通常指U盘、移动硬盘、数码相机、光盘、磁带、软盘、其他可存储信息数据的电子设备以及含有重要资讯的资料（卡片、稿纸等）等。信息的清除应该尽可能的使用不可恢复的清除方式进行彻底删除。

信息资产设备由网络安全与信息化管理部门负责统一管理维护，主要包括服务器、网络资产设备、安全资产设备、通信资产设备、存储资产设备、终端资产设备、计算机外围资产设备、网络综合布线工程、机房工程、光碟、磁带、硬盘、各种系统软件和应用软件等。XXXXX单位各部门根据业务流程列出信息资产清单并将每项资产的资产类别、信息资产编号、资产现有编号、资产名称、所属部门、管理者、使用者、地点等相关信息记录在资产清单上。安全设备：硬件防火墙、入侵检测、网络隔离设备（如网闸）、负载均衡设备、身份验证、SOC、UTM等；

非本单位工作人员进入机房从事业务工作，必须经技术部部长同意，并在技术部人员陪同下登记《出入机房登记表》（附件1）后进入机房，技术部人员必须全程陪同外来人员，并负责其行为安全，对违章者有权制止其违章行为，并及时向主管领导反映。为进一步规范XXXXX单位机房安全管理工作，防止未经授权的访问，做好机房的防火、防盗等工作，确保XXXXX单位机房物理设施的安全，制定本制度。技术部定期对门禁系统的使用、运行情况进行检查，如门的锁定功能是否完好，门禁感应卡的使用、发放情况是否正常，如发现故障，应通知供应商上门维修。

办公桌面应该按相关制度进行管理，人员离开办公桌时，禁止将公司的信息文件及资 料放在办公桌面上，防止信息资料的丢失及泄漏。不在办公区接待来访人员，没有专门接待区域的办公区域应在办公区域划分临时的接待区，临时接待区要尽量远离办公机器，临时接待区的接待要尽量不影响办公区域其他人员的正常办公。对于无接待人员陪同的陌生外来人员，每个办公区域的办公人员均有义务主动询问，落实其身份和目的，并交由相关人员接待或处理。外来人员出入办公区域，必须有正式授权，经过办公区域所在部门负责人批准。

对于一些不符合上文所说的系统集成商和安全服务商资质的供应商，如有一定的特定优势(如，服务口碑好有SLA服务保障，有环保节能产品优势，有高新技术企业优势等)可以酌情考虑加入服务供应商列表。系统符合国家相关法律、法规，按照相关主管部门的技术管理规定对非法信息和恶意代码进行有效控制，按照有关规定对设备进行控制，使之不被作为非法攻击的跳板。较小项目由网络安全与信息化管理部门负责服务商选择，较大项目的服务商选择，可通过招标方式由招标小组进行选择，但须遵循本管理办法的要求。没有发生主业变化期限要求。

本规范适用于XXXXX单位项目管理、工程管理过程中的系统交付管理，对项目管理和工程管理过程中的系统交付管理环节进行规范和约定。系统交付工作由网络安全与信息化管理部门、系统交付商共同参与，双方签字后，交付物交由XXXXX单位管理。制定项目培训计划，对系统运维人员进行技能培训，目标是经过培训的系统运维人员能胜任日常的运维工作；为规范XXXXX单位系统建设管理和工程实施管理过程中的系统交付管理，特制订本管理制度。制定详细的系统交付清单，对照系统交付清单，对交付的设备、软件和文档进行清点；

安全建设整改工程实施的组织管理工作包括落实安全建设整改的责任部门和人员，保证建设资金足额到位，选择符合要求的安全建设整改服务商，采购符合要求的信息安全产品，管理和控制安全功能开发、集成过程的质量等方面。实施流程管理、进度规划控制和工程质量控制可参照《GB/T 20282—2006信息系统安全工程管理要求》中第8、9、10章提出的工程实施、项目实施和安全工程流程控制要求，实现相应等级的工程目标和要求。信息系统建设管理和工程实施管理，在工程实施各个环节按照信息安全等级保护要求进行管理，特制定本管理制度。

脆弱性分析：应分析所采取的安全对策的完备性（安全对策是否可以满足所有的安全需求）以及安全对策之间的依赖关系。系统用户指南：必须包含两方面的内容：首先，它必须解释那些用户可见的安全功能的用途以及如何使用它们，这样用户可以持续有效地保护他们的信息；测试通过后，由项目应用单位组织进入试运行阶段，应有一系列的安全措施来维护系统安全，它包括处理系统在现场运行时的安全问题和采取措施保证系统的安全水平在系统运行期间不会下降。监测系统物理和功能配置，包括运行过程，因为一些不太显眼的改变可能影响系统的安全风险。

此外，对于任何非受控的外部系统，都不要假定其安全性。恶意的攻击者会尝试在用户界面或接口中向系统输入恶意数据，以便期望绕过系统的安全限制，致使系统出甚至崩溃或其他非法目的，因此在编码时，须要对所有输入数据 (包括用户在界面中输入的数据和其他应用系统通过接口传递的数据)进行严格的合法性检查。要避免此问题，则必须对系统输入数据进行严格的长度检查，废弃或截断超长的越界数据，同时利用基础库函数中的一些更为安全的字符串处理函数来处理数据，也可以利用编译器或代码复查工具提供的检查功能来尽早发现可能会产生问题的程序。

为推动XXXXX单位的信息系统管理的规范化、程序化、制度化，加强XXXXX单位的业务外包管理，规范业务外包行为，防范业务外包风险，进一步加强应用软件开发的安全性，保障信息网络的安全、稳定运行，根据有关法律法规和相关控制要求，特制定本制度。软件安全测试阶段需模拟恶意输入，即创建恶意的输入数据，模拟软件被恶意攻击时的行为。2) XXXXX单位提出外包要求，并组织对外包要求的审核，确定后将细节要求纳入外包开发合同。3) XXXXX单位实施对外包过程的控制，并组织在项目结束时对外包供方的评估。

如确有必要，除有书面申请外，可采取由机构内部人员代为操作的方式，对结果进行必要的过滤后再提供第三方人员，并进行审计；4)非本单位工作人员进入机房从事业务工作，必须经技术部部长同意，并在技术部人员陪同下登记《进出机房登记表》（附件1）后进入机房，技术部人员必须全程陪同外来人员，并负责其行为安全，对违章者有权制止其违章行为，并及时向主管领导反映。6)进入机房大门后，临时进出机房人员应在前台的《进出机房登记表》（附件2）中登记人员信息，机房管理人员应全程陪同，并负责其行为安全，如发现问题应及时向系统技术部反映。

网络安全与信息化管理部门负责制订各类岗位和人员的信息安全相关培训计划，并按照计划执行各种形式的信息安全培训。各部门主管协助网络安全与信息化管理部门开展覆盖本部门范围的相关安全培训，全体职工积极参加网络安全与信息化管理部门组织的各类信息安全培训。为加强XXXXX单位员工的信息安全培训，提高局全体职工信息安全意识和信息安全技能，保证员工能够胜任本职工作，提升员工综合能力，特制定本管理制度。信息系统相关人员的安全意识培训、安全技能培训管理。培训之后，应针对培训内容对培训人员做必要的测试考核，以检验培训的效果。

信息安全工作小组的安全检查和审核主要内容包括：系统日常运行情况（就安全管理员的日常检查情况进行汇总）、系统漏洞、数据备份情况、现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。信息安全工作小组可在安全管理员检查的基础上不定期的进行信息安全抽查，或者组织全系统范围内的全面安全检查，但最少应每半年做一次全面的安全检查。（a）评审员与受审员一起确认审计计划和所采用的审计方式，如在审计的内容上有异议，受审员应提出声明（例如：限制可访问的人员、可调查的系统等）；

未经甲方书面同意，不得以泄露、公布、发布、出版、传授、转让或者其他任何方式向任何第三方（包括按照保密制度的规定不得知悉该项秘密范围内信息数据的乙方的其他职员）知悉、使用属于甲方或者虽属于第三方但甲方承诺有保密义务的工作秘密范围内的数据，不得在参与本项目工作之外使用这些秘密信息。甲方的保密规章、制度没有规定或者规定不明确之处，乙方亦应本着谨慎、诚实的态度，采取任何必要、合理的措施，维护其于项目实施期间知悉或者持有的任何属于甲方或者虽属于第三方但甲方承诺有保密义务的工作秘密范围内的信息数据，以保持其机密性。

常务副组长为网络和信息安全工作的重要责任人，负责督促网络和信息安全日常工作的具体落实，组织相关人员制定安全系统的技术标准、规范与规程及信息安全策略，监督管理安全系统的建设；为更好的实现对XXXXX单位信息系统的安全管理，促进各项制度、措施的落实，XXXXX单位决定成立以信息安全领导小组为管理机构、信息安全工作小组为执行机构的组织架构，负责XXXXX单位信息安全建设及防护。5）负责组织协调信息安全的教育、培训，提高内部人员的信息安全意识，提高技术人员的安全技能，提高管理人员的安全管理能力。

3、听取专家的建议，确定合适的保护级别，选择能够提供所需保护的合适的工具。本规范所称数据，是指XXXXX单位各部门（以下简称XXXXX单位各部门）在履行职能过程中产生或采集(含汇集)的，以一定形式记录、保存的文件、资料、图表、数据等各类非涉密数据，包括直接或通过第三方采集和授权管理的数据，通过信息共享等方式获取的其他部门数据，以及依托信息系统形成的数据等。数据需求方在清除和销毁数据时，须保证清除和销毁的彻底性，记录销毁的操作时间、操作人、操作方式、数据内容等相关信息，并接受数据提供方安全管理人员审计。

应在登录过程中确保鉴别信息是保密的，不易伪造的。1）设置应用系统审计管理员、系统管理员角色、系统安全管理员角色，并且实现不同管理员的权限分离，仅授予管理员用户所需的最小权限，同时系统审计管理员角色与系统管理员角色、系统安全管理员角色不能是同一人担任。1）对应用系统进行管理时，应采取一定的安全机制，防止鉴别信息和管理数据在网络传输过程中被窃听。3）应用系统的安装目录和文件的访问权限应进行最小化设置，防止未授权用户访问相关资源。1）应为应用系统建立独立的日志审计系统，定义与应用安全相关的日志审计事件记录。

总体遵循“谁主管谁负责，谁运营、谁负责，谁使用谁负责，谁接入谁负责”的总原则。网络安全与信息化管理部门作为信息安全管理和运维部门负有管理职能，负责制定XXXXX单位主机安全管理实施细则、推进并落实各项主机管理工作，并定期检查各部门对于本规范的执行情况。8）信息保存：主机上不允许以任何形式保存与系统、应用、设备登录相关的帐号口令信息，不允许保留从系统中导出的客户信息。为规范XXXXX单位各类主机设备的安全运维操作，确保各类主机设备在安全可控的前提下实现对XXXXX单位网络和系统的使用与维护，特制定本规范。

5）计算机发现病毒或木马后，应立即断开网络环境，及时对感染病毒或木马的计算机进行病毒查杀处理，并向网络安全管理员报告相关处理情况。6）在同一时间段范围内，超过10％的计算机出现同种病毒，应进行网络安全与信息化管理部门内部通报告警，且启动《防病毒处理应急预案》，严重情况下应对染毒计算机断开网络，避免病毒进一步扩散。为加强XXXXX单位信息系统网络部分的安全防治工作，预防和控制计算机网络的危害，保护XXXXX单位的网络安全，降低网络漏洞所带来的风险，保障信息系统的安全与可靠性，特制定本制度。

4）持续改进原则：安全管理是一种动态反馈过程，贯穿整个安全管理的生命周期，随着安全需求和系统脆弱性的时空分布变化，威胁程度的提高，系统环境的变化以及对系统安全认识的深化等，应及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级，维护和持续改进信息安全管理体系的有效性；7）管理与技术并重原则：坚持积极防御和综合防范，全面提高信息系统安全防护能力，立足国情，采用管理与技术相结合，管理科学性和技术前瞻性结合的方法，保障信息系统的安全性达到所要求的目标。