信息安全管理制度

=====WORD完整版----可編輯----專業資料分享=====

----完整版學習資料分享----

網絡信息安全管理制度

第一章總則

第一條為了加強信息管理，規范信息安全操作行為，提高信

息安全保障能力和水平，維護信息安全，促進信息化建設，根據《中

華人民共和國計算機信息系統安全保護條例》等規定，以《環境

信息網絡管理維護規范》（環保部制定）等標準為基本管理操作準則，

制訂本管理制度。

第二條本制度適用范圍為信息與監控中心，其他單位可參照

執行。

第二章崗位管理

第三條業務信息工作人員（包括監控與信息中心技術人員及

機關業務系統管理人員）、機房運維人員（包括外包機構人員），應

遵循《環境信息網絡管理維護規范》等規定。

第四條機房運維人員根據運維合同規定由機房管理部門對

其實行管理。

第五條信息工作人員崗位設置為系統管理員、業務管理員、

網絡管理員、安全管理員、安全審計員。

人員崗位及職責

（一）系統管理員

=====WORD完整版----可編輯----專業資料分享=====

----完整版學習資料分享----

系統管理員是從事服務器及存儲設備運行管理的人員，業務上

應具備熟練掌握操作系統、熟練操作服務器和存儲設備的能力。

1、負責指定的服務器、存儲等設備的資料登記、軟件保管及

設備報修。

2、配合完成指定的業務軟件運行環境的建立，正式運行后的服務器

系統軟硬件操作的監管，執行中心的備份策略。

3、在所負責的的服務器、存儲設備發生硬件故障時,及時組織

有關人員恢復系統的運行,針對系統事故找到系統事故原因。

4、負責指定的服務器操作系統的管理口令修改。

5、負責制定、執行服務器及存儲設備故障應急預案。

（二）業務管理員（業務聯系人）

業務管理員是部署在應用服務器上的操作系統及業務系統運行

管理的人員，業務上應具備業務系統安裝及基本調試操作的能力（業

務軟件廠家負責培訓），業務系統及部署操作系統故障分析的能力，

預防系統風險的能力。

1、負責維護業務系統的運行及業務系統的安裝環境。

2、負責制定、執行業務系統及其數據的備份計劃。

3、負責業務數據的數據備份及數據恢復。

4、負責制定執行本業務系統的故障應急預案。

（三）網絡管理員

網絡管理員是網絡及網絡設備運行管理的管理人員，業務上應

具備規劃大型網絡的能力，網絡故障分析的能力。

1、負責日常監控網絡運行，保持網絡安全、穩定、暢通。

=====WORD完整版----可編輯----專業資料分享=====

----完整版學習資料分享----

2、負責網絡、安全設備的資料登記，軟件保管及設備維修。

3、負責網絡、安全設備的配置情況及針對相關業務配置參數

設置，并備份各個設備的配置文件。

4、負責網絡、安全設備的編號和調配。

5、負責網絡資源規劃和網絡布線配線架的管理。

6、負責對網絡的效能進行評價，提出網絡結構、網絡技術和

網絡管理的改進措施。

7、負責制定和執行網絡故障應急預案。

（四）安全管理員

安全管理員是網絡安全、系統安全進行風險評估的管理人員，

業務上應具備文字處理的能力、劃分系統保護定級及系統恢復定級

的能力、協調溝通的能力。

1、負責定期對網絡、操作系統等進行安全漏洞掃描，通知各

相關技術人員并給予指導。

2、負責組織實施信息安全風險評估，報告。

3、負責組織人員進行安全培訓。

4、負責確定系統保護定級和劃分系統恢復等級。

5、負責配合省公安廳和經信委的信息安全檢查。

（五）安全審計員

安全審計員是審計網絡安全策略、安全防護、角色權限的管理

人員。業務上應具備辦公及應用軟件安全分析的能力、系統安全風

險策略及數據安全風險策略分析的能力、組織協調的能力。

1、負責辦公軟件和應用軟件的安裝和維護。

=====WORD完整版----可編輯----專業資料分享=====

----完整版學習資料分享----

2、負責重要系統的用戶角色權限的審計。網絡安全、病毒防

護的審計。

3、負責數據備份與災難恢復的審計。

4、協助進行網絡帶寬分配、網絡訪問控制、網絡安全審計、網絡邊

界完整性、網絡入侵防范、網絡惡意代碼防范、地址綁定等安全功

能進行測試。

5、負責重要系統軟硬件獲取應用的審計。

6、負責應急預案的審計，并組織應急演練。

第六條信息工作人員與機房運維人員都必須遵守《山東省環

境保護廳環境信息網絡管理維護規范》，簽訂信息安全責任書。

第七條對違反信息安全操作規范或嚴重疏忽，根據造成的后

果的大小，可對信息工作人員的當年年度考核評定為不合格或職務

晉升、評選先進等實行一票否決。人事關系隸屬其他部門人員通知

相關部門負責人，根據廳有關規定進行處理。造成重大事故，構成

犯罪的，將追究刑事責任。

第八條信息工作人員離崗必須交接的內容：

1、將領用的辦公電腦、U盤、移動硬盤等辦公品辦理退還手續。

2、本崗位所有的工作資料。

3、經辦未了的事項。

第九條離崗交接要求

1、離崗人員必須認真填寫離崗表格資料，填寫資料字跡要清晰。

2、離崗表格資料由信息主管部門負責對離崗人員材料進行評

審。

=====WORD完整版----可編輯----專業資料分享=====

----完整版學習資料分享----

3、資料、文件、未完工作交接時，需由信息主管部門確定監交

人，監督移交是否完整、準確，并幫助移交工作順利完成。資料交

接清單必須有移交人、交接人以及監交人三方的簽字認可。

4、離崗交接未通過評審者，人事部門不得為其辦理離職手續。

5、交接時可能會出現資料交接不完全，人員離崗后，信息主管

部門保留對移交人的追索權力。

第十條根據《信息安全等級保護檢查工作規范》的規定，信

息部門每年舉辦一次信息安全技術培訓。

第三章網絡管理

第十一條根據《山東省環境保護廳環境信息網絡管理維護規

范》標準，網絡管理員每天檢查網絡設備的運行情況。

第十二條網絡管理員日常檢查各網絡運行狀態，記錄網絡運

行各項參數。

日常檢查內網管理軟件、網絡與安全管理軟件的運行情況。及

時執行網絡與安全管理軟件升級維護，并記錄網絡安全日常維護表。

第十三條網絡管理員配合安全審計員定期對網絡帶寬分配、

網絡訪問控制、網絡安全審計、網絡邊界完整性、網絡入侵防范、

網絡惡意代碼防范、地址綁定等安全功能進行測試。

第十四條網絡資源及網絡參數變更，必須有機房負責人進行

審批。

第十五條出現網絡異常，網絡管理員及時報告機房負責人，

=====WORD完整版----可編輯----專業資料分享=====

----完整版學習資料分享----

核實原因。如網絡出現故障或事故，應按照《信息安全應急預案》

處理，及時維修、更換備機。

第十六條網絡、安全設備接入網絡，必須經過運維管理部門

審批。發現私自接入網絡行為的，給予警告、記過處分，造成不良

后果的，可以撤職。

第十七條利用網絡從事非法活動的，將根據有關法律法規，

追究責任。

第四章系統管理

第十八條根據“誰應用，誰負責”的原則，確定每個業務系統的

業務管理員，軟件研發單位負責對業務管理員進行培訓。

第十九條業務管理員應每天檢查所管理業務系統（包括所使

用的硬件設備）的運行情況，檢查業務系統備份情況，及時修補系

統補丁。

第二十條對業務系統進行升級與維護，必須錄入系統日常維

護表。

第二十一條業務系統及其備份系統發生故障時，系統管理員

及時通知軟件開發商并報告機房負責人，核實原因。如系統不能恢

復或數據丟失等重大事故發生，應按照《信息安全應急預案》處理。

第二十二條每年7月，業務管理員配合安全管理員對業務系

統進行風險評估，根據風險評估報告（符合GB/T20984標準），進

行系統修訂。

=====WORD完整版----可編輯----專業資料分享=====

----完整版學習資料分享----

第二十三條每年7月，業務管理員配合安全管理員核定信息

系統等保定級、系統恢復定級，按照信息安全檢查內容進行自查。

第二十四條業務系統服務器不得開放與工作無關的服務端

口。如需開通其他服務端口，必須備案，并自行保證信息安全。

第五章軟硬件資產管理

第二十五條進入機房的軟件、服務器、存儲、網絡與安全設

備進行統一的編號和調配，如在財務管理所規定的固定資產價值范

圍內（含軟件和其它信息設備），應統一登記，計入固定資產臺賬。

第二十六條由行政管理部門和使用部門對軟件和信息設備

共同進行資產管理。

1、設置固定資產實物臺帳，建立固定資產卡片。

2、對固定資產進行統一分類資產編號。

3、對固定資產的使用落實到具體負責人。

第二十七條資產編號規則應按財政廳規定的資產編號規則

實施。

第二十八條信息管理部門定期組織人員，進行軟件資產清

查盤點，對清查盤點中發現的問題，應當查明原因，說明情況，軟

件資產清查盤點工作應當符合信息安全和保密的要求，防止信息外

泄。

第二十九條符合下列條件之一的軟件資產可以申請報

廢

=====WORD完整版----可編輯----專業資料分享=====

----完整版學習資料分享----

（一）閑置一年以上及版本陳舊已不再使用的

（二）達不到業務要求需要淘汰、報廢、刪除的；

（三）已超過授權期限，無法使用的；

（四）其他特殊情況需要處置的。

第三十條根據設備新舊程度，信息管理部門應組織系統管理

員和網絡設備管理員及業務管理員，定期修訂設備保養計劃，設備

進行保養及清洗，需按照保養計劃執行。

第三十一條信息設備發生故障時，應及時報告機房負責人并

通知相關負責人，核實原因。如設備故障可能會導致系統或數據丟

失時，應按照《信息安全應急預案》處理。

第三十二條網絡設備、安全設備、服務器設備其它機房設備

維修，必須經過運維管理部門審批，填寫維修單。

第三十三條未經運維管理部門審批，不得拆換信息設備零

件、配件、外設，不得改變網絡設備、安全設備、服務器設備、存

儲設備安裝位置及系統設置，更不準挪作它用。

第三十四條符合下列條件之一的信息設備可以申請報廢

（一）超過使用年限、自然損耗造成性能降低、主要部件損壞，

無法修復的。

（二）多次修理，費用超過設備原值50%以上的。

（三）設備屬淘汰產品，不能滿足正常工作的。

（四）其他特殊情況需要處置的。

第六章信息安全管理

=====WORD完整版----可編輯----專業資料分享=====

----完整版學習資料分享----

第三十五條按照《關于加強黨政機關計算機信息系統安全和

保密管理的若干規定》，重要數據應參照執行。

第三十六條擁有重要數據的部門應該及時對數據進行備份，

防止數據的丟失；涉及數據備份和恢復的部門要指定業務管理員負

責數據備份工作，并認真填寫備份日志。

第三十七條數據備份應根據不同業務制定不同的備份周期

和備份策略，存放備份數據的介質必須具有明確的標識。備份數據

應定期測試，以確保備份數據的可恢復性。

第三十八條備份介質必須歸檔。備份介質要有業務管理員負

責保管工作，保存地點應有防火，防熱，防潮，防塵，防磁，防盜

設施。

第三十九條數據清理前業務管理員必須對數據進行備份，在

確認備份正確后方可進行清理操作。歷次清理前的備份數據要根據

備份策略進行定期保存或永久保存，并確保可以隨時使用。數據清

理的實施應避開業務高峰期，避免對聯機業務運行造成影響。

第四十條數據恢復前，業務管理員必須對原環境的數據進行

備份，防止有用數據的丟失。數據恢復過程中要嚴格按照數據恢復

手冊執行，出現問題時由技術部門進行現場技術支持。數據恢復后，

必須進行驗證、確認，確保數據恢復的完整性和可用性。

第四十一條數據的備份、恢復、轉出、轉入的權限都應嚴

格控制。嚴禁未經授權將數據備份出系統，轉給無關的人員或單位；

嚴禁未經授權進行數據恢復或轉入操作。當存儲過重要數據的介質

=====WORD完整版----可編輯----專業資料分享=====

----完整版學習資料分享----

（如光盤、軟盤、磁帶等）報廢時應由專業技術人員進行物理性銷

毀。

第七章密碼管理

第四十二條網絡設備、服務器設備及其應用系統等系統密碼

和管理密碼，應統一管理、專人使用。

第四十三條密碼更新應由各設備及系統管理員編制新密碼，

實施更新，并送機房負責人備查。

第四十四條交換機、路由器、防火墻、服務器的系統密碼和管理

密碼每月更新一次，在每月5日前負責完成。網站和視頻會議系統

服務器指定負責人將密碼更新后，并及時通知機房負責人備案。

第四十五條特殊情況機房負責人可根據工作的實際需要更

新密碼。

第八章附則

第四十六條結合信息網絡快速發展和經濟社會發展狀況，配

合相關法律法規的制定、修改和完善，本制度適時修訂。

第四十七條本制度由信息與監控中心制定并解釋。

第四十八條本制度于20年月日批準實施。