第一篇：機房安全等級和分區(qū)保護

第十八條機房安全等級和分區(qū)保護：

（一）市級聯(lián)社的主機房定為Ｃ級；重要業(yè)務系統(tǒng)的微機房定為Ｄ級；縣聯(lián)社管理的機房定為Ｄ級。

（二）機房內(nèi)部劃分為核心區(qū)、生產(chǎn)區(qū)、輔助區(qū)，各區(qū)之間應為物理割斷。Ｃ級機房劃分為核心區(qū)和輔助區(qū)；Ｄ級機房劃分為生產(chǎn)區(qū)和輔助區(qū)。

●核心區(qū)是指安裝有主計算機、主通信機、網(wǎng)絡通信及控制設備、磁盤機、光盤機等數(shù)據(jù)存儲設備、數(shù)據(jù)存儲介質(zhì)庫、系統(tǒng)操作室等機房要害區(qū)域。允許計算機安全管理員、系統(tǒng)管理員或系統(tǒng)值班員等兩人以上同時進出，其他人員進入核心區(qū)須經(jīng)部門領導批準并由以上人員之一全程陪同；

●生產(chǎn)區(qū)是指信用社業(yè)務前端設備操作室、打印機室、數(shù)據(jù)資料室、介質(zhì)交接室、運行值班室等金融業(yè)務運作區(qū)域和各部門或縣級聯(lián)社的微機房。允許經(jīng)業(yè)務部門領導批準的業(yè)務操作人員進出，系統(tǒng)開發(fā)人員不得進入生產(chǎn)區(qū)；維護人員進出須有業(yè)務操作人員陪同。在非工作時間進入生產(chǎn)區(qū)，必須經(jīng)主管領導批準，至少有兩人同行；

●輔助區(qū)劃分為三類：第一類包括供電設備用房，如配電室、不間斷電源（ＵＰＳ）室、發(fā)電機室等；第二類包括消防、空調(diào)設備用房，如火警監(jiān)控室、空調(diào)監(jiān)控室等；第三類包括機房工作人員共用房間，如辦公室、衛(wèi)生間等。允許從事該項工作的人員進出。

第二篇：等級保護-中心機房管理制度

Iyunke信息化管理制度

中心機房管理制度

為科學、有效地管理中心機房，保證網(wǎng)絡系統(tǒng)安全、高效運行和使用，結合本局網(wǎng)絡結構及運行情況，特制定如下制度，請遵照執(zhí)行。

一、機房日常管理

1.管理目標是保證中心機房設備與信息的安全，保障機房具有良好的運行環(huán)境和工作環(huán)境。

2.機房日常管理指定專人負責。

3.機房鑰匙要嚴格保管，不得隨意轉(zhuǎn)借，一旦丟失要及時報告并積極尋找，并采取有效措施予以補救。

4.無關人員未經(jīng)批準不得進入機房，更不得動用機房設備、物品和資料，確因工作需要，相關人員需要進入機房操作必須經(jīng)過批準方可在管理人員的指導或協(xié)同下進行。

5.機房應保持清潔、衛(wèi)生，溫度、濕度適可，機房內(nèi)嚴禁吸煙，嚴禁攜帶無關物品尤其是易燃、易爆物品及其他危險品進入機房。

6.消防物品要放在指定位置，任何人不得隨意挪動；機房工作人員要掌握防火技能，定期檢查消防設施是否正常。出現(xiàn)異常情況應立即采取切斷電源、報警、使用滅火設備等正確方式予以處理。

7.硬件設備要注意維護和保養(yǎng)，做到設備物卡相符、設備使

Iyunke信息化管理制度

用狀態(tài)記錄完整。

8.建立機房登記制度，對本地局域網(wǎng)、廣域網(wǎng)的運行情況建立檔案。未發(fā)生故障或故障隱患時，網(wǎng)管人員不可對中繼、光纖、網(wǎng)線及各種設備進行任何調(diào)試，對所發(fā)生的故障、處理過程和結果等要做好詳細記錄。

9.網(wǎng)管人員應做好網(wǎng)絡安全工作，嚴格保密服務器的各種帳號，監(jiān)控網(wǎng)絡上的數(shù)據(jù)流，從中檢測出攻擊的行為并給予響應和處理。

10.網(wǎng)管人員要對數(shù)據(jù)實施嚴格的安全與保密管理，防止系統(tǒng)數(shù)據(jù)的非法生成、變更、泄露、丟失及破壞。網(wǎng)管人員應在數(shù)據(jù)庫的系統(tǒng)認證、系統(tǒng)授權、系統(tǒng)完整性、補丁和修正程序方面實時修改。

二、設備管理

1.網(wǎng)管人員對各種網(wǎng)絡設備的使用需按操作程序或使用說明書進行。

2.經(jīng)常對硬件設備進行檢查、測試和修理，確保其運行完好。3.所有貴重設備均由專人保管，專人使用，不得外借或由非專業(yè)人員單獨操作。

4.中心機房的所有設備未經(jīng)許可一律不得挪用和外借，特殊情況經(jīng)批準后辦理借用手續(xù)，借用期間如有損壞由借用單位或使用人員負責賠償。

5.硬件設備發(fā)生損壞、丟失等事故，應及時上報，填寫報告

Iyunke信息化管理制度

單并按有關規(guī)定處理。

6.中心機房及其附屬設備的管理（登記）與維修由網(wǎng)管人員負責。設備管理人員每半年要核準一次設備登記情況。

7.中心機房主機（系統(tǒng)服務器）、網(wǎng)絡服務器及其外圍設備由網(wǎng)管人員每周進行一次例行檢查和維護，尤其是設備供電、運行狀態(tài)是否正常等要時常檢查和維護。

三、系統(tǒng)軟件、應用軟件管理

1.軟件要定期進行系統(tǒng)維護與備份，備份至少保持一式兩套，并存放在溫度濕度適宜的磁介質(zhì)庫存中。

2.應用軟件、應用數(shù)據(jù)應根據(jù)運行頻率進行定期或不定期的備份工作，備份軟件和數(shù)據(jù)亦應存放于的磁介質(zhì)庫存中。

3.應用軟件的源程序除了在磁介質(zhì)上備份以外，網(wǎng)管員應自己進行備份，以防應用程序發(fā)生意外，難以恢復。

4.為了便于對系統(tǒng)軟件進行應用與管理，機房中須備有與系統(tǒng)軟件有關的使用手冊和各種指南等資料，以便維護人員查閱。其資料未經(jīng)許可，任何人不得拿出機房。

5.應用軟件人員應將項目的調(diào)研資料、各階段的設計說明書、圖表、源程序、應用系統(tǒng)運行流程圖等進行分類歸檔，以便查閱。

6.當應用軟件修改時，具體的功能修改、邏輯修改、程序變動等，都應有相應的文檔記錄，以備查閱。

7.為確保軟件系統(tǒng)的安全，磁介質(zhì)除了應有專人管理外，還

Iyunke信息化管理制度

應配備防火器具，確立防磁、防靜電、防灰塵等有效措施（建筑上保證），磁介質(zhì)保管要明確責任，遵守出入庫制度。

四、計算機病毒防范管理

1.網(wǎng)管人員應有較強的病毒防范意識，定期進行病毒檢測（特別是服務器），發(fā)現(xiàn)病毒應立即處理。

2.采用國家許可的正版防病毒軟件并及時更新軟件版本。3.未經(jīng)領導許可，網(wǎng)管人員不得在服務器上安裝新軟件，若確實需要安裝，安裝前應進行病毒例行檢測。

4.經(jīng)遠程通信傳送的程序或數(shù)據(jù)，必須經(jīng)過檢測確認無病毒后方可使用。

五、數(shù)據(jù)保密及數(shù)據(jù)備份

1.根據(jù)數(shù)據(jù)的保密規(guī)定和用途，確定使用人員的存取權限、存取方式和審批手續(xù)。

2.禁止泄露、外借和轉(zhuǎn)移專業(yè)數(shù)據(jù)信息。3.未經(jīng)批準不得隨意更改業(yè)務數(shù)據(jù)。

4.網(wǎng)管人員制作數(shù)據(jù)的備份要異地存放，確保系統(tǒng)一旦發(fā)生故障時能夠快速恢復，備份數(shù)據(jù)不得更改。

5.業(yè)務數(shù)據(jù)必須定期、完整、真實、準確地轉(zhuǎn)儲到不可更改的介質(zhì)上，并要求集中和異地保存，保存期限至少2年。

6.備份的數(shù)據(jù)由網(wǎng)管人員負責保管，備份的數(shù)據(jù)應在指定的數(shù)據(jù)保管室或指定的場所保管。

7.備份數(shù)據(jù)資料保管地點應有防火、防熱、防潮、防塵、防

Iyunke信息化管理制度

磁、防盜設施。

六、安全檢查管理

1.中心機房安全是關系到行業(yè)安全的一件大事，是保證各個業(yè)務系統(tǒng)正常工作的前提條件，因此必須堅持定期安全檢查。

2.中心機房自檢每年進行一次，且須認真做好檢查記錄。3.對檢查中發(fā)現(xiàn)的問題將進行限期整改。

附1：網(wǎng)絡管理員職責

1.主要負責全市網(wǎng)絡（包含局域網(wǎng)、廣域網(wǎng)、城域網(wǎng)）的系統(tǒng)安全性及正常運行。

2.負責日常操作系統(tǒng)、網(wǎng)管系統(tǒng)、郵件系統(tǒng)的安全補丁、漏洞檢測及修補、病毒防治等工作。

3.應經(jīng)常保持對最新技術的掌握，實時了解INTERNET的動向，做到病毒預防為主。

4.良好周密的日志記錄以及細致的分析是預測攻擊，定位攻擊，以及遭受攻擊后追查攻擊者的有力武器。察覺到網(wǎng)絡處于被攻擊狀態(tài)后，網(wǎng)管員應確定其身份，并對其發(fā)出警告，提前制止可能的網(wǎng)絡犯罪，若對方不聽勸告，在保護系統(tǒng)安全的情況下可做善意阻擊并向主管領導匯報。

5.對機房進行管理，嚴格按照機房制度執(zhí)行日常維護。6.每月管理人員應向主管領導提交當月值班及事件記錄，并對系統(tǒng)記錄文件保存收檔，以備查閱。具體文件及方法見附

Iyunke信息化管理制度

件。

7.嚴格控制進入機房人員，不允許私自帶他人入內(nèi)。8.要定期檢查機房及各種安全設備，做好記錄確保安全。9.對機房各種設備均應建立技術檔案，認真填寫、妥善保管登記備案。

10.定期對機器進行維護，保證機器正常運行。

11.負責對門、窗、燈、電源、機器的安全情況進行全面檢查、管理，全面保證機房的安全無誤。

12.搞好機房衛(wèi)生，保持一個良好的環(huán)境。

13.不允許私自將機房內(nèi)的設備、工具、部件等帶出機房，借物須辦理借物手續(xù)。

14.對因責任心不強而造成事故和嚴重后果的，要追究責任。

附2：計算機使用和管理制度

信息中心電腦管理和維護由專職管理人員負責，并完整保存計算機及其相關設備的驅(qū)動程序、保修卡及重要隨機文件。

1.未經(jīng)許可，不準隨便動用電腦設備。

2.未經(jīng)許可，任何人不準更換電腦硬件和軟件，拒絕使用來歷不明的軟件和光盤。

3.嚴格按規(guī)定程序開啟和關閉電腦系統(tǒng)。(1)開機流程：

Iyunke信息化管理制度

接通電源→打開顯示器、打印機等外設→開通電腦主機→按顯示菜單提示，鍵入規(guī)定口令或密碼→在權限內(nèi)對工作任務進行操作。

(2)關機流程：

退出應用程序、各個子目錄→關斷主機→關閉顯示器、打印機等外設→切斷電源。

4.使用人員如發(fā)現(xiàn)計算機系統(tǒng)運行異常應及時與管理員聯(lián)系，非專業(yè)管理人員不得擅自拆開計算機調(diào)換設備配件。

5.外請人員對電腦進行維修時，單位應有人自始至終地陪同，電腦維修維護過程中，首先確保對單位信息進行拷貝，防止遺失。

6.凡因個人使用不當所造成的電腦維護費用和損失，使用者是否賠償由單位視情決定。

7.計算機及其相關設備的報廢需經(jīng)過本局辦公室或?qū)Ｂ毴藛T鑒定，確認不符合使用要求后方可申請報廢。

Iyunke信息化管理制度

本制度提供各單位專門用于機房內(nèi)部，作為機房工作人員的日常行為規(guī)范。

一、機房人員日常行為準則

1、必須注意環(huán)境衛(wèi)生。禁止在機房、辦公室內(nèi)吃食物、抽煙、隨地吐痰；對于意外或工作過程中弄污機房地板和其它物品的，必須及時采取措施清理干凈，保持機房無塵潔凈環(huán)境。

2、必須注意個人衛(wèi)生。工作人員儀表、穿著要整齊、談吐文雅、舉止大方。

3、機房用品要各歸其位，不能隨意亂放。

4、機房應安排人員值日，負責機房的日常整理和行為督導。

5、進出機房必須換鞋，雨具、鞋具等物品要按位擺放整齊。

6、注意檢查機房的防曬、防水、防潮，維持機房環(huán)境通爽，注意天氣對機房的影響，下雨天時應及時主動檢查和關閉窗戶、檢查去水通風等設施。

7、機房內(nèi)部不應大聲喧嘩、注意噪音/音響音量控制、保持安靜的工作環(huán)境。

8、堅持每天下班之前將桌面收拾干凈、物品擺放整齊。

二、機房保安制度

1、出入機房應注意鎖好防盜門。對于有客人進出機房，機房相關的工作人員應負責該客人的安全防范工作。最后離開機房的人員必須自覺檢查和關閉所有機房門窗、鎖定防盜裝置。應主動拒絕陌生人進出機房。

2、工作人員離開工作區(qū)域前，應保證工作區(qū)域內(nèi)保存的重要文件、資料、設備、數(shù)據(jù)處于安全保護狀態(tài)。如檢查并鎖上自己工作柜枱、鎖定工作電腦、并將桌面重要資料和數(shù)據(jù)妥善保存等等。

3、工作人員、到訪人員出入應登記。

4、外來人員進入必須有專門的工作人員全面負責其行為安全。

5、未經(jīng)主管領導批準，禁止將機房相關的鑰匙、保安密碼等物品和信息外借或透露給其它人員，同時有責任對保安信息保密。對于遺失鑰匙、泄露保安信息的情況要即時上報，并積極主動采取措施保證機房安全。

6、機房人員對機房保安制度上的漏洞和不完善的地方有責任及時提出改善建議。

Iyunke信息化管理制度

7、禁止帶領與機房工作無關的人員進出機房。

8、絕不允許與機房工作無關的人員直接或間接操縱機房任何設備。

9、出現(xiàn)機房盜竊、破門、火警、水浸、110報警等嚴重事件時，機房工作人員有義務以最快的速度和最短的時間到達現(xiàn)場，協(xié)助處理相關的事件。

三、機房用電安全制度

1、機房人員應學習常規(guī)的用電安全操作和知識，了解機房內(nèi)部的供電、用電設施的操作規(guī)程。

2、機房人員應經(jīng)常實習、掌握機房用電應急處理步驟、措施和要領。

3、機房應安排有專業(yè)資質(zhì)的人員定期檢查供電、用電設備、設施。

4、不得亂拉亂接電線，應選用安全、有保證的供電、用電器材。

5、在真正接通設備電源之前必須先檢查線路、接頭是否安全連接以及設備是否已經(jīng)就緒、人員是否已經(jīng)具備安全保護。

6、嚴禁隨意對設備斷電、更改設備供電線路，嚴禁隨意串接、并接、搭接各種供電線路。

7、如發(fā)現(xiàn)用電安全隱患，應即時采取措施解決，不能解決的必須及時向相關負責人員提出解決。

8、機房人員對個人用電安全負責。外來人員需要用電的，必須得到機房管理人員允許，并使用安全和對機房設備影響最少的供電方式。

9、機房工作人員需要離開當前用電工作環(huán)境，應檢查并保證工作環(huán)境的用電安全。

10、最后離開機房的工作人員，應檢查所有用電設備，應關閉長時間帶電運作可能會產(chǎn)生嚴重后果的用電設備。

11、禁止在無人看管下在機房中使用高溫、熾熱、產(chǎn)生火花的用電設備。

12、在使用功率超過特定瓦數(shù)的用電設備前，必須得到上級主管批準，并在保證線路保險的基礎上使用。

Iyunke信息化管理制度

13、在危險性高的位置應張貼相應的安全操作方法、警示以及指引，實際操作時應嚴格執(zhí)行。

14、在外部供電系統(tǒng)停電時，機房工作人員應全力配合完成停電應急工作。

15、應注意節(jié)約用電。

四、機房消防安全制度

1、機房工作人員應熟悉機房內(nèi)部消防安全操作和規(guī)則，了解消防設備操作原理、掌握消防應急處理步驟、措施和要領。

2、任何人不能隨意更改消防系統(tǒng)工作狀態(tài)、設備位置。需要變更消防系統(tǒng)工作狀態(tài)和設備位置的，必須取得主管領導批準。工作人員更應保護消防設備不被破壞。

3、應定期進行消防演習、消防常識培訓、消防設備使用培訓。

4、如發(fā)現(xiàn)消防安全隱患，應即時采取措施解決，不能解決的應及時向相關負責人員提出解決。

5、應嚴格遵守張貼于相應位置的操作和安全警示及指引。

6、最后離開的機房工作人員，應檢查消防設備的工作狀態(tài)，關閉將會帶來消防隱患的設備，采取措施保證無人狀態(tài)下的消防安全。

五、機房用水制度

1、禁止將供水管道和設施安裝在機房內(nèi)。

2、應格遵守張貼于相應位置的安全操作、警示以及安全指引。

六、機房硬件設備安全使用制度

1、機房人員必須熟知機房內(nèi)設備的基本安全操作和規(guī)則。

2、應定期檢查、整理硬件物理連接線路，定期檢查硬件運作狀態(tài)（如設備指示燈、儀表），定期調(diào)閱硬件運作自檢報告，從而及時了解硬件運作狀態(tài)。

3、禁止隨意搬動設備、隨意在設備上進行安裝、拆卸硬件、或隨意更改設備連線、禁止隨意進行硬件復位。

Iyunke信息化管理制度

4、禁止在服務器上進行試驗性質(zhì)的配置操作，需要對服務器進行配置，應在其它可進行試驗的機器上調(diào)試通過并確認可行后，才能對服務器進行準確的配置。

5、對會影響到全局的硬件設備的更改、調(diào)試等操作應預先發(fā)布通知，并且應有充分的時間、方案、人員準備，才能進行硬件設備的更改。

6、對重大設備配置的更改，必須首先形成方案文件，經(jīng)過討論確認可行后，由具備資格的技術人員進行更改和調(diào)整，并應做好詳細的更改和操作記錄。對設備的更改、升級、配置等操作之前，應對更改、升級、配置所帶來的負面后果做好充分的準備，必要時需要先準備好后備配件和應急措施。

7、不允許任何人在服務器、交換設備等核心設備上進行與工作范圍無關的任何操作。未經(jīng)上級允許，更不允許他人操作機房內(nèi)部的設備，對于核心服務器和設備的調(diào)整配置，更需要小組人員的共同同意后才能進行。

8、要注意和落實硬件設備的維護保養(yǎng)措施。

七、軟件安全使用制度

1、必須定期檢查軟件的運行狀況、定期調(diào)閱軟件運行日志記錄，進行數(shù)據(jù)和軟件日志備份。

2、禁止在服務器上進行試驗性質(zhì)的軟件調(diào)試，禁止在服務器隨意安裝軟件。需要對服務器進行配置，必須在其它可進行試驗的機器上調(diào)試通過并確認可行后，才能對服務器進行準確的配置。

3、對會影響到全局的軟件更改、調(diào)試等操作應先發(fā)布通知，并且應有充分的時間、方案、人員準備，才能進行軟件配置的更改。

4、對重大軟件配置的更改，應先形成方案文件，經(jīng)過討論確認可行后，由具備資格的技術人員進行更改，并應做好詳細的更改和操作記錄。對軟件的更改、升級、配置等操作之前，應對更改、升級、配置所帶來的負面后果做好充分的準備，必要時需要先備份原有軟件系統(tǒng)和落實好應急措施。

5、不允許任何人員在服務器等核心設備上進行與工作范圍無關的軟件調(diào)試和操作。未經(jīng)上級允許，不允許帶領、指示他人進入機房、對網(wǎng)絡及軟件環(huán)境進行更改和操作。

6、應嚴格遵守張貼于相應位置的安全操作、警示以及安全指引。

八、機房資料、文檔和數(shù)據(jù)安全制度

1、資料、文檔、數(shù)據(jù)等必須有效組織、整理和歸檔備案。

Iyunke信息化管理制度

2、禁止任何人員將機房內(nèi)的資料、文檔、數(shù)據(jù)、配置參數(shù)等信息擅自以任何形式提供給其它無關人員或向外隨意傳播。

3、對于牽涉到網(wǎng)絡安全、數(shù)據(jù)安全的重要信息、密碼、資料、文檔等等必須妥善存放。外來工作人員的確需要翻閱文檔、資料或者查詢相關數(shù)據(jù)的，應由機房相關負責人代為查閱，并只能向其提供與其當前工作內(nèi)容相關的數(shù)據(jù)或資料。

4、重要資料、文檔、數(shù)據(jù)應采取對應的技術手段進行加密、存儲和備份。對于加密的數(shù)據(jù)應保證其可還原性，防止遺失重要數(shù)據(jù)。

九、機房財產(chǎn)登記和保護制度

1、機房的日常物品、設備、消耗品等必須有清晰的數(shù)量、型號登記記錄，對于公共使用的物品和重要設備，必須建立一套較為完善的借取和歸還制度進行管理。

2、機房工作人員應有義務安全和小心使用機房的任何設備、儀器等物品，在使用完畢后，應將物品歸還并存放于原處，不應隨意擺放。

3、對于使用過程中損壞、消耗、遺失的物品應匯報登記，并對責任人追究相關責任。

4、未經(jīng)主管領導同意，不允許向他人外借或提供機房設備和物品。

十、團隊精神和相互協(xié)作

1、機房工作小組人員應樹立團隊協(xié)作精神。

2、任何將要發(fā)生的給其他人員工作和安排產(chǎn)生影響的事情，或需要與其他工作人員互相協(xié)調(diào)的事情，應先提出和協(xié)調(diào)一致，禁止個人獨斷獨行的作風。

3、工作分工要明確，責任要到位、工作計劃要清晰，工作總結要具體。

4、小組人員有義務服從工作安排，并有義務對工作安排提出更加合理化建議和意見。

5、營造民主協(xié)作的工作環(huán)境，任何人員有權利和義務組織、聯(lián)絡其他小組成員、主管領導等展開討論、開展會議、及時反映問題、做到相互溝通、協(xié)同工作。

第三篇：信息安全等級保護

信息安全等級保護(二級)信息安全等級保護(二級)備注：其中黑色字體為信息安全等級保護第二級系統(tǒng)要求，藍色字體為第三級系統(tǒng)等保要求。

一、物理安全

1、應具有機房和辦公場地的設計/驗收文檔（機房場地的選址說明、地線連接要求的描述、建筑材料具有相應的耐火等級說明、接地防靜電措施）

2、應具有有來訪人員進入機房的申請、審批記錄；來訪人員進入機房的登記記錄

3、應配置電子門禁系統(tǒng)(三級明確要求)；電子門禁系統(tǒng)有驗收文檔或產(chǎn)品安全認證資質(zhì)，電子門禁系統(tǒng)運行和維護記錄

4、主要設備或設備的主要部件上應設置明顯的不易除去的標記

5、介質(zhì)有分類標識；介質(zhì)分類存放在介質(zhì)庫或檔案室內(nèi)，磁介質(zhì)、紙介質(zhì)等分類存放

6、應具有攝像、傳感等監(jiān)控報警系統(tǒng)；機房防盜報警設施的安全資質(zhì)材料、安裝測試和驗收報告；機房防盜報警系統(tǒng)的運行記錄、定期檢查和維護記錄；

7、應具有機房監(jiān)控報警設施的安全資質(zhì)材料、安裝測試和驗收報告；機房監(jiān)控報警系統(tǒng)的運行記錄、定期檢查和維護記錄

8、應具有機房建筑的避雷裝置；通過驗收或國家有關部門的技術檢測；

9、應在電源和信號線上增加有資質(zhì)的防雷保安器；具有防雷檢測資質(zhì)的檢測部門對防雷裝置的檢測報告

10、應具有自動檢測火情、自動報警、自動滅火的自動消防系統(tǒng)；自動消防系統(tǒng)的運行記錄、檢查和定期維護記錄；消防產(chǎn)品有效期合格；自動消防系統(tǒng)是經(jīng)消防檢測部門檢測合格的產(chǎn)品

11、應具有除濕裝置；空調(diào)機和加濕器；溫濕度定期檢查和維護記錄

12、應具有水敏感的檢測儀表或元件；對機房進行防水檢測和報警；防水檢測裝置的運行記錄、定期檢查和維護記錄

13、應具有溫濕度自動調(diào)節(jié)設施；溫濕度自動調(diào)節(jié)設施的運行記錄、定期檢查和維護記錄

14、應具有短期備用電力供應設備（如UPS）；短期備用電力供應設備的運行記錄、定期檢查和維護記錄

15、應具有冗余或并行的電力電纜線路（如雙路供電方式）

16、應具有備用供電系統(tǒng)（如備用發(fā)電機）；備用供電系統(tǒng)運行記錄、定期檢查和維護記錄

二、安全管理制度

1、應具有對重要管理操作的操作規(guī)程，如系統(tǒng)維護手冊和用戶操作規(guī)程

2、應具有安全管理制度的制定程序：

3、應具有專門的部門或人員負責安全管理制度的制定（發(fā)布制度具有統(tǒng)一的格式，并進行版本控制）

4、應對制定的安全管理制度進行論證和審定，論證和審定方式如何（如召開評審會、函審、內(nèi)部審核等），應具有管理制度評審記錄

5、應具有安全管理制度的收發(fā)登記記錄，收發(fā)應通過正式、有效的方式（如正式發(fā)文、領導簽署和單位蓋章等）----安全管理制度應注明發(fā)布范圍，并對收發(fā)文進行登記。

6、信息安全領導小組定期對安全管理制度體系的合理性和適用性進行審定，審定周期多長。（安全管理制度體系的評審記錄）

7、系統(tǒng)發(fā)生重大安全事故、出現(xiàn)新的安全漏洞以及技術基礎結構和組織結構等發(fā)生變更時應對安全管理制度進行檢查，對需要改進的制度進行修訂。（應具有安全管理制度修訂記錄）

三、安全管理機構

1、應設立信息安全管理工作的職能部門

2、應設立安全主管、安全管理各個方面的負責人

3、應設立機房管理員、系統(tǒng)管理員、網(wǎng)絡管理員、安全管理員等重要崗位（分工明確，各司其職），數(shù)量情況（管理人員名單、崗位與人員對應關系表）

4、安全管理員應是專職人員

5、關鍵事物需要配備2人或2人以上共同管理，人員具體配備情況如何。

6、應設立指導和管理信息安全工作的委員會或領導小組（最高領導是否由單位主管領導委任或授權的人員擔任）

7、應對重要信息系統(tǒng)活動進行審批（如系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入、重要管理制度的制定和發(fā)布、人員的配備和培訓、產(chǎn)品的采購、外部人員的訪問等），審批部門是何部門，審批人是何人。審批程序：

8、應與其它部門之間及內(nèi)部各部門管理人員定期進行溝通（信息安全領導小組或者安全管理委員會應定期召開會議）

9、應組織內(nèi)部機構之間以及信息安全職能部門內(nèi)部的安全工作會議文件或會議記錄，定期：

10、信息安全管理委員會或領導小組安全管理工作執(zhí)行情況的文件或工作記錄（如會議記錄/紀要，信息安全工作決策文檔等）

11、應與公安機關、電信公司和兄弟單位等的溝通合作（外聯(lián)單位聯(lián)系列表）

12、應與供應商、業(yè)界專家、專業(yè)的安全公司、安全組織等建立溝通、合作機制。

13、聘請信息安全專家作為常年的安全顧問（具有安全顧問名單或者聘請安全顧問的證明文件、具有安全顧問參與評審的文檔或記錄）

14、應組織人員定期對信息系統(tǒng)進行安全檢查（查看檢查內(nèi)容是否包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況）

15、應定期進行全面安全檢查（安全檢查是否包含現(xiàn)行技術措施有效性和管理制度執(zhí)行情況等方面、具有安全檢查表格，安全檢查報告，檢查結果通告記錄）

四、人員安全管理

1、何部門/何人負責安全管理和技術人員的錄用工作（錄用過程）

2、應對被錄用人的身份、背景、專業(yè)資格和資質(zhì)進行審查，對技術人員的技術技能進行考核，技能考核文檔或記錄

3、應與錄用后的技術人員簽署保密協(xié)議（協(xié)議中有保密范圍、保密責任、違約責任、協(xié)議的有效期限和責任人的簽字等內(nèi)容）

4、應設定關鍵崗位，對從事關鍵崗位的人員是否從內(nèi)部人員中選拔，是否要求其簽署崗位安全協(xié)議。

5、應及時終止離崗人員的所有訪問權限（離崗人員所有訪問權限終止的記錄）

6、應及時取回離崗人員的各種身份證件、鑰匙、徽章等以及機構提供的軟硬件設備等（交還身份證件和設備等的登記記錄）

7、人員離崗應辦理調(diào)離手續(xù)，是否要求關鍵崗位調(diào)離人員承諾相關保密義務后方可離開（具有按照離崗程序辦理調(diào)離手續(xù)的記錄，調(diào)離人員的簽字）

8、對各個崗位人員應定期進行安全技能考核；具有安全技能考核記錄，考核內(nèi)容要求包含安全知識、安全技能等。

9、對關鍵崗位人員的安全審查和考核與一般崗位人員有何不同，審查內(nèi)容是否包括操作行為和社會關系等。

10、應對各類人員（普通用戶、運維人員、單位領導等）進行安全教育、崗位技能和安全技術培訓。

11、應針對不同崗位制定不同的培訓計劃，并按照計劃對各個崗位人員進行安全教育和培訓（安全教育和培訓的結果記錄，記錄應與培訓計劃一致）

12、外部人員進入條件（對哪些重要區(qū)域的訪問須提出書面申請批準后方可進入），外部人員進入的訪問控制（由專人全程陪同或監(jiān)督等）

13、應具有外部人員訪問重要區(qū)域的書面申請

14、應具有外部人員訪問重要區(qū)域的登記記錄（記錄描述了外部人員訪問重要區(qū)域的進入時間、離開時間、訪問區(qū)域、訪問設備或信息及陪同人等）

五、系統(tǒng)建設管理

1、應明確信息系統(tǒng)的邊界和安全保護等級（具有定級文檔，明確信息系統(tǒng)安全保護等級）

2、應具有系統(tǒng)建設/整改方案

3、應授權專門的部門對信息系統(tǒng)的安全建設進行總體規(guī)劃，由何部門/何人負責

4、應具有系統(tǒng)的安全建設工作計劃（系統(tǒng)安全建設工作計劃中明確了近期和遠期的安全建設計劃）

5、應組織相關部門和有關安全技術專家對總體安全策略、安全技術框架、安全管理策略等相關配套文件進行論證和審定（配套文件的論證評審記錄或文檔）

6、應對總體安全策略、安全技術框架、安全管理策略等相關配套文件應定期進行調(diào)整和修訂

7、應具有總體安全策略、安全技術框架、安全管理策略、總體建設規(guī)劃、詳細設計方案等相關配套文件的維護記錄或修訂版本

8、應按照國家的相關規(guī)定進行采購和使用系統(tǒng)信息安全產(chǎn)品

9、安全產(chǎn)品的相關憑證，如銷售許可等，應使用符合國家有關規(guī)定產(chǎn)品

10、應具有專門的部門負責產(chǎn)品的采購

11、采購產(chǎn)品前應預先對產(chǎn)品進行選型測試確定產(chǎn)品的候選范圍，形成候選產(chǎn)品清單，是否定期審定和更新候選產(chǎn)品名單

12、應具有產(chǎn)品選型測試結果記錄和候選產(chǎn)品名單及更新記錄（產(chǎn)品選型測試結果文檔）

13、應具有軟件設計相關文檔，專人保管軟件設計的相關文檔，應具有軟件使用指南或操作手冊

14、對程序資源庫的修改、更新、發(fā)布應進行授權和批準

15、應具有程序資源庫的修改、更新、發(fā)布文檔或記錄

16、軟件交付前應依據(jù)開發(fā)協(xié)議的技術指標對軟件功能和性能等進行驗收檢測

17、軟件安裝之前應檢測軟件中的惡意代碼（該軟件包的惡意代碼檢測報告），檢測工具是否是第三方的商業(yè)產(chǎn)品

18、應具有軟件設計的相關文檔和使用指南

19、應具有需求分析說明書、軟件設計說明書、軟件操作手冊等開發(fā)文檔

20、應指定專門部門或人員按照工程實施方案的要求對工程實施過程進行進度和質(zhì)量控制

21、應具有工程實施過程應按照實施方案形成各種文檔，如階段性工程進程匯報報告，工程實施方案

22、在信息系統(tǒng)正式運行前，應委托第三方測試機構根據(jù)設計方案或合同要求對信息系統(tǒng)進行獨立的安全性測試（第三方測試機構出示的系統(tǒng)安全性測試驗收報告）

23、應具有工程測試驗收方案（測試驗收方案與設計方案或合同要求內(nèi)容一致）

24、應具有測試驗收報告

25、應指定專門部門負責測試驗收工作（具有對系統(tǒng)測試驗收報告進行審定的意見）

26、根據(jù)交付清單對所交接的設備、文檔、軟件等進行清點（系統(tǒng)交付清單）

27、應具有系統(tǒng)交付時的技術培訓記錄

28、應具有系統(tǒng)建設文檔（如系統(tǒng)建設方案）、指導用戶進行系統(tǒng)運維的文檔（如服務器操作規(guī)程書）以及系統(tǒng)培訓手冊等文檔。

29、應指定部門負責系統(tǒng)交付工作

30、應具有與產(chǎn)品供應商、軟件開發(fā)商、系統(tǒng)集成商、系統(tǒng)運維商和等級測評機構等相關安全服務商簽訂的協(xié)議（文檔中有保密范圍、安全責任、違約責任、協(xié)議的有效期限和責任人的簽字等內(nèi)容

31、選定的安全服務商應提供一定的技術培訓和服務

32、應與安全服務商簽訂的服務合同或安全責任合同書

11、采購產(chǎn)品前應預先對產(chǎn)品進行選型測試確定產(chǎn)品的候選范圍，形成候選產(chǎn)品清單，是否定期審定和更新候選產(chǎn)品名單

12、應具有產(chǎn)品選型測試結果記錄和候選產(chǎn)品名單及更新記錄（產(chǎn)品選型測試結果文檔）

13、應具有軟件設計相關文檔，專人保管軟件設計的相關文檔，應具有軟件使用指南或操作手冊

14、對程序資源庫的修改、更新、發(fā)布應進行授權和批準

15、應具有程序資源庫的修改、更新、發(fā)布文檔或記錄

16、軟件交付前應依據(jù)開發(fā)協(xié)議的技術指標對軟件功能和性能等進行驗收檢測

17、軟件安裝之前應檢測軟件中的惡意代碼（該軟件包的惡意代碼檢測報告），檢測工具是否是第三方的商業(yè)產(chǎn)品

18、應具有軟件設計的相關文檔和使用指南

19、應具有需求分析說明書、軟件設計說明書、軟件操作手冊等開發(fā)文檔

20、應指定專門部門或人員按照工程實施方案的要求對工程實施過程進行進度和質(zhì)量控制

21、應具有工程實施過程應按照實施方案形成各種文檔，如階段性工程進程匯報報告，工程實施方案

22、在信息系統(tǒng)正式運行前，應委托第三方測試機構根據(jù)設計方案或合同要求對信息系統(tǒng)進行獨立的安全性測試（第三方測試機構出示的系統(tǒng)安全性測試驗收報告）

23、應具有工程測試驗收方案（測試驗收方案與設計方案或合同要求內(nèi)容一致）

24、應具有測試驗收報告

25、應指定專門部門負責測試驗收工作（具有對系統(tǒng)測試驗收報告進行審定的意見）

26、根據(jù)交付清單對所交接的設備、文檔、軟件等進行清點（系統(tǒng)交付清單）

27、應具有系統(tǒng)交付時的技術培訓記錄

28、應具有系統(tǒng)建設文檔（如系統(tǒng)建設方案）、指導用戶進行系統(tǒng)運維的文檔（如服務器操作規(guī)程書）以及系統(tǒng)培訓手冊等文檔。

29、應指定部門負責系統(tǒng)交付工作

30、應具有與產(chǎn)品供應商、軟件開發(fā)商、系統(tǒng)集成商、系統(tǒng)運維商和等級測評機構等相關安全服務商簽訂的協(xié)議（文檔中有保密范圍、安全責任、違約責任、協(xié)議的有效期限和責任人的簽字等內(nèi)容

31、選定的安全服務商應提供一定的技術培訓和服務

32、應與安全服務商簽訂的服務合同或安全責任合同書

六、系統(tǒng)運維管理

1、應指定專人或部門對機房的基本設施（如空調(diào)、供配電設備等）進行定期維護，由何部門/何人負責。

2、應具有機房基礎設施的維護記錄，空調(diào)、溫濕度控制等機房設施定期維護保養(yǎng)的記錄

3、應指定部門和人員負責機房安全管理工作

4、應對辦公環(huán)境保密性進行管理（工作人員離開座位確保終端計算機退出登錄狀態(tài)、桌面上沒有包含敏感信息的紙檔文件）

5、應具有資產(chǎn)清單（覆蓋資產(chǎn)責任人、所屬級別、所處位置、所處部門等方面）

6、應指定資產(chǎn)管理的責任部門或人員

7、應依據(jù)資產(chǎn)的重要程度對資產(chǎn)進行標識

8、介質(zhì)存放于何種環(huán)境中，應對存放環(huán)境實施專人管理（介質(zhì)存放在安全的環(huán)境（防潮、防盜、防火、防磁，專用存儲空間））

9、應具有介質(zhì)使用管理記錄，應記錄介質(zhì)歸檔和使用等情況（介質(zhì)存放、使用管理記錄）

10、對介質(zhì)的物理傳輸過程應要求選擇可靠傳輸人員、嚴格介質(zhì)的打包（如采用防拆包裝置）、選擇安全的物理傳輸途徑、雙方在場交付等環(huán)節(jié)的控制

11、應對介質(zhì)的使用情況進行登記管理，并定期盤點（介質(zhì)歸檔和查詢的記錄、存檔介質(zhì)定期盤點的記錄）

12、對送出維修或銷毀的介質(zhì)如何管理，銷毀前應對數(shù)據(jù)進行凈化處理。（對帶出工作環(huán)境的存儲介質(zhì)是否進行內(nèi)容加密并有領導批準。對保密性較高的介質(zhì)銷毀前是否有領導批準）（送修記錄、帶出記錄、銷毀記錄）

13、應對某些重要介質(zhì)實行異地存儲，異地存儲環(huán)境是否與本地環(huán)境相同（防潮、防盜、防火、防磁，專用存儲空間）

14、介質(zhì)上應具有分類的標識或標簽

15、應對各類設施、設備指定專人或?qū)ｉT部門進行定期維護。

16、應具有設備操作手冊

17、應對帶離機房的信息處理設備經(jīng)過審批流程，由何人審批（審批記錄）

18、應監(jiān)控主機、網(wǎng)絡設備和應用系統(tǒng)的運行狀況等

19、應有相關網(wǎng)絡監(jiān)控系統(tǒng)或技術措施能夠?qū)νㄐ啪€路、主機、網(wǎng)絡設備和應用軟件的運行狀況、網(wǎng)絡流量、用戶行為等進行監(jiān)測和報警

20、應具有日常運維的監(jiān)控日志記錄和運維交接日志記錄

21、應定期對監(jiān)控記錄進行分析、評審

22、應具有異?，F(xiàn)象的現(xiàn)場處理記錄和事后相關的分析報告

23、應建立安全管理中心，對設備狀態(tài)、惡意代碼、補丁升級、安全審計等相關事項進行集中管理

24、應指定專人負責維護網(wǎng)絡安全管理工作

25、應對網(wǎng)絡設備進行過升級，更新前應對現(xiàn)有的重要文件是否進行備份（網(wǎng)絡設備運維維護工作記錄）

26、應對網(wǎng)絡進行過漏洞掃描，并對發(fā)現(xiàn)的漏洞進行及時修補。

27、對設備的安全配置應遵循最小服務原則，應對配置文件進行備份（具有網(wǎng)絡設備配置數(shù)據(jù)的離線備份）

28、系統(tǒng)網(wǎng)絡的外聯(lián)種類（互聯(lián)網(wǎng)、合作伙伴企業(yè)網(wǎng)、上級部門網(wǎng)絡等）應都得到授權與批準，由何人/何部門批準。應定期檢查違規(guī)聯(lián)網(wǎng)的行為。

29、對便攜式和移動式設備的網(wǎng)絡接入應進行限制管理

30、應具有內(nèi)部網(wǎng)絡外聯(lián)的授權批準書，應具有網(wǎng)絡違規(guī)行為（如撥號上網(wǎng)等）的檢查手段和工具。

31、在安裝系統(tǒng)補丁程序前應經(jīng)過測試，并對重要文件進行備份。

32、應有補丁測試記錄和系統(tǒng)補丁安裝操作記錄

33、應對系統(tǒng)管理員用戶進行分類（比如：劃分不同的管理角色，系統(tǒng)管理權限與安全審計權限分離等）

34、審計員應定期對系統(tǒng)審計日志進行分析（有定期對系統(tǒng)運行日志和審計數(shù)據(jù)的分析報告）

35、應對員工進行基本惡意代碼防范意識的教育，如告知應及時升級軟件版本（對員工的惡意代碼防范教育的相關培訓文檔）

36、應指定專人對惡意代碼進行檢測，并保存記錄。

37、應具有對網(wǎng)絡和主機進行惡意代碼檢測的記錄

38、應對惡意代碼庫的升級情況進行記錄（代碼庫的升級記錄），對各類防病毒產(chǎn)品上截獲的惡意代碼是否進行分析并匯總上報。是否出現(xiàn)過大規(guī)模的病毒事件，如何處理

39、應具有惡意代碼檢測記錄、惡意代碼庫升級記錄和分析報告 40、應具有變更方案評審記錄和變更過程記錄文檔。

41、重要系統(tǒng)的變更申請書，應具有主管領導的批準

42、系統(tǒng)管理員、數(shù)據(jù)庫管理員和網(wǎng)絡管理員應識別需定期備份的業(yè)務信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)（備份文件記錄）

43、應定期執(zhí)行恢復程序，檢查和測試備份介質(zhì)的有效性

44、應有系統(tǒng)運維過程中發(fā)現(xiàn)的安全弱點和可疑事件對應的報告或相關文檔

45、應對安全事件記錄分析文檔

46、應具有不同事件的應急預案

47、應具有應急響應小組，應具備應急設備并能正常工作，應急預案執(zhí)行所需資金應做過預算并能夠落實。

48、應對系統(tǒng)相關人員進行應急預案培訓（應急預案培訓記錄）

49、應定期對應急預案進行演練（應急預案演練記錄）50、應對應急預案定期進行審查并更新

51、應具有更新的應急預案記錄、應急預案審查記錄。

第四篇：安全等級保護管理辦法

安全等級保護管理辦法

為規(guī)范信息安全等級保護管理，提高信息安全保障能力和水平，維護國家安全、社會穩(wěn)定和公共利益，保障和促進信息化建設，根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》等有關法律法規(guī)制定以下辦法：

第1條 網(wǎng)絡安全策略管理由安全保密管理員專職負責，未經(jīng)允許任何人不得進行此項操作。

第2條 根據(jù)網(wǎng)絡信息系統(tǒng)的安全設計要求及主機審計系統(tǒng)數(shù)據(jù)的分析結果，制定、配置、修改、刪除主機審計系統(tǒng)的各項管理策略，并做記錄。

第3條 根據(jù)網(wǎng)絡信息系統(tǒng)的安全設計要求制定、配置、修改、刪除網(wǎng)絡安全評估分析系統(tǒng)的各項管理策略，并做記錄。

第4條 根據(jù)網(wǎng)絡信息系統(tǒng)的安全設計要求制定、配置、修改、刪除入侵檢測系統(tǒng)的各項管理策略，并做記錄。

第5條 根據(jù)網(wǎng)絡信息系統(tǒng)的安全設計要求制定、配置、修改、刪除、內(nèi)網(wǎng)主機安全監(jiān)控與審計系統(tǒng)的各項管理策略，并做記錄。

第6條 每周對網(wǎng)絡信息系統(tǒng)安全管理策略進行數(shù)據(jù)備份，并作詳細記錄。第7條 網(wǎng)絡信息安全技術防護系統(tǒng)（主機審計系統(tǒng)、漏洞掃描系統(tǒng)、防病毒系統(tǒng)、內(nèi)網(wǎng)主機安全監(jiān)控與審計系統(tǒng)）由網(wǎng)絡安全保密管理員統(tǒng)一負責安裝和卸載。

第8條 網(wǎng)絡信息系統(tǒng)安全檢查由安全保密管理員專職負責執(zhí)行，未經(jīng)允許任何人不得進行此項操作。

第9條 每天根據(jù)入侵檢測系統(tǒng)的系統(tǒng)策略檢測、審計系統(tǒng)日志，檢查是否有網(wǎng)絡攻擊、異常操作、不正常數(shù)據(jù)流量等，對異常情況做及時處理，遇有重大安全問題上報保密局，并做詳細記錄。

第10條 每周登陸入侵檢測系統(tǒng)產(chǎn)品網(wǎng)站，下載最新升級文件包，對系統(tǒng)進行更新，并做詳細記錄。

第11條 每月通過漏洞掃描系統(tǒng)對網(wǎng)絡系統(tǒng)終端進行安全評估分析，并對掃描結果進行分析，及時對終端系統(tǒng)漏洞及安全隱患進行處理，作詳細記錄，并將安全評估分析報告上報保密辦。

第12條 每周登錄全評估產(chǎn)品網(wǎng)站，下載最新升級文件包，對系統(tǒng)進行更新，并作詳細記錄。

第13條 每周備份入侵檢測系統(tǒng)和漏洞掃描系統(tǒng)的審計信息，并作詳細記錄。第14條 涉密計算機安全管理由安全保密管理員專人負責，未經(jīng)允許任何人不得進行此項操作。

第15條 根據(jù)網(wǎng)絡系統(tǒng)安全設計要求制定、修改、刪除涉密計算機安全審計策略，包括打印控制策略、外設輸入輸出控制策略、應用程序控制策略，并做記錄。

第16條 每日對涉密計算機進行安全審計，及時處理安全問題，并做詳細記錄，遇有重大問題上報保密部門。

第17條 涉密計算機的新增、變更、淘汰需經(jīng)保密部門審批，審批通過后由安全保密管理員統(tǒng)一進行操作，并做詳細記錄。

第18條 新增涉密計算機聯(lián)入涉密網(wǎng)絡，需經(jīng)保密局審批，由安全保密管理員統(tǒng)一進行操作，并做詳細記錄。

第五篇：機房建設等級保護二級要求

機房環(huán)境建設等級保護二級要求

依據(jù)國家等級保護要求，等級保護二級的機房環(huán)境應滿足以下要求：

1)機房和辦公場地應選擇在具有防震、防風和防雨等能力的建筑內(nèi)。

2)具備防盜竊和防破壞能力：

a)主要設備放置在機房內(nèi)，并將設備或主要部件進行固定，設置明顯的不易除去的標記；

b)通信線纜鋪設在隱蔽處，可鋪設在地下或管道中；

c)主機房應安裝必要的防盜報警設施。

3)機房建筑應設置避雷裝置，并為機房內(nèi)所有交流電源接地防靜電措施。

4)機房應設置滅火設備和火災自動報警系統(tǒng)。

5)具備防水和防潮能力：

a)機房內(nèi)水管安裝不得穿過機房屋頂和活動地板下；

b)窗戶、屋頂和墻壁等具有防雨水滲透能力；

c)機房應具備防止水蒸氣結露和地下積水的轉(zhuǎn)移與滲透。

6)機房應設置溫、濕度自動調(diào)節(jié)設施，使機房溫、濕度的變化在設備運行所允許的范圍之內(nèi)。

7)機房供電線路上配置穩(wěn)壓器和過電壓防護設備，并提供短期的備用電力供應，至少滿足關鍵設備在斷電情況下的正常運行要求。

8)電源線和通信線纜應隔離鋪設，避免互相干擾。