信息系统安全集成操作规范

1 目的 (3)

2适用范围 (3)

3引用标准 (3)

4工作礼仪与作风 (3)

5 施工环境检查规范 (4)

6设备及配件检验规范 (4)

7设备线缆布放规范

7.1机架安装规范 (5)

7.2产品安装规范 (5)

7.3布线规范 (5)

7.4工程标签使用规范 (6)

8设备操作规范 (6)

9售后服务规范 (7)

1目的

为提高信息系统安全集成项目安全生产管理水平，指导信息系统安全集成项目按照安全生产的要求进行生产作业，减免人身伤亡、设施损坏的事故的发生。

为提供优秀的技术支持和售后服务，确保我公司所提供的设备软、硬件在运行期间能够稳定、安全、高效的运行，最终保证客户网络的安全、正常运行。

按照《安全生产法》、《建设工程安全管理条例》（国务院393号令）等法律法规的规定，制定本操作规范。

2适用范围

本规范适用于信息系统安全集成项目中通信线路、设备安装和调试，以及信息系统安全集成项目后的售后服务工作。

本公司从事信息系统安全集成项目的相关人员，均应熟悉并严格执行本规程。

3引用标准

YD/T 1160-2001接入网技术要求一一基于以太网的宽带接入网

YD/T 1240-2002接入网设备测试方法一一基于以太网的宽带接入网设备

YD/T 1225-2003具有路由功能的以太网交换机技术要求

YD/T1694-2007以太网运行和维护技术要求

IEEE 802-2001局域网和城域网的IEEE标准：概况和架构

YD/T 926-2001大楼通信综合布线系统

YD 5059-2005通信设备安装抗震设计规范

4工作礼仪与作风

一、工作礼仪

（一）、衣着整洁，着装得体，佩戴胸牌。

（二）、保持乐观，不将个人情绪带到工作中。

（三）、谦虚稳重，不卑不亢，态度诚恳，不夸夸其谈，不恶意中伤

（四）、耐性、诚恳地听取客户的意见，认真解答客户的问题。

（五）、进入机房应遵守客户机房相关规定。

二、工作作风

（一）、守时，与客户约定后要准时赴约。

（二）、言而有信，不随意承诺。

（三）、尊重客户习惯，遵守客户的各项规定。

（四）、工作细致深入，认真严谨，负责任。

（五）、施工完成后，应清理施工现场，保持施工现场环境干净整洁。

（六）、以数据说话，做到事事有记录，必要的记录要归入档案。

5施工环境检查规范

一、信息系统安全集成施工开始前，应根据设计要求对施工现场条件进行全面检查

二、机房的插座数量和容量负荷信息系统安全集成设计要求，且安装工艺良好，满足使用

要求。

三、机柜的空间容量应满足实施、扩容需求，且安装工艺良好，满足使用要求。

四、机房电源已接入，满足设计和施工要求。

五、机房的防震应符合信息系统安全集成设计要求。

六、机房应提供可靠的接地设置，接地电阻值应符合信息系统安全集成设计要求。

6设备及配件检验规范

一、设备检验应符合下列要求：

（一）、设备的规格型号符合信息系统安全集成设计要求，数量符合订货合同要求

（二）、设备外包装应完整，无破损，无受潮等迹象；无明显凹陷。一旦发现受潮、破损或变形设备，应与客户共同进行鉴定，并做好记录。

（三）、信息系统安全集成施工过程中不得使用检验不合格的设备器材。

（四）、当设备不合符信息系统安全集成设计要求需做交大改变时，必须与客户协商、同意后办理相关手续。

（五）、信息系统安全集成服务人员应与客户一起按照装箱单与设备实物进行核对检查，并做好记录。

（六）、设备外观应完整无损、光洁、加电运行正常、零配件齐全。

（七）、验货时，应轻拿轻放。验货完毕，应做好标记存放；细小配件存放应特别注意，防止丢失。

（八）、开行验货完毕，应做好现场清理工作，并经客户确认。

、施工辅助配件检验应符合下列要求:

（一）、信息系统安全集成所用电源线、接地线、扎带、网线、尾纤规格、长度、型号等应符合设计规定。

（二）、信息系统安全集成所用电源线、接地线、扎带、网线、尾纤应完整无损、无断裂等现象。

7设备线缆布放规范

7.1机架安装规范

一、严格按照设计平面布置要求安装主设备及走线等设备和器材。

二、信息系统安全集成设备应固定在机柜上，特定设备应放置在托盘上并固定，设备间留

有空间。

三、信息系统安全集成设备电源接入应符合设计要求。

四、信息系统安全集成设备布线应符合综合设计要求。

五、信息系统安全集成设备接地应符合设计要求。

六、机柜搬动时应小心谨慎、轻拿轻放，避免刮碰。

7.2产品安装规范

一、严格按照设计平面布置要求安装主设备及走线等设备和器材。

二、信息系统安全集成设备上架之前不需确认机柜空间。详见施工环境检查规范。

三、信息系统安全集成设备上架时应平直、流畅，如有滞涉感，应检查机柜或者设备是否

损坏，切忌使用蛮力安装。

四、信息系统安全集成设备应固定在机柜上，特定设备应放置在托盘上并固定。螺丝应安

装完整，不宜只进行对角线安装。

五、信息系统安全集成设备电源接入应符合设计要求。

六、信息系统安全集成设备布线应符合综合设计要求。

七、信息系统安全集成设备接地应符合设计要求。

八、信息系统安全集成设备风扇不得遮挡，屏蔽。保证通风良好。

九、信息系统安全集成设备之间应留有一定间隔，保证设备散热。

十、设备搬运时应小心谨慎、轻拿轻放，避免刮碰。

7.3布线规范

一、线缆布放要横平竖直，不交叉，弯曲留有一定余量，不要受到外力的挤压和损

二、强电与弱点线缆应分开布放，不得捆扎在一起，两者间距大于30cm。

三、网线、尾纤应从机柜左边捆扎与绑线架上，电源接地应从机柜右侧捆扎与绑线架上。

四、机柜之间线缆连接，应根据用户环境采用机柜顶部走线或者地板下走线。

五、所有线缆不等布放于产品散热孔上，布放是不得阻挡设备风扇通道。

六、缆线应捆扎正确，松紧适度，尽量减少转弯，间距均匀整齐。

七、线缆终结后，应留有余量，线缆布放宜盘留。

八、对于尾纤的走架、槽道和架顶的裸露部分，均应加以固定并穿保护软管保护。

九、任何线缆的走线或者捆扎不得打结。

十、机柜内的绑线架及走线槽应光滑、无锋利棱角。

7.4工程标签使用规范

一、做好设备标签、信号线缆标签与电源线缆标签分类标识。

二、标签应先打印或手写内容，采用黑色油性笔书写，待字迹干后再进行粘贴。

三、各类标签应达到统一、清晰、易于辨识。

四、标签粘贴应根据设备结构和现场环境选择，宜粘贴在设备正面显眼处。

五、严禁把标签粘贴在设备通风口出。

六、线缆标签应标识本端与对端内容，并在线缆两端均粘贴。

8设备操作规范

一、信息系统安全集成设备供电前是被安装是否牢固。

二、信息系统安全集成设备供电前应检查电源电压是否符合标准。

三、信息系统安全集成设备供电前应检查设备接地是否符合标准。

四、信息系统安全集成设备供电前应检查各个端口联接是否正确。

五、信息系统安全集成设备供电前应检查板卡，扩展槽安装是否正确。

六、板卡插拔必须佩带防静电手腕，板卡的插拔要按照板卡操作手册进行。

七、信息系统安全集成设备加电要严格按照供电操作守则进行。

八、信息系统安全集成设备供电后检查设备基本运行状态包括风扇检查、电源系统

检查、相关指示灯检查，确保硬件运行无故障。

九、信息系统安全集成设备应用操作时应严格按照设备操作手册进行，不得进行强制断电等违规操作。

十、信息系统安全集成设备调试时，应根据现场应用环境，配置设备，满足信息系统安全

集成设计需求。

十一、信息系统安全集成设备调试，应做好相关数据备份。做好调试记录。

十二、信息系统安全集成设备调试完成后，应进行一段时间的试运行，确保设备安全、稳

定、无故障运行。

十三、信息系统安全集成设备调试接入客户网应该按照客户设备接入准则进行。

9售后服务规范

一、积极响应客户申报，认真、礼貌、细致、及时解决客户问题。

二、以客户需求优先的原则，最大限度保证客户信息系统正常运行。

三、24小时内远程处理客户申请，超过24小时，派遣工程师现场解决客户申报

四、实时应答客户申报，做到7*24小时热线服务模式。

五、多方式、多途径客户服务响应机制。如：远程、电话、回访和现场。

六、详细记录客户故障原因、及解决方法，完善客户信息档案。

七、远程故障处理时，应详细询问故障现象，认真听取、记录客户故障描述。

八、远程指导客户处理故障时，应条理清楚，叙述明确，简洁。

九、现场故障处理时，应遵守客户现场机房管理规定，维护良好的公司形象。十、现场故

常处理，应佩戴防静电手腕，损伤其他设备、板卡。

十一、现场故障处理，应按照相应设备的操作手册和规范进行，不得蛮干。

十二、对需要更换的板卡、设备做好详细记录。

十三、故障处理完成后，应填写相关文档，备案。

十四、在离开故障现场时，应打扫故障现场，保持现场整洁。十五、故障处理过后，应在一定时期内做好客户回访工作。

信息系统安全集成

信息系统安全集成服务资质客户信息管理

目录 1 目的 (3) 2 范围 (3) 3 客户信息内容 (3) 4 客户信息管理规定 (3) 4.1技术上管理规定 (3) 4.2文档管理规定 (4) 4.3服务人员管理规定 (4)

1目的保障客户信息安全，切实推行安全管理措施，积极预防客户信息泄露风险，完善控制措施。 2范围本办法适用于公司所有在职员工。 3客户信息内容客户信息包括以下几个方面的内容：一、客户资料（包括联系方式、地址和网络设备信息等）。二、集成活动中产生的文档、最终安全集成报告和项目验收文档。三、在集成过程中接触和应用的客户网络数据内容信息。四、在集成过程中接触和应用的客户现场安全设施信息。根据客户信息内容的特点，我公司采用安全的、可控的客户信息管理技术与法律、法规相结合的管理制度对客户信息以及服务人员进行管理。确保客户信息的安全、避免客户信息的外泄。 4客户信息管理规定 4.1技术上管理规定一、搭建客户信息管理系统（CRM）。CRM与互联网物理隔离，具有应用审计功能。二、与客户交流了解的客户信息应及时录入到客户信息管理系统中。不得私自留存。三、对客户信息内容进行分类。分为商务信息内容和技术信息内容。特定查询员只能查询特定信息内容。四、设定系统使用人员级别。分为管理员（增加、删除权限）和查询员（信息内容查询权限），查询员分为商务查询权限和技术查询权限。管理与查询权限需经公司领导层授权。五、每三个月提示使用者更新账户密码，新密码与旧密码不能一样。六、客户信息内容查询要完全按照客户信息管理操作使用手册操作。任何个人未经允许不得私自处理或找非相关人员对CRM系统进行维修及操作，不得擅自拆

安全生产综合监管信息系统平台建设的意义和应用(新版)

安全生产综合监管信息系统平台建设的意义和应用(新版) Safety management is an important part of enterprise production management. The object is the state management and control of all people, objects and environments in production. ( 安全管理 ) 单位：______________________ 姓名：______________________ 日期：______________________ 编号：AQ-SN-0983

安全生产综合监管信息系统平台建设的意义和应用(新版) 当前，经济全球化和科学技术飞速发展的时代背景下，安全生产管理与我国经济发展相伴已进入一个新的历史发展阶段，安全生产管理工作面临的新情况、新问题，实现我国安全生产管理模式的创新成为一个迫切的课题。安监局承担安全生产的综合监管职能，随着安全生产业务不断发展，安全生产应急指挥工作的迫切性已经不断显现出来，急切的需要建立起完善的管理、应急指挥体系以及相关的软硬件配套设施。一、开展安全生产综合监管信息系统意义贵港市位于广西东南部，位置优越，交通发达，拥有广西乃至大西南内河第一大港，全市人口超过500万。最近几年，非煤矿山、

危险化学品、烟花爆竹等行业和领域事故隐患大量存在，一些重大重大隐患和危险源尚未得到有效治理和监控，事故时有发生，安全生产形势仍然严峻。安全生产事关人民群众生命财产安全，事关改革发展稳定大局，事关党和政府形象和声誉。因此，为了进一步增强安全监管部门的动态监管能力、提高行政效率、规范执法行为、消除各种隐患、预防和减少重特大事故，就必须尽快适应当前安全生产形势任务发展变化的需要，进一步加大安全生产科技投入力度，切实提高安全监管工作质量、效能和水平。依据国务院要求的建立起国家、省（自治区、市）、市（地）、县（市）四级重大危险源监控和生产安全预警机制的总体要求，根据国家安监总局对全国安全生产信息化建设的统一要求和规划，结合安全生产信息化实际情况，围绕“扩展监察视野、增强监管水平、提高应急能力、强化行政效能、节约行政成本、预防事故发生、减少事故损失”的总目标，开展建设贵港市安全生产综合监管信息系统（以下简称安全监管信息系统），构建安全生产综合监管、重大危险源远程监测预警、应急救援指挥信息支持的三层预防体系。通过

信息系统安全管理办法(通用版)

企业信息管理系统管理办法第一章总则第一条为保证公司信息系统的安全性、可靠性，确保数据的完整性和准确性，防止计算机网络失密、泄密时间发生，制定本办法。第二条公司信息系统的安全与管理，由公司信息部负责。第三条本办法适用于公司各部门。第二章信息部安全职责第四条信息部负责公司信息系统及业务数据的安全管理。明确信息部主要安全职责如下：（一）负责业务软件系统数据库的正常运行与业务软件软件的安全运行；（二）负责银行卡刷卡系统服务器的安全运行与终端刷卡器的正常使用；（三）保证业务软件进销调存数据的准确获取与运用；（四）负责公司办公网络与通信的正常运行与安全维护；（五）负责公司杀毒软件的安装与应用维护；（六）负责公司财务软件与协同办公系统的维护。第五条及时向总经理汇报信息安全事件、事故。第三章信息部安全管理内容第六条信息部负责管理公司各计算机管理员用户名与密码，不得外泄。

第七条定期监测检查各计算机运行情况，如业务软件系统数据库出现异常情况，首先做好系统日志，并及时向总经理汇报，提出应急解决方案。第八条信息部在做系统需求更新测试时，需先进入备份数据库中测试成功后，方可对正式系统进行更新操作。第九条业务软件系统是公司数据信息的核心部位，也是各项数据的最原始存储位置，信息部必须做好设备的监测与记录工作，如遇异常及时汇报。第十条信息部负责收银机的安装与调试维护，收银网络的规划与实施。第十一条信息部负责公司办公网络与收银机（POS）IP地址的规划、分配和管理工作。包括IP地址的规划、备案、分配、IP地址和网卡地址的绑定、IP地址的监管和网络故障监测等。个人不得擅自更改或者盗用IP地址。第十二条公司IP地址的设置均采用固定IP分配方式，外来人员的电脑需要在信息部主管领导的批准下分配IP进行办公。第十三条用户发现有人未经同意擅自盗用、挪用他人或本人的IP地址，应及时向信息部报告。第十四条信息部负责公司办公网络与通信网络的规划与实施，任何个人或部门不得擅自挪动或关闭部门内存放的信息设备。第十五条办公电脑安全操作管理

网络信息安全系统的组织机构建设标准

某某石油治理局企业标准网络信息安全系统的组织机构建设规范 1适用范围本标准规定了某某石油治理局网络信息安全系统的组织机构建设规范。本标准适用于某某油田（企业内部）网络信息安全系统的组织机构建设。 2规范解释权本规定适用于某某油田治理局信息安全治理中心和下属各单位中心机房。 3网络信息安全系统的组织机构建设规范概述治理是网络安全的关键，实际上许多网络安全问题是因治理不当造成的，建立一个系统安全治理组织必不可少。安全治理组织的职责是, 宏观决策治理局信息安全的重大事件, 宏观决策治理局信息安全重大基础设施, 公布治理局信息安全政策, 批准治理局信息安全规划, 协调各相关部门的工作对治理局面临的重大信息安全紧急事件作

出决断等；研究信息安全关键技术的进展趋势; 为治理局信息安全规划和信息安全基础设施规划的制定提供技术性支持; 参与审批重大信息化工程的信息安全技术路线和措施; 参与制定信息安全的标准和规范; 参与制定信息安全产品的评测标准和规范等等。 4某某油田网络信息安全系统组织机构规划图：

5信息系统安全治理机构组织员组织原则 1)治理局以及下级单位应建立信息系统安全治理机构。 2)单位最高领导必须主管或者兼管信息系统安全工作。 3)按从上到下的垂直治理原则，上一级机关的信息系统治理机构指导下一级机关信息系统安全治理机构的工作。 4)下一级机关信息系统的安全治理机构同意并执行上一级机关信息系统安全治理机构的安全策略。 5)各级信息系统的安全治理机构，不隶属于同级信息系统治理和业务机构。 6)各级信息系统的安全治理机构由系统治理、系统分析、软件硬件、安全保卫、系统稽核、人事、通信等有关方面的人员组成。 7)信息系统人员治理机构应常设一办事机构，负责信息安全日常事务工作。 6信息系统安全治理机构的职能 1)治理局信息安全指导委员会： ?成员应为各主管部领导人,其负责人应为治理局要紧领导人。 ?该委员会下设技术专家委员会, 由治理局信息领域的

信息系统安全集成操作规范

. 1 信息系统安全集成操作规

目录 1 目的 (3) 2 适用围 (3) 3 引用标准 (3) 4 工作礼仪与作风 (3) 5 施工环境检查规 (4) 6 设备及配件检验规 (4) 7 设备线缆布放规 (5) 7.1机架安装规 (5) 7.2产品安装规 (5) 7.3布线规 (6) 7.4工程标签使用规 (6) 8 设备操作规 (7) 9 售后服务规 (7)

1目的为提高信息系统安全集成项目安全生产管理水平，指导信息系统安全集成项目按照安全生产的要求进行生产作业，减免人身伤亡、设施损坏的事故的发生。为提供优秀的技术支持和售后服务，确保我公司所提供的设备软、硬件在运行期间能够稳定、安全、高效的运行，最终保证客户网络的安全、正常运行。按照《安全生产法》、《建设工程安全管理条例》（国务院393号令）等法律法规的规定，制定本操作规。 2适用围本规适用于信息系统安全集成项目信线路、设备安装和调试，以及信息系统安全集成项目后的售后服务工作。本公司从事信息系统安全集成项目的相关人员，均应熟悉并严格执行本规程。 3引用标准 YD/T 1160-2001 接入网技术要求——基于以太网的宽带接入网 YD/T 1240-2002 接入网设备测试方法——基于以太网的宽带接入网设备 YD/T 1225-2003 具有路由功能的以太网交换机技术要求 YD/T1694-2007 以太网运行和维护技术要求 IEEE 802-2001 局域网和城域网的IEEE 标准：概况和架构 YD/T 926-2001 大楼通信综合布线系统 YD 5059-2005 通信设备安装抗震设计规 4工作礼仪与作风一、工作礼仪（一）、衣着整洁，着装得体，佩戴胸牌。（二）、保持乐观，不将个人情绪带到工作中。（三）、谦虚稳重，不卑不亢，态度诚恳，不夸夸其谈，不恶意中伤。

信息系统安全集成服务资质认证介绍

信息系统安全集成服务资质认证介绍一、工作背景随着我国信息化和信息安全保障工作的不断深入推进，以应急处理、风险评估、灾难恢复、系统测评、安全运维、安全审计、安全培训和安全咨询等为主要内容的信息安全服务在信息安全保障中的作用日益突出。加强和规范信息安全服务资质管理已成为信息安全管理的重要基础性工作。开展信息安全服务分类分级的资质认证可以对信息安全服务提供商的基本资格、管理能力、技术能力和服务过程能力等方面进行权威、客观、公正的评价，证明其服务能力，满足社会对服务的选择需求。同时，认证过程也将有效促进服务提供方完善自身管理体系，提高服务质量和水平，引导行业健康规范发展。中国信息安全认证中心是国家质检总局直属事业单位，经中央编制委员会批准成立，由国家认证认可监督管理委员会批准，可依据相关标准开展对信息安全服务资质分类分级的认证工作。2011年启动了信息系统安全集成服务资质认证工作，2013年4月，中国信息安全认证中心与辽宁省信息安全与软件测评认证中心签订了信息系统安全集成服务资质认证合作协议，授权测评认证中心为辽宁工作站，在辽宁省（含大连）内推广并实施信息系统安全集成服务资质认证工作。二、认证简介信息系统安全集成服务是指从事计算机应用系统工程和网络系

统工程的安全需求界定、安全设计、建设实施、安全保证的活动。信息系统安全集成包括在新建信息系统的结构化设计中考虑信息安全保证因素，从而使建设完成后的信息系统满足建设方或使用方的安全需求而开展的活动。也包括在已有信息系统的基础上额外增加信息安全子系统或信息安全设备等，通常被称为安全优化或安全加固。信息系统安全集成服务资质级别是衡量服务提供者服务能力的尺度。资质级别分为一级、二级、三级共三个级别，其中一级最高，三级最低。安全集成服务提供方的服务能力主要从以下四个方面体现：基本资格、服务管理能力、服务技术能力和服务过程能力；服务人员的能力主要从掌握的知识、安全集成服务的经验等综合评定。信息系统安全集成服务资质认证是依据ISCCC-SV-003:2011《信息系统安全集成服务资质认证规则》开展。评估对象是为信息系统所有者提供安全集成服务的组织。三、评价要求

信息系统安全建设方案

信息系统安全建设方案摘要从信息系统安全建设规划设计、技术体系以及运行管理等三个方面对信息系统安全建设技术要点进行了分析。关键词信息系统安全系统建设 1 建设目标当前，随着信息技术的快速发展及本公司信息系统建设的不断深化，公司运行及业务的开展越来越依赖信息网络，公司的信息安全问题日益突出，安全建设任务更加紧迫。由于本公司的业务特殊性，我们必须设计并建设一个技术先进、安全高效、可靠可控的信息安全系统，在实现网络系统安全的基础上，保护信息在传输、交换和存储过程中的机密性、完整性和真实性。 2 设计要点主要考虑两个要点：一是尽可能满足国家关于信息系统安全方面的有关政策要求，二是切合本公司信息安全系统建设内涵及特点。国家在信息系统建设方面，比较强调信息安全等级保护和安全风险管理。针对本公司的涉密系统集成资质要求和软件开发、软件外包业务的开展，这个方面的硬性规定会越来越重要。目前正在与有关主管单位咨询。信息系统等级划分需按照国家关于计算机信息系统等级划分指南，结合本本公司实际情况进行信息系统定级，实行分级管理。信息安全风险管理体现在信息安全保障体系的技术、组织和管理等方面。依据等级保护的思想和适度安全的原则，平衡成本与效益，合理部署和利用信息安全的信任体系、监控体系和应急处理等重要基础设施，确定合适的安全技术措施，从而确保信息安全保障能力建设的成效。 3 建设内容信息系统的安全建设包括三方面：一是技术安全体系建设；二是管理安全体系建设；三是运行保障安全体系建设。其中，技术安全体系设计和建设是关键和重点。按照信息系统的层次划分，信息系统安全建设技术体系包括物理层安全、网络安全、平台安全、应用安全以及用户终端安全等内容。 3.1 物理层安全物理层的安全设计应从三个方面考虑：环境安全、设备安全、线路安全。采取的措施包括：机房屏蔽，电源接地，布线隐蔽，传输加密。对于环境安全和设备安全，国家都有相关标准和实施要求，可以按照相关要求具体开展建设。 3.2 网络安全对于网络层安全，不论是安全域划分还是访问控制，都与网络架构设计紧密相关。网络

信息系统安全人员管理制度

信息系统安全人员管理制度1信息系统安全人员管理制度汇编第一章总则第一条为规范公司信息系统安全人员管理，保障公司信息安全，根据公司相关规章制度汇编整理，制订本制度。第二条公司所有涉及信息系统安全人员（简称信息安全人员），适用本制度。第二章录用与入职第三条信息安全人员招聘、录用一般流程参考《人才引进与任用管理暂行办法》第四条对拟录用信息安全人员应进行详细的背景调查，对其经历背景确认无误后才可办理录用手续。第五条信息安全人员在签订《劳动合同》同时应签订《劳动合同补充协议》约定纪律、保密及其他方面条款。第六条对信息安全人员进行入职培训时，应加强信息安全规章制度的教育培训，将制度掌握及执行情况纳入试用期考核。第三章信息安全规范第七条公司信息安全管理应严格遵照《信息安全管理责任制度》及《公司保密制度》执行。第八条未经公司同意，信息安全人员不得复制公司资料，不得

将公司机密资料向公众展示、发行，不得向第三方出售公司机密资料或产品。第九条信息安全人员接受外部邀请进行演讲、交流或授课，应事先征得公司批准，并就可能涉及的有关公司业务的重要内容征求领导意见。第十条信息安全人员不得利用职务之便，以盗窃、欺诈、胁迫等不正当手段窃取公司的技术秘密或商业秘密、人事秘密、财务（税）秘密。未经公司许可，不得擅自允许第三方使用公司的技术成果。第^一条信息安全人员应对各种工作密码保密，不对外提供和泄露。严禁盗用他人密码。第十二条信息安全人员在传阅文件时不得擅自扩大传阅范围，不得与无关人员或在公共场所谈论，不得擅自翻印、复制、抄袭或在公开发表的文章中引用。第十三条需销毁的文件资料由综合办公室统一集中处理。第十四条从事核心技术岗位的员工，如中途离开公司，自离开之日起两年之内，不得从事与本行业及本岗位相关的活动。第十五条信息安全人员在公司工作中接触到公司的技术秘密、关键技术及其他机密信息的，在离职后不得向第三方泄漏其所熟知有关公司机密的信息。

信息系统安全集成服务实施规范

信息系统安全集成实施规范

目录 1 目的 (3) 2 适用范围 (3) 3 安装调试 (3) 3.1准备阶段 (4) 3.1.1 准备工作安排 (4) 3.1.2 技术支持人员要求 (5) 3.1.3 险点分析与控制 (5) 3.1.4 工具及材料准备 (5) 3.2施工阶段 (6) 3.2.1 开工 (6) 3.2.2 施工工艺标准 (6) 4 信息系统安全集成项目验收 (7) 4.1信息系统安全集成项目自调测 (7) 4.2信息系统安全集成项目验收步骤 (7) 4.3信息系统安全集成项目验收内容 (8) 5 售后服务 (10) 5.1售后服务方式 (10) 5.2售后服务流程 (10) 5.2.1 电话维护 (11) 5.2.2 现场维护 (12) 5.2.3 定期回访 (13) 6 客户培训 (13) 6.1培训人员 (13) 6.2培训目标 (13) 6.3培训方式 (14) 6.4培训内容 (14) 7 建立客户档案 (14)

1目的规范信息系统安全集成的作业流程，确保人身和设备的安全。提高信息系统安全集成的安装、调试工作、资料归纳的管理水平及所属资料文档的规范化、标准化。提高信息系统安全集成服务人员的服务水平与服务意思。提高客户对信息系统安全集成后设备的操作、使用水平。保障信息系统安全集成后网络的安全、稳定运行。信息系统安全集成工程的工作主要包括以下三个方面：现场的安装调试、工程验收、售后服务和客户培训。 2适用范围适用于公司信息系统安全集成项目所有应用产品的安装、调试、验收、售后服务和培训工作。安装、调试、验收和售后服务部分针对人群为本公司技术支持工程师；培训部分针对于客户信息系统中安全系统的管理、操作和维护人员。 3安装调试为保障信息系统安全集成服务项目的安全、有效的进行。保证设备验收一次性通过，以及施工后的维护工作顺利进行。项目集成过程中要严格按照流程进行操作。一、远程核实现场实施条件，协调客户完善现场实施环境，确认实施日期。二、现场确认实施条件，协调客户完善现场实施环境，确认实施日期。三、与客户一同进行开箱验货，验货清单双方签字确认。四、组织开工协调会议，确认施工范围和施工职责。做到安全施工责任到个人。五、进行安全系统产品的安装、调试工作。六、安全系统设备运行自检、观察。确保产品配置正确，安全、稳定的运行。

(完整版)信息系统安全规划方案

信构企业信用信息管理系统安全规划建议书

目录 1.总论 (3) 1.1. 项目背景 (3) 1.2. 项目目标 (3) 1.3. 依据及原则 (4) 1.3.1. 原则 (4) 1.3.2. 依据 (5) 1.4. 项目范围 (7) 2.总体需求 (7) 3.项目建议 (8) 3.1. 信构企业信用信息管理系统安全现状评估与分析 (8) 3.1.1. 评估目的 (8) 3.1.2. 评估内容及方法 (9) 3.1.3. 实施过程 (14) 3.2. 信构企业信用信息管理系统安全建设规划方案设计 (23) 3.2.1. 设计目标 (23) 3.2.2. 主要工作 (24) 3.2.3. 所需资源 (27) 3.2.4. 阶段成果 (27) 4.附录 (27) 4.1. 项目实施内容列表及报价清单 (27)

1.总论 1.1.项目背景 ******************（以下简称“********”）隶属***********，主要工作职责是根据…………………………………………………………的授权，负责………………；负责…………………………等工作。 ********作为*********部门，在印前，需要对………………………………。在整个…………业务流程中信构企业信用信息管理系统起了关键的作用。 1.2.项目目标以国家信息安全等级保护相关文件及ISO27001/GBT22080为指导，结合********信构企业信用信息管理系统安全现状及未来发展趋势，建立一套完善的安全防护体系。通过体系化、标准化的信息安全风险评估，积极采取各种安全管理和安全技术防护措施，落实信息安全等级保护相关要求，提高信构企业信用信息管理系统安全防护能力。从技术与管理上提高********网络与信构企业信用信息管理系统安全防护水平，防止信息网络瘫痪，防止应用系统破坏，防止业务数据丢失，防止企业信息泄密，防止终端病毒感染，防止有害信息传播，防止恶意渗透攻击，确保信构企业信用信息管理系统安全稳定运行，确保业务数据安全。

计算机信息系统安全管理制度

计算机信息系统安全管理制度第一章总则第一条为了保护计算机信息系统的安全，促进信息化建设的健康发展，根据国家和辽宁省相关规定，结合本院实际，制定本规定。第二条本院信息系统内所有计算机的安全保护，适用本规定。第三条工作职责（一）每一个计算机信息系统使用人都是计算机安全员，计算机安全员负责本人在用计算机信息系统的正确使用、日常使用维护，发现故障、异常时及时向计算机信息系统管理员报告；（二）计算机信息系统管理员负责院内： 1、计算机信息系统使用制度、安全制度的建立、健全； 2、计算机信息系统档案的建立、健全,计算机信息系统使用情况的检查； 3、计算机信息系统的日常维护（包括信息资料备份，病毒防护、系统安装、升级、故障维修、安全事故处理或上报等）； 4、计算机信息系统与外部单位的沟通、协调（包括计算机信息系统相关产品的采购、安装、验收及信息交换等）；5、计算机信息系统使用人员的技术培训和指导。（三）计算机信息系统信息审查小组负责局机关计算机信息系统对内、对外发布信息审查工作。

第二章计算机信息系统使用人员要求第四条计算机信息系统管理员、计算机信息系统信息审查员必须取得省计算机安全培训考试办公室颁发的计算机安全培训合格证书，并由局领导任命，在计算机信息系统安全管理方面接受局领导的直接领导。第五条计算机安全员必须经安全知识培训，经考核合格后，方可上机操作。第六条由计算机信息管理员根据环境、条件的变化，定期组织计算机安全员开展必要的培训，以适应计算机安全防护和操作系统升级的需要。第三章计算机信息系统的安全管理第七条计算机机房安全管理制度（一）计算机机房由计算机信息管理员专人管理，未经计算机信息系统管理员许可，其他人员不得进入计算机房。（二）计算机房服务器除停电外一般情况下全天候开机；在紧急情况下，可采取暂停联网、暂时停机等安全应急措施。如果是电力停电，首先联系医院后勤部门，问清停电的原因、何时来电。然后检查UPS电池容量，看能否持续供电到院内开始发电。（三）计算机房服务器开机时，室内温度应控制在17度，避免温度过高影响服务器性能。（四）计算机房应保证全封闭，确保蚊虫、老鼠、蟑螂等不能进入机房，如在机房发现蚊虫、老鼠、蟑螂等，应及时杀灭，以防设备、线路被破坏。

信息系统安全集成服务实施规范标准

信息系统安全集成实施规

目录 1 目的 (4) 2 适用围 (4) 3 安装调试 (4) 3.1准备阶段 (5) 3.1.1 准备工作安排 (5) 3.1.2 技术支持人员要求 (6) 3.1.3 险点分析与控制 (6) 3.1.4 工具及材料准备 (6) 3.2施工阶段 (7) 3.2.1 开工 (7) 3.2.2 施工工艺标准 (7) 4 信息系统安全集成项目验收 (8) 4.1信息系统安全集成项目自调测 (8) 4.2信息系统安全集成项目验收步骤 (8) 4.3信息系统安全集成项目验收容 (9) 5 售后服务 (11) 5.1售后服务方式 (11) 5.2售后服务流程 (11) 5.2.1 维护 (12) 5.2.2 现场维护 (12) 5.2.3 定期回访 (13) 6 客户培训 (14) 6.1培训人员 (14) 6.2培训目标 (14) 6.3培训方式 (14) 6.4培训容 (14)

7 建立客户档案 (14)

1目的规信息系统安全集成的作业流程，确保人身和设备的安全。提高信息系统安全集成的安装、调试工作、资料归纳的管理水平及所属资料文档的规化、标准化。提高信息系统安全集成服务人员的服务水平与服务意思。提高客户对信息系统安全集成后设备的操作、使用水平。保障信息系统安全集成后网络的安全、稳定运行。信息系统安全集成工程的工作主要包括以下三个方面：现场的安装调试、工程验收、售后服务和客户培训。 2适用围适用于公司信息系统安全集成项目所有应用产品的安装、调试、验收、售后服务和培训工作。安装、调试、验收和售后服务部分针对人群为本公司技术支持工程师；培训部分针对于客户信息系统中安全系统的管理、操作和维护人员。 3安装调试为保障信息系统安全集成服务项目的安全、有效的进行。保证设备验收一次性通过，以及施工后的维护工作顺利进行。项目集成过程中要严格按照流程进行操作。一、远程核实现场实施条件，协调客户完善现场实施环境，确认实施日期。二、现场确认实施条件，协调客户完善现场实施环境，确认实施日期。三、与客户一同进行开箱验货，验货清单双方签字确认。四、组织开工协调会议，确认施工围和施工职责。做到安全施工责任到个人。五、进行安全系统产品的安装、调试工作。六、安全系统设备运行自检、观察。确保产品配置正确，安全、稳定的运行。

《信息系统安全集成服务资质认证评价要求》

《信息系统安全集成服务资质认证评价要求》编制说明一、工作简况《信息系统安全集成服务资质认证评价要求》行业标准制定项目是中国认证认可行业标准化技术委员会2013年度的标准制修订项目。该项目由中国信息安全认证中心承担。截止到2011年底，国内外尚未形成安全集成服务相关标准。ISO/IEC 21827:2008 ISO/IEC 21827:2008《Information technology —Security techniques —Systems Security Engineering —Capability Maturity Model? (SSE-CMM?)》与国家标准GB/T 20261-2006《信息技术系统安全工程能力成熟度模型》是针对信息安全工程的，其中安全工程过程包括了风险评估、安全工程与安全保证三个方面内容，以及安全工程的能力成熟度模型，未涉及认证评价的内容，所以该标准不能完全满足信息安全服务资质认证工作的需要。鉴于现状，我们征集了信息安全业界专家的意见，专家一致提议安全集成服务资质认证标准可参考ISO/IEC 21827:2008中的安全工程与安全保证部分的内容。结合我中心已开展的信息安全风险评估与应急处理服务资质认证的标准，将安全集成服务资质分为三级，其中一级最高，三级最低，最终制定一套符合我国信息安全服务现状的认证实施规则，依据该规则指导安全集成服务资质认证工作。为了规范信息系统安全集成（以下简称安全集成）服务市场，提升安全集成服务质量，我中心于2012年初，依据ISCCC-SV-003《信息系统安全集成服务资质认证实施规则》开展了安全集成服务资质认证业务。该实施规则得到了申请方的一致认可。该项标准是在中国信息安全认证中心ISCCC-SV-003《信息系统安全集成服务资质认证实施规则》的基础上，经编写小组多次讨论和征求意见后制定，形成了目前的标准草案稿。二、编制原则为使该评价准则能够科学、规范地开展认证工作，客观反映我国信息安全集成服务产业的现状，评价信息安全集成服务提供方的资质，并通过指导、规范服务过程，实现服务良好的可操作性、可用性、安全性，在评价准则制定过程中，采用科学合理、结构严谨、计划周全的方法来进编制《信息系统安全集成服务资质认证评价要求》。本标准在将参考国际通用的标准ISO/IEC 21827:2008《Information technology — Security techniques —Systems Security Engineering —Capability Maturity Model? (SSE-CMM?)》与国家标准GB/T 20262-2006《信息技术系统安全工程能力成熟度模型》以及相关技术发展和实践

信息系统安全管理规定

信息系统安全管理规定公司内部编号：（GOOD-TMMT-MMUT-UUPTY-UUYY-DTTI-

计算机信息系统安全管理制度 2008年8月目录第一章总则第1条依据《中华人民共和国保守国家秘密法》和有关保密规定，为进一步加强本单位计算机信息系统安全保密管理，并结合本单位的实际情况，制定本制度。第2条计算机信息系统包括：涉密计算机信息系统和非涉密计算机信息系统。其中，涉密计算机信息系统指以计算机或者计算机网络为主体，按照一定的应用目标和规则构成的处理涉密信息的人机系统。第3条涉密计算机信息系统的保密工作坚持积极防范、突出重点，既确保国家秘密安全又有利于信息化发展的方针。

第4条涉密计算机信息系统的安全保密工作实行分级保护与分类管理相结合、行政管理与技术防范相结合、防范外部与控制内部相结合的原则。第5条涉密计算机信息系统的安全保密管理，坚持“谁使用，谁负责”的原则，同时实行主要领导负责制。第二章系统管理人员的职责第6条本单位的涉密计算机信息系统的管理由各科室负责，具体技术工作由信息中心承担，设置以下安全管理岗位：系统管理员、安全保密管理员、密钥管理员。第7条系统管理员负责信息系统和网络系统的运行维护管理，主要职责是：信息系统主机的日常运行维护；信息系统的系统安装、备份、维护；信息系统数据库的备份管理；应用系统访问权限的管理；网络设备的管理；网络的线路保障；网络服务器平台的运行管理，网络病毒入侵防范。第8条安全保密管理员负责网络信息系统的安全保密技术管理，主要职责是：网络信息安全策略管理；网络信息系统安全检查；涉密计算机的安全管理；网络信息系统的安全审计管理；违规外联的监控。第9条密钥管理员负责密钥的管理，主要职责是：身份认证系统的管理；密钥的制作；密钥的更换；密钥的销毁。第10条对涉密计算机信息系统安全管理人员的管理要遵循“从不单独原则”、“责任分散原则”和“最小权限原则”。第11条新调入或任用涉密岗位的系统管理人员，必须先接受保密教育和网络安全保密知识培训后方可上岗工作。

信息系统安全集成项目管理制度汇编

信息系统及安全集成项目管理制度

目录 1 信息系统安全集成项目管理 (3) 1.1项目管理需求 (3) 1.2项目管理目的 (3) 2 项目管理制度 (4) 2.1人员管理 (4) 2.2项目组织管理 (4) 2.3项目质量管理 (5) 2.4项目进度管理 (6) 2.5项目材料管理 (7) 2.6项目安全管理 (7) 2.7项目成本管理 (8) 2.8项目竣工技术文件管理 (9) 2.9项目结算文件管理 (9) 2.10项目施工分配原则 (10)

1信息系统安全集成项目管理 1.1项目管理需求信息系统安全集成管理应该以计划为基础、过程控制为手段、知识模板为依托、一业务流程为主线来警醒构建。包括实施计划模板、进度进化模板、工程规章制度、工程操作流程、工程信息分析等，在工程实施项目过程中祈祷了一定的指导作用。而在实际操作过程中需要加强对施工质量的控制力度，确保建设的质量，及时发现施工质量存在的问题并能迅速采取相应的措施加以纠正和解决，必须在已有的各种管理细则基础上，制定出一套较完善的工程建设项目管理体系和项目管理工具，使之能指导工程建设的全过程，客观地记录和评估项目建设质量和项目管理水平。 1.2项目管理目的一、加强各级项目管理人员的项目管理意识，认识现代项目管理知识范围和工作方法。二、构建科学的项目管理体系，使项目管理业务流程、项目实施业务流程、项目管理制度标准化、规范化、建立标准、规范的知识模板库。三、简便地制定项目工作分解计划，进度网络计划，资源使用计划、成本预算计划、工程质量计划等，科学合理地制定项目基准。四、项目执行期间，规划、评估、优化、规范和固化业务流程，利用信息系统来规范地执行各类业务流程，监管项目的实施进度、工程质量和风险应对。五、在项目验收后，系统地评估、分析项目的实际效益，回顾及审计项目过程及项目成果，沉淀项目建设过程的经验知识作为未来项目的管理经验。

信息系统建设管理制度

信息系统建设管理制度第一章总则第一条为加快公司信息系统建设步伐，规范信息系统工程项目建设安全管理，提升信息系统建设和管理水平，保障信息系统工程项目建设安全，特制定本规范。第二条本规范主要对XX公司（以下简称“公司”）信息系统建设过程提出安全管理规范。保证安全运行必须依靠强有力的安全技术，同时更要有全面动态的安全策略和良好的内部管理机制，本规范包括五个部分： 1）项目建设安全管理的总体要求：明确项目建设安全管理的目标和原则； 2）项目规划安全管理：对信息化项目建设各个环节的规划提出安全管理要求，确定各个环节的安全需求、目标和建设方案； 3）方案论证和审批安全管理：由安全管理部门组织行内外专家对项目建设安全方案进行论证，确保安全方案的合理性、有效性和可行性。标明参加项目建设的安全管理和技术人员及责任，并按规定安全内容和审批程序进行审批； 4）项目实施方案和实施过程安全管理：包括确定项目实施的阶段的安全管理目标和实施办法，并完成项目安全专用产品的确定、非安全产品安全性的确定等； 5）项目投产与验收安全管理：制定项目安全测评与验收方法、项目投产的安全管理规范，以及相关依据。第三条规范性引用文件

下列文件中的条款通过本规范的引用而成为本规范的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本规范，但鼓励研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本规范。 GB/T 5271.8－2001信息技术词汇第8部分安全第四条术语和定义本规范引用GB/T 5271.8－2001中的术语和定义，还采用了以下术语和定义： 1）信息安全infosec 信息的机密性、完整性和可用性的保护。注释：机密性定义为确保信息仅仅被那些被授权了的人员访问。完整性定义为保护信息和处理方法的准确性和完备性。可用性定义为保证被授权用户在需要时能够访问到信息和相关资产。 2)计算机系统安全工程ISSE（Information Systems Security Engineering）计算机系统安全工程（ISSE）是发掘用户信息安全保护需求，然后以经济、精确和简明的方法来设计和建造计算机系统的一门技巧和科学，ISSE识别出安全风险，并使这些风险减至最少或使之受到遏制。 3)风险分析risk analysis 对信息和信息处理设施所面临的威胁及其影响以及计算机系统脆弱性及其发生的可能性的分析评估。 4)安全目标security objective

网络安全信息系统管理制度

本文从网络收集而来，上传到平台为了帮到更多的人，如果您需要使用本文档，请点击下载，另外祝您生活愉快，工作顺利，万事如意！网络安全信息系统管理制度计算机信息网络单位应当在根河市网络安全主管部门监督指导下，建立和完善计算机网络安全组织，成立计算机网络安全领导小组。 1、确定本单位计算机安全管理责任人和安全领导小组负责人（由主管领导担任），应当履行下列职责：（一）组织宣传计算机信息网络安全管理方面的法律、法规和有关政策；（二）拟定并组织实施本单位计算机信息网络安全管理的各项规章制度；（三）定期组织检查计算机信息网络系统安全运行情况，及时排除各种安全隐患；（四）负责组织本单位信息安全审查；（五）负责组织本单位计算机从业人员的安全教育和培训；（六）发生安全事故或计算机违法犯罪案件时，立即向公安机关网监部门报告并采取妥善措施，保护现场，避免危害的扩散，畅通与公安机关网监部门联系渠道。

2、配备１至２名计算机安全员（由技术负责人和技术操作人员组成），应当履行下列职责：（一）执行本单位计算机信息网络安全管理的各项规章制度；（二）按照计算机信息网络安全技术规范要求对计算机信息系统安全运行情况进行检查测试，及时排除各种安全隐患；（三）根据法律法规要求，对经本网络或网站发布的信息实行24小时审核巡查，发现传输有害信息，应当立即停止传输，防止信息扩散，保存有关记录，并向公安机关网监部门报告；（四）发生安全事故或计算机违法犯罪案件时，应当立即向本单位安全管理责任人报告或直接向公安机关网监部门报告，并采取妥善措施，保护现场，避免危害的扩大；（五）在发生网络重大突发性事件时，计算机安全员应随时响应，接受公安机关网监部门调遣，承担处置任务；（六）我市计算机安全技术人员必须经过市公安机关网监部门认可的安全技术培训，考核合格后持证上岗。合格证有效期两年。 3、单位安全组织应保持与公安机关联系渠道畅通，保证各项信息网络安全政策、法规在本单位的落实，积极接受公安机关网监部门业务监督检查。 4、单位安全组织的安全负责人及安全技术人员应切实履行各项安全职责，对不依法履行职责，造成安全事故和重大损害的，由公安机关予以警告，并建议其所在单位给予纪律或经济处理；情节严重的，依法追究刑事责任。

系统集成项目信息系统安全管理

系统集成项目信息系统安全管理 17.1信息安全管理 17.1.1信息安全含义及目标 1．信息安全定义现代社会已经进入了信息社会，其突出的特点表现为信息的价值在很多方面超过其信息处理设施包括信息载体本身的价值，例如一台计算机上存储和处理的信息价值往往超过计算机本身的价值。另外，现代社会的各类组织，包括政府、企业，对信息以及信息处理设施的依赖也越来越大，一旦信息丢失或泄密、信息处理设施中断，很多政府及企事业单位的业务也就无法运营了。现代信息社会对于信息的安全提出了更高的要求，对信息安全的内涵也不断进行延伸和拓展。国际标准ISO/IEC27001: 2005《信息技术．安全技术．信息安全管理体系．要求》标准中给出目前国际上的一个公认的信息安全的定义：“保护信息的保密性、完整性、可用性；另外也包括其他属性，如：真实性、可核查性、不可抵赖性和可靠性。” 2．信息安全属性及目标 (1)保密性。是指“信息不被泄漏给未授权的个人、实体和过程或不被其使用的特性。”简单地说，就是确保所传输的数据只被其预定的接收者读取。保密性的破坏有多种可能，例如，信息的故意泄露或松懈的安全管理。数据的保密性可以通过下列技术来实现。 ·网绺安全协议。’ ·网络认证服务。 ·数据加密服务。 (2)完整性。是指“保护资产的正确和完整的特性。”简单地说，就是确保接收到的数据就是发送的数据。数据不应该被改变，这需要某种方法去进行验证。确保数据完整性的技术包括： ·消息源的不可抵赖。 ·防火墙系统。 ·通信安全。 ·入侵检测系统 (3)可用性。是指“需要时，授权实体可以访问和使用的特性。”可用性确保数据在需要时可以使用。尽管传统上认为可用性并不属于信息安全的范畴，但随着拒绝服务攻击的逐渐盛行，要求数据总能保持可用性就显得很关键了。一些确保可用性的技术如以下几个方面。 ·磁盘和系统的容错及备份。 ·可接受的登录及进程性能。 ·可靠的功能性的安全进程和机制。保密性、完整性和可用性是信息安全最为关注的三个属性，因此这三个特性也经常被称为信息安全三元组，这也是信息安全通常所强调的目标。 (4)其他属性及目标。另外，信息安全也关注一些其他特性：真实性一般是指对信息的来源进行判断，能对伪造来源的信息予以鉴别。可核查性是指系统实体的行为可以被独一无二地追溯到该

(管理与人事)信息系统安全管理制度

计算机信息系统安全管理制度 2008年8月

目录第一章总则 (3) 第二章系统管理人员的职责 (3) 第三章机房管理制度 (4) 第四章系统管理员工作细则 (5) 第五章安全保密管理员工作细则 (7) 第六章密钥管理员工作细则 (9) 第七章计算机信息系统应急预案 (10) 第八章附则 (10)

第一章总则第1条依据《中华人民共和国保守国家秘密法》和有关保密规定，为进一步加强本单位计算机信息系统安全保密管理，并结合本单位的实际情况，制定本制度。第2条计算机信息系统包括：涉密计算机信息系统和非涉密计算机信息系统。其中，涉密计算机信息系统指以计算机或者计算机网络为主体，按照一定的应用目标和规则构成的处理涉密信息的人机系统。第3条涉密计算机信息系统的保密工作坚持积极防范、突出重点，既确保国家秘密安全又有利于信息化发展的方针。第4条涉密计算机信息系统的安全保密工作实行分级保护与分类管理相结合、行政管理与技术防范相结合、防范外部与控制内部相结合的原则。第5条涉密计算机信息系统的安全保密管理，坚持“谁使用，谁负责”的原则，同时实行主要领导负责制。第二章系统管理人员的职责第6条本单位的涉密计算机信息系统的管理由各科室负责，具体技术工作由信息中心承担，设置以下安全管理岗位：系统管理员、安全保密管理员、密钥管理员。第7条系统管理员负责信息系统和网络系统的运行维护管理，主要职责是：信息系统主机的日常运行维护；信息系统的系统安装、备份、维护；信息系统数据库的备份管理；应用系统访问权限的管理；网络设备的管理；网络的线路保障；网络服务器平台的运行管理，网络病毒入侵防范。第8条安全保密管理员负责网络信息系统的安全保密技术管理，主要职责是：网络信息安全策略管理；网络信息系统安全检查；涉密计算机的安全管理；网络信息系统的安全审计管理；违规外联的监控。第9条密钥管理员负责密钥的管理，主要职责是：身份认证系统的管理；密钥的制作；密钥的更换；密钥的销毁。第10条对涉密计算机信息系统安全管理人员的管理要遵循“从不单独原则”、“责任分散原则” 和“最小权限原则”。

信息系统安全建设方案

信息安全风险管理体现在信息安全保障体系的技术、组织和管理等方面。依据等级保护的思想和适度安全的原则，平衡成本与效益，合理部署和利用信息安全的信任体系、监控体系和应急处理等重要基础设施，确定合适的安全技术措施，从而确保信息安全保障能力建设的成效。 3 建设内容信息系统的安全建设包括三方面：一是技术安全体系建设；二是管理安全体系建设；三是运行保障安全体系建设。其中，技术安全体系设计和建设是关键和重点。按照信息系统的层次划分，信息系统安全建设技术体系包括物理层安全、网络安全、平台安全、应用安全以及用户终端安全等内容。 3.1 物理层安全物理层的安全设计应从三个方面考虑：环境安全、设备安全、线路安全。采取的措施包括：机房屏蔽，电源接地，布线隐蔽，传输加密。对于环境安全和设备安全，国家都有相关标准和实施要求，能够按照相关要求具体开展建设。 3.2 网络安全对于网络层安全，不论是安全域划分还是访问控制，都与网络架构设计紧密相关。网络架构设计是网络层设计主要内容，网络架构的合理性直接关系到网络层安全。（网络架构设计需要做到：统筹考虑信息系统系统安全等