机关信息安全管理制度

相关推荐

机关信息安全管理制度

第一条为规范公安机关公共信息网络安全监察部门开展信息安全等级保护检查工作，根据《信息安全等级保护管理办法》（以下简称《管理办法》），制定本规范。

机关信息安全管理制度

第二条公安机关信息安全等级保护检查工作是指公安机关依据有关规定，会同主管部门对非涉密重要信息系统运营使用单位等级保护工作开展和落实情况进行检查，督促、检查其建设安全设施、落实安全措施、建立并落实安全管理制度、落实安全责任、落实责任部门和人员。

第三条信息安全等级保护检查工作由市（地）级以上公安机关公共信息网络安全监察部门负责实施。每年对第三级信息系统的运营使用单位信息安全等级保护工作检查一次，每半年对第四级信息系统的运营使用单位信息安全等级保护工作检查一次。

第四条公安机关开展检查工作，应当按照“严格依法，热情服务”的原则，遵守检查纪律，规范检查程序，主动、热情地为运营使用单位提供服务和指导。

第五条信息安全等级保护检查工作采取询问情况，查阅、核对材料，调看记录、资料，现场查验等方式进行。

第六条检查的主要内容：

（一）等级保护工作组织开展、实施情况。安全责任落实情况，信息系统安全岗位和安全管理人员设置情况；

（二）按照信息安全法律法规、标准规范的要求制定具体实施方案和落实情况；

（三）信息系统定级备案情况，信息系统变化及定级备案变动情况；

（四）信息安全设施建设情况和信息安全整改情况；

（五）信息安全管理制度建设和落实情况；

（六）信息安全保护技术措施建设和落实情况；

（七）选择使用信息安全产品情况；

（八）聘请测评机构按规范要求开展技术测评工作情况，根据测评结果开展整改情况；

（九）自行定期开展自查情况；

（十）开展信息安全知识和技能培训情况。

第七条检查项目：

（一）等级保护工作部署和组织实施情况

1．下发开展信息安全等级保护工作的文件，出台有关工作意见或方案，组织开展信息安全等级保护工作情况。

2．建立或明确安全管理机构，落实信息安全责任，落实安全管理岗位和人员。

3．依据国-家-信-息安全法律法规、标准规范等要求制定具体信息安全工作规划或实施方案。

4．制定本行业、本部门信息安全等级保护行业标准规范并组织实施。

（二）信息系统安全等级保护定级备案情况

1．了解未定级、备案信息系统情况以及第一级信息系统有关情况，对定级不准的提出调整建议。

2．现场查看备案的信息系统，核对备案材料，备案单位提交的备案材料与实际情况相符合情况。

3．补充提交《信息系统安全等级保护备案登记表》表四中有关备案材料。

4．信息系统所承载的业务、服务范围、安全需求等发生变化情况，以及信息系统安全保护等级变更情况。

5．新建信息系统在规划、设计阶段确定安全保护等级并备案情况。

（三）信息安全设施建设情况和信息安全整改情况

1．部署和组织开展信息安全建设整改工作。

2．制定信息安全建设规划、信息系统安全建设整改方案。

3．按照国家标准或行业标准建设安全设施，落实安全措施。

（四）信息安全管理制度建立和落实情况

1．建立基本安全管理制度，包括机房安全管理、网络安全管理、系统运行维护管理、系统安全风险管理、资产和设备管理、数据及信息安全管理、用户管理、备份与恢复、密码管理等制度。

2．建立安全责任制，系统管-理-员、网络管-理-员、安全管-理-员、安全审计员是否与本单位签订信息安全责任书。

3．建立安全审计管理制度、岗位和人员管理制度。

4．建立技术测评管理制度，信息安全产品采购、使用管理制度。

5．建立安全事件报告和处置管理制度，制定信息系统安全应急处置预案，定期组织开展应急处置演练。

6．建立教育培训制度，定期开展信息安全知识和技能培训。

（五）信息安全产品选择和使用情况

1．按照《管理办法》要求的条件选择使用信息安全产品。

2．要求产品研制、生产单位提供相关材料。包括营业执照，产品的版权或专利证书，提供的声明、证明材料，计算机信息系统安全专用产品销售许可证等。

3．采用国外信息安全产品的，经主管部门批准，并请有关单位对产品进行专门技术检测。

（六）聘请测评机构开展技术测评工作情况

1．按照《管理办法》的要求部署开展技术测评工作。对第三级信息系统每年开展一次技术测评，对第四级信息系统每半年开展一次技术测评。

2．按照《管理办法》规定的条件选择技术测评机构。

3．要求技术测评机构提供相关材料。包括营业执照、声明、证明及资质材料等。

4．与测评机构签订保密协议。

5．要求测评机构制定技术检测方案。

6．对技术检测过程进行监督，采取了哪些监督措施。

7．出具技术检测报告，检测报告是否规范、完整，检查结果是否客观、公正。

8．根据技术检测结果，对不符合安全标准要求的，进一步进行安全整改。

（七）定期自查情况

1．定期对信息系统安全状况、安全保护制度及安全技术措施的落实情况进行自查。第三级信息系统是否每年进行一次自查，第四级信息系统是否每半年进行一次自查。

2．经自查，信息系统安全状况未达到安全保护等级要求的，运营、使用单位进一步进行安全建设整改。

第八条各级公安机关按照“谁受理备案，谁负责检查”的原则开展检查工作。具体要求是：

对跨省或者全国联网运行、跨市或者全省联网运行等跨地域的信息系统，由部、省、市级公安机关分别对所受理备案的信息系统进行检查。对辖区内独自运行的信息系统，由受理备案的公安机关独自进行检查。

第九条对跨省或者全国联网运行的信息系统进行检查时，需要会同其主管部门。因故无法会同的，公安机关可以自行开展检查。

第十条公安机关开展检查前，应当提前通知被检查单位，并发送《信息安全等级保护监督检查通知书》。

第十一条检查时，检查民-警不得少于两人，并应当向被检查单位负责人或其他有关人员出示工作证件。

第十二条检查中应当填写《信息系统安全等级保护监督检查记录》（以下简称《监督检查记录》）。检查完毕后，《监督检查记录》应当交被检查单位主管人员阅后签字；对记录有异议或者拒绝签名的，监督、检查人员应当注明情况。《监督检查记录》应当存档备查。 [!--empirenews.page--]

第十三条检查时，发现不符合信息安全等级保护有关管理规范和技术标准要求，具有下列情形之一的，应当通知其运营使用单位限期整改，并发送《信息系统安全等级保护限期整改通知书》（以下简称《整改通知》）。逾期不改正的，给予警告，并向其上级主管部门通报：

（一）未按照《管理办法》开展信息系统定级工作的；

（二）信息系统安全保护等级定级不准确的；

（三）未按《管理办法》规定备案的；

（四）备案材料与备案单位、备案系统不符合的；

（五）未按要求及时提交《信息系统安全等级保护备案登记表》表四的有关内容的；

（六）系统发生变化，安全保护等级未及时进行调整并重新备案的；

（七）未按《管理办法》规定落实安全管理制度、技术措施的；

（八）未按《管理办法》规定开展安全建设整改和安全技术测评的；

（九）未按《管理办法》规定选择使用信息安全产品和测评机构的；

（十）未定期开展自查的；

（十一）违反《管理办法》其他规定的。

第十四条检查发现需要限期整改的，应当出具《整改通知》，自检查完毕之日起10个工作日内送达被检查单位。

第十五条信息系统运营使用单位整改完成后，应当将整改情况报公安机关，公安机关应当对整改情况进行检查。

第十六条公安机关实施信息安全等级保护监督检查的法律文书和记录，应当统一存档备查。

第十七条受理备案的公安机关应该配备必要的警力，专门负责信息安全等级保护监督、检查和指导。从事检查工作的民-警应当经过省级以上公安机关组织的信息安全等级保护监督检查岗位培训。

第十八条公安机关对检查工作中涉及的国家秘密、工作秘密、商业秘密和个人隐私等应当予以保密。

第十九条公安机关进行安全检查时不得收取任何费用。

第二十条本规范所称“以上”包含本数（级）。

第二十一条本规范自发布之日起实施。

政府机构电子文件信息安全组织管理研究2015-10-20 10:45 | #2楼

一、组织管理的要求

政府各级机构开展的电子文件信息安全组织管理工作应当在本机构的年度和长期工作计划中占有重要位置，应当本着“全面系统”、“科学配置”、“注重实效”和“责任明确”的具体要求开展实施。

（一）全面系统

全面系统是指政府各级机构在开展电子文件信息安全组织管理工作时，应当将所有与电子文件信息安全相关的人、物、事均纳入到管理当中，做到全过程、全方位、全覆盖的管理。电子文件信息安全涉及的各项因素多，各因素之间的关系复杂多变。由安全木桶原理可知，机构的电子文件信息安全水平是由所有相关因素中最薄弱的因素决定的。因此必须施行全面管理，确保每个相关因素的安全可靠。同时也要看到，电子文件信息安全的各因素之间是相互联系、相互作用关系。因此在组织管理中，不仅要全面管理，同时也要系统地分析电子文件信息安全的各因素之间层次性和相关性。正确地确定不同因素的层次位置，有利于区别应对相关问题，做到明确主次、把握轻重缓急，做到有的放矢。此外，了解掌握各因素间的相互依存、相互制约的关系同样重要。优先处理那些牵一发而动全身的问题，着力解决那些基础性、决定性的问题，做到在组织管理工作中掌握主动和先机。

（二）科学配置

科学配置是指政府各级机构为维护电子文件信息安全，需要投入相应的人力、物力、财力、时间和精力等资源。例如设施设备的建设与更新维护、人员的引进与培养、机构各部门间的沟通协调等，都需要消耗一定的资源。在资源普遍有限的情况下，为取得最大的组织管理效益，应当本着科学定位、突出重点、保证急需、优化投入的精神科学合理地对资源进行配置使用。科学定位是指应当牢固树立安全是底线、安全是红线的思想，高度重视电子文件信息安全是确保其他工作正常开展的重要条件；突出重点是指在电子文件信息安全的各项因素中，找到本机构最为薄弱影响面最大的环节重点投入；保证急需是指将本机构电子文件信息安全组织管理中最为迫切需要解决的问题放在优先位置处理；优化投入是指将有限的资源合理组配，瞄准重点难点问题舍得投入准确投入。此外，还应当看到，电子文件信息安全组织管理工作是机构全面工作中的有机组成部分，因此还应当注意与其他工作的沟通协调。

（三）注重实效

注重实效指的是在政府各级机构在电子文件信息安全组织管理工作中应当充分考虑有效的产出与投入之间的比例关系，即实际效益。在评价电子文件信息安全组织管理工作时，不仅要看到最终的产出大小，也要计算前期的资源投入。对电子文件信息安全组织管理工作效益的评价可以由不同的主体（如上级单位、本单位、专家等）从不同的角度进行。不同的评价标准和方法得出的结论不会完全相同，但客观公正应当是所有这些评价的出发点。只有客观公正的评价才能真实反映机构组织管理工作的实际情况，才有利于进一步促进工作的开展。在追求效益的过程中，组织管理工作应当将追求局部效益与整体效益相结合，不但考虑电子文件信息安全中某些方面的效益，也要考虑电子文件信息安全整体的效益，更要将电子文件信息安全的组织管理工作纳入本机构总体工作中通盘考虑；追求短期效益与长期效益相结合，不但要考虑当前的、现实的、紧迫的问题，也要考虑未来的、长期的、潜在的问题，从而在组织管理工作中实现一种长期稳定的高效益。

（四）责任明确

责任明确是指政府各级机构在电子文件信息安全组织管理工作中，必须在合理分工的基础上明确规定相关部门和人员必须完成的工作任务和必须承担与之相应的责任。为充分调动每个人的积极性和创造力，明确每个人在电子文件信息安全相关工作应担负的任务，即明确职责，是最有效的方法。职责并非抽象的概念，而是在数量、质量、时间、效益等方面具有严格规定的行为规范。在涉及电子文件信息安全相关工作中，职责界限必须清晰，即明确划分出直接责任和间接责任、当时责任和事后责任等，职责的内容也应当以明文规定的方式严格确定，以便于依照执行。由于电子文件信息安全涉及方方面面的内容多，因此职责中也要包括与其他部门、岗位的人员协调配合等要求，这样有利于整体提高机构的功效。在具体进行电子文件信息安全组织管理时，必须保证相关职责明确落实到每个具体相关的人，以做到事事有人负责，人人有事负责。在确定机构人员电子文件信息安全相关职责时，应当考虑到完成任务所需要的权限和人员的能力以及收益。

二、组织管理的措施

（一）科学计划

“凡事预则立，不预则废”。政府机构在进行电子文件信息安全组织管理工作时必须科学地制订计划，用以指导和规范后续工作的开展，从而达到确保电子文件信息安全的目标。

1、计划的概念

政府机构的电子文件信息安全管理计划指的是为实现本机构电子文件信息安全这一目标预先进行的行动安排。在计划中需要在时间和空间两个方向上分解任务目标，选择任务目标的实现方式，进度规定，行动结果的检查控制等。科学明确的计划为政府机构指明了行动的方向，为后续组织管理提供了工作的基础。严格依照计划开展工作将能使行动保持正确的方向，从而促使目标的实现。在政府机构的电子文件信息安全管理计划中一般应当包括以下几点：目标与内容、实施原因、需要参与的人员、工作地点、工作的时间范围和具体实施的方法手段等。计划按照时间可以分为长期计划和短期计划。

2、计划的编制

政府各级机构应当采用科学的方法编制电子文件信息安全组织管理计划，以确保计划的合理有效并能够真正实现管理目标。在具体编制电子文件信息安全组织管理计划时一般应当采取以下步骤：

首先要确定计划的目标，即明确通过后续的工作期望达到的成果，可能是整体的电子文件信息安全，也可能是其中的某个因素的安全水平进一步提高。计划目标的确定为机构中各部门和人员指明了努力的方向，并且可以在未来用来衡量工作的成效。

其次要认清当前的形势，即搞清楚为实现目标开展工作的现实基础条件是什么。通过分析机构内部和外部的各种制约条件因素，明确本机构当前所处的时间空间环境中的有利机会和不利的威胁，从而正确把握电子文件信息安全组织管理工作的出发点和着力点。

第三要研究过去的经验教训，即以本机构过去在电子文件信息安全组织管理中经历过的成功和失败为借鉴，通过研究分析典型案例等方式从过去发生的事件中探寻一般性规律，为将来的工作积累经验。

第四要拟制并确定计划，即先拟制所有可行的计划方案，再进行评估并确定最终计划。为达成一个目标往往有多种不同的途径，即所谓的“条条大路通罗马”。拟制可选计划时，应当广泛征求意见，尤其是电子文件和信息安全专家的意见，形成尽量多的可选计划方案。然后经过评估明确各方案的优劣，最后确定出一个或几个最终计划。

3、计划的实施

政府各级机构制定的电子文件信息安全计划最终都需要付诸实施以达到管理目标。计划的实施有多种方法，其中目标管理法是一种常见的也是行之有效的实施方法。

在目标管理法中，计划中维护电子文件信息安全成为总目标，也是所有计划参与人员的共同目标。总目标分解为若干分目标，每个分目标又可以分解为若干分分目标。每个人都负责一个或多个分目标。只有每个人负责的分目标都完成，总目标才真正完成。这样就形成了以维护电子文件信息安全总目标为核心的由上至下的金字塔型目标体系。每名成员为完成自己的分目标，应当被授予相应的权力、掌握相应的资源，使之能围绕完成自己的分目标开展工作。由于总目标的一致性，所有人员在完成自己分目标的过程中利益取向总体是一致的，因此在目标的驱动下，成员个体的创造力将得到充分的发挥。通过对总目标和分目标完成情况的评价，决定对不同成员实施公平合理的奖惩，将能进一步增进他们的工作热情，对下一个目标的完成产生积极效果。

（二）加强组织

政府作为一个系统，具有严密的层次性和清晰的各级组织架构。在政府的各级各类机构中开展电子文件信息安全组织管理工作，应当依托现有的行政组织层级结构开展，以确保管理的权威性和有效性。

1、组织设计

众所周知，无论是自然界还是社会领域，事物的结构很大程度上决定了其功能。政府各级机构的电子文件信息安全管理组织设计就是为了创造并维持合理的组织结构，以利于电子文件信息安全管理工作的开展，并最终达到电子文件信息安全的目标。组织设计的实质是对机构领导（管理者）的管理活动进行分工，这种分工既包括横向的，也包括纵向的。分工的原因在于管理者受自身和客观原因的限制，其有效管理的范围是有限的。对合理的组织结构的需求随着组织中参与活动的人员数量和组织活动的内容的复杂度的增加而不断提高。

组织设计的根本目的是为了保证实现电子文件信息安全这一管理目标。事实上政府本身已经具有严密的行政组织结构，因此在电子文件信息安全管理的组织设计方面无需进一步增加更多的内容。但上述原则要求应当在实际的组织管理工作中得到严格遵守贯彻，以取得最大的工作成效。

2、人员配备

人员配备首先应当满足组织工作目标即维护电子文件信息安全的需要。为使机构的工作能够顺利开展，必须使每个岗位的工作都有最合适的人员担当，这样将最有利于工作开展完成目标。与此同时也要考虑让组织成员能从事适合其特点的工作。人的因素是电子文件信息安全组织管理活动中能动的、活跃的因素，通过合理的岗位安排，让每个人都能发挥自己的特长、知识和能力不断增长、工作成绩得到公正的评价，这将进一步激发其工作热情，更好地完成工作任务。

政府各级机构可以结合本机构的实际情况，既可设立独立的电子文件信息安全管理岗位，也可以结合已有的保密安全相关岗位赋予电子文件信息安全管理职责。在实际人员配备中，充分考虑到人员编制的实际情况，可以考虑保密监督部门已有人员结合信息技术部门人员具体从事该类工作。

3、力量整合

政府各级机构中的各个不同的部分应当本着协调合作的精神共同为完成维护电子文件信息安全这一总目标开展工作。但是由于每一项具体工作的开展都需要由具体人员来执行，而人的行为规律往往不如物和事的规律那么明显、容易掌握。同时人作为行为的主体，其对工作的态度很大程度会影响工作的结果，从而最终影响到总目标的实现。

无论是普通工作人员还是管理者，在电子文件信息安全相关工作中都会表现出人的特性，例如个体差异导致对电子文件信息安全重要性的认知的不同。管理者只有在组织管理活动中充分认识到工作人员的个体差异才能在工作安排时更加合理。同样，工作人员的对其应该承担的与电子文件信息安全相关的责任和义务的态度，是重视还是忽视，是积极应对还是消极回避，都将直接影响其所可能涉及范围内电子文件的信息安全。管理者应当知人善用，充分调动人的积极性。在此基础上，以正式的组织结构为依托，科学地艺术地协调不同人员间的工作和非工作关系、各相关部门间的业务和非业务联系，从而促使每个人每个部门都能在相互的协作过程中发挥出1+1>2的效果，最终达到更好地维护电子文件信息安全目标。

（三）实施控制

在政府各级机构的电子文件信息安全组织管理工作中实施控制是为了保证既定的计划与实际工作情况动态适应（相一致）。适时、适度、全程的控制将能不断调整实际工作的轨迹使之符合计划要求并最终达到维护电子文件信息安全的目标。一般控制的主要内容包括确立标准制度、检查评估绩效和整改纠正偏差。

1、确立标准制度

政府机构中的电子文件信息安全标准制度是实施控制的基础，也是衡量绩效和纠正偏差的客观依据。

政府机构中的电子文件信息安全标准制度中首先要明确的就是需要控制的对象。在涉及电子文件信息安全的所有相关因素中，最终结果或者组织管理的总目标即是否确保了电子文件信息安全，是首要的控制对象。在标准制度中应当对该对象进行明确的描述，尤其是在正常情况下其应当达到的状况和水平。其次，各项资源的投入也是控制的对象。没有或缺乏相应的人、财、物等资源的投入，维护电子文件信息安全的工作就很难甚至无法开展，因此必须对资源进行控制，确保其数量、质量和时效符合工作要求。第三是人员工作的质量和数量，具体来说就是对不同时期不同阶段的工作成果/效果进行控制。在所有的控制对象中，不同的对象所处的位置不同，对确保电子文件信息安全这一总目标的影响也不同，因而在标准制度中应当有所区别，即明确若干需要重点控制的关键环节/关键点，从而实现控制本身的效益最大化。在具体制定标准制度时，对于能够以明确的数据说明问题的方面，可以采用分析历史上各阶段数据记录的方法确定；但其他一些无法用数据说明或缺乏相关历史记录的方面，可以采用专家（团队）评估的方法确定。

2、检查评估绩效

政府机构中的为维护电子文件信息安全开展的各项工作是否符合事先的计划，需要通过检查评估绩效来确认。最理想的状况是管理者在工作与计划发生偏差前即预测到并进行调整，但这种情况发生的可能性很小。更多的时候最好的情况是偏差一发生即被发现，然后迅速采取纠正行动。为此，需要管理者能够及时掌握反映偏差是否发生以及偏差的严重程度的相关信息。采用预订的标准制度对实际工作进行绩效检查评估，目的就是为了获取这方面信息。在检查评估中，既要用事先制定的标准制度来衡量工作的绩效，同时也应注意分析标准制度现实的客观性和有效性。毕竟事先制定标准制度时无法完全预见未来工作的环境条件，因此必要时也应当依据客观情况适当调整标准制度。由于检查评估本身对控制对象具有主观和客观两方面的干扰，因此过于频繁或者不适时的检查评估可能一方面影响控制对象正常的工作，另一方面造成控制对象思想上的不满。绩效检查评估获取的信息应当及时反馈到管理者和控制对象及其所在部门，以便管理者发现偏差尽快采取纠正措施，同时也让控制对象了解自己的工作需要调整。

3、整改纠正偏差

政府机构为维护电子文件信息安全开展的各项工作中一旦发现偏差，就应当立刻采取有效措施进行整改纠正偏差。通过纠正偏差，使组织计划能够以既定的方向执行，促进管理目标的最终实现。

在整改纠正偏差过程中，为确保措施的针对性和有效性，应当注意几点：首先通过分析偏差信息以确定偏差的性质和程度。对于偶然的、局部的偏差不用过于计较。而对将严重影响组织计划实施的甚至影响组织目标完成的偏差，则应当高度重视，找出其产生的原因。其次要确定需要纠正的对象，是人员工作的积极性，还是原计划或标准不合理。必须认识到，当外部环境发生变化后，原有的计划标准很有可能不再适应新的形势而需要调整。最后在选择纠偏措施时必须科学慎重。纠正偏差是为了避免或减少损失，但如果纠正偏差本身的成本高于偏差所能带来的损失，那么不采取任何措施将是更好的选择。纠偏不可避免的会对组织中的部门、人员进行调整并产生一定影响，进而能涉及到利益变化。具体纠偏措施应当充分考虑到利益相关者的支持或阻挠，以确保纠偏顺利实施。

【机关信息安全管理制度】相关文章：

机关管理制度12-09