发放给大家，请各单位务必对每一位干部和职工进行宣传和教育，并根据需求建立相关的信息安全管理制度，确保本单位的信息安全管理落到实处。

　　为建立、实施、运行、监督、评审、保持和改进文件化的信息安全管理体系，确定信息安全方针和目标，对信息安全风险进行有效管理，确保全体干部、教职工理解并遵照执行信息安全管理体系文件、持续改进信息安全管理体系的有效性，特制定本文件。

　　3.1.1.3.1.1.安全第一：信息安全为信息系统业务连续性提供基础保障，把信息安全作为信息系统建设与系统运行的首要任务。

　　3.1.2.3.1.2.综合防范：管理措施和技术措施并重，建立有效的识别和预防信息安全风险机制，合理选择安全控制方式，使信息安全风险的发生概率降低到可接受水平。

　　3.1.3.3.1.3.预防为主：依据国家相关规定和信息安全管理实践，根据信息资产的重要性等级，定期对重要信息资产进行安全测评，采取有效措施消除可能的隐患，最大程度降低信息安全事件发生的概率。

　　3.1.4.3.1.4.持续改进：建立全面覆盖信息安全各层面的安全管理机制，建立持续改进的体系框架，不断自我完善，为业务的稳定运行提供可靠的安全保障。

　　3.2.1.3.2.1.保护信息系统及数据的完整性、可用性、机密性，不遭受破坏、更改及泄漏。

　　3.2.2.3.2.2.确保信息系统连续、可靠、正常运行，提供及时、持续和高质量的服务并不断改进。

　　3.2.3.3.2.3.信息安全管理体系建设和运行能满足信息系统日常安全管理的需要，并覆盖各个安全管理层面。

　　4.1.2.4.1.2.对信息资产进行梳理，建立信息资产清单，明确各信息资产的使用人员、运维人员、管理人员等相关责任人，制定各自的职责；信息资产清单应被定期维护与更新；定期对信息资产进行盘点，确保信息资产的账实相符合完好无损。

　　4.1.3.4.1.3.为确保信息资产能受到适当的保护，信息应当分类以显示其所需保护的要求、优先、程度。信息分类应按照业务对信息访问的需求，及这些需求带来的影响进行划分，分为非常重要、重要、一般三个等级。

　　4.1.4.4.1.4.信息资产分类应该具有一定的灵活性。可以将信息资产分为数据、软件、硬件、服务、文档、设备、人员及共8种类型，内容如下：

　　a)a)数据：储存在电子媒介的各种数据资料，包括源代码、数据库数据、各种数据资料、系统文档、办公文档、运行管理制度、用户手册等。

　　4.1.5.4.1.5.建立信息系统资产清单，明确每个信息系统的负责人和管理员，并落实其岗位职责。按照国家《信息系统安全等级保护基本要求》（GB/T 22239-2008）的要求，对信息系统分级并按级别采取相应的安全保护措施。

　　4.1.6.4.1.6.信息系统分级后所采取的对应安全保护措施，必须由相应的负责人定期检查。

　　4.1.7.4.1.7.各类信息资产必须进行标识管理，标识内容包括资产名称、资产信息、所属系统、资产类别、重要级别、责任人等。

　　4.2.1.4.2.1.人员安全管理策略中的“人员”包括所有内部人员和在本单位工作的外部人员（如外包、外聘人员等）。并应与所有人员签署雇佣或聘用合同，其中访问敏感信息人员应在访问信息处理设施前签署保密协议。

　　4.2.2.4.2.2.内部人员安全管理根据国家公务人员相关管理办法进行录用等管理。关键岗位人员必须是内部工作人员，关键岗位人员需签署岗位安全协议。对关键岗位人员应实行定期考查制度，对安全意识和安全技能进行考察，并进行必要的安全教育和培训。

　　4.2.3.4.2.3.常驻外部人员需根据实际业务需要进行雇佣，制定相应的角色和职责要求，并形成书面文档记录。根据相关的法律、法规和道德标准，对人员进行背景验证检查，该检查应与业务要求、接触信息的类别及已知风险相适应，并需进行业务技能考核，合格者方可录用。

　　4.2.4.4.2.4.常驻外部人员在雇佣中，应确保所有的人员了解威胁、相关事宜以及应承担的责任和义务，并在日常工作中遵守公司的信息安全政策，减少人为错误的风险。并定期进行与其工作职能相关的适当的安全意识培训和政策及程序的定期更新培训。

　　4.2.5.4.2.5.常驻外部人员在雇佣终止或变更时，应确保人员离开公司或雇佣变更时以一种有序的方式进行，并确保其归还所有设备及删除其所有访问权限。人员离任前要履行交接手续，确保密码、设备、技术资料及相关敏感信息等的移交。

　　4.2.6.4.2.6.信息安全教育是指单位信息安全教育、部门教育和岗位教育。信息安全教育制度应纳入本单位的所有工作人员教育体系。信息安全教育要结合实际情况，编制具体的信息安全教育计划，计划要有明确的针对性，并适时修正、变更或补充内容。信息安全教育要由办公室信息部门负责，每次安全教育必须有考核机制。新职工入职必须先经过信息安全教育。

　　4.3.1.4.3.1设立物理安全保护区域，该区域包括放置重要或敏感的信息处理、存储设备和网络设备等重要信息科技设备的区域。如：教育局核心机房、各校机房等。物理安全保护区域的出入口设置安全屏障（如门禁、门卫等）。

　　4.3.2.4.3.2.确保只有经过授权的人员才可以访问物理安全保护区域，整个访问过程应被监控和记录。

　　4.3.3.4.3.3.采用双回路市电、UPS、发电机（车）等措施，保证设备电力供应连续，保证带有数据或支持信息服务的电讯电缆不被侦听和破坏。

　　4.3.4.4.3.4.建立严格的设备维护流程保证设备的可靠性和信息完整性，一般情况下不允许信息处理设备带出机房，如需将设备代理机房需进行审批。

　　4.3.5.4.3.5.存储敏感信息的设备在进行设备报修或报废时，必须采用安全的信息销毁措施。

　　4.3.6.4.3.6.干部、老师所属的便携式设备、台式机、笔记本、掌上电脑和其他便携式电子设备及其存储的数据由个人负责保护，不允许将这些设备放于无人看守的或是没有安全防范措施的环境中。

　　4.3.7.4.3.7.教育内网办公电脑需根据安全要求统一安装防病毒软件，并设置密码和屏幕保护，人员离开后需启动屏保或关机。

　　4.3.8.4.3.8.外部人员来访需在接待室接待，不在办公区域接待来访人员，或条件不允许，必须在办公区域接待的，须确保人访人员无法接触和看到重要的数据，由此造成的数据外泄等安全事故，责任由该人员承担。

　　4.3.9.4.3.9.各办公室电脑数据必须按程度分为非常重要数据（资料）、重要数据（资料）、一般数据（资料）等，重要数据不得在微信、QQ等软件中传送、转发。外单位确实需要拷贝相关数据的，必须由单位网络与信息安全小组组长或副组长签字确认，并与拷贝相关人员签订安全保密协议。

　　4.4.1.4.4.1.对网络系统的运营与安全防范实行统一管理，对广域网、局域网应分别指定专人负责维护操作并建立维护记录。

　　4.4.2.4.4.2.网络管理人员需对网络交换机、路由器等网络关键设备进行定期检查、保养，对发现的问题进行记录、分析和跟踪解决。

　　4.4.3.4.4.3.建立网络管理系统，监控网络资源及运行状态，保障网络安全运行，跟踪网络配置变化等。

　　4.4.4.4.4.4.严格控制网络访问权限，特别是学校WIFI的管理，必须严格管控，对于单位人员做到一人只有一个账号，并要求密码必须使用安全密码（字母大小写+符号+数字），定期对单位网络线路进行例行检查，防止非法接入。

　　4.4.5.4.4.5.根据信息安全级别，将网络划分为不同的逻辑安全域（以下简称为域），实施有效的安全控制，对每个域和整个网络进行物理或逻辑分区、实现网络内容过滤、逻辑访问控制、传输加密、网络监控、记录活动日志等。

　　4.4.6.4.4.6.禁止擅自将公司内部网络与互联网直接连接；禁止单位内部网络中的计算机直接拨号连接因特网。内部网络与互联网的连接方案必须由信息部门统一规划，在确保网络安全的前提下实施。内网与外部其他专用网络建立必要的连接，须由信息部门统一管理，并在采取必要措施确保网络安全的前提下实施，严禁内部工作人员采用翻墙等技术与互联网进行连接，因此产生的安全事故，由该人员全责承担。

　　4.4.7.4.4.7.网络交换机、路由器等网络关键设备要有备份，骨干网、重要通讯线路和网点通讯线路必须有备份或冗余回路。

　　4.5.1.4.5.1.建立管理和操作信息处理设备的责任和流程，包括制定适当的操作手册和回退流程，在关键环节实行相互监督制度以减少疏忽或滥用系统的风险。任何对信息处理设备的操作都要有文档化的说明作为操作记录，文档中应具有每个操作的详细执行说明。操作说明的文档必须经过一套正式的管理流程进行授权，并对操作行为进行评估和审计。

　　4.5.2.4.5.1.定期备份重要业务信息和软件。要有足够的备份设备进行所有重要的业务信息和软件的备份，使得在灾难发生或存储设备失败时能够恢复。其他系统也要定期备份，以符合业务连续性策略的要求。

　　4.5.3.4.5.2.存储介质必须受到控制和物理保护。存放敏感信息的存储介质必须按照一套合适的管理标准进行管理，不再需要的介质中的内容必须安全清除。所有个人的存储介质不允许存放和传输业务和技术敏感信息，所有个人可移动介质不允许在重要业务处理服务器或敏感个人电脑上使用。重要业务介质需保存在档案室或五防柜内。

　　4.5.4.4.5.3必须对电子邮件和OA系统制定具体的安全要求，确保电子邮件信息和OA系统公文信息的保密性和完整性，并对电子邮件和OA系统执行必要的安全措施，降低电子邮件和OA系统使用过程中所带来的安全风险。

　　4.5.5.4.5.4.制定相关制度和标准并部属日志审计系统，管理所有信息系统的日志，以支持有效的审核、安全取证分析和预防欺诈。应保证系统日志中包含足够的内容，以便完成有效的内部控制、解决系统故障和满足审计需要；应采日志备份制度，并确保其完整性；在意外情况发生后应及时复查系统日志。

　　4.5.6.4.5.5.部署防病毒系统，建立全面的计算机病毒查杀机制。所有连入单位内部域的电脑及其他设备，都应安装我县大数据局指定的杀毒软件，并在接入之前进行病毒扫描；制定病毒库升级策略和扫描策略，定期进病毒库更新和病毒扫描。

　　4.6.1.4.6.1.建立和完善身份认证、授权与访问控制、应用层通信加密等应用层安全系统的管理制度，改善业务应用系统的整体安全性。并部署和管理身份认证系统、授权和访问控制系统。

　　4.6.2.4.6.2.严格控制访问权限审批，制定符合业务操作流程的访问控制审批单，形成访问控制审批过程记录。访问控制管理部门应拒绝不合理的访问控制请求。

　　4.6.3.4.6.3.信息系统与信息处理设备必须具有对用户标识、用户口令以及特权访问的控制措施，重要信息系统与信息处理设备需有两种不同的身份鉴别方式。原则上要求每个人在不同系统的用户标识是唯一的。用户密码应具有一定的复杂度，需要字母、字符、数字等组成，密码长度不能小于8位，并每六个月定期进行更换。

　　4.6.4.4.6.4.信息部门需定期或不定期的检查用户ID建立、使用、权限划分及密码的变更是否符合控制策略规定。

　　4.6.5.4.6.5.不允许在没有通过身份验证的情况下，访问信息系统设备和信息处理系统。连续的登陆尝试应受限制。

　　4.6.6.4.6.6.信息系统的用户应遵守良好的口令设置习惯，所有信息系统用户应养成良好的计算机使用习惯，对公共设备的使用，根据实际情况，在会话结束后执行合适的锁定机制。每个用户的身份只能鉴定一个用户，不允许共享身份或组身份，除非由安全管理员批准。用户要为以该用户身份执行的所有操作负责。

　　4.6.7.4.6.7.用户对网络访问的权限实行最小化原则，用户对网络的访问应设定强制式的路径，例如本公司员工只能通过总公司唯一出口访问互联网。

　　4.6.8.4.6.8.服务器或网络设备上的用户标识应是唯一的，登陆服务器或网络设备的用户只能使用自己的用户标识，用户标识可以用来确认用户的操作行为，并作为追究责任的依据。

　　4.6.9.4.6.9.通过安全设备或安全技术进行应用系统访问控制，只容许合法用户逻辑访问应用系统中的信息。对敏感系统配备专用的隔离区域，并设置只能与可信任的应用系统共享资源。

　　4.6.10.4.6.10.建立监控信息处理设备使用情况的程序或设备，以保证用户只进行明确授权的活动。所需的监控级别应在评估风险后确定。

　　4.7.1.4.7.1.使用移动设备远程访问业务信息时，只有在成功认证并通过访问控制机制后才准许连接。原则上不允许在公用场合使用移动设备或远程访问业务系统。

　　4.7.2.4.7.2.移动存储介质的管理，遵循“谁使用、谁负责”的原则，使用移动存储介质的人员负责移动存储介质的安全，对移动存储介质使用过程中各种安全威胁及可能造成的数据泄露负责。

　　4.7.3.4.7.3.非本单位员工所有的移动存储介质，在接入本单位计算机系统前，应征得计算机使用者的同意，计算机使用者对因接入外来不明移动存储介质导致的安全问题负全部责任。

　　4.7.4.4.7.4.涉密移动存储介质只能在本公司涉密计算机和涉密信息系统内使用，严禁涉密移动存储介质在与互联网连接的计算机和个人计算机上使用。

　　a)a)高重要程度：一旦数据安全受损，会中断关键业务运行；会造成重大财务损失；会导致声严重社会影响；会造成严重法律后果；会导致监管部门的严厉处罚等。

　　b)b)中重要程度：一旦数据安全受损，会对关键业务运行有直接影响；造成一定程度财务损失；造成一定程度声誉损失；造成一定程度的法律后果；导致监管部门一定程度的处罚。

　　c)c)低重要程度：一旦数据安全受损，对关键业务运行无直接影响；仅造成较小的财务损失；仅造成较小的声誉损失；不造成法律后果；不导致监管部门处罚等。

　　b)b)中敏感程度（内部使用）：仅在组织内部或在组织某一部门内部公开，向外扩散有可能对组织的利益造成损害。

　　4.8.2.4.8.2.保障网络配置、操作系统和数据库配置等数据的安全性，操作维护人员只有经过授权才能进入系统；对后台数据库中的业务数据进行维护时，操作人员在他人的监督下进行；在办公自动化系统中，单位员工通过认证和授权系统登录后，只能浏览权限范围内的内容和电子邮件，所有文档和电子邮件的内容在后台以特殊格式存放，只有拥有相关权限的人员登录系统后，在前台显示相关内容，防止系统维护人员在后台进行浏览；最高管理层的重大决议等机密文档进行纸质化管理，不纳入办公自动化系统。

　　4.8.3.4.8.3.采用加密、数字证书等技术手段防范数据在传输、处理、存储过程中出现泄露或被篡改的风险。不允许以明文方式存储和传送用户密码等涉密敏感信息。（不允许使用内部网的电子邮件系统不经加密传播涉密信息；更不能使用外部网络传输此类信息。）

　　4.8.4.4.8.4.使用符合国家规定的有销售许可的商用加密设备、加密软件、认证服务。涉密和敏感信息不应分布于前端系统，应集中到后台服务器和主机上。

　　4.9.14.9.1.本策略所称信息安全事件是指由于自然或者人为以及软硬件或故障等原因，对信息系统造成危害，或对社会造成负面影响的事件。

　　4.9.24.9.2.加强信息安全事件管理，及时掌握和分析重大信息安全事件有关情况，降低信息安全事件带来的损失，保障网络与信息系统的安全运行。

　　4.9.34.9.3.制定信息安全事件管理制度，包括信息安全事件分类、分级、响应流程、评估/处理、总结/改进及相关的人员与组织定位。并向所有相关部门和人员公布，使得相关部门和人员熟知信息安全事件响应流程，并能够相互协作、有条理的执行相关流程。确保有关部门在事件处理中能够集中精力做出适当的、有效的决策，从而减少可能产生的危害。

　　4.9.44.9.4.信息安全事件按照事件产生的影响分为A类（会对社会秩序和公共利益造成特别严重损害），B类（会对社会秩序和公共利益造成严重损害），C类（会对单位内部利益造成特别严重损害）D类（会对单位内部利益造成严重损害）。

　　4.9.54.9.5.信息安全事件响应流程可分为信息安全事件上报、识别，信息安全事件通报，信息安全事件遏制以及信息安全事件解决和恢复四个流程。应与系统运维服务单位、设备提供商及电信运营商等保持联系，保证信息安全事件发生后，及时采取行动并取得有关意见。

　　4.9.64.9.6.信息安全事件事后处理包括信息安全事件调查、信息安全事件总结和信息安全事件报告三个方面。

　　4.9.74.9.7.根据前述信息安全事件的策略，明确相关部门和人员在各阶段中的职责，并进行培训，在事件发生后能立即、准确响应。

　　4.10.14.10.1.利用安全测评和风险评估的结果，应制定计划来维护或在重要业务进程停顿或失效后在限定时间内恢复业务操作。一旦制定了计划。

　　4.10.24.10.2.业务连续性计划要定期演练以确保有效性，这种测试应确保所有恢复的组员和相关人员都知道此项计划。业务连续性计划要定期进行更新。