密码应用安全管理体系制度之密码安全管理制度

第一章  引言

为加强和规范网络与信息系统密码应用安全工作,消除应用系统支撑环境和数据安全隐患,遏制攻击行为,避免危害发生,降低安全风险,保护组织的合法权益及资产安全,根据《中华人民共和国密码法》、《商用密码应用安全性评估管理办法(试行)》和GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》等法律法规的要求规范,促进信息系统合规、正确、有效应用密码技术,落实信息系统同步规划、同步建设、同步运行密码保障系统并定期进行评估的规定。本单位结合信息系统自身业务特点、并参考有关密码算法、技术、产品、服务和管理的标准,制定了《密码应用安全管理制度》,本制度是本单位网络与信息安全管理体系中的极为重要且不可或缺的一环,为本单位信息系统的商用密码应用工作提供管理方向及支持。

第二章  总则

第一条 总体目标:密码是保障网络空间安全的核心关键技术,在网络空间安全防护中发挥着重要的基础支撑作用。为了加强本单位信息系统的密码应用安全保障能力,建立健全单位的密码应用安全管理体系,提高整体的网络与信息安全水平,保证网络通信畅通和信息系统的正常运行,在本单位的信息安全体系框架下,本制度明确单位商用密码应用安全工作的展开办法,指导各下级机构部门展开密码应用安全工作。

第二条 适用范围:本制度适用于本单位所有的密码应用安全工作,是密码应用安全工作的纲领性文件。

第三条 适用人员及角色职责:本制度适用于本单位全体员工、业务合作伙伴、外聘服务人员及厂商委派支持的工作人员等所有与密码应用相关的部门与人员。采用分域+动态+信息流向的多级保护原则,由XXX部门负责对密码应用安全工作的落实和执行进行监督。

第四条 制度有效性:由XXX部门将定期对本制度的合理性和适用性进行论证和审定,对存在不足或改进之处应及时进行修订。

第五条 制度相关性:本制度与已施行的框架制度、基本制度、专项制度共同组成本单位网络安全数据安全管理体系。

第三章  密码应用安全组织结构

在密码应用安全管理的工作中,密码应用安全组织体系的建立是关键和基础。建立一套科学的、可靠的、全面而有层次的、自上而下的密码应用安全组织体系是整个密码应用安全建设的必要条件和基本保证。为了保证本单位的密码应用安全运行联合单位各部门组建专门的密码应用安全管理组织机构,组织主要分为:密码应用安全组织委员会、密码应用安全工作组、密码应用安全应急处置组。

(一)密码应用安全组织委员会:密码应用安全组织委员会由首席数据官、首席安全官、XXX部门主管、信息系统使用单位主管组成。负责密码应用安全管理体系的统筹、指挥、决策、协调工作,审查并批准密码应用安全规章制度与人员职责,指导密码应用安全的建设,协调外部资源,检查监督密码应用安全工作的执行情况。

(二)密码应用安全工作组:密码应用安全工作组是密码应用安全工作的技术支撑及日常事务性运作机构,内设专职的密码设备管理、密钥管理等岗位,负责日常具体密码应用工作的落实、组织和协调,起草修订编写各类密码应用规章制度。

(三)密码应用安全应急处置组:审定网络、信息系统、密钥管理等方面的安全应急策略及应急预案,处置并恢复各类密码应用、设备、密钥突发的安全事件,定期组织各类攻防对抗演练。

第四章  密码应用人员管理

第一条 密码应用安全工作组分设有密码设备管理员、密钥管理员、密码审计员、密码审计管理员、密码操作员五个关键安全岗位,其中密钥管理员三人,其余均由一人担任。

(一) 密码设备管理员:负责对本单位的密码设备、密码应用、密码组件和密码终端的总体管控工作,包括设备资源新增、申请、变更、报废、监测和网络安全管理。

(二) 密钥管理员:负责密钥全生命周期管理,具有对密钥初始化、注入、分配、模板配置、新增、修改、查询、导出、销毁等职能。

(三) 密码审计员:负责对密码应用、人员及密钥的审计工作,保证和促进密码应用工作的合理、正确、有效。具有日志审计、配置审计、权限审计、密码安全运行审计、监控审计的职能,

(四) 密码审计管理员:具有对密码审计员的权限控制的职能,负责所有审计工作的终验。

(五) 密码操作员:负责密码设备、密码应用、密码组件、密码终端、密钥的配置、性能、安全、监测和维护的日常操作工作,提供与信息系统的对接、部署、联调、试运行等实施服务。

第二条 密码设备管理员、密钥管理员、密码审计员、密码审计管理员、密码操作人员职责互相制约互相监督,其中密钥管理员岗位不可与密码审计员、密码操作员等关键安全岗位兼任,严格遵循一个身份不应同时具备多个角色的权限。

第三条 为了强化密码应用人员的技能素养和安全意识,定期组织密码专题培训机制和意识教育活动,培训周期为每两个季度一次。培训讲师由内部密码专业人员或聘请外部密码专家担任,培训课程涵括但不限于密码相关法律法规、商用密码标准、商用密码技术、产品和商用密码应用安全性评估等多个方面的内容。

第四条 深化密码专题培训机制的效果,对密码应用人员实行培训考核制度,考核频率为每两个季度一次。考核不通过,则待定其原工作岗位职能,给予一个月周期做二次考核,若通过则恢复正常工作职能,若仍不通过则调离原岗位。

第五条 对于密码应用岗位人员的录用,遵循扎实的密码知识+专业的技术水平+取得密码、安全、计算机相关的资质证书的要求,并且考虑政治、社会等多方面的因素,不得录用有犯罪前科、重大行政处分纪录和“黑客”经历的人员,如有特殊情况,须要经主管安全的负责人同意后,方可考虑录用。

第六条 密码应用人员严格遵守本单位保密制度,签署《保密协议》,并在劳动合同中设置保密条款。严格遵守保密制度各项技术规范和行为准则,不得与无关人员谈论与本单位密码应用相关的信息,不得在非保密载体上记录密码应用信息,履行保密的责任与义务。

第七条 定期进行密码应用安全审查工作,内容包括对重要密码应用岗位人员的审计,包括不限于背景、技术能力、操作规范等内容,同时密码应用安全审计的结果作为密码应用岗位人员的工作考核的依据之一。

第八条 由于工作的变动,需要对密码应用岗位人员进行岗位调动时,必须执行以下安全事项:

(一) 根据新岗位的需要,增加、删除或修改该人员的信息系统访问权限。

(二) 如有必要,修订保密协议,并拟定新的雇佣合同,而且原合同中的保密协议将继续有效。

(三) 与原岗位有关的所有资料文件,包括其软硬拷贝的资料均须移交至密码应用安全工作组指定的接口人。

(四) 遵循“需要知道”原则,尽量避免由于不当或过于频繁的调动,造成人员的权限紊乱的情况。

第九条 密码应用岗位人员在离职时,必须遵守以下安全操作流程:

(一) 终止或删除该员工的所有密码应用、密码设备的访问账号和权限,回收智能密码钥匙,如有必要将重新创建有关管理员账号和口令。

(二) 由人事部门和离职员工一起回顾其签订的保密协议,并明确其继续履行有关信息的保密事项,以及在离开公司后三年内不得披露、使用相关的密码技术资料。

第十条 密码设备与密码平台相关管理和使用账号不得多人共用。

密码应用岗位人员

序号

姓名

岗位/角色

职责说明

联系方式

1

密码审计管理员

负责所有密码审计工作终验

2

密码设备管理员

负责对密码设备、密码应用、密码组件等总体管控工作

3

密钥管理员

负责密钥全生命周期管理

4

密码审计员

负责对密码应用、人员及密钥的审计工作。

5

密码操作员

负责密码设备、密码应用、密码组件、密码终端、密钥的配置、安全等日常操作工作

第五章  密钥管理

第一条 密钥的安全是保证密码算法安全的基础,为信息系统提供密钥服务的商用密码硬件、软件、固件或者其他组合应达到GBT 37092-2018《信息安全技术 密码模块安全要求》安全二级及以上的要求,且具有商用密码产品认证证书。

第二条 信息系统与终端用户使用的非对称密钥和对称密钥,如SM2算法的公私钥对、SM9算法的私钥、SM3算法的杂凑密钥、SM4算法的加密密钥,均通过硬件密码设备内部的随机数直接生成或密钥派生函数生成,密码设备的真随机数发生器必须是基于物理熵源提取。

(一) 第一层主密钥由人工方式输入产生,由三部分构成,分别由三人保管,且须有一名密码审计员负责监督整个过程的规范性。存储于密码设备中,受密码硬件设备保护。

(二) 第二层密钥由密码设备随机生成并散列出2个分量,或由双方商定该密钥的产生办法。

(三) 对于密钥注入的设备,由密码设备管理员专人进行配置和维护,密钥管理员无权限开启和操作硬件密码机。

第三条 为了保证密钥存储安全,密钥存储在具有商用密码产品认证证书的密码产品中,或者在对密钥进行保密性和完整性保护后,存储在通用存储设备或系统(如数据库)中,临时密钥或一次一密的密钥不做存储要求,但是在使用完就要立即进行销毁。

第四条 密钥分发主要用于不同密码产品间的密钥共享。密钥分发的方式分为人工分发和自动分发。自动在线分发对称密钥和非对称私钥可以通过数字信封、对称密钥加密等方式进行自动加密分发。

第五条 密钥根据用途可分为加密密钥、杂凑密钥、数字签名密钥等,在使用时必须按用途正确使用,且必须在核准的密码产品内部使用。在使用密钥前,应获得授权,防止密钥的泄露和替换,在使用公钥证书之前应对其进行有效性验证。

第六条 密钥超过使用期限或已泄露时,应提前采取可执行的安全措施更换密钥,并做好密钥的更新、归档等操作。当因为已泄露密钥引发的安全事件,立即向主管部门和密码管理部门报告,并同步启动应急处置工作和补救措施,遏止更大范围的安全事故。

第七条 基于解密历史数据和验证历史签名的需要,应对加密密钥和签名公钥执行归档,并同步生成归档密钥时间类型等审计信息。

第八条 密钥在使用的过程中存在人为损坏或者不可抗力损坏丢失等因素,因此需要提供密钥撤销、密钥备份的功能从而保证密钥的可用性,当密钥撤销和备份时密钥处于不激活挂起状态,只有完成恢复后才可以激活。

第九条 当密钥生命周期结束后,要对原始密钥进行销毁,并根据情况重新生成密钥,完成密钥更换。密钥进行销毁时,应当删除所有密钥副本,配备正常销毁和紧急销毁两种销毁机制。

第六章  建设运行管理

第一条 信息系统在规划、建设、运行阶段,应当落实国家密码管理有关法律法规和标准规范的要求,同步规划、同步建设、同步运行密码应用保障系统并定期进行评估。

(一) 分析信息系统现状,对信息系统面临的安全风险和风险控制需求进行分析,明确密码应用需求,根据信息系统的网络安全保护等级,依据《信息安全技术 信息系统密码应用基本要求》等相关标准,编制信息系统密码应用解决方案,委托具有商用密码应用安全性评估机构(简称“密评机构”)对信息系统密码应用解决方案进行评估,并获得密码应用解决方案的密评报告。

(二) 按照通过密评的密码应用解决方案(包含实施方案)建设密码保障系统,确保系统密码应用符合国家密码管理要求。委托密评机构对系统开展系统密码测评,并且获得信息系统密评报告。

(三) 当信息系统在运行阶段发生重要变化亦或是发生安全事故,必要时须修订密码应用方案,对信息系统进行升级改造,并重新委托密评机构对信息系统开展密码测评,获得信息系统密评报告。

(四) 关键基础设施、网络安全保护等级第三级及以上的信息系统每年至少进行一次密码测评,可与关键信息基础设施安全检测评估、网络安全等级测评等工作统筹考虑、协调开展。

第二条 根据“密钥管理”的基本要求,制定单位密钥安全管理策略。

(一) 当信息系统需要使用密钥时,须填写《密钥申请表》(见附录1),经审批后,由密钥管理人员在后台进行操作,为其生成相应的密钥,并设置相应的授权访问口令后。

(二) 信息系统使用密码保障服务前,须填写《信息系统密码应用调查表》(见附录2),提交密码应用安全工作组进行审核通过后,密码管理人员方可提供技术支持服务。

第三条 基于合规性考虑,优先采购具有商用密码产品认证证书的产品。若有特殊场景需使用非商用密码产品认证目录之外的产品,可做具体说明经相关主管负责人及团队同意方可采购。

第四条 建立健全密码安全监测预警制度,预警通报密码安全威胁和隐患,指导做好安全防范工作。

第五条 密码应用安全组织委员会、密码应用安全工作组在信息系统建设密码保障系统时,须及时为信息系统开发实施等人员提供人力、物力等资源协调保障工作。

第七章  应急处置

第一条 建立健全密码安全事件应急预案,做好密码安全事件的应对处置工作,确保及时有效地控制、减轻和消除密码安全突发事件造成的危害和损失,保证信息系统及网络的持续稳定运行和数据安全,定期组织开展网络安全检查检测,定期组织应急演练工作。

第二条 密码应用安全应急处置组是密码应急处置工作的职能部门,听从密码应用安全组织委员会的统一指挥,负责处置密码安全的预防、监测、报告和应急处置等事务性工作,及时向委员会报告突发密码安全事件情况,提出密码安全突发事件应对措施建议,参与应急处置的技术工作。

第三条 事件分级,根据影响范围和危害程度,密码安全突发事件分为四级:特别重大事件、重大事件、较大事件、一般事件。

(一) 一级特别重大事件:①全部密码设备、密码应用、密码终端遭受毁灭性灾难或是特别严重的人为损坏、宕机,遭受非法入侵和病毒木马攻击,密码服务短时间难以恢复,完全丧失控制能力,造成系统大面积瘫痪、丧失业务处理能力。

②因大规模密钥丢失、泄漏、造成的业务信息系统重要数据、敏感信息泄露的,关键密码配置参数被窃取、篡改、假冒的,对单位的形象、秩序、利益构成特别严重损害和影响。

(二) 二级重大事件:①部分密码设备、密码应用、密码终端遭受严重的人为损坏、宕机,遭受非法入侵和病毒木马攻击,网络通道阻塞或密码服务中断的,丧失部分控制能力,造成系统局部瘫痪、业务处理能力受到极大影响。

②因部分密钥丢失、泄漏、造成的业务信息系统非关键数据、非敏感信息泄露的,密码配置参数被窃取,对单位的形象、秩序、利益构成严重损害和影响。

(三) 三级较大事件:①单个密码设备、密码应用、密码终端出现故障,影响业务信息系统运行效率,造成业务处理能力受到小范围的影响。

②个别用户密钥丢失,造成用户数据、用户信息泄露,对用户个人的形象、秩序、利益构成一定威胁和损害。

(四) 四级一般事件:除上述情形外,因单个用户密钥丢失造成的个人业务处理能力受到影响的,并且不对个人的形象、秩序、利益构成威胁和损害,定性为一般事件。

第四条 事件监测,须对本单位网络和密码设备的运行状况进行密切监测,一旦发生预案规定的密码安全突发事件,应当立即通过电话等方式向密码应用安全组织委员会报告,不得迟报、谎报、瞒报、漏报。报告突发事件信息时,应当说明事件发生时间、初步判定的影响范围和危害、已采取的应急处置措施和有关建议。

第五条 应急预警监测,通过多种途径监测、收集密码设备漏洞病毒、唯密文攻击、侧信道攻击、差分类攻击、线性类攻击、模差分攻击、中间相遇攻击、协议攻击、代数攻击等密码安全隐患和预警信息,对发生突发事件的可能性及其可能造成的影响进行分析评估。

第六条 应急预警分级,建立密码突发事件预警制度,按照紧急程度、发展态势和可能造成的危害程度,密码突发事件预警等级分为四级:由高到低依次用红色、橙色、黄色和蓝色标示,分别对应可能发生特别重大、重大、较大和一般密码安全突发事件。

第七条 应急预警发布,密码应用安全应急处置组及时汇总分析突发事件隐患和预警信息,必要时组织相关部门、专业技术人员、第三方厂商进行会商研判。发布预警信息时,应当包括预警级别、起始时间、可能的影响范围和造成的危害、应采取的防范措施、时限要求等。发布预警信息可通过电子信箱、网站、微信等多种形式。

第八条 应急预警响应,针对即将发生的密码安全突发事件的特点和可能造成的危害,采取下列措施: 

(一) 密码应用安全应急处置组成员及时收集、报告有关信息,加强密码安全风险的监测。

(二) 加强事态跟踪分析评估,密切关注事态发展,重要情况及时汇报。

(三) 实行24小时值班,应急处置组等相关人员保持通信联络畅通。

(四) 组织研究制定防范措施和应急工作方案,协调调度各方资源,第三方厂商进入待命状态,做好各项准备工作,重要情况报密码应用安全组织委员会。

(五) 密码应用安全应急处置组针对预警信息研究制定应对方案,检查应急设备软件工具等,及时对突发事件处置,控制事态,消除隐患。

第九条 应急预警解除,当发布预警后,应当根据事态发展,适时调整预警级别并按照权限重新发布;经研判不可能发生突发事件或风险已经解除的,应当及时宣布解除预警,并解除已经采取的有关措施。

第十条 应急处置,处置流程遵循:响应分级-先行处置-启动响应-事态跟踪-决策部署-结束响应。

(一) 先行处置,密码安全突发事件发生后,按照应急处置预案规定立即向上级报告的同时,应当立即启动本单位应急预案,组织应急处置工作组人员采取应急处置措施,尽最大努力恢复密码设备系统的运行,尽可能减少对用户和社会的影响,同时注意保存密码攻击、入侵或病毒的证据。

(二) 启动响应后,密码应用安全应急处置组立即将突发事件情况向密码应用安全组织委员会报告;应急处置组进入应急状态,实行24小时值班,应急处置相关人员保持联络畅通,业务信系统的使用单位派员参加应急处置恢复、攻击溯源、影响评估、信息发布、跨部门协调等工作。

(三) 事态跟踪,启动响应后,应急处置组持续加强监测,跟踪事态发展,检查影响范围,密切关注舆情,及时将事态发展变化、处置进展情况、相关舆情报上级委员会。

(四) 决策部署,①启动响应后,密码应用安全组织委员会紧急召开会议,听取各相关方面情况汇报,研究紧急应对措施,对应急处置工作进行决策部署。②针对突发事件的类型、特点和原因,应急处置组采取以下措施:挂起攻击密钥、启用备份的密钥、密码应用相关数据、关闭端口、带宽紧急扩容、查找控制攻击源、过滤攻击流量、暂时关闭相关密码设备等。对大规模用户信息泄露事件,及时告知受影响的用户,并告知用户减轻危害的措施,防止发生次生、衍生事件的必要措施。③做好信息报送,及时向上级的网络安全应急办公室等报告突发事件处置进展情况,视情况通报突发事件有关情况。

(五) 结束响应,突发事件的影响和危害得到控制或消除后,根据密码应用安全组织委员会批准后结束。

第十一条 事后总结,密码突发事件应急响应结束后相关部门对事件进行溯源、总结,并对应对工作中突出的集体和个人给予表彰或奖励,对事故责任人给予问责处分。

(一) 调查评估,密码突发事件应急响应结束后,应急处置组及时调查突发事件的起因(包括直接原因和间接原因)、经过、责任,评估突发事件造成的影响和损失,总结突发事件防范和应急处置工作的经验教训,提出处理意见和改进措施,在应急响应结束后15个工作日内形成总结报告,上报密码应用安全组织委员会。

(二) 奖惩问责,密码应用安全组织委员会对密码安全突发事件应对工作中作出突出贡献的先进集体和个人给予表彰或奖励。对不按照规定制定应急预案和组织开展演练,迟报、谎报、瞒报和漏报突发事件重要情况,或在预防、预警和应急工作中有其他失职、渎职行为的单位或个人,由行政人事部门给予约谈、通报或依法、依规给予问责或处分。

第十二条 应急演练,为提高密码安全突发事件应急响应水平,每年定期组织开展密码安全突发事件应急演练,检验应急预案各环节之间的通信、协调、指挥等是否符合快速、高效的要求。通过演练,进一步明确应急响应各岗位责任,对预案中存在的问题和不足及时补充和完善。演练结束之后对应急演练情况向密码应用安全组织委员会报告。

第十三条 教育培训宣传,密码应用安全应急处置组会同行政人事部门组织开展密码安全应急相关法律法规、应急预案和基本知识的宣传教育和培训竞赛,提高职员的密码安全意识和防护、应急能力。

第十四条 经费保障,开展密码安全突发事件应对工作提供必要的经费保障,支持单位密码安全应急队伍建设、手段建设、应急演练、应急培训等工作开展。

第八章  密码软硬件及介质管理

第一条 密码设备管理员负责单位内所有的密码设备、密码应用、密码组件、密码终端的管理、配置、使用与维护工作。

第二条 密钥管理员负责密钥、智能密码钥匙USBKey、CPU卡的管理、配置、使用与维护工作。

第三条 密码软硬件及介质管理维护人员,必须经过培训与考核后才能上岗,并需严格按照密码软硬件维护规范和使用说明开展管理维护工作。

第四条 密码软硬件设备应当每3个月完成设备巡检、升级和维保工作,至少每半年集中检查一次。巡检时,对照巡检点逐项巡检,巡检记录须保存一年。密码软硬件设备操作必须经过授权,且不得开放互联网端口。

第五条 建立密码软硬件设备故障和应急保障机制,加强密码设备的日常监控,评估设备的安全风险,及时进行扩容和升级,定期开展应急演练,确保设备发生故障时能及时恢复。

第六条 密码软硬件设备发生故障应由密码生产单位维修,送修前必须拆除与密码有关的硬件,并彻底清除与密码有关的软件和信息,详细认真填写《设备巡检维修记录表》(见附录4)。如若是现场维修时,应由相关人员全程陪同。在维修过程中,对于需要更换的零部件,在价格和型号等方面要及时与密码应用安全工作组沟通,取得认同后再更换。

第七条 密码设备使用说明书、配套的智能密码钥匙、密码卡、光盘、合格证、装箱清单等须由密码设备管理员进行封存,需要时,经密码审计员审批后启用。

第八条 生产环境的密码软硬件设备,不提供功能测试验证服务。

第九条 建立介质管理台账,并定期对目录清单进行盘点,当所有权发生变化时,必须进行增量盘点统计。用于备用的介质,需存放在一定安全级别的区域,当无人看管时,要将这些介质存放在办公室或保密柜中。对介质的入库、保管、送出维修以及销毁等活动进行管控。

第九章  管理制度修订及发布流程

第一条 为健全和完善单位密码应用安全的规章制度体系,加强单位密码应用安全规章制度的管理工作,促进单位管理实现制度化、流程化、规范化,提高工作效率,保证密码应用安全工作质量,建立简捷、实用、高效、统一的制度管理体系,使密码应用安全规章制度保持合理性、适用性、有效性和执行力,密码应用安全组织委员会负责本单位密码应用制度体系建设及管理工作。

第二条 密码应用安全管理制度按照规定的权限和程序,科学、合理地规定单位各部门、各岗位的密码应用权利、义务、责任以及单位内部的管理秩序,是单位系统内要求各部门及职工共同遵守的密码应用办事规程或行动准则。涉及一个以上部门的密码应用工作的管理文件,均应通过规章制度进行下发。

第三条 密码应用安全管理制度的制定从单位实际出发,认真调查研究,遵循合法、利于实施的原则。密码制度工作管理应坚持 “谁制定谁负责、谁制定谁培训、谁制定谁监督落实、谁制定谁改进”的制度管理原则。

第四条 密码应用安全管理制度按性质,分为框架制度、基本制度和专项制度三类。根据管理活动的特点、性质及其范围大小等,管理制度的文体分为以下六种:“章程”、“制度”、“办法”、“细则”、“指引”、“规则”等。

第五条 密码应用安全组织委员会负责管理制度的规划、组织、编写、论证、审核、督促、检查、协助、修订的工作。行政部门协助配合起草单位和委员会工作,负责管理制度的文件编号、打印下发、整理建档、发布管理等工作。

第六条 密码应用安全管理制度的起草、修改、审核、发布、培训应当遵循下列原则:

(一) 坚持党的路线、方针、政策。

(二) 坚持依据法律、法规和规章制定的原则。

(三) 坚持从单位实际出发,认真调查研究。

(四) 坚持有利于单位的改革与发展的原则。

(五) 坚持符合实际、执行有效的原则。

第七条 密码应用安全管理制度的生命周期包含:提出、起草、审核、发布、备案、执行、培训、修改和废止工作及其相关活动。

(一) 制度提出,根据业务管理的需要,由归口管理或相关职能部门提出密码应用安全管理制度起草申请(制度起草申请表,见附录3),由密码应用安全组织委员会审核,报请单位法人或第一责任人签字确认后开展制定工作。

(二) 制度起草,密码应用安全管理制度的草案由其内容所涉及专业的主管部门负责起草,制度草案初稿编写完成后应送交行政部门走审批流程,由委员会组织审查论证,草案终稿审核后由单位管理层批准,转送行政部门进行发布登记、印刷。

(三) 制度修订,制度是具有时效性的,随着时间的推移、政策迭代及业务活动的变更需及时修订制度,从而保持制度的先进性。制度修订由行政部门组织委员会审核论证后经单位管理层批准发布。修订的方式分为,临时修订与常规修订的方式,修订频率约为一年一次。

(四) 制度废止,密码应用安全管理制度的废止应由制度的编制责任部门提出书面申请,报委员会审定再报单位管理层会签通过后废止。

(五) 制度公告,制度经单位管理层会签后,对即将正式施行的制度进行全体公告,公告期是5个工作日,无异议后由行政部门正式发文执行程序。

(六) 制度培训,为了更好的落实制度的执行,在制度下发两个星期之内,各相关部门须组织培训教育工作,相关岗位人员需充分、系统、全面的学习制定具体的实施细则和制度精神。

(七) 密码应用安全管理制度遵循统一的格式规范和版本控制。

第十章  制度执行记录规范

第一条 制度执行记录是为已完成的活动和达到的结果提供客观证据的文件,应对其识别、储存、保护、检索、处置及保存期限进行控制,并做好保密和安全工作。

第二条 管理制度的执行,各级部门及个人必须严格执行,各部门检查管理制度在本部门执行情况时,每一个环节都必须有检查执行情况的原始记录,且记录一定要真实、全面,要留下管理的“痕迹”,以作为检查、督导和明确责任的依据。

第三条 制度执行记录保存期为5年,各类记录在填写过程中或归档后,需指定专人对执行测记录进行管理,任何人未经行政负责人批准不得擅自对外公布记录中的信息。

第四条 制度执行记录均应及时收集、标识、编目和存档,建立台帐和借阅制度。

第五条 根据各种制度执行记录所对应的活动或者过程,由行政部门收集整理,编制索引目录,条理清晰地存放在档案室或电子硬盘中,存储环境能够保证记录的完整和安全,防止发生损坏、变质、丢失、非法访问、非法修改等情况。

第六条 组织人员定期对执行测记录进行分析、评审,发现可疑行为时采取必要的措施;形成分析报告,分析报告应包括监测到的异常现象和处理措施等。

第七条 制度执行记录一般不向外借阅,如有特殊需要,须由行政负责人批准后可就地借阅,不得带出指定的范围。

第八条 对于超过保管期限的制度执行记录由行政部造册,经制度所有的部门负责人、质量负责人和质量监督员组成鉴定小组统一审定后报分管单位管理层批准,指定专人在指定地点销毁。

第十一章  攻防对抗演习

第一条 通过密码应用攻防对抗演习加强我单位人员关于密码技术的安全防范意识,提升组织内的密码应用安全防护能力以及对密码安全事件的监测发现能力和应急处置能力。通过对抗、复盘和研讨,总结经验教训,及时修正弥补目前密码应用存在的风险隐患,加强部门之间协同响应,同时也可为培养高水平密码应用攻防人才提供技术支撑,为我单位的密码安全决策提供依据,提升密码安全保障整体能力和水平。

第二条 密码应用攻防演习是指通过专业的密码安全人员设计并搭建设计一套可实施的、闭环的密码应用演练场景环境,用于模拟黑客行为对单位内部网络及信息系统进行入侵攻击和入侵防御的一类演练服务形式。

第三条 密码应用攻防对抗演习以单位的密码应用安全攻防团队为主体,每年定期组织一次密码应用安全攻防演习活动。

第四条 密码应用攻防对抗演习活动设定人员组织架构,明确角色职责。演习组织架构由组织方、攻击方、防守方三方组成。

第五条 密码应用攻防对抗演习总体活动内容包含:一规划演习流程,二设计组织结构,三制定演习规则,四演习启动会及协助演习准备工作,五提供演习后勤保障,六协调演习过程,七搭建演习平台,八监控攻击方行为,九展示攻防态势,十裁决对抗成果,十一输出总结报告。

第六条 密码应用实战攻防演习规则,攻防双方基于仿真业务的网络与应用环境,开展攻防对抗;不限制攻击方的攻击手段,攻击入口,以获取到目标用户和系统的控制权限、密钥、敏感业务数据为目的;防守方检测攻击事件,拦截攻击行为,溯源攻击者,以防护信息密码资产为目的。

第七条 密码应用实战攻防演习流程共经历五个阶段,分为启动阶段、准备阶段、演习阶段、收尾阶段、总结阶段。

第八条 整个攻防演习须严格遵循保密要求,以签订保密承诺书的方式承诺不泄露、不利用演习过程中接触到的重要数据和发现的密码安全漏洞、不得向外部提供资产等信息、在未经授权的情况下不得向外公布演习过程和演习结果。在所有演习参赛选手所使用的终端安装录屏软件,演习全程录屏,当发现录屏软件工作异常时,应及时报备、重新启动。

第九条 演习活动采用模拟仿真环境为基础,靶标系统的选用原则根据对业务数据的安全性和系统服务连续性为导向,例如资金管理系统、供应链系统、人事系统、关键数据库等。

第十条 为保证攻防双方公平公正,为了衡量成果质量,为了增加对抗双方的积极性,制定合理细致的竞赛规则,制定公正的评分规则,制定奖励方案。有利于保证演习活动的科学持续发展。

第十一条 密码应用攻防演习的保障措施,分为环境安全保障、操作安全保障、演习赛场组织保障、参赛人员规则保障四部分组成。

第十二章 培训制度

  • 部门负责组织安排对全体员工的信息安全意识教育宣贯,组织学习密码相关法律法规、密码应用安全管理制度,以及对信息科技人员的专业安全技能培训。

(一)结合单位目前的实际情况,网络安全培训分为:入职培训、在职继续培训、关键岗位(含安全管理员、安全审计员、系统管理员、数据库管理员、网络管理员、机房管理员、密钥管理员、密码安全审计员、密码操作员等)培训(包含关键岗位的入岗培训、关键岗位的在岗继续培训)。

(二)入职培训专门针对新进员工和新调入关键岗位的员工举办,旨在帮助员工了解本岗位网络安全的各项要求、尽快适应工作需要的培训。

(三)在职继续培训指不脱离工作岗位,在工作中接受的网络安全类培训。旨在提高员工网络安全综合素质,更新员工网络安全技能,持续培养员工网络安全意识,满足网络安全不断发展的需求。

(四)关键岗位继续培训,属于部门内部特定具体工作技能和网络安全要求的培训,其主要针对具体岗位的具体网络安全要求而进行。

  • 在上岗前,新员工要参加新员工信息安全培训,培训内容应包括:信息安全意识和XXX信息安全规定等,并经部门考核合格后正式上岗,确保其具备岗位所需专业技能。对于在职员工,部门针对涉及密码的操作和管理的人员必须进行专门培训,使得XXX员工熟悉并掌握信息系统的工作流程,严格遵循日常管理操作规程,有高度的工作责任心。在工作过程中,应定期组织信息系统安全知识培训。
  • 针对安全管理人员主要进行知识和政策的培训,以制定信息化安全建设的发展方针,确定目标和重点,统一规划信息化的发展方向和安全防护重点。信息化安全建设工作进行总体规划、部署和总结,研究解决信息化安全工作中的重大问题。以建立相应的信息化安全运行体系。
  • 针对用户,主要进行知识和技能的培训,以了解信息安全基础知识、密码相关法律法规、密码应用安全管理制度,掌握设计、执行或评估信息安全规程和做法的技能。
  • 信息系统安全管理人员的技术培训计划年初由各单位上报人力资源部,根据实际工作需求每年应进行1-3次培训,由信息安全领导小组负责组织实施。
  • 对安全责任和惩戒措施进行书面规定并告知相关人员,对违反违背安全策略和规定的人员进行惩戒。同时将密码相关法律法规、密码应用安全管理制度、安全意识教育培训纳入年终考核,评定个人绩效。
  • 对安全教育和培训、岗位考核的情况和结果进行记录并归档保存,以备查阅和审查
  • 培训计划

(一)关键岗位入职培训和继续教育培训年度计划由网络安全管理负责协调实施。入职培训以熟悉关键岗位所负责的信息系统具体安全要求及网络安全法律法规、国家标准、单位网络安全制度为主,继续教育培训以宣贯网络安全最新形势;国家法律法规、国家标准、单位网络安全制度的变化;以及网络安全新技术介绍为主。培训形式可采用单位内部培训、邀请网络安全专家讲座、讨论会等形式。

(二)员工入职培训和继续教育培训年度计划由XXX安全管理员制定,并报单位备案后,与人力资源部门协调实施。入职培训以熟悉网络安全法律法规、单位网络安全制度为主,继续教育培训以宣贯网络安全最新形势;国家法律法规、单位网络安全制度的变化。培训形式可采用内部培训、邀请网络安全专家讲座、讨论会等形式。

(三)人力资源部根据各职位具体情况,汇总、平衡、协调各部门的需求,制订单位的年度网络安全培训计划及各阶段的具体实施方案。

(四)培训计划根据实际情况的变化而加以适当的修正与调整。培训计划的修正与调整须经领导审批。

培训实施

(一)各部门负责人和安全管理员每季度至少参加三次网络安全及密码应用安全培训。

(二)关键岗位人员每季度至少参加一次网络安全专题培训,各部门负责人和安全管理员负责监督。

(三)部门员工每年至少参加一次网络安全专题培训,各部门负责人和安全管理员负责监督。

(四)每年根据实际情况提出培训具体要求和内容指导,协调组织各部门安全培训实施,所涉及部门必须予以配合并执行。

(五)公布培训课程,培训地点、培训讲师及参训人员。有关参训人员必须及时到达培训地点参加培训,不得无故缺席,并填写《员工培训签到表》。

(六)网络安全及密码应用安全相关培训纳入单位统一培训考核计划,各部门在进行年度考核时,无故不参加组织安排的培训,或者参加培训考核不合格的员工,取消年度考核评优资格。

  • 培训记录的保存

每次网络安全类培训结束后,培训组织者应妥善保存培训签到表、培训总结等记录

第十三章 考核制度和惩戒措施

  • 考试考核:为了达到培养和提升信息系统安全管理人员技术能力和管理水平能力的目的,按XXX信息安全人员管理有关要求定期(每年至少一次)对信息系统安全管理人员进行考试考核。
  • 信息安全培训的检查结果将作为各部门及员工信息安全职责考核的内容,考试的方式包括但不限于个人心得、笔试、操作考试等形式。考核得分在80以上的为优秀;60-80为合格;60以下为不合格。
  • 考核结果通报有关部门,纳入绩效考核。考核不合格的人员予以绩效扣分。
  • 每年进行一次政治思想、遵守安全管理制度等方面的考核,对于不合格者进行批评教育、处罚或调离岗位。

第十四章 保密制度

密码安全人员应签订《保密协议》,履行约定纪律及其他方面条款。从内部密码相关职位人员中选拔从事关键岗位的人员,并签署岗位安全协议。密码安全人员在调离岗位时要签订《离岗人员保密协议》

第十五章 人员调离制度

  • 工作人员离岗离职时,应即时取消其计算机涉密信息系统访问授权。工作人员离岗离职之后,仍对其在任职期间接触、知悉的属于厅机关及厅属单位或者虽属于第三方但本单位承诺或负有保密义务的秘密信息,承担如同任职期间一样的保密义务和不擅自使用的义务,直至该秘密信息成为公开信息,而无论离职人员因何种原因离职。
  • 离职人员因职务上的需要所持有或保管的一切记录着本单位秘密信息的文件、资料、图表、笔记、报告、信件、传真、磁带、磁盘、仪器以及其他任何形式的载体,均归市场监管厅所有,而无论这些秘密信息有无商业上的价值。
  • 离职人员应当于离职时,须返还全部属于市场监管厅的财物,包括记载着市场监管秘密信息的一切载体。若记录着秘密信息的载体是由离职人员自备的,则视为离职人员已同意将这些载体物的所有权转让给本单位,应当在离职人员返还这些载体时,给予离职人员相当于载体本身价值的经济补偿;但秘密信息可以从载体上消除或复制出来时,可将秘密信息复制到本单位享有所有权的其他载体上,并把原载体上的秘密信息消除,此种情况下离职人员无须将载体返还,也无须给予离职人员经济补偿。
  • 离职人员离职时,应将工作时使用的电脑、u盘及其他一切存储设备中关于工作相关或与市场监管会有利益关系的信息、文件等内容交接给厅机关相关管理部门,不得在离职后以任何形式带走相关信息。

离职人员离职时需填写离职表(单位自制),承诺保密。

附件一:密钥申请表

编号

信息系统名称

申请人

申请日期

申请部门

密钥期限

              □长期

密钥申请原因

密钥数量

密钥用途及权限范围

审批意见

初审人

复审人

备注

附件二:信息系统密码应用调查表

信息系统责任单位基本信息

单位名称

XXX单位

地址

密码应用主要领导

姓名

办公电话

职务

移动电话

密码应用责任部门

部门名称

责任人

办公电话

移动电话

信息系统基本信息

系统(平台)名称

XXX系统

网络安全等级

关键基础设施

□是           R

系统功能

系统服务及范围

密码应用需求特征

R实体鉴别 R访问控制 R传输保护 R数据加解密R完整性保护 R不可否认性 □其他

系统运行机构

联系人

电话

密码应用现状与改造建设计划

国外密码 技术产品 使用情况

□实体鉴别

□访问控制

 □传输保护

 □数据加解密

□完整性保护

□不可否认性

□其他

改造计划:

国产密码 技术产品 使用情况

R实体鉴别

R访问控制

R传输保护

R数据加解密

R完整性保护

R不可否认性

□其他

建设完善计划:

备注

(1.系统采用国外密码算法技术产品品名和数量2.是否存在密钥管理3.其他)

附件三:制度起草申请表

制度名称

制度编号

起草人

审核人

批准人

起草时间

审核时间

批准时间

责任部门

参与部门

申请类型

□新制定  □修订  □废止

依据

必要性

核心内容

部门意见

负责人:

 时间:

初审意见

签字:

时间:

审核意见

签字:

时间:

领导意见

签字:

时间:

附件四:设备巡检维修记录表

基本信息

单位

日期

设备编号

设备名称及用途

设备位置

负责人

设备型号配置

故障现象

单位审批

                                            签字:

                                            日期:

维修记录:

                                            维修人:

                                            日期:

(以下无正文)……………

附件五:培训表

密码培训

培训时间: XX年XX月XX日           培训地点: XXX  

培训讲师:    XX                   培训范围:         密码常识           

本次培训内容:   密码常识  

参加培训人员签到表

序号

姓名

单位

备注

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

注:培训范围涉及平台使用、后台管理、系统运行维护、密码常识、典型应用案例讲解等内容

附件六:考核记录

网络安全绩效考核表

日期

负责人

被考核人

考核项目

单项考核结果

综合评价结果

1)加密技术:理解典型对称密码和公钥密码思想,掌握典型对称密码体制和公钥密码体制

2)身份认证技术:理解数字签名的思想及其掌握典型的数字签名体制

3)掌握网络攻击基本步骤、攻击手段和技术、网络攻击发展趋势

4)通过checklist列表检查操作系统安全基线,并生成报告

5)能够熟练使用网络安全漏洞扫描工具,制定扫描策略对指定网络进行扫描,分析并处理扫描结果。

6)维护操作系统及大型数据库产生的各类安全日志文件

7)能够配合和分析防火墙日志;配置和分析入侵监测系统的日志

8)在单位内部定期公开做《网络安全法》、《密码法》及最新密码应用要求如39786等政策文件的培训,能灵活运用网络安全和密码相关法律法规内容,为参训人员提供高效的培训内容并产生审核的效果。

1)加密技术:理解典型对称密码和公钥密码思想,掌握典型对称密码体制和公钥密码体制

2)身份认证技术:理解数字签名的思想及其掌握典型的数字签名体制

3)掌握网络攻击基本步骤、攻击手段和技术、网络攻击发展趋势

4)通过checklist列表检查操作系统安全基线,并生成报告

5)能够熟练使用网络安全漏洞扫描工具,制定扫描策略对指定网络进行扫描,分析并处理扫描结果。

6)维护操作系统及大型数据库产生的各类安全日志文件

7)能够配合和分析防火墙日志;配置和分析入侵监测系统的日志

8)在单位内部定期公开做《网络安全法》、《密码法》及最新密码应用要求如39786等政策文件的培训,能灵活运用网络安全和密码相关法律法规内容,为参训人员提供高效的培训内容并产生审核的效果。

1)加密技术:理解典型对称密码和公钥密码思想,掌握典型对称密码体制和公钥密码体制

2)身份认证技术:理解数字签名的思想及其掌握典型的数字签名体制

3)掌握网络攻击基本步骤、攻击手段和技术、网络攻击发展趋势

4)通过checklist列表检查操作系统安全基线,并生成报告

5)能够熟练使用网络安全漏洞扫描工具,制定扫描策略对指定网络进行扫描,分析并处理扫描结果。

6)维护操作系统及大型数据库产生的各类安全日志文件

7)能够配合和分析防火墙日志;配置和分析入侵监测系统的日志

8)在单位内部定期公开做《网络安全法》、《密码法》及最新密码应用要求如39786等政策文件的培训,能灵活运用网络安全和密码相关法律法规内容,为参训人员提供高效的培训内容并产生审核的效果。

1)加密技术:理解典型对称密码和公钥密码思想,掌握典型对称密码体制和公钥密码体制

2)身份认证技术:理解数字签名的思想及其掌握典型的数字签名体制

3)掌握网络攻击基本步骤、攻击手段和技术、网络攻击发展趋势

4)通过checklist列表检查操作系统安全基线,并生成报告

5)能够熟练使用网络安全漏洞扫描工具,制定扫描策略对指定网络进行扫描,分析并处理扫描结果。

6)维护操作系统及大型数据库产生的各类安全日志文件

7)能够配合和分析防火墙日志;配置和分析入侵监测系统的日志

8)在单位内部定期公开做《网络安全法》、《密码法》及最新密码应用要求如39786等政策文件的培训,能灵活运用网络安全和密码相关法律法规内容,为参训人员提供高效的培训内容并产生审核的效果。

1)加密技术:理解典型对称密码和公钥密码思想,掌握典型对称密码体制和公钥密码体制

2)身份认证技术:理解数字签名的思想及其掌握典型的数字签名体制

3)掌握网络攻击基本步骤、攻击手段和技术、网络攻击发展趋势

4)通过checklist列表检查操作系统安全基线,并生成报告

5)能够熟练使用网络安全漏洞扫描工具,制定扫描策略对指定网络进行扫描,分析并处理扫描结果。

6)维护操作系统及大型数据库产生的各类安全日志文件

7)能够配合和分析防火墙日志;配置和分析入侵监测系统的日志

8)在单位内部定期公开做《网络安全法》、《密码法》及最新密码应用要求如39786等政策文件的培训,能灵活运用网络安全和密码相关法律法规内容,为参训人员提供高效的培训内容并产生审核的效果。

注:单项考核结果为优良中差四级,综合评价结果为合格、良好、优秀三档。

附件保密协议

甲方:XXX

乙方:

甲、乙双方根据《中华人民共和国劳动法》以及国家、地方政府有关规定,在遵循平等自愿、协商一致、诚实信用的原则下,就甲方商业秘密保密事项达成如下协议。

一、保密内容

甲、乙双方确认,乙方应承担保密义务的甲方商业秘密范围包括但不限于以下内容。

1.技术信息:技术方案、工程设计、技术报告、检测报告、实验数据、试验结果、图纸、样品等。

2.经营信息:包括经营方针、投资决策意向、产品服务定价、市场分析、广告策略等。

3.公司依照法律规定或者有关协议的约定对外承担保密义务的事项。

二、双方的权利和义务

1.甲方提供正常的工作条件,为乙方的发明、科研成果提供良好的应用和生产条件,并根据创造的经济效益给予奖励。

2.乙方必须按甲方的要求从事经营、生产项目和科研项目的设计与开发,并将生产、经营、设计与开发的成果、资料交甲方,甲方拥有所有权和处置权。

3.乙方不得刺探非本职工作所需要的商业秘密。

4.未经甲方书面同意,乙方不得利用甲方的商业秘密进行新产品的设计与开发和撰写论文向第三方公布。

5.双方解除或终止劳动合同后,乙方不得向第三方公开甲方所拥有的未被公众知悉的商业秘密。

6.双方协定竞业限制的,解除或终止劳动合同后,在竞业限制期内乙方不得到生产同类或经营同类业务且有竞争关系的其他用人单位任职,也不得自己生产与甲方有竞争关系的同类产品或经营同类业务。

7.乙方必须严格遵守甲方的保密制度,防止泄露甲方的商业秘密。

8.甲方安排乙方任职涉密岗位,并给予乙方保密津贴。

三、保密期限

乙方承担保密义务的期限为下列第____种。

1.无限期保密,直至甲方宣布解密或者秘密信息实际上已经公开。

2.有限期保密,保密期限自离职之日起____年。

四、保密津贴

甲方同意就乙方离职后承担的保密义务向其支付保密津贴,保密津贴的支付方式为:

_______________________________________________________________________________。

五、违约责任

1.乙方如违反本合同任何条款,应一次性向甲方支付违约金××万元,同时,甲方有权一次性收回已向乙方发放的所有保密费。

2.如果因为乙方的违约行为造成了甲方损失,乙方除支付违约金外,还应承担相应的责任。

六、劳动争议处理

当事人因本合同产生的一切纠纷由双方友好、平等地协商解决,协商不成,任何一方均有权向本合同签订地的人民法院提起诉讼。

七、其他

1.乙方确认,在签署本合同前已仔细审阅过合同内容,完全了解合同各条款的法律含义,并知悉和认可公司《保密管理制度》。

2.本协议如与双方以前的口头或书面协议有抵触,以本协议为准。本协议的修改必须采用双方同意的书面形式。

3.本协议未尽事宜,按照国家法律或政府主管部门的有关规章、制度执行。

八、本合同一式两份,双方各执一份,具有同等法律效力。自双方授权代表签字并盖公章之日起生效。

甲方(盖章)                              乙方(签名或盖章)

法定代表人签名:

年 月 日                                   年 月 日

编制日期  审核日期      批准日期

你可能感兴趣的:(信息安全管理制度,软件工程,安全,php,数据库)