某局网络安全管理制度汇编

来源:公文范文时间:2023-04-22 08:00:04

某局网络安全管理制度汇编目录 1.《安全工作的总体方针、政策性文件和安全策略文件》
4 2.安全管理制度 10 3.设备管理制度 14 4.审批管理制度 19 5.系统投入运行测试管理制度 23 6.机房管理制度 24 7.网络安全管理制度 30 8.系统安全管理制度 33 9.职员录用管理制度 37 10.职工离职管理制度 39 11.系统数据备份与恢复管理制度 44 12.信息系统变更及发布管理制度 46 13.资产安全管理制度 50 14.信息系统补丁及版本管理制度 54 15.安全事件报告和处置管理制度 56 16.恶意代码防范制度 62 17.存储介质管理制度 66 18.系统建设管理制度 68 19.漏洞扫描制度 70 20.软件开发管理制度 72 21.信息系统权限划分实施细则 77 22.安全事件定级 81 23.年度安全培训计划 84 24.办公环境管理办法 87 25.关键设备操作规程 88 26.安全责任管理规定 93 27.计算机类设备接入网络管理办法 94 28.应急预案总体框架 98 29.应急处置方案 104 30.保密协议书 109 31.岗位职责文件 114 32.网络管理操作规程 123 33.密码管理制度 126 34.外包运维管理制度 127 35.信息审核发布管理制度 129 附件1.设备领用登记表 131 附件2.设备更新及更换申请表 133 附件3.设备报废鉴定表 135 附件4.接入/外联授权审批表 137 附件5.网络外联及准入申请表 138 附件6.外部人员运维申请表 139 附件7.系统投入运行申请表 141 附件8.中心机房进出人员登记表( )月 143 附件9.外部人员访问审批单 145 附件10.机房安全检查记录表 147 附件11.网络设备及服务器更新记录表 149 附件12.系统运维记录 150 附件13.离职移交手续单 152 附件14.系统变更申请表 154 附件15.补丁安装操作记录（范文）
156 附件16.系统补丁更新记录 157 附件17.介质使用管理记录表 158 附件18.培训记录单 160 附件19.应急预案培训记录表 161 附件20.安全事件处理记录 162 附件21.设备带离机房审批记录 163 附件22.恶意代码培训记录 165 附件23.介质归档登记表 166 附件24.安全教育培训记录 167 附件25.管理制度评审记录 169 附件26.会议纪要 171 附件27.安全管理制度修订记录 172 附件28.操作运维记录 173 附件29.数据备份登记表 174 附件30.安全技能考核记录 176 附件31.安全管理人员信息表 177 附件32.网络主机恶意代码检测记录表 178 附件33.补丁更新测试记录表 179 附件34.外联单位联系表 181 附件35.日志分析记录 182 前言为保障xx市xx区农业农村局信息系统业务的正常持续运行，保护信息资产(具体包括单位拥有、控制、管理和使用的所有硬件、软件、信息、服务、人员和无形资产等信息资产）的安全，确保“单位信息系统”达到网络安全法律法规要求，制定本制度。

本制度旨在为单位的信息安全管理实践提供清晰的策略方向，阐明信息安全建设和管理的重要原则，为单位的信息安全管理工作提供指引与支持。

1.《安全工作的总体方针、政策性文件和安全策略文件》
第一章总则一、为保障xx市xx区农业农村局业务的正常持续运行，保护信息资产(具体包括单位拥有、控制、管理和使用的所有硬件、软件、信息、服务、人员和无形资产等信息资产）的安全，制定本方针。

二、本方针旨在为xx市xx区农业农村局的信息安全管理实践提供清晰的策略方向，阐明信息安全建设和管理的重要原则，为单位的信息安全管理工作提供指引与支持。

三、本方针的适用对象主要包括单位信息安全相关成员，以及与单位有关的集成商、软件开发商、产品提供商、商业合作伙伴、临时工作人员和其它第三方机构或人员。

第二章信息安全方针一、xx市xx区农业农村局成立网络安全与信息化领导小组，小组成员由单位领导、部门负责人组成，领导小组办公室设于xx市xx区农产品质量安全管理站，xx市xx区农产品质量安全管理站负责单位网络安全与信息化工作的组织协调和具体落实。xx市xx区农产品质量安全管理站组织定期召开会议，对有关信息安全重大问题做出决策。

二、xx市xx区农产品质量安全管理站是xx市xx区农业农村局信息安全管理职能部门。单位建立有效的信息安全管理体系，定义信息资产的安全需求，持续进行信息资产的风险评估，建立并完善信息安全保护策略和程序，使单位拥有可控的风险管理架构、方法和保障落实机制，确保单位在不断变化的信息安全风险环境中，始终能够通过科学的方法和持续的改进来增强单位抵抗风险的能力。

三、xx市xx区农业农村局信息安全相关成员必须接受必要的信息安全教育与培训，充分理解单位制订的信息安全管理规定，明确在保护单位信息资产安全过程中所应担当的角色和责任。

四、根据“谁主管，谁负责；
谁运行，谁负责”的原则，建立信息安全绩效考核体系。对于违反信息安全规定的部门和个人，将按有关规定进行处理。

第三章信息安全管理原则 xx市xx区农业农村局的信息安全管理推行治理原则、管理与技术并重原则和PDCA(“Plan：规划”—“Do：实施”—“Check：检查”—“Act：处置”)全面质量管理原则。

1、治理原则：信息安全管理要符合xx市xx区农业农村局的治理原则。在战略层面上，信息安全决策必须由最了解xx市xx区农业农村局整体目标与价值的权威部门来决定，使信息安全问题得到最高管理层的关注，信息安全实践由国际和国内得到普遍实践与认可的治理标准（如ISO27001、ITIL等）来指导。

2、管理与技术并重原则：信息安全不是单纯的技术问题，在采用安全技术和产品的同时，重视采取有效的管理措施，不断积累完善针对实际情况的各类安全管理策略、规章制度，全面提高信息安全管理水平，达到成本效益最优目标。

3、PDCA全面质量管理原则：对信息与信息系统的建设、运行、维护、废止的全过程进行信息安全管理；
在对信息资产的管理上遵循PDCA全面质量管理原则，针对xx市xx区农业农村局内外部业务环境及技术条件的变化情况，进行周期性的风险评估，根据风险状况及时调整信息安全管理策略和方法。

第四章信息安全方针的评审一、信息安全方针需要根据工作环境、业务内容和技术状况的变化情况，进行定期评审（一年一次）或不定期评审（当发生了较大的安全事故或单位经历较大的变革时），并根据实际情况进行修订，以适应当前最新的信息安全需要。

二、信息安全方针的变更由各部门提出，xx市xx区农产品质量安全管理站进行汇总、分析研讨，并负责起草工作，单位网络安全与信息化领导小组审批后发布。

三、单位将通过纸质文件或电子文件方式向所有工作人员发布本方针的最新版本及相关信息。

第五章安全策略框架建立一套关于物理、主机、网络、应用、数据、建设和管理等六个方面的安全需求、控制措施及执行程序，并在关联制度文档中定义出相关的安全角色，并对其赋予管理职责。“以人为本”，通过对信息安全工作人员的安全意识培训等方法不断加强系统分布的合理性和有效性。

1、物理方面依据实际情况建立机房管理制度，明确机房的出入管理办法，机房介质存放方式，机房设备维护周期及维护方式，机房设备信息保密要求，机房温湿度控制方式等等环境要求。通过明确机房责任人、建立机房管理相关办法、对维护和出入等过程建立记录等方式对机房安全进行保护。

2、网络方面从技术角度实现网络的合理分布、网络设备的实施监控、网络访问策略的统一规划、网络安全扫描以及对网络配置文件等必要信息进行定期备份。从管理角度明确网络各个区域的安全责任人，建立网络维护方面相关操作办法并由某人或某部门监督执行看，确保各信息系统网络运行情况稳定、可靠、正常的运行。

3、主机方面要求各类主机操作系统和数据库系统在满足各类业务系统的正常运行条件下，建立系统访问控制办法、划分系统使用权限、安装恶意代码防范软件并对恶意代码的检查过程进行记录。明确各类主机的责任人，对主机关键信息进行定期备份。

4、应用方面从技术角度实现应用系统的操作可控、访问可控、通信可控。从管理角度实现各类控制办法的有效执行，建立完善的维护操作规程以及明确定期备份内容。

5、数据方面对本单位的各类业务数据、设备配置信息、总体规划信息等等关键数据建立维护办法，并由某部门或某人监督、执行。通过汇报或存储方式实现关键数据的安全传输、存储和使用。

6、建设和管理方面（1）信息安全管理机制成立信息安全管理职能部门，设立单独的安全主管、系统管理员、网络管理员、安全管理员等主要安全角色，依据信息安全等级保护二级标准（要求），建立信息系统的整体管理办法。

（2）信息安全管理组织分别建立安全管理岗位和机构的职责文件，对机构和人员的职责进行明确，各个安全角色不能兼任。建立信息发布、变更、审批等流程和制度类文件，增强制度的有效性。建立安全审核和检查的相关制度及报告方式。

（3）人员安全管理要求对人员的录用、离岗、考核、培训、安全意识教育等方面应通过制度和操作程序进行明确，并且，定期对各个岗位人员的技能和安全意识进行培训。

（4）信息安全等级保护工作及风险评估要求定期对已备案的信息系统进行等级保护测评，以保证信息系统运行风险维持在较低水平，不断增强系统的稳定性和安全性。

（5）报告安全事件要求对突发安全事件建立应急预案管理制度和相关操作办法，并定期组织人员进行演练，以保证信息系统在面临突发事件时能够在较短时间内恢复正常的使用。

（6）业务持续性要求根据对系统的等级测评、风险评估等间接问题挖掘，及时改进信息系统的各类弊端，包括业务弊端，应建立相关改进措施或改进办法，以保证对信息系统的业务持续性要求。

（7）违反信息安全要求的惩罚建立惩处办法，对违反信息安全总体方针、安全策略的、程序流程和管理措施的人员，依照问题的严重性进行惩罚。

附则（1) 本制度由xx市xx区农业农村局负责解释。

（2) 本制度自颁布之日起实行。

2.安全管理制度一、总则为贯彻执行国家、地方和本行业有关信息化建设的方针政策，有效保障xx市xx区农业农村局信息系统正常运行。单位信息系统管理的规范化、程序化、制度化，进一步提高管理制度的体系化和制定发布流程的标准化，特制定本制度。

具体建设目标：
建立完整的信息安全运行体系，实现网络系统安全系统的集中管理和透明化监控，提高对突发事件的应急响应处理能力，保证关键业务应用运行的可用性、可依赖性以及故障恢复能力。

二、规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡注明日期的引用文件，其随后所有的修改单或修订版均不适用于本标准（不包括勘误、通知单），然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡未注日期的引用文件，其最新版本适用于本标准。

《信息安全技术信息系统安全保障评估框架》
《信息安全技术信息系统安全管理要求》
《信息安全技术信息系统安全等级保护基本要求》
三、安全管理 1、系统建设管理信息系统的安全管理贯穿系统的整个生命周期，系统建设管理主要关注的是生命周期中的前三个阶段（初始、采购、实施）中各项安全管理活动。

系统建设管理分别从工程实施建设前、建设过程以及建设完毕交付等三方面考虑，具体包括系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评和安全服务商选择十一个控制点。

2、系统运维管理目的是保障信息系统日常运行的安全稳定，对运行环境、技术支持、操作使用、病毒防范、备份措施、文档建立等全方位管理。包括用户管理、运行操作管理、运行维护管理、外包服务管理、有关安全机制保障、安全管理控制平台等方面的管理要素。

对运行过程的任何变化，数据、软件、物理设置等，都应实施技术监控和管理手段以确保其完整性，防止信息非法复制、篡改，任何查询和变更操作需经过授权和合法性验证。

应急管理也是运维的重要内容，目的是分析信息系统可能出现的紧急事件或灾难，建立一整套应急措施，以保障核心业务的快速恢复和持续稳定运行。应急计划包括应急处理和灾难恢复策略、应急计划、应急计划的实施保障等管理要素。

在单位统一的应急规划下，针对信息系统面临的各种应急场景编制相应的应急预案，并经过测试演练修订，同时宣传普及。

3、物理安全目的是保护计算机设备、设施（含网络）以及信息系统免遭自然灾害和其他形式的破坏，保证信息系统的实体安全。

有关物理环境的选址和设计应遵照相关标准，配备防火、防水、防雷击、防静电、防鼠害等机房措施，维持系统不间断运行能力，确保信息系统运行的安全可靠。对重要安全设备的选择，需符合国家相关标准规范，相关证书齐全。严格确定设备的合法使用人，建立详细运行日志和维护记录。

4、网络安全目的是有效防范网络体系的安全风险，为业务应用系统提供安全、可靠、稳定的网络管理和技术平台。

对于依赖网络架构安全的业务应用系统，需根据其安全级别，实施相应的访问控制、身份认证、审计等安全服务机制；
在网络边界处，需根据资源的保护等级，实施相应安全级别的防火墙、认证、审计、动态检测等技术，防范信息资源的非法访问、篡改和破坏。

5、主机安全主机安全包括服务器、终端/工作站等在内的计算机设备在操作系统及数据库系统层面的安全。终端/工作站是带外设的台式机与笔记本计算机，服务器则包括应用程序、网络、web、文件与通信等服务器。主机承载着各种应用，是保护信息安全的中坚力量。

主机安全需着重关注和加强身份鉴别、访问控制、恶意代码防范、安全审计、入侵防范几个方面，同时定期或不定期的进行安全评估（含渗透性测试）和加固，实时确保主机的健壮性。

6、应用安全应用安全是信息系统整体防御的最后一道防线，目的是保障业务应用系统开发过程及最终产品的安全性。

在应用层面运行着信息系统的基于网络的应用以及特定业务应用。基于网络的应用是形成其他应用的基础，是基本的应用；
业务应用采纳基本应用的功能以满足特定业务的要求；
故最终是保护系统的各种业务应用程序的安全运行。

应用系统的总体需求计划阶段，应全面评估系统的安全风险，确定系统的访问控制、身份认证、审计跟踪等安全需求；
总体架构设计阶段，应实施安全需求设计，确立安全服务机制、开发人员技术要求和操作规程；
应用系统的实现阶段，应全程实施质量控制，防止程序后门，减少代码漏洞；
在上线运行之前，应充分进行局部功能、整体功能、压力测试，以及系统安全性能、操作流程、应急方案测试。

7、数据安全及备份恢复信息系统处理的各种数据（用户数据、系统数据、业务数据等）在维持系统正常运行上起着至关重要的作用。由于信息系统的各个层面（网络、主机、应用等）都对各类数据进行传输、存储和处理等，因此，对数据的保护需要物理环境、网络、数据库和操作系统、应用程序等提供支持。

数据备份也是防止数据被破坏后无法恢复的重要手段，而硬件备份等更是保证系统可用的重要内容。

附则（1) 本制度由xx市xx区农业农村局负责解释。

（2) 本制度自颁布之日起实行。

3.设备管理制度一、总则为确保xx市xx区农业农村局信息系统设备管理规范有序，正常可靠地运行，特制定设备管理制度，本制度适用对象主要为信息化职能部门相关人员。

本制度的信息系统设备是指与信息系统相关的，包括服务器、存储设备、网络设备等专有设备，以及计算机客户终端设备。

信息系统相关的所有计算机、服务器、存储设备、网络设备等由各信息化职能部门统一管理，并由专人管理，定期登记。

xx市xx区农业农村局网络机房的各种设备、线路等，需指定各信息化职能部门专人负责，并对系统指定专人定期维护管理。

计算机客户终端设备，由相关责任人使用和保管。相关责任人都应对所属设备负责日常维护管理，并按相关管理规定与程序办理手续。

二、设备选型第一次要选：它是在广泛收集设备市场货源情报的基础上进行的。货源情报的来源包括产品样本、产品目录、电视广告、报刊广告等，制造厂家销售人员上门推销提供的情报，从展销会上收集到情报，代理商或有关专业人员提供的情报等。将这些情报分类汇集、编辑索引，从中选一些可供选择的机型和厂家。这就是为设备选型提供信息的预选过程。

第二次细选：它是在第一次预选的基础上进行的，首先要对预选的机型和厂家进行调查、联系和询问，详细了解产品的各种技术参数、效率、精度、性能：制造厂的服务质量和信誉，使用单位对其产品的反映和评价；
货源及供货时间；
订货渠道、价格及随机附件等情况，做好调查记录，填写“设备货源调查表”。然后进行分析、比较，从中在选出几个有希望的机型和厂家。

第三次选择：首先，要在第二次细选的基础上与选出的机型和厂家进一步联系接洽，必要时作专题调查和了解。对需要进一步落实的关键设备，要到制造厂或这种设备的使用厂实地进行深入细致的观察和了解，并进行必要的加工和实验，针对有关问题（如附件、附具、图样资料、备件的供应，设备的结构和精度、性能改善的可能性，价格及优惠问题，交货期等。）同生产厂家进行交谈，并作详细记录;也可与制造厂或代理商草签会谈备忘录或协议等。然后，由设备、工艺技术、计划和使用部门共同评价，选出最理想的机型和厂家作为第一方案（同时也要准备第二、第三方案，以便订货过程出现新情况是备用）。

最后，由主管领导决策批准，正式签订合同。在设备选型过程中，对一些关键设备，价格昂贵、数量多或整条生产线的设备，除采用上述多次筛选选法外，还应通过必要的技术经济分析和评价来进行优选。

三、设备的领用、更新、更换、维护和淘汰 1、采购入库设备由机房管理员到仓库登记领取，按照单位统一流程领用发放，并登记领用人，并填写《设备领用登记表》（附件1），明确责任人。

2、设备的更新与更换。设备的更新是指定期对部分需要升级的设备增加新配件，或更新部分配件；
设备的更换是指更换已经到了淘汰的年份而必须更换的设备。设备更新和旧设备淘汰工作根据统一部署按计划分批进行。

3、更新与更换流程。由需求人员填写《设备更新及更换申请表》（附件2），提出目前遇到的困难和所需设备性能要求，技术人员进行技术鉴定，由负责人签字。

4、分析信息系统设备需求，形成设备调拨或采购方案，如需采购则依照政府采购标准进行统一采购。所有独立信息系统设备，应按规定办理固定资产登记，填写设备卡，同时进行备案；
对新旧设备按各需求情况进行统一调拨。

5、信息系统设备的淘汰。

如需报废计算机及相关信息系统设备，由使用人员填写《设备报废鉴定表》（附件3），经鉴定无二次利用价值时，根据相关规定办理设备报废手续。

6、信息系统设备实行包干管理负责制。

每台设备都应有专人负责保管（包括说明书及有关附件），在未特别指定管理人员的设备由操作人员负责管理，并切实负起保管、维护责任。

7、在使用信息系统设备前，应掌握操作规程，阅读有关手册，经培训合格后方可进行相关操作。

8、分配到个人或xx市xx区农产品质量安全管理站使用的设备，使用者对设备的安全和完整负有责任。各人必须爱护、珍惜分配给自己使用的计算机设备。

9、各人原则上只能使用自己分配的计算机。

非必要时，不能将机器交由他人操作（特别是非本单位在职人员）。未经当事人同意，不能擅自在他人的计算机上进行任何操作。

10、未经授权同意，不得擅自操作服务器和网络设备。

所有计算机设备，未经授权同意，不得擅自拆、换任何零件、配件、外设。不论该行为是否已经对设备、网络、数据造成影响，一经发现，将严肃处理。

11、未经授权同意，不得擅自将私有或外来的零件、配件、设备，加入到系统内部的计算机设备中或网络中，不得擅自安装未经认可、允许的游戏和盗版软件。

12、如果需要将信息系统相关的计算机设备搬离办公地点（或外借）使用，必须经相关领导负责人同意后才能搬离或借出（必要时将相关数据删除）。

13、如果在职人员发生本单位内部调动，原有设备不能满足新的岗位需要，或者实际情况不适合计算机设备跟随调动的，必须预先提交申请报告，由领导同意后按实际情况处理。

14、xx市xx区农产品质量安全管理站及个人必须保证自己所用微机的清洁、卫生和安全。

四、附则 1、本制度由xx市xx区农业农村局负责解释和修订。

2、本制度自发布之日起开始执行。

4.审批管理制度一、总则为确保计算机网络(以下简称“内网”)的健康发展和正常运行，规范系统和设备接入内网的行为、为内网用户提供良好的接入服务，保障每个网络使用者安全、正常地运行，根据《中华人民共和国计算机信息系统安全保护条例》和本单位相关管理制度的规定，特制定本管理办法。

1、本制度适用于：
（1）单位所有需要接入和使用网络的计算机系统及设备；

（2）需要接入单位网络的合作单位计算机系统及设备；

（3）临时造访人员自带的计算机系统及设备；

（4）重要资源的访问；

（5）系统发生变化。

2、本制度由xx市xx区农产品质量安全管理站统一管理和执行。各信息化职能部门安全管理员负责对申请接入设备进行安全检查和入网审批，系统管理员负责服务器类系统及补丁的安装和升级，服务支持人员负责桌面系统的安装及升级。

二、接入管理 1、系统及设备接入本单位网络及重要资源的访问都必须接受检查和审核，检查审核通过后方可接入并按规定访问和使用相关网络资源，检查和审核工作由各信息化职能部门负责。具体的流程说明如下：
（1）需要外联的用户提出网络接入申请，填写《外联授权审批表》（附件4），说明接入设备的类型、接入原因、运行状况和运行起止时间等，并提交主管领导审批。

（2）主管领导审批、签字后，提交给信息化职能部门做系统安全检查，核实设备和系统的补丁和病毒防护情况是否符合单位要求。

（3）安全检查通过后，网络管理员根据用户需求分配网络资源，确定用户IP地址和网段，并在网络设备和安全设备上完成相应的设置工作。需要对被访问的服务器资源进行的配置调整由系统管理员负责。

2、如因工作需要，外部人员（包括设备厂家、系统服务商、合作开发商等）需要接入网络时，由相应的接口负责人提出网络接入申请，并填写《网络外联及准入申请表》（附件5）。

（1）外部人员在离开单位后，需由接口负责人提出取消网络接入申请，外部人员在接入内网的计算机名必须采用实名制。因技术交流或者其他工作原因临时造访的外部人员只能在指定区域（会议室和公共区域）接入网络。

（2）用户如果需要延长接入时间则必须重新填写申请表，申请时间到期后，网络管理员有权调整配置以中止其网络连接。

（3）用户终止连接时必须办理用户注销手续，以便信息化职能部门释放用户网络资源。

（4）网络接入申请材料在机房柜子存档以备查验。

三、运维管理如因工作需要，外部人员（包括设备厂家、系统服务商、合作开发商等）需要进行运维操作时，需填写《外部人员运维申请表》（附件6），填写单位名称，操作时间、工作内容描述，及可能受影响的系统和服务等信息，经相关负责人同意后方可进行操作。

四、系统变更及重要操作 1、执行系统变更和重要操作必须接受检查和审核，检查审核通过后方可接入并按规定访问和使用相关网络资源，检查和审核工作由各信息化职能部门负责。

具体流程如下：
（1）变更申请：由变更申请人根据变更类型进行变更申请，填写《系统变更申请表》，并将变更申请发送给信息化职能部门。

（2）变更需求调研：由信息化职能部门组织调研，在变更申请人配合下，完成对变更需求的调研分析。

（3）变更方案建议：由信息化职能部门根据变更需求，给出初步的方案建议。

（4）变更评审：由信息化职能部门负责人确定变更评审小组成员，评审中修改并确定变更的实施方案，小型变更由部门负责人审批，大、中型变更由信息分管领导审批。

（5）制定变更计划：由信息化职能部门根据已审批的方案，联系内部或外部支持团队，共同评估和协商，制定变更实施计划。

（6）确认变更计划：由变更申请人对计划中的功能、性能、时间、成本等进行确认。

（7）执行变更计划：由信息化职能部门和运维人员执行系统变更的具体实现工作。

（8）变更交付：在进行测试后，由信息化职能部门进行成果交付。如果交付的成果未达到申请人要求，再重新申请变更。

五、附则 1、本制度由xx市xx区农业农村局负责解释和修订。

2、本制度自发布之日起开始执行。

5.系统投入运行测试管理制度一、总则为规范系统工作流程、明确责任、保证信息化管理系统安全、稳定、有序运行；
以及在发生错误后得到及时、准确地解决，特制定本制度。

二、细则对准备投入的信息系统进行系统测试，测试时间按照具体情况，由各信息化职能部门商议决定测试时间，无故障运行一月并经信息化职能部门检查通过后，填写《系统投入运行申请表》（附件7）并经领导审批通过，方可正式投入运行。

网络管理员需密切监测网络，如果发现用户网络异常或用户有违反本办法的使用行为，安全管理员将中断该用户的计算机系统的网络连接，并按本办法的规定进行相应的处理。

定期或者不定期地对联网机器的IP地址、系统补丁和防病毒库软件、远程接入设备管理情况进行检查，发现有违反本规定的接入行为或不按单位相关规定使用网络资源的，将给予通报批评；
超过三次以上者将按单位相关规定给予警告处分；
对于由此造成单位计算机信息系统严重故障或导致单位重大损失的，将视情节严重程度给予严重警告以上处分，并实施相应的经济处罚，触犯国家法律的，则依法移交国家法律部门处理。

外部人员（包括设备厂家、系统服务商、合作开发商等）一旦接入单位网络，视同单位在职人员进行管理，相应的接口负责人对其负领导监督责任，对于其触犯相应规定的行为由相应的接口负责人负责。临时造访人员如果违规接入网络，其行为后果由相应的接待人员负责。

三、附则 1、本制度由xx市xx区农业农村局负责解释和修订。

2、本制度自发布之日起开始执行。

6.机房管理制度一、总则机房管理是网络安全运行维护管理的重要环节，为了保护服务器和网络设备及UPS、空调等设备、设施的正常工作，及时、准确、可靠、完整地完成业务数据处理，保障信息服务的顺利进行，制定本制度。

二、机房进出入管理 1、信息化职能部门相关人员进出机房需填写《中心机房进出人员登记表》（附件8），写明进出机房时间、姓名、访问事由，及陪同人员。如有第三方人员需进出入机房，则还需填写《外部人员访问审批单》（附件9）需信息化职能部门领导签字方可生效进入。

2、严禁业务系统开发人员、机房设备维修人员单独进入主机房、网络机房和配电房等核心区域。在核心区域进行操作期间，须由中心相关人员始终陪同。

3、信息化职能部门相关人员严禁将门卡（或钥匙）借给无关人员使用。

4、进入机房人员不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质等对设备正常运行构成威胁的物品。

三、环境安全 1、机房必须保持安静、整洁，严禁喧哗、会客、吸烟、聚众聊天或玩游戏。

2、机房内实际温度应保持在20℃—25℃之间，相对湿度保持为45%—65%。

3、配备环境监控系统和远程报警系统的机房，须每天检查系统的运行状况，确保系统正常运行。

4、定期做好机房及设备的清洁保养工作，严禁在机房内堆放杂物，存放复印纸、打印纸及软盘、光盘、U盘等移动存贮介质。严禁将茶杯、饮料、食品、报纸、杂志等带入机房。设备安装过程中产生的各类包装物应在当日及时清理干净。

5、机房管理员，专门负责机房的防火、防盗，负责机房供电系统、空调系统的安全和日常养护工作，定期检查机房设施情况，并对单位全体工作人员经常进行防火、防盗、防爆、防破坏教育和培训，提高安全意识。

6、严禁易燃、易爆、易腐蚀品进入机房；
严禁将水洒落在机房设备和地板上；
严禁踩踏机房电源插座或网线插座；
未经许可，非机房工作人员严禁动用各种电源开关，严禁动用任何线路和设备。

7、机房用电量严禁超负荷运行，严禁在机房内使用电炉、取暖炉、电水壶等大功率家用电器。

8、定期对机房供电系统及照明器具进行检查，防止因线路开关老化或损坏而短路造成火灾。雷雨季节要加强对机房防雷设备、地线及防护电路的检查与验收。

9、机房内一律不得动用明火，要严格控制电烙铁、电焊机等的使用。

10、机房软、硬件相关物品都由各信息化职能部门统一管理，且机房物品带入、带出机房必须进行登记。

11、对机房设备或主要部件进行固定，并设置明显的不易除去的标记。

四、人员操作 1、操作人员遵守值班制度，不得擅自脱岗。中心服务器数据库要每天进行备份，并严格实行备份专人保管。所有重要文档定期整理装订，专人保管，以备后查。

2、值班人员应定时（如每个月一次）对服务器、网络设备、空调、UPS、监控等设备的运行指示灯、CPU、内存、硬盘、应用程序等进行检查，值班人员须认真、如实、详细填写《机房安全检查记录表》（附件10），以备后查。

3、严格按照每日预制操作流程进行操作，对新上业务及特殊情况需要变更流程的应事先进行详细安排并书面报负责人批准签字后方可执行；
所有操作变更必须有存档记录。

4、操作人员应遵守相关安全规定使用服务器，完成操作后必须退出相关终端管理器。

5、各类软件系统的维护、增删、配置的更改，各类硬件设备的添加、更换必需经负责人书面批准后方可进行；
必须按规定进行详细登记和记录，对各类软件、现场资料、档案整理存档。

6、为确保数据的安全保密，对各部门送交的数据及处理后的数据都必须按有关规定履行交接登记手续。

7、安全检查规定，每天定时检查温湿度，半月针对所有设备进行安全检查。

8、如需将机房设备带离机房，则需要填写《设备带离机房审批记录》（附件21），经相关负责人审批。

五、机房保密管理 1、严格遵守通信纪律,增强保密观念,不得随意监测用户通信。增强法制观念,保守通信秘密,不得随意增删、泄漏有关资料。

2、未经批准不得擅自抄录、复制机线及设备图纸、电路和网络组织资料、机密文件、软件版本、技术档案、用户资料、内部资料等，或将其携带出机房。

3、外部人员进入机房必须遵守机房管理规定和机房安全规定。非经同意, 外来人员不得触摸设备及终端, 不得翻阅图纸资料。

4、所有维护和管理人员，均应熟悉并严格执行安全保密规定。各级领导必须经常对维护和管理人员进行安全、保密和消防教育。定期检查安全保密规则的执行情况，发现问题隐患及时处理。

5、信息化职能部门负责对用户口令、操作权限的管理，各类设备与系统应设定各级操作权限和口令，操作人员只可使用权限内的操作，用户账号及口令不可泄露给无关人员。

六、消防安全管理 1、机房内禁止存放和使用易燃易爆物品，用过的抹布棉纱等物品，用后应随时存放在箱内或放在室外安全地点，不得乱扔。机房内严禁吸烟或携带打火机。未经本单位防火负责人同意，机房内不得动用明火；
现场必须使用电炉、喷灯时，应做好防火措施。

2、机房的钥匙配发由信息化职能部门管理，任何人不得私自配制或给他人使用。不经批准，外来人员不得进入机房。

3、机房内应备有一定数量的灭火器，并指定人员负责定期检查。要协调保卫部定期检查防火设施，发现过期失效防火设备，及时上报保卫部更换。

4、不允许在机房内擅自搭接电源，不得使用超大负荷电器。

5、机房附近施工应严格遵守用火规定，并做好防护措施。

6、机房内不同种类的测试电源，应使用不同种类的插座，以防插错高低压电源而造成机障和阻断，电源线要符合耐压标准。

7、任何人不能随意更改消防系统工作状态、设备位置。需要变更消防系统工作状态和设备位置的，必须取得主管领导批准。工作人员更应保护消防设备不被破坏。

8、机房管理人员应熟悉机房内部消防安全操作和规则，了解消防设备操作原理、掌握消防应急处理步骤、措施和要领以及灭火器的正确使用方法。

9、根据实际情况配备消防设施，对消防设施不准擅自搬动、也不准挪作他用。

10、测试电器设备是否通电，只许使用测试仪表，禁止用手接触电器设备的带电部分和用短路等方法进行试验。

11、任何人不能随便更改消防设备位置。如需更改必须取得主管领导的批准。

12、应定期组织进行消防常识培训、消防设备使用培训。如发现消防安全隐患，应即时采取措施解决，不能解决的应及时向相关负责人员提出解决。

13、最后离开机房的工作人员，应检查消防设备是否完好。

七、附则 1、本制度由xx市xx区农业农村局负责解释和修订。

2、本制度自发布之日起开始执行。

7.网络安全管理制度一、总则为了加强单位网络安全与信息安全工作, 防止因偶发性事件、网络病毒等造成系统故障，妨碍正常的工作秩序，依照《中华人民共和国计算机信息系统安全保护条例》制定本管理规定。

二、网络结构安全管理 1、对网络设备的口令要加密存储，并以密文显示，并一季度修改一次。

2、对网络设备需要配置关闭telnet，划分VLAN区域使用逻辑隔离等安全配置。

3、网络物理结构和逻辑结构及时更新，拓扑结构图上应包含IP地址，掩码，网关，端口，网络设备名称，专线供应商名称及联系方式，专线带宽等，并妥善保存，未经许可不得对网络结构进行修改。

4、网络结构必须严格保密，禁止泄漏网络结构相关信息。

5、网络结构的改变，必须提交更改预案，并经过领导的批准方可进行。

三、网络访问控制 1、妥善保管现有的网络访问控制列表，其中应包含网络设备及型号，网络设备的管理IP，当前的ACL列表，更新列表的时间，更新的内容等，通过KVM串口登录，口令密文存储显示，按照业务要求进行VLAN划分。

2、定期检查网络访问控制列表与业务需求是否一致，如不一致，申请更新ACL。

3、未经许可不得进行ACL相关的任何修改。

4、更新ACL时，必须备份原有ACL，以防误操作。

5、ACL配置完成以后，必须测试。

6、禁止泄漏任何ACL配置。

四、网络设备安全 1、妥善保管现有网络设备清单，包括供应商及联系人信息，设备型号，IP地址，系统版本，设备当前配置清单。

2、每月检查设备配置是否与业务需求相符，如有不符，申请更新配置。

3、配置网络设备时，必须备份原有配置，以防误操作，配置完成之后，必须进行全面测试。

4、禁止在网络设备上进行与工作无关的任何测试。

5、未经许可不得进行任何配置修改。

6、网络设备和安全设备需要及时更新版本，且进行更新时必须先做好原先的配置备份，在网络空闲的时候进行测试，测试通过后放能接入生产网络，并填写《网络设备及服务器更新记录表》（附件11）。

7、定期开展内部网络设备安全漏洞扫描工作，并形成书面材料，扫描周期为一年2次，并对漏洞扫描并进行分析、修复。

8、设备必须开启日志审计功能，且不能删除，日志文件保存六个月以上，且单个文件必须大于2M，并由网络管理员进行管理，检查，并每3个月对审计日志进行分析。

9、网络设备和安全设备账户口令需要定期更换。

五、IP地址管理 1、妥善保管现有IP地址清单，其中应包含设备型号，是否支持远程登录及远程登录方式，IP地址，子网掩码，网关等信息。

2、及时更新IP地址清单，并制定检查计划，如有多余的IP，及时清理和更新。

六、备份定期每季度对网络设备配置文件、安全策略进行更新存档，并定期每半年查看备份文件是否可用，网络设备日志保存时间为半年。

七、附则 1、本制度由xx市xx区农业农村局负责解释和修订。

2、本制度自发布之日起开始执行。

8.系统安全管理制度一、总则为加强xx市xx区农业农村局的系统安全管理，明确岗位职责，规范操作流程，维护信息系统正常运行，确保计算机信息系统的安全，现根据《中华人民共和国计算机信息系统安全保护条例》等有关规定，结合本单位实际情况，特制订本制度。

二、操作规程 1、xx市xx区农业农村局成立网络安全与信息化领导小组，专门负责本单位范围内的计算机信息系统安全管理工作。

2、各工作计算机未进行安全配置、未装防火墙或杀毒软件的，不得入网。各计算机终端用户应定期对计算机系统、杀毒软件等进行升级和更新，并定期进行病毒清查，不得下载和使用未经测试和来历不明的软件、不得打开来历不明的电子邮件、以及不得随意使用带毒U盘等介质。

3、对信息系统的每个操作系统用户和数据库用户进行审计，审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；
审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等，并保护审计记录，避免受到未预期的删除、修改或覆盖等。

4、每季度对主机系统进行安全备份，日志审核。在实行安全配置时候需经过上级同意后进行操作。定期对主机系统的口令进行修改，口令应具有复杂度。

5、设定终端接入方式、对网络地址范围等进行限制，对终端登入用户数量进行限定，对终端连接的空闲时间进行限定。

6、任何人员不得制造或者故意输入、传播计算机病毒和其他有害数据，不得利用非法手段复制、截收、篡改计算机信息系统中的数据。

7、禁止利用扫描、监听、伪装等工具对网络和服务器进行恶意攻击，禁止非法侵入他人网络和服务器系统，禁止利用计算机和网络干扰他人正常工作。

8、计算机各终端用户应保管好自己的用户帐号和密码。严禁随意向他人泄露、借用自己的帐号和密码；
严禁不以真实身份登录系统。计算机使用者更应定期更改密码、使用复杂密码。

9、所有密码应符合复杂度策略，长度不少于8位，包含大小写字母、数字、字符中的两种或两种以上；
并且定期（90天）修改密码。

10、每个月检查系统安全策略、安全配置，定期对日志进行审核管理，发现问题及时上报。

11、专人负责系统运行日志，系统监控记录、日常维护和报警信息分析和处理等工作。

12、定期3个月对主机系统进行漏洞扫描，补丁升级，定期出具系统日志运行分析报告、审计数据的分析记录和分析报告。

13、当需要系统接入时，首先要对该接入的新系统进行检查，检查无误后填写《系统投入运行申请表》（附件7），并由信息化职能部门相关人员陪同及领导同意签字后方可进行相关操作，并对相关操作记录形成《系统运维记录》（附件12）。

14、系统应遵循最小安装的原则，需将不必要的软件进行卸载，将不需要的系统服务停用。

15、系统必须开启日志审计功能，且不能删除，日志文件保存6个月以上，且单个文件必须大于2M，并由网络管理员进行管理，检查，并6个月一次对审计日志进行分析。

16、对现在已有的用户账户进行权限的分配以及专人使用，如有特殊情况需要进行用户权限的变更则需要征求信息化职能部门领导审批通过后方可更改。如果发生岗位人员调离或离职，则需要根据实际情况出发对系统账户进行账户禁用或权限修改，如果该账号为administrator，则修改该账户的用户名以及密码。

17、对主机、网络及存储设备进行关机、重启、断电等操作时一定得按照设备的操作说明书进行操作，对于主机设备按照先关闭操作系统再断电源顺序，对于网络设备在关机或者重启之前保证网络配置的保存及备份，网络设备有开关的先关闭开关再切断电源，重启设备尽量使用系统本身命令重启，切勿频繁插拔电源，对于存储设备先关闭与之相连的设备，再关闭存储设备系统，最后断电的顺序，以保证设备、数据的安全。

四、信息系统安全检查管理办法管理员通过监控类安全设备对信息系统进行安全性实时监控，通过审计类安全设备进行安全的综合性分析，多方结合以便及时发现存在的安全漏洞或恶意的攻击，从而实现动态和实时的安全控制。

1、关键重要的安全设备须每天进行日常巡检，检查指示灯、服务状态等。

2、所有安全设备须每月详细检查一次，记录并分析相关日志，对可疑行为及时进行处理。

3、每周二次对网络防病毒系统的病毒库进行升级，并查看防病毒系统事件日志，包括各客户端病毒查杀日志、升级日志等。病毒发现情况和统一升级的情况，应记录于病毒系统安全检查表格中。

4、在系统日常管理中，要定期（不少于两周一次）对系统日志文件等进行检查，并对用户情况进行检查，以尽早发现潜在的非法侵入。

5、计算机信息系统中要有详细系统日志，记录每个用户的每次活动（访问时间、地址、数据、程序、设备等）以及系统出错和配置修改等信息。

6、系统安全保密管理人员要定期审查系统日志并做好审查记录，审查周期不得长于一个月，同时保证系统核心日志的定期备份。

7、所有的检查及审计须提供相应的记录或报告。

五、附则 1、本制度由xx市xx区农业农村局负责解释和修订。

2、本制度适用于单位所有操作系统、数据库、应用系统等方面的系统安全。

3、本制度自发布之日起开始执行。

9.职员录用管理制度一、总则 1、为规范职员的录用工作，明确录用双方的权责，特制定本规定。

2、人事部门负责录用工作的实施，用人部门协助执行。

二、录用前的告知义务 1、职员在入职前，必须如实告知其真实履历，身体状况、教育状况等基本信息，确保其向单位提交的各种证明的材料全面、真实、合法。

2、职员入职前，行政人事部如实告知其入职条件、工作职责、工作地点、工作环境、工作时间、福利待遇、规章制度等，对职员所关心的其他事项也应作详细解答。

三、录用条件和要求 1、录用职员年龄必须达到18周岁或以上，具有国家认可的有效身份证明。

2、其他重大疾病（重大疾病参见国家相关规定）或不适合招聘岗位的其他疾病。职员在签订劳动合同前必须出示单位指定的医疗机构的体检报告，否则单位不与其签订劳动合同。

3、能力要求。职员应当具备应聘岗位所要求的教育背景、工作经验、专业能力和一定的辅助能力以及所应聘岗位的特殊要求。

四、入职报到手续与流程 1、被录用人员凭人事部门发放的《录用通知书》，按指定时间、地点携带规定的证件、资料，亲自办理报到手续。不在规定时间内报到或不亲自前往办理的均视为拒绝受雇，该通知书自动失效。

2、新职员均须到行政人事部办理报到手续，如实填写《职员档案》个人资料部分。行政人事部收取录用人员1寸免冠彩照2张、有效体检报告以及身份证、毕业证、职称证、流动人口计生证、暂住证等相关证件复印件；
已依法与原单位办理解除或终止劳动合同手续的，应向单位出示相关劳动合同解除或终止证明，单位将视具体情况向其前单位核实；
单位对录用人员的经历、背景、相关证件及以前工作表现情况保留核实的权利。

五、附则 1、本规定由xx市xx区农业农村局负责制定、解释，由网络安全领导小组审批后颁布实施。修订、废止时亦同。

2、本规定自颁布之日起实施。

10.职工离职管理制度一、总则为规范全体职员离职管理工作，使单位离职管理有所依循，确保单位和离职职工的合法权益和日常工作连续性，制定本管理制度。

1、适用范围信息化工作岗位所有员工，不论何种原因离职，均依本办法办理，若有特例，由信息化职能部门相关领导签字认可。

2、离职定义（1）合同离职。

（2）职工履行受聘合同或协议而离职。

（3）职工辞职：
a、因职工个人原因申请辞去工作：单位同意，且视为辞聘职工违约；
单位同意，但视为部分履行合同（视实际情况由双方商定）。

b、自动离职，因职工个人原因离开单位：不辞而别；
申请辞去工作，但单位未同意而离职。

（4）单位辞退、解聘：
a、职工因各种原因不能胜任其工作岗位者，予以辞退。

b、因不可抗力等原因，可与职工解除劳动关系，但应事前三十日预先辞退通告。

c、违反单位、国家相关法规、制度，情节较轻者，予以解聘。

（5）开除：
违反单位、国家相关法规、制度，情节严重者，予以开除。

二、离职申报 1、离职职工，不论是那种方式都应填写《离职移交手续单》（附件13）报送xx市xx区农产品质量安全管理站的领导。

2、普通职工离职的书面申报，应提前二周报送，管理员、技术人员应提前一个月报送，中高级岗位应提前二个月。

3.职工离职时必须严格保守本单位的各项工作信息，做好严格的保密规定，如有发现离职职工有泄密事件，按实际情况出发追究相关责任人责任。

三、移交职工离职应办理以下交接手续：
1、工作移交指将本人经办的各项工作、保管的各类工作性资料等移交至直接上级所指定的人员，并要求接交人在《离职移交手续单》（附件13）签字确认，具体内容如下：
（1）
单位的各项内部文件；

（2）
经管工作详细说明；

（3）
培训资料原件；

（4）
单位的技术资料（包括书面文档、电子文档两类）；

（5）
项目工作情况说明：
a、项目计划书 b、项目实施进度说明 c、项目相关技术资料 d、其它项目相关情况详细说明 2、事物移交职工在单位就职期间所有领用物品的移交，交接双方签字确认，具体内容如下：
（1）领用办公用品；

（2）单位配置的通讯工具；

（3）考勤卡、（xx市xx区农产品质量安全管理站、办公桌）钥匙；

（4）借阅资料；

（5）各类工具（如维修用品、移动存储、保管工具等）；

（6）其他需要移交的物品。

3、款项移交（1）将经手各类项目、业务、个人借款等款项事宜移交至计划财务部。

（2）经手办理的业务合同（协议）移交至计划财务部。

以上各项交接均应由交接人、接管人签字确认，并经xx市xx区农产品质量安全管理站审核、备案后方可认为交接完成。

四、结算 1、结算条件：当交接事项全部完成，并经领导签字认可后，方可对离职人员进行相关结算。

2、结算部门：离职人员的工资、违约金等款项的结算由计划财务部、xx市xx区农产品质量安全管理站共同进行。

3、结算项目：
（1）
违约金：因开除、解聘、自动离职和违约性辞职产生的违约金，由人事部按照合同违约条款进行核算；

a、《劳动合同》合同期未满违约金 b、《保密协议》违约金（2）
住房基金结算。

（3）
工资 a、合同期满人员，发放正常出勤工资，无违约责任；

b、单位辞退的人员，发放正常出勤工资，双方互不承担违约责任；

c、因本单位经营状况等特殊原因的资遣人员，发放正常出勤工资外，本单位另外加付一个月基本工资。

（4）
项目损失补偿金：项目开发人员违约性离职，其负责的开发任务未能完成和移交，应付本单位项目损失补偿金。

五、关系转移 1、转移前提交接工作全部完成（以签字为准），违约金、赔偿金等结算完成（以签字为准）。

2、转移内容档案关系，社保关系，单位内部建立个人档案中资料不再归还本人，由人事部分类存档。

六、附则 1、本制度由xx市xx区农业农村局负责解释和修订。

2、本制度自发布之日起开始执行。

11.系统数据备份与恢复管理制度一、总则为了确保系统计算机系统的数据安全，使得在计算机系统失效或数据丢失时，能依靠备份尽快地恢复系统和数据，保护关键应用数据的安全，保证数据不丢失，特制定本制度。

二、备份方式数据备份分为常规备份和非常规备份两大类。

常规备份是指在指定时间进行、具有固定备份内容和操作流程的数据备份，包括日备份、月备份、全系统备份等。

非常规备份是指不定期进行、具有特定备份目的的数据备份，包括应用系统软件备份、数据清档备份和特殊备份等。

三、数据备份操作规程应该及时对数据进行备份，防止系统、数据的丢失；
涉及数据备份和恢复的工作要由专人负责，并认真填写《数据备份登记表》（附件29）。

服务器数据备份工作，由信息化职能部门负责，备份方式为全备,备份频率为三个月一次。备份介质保存于光盘与硬盘中,保存周期为永久保存，半年检查一次。

网络设备数据备份工作，由信息化职能部门负责，备份方式为全备，备份频率为三个月一次，备份介质保存于光盘或硬盘中，保存周期为永久保存，半年检查一次。

备份数据应该严格管理，妥善保存；
备份数据资料需保存在机房内部。

四、数据恢复操作规程 1、数据的备份、恢复、转出、转入的权限都应严格控制。严禁未经授权将数据备份出系统，转给无关的人员或单位；
严禁未经授权进行数据恢复或转入操作。

2、当各个系统发生数据丢失或数据破坏无法正常工作等情况时应该按照以下步骤进行操作：
（1）系统管理员首先应该关闭网站服务器,在网站页面上说明“系统正在维护中”；

（2）各管理员配合系统管理员进行系统故障排查，查看审计数据，确定故障原因；

（3）检查确认问题后对数据进行恢复（“备份文件导入”-“数据检查测试”-“测试通过”-“导入服务器”），解决问题后方可重新开启网站服务器，进行正常使用。

3、测试数据库备份数据的数据完整性和可用性，需定期对备份的数据进行测试、恢复：
（1）将备份数据导入测试服务器；

（2）配合数据库管理员对数据进行检测，查看其是否可用，和数据的完整性；

（3）检查通过后，可导入生产服务器。

五、备份管理 1、信息化职能部门定期6个月检查一次保存备份数据能否正常使用，需刻录光盘的数据应经过检验，确保数据备份的完整性和可用性后，方可刻录光盘，所有光盘、硬盘如果检查出损坏，需立刻更换，如果存储空间满额，需要及时增加。

数据库备份方式为异机备份，有相应备份策略进行实施备份。

2、备份数据应放置机房五防柜中，文件命名规则按照日期来命名，带离机房时应填写《介质使用管理记录表》（附件17）经过介质管理员登记后通过，方可带离。

六、附则 1、本制度由xx市xx区农业农村局负责解释和修订。

2、本制度自发布之日起开始执行。

12.信息系统变更及发布管理制度一、总则 1、为规范软件变更与维护管理，提高软件管理水平，优化软件变更与维护管理流程，特制定本制度。

2、本制度适用于应用系统、网络系统等已开发或采购完毕并正式上线、且由软件开发组织移交给应用管理组织之后，所发生的生产应用系统（以下简称应用系统）运行支持及系统变更工作。

二、变更流程 1、系统变更工作可分为下面两类类型：
（1）功能完善维护业务部分由于业务发展或业务处理的需要，所产生的对系统的现有功能进行完善的需求。

（2）系统缺陷修改系统设计和实现上的缺陷会引发业务操作中的异常，即对系统缺陷进行修复的需求。

2、由信息系统使用责任人提出系统变更需求，并将变更需求整理成《系统变更申请表》（附件14）。由信息化职能部门负责需求分析，提出系统变更建议。批准后会撰写变更方案,方案包括现状分析、变更或改造建议以及实施费用预算等方面内容。

3、当确定信息系统变更方案后，单位将通过正式文函的方式对系统的运维、使用主体部门进行告知。

4、实现过程应按照软件开发过程规定进行。系统变更前应遵循软件开发过程相同的正式、统一的编码标准，并经过测试和正式验收才能分发。

5、系统管理员组织相关人员对系统程序进行的变更，需严格按照功能要求在备用服务器上进行全面调试，调试通过后才能分发。

6、系统管理员负责对系统变更过程的文档进行归档保存，变更过程中涉及的所有文档应至少保存两年。

三、紧急变更流程 1、紧急事件的报告发现系统异常，导致业务处理无法正常进行，必须迅速处理解决时，问题发现人将问题报告给系统管理员。

系统管理员根据问题信息，进行问题的初步诊断，如有可能，对问题原因进行分析定位，并给出解决问题的建议 2、紧急事件变更启动系统管理员接到紧急问题上报后，及时进行讨论和交流，了解情况，并最终判定是否属于紧急事件。确定属于紧急事件后，由系统管理员启动紧急事件变更流程，并根据其重要性和紧迫性分配优先权，组织人员采取相应的处理流程。变更系统前，需要发布变更通知，提前告知所有受影响的用户，如果涉及到对外开放的业务，需要在网站上进行公告，说明系统变更的原因、变更时间、变更内容等。

3、紧急事件变更处理系统管理员组织人员进行紧急事件变更处理。紧急事件变更流程的变更处理同一般问题变更流程，包括分析、设计、实施、测试、验收，但需使用专设系统用户账号进行紧急事件变更，并进行明确的紧急事件变更文档记录。

4、紧急事件变更程序分发程序需要分发的，则系统管理员组织完成变更处理后，进行程序分发。紧急事件变更流程的程序分发同一般系统变更流程。

5、补办文档和领导审批记录紧急问题得到妥善解决后，需要分别补办各类文档和审批记录。

四、安全措施系统变更过程中，采取各种措施保证调试系统应用程序访问权限受到良好控制。这些措施包括：
1、通过调试环境的访问控制，限制对调试环境的访问；

2、通过物理隔离的手段，限制对调试环境的访问；

3、通过逻辑隔离的手段，限制对调试环境的访问；

4、对授权访问调试环境的开发人员进行详细记录，使用该记录对调试环境访问权限的检查，确保只有经授权开发人员才能访问调试环境；

5、普通用户只能通过前台登录系统，不能通过后台（如使用调试环境操作系统的命令行）进行操作；

6、开发人员不应该拥有前台应用程序的业务操作访问权限，更不应该在前台应用程序中担任实际的业务操作任务；

7、从技术角度限制开发人员对调试环境中应用程序文件夹的访问权限，只有经过授权的开发人员对程序拥有读、写和执行的权限；

五、变更管理对于信息系统的变更，如对整体网络添加、删除设备等操作，变更前需填写《系统变更申请表》（附件14），经信息化职能部门相关领导同意后出具网络设备变更实施方案，变更后对整体网络无影响则变更成功，变更失败后需立即恢复变更前原状，保持网络畅通。

六、附则 1、本制度由xx市xx区农业农村局负责解释和修订。

2、本制度自发布之日起开始执行。

13.资产安全管理制度一、总则为加强xx市xx区农业农村局信息固定资产的保管及使用管理，特制定本制度。

本制度所称信息固定资产包括xx市xx区农业农村局信息系统范围内所涉及的房屋及建筑物、信息化硬件及其附属设备、信息化软件及其集成系统、工具等。

二、操作规程 1、职责（1）负责检查数据资产的安全管理情况。

（2）负责本文件的编制和管理；

（3）负责固定资产的管理，包括固定资产的采购、记录、变更、报废等；

（4）负责备品备件的出入库管理；

（5）负责对有形资产进行分类、分级和标记；

（6）负责对备品备件进行分类；

（7）在有形资产发生变更、报废或销毁时，负责检查资产中信息的处理情况。

（8）负责检查台帐、信息系统中信息资产相关记录，并将记录情况纳入考核计划中。

2、资产的分类分级资产分类分为关键资产和非关键资产。 关键资产：对业务连续性和系统可用性影响大的资产（价格或价值较高的资产）。

 非关键资产：对业务连续性和系统可用性影响小的资产（价格或价值较低的资产）。

3、资产的登记与标记（1）信息化职能部门对固定资产进行分类分级、登记，确定该资产的类型、用途、位置、格式、规格、价值等具体信息；

（2）信息化职能部门根据发放的资产清单及设备标牌，对有形资产进行粘贴标记，各部门指定资产责任人，由资产责任人对所负责的资产进行保护；

（3）各部门在资产新增、更新、调拨、报废时，向信息化职能部门提出需求，由信息安全领导小组审核，报主管领导批准后按照相关规定执行；

（4）信息化职能部门定期检查有形资产的标记与使用情况，对资产丢失，标签缺损的情况进行记录，并纳入各部门考核；

（5）各部门对本部门管理的数据资产进行归类和统计，对电子文件采用统一样式的电子标记进行标识。

4、资产的使用与维护（1）各部门对信息资产使用规范说明，包括使用授权、管理方式、操作方法、移动管理等，报信息化职能部门备案。

（2）各部门工作人员，包括雇员、承包方人员和第三方人员应明确到他们使用信息资产时的限制条件，应对信息资产的使用和管理负责。

（3）各部门人员应确保在采用移动介质进行数据传输时，传输完毕应及时删除介质上保留的数据信息，对于只读介质，由本部门信息安全专员进行保存；

（4）各部门的存储介质在长期存储时，信息安全专员应确保本部门介质贮存地点应符合防火、防水、防震、防潮、防霉、防鼠害、防虫蛀、防静电、防磁等方面的安全要求，介质的存储要符合介质生产商对介质存储的要求；

（5）各部门定期对本部门存储介质中的数据进行备份和恢复测试，并进行测试记录，防止由于介质老化而导致的重要信息丢失；

（6）涉及国家秘密的信息通过移动介质进行存储时，各部门应参照国家有关规定执行。

（7）网络安全与信息化领导小组定期检查数据资产的安全管理情况，发现问题进行记录，并纳入各部门考核。

5、资产的销毁（1）各部门检查并清空待报废设备内的所有信息，交信息化职能部门统一处理；

（2）信息化职能部门对报废设备进行清点；

（3）信息化职能部门定期对报废设备进行统一处理，处理前对设备的存储信息进行检查；

（4）各部门介质上存储的信息的敏感程度，由信息化职能部门采取适当的措施对已报废的介质进行处理：
 包含敏感信息的介质，应按照国家要求，去专门地点删除原有介质上的数据信息或进行消磁处理；
对于只读介质，可采用粉碎等方式进行处理。

三、附则 1、本制度由xx市xx区农业农村局负责解释和修订。

2、本制度自发布之日起开始执行。

14.信息系统补丁及版本管理制度一、总则 1、为加强xx市xx区农业农村局系统补丁及版本的管理，规范补丁及版本的部署流程，保证信息系统补丁及版本的及时更新，确保信息系统安全稳定高效的运行，特制定本办法。

2、本办法所涉及的补丁包括硬件微码补丁、操作系统补丁、数据库补丁和应用系统补丁。

3、本办法所涉及的版本包括网络设备、安全设备、存储、服务器、终端等硬件产品的操作系统版本，各类系统软件（数据库、中间件）及各类业务系统的版本。

二、适用范围信息化职能部门负责本级各类软硬件产品的补丁及版本更新工作及终端设备的补丁及版本更新工作。

三、职责分工系统管理员每月和相关厂商联系，获取操作系统版本的最新情况，并对版本的更新后可能会产生的影响进行评估，确认是否可以升级，升级版本之前先做备份。

各类业务系统应该部署与之相应的测试系统，版本升级之前应做充分的测试，测试2天后无重大问题可进行正式部署，并将版本升级后做的改动内容告知各使用对象。

1、系统管理员（1）负责各操作系统（含浏览器、办公软件）补丁和应用系统（含中间件）补丁的管理。

（2）负责收集操作系统漏洞和应用系统漏洞信息，跟踪最新补丁信息，评估漏洞威胁、成因和严重性。

（3）负责提出操作系统漏洞和应用系统漏洞修补要求和相关防护措施，审批变更计划。

（4）负责搭建测试环境，测试补丁和测试结果的记录。

（5）负责补丁的安装或分发，负责制订补丁修补计划。

（6）负责解决补丁安装或分发过程中出现的问题。

2、数据库管理员（1）负责各数据库补丁的管理。

（2）负责收集数据库漏洞信息，跟踪最新补丁信息，评估漏洞威胁、成因和严重性。

（3）负责提出数据库漏洞修补要求和相关防护措施，审批变更计划。

四、补丁管理 1、补丁由信息化职能部门统一进行下载、测试和安装，未经许可，不可私自下载安装。

2、补丁来源须为原厂商官方网站或原厂商工作人员，对于非法的补丁禁止安装。

3、补丁安装前，应先做好系统和数据备份工作，避免出现问题进行回退，经严格测试通过后方可安装，对测试不成功的补丁严禁安装。

4、测试中发现的问题应做详细分析，判断发生问题的原因并及时解决，如果不能解决，须记录发生问题的环境，立即反馈给原厂商。

5、对于刚发布的严重等级漏洞（无补丁）或未通过测试的补丁，可采用临时解决办法消除漏洞的威胁或者暂时接受该风险。

6、制订补丁修补计划，须先分析信息资产、IT系统环境、IT网络环境和信息资产重要等级，确定需要安装的补丁和相应严重等级，同时明确修补时间、修补方式和修补范围。

7、补丁安装顺序遵循“资产价值大、威胁等级高优先安装”的原则。对于漏洞级别为严重的补丁，无特殊情况须在补丁发布后1星期内安装。补丁安装可参考《补丁安装操作记录（范文）》（附件15）。

8、补丁安装完成后应进行全面检查，以确认补丁安装情况，同时填写《系统补丁更新记录》（附件16）。

五、附则 1、本办法由xx市xx区农业农村局负责解释。

2、本办法自发布之日起施行。

15.安全事件报告和处置管理制度一、总则
提高处置网络与信息安全突发公共事件的能力，形成科学、有效、反应迅速的应急工作机制，确保重要计算机信息系统的实体安全、运行安全和数据安全，最大限度地减轻网络与信息安全突发公共事件的危害，保障单位信息安全，保护公众利益，维护正常的工作秩序制定本管理制度。

二、适用范围本制度适用于xx市xx区农业农村局发生的网络与信息安全突发公共事件和可能导致网络与信息安全突发公共事件的应对工作。

三、职责本制度由xx市xx区农产品质量安全管理站制订，结合信息网络快速发展和单位实际发展状况，配合相关法律法规的制定、修改和完善，适时修订本制度。

四、要求 1、工作原则预防为主：立足安全防护，加强预警，重点保护基础信息网络和重要信息系统，从预防、监控、应急处理、应急保障和打击犯罪等环节，在法律、管理、技术、人才等方面，采取多种措施，充分发挥各方面的作用，共同构筑网络与信息安全保障体系。

快速反应：在网络与信息安全突发公共事件发生时，按照快速反应机制，及时获取充分而准确的信息，跟踪研判，果断决策，迅速处置，最大程度地减少危害和影响。

以人为本：把保障公共利益以及公民、法人和其他组织的合法权益的安全作为首要任务，及时采取措施，最大限度地避免财产遭受损失。

分级负责：按照“谁主管谁负责、谁运营谁负责、谁使用谁负责”以及“条块结合，以条为主”的原则，建立和完善安全责任制及联动工作机制。根据部门职能，各司其职，加强部门间、各部门的协调与配合，形成合力，共同履行应急处置工作的管理职责。

常备不懈：加强技术储备，规范应急处置措施与操作流程，定期进行预案演练，确保应急预案切实有效，实现网络与信息安全突发公共事件应急处置的科学化、程序化与规范化。

2、组织指挥机构与职责
发生网络与信息安全突发公共事件后，应成立网络与信息安全应急协调小组(以下简称协调小组)，为单位网络与信息安全应急处置的组织协调机构，负责领导、协调全单位网络与信息安全突发公共事件的应急处置工作。单位应急协调小组负责日常工作和综合协调，并与公安网监部门进行联系。

3、先期处置（1）当发生网络与信息安全突发公共事件时，事发部门应做好先期应急处置工作，立即采取措施控制事态，同时向相关主管部门通报。

（2）
网络与信息安全事件分为四级:特别重大(1级)、重大(2级)、较大(3级)、一般(4级)。

（3）主管部门在接到本系统网络与信息安全突发公共事件发生或可能发生的信息后，应加强与有关方面的联系，掌握最新发展态势。对3级或4级的网络与信息安全突发公共事件，由该上级主管部门自行负责应急处置工作。对有可能演变为2级或1级的网络与信息安全突发公共事件，要为协调小组处置工作提出建议方案，并作好启动各项准备工作。主管部门要根据网络与信息安全突发公共事件发展态势，视情况决定赶赴现场指导、组织派遣应急支援力量，支持事发部门做好应急处置工作。

4、应急处置（1）应急指挥工作启动后，根据协调小组会议的部署，担任总指挥的领导和参与指挥的领导迅速赶赴相应的指挥平台，进入指挥岗位，启动指挥系统。相关部门按照本预案确定的有关职责立即开展工作。

需要成立现场指挥部的，事发部门立即在现场开设指挥部，并提供现场指挥运作的相关保障。现场指挥部要根据事件性质迅速组建各类应急工作组，开展应急处置工作。现场指挥部在协调小组的领导下全权负责现场的应急援救工作。主管部门负责对发生网络与信息安全突发公共事件的网络与信息系统的现场应急处置工作。

（2）应急支援工作启动后，协调小组的应急响应先遣小组，赶赴事发地，督促、指导和协调处置工作。协调小组种根据事态的发展和处置工作需要，及时增派专家小组和应急支援部门，调动必需的物资、设备，支援应急工作。

参加现场处置工作的各有关部门要在现场指挥部统一指挥下，协助开展处置行动。

（3）信息处理
a. 现场信息收集、分析和上报。事发部门应对事件进行动态监测，评估，及时将事件的性质、危害程度和损失情况及处置工作等情况按紧急信息报送的有关规定，及时报协调小组，不得隐瞒、缓报、谎报。

b．信息处理。协调小组要明确信息采集、编辑、分析、审核、签发的责任人，做好信息分析、报告和发布工作。

c．信息发布和咨询。当网络与信息安全突发公共事件发生时，协调小组要及时做好信息发布工作，单位通过新闻发布网络与信息安全突发公共事件预警及应急处置的相关信息。信息发布与新闻报道要按国家的有关规定及时进行。

（4）应急结束网络与信息安全突发公共事件经应急处置后，得到有效控制，经各监测统计数据上报协调小组，协调小组提出应急结束的建议，经批准后实施。

5、后期处置（1）善后处置在应急处置工作结束后，事发部门要迅速采取措施，抓紧组织抢修受损的基础设施，减少损失，尽快恢复正常工作，统计各种数据，查明原因，对事件造成的损失和影响以及恢复重建能力进行分析评估，认真制定恢复重建计划，迅速组织实施。有关主管部门要提供必要的人员和技术、物资和装备以及资金等的支持，并将善后处置的有关情况报协调小组，并填写相关记录《安全事件处理记录》（附件20）。

（2）调查和评估在应急处置工作结束后，主管部门应立即组织有关人员和专家组成事件调查组，查清事件发生的原因及财产损失状况和总结经验教训，并根据问责制的有关规定，对有关责任人员做出处理。

五、相关资源根据《中华人民共和国计算机信息系统安全保护条例》、《计算机病毒防治管理办法》制定本预案。

六、附则 1、本制度由xx市xx区农业农村局负责解释和修订。

2、本制度自发布之日起开始执行。

16.恶意代码防范制度根据《公安部第51号令计算机病毒防治管理办法》，制定本办法。

一、授权使用应在单位网络安装计算机网络病毒防治产品，其生产单位应具有《计算机信息安全专业产品销售许可证》，其病毒防治能力应达到公安部规定的合格或以上水平。

二、恶意代码防范意识职工应有较强的补丁升级、病毒防范等意识，定期进行病毒库升级，病毒检测。用户发现系统感染病毒情况，应立即处理并通知相关人员。

新系统安装完成后应打上最新的系统补丁、安装最新的防病毒软件，并对系统进行病毒例行检测。

经远程通信传送的程序或数据，必须进过检验确认无病毒后方可使用。

需按照单位实际情况出发，定期对各信息化职能部门相关员工进行恶意代码防范的技术培训，并填写《恶意代码培训记录》（附件22）。

三、恶意代码防治和管理工作信息化职能部门为最基本的病毒防治和管理部门，主要工作有：
（1）负责升级防病毒产品；

（2）负责防病毒产品安装；

（3）负责升级病毒库；

（4）负责病毒检测和清除，（5）负责病毒和防治应急；

及时向信息化职能部门报告未清除病毒的情况，每年一月中旬报送管理区域内的病毒防治工作总结。

应及时发布计算机网络病毒防治消息，督促网络用户防范和清除计算机病毒，网络服务器的病毒防治有系统管理员负责并执行，网络工作站的病毒防治由用户负责并执行，网络管理员进行指导和协助。

任何人不得制造、传播计算机病毒、不得故意输入计算机病毒及其有害数据危害网络安全。发现病毒，及时报告，及时处理。

病毒防治管理工作的专职负责人受到最新防病毒定义码后，应及时进行检测并下发给管理区域内的各用户，下发日期不得超过三个月。

病毒防治管理负责人定期对检测的结果向领导汇报，周期为一个月一次。

对于外来可移动存储介质必须先进行病毒扫描，严禁使用外来的未经查杀的可移动存储介质。

自助设备的安装、维修时，必须有管理员在现场跟踪进行，确保重要补丁与病毒软件升级完成，并进行安全例行检查后，方可投产。

必须安装使用具有国家有关部门认证和销售许可证的设备，并及时更新升级。

定期检测恶意代码，进行分析，并记录分析情况。

定期每半年进行系统漏洞扫描和风险评估，发现系统漏洞要按风险等级制定解决方案并组织实施。

应用系统投产前，必须进行系统安全配置检测和漏洞扫描，安装最新补丁包，关闭不需要的端口。

外包服务进行项目开发、测试、培训、交流等活动所携带的设备需要接入内网时，由相应负责人负责接入设备的系统安全问题、包括查杀病毒，修补系统漏洞，并办理有关接入内网手续，填写《网络外联及准入申请表》（附件5）。

协助各部门以各种形式对职工进行信息安全意识教育，普及信息安全知识和一般性信息安全防范技能。

随时注意计算机的各种异常现象，一旦发现，应立即用查毒软件仔细检查。

经常更新与升级防杀计算机病毒软件的版本，对重点岗位的计算机要定点、定时、定人做查毒杀毒巡检。

经常关心防杀计算机病毒厂商公布的计算机病毒情报，及时了解新产生的、传播面广的计算机病毒，并知道它们的发作特征和存在形态，及时发现计算机系统出现的异常是否与新的计算机病毒有关。

当出现计算机病毒传染迹象时，立即隔离被感染的系统和网络并进行处理，不应带“毒”继续运行；
发现计算机病毒后，一般应利用防杀计算机病毒软件清除文件中的计算机病毒；
杀毒完成后，重启计算机，再次用防杀计算机病毒软件检查系统中是否还存在计算机病毒，并确定被感染破坏的数据是否确实完全恢复。

如果破坏程度比较严重或感染的是重要数据文件，则自己不要盲目修复，而要请计算机病毒防范的专业人员处理，即使是计算机专业人员也要慎重。

对于杀毒软件无法杀除的计算机病毒，应将计算机病毒样本送交有关部门，以供详细分析。

一旦发生计算机病毒疫情，要启动应急计划，采取应急措施，将损失降到最小。

各计算机用户要加强计算机病毒防范的管理，认真执行和落实计算机病毒防范管理制度的各项规定；
以定期常规检查与特别日期专项检查、集中检查与分散检查相结合方式，对所使用的计算机进行病毒检查；
各计算机用户对因计算机病毒引起的计算机信息系统瘫痪、程序和数据严重破坏等重大事故，应及时向系统管理员报告. 四、附则 1、本制度由xx市xx区农业农村局负责解释和修订。

2、本制度自发布之日起开始执行。

17.存储介质管理制度一、总则为保护计算机信息系统处理的秘密安全，根据国家保密局下发的《计算机信息系统保密管暂行规定》制定本制度。

二、操作规程存储介质由信息化职能部门统一管理、统一登记。对存有涉密信息的外部存储介质，应与涉密文件一样对待，按照涉密载体管理办法管理。个人需要使用时凭批准手续办理，每次借用只限批准范围内的文件、资料，无关的不得借出。从而使信息化职能部门在软件磁盘、光盘、U盘使用方面起到监督的作用，减少泄密事件发生。

三、管理 1、对存储介质的购置、分发、使用、维修、废弃、销毁等各个环节、都应认真重视，做好防泄密工作。重要的资料至少应有两种不同存储介质的数据存储设备。

2、工作人职员作时使用的光盘、软盘、硬盘、Ｕ盘等存储介质，不得随意给外人使用，不得带出办公区域与机房，如需查看必须在专人陪同的情况下进行查看，如有特殊情况，需填写《介质使用管理记录表》（附件17）。

3、存储介质由各部门自己采购，分发。对已损坏的光盘、硬盘、Ｕ盘、移动硬盘等存储介质，不得随意丢弃，应交相关负责人员统一处理，如移动硬盘和U盘损坏则直接砸坏。

4、工作人员应该对磁盘信息加密并标明密级。

5、如对存储介质进行使用，维护和销毁，需清除介质中的敏感信息，防止重要信息外泄。

6、外部单位或机构对涉密存储介质进行维护时，需对存储的涉密信息采取保存、删除等安全保密措施，并指定人员监督维修过程，保密涉密信息不泄露。若外部单位或机构需要将涉密计算机存储介质转存至非指定设备时，有关责任人应当根据有关规定同外部单位或机构签署保密协议，在维修结束后，有关责任应监督维修人员对维修的介质中的涉密信息进行不可恢复性删除处理，涉密计算机存储介质外部维修前，必须获得相关领导批准，同时尽可能地对涉密信息进行不可恢复性删除处理，确因需要保留的涉密信息必须要求有关外部单位或机构签署保密协议 7、涉密移动存储介质的销毁，并经批准后进行销毁，任何部门或个人不得擅自销毁。

8、涉密移动存储介质只能在本单位办公场所使用，确因工作需要带出办公场所的，需经xx市xx区农产品质量安全管理站负责人批准，并履行相关手续和采取严格的保密措施。

9、定期对存储介质进行一次清查、核对，并对其完整性和可用性进行检查，确认其数据没有受到损坏或丢失，并填写《介质归档登记表》（附件23）统一进行管理。

10、对一些关键性的介质需要存放在安全位置，并安排专人进行管理。

四、附则 1、本制度由xx市xx区农业农村局负责解释和修订。

2、本制度自发布之日起开始执行。

18.系统建设管理制度一、安全方案设计应以书面的形式描述对系统的安全保护要求、策略和措施等内容，形成系统的安全方案；

应对安全方案进行细化，形成能指导安全系统建设、安全产品采购和使用的详细设计方案；

应组织相关部门和有关安全技术专家对安全设计方案的合理性和正确性进行论证和审定，并且经过批准后，才能正式实施。

二、产品采购和使用应确保安全产品采购和使用符合国家的有关规定；

应确保密码产品采购和使用符合国家密码主管部门的要求；

应指定或授权专门的部门负责产品的采购。

三、自行软件开发应确保开发环境与实际运行环境物理分开；

制定软件开发管理制度，明确说明开发过程的控制方法和人员行为准则；

应确保提供软件设计的相关文档和使用指南，并由专人负责保管。

四、外包软件开发应根据开发要求检测软件质量；

应确保提供软件设计的相关文档和使用指南；

应在软件安装之前检测软件包中可能存在的恶意代码；

应要求开发单位提供软件源代码，审查软件中可能存在的后门，并予以记录。

五、工程实施应指定或授权专门的部门或人员负责工程实施过程的管理；

应制定详细的工程实施方案，控制工程实施过程。

六、测试验收应对系统进行安全性测试验收；

在测试验收前应根据设计方案或合同要求等制定测试验收方案，在测试验收过程中应详细记录测试验收结果，并形成测试验收报告；

应组织相关部门和相关人员对系统测试验收报告进行审定，并签字确认。

七、系统交付应制定系统交付清单，并根据交付清单对所交接的设备、软件和文档等进行清点；

应对负责系统运行维护的技术人员进行相应的技能培训并对培训过程进行记录表格记录，填写《培训记录单》（附件18）。

应确保提供系统建设过程中的文档和指导用户进行系统运行维护的文档。

八、安全服务商选择应确保安全服务商的选择符合国家的有关规定；

应与选定的安全服务商签订与安全相关的协议，明确约定相关责任；

应确保选定的安全服务商提供技术和服务承诺，并要求与安全服务商签署保密协议。

19.漏洞扫描制度一、总则为保障xx市xx区农业农村局信息网络的安全、稳定运行，规范漏洞扫描的操作规范，特制订本制度。

本制度适用于所有在xx市xx区农业农村局信息系统内接入的漏洞扫描及相关设备的管理和运行，漏扫扫描周期暂定为一年4次。

二、操作管理（1）漏洞扫描设备的部署环境应满足相应的国家标准和规范，其网络拓扑和扫描范围的更改要报送信息化职能部门批准，以保证漏洞扫描设备发挥最大效应。

（2）漏洞扫描设备工作时会对网络造成一定程度的影响，应避免在网络运行高峰期进行扫描，如有特殊情况应通知有关的系统管理员. （3）漏洞扫描设备的规则设置、更改的授权、审批需填写《外联授权审批表》（附件4）。漏洞扫描设备的规则设置、更改，应该得到信息化职能部门负责人的批准，由系统管理员协助进行实施。

（4）具体操作过程，需填写《系统运维记录》（附件12）留档保存：
记录操作人员、操作时间、联系人及联系方式等信息；

记录网络环境，定义漏洞扫描的网络接口；

定义漏洞扫描的IP地址范围；

定义漏洞扫描的安全级别和扫描选项。

（5）对扫描结果的分析和安全漏洞修补。

漏洞扫描后，分析漏洞扫描报告，及时找到修补漏洞的补丁程序，并通过专用工具，及时下载打补丁，堵塞漏洞。

漏洞扫描发现的安全事件处理和报告的要求。一旦获悉业界公布的漏洞疫情，并确认它们存在严重的危害性，即使单位当前尚未出现受到侵扰的迹象，也必须采取预防措施，紧急更新库，通告单位，对服务器和专用网络设备实施紧急漏洞扫描，及时调整防火墙策略。

三、附则本制度由xx市xx区农业农村局负责解释。

本制度自颁布之日起实行。

20.软件开发管理制度 1、范围本标准规定了xx市xx区农业农村局软件开发与维护管理的职责和权限、管理内容和方法、报告和记录。

本标准适用于xx市xx区农业农村局软件开发与维护管理。

2、规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，使用本标准的相关部门、单位及人员要研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。

Q/HD 212.07—2007 计算机信息系统管理标准 Q/HD 202.04—2007 科技规划和科技项目管理标准 Q/HD 201.08—2007 合同管理管理标准 3、职责网络安全与信息化领导小组（1）审核重大软件项目开发计划。

（2）组织重大软件项目技术论证和评估工作。

信息化职能部门（1）组织调研用户需求。

（2）编制软件需求报告。

（3）制定软件开发方式。

（4）签订开发协议。

（5）软件开发、测试、修改工作。

（6）指导用户软件应用。

主管领导（1）提出软件开发需求。

（2）审批软件需求报告。

（3）审批开发方式。

（4）审批软件开发计划。

（5）审批软件设计开发商。

（6）审批软件开发设计报告。

4、管理活动的内容与方法（1）软件开发与维护管理信息化职能部门或者业务部门提出开发软件需求。

（2）组织调研信息化职能部门组织需求部门专责人和信息化专责人根据实际工作需要进行调研。做好需求调研分析及软件设计是提高软件质量的基础。

（3）编制初步需求报告、审批信息化职能部门组织编制被调研的用户需求报告。上报主管领导审批需求报告。

（4）提出申请相关单位、部门提出软件开发项目申请,重大软件开发项目按照规定报单位网络信息化领导小组审批，必要情况下组织技术论证工作。

（5）制定开发方式、审批信息化职能部门对申请批复的项目拟订开发方式（包括自主开发或与外单位合作开发），上报分管领导审批开发方式。

（6）自测开发结束后，信息化职能部门要组织开发软件的自测试。

（7）用户测试用户对软件进行运行测试。

（8）投入使用信息化职能部门组织验收合格后，正式投入运行。

（9）反馈意见用户在实际应用过程中及时反馈使用意见。

（10）调整程序信息化职能部门根据用户意见，自行或组织开发单位对应用系统进行适合的调整改进。

5、软件自行开发与维护管理（1）确定自主开发项目信息化职能部门确定需要自行开发的软件项目，成立自主软件开发项目组。

（2）签订协议信息化职能部门与需求单位签定软件开发协议。

（3）制定开发计划信息化职能部门制定具体实施开发计划。

（4）形成调研报告信息化职能部门组织对要开发软件进行详细需求调研。

A、制定调研计划。必须事先制定一个调研计划，以便双方有关人员，特别是用户方面的人员，安排好工作时间。调研计划中应包含调研计划基本信息、时间安排、调研内容、接待部门和人员、调研成果等5个方面的信息；

B、选择调研方法和工具：经常采取的调查方法主要有表格调查法、座谈调查法、查阅资料法和现场观察法4种，同时还要使用与之相匹配的调研工具，比如统计表格、图形等；

C、进行资料收集。收集到了相应的反馈单、审批表、领料单、台账、物料卡、报表等资料，这些资料可以用作数据库设计的依据；

D、绘制业务流程图。描述不仅仅是对系统原流程的机械拷贝，而应该是对原有系统的业务流程进行重新思考、设计、再造；

E、调研人员应全面了解所有项目干系人的需求，并按照重要性优先级进行权衡取舍；

F、应注意需求包含明确的和隐含的两方面。需求调研分析人员应善于想用户所想，不但要确定明确的需求，还要善于用启发的方式与用户探讨隐含的或潜在的需求，并结合各种调研分析技术挖掘超出用户期望的令人兴奋的需求；

G、调研人员充分与实际软件使用者进行充分沟通，避免“从头再来”的发生。

（5）确定运行平台信息化职能部门根据需求单位或部门对软件开发环境的要求确立本次软件开发平台、用户应用平台、后台运行平台。为了降低系统成本，信息化职能部门应最大程度地利用现有的资源、兼容现有的环境。

（6）编制总体设计报告、审批信息化职能部门进行开发软件的总体设计，并形成总体设计报告。报分管领导审批设计报告后。组织实施设计报告。

（7）划分软件模块信息化职能部门进行软件功能模块划分，并形成各模块的详细说明文件，信息化职能部门整理评审资料。

（8）移交、指导、应用软件信息化职能部门将软件移交协议部门。协议部门现场应用软件。信息化职能部门对软件的应用过程进行技术指导。

（9）反馈软件运行情况协议部门将软件应用的情况准确、全面地反馈给信息化职能部门。填写“软件使用情况反馈表”（由信息化职能部门提供表格样式）。

（10）分析不足信息化职能部门依据现场指导掌握及协议部门反馈的情况，全面分析应用效果，找出不足。

（11）改进和完善信息化职能部门依据分析结果进行软件的改进和完善。

（12）申请验收或鉴定信息化职能部门负责申请并组织实施软件开发项目的验收或鉴定。

21.信息系统权限划分实施细则一、总则 1、为加强对网络层和系统层的访问控制，对网络设备和安全专用设备，以及操作系统和数据库系统的安全配置和日常运行进行管理，保障信息网络的安全、稳定运行，特制订本文档。

2、本文档适用于xx市xx区农业农村局的信息系统的所有网络设备和安全专用设备，以及操作系统和数据库系统的访问控制策略配置管理。

二、访问控制策略的制定 1、信息化职能部门负责访问控制策略的制定和组织实施工作，并指定网络管理员协同系统管理员、数据库管理员负责有关工作。

2、在制定本单位的网络访问控制策略、操作系统访问控制策略和数据库系统访问控制策略前，应掌握以下已形成文档的资料，并必须根据变化作出即时的更新：
（1）
根据业务需求和系统安全分析制定系统的访问控制策略。

（2）
控制分配文件及服务的访问权限。

（3）控制用户对资源的访问 a、文件权限；
b、默认共享（4）
数据库用户和系统管理员用户的权限分离。

（5）限制默认用户的访问权限。

（6）关于共享帐户的限制（7）控制用户组/用户对系统功能和用户数据的访问三、对操作系统的安全控制：
1、用户名，口令长度的修改。

不得存在多余的账户，口令长度需大于八位，修改重复输入次数为5次，并设定再次输入时间参考时间为30分钟。

2、系统当前为必需的默认用户进行权限限制（根据情况删除、禁用、更改权限），如Windows操作系统guest账户。

3、关闭默认共享盘符（例如c$,d$,e$）。

4、启用登录失败处理功能。

5、即使更新系统补丁，安装和更新杀毒软件。

四、对数据库的访问权限进行限定：
1、对数据库的最高权限账户进行权限降低，或者更名，根据业务需求，数据库管理员与应用系统，服务器，操作系统管理员应区分，不得重名，不允许多人共用一个账户。

2、将用户对文件资料的读取，修改等操作进行限定口令长度需大于八位。

3、根据业务需求开放默认账户。

五、对网络设备的访问权限进行限定：
1、对接入方式进行限定采用KVM本地管理，关闭telnet远程登录方式 2.、用户名口令必须需大于八位，存储方式必须密文存储，显示方式必须密文显示。

3、内部网络所使用的关键网络设备及安全专用设备的用户名和口令应由专人管理，并定期修改。用于管理有关设备的客户端软件应由专人管理，未经信息系统运行管理部门负责人同意，任何个人不得擅自安装或使用。

4、对于不同部门的计算机群应设置划分VLAN，达到限制广播范围，并能够形成虚拟工作组，动态管理网络。

六、对应用系统的访问权限：
1、当前系统拥有系统管理员组，最高权限，系统管理员对应用账户进行用户管理和权限的划分。

2、关闭和删除不必要的默认账户以及测试账户，关闭默认端口。

3、用户不得公用账户，新建账户必须修改默认口令，并定期修改口令。

账户权限等措施，账户分配的原则遵循最小化原则。

五、访问控制策略的管理 1、访问控制策略的制定、修改、审批管理。策略的制定、修改应提出申请，填写“访问策略变更审批表”，并经信息化职能部门审批。审批同意后方可按照策略修改有关设备的配置，并要求做好相关的记录。

2、网络管理员、系统管理员、数据库管理员和安全管理员要求由不同的人专职或兼职担任。

3、安全管理员负责每月检查各种设备的配置及日志纪录，确定网络管理员、系统管理员、数据库管理员完全按照经过审批的网络访问控制策略配置有关设备且没有做过不正常的修改。

4、网络管理人员、系统管理员、数据库管理员和安全管理员应分别每季度向信息化职能部门的负责人报告有关设备的运行情况及审计情况，以备检查。有关的文档应归档保存。

22.安全事件定级一、安全事件定义　　信息安全事件是指对计算机系统或网络系统的可用性、完整性、保密性、真实性、可核查性和可靠性造成危害的事件，或者是在计算机系统或网络系统中发生的对社会造成负面影响的其他事件。

信息安全事件的主体是指信息安全事件的制造者或造成信息安全事件的最终原因。

信息安全事件的客体是指受信息安全事件影响或发生信息安全事件的计算机系统或网络系统。依据计算机系统和网络系统的特点，信息安全事件的客体可分为信息系统、信息内容和网络基础设施三大类。

二、信息安全事件分级对信息安全事件分级是有效开展信息安全事件报告、应急处置、调查处理和评估备案等信息安全应急响应工作的必要条件。

1、分级参考要素本章在明确信息安全事件分级要素的基础上，给出信息安全事件的分级规范。

信息安全事件分级的参考要素包括公众影响、业务影响和资产损失等三项。各参考要素分别说明如下：
（1）公众影响是衡量信息安全事件所造成的负面影响范围和程度的要素；

（2）业务影响是衡量信息安全事件对事发单位正常业务开展所造成的负面影响程度的要素；

（3）资产损失是衡量恢复系统正常运行和消除信息安全事件负面影响所需付出资金代价的要素。

2、事件的分级描述根据信息安全事件所造成后果的严重程度，信息安全事件可划分为4个等级。其中1级危害程度最高，4级危害程度最低。2级和2级以上的信息安全事件称为重大信息安全事件。

各级别的信息安全事件具体描述如下：
1级：本级信息安全事件对计算机系统或网络系统所承载的业务、事发单位利益以及社会公共利益有极其严重的影响或破坏，对社会稳定造成一定危害；

2级：本级信息安全事件对计算机系统或网络系统所承载的业务、事发单位利益有较为严重的影响或破坏；

3级：本级信息安全事件对计算机系统或网络系统所承载的业务以及事发单位利益有一定的影响或破坏；

4级：本级信息安全事件对计算机系统或网络系统所承载的业务以及事发单位利益基本不影响或损害极小。

3、分级规范（1）公众影响依据信息安全事件的公众影响，对信息安全事件分级主要参考信息安全事件负面影响的范围和程度进行划分。分级结果如表3-1所示。

造成的影响安全事件等级对社会稳定造成影响的信息安全事件 1级对事发单位的正常工作秩序、单位的形象和声誉等造成影响的信息安全事件 2级只对事发单位部分人员的正常工作秩序造成影响的信息安全事件 3级对事发单位基本不造成影响或损害极小的信息安全事件 4级表3-1公众影响分级规范（2）业务影响根据信息安全事件的业务影响，对信息安全事件分级主要涉及信息系统的安全等级和业务中断的时间两个因素。业务影响参考要素分级规范如表3-2所示。

信息系统安全等级中断4小时以内 4小时（含）以上， 8小时以内 8小时（含）以上 2级 4级 3级 2级表3-2业务影响分级规范（3）资产损失根据信息安全事件的业务影响，对信息安全事件分级主要涉及信息系统的安全等级和业务中断的时间两个因素。业务影响参考要素分级规范如表3-2所示。

级别合计资产损失（人民币）
1级 50万以上 2级 5-50万元之间 3级 5万元以下 4级无资产损失表3-3资产损失分级规范 23.年度安全培训计划安全教育是安全管理工作的重要组成部分，是从根本上杜绝人的不安全行为的重要措施，也是预防和控制事故的重要手段之一。做好单位网络与信息安全教育培训工作，才能保证单位信息化工作的顺利进行。为使单位的网络信息安全培训计划有规划、有重点、有目的的进行，特制定年度安全教育培训计划。

一、基本思路 1、加强“安全第一、预防为主”的安全意识教育。安全意识教育就是通过对职工深入细致的思想工作，帮助职工端正事项，提高他们对安全生产的重要性的认识。在提高思想意识的基础上，才能正确理解并积极贯彻执行相关的安全生产规章制度，加强自身的保护意识，不违章操作，不违反劳动纪律，做到“三不伤害”：不伤害自己、不伤害他人、不被他人伤害。

2、对部门各级管理人员、技术人员也应加强安全思想意识教育，确保他们在工作时做好带头作用。

3、将安全教育贯穿于工作的全过程中，加强全员参与的积极性和安全教育的长期性。做到“全员、全面、全过程”的安全教育。

4、开展多种渠道、多种形式的安全教育。安全教育形式要因地制宜，因人而异，灵活多用，尽量采用符合人的认识特点的、感兴趣的、易于接受的方式。针对本单位的具体情况，安全教育培训的形式主要有以下几个方面：
（1）会议形式。主要有：安全知识讲座、座谈会、先进经验交流会、事故教训现场会等。

（2）现场观摩演示形式。主要有：安全操作方法演示、消防演习、触电急救方法演示等。

二、培训计划具体的培训方案应在培训的前一个月制定出来，并报领导审批，及时通知培训涉及的相关人员做好准备。

培训结束后，要对培训的效果进行全面的总结，并填写《安全教育培训记录》（附件24）。

不能按期举行的安全培训教育活动，要及时向上级报告，说明举行的具体时间和原因。

年底对职员进行考核，考核内容包括各个岗位的人员安全技能及安全认知；
写好年度培训教育活动的总结报告，提出本年度培训欠缺的方面，和以后要注意的方面，并制定下一年的安全培训教育计划。

三、计划参考时间主题方式教育目的对象 4月消防安全知识培训讲座宣传操作了解机房防火的重要性及如何救火等常识预防触电事故信息化岗位相关人员 5月网络安全知识培训上课了解网络安全的基本知识和常见的网络攻击手段及处置办法信息化岗位相关人员 10月数据库安全知识培训上课了解数据安全的重要性及数据安全的防护信息化岗位相关人员 11月网络服务安全问题培训上课了解常见网络服务的安全漏洞及处置办法信息化岗位相关人员 12月年度安全培训活动考核、总结、制定下一年安全培训计划 24.办公环境管理办法一、总则为了提升单位形象，预防信息安全事故的发生，确保职员人身和单位财产的安全，特制定本管理规定。

二、细则 1、应树立安全意识，落实安全责任，配合单位完成那个各项安全管理工作。

2、必须提高警惕，防止不法分子闯入室内。xx市xx区农产品质量安全管理站的钥匙不得转交外人使用，严禁将外来人员单独留在xx市xx区农产品质量安全管理站。

3、个人办公桌上的钥匙要随身携带，现金、贵重物品不得放在xx市xx区农产品质量安全管理站桌抽屉、橱柜，以防被盗，离开时注意确认门窗是否关闭。

4、注意防火和安全用电，严禁在xx市xx区农产品质量安全管理站内焚烧杂物、纸张，不准乱接电源，烧电炉，离开时注意关闭电源，以消除事故隐患。

5、对外来人员访问时，需在会议室进行接待以及处理相应事件，不得在办公区处理工作，特殊情况除外。

6、对带有敏感内容的文档不得随意放置电脑桌面，需放入其他盘符建立文件夹的快捷方式，需对电脑设置屏保，恢复时使用密码恢复，建议设置屏幕保护时间为10分钟；

7、属于单位的重要文件、资料要妥善保存，未经许可，不得对外泄露。否则一经发现，将根据对责任人进行处罚。

8、能够有效、合理、经济地使用打印机等设备，杜绝损坏和浪费。

25.关键设备操作规程一、设备使用守则 1、使用人员必须熟悉系统和设备的技术结构、主要功能、主要性能指标和使用方法，严格遵守系统和设备的操作规程。

2、各类设备在开机前，必须检查环境条件，电源电压和连接线缆等，符合要求后方可开机。开机必须按规定的顺序和操作规程进行，并待设备稳定后方能进行工作。

3、设备如需关机，每次关机前，必须先保存当前运行日志，检查设备的运行状态，按要求顺序关机，并填写操作记录。

4、当设备在运行中发生故障时，必须报告相关领导，认真记录故障现象，保护故障现场，请维修人员检查。

5、所有设备必须定期进行维护保养，长期不用的库存设备应定期加电检查。

二、预防性维护保养守则预防性维护保养是指通过合理选择良好的工作环境，掌握正确的操作使用方法和规程，建立健全各项规章制度，作好日常维护保养以及主动捕捉故障预发现象等措施，来改善系统固有的可靠性指标，减少系统的故障发生率，确保系统的长期可靠运行，提高机器设备的使用寿命。

预防性维护保养的主要内容：
1、加强机房建设与管理，确保机器运行处于良好的环境中。

2、定期（至少在7个工作日内）检查ups系统和电源供电设备。

3、建立设备维修记录归档，定期要调阅各类机器记录进行分析比较，捕捉故障苗头，及时采取措施。

4、加强现场观察，捕捉异常现象。从设备启动、停止的现象，正常运行时的噪声，设备上指示灯的状态，以及设备发热程度等方面捕捉可能故障的预发现象。

5、做好故障情报工作，审定各种可能发生的故障的处理方案。

6、按时更换或调整某些元器件或零部件。

7、认真作好日常的例行性维护和测试。

三、定期常规维护守则定期常规维护是为保证设备正常运行而定期进行的日常维修保养。

1、日常维护的主要工作是：
a.开机前检查机器运行的环境条件是否满足要求。

b.电源电压是否正常。

c.机器设备的开关，连线，插头插座等是否正常，有无错位、松动。

d.开机后检查设备的各种指示和运行状况是否正常。

e.作好设备清洁工作。

2、周维护的主要工作是：
a.清除设备表面灰尘和机内卫生(每月至少2-3次)。

b.检查设备主要性能，发现问题及时解决或通知维修部门解决。

c.清理磁盘空间，删除过期文件。

d.对各楼配线间进行定期检查并认真填写巡检报表。

3、月维护的主要工作有：
a.认真检查，机器参数和指标。

b.用吸尘器清洁机器表面灰尘。

c.对电源，空调系统，接地系统等运行环境进行系统检修。

4、年维护的主要工作有：
a.清除工作间地板下和走槽里的灰尘，检查线缆的完好性和隔离性，更换老化、变质和绝缘不好的线缆。

b.检查机房内的防火，防水，防盗等设施和安全警报装置。

c.全面检查电源、空调、接地等系统并进行全面检修。

d.对设备的软、硬件性能进行全面测试，调整有关参数，并按上级统一要求进行系统参数的调整。

e.校正各种设备仪表等。

5 严格按照操作手册进行操作如出现技术问题应及时联系技术工程师进行解决处理。

四、关键设备操作流程 1、对于防火墙等安全设备的操作流程：如设备需要断电或重启必须在网络空闲时进行，如午休以及休息日，当防火墙等安全设备出现故障不能正常工作时，将网线以及光纤口插入备机中，再将备机启；
对安全设备的任何操作都需要经信息化职能部门领导审批许可，并做好安全备份和相关记录。

2、核心交换机的操作流程，所有需要操作都要有相应方案，方案通过领导审批之后，才能进行相关操作。操作过程中如有修改必须做好相应记录。在完成操作之后，需由专人值守，查看网络是否有异常，以便做出相应恢复措施。网络设备操作完成之后最短观察网络现状时间为一天。如设备需要断电，首先使用write命令进行保存（华为设备使用save命令），然后使用show running-config（华为设备使用display current-configuration命令）进行配置导出，然后再进行断电关机。

3、关于服务器开关使用，远程登录到服务器中，完成操作后需退出用户登录。服务器如需断电，则应按照正常关机操作进行，不得直接进行断电。服务器只允许系统管理员一人操作，妥善保管服务器登录账号和口令，定期对服务器进行查、杀毒工作，并保留相关记录。

4、如果机房发生全面积停电，则将不必要的服务器以及不必要的网络设备做断电处理，以延长重要网络设备和主机的工作时间，如UPS报警只剩5-15分钟则关闭全部服务器与网络设备。

5、终端计算机安装防病毒软件，及时更新系统补丁，定期清楚浏览器的临时文件，定期备份重要文件并保管好存储备份文件，不得随意打开未知来历的邮件，不得随意安装未经授权的应用软件，禁止访问与工作无关的站点，禁止发布危害国家信息安全的一切文字和图片。

6、笔记本电脑严格遵守专人专用原则，不得转借他人使用，其他使用规程与终端计算机一致。

26.安全责任管理规定一、目的明确个人信息保护管理方面的纪律和惩处方法，确保职员遵守良好的行为规范，降低由于不良行为而导致的信息安全事件给单位带来的损失。

二、适用范围 xx市xx区农业农村局全体人员。

三、纪律惩处范围 1、所有违反单位管理制度的行为。

2、造成信息安全事件的行为。

3、其它和信息安全有关的对单位声誉造成恶劣影响或重大损失的行为。

四、内容 1、单位员工有下列行为之一，对单位造成一定影响和损失的，可以给予相应处分，根据情况赔偿损失。

（1）在公共场合谈论与单位涉密信息相关的话题，处理单位涉密的相关文件，对单位造成一定影响的。

（2）盗用他人账户及口令的。

（3）有证据表明在单位内部故意传播病毒软件的。

（4）恶意修改任何服务器上配置及文件的。

（5）采取恶意行为导致单位网络严重增加负荷的或破坏单位网络系统的。

（6）下载、显示、存储或发放含有诽谤、恐吓、中伤、色情、种族主义、恐怖主义的资料而造成单位名誉受损的。

2、单位员工有下列行为之一，且对单位造成恶劣影响或重大损失的，可以给予解除劳动合同处分，赔偿相应损失及罚款；
构成犯罪的，移交国家司法机构处理。

（1）未经授权，监控他人的数据传输，或者在未经拥有者批准下而读取、复制、更改或删除他人档案或软件。

（2）毁坏单位网络系统，且造成不可逆的损失的。

（3）其它违反单位规定且对单位造成恶劣影响或重大损失的行为。

27.计算机类设备接入网络管理办法一、总则为确保计算机网络(以下简称“内网”)的健康发展和正常运行，规范系统和设备接入内网的行为、为内网用户提供良好的接入服务，保障每个网络使用者安全、正常地运行，根据单位相关管理制度的规定，特制定本管理办法。

二、办法适范围：
单位所有需要接入和使用网络的计算机系统及设备；

需要接入单位网络的合作单位计算机系统及设备；

临时造访人员自带的计算机系统及设备。

本办法由xx市xx区农产品质量安全管理站统一管理和执行。安全管理员负责对申请接入设备进行安全检查和入网审批，系统管理员负责服务器类系统及补丁的安装和升级。

三、使用管理保护本单位计算机系统安全，不受病毒侵害，是每个员工不可推卸的责任，任何可能导致不良影响的网络使用行为将被视为违反单位规定并追究其个人责任。

禁止任何与单位业务无关的使用单位网络和系统的行为，每个职员都有责任保护单位网络和系统安全，保护重要数据及商业机密安全。

每个接入用户必须严格按网络管理处核准的区域和IP地址接入网络，不得擅自更改，如需要变动须得到网络管理员的批准。

每个接入用户个人必须保证自己所使用、维护、管理的计算机系统安装合适的系统安全补丁程序，及时更新病毒库并定期进行全系统扫描。

每个接入用户必须对网络病毒的来源保持足够的警惕，决不打开来历不明的或其他可疑的电子邮件。

每个接入用户一旦发现或怀疑自己的电脑系统已被病毒感染，应立即断开网络，并及时联系信息化安全管理员进行处理。

所有接入内网的用户必须严格遵守执行单位相关的安全保密制度和运行管理制度，禁止滥用网络，严禁如下行为：
（1）私自卸载操作系统补丁或者防病毒软件。

（2）在单位内部用电话线拨号上网。

（3）私自安装和使用黑客软件和入侵工具。

（4）散布病毒或者其他干扰或破坏系统的软件和工具。

（5）擅自侦听或截取网络中传输的信息。

（6）破解、盜用或冒用他人账号及密码或无故泄漏他人账号及密码。

（7）私自将自己的账号和IP地址借予他人使用,或者盗用他人账号和IP地址。

（8）窺视他人的电子邮件。

（9）以任何方式滥用网络资源，包括以电子邮件大量传送广告、连锁信或无用信息，或以灌爆信箱、掠夺资源等方式，影响系统的正常运作。

（10）以电子邮件、聊天工具、BBS或类似功能的方法散布欺诈、诽谤、侮辱、猥亵、骚扰、非法软件交易或其他违法讯息。

所有接入内网的用户必须严格尊重他人知识产权，避免下列可能涉及侵害知识产权的行为：
（1）使用未授权的软件或工具。

（2）违法下载、拷贝受著作权保护的作品。

（3）未经著作人许可，将受保护的作品上传于公开的网站上。

（4）不理会作者明示禁止转载的通告，任意转载BBS或其他网上的文章。

（5）私自开放公众WEB服务，架设网站。

（6）其他可能涉及侵害知识产权的之行为。

四、处罚办法网络管理员将密切监测网络，如果发现用户网络异常或用户有违反本办法的使用行为，安全管理员将中断该用户的计算机系统的网络连接，并按本办法的规定进行相应的处理。

职工有责任采取积极防范措施，避免自己维护的计算机系统被禁止接入网络。由于禁用网络连接所导致的对业务的影响将由职工个人承担。

信息化职能部门需安排人员定期或者不定期地对联网机器的IP地址、系统补丁和防病毒库软件、远程接入设备管理情况进行检查，发现有违反本规定的接入行为或不按单位相关规定使用网络资源的，将给予通报批评；
超过三次以上者按相关规定给予警告处分；
对于由此造成单位计算机信息系统严重故障或导致单位重大损失的，将视情节严重程度给予严重警告以上处分，并实施相应的经济处罚，触犯国家法律的，则依法移交国家法律部门处理。

外部人员（包括设备厂家、系统服务商、合作开发商等）一旦接入网络，视同单位职员进行管理，相应的接口负责人对其负领导监督责任，对于其触犯相应规定的行为由相应的接口负责人负责。临时造访人员如果违规接入网络，其行为后果由相应的接待人员负责。

六、附则 1、本办法由xx市xx区农业农村局负责解释和修订。

2、本办法自发布之日起开始执行。

28.应急预案总体框架一、总则为提高xx市xx区农业农村局处置网络与信息安全突发公共事件能力，形成科学、有效、迅速的应急工作机制，确保重要计算机信息系统的实体安全、运行安全和数据安全，最大限度地减轻网络与信息安全突发公共事件的危害，保护公众利益，维护正常的工作。

二、编制依据根据《中华人民共和国计算机信息系统安全保护条例》、《计算机病毒防治管理办法》、《浙江省网络与信息安全应急预案》、《xx市突发公共事件总体应急预案》等有关法规、规定，制定本预案。

1、适用范围本预案适用于单位发生的本预案定义的I级、II级网络与信息安全突发公共事件和可能导致I级、II级网络与信息安全突发公共事件的应对处置工作。

本预案启动后，需按照突发事件等级与《应急预案相关办法》相结合处理相应事。

2、分类分级本预案所指的网络与信息安全突发公共事件，是指重要网络与信息系统突然遭受不可预知外力的破坏、毁损、故障，发生对国家、社会、公众造成或者可能造成重大危害，危及公共安全的紧急事件。

（1）事件分类根据网络与信息安全突发公共事件的发生过程、性质和特征，网络与信息安全突发公共事件可划分为网络安全突发事件和信息安全突发事件。网络安全突发事件是指自然灾害、事故灾难和人为破坏引起的网络与信息系统的损坏；
信息安全突发事件是指利用信息网络进行有组织的大规模的反动宣传、煽动和渗透等破坏活动。

a、自然灾害是指地震、台风、雷电、火灾、洪水等。

b、事故灾难是指电力中断、网络损坏或者是软件、硬件设备故障等。

c、人为破坏是指人为破坏网络线路、通信设施，黑客攻击、病毒攻击、等事件。

（2）事件分级根据网络与信息安全突发公共事件的可控性、严重程度和影响范围，将网络与信息安全突发公共事件分为四级：1级（特别重大）、2级（重大）、3级（较大）、4级（一般）。国家有关法律法规有明确规定的，按国家有关规定执行。

1级：本级信息安全事件对计算机系统或网络系统所承载的业务、事发单位利益以及社会公共利益有极其严重的影响或破坏，对社会稳定造成一定危害；

2级：本级信息安全事件对计算机系统或网络系统所承载的业务、事发单位利益有较为严重的影响或破坏；

3级：本级信息安全事件对计算机系统或网络系统所承载的业务以及事发单位利益有一定的影响或破坏；

4级：本级信息安全事件对计算机系统或网络系统所承载的业务以及事发单位利益基本不影响或损害极小。

三、工作原则 1、积极防御、综合防范。

立足安全防护，加强预警，重点保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统；
从预防、监控、应急处理、应急保障和打击犯罪等环节，在法律、管理、技术、人才等方面，采取多种措施，充分发挥各方面的作用，共同构筑网络与信息安全保障体系。

2、明确责任、分级负责。

按照“谁主管谁负责、谁运营谁负责”以及“条块结合、以条为主”的原则，建立和完善安全责任制、协调管理机制和联动工作机制。根据部门职能，各司其职，加强部门间、地区间的协调与配合，形成合力，共同履行应急处置工作的管理职责。

3、以人为本、快速反应。

把保障公共利益的安全作为首要任务，及时采取措施，最大限度地避免公民财产遭受损失。网络与信息安全突发公共事件发生时，要按照快速反应机制，及时获取充分而准确的信息，跟踪研判，果断决策，迅速处置，最大程度地减少危害和影响。

4、依靠科学、平战结合。

加强技术储备、规范应急处置措施与操作流程，实现网络与信息安全突发公共事件应急处置工作的科学化、程序化与规范化。树立常备不懈的观念，定期进行预案演练，确保应急预案切实可行。

四、处置规程 1、组织体系与职责发生1级2级网络与信息安全突发公共事件后，网络安全与信息化领导小组为单位网络与信息安全应急处置的组织协调机构。xx市xx区农产品质量安全管理站负责日常工作和综合协调。

2、应急响应（1）当发生网络与信息安全突发公共事件时，xx市xx区农产品质量安全管理站应做好先期应急处置工作，立即采取措施控制事态。

（2）
xx市xx区农产品质量安全管理站在接到本系统网络与信息安全突发公共事件发生或可能发生的信息后，应加强与有关方面的联系，掌握最新发展动态。对3级或4 级的突发事件，由各主管部门自行负责应急处置工作，各主管部门要根据网络与信息安全突发公共事件的发展态势，视情决定赶赴现场指导、组织派遣应急支援力量，支持事发地做好应急处置工作。

3、应急支援本预案启动后，应急预案领导小组成员赶赴事发地，督促、指导和协调处置工作。参加现场处置工作的各有关部门在现场指挥部的统一指挥下，协助开展处置行动。

4、后期处置在应急处置工作结束后，xx市xx区农产品质量安全管理站要迅速采取措施，抓紧抢修，维护受损的基础设施，减少损失，尽快恢复正常工作。统计各种数据，查明原因，对事件造成的损失和影响以及恢复重建能力进行分析评估，认真制定恢复重建计划，并迅速组织实施，并将善后处置的有关情况上报上级领导。

5、数据保障保证重要数据在受到破坏后，可紧急恢复。各容灾备份系统应具有一定兼容性，在特殊情况下各系统间可互为备份。

6、后期安全教育培训加强对网络与信息安全等方面的知识培训，提高防范意识及技能，指定专人负责安全技术工作。并将网络与信息安全突发公共事件的应急管理、工作流程等列为行政管理干部的培训内容，增强应急处置工作中的组织能力，一年培训一次，并且填写《应急预案培训记录表》（附件19）
7、安全演练为加强对突发事情的处理能力，必须通过演练，发现应急工作体系和工作机制存在的问题，不断完善应急预案，提高应急处置能力，周期为一年一次。

8、应急预案版本修订根据单位实际情况对应急预案的版本以及应急预案的框架进行修订，审查。

五、附则 1、本文件由xx市xx区农业农村局负责解释和修订。

2、本文件自发布之日起开始执行。

29.应急处置方案一、应急处置原则 1、以保证人员和财产的安全为前提的原则：在由于火灾或电力问题造成的主机故障，在解决故障前，应以保证人员的生命安全和财产的安全为前提，然后进行故障的解决。

2、最快时间恢复业务的原则：本着先想尽一切方法，尽快恢复业务的原则来处理故障，如在有备用设备的情况下，主设备产生了故障，应先尽快将应用切换到备用机上，使业务能够运行，再对故障设备进行诊断和维修。

3、故障应急人员高度负责的原则：当故障应急人员在节假日接到故障通知时，本着高度负责的态度，应迅速接手处理障碍，如远程无法处理解决，应迅速赶到故障设备所在地，进行现场处理，处理故障的同时应及时向领导汇报。应急人员不可互相推卸责任，如因特殊情况，确实无法处理障碍，信息化分管领导必须安排好其他人员处理。

4、尽可能全面的保留故障现场的原则：当故障发生后，应急人员应尽可能全面的备份出能够反映故障现象的各种日志、记录、受损文件等，便于业务恢复后，对故障的分析、解决，杜绝故障的再次发生。

应急方案的目标：保证预付卡运营系统连续安全稳定地运行。

二、电源系统故障应急处理定期检查机房电源设备的运行状况，当发生下列突发事件时，按以下方案进行处置：
当中心机房发生供电突然停电或远程报警电源异常时。首先确认是否为正常停电及预计停电时间。检查不间断电源的电池可供电时间，需在不间断电源供电时效内关闭所有服务器及网络设备。联系相关部门查看停电原因，尽快恢复供电，并将情况报告相关领导。

三、空调系统故障应急处理定期对空调的运行情况进行检查，如有报警信息，应及时查找故障原因，对于不能自行排除的问题，应及时与设备提供商进行联系。

当中心机房主空调因故障无法制冷，致使机房内环境温度超过摄氏40度时，打开机房房门，并关闭所有服务器及网络设备。

对于无法自行处置的空调系统异常情况，及时与设备提供商联系，并报告信息化职能部门领导。

四、中心机房自动消防系统应急处理当中心机房发生火警时，按以下方案进行处置：
1.上班工作时间发生火警，听到自动消防系统发出的声光报警后，中心机房附近xx市xx区农产品质量安全管理站人员应及时紧急撤离，避免气体自动消防系统启动后，消防气体对附近人员造成人身伤害。确认火警后，立刻拨打119报警，并说明尽量使用气体灭火器进行灭火，减少电子设备的损坏。

2.发生火警后，信息化职能部门相关人员应马上赶赴现场，并向有关领导报告事故情况。同时立即联系相关部门，及时评估事故损失情况，研讨尽快恢复信息系统正常运行的最佳方案。

五、设备、网络系统故障应急处理设备、网络应用系统故障应由发现人通知信息化职能部门，信息化职能部门立即检查故障，进行初步故障定位，解决。

1、网络设备、服务器、储存设备均有备份，当设备存在硬件问题时，可随时把业务切换到备份主机上，保证业务正常运行；

2、应用系统每更新一次则做一次远程备份，在远程主机上分别备份旧的应用系统和更新后的应用系统，以当天的更新日期命名；

3、网络中有监控服务器，运用监控网络设备（路由器，防火墙，交换机以及服务器设备）；
对设备本身的硬件检测、外部入侵检测、外部攻击等多种对系统不利因素以发送mail的形式报警；
相关人员收到报警信息，分析收到的log日志以做出相应的处理。

4、每周周五对网络设备进行日志及配置文件采集，对数据库数据文件定期下载，和远程备份；
在本地电脑上保存最近的配置文件，以便在发生毁灭性的灾难时，用来重组。

5、对简单故障，运维人员应迅速排除故障，解决问题并记录。如果需要更换设备，应上报有关领导,经批准后马上更换故障设备，尽快恢复网络、应用系统运行。运维部门判断无法及时修理时，应立即通知相关的系统运行服务提供商，在最短的时间内安排修理或更换系统。

6、如发现属外部线路的问题，应与线路服务提供商联系，敦促对方尽快恢复故障线路。

启用备份线路、设备、系统，迅速恢复相关的应用。

六、黑客入侵的应急处理发现网络上有黑客攻击行为，任何人员都有义务向信息化职能部门报告。信息化职能部门立即启动应急响应，切断受攻击计算机与网络的连接，停止一切操作、保护现场，并上报有关领导。

对于黑客攻击，由信息化职能部门组织应急响应专家小组查找入侵踪迹，分析入侵方式和原因。由安全管理员根据对入侵事件的分析，组织相关人员对内部网计算机整改，防止黑客用同样的手段再次入侵其他系统。安全管理员检查确定无安全隐患后，才可将受攻击计算机重新连接网络，或启用备份计算机来恢复应用。

安全管理员应做好记录，保护现场，进行日志收集等工作。如果能追查到攻击者的相关信息，可以对其发出警告，必要时可以采取进一步的行动，乃至采取法律手段。根据破坏程度，经有关领导同意后，上报公安部门。

若系统已被黑客破坏，无法恢复，应将受黑客攻击的计算机上的重要数据备份到其他存储介质，确保计算机内重要的数据不丢失。如果数据无法恢复，经有关领导同意后，可与国家指定的部门联系，由他们来协助恢复，为保证数据信息安全，需在安全管理部门作记录。

七、应用系统、数据库故障处理应用系统出现故障，信息化职能部门做出应急处理 1. 因软件设计缺陷、设计漏洞等引起的故障，通知研发单位在2小时内查明原因，解决问题。

2. 数据库出现故障，运维人员应在2小时内查清故障原因，其他相关部门应积极配合，解决问题。

3. 如出现数据丢失情况，确认不能自行恢复后，启用备份恢复数据，24小时内恢复运营。

八、终端病毒入侵故障处理 1. 一台电脑中毒时应先断网，之后利用杀毒软件（病毒库更新到最新）进行全盘杀毒扫描， 2. 为防止杀毒软件误杀或者删除重要文件，先将重要的文件以及邮件存放到U盘或者网盘进行备份。

3. 如果杀毒软件查杀不能奏效，则利用windows备份还原进行还原。

4. 当多台电脑中毒时，先断开网络，并将各自重要数据拷贝出来，利用windows备份还原进行还原。

30.保密协议书甲方：
乙方：
身份证号码：
鉴于甲方从事之经营项目及乙方所在职位之特殊性，甲乙双方根据有关法律、法规规定，在遵循平等自愿、协商一致、诚实信用的原则下，就乙方在任职期间及离职以后的有关事项达成如下协议：
保密乙方承诺，在本协议约定的保密期内，严格按照本协议约定的保密内容履行保密义务。

保密内容不为公众知悉、能为甲方带来经济利益、具有实用性的技术信息和经营信息，包括但不限于：专有技术及配方、产品设计方案、新产品研发过程及成果、经营计划及策略、客户资料、货源信息等。

甲方已掌握并负有保密责任的第三者（例如甲方的其它客户或供货商）的技术信息和经营信息，包括但不限于：专有技术及配方、产品设计方案、新产品研发过程及成果、经营计划及策略、客户资料、货源信息等。

甲方以书面或其他形式确定为商业秘密的资料及信息。

保密期限除非甲方通过书面形式明确说明本协议所涉及的某项保密内容可以不用保密，则乙方应从与甲方建立劳动关系之日起（包括试用期在内），无限期保守甲方之商业秘密。

甲方的保密权利和义务：
甲方有权制定有关保密的规章制度并在甲方内部予以公开公示。

甲方有权要求乙方遵守甲方制定的有关保密的规章制度，有权对乙方违反前述规章制度而泄密的行为进行处罚。

甲方有权制止乙方的一切泄密行为，对因保密而行使职权的职工进行保护。

乙方在劳动合同期内离职或劳动合同期满离职时，如甲方认为有必要，可以对其离开时所携带之物品进行检查，以确保乙方未带走任何保密资料。

乙方的保密权利和义务：
乙方应严格遵守甲方制定的有关保密的规章制度以维护甲方的合法权益。

对乙方因执行本职工作而获取、掌握的甲方任何保密内容，乙方不得利用该保密内容从事任何与工作无关的事情，不得披露、允许第三人使用。

对乙方非因执行本职工作而获取、掌握的甲方任何保密内容，乙方不得自行对该保密内容作任何利用，不得披露、允许第三人使用。

乙方不得利用甲方的任何保密内容从事甲方授权以外的项目研发其他技术改进，否则该研发及改进所得的技术成果所有权归属于甲方，乙方无权享有。

乙方不得用任何形式复制属于保密内容的资料和信息。

在征得甲方领导书面授权或认可情况下，乙方才可行使前述的第2-5项权利，但因乙方对保密内容使用不当造成泄密，对甲方的损失乙方应承担赔偿责任。

乙方必须按照甲方要求从事项目研究开发，研究开发完成后须立即将研究之所有资料交由甲方保管。

当有关保密内容的资料或信息交乙方保管时，乙方应尽力确保其安全。

在甲、乙双方终止劳动合同关系时，不论乙方是否正在进行项目研发，都应交出其所持有或控制之一切与保密内容相关之资料（包括但不限于资料原件、个人笔记、摘录、复印资料、计算机资料等）；
乙方在甲方行使前述第二条所约定之权利时，有积极配合之义务。

乙方的保密责任不因双方合作关系的终止或变更而消除。

泄密凡未经甲方或书面授权而直接或间接以任何形式向任何人或任何组织透露上述涉及保密内容的行为均属泄密。

当甲方将有关保密内容的资料或信息交由乙方保管时，若因乙方保管不当造成该资料或信息的遗失、公开、泄露的，同样视为泄密。

违约责任如乙方行为造成泄密的，应立即终止泄密行为及因此而引致的侵犯甲方商业秘密的行为，积极协助甲方采取补救措施防止泄密范围的继续扩大，并向甲方支付违约金人民币万元（￥）或不低于所泄秘密的研究开发设计成本5倍的违约金（以数额较高者为准）。

如上述违约金不足以赔偿甲方因此遭受的损失，甲方有权就不足部分向乙方追偿。

若该泄密行为发生在甲、乙双方劳动合同关系存续期间，则乙方除承担上述责任外，甲方还有权无条件解除与乙方的劳动合同。

争议解决如因本协议之履行发生争议，甲、乙双方应友好协商解决；
协商不成，由xx市的人民法院处理。

本协议一式两份，甲、乙双方各执一份。每份具同等效力。

甲方：
乙方：
代表人：
工号：
签订日期：
年月日签约地点：
31.岗位职责文件安全主管职责文件姓名徐之超岗位名称安全主管所属部门 xx市xx区农产品质量安全管理站岗位职责 1、负责信息化相关日常工作，制定工作计划和网络管理有关办法。

2、协助主管领导组织制定网络建设规划。

3、负责各项工程的实施。

4、负责协调解决各联网单位网络使用中的问题。

5、负责信息化职能部门工作人员的队伍建设。

6、负责信息化职能部门资产的管理工作。

7、监督机房网络设备及软件的正常运行。

系统管理员职责文件姓名徐思晨岗位名称系统管理员所属部门 xx市xx区农业农村局办公室岗位职责 1、负责主机操作系统的安全配置（包括及时修补系统漏洞）和日常审计，系统应用软件的安装，从系统层面实现对用户与资源的访问控制。

2、协助安全管理员制定主机操作系统的安全配置规则，并落实执行。

3、负责主机设备的日常管理与维护，保持系统处于良好的运行状态。

4、在主机系统异常或故障发生时，详细记载发生异常时的现象、时间和处理方式，并及时上报。

5、编制主机设备的维修、报损、报废、更新、升级计划，报主管领导审核。

6、负责服务器和网络软件的安装、维护、调整及更新。

7、做好主机系统的软件安装调试，设置或修改有关参数，负责完成系统运行监控、性能调优工作。

8、组织做好各类可能发生的系统故障的应急处理准备，定期组织必要的训练和主机系统的应急演练。

9、完成领导交办的其它工作。

网络管理员职责文件姓名乐芳芳岗位名称网络管理员所属部门 xx市xx区农业农村局办公室岗位职责 1、负责网络的系统安全性，及时对故障进行排除处理。

2、保障网络设备的正常运行，随时监控设备运行状况，发生故障及时排除。

3、在网络及设备异常或故障发生时，详细记载发生异常时的现象、时间和处理方式，并及时上报。

4、准确地记录重要网络设备和网站运行活动的运行日志。

5、做好网络安全工作，服务器的各种帐号要严格保密。对各类数据实施严格的安全与保密管理，防止系统数据的非法生成、变更、泄露、丢失及破坏。

6、做好监控系统（硬盘录像机、监控摄像头）的检查维护工作。

7、定期对网络运行日志，网络监控记录和日常维护和报警信息分析和处理工作。

8、编制网络设备的维修、报损、报废、更新、升级等计划，报主管领导审核。

9、负责网络的部署以及网络产品、网络安全产品的配置、管理与监控，并对关键网络配置文件进行备份，及时修补网络设备的漏洞。

10、协助安全管理员制定网络设备安全配置规则，并落实执行。

11、完成领导交办的其他工作。

安全管理员职责文件姓名徐之超岗位名称安全管理员所属部门 xx市xx区农产品质量安全管理站岗位职责 1、负责对安全产品购置提供建议，负责组织制定各种安全产品策略与配置规则，负责跟踪安全产品投产后的使用情况。

2、负责指导并监督系统管理员、网络管理员、数据库管理员和机房管理员及普通用户的安全相关工作。

3、负责组织信息系统的安全风险评估工作，并定期进行系统漏洞扫描，形成安全评估报告。

4、根据本机构的信息安全需求，定期提出本机构的信息安全改进意见，并上报安全主管；

5、定期查看信息安全站点的安全公告，跟踪和研究各种信息安全漏洞和攻击手段，在发现可能影响信息安全的安全漏洞和攻击手段时，及时做出相应的对策，通知并指导系统管理员进行安全防范。

6、负责组织审议各种安全方案、安全审计报告、应急计划以及整体安全管理制度。

7、负责参与安全事故调查。

8、根据单位有关计算机和网络运行的条例对计算机和网络系统的使用进行规范化的管理，及时制止违规现象发生。

9、做好单位内网和Internet接入情况的监测工作，及时向网络管理员提供信息。

10、负责信息信息发布信息的审核管理工作。

11、完成领导交办的其他工作。

数据库管理员职责文件姓名徐之超岗位名称数据库管理员所属部门 xx市xx区农产品质量安全管理站岗位职责 1、数据库管理员全面负责数据库系统的管理工作，保证其安全、可靠、正常运行。

2、负责数据库服务器的管理工作，做好服务器的运行记录，当服务器出现故障时，迅速会同相关人员一同解决。

3、负责数据库系统的建设，做好服务器的维护、数据库软件的安装、数据库的建立工作。

4、负责数据库服务器的安全防范管理工作，对数据库系统进行安全配置，修补已发现的漏洞。

5、负责数据库系统的用户账号管理，对系统中所有的用户进行登记备案；
对数据库系统的用户、口令的安全性进行管理；
对数据库系统登录用户进行监测和分析。

6、负责业务数据及系统其它重要数据的备份与备份数据管理工作。

7、在发生安全问题导致数据损坏或丢失时，进行数据的恢复。

8、根据业务发展的需求，提交数据存储介质购买或存储系统扩容计划。

9、准确的数据库系统运行活动的日志记录，详细记载发生异常时的现象、时间和处理方式，并及时上报。

10、为相关部门提供应用系统无法直接提供的数据。

11、完成领导交办的其他工作。

32.网络管理操作规程一、目的加强对xx市xx区农业农村局内部网络用户及设备的管理，保障xx市xx区农业农村局网络的安全和生产的正常平稳运行。

二、适用范围 xx市xx区农业农村局各员工。

三、纪律惩处范围 1、所有违反单位管理制度的行为。

2、造成网络安全事件的行为。

3、其它和网络安全有关的对单位声誉造成恶劣影响或重大损失的行为。

四、内容 1、网络管理职责（1）确保网络通信传输畅通。

（2）掌握主干设备的配置情况及配置参数变更情况。备份各个设备的配置文件。

（3）对运行关键业务网络的主干设备配备相应的备份设备，并配置为热后备设备。

（4）负责网络布线配线架的管理，确保配线的合理有序。

（5）掌握xx市xx区农业农村局用户设备接入网络的情况，以便发现问题时可迅速定位。

（6）采取技术措施，对网络内经常出现的用户需要变更位置和部门的情况进行管理。

（7）掌握与外部网络的连接配置，监督网络通信状况，发现问题后有关机构及时联系。

（8）实时监控整个局域网的运转和网络通信流量情况。

（9）制定、发布网络基础设施使用管理办法并监督执行情况。

2、操作系统管理（1）在网络操作系统配置完成并投入正常运行后，为了确保网络操作系统工作正常，网络管理员首先应该能够熟练的利用系统提供的各种管理工作软件，实时监督系统的运转情况，及时发现故障征兆并进行处理。

（2）在网络运行过程中，网络管理员应随时掌握网络系统配置情况及配置参数变更情况，对配置参数进行备份。网络管理员还应该做到随着系统环境的变化、业务发展需要和用户需求，动态调整系统配置参数，优化系统性能。

（3）网络管理员应为关键的网络操作系统服务器建立热备份系统，做好防灾准备。

3、应用系统管理（1）确保各种网络应用服务运行的不间断行和工作性能的良好行，出现故障时应将故障造成的损失和影响控制在最小范围内。

（2）对于要求不可中断的关键型网络应用系统，除了在软件手段上要掌握、备份系统参数和定期备份系统业务数据外，必要时在硬件手段上还要建立和配置系统的热备份。

（3）对于用户访问频率高、系统负荷的网络应用服务，必要时网络管理员还应该采取分担的技术措施。

4、用户服务与管理（1）用户的开户与撤销。

（2）用户组的设置与管理。

（3）用户可用服务与资源的权限管理和配额管理。

（4）包括用户桌面联网计算机的技术支持服务和用户技术培训服务的用户端支持服务。

5、信息备份管理（1）采取一切可能的技术手段和管理措施，保护网络中的网络安全。

（2）对于实时工作级别要求不高的系统和数据，最低限度网络管理员也应该进行定期手工操作备份。

（3）对于关键业务服务系统和实时性要求高的数据和信息，网络管理员应该建立存储备份系统，进行集中时的备份管理。

五、附则 1、本操作规程由xx市xx区农业农村局负责解释和修订。

2、本操作规程自发布之日起开始执行。

33.密码管理制度为进一步加强密码设备的管理、及时、妥善处置突发性涉密问题,防止失、泄密事件的发生,根据《保密法》和上级行有关规定,制定本办法。

一、组织机构成立密码设备管理委员会,负责对密码设备管理工作的领导。

二、委员会职责 1、及时召开会议学习上级有关密码设备管理工作的文件,总结研究部署密码设备管理工作。

2、定期或不定期对密码设备的使用情况、管理工作开展情况进行检查,查找隐患、堵塞漏洞、防范风险,确保密码设备的绝对安全和正常运行。

3、加强密码队伍建设,加强密码设备管理人员的政治思想教育和保密意识教育,定期地向全局干部职工进行遵纪守法和职业道德教育,努力做到不出现失、泄密事故。

三、具体要求 1、涉密部门应由专人保管密码设备,做到责任到人。

2、涉密部门应严格执行保密规定,履行密码设备使用手续,按规定权限使用设备,注意保密。

3、涉密部门应加强对密码设备、密押印文及一切有关国家机密文件、电报、函件、资料、统计数字的保密,严禁携带回家或在外出时对外泄露。

4、当密码设备发生技术故障时,设备所属部门应及时与密码设备管理委员会报告,委员会将应及时报告上级行进行设备维修或更换。

5、涉密部门发生密码设备丢失、密码设备被盗失控、密码丢失、密码被窃失控可能造成国家损失的紧急涉密事件发生时,应立即、及时将情况上报密码设备管理委员会,支行密码设备管理委员会通过检查现场、询问相关人员等方式及时查清情况,并报上级主管单位。

6、本办法所指密码设备为密押机、密押卡、带有转字密码的保险库(箱)、涉及使用密码的电子计算机设备等。

7、本办法所指涉密部门为拥有、使用密码设备的部门。

34.外包运维管理制度为了规范单位信息化各项工作，使得相关工作具有持续改善性及相互协作性，同时加强计算机设备的合理管理及日常维护，提高工作效率，确保维修工作的及时性，所以根据单位需要现特制定统一外包运维管理制度。

第一条承包方工程师不得擅自查阅我单位相关业务、财务文件以及其它我单位认为敏感的文件；
进入我单位机房需要经过机房管理人员的同意，需在机房内工作的必须有我单位相关人员的陪同，更改相关设置需经过我单位经理级的人员同意；

第二条承包方工程师不得擅自记录维护范围内设备的所有密码；
如确有需要需经过设备管理者及经理级同意方可更改；

第三条承包方在维护或排除故障时应保证电脑内数据的安全，不得出现因维护而导致的数据丢失、毁损情况；

第四条承包方工程师必须按照我单位的要求时间进行维护工作；

第五条承包方对维护工作中了解到的我单位数据等资料负有保密资料，未经我单位书面许可不得向协议之外的任何第三方泄露、提供、转让等；

第六条承包方工程师在工作中造成我单位财产设备损失的，应当照价赔偿。

35.信息审核发布管理制度　为进一步提高单位应用系统信息发布的质量与效率，加强安全管理，使信息发布工作规范化、制度化，严防信息安全事故，特制定本制度。

第一条单位信息系统（网站、APP、小程序等）上发布的任何信息必须遵守国家有关的法规。要对在本信息系统发布的信息进行认真检查，不得有危害国家安全，泄露国家秘密，侵犯国家的、社会的、集体的利益和公民的合法权益的内容出现。

第二条为规范单位信息的发布与管理，由单位网络与信息安全领导小组负责单位相关信息、通知等各种网络信息的审核、发布、登记与管理工作。

第三条 xx市xx区农产品质量安全管理站具体负责各种信息的搜集、整理、以及信息发布的技术支持工作。

第四条单位APP、小程序上注册用户发布的信息，严格进行先审后发管理，用户发布的信息在未经审核的情况下，仅自己可见。经后台审核后，再展现给其他注册用户。后台审核工作由单位网络安全管理员负责。

附则（1) 本制度由xx市xx区农业农村局负责解释。

（2) 本制度自颁布之日起实行。

附件：记录表单附件1.设备领用登记表日期部门物品领用人姓名备注附件2.设备更新及更换申请表申请人员申请时间当前设备名称及型号更新设备名称及型号申请原因信息化职能部门鉴定信息化职能部门领导审核附件3.设备报废鉴定表设备编号设备名称型号规格原值（元）
购置日期生产厂、供应商出厂日期已使用年限报废原因：

　　　　填报人：　　　　　　　　年　　月　　日领导审核意见：

　　负责人（签字）：　　　　　　年　　月　　日备注：
附件4.接入/外联授权审批表接入/外联系统名称接入/外联起止时间系统接入/外联原因网络系统（设备）
运行情况接入/外联设备类型撤销权限时间领导审批附件5.网络外联及准入申请表申请日期部门申请类型: □ 网络准入 □ 网络外联申请原因：
　申请人：
主管意见：
审批人：
日期：
备注附件6.外部人员运维申请表申请表编号：__________________ 申请人申请日期单位名称联系电话系统负责人联系电话对接人联系电话工作描述实施起止时间操作内容可能受影响的系统和服务机房现场配合要求技术审核意见系统管理员审核意见归档附件7.系统投入运行申请表系统名称投入运行时间投入运行理由试运行是否完成（试运行测试相关内容）
申请人审批人附件8.中心机房进出人员登记表( )月日期进出时间姓名单位事由陪同人员备注进出附件9.外部人员访问审批单访问人员访问区域访问时间是否专人陪同访问事由领导意见签名：
附件10.机房安全检查记录表检查项目检查情况异常情况记录服务器运行情况：□正常 □异常网络设备核心交换机运行情况：□正常 □异常核心路由运行情况：□正常 □异常汇聚交换机运行情况：□正常 □异常防火墙运行情况：□正常 □异常 IPS 运行情况：□正常 □异常 UPS电源运行情况：□正常 □异常火灾报警系统运行情况：□正常 □异常摄像监控运行情况：□正常 □异常防盗报警系统运行情况：□正常 □异常空调 1＃机运行：□正常 □异常送风：□正常 □异常 2＃机运行：□正常 □异常送风：□正常 □异常消防设备（灭火器）
气压表：□黄色区 □绿色区 □红色区检查时间：
年月日时分机房温度：
oC 机房相对湿度: % 检查员签字：
附件11.网络设备及服务器更新记录表更新人员更新时间当前版本更新版本设备名称测试结果是否更新成功本次更新信息附件12.系统运维记录操作人员操作时间管理员签字部门名称操作人员联系方式操作原因操作内容附件13.离职移交手续单离职人姓名工号部门名称职务离职原由交接人姓名职别移交手续签章移交物品文件清单 1. 2. 3. 清除或终止权限清单 1. 2. 4. 以上物品由直属主管指定。

单位部门记事分管签章会签部门备注说明 1.各部门对离职人员的离职手续请予即刻办理。

2.本表办妥后交xx市xx区农产品质量安全管理站。

领导意见办理日期附件14.系统变更申请表系统名称变更时间变更目的变更内容审批组成员审批意见审批流程审批结论附件15.补丁安装操作记录（范文）
补丁统一由360安全卫士或软件自带的更新系统进行更新补丁或文件。

附件16.系统补丁更新记录更新人员更新时间服务器名称是否更新成功本次更新补丁列表附件17.介质使用管理记录表日期介质名称型号用途备注附件18.培训记录单培训机构主讲培训时间年月日接受培训人员项次培训课程基本内容 1 2 3 记录人审核人附件19.应急预案培训记录表培训名称培训时间培训地点培训方式使用资料主讲人主办单位参加人员姓名培训内容和意见培训内容参加人员意见主办单位意见附件20.安全事件处理记录安全事件名称处理人受理时间年月日引发事件原因处理经过避免再次发生的措施危害程度处理结果附件21.设备带离机房审批记录设备名称带离人带离时间年月日带离理由领导审批签名：
附件22.恶意代码培训记录培训日期地点培训人员记录人员出席人员培训内容记录: 记录人：
附件23.介质归档登记表序号介质名称介质类型存放位置归档日期介质管理员备注附件24.安全教育培训记录培训日期地点培训人员记录人员出席人员培训内容记录: 附件25.管理制度评审记录制度名称评审时间评审地点评审人员评审内容评审组成员评审意见领导意见签名：
备注：管理制度一年评审一次。

附件26.会议纪要会议主题会议人会议时间年月日接受会议人签字会议内容附件27.安全管理制度修订记录修订时间修订原因评审内容修订组成员意见修订结果附件28.操作运维记录操作人员所属部门操作内容维护事项配置更改权限分配领导审批附件29.数据备份登记表备份编号备份文件名备份方式保存位置本次备份时间可读性验证操作人检查人检查时间附件30.安全技能考核记录考核人考核时间年月日序号考核项目基本内容考核结果 1 2 3 4 审核签字: 日期: 附件31.安全管理人员信息表姓名单位部门职位联系电话 Email 附件32.网络主机恶意代码检测记录表检测日期主机名称检测方法结果分析处理结果备注检测人员审核人员附件33.补丁更新测试记录表更新时间对应IP 补丁名称补丁描述测试人员测试结果附件34.外联单位联系表编号单位名称联系人职务联系电话备注 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 附件35.日志分析记录填表年份：
设备名称及IP：
日志类型日志分析情况说明分析人时间备注

上一篇：小学数学教材培训心得体会10000字,小学数学教材培训心得体会1000字(7篇)（精选文档）
下一篇：安全生产监管人员试题题库

扩展阅读文章

推荐阅读文章