某局网络安全管理制度汇编(第12/22页)

4、工作人员应该对磁盘信息加密并标明密级。

5、如对存储介质进行使用，维护和销毁，需清除介质中的敏感信息，防止重要信息外泄。

6、外部单位或机构对涉密存储介质进行维护时，需对存储的涉密信息采取保存、删除等安全保密措施，并指定人员监督维修过程，保密涉密信息不泄露。若外部单位或机构需要将涉密计算机存储介质转存至非指定设备时，有关责任人应当根据有关规定同外部单位或机构签署保密协议，在维修结束后，有关责任应监督维修人员对维修的介质中的涉密信息进行不可恢复性删除处理，涉密计算机存储介质外部维修前，必须获得相关领导批准，同时尽可能地对涉密信息进行不可恢复性删除处理，确因需要保留的涉密信息必须要求有关外部单位或机构签署保密协议

7、涉密移动存储介质的销毁，并经批准后进行销毁，任何部门或个人不得擅自销毁。

8、涉密移动存储介质只能在本单位办公场所使用，确因工作需要带出办公场所的，需经xx市xx区农产品质量安全管理站负责人批准，并履行相关手续和采取严格的保密措施。

9、定期对存储介质进行一次清查、核对，并对其完整性和可用性进行检查，确认其数据没有受到损坏或丢失，并填写《介质归档登记表》（附件23）统一进行管理。

10、对一些关键性的介质需要存放在安全位置，并安排专人进行管理。

四、附则

1、本制度由xx市xx区农业农村局负责解释和修订。

2、本制度自发布之日起开始执行。

18.系统建设管理制度

一、安全方案设计

应以书面的形式描述对系统的安全保护要求、策略和措施等内容，形成系统的安全方案；

应对安全方案进行细化，形成能指导安全系统建设、安全产品采购和使用的详细设计方案；

应组织相关部门和有关安全技术专家对安全设计方案的合理性和正确性进行论证和审定，并且经过批准后，才能正式实施。

二、产品采购和使用

应确保安全产品采购和使用符合国家的有关规定；

应确保密码产品采购和使用符合国家密码主管部门的要求；

应指定或授权专门的部门负责产品的采购。

三、自行软件开发

应确保开发环境与实际运行环境物理分开；

制定软件开发管理制度，明确说明开发过程的控制方法和人员行为准则；

应确保提供软件设计的相关文档和使用指南，并由专人负责保管。

四、外包软件开发

应根据开发要求检测软件质量；

应确保提供软件设计的相关文档和使用指南；

应在软件安装之前检测软件包中可能存在的恶意代码；

应要求开发单位提供软件源代码，审查软件中可能存在的后门，并予以记录。

五、工程实施

应指定或授权专门的部门或人员负责工程实施过程的管理；

应制定详细的工程实施方案，控制工程实施过程。

六、测试验收

应对系统进行安全性测试验收；

在测试验收前应根据设计方案或合同要求等制定测试验收方案，在测试验收过程中应详细记录测试验收结果，并形成测试验收报告；

应组织相关部门和相关人员对系统测试验收报告进行审定，并签字确认。

七、系统交付

应制定系统交付清单，并根据交付清单对所交接的设备、软件和文档等进行清点；

应对负责系统运行维护的技术人员进行相应的技能培训并对培训过程进行记录表格记录，填写《培训记录单》（附件18）。

应确保提供系统建设过程中的文档和指导用户进行系统运行维护的文档。

八、安全服务商选择

应确保安全服务商的选择符合国家的有关规定；

应与选定的安全服务商签订与安全相关的协议，明确约定相关责任；

应确保选定的安全服务商提供技术和服务承诺，并要求与安全服务商签署保密协议。

19.漏洞扫描制度

一、总则

为保障xx市xx区农业农村局信息网络的安全、稳定运行，规范漏洞扫描的操作规范，特制订本制度。

本制度适用于所有在xx市xx区农业农村局信息系统内接入的漏洞扫描及相关设备的管理和运行，漏扫扫描周期暂定为一年4次。

二、操作管理

（1）漏洞扫描设备的部署环境应满足相应的国家标准和规范，其网络拓扑和扫描范围的更改要报送信息化职能部门批准，以保证漏洞扫描设备发挥最大效应。

（2）漏洞扫描设备工作时会对网络造成一定程度的影响，应避免在网络运行高峰期进行扫描，如有特殊情况应通知有关的系统管理员.

（3）漏洞扫描设备的规则设置、更改的授权、审批需填写《外联授权审批表》（附件4）。漏洞扫描设备的规则设置、更改，应该得到信息化职能部门负责人的批准，由系统管理员协助进行实施。

（4）具体操作过程，需填写《系统运维记录》（附件12）留档保存：

记录操作人员、操作时间、联系人及联系方式等信息；

记录网络环境，定义漏洞扫描的网络接口；

定义漏洞扫描的IP地址范围；

定义漏洞扫描的安全级别和扫描选项。

（5）对扫描结果的分析和安全漏洞修补。

漏洞扫描后，分析漏洞扫描报告，及时找到修补漏洞的补丁程序，并通过专用工具，及时下载打补丁，堵塞漏洞。

漏洞扫描发现的安全事件处理和报告的要求。一旦获悉业界公布的漏洞疫情，并确认它们存在严重的危害性，即使单位当前尚未出现受到侵扰的迹象，也必须采取预防措施，紧急更新库，通告单位，对服务器和专用网络设备实施紧急漏洞扫描，及时调整防火墙策略。

三、附则

本制度由xx市xx区农业农村局负责解释。

本制度自颁布之日起实行。

20.软件开发管理制度

1、范围

本标准规定了xx市xx区农业农村局软件开发与维护管理的职责和权限、管理内容和方法、报告和记录。

本标准适用于xx市xx区农业农村局软件开发与维护管理。

2、规范性引用文件

下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，使用本标准的相关部门、单位及人员要研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。

Q/HD 212.07-2007 计算机信息系统管理标准

Q/HD 202.04-2007 科技规划和科技项目管理标准

Q/HD 201.08-2007 合同管理管理标准

3、职责

网络安全与信息化领导小组

（1）审核重大软件项目开发计划。

（2）组织重大软件项目技术论证和评估工作。

信息化职能部门

（1）组织调研用户需求。

（2）编制软件需求报告。

（3）制定软件开发方式。

（4）签订开发协议。

（5）软件开发、测试、修改工作。

（6）指导用户软件应用。

主管领导

（1）提出软件开发需求。