某局网络安全管理制度汇编(第9/22页)

5、补办文档和领导审批记录

紧急问题得到妥善解决后，需要分别补办各类文档和审批记录。

四、安全措施

系统变更过程中，采取各种措施保证调试系统应用程序访问权限受到良好控制。这些措施包括：

1、通过调试环境的访问控制，限制对调试环境的访问；

2、通过物理隔离的手段，限制对调试环境的访问；

3、通过逻辑隔离的手段，限制对调试环境的访问；

4、对授权访问调试环境的开发人员进行详细记录，使用该记录对调试环境访问权限的检查，确保只有经授权开发人员才能访问调试环境；

5、普通用户只能通过前台登录系统，不能通过后台（如使用调试环境操作系统的命令行）进行操作；

6、开发人员不应该拥有前台应用程序的业务操作访问权限，更不应该在前台应用程序中担任实际的业务操作任务；

7、从技术角度限制开发人员对调试环境中应用程序文件夹的访问权限，只有经过授权的开发人员对程序拥有读、写和执行的权限；

五、变更管理

对于信息系统的变更，如对整体网络添加、删除设备等操作，变更前需填写《系统变更申请表》（附件14），经信息化职能部门相关领导同意后出具网络设备变更实施方案，变更后对整体网络无影响则变更成功，变更失败后需立即恢复变更前原状，保持网络畅通。

六、附则

1、本制度由xx市xx区农业农村局负责解释和修订。

2、本制度自发布之日起开始执行。

13.资产安全管理制度

一、总则

为加强xx市xx区农业农村局信息固定资产的保管及使用管理，特制定本制度。

本制度所称信息固定资产包括xx市xx区农业农村局信息系统范围内所涉及的房屋及建筑物、信息化硬件及其附属设备、信息化软件及其集成系统、工具等。

二、操作规程

1、职责

（1）负责检查数据资产的安全管理情况。

（2）负责本文件的编制和管理；

（3）负责固定资产的管理，包括固定资产的采购、记录、变更、报废等；

（4）负责备品备件的出入库管理；

（5）负责对有形资产进行分类、分级和标记；

（6）负责对备品备件进行分类；

（7）在有形资产发生变更、报废或销毁时，负责检查资产中信息的处理情况。

（8）负责检查台帐、信息系统中信息资产相关记录，并将记录情况纳入考核计划中。

2、资产的分类分级

资产分类分为关键资产和非关键资产。

关键资产：对业务连续性和系统可用性影响大的资产（价格或价值较高的资产）。 

非关键资产：对业务连续性和系统可用性影响小的资产（价格或价值较低的资产）。

3、资产的登记与标记

（1）信息化职能部门对固定资产进行分类分级、登记，确定该资产的类型、用途、 位置、格式、规格、价值等具体信息；

（2）信息化职能部门根据发放的资产清单及设备标牌，对有形资产进行粘贴标记，各部门指定资产责任人，由资产责任人对所负责的资产进行保护；

（3）各部门在资产新增、更新、调拨、报废时，向信息化职能部门提出需求，由信息安全领导小组审核，报主管领导批准后按照相关规定执行；

（4）信息化职能部门定期检查有形资产的标记与使用情况，对资产丢失，标签缺损的情况进行记录，并纳入各部门考核；

（5）各部门对本部门管理的数据资产进行归类和统计，对电子文件采用统一 样式的电子标记进行标识。

4、资产的使用与维护

（1）各部门对信息资产使用规范说明，包括使用授权、管理方式、操作方法、移动管理等，报信息化职能部门备案。

（2）各部门工作人员，包括雇员、承包方人员和第三方人员应明确到他们使用信息资产时的限制条件，应对信息资产的使用和管理负责。

（3）各部门人员应确保在采用移动介质进行数据传输时，传输完毕应及时删除介质上保留的数据信息，对于只读介质，由本部门信息安全专员进行保存；

（4）各部门的存储介质在长期存储时，信息安全专员应确保本部门介质贮存地点应符合防火、防水、防震、防潮、防霉、防鼠害、防虫蛀、防静电、防磁等方面的安全要求，介质的存储要符合介质生产商对介质存储的要求；

（5）各部门定期对本部门存储介质中的数据进行备份和恢复测试，并进行测试记录，防止由于介质老化而导致的重要信息丢失；

（6）涉及国家秘密的信息通过移动介质进行存储时，各部门应参照国家有关规定执行。

（7）网络安全与信息化领导小组定期检查数据资产的安全管理情况，发现问题进行记录，并纳入各部门考核。

5、资产的销毁

（1）各部门检查并清空待报废设备内的所有信息，交信息化职能部门统一处理；

（2）信息化职能部门对报废设备进行清点；

（3）信息化职能部门定期对报废设备进行统一处理，处理前对设备的存储信息进行检查；

（4）各部门介质上存储的信息的敏感程度，由信息化职能部门采取适当的措施对已报废的介质进行处理： 

包含敏感信息的介质，应按照国家要求，去专门地点删除原有介质上的数据信息或进行消磁处理；对于只读介质，可采用粉碎等方式进行处理。

三、附则

1、本制度由xx市xx区农业农村局负责解释和修订。

2、本制度自发布之日起开始执行。

14.信息系统补丁及版本管理制度

一、总则

1、为加强xx市xx区农业农村局系统补丁及版本的管理，规范补丁及版本的部署流程，保证信息系统补丁及版本的及时更新，确保信息系统安全稳定高效的运行，特制定本办法。

2、 本办法所涉及的补丁包括硬件微码补丁、操作系统补丁、数据库补丁和应用系统补丁。

3、本办法所涉及的版本包括网络设备、安全设备、存储、服务器、终端等硬件产品的操作系统版本，各类系统软件（数据库、中间件）及各类业务系统的版本。

二、 适用范围

信息化职能部门负责本级各类软硬件产品的补丁及版本更新工作及终端设备的补丁及版本更新工作。

三、职责分工

系统管理员每月和相关厂商联系，获取操作系统版本的最新情况，并对版本的更新后可能会产生的影响进行评估，确认是否可以升级，升级版本之前先做备份。

各类业务系统应该部署与之相应的测试系统，版本升级之前应做充分的测试，测试2天后无重大问题可进行正式部署，并将版本升级后做的改动内容告知各使用对象。

1、系统管理员

（1）负责各操作系统（含浏览器、办公软件）补丁和应用系统（含中间件）补丁的管理。

（2）负责收集操作系统漏洞和应用系统漏洞信息，跟踪最新补丁信息，评估漏洞威胁、成因和严重性。

（3）负责提出操作系统漏洞和应用系统漏洞修补要求和相关防护措施，审批变更计划。