信息安全标准法规

01、《刑法》第六章第285、286、287条对与计算机犯罪的内容和量刑进行了明确的规定，以下哪一项不是其中规定的罪行？

A. 非法侵入计算机信息系统罪

B. 破坏计算机信息系统罪

C. 利用计算机实施犯罪

D. 国家重要信息系统管理者玩忽职守罪

02、计算机取证的合法原则是：

A、计算机取证的目的是获取证据，因此首先必须确保证据获取再履行相关法律手续

B、计算机取证在任何时候都必须保证符合相关法律法规

C、计算机取证只能由执法机构才能执行，以确保其合法性

D、计算机取证必须获得执法机关的授权才可进行以确保合法性原则

03、对涉密系统进行安全保密测评应当依据以下哪个标准？

A、BMB20-2007《涉及国家秘密的计算机信息系统分级保护管理规范》

B、BMB22-2007《涉及国家秘密的计算机信息系统分级保护测评指南》

C、GB17859-1999《计算机信息系统安全保护等级划分准则》

D、GB/T20271-2006《信息安全技术信息系统统用安全技术要求》

04、等级保护定级阶段主要包括哪2个步骤

A.系统识别与描述、等级确定

B.系统描述、等级确定

C.系统识别、系统描述

D.系统识别与描述、等级分级

05、我国信息安全标准化技术委员会（TC260）目前下属6个工作组，其中负责信息安全管理的小组是：

A、WG1

B、WG7

C、WG3

D、WG5

06、中国信息安全测评中心对CISP注册信息安全专业人员有保持认证要求，在证书有效期内，应完成至少6次完整的信息安全服务经历，以下哪项不是信息安全服务：

A、为政府单位信息系统进行安全方案设计

B、在信息安全公司从事保安工作

C、在公开场合宣讲安全知识

D、在学校讲解信息安全课程

07、在国家标准中，属于强制性标准的是：

A、GB/T XXXX-X-200X

B、GB XXXX-200X

C、DBXX/T XXX-200X

D、QXXX-XXX-200X

08、根据《信息系统安全等级保护定级指南》，信息系统的安全保护等级由哪两个定级要素决定：

A、威胁、脆弱性

B、系统价值、风险

C、信息安全、系统服务安全

D、受侵害的客体、对客体造成侵害的程度业务

09、下面对国家秘密定级和范围的描述中，哪项不符合《保守国家秘密法》要求：

A、国家秘密和其密级的具体范围，由国家保密工作部门分别会同外交、公安、国家安全和其他中央有关规定

B、各级国家机关、单位对所产生的秘密事项，应当按照国家秘密及其密级的具体范围的规定确定密级

C、对是否属于国家和属于何种密级不明确的事项，可有各单位自行参考国家要求确定和定级，然后报国家保密工作部门备案。

D、对是否属于国家和属于何种密级不明确的事项，由国家保密工作部门，省、自治区、直辖市的保密工作部门，省、自治区政府所在地的市和经国务院批准的较大的市的保密工作部门或者国家保密工作部门审定的机关确定

10、下面有关我国标准化管理和组织机构的说法错误的是？

A、国家标准化管理委员会是统一管理全国标准化工作的主管机构

B、国家标准化技术委员会承担着国家标准的制定和修改巩工作

C、全国信息安全标准化技术委员负责信息安全技术标准的审查、批准、编号和发布

D、全国信息安全标准化技术委员负责统一协调信息安全国家标准年度计划项目

11、我国规定商用密码产品的研发、制造、销售和使用采取专控管理，必须经过审批，所依据的是：

A、商用密码管理条例

B、中华人民共和国计算机信息系统安全保护条例

C、计算机信息系统国际联网保密管理规定

D、中华人民共和国保密法

12、当公司计算机网络受到攻击，进行现场保护应当:

1〉指定可靠人员看守

2〉无特殊且十分必须原因禁止任何人员进出现场

3〉应采取措施防人为地删除或修改现场计算机信息系统保留的数据和其他电子痕迹

4〉无行列且十分必须原因禁止任何人员接触现场计算机

A．1，2

B．1，2，3

C．2，3

D．1，2，3，4&

13、目前，我国信息安全管理格局是一个多方“齐抓共管”的体制，（计算机信息系统国家联网保密管理规定）是由下列哪个部门所指定的

A 公安部

B 国家保密局

C 信息产业部

D 国家密码管理委员会办公室

14、以下哪一项不是我国与信息安全有关的国家法律？

A.《信息安全等级保护管理方法》

B.《中华人民共和国保守国家秘密法》

C.《中华人民共和国刑法》

D.《中华人民共和国国家安全法》

15、触犯新刑法285条规定的非法侵入计算机系统罪可判处______。

A.三年以下有期徒刑或拘役

B.1000元罚款

C.三年以上五年以下有期徒刑

D.10000元罚款

16、下列哪个不是《商用密码管理条例》规定的内容？

A.国家密码管理委员会及其办公室（简称密码管理机构）主管全国的商用密码管理工作

B.商用密码技术术语国家秘密，国家对商用密码产品的科研、生产、销售秘密XX行专空管理

C.商用密码产品由国家密码管理机构许可的单位销售

D.个人可以使用经国家密码管理机构认可之外的商用密码产品

17、为中国信息安全测评中心cisp注册信息安全专业人员，对通过cisp之外还需要满足一基本要求，以下哪一项不属于这些基本要求：

A满足注册信息安全人员（cisp）注册资质的教育背景要求

B同意并遵守注册信息安全专业人员（cisp）执业准则

C在政府机关或重要信息系统的主管后运营单位从事信息安全保障工作或为其提供安全

D参加并完成由中国信息安全测评中心（CNITSEC）授权培训机构组织的注册信息安全专业人员（cisp）专业培训

18、全面构建我国信息安全人才体系是国家政策、组织机构信息安全保障建设和信息安全有关人员自身职业发展三方面的共同要求。“加快信息安全人才培训，增强全民信息安全意识”的指导精神，是以下哪一个国家政策文件提出的？

A. 《国家信息化领导小组关于加强信息安全保障工作的意见》

B. 《信息安全等级保护管理办法》

C.《中华人民共和国计算机信息系统安全保护条例》

D.《关于加强政府信息系统安全和保密管理工作的通知》

19、一家商业公司的网站发生黑客非法入侵和攻击事件后，应及时向哪一个部门报案？

A. 公安部公共信息网络安全监察局及其各地相应部门

B. 国家计算机网络与信息安全管理中心

C. 互联网安全协会

D. 信息安全产业商会

20、在国家标准《信息系统恢复规范》中，根据----要素，将灾难恢复等级划分为_____级A． 7，6

B． 6，7

C． 7，7

D． 6，6

21、下列哪项不是《信息安全等级保护管理办法》（公通字[2007]43号）规定的内容：A．国家信息安全等级保护坚持自主定级，自主保护的原则。

B．国家指定专门部门对信息系统安全等级保护工作进行专门的监督和检查。

C．跨省或全国统一联网运行的信息系统可由主管部门统一确定安全保护等级

D．第二级信息系统应当每年至少进行一次等级测评，第三级信息系统应当每半年至少进行一次等级测评。

22、一家商业公司的网站发生黑客非法入侵和攻击事件后，应及时向哪一个部门报案？

A. 公安部公共信息网络安全监察局及其各地相应部门

B. 国家计算机网络与信息安全管理中心

C. 互联网安全协会

D. 信息安全产业商会

23、下面关于《中华人民共和国保守国家秘密法》的说法错误的是：

A. 秘密都有时间性，永久保密是没有的

B. 《保密法》规定一切公民都有保守国家秘密的义务

C. 国家秘密的级别分为“绝密”“机密”“秘密”三级

D. 在给文件确定密级时，从保密的目的出发，应将密级尽量定高

24、下面有关我国信息安全管理体制的说法错误的是：

A.目前我国的信息安全保障工作是相关部门各司其职、相互配合、齐抓共管的局面

B.我国的信息安全保障工作综合利用法律、管理和技术的手段

C.我过的信息安全管理成坚持及时检测、快速响应、综合治理的方针

D.我国对于信息安全责任的原则是谁主管、谁负责、谁经营、谁负责

员工信息安全规范

编号：SM-ZD-46667 员工信息安全规范 Through the process agreement to achieve a unified action policy for different people, so as to coordinate action, reduce blindness, and make the work orderly. 编制：____________________ 审核：____________________ 批准：____________________ 本文档下载后可任意修改

员工信息安全规范简介：该制度资料适用于公司或组织通过程序化、标准化的流程约定，达成上下级或不同的人员之间形成统一的行动方针，从而协调行动，增强主动性，减少盲目性，使工作有条不紊地进行。文档可直接下载或修改，使用时请详细阅读内容。 1、适用范围本标准规定了公司员工必须遵循的个人计算机和其他方面的安全要求，规定了员工保护公司涉密信息的责任，并列出了大量可能遇到的情况下的安全要求。本标准适用于公司所有员工，包括子公司的员工，以及其他经授权使用公司内部资源的人员。 2、计算机安全要求 1）计算机信息登记与使用维护：每台由公司购买的计算机的领用、使用人变更、配置变更、报废等环节必须经过IT部的登记，严禁私自变更使用人和增减配置；每位员工有责任保护公司的计算机资源和设备，以及包含的信息。每位员工必须把自己的计算机名字设置成固定的格式，一律采用AD域名_所属地区编号组成；

例如某台计算机名为SSSS_100201，SSSS为地区AD 域名，100为地区编号，201代表该地区第201个账户。 2）必须在所有个人计算机上激活下列安全控制：所有计算机（包括便携电脑与台式机）必须设有系统密码；系统密码应当符合一定程度的复杂性要求，并不定期更换密码；存储在个人计算机中的包含有公司涉密信息的文件，需要加密存放。 3）当员工离开办公室或工作区域时：必须立即锁定计算机或者激活带密码保护的屏幕保护程序；如果办公室或者工作区域能上锁，最后一个离开的员工请锁上办公室或工作区域；妥善保管所有包含公司涉密内容的文件，如锁进文件柜。 4）防范计算机病毒和其他有害代码：每位员工由公司配备的计算机上都必须安装和运行公司授权使用的防病毒软件；员工必须开启防病毒软件实时扫描保护功能，至少每周进行一次全硬盘扫描，在网络条件许可的情况下每天进行一

网络和信息安全相关法律规定

1、《中华人民共和国保守国家秘密法》 2、《中华人民共和国国家安全法》 3、《中华人民共和国电子签名法》 4、《计算机信息系统国际联网保密管理规定》 5、《涉及国家秘密的计算机信息系统分级保护管理办法》 6、《互联网信息服务管理办法》 7、《非经营性互联网信息服务备案管理办法》 8、《计算机信息网络国际联网安全保护管理办法》 9、《中华人民共和国计算机信息系统安全保护条例》 10、《信息安全等级保护管理办法》 11、《公安机关信息安全等级保护检查工作规范（试行）》 12、中办、国办转发《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号） 13、中办、国办《关于进一步加强互联网管理工作的意见》（中办发[2004]32号） 14、中央网信办《关于加强党政机关网站安全管理的通知》（中网办发文[2014]1号） 15、中央网信办《关于印发<2014年国家网络安全检查工作方案>的通知（中网办发文[2014]5号） 16、国家发改委5部委《关于进一步加强国家电子政务网络建设和应用工作的通知》（发改高技[2012]1986号） 17、工业和信息化部《关于印发<2013年重点领域信息安

全检查工作方案>的函》（工信部协函[2013]259号） 18、《广东省信息化促进条例》 19、《广东省计算机信息系统安全保护条例》 20、《广东公安网安部门信息安全检查细则》 21、省公安厅《关于继续深休我省信息安全等级保护工作的通知》（粤公通字[2011]124号） 22、《关于切实加强我省涉外国家安全和保密工作的意见》（粤办发[2005]12号） 23、《关于进一步加强互联网管理工作的意见》（粤办发[2005]25号 24、《关于加强和改进我省互联网管理工作的意见》（粤办发[2012]38号 25、《关于加强我省工业控制系统信息安全管理的意见》（粤信办[2012]3号） 26、省保密局、省公安厅、省安全厅、省经济和信息化委员会、省通信管理局《联合开展信息安全保密检查工作制度》 27、《通信网络安全防护管理办法》（工业和信息部令第11号） 28、《电信和互联网用户个人信息保护规定》（工业和信息部令第24号）

企业信息安全规范

信息安全管理规范第一章总则第一条为规范企业信息系统及所承担维护服务的用户信息系统的信息安全管理，促进信息安全管理工作体系化、规范化，提高信息系统和网络服务质量，提高信息系统管理人员、维护人员以及使用人员的整体安全素质和水平，特制定本管理规范。本管理规范目标是为公司信息安全管理提供清晰的策略方向，阐明信息安全建设和管理的重要原则，阐明信息安全的所需支持和承诺。第二条本规范是指导公司信息安全工作的基本依据，信息安全相关人员必须认真执行本规程，并根据工作实际情况，制定并遵守相应的安全标准、流程和安全制度实施细则，做好安全维护管理工作。第三条信息安全是公司及所承担的用户信息系统系统运维服务工作的重要内容。公司管理层非常重视，大力支持信息安全工作，并给予所需的人力物力资源。第四条本规范的适用范围包括所有与公司信息系统及本公司所承担维护服务的各方面相关联的人员，它适用于本公司全部员工，集成商，软件开发商，产品提供商，商务伙伴和使用公司信息系统的其他第三方。第五条本规范适用于公司所承担服务支撑的外部各单位的信息系统的安全工作范围。第六条本规范主要依据国际标准ISO17799,并遵照我国信息安全有关法律法规、电信行业规范和相关标准。第二章安全管理的主要原则第七条管理与技术并重的原则：信息安全不是单纯的技术问题，在采用安全技术和产品的同时，应重视管理，不断积累完善各个信息安全管理章程与规定，全面提高信息安全管理水平。

第八条全过程原则：信息安全是一个系统工程，应将它落实在系统建设、运行、维护、管理的全过程中，安全系统应遵循与信息系统同步规划、同步建设、同步运行的原则，在任何一个环节的疏忽都可能给信息系统带来危害。第九条风险管理和风险控制原则：应进行安全风险管理和风险控制，以可以接受的成本或最小成本，确认、控制、排除可能影响公司信息系统的安全风险，并将其带来的危害最小化。第十条分级保护原则：应根据信息资产的重要程度以及面临的风险大小等因素决定各类信息资产的安全保护级别。制订各类网络系统和信息资产的安全保护等级表，在表中明确资产类别，同时确定对何种资产应达到何种级别的安全。第十一条统一规划、分级管理实施原则：信息安全管理遵循统一规划、分级管理的原则。信息安全领导小组负责对公司各项信息安全管理工作进行统一规划，负责信息安全管理办法的制定和监督实施。各级部门在信息安全领导小组指导与监督下，负责具体实施。第十二条平衡原则：在公司信息安全管理过程中，应在安全性与投入成本、安全性和操作便利性之间找到最佳的平衡点。第十三条动态管理原则：在公司信息安全管理过程中，应遵循动态管理原则，要针对信息系统环境的变动情况及时调整管理办法。第三章安全组织和职责第十四条建立和健全信息安全组织，设立由高层领导组成的信息安全领导小组，对于信息安全方面的重大问题做出决策，协调信息安全相关各部门之间的关系，并支持和推动信息安全工作在整个信息系统范围内的实施。第十五条公司应设置相应的信息安全管理机构，负责信息系统的信息安全管理工作，配备专职安全管理员，由安全管理员具体执行本公司信息安全方面的相关工作。第十六条公司信息系统的安全管理机构职责如下：根据本规范制定信息系统的信息安全管理制度、标准规范和执行程序；

GBT 35273-2017-信息安全技术-个人信息安全规范

《信息安全技术个人信息安全规范》第六点“个人信息的保存”，对个人信息控制者对个人信息的保存提出具体要求，包括以下内容： 6.1 个人信息保存时间最小化对个人信息控制者的要求包括： a) 个人信息保存期限应为实现目的所必需的最短时间； b) 超出上述个人信息保存期限后，应对个人信息进行删除或匿名化处理。 6.2 去标识化处理收集个人信息后，个人信息控制者宜立即进行去标识化处理，并采取技术和管理方面的措施，将去标识化后的数据与可用于恢复识别个人的信息分开存储，并确保在后续的个人信息处理中不重新识别个人。 6.3 个人敏感信息的传输和存储对个人信息控制者的要求包括： a) 传输和存储个人敏感信息时，应采用加密等安全措施； b) 存储个人生物识别信息时，应采用技术措施处理后再进行存储，例如仅存储个人生物识别信息的摘要。 6.4 个人信息控制者停止运营当个人信息控制者停止运营其产品或服务时，应： a) 及时停止继续收集个人信息的活动； b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体； c) 对其所持有的个人信息进行删除或匿名化处理。《信息安全技术个人信息安全规范》第九点“个人信息安全事件处置”，对个人信息控制者处理个人信息安全事件的方式方法提出具体要求，包括以下内容：9.1 安全事件应急处置和报告对个人信息控制者的要求包括： a) 应制定个人信息安全事件应急预案； b) 应定期（至少每年一次）组织内部相关人员进行应急响应培训和应急演练，使其掌握岗位职责和应急处置策略和规程； c) 发生个人信息安全事件后，个人信息控制者应根据应急响应预案进行以下处置： 1) 记录事件内容，包括但不限于：发现事件的人员、时间、地点，涉及的个人信息及人数，发生事件的系统名称，对其他互联系统的影响，是否已联系执法机关或有关部门； 2) 评估事件可能造成的影响，并采取必要措施控制事态，消除隐患； 3) 按《国家网络安全事件应急预案》的有关规定及时上报，报告内容包括但不限于：涉及个人信息主体的类型、数量、内容、性质等总体情况，事件可能造成的影响，已采取或将要采取的处置措施，事件处置相关人员的联系方式； 4) 按照本标准9.2的要求实施安全事件的告知。 d) 根据相关法律法规变化情况，以及事件处置情况，及时更新应急预案。 9.2 安全事件告知对个人信息控制者的要求包括： a) 应及时将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的个人信息主体。难以逐一告知个人信息主体时，应采取合理、有效的方式发布与公众有关的警示信息； b) 告知内容应包括但不限于：

信息安全等级保护管理办法(公通字〔2007〕43号)

信息安全等级保护管理办法（公通字[2007]43号）作者 : 来源 : 公安部、国家保密局、国家密码管理局、字体：大中小国务院信息工作办公室时间：2007-06-22 第一章总则第一条为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规，制定本办法。第二条国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。第三条公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。第四条信息系统主管部门应当依照本办法及相关标准规范，督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范，履行信息安全等级保护的义务和责任。第二章等级划分与保护第六条国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。第七条信息系统的安全保护等级分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

CCRC-ISV-C01：2018信息安全服务规范

文件编码：CCRC-ISV-C01:2018 信息安全服务规范 2018-05-25发布 2018-06-01实施中国网络安全审查技术与认证中心发布

目录 1. 适用范围 (1) 2. 规范性引用文件 (1) 3. 术语与定义 (1) 3.1. 信息安全服务 (1) 3.2. 信息安全风险评估 (1) 3.3. 信息安全应急处理 (1) 3.4. 信息系统安全集成 (1) 3.5. 信息系统灾难备份与恢复 (1) 3.6. 软件安全开发 (2) 3.7. 信息系统安全运维 (2) 3.8. 网络安全审计 .................................................................................. 错误!未定义书签。 3.9. 工业控制系统安全 (2) 4. 通用评价要求 (2) 4.1. 三级评价要求 (2) 4.1.1. 法律地位要求 (2) 4.1.2. 财务资信要求 (2) 4.1.3. 办公场所要求 (2) 4.1.4. 人员能力要求 (3) 4.1.5. 业绩要求 (3) 4.1.6. 服务管理要求 (3) 4.1.7. 服务技术要求 (3) 4.2. 二级评价要求 (3) 4.2.1. 法律地位要求 (4) 4.2.2. 财务资信要求 (4) 4.2.3. 办公场所要求 (4) 4.2.4. 人员能力要求 (4) 4.2.5. 业绩要求 (4) 4.2.6. 服务管理要求 (4) 4.2.7. 技术工具要求 (5) 4.2.8. 服务技术要求 (5) 4.3. 一级评价要求 (5) 4.3.1. 法律地位要求 (5) 4.3.2. 财务资信要求 (5)

数据中心信息安全法规办法标准版本

文件编号：RHD-QB-K9969 （管理制度范本系列）编辑：XXXXXX 查核：XXXXXX 时间：XXXXXX 数据中心信息安全法规办法标准版本

数据中心信息安全法规办法标准版本操作指导：该管理制度文件为日常单位或公司为保证的工作、生产能够安全稳定地有效运转而制定的，并由相关人员在办理业务或操作时必须遵循的程序或步骤。，其中条款可根据自己现实基础上调整，请仔细浏览后进行编辑与保存。为加强数据中心的数据安全和保密管理，保障数据中心的数据安全，现依据国家有关法律法规和政策，针对当前安全保密管理工作中可能存在的问题和薄弱环节，制定本办法。一、按照“谁主管谁负责、谁运行谁负责”的原则，各部门在其职责范围内，负责本单位计算机信息系统的安全和保密管理。二、各单位应当明确一名主要领导负责计算机信息系统安全和保密工作，指定一个工作机构具体负责计算机信息系统安全和保密综合管理。各部门内设

机构应当指定一名信息安全保密员。三、要加强对与互联网联接的信息网络的管理，采取有效措施，防止违规接入，防范外部攻击，并留存互联网访问日志。四、计算机的使用管理应当符合下列要求： 1. 对计算机及软件安装情况进行登记备案，定期核查； 2. 设置开机口令，长度不得少于8个字符，并定期更换，防止口令被盗； 3. 安装防病毒等安全防护软件，并及时进行升级；及时更新操作系统补丁程序； 4. 不得安装、运行、使用与工作无关的软件； 5. 严禁同一计算机既上互联网又处理涉密信息； 6. 严禁使用含有无线网卡、无线鼠标、无线键

盘等具有无线互联功能的设备处理涉密信息； 7. 严禁将涉密计算机带到与工作无关的场所。五、移动存储设备的使用管理应当符合下列要求： 1. 实行登记管理； 2. 移动存储设备不得在涉密信息系统和非涉密信息系统间交叉使用，涉密移动存储设备不得在非涉密信息系统中使用； 3. 移动存储设备在接入本单位计算机信息系统之前，应当查杀病毒、木马等恶意代码； 4. 鼓励采用密码技术等对移动存储设备中的信息进行保护； 5. 严禁将涉密存储设备带到与工作无关的场所。六、数据复制操作管理应当符合下列要求：

网络数据和信息安全管理规范

网络数据和信息安全管理规范 IMB standardization office【IMB 5AB- IMBK 08- IMB 2C】

X X X X有限公司 WHB-08 网络数据和信息安全管理规范版本号: A/0 编制人： XXX 审核人： XXX 批准人： XXX 20XX年X月X日发布 20XX年X月X日实施

目的计算机网络为公司局域网提供网络基础平台服务和互联网接入服务。为保证公司计算机信息及网络能够安全可靠的运行，充分发挥信息服务方面的重要作用，更好的为公司运营提供服务，依据国家有关法律、法规的规定，结合公司实际情况制定本规定。术语本规范中的名词术语（比如“计算机信息安全”等）符合国家以及行业的相关规定。计算机信息安全是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法系统辨识，控制。即确保信息的完整性、保密性、可用性和可控性。包括操作系统安全、数据库安全、病毒防护、访问权限控制、加密与鉴别等七个方面。狭义上的计算机信息安全，是指防止有害信息在计算机网络上的传播和扩散，防止计算机网络上处理、传输、存储的数据资料的失窃和毁坏，防止内部人员利用计算机网络制作、传播有害信息和进行其他违法犯罪活动。网络安全，是指保护计算机网络的正常运行，防止网络被入侵、攻击等，保证合法用户对网络资源的正常访问和对网络服务的正常使用。计算机及网络安全员，是指从事的保障计算机信息及网络安全工作的人员。普通用户，是指除了计算机及网络安全员之外的所有在物理或者逻辑上能够访问到互联网、企业计算机网及各应用系统的公司内部员工。主机系统，指包含服务器、工作站、个人计算机在内的所有计算机系统。本规定所称的重要主机系统指生产、办公用的Web服务器、Email服务器、DNS服务器、OA服务器、企业运营管理支撑系统服务器、文件服务器、各主机系统等。网络服务，包含通过开放端口提供的网络服务，如WWW、Email、FTP、Telnet、DNS等。有害信息，参见国家现在法律法规的定义。

解析新版《个人信息安全规范》中的个人信息保护负责人制度

解析新版《个人信息安全规范》中的个人信息保护负责人制度 2020-08-03 《网络安全法》出台后，特别是2018年5月1日《信息安全技术个人信息安全规范》（“旧版规范”）生效以来，不少企业已经搭建起个人信息保护制度框架。数据合规体系是动态的有机体，需要静态的制度框架，更需要合规人员的动态推动，将制度融入商业决策与交易中。即将于2020年10月1日生效的《信息安全技术个人信息安全规范》（“新版规范”或“《安全规范》”）针对个人信息保护负责人的规定，较旧版规范而言更为具体且务实。一、为什么要建立个人信息保护负责人制度个人信息保护负责人是指全面实施统筹组织公司个人信息保护工作、对个人信息安全负直接责任的公司人员。设立个人信息保护负责人对企业落地数据合规制度至关重要。具体而言，科学有效的个人信息保护负责人制度既可提高企业法律风险防御能力，亦可增强其核心竞争力。（一）提高企业风险防御能力个人信息保护不力会给企业带来巨大损失：政府调查与处罚轻则迫使企业整改、重则颠覆既有商业模式、甚至导致企业与主要负责人承担刑事责任；个人信息安全事件如果不能及时、妥善处理，企业所面对的信任危机可能比处罚带来的社会影响更为深远；广大民众不断觉醒的个人信息保护意识更是促使企业时刻不得松懈。个人信息保护负责人既可以帮助企业在日常工作中未雨绸缪又可能在危机事件中力挽狂澜，提高企业防御风险的综合能力。 2017年3月，有消费者认为其个人信息遭到泄露而将某航空公司起诉至法院。法院综合认定被告存在泄露个人信息的高度可能，同时认为法律对经营者采取技术措施和其他必要措施保护消费者个人信息施以强制规定。但是，被告未能证明其已履行法定的个人信息保护义务。[1]2019年12月，同一家航空公司因类似事由被起诉，但法院认为被告在自身掌握信息阶段不存在泄露个人信息的事实。原因在于，航空公司不仅对可查看订单信息的管理系统进行数据脱敏设置，还建立起严密的数据安全管理制度、就数据存储安全进行专门认证、与专业第三方进行合作。[2] 根据公开信息，前述航空公司于2018年任命首席数据官，全面负责企业的数据保护与合规运营工作。该航空公司也由此成为国内首家设立数据保护官的企业。[3]虽然任命首席数据官与两份截然相反的判决没有直接关系，但从判决书中航空公司的举证来看，其在一两年间确实就个人信息保护采取了系列技术措施与组织措施，而任命首席数据官不仅是一种合规宣示，对于推动保护措施的落地显然也至关重要。（二）增强企业核心竞争力中国企业传统上将法律合规定位为后台支持部门，该等定位在业务拓展特别是开发海外市场时的局限性日益凸显。有能力的个人信息保护负责人有助于树立良好的企业形象，在与监管机构、合作伙伴、甚至竞争对手打交道的过程中，给人以专业、可信的印象，对于增强企业核心竞争力大有脾益。如何在各国纷繁复杂的法律规定下实现合规，需要个人信息保护负责人的统筹规划。对敏感个人数据加紧审查的国际趋势，尤其是中美经贸摩擦下的监管升级，[4]更是要求企业出海前审慎开展

ISO27001-2013信息安全管理体系要求.

目录前言 (3 0 引言 (4 0.1 总则 (4 0.2 与其他管理系统标准的兼容性 (4 1. 范围 (5 2 规范性引用文件 (5 3 术语和定义 (5 4 组织景况 (5 4.1 了解组织及其景况 (5 4.2 了解相关利益方的需求和期望 (5 4.3 确立信息安全管理体系的范围 (6 4.4 信息安全管理体系 (6 5 领导 (6 5.1 领导和承诺 (6 5.2 方针 (6 5.3 组织的角色,职责和权限 (7 6. 计划 (7 6.1 应对风险和机遇的行为 (7

6.2 信息安全目标及达成目标的计划 (9 7 支持 (9 7.1 资源 (9 7.2 权限 (9 7.3 意识 (10 7.4 沟通 (10 7.5 记录信息 (10 8 操作 (11 8.1 操作的计划和控制措施 (11 8.2 信息安全风险评估 (11 8.3 信息安全风险处置 (11 9 性能评价 (12 9.1监测、测量、分析和评价 (12 9.2 内部审核 (12 9.3 管理评审 (12 10 改进 (13 10.1 不符合和纠正措施 (13 10.2 持续改进 (14 附录A(规范参考控制目标和控制措施 (15

参考文献 (28 前言 0 引言 0.1 总则本标准提供建立、实施、保持和持续改进信息安全管理体系的要求。采用信息安全管理体系是组织的一项战略性决策。组织信息安全管理体系的建立和实施受组织的需要和目标、安全要求、所采用的过程、规模和结构的影响。所有这些影响因素可能随时间发生变化。信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性,并给相关方建立风险得到充分管理的信心。重要的是,信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中,并且在过程、信息系统和控制措施的设计中要考虑到信息安全。信息安全管理体系的实施要与组织的需要相符合。本标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求。本标准中表述要求的顺序不反映各要求的重要性或实施顺序。条款编号仅为方便引用。 ISO/IEC 27000参考信息安全管理体系标准族(包括ISO/IEC 27003[2]、ISO/IEC 27004[3]、ISO/IEC 27005[4]及相关术语和定义,给出了信息安全管理体系的概述和词汇。 0.2 与其他管理体系标准的兼容性

员工信息安全规范(正式)

编订：__________________ 单位：__________________ 时间：__________________ 员工信息安全规范(正式) Standardize The Management Mechanism To Make The Personnel In The Organization Operate According To The Established Standards And Reach The Expected Level. Word格式 / 完整 / 可编辑

文件编号：KG-AO-3205-69 员工信息安全规范(正式) 使用备注：本文档可用在日常工作场景，通过对管理机制、管理原则、管理方法以及管理机构进行设置固定的规范，从而使得组织内人员按照既定标准、规范的要求进行操作，使日常工作或活动达到预期的水平。下载后就可自由编辑。 1、适用范围本标准规定了公司员工必须遵循的个人计算机和其他方面的安全要求，规定了员工保护公司涉密信息的责任，并列出了大量可能遇到的情况下的安全要求。本标准适用于公司所有员工，包括子公司的员工，以及其他经授权使用公司内部资源的人员。 2、计算机安全要求 1）计算机信息登记与使用维护：每台由公司购买的计算机的领用、使用人变更、配置变更、报废等环节必须经过IT部的登记，严禁私自变更使用人和增减配置；每位员工有责任保护公司的计算机资源和设备，以及包含的信息。每位员工必须把自己的计算机名字设置成固定的

格式，一律采用AD域名_所属地区编号组成；例如某台计算机名为SSSS_100201，SSSS为地区AD域名，100为地区编号，201代表该地区第201个账户。 2）必须在所有个人计算机上激活下列安全控制：所有计算机（包括便携电脑与台式机）必须设有系统密码；系统密码应当符合一定程度的复杂性要求，并不定期更换密码；存储在个人计算机中的包含有公司涉密信息的文件，需要加密存放。 3）当员工离开办公室或工作区域时：必须立即锁定计算机或者激活带密码保护的屏幕保护程序；如果办公室或者工作区域能上锁，最后一个离开的员工请锁上办公室或工作区域；妥善保管所有包含公司涉密内容的文件，如锁进文件柜。 4）防范计算机病毒和其他有害代码：每位员工由公司配备的计算机上都必须安装和运

解读国标GBT 35273-2017《信息安全技术个人信息安全规范》

解读国标GBT 35273-2017《信息安全技术个人信息安全规范》发布时间：2018-01-28浏览：578 按照国家标准化管理委员会2017年第32号中国国家标准公告，全国信息安全标准化技术委员会组织制定和归口管理的国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》于2017年12月29日正式发布，将于2018年5月1日实施。本文重点提炼个人信息的保存、个人信息安处理以及组织的管理要求等方面内容，解读国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》。一、《信息安全技术个人信息安全规范》第六点“个人信息的保存”，对个人信息控制者对个人信息的保存提出具体要求，包括以下内容： 6.1 个人信息保存时间最小化对个人信息控制者的要求包括： a) 个人信息保存期限应为实现目的所必需的最短时间; b) 超出上述个人信息保存期限后，应对个人信息进行删除或匿名化处理。 6.2 去标识化处理收集个人信息后，个人信息控制者宜立即进行去标识化处理，并采取技术和管理方面的措施，将去标识化后的数据与可用于恢复识别个人的信息分开存储，并确保在后续的个人信息处理中不重新识别个人。 6.3 个人敏感信息的传输和存储对个人信息控制者的要求包括： a) 传输和存储个人敏感信息时，应采用加密等安全措施; b) 存储个人生物识别信息时，应采用技术措施处理后再进行存储，例如仅存储个人生物识别信息的摘要。 6.4 个人信息控制者停止运营当个人信息控制者停止运营其产品或服务时，应： a) 及时停止继续收集个人信息的活动; b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体; c) 对其所持有的个人信息进行删除或匿名化处理。二、《信息安全技术个人信息安全规范》第九点“个人信息安全事件处置”，对个人信息控制者处理个人信息安全事件的方式方法提出具体要求，包括以下内容： 9.1 安全事件应急处置和报告对个人信息控制者的要求包括： a) 应制定个人信息安全事件应急预案; b) 应定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练，使其掌握岗位职责和应急处置策略和规程; c) 发生个人信息安全事件后，个人信息控制者应根据应急响应预案进行以下处置： 1) 记录事件内容，包括但不限于：发现事件的人员、时间、地点，涉及的个人信息及人数，发生事件的系统名称，对其他互联系统的影响，是否已联系执法机关或有关部门; 2) 评估事件可能造成的影响，并采取必要措施控制事态，消除隐患; 3) 按《国家网络安全事件应急预案》的有关规定及时上报，报告内容包括但不限于：涉及个人信息主体的类型、数量、内容、性质等总体情况，事件可能造成的影响，已采取或

征信机构信息安全规范

征信机构信息安全规范一、总则 1.1标准适用范围标准规定了不同安全保护等级征信系统的安全要求，包括安全管理、安全技术和业务运作三个方面。标准适用于征信机构信息系统的建设、运行和维护，也可作为各单位开展安全检查和内部审计的安全依据。接入征信机构信息系统的信息提供者、信息使用者也可以参照与本机构有关条款执行，标准还可作为专业检测机构开展检测、认证的依据。 1.2相关定义（一）征信系统：征信机构与信息提供者协议约定，或者通过互联网、政府信息公开等渠道，对分散在社会各领域的企业和个人信用信息，进行采集、整理、保存和加工而形成的信用信息数据库及相关系统。（二）敏感信息：影响征信系统安全的密码、密钥以及业务敏感数据等信息。 1、密码包括但不限与查询密码、登录密码、证书的PIN等。 2、密钥包括但不限与用于确保通讯安全、报告完整性的密

钥。 3、业务敏感数据包括但不限于信息主体的身份信息、婚姻状况以及银行账户信息等涉及个人隐私的数据。（三）客户端程序：征信机构开发的、通过浏览器访问征信系统并为征信系统其他功能（如数据采集）的程序，并提供必需功能的组件，包括但不限于：可执行文件、控件、浏览器插件、静态链接库、动态链接库等（不包括IE等通用浏览器）；或信息提供者、信息使用者以独立开发的软件接入征信系统的客户端程序。（四）通讯网络：通讯网络指的是由客户端、服务器以及相关网络基础设施组建的网络连接。征信系统通过互联玩或网络专线等方式与信息提供者、信息使用者相连，征信系统安全设计应在考虑建设成本、网络便利性等因素的同时，采取必要的技术防护措施，有效应对网络通讯安全威胁。（五）服务器端：服务器端指用于提供征信系统核心业务处理和应用服务的服务器设备及安装的相关软件程序，征信机构应充分利用有效的物理安全技术、网络安全技术、主机安全技术、应用安全技术及数据安全与备份恢复技术等，在外部威胁和受保护的资源间建立多道严密的安全防线。 1.3总体要求本标准从安全管理、安全技术和业务运作三个方面提出征信

GBT35273-2020《信息安全技术个人信息安全规范》变化分析

GB/T 35273-2020《信息安全技术个人信息安全规范》变化分析 2020年3月6日，国家正式发布GB/T35273-2020《信息安全技术个人信息安全规范》，此标准是在2017年发布的《个人信息安全规范》的基础上经多次修订、并将于2020年10月1日正式实施。《个人信息安全规范》共分为十个章节，其中包括范围，规范性引用文件，术语和定义，个人信息安全基本原则，个人信息的收集，个人信息的保存，个人信息的使用，个人信息的委托处理、共享、转让、公开披露，个人信息安全事件处置以及组织的管理要求。核心变化概述 GB/T 35273-2020《信息安全技术个人信息安全规范》，与GB/T 35273-2017相

比，主要变化在于：一、增加了“多项业务功能的自主选择”、“用户画像的使用限制”、“个性化展示的使用”、“基于不同业务目的所收集个人信息的汇聚融合”、“第三方接入管理”、“个人信息安全工程”、“个人信息处理活动记录”等。二、修改了“征得授权同意的例外”、“明确责任部门与人员”、“实现个人信息主体自主意愿的方法”等。

逐条变化安言咨询在2020版规范发布之初，即组织内部专业人员对2017年规范及2020版规范进行差异对比，形成《个人信息安全规范差异对比》，如下图，如有需要，请关注公众号并在后台留下您的邮箱，我们会在3月20日前逐一发送。《个人信息安全规范差异对比》样例《个人信息安全规范差异对比》样例总结《个人信息安全规范》其内容的丰富和可操作性在起草之初就引起实务界的瞩目，成为企业在个人信息保护实践中的重要指引以及相关监管机构执法的参照。 2020版相比2017年版更加贴近行业实践，增强了企业合规工作的可操作性。内

解读国标T信息安全技术个人信息安全规范

解读国标T信息安全技术个人信息安全规范 Coca-cola standardization office【ZZ5AB-ZZSYT-ZZ2C-ZZ682T-ZZT18】

收集个人信息后，个人信息控制者宜立即进行去标识化处理，并采取技术和管理方面的措施，将去标识化后的数据与可用于恢复识别个人的信息分开存储，并确保在后续的个人信息处理中不重新识别个人。个人敏感信息的传输和存储对个人信息控制者的要求包括： a) 传输和存储个人敏感信息时，应采用加密等安全措施; b) 存储个人生物识别信息时，应采用技术措施处理后再进行存储，例如仅存储个人生物识别信息的摘要。个人信息控制者停止运营当个人信息控制者停止运营其产品或服务时，应： a) 及时停止继续收集个人信息的活动; b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体; c) 对其所持有的个人信息进行删除或匿名化处理。二、《信息安全技术个人信息安全规范》第九点“个人信息安全事件处置”，对个人信息控制者处理个人信息安全事件的方式方法提出具体要求，包括以下内容：安全事件应急处置和报告对个人信息控制者的要求包括：

IT信息安全规范

宁波奥比特灌溉设备有限公司制定部门：IT部版次：01 文件名称：信息安全管理规定编订日期：2011年3月10日页次：1 生效日期：2011年3月10日 1.0 目的为了工厂内部资料及数据安全，对计算机使用及监控信息管理，特制订本规则。 2.0 适用范围适用于公司所有人员，特别是计算机使用者及管理者。 3.0 主管部门 3.1 IT部负责制定此规定。 3.2 其它各部门配合该办法的实施。 4.0细则 4.1计算机使用员工 4.1.1.所有对公司计算机使用员工，必须严格按照IT部对各软件设置规范正确使用，遇到异常第一时间向IT部反应，以方便IT部迅速做出判断，尽快使问题得到解决。 4.1.2 对公司内部资料，包括各种表格／文档／员工信息／工程图等严禁带出厂外，一经发现从严查办，造成公司重大损失的将交与公安机关追究其法律责任． 4.1.3 公司各计算机，打印机，复印机，传真机等办公设备均属公司财产，严禁任何人员对其造成人为损坏或带出厂区使用，所有非正常使用或故意损坏的，按照公司采购价将给予赔偿，并交于行政人事部分给予处分。 4.1.4 对于公司监控系统是为了对整个厂区财产安全实施的一项电子监视措施，对所有人员人身安全及公司财产保护提供电子依据，除行政及IT技术外其它人不得擅自查看。 4.2 IT管理人员 4.2.1 保持良好职业道德，保证公司信息不泄露，及制定相应措施保证公司内部资料及数据信息安全，定期对各数据进入备份及加密，对各硬件设备定期维护，保证设备高效有序使用。 4.2.2 对各监控设备每隔一月做检查，包括对监控探头镜片清洁，线路检查，监控机维护，保证各探头收到有效数据，并成功保存。 4.2.3 各PC系统账号密码每42天提醒修改一次，对于不能按正常设置做出修改的，在服务器域中进行查看调整。 4.2.4 263企业邮箱设置为30天更改一次密码，如遇outlook出现密码验证错误时，及时进入后台管理系统进行调整。 4.2.5针对入职及离职人员PC账号邮箱账号，在离职或入职三天内作出禁用或建立新账号操作，以保证资料安全或快速进入工作。 4.2.6 对于网络外来入侵，公司Symantec设置为每周周六AM 3:00进行全部扫描，一旦发现不正常程序将对其先隔离再删除处理。

企业信息安全规范标准

信息安全管理规第一章总则第一条为规企业信息系统及所承担维护服务的用户信息系统的信息安全管理，促进信息安全管理工作体系化、规化，提高信息系统和网络服务质量，提高信息系统管理人员、维护人员以及使用人员的整体安全素质和水平，特制定本管理规。本管理规目标是为公司信息安全管理提供清晰的策略方向，阐明信息安全建设和管理的重要原则，阐明信息安全的所需支持和承诺。第二条本规是指导公司信息安全工作的基本依据，信息安全相关人员必须认真执行本规程，并根据工作实际情况，制定并遵守相应的安全标准、流程和安全制度实施细则，做好安全维护管理工作。第三条信息安全是公司及所承担的用户信息系统系统运维服务工作的重要容。公司管理层非常重视，大力支持信息安全工作，并给予所需的人力物力资源。第四条本规的适用围包括所有与公司信息系统及本公司所承担维护服务的各方面相关联的人员，它适用于本公司全部员工，集成商，软件开发商，产品提供商，商务伙伴和使用公司信息系统的其他第三方。第五条本规适用于公司所承担服务支撑的外部各单位的信息系统的安全工作围。第六条本规主要依据国际标准ISO17799,并遵照我国信息安全有关法律法规、电信行业规和相关标准。第二章安全管理的主要原则第七条管理与技术并重的原则：信息安全不是单纯的技术问题，在采用安全技术和产品的同时，应重视管理，不断积累完善各个信息安全管理章程与规定，全面提高信息安全管理水平。第八条全过程原则：信息安全是一个系统工程，应将它落实在系统建设、

运行、维护、管理的全过程中，安全系统应遵循与信息系统同步规划、同步建设、同步运行的原则，在任何一个环节的疏忽都可能给信息系统带来危害。第九条风险管理和风险控制原则：应进行安全风险管理和风险控制，以可以接受的成本或最小成本，确认、控制、排除可能影响公司信息系统的安全风险，并将其带来的危害最小化。第十条分级保护原则：应根据信息资产的重要程度以及面临的风险大小等因素决定各类信息资产的安全保护级别。制订各类网络系统和信息资产的安全保护等级表，在表中明确资产类别，同时确定对何种资产应达到何种级别的安全。第十一条统一规划、分级管理实施原则：信息安全管理遵循统一规划、分级管理的原则。信息安全领导小组负责对公司各项信息安全管理工作进行统一规划，负责信息安全管理办法的制定和监督实施。各级部门在信息安全领导小组指导与监督下，负责具体实施。第十二条平衡原则：在公司信息安全管理过程中，应在安全性与投入成本、安全性和操作便利性之间找到最佳的平衡点。第十三条动态管理原则：在公司信息安全管理过程中，应遵循动态管理原则，要针对信息系统环境的变动情况及时调整管理办法。第三章安全组织和职责第十四条建立和健全信息安全组织，设立由高层领导组成的信息安全领导小组，对于信息安全方面的重大问题做出决策，协调信息安全相关各部门之间的关系，并支持和推动信息安全工作在整个信息系统围的实施。第十五条公司应设置相应的信息安全管理机构，负责信息系统的信息安全管理工作，配备专职安全管理员，由安全管理员具体执行本公司信息安全方面的相关工作。第十六条公司信息系统的安全管理机构职责如下： ?根据本规制定信息系统的信息安全管理制度、标准规和执行程序； ?监督和指导信息安全工作的贯彻和实施；

信息安全管理制度..

信息工作管理制度第一章总则第一条为了加强信息管理，规范信息安全操作行为，提高信息安全保障能力和水平，维护信息安全，促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等规定，以《环境信息网络管理维护规范》（环保部制定）等标准为基本管理操作准则，制订本管理制度。第二条本制度适用范围为信息与监控中心，其他单位可参照执行。第二章岗位管理第三条业务信息工作人员（包括监控与信息中心技术人员及机关业务系统管理人员）、机房运维人员（包括外包机构人员），应遵循《环境信息网络管理维护规范》等规定。第四条机房运维人员根据运维合同规定由机房管理部门对其实行管理。第五条信息工作人员岗位设置为系统管理员、业务管理员、网络管理员、安全管理员、安全审计员。人员岗位及职责（一）系统管理员系统管理员是从事服务器及存储设备运行管理的人

员，业务上应具备熟练掌握操作系统、熟练操作服务器和存储设备的能力。 1、负责指定的服务器、存储等设备的资料登记、软件保管及设备报修。 2、配合完成指定的业务软件运行环境的建立，正式运行后的服务器系统软硬件操作的监管，执行中心的备份策略。 3、在所负责的的服务器、存储设备发生硬件故障时,及时组织有关人员恢复系统的运行,针对系统事故找到系统事故原因。 4、负责指定的服务器操作系统的管理口令修改。 5、负责制定、执行服务器及存储设备故障应急预案。（二）业务管理员（业务联系人）业务管理员是部署在应用服务器上的操作系统及业务系统运行管理的人员，业务上应具备业务系统安装及基本调试操作的能力（业务软件厂家负责培训），业务系统及部署操作系统故障分析的能力，预防系统风险的能力。 1、负责维护业务系统的运行及业务系统的安装环境。 2、负责制定、执行业务系统及其数据的备份计划。 3、负责业务数据的数据备份及数据恢复。 4、负责制定执行本业务系统的故障应急预案。（三）网络管理员