安全管理制度

指标总览

指标详情

安全策略

指标内容如图：

指标理解：

        制定网络安全方针及安全策略相关制度文件，高层级的、总体性的描述网络安全工作的目标、范围、原则及框架等信息，内容上通常不需要很复杂。

管理制度

指标内容如图：

指标理解：

        在测评工程中会基于制度、机构、人员、建设、运维等维度判断管理制度制定是否完整。安全策略、管理制度、操作规程、记录表单是有递进关系的四级文档机构，和ISO 27001相似可以复用的。安全策略指导安全方向，管理制度明确安全流程，操作规程是流程中人员具体操作规范及要求，记录表单记录过程中关键信息。

制定和发布

指标内容如图：

指标理解：

        以上的安全策略及管理制定企业内应有专门的部门或人员复制制定，如IT部门或安全部门。

        安全管理制度需要通过正式、有效的方式在公司内发布，要确保能够通知到每一位员工，如企业正式邮件。对制定文件的格式及版本要有控制措施。

评审和修订

指标内容如图：

指标理解：

        要求安全策略及管理制度需要贴合企业实际情况，能够落地实施。定期对合理性、适用性开展评审，不断修订改进。简单来讲，以往的模板性的制度文件将不再可行，要考虑落地；企业业务和企业架构可能随着市场需要再变化，相关的安全策略和制度也需要随着更新。