安全管理制度
管理 制 度
应建立日常管理活动中常用的安全管理制度
安全管理机构
岗位设置
应设立系统管理员等岗位,并定义各个工作岗位的职责
人员配备
应配备一定数量的系统管理员
授权和审批
应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等
安全管理人员
人员录用
应指定或授权专门的部门或人员负责人员录用
人员离岗
应及时终止离岗人员的所有访问权限,取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备。
安全意识教育和培训
应对各类人员进行安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒措施
外部人员访问管理
应保证在外部人员访问受控区域前得到授权或审批
安全建设管理
定级和备案
应以书面的形式说明保护对象的安全保护等级及确定等级的方法和理由
安全方案设计
应根据安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施
产品采购和使用
应确保网络安全产品采购和使用符合国家的有关规定
工程实施
应指定或授权专门的部门或人员负责工程实施过程的管理
测试验收
应进行安全性测试验收
系统交付
本项要求包括:
应制定交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点
应对负责运行维护的技术人员进行相应的技能培训。
服务供应商选择
本项要求包括:
应确保服务供应商的选择符合国家的有关规定;
应与选定的服务供应商签订与安全相关的协议,明确约定相关责任
安全运维管理
环境管理
本项要求包括
应指定专门的部门或人员负责机房安全,对机房出人进行管理,定期对机房供配电、空调、温湿度控制、消防等设施进行维护管理:
应对机房的安全管理做出规定,包括物理访问、物品进出和环境安全等方面。
介质管理
应将介质存放在安全的环境中,对各类介质进行控制和保护,实行存储环境专人管理,并根据存档介质的目录清单定期盘点
设备维护管理
应对各种设备(包括备份和冗余设备)、线路等指定专门的部门或人员定期进行维护管理
漏洞和风险管理
应采取必要的措施识别安全漏洞和隐患,对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补
网络和系统安全管理
本项要求包括:
应划分不同的管理员角色进行网络和系统的运维管理,明确各个角色的责任和权限
应指定专门的部门或人员进行账户管理,对申请账户、建立账户、删除账户等进行控制
恶意代码防范管理
本项要求包括:
应提高所有用户的防恶意代码意识,对外来计算机或存储设备接入系统前进行恶意代码检查等;
应对恶意代码防范要求做出规定,包括防恶意代码软件的授权使用、恶意代码库升级、恶意代码的定期查杀等
备份与恢复管理
本项要求包括:
应识别需要定期备份的重要业务信息、系统数据及软件系统等
应规定备份信息的备份方式、备份频度、存储介质、保存期等。
安全事件处置
本项要求包括:
应及时向安全管理部门报告所发现的安全弱点和可疑事件;
应明确安全事件的报告和处置流程,规定安全事件的现场处理、事件报告和后期恢复的管理
职责。