本文详细解析了等保2.0中关于安全管理人员的管理要求,涵盖人员录用、离岗、安全意识教育和培训以及外部人员访问管理。强调了在人员录用时的职责分配,人员离岗时的权限回收,安全培训的内容和周期,以及对外部人员访问的管理规定。这些管理层面的整改对于等保合规至关重要,且实施成本相对较低。
本次从头梳理一下等保2.0涉及到的主要步骤:
等保概述、定级备案、差距评估、规划设计、安全整改以及测评验收等。
定级备案后就开始正式测评工作,我们忽略掉签合同、开项目启动会等非技术性环节,本节开始就要按等保测评的安全通用要求十个方面逐个按测评指导书结合等保要求来进行详细的分析。
从本节开始直接将安全通用要求的后面五个跟规章制度相关的内容进行讲解。相对而言管理层面的整改相对技术层面的整改要简单,主要涉及各种规章制度,记录表等,整改成本也较低,因此对管理层面的差距评估及整改是等保中的拿分项。
安全管理人员
安全通用要求的安全管理人员部分针对整个人员管理模式提出安全控制要求,涉及的安全控制点包括人员录用、人员离岗、安全意识教育和培训、外部人员访问管理四个方面,各等级控制点分布如下图所示。
8.1.8.1 人员录用
说明:a)事业单位、机关单位人员录用工作通常是市人事局负责;企业由人事部、办公室等部门负责人员录用工作。
c)协议如果没有可以补。
8.1.8.2 人员离岗
说明:a)记录需包含权限内容,回收时间,离岗人员签名,负责人签名。
8.1.8.3 安全意识教育和培训
说明:a)检查信息安全人员是否定期参加下列信息安全知识和技能的培训(不限于):
a.政治思想教育
b.职业道德教育和安全保密教育
c.信息安全法律法规及行业规章制废的培训
d.信息安全基本知识的培训
e.信息安全专业技能的培训
b)1、应有信息安全教育及技能培训和考核管理文档,应明确培训周期(至少每年一次)、培训方式、培训内容和考核方式等相关内容。
2、应有安全教育和培训计划文档,不同岗位的培训计划。计划应明确培训方式、培训对象、培训内容、培训时间和地点等。培训内容应包含信息安全基础知识、岗位操作规程等。
3、应有安全管理员、系统管理员、网络管理员和数据库管理员对其工作相关的信息安全基础知识的理解程度记录,如“培训总结”,“规章制度观后感”等。
8.1.8.4 外部人员访问管理
扫一扫
1163
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
