一般情况下,一套全面的安全管理制度体系最常见的为四层架构,即由网络安全工作的总体方针策略、各种安全管操作规程和安全配置规范、各类记录表单构成。
一级文件: 安全策略:阐明使命和意愿,明确安全总体目标,范围、原则和安全框架等,建立工作运行模式等。
二级文件: 管理制度:对信息系统的建设、开发、运维升级和改造各个阶段和环节应遵循的行为加以规范。
三级文件: 操作规范:对各项的具体操作步骤和方法,可以是一个手册、一个流程图、或者是一个实施方法。
四级文件: 记录表单:日常运维记录、审批记录、会议纪要等文档。
以等保三级为例,通常情况下所需的制度、文档清单如下:
| 文件级别 | 分类 | 文件内容 |
| 一级文件 | 安全策略 | 安全策略总纲 |
| 二级文件 | 管理制度 | 管理制度制定、发布、维护方面的管理制度 |
| 安全管理机构 | 安全组织及岗位职责管理制度 | |
| 授权审批类制度 | ||
| 安全审核和检查制度 | ||
| .... | ||
| 安全管理人员 | 人员录用、离岗、考核等方面的管理制度 | |
| 人员安全教育和培训方面的管理制度 | ||
| 外部人员管理制度 | ||
| .... | ||
| 安全建设管理 | 工程实施过程管理方面的管理制度 | |
| 产品选型、采购方面的管理制度 | ||
| 测试、验收、交付方面的管理制度 | ||
| 软件开发管理制度 | ||
| 代码编写安全规范 | ||
| 外包软件开发管理制度 | ||
| ...... | ||
| 安全运维管理 | 办公环境管理制度 | |
| 机房安全管理制度 | ||
| 资产安全管理制度 | ||
| 介质安全管理制度 | ||
| 设备安全管理制度 | ||
| 网络系统安全管理制度 | ||
| 恶意代码防范管理制度 | ||
| 密码管理制度 | ||
| 配置管理制度 | ||
| 变更管理制度 | ||
| 备份与恢复管理制度 | ||
| 安全事件管理制度 | ||
| 应急预案管理制度(包括各类专项应急预案) | ||
| ...... | ||
| 三级文件 | 配置规范 | 网络/安全设备、操作系统、数据库等的配置基线 |
| 操作手册 | 应用软件设计程序文件 | |
| 软件使用指南 | ||
| 源代码说明文档 | ||
| 操作运维手册(流程表单/图、实施方法) | ||
| ...... | ||
| 四级文件 | 记录、表单类 | 制度制定、修改记录 |
| 各类审批记录 | ||
| 培训记录 | ||
| 会议记录 | ||
| 安全检查表、安全检查报告等 | ||
| 安全管理岗位人员信息表 | ||
| 网络安全外联单位沟通合作联系表 | ||
| 保密协议 | ||
| 关键岗位安全协议 | ||
| 人员录用、离职记录 | ||
| 程序资源库的修改、更新、发布进行授权审批记录 | ||
| 工程实施方案 | ||
| 测试验收方案、记录等 | ||
| 安全测试报告 | ||
| 交付清单 | ||
| 服务供应商合同、协议等 | ||
| 对服务供应商的安全考核记录 | ||
| 外部人员访问登记登记审批表 | ||
| 外部人员访问登记记录表 | ||
| 外部人员保密协议 | ||
| 采购申请审批单 | ||
| 资产清单 | ||
| 等级保护对象资产报废申请表 | ||
| 设备出门条 | ||
| 设备维护记录表 | ||
| 网络安全事件报告表 | ||
| 系统异常事件处理记录 | ||
| 应急处置审批表 | ||
| 漏洞扫描、风险评估报告 | ||
| 恶意代码检查记录、病毒处置记录 | ||
| 数据备份、恢复测试等记录 | ||
| 日常运维表单、记录 | ||
| 系统变更方案、审批记录 | ||
| 应急演练、培训记录 | ||
| ...... |
企业可以根据自身情况进行选择调整,比如:没有自己的开发团队,那么软件开发管理制度、代码编写安全规范,就可以没有;软件定制开发交由外包团队开发实现,则需要外包开发管理制度。
4108
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
