一般情况下,一套全面的安全管理制度体系最常见的为四层架构,即由网络安全工作的总体方针策略、各种安全管操作规程和安全配置规范、各类记录表单构成。
一级文件: 安全策略:阐明使命和意愿,明确安全总体目标,范围、原则和安全框架等,建立工作运行模式等。
二级文件: 管理制度:对信息系统的建设、开发、运维升级和改造各个阶段和环节应遵循的行为加以规范。
三级文件: 操作规范:对各项的具体操作步骤和方法,可以是一个手册、一个流程图、或者是一个实施方法。
四级文件: 记录表单:日常运维记录、审批记录、会议纪要等文档。
以等保三级为例,通常情况下所需的制度、文档清单如下:
文件级别 | 分类 | 文件内容 |
一级文件 | 安全策略 | 安全策略总纲 |
二级文件 | 管理制度 | 管理制度制定、发布、维护方面的管理制度 |
安全管理机构 | 安全组织及岗位职责管理制度 | |
授权审批类制度 | ||
安全审核和检查制度 | ||
.... | ||
安全管理人员 | 人员录用、离岗、考核等方面的管理制度 | |
人员安全教育和培训方面的管理制度 | ||
外部人员管理制度 | ||
.... | ||
安全建设管理 | 工程实施过程管理方面的管理制度 | |
产品选型、采购方面的管理制度 | ||
测试、验收、交付方面的管理制度 | ||
软件开发管理制度 | ||
代码编写安全规范 | ||
外包软件开发管理制度 | ||
...... | ||
安全运维管理 | 办公环境管理制度 | |
机房安全管理制度 | ||
资产安全管理制度 | ||
介质安全管理制度 | ||
设备安全管理制度 | ||
网络系统安全管理制度 | ||
恶意代码防范管理制度 | ||
密码管理制度 | ||
配置管理制度 | ||
变更管理制度 | ||
备份与恢复管理制度 | ||
安全事件管理制度 | ||
应急预案管理制度(包括各类专项应急预案) | ||
...... | ||
三级文件 | 配置规范 | 网络/安全设备、操作系统、数据库等的配置基线 |
操作手册 | 应用软件设计程序文件 | |
软件使用指南 | ||
源代码说明文档 | ||
操作运维手册(流程表单/图、实施方法) | ||
...... | ||
四级文件 | 记录、表单类 | 制度制定、修改记录 |
各类审批记录 | ||
培训记录 | ||
会议记录 | ||
安全检查表、安全检查报告等 | ||
安全管理岗位人员信息表 | ||
网络安全外联单位沟通合作联系表 | ||
保密协议 | ||
关键岗位安全协议 | ||
人员录用、离职记录 | ||
程序资源库的修改、更新、发布进行授权审批记录 | ||
工程实施方案 | ||
测试验收方案、记录等 | ||
安全测试报告 | ||
交付清单 | ||
服务供应商合同、协议等 | ||
对服务供应商的安全考核记录 | ||
外部人员访问登记登记审批表 | ||
外部人员访问登记记录表 | ||
外部人员保密协议 | ||
采购申请审批单 | ||
资产清单 | ||
等级保护对象资产报废申请表 | ||
设备出门条 | ||
设备维护记录表 | ||
网络安全事件报告表 | ||
系统异常事件处理记录 | ||
应急处置审批表 | ||
漏洞扫描、风险评估报告 | ||
恶意代码检查记录、病毒处置记录 | ||
数据备份、恢复测试等记录 | ||
日常运维表单、记录 | ||
系统变更方案、审批记录 | ||
应急演练、培训记录 | ||
...... |
企业可以根据自身情况进行选择调整,比如:没有自己的开发团队,那么软件开发管理制度、代码编写安全规范,就可以没有;软件定制开发交由外包团队开发实现,则需要外包开发管理制度。