系统管理
应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计
应通过系统管理员对系统的资源和运行进行配置,控制和管理,包括用户身份,系统资源配置,系统加载和启动,系统运行的异常处理,数据和设备的备份和恢复等
审计管理
应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作,并对这些操作进行审计
应通过审计管理员对审计记录进行分析,并根据分析结果进行处理,包括安全审计策略对审计记录进行存储,管理和查询等
安全管理
应对安全管理员进行身份鉴别,只允许其通过特定的命令进行安全管理操作,并对这些操作进行审计
应通过安全管理员对系统中的安全策略进行配置,包括安全参数的设置,主体,客体进行统一安全标记,对主体进行授权,配置可信验证策略等
集中管控
应划分 出特定的管理区域,对分布在网络中的安全设备或安全组进行管控
应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理
应对网络链路,安全设备,网络设备和服务器等运行状况进行监测
应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律规则要求
应对安全策略,恶意代码,补丁升级等安全相关事项进行集中管理
应对网络中发生的各类安全事件进行识别,报警和分析
安全策略
应制定网络安全工作的总体方针和安全策略,阐明机构安全工作的总体目标,范围,原则和安全框架
管理制度
应对安全管理活动中的各类管理内容建立安全管理制度
应对管理人员或操作人员日常管理操作建立操作规程
应形成由安全策略,管理制度,操作规程,记录表单等构成的全面的安全管理制度体系
管理制度的制定和发布
应指定或授权专门的部门或人员负责安全管理制度的制度
安全管理制度应通过正式,有效的方式发布,并进行版本控制
评审和修订
应定期对安全管理制度的合理性和适用性进行论证和审定,对存在不足或需要改进的安全管理制度进行修订
安全管理机构
岗位设置
应成立指导和管理网络安全工作的委员会或领导小组,其最高领导由单位主管领导担任或授权
应设立网络安全管理工作的职能部门,设立安全主管,安全管理各个方面的负责人岗位,并定义各负责人的职责
应设立系统管理员,审计管理员和安全管理员等岗位,并定义部门及各个工作岗位 职责
人员配备
应配备一定数量的系统管理员,审计管理员和安全管理员等
应配备专职安全管理员,不可兼任
授权和审批
应根据各个部门和岗位的职责明确授权审批事项,审批部门和批准人等
应针对系统变更,重要操作,物理访问和系统接入等事项建立审批程序,按照审批程序执行审批过程,对重要活动建立逐级审批制度
应定期审查审批事项,及时更新需授权和审批的项目,审批部门和审批人等信息
沟通和合作
应加强各类管理人员,组织内部机构和网络安全管理部门之间的合作与沟通,定期召开协调会议,共同协作处理网络安全问题
应加强与网络安全全职部门,各类供应商,业界专家及安全组织的合作与沟通
应建立外联单位联系列表,包括外联单位名称,合作内容,联系人和联系方式等信息
审核和检查
应定期进行常规安全检查,检查内容包括系统日常运行,系统漏洞和数据备份等情况
应定期进行全面安全检查,检查内容包括现有安全技术措施的有效性,安全配置与安全策略的一致性,安全管理制度的执行情况等
应制定安全检查表格实施安全检查,汇报安全检查数据,形成安全检查报告,并对安全检查结果进行通报
安全管理人员
人员录用
应指定或授权专门的部门或人员负责人员录用
应对被录用人员的身份,安全背景,专业资格或资质进行审查,对其所有具有的技术 技能进行考核
应与被录用人员签署保密协议,与关键人员签署岗位责任协议
人员离岗
应及时终止离岗人员的所有访问权限,取回各种身份证件,钥匙,徽章等以及机构提供的软硬件设备
应办理严格的调离手续,并承诺调离后的保密义务后方可离开
安全意识教育和培训
应对各类人员进行安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒措施
应针对不同岗位制定不同的培训计划,对安全基础知识,岗位操作规程进行培训
应定期对不同岗位的人员进行技能考核
外部人员访问管理
应在外部人员物理访问受控区域前先提出书面申请,批准后由专人全程陪同,并登记备案
应在外部人员接入受控网络访问系统前先提出书面申请,批准后由专人开设账户,分配权限,并登记备案
外部人员离场后应及时清除其所有的 访问权限
获得系统访问授权的外部人员应签署保密协议,不得进行非授权操作,不得复制和泄露任何敏感信息
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
