等级保护制度建设
以等级保护差距分析结果为依据,依照安全保障体系设计所提及的建设内容,按照等级保护标准要求,制定等级保护管理体系框架,明确管理方针、策略,以及相应的规定、操作规程、业务流程和记录表单;测评机构从结合信息系统实际业务流程的原则出发,指导系统运维方按照等级保护对应等级的管理标准,编写管理制度文件,并进行反复沟通和修订,确保所制定的文件的适用性,且满足各系统相应保护等级的安全管理要求。
工作内容
制定和完善与信息系统的安全保护等级相适应的配套管理制度,制度相关内容如下:
(1)安全管理机构:加强和完善安全机构的建设,设立指导和管理信息安全工作的信息安全领导小组,设立安全主管、安全管理各个方面的负责人,明确定义各个工作岗位的职责。建立各种安全管理活动的审批程序,明确对内对外的沟通协作方式,建立对各项安全管理活动的监督审核机制。
(2)安全管理制度:在差距分析的基础上,建立信息安全工作总体方针、安全策略,以方针策略为依据建立配套的安全管理制度及流程规范,由专门的组织机构负责管理制度的制订、发布和贯彻落实。定期对制度进行评审和修订,确保管理制度的适用性。
(3)人员安全管理:主要涉及两方面,对内部人员的安全管理和对外部人员的安全管理。具体包括人员录用、人员离岗、人员考核、安全意识教育和培训和外部人员访问管理等方面。
(4)系统建设管理:为了建设符合安全等级保护要求的信息系统、系统建设管理主要关注的是信息系统生命周期中的前三个阶段(即设计、采购、实施)中各项安全管理活动,实现信息系统的安全管理贯穿系统的整个生命周期。系统建设管理分别从工程实施建设前、建设过程以及建设完毕交付等三方面考虑,具体包括系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评和安全服务商选择等方面。
(5)系统运维管理:系统运行涉及到很多管理方面,要保证系统始终处于相应安全保护等级的安全状态中。要监控系统发生的重大变化,以便修改对应的安全措施。系统运维管理主要包括环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等方面。
扫一扫
1280
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
