信息系统
信息安全等级保护-管理部分
2015年12月14日
注:以下所提供的材料包括制度、文档和记录清单。
目 录
1
安全管理制度 ........................................................................................................................... 3 1.1 安全管理 ....................................................................................................................... 3 1.2 制定和发布 ................................................................................................................... 3 1.3 评审和修订 ................................................................................................................... 4 安全管理机构 ........................................................................................................................... 4 2.1 岗位职责文件 ............................................................................................................... 4 2.2 人员配备 ....................................................................................................................... 4 2.3 授权和审批 ................................................................................................................... 5 2.4 沟通和合作 ................................................................................................................... 6 2.5 安全检查 ....................................................................................................................... 6 人员安全管理 ........................................................................................................................... 7 3.1 人员录用 ....................................................................................................................... 7 3.2 人员离岗 ....................................................................................................................... 8 3.3 人员考核 ....................................................................................................................... 8 3.4 安全意识教育和培训 ................................................................................................... 9 3.5 外部人员访问管理 ....................................................................................................... 9 系统建设管理 ......................................................................................................................... 10 4.1 系统定级 ..................................................................................................................... 10 4.2 安全方案设计 ............................................................................................................. 10 4.3 产品采购和使用 ......................................................................................................... 11 4.4 自行软件开发 ............................................................................................................. 11 4.5 外包软件开发 ............................................................................................................. 12 4.6 工程实施 ..................................................................................................................... 12 4.7 测试验收 ..................................................................................................................... 13 4.8 系统交付 ..................................................................................................................... 13 4.9 安全服务商选择 ......................................................................................................... 14 系统运维管理 ......................................................................................................................... 15 5.1 环境管理 ..................................................................................................................... 15 5.2 资产管理 ..................................................................................................................... 15 5.3 介质管理 ..................................................................................................................... 16 5.4 设备管理 ..................................................................................................................... 16 5.5 网络安全管理 ............................................................................. 错误!未定义书签。 5.6 系统安全管理 ............................................................................................................. 18 5.7 恶意代码防范管理 ..................................................................................................... 19 5.8 变更管理 ..................................................................................... 错误!未定义书签。 5.9 备份与恢复管理 ......................................................................................................... 20 5.10 安全事件处置 ......................................................................................................... 21 5.11 应急预案管理 ......................................................................................................... 21
2
3
4
5
第2页共22页
1 安全管理制度
1.1 安全管理
一、 制度
1) 《安全工作的总体方针、政策性文件和安全策略文件》
? 内容包括机构安全工作的总体目标、范围、方针、原则和安全框架
等。
2) 《安全管理制度》
? 内容包括物理、网络、主机系统、数据、应用、建设和管理等层面
各类管理内容。
3) 制度体系
? 包括由总体方针、安全策略、管理制度、操作规程等构成。 二、 文档
1) 《日常管理操作的操作规程》
? 内容包括如系统维护手册和用户操作规程等
1.2 制定和发布
一、 制度
1) 《制度制定和发布要求管理文档》
? 内容包括安全管理制度的制定和发布程序、格式要求及版本编号等 2) 《安全管理制度文档》
? 内容包括文档的正式发布时间,适用和发布范围,版本标识,管理
层的签字或单位盖章;各项制度的文档格式等等;
二、 记录
1) 《管理制度评审记录》
? 内容包括相关人员的评审意见。 2) 安全管理制度的收发登记记录
? 内容包括收发通过正式、有效的方式(如正式发文、领导签署和单
第3页共22页
位盖章等),发布范围要求。
1.3 评审和修订
一、 制度
1) 修订过的安全管理制度 二、 记录
1) 《安全管理制度评审记录(修订时)》
? 内容包括相关人员的评审意见,评审周期。 2) 《安全管理制度的检查/评审记录》
? 安全管理制度的修订版本 3) 全管理制度体系的评审记录
? 内容包括相关人员的评审意见,评审周期
2 安全管理机构
2.1 岗位职责文件
一、 制度
1) 《部门、岗位职责文件》
? 内容包括安全管理机构的职责,机构内各部门的职责和分工,部门
职责涵盖物理、网络和系统安全等各个方面;
? 安全主管、安全管理各个方面的负责人、机房管理员、系统管理员、
网络管理员、安全管理员等各个岗位 ? 各个岗位的职责范围清晰、明确; ? 各个岗位人员应具有的技能要求; 2) 《信息安全管理委员会职责文件》
? 内容包括委员会职责和其最高领导岗位的职责; 二、 记录
1) 《安全管理委员会或领导小组最高领导委任授权书》
第4页共22页
? 内容包括本单位主管领导的授权签字 2) 《日常管理工作执行情况的工作记录》
? 内容包括安全管理各部门和信息安全管理委员会或领导小组日常工
作的执行情况的记录
2.2 人员配备
一、 制度
1) 《人员配备要求管理文档》
? 内容包括应配备的一些安全管理人员,包括机房管理员、系统管理
员、数据库管理员、网络管理员、安全管理员等重要岗位 ? 配备专职的安全管理员;
? 对一些关键事务的管理人员应配备2人或2人以上共同管理,配备
人员的具体要求;
二、 记录
1) 《安全管理各岗位人员信息表》
? 内容包括机房管理员、系统管理员、数据库管理员、网络管理员、
安全管理员等重要岗位人员的信息;
? 安全员要专职的(不能网络管理员、系统管理员、数据库管理员等
岗位);
? 数据库管理员和系统管理员要由不同人担任。
2.3 授权和审批
一、 制度
1) 《审批管理制度文档》
? 内容包括审批事项、需逐级审批的事项、审批部门、批准人及审批
程序等,
? 系统变更、重要操作、物理访问和系统接入等事项的审批流程; ? 定期审查、更新审批的项目、审批部门、批准人和审查周期等; 二、 文档
第5页共22页