等级保护三级信息系统制度清单(2)

1) 《逐级审批的文档》

? 系统变更、重要操作、物理访问和系统接入等关键活动的审批记录

需要有批准人的签字和审批部门的盖章。

2) 关键活动的审批过程记录

2.4 沟通和合作

一、 记录

1) 《外联单位联系列表》

? 内容包括包含公安机关、电信公司、兄弟公司、供应商，业界专家、

专业的安全公司和安全组织等外联单位；

? 说明外联单位的名称、联系人、合作内容和联系方式等内容。 2) 《组织机构内部人员联系表》

3) 《组织内部机构间/信息安全职能部门内部的安全工作会议文件/记录》

? 内容包括会议内容、会议时间、参加人员和会议结果等 4) 《信息安全领导小组/安全管理委员会定期例会会议文件/记录》

? 内容包括会议内容、会议时间、参加人员、会议结果等 5) 《安全顾问名单及安全顾问的证明文件》

? 内容包括安全顾问指导信息安全建设、参与安全规划和安全评审等

记录

2.5 安全检查

一、 制度

1) 《安全检查管理制度文档》

? 内容包括定期进行全面安全检查，检查内容、检查程序和检查周期

等

? 检查内容包括现有安全技术措施的有效性、安全配置与安全策略的

一致性、安全管理制度的执行情况等；

二、 记录

1) 《安全管理员定期实施安全检查的文档或记录》

第6页共22页

? 内容包括包括系统日常运行、系统漏洞和数据备份等情况的检查记

录；

? 系统日常运行、系统漏洞和数据备份等情况检查周期。 2) 《全面安全检查报告》

? 内容包括报告日期间隔，检查周期，检查内容、检查人员、检查数

据汇总表、检查结果等的描述

? 检查内容包括现有安全技术措施的有效性、安全配置与安全策略的

一致性、安全管理制度的执行情况等；

3) 《安全检查时的安全检查表》

? 内容包括安全检查记录和结果通告记录，查看安全检查记录中记录

的检查程序

3 人员安全管理

3.1 人员录用

一、 制度

1) 《人员录用要求管理文档》

? 内容包括录用人员应具备的条件，如学历、学位要求，技术人员应

具备的专业技术水平，管理人员应具备的安全管理知识等。

二、 记录

1) 《有人员录用时对录用人身份、背景和专业资格和资质等进行审查的相

关文档或记录》

? 文档或记录中有审查内容和审查结果。 2) 《人员录用时的技能考核文档或记录》

? 内容包括笔试和面试的记录； ? 记录考核内容和考核结果等。 3) 《保密协议》

? 内容包括与技术人员签署保密协议；

? 协议具有保密范围、保密责任、违约责任、协议的有效期限和责任

第7页共22页

人的签字等内容。

4) 《岗位安全协议》

? 内容包括岗位安全责任、违约责任、协议的有效期限和责任人签字

等。

3.2 人员离岗

一、 制度

1) 《人员离岗的管理文档》

? 内容包括人员调离手续和离岗要求等 二、 记录

1) 《对离岗人员的安全处理记录》

? 离岗人员交还身份证件、设备等的登记记录；

? 交还内容包括各种身份证件、钥匙、徽章等以及机构提供的软硬件

设备等。

2) 《按照离职程序办理调离手续的记录》

? 内容包括调离手续、调离流程； ? 按照离职程序办理调离手续的记录。 3) 《保密承诺文档》

? 内容包括保密的内容，期限，调离人员的签字等。

3.3 人员考核

一、 文档 1) 《考核文档》

? 内容包括考核的对象、考核的周期； ? 考核内容要求包含安全知识、安全技能等。 ? 关键岗位人员特殊的考核内容 二、 记录

1) 《人员安全审查记录》

? 内容包括审查人员包括各个岗位的人员，对关键岗位人员特殊的安

第8页共22页

全审查内容

3.4 安全意识教育和培训

一、 文档

1) 《安全教育和培训计划文档》

? 不同岗位的培训计划

? 内容包括培训方式、培训对象、培训内容、培训时间和地点等； ? 培训内容是否包含信息安全基础知识、岗位操作规程等。 2) 安全责任和惩戒措施管理文档

? 文档包含具体的安全责任和惩戒措施。 4) 信息安全教育及技能培训和考核管理文档

? 包括培训周期、培训方式、培训内容和考核方式等相关内容 二、 记录

1) 《具有安全教育和培训记录》

? 内容包括培训人员、培训内容、培训结果等的描述。

3.5 外部人员访问管理

一、 制度

1) 《外部人员访问管理文档》

? 内容包括允许外部人员访问的范围（区域、系统、设备、信息等内

容）

3.6 外部人员进入的条件（对哪些重要区域的访问须提出书面申请批准后方可

进入）

? 外部人员进入的访问控制措施（由专人全程陪同或监督等）和外部

人员离开的条件等；

二、 记录

1) 《外部人员访问重要区域的登记记录》

第9页共22页

? 记录了外部人员访问重要区域的进入时间、离开时间、访问区域、

访问设备或信息及陪同人等信息。

2) 《外部人员访问重要区域的批准文档》

? 内容包括外部人员访问重要区域的书面申请，批准人允许访问的批

准签字等；

4 系统建设管理

4.1 系统定级

一、 文档

1) 《系统定级文档》

? 信息系统的定级报告、备案表；

? 包括明确信息系统的边界和信息系统的安全保护等级，确定为某个

安全等级的方法和理由； ? 有相关部门的批准盖章。 2) 《专家论证文档》

? 专家对定级结果的论证意见。

4.2 安全方案设计

一、 文档

1) 《系统的安全建设工作计划》

? 包括系统的近期安全建设计划和远期安全建设计划。

2) 《系统总体安全策略、安全技术框架、安全管理策略、总体建设规划、

详细设计方案》等配套文件 ? 内容包括主管领导批准。 3) 《系统的详细设计方案》

? 根据安全方案细化形成的方案：如指导安全系统建设、安全产品采

购和使用的详细设计方案。

第10页共22页