管理制度体系建设
作者:互联网
一般情况下,一套全面的安全管理制度体系最常见的为四层架构,即由网络安全工作的总体方针策略、各种安全管操作规程和安全配置规范、各类记录表单构成。
一级文件: 安全策略:阐明使命和意愿,明确安全总体目标,范围、原则和安全框架等,建立工作运行模式等。
二级文件: 管理制度:对信息系统的建设、开发、运维升级和改造各个阶段和环节应遵循的行为加以规范。
三级文件: 操作规范:对各项的具体操作步骤和方法,可以是一个手册、一个流程图、或者是一个实施方法。
四级文件: 记录表单:日常运维记录、审批记录、会议纪要等文档。
以等保三级为例,通常情况下所需的制度、文档清单如下:
文件级别 |
分类 |
文件内容 |
一级文件 |
安全策略 |
安全策略总纲 |
二级文件 |
管理制度 |
管理制度制定、发布、维护方面的管理制度 |
安全管理机构 |
安全组织及岗位职责管理制度 |
|
授权审批类制度 |
||
安全审核和检查制度 |
||
.... |
||
安全管理人员 |
人员录用、离岗、考核等方面的管理制度 |
|
人员安全教育和培训方面的管理制度 |
||
外部人员管理制度 |
||
.... |
||
安全建设管理 |
工程实施过程管理方面的管理制度 |
|
产品选型、采购方面的管理制度 |
||
测试、验收、交付方面的管理制度 |
||
软件开发管理制度 |
||
代码编写安全规范 |
||
外包软件开发管理制度 |
||
...... |
||
安全运维管理 |
办公环境管理制度 |
|
机房安全管理制度 |
||
资产安全管理制度 |
||
介质安全管理制度 |
||
设备安全管理制度 |
||
网络系统安全管理制度 |
||
恶意代码防范管理制度 |
||
密码管理制度 |
||
配置管理制度 |
||
变更管理制度 |
||
备份与恢复管理制度 |
||
安全事件管理制度 |
||
应急预案管理制度(包括各类专项应急预案) |
||
...... |
||
三级文件 |
配置规范 |
网络/安全设备、操作系统、数据库等的配置基线 |
操作手册 |
应用软件设计程序文件 |
|
软件使用指南 |
||
源代码说明文档 |
||
操作运维手册(流程表单/图、实施方法) |
||
...... |
||
四级文件 |
记录、表单类 |
制度制定、修改记录 |
各类审批记录 |
||
培训记录 |
||
会议记录 |
||
安全检查表、安全检查报告等 |
||
安全管理岗位人员信息表 |
||
网络安全外联单位沟通合作联系表 |
||
保密协议 |
||
关键岗位安全协议 |
||
人员录用、离职记录 |
||
程序资源库的修改、更新、发布进行授权审批记录 |
||
工程实施方案 |
||
测试验收方案、记录等 |
||
安全测试报告 |
||
交付清单 |
||
服务供应商合同、协议等 |
||
对服务供应商的安全考核记录 |
||
外部人员访问登记登记审批表 |
||
外部人员访问登记记录表 |
||
外部人员保密协议 |
||
采购申请审批单 |
||
资产清单 |
||
等级保护对象资产报废申请表 |
||
设备出门条 |
||
设备维护记录表 |
||
网络安全事件报告表 |
||
系统异常事件处理记录 |
||
应急处置审批表 |
||
漏洞扫描、风险评估报告 |
||
恶意代码检查记录、病毒处置记录 |
||
数据备份、恢复测试等记录 |
||
日常运维表单、记录 |
||
系统变更方案、审批记录 |
||
应急演练、培训记录 |
||
...... |
企业可以根据自身情况进行选择调整,比如:没有自己的开发团队,那么软件开发管理制度、代码编写安全规范,就可以没有;软件定制开发交由外包团队开发实现,则需要外包开发管理制度。
标签:体系,文件,运维,记录,管理制度,表单,安全,建设 来源: https://www.cnblogs.com/quqibinggan/p/15607087.html