安全管理体系建设方案

安全管理体系建设方案安全管理体系建设方案 沈阳赛宝科技服务有限公沈阳赛宝科技服务有限公 2 20 01 18 8 年年 7 7 月月 1 19 9 日日 目目 录录 1 1概述概述 .1 1 1.1简介.1 1.2目标.1 2 2安全管理体系框架图安全管理体系框架图 .2 2 3 3安全管理制度体系安全管理制度体系 .2 2 3.1安全方针政策.2 3.2安全管理制度.2 3.3技术标准、规范.3 3.4流程、表单及记录.4 1 1概述概述 1.11.1简介简介 安全管理体系建设包含：安全管理制度、安全管理机构、人员安全管理、 系统建设安全管理和系统运维安全管理等各个方面，依据相关的安全准则，结 合企业自身及网络系统的构成特点，确定具体的各方面的制度。 1.21.2目标目标 安全管理机构安全管理机构：包括职能部门岗位设置；系统管理员、网络管理员、安全 管理员的人员配备；授权和审批；管理人员、内部机构和职能部门间的沟通和 合作；定期的安全审核和安全检查。 安全管理制度安全管理制度：包括安全策略、安全制度、操作规程等的管理制度；管理 制度的制定和发布；管理制度的评审和修订。 人员安全管理人员安全管理：包括人员录用；人员离岗；人员考核；安全意识教育和培 训；外部人员访问管理。 系统建设管理系统建设管理：包括系统定级；安全方案设计；产品采购和使用；自行软 件开发；外包软件开发；工程实施；测试验收；系统交付；系统备案；等级测 评；安全服务商选择。 系统运维管理系统运维管理：包括机房环境管理；信息资产管理；介质管理；设备管理； 监控管理和安全管理中心；网络安全管理；系统安全管理；恶意代码防范管理； 密码管理；变更管理；备份与恢复管理；安全事件处置；应急预案管理。 2 2安全管理体系框架图安全管理体系框架图 安全管理制度体系层次图： 3 3安全管理制度体系安全管理制度体系 3.13.1安全方针政策安全方针政策 最高方针，纲领性的安全策略主文档，陈述本策略的目的、适用范围、信 息安全的管理意图、支持目标以及指导原则，信息安全各个方面所应遵守的原 则方法和指导性策略。 3.23.2安全管理制度安全管理制度 各类管理规定、管理办法和暂行规定。从安全策略主文档中规定的安全各 个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实 施办法，是必须具有可操作性，而且必须得到有效推行和实施的。 安全管理制度要求见下图，在建立制度的时候可以参考： 3.33.3技术标准、规范技术标准、规范 技术标准和规范是针对具体管理行为进行规范化操作流程的规定，包括各 个安全等级区域网络设备、主机操作系统和主要应用程序的应遵守的安全配置 和管理的技术标准和规范。技术标准和规范将作为各个网络设备、主机操作系 统和应用程序的安装、配置、采购、项目评审、日常安全管理和维护时必须遵 照的标准，不允许发生违背和冲突。 例如制度及规范类文档如下： 表 1 管理制度及规范文档 序号管理制度及规范文档 1机构总体安全方针和政策方面的管理制度 2安全管理活动中的各类管理内容的相关管理制度 3部门设置、岗位设置及工作职责定义方面的管理制度 4授权审批、审批流程等方面的管理制度 5与外联单位、供应商等合作相关管理制度 6安全审核和安全检查方面的管理制度 7管理制度、操作规程修订、维护方面的管理制度 8人员录用、离岗、考核等方面的管理制度 9人员安全教育和培训方面的管理制度 10人员签署保密协议相关管理制度 11第三方人员访问控制方面的管理制度 12工程实施过程方面的管理制度 13安全方案设计相关管理制度 14产品选型、采购方面的管理制度 15软件外包开发或自我开发方面的管理制度 16测试、验收方面的管理制度 17系统交付相关管理制度 18机房安全管理方面的管理制度 19办公环境安全管理方面的管理制度 20资产、设备、介质安全管理方面的管理制度 21信息分类、标识、发布、使用方面的管理制度 22配套设施、软硬件维护方面的管理制度 23网络安全管理（网络配置、账号管理等）方面的管理制度 24系统安全管理（系统配置、账号管理）方面的管理制度 25系统监控、风险评估、漏洞扫描方面的管理制度 26病毒防范方面的管理制度 27系统变更控制方面的管理制度 28密码管理方面的管理制度 29备份和恢复方面的管理制度 30安全事件报告和处置方面的管理制度 31应急响应方法、应急响应计划等方面的文件 32其他文档 3.43.4流程、表单及记录流程、表单及记录 安全流程和操作规程，详细规定主要业务应用和事件处理的流程、步骤和 相关注意事项。作为具体工作时的具体依照，此部分必须具有可操作性，而且 必须得到有效推行和实施的。 安全表单及记录，落实安全流程和操作规程的具体表现，根据不同信息系 统的要求可以通过不同方式的表单及记录落实，并在日常工作中具体执行。主 要包括日常操作的记录、工作记录、流转记录以及审批记录等。可分为记录类 文档和证据类文档如下表： 表 2 记录类文档 序号记录类文档 1机房出入登记记录（包括第三方人员） 2机房基础设施维护记录 3各类会议纪要或记录（部门内、部门间协调会、领导小组） 4各类评审和修订记录（安全管理制度评审和修订记录、体系评审记录等） 5人员考核、审查、培训记录（人员录用、人员定期考核） 、离岗手续 6人员安全教育相关记录 7各项审批和批准执行记录（来访人员进入机房审批、介质/设备外带审批、系 统外联审批等） 8安全管理制度收发登记记录 9产品的选型测试结果记录 10系统验收测试记录、报告 11介质归档、查询等的登记记录 12主机系统、网络、安全设备等的操作日志和维护记录 13机房日常巡检记录 14对主机、网络设备和应用软件等的监控记录和分析报告 15恶意代码检测、升级记录和分析报告 16备份过程记录 17变更方案评审记录和变更过程记录 18安全事件处理过程记录 19应急预案培训、演练、审查记录 20其他记录文档 21机房防雷检测报告 22设备外出维修记录 23外来人员审批记录 24其他文档 表 3 证据类文档 序号证据类文档 1资产清单 2机构安全管理人员岗位名单 3外联单位联系列表 4人员保密协议 5关键岗位安全协议 6候选产品名单 7信息系统定级报告或定级建议书 8系统备案材料 9近期和远期安全建设工作计划、总体建设规划书 表 3 证据类文档（续） 序号证据类文档 1详细设计方案 2工程实施方案 3系统验收测试方案 4系统测试、验收报告 5 系统建 设项目 系统交付清单 6变更方案 7变更申请书 8信息系统定期安全检测的检查表和安全检查报告 9主要设备漏洞扫描报告 10系统异常行为审