安全管理體系建設(shè)方案

安全管理體系建設(shè)方案沈陽賽寶科技服務(wù)有限公2０18年7月19日安全管理體系建設(shè)方案目錄TＯC\o"1-3"＼h\z＼uHYPERLINK\ｌ"_Toｃ５1９77２10０"1?概述?頁共7頁概述簡介安全管理體系建設(shè)包含:安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)安全管理和系統(tǒng)運維安全管理等各個方面,依據(jù)相關(guān)的安全準(zhǔn)則，結(jié)合企業(yè)自身及網(wǎng)絡(luò)系統(tǒng)的構(gòu)成特點，確定具體的各方面的制度。目標(biāo)安全管理機構(gòu):包括職能部門崗位設(shè)置;系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員的人員配備;授權(quán)和審批；管理人員、內(nèi)部機構(gòu)和職能部門間的溝通和合作;定期的安全審核和安全檢查。安全管理制度：包括安全策略、安全制度、操作規(guī)程等的管理制度;管理制度的制定和發(fā)布；管理制度的評審和修訂。人員安全管理：包括人員錄用;人員離崗；人員考核;安全意識教育和培訓(xùn)；外部人員訪問管理。系統(tǒng)建設(shè)管理：包括系統(tǒng)定級;安全方案設(shè)計;產(chǎn)品采購和使用;自行軟件開發(fā)；外包軟件開發(fā)；工程實施；測試驗收;系統(tǒng)交付；系統(tǒng)備案；等級測評;安全服務(wù)商選擇。系統(tǒng)運維管理:包括機房環(huán)境管理；信息資產(chǎn)管理;介質(zhì)管理;設(shè)備管理;監(jiān)控管理和安全管理中心；網(wǎng)絡(luò)安全管理；系統(tǒng)安全管理;惡意代碼防范管理;密碼管理;變更管理；備份與恢復(fù)管理;安全事件處置；應(yīng)急預(yù)案管理。?安全管理體系框架圖安全管理制度體系層次圖：安全管理制度體系安全方針政策最高方針,綱領(lǐng)性的安全策略主文檔,陳述本策略的目的、適用范圍、信息安全的管理意圖、支持目標(biāo)以及指導(dǎo)原則，信息安全各個方面所應(yīng)遵守的原則方法和指導(dǎo)性策略。安全管理制度各類管理規(guī)定、管理辦法和暫行規(guī)定。從安全策略主文檔中規(guī)定的安全各個方面所應(yīng)遵守的原則方法和指導(dǎo)性策略引出的具體管理規(guī)定、管理辦法和實施辦法，是必須具有可操作性，而且必須得到有效推行和實施的。安全管理制度要求見下圖,在建立制度的時候可以參考：技術(shù)標(biāo)準(zhǔn)、規(guī)范技術(shù)標(biāo)準(zhǔn)和規(guī)范是針對具體管理行為進行規(guī)范化操作流程的規(guī)定,包括各個安全等級區(qū)域網(wǎng)絡(luò)設(shè)備、主機操作系統(tǒng)和主要應(yīng)用程序的應(yīng)遵守的安全配置和管理的技術(shù)標(biāo)準(zhǔn)和規(guī)范。技術(shù)標(biāo)準(zhǔn)和規(guī)范將作為各個網(wǎng)絡(luò)設(shè)備、主機操作系統(tǒng)和應(yīng)用程序的安裝、配置、采購、項目評審、日常安全管理和維護時必須遵照的標(biāo)準(zhǔn)，不允許發(fā)生違背和沖突。例如制度及規(guī)范類文檔如下：表1管理制度及規(guī)范文檔序號管理制度及規(guī)范文檔機構(gòu)總體安全方針和政策方面的管理制度安全管理活動中的各類管理內(nèi)容的相關(guān)管理制度部門設(shè)置、崗位設(shè)置及工作職責(zé)定義方面的管理制度授權(quán)審批、審批流程等方面的管理制度與外聯(lián)單位、供應(yīng)商等合作相關(guān)管理制度安全審核和安全檢查方面的管理制度管理制度、操作規(guī)程修訂、維護方面的管理制度人員錄用、離崗、考核等方面的管理制度人員安全教育和培訓(xùn)方面的管理制度人員簽署保密協(xié)議相關(guān)管理制度第三方人員訪問控制方面的管理制度工程實施過程方面的管理制度安全方案設(shè)計相關(guān)管理制度產(chǎn)品選型、采購方面的管理制度軟件外包開發(fā)或自我開發(fā)方面的管理制度測試、驗收方面的管理制度系統(tǒng)交付相關(guān)管理制度機房安全管理方面的管理制度辦公環(huán)境安全管理方面的管理制度資產(chǎn)、設(shè)備、介質(zhì)安全管理方面的管理制度信息分類、標(biāo)識、發(fā)布、使用方面的管理制度配套設(shè)施、軟硬件維護方面的管理制度網(wǎng)絡(luò)安全管理(網(wǎng)絡(luò)配置、賬號管理等）方面的管理制度系統(tǒng)安全管理（系統(tǒng)配置、賬號管理）方面的管理制度系統(tǒng)監(jiān)控、風(fēng)險評估、漏洞掃描方面的管理制度病毒防范方面的管理制度系統(tǒng)變更控制方面的管理制度密碼管理方面的管理制度備份和恢復(fù)方面的管理制度安全事件報告和處置方面的管理制度應(yīng)急響應(yīng)方法、應(yīng)急響應(yīng)計劃等方面的文件其他文檔流程、表單及記錄安全流程和操作規(guī)程,詳細(xì)規(guī)定主要業(yè)務(wù)應(yīng)用和事件處理的流程、步驟和相關(guān)注意事項。作為具體工作時的具體依照,此部分必須具有可操作性,而且必須得到有效推行和實施的。安全表單及記錄,落實安全流程和操作規(guī)程的具體表現(xiàn)，根據(jù)不同信息系統(tǒng)的要求可以通過不同方式的表單及記錄落實，并在日常工作中具體執(zhí)行。主要包括日常操作的記錄、工作記錄、流轉(zhuǎn)記錄以及審批記錄等?？煞譃橛涗涱愇臋n和證據(jù)類文檔如下表:表2記錄類文檔序號記錄類文檔機房出入登記記錄(包括第三方人員）機房基礎(chǔ)設(shè)施維護記錄各類會議紀(jì)要或記錄(部門內(nèi)、部門間協(xié)調(diào)會、領(lǐng)導(dǎo)小組)各類評審和修訂記錄（安全管理制度評審和修訂記錄、體系評審記錄等)人員考核、審查、培訓(xùn)記錄(人員錄用、人員定期考核）、離崗手續(xù)人員安全教育相關(guān)記錄各項審批和批準(zhǔn)執(zhí)行記錄(來訪人員進入機房審批、介質(zhì)/設(shè)備外帶審批、系統(tǒng)外聯(lián)審批等）安全管理制度收發(fā)登記記錄產(chǎn)品的選型測試結(jié)果記錄系統(tǒng)驗收測試記錄、報告介質(zhì)歸檔、查詢等的登記記錄主機系統(tǒng)、網(wǎng)絡(luò)、安全設(shè)備等的操作日志和維護記錄機房日常巡檢記錄對主機、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件等的監(jiān)控記錄和分析報告惡意代碼檢測、升級記錄和分析報告?zhèn)浞葸^程記錄變更方案評審記錄和變更過程記錄安全事件處理過程記錄應(yīng)急預(yù)案培訓(xùn)、演練、審查記錄其他記錄文檔機房防雷檢測報告設(shè)備外出維修記錄外來人員審批記錄其他文檔表３證據(jù)類文檔序號證據(jù)類文檔資產(chǎn)清單機構(gòu)安全管理人員崗位名單外聯(lián)單位聯(lián)系列表人員保密協(xié)議關(guān)鍵崗位安全協(xié)議候選產(chǎn)品名單信息系統(tǒng)定級報告或定級建議書系統(tǒng)備案材料近期和遠(yuǎn)期安全建設(shè)工作計劃、總體建設(shè)規(guī)劃書表3證據(jù)類文檔(續(xù)）序號證據(jù)類文檔詳細(xì)設(shè)計方案系統(tǒng)建設(shè)項目工程實施方案系統(tǒng)驗收測試方案系統(tǒng)測試、驗收報告系統(tǒng)交付清單變更方案變更申請書信息系統(tǒng)定期安全檢測的檢查表和安全檢查報告主要設(shè)備漏洞掃描報告系統(tǒng)異常行為審