信息安全管理制度框架-等保三級

信息安全管理制度框架等級保護三級的基本要求包括技術(shù)和管理兩大部分，其中管理方面包括安全管理制度、安全管理機構(gòu)、安全管理人員、安全建設(shè)管理、安全運維管理五個方面。在做等級保護方案及項目建設(shè)的時候，客戶方一般會要求提供管理方面的咨詢、建議等，因此結(jié)合以往的信息安全管理方面的經(jīng)驗，根據(jù)等保2.0（三級）管理方面的要求，整理出來了以下內(nèi)容，以供參考。一.安全管理制度1.1信息技術(shù)制度管理辦法總則組織機構(gòu)與職責(zé)制度分類制度的文件格式制度的制定、發(fā)布、修改和廢止流程二.安全管理機構(gòu)總體方針和政策總則組織機構(gòu)與職責(zé)信息安全治理原則和目標(biāo)信息系統(tǒng)架構(gòu)信息安全隊伍建設(shè)與規(guī)劃信息系統(tǒng)建設(shè)規(guī)劃信息安全風(fēng)險控制考核機制信息安全管理策略總則安全制度管理策略信息安全組織管理策略人員安全管理策略系統(tǒng)開發(fā)與維護管理策略物理與環(huán)境安全管理策略資產(chǎn)管理策略系統(tǒng)運行管理策略訪問控制管理策略信息安全事故管理策略應(yīng)急處理策略合規(guī)性管理策略崗位職責(zé)文件總則組織機構(gòu)與職責(zé)（每一個部門負責(zé)的工作內(nèi)容）崗位職責(zé)崗位要求考核機制安全檢查管理辦法總則組織機構(gòu)與職責(zé)信息安全檢查分類信息安全檢查內(nèi)容信息安全檢查實施信息安全檢查報告三.人員安全管理人員錄用、離崗信息技術(shù)人員離崗手續(xù)記錄單培訓(xùn)考核管理（安全責(zé)任）辦法總則組織機構(gòu)與職責(zé)培訓(xùn)的類別與要求培訓(xùn)內(nèi)容培訓(xùn)安排培訓(xùn)考核信息安全違章行為責(zé)任追究辦法總則組織機構(gòu)與職責(zé)違章行為界定監(jiān)督和檢查處罰規(guī)定34外來人員安全訪問管理辦法總則組織機構(gòu)與職責(zé)外來人員的分類基本安全管理賬戶管理計算機設(shè)備接入管理遠程訪問管理處罰規(guī)定四.系統(tǒng)建設(shè)管理信息系統(tǒng)項目建設(shè)管理辦法總則組織機構(gòu)與職責(zé)電子化建設(shè)項目里程碑管理項目準(zhǔn)備階段需求分析階段方案設(shè)計階段系統(tǒng)實現(xiàn)階段上線運行階段項目移交階段項目計劃與會議管理問題與風(fēng)險管理變更管理自主軟件開發(fā)管理總則組織機構(gòu)與職責(zé)軟件開發(fā)環(huán)境管理開發(fā)過程管理配置管理集成測試管理系統(tǒng)發(fā)布管理外包軟件開發(fā)管理總則組織機構(gòu)與職責(zé)術(shù)語定義外包軟件開發(fā)人員管理外包軟件開發(fā)項目流程外包軟件開發(fā)項目現(xiàn)場實施管理測試驗收管理總則組織機構(gòu)與職責(zé)驗收方法與標(biāo)準(zhǔn)驗收內(nèi)容及程序驗收結(jié)論及后續(xù)管理相關(guān)責(zé)任系統(tǒng)交付管理辦法總則組織機構(gòu)與職責(zé)部署方案系統(tǒng)部署上線運行與運維交接五.系統(tǒng)運維管理機房安全管理總則組織機構(gòu)與職責(zé)機房值班管理機房環(huán)境管理機房維護管理機房及設(shè)備巡視機房出入管理機房設(shè)備管理機房空調(diào)、電源系統(tǒng)管理機房消防管理機房資料管理辦公環(huán)境安全管理總則組織機構(gòu)與職責(zé)辦公室行為規(guī)范辦公室環(huán)境管理辦公室安全管理固定資產(chǎn)管理辦法總則組織機構(gòu)與職責(zé)固定資產(chǎn)的計劃、審批和購置固定資產(chǎn)的驗收、登記、領(lǐng)用及投保固定資產(chǎn)的使用、維護、調(diào)撥等日常管理固定資產(chǎn)的折舊、盤點清查、閑置與報廢處理固定資產(chǎn)的實物臺賬管理固定資產(chǎn)管理員工作交接管理罰則存儲介質(zhì)管理辦法總則組織機構(gòu)與職責(zé)介質(zhì)的檢查與維護介質(zhì)的傳送介質(zhì)的備份介質(zhì)的移交重用介質(zhì)的數(shù)據(jù)清理介質(zhì)的銷毀設(shè)備安全管理辦法總則組織機構(gòu)與職責(zé)設(shè)備的選型、采購設(shè)備的發(fā)放和領(lǐng)用設(shè)備的維護和維修設(shè)備的報廢信息資產(chǎn)的分類和標(biāo)識管理辦法總則組織機構(gòu)與職責(zé)信息資產(chǎn)分類的定義信息資產(chǎn)訪問控制權(quán)限信息資產(chǎn)的數(shù)據(jù)保護信息資產(chǎn)的管理與使用網(wǎng)絡(luò)安全管理辦法總則組織機構(gòu)與職責(zé)網(wǎng)絡(luò)結(jié)構(gòu)管理網(wǎng)絡(luò)安全管理網(wǎng)絡(luò)接入管理互聯(lián)網(wǎng)上網(wǎng)管理安全加固及補丁管理賬戶口令及日志審計管理網(wǎng)絡(luò)與信息安全風(fēng)險評估管理網(wǎng)絡(luò)漏洞掃描管理系統(tǒng)安全管理辦法總則組織機構(gòu)與職責(zé)系統(tǒng)賬戶管理操作系統(tǒng)管理數(shù)據(jù)庫管理應(yīng)用軟件管理系統(tǒng)服務(wù)與端口管理訪問控制管理安全審計管理安全掃描加固管理升級與補丁管理計算機病毒防治管理辦法總則組織機構(gòu)與職責(zé)計算機病毒防范管理措施計算機設(shè)備和網(wǎng)絡(luò)病毒防范管理計算機病毒疫情監(jiān)控、上報與處理計算機病毒防范工作的落實和檢查計算機病毒情況分析信息系統(tǒng)變更管理辦法總則組織機構(gòu)與職責(zé)變更分類變更通知風(fēng)險評估變更控制變更報告變更流程信息系統(tǒng)密碼管理辦法總則組織機構(gòu)與職責(zé)信息系統(tǒng)密碼設(shè)置及控制措施信息系統(tǒng)用戶密碼使用管理備份和恢復(fù)方面的管理總則組織機構(gòu)與職責(zé)數(shù)據(jù)備份數(shù)據(jù)恢復(fù)備份系統(tǒng)巡檢統(tǒng)計和考核安全事件報告和處置管理總則