安全管理体系建设方案样本.doc

资料内容仅供您学习参考，如有不当之处，请联系改正或者删除。 安全管理体系建设方案 沈阳赛宝科技服务有限公 7月19日 目 录 1 概述 1 1.1 简介 1 1.2 目标 1 2 安全管理体系框架图 2 3 安全管理制度体系 2 3.1 安全方针政策 2 3.2 安全管理制度 2 3.3 技术标准、 规范 3 3.4 流程、 表单及记录 4 1 概述 1.1 简介 安全管理体系建设包含: 安全管理制度、 安全管理机构、 人员安全管理、 系统建设安全管理和系统运维安全管理等各个方面, 依据相关的安全准则, 结合企业自身及网络系统的构成特点, 确定具体的各方面的制度。 1.2 目标 安全管理机构: 包括职能部门岗位设置; 系统管理员、 网络管理员、 安全管理员的人员配备; 授权和审批; 管理人员、 内部机构和职能部门间的沟通和合作; 定期的安全审核和安全检查。 安全管理制度: 包括安全策略、 安全制度、 操作规程等的管理制度; 管理制度的制定和发布; 管理制度的评审和修订。 人员安全管理: 包括人员录用; 人员离岗; 人员考核; 安全意识教育和培训; 外部人员访问管理。 系统建设管理: 包括系统定级; 安全方案设计; 产品采购和使用; 自行软件开发; 外包软件开发; 工程实施; 测试验收; 系统交付; 系统备案; 等级测评; 安全服务商选择。 系统运维管理: 包括机房环境管理; 信息资产管理; 介质管理; 设备管理; 监控管理和安全管理中心; 网络安全管理; 系统安全管理; 恶意代码防范管理; 密码管理; 变更管理; 备份与恢复管理; 安全事件处理; 应急预案管理。 2 安全管理体系框架图 安全管理制度体系层次图: 3 安全管理制度体系 3.1 安全方针政策 最高方针, 纲领性的安全策略主文档, 陈述本策略的目的、 适用范围、 信息安全的管理意图、 支持目标以及指导原则, 信息安全各个方面所应遵守的原则方法和指导性策略。 3.2 安全管理制度 各类管理规定、 管理办法和暂行规定。从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、 管理办法和实施办法, 是必须具有可操作性, 而且必须得到有效推行和实施的。 安全管理制度要求见下图, 在建立制度的时候能够参考: 3.3 技术标准、 规范 技术标准和规范是针对具体管理行为进行规范化操作流程的规定, 包括各个安全等级区域网络设备、 主机操作系统和主要应用程序的应遵守的安全配置和管理的技术标准和规范。技术标准和规范将作为各个网络设备、 主机操作系统和应用程序的安装、 配置、 采购、 项目评审、 日常安全管理和维护时必须遵照的标准, 不允许发生违背和冲突。 例如制度及规范类文档如下: 表1管理制度及规范文档 序号 管理制度及规范文档 1 机构总体安全方针和政策方面的管理制度 2 安全管理活动中的各类管理内容的相关管理制度 3 部门设置、 岗位设置及工作职责定义方面的管理制度 4 授权审批、 审批流程等方面的管理制度 5 与外联单位、 供应商等合作相关管理制度 6 安全审核和安全检查方面的管理制度 7 管理制度、 操作规程修订、 维护方面的管理制度 8 人员录用、 离岗、 考核等方面的管理制度 9 人员安全教育和培训方面的管理制度 10 人员签署保密协议相关管理制度 11 第三方人员访问控制方面的管理制度 12 工程实施过程方面的管理制度 13 安全方案设计相关管理制度 14 产品选型、 采购方面的管理制度 15 软件外包开发或自我开发方面的管理制度 16 测试、 验收方面的管理制度 17 系统交付相关管理制度 18 机房安全管理方面的管理制度 19 办公环境安全管理方面的管理制度 20 资产、 设备、 介质安全管理方面的管理制度 21 信息分类、 标识、 发布、 使用方面的管理制度 22 配套设施、 软硬件维护方面的管理制度 23 网络安全管理( 网络配置、 账号管理等) 方面的管理制度 24 系统安全管理( 系统配置、 账号管理) 方面的管理制度 25 系统监控、 风险评估、 漏洞扫描方面的管理制度 26 病毒防范方面的管理制度 27 系统变更控制方面的管理制度 28 密码管理方面的管理制度 29 备份和恢复方面的管理制度 30 安全事件报告和处理方面的管理制度 31 应急响应方法、 应急响应计划等方面的文件 32 其它文档 3.4 流程、 表单及记录 安全流程和操作规程, 详细规定主要业务应用和事件处理的流程、 步骤和相关注意事项。作为具体工作时的具体依照, 此部分必须具有可操作性, 而且必须得到有效推行和实施的。 安全表单及记录, 落实安全流程和操作规程的具体表现, 根据不同信息系统的要求能够经过不同方式的表单及记录落实, 并在日常工作中具体执行。主要包括日常操作的记录、 工作记录、 流转记录以及审批记录等。可分为记录类文档和证据类文档如下表: 表2 记录类文档 序号 记录类文档 1 机房出入登记记录( 包括第三方人员) 2 机房基础设施维护记录 3 各类会议纪要或记录( 部门内、 部门间协调会、 领导小组) 4 各类评审和修订记录( 安全管理制度评审和修订记录、 体系评审记录等) 5 人员考核、 审查、 培训记录( 人员录用、 人员定期考核) 、 离岗手续 6 人员安全教育相关记录 7 各项审批和批准执行记录( 来访人员进入机房审批、 介质/设备外带审批、 系统外联审批等) 8 安全管理制度收发登记记录 9 产品的选型测试结果记录 10 系统验收测试记录、 报告 11 介质归档、 查询等的登记记录 12 主机系统、 网络、 安全设备等的操作日志和维护记录 13 机房日常巡检记录 14 对主机、 网络设备和应用软件等的监控记录和分析报告 15 恶意代码检测、 升级记录和分析报告 16 备份过程记录 17 变更方案评审记录和变更过程记录 18 安全事件处理过程记录 19 应急预案培训、 演练、 审查记录 20 其它记录文档 21 机房防雷检测报告 22 设备外出维修记录 23 外来人员审批记录 24 其它文档 表3证据类文档 序号 证据类文档 1 资产清单 2 机构安全管理人员岗位名单 3 外联单位联系列表 4 人员保密协议 5 关键岗位安全协议 6 候选产品名单 7 信息系统定级报告或定级建议书 8 系统备案材料 9 近期和远期安全建设工作计划、 总体建设规划书 表3 证据类文档( 续) 序号 证据类文档 1 详细设计方案 2 系统建设项目 工程实施方案 3 系统验收测试方案 4 系统测试、 验收报告 5 系统交付清单 6 变更方案 7 变更申请书 8 信息系统定期安全检测的检查表和安全检查报告 9 主要设备漏洞扫描报告 10 系统异常行为审计分析报告 11 机房安全设计和验收方面的文档 12 应急预案管理 应急预案方案 应急预案培训 应急预案演练 13 总体安全策略等配套文件的专家论证文档 14 与安全服务商或外包开发商签订的服务合同和安全协议 15 软件开发设计和用户指南等相关文档( 目录体系框架或交换原形系统) 、 软件测试报告