安全管理体系建设方案.docx
上传者:jiyudian11
2022-07-06 10:06:16上传
DOCX文件
80 KB
沈阳赛宝科技服务有限公
2 0 1 8 年 7 月 1 9 日
目录
1 概述 1
简介 1
目标 1
2 安全管理体系框架图 2
3 安全管理制度体系 2
3.1 安全方针政策 2
安全管理制度 2
技术标准、规范 3
流程、表单及记录 4
1 概述
简介 安全管理体系建设包含:安全管理制度、安全管理机构、人员安全管理、系 统建设安全管理和系统运维安全管理等各个方面,依据相关的安全准则,结合企 业自身及网络系统的构成特点,确定具体的各方面的制度。
目标 安全管理机构:包括职能部门岗位设置;系统管理员、网络管理员、安全管
理员的人员配备;授权和审批;管理人员、内部机构和职能部门间的沟通和合作; 定期的安全审核和安全检查。
安全管理制度:包括安全策略、安全制度、操作规程等的管理制度;管理制 度的制定和发布;管理制度的评审和修订。
人员安全管理:包括人员录用;人员离岗;人员考核;安全意识教育和培训; 外部人员访问管理。
系统建设管理:包括系统定级;安全方案设计;产品采购和使用;自行软件 开发;外包软件开发;工程实施;测试验收;系统交付;系统备案;等级测评; 安全服务商选择。
系统运维管理:包括机房环境管理;信息资产管理;介质管理;设备管理; 监控管理和安全管理中心;网络安全管理;系统安全管理;恶意代码防范管理; 密码管理;变更管理;备份与恢复管理;安全事件处置;应急预案管理。
2安全管理体系框架图
第 :\/
技术标冠:规范
安全管理制度体系层次图:
信息安全方针政策,总体安全,说明 机构安住工作的总体目标-范忸、原 则和安全柢架等
对安全管理活动中的吝类管理内容建 立安全管理制度,釣朿管理行为
安i;制度、规范实诫时所;i'.j履行的就
程.及需填写的总儿用于记诫数
据、监挖实施
规范安全管理制度的具体技术实现细 节.对管理人员或操作人员执行的日 常管理操作建立操作规程
第四层
/ 流私表叭记录
/
3安全管理制度体系
安全方针政策
最高方针,纲领性的安全策略主文档,陈述本策略的目的、适用范围、信息 安全的管理意图、支持目标以及指导原则,信息安全各个方面所应遵守的原则方 法和指导性策略。
安全管理制度
各类管理规定、管理办法和暂行规定。从安全策略主文档中规定的安全各个 方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办 法,是必须具有可操作性,而且必须得到有效推行和实施的。
安全管理制度要求见下图,在建立制度的时候可以参考:
至统安全营理
恶畫代吗防范 营理
密码爸理
备份和恢直童 理
应急预案營埋
变更爸理
技术标准、规范
技术标准和规范是针对具体管理行为进行规范化操作流程的规定,包括各个 安全等级区域网络设备、主机操作系统和主要应用程序的应遵守的安全配置和管 理的技术标准和规范。技术标准和规范将作为各个网络设备、主机操作系统和应 用程序的安装、配置、采购、项目评审、日常安全管理和维护时必须遵照的标准, 不允许发生违背和冲突。
例如制度及规范类文档如下:
表1管理制度及规范文档
序号
管理制度及规范文档
1
机构总体安全方针和政朿方面的管理制度
2
安全管理活动中的各类管理内容的相关管理制
2 0 1 8 年 7 月 1 9 日
目录
1 概述 1
简介 1
目标 1
2 安全管理体系框架图 2
3 安全管理制度体系 2
3.1 安全方针政策 2
安全管理制度 2
技术标准、规范 3
流程、表单及记录 4
1 概述
简介 安全管理体系建设包含:安全管理制度、安全管理机构、人员安全管理、系 统建设安全管理和系统运维安全管理等各个方面,依据相关的安全准则,结合企 业自身及网络系统的构成特点,确定具体的各方面的制度。
目标 安全管理机构:包括职能部门岗位设置;系统管理员、网络管理员、安全管
理员的人员配备;授权和审批;管理人员、内部机构和职能部门间的沟通和合作; 定期的安全审核和安全检查。
安全管理制度:包括安全策略、安全制度、操作规程等的管理制度;管理制 度的制定和发布;管理制度的评审和修订。
人员安全管理:包括人员录用;人员离岗;人员考核;安全意识教育和培训; 外部人员访问管理。
系统建设管理:包括系统定级;安全方案设计;产品采购和使用;自行软件 开发;外包软件开发;工程实施;测试验收;系统交付;系统备案;等级测评; 安全服务商选择。
系统运维管理:包括机房环境管理;信息资产管理;介质管理;设备管理; 监控管理和安全管理中心;网络安全管理;系统安全管理;恶意代码防范管理; 密码管理;变更管理;备份与恢复管理;安全事件处置;应急预案管理。
2安全管理体系框架图
第 :\/
技术标冠:规范
安全管理制度体系层次图:
信息安全方针政策,总体安全,说明 机构安住工作的总体目标-范忸、原 则和安全柢架等
对安全管理活动中的吝类管理内容建 立安全管理制度,釣朿管理行为
安i;制度、规范实诫时所;i'.j履行的就
程.及需填写的总儿用于记诫数
据、监挖实施
规范安全管理制度的具体技术实现细 节.对管理人员或操作人员执行的日 常管理操作建立操作规程
第四层
/ 流私表叭记录
/
3安全管理制度体系
安全方针政策
最高方针,纲领性的安全策略主文档,陈述本策略的目的、适用范围、信息 安全的管理意图、支持目标以及指导原则,信息安全各个方面所应遵守的原则方 法和指导性策略。
安全管理制度
各类管理规定、管理办法和暂行规定。从安全策略主文档中规定的安全各个 方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办 法,是必须具有可操作性,而且必须得到有效推行和实施的。
安全管理制度要求见下图,在建立制度的时候可以参考:
至统安全营理
恶畫代吗防范 营理
密码爸理
备份和恢直童 理
应急预案營埋
变更爸理
技术标准、规范
技术标准和规范是针对具体管理行为进行规范化操作流程的规定,包括各个 安全等级区域网络设备、主机操作系统和主要应用程序的应遵守的安全配置和管 理的技术标准和规范。技术标准和规范将作为各个网络设备、主机操作系统和应 用程序的安装、配置、采购、项目评审、日常安全管理和维护时必须遵照的标准, 不允许发生违背和冲突。
例如制度及规范类文档如下:
表1管理制度及规范文档
序号
管理制度及规范文档
1
机构总体安全方针和政朿方面的管理制度
2
安全管理活动中的各类管理内容的相关管理制
安全管理体系建设方案
