資源描述:
《安全管理體系建設(shè)方案.doc》由會(huì)員上傳分享,免費(fèi)在線閱讀�,更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫(kù)��。
1��、安全管理體系建設(shè)方案沈陽(yáng)賽寶科技服務(wù)有限公2018年7月19日目錄1概述11.1簡(jiǎn)介11.2目標(biāo)12安全管理體系框架圖23安全管理制度體系23.1安全方針政策23.2安全管理制度23.3技術(shù)標(biāo)準(zhǔn)、規(guī)范33.4流程�、表單及記錄41概述1.1簡(jiǎn)介安全管理體系建設(shè)包含:安全管理制度、安全管理機(jī)構(gòu)����、人員安全管理、系統(tǒng)建設(shè)安全管理和系統(tǒng)運(yùn)維安全管理等各個(gè)方面��,依據(jù)相關(guān)的安全準(zhǔn)則���,結(jié)合企業(yè)自身及網(wǎng)絡(luò)系統(tǒng)的構(gòu)成特點(diǎn)���,確定具體的各方面的制度。1.2目標(biāo)安全管理機(jī)構(gòu):包括職能部門崗位設(shè)置���;系統(tǒng)管理員�、網(wǎng)絡(luò)管理員���、安全管理員的人員配備�����;授權(quán)和審批�;管理人員、內(nèi)部機(jī)構(gòu)和職能部門間的溝通和
2�、合作;定期的安全審核和安全檢查����。安全管理制度:包括安全策略、安全制度�����、操作規(guī)程等的管理制度�����;管理制度的制定和發(fā)布���;管理制度的評(píng)審和修訂���。人員安全管理:包括人員錄用;人員離崗;人員考核�����;安全意識(shí)教育和培訓(xùn)�����;外部人員訪問(wèn)管理��。系統(tǒng)建設(shè)管理:包括系統(tǒng)定級(jí)����;安全方案設(shè)計(jì)��;產(chǎn)品采購(gòu)和使用�����;自行軟件開(kāi)發(fā)�;外包軟件開(kāi)發(fā);工程實(shí)施�����;測(cè)試驗(yàn)收�;系統(tǒng)交付��;系統(tǒng)備案����;等級(jí)測(cè)評(píng)���;安全服務(wù)商選擇�。系統(tǒng)運(yùn)維管理:包括機(jī)房環(huán)境管理��;信息資產(chǎn)管理���;介質(zhì)管理��;設(shè)備管理�����;監(jiān)控管理和安全管理中心�;網(wǎng)絡(luò)安全管理�����;系統(tǒng)安全管理;惡意代碼防范管理�;密碼管理;變更管理����;備份與恢復(fù)管理;安全事件處置�����;應(yīng)急預(yù)案管理
3���、。1安全管理體系框架圖安全管理制度體系層次圖:2安全管理制度體系2.1安全方針政策最高方針�����,綱領(lǐng)性的安全策略主文檔�,陳述本策略的目的、適用范圍�����、信息安全的管理意圖�、支持目標(biāo)以及指導(dǎo)原則,信息安全各個(gè)方面所應(yīng)遵守的原則方法和指導(dǎo)性策略。2.2安全管理制度各類管理規(guī)定�、管理辦法和暫行規(guī)定。從安全策略主文檔中規(guī)定的安全各個(gè)方面所應(yīng)遵守的原則方法和指導(dǎo)性策略引出的具體管理規(guī)定����、管理辦法和實(shí)施辦法,是必須具有可操作性�����,而且必須得到有效推行和實(shí)施的����。安全管理制度要求見(jiàn)下圖,在建立制度的時(shí)候可以參考:1.1技術(shù)標(biāo)準(zhǔn)���、規(guī)范技術(shù)標(biāo)準(zhǔn)和規(guī)范是針對(duì)具體管理行為進(jìn)行規(guī)范化操作流程的規(guī)定���,包
4、括各個(gè)安全等級(jí)區(qū)域網(wǎng)絡(luò)設(shè)備���、主機(jī)操作系統(tǒng)和主要應(yīng)用程序的應(yīng)遵守的安全配置和管理的技術(shù)標(biāo)準(zhǔn)和規(guī)范�����。技術(shù)標(biāo)準(zhǔn)和規(guī)范將作為各個(gè)網(wǎng)絡(luò)設(shè)備�、主機(jī)操作系統(tǒng)和應(yīng)用程序的安裝、配置��、采購(gòu)��、項(xiàng)目評(píng)審��、日常安全管理和維護(hù)時(shí)必須遵照的標(biāo)準(zhǔn)��,不允許發(fā)生違背和沖突�。例如制度及規(guī)范類文檔如下:表1管理制度及規(guī)范文檔序號(hào)管理制度及規(guī)范文檔1機(jī)構(gòu)總體安全方針和政策方面的管理制度2安全管理活動(dòng)中的各類管理內(nèi)容的相關(guān)管理制度3部門設(shè)置、崗位設(shè)置及工作職責(zé)定義方面的管理制度4授權(quán)審批��、審批流程等方面的管理制度5與外聯(lián)單位��、供應(yīng)商等合作相關(guān)管理制度6安全審核和安全檢查方面的管理制度7管理制度���、操作規(guī)程修訂
5、�����、維護(hù)方面的管理制度8人員錄用���、離崗����、考核等方面的管理制度9人員安全教育和培訓(xùn)方面的管理制度10人員簽署保密協(xié)議相關(guān)管理制度1第三方人員訪問(wèn)控制方面的管理制度2工程實(shí)施過(guò)程方面的管理制度3安全方案設(shè)計(jì)相關(guān)管理制度4產(chǎn)品選型、采購(gòu)方面的管理制度5軟件外包開(kāi)發(fā)或自我開(kāi)發(fā)方面的管理制度6測(cè)試����、驗(yàn)收方面的管理制度7系統(tǒng)交付相關(guān)管理制度8機(jī)房安全管理方面的管理制度9辦公環(huán)境安全管理方面的管理制度10資產(chǎn)、設(shè)備�����、介質(zhì)安全管理方面的管理制度11信息分類�、標(biāo)識(shí)、發(fā)布���、使用方面的管理制度12配套設(shè)施�、軟硬件維護(hù)方面的管理制度13網(wǎng)絡(luò)安全管理(網(wǎng)絡(luò)配置�、賬號(hào)管理等)方面的管理制度14系
6、統(tǒng)安全管理(系統(tǒng)配置�����、賬號(hào)管理)方面的管理制度15系統(tǒng)監(jiān)控�����、風(fēng)險(xiǎn)評(píng)估、漏洞掃描方面的管理制度16病毒防范方面的管理制度17系統(tǒng)變更控制方面的管理制度18密碼管理方面的管理制度19備份和恢復(fù)方面的管理制度20安全事件報(bào)告和處置方面的管理制度21應(yīng)急響應(yīng)方法���、應(yīng)急響應(yīng)計(jì)劃等方面的文件22其他文檔1.1流程���、表單及記錄安全流程和操作規(guī)程,詳細(xì)規(guī)定主要業(yè)務(wù)應(yīng)用和事件處理的流程��、步驟和相關(guān)注意事項(xiàng)���。作為具體工作時(shí)的具體依照����,此部分必須具有可操作性��,而且必須得到有效推行和實(shí)施的��。安全表單及記錄�,落實(shí)安全流程和操作規(guī)程的具體表現(xiàn)�����,根據(jù)不同信息系統(tǒng)的要求可以通過(guò)不同方式的表單及記錄
7、落實(shí)����,并在日常工作中具體執(zhí)行。主要包括日常操作的記錄��、工作記錄����、流轉(zhuǎn)記錄以及審批記錄等?��?煞譃橛涗涱愇臋n和證據(jù)類文檔如下表:表2記錄類文檔序號(hào)記錄類文檔1機(jī)房出入登記記錄(包括第三方人員)2機(jī)房基礎(chǔ)設(shè)施維護(hù)記錄3各類會(huì)議紀(jì)要或記錄(部門內(nèi)�、部門間協(xié)調(diào)會(huì)����、領(lǐng)導(dǎo)小組)4各類評(píng)審和修訂記錄(安全管理制度評(píng)審和修訂記錄、體系評(píng)審記錄等)5人員考核����、審查、培訓(xùn)記錄(人員錄用���、人員定期考核)���、離崗手續(xù)6人員安全教育相關(guān)記錄7各項(xiàng)審批和批準(zhǔn)執(zhí)行記錄(來(lái)訪人員進(jìn)入機(jī)房審批�����、介質(zhì)/設(shè)備外帶審批�、系統(tǒng)外聯(lián)審批等)8安全管理制度收發(fā)登記記錄9產(chǎn)品的選型測(cè)試結(jié)果記錄10系統(tǒng)驗(yàn)收測(cè)試記錄
