安全管理體系建設(shè)方案_第1頁
安全管理體系建設(shè)方案_第2頁
安全管理體系建設(shè)方案_第3頁
安全管理體系建設(shè)方案_第4頁
安全管理體系建設(shè)方案_第5頁
已閱讀5頁,還剩4頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、安全管理體系建設(shè)方案安全管理體系建設(shè)方案沈陽賽寶科技服務(wù)有限公2018年7月 1 9日目 錄1 概述 11.1 簡介11.2 目標(biāo)12 安全管理體系框架圖 23 安全管理制度體系 23.1 安全方針政策23.2 安全管理制度23.3 技術(shù)標(biāo)準(zhǔn)、規(guī)范33.4 流程、表單及記錄 4安全管理體系建設(shè)方案1 概述1.1 簡介安全管理體系建設(shè)包含:安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng) 建設(shè)安全管理和系統(tǒng)運(yùn)維安全管理等各個(gè)方面,依據(jù)相關(guān)的安全準(zhǔn)則,結(jié)合企業(yè)自 身及網(wǎng)絡(luò)系統(tǒng)的構(gòu)成特點(diǎn),確定具體的各方面的制度。1.2 目標(biāo)安全管理機(jī)構(gòu):包括職能部門崗位設(shè)置;系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管 理員的人員

2、配備;授權(quán)和審批;管理人員、內(nèi)部機(jī)構(gòu)和職能部門間的溝通和合作; 定期的安全審核和安全檢查。安全管理制度:包括安全策略、安全制度、操作規(guī)程等的管理制度;管理制 度的制定和發(fā)布;管理制度的評(píng)審和修訂。人員安全管理:包括人員錄用;人員離崗;人員考核;安全意識(shí)教育和培 訓(xùn);外部人員訪問管理。系統(tǒng)建設(shè)管理:包括系統(tǒng)定級(jí);安全方案設(shè)計(jì);產(chǎn)品采購和使用;自行軟件 開發(fā);外包軟件開發(fā);工程實(shí)施;測試驗(yàn)收;系統(tǒng)交付;系統(tǒng)備案;等級(jí)測評(píng);安 全服務(wù)商選擇。系統(tǒng)運(yùn)維管理:包括機(jī)房環(huán)境管理;信息資產(chǎn)管理;介質(zhì)管理;設(shè)備管理; 監(jiān)控管理和安全管理中心;網(wǎng)絡(luò)安全管理;系統(tǒng)安全管理;惡意代碼防范管理;密 碼管理;變更管理;

3、備份與恢復(fù)管理;安全事件處置;應(yīng)急預(yù)案管理。第7頁共7頁2安全管理體系框架圖信息安全針政策,總體安全,說明 機(jī)構(gòu)安個(gè).作的總體H標(biāo)、范成、原 則和女全框架等對(duì)安全管理活動(dòng)中的各類管理內(nèi)容建 立安全管理制度,約束管理行為規(guī)范安全管理制度的具體技木實(shí)現(xiàn)細(xì) 節(jié),對(duì)管理人員或操作人員執(zhí)行的LI 常管理操作建.立操作規(guī)程安全制度、規(guī)范實(shí)施時(shí)所溢履行的流程,及需填寫的表單,用于記錄數(shù)據(jù)、監(jiān)控實(shí)施3 安全管理制度體系3.1 安全方針政策最高方針,綱領(lǐng)性的安全策略主文檔,陳述本策略的目的、適用范圍、信息安 全的管理意圖、支持目標(biāo)以及指導(dǎo)原則,信息安全各個(gè)方面所應(yīng)遵守的原則方法和 指導(dǎo)性策略。3.2 安全管理制

4、度各類管理規(guī)定、管理辦法和暫行規(guī)定。從安全策略主文檔中規(guī)定的安全各個(gè)方 面所應(yīng)遵守的原則方法和指導(dǎo)性策略引出的具體管理規(guī)定、管理辦法和實(shí)施辦法, 是必須具有可操作性,而且必須得到有效推行和實(shí)施的。安全管理制度要求見下圖,在建立制度的時(shí)候可以參考:系統(tǒng)安全菅理惡意代嗎防范 管理變更管珪密碼管理備份和恢莞管 理安壘事件處置應(yīng)急預(yù)案管理3.3技術(shù)標(biāo)準(zhǔn)、規(guī)范技術(shù)標(biāo)準(zhǔn)和規(guī)范是針對(duì)具體管理行為進(jìn)行規(guī)范化操作流程的規(guī)定,包括各個(gè)安 全等級(jí)區(qū)域網(wǎng)絡(luò)設(shè)備、主機(jī)操作系統(tǒng)和主要應(yīng)用程序的應(yīng)遵守的安全配置和管理的 技術(shù)標(biāo)準(zhǔn)和規(guī)范。技術(shù)標(biāo)準(zhǔn)和規(guī)范將作為各個(gè)網(wǎng)絡(luò)設(shè)備、主機(jī)操作系統(tǒng)和應(yīng)用程序 的安裝、配置、采購、項(xiàng)目評(píng)審、

5、日常安全管理和維護(hù)時(shí)必須遵照的標(biāo)準(zhǔn),不允許 發(fā)生違背和沖突。例如制度及規(guī)范類文檔如下:表1管理制度及規(guī)范文檔序號(hào)管理制度及規(guī)范文檔1機(jī)構(gòu)總體安全方針和政策方面的管理制度2安全管理活動(dòng)中的各類管理內(nèi)容的相關(guān)管理制度3部門設(shè)置、崗位設(shè)置及工作職責(zé)定義方面的管理制度4授權(quán)審批、審批流程等方面的管理制度5與外聯(lián)單位、供應(yīng)商等合作相關(guān)管理制度6安全審核和安全檢查方面的管理制度7管理制度、操作規(guī)程修訂、維護(hù)方面的管理制度8人員錄用、離崗、考核等方面的管理制度9人員安全教育和培訓(xùn)方面的管理制度10人員簽署保密協(xié)議相關(guān)管理制度11第三方人員訪問控制方面的管理制度12工程實(shí)施過程方面的管理制度13安全方案設(shè)計(jì)相

6、關(guān)管理制度14產(chǎn)品選型、米購方面的管理制度15軟件外包開發(fā)或自我開發(fā)方面的管理制度16測試、驗(yàn)收方面的管理制度17系統(tǒng)父付相關(guān)菅理制度18機(jī)房安全管理方面的管理制度19辦公環(huán)境安全管理方面的管理制度20資產(chǎn)、設(shè)備、介質(zhì)安全管理方面的管理制度21信息分類、標(biāo)識(shí)、發(fā)布、使用方面的管理制度22配套設(shè)施、軟硬件維護(hù)方面的管理制度23網(wǎng)絡(luò)安全管理(網(wǎng)絡(luò)配置、賬號(hào)管理等)方面的管理制度24系統(tǒng)安全管理(系統(tǒng)配置、賬號(hào)管理)方面的管理制度25系統(tǒng)監(jiān)控、風(fēng)險(xiǎn)評(píng)估、漏洞掃描方面的管理制度26病毒防范方面的管理制度27系統(tǒng)變更控制方面的管理制度28密碼管理方面的管理制度29備份和恢復(fù)方面的管理制度30安全事件報(bào)告

7、和處置方面的管理制度31應(yīng)急響應(yīng)方法、應(yīng)急響應(yīng)計(jì)劃等方面的文件32其他文檔3.4 流程、表單及記錄安全流程和操作規(guī)程,詳細(xì)規(guī)定主要業(yè)務(wù)應(yīng)用和事件處理的流程、步驟和相關(guān) 注意事項(xiàng)。作為具體工作時(shí)的具體依照,此部分必須具有可操作性,而且必須得到 有效推行和實(shí)施的。安全表單及記錄,落實(shí)安全流程和操作規(guī)程的具體表現(xiàn),根據(jù)不同信息系統(tǒng)的 要求可以通過不同方式的表單及記錄落實(shí),并在日常工作中具體執(zhí)行。主要包括日常操作的記錄、工作記錄、流轉(zhuǎn)記錄以及審批記錄等??煞譃橛涗涱愇臋n和證據(jù)類文檔如下表:表2記錄類文檔序號(hào)記錄類文檔1機(jī)房出入登記記錄(包括第三方人員)2機(jī)房基礎(chǔ)設(shè)施維護(hù)記錄3各類會(huì)議紀(jì)要或記錄(部門內(nèi)

8、、部門間協(xié)調(diào)會(huì)、領(lǐng)導(dǎo)小組)4各類評(píng)審和修訂記錄(安全管理制度評(píng)審和修訂記錄、體系評(píng)審記錄等)5人員考核、審查、培訓(xùn)記錄(人員錄用、人員定期考核)、離崗手續(xù)6人員安全教育相關(guān)記錄7各項(xiàng)審批和批準(zhǔn)執(zhí)行記錄(來訪人員進(jìn)入機(jī)房審批、介質(zhì)/設(shè)備外帶審批、系統(tǒng) 外聯(lián)審批等)8安全管理制度收發(fā)登記記錄9產(chǎn)品的選型測試結(jié)果記錄10系統(tǒng)驗(yàn)收測試記錄、報(bào)告11介質(zhì)歸檔、查詢等的登記記錄12主機(jī)系統(tǒng)、網(wǎng)絡(luò)、安全設(shè)備等的操作日志和維護(hù)記錄13機(jī)房日常巡檢記錄14對(duì)主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件等的監(jiān)控記錄和分析報(bào)告15惡意代碼檢測、升級(jí)記錄和分析報(bào)告16備份過程記錄17變更方案評(píng)審記錄和變更過程記錄18安全事件處理過程記錄19應(yīng)急預(yù)案培訓(xùn)、演練、審查記錄20其他記錄文檔21機(jī)房防雷檢測報(bào)告22設(shè)備外出維修記錄23外來人員審批記錄24其他文檔表3證據(jù)類文檔序號(hào)證據(jù)類文檔1資廣清單2機(jī)構(gòu)安全管理人員崗位名單3外聯(lián)單位聯(lián)系列表4人員保密協(xié)議5關(guān)鍵崗位安全協(xié)議6候選產(chǎn)品名單7信息系統(tǒng)定級(jí)報(bào)告或定級(jí)建議書8系統(tǒng)備案材料9近期和遠(yuǎn)期安全建設(shè)工作計(jì)劃、總體建設(shè)規(guī)劃書表3證據(jù)類文檔(續(xù))序號(hào)證據(jù)類文檔1詳細(xì)設(shè)計(jì)方案2系統(tǒng)建設(shè)項(xiàng)目工程實(shí)施方案3系統(tǒng)驗(yàn)收測試方案4系統(tǒng)測試、驗(yàn)收?qǐng)?bào)告5系統(tǒng)父付清單6變更方案7變更申請(qǐng)書8信息系統(tǒng)定期安全檢測的檢查表和安全檢查報(bào)告9主要設(shè)備漏洞掃描報(bào)告10

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論