一般情况下,一套全面的安全管理制度体系最常见的为四层架构,即由网络安全工作的总体方针策略、各种安全管操作规程和安全配置规范、各类记录表单构成。
一级文件: 安全策略:阐明使命和意愿,明确安全总体目标,范围、原则和安全框架等,建立工作运行模式等。
二级文件: 管理制度:对信息系统的建设、开发、运维升级和改造各个阶段和环节应遵循的行为加以规范。
三级文件: 操作规范:对各项的具体操作步骤和方法,可以是一个手册、一个流程图、或者是一个实施方法。
四级文件: 记录表单:日常运维记录、审批记录、会议纪要等文档。
以等保三级为例,通常情况下所需的制度、文档清单如下:
|
文件级别 |
分类 |
文件内容 |
|
一级文件 |
安全策略 |
安全策略总纲 |
|
二级文件 |
管理制度 |
管理制度制定、发布、维护方面的管理制度 |
|
安全管理机构 |
安全组织及岗位职责管理制度 |
|
|
授权审批类制度 |
||
|
安全审核和检查制度 |
||
|
.... |
||
|
安全管理人员 |
人员录用、离岗、考核等方面的管理制度 |
|
|
人员安全教育和培训方面的管理制度 |
||
|
外部人员管理制度 |
||
|
.... |
||
|
安全建设管理 |
工程实施过程管理方面的管理制度 |
|
|
产品选型、采购方面的管理制度 |
||
|
测试、验收、交付方面的管理制度 |
||
|
软件开发管理制度 |
||
|
代码编写安全规范 |
||
|
外包软件开发管理制度 |
||
|
...... |
||
|
安全运维管理 |
办公环境管理制度 |
|
|
机房安全管理制度 |
||
|
资产安全管理制度 |
||
|
介质安全管理制度 |
||
|
设备安全管理制度 |
||
|
网络系统安全管理制度 |
||
|
恶意代码防范管理制度 |
||
|
密码管理制度 |
||
|
配置管理制度 |
||
|
变更管理制度 |
||
|
备份与恢复管理制度 |
||
|
安全事件管理制度 |
||
|
应急预案管理制度(包括各类专项应急预案) |
||
|
...... |
||
|
三级文件 |
配置规范 |
网络/安全设备、操作系统、数据库等的配置基线 |
|
操作手册 |
应用软件设计程序文件 |
|
|
软件使用指南 |
||
|
源代码说明文档 |
||
|
操作运维手册(流程表单/图、实施方法) |
||
|
...... |
||
|
四级文件 |
记录、表单类 |
制度制定、修改记录 |
|
各类审批记录 |
||
|
培训记录 |
||
|
会议记录 |
||
|
安全检查表、安全检查报告等 |
||
|
安全管理岗位人员信息表 |
||
|
网络安全外联单位沟通合作联系表 |
||
|
保密协议 |
||
|
关键岗位安全协议 |
||
|
人员录用、离职记录 |
||
|
程序资源库的修改、更新、发布进行授权审批记录 |
||
|
工程实施方案 |
||
|
测试验收方案、记录等 |
||
|
安全测试报告 |
||
|
交付清单 |
||
|
服务供应商合同、协议等 |
||
|
对服务供应商的安全考核记录 |
||
|
外部人员访问登记登记审批表 |
||
|
外部人员访问登记记录表 |
||
|
外部人员保密协议 |
||
|
采购申请审批单 |
||
|
资产清单 |
||
|
等级保护对象资产报废申请表 |
||
|
设备出门条 |
||
|
设备维护记录表 |
||
|
网络安全事件报告表 |
||
|
系统异常事件处理记录 |
||
|
应急处置审批表 |
||
|
漏洞扫描、风险评估报告 |
||
|
恶意代码检查记录、病毒处置记录 |
||
|
数据备份、恢复测试等记录 |
||
|
日常运维表单、记录 |
||
|
系统变更方案、审批记录 |
||
|
应急演练、培训记录 |
||
|
...... |
企业可以根据自身情况进行选择调整,比如:没有自己的开发团队,那么软件开发管理制度、代码编写安全规范,就可以没有;软件定制开发交由外包团队开发实现,则需要外包开发管理制度。