安全管理體系建設(shè)方案

安全管理體系建設(shè)方案目 錄1 概述 11.1 簡介 11.2 目標(biāo) 12 安全管理體系框架圖 23 安全管理制度體系 23.1 23.2 23.3 33.4 4第第1頁共7頁1概述1.1簡介安全管理體系建設(shè)包含：安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系建設(shè)安全管理和系統(tǒng)運(yùn)維安全管理等各個方面，依據(jù)相關(guān)的安全準(zhǔn)則，結(jié)合企業(yè)身及網(wǎng)絡(luò)系統(tǒng)的構(gòu)成特點(diǎn)，確定具體的各方面的制度。1.2目標(biāo)安全管理機(jī)構(gòu)：包括職能部門崗位設(shè)置；系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員的人員配備；授權(quán)和審批；管理人員、內(nèi)部機(jī)構(gòu)和職能部門間的溝通和合作定期的安全審核和安全檢查。安全管理制度：包括安全策略、安全制度、操作規(guī)程等的管理制度；管理制度的制定和發(fā)布；管理制度的評審和修訂。人員安全管理：包括人員錄用；人員離崗；人員考核；安全意識教育和培訓(xùn)；外部人員訪問管理。系統(tǒng)建設(shè)管理：包括系統(tǒng)定級；安全方案設(shè)計；產(chǎn)品采購和使用；自行軟件開發(fā)；外包軟件開發(fā)；工程實施；測試驗收；系統(tǒng)交付；系統(tǒng)備案；等級測評；全服務(wù)商選擇。系統(tǒng)運(yùn)維管理：包括機(jī)房環(huán)境管理；信息資產(chǎn)管理；介質(zhì)管理；設(shè)備管理；監(jiān)控管理和安全管理中心；網(wǎng)絡(luò)安全管理；系統(tǒng)安全管理；惡意代碼防范管理；碼管理；變更管理；備份與恢復(fù)管理；安全事件處置；應(yīng)急預(yù)案管理。第第3頁共7頁2 安全管理體系框架圖安全管理制度體系層次圖：3 安全管理制度體系3.1 安全方針政策最高方針，綱領(lǐng)性的安全策略主文檔，陳述本策略的目的、適用范圍、信息安全的管理意圖、支持目標(biāo)以及指導(dǎo)原則，信息安全各個方面所應(yīng)遵守的原則方法指導(dǎo)性策略。3.2 安全管理制度各類管理規(guī)定、管理辦法和暫行規(guī)定。從安全策略主文檔中規(guī)定的安全各個面所應(yīng)遵守的原則方法和指導(dǎo)性策略引出的具體管理規(guī)定、管理辦法和實施辦法是必須具有可操作性，而且必須得到有效推行和實施的。安全管理制度要求見下圖，在建立制度的時候可以參考：3.3技術(shù)標(biāo)準(zhǔn)、規(guī)范技術(shù)標(biāo)準(zhǔn)和規(guī)范是針對具體管理行為進(jìn)行規(guī)范化操作流程的規(guī)定，包括各個全等級區(qū)域網(wǎng)絡(luò)設(shè)備、主機(jī)操作系統(tǒng)和主要應(yīng)用程序的應(yīng)遵守的安全配置和管理技術(shù)標(biāo)準(zhǔn)和規(guī)范。技術(shù)標(biāo)準(zhǔn)和規(guī)范將作為各個網(wǎng)絡(luò)設(shè)備、主機(jī)操作系統(tǒng)和應(yīng)用程的安裝、配置、采購、項目評審、日常安全管理和維護(hù)時必須遵照的標(biāo)準(zhǔn)，不允發(fā)生違背和沖突。例如制度及規(guī)范類文檔如下：表1序號序號12345678910第第5頁共7頁11111213141516171819202122232425262728293031323.4流程、表單及記錄安全流程和操作規(guī)程，詳細(xì)規(guī)定主要業(yè)務(wù)應(yīng)用和事件處理的流程、步驟和相注意事項。作為具體工作時的具體依照，此部分必須具有可操作性，而且必須得有效推行和實施的。安全表單及記錄，落實安全流程和操作規(guī)程的具體表現(xiàn)，根據(jù)不同信息系統(tǒng)要求可以通過不同方式的表單及記錄落實，并在日常工作中具體執(zhí)行。主要包括常操作的記錄、工作記錄、流轉(zhuǎn)記錄以及審批記錄等。可分為記錄類文檔和證據(jù)文檔如下表：表2序號 1 ）2 3 ）4 ）5 6 7 介質(zhì)）8 9 10 11 12 13 14 15 16 17 18 19 20