1、安全管理體系建設方案沈陽賽寶科技服務有限公2018年7月19日安全管理體系建設方案1 概述11.1 簡介11.2 目標12 安全管理體系框架圖23 安全管理制度體系23.1 安全方針政策23.2 安全管理制度23.3 技術標準、規范33.4 流程、表單及記錄4安全管理體系建設方案1 概述1.1 簡介安全管理體系建設包含：安全管理制度、安全管理機構、人員安全管理、系統建設安全管理和系統運維安全管理等各個方面，依據相關的安全準則，結合企業自身及網絡系統的構成特點，確定具體的各方面的制度。1.2 目標安全管理機構：包括職能部門崗位設置；系統管理員、網絡管理員、安全管理員的人員配備；授權和審批；管理人

2、員、內部機構和職能部門間的溝通和合作；定期的安全審核和安全檢查。安全管理制度：包括安全策略、安全制度、操作規程等的管理制度；管理制度的制定和發布；管理制度的評審和修訂。人員安全管理：包括人員錄用；人員離崗；人員考核；安全意識教育和培訓I;外部人員訪問管理。系統建設管理：包括系統定級；安全方案設計；產品采購和使用；自行軟件開發；外包軟件開發；工程實施；測試驗收；系統交付；系統備案；等級測評；安全服務商選擇。系統運維管理：包括機房環境管理；信息資產管理；介質管理；設備管理；監控管理和安全管理中心；網絡安全管理；系統安全管理；惡意代碼防范管理；密碼管理；變更管理；備份與恢復管理；安全事件處置；應急預

3、案管理。安全管理體系建設方案2 安全管理體系框架圖信息安全方針政策，總體變全，說明機構安作的總體目標、.范幗、原則和安全框架等對安±管理活動中的各類管理內容建匯安全管理制度,約束管理行為規范安全管理制度的具體技術突現細節，對管理人員或操作人員執行的LI常管理操作建就操作規程安全制度、規范史施時所需履行的流程，及需填寫的表單，用于記錄數據、監捽士施3 安全管理制度體系3.1 安全方針政策最高方針，綱領性的安全策略主文檔，陳述本策略的目的、適用范圍、信息安全的管理意圖、支持目標以及指導原則，信息安全各個方面所應遵守的原則方法和指導性策略。3.2 安全管理制度各類管理規定、管理辦法和暫行規

4、定。從安全策略主文檔中規定的安全各個方面所應遵守的原則方法和指導性策略引出的具體管理規定、管理辦法和實施辦法，是必須具有可操作性，而且必須得到有效推行和實施的。安全管理制度要求見下圖，在建立制度的時候可以參考：安全管理體系建設方案系統安全管理普意代碼防范管理變更餐理密螞管理備份和恢復首理安全事件處置應急預案管理3.3 技術標準、規范技術標準和規范是針對具體管理行為進行規范化操作流程的規定，包括各個安全等級區域網絡設備、主機操作系統和主要應用程序的應遵守的安全配置和管理的技術標準和規范。技術標準和規范將作為各個網絡設備、主機操作系統和應用程序的安裝、配置、采購、項目評審、日常安全管理和維護時必須

5、遵照的標準，不允許發生違背和沖突。例如制度及規范類文檔如下：表1管理制度及規范文檔序號管理制度及規范義檔1機構總體安全方針和政策方面的管理制度2安全管理活動中的各類管理內容的相關管理制度3部門設置、崗位設置及工作職責定義方面的管理制度4授權審批、審批流程等方面的管理制度5與外聯單位、供應商等合作相關管理制度6安全審核和安全檢查方面的管理制度7管理制度、操作規程修訂、維護方面的管理制度8人員錄用、離崗、考核等方面的管理制度9人員安全教育和培訓方面的管理制度10人員簽署保密協議相關管理制度第3頁共7頁安全管理體系建設方案11第二方人員訪問控制方面的管理制度12工程實施過程方面的管理制度13安全方案

6、設計相關管理制度14產品選型、米購方面的管理制度15軟件外包開發或自我開發方面的管理制度16測試、驗收方面的管理制度17系統交付相關管理制度18機房安全管理方面的管理制度19辦公環境安全管理方面的管理制度20資產、設備、介質安全管理方面的管理制度21信息分類、標識、發布、使用方面的管理制度22配套設施、軟硬件維護方面的管理制度23網絡安全管理（網絡配置、賬號管理等）方面的管理制度24系統安全管理（系統配置、賬號管理）方面的管理制度25系統監控、風險評估、漏洞掃描方面的管理制度26病毒防范方面的管理制度27系統變更控制方面的管理制度28密碼管理方面的管理制度29備份和恢復方面的管理制度30安全事

7、件報告和處置方面的管理制度31應急響應方法、應急響應計劃等方面的文件32其他文檔3.4 流程、表單及記錄安全流程和操作規程，詳細規定主要業務應用和事件處理的流程、步驟和相關注意事項。作為具體工作時的具體依照，此部分必須具有可操作性，而且必須得到有效推行和實施的。安全表單及記錄，落實安全流程和操作規程的具體表現，根據不同信息系統的要求可以通過不同方式的表單及記錄落實，并在日常工作中具體執行。主要包括日安全管理體系建設方案常操作的記錄、工作記錄、流轉記錄以及審批記錄等。可分為記錄類文檔和證據類文檔如下表：表2記錄類文檔序號記錄類文檔1機房出入登記記錄（包括第二方人員）2機房基礎設施維護記錄3各類會

8、議紀要或記錄（部門內、部門間協調會、領導小組）4各類評審和修訂記錄（安全管理制度評審和修訂記錄、體系評審記錄等）5人員考核、審查、培訓記錄（人員錄用、人員定期考核）、離崗手續6人員安全教育相關記錄7各項審批和批準執行記錄（來訪人員進入機房審批、介質/設備外帶審批、系統外聯審批等）8安全管理制度收發登記記錄9產品的選型測試結果記錄10系統驗收測試記錄、報告11介質歸檔、查詢等的登記記錄12主機系統、網絡、安全設備等的操作日志和維護記錄13機房日常巡檢記錄14對主機、網絡設備和應用軟件等的監控記錄和分析報告15惡意代碼檢測、升級記錄和分析報告16備份過程記錄17變更方案評審記錄和變更過程記錄18安

9、全事件處理過程記錄19應急預案培訓、演練、審查記錄20其他記錄文檔21機房防雷檢測報告22設備外出維修記錄23外來人員審批記錄24其他文檔第5頁共7頁安全管理體系建設方案表3證據類文檔序號證據類文檔1資產清單2機構安全管理人員崗位名單3外聯單位聯系列表4人員保密協議5關鍵崗位安全協議6候選產品名單7信息系統定級報告或定級建議書8系統備案材料9近期和遠期安全建設工作計劃、總體建設規劃書表3證據類文檔（續）序號證據類文檔1詳細設計方案2系統建設項目工程實施方案3系統驗收測試方噪4系統測試、驗收報告5系統交付清單6變更方案7變更申請書8信息系統定期安全檢測的檢查表和安全檢查報告9主要設備漏洞掃描報告10系統異常行為審計分析報告11