一般情况下,一套全面的安全管理制度体系最常见的为四层架构,即由网络安全工作的总体方针策略、各种安全管操作规程和安全配置规范、各类记录表单构成。
一级文件: 安全策略:阐明使命和意愿,明确安全总体目标,范围、原则和安全框架等,建立工作运行模式等。
二级文件: 管理制度:对信息系统的建设、开发、运维升级和改造各个阶段和环节应遵循的行为加以规范。
三级文件: 操作规范:对各项的具体操作步骤和方法,可以是一个手册、一个流程图、或者是一个实施方法。
四级文件: 记录表单:日常运维记录、审批记录、会议纪要等文档。
以等保三级为例,通常情况下所需的制度、文档清单如下:
| 文件级别 |
分类 |
文件内容 |
| 一级文件 |
安全策略 |
安全策略总纲 |
| 二级文件 |
管理制度 |
管理制度制定、发布、维护方面的管理制度 |
| 安全管理机构 |
安全组织及岗位职责管理制度 |
|
| 授权审批类制度 |
||
| 安全审核和检查制度 |
||
| .... |
||
| 安全管理人员 |
人员录用、离岗、考核等方面的管理制度 |
|
| 人员安全教育和培训方面的管理制度 |
||
| 外部人员管理制度 |
||
| .... |
||
| 安全建设管理 |
工程实施过程管理方面的管理制度 |
|
| 产品选型、采购方面的管理制度 |
||
| 测试、验收、交付方面的管理制度 |
||
| 软件开发管理制度 |
||
| 代码编写安全规范 |
||
| 外包软件开发管理制度 |
||
| ...... |
||
| 安全运维管理 |
办公环境管理制度 |
|
| 机房安全管理制度 |
||
| 资产安全管理制度 |
||
| 介质安全管理制度 |
||
| 设备安全管理制度 |
||
| 网络系统安全管理制度 |
||
| 恶意代码防范管理制度 |
||
| 密码管理制度 |
||
| 配置管理制度 |
||
| 变更管理制度 |
||
| 备份与恢复管理制度 |
||
| 安全事件管理制度 |
||
| 应急预案管理制度(包括各类专项应急预案) |
||
| ...... |
||
| 三级文件 |
配置规范 |
网络/安全设备、操作系统、数据库等的配置基线 |
| 操作手册 |
应用软件设计程序文件 |
|
| 软件使用指南 |
||
| 源代码说明文档 |
||
| 操作运维手册(流程表单/图、实施方法) |
||
| ...... |
||
| 四级文件 |
记录、表单类 |
制度制定、修改记录 |
| 各类审批记录 |
||
| 培训记录 |
||
| 会议记录 |
||
| 安全检查表、安全检查报告等 |
||
| 安全管理岗位人员信息表 |
||
| 网络安全外联单位沟通合作联系表 |
||
| 保密协议 |
||
| 关键岗位安全协议 |
||
| 人员录用、离职记录 |
||
| 程序资源库的修改、更新、发布进行授权审批记录 |
||
| 工程实施方案 |
||
| 测试验收方案、记录等 |
||
| 安全测试报告 |
||
| 交付清单 |
||
| 服务供应商合同、协议等 |
||
| 对服务供应商的安全考核记录 |
||
| 外部人员访问登记登记审批表 |
||
| 外部人员访问登记记录表 |
||
| 外部人员保密协议 |
||
| 采购申请审批单 |
||
| 资产清单 |
||
| 等级保护对象资产报废申请表 |
||
| 设备出门条 |
||
| 设备维护记录表 |
||
| 网络安全事件报告表 |
||
| 系统异常事件处理记录 |
||
| 应急处置审批表 |
||
| 漏洞扫描、风险评估报告 |
||
| 恶意代码检查记录、病毒处置记录 |
||
| 数据备份、恢复测试等记录 |
||
| 日常运维表单、记录 |
||
| 系统变更方案、审批记录 |
||
| 应急演练、培训记录 |
||
| ...... |
企业可以根据自身情况进行选择调整,比如:没有自己的开发团队,那么软件开发管理制度、代码编写安全规范,就可以没有;软件定制开发交由外包团队开发实现,则需要外包开发管理制度。