一般情況下,一套全面的安全管理制度體系最常見的為四層架構,即由網絡安全工作的總體方針策略、各種安全管操作規程和安全配置規范、各類記錄表單構成。
一級文件: 安全策略:闡明使命和意願,明確安全總體目標,范圍、原則和安全框架等,建立工作運行模式等。
二級文件: 管理制度:對信息系統的建設、開發、運維升級和改造各個階段和環節應遵循的行為加以規范。
三級文件: 操作規范:對各項的具體操作步驟和方法,可以是一個手冊、一個流程圖、或者是一個實施方法。
四級文件: 記錄表單:日常運維記錄、審批記錄、會議紀要等文檔。
以等保三級為例,通常情況下所需的制度、文檔清單如下:
| 文件級別 |
分類 |
文件內容 |
| 一級文件 |
安全策略 |
安全策略總綱 |
| 二級文件 |
管理制度 |
管理制度制定、發布、維護方面的管理制度 |
| 安全管理機構 |
安全組織及崗位職責管理制度 |
|
| 授權審批類制度 |
||
| 安全審核和檢查制度 |
||
| .... |
||
| 安全管理人員 |
人員錄用、離崗、考核等方面的管理制度 |
|
| 人員安全教育和培訓方面的管理制度 |
||
| 外部人員管理制度 |
||
| .... |
||
| 安全建設管理 |
工程實施過程管理方面的管理制度 |
|
| 產品選型、采購方面的管理制度 |
||
| 測試、驗收、交付方面的管理制度 |
||
| 軟件開發管理制度 |
||
| 代碼編寫安全規范 |
||
| 外包軟件開發管理制度 |
||
| ...... |
||
| 安全運維管理 |
辦公環境管理制度 |
|
| 機房安全管理制度 |
||
| 資產安全管理制度 |
||
| 介質安全管理制度 |
||
| 設備安全管理制度 |
||
| 網絡系統安全管理制度 |
||
| 惡意代碼防范管理制度 |
||
| 密碼管理制度 |
||
| 配置管理制度 |
||
| 變更管理制度 |
||
| 備份與恢復管理制度 |
||
| 安全事件管理制度 |
||
| 應急預案管理制度(包括各類專項應急預案) |
||
| ...... |
||
| 三級文件 |
配置規范 |
網絡/安全設備、操作系統、數據庫等的配置基線 |
| 操作手冊 |
應用軟件設計程序文件 |
|
| 軟件使用指南 |
||
| 源代碼說明文檔 |
||
| 操作運維手冊(流程表單/圖、實施方法) |
||
| ...... |
||
| 四級文件 |
記錄、表單類 |
制度制定、修改記錄 |
| 各類審批記錄 |
||
| 培訓記錄 |
||
| 會議記錄 |
||
| 安全檢查表、安全檢查報告等 |
||
| 安全管理崗位人員信息表 |
||
| 網絡安全外聯單位溝通合作聯系表 |
||
| 保密協議 |
||
| 關鍵崗位安全協議 |
||
| 人員錄用、離職記錄 |
||
| 程序資源庫的修改、更新、發布進行授權審批記錄 |
||
| 工程實施方案 |
||
| 測試驗收方案、記錄等 |
||
| 安全測試報告 |
||
| 交付清單 |
||
| 服務供應商合同、協議等 |
||
| 對服務供應商的安全考核記錄 |
||
| 外部人員訪問登記登記審批表 |
||
| 外部人員訪問登記記錄表 |
||
| 外部人員保密協議 |
||
| 采購申請審批單 |
||
| 資產清單 |
||
| 等級保護對象資產報廢申請表 |
||
| 設備出門條 |
||
| 設備維護記錄表 |
||
| 網絡安全事件報告表 |
||
| 系統異常事件處理記錄 |
||
| 應急處置審批表 |
||
| 漏洞掃描、風險評估報告 |
||
| 惡意代碼檢查記錄、病毒處置記錄 |
||
| 數據備份、恢復測試等記錄 |
||
| 日常運維表單、記錄 |
||
| 系統變更方案、審批記錄 |
||
| 應急演練、培訓記錄 |
||
| ...... |
企業可以根據自身情況進行選擇調整,比如:沒有自己的開發團隊,那么軟件開發管理制度、代碼編寫安全規范,就可以沒有;軟件定制開發交由外包團隊開發實現,則需要外包開發管理制度。