安全管理體系建設(shè)
1 概述
1.1 簡介
安全管理體系建設(shè)包含:安全管理制度���、安全管理機構(gòu)����、人員安全管理��、系統(tǒng)建設(shè)安全管理和系統(tǒng)運維安全管理等各個方面����,依據(jù)相關(guān)的安全準則,結(jié)合企業(yè)自身及網(wǎng)絡(luò)系統(tǒng)的構(gòu)成特點���,確定具體的各方面的制度��。
1.2 目標
安全管理機構(gòu) :包括職能部門崗位設(shè)置���;系統(tǒng)管理員、網(wǎng)絡(luò)管理員�、安全管理員的人員配備;授權(quán)和審批�;管理人員、內(nèi)部機構(gòu)和職能部門間的溝通和合作����;定期的安全審核和安全檢查����。
安全管理制度 :包括安全策略���、安全制度���、操作規(guī)程等的管理制度��;管理制度的制定和發(fā)布���;管理制度的評審和修訂�����。
人員安全管理 :包括人員錄用��;人員離崗�;人員考核�����;安全意識教育和培訓;外部人員訪問管理��。
系統(tǒng)建設(shè)管理 :包括系統(tǒng)定級��;安全方案設(shè)計�;產(chǎn)品采購和使用;自行軟件開發(fā)��;外包軟件開發(fā)��;工程實施��;測試驗收�;系統(tǒng)交付;系統(tǒng)備案����;等級測評;安全服務(wù)商選擇����。
系統(tǒng)運維管理 :包括機房環(huán)境管理;信息資產(chǎn)管理���;介質(zhì)管理���;設(shè)備管理�����;
監(jiān)控管理和安全管理中心�����;網(wǎng)絡(luò)安全管理����;系統(tǒng)安全管理����;惡意代碼防范管理�����;密碼管理��;變更管理�;備份與恢復管理;安全事件處置�����;應(yīng)急預案管理。
2 安全管理體系框架圖
安全管理制度體系層次圖:
3 安全管理制度體系
3.1安全方針政策
**方針���,綱領(lǐng)性的安全策略主文檔��,陳述本策略的目的����、適用范圍��、信息安全的管理意圖�、支持目標以及指導原則,信息安全各個方面所應(yīng)遵守的原則方法和指導性策略����。
3.2安全管理制度
各類管理規(guī)定、管理辦法和暫行規(guī)定���。從安全策略主文檔中規(guī)定的安全各個方面所應(yīng)遵守的原則方法和指導性策略引出的具體管理規(guī)定�、管理辦法和實施辦法���,是必須具有可操作性����,而且必須得到有效推行和實施的。安全管理制度要求見下圖�����,在建立制度的時候可以參考:
3.3技術(shù)標準�����、規(guī)范
技術(shù)標準和規(guī)范是針對具體管理行為進行規(guī)范化操作流程的規(guī)定����,包括各個安全等級區(qū)域網(wǎng)絡(luò)設(shè)備、主機操作系統(tǒng)和主要應(yīng)用程序的應(yīng)遵守的安全配置和管理的技術(shù)標準和規(guī)范���。技術(shù)標準和規(guī)范將作為各個網(wǎng)絡(luò)設(shè)備、主機操作系統(tǒng)和應(yīng)用程序的安裝��、配置����、采購、項目評審、日常安全管理和維護時必須遵照的標準�����,不允許發(fā)生違背和沖突�。
3.4流程、表單及記錄
安全流程和操作規(guī)程�����,詳細規(guī)定主要業(yè)務(wù)應(yīng)用和事件處理的流程���、步驟和相關(guān)注意事項�����。作為具體工作時的具體依照�,此部分必須具有可操作性��,而且必須得到有效推行和實施的��。
安全表單及記錄�����,落實安全流程和操作規(guī)程的具體表現(xiàn),根據(jù)不同信息系統(tǒng)的要求可以通過不同方式的表單及記錄落實���,并在日常工作中具體執(zhí)行�。主要包括日常操作的記錄����、工作記錄、流轉(zhuǎn)記錄以及審批記錄等��。
部分圖文轉(zhuǎn)載自網(wǎng)絡(luò)���,版權(quán)歸原作者所有����,如有侵權(quán)請聯(lián)系我們刪除����。如內(nèi)容中如涉及加盟,投資請注意風險�,并謹慎決策
