还剩30页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
信息系统信息安全等级保护-管理部分月日1214注如下所提供的材料包括制度、文档和记录清单•内容包括安全检查记录和成果通告记录,查看安全检查记录中记录时检查程序3人员安全管理
3.1人员录取
一、制度1)《人员录取规定管理文档》•内容包括录取人员应具有的条件,如学历、学位规定,技术人员应具有的专业技术水平,管理人员应具有的安全管理知识等
二、记录1)《有人员录取时对录取人身份、背景和专业资格和资质等进行审查的有关文档或记录》•文档或记录中有审查内容和审查成果2)《人员录取时的技能考核文档或记录》•内容包括笔试和面试日勺记录;•记录考核内容和考核成果等3)《保密协议》•内容包括与技术人员签订保密协议;•协议具有保密范围、保密责任、违约责任、协议欧I有效期限和负责人的签字等内容4)《岗位安全协议》•内容包括岗位安全责任、违约责任、协议的有效期限和负责人签字等
3.2人员离岗
一、制度1)《人员离岗的管理文档》•内容包括人员调离手续和离岗规定等
二、记录1)《对离岗人员的安全处理记录》•离岗人员交还身份证件、设备等的登记记录;•交还内容包括多种身份证件、钥匙、徽章等以及机构提供的软硬件设备等2)《按照离职程序办理调离手续的记录》•内容包括调离手续、调离流程;•按照离职程序办理调离手续日勺记录3)《保密承诺文档》•内容包括保密日勺内容,期限,调离人员的签字等
3.3人员考核文档1)《考核文档》•内容包括考核日勺对象、考核日勺周期;•考核内容规定包括安全知识、安全技能等•关键岗位人员特殊的考核内容
二、记录1)《人员安全审查记录》•内容包括审查人员包括各个岗位的人员,对关键岗位人员特殊的安全审查内容
3.4安全意识教育和培训
一、文档1)《安全教育和培训计划文档》•不一样岗位的培训计划•内容包括培训方式、培训对象、培训内容、培训时间和地点等;•培训内容与否包括信息安全基础知识、岗位操作规程等2)安全责任和惩戒措施管理文档•文档包括详细的安全责任和惩戒措施4)信息安全教育及技能培训和考核管理文档•包括培训周期、培训方式、培训内容和考核方式等有关内容
二、记录1)《具有安全教育和培训记录》•内容包括培训人员、培训内容、培训成果等的I描述
3.5外部人员访问管理
一、制度1)《外部人员访问管理文档》•内容包括容许外部人员访问的范围(区域、系统、设备、信息等内容)外部人员进入的条件(对哪些重要区域的访问须提出书面申请同意后方可进入)
3.6•外部人员进入的访问控制措施(由专人全程陪伴或监督等)和外部人员离开的条件等;
二、记录1)《外部人员访问重要区域的登记记录》•记录了外部人员访问重要区域的进入时间、离开时间、访问区域、访问设备或信息及陪伴人等信息2)《外部人员访问重要区域的同意文档》•内容包括外部人员访问重要区域日勺书面申请,同意人容许访问的同意签字等;4系统建设管理
4.1系统定级
一、文档1)《系统定级文档》•信息系统的定级汇报、立案表;•包括明确信息系统的边界和信息系统的安全保护等级,确定为某个安全等级的措施和理由;•有有关部门的同意盖章2)《专家论证文档》•专家对定级成果的I论证意见
4.2安全方案设计
一、文档1)《系统的I安全建设工作计划》•包括系统的近期安全建设计划和远期安全建设计划2)《系统总体安全方略、安全技术框架、安全管理方略、总体建设规划、详细设计方案》等配套文件•内容包括主管领导同意3)《系统的详细设计方案》•根据安全方案细化形成的I方案如指导安全系统建设、安全产品采购和使用的详细设计方案4)《专家论证文档》•内容包括有关部门和有关安全技术专家对总体安全方略、安全技术框架、安全管理方略、总体建设规划、详细设计方案等有关配套文件的论证意见5)《系统总体安全方略、安全技术框架、安全管理方略、总体建设规划、详细设计方案》等配套文件•包括配套文件的修订版本或记录
4.3产品采购和使用
一、文档1)《系统使用的有关信息安全产品符合国家的有关规定》•采购欧I流程;•安全产品;•安全产品具有有关凭证2)《密码产品的使用状况》•采购欧I流程;•安全产品;•密码产品具有有关凭证3)《产品采购管理文档》•包括需要日勺产品性能指标,确定产品的候选范围,通过招投标等方式确定采购产品及人员行为准则等方面;
二、记录1)《产品选型测试成果记录、候选产品名单审定记录或更新日勺候选产品名单》
4.4自行软件开发
一、制度1)《软件开发管理制度》•内容包括软件设计、开发、测试、验收过程的控制措施和人员行为准则,明确哪些开发活动应通过授权、审批,明确软件开发有关文档的管理等2)《代码编写规范》•包括代码编写规则等
二、文档1)《软件设计的有关文档(应用软件设计程序文件、源代码文档等)、软件使用指南或操作手册和维护手册》•软件设计有关文档;•软件使用指南或操作手册等;•专人负责文档保管
三、记录1)《对程序资源库的修改、更新、公布进行授权和审批的文档或记录》•包括同意人的签字
4.5外包软件开发
一、文档1)《需求分析阐明书、软件设计阐明书、软件操作手册、软件源代码文档等软件开发文档和使用指南》
二、记录
三、《软件源代码审查记录》•包括对可能存在后门日勺审查成果2)《软件安装之前检测软件中的恶意代码的记录》•检测工具是第三方的商业产品
4.6工程实施
一、制度1)《工程实施管理制度》•与否包括工程实施过程的控制措施、实施参与人员的行为准则等方面内容
二、文档1)《工程实施方案》•包括工程时间限制、进度控制和质量控制等方面内容
三、记录1)《按照实施方案形成的阶段性工程汇报》
4.7测试验收•、制度1)《测试验收管理文档》•包括系统测试验收的过程控制措施、参与人员的行为规范等内容
二、文档2)测试汇报•系统安全性测试汇报;•系统测试验收汇报3)《工程测试验收方案》•内容包括参与测试的部门、人员、测试验收的内容、现场操作过程等4)《测试验收记录》5)《系统测试验收汇报》•内容包括系统测试验收的过程控制措施、参与人员的行为规范等6)《系统安全性测试汇报》•内容包括测试通过的结论(假如汇报中提出了存在的问题,则检查与否有针对这些问题的改善汇报),与否有第三方测试机构的签字或盖章7)对测试验收汇报的审定文档•内容包括有关人员的审定意见
4.8系统交付
一、文档1)《系统交付管理文档》•内容包括交付过程的控制措施和对交付参与人员的行为限制等
二、记录1)《系统交付清单》•内容包括包括所交接的设备、文档、软件等;2)《培训记录》•系统交付技术培训记录,包括培训内容、培训时间和参与人员等
4.9系统立案
一、文档1)立案的记录或立案文档•内容包括将系统等级有关材料报主管部门立案的记录或立案文档;2)公安机关立案的记录或证明•内容包括将系统等级有关立案材料报对应公安机关立案的记录或证明;3)系统定级有关材料日勺合用控制记录安全管理制度错误!未定义书签
4.10安全服务商选择
一、文档1)《与安全服务商签订的J安全责任协议书或保密协议等文档》•对信息系统进行安全规划、设计、实施、维护、测评等服务的安全服务单位;•安全服务商的安全资质文件;•内容包括与所有安全服务商签订的安全责任协议书或保密协议文档,文档中有保密范围、安全责任、违约责任、协议的有效期限和负责人的签字等2)《与安全服务商签订的服务协议》5系统运维管理
5.1环境管理
一、制度1)《机房安全管理制度》•内容覆盖机房物理访问、物品带进、带出机房和机房环境安全等方面
二、文档1)《机房消防管理制度和消防预案》2)《办公环境管理措施》•规范办公环境内人员的|行为;•工作人员离开座位保证终端计算机退出登录状态;•桌面上没有包括敏感信息的纸档文件;•工作人员调离办公立即交还该办公室钥匙和不在办公区接待来访人员等
三、记录1)《机房基础设施维护记录》•内容包括记录维护日期、维护人、维护设备、故障原因、维护成果等2)《消防设施巡检记录表》
5.2资产管理
一、制度1)《资产安全管理制度》•内容包括明确信息资产管理日勺责任部门、负责人等;•其覆盖资产使用、借用、维护等方面•内容包括根据资产的重要程度对资产进行分类和标识管理,不一样类别的资产与否采取不一样的管理措施2)《信息分类文档》•内容与否明确了信息分类标识的原则和措施
二、记录1)《资产清单》
5.3介质管理
一、制度1)介质管理制度•介质的维修或销毁流程、维修或销毁制度;•内容包括在介质物理传播过程中对人员选择、打包、交付等状况进行控制;•内容包括对存储介质的使用过程、送出维修以及销毁等进行严格管理的措施和对带出工作环境的存储介质进行内容加密和监控管理日勺措施•介质的分类、标识
二、记录1)《介质管理记录》•具有介质寄存在安全的I环境(防潮、防盗、防火、防磁,专用存储空间);•内容包括对某些重要介质实行异地存储,异地存储环境与否与当地环境相似;•内容包括定期对其完整性(数据与否损坏或丢失)和可用性(介质与否受到物理破坏)进行检查;•介质的存档、查询、借用等记录;•根据介质的目录清单对介质的使用现实状况进行定期检查的记录
5.4设备管理
一、制度1)《设备安全管理制度》•对多种软硬件设备的I选型、采购、发放和领用以及带离机构等环节进行申报和审批2)《配套设施、软硬件维护方面日勺管理制度》•内容包括对配套设施、软硬件维护进行有效日勺管理,包括明确维护人员的责任、涉外维修和服务的审批、维修过程的监督控制管理等
二、文档1)《设备使用管理文档》•对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行管理2)《关键设备(包括备份和冗余设备)的操作规程》•重要设备(包括备份和冗余设备)时启动、停止、加电/断电等操作欧I手册或规程;•定期对日志管理状况日勺检查对日志管理状况进行检查的记录•内容具有设备维护记录和重要设备的操作日志3)《申报材料和审批汇报》•内容具有设备的选型、采购、发放和领用以及带离机构等申请汇报
5.5监控管理和安全管理中心
一、制度1)《安全管理中心》•对通信线路、主机、网络设备和应用软件的运行状况,对设备状态、恶意代码、网络流量、补丁升级、安全审计等安全有关事项进行集中管理
二、文档1)《监测记录》•内容包括记录监控对象、监控内容、监控日勺异常现象处理等方面2)《监测分析汇报》•内容包括监测的I异常现象、处理措施等
5.6网络安全管理
一、制度3)《网络安全管理制度》•对网络安全配置、日志保留时间、安全方略、升级与打补丁、口令更新周期、文件备份等方面作出规定,查看安全方略与否包括容许或者拒绝便携式和移动式设备的网络接入•内容具有网络设备配置文件的离线备份文件
二、文档1)《网络漏洞扫描汇报》•漏洞扫描的制度、漏洞扫描汇报2)《内部网络外联的J授权同意书》•外联的对象和授权同意书3)《网络设备配置文件的备份文件》4)网络设备升级更新日勺工作记录5)《网络审计日志》
5.7系统安全管理
一、制度1)《系统安全管理制度》•对系统安全方略、安全配置、日志管理和平常操作流程等方面作出规定2)《系统安全访问控制方略阐明文档》•内容包括根据业务需求和系统安全分析制定系统的访问控制方略,控制分派文件及服务的访问权限
二、文档1)补丁测试记录和系统补丁安装操作记录2)《详细操作日志(包括重要的平常操作、运行维护记录、参数的设置和修改等内容);•内容包括重要的平常操作、运行维护记录、参数的设置和修改等3)《定期对运行日志和审计成果进行分析欧I记录》•查看汇报与否可以记录帐户的持续多次登录失败、非工作时间的登录、访问受限系统或文件的I失败尝试、系统错误等非正常事件4)《系统漏洞扫描汇报》•漏洞扫描制度和漏洞扫描汇报
5.8恶意代码防备管理
一、制度1)《恶意代码防备管理文档》•包括防恶意代码软件的授权使用、恶意代码库升级、定期汇报等方面2)《对员工的恶意代码防备教育的有关培训文档》
二、记录1)《恶意代码检测记录》•指定专人对网络和主机进行恶意代码检测的记录2)《恶意代码库升级记录》•内容包括查看升级记录与否记录升级时间、升级版本等3)《分析汇报》•内容包括分析汇报与否描述恶意代码的特性、修补措施等
5.9密码管理
一、制度1)《密码使用管理制度》•具有密码使用管理制度
5.10变更管理•、制度1)《变更管理制度》•内容覆盖变更前审批、变更过程记录、变更后通报等方面•内容包括变更控制的申报、审批程序,查看其与否规定需要申报时变更类型、申报流程、审批部门、同意人等方面•检查变更失败恢复程序,查看其与否规定变更失败后的恢复流程
二、文档2)《系统变更方案》•内容包括变更类型、变更原因、变更过程、变更前评估等方面进行规定3)《重要系统的I变更申请书》4)《变更过程记录文档》
三、记录•《变更方案评审记录》
5.11备份与恢复管理
一、文档1)《备份管理文档》•内容包括备份方式、备份频度、存储介质和保留期等方面内容;•各系统日勺备份文档或备份流程(包括网络、系统、数据库、应用系统等)2)《数据备份和恢复方略文档》•内容包括备份数据的I寄存场所、文件命名规则、介质替代频率、数据离站传播措施等方面;•备份与恢复的流程(包括网络、系统、数据库、应用系统等)3)《需要定期备份的I重要业务信息、系统数据、软件系统的列表或清单》•内容包括业务信息、系统数据及软件系统等
二、记录1)《备份和恢复记录》•内容包括备份内容、备份操作、备份介质寄存等,记录内容与备份和恢复方略与否一致
5.12安全事件处置
一、制度1)《安全事件汇报和处置管理制度》•内容包括本系统已发生的和需要防止发生的安全事件类型,包括安全事件的现场处理、事件汇报和后期恢复的管理职责,不一样安全事件与否采取不一样的处理和汇报程序
二、文档
1.
4.
5.
5.9备份与恢复管理错误!未定义书签
5.10安全事件处置错误!未定义书签
5.13应急预案管理
一、制度1)《应急预案框架》•覆盖启动计划的I条件、应急处理流程、系统恢复流程和事后教育等内容,与否有应急预案小组2)《期审查应急预案》•内容包括明确应急预案中需要定期审查和根据实际状况更新的内容
二、文档1)《根据应急预案框架制定的I不一样事件的应急预案》•不一样事件详细是根据应急预案文档和安全事件定级文档里面所规定的内容2)《应急预案培训记录》•培训记录内容包括培训内容、培训日期等3)《应急预案演习记录》•演习周期多长,与否对应急预案定期进行审查4)《审查记录》•审查记录内容包括审查内容、审查日期等1安全管理制度
1.1安全管理
一、制度1)《安全工作的总体方针、政策性文件和安全方略文件》•内容包括机构安全工作的总体目标、范围、方针、原则和安全框架等2)《安全管理制度》•内容包括物理、网络、主机系统、数据、应用、建设和管理等层面各类管理内容)制度体系3•包括由总体方针、安全方略、管理制度、操作规程等构成
二、文档1)《平常管理操作的操作规程》•内容包括如系统维护手册和顾客操作规程等
1.2制定和公布
一、制度1)《制度制定和公布规定管理文档》•内容包括安全管理制度的制定和公布程序、格式规定及版本编号等•内容包括文档的正式公布时间,合用和公布范围,版本标识,管理层的签字或单位盖章;各项制度欧J文档格式等等;
二、记录1)《管理制度评审记录》•内容包括有关人员的评审意见2)安全管理制度的收发登记记录•内容包括收发通过正式、有效的方式(如正式发文、领导签订和单位盖章等),公布范围规定
1.3评审和修订
一、制度1)修订过时安全管理制度
二、记录1)《安全管理制度评审记录(修订时)》•内容包括有关人员的评审意见,评审周期2)《安全管理制度的检查/评审记录》•安全管理制度日勺修订版本3)全管理制度体系的评审记录•内容包括有关人员的评审意见,评审周期2安全管理机构
2.1岗位职责文件
一、制度1)《部门、岗位职责文件》•内容包括安全管理机构的职责,机构内各部门的职责和分工,部门职责涵盖物理、网络和系统安全等各个方面;•安全主管、安全管理各个方面的I负责人、机房管理员、系统管理员、网络管理员、安全管理员等各个岗位•各个岗位的职责范围清晰、明确;•各个岗位人员应具有日勺技能规定;2)《信息安全管理委员会职责文件》•内容包括委员会职责和其最高领导岗位的职责;
二、记录1)《安全管理委员会或领导小组最高领导委任授权书》•内容包括本单位主管领导的授权签字2)《平常管理工作执行状况的工作记录》•内容包括安全管理各部门和信息安全管理委员会或领导小组平常工作的执行状况日勺记录
2.2人员配置
一、制度1)《人员配置规定管理文档》•内容包括应配置的J某些安全管理人员,包括机房管理员、系统管理员、数据库管理员、网络管理员、安全管理员等重要岗位•配置专职的安全管理员;•对某些关键事务的管理人员应配置2人或2人以上共同管理,配置人员改J详细规定;
二、记录1)《安全管理各岗位人员信息表》•内容包括机房管理员、系统管理员、数据库管理员、网络管理员、安全管理员等重要岗位人员的信息;•安全员要专职的(不能网络管理员、系统管理员、数据库管理员等岗位);•数据库管理员和系统管理员要由不一样人担任
2.3授权和审批
一、制度1)《审批管理制度文档》•内容包括审批事项、需逐层审批日勺事项、审批部门、同意人及审批程序等,•系统变更、重要操作、物理访问和系统接入等事项的审批流程;•定期审查、更新审批日勺项目、审批部门、同意人和审查周期等;
二、文档1)《逐层审批的文档》•系统变更、重要操作、物理访问和系统接入等关键活动的审批记录需要有同意人日勺签字和审批部门的盖章2)关键活动的审批过程记录
2.4沟通和合作
一、记录1)《外联单位联络列表》•内容包括包括公安机关、电信企业、兄弟企业、供应商,业界专家、专业的安全企业和安全组织等外联单位;•阐明外联单位的名称、联络人、合作内容和联络方式等内容2)《组织机构内部人员联络表》3)《组织内部机构间/信息安全职能部门内部的安全工作会议文件/记录》•内容包括会议内容、会议时间、参加人员和会议成果等4)《信息安全领导小组/安全管理委员会定期例会会议文件/记录》•内容包括会议内容、会议时间、参加人员、会议成果等•内容包括安全顾问指导信息安全建设、参与安全规划和安全评审等记录
2.5安全检查
一、制度1)《安全检查管理制度文档》•内容包括定期进行全面安全检查,检查内容、检查程序和检查周期等•检查内容包括既有安全技术措施的有效性、安全配置与安全方略的一致性、安全管理制度的执行状况等;
二、记录1)《安全管理员定期实施安全检查的文档或记录》•内容包括包括系统平常运行、系统漏洞和数据备份等状况欧I检查记录;•系统平常运行、系统漏洞和数据备份等状况检查周期2)《全面安全检查汇报》•内容包括汇报日期间隔,检查周期,检查内容、检查人员、检查数据汇总表、检查成果等的描述•检查内容包括既有安全技术措施的有效性、安全配置与安全方略的一致性、安全管理制度的执行状况等;。
个人认证
优秀文档
获得点赞 0
