基于等保2.0的管理制度体系文档Word文件下载.docx
《基于等保2.0的管理制度体系文档Word文件下载.docx》由会员分享,可在线阅读,更多相关《基于等保2.0的管理制度体系文档Word文件下载.docx(65页珍藏版)》请在冰豆网上搜索。
第一条公司网络安全以满足信息系统运行要求,遵守相关规程,实施等级
保护及风险管理,确保网络安全,实现持续改进。
以信息网络的硬件、软件及其
系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,
系统连续可靠正常地运行,信息服务不中断为总体安全方针。
第二条本制度适用于公司及所属单位网络安全工作。
在全公司范围内给予
执行,由信息部门对该项工作的落实和执行进行监督,公司所属单位配合xxx
部门对本制度的有效性进行持续改进。
第三条以谁主管谁负责为原则,加强对网络安全的管理。
第四条建立一套关于物理、主机、网络、应用、数据、建设和管理等六个
方面的安全需求、控制措施及执行程序,并定义相关的安全角色,并对其赋予管
理职责。
加强对网络安全工作人员的安全意识培训,不断优化系统分布的合理性和有效性。
第五条安全层面
(一) 物理方面:
依据实际情况建立机房管理制度,明确机房的出入管理要
求,机房介质存放方式,机房设备维护周期及维护方式,机房设备信息保密要求,
机房温湿度控制方式等环境要求。
明确机房责任人、建立机房管理相关制度、对
维护和出入等过程建立记录等方式对机房安全进行保护。
(二) 网络方面:
从技术角度实现网络的合理分布、网络设备的实施监控、
网络访问策略的统一规划、网络安全扫描以及对网络配置文件等必要信息进行定
期备份。
从管理角度明确网络各个区域的安全责任人,建立网络维护方面相关操
作办法,并由相关人员或部门监督执行,确保各信息系统网络运行情况稳定、可靠、正常的运行。
(三) 主机方面:
各类主机操作系统和数据库系统在满足各类业务系统的正
常运行条件下,建立系统访问控制办法、划分系统使用权限、安装恶意代码防范
软件并对恶意代码的检查过程进行记录。
明确各类主机的责任人,对主机关键信息进行定期备份。
(四) 应用方面:
从技术角度实现应用系统的操作可控、访问可控、通信可
控。
从管理角度实现各类相应控制办法的有效执行,建立完善的维护操作规程,明确定期备份内容。
(五) 数据方面:
对本单位或部门的各类业务数据、设备配置信息、总体规
划信息等关键数据建立维护办法,并由相关部门或人监督、执行。
通过汇报或存储方式实现关键数据的安全传输、存储和使用。
(六) 网络安全管理机制:
成立网络安全管理主要机构或部门,设立安全主
管等主要安全角色,依据网络安全等级保护三级标准(要求),建立信息系统管理办法。
(七) 网络安全管理组织:
建立安全管理岗位和机构的职责文件,对机构和
人员的职责进行明确。
建立信息发布、变更、审批等流程和制度类文件,增强制
度的有效性。
建立安全审核和检查的相关制度及报告方式。
(八) 人员安全管理要求:
对人员的录用、离岗、考核、培训、安全意识教
育等方面应通过制度和操作程序进行明确,并形成记录文件。
(九) 网络安全等级保护工作及风险评估要求:
定期对已备案的信息系统进
行等级保护测评,以保证信息系统运行风险维持在较低水平,不断增强系统的稳定性和安全性。
(十)报告安全事件要求:
对突发安全事件建立应急预案管理制度和相关操
作办法,并定期组织人员进行演练,以保证信息系统在面临突发事件时能够在较短时间内恢复正常的使用。
(十一)业务持续性要求:
根据对系统的等级测评、风险评估等间接问题挖
掘,及时改进信息系统的各类弊端,包括业务弊端,应建立相关改进措施或改进办法,以保证对信息系统的业务持续性要求。
(十二)违反网络安全要求的惩罚:
建立惩处办法,对违反网络安全总体方
针、安全策略的、程序流程和管理措施的人员,依据问题的严重性进行惩罚。
第二章网络安全组织机构和人员管理
第六条组织机构和人员
(一)组织机构
1.成立信息化(安全)领导小组,组长为单位主要领导。
领导小组是网络
安全的最高决策机构,下设办公室挂靠在信息部门,负责领导小组的日常事务。
(1) 领导小组下设两个工作组:
网络安全工作组、应急处理工作组。
(2) 领导小组的职责主要包括:
根据国家和行业有关网络安全的政策、法
律和法规,批准单位网络安全总体策略规划、安全管理制度体系建设、管理规范
和技术标准;
确定单位网络安全各有关部门工作职责,指导、监督网络安全工作。
2.网络安全工作组组长由单位信息部门的负责人担任,其主要职责:
(1) 贯彻执行公司信息化(安全)领导小组的决议,协调和规范公司网络安全工作。
(2) 根据信息化(安全)领导小组的工作部署,对网络安全工作进行具体安排、落实。
(3) 定期组织对网络安全工作制度和技术操作策略进行审查,根据审查结
果对网络安全工作制度进行修订,并拟订网络安全总体策略规划,并监督执行。
(4) 负责协调、督促各职能部门的网络安全工作,参与信息系统工程建设中的安全规划,监督安全措施的执行。
(5) 组织网络安全工作检查,分析网络安全总体状况,提出分析报告和安全风险的防范对策。
(6) 负责接受各部门的紧急网络安全事件报告,组织进行事件调查,分析
原因、涉及范围,并评估安全事件的严重程度,提出网络安全事件防范措施。
(7) 及时向领导小组和上级有关部门报告网络安全事件。
(8) 跟踪先进的网络安全技术,组织网络安全知识的培训和宣传工作。
3.应急处理工作组组长由单位应急部门的主要负责人担任,其主要职责:
(1) 制定单位网络与信息系统的安全应急策略及应急预案。
(2) 决定相应应急预案的启动,负责现场指挥,并组织相关人员排除故障,恢复系统。
(3) 每年组织对网络安全应急策略和应急预案进行培训和演练。
(二)网络安全管理员条件
1.网络安全管理员应当政治可靠、业务素质高、遵纪守法、恪尽职守。
2.网络安全管理员应有计算机专业工作三年以上经历,具备专科以上学历。
3.网络安全管理员的配备和变更情况,应向单位主要领导报告、备案。
4.违反国家法律、法规和行业规章受到处罚的人员,不得从事网络安全管理与技术工作。
5.网络安全管理员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务。
6.信息系统关键岗位应与公司签订安全责任书。
(见附件二十二)
(三) 网络安全管理员职责
1.负责网络安全管理的日常工作,实行多人共同管理制。
2.开展网络安全检查工作,对关键岗位人员安全工作进行指导和监督。
3.负责维护和审查有关安全审计记录,及时发现存在问题,提出安全风险防范对策。
4.开展网络安全知识的培训和宣传工作。
5.监控网络安全总体状况,提出网络安全分析报告。
6.及时向信息化(安全)工作领导小组和单位报告网络安全事件。
7.网络安全管理员发现本单位重大网络安全隐患,有权向上级机构网络安全主管部门报告。
8.网络安全管理员发现信息系统关键岗位人员使用不当,应及时建议部门进行调整。
9.网络安全管理员必须严格遵守国家有关法律、法规和公司有关规章制度,严守公司商业秘密。
(四) 关键岗位人员管理
1.信息系统关键岗位人员是指与重要信息系统直接相关的安全管理人员、网络管理人员、系统管理人员等岗位人员。
2.重要信息系统,是指涉及生产、建设与经营、管理等核心业务且有保密要求的信息系统。
3.关键岗位人员上岗前必须经单位人事部门进行政治素质审查,信息化管理部门进行业务技能考核,工作经历和工作经验考查等,合格者方可上岗。
4.关键岗位人员有责任保护信息系统的秘密,并以签署保密协议的方式作出安全承诺。
5.关键岗位人员上岗必须实行“权限分散、不得交叉覆盖”的原则。
系统管理人员、网络管理人员、系统开发人员、系统维护人员不得兼任业务操作员;
系统开发人员原则上不应兼任系统管理员。
6.对关键岗位人员应实行定期考查制度,关键岗位人员应定接受安全培训,加强自身安全意识和风险防范意识。
7.关键岗位人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务;
涉及公司业务保密信息的关键岗位人员调离单位,必须进行离岗审计,在规定的脱密期后,方可调离。
9.关键岗位人员离岗后,必须即刻更换操作密码或注销用户。
10.安全管理人员责任:
(1) 负责系统的运行管理,实施系统安全运行细则。
(2) 严格用户权限管理,维护系统安全正常运行。
(3) 认真记录系统安全事项,及时向网络安全管理员报告安全事件。
(4) 对进行系统操作的其他人员予以安全监督。
11.网络管理人员责任:
(1) 负责网络的运行管理,实施网络安全策略和安全运行细则。
(2) 安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运行。
(3) 监控网络关键设备、网络端口、网络物理线路,防范黑客入侵,及时向网络安全人员报告安全事件。
(4) 对操作网络管理功能的其他人员进行安全监督。
12.系统管理人员责任
(1) 负责系统维护,及时解除系统故障,确保系统正常运行。
(2) 不得擅自改变系统功能。
(3) 不得安装与系统无关的其他计算机程序。
(4) 维护过程中,发现安全漏洞应及时报告网络安全管理员。
第三章网络安全检查与审计管理
第七条安全检查和审计
(一)安全检查
1.安全检查包括信息系统运维部门自查和负责网络安全的人员定期执行的安全检查。
2.信息系统运维部门的自查内容应包括业务系统日常运行、系统漏洞和数据备份等情况,自查工作应保留自查结果。
自查应至少一个季度组织一次。
3.负责网络安全的人员执行的安全检查内容应包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况和业务人员自查结果抽查等。
安全检查应至少半年组织一次。
4.自查和安全检查均应在检查之前形成检查表,应严格按照检查表实施检查,检查完毕,记录下所有检查结果。
应对检查记录进行归档,只有授权人员可以访问阅读。
应对检查结果进行汇总分析,形成安全检查报告,检查报告应对问题进行分析,提出解决建议。
5.应制定措施防止安全检查结果的非授权散布,只对经过授权的人员通报安全检查结果。
6.信息系统运维部门应阅读并理解安全检查报告,在网络安全人员的指导下对出现的问题进行整改。
负责网络安全的人员应对整改过程进行监督,并将整改结果报送网络安全领导小组。
(二)安全审计
1.安全审计作为整体审计工作的一个部份,依据审计工作相关管理要求开展安全审计工作。
2.安全审计人员的配备应根据实际情况,采用如下方法的一种,原则上应以独立的安全审计人员为主,其他手段为辅。
(1) 由审计人员独立完成,使用具备相应技能的人员完成审计工作;
(2) 由审计人员和信息系统运维部门共同完成,信息系统运维部门指派熟悉技术的人员配合审计人员完成审计工作,本情形需注意审计独立的原则,进行交叉审计;
(3) 聘请外部专业审计单位完成审计工作。
3.安全审计的内容主要包括:
相关法律法规的符合情况;
管理部门的相关管理要求的符合情况;
现有安全技术措施的有效性;
安全配置与安全策略的一致性;
安全管理制度的执行情况;
安全检查和自查的检查结果及检查报告;
日志信息是否完整记录;
各类重要记录是否免受损失、破坏或伪造篡改;
检查系统是否存在漏洞;
检查数据是否具备安全保障措施。
安全审计工作应具有独立性,避免有舞弊的情况发生。
4.安全审计的方式
(1) 全面审计:
即审计内容覆盖信息系统安全管理范围内的所有部门,