安全管理体系建设方案.docx

1、安全管理体系建设方案安全管理体系建设方案沈阳赛宝科技服务有限公2018年7月19日1概述1.1简介安全管理体系建设包含：安全管理制度、安全管理机构、人员安全管理、系统建设安全管理和系统运维安全管理等各个方面，依据相关的安全准则，结合企业自身及网络系统的构成特点，确定具体的各方面的制度。1.2目标安全管理机构：包括职能部门岗位设置；系统管理员、网络管理员、安全管理员的人员配备；授权和审批；管理人员、内部机构和职能部门间的沟通和合作；定期的安全审核和安全检查。安全管理制度：包括安全策略、安全制度、操作规程等的管理制度；管理制度的制定和发布；管理制度的评审和修订。人员安全管理：包括人员录用；人员离岗

2、；人员考核；安全意识教育和培训；外部人员访问管理。系统建设管理：包括系统定级；安全方案设计；产品采购和使用；自行软件开发；外包软件开发；工程实施；测试验收；系统交付；系统备案；等级测评；安全服务商选择。系统运维管理：包括机房环境管理；信息资产管理；介质管理；设备管理；监控管理和安全管理中心；网络安全管理；系统安全管理；恶意代码防范管理；密码管理；变更管理；备份与恢复管理；安全事件处置；应急预案管理。2安全管理体系框架图安全管理制度体系层次图：3安全管理制度体系3.1安全方针政策最高方针，纲领性的安全策略主文档，陈述本策略的目的、适用范围、信息安全的管理意图、支持目标以及指导原则，信息安全各个方

3、面所应遵守的原则方法和指导性策略。3.2安全管理制度各类管理规定、管理办法和暂行规定。从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法，是必须具有可操作性，而且必须得到有效推行和实施的。安全管理制度要求见下图，在建立制度的时候可以参考：3.3技术标准、规范技术标准和规范是针对具体管理行为进行规范化操作流程的规定，包括各个安全等级区域网络设备、主机操作系统和主要应用程序的应遵守的安全配置和管理的技术标准和规范。技术标准和规范将作为各个网络设备、主机操作系统和应用程序的安装、配置、采购、项目评审、日常安全管理和维护时必须遵照的标准，不允许发生

4、违背和冲突。例如制度及规范类文档如下：表1管理制度及规范文档序号管理制度及规范文档1机构总体安全方针和政策方面的管理制度2安全管理活动中的各类管理内容的相关管理制度3部门设置、岗位设置及工作职责定义方面的管理制度4授权审批、审批流程等方面的管理制度5与外联单位、供应商等合作相关管理制度6安全审核和安全检查方面的管理制度7管理制度、操作规程修订、维护方面的管理制度8人员录用、离岗、考核等方面的管理制度9人员安全教育和培训方面的管理制度10人员签署保密协议相关管理制度11第三方人员访问控制方面的管理制度12工程实施过程方面的管理制度13安全方案设计相关管理制度14产品选型、采购方面的管理制度15软

5、件外包开发或自我开发方面的管理制度16测试、验收方面的管理制度17系统交付相关管理制度18机房安全管理方面的管理制度19办公环境安全管理方面的管理制度20资产、设备、介质安全管理方面的管理制度21信息分类、标识、发布、使用方面的管理制度22配套设施、软硬件维护方面的管理制度23网络安全管理（网络配置、账号管理等）方面的管理制度24系统安全管理（系统配置、账号管理）方面的管理制度25系统监控、风险评估、漏洞扫描方面的管理制度26病毒防范方面的管理制度27系统变更控制方面的管理制度28密码管理方面的管理制度29备份和恢复方面的管理制度30安全事件报告和处置方面的管理制度31应急响应方法、应急响应计

6、划等方面的文件32其他文档3.4流程、表单及记录安全流程和操作规程，详细规定主要业务应用和事件处理的流程、步骤和相关注意事项。作为具体工作时的具体依照，此部分必须具有可操作性，而且必须得到有效推行和实施的。安全表单及记录，落实安全流程和操作规程的具体表现，根据不同信息系统的要求可以通过不同方式的表单及记录落实，并在日常工作中具体执行。主要包括日常操作的记录、工作记录、流转记录以及审批记录等。可分为记录类文档和证据类文档如下表：表2 记录类文档序号记录类文档1机房出入登记记录（包括第三方人员）2机房基础设施维护记录3各类会议纪要或记录（部门内、部门间协调会、领导小组）4各类评审和修订记录（安全管

7、理制度评审和修订记录、体系评审记录等）5人员考核、审查、培训记录（人员录用、人员定期考核）、离岗手续6人员安全教育相关记录7各项审批和批准执行记录（来访人员进入机房审批、介质/设备外带审批、系统外联审批等）8安全管理制度收发登记记录9产品的选型测试结果记录10系统验收测试记录、报告11介质归档、查询等的登记记录12主机系统、网络、安全设备等的操作日志和维护记录13机房日常巡检记录14对主机、网络设备和应用软件等的监控记录和分析报告15恶意代码检测、升级记录和分析报告16备份过程记录17变更方案评审记录和变更过程记录18安全事件处理过程记录19应急预案培训、演练、审查记录20其他记录文档21机房

8、防雷检测报告22设备外出维修记录23外来人员审批记录24其他文档表3证据类文档序号证据类文档1资产清单2机构安全管理人员岗位名单3外联单位联系列表4人员保密协议5关键岗位安全协议6候选产品名单7信息系统定级报告或定级建议书8系统备案材料9近期和远期安全建设工作计划、总体建设规划书表3 证据类文档（续）序号证据类文档1详细设计方案2系统建设项目工程实施方案3系统验收测试方案4系统测试、验收报告5系统交付清单6变更方案7变更申请书8信息系统定期安全检测的检查表和安全检查报告9主要设备漏洞扫描报告10系统异常行为审计分析报告11机房安全设计和验收方面的文档12应急预案管理应急预案方案应急预案培训应急

9、预案演练15总体安全策略等配套文件的专家论证文档16与安全服务商或外包开发商签订的服务合同和安全协议17软件开发设计和用户指南等相关文档（目录体系框架或交换原形系统）、软件测试报告房屋租赁合同出租人（甲方）： 承租人（乙方）： 甲乙双方本着平等自愿、协商一致的原则达成以下协议，并承诺共同遵守。一、租赁房屋1.甲方将坐落于 XXXXXX 房屋及小米电视机一台、美的冰箱一台、美的空调一台等物品出租给乙方使用。租赁期满后，乙方应如数将以上物品交予甲方。二、租赁期限和用途1.租赁期限：1年，即2018 年01月01日至2019年01 月01日止。2.租赁期满前1个月，甲、乙双方应就租赁期满后是否续租通

10、知对方。3.该处房屋仅作住宅使用，如果乙方要改变使用用途，需征得甲方同意。三、租金、保证金费用及支付方式1.该房屋月租金人民币壹仟元整（小写：1000元）,按季度支付，当期租金人民币 肆仟 元整（小写： 4000 元），乙方在上次所缴租金期满前15日向甲方支付下期租金。银行卡转账或支付宝转账皆可。2.合同签订之日，乙方应向甲方支付人民币壹仟元整（小写：1000元）作为租赁保证金，租赁期满时乙方如不再续租，且乙方无任何违约行为时，甲方将该保证金全部无息退还给乙方。3.租赁期间因乙方使用该房屋而产生的物业、水、电、天然气、有线电视、宽带等费用由乙方支付，租期起始日水表读数：123，电表读数： 12

11、3 ，煤气表读数：123。物管费 132 /年、有线电视费 123 /年、网络费123 /年在双方合同签订时由 乙方 支付。四、房屋安全管理1.在租赁期内，除房屋结构包括墙、顶等大修项目由甲方负责外(乙方使用不当除外)，其它如房屋门、窗、水、电、组合柜、地板、墙面墙纸等附属设施及乙方装饰部分等均由乙方负责维修，并由乙方自行承担修缮费用。2.乙方负责该房屋的安全管理，在租赁期内因疏忽造成的诸如火灾等事故，乙方须向甲方赔偿全部损失。在租赁期内发生盗窃等事故乙方须自行承担损失。3.乙方应合理使用其所承租的房屋及其屋内设备。如因使用不当造成房屋及设备损坏的，乙方应立即负责修复或进行经济原价赔偿。乙方不

12、得改变房屋内部结构，未征得甲方同意不得进行有损房屋原貌（屋内、屋外）的装修、装饰。4.乙方对租赁房屋进行装饰的，在租赁期满或因其他原因终止后可自行拆除，甲方不予补偿。5.该房屋用途为租赁住房。除双方另有约定外，乙方不得任意改变房屋用途。租赁期内，乙方不得擅自将该房屋部分和全部转租、转借给第三人使用，不得将该房屋部分或全部与第三人合营合作，否则甲方有权单方面解除和终止本合同而不对乙方进行任何赔偿。31855 7C6F 籯38021 9485 钅S=23987 5DB3 嶳32832 8040 聀6.租赁期届满乙方交房时，应保证房屋及各设施、物品完好，如有装饰损毁、设施损坏、物品丢失的，乙方应及时修复或补充，否则甲方将按原价35倍价格从保证金中扣除。如经甲方验收合格时，甲方应退还乙方剩余的租房款及保证金。五、权利与义务1.甲方必须保证该房屋权属明晰，同时保证乙方租赁期间内对该房屋的使用权，若因产权纠纷或债务原因影响乙方对该房屋的使用，甲方负责向乙方赔偿因此造成的损失。2.乙方不得在该房屋内进行违反法律法规有关规定的行为。3.租赁期届满时，乙方享有在同等条件下的优先续租权。4.租赁合同终止日前 ，乙方应将该房屋腾空并恢复原状交给甲方。否则，甲方有权自行或委托他人腾空并收回该房屋，且乙方不得就此向甲方主张任何权利。