安全管理制度-（二）管理制度

安全管理制度

 

控制点

2.

管理制度

企业具体的安全管理制度以安全方针策略为指导，对等级保护对象的建设、开发、运维、升级和改造等各个阶段和环节所应当遵循的行为以管理要求的方式加以规范。

a)

安全要求（重要）：应对安全管理活动中的各类管理内容建立安全管理制度。

要求解读：应在安全策略文件的基础上，根据实际情况建立具体的安全制度。可以由若干的独立制度构成，也可由若干个分册制度构成。可能覆盖机房安全管理、办公环境安全管理、网络和系统安全管理、供应商管理、变更管理、备份和恢复管理、软件开发管理等方面，在每个制度文档中明确该制度的使用范围、目的、需要规范的管理活动、具体的规范方式和要求等。

测评方法

1.核查机构是否建立了安全管理制度。

2.核查安全管理制度是否覆盖机构和人员、物理设备和环境、安全系统建设和安全运维等层面的管理内容。

期望结果

1.机构建立了安全管理制度。

2.安全管理制度覆盖了物理环境、机构和人员、安全系统建设和安全运维等层面。

高风险判定

满足任意一项即可判定为高风险，且无补偿因素：（二级及以上系统）

1.未建立任何与安全管理活动相关的管理制度。

2.相关管理制度无法适用于当前被测系统。

b)

安全要求（重要）：应对管理人员或操作人员执行的日常管理操作建立操作规程。

要求解读：安全操作规程是指各项具体活动的步骤或方法，可以是一个操作手册，一个流程表单或一个实施方法，必须能够明确体现或执行网络安全策略或网络安全制度所要求的策略或原则。

配置规范指的是重要等级保护对象中部署的关键网络设备、安全设备、主机操作系统、数据库管理系统等的安全配置规范。

安全操作规程和配置规范可以供那些需要安装或配置计算机的用户使用。组织机构都应有书面规程规定应该如何安装操作系统，如何建立新用户账号，如何分配计算机权限，如何进行事件报告等。

测评方法

核查是否具有日常管理操作的操作规程，（例如系统维护手册和用户操作规程等，包括网络设备、安全设备、操作系统等的配置规范）。

期望结果

1.具有日常管理操作的操作规程。

2.操作规程覆盖了物理环境、网络和通信、设备和计算、应用和数据层面的重要操作规程（如系统维护手册和用户操作规程等）。

c)

安全要求（重要）：应形成由安全策略、管理制度、操作规程、记录表单等构成的全面的安全管理制度体系。

要求解读：全面的安全管理制度体系包括网络安全工作的总体方针策略、各种安全管理活动的管理制度、日常操作行为的操作规程以及各类记录表单共同构成“金字塔”式结构。

测评方法

1.检查是否具有网络安全工作的总体方针策略文件、管理制度、操作规程和记录表单等。

2.检查管理体系各要素之间是否具有连贯性。

 

 

期望结果

1.机构已建立各项管理制度。

2.管理制度内容覆盖全面，由总体方针、安全策略、管理制度、操作规程等构成，形成了全面的网络安全管理制度体系。