等级保护三级信息系统制度清单解析.doc

信息系统 信息安全等级保护-管理部分 2015年12月14日 注：以下所提供的材料包括制度、文档和记录清单。目 录 1 安全管理制度 3 1.1 安全管理 3 1.2 制定和发布 3 1.3 评审和修订 3 2 安全管理机构 4 2.1 岗位职责文件 4 2.2 人员配备 4 2.3 授权和审批 4 2.4 沟通和合作 5 2.5 安全检查 5 3 人员安全管理 5 3.1 人员录用 5 3.2 人员离岗 6 3.3 人员考核 6 3.4 安全意识教育和培训 7 3.5 外部人员访问管理 7 4 系统建设管理 7 4.1 系统定级 7 4.2 安全方案设计 8 4.3 产品采购和使用 8 4.4 自行软件开发 8 4.5 外包软件开发 9 4.6 工程实施 9 4.7 测试验收 9 4.8 系统交付 10 4.9 安全服务商选择 10 5 系统运维管理 11 5.1 环境管理 11 5.2 资产管理 11 5.3 介质管理 12 5.4 设备管理 12 5.5 网络安全管理 13 5.6 系统安全管理 13 5.7 恶意代码防范管理 14 5.8 变更管理 14 5.9 备份与恢复管理 14 5.10 安全事件处置 15 5.11 应急预案管理 15 安全管理制度 安全管理 制度 《安全工作的总体方针、政策性文件和安全策略文件》 内容包括机构安全工作的总体目标、范围、方针、原则和安全框架等。 《安全管理制度》 内容包括物理、网络、主机系统、数据、应用、建设和管理等层面各类管理内容。 制度体系 包括由总体方针、安全策略、管理制度、操作规程等构成。 文档 《日常管理操作的操作规程》 内容包括如系统维护手册和用户操作规程等 制定和发布 制度 《制度制定和发布要求管理文档》 内容包括安全管理制度的制定和发布程序、格式要求及版本编号等 《安全管理制度文档》 内容包括文档的正式发布时间，适用和发布范围，版本标识，管理层的签字或单位盖章；各项制度的文档格式等等； 记录 《管理制度评审记录》 内容包括相关人员的评审意见。 安全管理制度的收发登记记录 内容包括收发通过正式、有效的方式（如正式发文、领导签署和单位盖章等），发布范围要求。 评审和修订 制度 修订过的安全管理制度 记录 《安全管理制度评审记录（修订时）》 内容包括相关人员的评审意见，评审周期。 《安全管理制度的检查/评审记录》 安全管理制度的修订版本 全管理制度体系的评审记录 内容包括相关人员的评审意见，评审周期 安全管理机构 岗位职责文件 制度 《部门、岗位职责文件》 内容包括安全管理机构的职责，机构内各部门的职责和分工，部门职责涵盖物理、网络和系统安全等各个方面； 安全主管、安全管理各个方面的负责人、机房管理员、系统管理员、网络管理员、安全管理员等各个岗位 各个岗位的职责范围清晰、明确； 各个岗位人员应具有的技能要求； 《信息安全管理委员会职责文件》 内容包括委员会职责和其最高领导岗位的职责； 记录 《安全管理委员会或领导小组最高领导委任授权书》 内容包括本单位主管领导的授权签字 《日常管理工作执行情况的工作记录》 内容包括安全管理各部门和信息安全管理委员会或领导小组日常工作的执行情况的记录 人员配备 制度 《人员配备要求管理文档》 内容包括应配备的一些安全管理人员，包括机房管理员、系统管理员、数据库管理员、网络管理员、安全管理员等重要岗位 配备专职的安全管理员； 对一些关键事务的管理人员应配备2人或2人以上共同管理，配备人员的具体要求； 记录 《安全管理各岗位人员信息表》 内容包括机房管理员、系统管理员、数据库管理员、网络管理员、安全管理员等重要岗位人员的信息； 安全员要专职的（不能网络管理员、系统管理员、数据库管理员等岗位）； 数据库管理员和系统管理员要由不同人担任。 授权和审批 制度 《审批管理制度文档》 内容包括审批事项、需逐级审批的事项、审批部门、批准人及审批程序等， 系统变更、重要操作、物理访问和系统接入等事项的审批流程； 定期审查、更新审批的项目、审批部门、批准人和审查周期等； 文档 《逐级审批的文档》 系统变更、重要操作、物理访问和系统接入等关键活动的审批记录需要有批准人的签字和审批部门的盖章。 关键活动的审批过程记录 沟通和合作 记录 《外联单位联系列表》 内容包括包含公安机关、电信公司、兄弟公司等说明外联单位的名称、联系人、合作内容和联系方式等内容录用人员应具备的条件，如学历、学位要求，技术人员应具备的专业技术水平，管理人员应具备的安全管理知识等记录考核内容和考核结果等技术人员签署保密协议具有保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内容各种身份证件、钥匙、徽章等以及机构提供的软硬件