需要的规章制度和记录(信息安全管理 ).doc

安全子类 管理制度 制度说明/等级保护要求 相关记录 对应人员 管理制度 信息安全总体方针和安全策略 重要管理内容的安全管理制度 重要管理操作的操作规程 信息安全方针策略是最高层的安全文件，说明机构安全工作的总体目标、范围、原则和安全框架； 安全管理制度用来规范信息系统生命周期相关活动，以安全方针政策为指导； 安全操作规程则是各项具体活动的步骤和方法，可以是一个操作手册，一个流程表单或一种实施方法，但必须能够明确体现或执行信息安全策略、信息安全制度所要求的策略或原则。 相关制度文档 安全管理员 制定和发布 —— 1.应指定或授权专门的部门或人员负责安全管理制度的制定； 2.安全管理制度应具有统一的格式，并进行版本控制； 3.应组织相关人员对制定的安全管理制度进行论证和审定； 4.安全管理制度应通过正式、有效的方式发布； 5.安全管理制度应注明发布范围，并对收发文进行登记。 管理制度论证、审定记录 管理制度正式发布的证明 收发文登记记录 安全管理员 评审和修订 —— 1.信息安全领导小组应负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定； 2.应定期或不定期对安全管理制度进行检查和审定，对存在不足或需要改进的安全管理制度进行修订。 管理制度体系的评审记录、更新记录 制度修订记录 安全管理员 岗位设置 人员配备 安全管理机构部门和岗位职责 1.应设立信息安全管理工作的职能部门，设立安全主管、安全管理各个方面的负责人岗位，并定义各负责人的职责； 2.应设立系统管理员、网络管理员、安全管理员等岗位，并定义各个工作岗位的职责； 3.应成立指导和管理信息安全工作的委员会或领导小组，其最高领导由单位主管领导委任或授权； 4.应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。 安全管理员 1.应配备一定数量的系统管理员、网络管理员、安全管理员等； 2.应配备专职安全管理员，不可兼任； 3.关键事务岗位应配备多人共同管理。 授权和审批 系统变更、重要操作、物理访问和系统接入等事项的审批程序 1.应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等； 2.应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序，按照审批程序执行审批过程，对重要活动建立逐级审批制度； 3.应定期审查审批事项，及时更新需授权和审批的项目、审批部门和审批人等信息； 4.应记录审批过程并保存审批文档。 审批过程文档 审批事项的更新记录 安全管理员 沟通和合作 —— 1.应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通，定期或不定期召开协调会议，共同协作处理信息安全问题； 2.应加强与兄弟单位、公安机关、电信公司的合作与沟通； 3.应加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通； 4.应建立外联单位联系列表，包括外联单位名称、合作内容、联系人和联系方式等信息； 5.应聘请信息安全专家作为常年的安全顾问，指导信息安全建设，参与安全规划和安全评审等。 外联单位联系列表 聘请常年安全顾问的证明记录 安全专家参与安全评审的记录 安全管理员 审核和检查 安全检查制度 1.安全管理员应负责定期进行安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况； 2.应由内部人员或上级单位定期进行全面安全检查，检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等； 3.应制定安全检查表格实施安全检查，汇总安全检查数据，形成安全检查报告，并对安全检查结果进行通报； 4.应制定安全审核和安全检查制度规范安全审核和安全检查工作，定期按照程序进行安全审核和安全检查活动。 安全检查和安全审核的记录 安全管理员 安全运维公司 人员录用 人员离岗 人员录用、离岗方面的管理规定 规定人员录用的负责部门或负责人，对人员的录用、离岗过程进行规范。 保密协议 岗位安全协议 人员离岗时终止访问权限、收回软硬件设备的记录 安全管理员 人员考核 —— 1.应定期对各个岗位的人员进行安全技能及安全认知的考核； 2.应对关键岗位的人员进行全面、严格的安全审查和技能考核； 3.应对考核结果进行记录并保存。 安全技能及安全认知考核记录 安全管理员 安全意识教育和培训 安全教育和培训管理制度 安全责任和惩戒措施的书面规定 1.应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训； 2.应对安全责任和惩戒措施进行书面规定并告知相关人员，对违反违背安全策略和规定的人员进行惩戒； 3.应对定期安全教育和培训进行书面规定，针对不同岗位制定不同的培训计划，对信息安全基础知识、岗位操作规程等进行培训； 4.应对安全教育和培训的情况和结果进行记录并归档保存。 培