密码安全管理体系设计.pdf

密码安全管理体系设计--第1页 1.密码安全管理设计 依据《基本要求》《商用密码应用安全性评估管理办法（试行）》 《信息系统密码测评要求（试行）》《商用密码应用安全性评估测评过 程指南（试行）》《商用密码应用安全性评估测评作业指导书（试行）》 等标准规范及管理要求为基础，结合 ISO270001(GB\T22080)的体系 的PDCA过程和ISO27002 （GB\T22081）的14个控制域规范，同时 兼顾监管部门的相关安全规范，整合企业自身的 IT 服务管理体系和 技术安全控制体系，通过体系规范化、管理流程化、测量指标化、操 作工具化等方式来确保管理体系设计的落地。密码安全管理制度体系 主要包括：密码管理机构、密码建设、密钥管理、人员、设备等密码 管理相关内容，并同步在单位现有的制度发布流程中补充密码相关管 理制度发布流程，待新制定的密码安全管理制度和操作规范内部评审 通过后，按照密码相关管理制度发布流程予以发布并遵照执行。 密码安全管理制度和操作规范发布后，每年年底，组织专家和密 码相关人员对密码安全管理制度和操作规范在使用过程中的合理性 和适用性进行论证和审定，对存在不足或需要改进的安全管理制度进 行修订。 密码管理安全制度关键点： 一、 为了加强密码设备管理工作，确保安全使用密码，根据《中 华人民共和国密码法》、《基本要求》等国家有关法规规定，制 定本制度。 二、 单位涉及密码管理、使用和运维等相关人员均需遵守本规 定。 三、 制定泉州市密码管理领导小组（主管安全的泉州市领导担 任组长），统筹全委信息系统密码应用，执行统一规划、统一 密码安全管理体系设计--第1页 密码安全管理体系设计--第2页 建设、统一管理和集中运维，各使用单位按规定流程申请密码 资源。 四、 使用单位应当严格遵守相关保密制度，保管好个人数字证 书，不得出借或使用他人证书登录系统。 五、 个人数字证书介质一旦丢失，应立即进行挂失，并按规定 流程到证书发放机构申请新的证书和介质。 六、 密码设备维护人员需经过培训，取得相关资质才能上岗， 并需严格按照设备维护规范和使用说明开展维护工作。 七、 密码设备应当按照要求定期完成设备巡检、升级和维保工 作，至少每半年集中检查一次，密码设备操作必须经过授权， 且不得接入互联网访问。 八、 建立密码设备故障和应急保障机制，定期开展应急演练， 确保设备发生故障时能及时恢复。 九、 加强密码设备的日常监控，评估系统安全风险，及时进行 扩容和升级。 十、 密码使用单位应当建立密码管理责任人，落实信息系统密 码应用工作。 十一、 密码使用单位应严格遵循相关要求使用密码技术完善 系统的安全保护功能，因密码使用不当导致信息泄密、数据破 坏的，追究相关单位密码管理部门和管理人员责任，并按要求 整改。 十二、 由密码管理领导小组对使用密码情况进行年度检查，并 纳入责任单位相关人员考核。 十三、 在当年密码应用考核中被处理的，原则上取消当年评优 评先资格。 密码安全管理体系设计--第2页 密码安全管理体系设计--第3页 十四、 在当年密码应用考核中表现突出的，按照相关规定给予 表彰、评