安全管理体系建设方案.docx

安全治理体系建设方案 赛宝科技效劳有限公 2023 年 7 月 1 9 日 概述 1 简介 1 1.2 目标........................................................................... 1 安全治理体系框架图 2 安全治理制度体系 2 安全方针政策 2 安全治理制度 2 技术标准、规 3 3.4 流程、表单及记录 .............................................................. 4 概述 简介 安全治理体系建设包含：安全治理制度、安全治理机构、人员安全治理、 系统建设安 全治理和系统运维安全治理等各个方面，依据相关的安全准则，结 合企业自身及网络系统的构成特点，确定具体的各方面的制度。 目标 安全治理机构：包括职能部门岗位设置；系统治理员、网络治理员、安全 治理员的人员配备；授权和审批；治理人员、部机构和职能部门间的沟通和合 作；定期的安全审核和安全检查。 安全治理制度：包括安全策略、安全制度、操作规程等的治理制度；治理 制度的制定和公布；治理制度的评审和修订。 人员安全治理：包括人员录用；人员离岗；人员考核；安全意识教育和培 训；外部人员访问治理。 系统建设治理：包括系统定级；安全方案设计；产品选购和使用；自行软 件开发；外包软件开发；工程实施；测试验收；系统交付；系统备案；等级测 评；安全效劳商选择。 系统运维治理：包括机房环境治理；信息资产治理；介质治理；设备管 理；监控治理和安全治理中心；网络安全治理；系统安全治理；恶意代码防管 理；密码治理；变更治理；备份与恢复治理；安全大事处置；应急预案治理。 安全治理体系框架图 安全治理制度体系层次图:  信息虫仝方计政幾，总林获说明 机构虫个丄作的息*  休口标、范 Bh 则和安全框架導 /第一层＞、 /婆全方针政鮫\ 其次层  炖女全治理活刘小的齐类曾理内祚 ih 立安全管刈制度，恤束治理行为 爛范空全治理制哑的 I 川:技术丄观细 节*対治理人员或操作人越执行的日 常治理操作蹇立操作规程 安全治理制度 第四 A ■” 空令制度、标准宜狮寸所 f  I”.J HVtr H”j 流 Si 及需埔写的农 流程冒第表三单层:记录技术标推、标准 安全方针政策 单，用于记录数 据*监控宾施 安全治理制度体系 最高方针，纲领性的安全策略主文档，述本策略的目的、适用围、信息安 全的治理意图、支持目标以及指导原则，信息安全各个方面所应遵守的原则方 法和指导性策略。 安全治理制度 各类治理规定、治理方法和暂行规定。从安全策略主文档中规定的安全各 个方面所应遵守的原则方法和指导性策略引出的具体治理规定、治理方法和实 施方法，是必需具有可操作性，而且必需得到有效推行和实施的。 安全治理制度要求见以下图，在建立制度的时候可以参考： 人屍左全治理 人屍左全治理 人丘录用 坏■乂卷理 人员羸嵐 占童代鼻阴范 治理 变虽養廷 L 人员考機 密码瓷珪 坯讯比言与塔 Illi 帝付和傀見管 理 直土大事忆肯 乩人运访问 菅珠 3.3 技术标准、规 技术标准和规是针对具体治理行为进展规化操作流程的规定， 包括各个安全等级区域网络设备、主机操作系统和主要应用程序的应遵守的安全配置和治理的 技术标准和规。技术标准和规将作为各个网络设备、主机操作系统和应用程序的 安装、配置、采 购、工程评审、日常安全治理和维护时必需遵照的标准，不允许 发生违反和冲突。例如制度及规类文档如下： 表 1 治理制度及规文档 序号 序号 治理制度及规文档 1 机构总体安全方针和政策方面的治理制度 2 安全治理活动中的各类治理容的相关治理制度 3 部门设置、岗位设置及工作职责定义方面的治理制度 4 授权审批、审批流程等方面的治理制度 5 与外联单位、供给商等合作相关治理制度 6 安全审核和安全检查方面的治理制度 7 治理制度、操作规程修订、维护方面的治理制度 8 人员录用、离岗、考核等方面的治理制度 9 人员安全教育和培训方面的治理制度 10 人员签署协议相关治理制度 11 11 第三方人员访问掌握方面的治理制度 12 工程实施过程方面的治理制度 13 安全方案设计相关治理制度 14 产品选型、米购方面的治理制度 15 软件外包开发或自我开发方面的治理制度 16 测试、验收方面的治理制度 17 系统父付相关治理制度 18 机房安全治理方面的治理制度 19 办公环境安全治理方面的治理制度 20 资产、设备、介质安全治理方面的治理制度 21 信息分类、标识、公布、使用方面的治理制度 22 配套设施、软硬件维护方面的治理制度 23 网络安全治理〔网络配置、账号治理等〕方面的治理制度 24 系统安全