安全等级保护3级管理要求.pdf

1.1.管理要求

1.1.1.安全管理机构

1.1.1.1.岗位设置

a)应设立信息安全管理工作的职能部门，设立安全主管人、安全管理各个方面的负责

人岗位，定义各负责人的职责；

b)应设立系统管理人员、网络管理人员、安全管理人员岗位，定义各个工作岗位的职

责；

c)应成立指导和管理信息安全工作的委员会或领导小组，其最高领导应由单位主管领

导委任或授权；

d)应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。

1.1.1.2.人员配备

a)应配备一定数量的系统管理人员、网络管理人员、安全管理人员等；

b)应配备专职安全管理人员，不可兼任；

c)关键岗位应定期轮岗。

1.1.1.3.授权和审批

a)应授权审批部门及批准人，对关键活动进行审批；

b)应列表说明须审批的事项、审批部门和可批准人；

c)应建立各审批事项的审批程序，按照审批程序执行审批过程；

d)应建立关键活动的双重审批制度；

e)不再适用的权限应及时取消授权；

f)应定期审查、更新需授权和审批的项目；

g)应记录授权过程并保存授权文档。

1.1.1.4.沟通和合作

a)应加强各类管理人员和组织内部机构之间的合作与沟通，定期或不定期召开协调会

议，共同协助处理信息安全问题；

b)信息安全职能部门应定期或不定期召集相关部门和人员召开安全工作会议，协调安

全工作的实施；

c)信息安全领导小组或者安全管理委员会定期召开例会，对信息安全工作进行指导、

决策；

d)应加强与兄弟单位、公安机关、电信公司的合作与沟通，以便在发生安全事件时能

够得到及时的支持；

e)应加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通，获取信息

安全的最新发展动态，当发生紧急事件的时候能够及时得到支持和帮助；

f)应文件说明外联单位、合作内容和联系方式；

g)聘请信息安全专家，作为常年的安全顾问，指导信息安全建设，参与安全规划和安

全评审等。

1.1.1.5.审核和检查

a)应由安全管理人员定期进行安全检查，检查内容包括用户账号情况、系统漏洞情况、

系统审计情况等；

b)应由安全管理部门组织相关人员定期进行全面安全检查，检查内容包括现有安全技

术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等；

c)应由安全管理部门组织相关人员定期分析、评审异常行为的审计记录，发现可疑行

为,形成审计分析报告，并采取必要的应对措施；

d)应制定安全检查表格实施安全检查，汇总安全检查数据，形成安全检查报告，并对

安全检查结果进行通报；

e)应制定安全审核和安全检查制度规范安全审核和安全检查工作，定期按照程序进行

安全审核和安全检查活动。

1.1.2.安全管理制度

1.1.2.1.管理制度

a)应制定信息安全工作的总体方针、政策性文件和安全策略等，说明机构安全工作的

总体目标、范围、方针、原则、责任等；

b)应对安全管理活动中的各类管理内容建立安全管理制度，以规范安全管理活动，约

束人员的行为方式；

c)应对要求管理人员或操作人员执行的日常管理操作，建立操作规程，以规范操作行

为，防止操作失误；

d)应形成由安全政策、安全策略、管理制度、操作规程等构成的全面的信息安全管理

制度体系；

e)应由安全管理职能部门定期组织相关部门和相关人员对安全管理制度体系的合理

性和适用性进行审定。

1.1.2.2.制定和发布

a)应在信息安全领导小组的负责下，组织相关人员制定；

b)应保证安全管理制度具有统一的格式风格，并进行版本控制；

c)应组织相关人员对制定的安全管理进行论证和审定；

d)安全管理制度应经过管理层签发后按照一定的程序以文件形式发布；

e)安全管理制度应注明发布范围，并对收发文进行登记。

1.1.2.3.评审和修订