安全基础设施管理制度.docxVIP

安全基础设施管理制度

一、总则

第一条【制定目的】

为建立健全安全基础设施全生命周期管理体系，夯实网络安全、物理安全、运行安全与数据安全基础支撑能力，防范化解重大安全风险，保障关键信息基础设施稳定可靠运行，依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国密码法》《关键信息基础设施安全保护条例》《信息安全技术网络安全等级保护基本要求》（GB/T22239—2019）、《信息安全技术信息系统安全管理要求》（GB/T20269—2006）、《信息安全技术信息安全风险管理指南》（GB/Z24364—2009）等法律法规及国家标准，结合本单位信息化建设实际，制定本制度。

第二条【适用范围】

本制度适用于本单位所有安全基础设施的规划、设计、采购、部署、配置、运行、监控、维护、升级、退役及应急处置等全生命周期管理活动。所称“安全基础设施”是指为保障信息系统安全运行而独立部署或集成嵌入的专用硬件、软件、平台及配套服务系统，具体包括但不限于以下类别：

网络边界防护类：下一代防火墙（NGFW）、Web应用防火墙（WAF）、入侵检测/防御系统（IDS/IPS）、抗DDoS设备、VPN网关、网络准入控制系统；

身份与访问管理类：统一身份认证平台、多因素认证（MFA）系统、特权账号管理系统（PAM）、数字证书认证系统（CA）、单点登录（SSO）平台；

安全监测与响应类