2.2安全方针和主策略
最高方针,纲领性的安全策略主文档,陈述本策略的目的、适用范围、信息安全的管理意图、支持目标以及指导原则,信息安全各个方面所应遵守的原则方法和指导性策略。
2.3安全管理制度和规范
各类管理规定、管理办法和暂行规定。从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法,是必须具有可操作性,而且必须得到有效推行和实施的。
技术标准和规范,包括各个安全等级区域网络设备、主机操作系统和主要应用程序的应遵守的安全配置和管理的技术标准和规范。技术标准和规范将作为各个网络设备、主机操作系统和应用程序的安装、配置、采购、项目评审、日常安全管理和维护时必须遵照的标准,不允许发生违背和冲突。本项目将为XXXXXXXXXX编制如下安全管理制度和规范: 安全方针 安全策略
5
安全管理组织体系职责 内部人员安全管理规定 外部人员安全管理规定 等级保护安全管理规范 风险评估管理规范 软件开发管理规定 IT外包管理规定 工程安全管理规定 产品采购安全管理规定 服务商安全管理规定 机房管理制度
办公环境安全管理规定 资产安全管理制度 设备安全管理规定 介质安全管理规定 运行维护安全管理规范 网络安全管理规定 系统安全管理规定 防病毒安全管理规定 密码使用管理制度 变更管理制度 备份与恢复管理规定 安全事件管理制度 应急预案
安全流程和操作规程,详细规定主要业务应用和事件处理的流程、步骤和相关注意事项。作为具体工作时的具体依照,此部分必须具有可操作性,而且必须得到有效推行和实施的。
2.4安全流程和操作规程
安全流程和操作规程,详细规定主要业务应用和事件处理的流程和步骤,和
6
相关注意事项。作为具体工作时的具体依照,此部分必须具有可操作性,而且必须得到有效推行和实施的。
2.5安全记录单
安全记录单,落实安全流程和操作规程的具体表单,根据不同等级信息系统的要求可以通过不同方式的安全记录单落实并在日常工作中具体执行。主要包括日常操作的记录、工作记录、流转记录以及审批记录等。
7
第二章 制定和发布
安全策略系列文档制定后,必须有效发布和执行。发布和执行过程中除了要得到管理层的大力支持和推动外,还必须要有合适的、可行的发布和推动手段,同时在发布和执行前对每个人员都要做与其相关部分的充分培训,保证每个人员都知道和了解与其相关部分的内容。
安全策略在制定和发布过程中,应当实施以下安全管理: (一) 安全管理制度应具有统一的格式,并进行版本控制; (二) 由信息安全工作小组负责安全管理制度的制定
(三) 安全管理职能部门应组织相关人员对制定的安全管理制度进行论证和审定;
(四) 安全管理制度应通过文件形式下发通知;
(五) 安全管理制度应注明发布范围,并对收发文进行登记。必须要注意到这是一个长期、艰苦的工作,需要付出艰苦的努力,而且由于牵扯到许多部门和绝大多数员工,可能需要改变工作方式和流程,所以推行起来的阻力会相当大;同时安全策略本身存在的缺陷,包括不切实可行,太过复杂和繁琐,部分规定有缺欠等,都会导致整体策略难以落实。
8
第三章 评审和修订
信息安全领导小组应组织相关人员对于信息安全策略体系文件进行评审,并确定其有效执行期限。同时应指定信息安全职能部门每年审视安全策略系列文档,具体检查内容包括:
(一) 信息安全策略中的主要更新;
(二) 信息安全标准中的主要更新。信息安全标准不需要全部更新,可以仅对 因变更而受影响的部分进行更新;如果必要,可以使用年度审视/更新流程对信息安全标准做一次全面更新。
(三) 安全管理组织机构和人员的安全职责的主要更新; (四) 操作流程的主要更新;
(五) 各类管理规定、管理办法和暂行规定的主要更新;
(六) 用户协议的主要更新;等等。 通过《信息安全策略管理规定》落实以上相关内容。
9
2024信息安全管理制度汇编
