等级保护安全管理机构三级通用测评项要求解读

《等级保护安全管理机构三级通用测评项要求解读》由会员分享，可在线阅读，更多相关《等级保护安全管理机构三级通用测评项要求解读（7页珍藏版）》请在金锄头文库上搜索。

1、安全管理机构安全管理的重要实施条件就是有一个统一指挥、协调有序、组织有力的安全管理机构,这是网络 安全管理得以实施、推广的基础。通过构建从单位最高管理层到执行层及具体业务运营层的组织体系， 可以明确各个岗位的安全职责，为安全管理提供组织上的保证。安全管理机构针对整个管理组织架构提出了安全控制要求，涉及的安全控制点包括岗位设置、人 员配备、授权和审批、沟通和合作、审核和检查。1 岗位设置为保证安全管理工作的有效实施，应设立指导和管理网络安全工作的委员会或领导小组及负责网 络安全管理工作的职能部门，并以文件的形式明确安全管理机构各个部门和岗位的职责、分工和技能 要求。其中，设置的岗位应包括安全主管

2、、安全管理各方面的负责人、与系统安全管理有关的角色等， 例如安全管理员、系统管理员、网络管理员等。1.1 应成立指导和管理网络安全工作的委员会或领导小组，其最高领导由单 位主管领导担任或授权为保证安全管理工作的有效实施，应成立指导和管理网络安全工作的委员会或领导小组。指导和 管理网络安全工作的委员会或领导小组负责单位网络安全管理的全局工作，是单位网络安全组织的最 高管理层。在一般情况下，一个机构成立了指导和管理网络安全工作的委员会或领导小组，均需正式发文通 告。通常应在单位内部结构的基础上建立一整套从单位最高管理层（网络安全领导小组并由单位最高 领导委任或授权）到执行管理层（网络安全管理职能部

3、门及安全主管）及系统日常运营层（系统管理 员、网络管理员、安全管理员等）的三层及金字塔式管理结构来约束和保证各项安全管理措施的执行。 网络安全领导小组的主要职责包括对安全管理制度体系合理性和适用性的审定、对单位内关键网络安 全工作进行授权和审批等，最重要的是负责单位网络安全管理的全局工作。网络安全管理职能部门的 主要职责包括单位内重要网络安全管理工作的授权和审批、相关业务部门和安全管理部门之间的沟通 协调、与外部单位的合作、定期对系统的安全措施落实情况进行检查，以便发现问题并进行改进。网络安全管理组织架构，如图所示。妄仝管理员系:綴管理员网络N全紆定，主且卅络旨半苣埠抿眾部3賀H二岂辰鬲管浬匡

4、日背运唯层抚订営:甲匸1.2 应设立网络安全管理工作的职能部门，设立安全主管、安全管理各个方面的负责人岗位，并定义各负责人的职责网络安全管理工作的职能部门是单位的执行管理层，一般负责单位内重要网络安全管理工作的授 权和审批、相关业务部门和安全管理部门之间的沟通协调、与外部单位的合作、定期对系统的安全措 施落实情况进行检查、系统安全运行维护管理等工作。安全主管通常是一个单位安全管理工作的主要责任人，全面负责等级保护对象安全规划建设、运 行维护等安全管理工作，一般由单位的高层或某个部门的主管担任。安全管理各方面的负责人通常包 括物理安全负责人 （等级保护对象物理运行环境和办公环境安全的责任人 ）、

5、系统建设方面的负责人 （等级保护对象安全规划、建设、工程实施的责任人）、 系统运行维护方面的责任人（等级保护对象日 常运行安全的责任人）等1.3 应设立系统管理员、审计管理员和安全管理员等岗位，并定义部门及各 个工作岗位的职责系统管理员、网络管理员、安全管理员等在机构的日常运营层工作，主要负责落实各项网络安全 等级保护工作要求及进行日常安全维护。2 人员配备为保证各项管理工作顺利实施，应配备一定数量的安全管理人员，例如系统管理员、 安全管理员、审计管理员等。2.1 应配备一定数量的系统管理员、审计管理员和安全管理员等由于部分岗位的人员拥有关键的操作权限，为避免人员操作失误或渎职现象的发生,应配

6、备一定 数量的安全管理人员，例如系统管理员、网络管理员、安全管理员等。（1 ）访谈信息/网络安全主管，了解各安全管理岗位的人员配备情况。（2）核查管理人员名单，查看是否明确了机房管理员、系统管理员、网络管理员、安全管理员等 重要岗位人员的信息。（3）与技术核查结合，了解各岗位是否根据管理人员名单进行授权（例如主机系统管理员是否与管 理人员名单中的一致）。2.2 应配备专职安全管理员，不可兼任。安全管理员不能兼任其他与等级保护对象相关的管理岗位，例如系统管理员、网络管理员等。3 授权和审批等级保护对象生命周期的每个阶段都涉及许多重要的环节与活动。为保证这些环节与活动顺利实 施且受控，应对这些环节

7、与活动的实施进行授权和审批。这不仅是质量方面的要求，也能够避免因管 理上的漏洞或工作失误而埋下安全隐患。为保证安全问题可追溯，应以文件的形式明确授权与审批制度，以及授权审批部门、 批准人、 审批程序、审批范围等内容。3.1 应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等部门和岗位职责的描述，应能明确指出部门或岗位可以审批的事项内容3.2 应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序， 按照审批程序执行审批过程，对重要活动建立逐级审批制度在相关的管理制度文档中，一般会对系统变更（例如变更管理制度）、物理访问（例如机房管理制 度）、系统接入（例如网络管理制度）等重

8、要活动的审批流程进行明确，包括逐级审批流程。另外，应 保存审批过程记录文档，并保证执行过程中审批程序、审批部门、审批人与审批制度文档内容的一致 性。系统变更一般分为重大变更和普通变更，前者如系统运行业务改变、系统核心设备更换等，后者 如主机系统或设备配置更改等。重要操作包括设备加电或断电等。物理访问主要是指对机房或重要办 公区域的访问。系统接人一般是指从外部系统或网络接入等级保护对象。逐级审批依审批活动的重要程度，可以是从执行管理层（安全主管、负责人）到日常运营层（管 理员）的二级审批，也可以是从最高层（网络安全领导小组）到执行管理层再到日常运营层的三级审 批。3.3 应定期审查审批事项，及时

9、更新需授权和审批的项目、审批部门和审批人等信息审批事项可能会根据审批部门、审批人及相关审批流程的变化而发生变更，因此，应及时根据实 际情况进行审查并更新相关内容。另外，应定期对相关审批事项进行审查，以更新相关信息。应形成审批事项列表。在该列表中，应明确审批事项、涉及的审批部门、审批人等,并定期对该 列表进行更新和维护。例如，若部门职责或岗位职责改变，则某一审批活动涉及的审批部门和审批人 将会改变。再如，若活动的重要程度改变，则该活动的审批流程将会改变。4 沟通和合作整个等级保护对象安全工作的顺利完成，需要各业务部门的共同参与和密切配合，以及与外联单 位通畅的沟通与合作（以便及时获取网络安全发展

10、动态，避免网络安全事件的发生，或者在网络安全 事件发生时尽快得到支持和帮助，在第一时间采取有效措施将损失降到最低）。其中，外联单位可能 包括供应商、业界专家、专业的安全公司、安全组织、上级主管部门、兄弟单位、安全服务机构、电 信运营部门、执法机关等。4.1 应加强各类管理人员、组织内部机构和网络安全管理部门之间的合作与沟通，定期召开协调会议，共同协作处理网络安全问题一个单位的等级保护对象的运行可能涉及多个业务部门 o 整个等级保护对象相关安全工作的顺 利完成，需要各业务部门的共同参与和密切配合。此项关于沟通方式的要求，包括通过例会或不定期 召开会议的形式对网络安全问题进行协商处理。4.2 应加

11、强与网络安全职能部门、各类供应商、业界专家及安全组织的合作 与沟通与外界单位、部门的沟通与合作可能有多种方式。例如，网络管理部门定期汇报、检查工作，定 期与供应商商讨系统中的安全问题，组织业界专家进行安全评审咨询等。4.3 应建立外联单位联系列表，包括外联单位名称、合作内容、联系人和联系方式等信息与外联单位的联系应建立联系列表，并根据实际情况维护和更新列表信息，明确合作内容及联系 人等相关信息。5 审核和检查为保证网络安全方针、制度的贯彻执行，及时发现现有安全措施中的漏洞和系统脆弱性问题，机 构应制定安全审核和检查制度并定期组织实施。安全审核和检查包括现有安全措施的有效性、安全配 置与安全策略

12、的一致性、安全管理制度的落实情况、用户账号情况、系统漏洞情况等方面，检查范围 包括日常检查和机构定期全面检查。对安全检查的结果应进行汇总，并形成检查报告，交给主管领导 及相关负责人。5.1 应定期进行常规安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况常规安全检查不同于日常安全巡检。常规安全检查一般以年、半年或季度为周期开展,以便汇总 一段时间内的系统状态。5.2 应定期进行全面安全检查，检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等全面安全检查可由单位自行组织或通过第三方机构进行。无论采用哪种方式，检查内容均应涵盖 技术和管理各方面安全措施的落实情况。在单位内部进行的全面安全检查，相当于对等级保护对象安 全状况的自我评估。定期检查可以半年一次，也可以一年一次5.3 应制定安全检查表格实施安全检查，汇总安全检查数据，形成安全检查 报告，并对安全检查结果进行通报无论是日常检查还是定期检查，都需要制定安全检查表格，记录安全检查结果，并形成安全检查 报告。同时，要将安全检查结果通知相关人员，尤其是日常运营层各岗位的管理员。