《S3A3G3管理组需要查看的文档和记录列表修订版》由会员分享,可在线阅读,更多相关《S3A3G3管理组需要查看的文档和记录列表修订版(11页珍藏版)》请在金锄头文库上搜索。
1、物理安全相关安全管理文档列表1. 机房出入方面的管理制度,应说明机房出入方面的规定;2. 机房出入口专人值守记录;3. 机房出入口进出机房的人员登记记录;4. 来访人员进入机房的审批记录,审批记录应说明来访人员的访问范围;5. 重要区域电子门禁系统的验收文档或产品安全认证资质;6. 电子门禁系统运行和维护记录;7. 电子门禁系统记录(能够鉴别和记录进入人员的身份);8. 机房防盗报警设施的运行和报警记录;9. 机房摄像、传感等报警系统的运行记录、监控记录和报警记录;10. 机房防盗报警设施和监控报警设施的安全资质材料、安装测试和验收报告;11. 机房消防的管理制度和消防预案,对相关人员的消防培
2、训记录;12. 自动消防系统的运行记录、报警记录、定期检查和维修记录;13. 机房内湿度监测记录;14. 防水防潮处理记录和除湿装置运行记录;15. 水敏感检测仪表或元件的运行记录;16. 机房管理制度中对温湿度控制的规定条款;17. 温湿度自动调节设施的温湿度记录、运行记录和维护记录;18. 稳压器、过电压防护设备、短期备用电源设备以及备用供电系统等电源设备的检查和维护记录;19. 冗余或并行的店里电缆线路的切换记录;20. 备用供电系统运行记录;21. 计算机系统供电的运行记录。22.安全管理制度相关安全管理文档列表1. 信息安全管理制度体系的总体方针、安全策略文件(明确机构安全工作的总体
3、目标、范围、原则和安全框架等);2. 安全管理制度文件(覆盖物理、网络、主机系统、数据、应用、建设和管理等层面的各类管理内容);3. 日常管理操作的操作规程(如系统维护手册和用户操作规程等)4. 制度制定和发布要求管理文档(说明安全管理制度的制定和发布程序、格式要求及版本编号等内容);5. 安全管理制度的收发登记记录(通过正式、有效的方式收发,并注明发布范围);6. 安全管理制度体系的评审记录;7. 安全管理制度的检查或评审记录(相关人员的评审意见);8. 如果对制度做过修订,提供修订版本的安全管理制度。安全管理机构相关安全管理文档列表1. 部门、岗位职责文件(1.明确安全管理机构的职责,是否
4、明确安全主管、安全管理各个方面负责人的职责;2. 明确系统管理员、网络管理员、安全管理员等各个岗位职责;3. 明确机构内各部门的职责和分工;4. 明确各个岗位人员应具有的技能要求)2. 信息安全管理委员会或领导小组最高领导的委任授权书;3. 信息安全管理委员会或领导小组职责文件(明确管理委员会或领导小组职责和其最高领导岗位的职责);4. 安全管理各部门和信息安全管理委员会或领导小组的日常管理工作执行情况的文件或工作记录;5. 人员配备要求管理文档(说明配备的安全管理人员岗位,明确关键事务岗位的人员配备);6. 安全管理各岗位人员信息表;7. 审批管理制度文档(1.审批事项、审批部门、需逐级审批
5、的事项、批准人、审批程序等;2.明确系统变更、重要操作、物理访问和系统接入等事项的审批流程;4. 明确需定期审查、更新审批的项目、审批部门、批准人和审查周期等);8. 经逐级审批的文档记录;9. 关键活动的审批过程记录;10. 组织内部机构之间以及信息安全职能部门内部的安全工作会议文件或会议记录(会议内容、会议时间、参加人员和会议结果等)11. 信息安全领导小组或者管理委员会定期例会会议文件或会议记录(会议内容、会议时间、参加人员、会议结果等)12. 组织机构内部人员联系表;13. 外联单位联系列表(1.包含公安关、电信公司、兄弟单位等;2.包含供应商、业界专家、专业的安全公司和安全组织等;3
6、. 说明外联单位的名称、合作内容、联系人和联系方式等内容);14. 安全顾问名单或者聘请安全顾问的证明文件;15. 安全顾问指导信息安全建设、参与安全规划和安全评审的相关文档或记录;16. 安全检查管理制度文档(1.安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等;2. 规定定期进行全面安全检查;3.规定检查内容、检查程序和检查周期等,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等);17. 全面安全检查报告(1.安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等;2. 检查内容、检查人员、检查数据汇
7、总表、检查结果等的描述);18. 安全管理员定期实施安全检查的报告(系统日常运行、系统漏洞和数据备份等情况);19. 执行安全检查时的安全检查表、安全检查记录和结果通告记录;人员安全管理相关安全管理文档列表1. 人员录用要求管理文档(说明录用人员应具备的条件,如学历、学位要求,技术人员应具备的专业技术水平,管理人员应具备的安全管理知识等);2. 人员录用时对录用人身份、背景、专业资格和资质等进行审查的相关文档或记录(审查内容和审查结果等);3. 技能考核文档或记录(记录考核内容和考核结果等);4. 保密协议(保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内容);5. 岗位安全协议
8、(岗位安全责任定义、协议的有效期限和责任人签字等内容);6. 离岗管理文档(1.人员离岗要求;2. 调离手续);7. 离岗后,交还身份证件和设备等的安全处理记录;8. 按照离岗程序办理调离手续的记录;9. 保密承诺文档,查看调离人员的签字;10. 考核记录(1.考核人员各个岗位的人员;2.考核内容安全知识、安全技能等);11. 人员安全审查记录(包括各个岗位人员);12. 关键岗位人员特殊的安全审查内容记录;13. 安全责任和惩戒措施管理文档(具体的安全责任和惩戒措施);14. 信息安全教育和培训计划文档(1.不同岗位的培训计划;2.明确了培训方式、培训对象、培训内容、培训时间和地点等;3.培
9、训内容信息安全基础知识、岗位操作规程等);15. 安全教育和培训的结果记录(1.培训人员、培训内容、培训结果等的描述;2.记录与培训计划须一致);16. 外部人员访问管理文档(明确允许外部人员访问的范围(区域、系统、设备、信息等内容),外部人员进入的条件(对哪些重要区域的访问须提出书面申请批准后方可进入),外部人员进入的访问控制措施(由专人全程陪同或监督等)等);17. 外部人员访问重要区域的书面申请文档(批准人允许访问的批准签字等);18. 外部人员访问重要区域的登记记录(记录外部人员访问重要区域的进入时间、离开时间、访问区域及陪同人等)。系统建设管理相关安全管理文档列表1. 系统定级文档(
10、1.明确信息系统的边界和信息系统的安全保护等级;2. 定级的方法和理由;3. 相关部门或主管领导的盖章或签名,或相关部门对定级结果的批复文件);2. 定级结果的专家论证文档(有关安全技术专家对定级结果的论证意见);3. 系统安全建设的工作计划文件(明确了系统的近期安全建设计划和远期安全建设计划);4. 系统总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等配套文件,及机构管理层对这些文件的批准意见;5. 配套文件的论证论证意见(相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的论证意见);6. 总体安全策略、安全
11、技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的维护记录或修订版本;7. 产品采购管理文档(明确需要的产品性能指标,产品的候选范围,明确需经招投标等方式确定采购产品,采购过程中的人员行为准则);8. 安全产品和密码产品的相关凭证(销售许可等)(抽样);9. 产品选型测试结果文档、候选产品名单审定记录或更新的候选产品名单;10. 软件开发管理制度(明确软件设计、开发、测试、验收过程的控制方法和人员行为准则);11. 代码编写安全规范(明确代码编写规则);12. 软件设计的相关文档(软件需求分析、设计文档、测试文档等)13. 检查对程序资源库的修改、更新、发布进行授权和审批的文档
12、或记录(批准人的签字);14. 外包软件:软件需求分析说明书、软件设计说明书、软件操作手册、软件源代码文档等软件开发文档和使用指南;15. 外包软件:源代码(1.软件源代码审查记录;2.可能存在后门的审查结果);16. 工程实施方案(工程时间限制、进度控制和质量控制等方面内容);17. 按照工程实施形成的阶段性工程报告等文档;18. 工程实施管理制度(包括工程实施过程的控制方法、实施参与人员的行为准则等方面内容);19. 工程测试验收方案(明确说明参与测试的部门、人员、测试验收内容、现场操作过程等);20. 系统测试验收记录(详细记录了测试时间、人员、操作过程、测试结果等);21. 系统安全性
13、测试验收报告(第三方测试机构的签字或盖章);22. 系统测试验收报告;23. 相关部门和人员对系统测试验收报告进行审定的意见(相关部门或人员的签字或盖章);24. 系统测试验收管理文档(说明系统测试验收的过程控制方法、参与人员的行为规范等);25. 系统交付清单(说明系统交付的各类设备、软件、文档等);26. 系统交付技术培训记录(括培训内容、培训时间和参与人员等);27. 系统交付提交的文档(系统建设过程中的文档(如系统设计方案等)、指导用户进行系统运维的文档(如用户操作手册等)等);28. 系统交付管理文档(系统交付的控制方法和对交付参与人员的行为限制等方面内容);29. 系统等级及相关材
14、料报主管部门备案的记录或备案文档;30. 系统等级及相关备案材料报相应公安机关备案的记录或证明;31. 自系统运行至今(信息系统等级保护政策全面施行以来)的每年的等级测评报告;32. 系统定级相关材料的使用控制记录;33. 与安全服务商签订的安全责任合同书或保密协议等文档(保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等);34. 与安全服务商签订的服务合同或安全责任合同书(服务内容、服务期限、双方签字盖章)。系统运维管理相关安全管理文档列表1. 机房安全管理制度(覆盖机房物理访问、物品带进带出、机房环境安全等方面);2. 办公环境管理文档(包括工作人员离开座位时退出登陆状态、桌面
15、没有敏感信息文件、人员调离办公室时立即收回钥匙、不在办公区接待来访人员等);3. 机房基础设施维护记录;4. 资产清单(覆盖资产责任部门、责任人、所处位置和重要程度等方面);5. 资产安全管理方面的制度(1.明确信息资产管理的责任部门、责任人;2.查看其内容是否覆盖资产使用、借用、维护等方面);6. 信息分类文档(明确信息分类标识的原则和方法);7. 介质安全管理制度(介质的存放环境、使用、维护和销毁等方面的规定);8. 介质使用管理记录(记录介质存储、归档、查询和使用等情况);9. 设备安全管理制度(1. 规定各种软硬件设备的选型、采购、发放和领用等;2. 对涉外维修和服务的审批、维修过程的监督控制管理等要求);10. 配套设施、软硬件维护方面的管理制度(明确维护人员责任、涉外维修和服务的审批、维修过程的监督控制管理等);11. 设备使用管理文档(终端计算机、便携机和网络设备等使用、操作原则、注意事项等方面);12. 主要设备(包括备份和冗余设备)的操作规程设备启动、停止、加电/断电等操作的操作规程);13. 设备维护记录和主要设备的操作日志;14. 监测记录,记录监控对象、监控内容、监控的异常现象处理等方面;15. 监测分析报告(包括监测的异常现象、处理措施等);
