收藏
下载资源

等级保护三级信息系统制度清单实用资料

上传人:ni****g 文档编号:488813758 上传时间:2022-12-26 格式:DOC 页数:30 大小:187.04KB
返回 下载 相关 举报
等级保护三级信息系统制度清单实用资料_第1页
第1页 / 共30页
等级保护三级信息系统制度清单实用资料_第2页
第2页 / 共30页
等级保护三级信息系统制度清单实用资料_第3页
第3页 / 共30页
等级保护三级信息系统制度清单实用资料_第4页
第4页 / 共30页
等级保护三级信息系统制度清单实用资料_第5页
第5页 / 共30页
点击查看更多>>
资源描述

《等级保护三级信息系统制度清单实用资料》由会员分享,可在线阅读,更多相关《等级保护三级信息系统制度清单实用资料(30页珍藏版)》请在金锄头文库上搜索。

1、等级保护三级信息系统制度清单实用资料(实用资料,可直接使用,可编辑,推荐下载) 信息系统信息安全等级保护-管理部分2015年12月14日注:以下所提供的材料包括制度、文档和记录清单。目 录1安全管理制度31.1安全管理31.2制定和发布31.3评审和修订42安全管理机构42.1岗位职责文件42.2人员配备52.3授权和审批52.4沟通和合作62.5安全检查63人员安全管理73.1人员录用73.2人员离岗83.3人员考核83.4安全意识教育和培训93.5外部人员访问管理93.6外部人员进入的条件(对哪些重要区域的访问须提出书面申请批准后方可进入)104系统建设管理104.1系统定级104.2安全

2、方案设计104.3产品采购和使用114.4自行软件开发124.5外包软件开发124.6工程实施134.7测试验收134.8系统交付144.9系统备案144.10安全服务商选择145系统运维管理165.1环境管理165.2资产管理165.3介质管理175.4设备管理175.5监控管理和安全管理中心185.6网络安全管理195.7系统安全管理195.8恶意代码防范管理205.9密码管理205.10变更管理215.11备份与恢复管理215.12安全事件处置225.13应急预案管理221 安全管理制度1.1 安全管理一、 制度1) 安全工作的总体方针、政策性文件和安全策略文件l 内容包括机构安全工作的

3、总体目标、范围、方针、原则和安全框架等。2) 安全管理制度l 内容包括物理、网络、主机系统、数据、应用、建设和管理等层面各类管理内容。3) 制度体系l 包括由总体方针、安全策略、管理制度、操作规程等构成。二、 文档1) 日常管理操作的操作规程l 内容包括如系统维护手册和用户操作规程等1.2 制定和发布一、 制度1) 制度制定和发布要求管理文档l 内容包括安全管理制度的制定和发布程序、格式要求及版本编号等2) 安全管理制度文档l 内容包括文档的正式发布时间,适用和发布范围,版本标识,管理层的签字或单位盖章;各项制度的文档格式等等;二、 记录1) 管理制度评审记录l 内容包括相关人员的评审意见。2

4、) 安全管理制度的收发登记记录l 内容包括收发通过正式、有效的方式(如正式发文、领导签署和单位盖章等),发布范围要求。1.3 评审和修订一、 制度1) 修订过的安全管理制度二、 记录1) 安全管理制度评审记录(修订时)l 内容包括相关人员的评审意见,评审周期。2) 安全管理制度的检查/评审记录l 安全管理制度的修订版本3) 全管理制度体系的评审记录l 内容包括相关人员的评审意见,评审周期2 安全管理机构2.1 岗位职责文件一、 制度1) 部门、岗位职责文件l 内容包括安全管理机构的职责,机构内各部门的职责和分工,部门职责涵盖物理、网络和系统安全等各个方面;l 安全主管、安全管理各个方面的负责人

5、、机房管理员、系统管理员、网络管理员、安全管理员等各个岗位l 各个岗位的职责范围清晰、明确;l 各个岗位人员应具有的技能要求;2) 信息安全管理委员会职责文件l 内容包括委员会职责和其最高领导岗位的职责;二、 记录1) 安全管理委员会或领导小组最高领导委任授权书l 内容包括本单位主管领导的授权签字2) 日常管理工作执行情况的工作记录l 内容包括安全管理各部门和信息安全管理委员会或领导小组日常工作的执行情况的记录2.2 人员配备一、 制度1) 人员配备要求管理文档l 内容包括应配备的一些安全管理人员,包括机房管理员、系统管理员、数据库管理员、网络管理员、安全管理员等重要岗位l 配备专职的安全管理

6、员;l 对一些关键事务的管理人员应配备2人或2人以上共同管理,配备人员的具体要求;二、 记录1) 安全管理各岗位人员信息表l 内容包括机房管理员、系统管理员、数据库管理员、网络管理员、安全管理员等重要岗位人员的信息;l 安全员要专职的(不能网络管理员、系统管理员、数据库管理员等岗位);l 数据库管理员和系统管理员要由不同人担任。2.3 授权和审批一、 制度1) 审批管理制度文档l 内容包括审批事项、需逐级审批的事项、审批部门、批准人及审批程序等,l 系统变更、重要操作、物理访问和系统接入等事项的审批流程;l 定期审查、更新审批的项目、审批部门、批准人和审查周期等;二、 文档1) 逐级审批的文档

7、l 系统变更、重要操作、物理访问和系统接入等关键活动的审批记录需要有批准人的签字和审批部门的盖章。2) 关键活动的审批过程记录2.4 沟通和合作一、 记录1) 外联单位联系列表l 内容包括包含公安机关、电信公司、兄弟公司、供应商,业界专家、专业的安全公司和安全组织等外联单位;l 说明外联单位的名称、联系人、合作内容和联系方式等内容。2) 组织机构内部人员联系表3) 组织内部机构间/信息安全职能部门内部的安全工作会议文件/记录l 内容包括会议内容、会议时间、参加人员和会议结果等4) 信息安全领导小组/安全管理委员会定期例会会议文件/记录l 内容包括会议内容、会议时间、参加人员、会议结果等5) 安

8、全顾问名单及安全顾问的证明文件l 内容包括安全顾问指导信息安全建设、参与安全规划和安全评审等记录2.5 安全检查一、 制度1) 安全检查管理制度文档l 内容包括定期进行全面安全检查,检查内容、检查程序和检查周期等l 检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等;二、 记录1) 安全管理员定期实施安全检查的文档或记录l 内容包括包括系统日常运行、系统漏洞和数据备份等情况的检查记录;l 系统日常运行、系统漏洞和数据备份等情况检查周期。2) 全面安全检查报告l 内容包括报告日期间隔,检查周期,检查内容、检查人员、检查数据汇总表、检查结果等的描述l 检查内

9、容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等;3) 安全检查时的安全检查表l 内容包括安全检查记录和结果通告记录,查看安全检查记录中记录的检查程序3 人员安全管理3.1 人员录用一、 制度1) 人员录用要求管理文档l 内容包括录用人员应具备的条件,如学历、学位要求,技术人员应具备的专业技术水平,管理人员应具备的安全管理知识等。二、 记录1) 有人员录用时对录用人身份、背景和专业资格和资质等进行审查的相关文档或记录l 文档或记录中有审查内容和审查结果。2) 人员录用时的技能考核文档或记录l 内容包括笔试和面试的记录;l 记录考核内容和考核结果等。3) 保密

10、协议l 内容包括与技术人员签署保密协议;l 协议具有保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内容。4) 岗位安全协议l 内容包括岗位安全责任、违约责任、协议的有效期限和责任人签字等。3.2 人员离岗一、 制度1) 人员离岗的管理文档l 内容包括人员调离手续和离岗要求等二、 记录1) 对离岗人员的安全处理记录l 离岗人员交还身份证件、设备等的登记记录;l 交还内容包括各种身份证件、钥匙、徽章等以及机构提供的软硬件设备等。2) 按照离职程序办理调离手续的记录l 内容包括调离手续、调离流程;l 按照离职程序办理调离手续的记录。3) 保密承诺文档l 内容包括保密的内容,期限,调离人

11、员的签字等。3.3 人员考核一、 文档1) 考核文档l 内容包括考核的对象、考核的周期;l 考核内容要求包含安全知识、安全技能等。l 关键岗位人员特殊的考核内容二、 记录1) 人员安全审查记录l 内容包括审查人员包括各个岗位的人员,对关键岗位人员特殊的安全审查内容3.4 安全意识教育和培训一、 文档1) 安全教育和培训计划文档l 不同岗位的培训计划l 内容包括培训方式、培训对象、培训内容、培训时间和地点等;l 培训内容是否包含信息安全基础知识、岗位操作规程等。2) 安全责任和惩戒措施管理文档l 文档包含具体的安全责任和惩戒措施。4) 信息安全教育及技能培训和考核管理文档l 包括培训周期、培训方

12、式、培训内容和考核方式等相关内容二、 记录1) 具有安全教育和培训记录l 内容包括培训人员、培训内容、培训结果等的描述。3.5 外部人员访问管理一、 制度1) 外部人员访问管理文档l 内容包括允许外部人员访问的范围(区域、系统、设备、信息等内容)3.6 外部人员进入的条件(对哪些重要区域的访问须提出书面申请批准后方可进入)l 外部人员进入的访问控制措施(由专人全程陪同或监督等)和外部人员离开的条件等;二、 记录1) 外部人员访问重要区域的登记记录l 记录了外部人员访问重要区域的进入时间、离开时间、访问区域、访问设备或信息及陪同人等信息。2) 外部人员访问重要区域的批准文档l 内容包括外部人员访

13、问重要区域的书面申请,批准人允许访问的批准签字等;4 系统建设管理4.1 系统定级一、 文档1) 系统定级文档l 信息系统的定级报告、备案表;l 包括明确信息系统的边界和信息系统的安全保护等级,确定为某个安全等级的方法和理由;l 有相关部门的批准盖章。2) 专家论证文档l 专家对定级结果的论证意见。4.2 安全方案设计一、 文档1) 系统的安全建设工作计划l 包括系统的近期安全建设计划和远期安全建设计划。2) 系统总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等配套文件l 内容包括主管领导批准。3) 系统的详细设计方案l 根据安全方案细化形成的方案:如指导安全系统建设、安

14、全产品采购和使用的详细设计方案。4) 专家论证文档l 内容包括相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的论证意见。5) 系统总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等配套文件l 包括配套文件的修订版本或记录。4.3 产品采购和使用一、 文档1) 系统使用的有关信息安全产品符合国家的有关规定l 采购的流程;l 安全产品;l 安全产品具有相关凭证。2) 密码产品的使用情况l 采购的流程;l 安全产品;l 密码产品具有相关凭证。3) 产品采购管理文档l 包括需要的产品性能指标,确定产品的候选范围,通过招投标等方式确定采购产品及人员行为准则等方面;二、 记录1) 产品选型测试结果记录、候选产品名单审定记录或更新的候选产品名单。4.4 自行软件开发一、 制度1) 软件开发

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 办公文档 > 工作计划

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号