安全管理体系建设方案正式版.pdf

安全管理体系建设方案正式 版 (正式版资料，可直接使用可编辑，推荐下载） 安全管理体系建设方案 沈阳赛宝科技服务有限公 2021 年 7 月 19 日 目录 1概述1 1.1简介1 1.2 目标1 2安全管理体系框架图2 3安全管理制度体系2 3.1安全方针政策2 3.2安全管理制度2 3.3技术标准、规范3 3.4流程、表单及记录4 1 概述 1.1 简介 安全管理体系建设包含：安全管理制度、安全管理机构、人员安全管理、系 统建设安全管理和系统运维安全管理等各个方面，依据相关的安全准则，结合企 业自身及网络系统的构成特点，确定具体的各方面的制度。 1.2 目标 安全管理机构：包括职能部门岗位设置；系统管理员、网络管理员、安全 管理员的人员配备；授权和审批；管理人员、内部机构和职能部门间的沟通和 合作；定期的安全审核和安全检查。 安全管理制度：包括安全策略、安全制度、操作规程等的管理制度；管理 制度的制定和发布；管理制度的评审和修订。 人员安全管理：包括人员录用；人员离岗；人员考核；安全意识教育和培 训；外部人员访问管理。 系统建设管理：包括系统定级；安全方案设计；产品采购和使用；自行软 件开发；外包软件开发；工程实施；测试验收；系统交付；系统备案；等级测 评；安全服务商选择。 系统运维管理 ：包括机房环境管理；信息资产管理；介质管理；设备管 理；监控管理和安全管理中心；网络安全管理；系统安全管理；恶意代码防范 管理；密码管理；变更管理；备份与恢复管理；安全事件处置；应急预案管 理。 2 安全管理体系框架图 安全管理制度体系层次图： 3 安全管理制度体系 3.1 安全方针政策 最高方针，纲领性的安全策略主文档，陈述本策略的目的、适用范围、信 息安全的管理意图、支持目标以及指导原则，信息安全各个方面所应遵守的原 则方法和指导性策略。 3.2 安全管理制度 各类管理规定、管理办法和暂行规定。从安全策略主文档中规定的安全 个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实 施办法，是必须具有可操作性，而且必须得到有效推行和实施的。 安全管理制度要求见下图，在建立制度的时候可以参考： 3.3 技术标准、规范 技术标准和规范是针对具体管理行为进行规范化操作流程的规定，包括各个 安全等级区域网络设备、主机操作系统和主要应用程序的应遵守的安全配置和管 理的技术标准和规范。技术标准和规范将作为各个网络设备、主机操作系统和应 用程序的安装、配置、采购、项目评审、日常安全管理和维护时必须遵照的标准， 不允许发生违背和冲突。 例如制度及规范类文档如下： 表1管理制度及规范文档 序号 管理制度及规范文档 1 机构总体安全方针和政策方面的管理制度 2 安全管理活动中的各类管理内容的相关管理制度 3 部门设置、岗位设置及工作职责定义方面的管理制度 4 授权审批、审批流程等方面的管理制度 5 与外联单位、供应商等合作相关管理制度 6 安全审核和安全检查方面的管理制度 7 管理制度、操作规程修订、维护方面的管理制度 8 人员录用、离岗、考核等方面的管理制度 9 人员安全教育和培训方面的管理制度 10 人员签署必威体育官网网址协议相关管理制度 11 第三方人员访问控制方面的管理制度 12 工程实施过程方面的管理制度 13 安全方案设计相关管理制度 14 产品选型、采购方面的管理制度 15 软件外包开发或自我开发方面的管理制度