安全管理防护体系设计方案（等保三级）.docxVIP

PAGE 16 网络安全等级保护 安全管理防护体系设计方案 XXX科技有限公司 20XX年XX月XX日 目 录 TOC \h \z \u \t 标题 1,1,标题 2,2,标题 3,3 一 安全管理制度设计 3 1.1 安全策略 3 1.2 管理制度 3 1.3 制定和发布 3 1.4 评审和修订 4 二 安全管理机构设计 4 2.1 岗位设置 4 2.2 人员配备 5 2.3 授权和审批 5 2.4 沟通和合作 5 2.5 审核和检查 6 三 安全人员管理设计 6 3.1 人员录用 6 3.2 人员离岗 6 3.3 安全意识教育和培训 6 3.4 外部人员访问管理 6 四 安全建设管理设计 7 4.1 定级备案 7 4.2 安全方案设计 7 4.3 产品采购和使用 7 4.4 自行软件开发 7 4.5 外包软件开发 8 4.6 工程实施 8 4.7 测试验收 8 4.8 系统交付 8 4.9 等级测评 9 4.10 服务供应商选择 9 五 安全运维管理设计 9 5.1 环境管理 9 5.2 资产管理 10 5.3 介质管理 10 5.4 设备维护管理 11 5.5 漏洞和风险管理 11 5.6 网络和系统安全管理 11 5.7 恶意代码防范管理 12 5.8 配置管理 12 5.9 密码管理 12 5.10 变更管理 12 5.11 备份与恢复管理 13 5.12 安全事件处置 13 5.13 应急预案管理 14 5.14 外包运维管理 14 5.15 安全评估服务 14 5.16 渗透测试服务 15 5.17 源代码审计服务 15 5.18 安全加固服务 15 5.19 安全值守服务 15 5.20 安全培训服务 15 安全管理制度设计 安全策略和审计制度是对信息安全目标和工作原则的规定，其表现形式是一系列安全策略体系文件。安全策略和审计制度是信息安全保障体系的核心，是信息安全管理工作、技术工作和运维工作的目标和依据。具体安全策略和审计制度可参考以下内容建设： 安全策略 制定适合本单位信息系统网络安全工作的总体方针和安全策略，明确本单位安全工作的总体目标、范围、原则和安全框架等安全策略。实现信息系统安全可控的原则，并依照“分区、分级、分域”的总体安全防护策略，执行信息系统安全等级保护制度。 管理制度 制定安全管理活动中各类管理内容建立安全管理制度，制定管理人员或操作人员执行的日常管理操作建立操作规程，并形成安全策略、管理制度、操作规程、记录表单四级制度体系。其中包括各个安全区域网络设备、安全设备、主机系统、数据库和应用程序应遵守的安全配置和管理技术标准和规范。标准和规范应作为网络设备、安全设备、主机系统和应用程序的安装、配置、维护、评审遵照的标准，不允许违规操作。 制定和发布 指定或授权专门的部门和人员负责安全管理制度的制定和发布，安全管理制度在应通过正式、有效的方式发布，并进行版本控制；安全制度文档制定和发布后，必须有效执行。发布和执行过程中要得到管理层的大力支持和推动，并要求发布和执行前对每个人员都要做与其相关部分的充分培训，保证每个人员都熟知与其相关部分的内容。 设立信息安全管理工作的职能部门，设立安全主管人、安全管理各个方面的负责人，定义各负责人的职责；设立系统管理人员、网络管理人员、安全管理人员岗位，定义各工作岗位的职责；成立指导和管理信息安全工作的委员会或领导小组，其最高领导应由单位主管领导委任或授权；制定文件明确安全管理机构各部门和岗位的职责、分工和技能要求；配备安全管理专职人员，不可兼任；授权审批部门及批准人，对关键活动进行审批；建立各审批事项的审批程序，按照审批程序执行审批过程； 评审和修订 定期对安全管理制度的合理性和适用性进行论证和审定，对存在的不足或需要改进的安全管理制度进行修订。至少每年（建议）或者业务系统、机构人员发生变化事及时进行评审和修订，并做好修订记录。 安全管理机构设计 安全管理机构管理建设是整个安全管理体系的重要部分。信息安全领导小组应由单位高层领导和有关部门的管理人员组成，负责协调、指导及管理信息安全各个方面的工作。 岗位设置 设立指导和管理网络安全工作的委员会或领导小组，最高领导由单位主管领导担任或授权；设立网络安全管理工作的职能部门，设立安全主管、安全管理各个方面的负责人岗位，并明确各负责人的职责；设立系统管理员、审计管理员和安全管理员等岗位，并明确部门及各个工作岗位的职责。 信息