1、 信息系统信息安全等级保护-管理部分2015年12月14日注:以下所提供的材料包括制度、文档和记录清单。目 录1安全管理制度31.1安全管理31.2制定和发布31.3评审和修订32安全管理机构42.1岗位职责文件42.2人员配备42.3授权和审批42.4沟通和合作52.5安全检查53人员安全管理53.1人员录用53.2人员离岗63.3人员考核63.4安全意识教育和培训73.5外部人员访问管理74系统建设管理74.1系统定级74.2安全方案设计84.3产品采购和使用84.4自行软件开发84.5外包软件开发94.6工程实施94.7测试验收94.8系统交付104.9安全服务商选择105系统运维管理1
2、15.1环境管理115.2资产管理115.3介质管理125.4设备管理125.5网络安全管理135.6系统安全管理135.7恶意代码防范管理145.8变更管理145.9备份与恢复管理145.10安全事件处置155.11应急预案管理151 安全管理制度1.1 安全管理一、 制度1) 安全工作的总体方针、政策性文件和安全策略文件l 内容包括机构安全工作的总体目标、范围、方针、原则和安全框架等。2) 安全管理制度l 内容包括物理、网络、主机系统、数据、应用、建设和管理等层面各类管理内容。3) 制度体系l 包括由总体方针、安全策略、管理制度、操作规程等构成。二、 文档1) 日常管理操作的操作规程l 内
3、容包括如系统维护手册和用户操作规程等1.2 制定和发布一、 制度1) 制度制定和发布要求管理文档l 内容包括安全管理制度的制定和发布程序、格式要求及版本编号等2) 安全管理制度文档l 内容包括文档的正式发布时间,适用和发布范围,版本标识,管理层的签字或单位盖章;各项制度的文档格式等等;二、 记录1) 管理制度评审记录l 内容包括相关人员的评审意见。2) 安全管理制度的收发登记记录l 内容包括收发通过正式、有效的方式(如正式发文、领导签署和单位盖章等),发布范围要求。1.3 评审和修订一、 制度1) 修订过的安全管理制度二、 记录1) 安全管理制度评审记录(修订时)l 内容包括相关人员的评审意见
4、,评审周期。2) 安全管理制度的检查/评审记录l 安全管理制度的修订版本3) 全管理制度体系的评审记录l 内容包括相关人员的评审意见,评审周期2 安全管理机构2.1 岗位职责文件一、 制度1) 部门、岗位职责文件l 内容包括安全管理机构的职责,机构内各部门的职责和分工,部门职责涵盖物理、网络和系统安全等各个方面;l 安全主管、安全管理各个方面的负责人、机房管理员、系统管理员、网络管理员、安全管理员等各个岗位l 各个岗位的职责范围清晰、明确;l 各个岗位人员应具有的技能要求;2) 信息安全管理委员会职责文件l 内容包括委员会职责和其最高领导岗位的职责;二、 记录1) 安全管理委员会或领导小组最高
5、领导委任授权书l 内容包括本单位主管领导的授权签字2) 日常管理工作执行情况的工作记录l 内容包括安全管理各部门和信息安全管理委员会或领导小组日常工作的执行情况的记录2.2 人员配备一、 制度1) 人员配备要求管理文档l 内容包括应配备的一些安全管理人员,包括机房管理员、系统管理员、数据库管理员、网络管理员、安全管理员等重要岗位l 配备专职的安全管理员;l 对一些关键事务的管理人员应配备2人或2人以上共同管理,配备人员的具体要求;二、 记录1) 安全管理各岗位人员信息表l 内容包括机房管理员、系统管理员、数据库管理员、网络管理员、安全管理员等重要岗位人员的信息;l 安全员要专职的(不能网络管理
6、员、系统管理员、数据库管理员等岗位);l 数据库管理员和系统管理员要由不同人担任。2.3 授权和审批一、 制度1) 审批管理制度文档l 内容包括审批事项、需逐级审批的事项、审批部门、批准人及审批程序等,l 系统变更、重要操作、物理访问和系统接入等事项的审批流程;l 定期审查、更新审批的项目、审批部门、批准人和审查周期等;二、 文档1) 逐级审批的文档l 系统变更、重要操作、物理访问和系统接入等关键活动的审批记录需要有批准人的签字和审批部门的盖章。2) 关键活动的审批过程记录2.4 沟通和合作一、 记录1) 外联单位联系列表l 内容包括包含公安机关、电信公司、兄弟公司、供应商,业界专家、专业的安
7、全公司和安全组织等外联单位;l 说明外联单位的名称、联系人、合作内容和联系方式等内容。2) 组织机构内部人员联系表3) 组织内部机构间/信息安全职能部门内部的安全工作会议文件/记录l 内容包括会议内容、会议时间、参加人员和会议结果等4) 信息安全领导小组/安全管理委员会定期例会会议文件/记录l 内容包括会议内容、会议时间、参加人员、会议结果等5) 安全顾问名单及安全顾问的证明文件l 内容包括安全顾问指导信息安全建设、参与安全规划和安全评审等记录2.5 安全检查一、 制度1) 安全检查管理制度文档l 内容包括定期进行全面安全检查,检查内容、检查程序和检查周期等l 检查内容包括现有安全技术措施的有
8、效性、安全配置与安全策略的一致性、安全管理制度的执行情况等;二、 记录1) 安全管理员定期实施安全检查的文档或记录l 内容包括包括系统日常运行、系统漏洞和数据备份等情况的检查记录;l 系统日常运行、系统漏洞和数据备份等情况检查周期。2) 全面安全检查报告l 内容包括报告日期间隔,检查周期,检查内容、检查人员、检查数据汇总表、检查结果等的描述l 检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等;3) 安全检查时的安全检查表l 内容包括安全检查记录和结果通告记录,查看安全检查记录中记录的检查程序3 人员安全管理3.1 人员录用一、 制度1) 人员录用要求管
9、理文档l 内容包括录用人员应具备的条件,如学历、学位要求,技术人员应具备的专业技术水平,管理人员应具备的安全管理知识等。二、 记录1) 有人员录用时对录用人身份、背景和专业资格和资质等进行审查的相关文档或记录l 文档或记录中有审查内容和审查结果。2) 人员录用时的技能考核文档或记录l 内容包括笔试和面试的记录;l 记录考核内容和考核结果等。3) 保密协议l 内容包括与技术人员签署保密协议;l 协议具有保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内容。4) 岗位安全协议l 内容包括岗位安全责任、违约责任、协议的有效期限和责任人签字等。3.2 人员离岗一、 制度1) 人员离岗的管理
10、文档l 内容包括人员调离手续和离岗要求等二、 记录1) 对离岗人员的安全处理记录l 离岗人员交还身份证件、设备等的登记记录;l 交还内容包括各种身份证件、钥匙、徽章等以及机构提供的软硬件设备等。2) 按照离职程序办理调离手续的记录l 内容包括调离手续、调离流程;l 按照离职程序办理调离手续的记录。3) 保密承诺文档l 内容包括保密的内容,期限,调离人员的签字等。3.3 人员考核一、 文档1) 考核文档l 内容包括考核的对象、考核的周期;l 考核内容要求包含安全知识、安全技能等。l 关键岗位人员特殊的考核内容二、 记录1) 人员安全审查记录l 内容包括审查人员包括各个岗位的人员,对关键岗位人员特
11、殊的安全审查内容3.4 安全意识教育和培训一、 文档1) 安全教育和培训计划文档l 不同岗位的培训计划l 内容包括培训方式、培训对象、培训内容、培训时间和地点等;l 培训内容是否包含信息安全基础知识、岗位操作规程等。2) 安全责任和惩戒措施管理文档l 文档包含具体的安全责任和惩戒措施。4) 信息安全教育及技能培训和考核管理文档l 包括培训周期、培训方式、培训内容和考核方式等相关内容二、 记录1) 具有安全教育和培训记录l 内容包括培训人员、培训内容、培训结果等的描述。3.5 外部人员访问管理一、 制度1) 外部人员访问管理文档l 内容包括允许外部人员访问的范围(区域、系统、设备、信息等内容)3
12、.6 外部人员进入的条件(对哪些重要区域的访问须提出书面申请批准后方可进入)l 外部人员进入的访问控制措施(由专人全程陪同或监督等)和外部人员离开的条件等;二、 记录1) 外部人员访问重要区域的登记记录l 记录了外部人员访问重要区域的进入时间、离开时间、访问区域、访问设备或信息及陪同人等信息。2) 外部人员访问重要区域的批准文档l 内容包括外部人员访问重要区域的书面申请,批准人允许访问的批准签字等;4 系统建设管理4.1 系统定级一、 文档1) 系统定级文档l 信息系统的定级报告、备案表;l 包括明确信息系统的边界和信息系统的安全保护等级,确定为某个安全等级的方法和理由;l 有相关部门的批准盖
13、章。2) 专家论证文档l 专家对定级结果的论证意见。4.2 安全方案设计一、 文档1) 系统的安全建设工作计划l 包括系统的近期安全建设计划和远期安全建设计划。2) 系统总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等配套文件l 内容包括主管领导批准。3) 系统的详细设计方案l 根据安全方案细化形成的方案:如指导安全系统建设、安全产品采购和使用的详细设计方案。4) 专家论证文档l 内容包括相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的论证意见。5) 系统总体安全策略、安全技术框架、安全管理策略、总体建设规划
14、、详细设计方案等配套文件l 包括配套文件的修订版本或记录。4.3 产品采购和使用一、 文档1) 系统使用的有关信息安全产品符合国家的有关规定l 采购的流程;l 安全产品;l 安全产品具有相关凭证。2) 密码产品的使用情况l 采购的流程;l 安全产品;l 密码产品具有相关凭证。3) 产品采购管理文档l 包括需要的产品性能指标,确定产品的候选范围,通过招投标等方式确定采购产品及人员行为准则等方面;二、 记录1) 产品选型测试结果记录、候选产品名单审定记录或更新的候选产品名单。4.4 自行软件开发一、 制度1) 软件开发管理制度l 内容包括软件设计、开发、测试、验收过程的控制方法和人员行为准则,明确
15、哪些开发活动应经过授权、审批,明确软件开发相关文档的管理等。2) 代码编写规范l 包括代码编写规则等。二、 文档1) 软件设计的相关文档(应用软件设计程序文件、源代码文档等)、软件使用指南或操作手册和维护手册l 软件设计相关文档;l 软件使用指南或操作手册等;l 专人负责文档保管。三、 记录1) 对程序资源库的修改、更新、发布进行授权和审批的文档或记录l 包括批准人的签字。4.5 外包软件开发一、 文档1) 需求分析说明书、软件设计说明书、软件操作手册、软件源代码文档等软件开发文档和使用指南二、 记录1) 软件源代码审查记录l 包括对可能存在后门的审查结果。2) 软件安装之前检测软件中的恶意代
16、码的记录l 检测工具是第三方的商业产品。4.6 工程实施一、 制度1) 工程实施管理制度l 是否包括工程实施过程的控制方法、实施参与人员的行为准则等方面内容。二、 文档1) 工程实施方案l 包括工程时间限制、进度控制和质量控制等方面内容。三、 记录1) 按照实施方案形成的阶段性工程报告。4.7 测试验收一、 制度1) 测试验收管理文档l 包括系统测试验收的过程控制方法、参与人员的行为规范等内容。二、 文档2) 测试报告l 系统安全性测试报告;l 系统测试验收报告。3) 工程测试验收方案l 内容包括参与测试的部门、人员、测试验收的内容、现场操作过程等4) 测试验收记录5) 系统测试验收报告l 内
17、容包括系统测试验收的过程控制方法、参与人员的行为规范等。6) 系统安全性测试报告l 内容包括测试通过的结论(如果报告中提出了存在的问题,则检查是否有针对这些问题的改进报告),是否有第三方测试机构的签字或盖章。7) 对测试验收报告的审定文档l 内容包括相关人员的审定意见。4.8 系统交付一、 文档1) 系统交付管理文档l 内容包括交付过程的控制方法和对交付参与人员的行为限制等。二、 记录1) 系统交付清单l 内容包括包括所交接的设备、文档、软件等;2) 培训记录l 系统交付技术培训记录,包括培训内容、培训时间和参与人员等。4.9 系统备案一、 文档1) 备案的记录或备案文档l 内容包括将系统等级
18、相关材料报主管部门备案的记录或备案文档;2) 公安机关备案的记录或证明l 内容包括将系统等级相关备案材料报相应公安机关备案的记录或证明;3) 系统定级相关材料的适用控制记录4.10 安全服务商选择一、 文档1) 与安全服务商签订的安全责任合同书或保密协议等文档l 对信息系统进行安全规划、设计、实施、维护、测评等服务的安全服务单位;l 安全服务商的安全资质文件;l 内容包括与所有安全服务商签订的安全责任合同书或保密协议文档,文档中有保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等。2) 与安全服务商签订的服务合同5 系统运维管理5.1 环境管理一、 制度1) 机房安全管理制度l 内容
19、覆盖机房物理访问、物品带进、带出机房和机房环境安全等方面。二、 文档1) 机房消防管理制度和消防预案2) 办公环境管理办法l 规范办公环境内人员的行为;l 工作人员离开座位确保终端计算机退出登录状态;l 桌面上没有包含敏感信息的纸档文件;l 工作人员调离办公立即交还该办公室钥匙和不在办公区接待来访人员等。三、 记录1) 机房基础设施维护记录l 内容包括记录维护日期、维护人、维护设备、故障原因、维护结果等。2) 消防设施巡检记录表5.2 资产管理一、 制度1) 资产安全管理制度l 内容包括明确信息资产管理的责任部门、责任人等;l 其覆盖资产使用、借用、维护等方面。l 内容包括依据资产的重要程度对
20、资产进行分类和标识管理,不同类别的资产是否采取不同的管理措施。2) 信息分类文档l 内容是否明确了信息分类标识的原则和方法。二、 记录1) 资产清单5.3 介质管理一、 制度1) 介质管理制度l 介质的维修或销毁流程、维修或销毁制度;l 内容包括在介质物理传输过程中对人员选择、打包、交付等情况进行控制;l 内容包括对存储介质的使用过程、送出维修以及销毁等进行严格管理的方法和对带出工作环境的存储介质进行内容加密和监控管理的方法。l 介质的分类、标识。二、 记录1) 介质管理记录l 具有介质存放在安全的环境(防潮、防盗、防火、防磁,专用存储空间);l 内容包括对某些重要介质实行异地存储,异地存储环
21、境是否与本地环境相同;l 内容包括定期对其完整性(数据是否损坏或丢失)和可用性(介质是否受到物理破坏)进行检查;l 介质的存档、查询、借用等记录;l 根据介质的目录清单对介质的使用现状进行定期检查的记录。5.4 设备管理一、 制度1) 设备安全管理制度l 对各种软硬件设备的选型、采购、发放和领用以及带离机构等环节进行申报和审批。2) 配套设施、软硬件维护方面的管理制度l 内容包括对配套设施、软硬件维护进行有效的管理,包括明确维护人员的责任、涉外维修和服务的审批、维修过程的监督控制管理等。二、 文档1) 设备使用管理文档l 对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行管理。2)
22、 关键设备(包括备份和冗余设备)的操作规程l 主要设备(包括备份和冗余设备)的启动、停止、加电/断电等操作的手册或规程;l 定期对日志管理情况的检查。对日志管理情况进行检查的记录l 内容具有设备维护记录和主要设备的操作日志。3) 申报材料和审批报告l 内容具有设备的选型、采购、发放和领用以及带离机构等申请报告。5.5 监控管理和安全管理中心一、 制度1) 安全管理中心l 对通信线路、主机、网络设备和应用软件的运行状况,对设备状态、恶意代码、网络流量、补丁升级、安全审计等安全相关事项进行集中管理。二、 文档1) 监测记录l 内容包括记录监控对象、监控内容、监控的异常现象处理等方面。2) 监测分析
23、报告l 内容包括监测的异常现象、处理措施等。5.6 网络安全管理一、 制度3) 网络安全管理制度l 对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期、文件备份等方面作出规定,查看安全策略是否包括允许或者拒绝便携式和移动式设备的网络接入。 l 内容具有网络设备配置文件的离线备份文件。二、 文档1) 网络漏洞扫描报告l 漏洞扫描的制度、漏洞扫描报告。2) 内部网络外联的授权批准书l 外联的对象和授权批准书。3) 网络设备配置文件的备份文件4) 网络设备升级更新的工作记录5) 网络审计日志5.7 系统安全管理一、 制度1) 系统安全管理制度l 对系统安全策略、安全配置、日志管理和日
24、常操作流程等方面作出规定。2) 系统安全访问控制策略说明文档l 内容包括根据业务需求和系统安全分析制定系统的访问控制策略,控制分配文件及服务的访问权限。二、 文档1) 补丁测试记录和系统补丁安装操作记录2) 详细操作日志(包括重要的日常操作、运行维护记录、参数的设置和修改等内容);l 内容包括重要的日常操作、运行维护记录、参数的设置和修改等。3) 定期对运行日志和审计结果进行分析的记录l 查看报告是否能够记录帐户的连续多次登录失败、非工作时间的登录、访问受限系统或文件的失败尝试、系统错误等非正常事件。4) 系统漏洞扫描报告l 漏洞扫描制度和漏洞扫描报告。5.8 恶意代码防范管理一、 制度1)
25、恶意代码防范管理文档l 包括防恶意代码软件的授权使用、恶意代码库升级、定期汇报等方面。2) 对员工的恶意代码防范教育的相关培训文档二、 记录1) 恶意代码检测记录l 指定专人对网络和主机进行恶意代码检测的记录。2) 恶意代码库升级记录l 内容包括查看升级记录是否记录升级时间、升级版本等。3) 分析报告l 内容包括分析报告是否描述恶意代码的特征、修补措施等。5.9 密码管理一、 制度1) 密码使用管理制度l 具有密码使用管理制度5.10 变更管理一、 制度1) 变更管理制度l 内容覆盖变更前审批、变更过程记录、变更后通报等方面。l 内容包括变更控制的申报、审批程序,查看其是否规定需要申报的变更类
26、型、申报流程、审批部门、批准人等方面。l 检查变更失败恢复程序,查看其是否规定变更失败后的恢复流程。二、 文档 2) 系统变更方案l 内容包括变更类型、变更原因、变更过程、变更前评估等方面进行规定。3) 重要系统的变更申请书4) 变更过程记录文档三、 记录l 变更方案评审记录5.11 备份与恢复管理一、 文档1) 备份管理文档l 内容包括备份方式、备份频度、存储介质和保存期等方面内容;l 各系统的备份文档或备份流程(包括网络、系统、数据库、应用系统等)。2) 数据备份和恢复策略文档l 内容包括备份数据的存放场所、文件命名规则、介质替换频率、数据离站传输方法等方面;l 备份与恢复的流程(包括网络
27、、系统、数据库、应用系统等)。3) 需要定期备份的重要业务信息、系统数据、软件系统的列表或清单l 内容包括业务信息、系统数据及软件系统等。二、 记录1) 备份和恢复记录l 内容包含备份内容、备份操作、备份介质存放等,记录内容与备份和恢复策略是否一致。5.12 安全事件处置一、 制度1) 安全事件报告和处置管理制度l 内容包括本系统已发生的和需要防止发生的安全事件类型,包括安全事件的现场处理、事件报告和后期恢复的管理职责,不同安全事件是否采取不同的处理和报告程序。二、 文档1) 安全事件定级文档l 内容包括安全事件的定义、安全事件等级划分的原则、等级描述等方面。2) 安全事件记录分析文档l 内容
28、包括记录引发安全事件的原因,记录事件处理过程,采取措施避免其再次发生。3) 安全事件报告和处理程序文档l 内容包括根据不同安全事件制定不同的处理和报告程序,及响应和处置的范围、程度、处理方法,是否明确具体报告方式、报告内容、报告人等方面。5.13 应急预案管理一、 制度1) 应急预案框架l 覆盖启动计划的条件、应急处理流程、系统恢复流程和事后教育等内容,是否有应急预案小组。2) 期审查应急预案l 内容包括明确应急预案中需要定期审查和根据实际情况更新的内容二、 文档1) 根据应急预案框架制定的不同事件的应急预案l 不同事件具体是根据应急预案文档和安全事件定级文档里面所规定的内容。2) 应急预案培训记录l 培训记录内容包括培训内容、培训日期等。3) 应急预案演练记录l 演练周期多长,是否对应急预案定期进行审查。4) 审查记录l 审查记录内容包括审查内容、审查日期等。